Databehandleraftale (GDPR)

Nedenstående tekst er udelukkende til din vejledning og orientering, særligt før aftale med Raymeon indgåes. Når du tegner abonnement vil din virksomhed modtage en navngiven aftale, som er den gældende aftale.

I henhold til Persondataforordningen i den Dataansvarliges indregistreringsland, som angivet herunder:

For og i mellem

Datanansvarlig:

<Indsæt firmanavn>
<Indsæt adresse>
<Indsæt CVR-nummer>

<Indsæt navn> er kontaktperson vedr. meddelelser af dataanmodninger fra den Registrerede og 3. parts tjenester:

<Indsæt navn> er kontaktperson vedr. meddelelser om uautoriseret databehandling, sikkerhedsbrister mv.:

I det følgende samlet benævnt den “Dataansvarlige”

OG

Databehandler:

Raymeon ApS
CVR-nr.: 38319515
Rentemestervej 64, 2
2400 København NV

I det følgende benævnt “Databehandleren”.

Den dataansvarlige og Databehandleren benævnes samlet “Parterne”.

Indledning

Parterne bekræfter, at underskriveren af nærværende Databehandleraftale (i det følgende benævnt “GDPR-aftalen”) har fuldmagt til at indgå GDPR-aftalen, som vil indgå som en del af “Aftale om Licens, Abonnement og Vilkår for Raymeon Nexus” (i det følgende benævnt “Hovedaftalen”) som er indgået mellem Parterne. Hvor Hovedaftalen regulerer vilkår for licens- og abonnementsaftalen vedrørende Databehandlerens databehandlingssystem Nexus (i det følgende benævnt “Nexus”) regulerer GDPR-aftalen specifikt behandlingen af Persondata, der opstår som følge af Hovedaftalen og den Dataansvarliges (og dennes kunders) anvendelse af Nexus.

GDPR-aftalen og Hovedaftalen er indbyrdes afhængige, og kan ikke opsiges særskilt. GDPR-aftalen kan dog, uden at opsige Hovedaftalen, erstattes af en anden gyldig Databehandleraftale.

GDPR-aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (herefter benævnt ”GDPR”), og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.

Formålet med at indgå GDPR-aftalen er at regulere parternes individuelle ansvar og rettigheder i henhold til GDPR som træder i kraft 25. maj 2018 og hvilke retningslinjer begge parter forpligter sig til at overholde i henhold til GDPR-aftalen.

Ved brug af Nexus, samt 3. parts tjenester tilkoblet Nexus, vil den Dataansvarlige være ansvarlig for sin egen og sine kunders behandling af Persondata i Nexus. Databehandleren vil behandle personoplysninger på vegne af den Dataansvarlige, og gennem GDPR-aftalen instruerer den Dataansvarlige Databehandleren hvordan Persondata skal behandles på vegne af den Dataansvarlige.

GDPR-aftalen har forrang for andre evt. modstridende bestemmelser vedrørende Behandling af Personoplysninger for så vidt angår vilkår for brugen af Nexus eller i andre aftaler gældende Parterne imellem. GDPR-aftalen er gyldig, så længe den Dataansvarlige anvender Nexus, reguleret af Hovedaftalen, og Databehandleren derfor skal behandle Personoplysninger på vegne af den Dataansvarlige. GDPR-aftalen har dog ikke forrang, såfremt Parterne har indgået en anden databehandleraftale, hvoraf fremgår, at den databehandleraftale har forrang frem for GDPR-aftalen.

Definitioner

Persondata

Information vedrørende en identificeret eller identificerbar person (den Registrerede)

Den Registrerede

En identificeret eller identificerbar fysisk person, enten direkte eller indirekte ved henvisning til en eller flere faktorer (Persondata) der er specifikke for den Registrerede

Persondata

Information om den Registrerede, eksempelvis (men ikke afgrænset til) navn, adresse, telefonnummer, emailadresse, køn, alder, interesser mv.

Behandling af Persondata

Enhver handling, eller række af handlinger, som foretages med Persondata, uanset om dette sker automatisk eller manuelt, eksempelvis (men ikke afgrænset til) indsamling, registration, organisering, opbevaring, analyse, søgning, anvendelse, sletning mv.

Den Dataansvarlige

Den fysiske eller juridiske person, offentlige myndighed eller anden organisation, som alene eller sammen med andre fastsætter formålet med, og vilkårene for, behandlingen af Persondata.

Databehandleren

En fysisk eller juridisk person, offentlig myndighed eller anden organisation, som på vegne af den Dataansvarlige behandler Persondata.

Underdatabehandler

En fysisk eller juridisk person, offentlig myndighed eller anden organisation, som på vegne af Databehandleren, uden den Dataansvarliges indflydelse, behandler den Dataansvarliges Persondata.

3. Parts Tjeneste

En fysisk eller juridisk person, offentlig myndighed eller anden organisation, som på vegne af den Dataansvarlige behandler Persondata, uden Databehandlerens indflydelse.

Den Registreredes samtykke

Enhver frit afgivet specifik og oplyst tilkendegivelse af den Registreredes accept af dennes Persondata behandles, afgivet til den Dataansvarlige.

Nexus

Databehandlingsystem med henblik på kommerciel aktivitet vedr. fysiske produkter, der er stillet til rådighed af Databehandleren som en tjenesteydelse til den Dataansvarlige.

Den dataansvarliges instruks til databehandleren for behandling af persondata

Persondata behandles som følge af den Dataansvarliges instrukser til Databehandleren, hvad enten instrukser gives som en del af Teknisk brugersupport, aftalt assistance eller aftalte konsulentydelser der udføres af Databehandleren for den Dataansvarlige, eller ved den Dataansvarliges (eller dennes kunders) daglige og selvstændige anvendelse af Nexus.

Den Dataansvarlige bekræfter, at denne ikke behandler og overfører kategorier af Persondata til Nexus som kan klassificeres som Følsom Persondata i henhold til Databeskyttelsesforordningens Art. 9, og at Databehandlerens ansvar i henhold til GDPR-aftalen således ikke omfatter Følsom Persondata som her specificeret.

Formål med databehandlingen

Databehandleren skal behandle Persondata i det omfang det er nødvendigt for at levere de i Hovedaftalen aftalte tjenester og ydelser.

Kategorier af Registrerede

Databehandleren skal primært behandle oplysninger om repræsentanter for den Dataansvarliges kunder, potentielle kunder og andre organisationer der er af interesse for udvikling og gennemførsel af den Dataansvarliges forretning, foruden oplysninger om den Dataansvarliges ansatte og samarbejdspartnere.

Kategorier af Persondata

Navn, arbejdstelefonen, mobiltelefon, emailadresse, arbejdstitel, transaktionsdata i Nexus og den Registreredes sidevisninger, produktfavoritter, handelsmønstre, sprogpræferencer, noter, tilknytning til adresser, produktinteresser, kundetilknytning osv.

Kategori af behandlingsaktiviteter

Afhjælpning af fejl (teknisk brugersupport og assistance), adgang i forbindelse med konsulentydelser, registration, lagring, analyse, systemdrift og systemudvikling.

Lokation for behandling af Persondata

Persondata kan behandles indenfor EU/EØS.

Behandling af Følsom Persondata

Der behandles ikke Følsom Persondata som del af GDPR-aftalen.

Databehandleren instrueres til at foretage rimelige foranstaltninger, herunder tekniske og organisatoriske, for at sikre at sikkerhedsforanstaltninger som beskrevet i GDPR artikel 32 som minimum overholdes.

Databehandleren og dennes personale skal iagttage tavhedspligt og fortrolighed i forhold til Persondata, som der måtte være adgang til i henhold til GDPR-aftalen og Hovedaftalen. Denne bestemmelse er også gældende efter GDPR-aftalens og Hovedaftalens ophør.

Databehandleren er instrueret i underrette den Dataansvarlige uden unødig forsinkelse via kontaktpersonen oplyst i GDPR-aftalen, hvis Databehandleren bliver bekendt med sikkerhedsbrister. Endvidere skal Databehandleren så vidt lovligt og muligt underrette den Dataansvarlige, hvis;

  1. En anmodning om indsigt i Personoplysninger modtages direkte fra den Registrerede
  2. En anmodning om indsigt i Personoplysninger modtages direkte fra statslige myndigheder herunder politiet.

Databehandleren instrueres til ikke at besvare sådanne anmodninger fra den Registrerede, medmindre denne er skriftligt autoriseret af den Dataansvarlige til at gøre det. Databehandleren skal ikke videregive information, herunder Personoplysninger og indholdet af GDPR-aftalen, til statslige myndigheder såsom politiet, medmindre Databehandleren er forpligtet til det i medfør af lovgivningen, såsom ved en retskendelse eller lignende.

Databehandleren skal, mod vederlag opgjort efter medgået tid til timetakst B som anført i Hovedaftalen, bistå den Dataansvarlige med passende tekniske og organisatoriske foranstaltninger, som dette er muligt og under hensyntagen til behandlingens art og kategorien af oplysninger, der er tilgængelige for Databehandleren, for at sikre overholdelse af den Dataansvarliges forpligtelser i henhold til gældende Databeskyttelseslovgivning, herunder for så vidt angår bistand i forhold til opfyldelse af anmodninger fra Registrerede, samt generel overholdelse af bestemmelserne under GDPR artikel 32-36.

Den dataansvarliges forpligtelser

  • Den Dataansvarlige skal ved brug af Nexus udelukkende behandle Personoplysninger i overensstemmelse med kravene i den gældende Databeskyttelseslovgivning.
  • Den Dataansvarlige skal have et lovligt grundlag for at behandle og videregive Personoplysninger til Databehandleren (herunder til underdatabehandlere som Databehandleren anvender).
  • Den dataansvarlige har både rettighederne og forpligtelserne til at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler der må foretages behandling.
  • Den Dataansvarlige påtager sig eneansvaret for nøjagtigheden, integriteten, indholdet af pålideligheden og lovligheden af de Personoplysninger som behandles af Databehandleren.
  • Den Dataansvarlige skal opfylde alle obligatoriske krav og pligter i forhold til anmeldelse hos eller opnåelse af tilladelse fra de relevante offentlige myndigheder for så vidt angår behandlingen af personoplysninger.
  • Den Dataansvarlige har opfyldt, og opfylder kontinuerligt, sin oplysningsforpligtelser over for den Registrerede vedrørende behandlingen af Personoplysninger i henhold til gældende databeskyttelseslovgivning.
  • Den Dataansvarlige garanterer ikke at behandle Følsomme Personoplysninger i sin brug af Nexus.
  • Den Datanansvarlige skal uden ugrundet ophold informere Databehandleren om enhver ændring af kontaktpersoner samt kontaktoplysninger.

Brug af underdatabehandlere

Som en del af Hovedaftalen og GDPR-aftalen, samt Databehandlerens leverance af Nexus til den Dataansvarlige kan Databehandleren anvende underdatabehandlere. Databehandleren skal sikre, at underdatabehandlere valgt af Databehandler påtager sig forpligtelser svarende til de i GDPR-aftalen anførte.

GDPR-aftalen udgør den Dataansvarliges forudgående generelle og specifikke skriftlige godkendelse af Databehandlerens brug af underdatabehandlere.

Videregivelse af data til 3. part

Databehandleren videregiver ikke den Dataansvarliges data til 3. part uden forudgående samtykke eller instruks fra den Dataansvarlige, medmindre Databehandleren er forpligtet til det i medfør af lovgivningen, såsom ved en retskendelse eller lignende.

Ved anvendelse af 3. parts tjenester sammen med Nexus, såsom (men ikke begrænset til) Google Analytics, Google Adwords, Facebook Connect, Nets Leverandørservice og ePay A/S vil videregivelse af data forekomme kontinuerligt, antageligvis også Persondata. Videregivelsen vil ske enten automatisk eller manuelt ved den Dataansvarliges (eller dennes kunders) anvendelse af Nexus, til den eller de tilkoblede 3. parts tjenester som den Dataansvarlige har valgt at lade Nexus tilkoble. Den Dataansvarlige skal indgå separat databehandleraftale med hver 3. parts tjeneste der anvendes, og sådan videregivelse af data til 3. part er derfor Databehandleren og Aftalen uvedkommende.

GDPR-aftalen omfatter ikke data videregivet til 3. part efter skriftlig instruks fra den Dataansvarlige eller som er videregivet i medfør af lovgivningen, såsom ved en retskendelse eller lignende.

Sikkerhed

Databehandleren skal sikre et tilstrækkeligt sikkerhedsniveau i Nexus, således at foranstaltninger som er påkrævede i henhold til information om sikkerhedsforanstaltninger som beskrevet i GDPR artikel 32 som minimum overholdes.

Databehandleren beskæftiger sig i særlig grad med følgende områder i forhold til GDPR:

Klassificering af Personoplysninger

for at sikre, at implementering af sikkerhedsforanstaltninger er relevante i forhold til risikovurderinger

Kryptering og pseudonymisering

som risikoreducerende faktorer

Adgangsbegrænsning for personale

Begrænse adgangen til den Dataansvarliges data til at forpligtelser i GDPR-aftalen, eller i henhold til aftale om konsulentydelser, kan opfyldes.

Systemudvikling

Implementering af systemer der kan opdage, genoprette, imødegå og rapportere hændelser i forhold til Personoplysninger.

Kortlægning

Kortlægge hvordan Personoplysninger overføres imellem Parterne.

Løbende vurdering

Foretage løbende vurdering af eget sikkerhedsniveau for at sikre, at nuværende tekniske og organisatoriske foranstaltninger er tilstrækkelige til beskyttelse af Personoplysninger, herunder i henhold til GDPR artikel 32 om behandlingssikkerhed samt artikel 25 om privacy by design og default.

Revision

Den Dataansvarlige er berettiget til at igangsætte en revision af Databehandlerens forpligtelser i henhold til GDPR-aftalen én gang årligt, såfremt at den Dataansvarlige dokumenterbart er forpligtet hertil efter gældende lovgivning.

Den Dataansvarlige skal i forbindelse med anmodning om en revision medsende en detaljeret revisionsplan med en beskrivelse af omfang, varighed og startdato minimum fire uger forud for den foreslåede startdato. Databehandleren kan beslutte, at revisionen af sikkerhedsårsager skal foretages af en neutral tredjepart efter Databehandlerens valg, idet der kan være tale om et behandlingsmiljø hvor flere dataansvarliges data er anvendt.

Hvis det foreslåede omfang for revisionen følger en ISAE, ISO eller lignende certificeringsrapport udført af en kvalificeret tredjepartsrevisor inden for de forudgående tolv måneder, og Databehandleren bekræfter, at der ikke har været materielle ændringer i de foranstaltninger, som har været under revision, skal den Dataansvarlige acceptere denne revision i stedet for at anmode om en ny revision af de foranstaltninger, som allerede er dækket.

Under alle omstændigheder skal revision finde sted i normal kontortid på en relevant facilitet i overensstemmelse med Databehandlerens politikker og må ikke på urimelig vis forstyrre Databehandlerens sædvanlige kommercielle aktiviteter.

Den Dataansvarlige er ansvarlig for alle omkostninger i forbindelse med anmodningen om revision. Databehandlerens assistance i forbindelse hermed afregnes særskilt ved timetakst B i Hovedaftalen efter medgået tid, plus alle omkostninger til eventuel neutral tredjepart.

GDPR-aftalens løbetid og ophør

GDPR-aftalens løbetid og evt. forlængelse følger analogt Hovedaftalens løbetid og frister, idet GDPR-aftalen og Hovedaftalen er indbyrdes afhængige, og kan ikke opsiges særskilt. Databehandleraftalen kan dog, uden at opsige Hovedaftalen, erstattes af en anden gyldig Databehandleraftale.

Vederlag

Den Dataansvarlige er bekendt med, og accepterer, at Databehandleren er berettiget til at opkræve særskilt betaling for services leveret under GDPR-aftalen. Eksempler på sådanne services er:

  • Information eller assistance omkring sikkerhedsforanstaltninger eller dokumentation til den Dataansvarliges anvendelse overfor 3. part
  • Yderligere information om, hvordan Databehandleren behandler Personoplysninger, end hvad der er nødvendigt ifølge gældende Databeskyttelseslovgivning
  • Alle omkostninger i forbindelse med den Dataansvarliges anmodningen om revision.
  • Enhver bistand i forhold til opfyldelse af anmodninger fra den Registrerede

Medmindre andet er skriftligt tilbudt fra Databehandleren opgøres al assistance og bistand i relation til GDPR-aftalen efter medgået tid, der afregnes til timetakst B som omtalt i Hovedaftalen.

Ansvar og ansvarsbegrænsning

Det gælder for hele GDPR-aftalen og i forholdet mellem den Dataansvarlige og Databehandleren, at krav, der følger af GDPR, som er beskrevet i GDPR-aftalen, og som ikke følger af nugældende lovgivning, først er gældende fra 25. maj 2018, hvor GDPR finder anvendelse fra.

Databehandlerens økonomiske erstatningsansvar overfor den Dataansvarlige er begrænset til dokumenterbar direkte økonomisk skade. En eventuel erstatning kan i hver tolv-måneders periode ikke overstige et beløb, der modsvarer den Dataansvarliges samlede betalinger for licens- og abonnement for Nexus betalt i de seks måneder som gik forud for dagen hvor den Dataansvarlige fremsatte sit krav.

Øvrige erstatningsansvar for overtrædelser af bestemmelser i GDPR-aftalen og Hovedaftalen reguleres af bestemmelserne om erstatningsansvar i Hovedaftalen mellem Parterne.

Lovvalg og værneting

GDPR-aftalen er underlagt samme lovvalg og værneting som anført i Hovedaftalen mellem parterne, med mindre ufravigelig lovgivning i Databehandlerens stiftelsesland indenfor EU påtvinger parterne andet lovvalg med hensyn til databeskyttelse og GDPR-aftalen.

Revision 1.0 København NV, 25. maj 2018