BILAG TIL AFTALE MED Place2Book ApS
BILAG TIL AFTALE MED Place2Book ApS
Version 05.06.2018
Denne databehandleraftale er et bilag til den mellem Parterne indgåede Aftale om Place2Book (”Betingelser for arrangør” som blev accepteret ved oprettelse af profil) og udgør en integreret del deraf jf. “Aftalen om Place2Books bestemmelser vedrørende persondata”.
Der indgås hermed følgende databehandleraftale ("Aftalen") mellem "Kunden" (den juridiske enhed der benævnes Kunden i Aftalen med Place2Book ApS) og Place2Book ApS, CVR 28888880, Herlev Xxxxxxxxx 00X, 0000 Xxxxxx ("Leverandøren"), der samlet benævnes "Parterne" og separat en "Part"
1 Aftalens omfang
1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i
Appendiks 1 beskrevne data behandlingsopgaver for Kunden.
1.2 De personoplysninger, der behandles af Leverandøren, formålene med behandlingen, kategorierne af personoplysninger og kategorierne af registrerede personer, er anført i Appendiks 1.
1.3 Aftalen regulerer alene den behandling af personoplysninger, som Leverandøren foretager for Kunden.
1.4 Ved "personoplysning" forstås enhver form for information om en identificeret eller identificerbar fysisk person, jf. artikel 4(1) i Forordning (EU) 2016/679 af 27. april 2016 ("Persondataforordningen").
2 Behandling af personoplysninger
2.1 Leverandøren behandler alene personoplysninger efter instruks fra Kunden.
2.2 Instruks: Leverandøren er instrueret i alene at behandle personoplysningerne med det formål at varetage de i Appendiks 1 fastsatte data behandlingsopgaver. Leverandøren må ikke behandle eller anvende personoplysningerne til andre formål end angivet i instruksen, herunder overføre personoplysningerne til et tredjeland eller
en international organisation, medmindre Leverandøren er forpligtet hertil efter
EU-retten eller lovgivningen i en medlemsstat, som Leverandøren er underlagt. I givet fald skal Leverandøren skriftligt underrette Kunden om denne juridiske forpligtelse, forinden behandlingen påbegyndes, medmindre pågældende lovgivning på baggrund af vigtige samfundsinteresser forbyder en sådan underretning.
2.3 Hvis Leverandøren skønner, at en instruktion fra Kunden er i strid med Persondataforordningen, databeskyttelseslovgivningen i anden EU-ret eller i lovgivningen i en medlemsstat, skal Leverandøren skriftligt orientere Kunden herom.
2.4 Kunden garanterer over for Leverandøren for, at denne har fornøden ret til at behandle personoplysninger omfattet af Aftalen og til at lade Leverandøren behandle disse personoplysninger på vegne af sig, herunder men ikke begrænset til ved indsamling af relevante samtykker.
2.5 Såfremt Leverandøren opdager at Kunden efter henvendelse fra Leverandøren omk. pkt. 2.3 og 2.4 giver anledning til yderligere tiltag som f.eks. bortvisning, lukning, omlægning, etc. vil disse omkostninger dækkes af Kunden.
3 Krav til Leverandøren
3.1 Leverandøren skal behandle personoplysninger i overensstemmelse med gældende dansk persondatalovgivning, herunder Persondataforordningen, når denne træder i kraft.
3.2 Leverandøren skal sikre, at de personer, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
3.3 Leverandøren skal gennemføre de passende tekniske og organisatoriske sikkerhedsforanstaltninger mod, at de behandlede personoplysninger
(i) hændeligt eller ulovligt tilintetgøres, fortabes eller ændres,
(ii) videregives eller gøres tilgængelige uden autorisation, eller
(iii) i øvrigt behandles i strid med lovgivningen, herunder Persondataforordningen.
3.4 Leverandøren skal endvidere overholde de lovgivningsmæssige krav til sikkerhedsforanstaltninger, som direkte forpligter Leverandøren, herunder kravene til
sikkerhedsforanstaltninger i det land, hvor Leverandøren er etableret, eller i det land, hvor databehandlingen finder sted.
3.5 Fastsættelsen af de passende tekniske og organisatoriske sikkerhedsforanstaltninger skal ske under hensyntagen til
(i) det aktuelle tekniske niveau
(ii) omkostningerne ved implementeringen, samt
(iii) behandlingens karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.
3.6 Leverandøren skal på Kundens anmodning give Kunden alle nødvendige oplysninger til, at denne kan påse, at Leverandørens forpligtelser i henhold til Aftalen overholdes, herunder at de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger er truffet.
3.7 Leverandøren skal minimum hvert år, revidere overholdelsen af kravene til sikkerhedsforanstaltninger fastsat i Aftalen. Seneste version uploades på Leverandørens hjemmeside xxx.Xxxxx0Xxxx.xx dog mindst én gang hvert år. Opdatering oftere kan forekomme, jvf. pkt. 3.9, under henvisning til løbende ændringer i bla. underleverandører, samarbejdspartner, lovgivning, etc. Alle opdateringer vil blive lagt op til godkendelse af Kunden og kan hentes som nyeste version. Leverandøren kan ved skriftlig meddelelse til Kunden ændre den hjemmeside, hvorpå erklæringen skal uploades.
3.8 Derudover har Xxxxxx ret til for egen regning og dækkende samtlige Leverandørens omkostninger, at udpege en uafhængig ekspert, som skal have adgang til de relevante dele af Leverandørens fysiske faciliteter, hvor behandling af Kundens personoplysninger finder sted, samt modtage de nødvendige informationer til udførelsen af undersøgelsen af, hvorvidt Leverandøren har gennemført de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger. Kundens uafhængige ekspert kan ikke opnå adgang til oplysninger om Leverandørens generelle omkostningsstruktur eller til oplysninger, der vedrører andre af Leverandørens kunder. Eksperten skal på Leverandørens anmodning underskrive en sædvanlig
fortrolighedserklæring og skal under alle omstændigheder behandle enhver information indhentet hos eller modtaget fra Leverandøren fortroligt, og må alene dele informationen med Xxxxxx. Kunden må ikke viderebringe informationen eller benytte informationen til andre formål end at vurdere hvorvidt, Leverandøren har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger.
3.9 Leverandøren skal uden unødig forsinkelse efter at være blevet opmærksom herpå, skriftligt orientere Kunden om
(i) enhver anmodning fra en myndighed om videregivelse af personoplysninger omfattet af Aftalen, medmindre orientering af Kunden er forbudt i henhold til EU-retten eller lovgivningen i en stat, som Leverandøren er underlagt,
(ii) enhver mistanke om, eller konstatering af, (a) brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet af Leverandøren i henhold til Aftalen, eller (b) enhver anden manglende overholdelse af Leverandørens forpligtelser efter punkt 3.3 og 3.4, eller
(iii) enhver anmodning om indsigt i personoplysningerne modtaget direkte fra den registrerede eller fra tredjemand.
3.10 Leverandøren skal assistere Xxxxxx med håndteringen af enhver anmodning fra en registreret i henhold til kapitel III i Persondataforordningen, herunder anmodning om indsigt, berigtigelse, blokering eller sletning.
3.11 Leverandøren skal assistere Xxxxxx med at sikre overholdelse af Xxxxxxx forpligtelser i medfør af artikel 32-36 i Persondataforordningen, samt øvrige forpligtelser, der måtte påhvile Kunden efter EU-retten eller lovgivningen i en medlemsstat, hvor Leverandørens assistance er forudsat, dog alene i det omfang Leverandørens assistance er nødvendig for, at Kunden kan overholde sine forpligtelser. Dette omfatter blandt andet, på anmodning at give Kunden alle nødvendige oplysninger om en hændelse omfattet af punkt 3.9 (ii), samt alle nødvendige oplysninger til brug for en konsekvensanalyse i medfør af artikel 35-36 i Persondataforordningen i det omfang, Leverandøren har adgang til sådan information.
3.12 I Appendiks 1 har Leverandøren oplyst den fysiske placering af servere, servicecentre mv. som indgår i udførelsen af databehandlingen. Leverandøren forpligter sig til at give skriftligt varsel til Xxxxxx forud for ændringer af den fysiske placering. Dette kræver ikke en formel ændring af Appendiks 1, forudgående skriftlig meddelelse er tilstrækkelig.
3.13 Da samtlige data stilles til Kundens rådighed som opgives af Kundens deltager i forbindelse med et af Kunden afholdt arrangement og som er kernen i Aftalen, står Xxxxxx selv for at videregive relevante oplysning jf. forordningen. Skulle Kunden forinden have ønsket at slette, anonymisere eller på anden vis have mistede muligheden for at finde data skal Kunden honorerer Leverandøren særskilt og efter medgået tid og materiale for at håndtere forespørgsler og opgaver i henhold til Aftalens pkt. 3.6, 3.8, 3.9 (i) og (iii), 3.10, 3.11, 7.4 og 7.5. Honoreringen fastsættes efter Leverandørens til enhver tid gældende prisliste, der er tilgængelig på xxx.Xxxxx0Xxxx.xxx eller en anden hjemmeside valgt af Leverandøren.
4 Underdatabehandlere
4.1 Leverandøren må gøre brug af underdatabehandlere. På tidspunktet for indgåelsen af Aftalen anvender Leverandøren de i Appendiks 2 anførte underdatabehandlere. Leverandøren skal skriftligt underrette Xxxxxx om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af underdatabehandlere senest 2 måneder inden ændringen træder i kraft, hvorefter Kunden inden 2 uger fra afgivelsen af meddelelsen om ændringen uden begrundelse kan nægte brugen af den nye underdatabehandler, i hvilket tilfælde Leverandøren er berettiget til at opsige alle aftaler med Kunden, i henhold til hvilke Leverandøren behandler personoplysninger for Kunden, med 1 måneds varsel. Ved ophør af brugen af en underdatabehandler, skal Leverandøren give Xxxxxx skriftlig meddelelse herom.
4.2 Leverandøren skal forinden brug af en underdatabehandler indgå en skriftlig aftale med underdatabehandleren, hvori underdatabehandleren som minimum pålægges forpligtelser svarende til de som Leverandøren har påtaget sig ved Aftalen, herunder pligten til at gennemføre passende tekniske og organisatoriske
foranstaltninger til sikring af, at behandlingen opfylder kravene i Persondataforordningen.
4.3 Kunden har ret til at få udleveret en kopi af de dele af Leverandørens aftale med en underdatabehandler, som vedrører databeskyttelsesforpligtelser, som er obligatoriske i henhold til punkt 4.2. Leverandøren hæfter over for Kunden for underdatabehandlerens opfyldelse af sine databeskyttelsesforpligtelser. Det forhold, at Kunden har meddelt samtykke til Leverandørens aftaleindgåelse med en underdatabehandler er uden præjudice for Leverandørens pligt til at efterleve Aftalen.
4.4 Skriftlig underretning under pkt. 4.1 og 4.2 betragtes af Leverandøren som værende opfyldt når Xxxxxx har godkendt de opdaterede betingelser i nyeste version efter login på Kundens profil.
4.4.1 Fristen for orientering til Kunden om skift i underleverandør kan begrænses jf. skift kan begrundes i at Underleverandør er gået konkurs, købt op, misligholdelse, andre uforudsete udfordringer som gør et skift nødvendigt uden mulighed for at orientere i tide. I sådan tilfælde skal Leverandøren uden ophold omgående orientere Kunden, hvorefter Kunden fra tidspunktet for opdateret tillæg til Aftalen følger de angivne varsler i pkt. 4.1.
4.5 Kunden honorerer Leverandøren særskilt og efter medgået tid og materiale for at håndtere forespørgsler og opgaver i henhold til Aftalens pkt. 4.3. Honoreringen fastsættes efter Leverandørens til enhver tid gældende prisliste, der er tilgængelig på xxx.Xxxxx0Xxxx.xx eller en anden hjemmeside valgt af Leverandøren.
5 Fortrolighed
5.1 Leverandøren skal holde personoplysningerne fortrolige.
5.2 Leverandøren må ikke formidle personoplysningerne til tredjemand eller tage kopi af personoplysningerne, medmindre dette er nødvendigt til varetagelse af Leverandørens forpligtelser over for Kunden, forudsat at den, til hvem personoplysningerne overlades, er bekendt med oplysningernes fortrolige karakter
og har indvilget i at holde personoplysningerne fortrolige i overensstemmelse med Aftalen, eller dette følger af en lovbestemt pligt for Leverandøren.
5.3 Leverandøren skal begrænse adgangen til personoplysningerne til de medarbejdere, for hvem det er nødvendigt at have adgang til personoplysninger for at kunne opfylde Leverandørens forpligtelser over for Kunden.
5.4 Leverandørens forpligtelser efter nærværende punkt 5 består uden tidsbegrænsning, og uanset om Parternes samarbejde i øvrigt måtte være ophørt.
5.5 Kunden skal behandle fortrolige oplysninger, som modtages fra Leverandøren, fortroligt, og må ikke uberettiget udnytte eller videregive de fortrolige oplysninger.
6 Ændringer og overdragelser
6.1 Aftalen kan ændres i henhold til Aftalen om Place2Books bestemmelser om ændringer.
6.2 Leverandøren kan overdrage sine rettigheder og forpligtelser i henhold til Aftalen uden Kundens samtykke, forudsat at den, til hvem rettigheder og/eller pligter overdrages, forpligtes til at behandle personoplysninger i overensstemmelse med de krav, der gælder for Leverandøren, i henhold til Aftalen.
7 Varighed og ophør af Aftalen
7.1 Aftalen træder i kraft på samme tidspunkt, som Aftalen om oprettelse af profil på xxx.Xxxxx0Xxxx.xxx og er gældende indtil Aftalen om Place2Book ophører.
7.2 Hver Part kan opsige Aftalen efter samme vilkår, som er gældende i Aftalen om Place2Book.
7.3 Uanset Aftalens formelle aftaleperiode skal Aftalen vedblive at gælde, så længe Leverandøren behandler personoplysninger for Kunden, som Kunden er dataansvarlig for, dog alene for de personoplysninger som til enhver tid behandles for Kunden af Leverandøren.
7.4 I tilfælde af ophør af Aftalen er Leverandøren forpligtet til efter anmodning loyalt at medvirke til, at databehandlingen overgår til en anden leverandør eller tilbageføres til Kunden.
7.5 Leverandøren skal efter anmodning fra Kunden og ved ophør af aftalen overføre personoplysninger, som Leverandøren behandler og/eller har behandlet for Kunden, til kunden eller slette disse, medmindre EU-retten eller lovgivningen i en medlemsstat foreskriver opbevaring af personoplysningerne.
7.6 Kunden honorerer Leverandøren særskilt og efter medgået tid og materiale for at håndtere forespørgsler og opgaver i henhold til Aftalens pkt. 7.3 og 7.4. Honoreringen fastsættes efter Leverandørens til enhver tid gældende prisliste, der er tilgængelig på xxx.Xxxxx0Xxxx.xx eller en anden hjemmeside valgt af Leverandøren.
8 Meddelelser
8.1 I det tilfælde en Part i henhold til Xxxxxxx skal afgive skriftlig meddelelse til den anden Part, kan denne pligt opfyldes ved at sende en e-mail til den anden Parts senest oplyste e-mailadresse. Leverandøren kan ligeledes opfylde sin pligt til at afgive skriftlig meddelelse ved at udsende nyheder direkte i systemet, som kunden har fået tildelt en licens til at benytte i henhold til Aftalen om Place2Book.
9 Forrang
9.1 I tilfælde af uoverensstemmelse mellem bestemmelserne i Aftalen og bestemmelserne i andre skriftlige eller mundtlige aftaler indgået mellem Parterne, skal bestemmelserne i Aftalen have forrang
APPENDIKS 1
Dette Appendiks indeholder blandt andet Kundens instruks til Leverandøren i forbindelse med Leverandørens databehandling for Kunden og er en integreret del af Aftalen.
Instruks og beskrivelse af behandlingen af personoplysninger i Place2Book ApS.
Formål og karakteren af databehandlingen
Formålet med at lade Leverandøren foretage databehandlingen er at lade Kunden anvende Place2Book, der er et IT-system, som Kunden tilgår via internettet, og som er hostet og drevet af Leverandøren. Place2Book hjælper med at håndtere Kundens arrangementer, salg og tilmeldinger til Kundens arrangementer. Dette indebærer også videregivelse af oplysninger på vegne af Kunden, fx til Betalingsafvikler (betalingsgateway som Quickpay, Pensopay, Epay, NETS, etc) på vegne af Kunden.
Kategorier af registrerede personer
I. Kundens egen og eller medarbejdere hvis kunden indtaster information om disse i Place2Book.
II. Kundens kunder som tilmelder sig eller køber noget som Kunden har sat op i Place2Book.
III. Kundens medarbejder, medhjælpere, underleverandører og samarbejdspartner som Kunden opretter og tilknytter i Place2Book.
Kategorier af personoplysninger
For de ovenfor nævnte personkategorier, behandles email, navn, adresse,
CPR-nummer, telefonnummer, bankkontooplysninger, tilmelding og eller købsdato, ankomst-/brugstidspunkt(scan af entré tid) samt de data Kunden måtte udbede sig fra sine kunder via de valgfrie muligheder som tilbydes i Place2book . Leverandøren registrerer ligeledes de nødvendige betalingskort oplysninger som er forbundet med køb på en Kundens profil og i henhold til bla. dansk lov at opbevare alle registreringer i forbindelse med en økonomisk transaktion. Disse oplysninger opbevares i 5 år som loven er i dag.
Lokation(er), inklusive angivelse af land for behandlingen
Xxxxxx Xxxxxxxxx 00 X 0000 Xxxxxx
Danmark
Videregivelse af data
Leverandøren kan videregive, ligeledes på vegne af Kunden, data til de af Kunden udpegede modtager af Kundens indsamlede data.
Data videregives altid fra krypteret miljø og Xxxxxx er selv ansvarlig for sikkerheden i overførslen til Xxxxxx eller dennes modtager.
APPENDIKS 2
Brug af underdatabehandlere
Leverandør | Land | Lovligt grundlag for processering udenfor EU | Funktion | Opdateret | Link |
EngineYard | USA | Privacy Shield | Hosting | 10.05.2018 | |
Amazon Web Service (AWS) | IR | Privacy Shield | Hosting | 10.05.2018 | |
Slack | USA | Privacy Shield | Intern kommunikation | 10.05.2018 | |
Dropbox | USA | Privacy Shield | Hosting | 10.05.2018 | |
Google Apps | USA | Privacy Shield | Eks. og int. kommunikation | 10.05.2018 | |
Trello | USA | privacy Shield | Intern kommunikation | 10.05.2018 | |
CoolSms | NO | Privacy Shield | SMS service | 10.05.2018 | |
MailChimp | USA | Privacy Shield | 10.05.2018 | ||
Clearhouse | DK | Kortbetaling | 10.05.2018 | ||
Microsoft - Azure | USA | Privacy Shield | Hosting | 10.05.2018 | |
MailGun | USA | Privacy Shield | 10.05.2018 | ||
NETS | NO | Kortbetaling | 10.05.2018 | ||
Danske Bank | DK | Bank | 10.05.2018 | ||
Responsum | DK | Telefon | 10.05.2018 | ||
B | plads system | 10.05.2018 | |||
Corpital | DK | Økonomi | 10.05.2018 | ||
Telmore | DK | Telefon | 10.05.2018 | ||
TDC | DK | Telefon | 10.05.2018 | ||
Pensopay | DK | Kortbetaling | 10.05.2018 | ||
SELLEO | PL | Udviklingshus | 10.05.2018 | ||
Progras | DK | Udviklingshus | 10.05.2018 | ||
Mesh ApS | DK | Udviklingshus | 10.05.2018 |