DATABEHANDLERAFTALE

DATABEHANDLERAFTALE

Mellem

CalcuEasy ApS

Østre Alle 104, 4. sal

9000 Aalborg

CVR: 36494514

(Herefter ”Databehandleren”) og

[Navn]

CVR [CVR-nummer]

[Adresse]

[Postnummer og by]

[evt. Land]

(Herefter ”den Dataansvarlige”)

1 BAGGRUND OG FORMÅL

1. Denne databehandleraftale er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplys- ninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.

2. Denne databehandleraftale skal regulere Databehandlerens behandling af per- sonoplysninger, som sker med henblik på opfyldelse af de mellem parterne indgående aftaler, som er oplistet i Bilag A (herefter ”Oplysninger om behand- lingen”.

3. Databehandlerens behandling af personoplysninger må udelukkende ske i hen- hold til de i Bilag A anførte formål og instrukser.

4. Denne databehandleraftale har forrang i forhold til eventuelle tilsvarende be- stemmelser i andre aftaler mellem parterne, herunder de aftaler, som fremgår af Bilag A.

5. Databehandleraftalens Bilag A indeholder nærmere oplysninger om behandlin- gen, herunder om behandlingens formål og karakter, typen af personoplysnin- ger, kategorierne af registrerede og varighed af behandlingen.

2 DEN DATAANSVARLIGES FORPLIGTELSER OG RETTIGHEDER

1. Den dataansvarlige har som udgangspunkt ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af Databeskyttelsesforordningen og de, af de enkelte EU-medlemsstater vedtagne, udfyldende regler. Den dataan- svarlige har derfor både rettighederne og forpligtelserne til at træffe beslutnin- ger om, til hvilke formål og med hvilke hjælpemidler der må foretages behand- ling.

3 DATABEHANDLEREN HANDLER EFTER INSTRUKS

1. Databehandleren må kun behandle personoplysninger efter dokumenteret in- struks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt. Instruksen følger af de mellem parterne indgåede aftaler jf. Bilag A.

2. Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med databeskyttelsesforordningen el- ler databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nati- onale ret.

4 FORTROLIGHED

1. Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den dataan- svarlige. Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autori- sationen fratages eller udløber.

2. Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde databehandlerens forpligtelser overfor den dataansvarlige jf. de i Bilag A anførte aftaler.

3. Databehandleren sikrer, at de personer, der er autoriseret til at behandle per- sonoplysninger på vegne af den dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de relevante medar- bejdere er underlagt ovennævnte tavshedspligt.

5 BEHANDLINGSSIKKERHED

1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32.

2. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etable- ring af yderligere sikkerhedsforanstaltninger vil fremgå af parternes aftale om en konkret ydelse eller service.

6 ANVENDELSE AF UNDERDATABEHANDLERE

1. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttel- sesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden databe- handler (underdatabehandler).

2. Databehandleren må således ikke gøre brug af en anden databehandler (un- derdatabehandler) til opfyldelse af databehandleraftalen uden forudgående ge- nerel skriftlig godkendelse fra den dataansvarlige. Ved samtykke af nærværen- de aftale godkendes de underdatabehandlere, som er oplistet i Bilag A.

3. I tilfælde af samtykke skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsi- gelse mod sådanne ændringer.

4. Databehandleren forpligter sig til at sikre, at alle underdatabehandlere, som Databehandleren anvender, pålægges de samme databeskyttelsesforpligtelser som dem, der er fastsat i denne databehandleraftale. Hvis underdatabehandle- ren ikke opfylder de databeskyttelsesforpligtelser som følger af den til enhver tid gældende persondatalovgivning, forbliver databehandleren fuldt ansvarlig

over for den dataansvarlige for opfyldelsen af underdatabehandlerens forplig- telser.

5. Underdatabehandleraftalen skal fremsendes til den Dataansvarlige på dennes forlangende, dog med undtagelse af rent kommercielle forhold mellem Databe- handleren og underdatabehandleren, som ikke vedrører de databeskyttelses- mæssige forpligtelser.

6. Såfremt den Dataansvarlige måtte ønske at instruere underdatabehandlere di- rekte, bør dette alene ske efter drøftelse med og via Databehandleren. Hvis den Dataansvarlige afgiver instruks direkte overfor underdatabehandlere, skal den Dataansvarlige senest samtidig underrette Databehandleren om instruksen og baggrunden for denne.

7. Hvor den Dataansvarlige instruerer underdatabehandlere direkte, a) er Data- behandleren fritaget for ethvert ansvar, og enhver følge af sådan instruks er alene den Dataansvarliges ansvar, b) hæfter den Dataansvarlige for enhver omkostning, som instruksen måtte medføre for Databehandleren, herunder er Databehandleren berettiget til at fakturere den Dataansvarlige med sin sæd- vanlige time-takst for al arbejdstid, som en sådan direkte instruks måtte med- føre for Databehandleren og c) den Dataansvarlige er selv ansvarlig overfor underdatabehandlere for enhver omkostning, vederlag eller anden betaling til underdatabehandleren, som den direkte instruks måtte medføre.

7 OVERFØRSEL AF OPLYSNINGER TIL TREDJELANDE ELLER INTERNATIO- NALE ORGANISATIONER

1. Databehandleren overfører ikke personoplysninger til tredjelande eller interna- tionale organisationer.

2. Såfremt det skulle blive nødvendigt at overføre personoplysninger til tredjelan- de eller internationale organisationer, skal der indgås særskilt aftale herom mellem parterne.

8 BISTAND TIL DEN DATAANSVARLIGE

1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besva- re anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.

2. Databehandleren bistår den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, jf. art 28, stk. 3, litra f.

3. Databehandleren skal så vidt muligt bistå den Dataansvarlige med opfyldelse af den Dataansvarliges forpligtelser til at besvare anmodninger om udøvelse af de registreredes rettigheder i henhold til Persondataforordningens kapitel III, her- under om indsigt, berigtigelse, begrænsning eller sletning, hvis de relevante personoplysninger behandles af Databehandleren. Modtager Databehandleren sådan henvendelse fra den registrerede, orienterer Databehandleren den Data- ansvarlige herom snarest muligt. Den Dataansvarlige hæfter for alle Databe- handlerens omkostninger ved sådan bistand, herunder til under- databehandleren. Databehandlerens bistand afregnes til Databehandlerens til enhver tid gældende timetakst for sådant arbejde.

9 UNDERRETNING OM BRUD PÅ PERSONDATASIKKERHEDEN

1. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos databehandleren eller en eventuel underdatabehandler.

Databehandlerens underretning til den dataansvarlige skal om muligt ske se- nest 36 timer efter at denne er blevet bekendt med bruddet, sådan at den da- taansvarlige har mulighed for at efterleve sin eventuelle forpligtelse til at an- melde bruddet til tilsynsmyndigheden indenfor 72 timer.

2. I overensstemmelse med denne aftales afsnit 10.2., litra b, skal databehandle- ren - under hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for denne – bistå den dataansvarlige med at foretage anmeldelse af bruddet til tilsynsmyndigheden, ved at tilvejebringe nedenstående oplysnin- ger:

1. Karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af person- oplysninger

2. Sandsynlige konsekvenser af bruddet på persondatasikkerheden

3. Foranstaltninger, som er truffet eller foreslås truffet for at håndtere bruddet på persondatasikkerheden, herunder hvis det er relevant, for- anstaltninger for at begrænse dets mulige skadevirkninger

10 SLETNING OG TILBAGELEVERING AF OPLYSNINGER

1. Ved ophør af tjenesterne vedrørende behandling forpligtes databehandleren til, efter den dataansvarliges valg, at slette eller tilbagelevere alle personoplysnin- ger til den dataansvarlige, samt at slette eksisterende kopier, medmindre EU- retten eller national ret tillader opbevaring af personoplysningerne.

11 TILSYN OG REVISION

1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise data- behandlerens overholdelse af databeskyttelsesforordningens artikel 28 og den- ne aftale, til rådighed for den dataansvarlige og giver mulighed for og bidrager

til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.

2. Databehandleren lader én gang årligt den Dataansvarlige foretage en revision af databehandleren med henblik på at dokumentere at denne overholder sine forpligtelser efter artikel 28 og denne aftale. Databehandleren stiller i denne forbindelse den nødvendige dokumentation til rådighed, og giver den dataan- svarlige adgang til sagligt relevante fysiske lokationer i forbindelse med revisi- onen.

3. Såfremt den Dataansvarlige ønsker at få udarbejdet en sikkerhedsrevisionsrap- port udover det i pkt. 11.2 omtalte, eller at der i øvrigt foretages tilsyn af Da- tabehandlerens eller underdatabehandlerens persondatabehandling, herunder såfremt den Dataansvarlige ønsker sikkerhedsrevisionsrapport udarbejdet på et nærmere bestemt tidspunkt, aftales dette nærmere - også hvor der er tale om tilsyn i forhold til underdatabehandlere - med Databehandleren.

4. Den Dataansvarlige afholder alle omkostninger i forbindelse hermed, herunder til underdatabehandlere. Databehandleren er berettiget til at kræve at sådant tilsyn hos Databehandleren eller underdatabehandlere alene foretages af en alment anerkendt og uafhængig tredjepart, som beskæftiger sig med sådanne forhold, og som er underlagt fortrolighed omkring alle relevante forhold, som der måtte opnås kendskab til i forbindelse med tilsynet, herunder personoplys- ninger.

5. Databehandleren er forpligtet til at give myndigheder, der efter den til enhver tid gældende lovgivning har adgang til den dataansvarliges og databehandle- rens faciliteter, eller repræsentanter, der optræder på myndighedens vegne, adgang til databehandlerens fysiske faciliteter mod behørig legitimation.

12 IKRAFTTRÆDEN OG OPHØR

1. Aftalen træder i kraft ved Databehandlerens samtykke og er gældende frem til de i Bilag A omfattede tjenesteydelser og leverancer opsiges eller ophæves i overensstemmelse med bestemmelserne om opsigelse eller ophævelse i afta- lerne om levering af de pågældende tjenesteydelser og leverancer.

2. Aftalen kan af begge parter kræves genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i aftalen giver anledning hertil.

3. Parternes eventuelle regulering/aftale om vederlæggelse, betingelser eller lig- nende i forbindelse med ændringer af denne aftale vil fremgå af partners øvrige aftaler, som er oplistet i bilag A.

4. Opsigelse af databehandleraftalen kan ske i henhold til de opsigelsesvilkår, inkl. opsigelsesvarsel, som fremgår af de mellem parterne indgåede aftaler i Bi- lag A.

5. Aftalen er gældende, så længe behandlingen består. Uanset ”hovedaftalens” og/eller databehandleraftalens opsigelse, vil databehandleraftalen forblive i kraft frem til behandlingens ophør og oplysningernes sletning hos databehand- leren og eventuelle underdatabehandlere.

13 UNDERSKRIFTER

På vegne af Databehandleren

INDSÆT

Bilag A AFTALE OM BEHANDLINGEN AF OPLYSNINGER

Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvar- lige er:

- at den dataansvarlige kan anvende CalcuEasy, som ejes og administreres af databehand- leren, til at indsamle og behandle oplysninger om den dataansvarliges medlemmer.

Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig primært om (karakteren af behandlingen):

- at databehandleren stiller CalcuEasy til rådighed for den dataansvarlige og herigennem opbevarer personoplysninger om den dataansvarliges medlemmer på virksomhedens ser- vere.

Behandlingen omfatter følgende typer af personoplysninger om de registrerede:

- Navn, e-mailadresse, telefonnummer, cvr-nummer, virksomhedsadresse, faktura e-mail, kundenummer, type af kunde.

Behandlingen omfatter følgende kategorier af registrerede:

- Personer, som har eller har haft et abonnement hos databehandleren.

- Personer, som har en gratis bruger (max. 14 dage) hos databehandleren.

3. Parter/sub-processor/Underdatabehandlere:

Her findes en opdateret liste over alle de 3. parts applikationer og virksomheder CalcuEasy an- vender ifm. servicering af kunden.

Listen opdateres løbende, som nye 3. parter tilgår. Alle 3. parter har indgået databehandlerafta- ler, som afgrænser 3. partens brug.

Vi sælger aldrig data til 3. parter, og 3. parter har kun lov til at behandle dataen under vores speci- fikke instrukser.

Alle 3. parter anvendes som led i at eksekvere vores opgaver for kunderne, og er nødvendige par- ter i eksekveringen heraf.

- Podio

- Google (G Suite)

- Dropbox

- Intercom

- Microsoft Office

- Slack

- Amazon Web Services

- Digital Ocean

- Facebook

- Google Analytics

- Youtube

- LinkedIn

- GitHub

- Semrush

- Laravel Forge

- Wootric

- Hotjar

- Sentry

- Cloudways

- Sendgrid

- Dansk Cater, herunder: AB Catering, BC Catering og inco

Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan påbe- gyndes efter denne aftales ikrafttræden. Behandlingen har følgende varighed:

- Behandlingen er ikke tidsbegrænset og varer indtil aftalen opsiges eller ophæves af en af parterne.