DATABEHANDLERAFTALE

DATABEHANDLERAFTALE

Gældende fra 25. Maj 2018

Indgået mellem Virksomhed Adresse Postnummer By Land

CVR-nr.

(herefter benævnt den Dataansvarlige) og

BrandMonkey ApS

Dronning Xxxxxxxxxx Vej 4D 4000 Roskilde

Danmark

CVR-nr. 34 89 73 60

(herefter benævnt Databehandleren)

BILAG TIL DATABEHANDLERAFTALEN

1. Hovedydelsen

2. Den Dataansvarliges forpligtelser

3. Underdatabehandlere

1. BAGGRUND OG FORMÅL

1.1 Parterne har aftalt levering af visse ydelser fra Databehandleren til den Dataansvarlige, som nærmere beskrevet i bilag 1 til denne aftale (”Hovedydelserne”).

1.2 I den forbindelse behandler Databehandleren personoplysninger på vegne af den Dataansvarlige, hvor- for Parterne har indgået denne aftale med underliggende bilag (”Databehandleraftalen”).

1.3 Databehandleraftalen har til formål at sikre, at Databehandleren overholder den til enhver tid gælden- de persondataretlige regulering.

2. OMFANG

2.1 Databehandleren bemyndiges til at foretage behandling af de personoplysningerne som er nærmere beskrevet i bilag 1, på den Dataansvarliges vegne på vilkårene fastsat i Databehandleraftalen.

2.2 Databehandleren må alene behandle personoplysninger efter dokumenteret instruks fra den Data- ansvarlige (”Instruks”). Denne Databehandleraftale inkl. bilag udgør Instruksen på underskriftstids- punktet. Instruksen indebærer indtil andet fastsættes af den Dataansvarlige, at Databehandleren må foretage al behandling der er nødvendig for at levere Hovedydelsen.

2.3 I det omfang den til enhver til gældende persondataretlige regulering medfører, at der er brug for tilpasninger af denne Databehandleraftale, er Parterne enige om, at dette skal medføre fornyet for- handling af indholdet af denne Databehandleraftale.

3. VARIGHED

3.1 Databehandleraftalen gælder indtil aftalen om levering af Hovedydelserne ophører eller Databehand- leraftalen opsiges eller ophæves.

4. DATABEHANDLERENS FORPLIGTELSER

4.1 Tekniske og organisatoriske sikkerhedsforanstaltninger

4.1.1 I forbindelse med, at Databehandleren skal behandle personoplysningerne for den Dataansvar- lige, har Databehandleren ansvaret for at gennemføre fornødne, tekniske- og organisatoriske sikkerhedsforanstaltninger.

4.1.2 Sikkerhedsforanstaltningerne skal gennemføres under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne, og den pågældende behandlingskarakter, omfang, sam- mensætning og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, samt typerne af personoplysninger beskrevet i bilag 1.

4.2Medarbejderforhold/underdatabehandlere

4.2.1 Databehandleren sikrer sig internt, at medarbejdere/underdatabehandlere, der behandler personoplysninger for Databehandleren, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. Alle medarbejdere/underdatabehandlere har desuden modtaget et databehandlerkursus forud for behandling af den Dataansvarliges data generelt.

4.2.2 Databehandleren skal sikre, at adgangen til personoplysningerne begrænses til de medarbejde- re/underdatabehandlere, for hvem det er nødvendigt at behandle personoplysninger for at kunne opfylde Databehandlerens forpligtelser over for den Dataansvarlige.

4.2.3 Databehandleren skal sikre, at medarbejdere/underdatabehandlere, der behandler personop- lysninger for Databehandleren, kun behandler disse i overensstemmelse med Instruksen som fremgår af denne aftales samlede omfang.

4.2.4 Databehandleren og dennes medarbejder/underdatabehandlere handler altid og alene på In- struks fra den Dataansvarlige.

4.3 Påvisning af overholdelse

4.3.1 Databehandleren stiller efter anmodning alle oplysninger, der er nødvendige for at påvise over- holdelse af kravene i Databehandleraftalen, til rådighed for den Dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige. En sådan anmodning besvares inden rimelig tid. Eventuelt mod vederlag alt efter forudgående aftale herom.

4.3.2 For så vidt angår punkt 4.3.1 underretter Databehandleren omgående den Dataansvarlige, hvis en instruks efter Databehandlerens mening er i strid med databeskyttelseslovgivningen eller databeskyttelsesbestemmelser i anden EU-ret eller nationale ret.

4.4 Sikkerhedsbrud

4.5 Databehandleren underretter uden unødig forsinkelse den Dataansvarlige hvis Databehandleren bliver opmærksom på, at der er sket brud på persondatasikkerheden. Der henvises til gældende lovgivning, som har skærpet kravene til underretningsforpligtigelsen fra Dataansvarlig til Databe- handler og omvendt.

4.6 Underretningen skal indeholde de faktiske omstændigheder ved bruddet på persondatasikkerhe- den, dets virkninger og de trufne og planlagte afhjælpende foranstaltninger.

5. DEN DATAANSVARLIGES FORPLIGTELSER

5.1 Den Dataansvarlige har de forpligtelser, som fremgår af bilag 2 og aftalen om levering af Hovedydelserne.

6. 0.XXXXX DATABEHANDLERE

6.1 Databehandleren må altid uden forudgående varsel gøre brug og skifte mellem sine altid EU godkendte 3.parter til behandlingen af personoplysninger for den Dataansvarlige i det omfang det fremgår af bilag 3 til denne Databehandleraftale, eller Instruks fra den Dataansvarlige.

6.2 Databehandleren og Underdatabehandleren skal indgå en skriftlig aftale, som pålægger Underdatabe- handleren de samme databeskyttelsesforpligtelser, som påhviler Databehandleren (herunder i medfør af denne Databehandleraftale).

6.3 Hvis en 0.xxxxx databehandler ikke lever op til Instruksen, kan den Dataansvarlige forbyde anvendelse af den pågældende 3.part. Skift af 3. parts databehandlere kan kræve vederlag.

6.4 Databehandleren er aldrig ansvarlig for 0.xxxxx data behandling af personoplysninger på samme vis, som var behandling foretaget af Databehandleren selv. Dog er Databehandleren ansvarlig for valg af EU godkendte 0.xxxxx databehandlere, som i et vist omfang vil søges begrænset til den Dataansvarli- ges specifikke behov.

7. OVERFØRSEL TIL TREDJELANDE OG INTERNATIONALE ORGANISATIONER

7.1 Databehandleren må kun overføre personoplysninger til i et land uden for den Europæiske Union eller EØS (et ”Tredjeland”) eller internationale organisationer i det omfang dette fremgår af denne Databe- handleraftale, eller Instruks fra den Dataansvarlige.

7.2 Overførsel af personoplysninger må i alle tilfælde kun ske, hvis Databehandleren har sikret et fornø- dent overførelsesgrundlag, f.eks. EU Kommissionens Standardkontraktsbestemmelser.

7.3 Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den Dataansvarlige er direkte part heri, er Databehandleren bemyndiget til at gennemføre dette på den Dataansvarliges vegne, f.eks. ved at indgå aftale ved brug af EU Kommissionens Standardkontraktsbestemmelser på vegne af den Dataansvarlige. Databehandleren skal snarest muligt orientere den Dataansvarlig, hvis denne bemyndi- gelse udnyttes.

7.4 Evt. regulering gældende i medfør af det anvendte overførelsesgrundlag har forrang frem for regulerin- gen i denne Databehandleraftale, dog alene i relation til den behandling, som nødvendiggør overførel- sesgrundlaget; øvrig behandling er alene reguleret af denne Databehandleraftale.

7.5 Enhver form for 3.parter skal udbede sig den Dataansvarliges oplysninger med hjemmel i dansk lovgiv- ning, før denne kan tilgå den Dataansvarliges materiale, som aldrig videregives uden den Dataansvarli- ges samtykke. Dette samtykke er ud over denne aftale og træffes separat for det enkelte tilfælde ved yderligere en separat aftale herom og eventuelt vederlag herfor.

8. DATABEHANDLING UDENFOR INSTRUKSEN

8.1 Databehandleren kan behandle personoplysninger udenfor Instruksen i tilfælde, hvor det kræves af EU-retten eller national ret, som Databehandleren er underlagt.

8.2 Ved behandling af personoplysninger udenfor Instruksen skal Databehandleren underrette den Dataan- svarlige om årsagen hertil. Underretningen skal ske, inden behandlingen foretages og skal indeholde en henvisning til de retlige krav, der ligger til grund for behandlingen.

8.3 Underretning skal ikke ske, hvis underretning vil være i strid med EU retten eller den nationale ret.

9. VEDERLAG OG OMKOSTNINGER

9.1 Databehandleren har krav på betaling efter medgået tid samt Databehandlerens øvrige omkostninger herved, for de ydelser der udføres efter Databehandleraftalen på den Dataansvarliges anmodning. Ydelserne kan omfatte, men er ikke begrænset til, ændringer af instruksen, assistance ved anmeldelse af brud på persondatasikkerheden, udlevering af oplysninger, bistand ved audit, samarbejde med tilsyn- smyndigheder og hjælp til efterlevelse af anmodninger fra registrerede.

9.2 Databehandleren har krav på betaling efter medgået tid samt Databehandlerens øvrige omkostninger herved, for de ydelser der udføres efter Databehandleraftalen som følger af ændringer i den Dataan- svarliges forhold. Ydelserne kan omfatte, men er ikke begrænset til, bistand til ændringer der følger af nye risikovurderinger og konsekvensanalyser samt ændringer nødvendiggjort af, at den Dataansvarlige forpligtes af anden lovgivning.

9.3 Vederlaget opgøres efter Databehandleren gældende timesatser.

9.4 Databehandleren har uanset ovenstående ikke krav på betaling for assistance eller implementering af ændringer i det omfang, sådan assistance eller ændring er en direkte følge af Databehandlerens egen misligholdelse af denne Databehandleraftale.

10. ÆNDRING AF INSTRUKSEN

10.1 Forud for ændringer af Instruksen skal Parterne i videst muligt omfang drøfte, og om muligt aftale, implementeringen af ændringerne, inkl. sikkerhedsforanstaltninger, implementeringstiden og omkostningerne.

10.2 I det omfang andet ikke er aftalt, gælder følgende:

a) Databehandleren skal uden ugrundet ophold iværksætte implementering af ændringer af Instruksen og sikre, at sådanne ændringer implementeres uden ugrundet ophold set i forhold til ændringernes karakter og omfang.

b) Vejledende estimat for implementeringstiden og omkostningerne skal meddeles til den Dataan- svarlige uden ugrundet ophold.

c) Ændringerne til Instruksen anses først for gældende, fra ændringerne er implementeret, forud- sat at implementeringen heraf gennemføres i overensstemmelse med dette punkt 10.2, og med mindre den Dataansvarlige eksplicit meddeler at fravige dette punkt.

d) Databehandlerne er fritaget for ansvar for manglende levering af Hovedydelserne i det omfang (herunder tidsmæssigt), levering heraf vil være i strid med den ændrede Instruks, eller levering i overensstemmelse med den ændrede Instruks er umulig. Dette kan eksempelvis være tilfældet,

(i) hvor ændringerne ikke teknisk, praktisk eller juridisk kan implementeres, (ii) hvor den Data- ansvarlige eksplicit meddeler, at ændringerne skal være gældende, før implementeringen er mulig eller (iii) i tidsrummet indtil Parterne får gennemført evt. nødvendige ændringer af aftalen i overensstemmelse med ændringsprocedurerne heri.

e) Kræver ændringerne yderligere uddannelse eller på anden måde instruktioner af medarbejdere/ underdatabehandlere, kan der tilkomme yderligere vederlæg efter aftale herom.

11. ØVRIGE BESTEMMELSER

11.1 Generelt

11.1.1 Reguleringen af emnerne behandlet i dette punkt 11 i aftalen om levering af Hovedydelserne fin- der anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf. Kun i tilfælde hvor aftalen om levering af Hovedydelserne ikke tager stilling hertil, skal bestemmelserne i dette punkt 11 finde anvendelse på denne Databehandleraftale.

11.2 Ansvar og ansvarsbegrænsninger

11.2.1 Parterne fraskriver sig ethvert ansvar for indirekte tab og følgeskader, herunder driftstab, tab af goodwill, tab af besparelser og indtægter, inklusive udgifter til at indvinde mistede indtægter, rentetab, tab af data, samt erstatning og godtgørelse til registrerede og tredjeparter.

11.3 Force Majeure

11.3.1 Databehandleren kan ikke gøres ansvarlig for forhold, der kan kategoriseres som force majeure, herunder, men ikke begrænset til, krig, optøjer, terror, opstand, strejke, ildsvåde, naturkatastro- fer, valutarestriktioner, import- eller eksportrestriktioner, abrydelse af almindelig samfærdsel, abrydelse af eller svigt i energiforsyningen, offentlige dataanlæg og kommunikationssystemer, længerevarende sygdom hos nøglemedarbejdere, virus samt indtrædelse af force majeure hos underleverandører.

11.3.2 Force majeure kan højst gøres gældende med det antal arbejdsdage, som force majeure-situatio- nen varer.

11.4 Fortrolighed

11.4.1 Information vedrørende indholdet af denne Databehandleraftale, de underliggende Hovedydel- ser, den anden Parts forretning, der enten i forbindelse med overgivelsen til den modtagende Part er angivet som fortrolig information, eller som efter sin natur eller i øvrigt klart må opfattes som fortrolig, skal behandles fortroligt og med mindst samme omhu og diskretion som partens egne fortrolige informationer. Data, herunder persondata, udgør altid fortrolige informationer.

11.4.2 Fortrolighedsforpligtelsen gælder dog ikke for information, som er eller bliver offentlig tilgænge-

12. OPHØR

lig, uden dette skyldes brud på en Parts fortrolighedsforpligtelse eller information, som allerede er i den modtagende Parts besiddelse uden tilsvarende fortrolighedsforpligtelse eller informati- on, som selvstændigt er udviklet af den modtagende Part.

12.1 Opsigelse og ophævelse

12.1.1 Databehandleraftalen kan alene opsiges eller ophæves i overensstemmelse med bestemmelser- ne om opsigelse og ophævelse i aftalen om levering af Hovedydelserne.

12.1.2 Opsigelse eller ophævelse af denne Databehandleraftale kan alene ske ved – og berettiger

til – samtidig opsigelse eller ophævelse af dele af aftalen om levering af Hovedydelserne, der ved- rører behandling af personoplysninger i medfør af Databehandleraftalen.

12.1.3 Når aftalen om levering af Hovedydelserne ophører, vil Databehandleren fortsat have virkning, indtil disse personoplysninger er slettet eller tilbageleveret som beskrevet i punkt 12.5.

12.2 Virkning af ophør

12.3 Databehandlerens bemyndigelse til at behandle personoplysninger på vegne af den Dataansvarli- ge bortfalder ved Databehandleraftalens ophør, uanset årsag.

12.4 Databehandleren må fortsat behandle personoplysningerne i op til tre måneder efter Databe- handleraftalens ophør, i det omfang dette er nødvendigt for at fortage nødvendige lovpligtige foranstaltninger. I samme periode er Databehandleren berettiget til at lade personoplysningerne indgå i Databehandlerens sædvanlige backupprocedure. Databehandlerens behandling i denne periode anses fortsat for at ske under overholdelse af Instruksen.

12.5 Databehandleren og dennes Underdatabehandlere skal tilbagelevere alle personoplysninger, som Databehandleren har behandlet under denne Databehandleraftale, til den Dataansvarlige ved Databehandleraftalens ophør, i det omfang den Dataansvarlige ikke allerede er i besiddelse af personoplysningerne. Databehandleren er herefter forpligtet til at slette alle personoplysninger fra den Dataansvarlige. Den Dataansvarlige kan anmode om fornøden dokumentation for, at dette er sket.

12.6 Databehandleren er berettiget til at anonymisere personoplysningerne på en sådan måde, at de ikke senere kan de anonymiseres igen, og herefter anvende den anonyme data til egne formål både i denne Databehandleraftales løbetid og fremadrettet.

12.7 Uanset Databehandleraftalens ophør skal aftalens punkt 11.2, 11.4, 12.4, 12.6 og 13 fortsat have virkning efter Databehandleraftalens ophør.

12.8 Skulle den Dataansvarlige kræve oplysninger om persondata efter ophøret, kan Databehandle- ren aldrig se sig forpligtiget til at udlevere disse, da de i medfør af ophørt samarbejde og efter gældende lovgivning ikke længere må opbevares unødigt af Databehandleren.

13. TVISTLØSNING

13.1 Databehandleraftalen er underlagt dansk ret med undtagelse af regler, der fører til anvendelse af anden lov end dansk lov samt FN-konventionen om internationale løsørekøb (CISG).

13.2 Kan Parterne ikke opnå en løsning ved forhandling, er Parterne berettiget til at kræve tvisten afgjort endeligt ved retssag ved de almindelige domstole. Retsplejelovens henvisningsregler til Landsret og Sø- og Handelsret skal dog fortsat finde anvendelse.

14. FORRANG

14.1 Såfremt der er modstrid mellem denne Databehandleraftale og aftalen om levering af Hovedydelserne, har denne Databehandleraftale forrang, med mindre andet følger direkte af Databehandleraftalen.

BILAG 1

HOVEDYDELSEN

1. Formål og Hovedydelse

1.1 Formålet med behandlingen i medfør af denne Databehandleraftale er at levere Hovedydelsen bestående af følgende: hosting af hjemmesider med mulighed for opbevaring og behandling af e-mails, samt opsamling af data fra hjemmesider.

2. Personoplysninger

2.1 Typer af personoplysninger, der behandles i sammenhæng med levering af Hovedydelsen:

a) Almindelige personoplysninger, herunder enhver form for information om en identificeret eller identificerbar registreret ud over de i litra b) og c) nævnte.

b) Følsomme personoplysninger, herunder racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold eller seksuelle orientering, genetiske data og biome- triske data.

c) Oplysninger om straffedomme og lovovertrædelser.

d) Cpr-numre.

2.2 Kategorien af registrerede identificerede eller identificerbare fysiske personer omfattet af Databehandleraftalen:

a) F.eks.: ansatte

b) F.eks.: klienter

c) F.eks.: kunder

d) F.eks.: børn (angiv i givet fald gerne om børnene er 0-12 år eller 13-18 år).

BILAG 2

DEN DATAANSVARLIGES FORPLIGTELSER

1. Forpligtelser

1.1 Den Dataansvarlige har følgende forpligtelser

1.1.1 Den Dataansvarlige er ansvarlig for at overholde den til enhver tid gældende persondatalovgiv- ning i forhold til de personoplysninger, som overlades til Databehandlerens behandling. Databe- handleren er herunder navnlig ansvarlig for og indestår for, at:

- Angivelsen i bilag 1 er udtømmende, og at Databehandleren kan agere herefter, bl.a. i forhold til fastsættelse af nødvendige sikkerhedsforanstaltninger.

- Den Dataansvarlige har fornøden hjemmel til at behandle og til at overlade det til Databe- handleren at behandle de personoplysninger, der behandles i forbindelse med levering af Hovedydelserne.

- Den afgivne Instruks, i henhold til hvilken Databehandleren skal behandle personoplysnin- ger på vegne af den Dataansvarlige, er lovlig.

1.1.2 Den Dataansvarlige orienterer skriftligt Databehandleren om eventuelt gennemførte konsekven- sanalyser, der er relevante for de overladte behandlingsaktiviteter, og den Dataansvarlige giver samtidig Databehandleren fornøden indsigt i analysen med henblik på at Databehandleren kan opfylde sine forpligtigelser under Databehandleraftalen.

1.1.3 Den Dataansvarlige orienterer i øvrigt Databehandleren om forhold af betydning for Databehand- leren udførelse af sine forpligtigelser under Databehandleraftalen, herunder blandt andet den Dataansvarliges løbende risikovurdering, i det omfang de er relevante for Databehandleren.

1.1.4 Den Dataansvarlige orienterer desuden Databehandleren, hvis den til enhver tid gældende lovgivning i forhold til de personoplysninger, som overlades til Databehandlerens behandling, omfatter andet end lov nr.: xxxx://xxx.xxxxxxxxxxxxxxxxx.xx/XXxxx/xxxxxxx/00000/xxxxxxxxxx/ L68/20171_L68_som_vedtaget.pdf

1.1.5 Den Dataansvarlige bistår Databehandleren med at indgå aftaler med Underdatabehandlere, i det omfang det er nødvendigt, herunder for at sikre overførselsgrundlag til tredjelande.

BILAG 3

UNDERDATABEHANDLERE

1. Generelt

1.1 Den Dataansvarlige giver hermed sin godkendelse til, at Databehandleren anvender følgende Underdatabehandlere:

Navn: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Tyskland

1.2 Databehandleren må ikke gøre brug af andre Underdatabehandlere uden forudgående specifik skriftlig godkendelse fra den Dataansvarlige.

1.3 Den Dataansvarlige kan alene tilbageholde sådan godkendelse, hvis der foreligger konkrete og rimelige årsager hertil.

1.4 Databehandleren må ikke gøre brug af en Underdatabehandler uden forudgående specifik skrift- lig godkendelse fra den Dataansvarlige.

1.5 Den Dataansvarlige giver hermed sin forudgående generelle skriftlige godkendelse til, at Data- behandleren kan gøre brug af en Underdatabehandler. Databehandleren skal skriftligt underrette den Dataansvarlige om tilføjelse eller erstatning af en Underdatabehandler forud for anvendel- sens påbegyndelse. Tilsvarende skal Databehandleren underrette den Dataansvarlige om ophør af brug af en Underdatabehandler.

1.6 Den Dataansvarlige har mulighed for at gøre indsigelser gældende mod en sådan Underdatabe- handler i det omfang, der er en rimelig grund hertil.