DATABEHANDLERAFTALE
e-branchekoden ApS
Dato: 9. november 2020
Indholdsfortegnelse
1 Parter 3
2 Kommercielle vilkår 3
3 Definitioner 3
4 Accept af Databehandleraftalen 5
5 Anvendelsesområde og omfang 5
6 Instruks 5
7 Overførsel af personoplysninger til tredjelande 6
8 Dataansvarliges forpligtelser 6
9 Fortrolighed 7
10 Behandlingssikkerhed 7
11 Informationspligt 8
12 Besvarelse af anmodning om udøvelse af den registreredes rettigheder 8
13 Sikkerhedsbrud 9
14 Databehandlerens brug af underdatabehandlere 9
15 Udlevering af data 10
16 Samarbejde med tilsynsmyndighederne 10
17 Omkostninger og betaling 11
18 Ansvar 11
19 Ikrafttræden og ophør 12
20 Revision/audit 12
21 Ændringer i den gældende lovgivning 13
22 Generelle bestemmelser 13
BILAG 1 – GODKENDTE UNDERDATABEHANDLERE 15
BILAG 2 – SPECIFIKKE BEHANDLINGSAKTIVITETER 16
1 Parter
1.1 Databehandleraftalen (”Databehandleraftalen”) er indgået mellem
1.2 Kunden
(”Dataansvarlige”)
og medundertegnede
e-branchekoden ApS CVR-nr. 32 31 09 82
Kringelholm 117
3250 Gilleleje (”Databehandleren”)
1.3 Den Dataansvarlige og Databehandleren betegnes også hver for sig som en ”Part” og tilsammen ”Parterne”
2 Kommercielle vilkår
2.1 Parterne har indgået en licensaftale, hvorefter Databehandleren leverer visse ydel- ser inden for egenkontrol og/eller hygiejnekurser til den Dataansvarlige. Databe- handlerens ydelser til den Dataansvarlige reguleres af de relevante licensvilkår for de ydelser, som den Dataansvarlige har købt (herefter "Vilkårene").
2.2 Den Dataansvarlige tiltræder Databehandleraftalen ved den Dataansvarliges køb af Databehandlerens ydelser på Databehandlerens hjemmesiden www.e- xxxxxxxxxxxx.xx, jf. også pkt. 4.
2.3 Vilkårene indebærer, at Databehandleren behandler personoplysninger på vegne af den Dataansvarlige.
3 Definitioner
3.1 Definitionerne i Forordning om beskyttelse af fysiske personer i forbindelse med behandling af Personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EU)
2016/679 (“GDPR”) anvendes tilsvarende i Databehandleraftalen, medmindre an- det er særskilt angivet i Databehandleraftalen.
3.2 Ved ”Databeskyttelseslovgivningen” forstås GDPR samt den danske lov om da- tabeskyttelse (Lov nr. 502 af 23/05/2018 med evt. senere ændringer) (”Databe- skyttelsesloven”) og evt. bekendtgørelser udstedt i medfør heraf.
3.3 Ved ”Fortrolig Information” forstås information, som Databehandleren modta- ger fra den Dataansvarlige, hvad enten en sådan information overgives skriftligt, elektronisk, mundtligt eller på anden måde, uanset om informationerne modtages før eller efter Databehandleraftalens ikrafttræden og uanset, hvor de modtages fra, som:
A Er omfattet af definitionen ”forretningshemmeligheder” i lov nr. 309 af 25/04/2018 om forretningshemmeligheder eller den til enhver tid gældende regulering, der træder i stedet herfor, samt information omfattet af begrebet forretningshemmeligheder og/eller erhvervshemmeligheder i henhold til retspraksis eller den Dataansvarliges særlige forhold, særligt, men ikke nød- vendigvis, når den Dataansvarlige har betegnet information overleveret til Databehandleren som ”fortrolig”,
B Parterne har aftalt skal behandles som Fortrolig Information, herunder, men ikke begrænset til Personoplysningerne omfattet af Databehandleraftalen.
3.4 Ved "Vilkårene” forstås vilkårene for den licensaftale (abonnement) for egenkon- trol og/eller hygiejnekurser, der er indgået mellem Parterne, og som specificeret i punkt 2.1.
3.5 Ved "Godkendte Underdatabehandlere" menes Databehandlerens underdatabe- handlere, der er godkendt af den Dataansvarlige, og som fremgår af bilag 1.
3.6 Ved "Tredjepart" forstås en fysisk eller juridisk person, offentlig myndighed, agentur eller anden juridisk person, dog ikke de(n) registrerede, den Dataansvarli- ge, Databehandleren, eller personer, der er underlagt den Dataansvarliges eller Databehandlerens instruktionsbeføjelse til at behandle Personoplysninger.
3.7 Ved ”Personoplysninger” forstås de personoplysninger, som Databehandleren behandler på vegne af den Dataansvarlige i henhold til Databehandleraftalen og som fremgår af bilag 2.
4 Accept af Databehandleraftalen
4.1 Den Dataansvarlige accepterer Databehandleraftalen i forbindelse med den Data- ansvarliges køb af ydelser på Databehandlerens hjemmeside, www.e- xxxxxxxxxxxx.xx, herunder i forbindelse med den Dataansvarliges tiltrædelse af Vilkårene.
4.2 Den Dataansvarlige modtager i kvitteringen for sit køb af ydelser på Databehand- lerens hjemmeside en skriftlig bekræftelse på, at den Dataansvarlige har tiltrådt Vilkårene og Databehandleraftalen.
5 Anvendelsesområde og omfang
5.1 Databehandleraftalen regulerer Parternes forpligtelser med hensyn til Databehand- lerens behandling af Personoplysninger på vegne af den Dataansvarlige.
5.2 Databehandleraftalen regulerer kun den databehandling, som Databehandleren foretager på vegne af den Dataansvarlige.
5.3 Databehandleraftalen er gældende for alle af Databehandlerens nuværende og fremtidige ydelser i henhold til Vilkårene, der indebærer Databehandlerens data- behandling for den Dataansvarlige.
5.4 Databehandleraftalen supplerer og er en del af Vilkårene. I tilfælde af uoverens- stemmelser mellem Databehandleraftalen og Vilkårene har bestemmelserne i Da- tabehandleraftalen forrang.
6 Instruks
6.1 Databehandleren forpligter sig til at behandle Personoplysninger på den Dataan- svarliges vegne og som anført i Databehandleraftalen. Databehandleren må kun behandle Personoplysninger for at kunne opfylde Databehandlerens forpligtelser i henhold til Vilkårene og i overensstemmelse med Databeskyttelseslovgivningen.
6.2 Databehandleraftalen udgør sammen med Vilkårene den Dataansvarliges instruks til Databehandleren som gældende på tidspunktet for Databehandleraftalens ind- gåelse (herefter ”Instruksen”). Databehandlerens specifikke behandlingsaktivite- ter fremgår af bilag 2.
6.3 Databehandleren underretter omgående den Dataansvarlige, hvis en instruks efter Databehandlerens vurdering er i strid med Databeskyttelseslovgivningen eller an- den lovgivning, herunder nationale databeskyttelsesbestemmelser i det land, hvor Databehandleren er etableret.
6.4 Den Dataansvarlige kan med et rimeligt varsel til Databehandleren ændre, tilbage- trække, supplere eller afgive en anden dokumenteret instruks, forudsat at enhver sådan ændring, tilbagetrækning, supplement eller instruks er i overensstemmelse med gældende lovgivning.
6.5 Databehandleren har ikke ret til at benytte sig af den Dataansvarliges Personop- lysninger, informationer eller andet, til andre formål end til opfyldelse af den Da- taansvarliges Instruks.
7 Overførsel af personoplysninger til tredjelande
7.1 Databehandleren må ikke overføre, få adgang til, behandle eller på anden måde gøre Personoplysninger tilgængelig i lande uden for EU/EØS, jf. dog pkt. 7.2.
7.2 Forudsat at overførslen af Personoplysninger til lande uden for EU/EØS er lovlig, herunder at det pågældende land sikrer et tilstrækkeligt beskyttelsesniveau og at et passende retsgrundlag for dataoverførslen er på plads, må Databehandleren overføre, få adgang til, behandle eller på anden måde gøre Personoplysninger til- gængelige i lande uden for EU/EØS.
8 Dataansvarliges forpligtelser
8.1 Den Dataansvarlige skal yde den i Databehandleraftalen beskrevne bistand til Da- tabehandleren i forbindelse med Databehandlerens behandling af Personoplysnin- ger i henhold til Databehandleraftalen, herunder tilvejebringe de relevante og nødvendige oplysninger med henblik på, at Databehandleren kan udføre sine da- tabehandlingsydelser korrekt og i henhold til Databeskyttelseslovgivningen.
8.2 Den Dataansvarlige skal desuden overholde enhver forpligtelse til at samarbejde som angivet i Vilkårene.
9 Fortrolighed
9.1 Databehandleren påtager sig, både i Databehandleraftalens løbetid og efter Data- behandleraftalens ophør, ikke at videregive Fortrolig Information, som Databe- handleren har modtaget fra den Dataansvarlige, til tredjemand. Fortrolighedsfor- pligtelsen gælder dog ikke for oplysninger, (a) som en Part er forpligtet til at vi- deregive i henhold til gældende lov, bestemmelser eller børsregler eller (b) for in- formation, som en Part kan dokumentere, er skabt af Parten selv.
9.2 Bestemmelsen i punkt 9.1 gælder desuden ikke videregivelse, som sker med den Dataansvarliges forudgående, skriftlige godkendelse, ligesom det ikke gælder, når en offentlig myndighed eller en domstol berettiget kræver den pågældende infor- mation udleveret. Hvis Databehandleren modtager en sådan anmodning fra en of- fentlig myndighed eller fra en domstol om at udlevere Fortrolig Information, skal Databehandleren orientere den Dataansvarlige herom uden unødigt ophold, med- mindre sådan orientering vil være i strid med lovmæssige forpligtelser, som Data- behandleren er underlagt. Parterne skal samarbejde for, at information fortsat ikke kommer til offentlighedens kendskab, fx ved i forbindelse med en retssag at an- mode om dørlukning.
9.3 Uanset bestemmelsen i punkt 9.1 kan Databehandleren videregive Fortrolig In- formation til rådgivere, der ved lov er underlagt en tavshedspligt, der er mindst ligeså omfattende som bestemmelserne i Databehandleraftalen, herunder navnlig Databehandlerens advokat og revisor.
10 Behandlingssikkerhed
10.1 Databehandleren skal, under hensyntagen til kravene i artikel 32 i GDPR, gen- nemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sik- kerhedsniveau, der passer til risikoen ved databehandlingen, herunder bl.a. sikre:
a) pseudonymisering og kryptering af Personoplysninger, b) vedvarende fortrolig- hed, integritet, tilgængelighed og robusthed af behandlingssystemer og –tjenester,
c) rettidig genopretning af tilgængeligheden af og adgangen til Personoplysninger i tilfælde af en fysisk eller teknisk hændelse, d) en procedure for regelmæssig af- prøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatori- ske foranstaltninger til sikring af behandlingssikkerhed og e) at oplysninger ikke hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med gældende lovgivning om Personoplysninger.
10.2 Parterne fastlægger i fællesskab det passende sikkerhedsniveau. Ved vurderingen heraf tages der navnlig hensyn til de risici, som behandling udgør, navnlig risici ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til Personoplysninger, der er transmitteret, opbevaret eller på an- den måde behandlet.
10.3 Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige oplysninger til, at denne kan påse, at de nævnte tekniske og organi- satoriske sikkerhedsforanstaltninger er truffet.
11 Informationspligt
11.1 Databehandleren skal rapportere til den Dataansvarlige med det aftalte indhold, kvalitet og frekvens. Databehandleren skal straks rapportere til den Dataansvarli- ge om enhver udvikling som i væsentlig grad kan forringe Databehandlerens nu- værende eller fremtidige evne til eller muligheder for at opfylde Databehandleraf- talen.
11.2 Hvis Databehandleren af en hvilken som helst grund ikke er i stand til at sikre en korrekt behandling af den Dataansvarliges Personoplysninger i overensstemmelse med Databehandleraftalen, skal Databehandleren straks underrette den Dataan- svarlige herom.
12 Besvarelse af anmodning om udøvelse af den registreredes rettigheder
12.1 Databehandleren bistår i rimeligt omfang den Dataansvarlige med opfyldelse af den Dataansvarliges forpligtelser til besvarelse af anmodning om udøvelse af den registreredes rettigheder og opfyldelse af forpligtelser om (a) behandlingssikker- hed, (b) anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden, (c) underretning om brud på persondatasikkerheden til den registrerede, (d) konse- kvensanalyse vedrørende databeskyttelse og (f) forudgående høring.
12.2 Databehandleren kan kræve betaling og sine omkostninger dækket ved bistand til den Dataansvarlige i overensstemmelse med pkt. 17 i Databehandleraftalen.
13 Sikkerhedsbrud
13.1 I tilfælde af brud på persondatasikkerheden skal Databehandleren uden unødig forsinkelse underrette den Dataansvarlige om, at der er sket brud på persondata- sikkerheden.
13.2 Databehandleren dokumenterer alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger.
13.3 Dokumentationen skal være tilstrækkelig til at kunne sætte tilsynsmyndigheden i stand til at kontrollere, at den Dataansvarliges underretningsforpligtelse for brud på persondatasikkerheden er overholdt.
14 Databehandlerens brug af underdatabehandlere
14.1 Databehandleren skal opfylde de betingelser, der er omhandlet i artikel 28, stk. 2, og stk. 4 i GDPR for at gøre brug af en anden databehandler (en underdatabehand- ler).
14.2 Databehandleren må ikke anvende underdatabehandlere uden den Dataansvarliges forudgående skriftlige godkendelse. Den Dataansvarlige har givet sit samtykke til, at Databehandleren anvender de Godkendte Underdatabehandlere, som fremgår af bilag 1 til Databehandleraftalen.
14.3 Databehandleren skal informere den Dataansvarlige om eventuelle planer om en- ten at tilføje eller erstatte Godkendte Underdatabehandlere.
14.4 Når Databehandleren gør brug af en underdatabehandler i forbindelse med udfø- relse af specifikke behandlingsaktiviteter på vegne af den Dataansvarlige, skal Databehandleren, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der fremgår af Databehandlerafta- len, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen overholder kravene i Databehandleraftalen og Databeskyttelses- lovgivningen.
14.5 Aftaler med underdatabehandlere uden for EU/ EØS skal - inden overførsel - ind- gås i henhold til EU-Kommissionens afgørelse 2010/87 / EU om standardmodel-
kontrakter for overførsel af Personoplysninger til lande uden for EU/ EØS, lige- som der skal foretages nødvendige anmeldelser / tilladelser til lokale myndighe- der, hvis det kræves. I øvrigt gælder kravene i Databehandleraftalens pkt. 7 ved overførsel af Personoplysninger uden for EU/EØS.
14.6 Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, for- bliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.
14.7 Som udgangspunkt skal kommunikation mellem den Dataansvarlige og underdata- behandleren gå gennem Databehandleren, medmindre Parterne konkret aftaler an- det.
14.8 Underdatabehandleraftale(r) og eventuelle senere ændringer hertil skal – efter den Dataansvarliges anmodning herom – sendes i kopi til den Dataansvarlige, som herigennem har mulighed for at sikre sig, at tilsvarende databeskyttelsesforplig- telser som følger af Databehandleaftalen er pålagt underdatabehandleren. Be- stemmelser om kommercielle vilkår, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal dog ikke sendes til den Dataansvarlige.
15 Udlevering af data
15.1 Ved Databehandleraftalens ophør er den Dataansvarlige berettiget til at få udleve- ret eller slettet alle de Personoplysninger Databehandleraftalen omfatter, uanset årsagen til Databehandleraftalens ophør, jf. også pkt. 19.5.
15.2 Udlevering af Personoplysninger og informationer må kun ske til den Dataansvar- lige eller til en af den Dataansvarlige udpeget tredjemand, jf. dog Databehandler- aftalens pkt. 16 nedenfor.
16 Samarbejde med tilsynsmyndighederne
16.1 Databehandleren skal til enhver tid give nationale tilsynsmyndigheder og andre tilsynsmyndigheder, der er tillagt kompetence hertil i henhold til lovgivningen, samt den Dataansvarlige nødvendig adgang til og indsigt i Personoplysningerne, som behandles og systemerne, der benyttes. Databehandleren skal yde den nød- vendige praktiske bistand ved denne type adgang og indsigt.
16.2 Hvis Databehandleren modtager en anmodning fra de nationale tilsynsmyndighe- der eller anden kompetent myndighed om at udlevere Personoplysninger eller om anden adgang til eller indsigt i Personoplysninger, skal Databehandleren straks underrette den Dataansvarlige herom, medmindre sådan underretning vil være i strid med Databehandlerens lovmæssige forpligtelser.
17 Omkostninger og betaling
17.1 Medmindre andet er angivet i Vilkårene eller Databehandleraftalen, har Databe- handleren krav på betaling for eller refusion af omkostninger til assistance til den Dataansvarlige med besvarelse af anmodninger fra de registrerede, myndigheds- henvendelser og i tilfælde af databrud. Medmindre Parterne konkret aftaler andet, har Databehandleren ret til betaling i henhold til medgået tid for sin assistance til den Dataansvarlige.
17.2 Databehandleren kan dog ikke kræve særskilt betaling for eller refusion af om- kostninger til almindelig overholdelse af de forpligtelser, som Databehandleren særskilt er underlagt i henhold Databehandleraftalen eller Databeskyttelseslov- givningen. Det gælder f.eks. løbende iværksættelse af sikkerhedsforanstaltninger, som kræves i henhold til gældende lovgivning.
17.3 I tilfælde af ændrede instruktioner fra den Dataansvarlige, jf. Databehandlerafta- lens punkt 6.4, skal den Dataansvarlige kompensere Databehandleren for rimelige og dokumenterede forhøjede omkostninger, som de ændrede instruktioner medfø- rer.
18 Ansvar
18.1 Med de afvigelser, der følger af Databehandleraftalen og Vilkårene, reguleres Parternes i overensstemmelse med bestemmelserne i Databeskyttelseslovgivnin- gen, herunder GDPR art. 82, og indbyrdes i øvrigt af dansk rets almindelige regler om ansvar og erstatning.
18.2 Databehandlerens ansvar over for den Dataansvarlige for overtrædelse af Databe- handleraftalen eller Databeskyttelseslovgivningen kan i ingen tilfælde overstige
50.000 kr.
19 Ikrafttræden og ophør
19.1 Databehandleraftalen træder i kraft på datoen for den Dataansvarliges tiltrædelse af Vilkårene.
19.2 Databehandleraftalen ophører senest på datoen for Vilkårenes ophør. Den Dataan- svarlige kan desuden opsige Databehandleraftalen med et skriftligt varsel på 30 dage til udløbet af en måned, jf. dog pkt. 19.3 nedenfor.
19.3 Uanset Vilkårenes varighed forbliver Databehandleraftalen i kraft, så længe Data- behandleren behandler personoplysninger for den Dataansvarlige.
19.4 Hvis Databehandlerens levering af tjenester vedrørende behandling af personop- lysninger ophører, og personoplysningerne er slettet, overført eller returneret til den Dataansvarlige i overensstemmelse med pkt. 19.5 nedenfor, kan Databehand- leraftalen, uanset bestemmelserne om opsigelse i Vilkårene, af begge Parter opsi- ges med et skriftligt varsel på 30 dage til udløbet af en måned.
19.5 Ved Databehandleraftalens ophør skal Databehandleren loyalt og hurtigst mulig medvirke til, at Personoplysninger omfattet af Databehandleraftalen efter den Da- taansvarliges valg slettes eller tilbageføres til den Dataansvarlige. Vælger den Da- taansvarlige at få tilbageført personoplysningerne omfattet af Databehandlerafta- len til sig, har Databehandleren ret til betaling for dokumenteret tid, som Databe- handleren anvender på at ekstrahere personoplysningerne fra sine systemer og overføre til den Dataansvarlige.
19.6 Databehandleren skal levere de i henhold til Databehandleraftalen aftalte ydelser indtil endelig overførsel har fundet sted.
20 Revision/audit
20.1 Den Dataansvarlige har ret til at auditere Databehandlerens overholdelse af Data- behandleraftalen en gang om året eller i tilfælde af en rimelig mistanke om Data- behandlerens manglende overholdelse af Databehandleraftalen, herunder inspekti- oner på Databehandlerens lokaliteter samt eventuelle underdatabehandleres lokali- teter.
20.2 Den Dataansvarlige fastlægger metoden for revision af Databehandleren ud fra en risikovurdering af Databehandlerens behandling af Personoplysninger for den Da-
taansvarlige. Revision kan efter omstændighederne ske på skriftligt grundlag, herunder f.eks. ved brug af revisionserklæringer eller lign.
20.3 Revisionen kan udføres af en anerkendt tredjepart udpeget af den Dataansvarlige, og den Dataansvarlige skal i så fald betale omkostningerne ved en sådan revision.
20.4 Yderligere kan Databehandleren kræve rimelig og dokumenteret tid anvendt i for- bindelse med sådanne revisioner betalt af den Dataansvarlige.
20.5 Den Dataansvarlige skal give Databehandleren meddelelse om audits senest 14 dage før gennemførelsen af revisionen.
21 Ændringer i den gældende lovgivning
21.1 Hvis en ændring af gældende databeskyttelseslovgivning kræver, at Databehand- leren (a) underskriver yderligere dokumentation eller (b) gennemfører suppleren- de tekniske og organisatoriske foranstaltninger eller (c) accepterer yderligere for- pligtelser i forhold til dem, der er angivet i Databehandleraftalen, skal Databe- handleren straks foretage de nødvendige ændringer efter at være blevet bekendt hermed. Hvis en sådan ændring som nævnt i (a) - (c) ovenfor medfører yderligere omkostninger eller risici for Databehandleren, er Parterne enige om at forhandle i ”good faith” for en rimelig justering af eventuelle gebyrer.
21.2 Punkt 21.1 finder tilsvarende anvendelse, i tilfælde af (a) den Dataansvarlige på- lægger Databehandleren at udføre tjenester, der ikke er forudset i Databehandler- aftalen eller (b) hvor obligatorisk databeskyttelseslovgivning gældende for den Dataansvarlige eller Databehandleren ændres eller hvor den relevante tilsynsfø- rende myndighed pålægger Parterne forpligtelser ud over dem, der er angivet i Databehandleraftalen.
22 Generelle bestemmelser
22.1 Ændring
22.1.1 Vilkårene i Databehandleraftalen kan kun ændres ved skriftlig aftale mellem Par- terne.
22.2 Information
22.2.1 Parterne er forpligtet til at optræde loyalt overfor hinanden og til at informere hinanden uden unødig forsinkelse om ændringer, der kan få betydning for Databe- handleraftalen.
22.3 Force Majeure
22.3.1 Ingen af Parterne er ansvarlige for nogen handling eller undladelse af at træffe foranstaltninger i det omfang, en sådan handling eller et sådant svigt begrundes i årsager udenfor en Parts rimelige kontrol, herunder, men ikke begrænset til, krig, uroligheder, epidemi, pandemi (f.eks. COVID-19), offentlige forbud, strejke eller anden arbejdsnedlæggelse (enten helt eller delvist), forstyrrelser i det offentlige telenet, forstyrrelser af internetforbindelse eller lignende begivenheder, men kun hvis den pågældende Part ikke kunne have forudset begivenheden på tidspunktet for antagelsen af forpligtelsen. Så længe en sådan begivenhed effektivt forhindrer en Part i at udføre den pågældende forpligtelse, skal denne suspenderes, indtil der ikke længere eksisterer en sådan forhindring.
22.4 Overdragelse
22.4.1 Ingen af Parterne må overdrage sine rettigheder eller forpligtelser i henhold til Databehandleraftalen til tredjemand uden forudgående skriftlig tilladelse fra den anden Part.
22.5 Ugyldigt Vilkår
22.5.1 Hvis en eller flere af bestemmelserne i Databehandleraftalen bliver fundet ugyldi- ge ved en domstolsprøvelse eller anden kompetent myndighed, påvirker det ikke gyldigheden af Databehandleraftalens øvrige bestemmelser, der fortsat er uændret gældende og Databehandleraftalen skal i øvrigt fortolkes i videst muligt omfang som om, at den fortsat var fuldt ud gældende.
22.6 Lovvalg og værneting
22.6.1 Databehandleraftalen er underlagt dansk ret. De Forenede Nationers konvention om aftaler om internationale løsørekøb (CISG) finder ikke anvendelse på Databe- handleraftalen.
22.6.2 Medmindre andet er aftalt i Vilkårene, skal tvister løses ved Retten i Helsingør som værneting i 1. instans med mulighed for henvisning og anke.
BILAG 1 – GODKENDTE UNDERDATABEHANDLERE
Den Dataansvarlige har på tidspunktet for Databehandleraftalens indgåelse givet sit samtykke til, at Databehandleren anvender de Godkendte Underdatabehandlere, der er anført på listen ne- denfor.
Vilkårene for Databehandlerens brug af Underdatabehandlere fremgår af Databehandleraftalens punkt 14.
Underdatabehandler | Hvor opbevares eller behandles personop- lysninger fra? | Overførselsgrundlag (hvis overførsel til tredjelande) |
Hetzner Online GmbH | Industriestr. 25 91710 Gunzenhausen, Tysk- land | NA |
Hetzner Finland Oy | Huurrekuja 10, 04360 Tuusula, Finland | NA |
BILAG 2 – SPECIFIKKE BEHANDLINGSAKTIVITETER
1 Formål med behandlingen af personoplysninger
1.1 Formålet med Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige er at levere en IT-løsning til egenkontrol inden for fødevareindu- strien samt online undervisning i hygiejne.
1.2 Databehandleren tilbyder desuden et modul til registrering af gæster hos den Da- taansvarlige i forbindelse med COVID-19. Disse oplysninger slettes med en frist på 30 dage fra registrering, medmindre den Dataansvarlige konkret giver Databe- handleren skriftlig instruks om andet.
2 Kategorier af personoplysninger og registrerede
2.1 Kategorier af personoplysninger, der behandles ifm. Vilkårene:
• Alm. kontaktoplysninger, herunder navn, adresse og e-mail
• Kundens faktureringsoplysninger
1.2 Kategorier af registrerede, der behandles ifm. Vilkårene:
• Kontaktpersoner hos den Dataansvarlige
• Medarbejdere hos den Dataansvarlige