DATABEHANDLERAFTALE
DATABEHANDLERAFTALE
Opdateret 24. maj 2018
Virksomhedsnavn:
Virksomhedens adresse:
Postnummer og by:
Virksomhedens CVR nr.:
(herefter benævnt ’’Dataansvarlig’’) og
SpotOn Marketing ApS Xxxxxxxx 000X, 0. xx. 2100 København Ø
XXX.xx. 34476489
(herefter benævnt ’’Databehandler’’) (beggeherefter benævnt ’’Parterne’’)
har indgået følgende databehandleraftale (’’Aftalen’’) om Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige, i tillæg til denne mellem Parterne indgåede kontrakt om levering af ydelser, herefter benævnt ”Hovedkontrakt”:
1. FORMÅL
1.1. Formålet med nærværende aftale er at regulere Databehandlerens behandling af personlige oplysninger på vegne af den Dataansvarlige i forbindelse med Databehandlerens opfyldelse af den mellem Parterne indgåede Hovedkontrakt.
1.2. Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.
1.3. Ved behandling af personlige oplysninger i henhold til nærværende Aftale, skal Databehandleren overholde god databehandlingsskik.
1.4. Alle begreber i nærværende kontrakt skal forstås i overensstemmelse med den til enhver tid gældende persondatalovgivning.
2. PERSONOPLYSNINGER OMFATTET AF AFTALEN
2.1. Nærværende Aftale omfatter behandling af følgende personoplysninger: Navn, adresse, e-mail, telefonnummer, IP-adresser, geografiske placering og øvrige personoplysninger om den Dataansvarliges kunder. Der behandles ikke personoplysninger omfattet af Per- sondataforordningen art. 9 el. 10.
2.2. De i pkt. 2.1. nævnte oplysninger behandles i form af: Indsamling, opbevaring og strukturering, overførsel af data til underdatabehandlere, udsendelse af nyhedsbreve og håndtering af kontaktformularer.
2.3. Den Dataansvarlige indestår for at have fornøden hjemmel og/eller tilsagn til behandling af de personoplysninger omfattet af nærværende Aftale.
3. GEOGRAFISKE AFGRÆNSNING
3.1. Behandling af personoplysninger, som Databehandleren foretager i overensstemmelse med denne Aftale efter instruks fra den Dataansvarlige eller dennes underdatabehandlere, må alene foretages af Databehandleren inden for det Europæiske Økonomiske Samarbejde (EØS). Databehandleren må ikke uden forudgående aftale og skriftligt samtykke fra den Dataansvarlige lade databehandling foregå uden for EØS. Den Dataansvarlige giver hermed Databehandleren generel skriftlig godkendelse til at behandle personoplysninger uden for det Europæiske Økonomiske Samarbejde (EØS).
4. DEN DATAANSVARLIGES INSTRUKS
4.1. Databehandleren behandler alene personoplysninger efter instruks fra den Dataansvarlige, herunder f.eks. instrukser der følger af Hovedaftalen eller de dertilhørende forretningsbetingelser. Den Dataansvarlige afgør til hvilke formål og hvordan, der må foretages behandling af personoplysningerne omfattet af nærværende Aftale.
4.2. Databehandleren behandler alene de typer af personoplysninger samt efter de behandlingsmåder, som er beskrevet i Aftalen.
4.3. Databehandleren må således ikke uden skriftlig godkendelse fra Den Dataansvarlige behandle personoplysningerne til egne formål og må ikke bruge de overladte oplysninger til andet end udførelsen af opgaven for den Dataansvarlige. Den Dataansvarlige giver hermed Databehandleren generel skriftlig godkendelse tilbehandle personoplysningerne til egne formål, såsom f.eks. udarbejdelse af statistikker, analyser m.v.
4.4. Databehandleren skal bistå den Dataansvarlige med opfyldelse af den Dataansvarliges forpligtelser i henhold til den enhver tid gældende persondataretlige lovgivning. Herunder skal Databehandleren bistå den Dataansvarlige med at besvare anmodninger om udøvelse af de registreredes rettigheder, herunder om indsigt, berigtigelse og sletning, hvis de relevante personoplysninger behandles af Databehandleren. Modtager Databehandleren sådan henvendelse fra den registrerede, orienterer Databehandleren den Dataansvarlige herom snarest.
4.5. Databehandleren skal bistå den Dataansvarlige ved udarbejdelse af konsekvensanalyser.
4.6. Såfremt Databehandler skal bistå Den Dataansvarlige iht. pkt. 4.5, 4.6, 4.9, 5.2, 6.1, 7.1 eller 11.2 er Databehandleren berettiget til at kræve særskilt honorar for denne bistand af Den Dataansvarlige.
4.7. Databehandleren sikrer, at de personer, der hos denne behandle personoplysningerne, kontraktligt har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
4.8. Databehandleren samarbejder, efter anmodning, med tilsynsmyndigheden i forbindelse med udførelsen af Databehandlerens opgaver. Ligeledes bistår Databehandleren den Dataansvarlige ved kontrolbesøg fra Datatilsynet.
5. SIKKERHED
5.1. Databehandleren garanterer at træffe passende tekniske og organisatoriske sikkerhedsforanstaltninger, at behandlingen i henhold til nærværende Aftale opfylder den til enhver tid gældende persondataretlige lovgivning og sikrer beskyttelse af den registrerede rettigheder. Databehandleren træffe foranstaltninger for at sikre at personoplysninger ikke fortabes, misbruges, tilintetgøres samt mod at de ikke kommer til uvedkommendes kendskab eller behandles i strid med gældende lovgivning iht. Databeskyttelsesforordningen art. 32.
5.2. Databehandleren bistår den Dataansvarlige med at sikre overholdelse af forpligtelserne i medfør af artikel 32-36 under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren.
5.3. Databehandleren skal efter nærmere aftale med den Dataansvarlige, så vidt muligt, bistå den Dataansvarlige med at sikre overholdelse af forpligtelserne i den til enhver tid gældende persondataretlige lovgivning. Den Dataansvarlige instruerer Databehandleren herom.
5.4. Databehandleren garanterer, at nødvendig kopiering og backup af data i henhold til nærværende Aftale, såvel som i henhold til Hovedaftalen sker under fuldt betryggende forhold.
6. DOKUMENTATIONSKRAV
6.1. Databehandleren skal efter anmodning fra den Dataansvarlige påvise overholdelse af den til enhver tid gældende persondataretlige lovgivning.
6.2. Databehandleren skal straks underrette den Dataansvarlige, hvis en behandling efter vedkommendes mening er i strid med den til enhver tid gældende lovgivning.
6.3. Databehandlerenfører fortegnelser over alle kategorier af behandlingsaktiviteter, der foretages på vegne af den Dataansvarlige.
7. TILSYN
7.1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i denne databehandleraftale, til rådighed for den Dataansvarlige.
7.2. Databehandleren giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige.
7.3. Databehandleren underretter omgående den Dataansvarlige, hvis en instruks vedrørende Punkt 7.1 efter Databehandlerens mening er i strid med Databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden XXxxx eller medlemsstaternes nationale ret
8. BRUG AF UNDERDATABEHANDLERE
8.1.1. Den Dataansvarliges skriftlige samtykke skal indhentes forinden Databehandleren overlader personoplysninger, der behandles i henhold til denne Aftale og i overensstemmelse med denne, til en eller flere underdatabehandlere. Den Dataansvarlige giver hermed Databehandleren generel skriftlig godkendelse til at gøre brug af en eller flere andre databehandlere.
8.2. Ved brug af underdatabehandlere, er det Databehandlerens ansvar, at underdatabehandleren efterlever kravene i nærværende Aftale.
8.3. Underdatabehandleren handler efter instruks fra Databehandleren. Den Dataansvarlige kan dog give direkte instruks til underdatabehandleren i tilfælde, hvor den Dataansvarlige finder det påkrævet.
8.4. Databehandleren skal indgå en skriftlig databehandleraftaler med underdatabehandleren. Databehandleraftalen skal indeholde tilsvarende vilkår, som de krav, der stilles i medfør af denne Aftale samt gældende lovgivning.
8.5. Databehandleren anvender de på hjemmesiden xxx.xxxxxxxxxxxxxxx.xx/xxxxxxxxxxxxxx oplistede underdatabehandlere.
8.6. Databehandleren er berettiget til at skifte underdatabehandlere. I så fald skal den nye underdatabehandler overholde tilsvarende betingelser som beskrevet i nærværende Aftale. Databehandleren skal senest 14 dage forinden orientere den Dataansvarlige herom ved orientering på hjemmesiden xxx.xxxxxxxxxxxxxxx.xx.
9. SIKKERHEDSBRUD
9.1. Såfremt Databehandleren måtte opleve brud på persondatasikkerheden, der medfører risiko for bl.a. tab, ændring i oplysninger og/eller tilintetgørelse eller lignende, skal Databehandleren uden unødig forsinkelse søge at lokalisere sådanne brud og søge at begrænse den opståede skade i videst muligt omfang.
9.2. Databehandleren er forpligtet til uden unødig forsinkelse at underrette den Dataansvarlige om brud på persondatasikkerheden. Databehandleren skal herefter uden unødig forsinkelse, i det omfang det er muligt, give skriftlig meddelelse til den Dataansvarlige om følgende:
a) En beskrivelse af det skete sikkerhedsbrud, det antal berørte registrerede samt hvilke oplysninger der er i fare.
b) En beskrivelse af de forventede konsekvenser af sikkerhedsbruddet.
c) En beskrivelse af de foranstaltninger, som Databehandleren eller underdatabehandleren har truffet eller foreslår truffet for at håndtere bruddet, herunder foranstaltninger for at begrænse dets mulige skadevirkninger.
10. TAVSHEDSPLIGT
10.1. Databehandleren forpligter sig ved underskrift af nærværende Aftale til at holde personoplysningerne og behandlingen af disse fortrolige.
11. DE REGISTREREDES RETTIGHEDER
11.1. Den Dataansvarlige er ansvarlig for overholdelse af databeskyttelsesforordningen, herunder at besvare anmodninger om udøvelse af de registreredes rettigheder som fastlagt i Databeskyttelsesforordningens kapitel III.
11.2. Under hensyntagen til behandlingens karakter bistår Databehandleren så vidt muligt den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med
opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder som fastlagt i Databeskyttelsesforordningens kapitel III.
12. ERSTATNING
12.1. Såfremt den Dataansvarlige misligholder nærværende aftale, er Databehandleren berettiget til at kræve erstatning efter dansk rets gældende regler for det direkte og indirekte tab, Databehandleren måtte lide ved misligholdelsen.
13. IKRAFTTRÆDEN, VARIGHED OG OPHØR
13.1. Aftalen træder i kraft ved begge Parters tiltrædelse af Hovedaftalen, og ophører ligeledes ved Hovedaftalens udløb/ophør.
13.2. I tilfælde af at Databehandlerens virksomhed ophører, uanset årsag, ophører nærværende Aftale også.
14. TILBAGELEVERING OG SLETNING AF DATA
14.1. I forbindelse med nærværende Aftales ophør, skal Databehandleren slette alle personlige oplysninger i henhold til nærværende Aftale. Den Dataansvarlige giver Databehandleren skriftlig instruks om proceduren herfor.
Dato: Dato: 24.05.2018
Som Dataansvarlig SpotOn Marketing ApS (Databehandler)
Fulde navn: For SpotOn: Xxxxx Xxxxxxxxxxx
Stilling: Stilling: CEO
Email: