Databehandleraftale


Databehandleraftale



Virksomhedsnavn

Shopbox ApS


Virksomhedsadresse

Tranevej 16 th 2400 København NV


CVR-nummer

33964544


„Databehandler”


Virksomhedsnavn Virksomhedsadresse CVR-nummer

„Dataansvarlig ”



(Den Dataansvarlige og Databehandleren kaldes tilsammen ”Parterne” og hver for sig en ”Part”) Definitioner

Definitionen af Personoplysninger, Særlige Kategorier af Data (Følsomme Oplysninger), Behandling, den Registrerede, Dataansvarlig og Databehandler er den samme som den relevante persondatalovgivning, herunder GDPR.


Aftalen regulerer Databehandlerens Behandling af Personoplysninger på vegne af den Dataansvarlige, og beskriver, hvordan Databehandleren skal medvirke til at beskytte privatliv på vegne af den Dataansvarlige og dennes Registrerede gennem tekniske og organisatoriske foranstaltninger som er krævet under den gældende databeskyttelseslovgivning, herunder GDPR fra den 25. maj 2018.


Formålet med Databehandlerens Behandling af Personoplysninger på vegne af den Dataansvarlige er at sikre, den Dataansvarliges brug af Applikationen og opfyldelsen af denne Aftale.


1. Baggrund og Formål


1.1 Parterne har aftalt levering af visse ydelser fra Databehandleren til den Dataansvarlige, som nærmere beskrevet i Parternes særskilte aftale herom samt bilag 1 til denne aftale (”Hovedydelserne”).


1.2 Databehandleren behandler desuden udelukkende Personoplysninger i overensstemmelse med Shopbox privatlivspolitik


1.3 I den forbindelse behandler Databehandleren personoplysninger på vegne af den Dataansvarlige, hvorfor Parterne har indgået denne aftale med underliggende bilag (”Databehandleraftalen”)


1.4 Databehandleraftalen har til formål at sikre, at Databehandleren overholder den til enhver tid gældende persondataretlige regulering, herunder navnlig:

· persondataloven


· persondataforordningen (Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016), når denne får virkning.


2. Omfang


2.1 Databehandleren bemyndiges til at fortage behandling af personoplysninger på den Dataansvarliges vegne på vilkårene fastsat i Databehandleraftalen.


2.2 Databehandleren må alene behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige (”Instruks”). Denne Databehandleraftale inkl. bilag udgør Instruksen på underskriftstidspunktet.


2.3 Instruksen kan til enhver tid ændres eller konkretiseres nærmere af den Dataansvarlige.


2.4 Databehandleren må, i det omfang andet ikke følger af Databehandleraftalen, benytte alle relevante hjælpemidler, herunder IT-systemer.


3. Varighed


3.1 Databehandleraftalen gælder indtil enten (a) aftale(r)n(e) om levering af Hovedydelserne ophører eller (b) Databehandleraftalen opsiges eller ophæves.


4. Databehandlerens forpligtelser


4.1 Tekniske og organisatoriske sikkerhedsforanstaltninger


4.1.1 Databehandleren har ansvaret for at gennemføre fornødne (a) tekniske og (b) organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau. Foranstaltningerne skal gennemføres under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammensætning og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Databehandleren skal bl.a. tage kategorien af personoplysninger beskrevet i bilag 1 i betragtning ved fastlæggelsen af disse foranstaltninger.


4.1.2 Databehandleren skal uanset punkt 4.1.1 gennemføre de tekniske og organisatoriske sikkerhedsforanstaltninger til denne Databehandleraftale samt (b) aftale(r)n(e) om levering af Hovedydelserne.


4.1.3 Databehandleren garanterer overfor den Dataansvarlige, at Databehandleren garanterer at ville sikre personoplysningerne i overensstemmelse med den l enhver d gældende persondataretlige lovgivning og bekendtgørelser (sikkerhedsbekendtgørlsen off. myndigheder) samt gennemføre passende tekniske og organisatoriske foranstaltninger således en passende sikkerhed op- nås.


4.1.4 Dataansvarlige accepterer at Databehandleren anvender IT l behandling af personoplysninger.

4.1.5 Dataansvarlige accepterer, at Databehandleren anvender følgende programmer l behandling af personoplysninger:


4.2 Medarbejderforhold

4.2.1 Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.


4.2.2 Databehandleren skal sikre, at adgangen til personoplysningerne begrænses til de medarbejdere, for hvem det er nødvendigt at behandle personoplysninger for at kunne opfylde Databehandlerens forpligtelser over for den Dataansvarlige.


4.2.3 Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, kun behandler disse i overensstemmelse med Instruksen.


4.3 Dokumentation for overholdelse af forpligtelser

4.3.1 Databehandleren skal på skriftlig anmodning dokumentere overfor den Dataansvarlige, at Databehandleren:


a) overholder sine forpligtelser efter denne Databehandleraftale og Instruksen.


b) overholder bestemmelserne i den til enhver tid gældende persondataretlige regulering, for så vidt angår de personoplysninger, som behandles på den Dataansvarliges vegne.


4.3.2 Databehandlerens dokumentation heraf skal ske inden rimelig tid.


4.3.3 Det nærmere indhold af forpligtelserne under punkt 4.3.1 er beskrevet i bilag 2 til denne Databehandleraftale.


4.4 Sikkerhedsbrud

4.4.1 Databehandleren skal underrette den Dataansvarlige om brud på persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysningerne behandlet for den Dataansvarlige (”Sikkerhedsbrud”).


4.4.2 Sikkerhedsbrud skal meddeles til den Dataansvarlige uden unødig forsinkelse.


4.5 Bistand

4.5.1 Databehandleren skal i fornødent og rimeligt omfang bistå ved den Dataansvarliges opfyldelse af dennes forpligtelser ved behandling af personoplysningerne, der er omfattet af denne Databehandleraftale, herunder ved:


c) besvarelser til registrerede ved udøvelse af disses rettigheder,


d) Sikkerhedsbrud,


e) konsekvensanalyser, og


f) forudgående høringer fra tilsynsmyndighederne.

5. Underdatabehandlere


5.1 Databehandleren må kun gøre brug af en tredjepart til behandlingen af personoplysninger for den Dataansvarlige (”Underdatabehandler”) i det omfang dette fremgår af:


g) bilag 6 til denne Databehandleraftale, eller


h) Instruks fra den Dataansvarlige.


5.2 Databehandleren og Underdatabehandleren skal indgå en skriftlig aftale, som pålægger Underdatabehandleren de samme databeskyttelsesforpligtelser, som påhviler Databehandleren (herunder i medfør af denne Databehandleraftale).


5.3 Underdatabehandleren handler herudover ligeledes alene på Instruks fra den Dataansvarlige.


5.4 Databehandleren er direkte ansvarlig for Underdatabehandlerens behandling af personoplysninger på samme vis, som var behandling foretaget af Databehandleren selv.


6. Overførsel til tredjelande og internationale organisationer

6.1 Databehandleren må kun overføre personoplysninger til tredjelande eller internationale organisationer i det omfang dette fremgår af:


i) bilag 7 til denne Databehandleraftale, eller


j) Instruks fra den Dataansvarlige.


6.2 Overførsel af personoplysninger må i alle tilfælde kun ske i det omfang, det er tilladt ifølge den til enhver tid gældende persondataretlige regulering.


7. Databehandling udenfor instruksen


7.1 Databehandleren kan behandle personoplysninger udenfor Instruksen i tilfælde, hvor det kræves af EU-retten eller national ret, som Databehandleren er underlagt.


7.2 Ved behandling af personoplysninger udenfor Instruksen skal Databehandleren underrette den Dataansvarlige om årsagen hertil. Underretningen skal ske, inden behandlingen foretages og skal indeholde en henvisning til de retlige krav, der ligger til grund for behandlingen.


7.3 Underretning skal ikke ske, hvis underretning vil være i strid med EU retten eller den nationale ret.

8. Force Majeure


8.1 Reguleringen af force majeure i aftale(r)n(e) om levering af Hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf. I tilfælde af, at aftale(r)n(e) om levering af Hovedydelserne ikke tager stilling hertil, skal bestemmelserne i dette punkt 13 finde anvendelse på denne Databehandleraftale.


8.2 Databehandleren kan ikke gøres ansvarlig for forhold, der almindeligvis må betegnes som force majeure, herunder, men ikke begrænset til, krig, optøjer, terror, opstand, strejke, ildsvåde, naturkatastrofer, valutarestriktioner, import- eller eksportrestriktioner, afbrydelse af almindelig samfærdsel, afbrydelse af eller svigt i energiforsyningen, offentlige dataanlæg og kommunikationssystemer, længerevarende sygdom hos nøglemedarbejdere, virus samt indtrædelse af force majeure hos underleverandører.


8.3 Force majeure kan højst gøres gældende med det antal arbejdsdage, som force majeure-situationen varer.


9. Ophør


9.1 Opsigelse og ophævelse


9.1.1 Databehandleraftalen kan alene opsiges eller ophæves i overensstemmelse med bestemmelserne om opsigelse og ophævelse i aftale(r)n(e) om levering af Hovedydelserne.


9.1.2 Opsigelse eller ophævelse af denne Databehandleraftale kan alene ske ved – og berettiger til - samtidig opsigelse eller ophævelse af dele af aftale(r)n(e) om levering af Hovedydelserne, der vedrører behandling af personoplysninger i medfør af Databehandleraftalen.


9.2 Databehandleren og dennes Underdatabehandlere skal tilbagelevere alle personoplysninger, som Databehandleren har behandlet under denne Databehandleraftale, til den Dataansvarlige ved Databehandleraftalens ophør, i det omfang den Dataansvarlige ikke allerede er i besiddelse af personoplysningerne. Databehandleren er herefter forpligtet til at slette alle personoplysninger fra den Dataansvarlige. Den Dataansvarlige kan anmode om fornøden dokumentation for, at dette er sket.


10. Tvistløsning


10.1 Reguleringen af tvistløsning, inkl. lovvalg og værneting, i aftale(r)n(e) om levering af Hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf. I tilfælde af, at aftale(r)n(e) om levering af Hovedydelserne ikke tager stilling hertil, skal bestemmelserne i dette punkt 16 finde anvendelse på denne Databehandleraftale.


10.2 Databehandleraftalen er underlagt dansk ret med undtagelse af (a) regler, der fører til anvendelse af anden lov end dansk lov samt (b) FN konventionen om internationale løsørekøb (CISG).


Bilag 1 Hovedydelsen


1 HovedYdelsen


a. Hovedydelsen består af følgende: Levering af software til håndtering af partnerens forretningsdata herunder transaktioner samt tilhørende data.


2 Personoplysninger


a. Typer af personoplysninger, der behandles i sammenhæng med levering af Hovedydelsen:


b. Almindelige personoplysninger, herunder Navn, Telefonnummer og E-mail


c. Kategorien af registrerede identificerede eller identificerbare fysiske personer omfattet af Databehandleraftalen:


i. Den Dataansvarliges slutbrugere


ii. Den Dataansvarliges medarbejdere


Bilag 2


Dokumentation for overholdelse af forpligtelser


Som led i Databehandlerens demonstrering overfor den Dataansvarlige af overholdelse af sine forpligtelser efter punkt 4.3 i Databehandleraftalen skal nedenstående punkter udføres og overholdes.


11. Generel Dokumentation til den Dataansvarlige


11.1 Databehandleren er på skriftlig anmodning forpligtet til at fremsende følgende generelle dokumentation til den Dataansvarlige:


k) En erklæring fra Databehandlerens ledelse om, at Databehandleren under sin behandling af personoplysninger på den Dataansvarliges vegne løbende sikrer overholdelse af sine forpligtelser efter denne Databehandleraftale.


12. Audit

12.1 Databehandleren skal på skriftlig anmodning bidrage til og give adgang til audit.


12.2 Audit skal foretages af en uafhængig tredjepart valgt af den Dataansvarlige og godkendt af Databehandleren. Databehandleren kan ikke afvise en foreslået tredjepart uden rimelig begrundelse. Den uafhængige tredjepart skal tiltræde en sædvanlig fortrolighedserklæring overfor Databehandleren.


12.3 Anmodning om audit skal ske med mindst 60 dages varsel.


12.4 Databehandleren har krav på betaling efter medgået tid og forbrugte materialer for bistand i medfør af dette punkt 4, med mindre andet følger af bilag 4 eller punkt 9.2 i Databehandleraftalen.


13. Øvrigt


13.1 Overstående punkter skal ikke anses for udtømmende, og Databehandleren er derfor forpligtet til at foretage sådanne yderligere handlinger og tiltag, som er nødvendige for demonstration af Databehandlerens forpligtelse efter punkt 4 i Databehandleraftalen.


13.2 Databehandleren er ikke forpligtet til at følge en anmodning fra den Dataansvarlige i henhold til dette bilag 3 hvis anmodningen strider mod den persondataretlige regulering. Databehandleren skal underrette den Dataansvarlige i det omfang, det er Databehandlerens vurdering, at dette er tilfældet.


Bilag 3


Den Dataansvarliges forpligtelser


14. Forpligtelser


14.1 Den Dataansvarlige har følgende forpligtelser


l) At personoplysningerne er ajourførte


m) At kunde- og personale-data er lovlig indhentet


n) At sikre sig, at Instruksen er lovlig set i forhold til den til enhver tid gældende persondataretlige regulering


o) At Instruksen er hensigtsmæssig set i forhold til denne Databehandleraftale og Hovedydelsen.


Bilag 4 Underdatabehandlere

Den Dataansvarlige giver hermed sin godkendelse til, at Databehandleren anvender følgende Underdatabehandlere af vores IT-systemer. Underdatabehandlere kan få adgang til vores brugeres persondata idet man indgår en aftale med

Shopbox. De leverer services, vi vurderer er nødvendige for, at vi kan leve op til den aftale, du som bruger laver med Shopbox ved at blive bruger hos os.


Listen vil løbende blive opdateret ved eventuelle ændringer. Hvis der bliver tilføjet en underleverandør, vil alle brugere ligeledes blive varslet.


Leverandør

Lokation/ Land

Lovligt grundlag for processering udenfor EU

Funktion

Opdateret

Amazon

Irland


Hosting

1/8/2021

Facebook

Irland


Monitorering, markedsføring og statistik

1/8/2021

Google

Irland


Monitorering, markedsføring og statistik

1/8/2021

Intercom

USA

EU-US Privacy Shield

Kundeservice

1/8/2021

E-conomic

Danmark


Fakturering

1/8/2021

Relatel

Danmark


Kundeservice

1/8/2021

Upodi

Danmark


Fakturering

1/8/2021

Apple (Itunes Connect)

USA

EU-US Privacy Shield

Monitorering

1/8/2021

Microstoft (Store)

USA

EU-US Privacy Shield

Monitorering

1/8/2021






Mixpanel, Inc

USA

EU-US Privacy Shield

Statistik og udvikling

1/8/2021

MongoDB, Inc

EU (Holland, Irland)


Hosting

1/8/2021

Xamarin Insights

USA

EU-US Privacy Shield

Monitorering

1/8/2021

Mandril

USA

EU-US Privacy Shield

Email service

1/8/2021

Mailchimp

USA

EU-US Privacy Shield

Email service

1/8/2021


Bilag 7


Overførsel til tredjeland og internationalorganisation


15. Generelt


15.1 Den Dataansvarlige giver hermed sin godkendelse til, at Databehandleren overfører personoplysninger til følgende sikre tredjelande:


p) Egypten


q) Databasen håndteres Af Amazon, men udviklere ansat af Shopbox og bosiddende i Egypten kan få adgang til data for at løse eventuelle tekniske problemer med de ydelser der leveres til kunden


Document Metadata

Filed: September 13th, 2021