Indledning
Indledning
1.1. Denne aftale vedrørende behandling af personoplysninger (”Databehandleraftalen”) regulerer Pensopay APS CVR-nr. 36410876 (databehandleren) og Kunden (den ”Dataansvarlige”) og er et bilag til de generelle betingelser. Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".
1.2. Den Dataansvarlige og Databehandleren har indgået en aftale vedr en betalingsløsning indeholdende beta- lingsgateway og indløsning (“Aftalen").
1.3. Som led i Databehandlerens levering af Ydelserne (som defineret nedenfor) til den Dataansvarlige i henhold til Aftalen, skal Databehandleren behandle personoplysninger på vegne af den Dataansvarlige.
1.4. Gældende Databeskyttelseslovgivning (som defineret nedenfor) kræver, at der mellem en dataansvarlig og en databehandler, der behandler personoplysninger på vegne af den dataansvarlige, indgås en skriftlig kontrakt, som fastlægger omfanget af og kravene til den pågældende behandling. Parterne har derfor indgået denne Databehandleraftale (som defineret nedenfor).
2. Definitioner
2.1. De termer, der er defineret i Aftalen, skal have samme betydning i denne Databehandleraftale, medmindre andet udtrykkeligt fremgår heraf.
2.2. Medmindre andet fremgår af sammenhængen, har følgende termer følgende betydning:
1. "Aftalen" har den i pkt. 1.1 anførte betydning.
2. "Databehandleraftale" betyder denne aftale om behandling af personoplysninger, inklusiv bilag.
3. "Databeskyttelseslovgivning" betyder alle de love og regler, som finder anvendelse for behandling og beskyttelse af personoplysninger overalt i det Europæiske Økonomiske Samarbejdsområde (EØS) med de til enhver tid gældende ændringer og/eller tilføjelser, herunder direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, Persondataloven (som defineret nedenfor), Forordning om Databeskyttelse (som defineret nedenfor) og, hvor relevant, de retningslinjer og regelsæt, der udstedes af EØS og/eller andre relevante nationale myndigheder i EØS (herunder de nationale datatilsyn).
4. "Forordning om Databeskyttelse" betyder "Europa-Parlamentets og Rådets forordning (EU) nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)" med de til enhver
tid gældende ændringer og/eller tilføjelser.
5. "Persondataloven" betyder lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med de til enhver tid gældende ændringer og/eller tilføjelser.
6. "Ydelserne" betyder de tjenesteydelser og leverancer, som Databehandleren som leverandør leverer til den Dataansvarlige som kunde i henhold til Aftalen.
2.3. Begreberne "personoplysninger", "særlige kategorier af personoplysninger", "behandling", "dataansvarlig", "databehandler", "registrerede", "tilsynsmyndighed", "pseudonymisering", "tekniske og organisatoriske foran- staltninger" og "brud på persondatasikkerheden" skal i denne Databehandleraftale forstås i overensstemmelse med gældende Databeskyttelseslovgivning, herunder Forordning om Databeskyttelse.
3. Behandling af personoplysninger
3.1. Databehandleren skal behandle personoplysninger på vegne af den Dataansvarlige i overensstemmelse med gældende Databeskyttelseslovgivning.
3.2. De personoplysninger, der behandles af Databehandleren, samt kategorierne af registrerede er beskrevet i bilag 1 til denne Databehandleraftale.
3.3. Den Dataansvarlige fastlægger til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af Databehandleren. Databehandleren må kun behandle personoplysningerne på vegne af den Dataansvarlige og handler alene efter dokumenteret instruks fra den Dataansvarlige.
3.4. Databehandleren skal sikre, at de personer, som er involveret i behandlingen af personoplysninger, enten har forpligtet sig til fortrolighed eller er underlagt en behørig lovbestemt tavshedspligt.
3.5. Databehandleren skal træffe de fornødne foranstaltninger til at sikre, at enhver person, der udfører arbejde for Databehandleren, og som har adgang til personoplysningerne, kun behandler disse personoplysninger efter instruks fra den Dataansvarlige.
3.6. Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige oplysninger til, at den Dataansvarlige kan påse, at kravene i den gældende Databeskyttelseslovgivning overholdes. Databe- handleren skal endvidere give tilladelse og bidrage til eventuelle revisioner, herunder inspektioner, der foreta- ges af den Dataansvarlige eller en revisor, som er bemyndiget hertil af den Dataansvarlige.
3.7. Databehandleren skal straks underrette den Dataansvarlige, hvis Databehandleren mener, at en anmodning i henhold til 1. led i punkt 3.6 ovenfor er i strid med gældende Databeskyttelseslovgivning.
3.8 Databehandleren skal så vidt muligt bistå den Dataansvarlige med opfyldelse af den Dataansvarliges forpligtel- ser til at besvare anmodninger om udøvelse af de registreredes rettigheder, herunder om indsigt, berigtigelse, begrænsning eller sletning, hvis de relevante personoplysninger behandles af Databehandleren. Modtager Databehandleren sådan henvendelse fra den registrerede, orienterer Databehandleren den Dataansvarlige her- om.
3.9 Den Dataansvarlige hæfter for alle Databehandlerens omkostninger ved sådan bistand, jf. pkt. 3.8, herunder til underdatabehandlere. Databehandlerens bistand afregnes til Databehandlerens til enhver tid gældende time- takst for sådant arbejde.
4. Behandlinger uden instruks
Uanset bestemmelserne i denne Aftale, har Databehandleren ret til at behandle personoplysninger uden in- struks fra den Dataansvarlige, såfremt og i det omfang det kræves i henhold til øvrig EU-ret og/eller medlems- staternes nationale ret. I så fald skal Databehandleren dog først, i det omfang det er lovligt, underrette den Dataansvarlige om et sådant pålæg og, i det omfang det er muligt, give den Dataansvarlige mulighed for at gøre indsigelser herimod.
5. Sikkerhedsforanstaltninger
5.1. Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende be- handlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, skal Databehandleren træffe de fornødne tekniske og organisatoriske foranstaltninger til at sikre et sikkerhedsniveau, der passer til disse risici.
5.2. Ved vurderingen af, hvilket sikkerhedsniveau der er passende, skal Databehandleren navnlig tage hensyn til de risici, der er forbundet med behandlingen, herunder men ikke begrænset til risiciene for hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmit- teret, opbevaret eller på anden måde behandlet.
5.3. Databehandleren skal ligeledes opfylde eventuelle sikkerhedskrav, der påhviler Databehandleren i henhold til gældende Databeskyttelseslovgivning, herunder gældende sikkerhedskrav i det land, hvori Databehandleren er etableret.
5.4. Databehandleren skal ved hjælp af passende tekniske og organisatoriske foranstaltninger bistå den Data- ansvarlige med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder i henhold til gældende Databeskyttelseslovgivning.
5.5. Databehandleren skal uden unødig forsinkelse underrette den Dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden. Endvidere skal Databehandleren bistå den Dataansvarlige med at sikre overholdelse af den Dataansvarliges forpligtelser til at (i) dokumentere alle brud på persondata- sikkerheden, (ii) anmelde eventuelle brud på persondatasikkerheden til de(n) kompetente tilsynsmyndighed(er) og (iii) underrette de registrerede om sådanne brud på persondatasikkerheden, det hele i overensstemmelse med artikel 33 og 34 i Forordning om Databeskyttelse.
6. Underdatabehandling
6.1. Databehandleren må generelt gøre brug af tredjeparter til behandlingen af Personoplysningerne for den Data- ansvarlige (”Underdatabehandler”), i det omfang Databehandleren giver meddelelse herom til den Dataansvarli- ge for hver Underdatabehandler, før behandlingen påbegyndes af Underdatabehandleren, således at den Data- ansvarlige har mulighed for at gøre saglig indsigelse over for Databehandlerens valg af Underdatabehandler. Hvis den Dataansvarlige ønsker at gøre indsigelser herimod, skal den Dataansvarlige give skriftlig meddelelse herom inden for ti (10) kalenderdage efter modtagelse af Databehandlerens meddelelse om tilføjelsen eller ændringen af en Underdatabehandler. Manglende indsigelse fra den Dataansvarlige vil blive anset for et stil- tiende samtykke til underdatabehandlingen.
6.2. Databehandleren skal indgå skriftlig aftale med eventuelle Underdatabehandlere, som pålægger Underdatabe- handlerne de samme databeskyttelsesforpligtelser, som påhviler Databehandleren, herunder i medfør af denne Databehandleraftale. Databehandleren skal ligeledes føre løbende kontrol med sine Underdatabehandlere, og dokumentation herfor skal kunne forevises den Dataansvarlige.
6.3. Databehandleren er direkte ansvarlig for Underdatabehandlerens behandling af personoplysninger på samme vis, som var behandling foretaget af Databehandleren selv.
6.4. Databehandleren benytter på tidspunktet for indgåelsen af Databehandleraftalen de Underdatabehandlere, der fremgår af underbilag B. Ved Databehandlerens benyttelse af nye Underdatabehandlere, skal disse tilføjes i underbilag B.
7. Overførsel af personoplysninger til et tredjeland eller en international organisation
Databehandleren må ikke overføre personoplysninger uden for EØS eller tilgå personoplysninger uden for EØS uden forudgående skriftligt samtykke fra den Dataansvarlige. Såfremt den Dataansvarlige giver et sådant samtykke, er Databehandleren forpligtet til at sikre sig, at (i) en sådan overførsel er lovlig, herunder at der er et tilstrækkeligt beskyttelsesniveau for overførslen af personoplysninger, f.eks. ved indgåelse af standardkon- traktbestemmelserne for overførsel af personoplysninger til databehandlere, der er etableret i lande uden for EØS, i henhold til Kommissionens beslutning af 5. februar 2010 (eller en eventuel senere beslutning, der erstat- ter den tidligere) mellem på den ene side den Dataansvarlige og på den anden side Databehandleren og alle eventuelle underdatabehandlere, (ii) alle nødvendige godkendelser er indhentet, samt (iii) alle nødvendige med- delelser vedrørende den pågældende overførsel er blevet givet til den relevante tilsynsmyndighed.
8. Databehandlerens generelle forpligtelser
8.1. Databehandleren skal anvende og overholde gældende Databeskyttelseslovgivning og må ikke udføre sine forpligtelser i henhold til Aftalen på en måde, som kan medvirke til at den Dataansvarlige misligholder sine forpligtelser i henhold til gældende Databeskyttelseslovgivning, herunder ved f.eks. uden forudgående varsel at introducere nye teknologier, som ville have forpligtiget den Dataansvarlige til at foretage en konsekvensanaly- se i henhold til artikel 35 (Konsekvensanalyser vedrørende databeskyttelse) i Forordning om Databeskyttelse og, hvor relevant, forudgående høring af den tilsynsførende myndighed i henhold til artikel 36 (Forudgående høring) i Forordning om Databeskyttelse forud for behandlingen.
8.2. Databehandleren garanterer endvidere, at denne vil bistå den Dataansvarlige med at overholde den Data- ansvarliges forpligtelser i henhold til gældende Databeskyttelseslovgivning, herunder i forhold til artikel 35 (Konsekvensanalyser vedrørende databeskyttelse) og artikel 36 (Forudgående høring) i Forordning om Databe- skyttelse.
8.3. Databehandleren skal, og skal sikre at dennes underdatabehandlere, på en åben og konstruktiv måde samar- bejde(r) med den Dataansvarlige, den Dataansvarliges eksterne revisorer og tilsynsmyndighederne, herunder ved
a) at stille alle oplysninger vedrørende leveringen af Ydelserne til rådighed for den Dataansvarlige og enhver tilsynsmyndighed og/eller Dataansvarliges eksterne revisorer, hvis dette er nødvendigt for udførelsen af deres opgaver; og
b) at give enhver tilsynsmyndighed, der ifølge loven har ret til at få adgang til den Dataansvarliges facilite- ter eller den Dataansvarliges leverandørers faciliteter, adgang til sådanne faciliteter.
9. Ansvar
9.1. Hovedaftalens regulering af misligholdelse, ansvar og ansvarsbegrænsninger finder anvendelse for denne Da- tabehandleraftale, som om denne Databehandleraftale var en integreret del heraf.
9.2. Parternes ansvar for alle kumulerede krav i henhold til denne Databehandleraftale er begrænset til de samlede forfaldne betalinger i henhold til Hovedydelserne for den 12 måneders periode, der går umiddelbart forud for en eventuel skadegørende omstændighed. Hvis Databehandleraftalen ikke har været i kraft i 12 måneder, opgøres beløbet forholdsmæssigt på baggrund af den aftalte betaling i den periode, som Databehandleraftalen har været i kraft.
9.3. Ansvarsbegrænsningen omfatter ikke følgende: (i) Tab som følge af den anden Parts groft uagtsomme eller forsætlige handlinger. (ii) Udgifter og ressourceforbrug ved opfyldelse af en Parts forpligtigelser over for en tilsynsmyndighed.
10. Ophør
10.1. Denne Databehandleraftale ophører automatisk i forbindelse med Aftalens ophør eller udløb eller på den Data- ansvarliges anmodning.
10.2. Parterne er enige om, at Databehandleren ved Aftalens ophør eller udløb efter den Dataansvarliges valg enten skal (i) returnere alle data, der er behandlet under Aftalen, samt eventuelle kopier heraf til den Dataansvarlige, og/eller (ii) slette alle data, der er behandlet under Aftalen, og dokumentere over for den Dataansvarlige, at dette er sket, herunder for at undgå enhver tvivl slette sådanne data fra enhver computer, server og/eller anden lagringsenhed eller -medie, medmindre EU-retten og/eller medlemsstaternes nationale ret kræver, at der sker opbevaring af sådanne data.
11. Kontakt
11.1. Kontaktoplysninger for den Dataansvarlige og Databehandleren følger af Hovedaftalen.
BILAG 1 - PERSONOPLYSNINGER
1. Databehandleren behandler følgende typer Personoplysninger som led i levering af Hovedydelsen:
(i) Almindelige kontaktoplysninger på den Dataansvarlige. Herunder Fornavn, Efternavn, E-mail, Tele fon, Adresse, Postnummer, By.
(ii) Jf Antihvidvasklovgivningen skal Dataansvarliges CPR-nr og billedID behandles
2. Registrerede - Databehandleren behandler personoplysninger om følgende kategorier af registrerede på vegne af den Dataansvarlige, såfremt disse indgår i købsforløbet: Fornavn, Efternavn, E-mail, Telefon,
Adresse, Postnummer, By og kortdata i krypteret form.
BILAG 2 - UNDERDATABEHANDLERE
Opdateret liste kan findes på xxxxxxxx.xxx/xxxxxxxxxxxxxxxxxxx