Databehandleraftale

1. Som led i den Dataansvarliges indgåelse af aftale om levering af produkter og ydelser i kontrakten, foretager Databehandleren behandling af personoplysninger, som den Data- ansvarlige er ansvarlig for.

2. 1.2 Databehandleren skal overholde Persondataloven (lov nr. 421 af 31. maj 2000 med senere ændringer) med tilhørende bekendtgørelser.

3. 1.3 Databehandleren skal fra 25. maj 2018 i stedet for Persondataloven overholde Per- sondataforordningen (Europa- Parlamentets og Rådets forordning 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysnin- ger og om fri udveksling af sådanne oplysninger) med tilhørende retsakter samt heraf af- ledt national lovgivning.

4. 1.4 Det er et krav i såvel Persondataloven som Persondataforordningen, at der mellem den dataansvarlige og databehandleren indgås skriftlig aftale om den behandling, som skal foretages; en såkaldt ’databehandleraftale’. Denne aftale udgør en sådan databe- handleraftale.

3 Den dataansvarliges forpligtelser og rettigheder ‌

1. Den dataansvarlige har overfor omverdenen (herunder den registrerede) som udgangs- punkt ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af da- tabeskyttelsesforordningen og databeskyttelsesloven.

2. Den dataansvarlige har derfor både rettighederne og forpligtelserne til at træffe beslut- ninger om, til hvilke formål og med hvilke hjælpemidler der må foretages behandling.

3. Den dataansvarlige er blandt andet ansvarlig for, at der foreligger hjemmel til den be- handling, som databehandleren instrueres i at foretage.

4 Aftalens genstand ‌

1. Behandlingen vedrører:

Webshop platform Hosting

E-mail service (når tilvalgt) Markedsføring (når tilvalgt)

2. Behandlingens varighed følger hovedkontrakten

3. Behandlingen består i indsamling

4. Behandlingen omfatter kontaktoplysninger

5. Der behandles personoplysninger om kunder

5 Databehandleren handler efter instruks ‌

1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren

den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.

2. Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter data- behandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelses- bestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

6 Fortrolighed ‌

1. Databehandleren skal holde personoplysningerne fortrolige.

2. Databehandleren må ikke formidle personoplysningerne til tredjemand eller tage kopi af personoplysningerne, medmindre dette er nødvendigt til varetagelse af Databehandle- rens forpligtelser over for Den dataansvarlige, forudsat at den, til hvem personoplysnin- gerne overlades, er bekendt med oplysningernes fortrolige karakter og har indvilget i at holde personoplysningerne fortrolige i overensstemmelse med Aftalen, eller dette følger af en lovbestemt pligt for Databehandleren.

3. Databehandleren skal begrænse adgangen til personoplysningerne til de medarbejdere, for hvem det er nødvendigt at have adgang til personoplysninger for at kunne opfylde Da- tabehandlerens forpligtelser over for Den dataansvarlige.

4. Databehandlerens forpligtelser efter nærværende punkt 5 består uden tidsbegrænsning, og uanset om Parternes samarbejde i øvrigt måtte være ophørt.

5. Den dataansvarlige skal behandle fortrolige oplysninger, som modtages fra Databehand- leren, fortroligt, og må ikke uberettiget udnytte eller videregive de fortrolige oplysninger.

6. Fortrolighedsforpligtelsen gælder dog ikke for information, som er eller bliver offentlig til- gængelig, uden dette skyldes brud på en parts fortrolighedsforpligtelse eller information, som allerede er i den modtagende parts besiddelse uden tilsvarende fortrolighedsforplig- telse eller information, som selvstændigt er udviklet af den modtagende part.

7 Behandlingssikkerhed ‌

1. Databehandleren gennemfører de nødvendige tekniske og organisatoriske foranstaltnin- ger for at sikre databeskyttelse i overensstemmelse med Databeskyttelseslovgivningen og i overensstemmelse med GDPR artikel 32.

2. Databehandleren sikrer, at adgangen til Personoplysningerne begrænses til de medarbej- dere, for hvem det er nødvendigt at behandle personoplysninger for at kunne opfylde Da- tabehandlerens forpligtelser over for den Dataansvarlige.

3. Databehandleren sikrer ligeledes, at medarbejdere, der behandler Personoplysningerne for Databehandleren, kun behandler disse i overensstemmelse med Instruksen.

8 Anvendelse af underdatabehandlere ‌

1. Databehandleren må gøre brug af underdatabehandlere. På tidspunktet for indgåelsen af Aftalen anvender Databehandleren de i Appendiks 1 anførte underdatabehandlere. Data- behandleren skal skriftligt underrette Den dataansvarlige om eventuelle planlagte æn- dringer vedrørende tilføjelse eller erstatning af underdatabehandlere senest 2 måneder inden ændringen træder i kraft, hvorefter Den dataansvarlige inden 2 uger fra afgivelsen af meddelelsen om ændringen uden begrundelse kan nægte brugen af den nye underda- tabehandler, i hvilket tilfælde Databehandleren er berettiget til at opsige alle aftaler med Den dataansvarlige, i henhold til hvilke Databehandleren behandler personoplysninger for Den dataansvarlige, med 1 måneds varsel. Ved ophør af brugen af en underdatabehand- ler, skal Databehandleren give Den dataansvarlige skriftlig meddelelse herom.

2. Databehandleren skal forinden brug af en underdatabehandler indgå en skriftlig aftale med underdatabehandleren, hvori underdatabehandleren som minimum pålægges for- pligtelser svarende til de som Databehandleren har påtaget sig ved Aftalen, herunder plig- ten til at gennemføre passende tekniske og organisatoriske foranstaltninger til sikring af, at behandlingen opfylder kravene i Persondataforordningen.

3. Den dataansvarlige har ret til at få udleveret en kopi af de dele af Databehandlerens afta- le med en underdatabehandler, som vedrører databeskyttelsesforpligtelser, som er obli- gatoriske i henhold til punkt 7.2. Databehandleren hæfter over for Den dataansvarlige for underdatabehandlerens opfyldelse af sine databeskyttelsesforpligtelser. Det forhold, at Den dataansvarlige har meddelt samtykke til Databehandlerens aftaleindgåelse med en underdatabehandler er uden præjudice for Databehandlerens pligt til at efterleve Aftalen.

9 Overførsel af oplysninger til tredjelande eller internationale organisati- oner ‌

1. Databehandleren må kun overføre personoplysninger til tredjelande eller internationale organisationer i det omfang dette fremgår af:

a) Appendiks 1 til denne Databehandleraftale, eller

b) Instruks fra den Dataansvarlige.

2. Overførsel af personoplysninger må i alle tilfælde kun ske i det omfang, det er tilladt ifølge den til enhver tid gældende persondataretlige regulering.

10 Bistand til den dataansvarlige ‌

1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.

Dette indebærer, at databehandleren så vidt muligt skal bistå den dataansvarlige i forbin- delse med, at den dataansvarlige skal sikre overholdelsen af:

a. oplysningspligten ved indsamling af personoplysninger hos den registrerede

b. oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede

c. den registreredes indsigtsret

d. retten til berigtigelse

e. retten til sletning (»retten til at blive glemt«)

f. retten til begrænsning af behandling

g. underretningspligt i forbindelse med berigtigelse eller sletning af personoplysnin- ger eller begrænsning af behandling

h. retten til dataportabilitet

i. retten til indsigelse

j. retten til at gøre indsigelse mod resultatet af automatiske individuelle afgørelser, herunder profilering

2. Databehandleren bistår den dataansvarlige med at sikre overholdelse af den dataansvar- liges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensyns- tagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandle- ren, jf. art 28, stk. 3, litra f.

Dette indebærer, at databehandleren under hensynstagen til behandlingens karakter skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:

a. forpligtelsen til at gennemføre passende tekniske og organisatoriske foranstaltnin- ger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen

b. forpligtelsen til at anmelde brud på persondatasikkerheden til tilsynsmyndigheden (Datatilsynet) uden unødig forsinkelse og om muligt senest 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.

c. forpligtelsen til – uden unødig forsinkelse – at underrette den/de registrerede om brud på persondatasikkerheden, når et sådant brud sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder

d. forpligtelsen til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, hvis en type behandling sandsynligvis vil indebære en høj risiko for fysiske perso- ners rettigheder og frihedsrettigheder

e. forpligtelsen til at høre tilsynsmyndigheden (Datatilsynet) inden behandling, så- fremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen

vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen

3. Bistand til den dataansvarlige kan blive faktureret efter den til enhver tid gældende time- pris.

11 Underretning om brud på persondatasikkerheden ‌

1. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos databehandle- ren eller en eventuel underdatabehandler.

2. Sikkerhedsbrud skal meddeles til den Dataansvarlige uden unødig forsinkelse.

12 Tilsyn og revision ‌

1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise databehandle- rens overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til rådig- hed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder in- spektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.

2. Databehandleren giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataan- svarlige.

3. Databehandleren underretter omgående den Dataansvarlige, hvis en instruks vedrørende Punkt 12.1 efter Databehandlerens mening er i strid med Databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU ret eller medlemsstaternes nationale ret.

13 Ikrafttræden og ophør ‌

1. Denne aftale træder i kraft på samme tidspunkt, som hovedaftalen og er gældende indtil hovedaftalen ophører.

2. Hver Part kan opsige Aftalen efter samme vilkår, som er gældende hovedaftalen.

3. Uanset Aftalens formelle aftaleperiode skal Aftalen vedblive at gælde, så længe Data- behandleren behandler personoplysninger for Den dataansvarlige, som Den dataan- svarlige er dataansvarlig for, dog alene for de personoplysninger som til enhver tid behandles for Den dataansvarlige af Databehandleren.

4. I tilfælde af ophør af Aftalen er Databehandleren forpligtet til efter anmodning loyalt at medvirke til, at databehandlingen overgår til en anden leverandør eller tilbageføres til Den dataansvarlige.

5. Databehandleren skal efter anmodning fra Den dataansvarlige og ved ophør af aftalen overføre personoplysninger, som Databehandleren behandler og/eller har behandlet

for Den dataansvarlige, til Den dataansvarlige eller slette disse, medmindre EU-retten eller lovgivningen i en medlemsstat foreskriver opbevaring af personoplysningerne.

14 Meddelelser ‌

1. I det tilfælde en Part i henhold til Xxxxxxx skal afgive skriftlig meddelelse til den anden Part, kan denne pligt opfyldes ved at afsende en e-mail til den anden Parts senest oplyste e-mailadresse. Databehandleren kan ligeledes opfylde sin pligt til at afgive skriftlig med- delelse ved at udsende nyheder direkte i systemet.

Appendiks 1: Godkendte underdatabehandlere ‌

Den dataansvarlige har ved databehandleraftalens ikrafttræden godkendt anvendelsen af følgen- de underdatabehandlere:

Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen : Hosting

Den dataansvarlige har ved databehandleraftalens ikrafttræden specifikt godkendt anvendelsen af ovennævnte underdatabehandlere til netop den behandling, som er beskrevet ud for parten. Databehandleren kan ikke – uden den dataansvarliges specifikke og skriftlige godkendelse – an- vende den enkelte underdatabehandler til en ”anden” behandling end aftalt eller lade en anden underdatabehandler foretage den beskrevne behandling.

Document Metadata

Table of Contents

Databehandleraftale

Document Metadata