Databehandleraftale

Databehandler:
Nuub ApS
Herstedvang 7C, 1. sal
2620 Albertslund
CVR nr. 35528970
(herefter kaldet “Databehandleren”)

Dataansvarlig:
Kunde hos Nuub ApS
(herefter kaldet “Den Dataansvarlige”)

Databehandleren og Kunden kaldes hver for sig “Part” eller tilsammen “Parterne”.

1. BAGGRUND
Den Dataansvarlige har indgået en aftale Databehandleren med henblik på udvikling, supportering og vedligeholdelse af den Dataansvarliges hjemmeside/webshop eller lignende services (herefter kaldet “Aftalen”).
Databehandleren behandler i den forbindelse personoplysninger på vegne af den Dataansvarlige, bl.a. via håndtering på Databehandlerens servere.
Databehandlingen foregår via et fælles valgt CMS (herefter ”Systemet”). Den Dataansvarlige kan til enhver tid via login i Systemet se alle de Personoplysninger, der behandles i Systemet.
Formålet med Databehandleraftalen er at sikre, at Databehandleren til enhver tid overholder gældende persondatalovgivning i den forbindelse, herunder Persondataloven (lov nr. 429 af 31/05/2000 med senere ændringer samt Persondataforordningen (Europa-Parlamentets Og Rådets Forordning 2016/679 af 27. april 2016 – herefter ”Persondataforordningen”).
Databehandleraftalen fastsætter de rettigheder og forpligtelser, som finder anvendelse, når Databehandleren foretager behandling af personoplysninger på vegne af den Dataansvarlige.
Databehandleraftalen følger betingelserne for opsigelse/ophævelse af Aftalen, jf. punkt 1.1 og de tilhørende handelsbetingelser. Handelsbetingelserne gælder generelt også i forhold til Databehandleraftalen. I tvivlstilfælde eller modstridende tilfælde har Databehandleraftalen forrang, medmindre andet følger konkret af Databehandleraftalen.
Til Databehandleraftalen hører Bilag 1-2. Bilagene fungerer som en integreret del af Databehandleraftalen.
Databehandleraftalen med tilhørende bilag opbevares skriftligt, herunder elektronisk af begge parter.

2. INSTRUKS
Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt; i så fald underretter Databehandleren den Dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. Persondataforordningen art. 28, stk. 3, litra a.

Instruksen består af 2 (to) dele:
1. Denne Databehandleraftale inklusiv bilagene.
2. Aftalen, som Databehandleren foretager i Systemet (og hvorved behandling af personoplysninger finder sted) udgør en instruks til Databehandleren, idet Databehandleren automatisk ud fra de informationer, oplysninger og uploads, der modtages fra Systemet af den Dataansvarlige, foretager indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.
Databehandleren underretter omgående den Dataansvarlige, hvis en instruks efter Databehandlerens mening er i strid med Persondataforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
Hvis ikke andet følger af Databehandleraftalen, må Databehandleren benytte alle relevante hjælpemidler, herunder IT-systemer.

3. GENERELT OM BEHANDLINGSSIKKERHED
Databehandleren iværksætter løbende alle foranstaltninger, som kræves i henhold til Persondataforordningens artikel 32.
I artikel 32 fremgår bl.a., at der skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risici forbundet med behandling af personoplysninger under hensyntagen til:
Det aktuelle niveau
Implementeringsomkostningerne
Den pågældende behandlings karakter, omfang, sammenhæng og formål (herunder hensyntagen til kategorien af personoplysninger i Bilag 1)
Risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheden
Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nedenfor i punkt 4, 5 og 6.
Parterne er enige om, at disse garantier er tilstrækkelige på tidspunktet for indgåelse af denne Databehandleraftale, idet bemærkes, at Databehandleren i øvrigt har iværksæt øvrige foranstaltninger i interne procedurer.

4. FYSISK SIKKERHED
Databehandleren foretager sikring af fysiske lokaler.

5. ORGANISATORISK SIKKERHED
Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den Dataansvarlige. Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber.
Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde Databehandlerens forpligtelser overfor den Dataansvarlige.
Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den Dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt samt at medarbejderne overholder Databehandleraftalen.
Alle medarbejdere er orienteret om og underlagt interne procedurer for, hvordan sikkerhedsbrud håndteres.

6. TEKNISK SIKKERHED
Databehandleren anvender udelukkende hard- og software af høj kvalitet, der løbende opdateres, herunder antivirussoftware, antihackingsoftware og firewalls.
Al kommunikation til/fra Systemet foregår krypteret (https), såfremt det er aktiveret på hjemmesiden.
Adgang til Databehandlerens interne IT-systemer sker via krypterede login-oplysninger, som sikrer, at uvedkommende ikke kan få adgang. Databehandleren skifter med passende intervaller kodeord i interne IT-systemer, som ultimativt giver adgang til den Dataansvarliges personoplysninger.
Databehandleren gemmer korrespondance og logfiler vedrørende support til den Dataansvarlige i en ”ticket”. For at kunne foretage fejlsøgning og have overblik over tidligere historik vedr. support, slettes indholdet i ”ticket’en” ikke, medmindre den Dataansvarlige aktivt anmoder herom.

7. UNDERRETNING OM BRUD PÅ PERSONDATASIKKERHEDEN
Databehandleren underretter uden unødig forsinkelse den Dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos Databehandleren eller en eventuel Underdatabehandler.

Et sådant sikkerhedsbrud omfatter ethvert brud, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysningerne behandlet for den Dataansvarlige (”Sikkerhedsbrud”).
Databehandleren skal føre og opbevare en fortegnelse over alle Sikkerhedsbrud. Fortegnelsen skal indeholde minimum de faktiske omstændigheder omkring Sikkerhedsbruddet, virkningerne og de trufne afhjælpningsforanstaltninger.

8. ANVENDELSE AF UNDERDATABEHANDLERE
Databehandleren skal opfylde de betingelser, der er omhandlet i Persondataforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden Databehandler (Underdatabehandler).
Parterne har aftalt, at Databehandleren generelt kan anvende Underdatabehandlere, jf. Bilag 2, hvor også de allerede godkendte Underdatabehandlere er anført.
Databehandleren skal underrette den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre Databehandlere og derved give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.
Databehandleren pålægger Underdatabehandleren minimum de samme databeskyttelsesforpligtelser som dem, der er fastsat i denne Databehandleraftale gennem en kontrakt eller andet retligt dokument, således at kravene til tekniske og organisatoriske foranstaltninger i Persondataforordningen og/eller anden relevant gældende regulering til enhver tid overholdes.

9. OVERFØRSEL AF OPLYSNINGER TIL TREDJELANDE ELLER INTERNATIONALE ORGANISATIONER
Databehandleren må alene behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige, herunder for så vidt angår overførsel (overladelse, videregivelse samt intern anvendelse) af personoplysninger til tredjelande eller internationale organisationer, medmindre undtagelserne hertil i Persondataforordningen og/eller anden relevant gældende regulering er opfyldt.
Den Dataansvarliges eventuelle instruks eller godkendelse af, at der foretages overførsel af personoplysninger til et tredjeland, skal fremgå af Bilagene eller særskilt instruks.
Hvis den Dataansvarlige ikke i Bilagene eller i særskilt instruks har angivet en instruks eller godkendelse vedrørende overførsel af personoplysninger til et tredjeland eller internationale organisationer, må Databehandleren ikke inden for rammerne af Databehandleraftalen foretage en sådan overførsel.
I det omfang, der sker overførsel til et tredjeland, bistår den Dataansvarlige uden vederlag herfor Databehandleren ved indgåelse af nødvendige aftaler, eller den Dataansvarlige udsteder bemyndigelse til at indgå de fornødne aftaler på den Dataansvarliges vegne og for dennes regning.

10. BISTAND TIL DEN DATAANSVARLIGE
Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i Persondataforordningens kapitel 3.
Databehandleren bistår den Dataansvarlige med at sikre overholdelse af den Dataansvarliges forpligtelser i medfør af Persondataforordningens artikel 32-36 under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren, jf. Persondataforordningen art. 28, stk. 3, litra f.
Parternes aftale om betaling for Databehandlerens bistand til den Dataansvarlige herfor fremgår af punkt 12.

11. SLETNING
Databehandleren sletter ikke den Dataansvarliges personoplysninger (eller andre data) under Aftalens løbetid, medmindre den Dataansvarlige instruerer Databehandleren herom.
Ved ophør af Samarbejdet og tilhørende behandling af personoplysninger skal Databehandleren, efter den Dataansvarliges valg, slette eller tilbagelevere alle personoplysninger til den Dataansvarlige, samt slette eksisterende kopier og kodeord, som eventuelt måtte være lagret hos Databehandleren efter instruks fra den Dataansvarlige, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.
Sletning af alle former for data hos Databehandleren og Underdatabehandlere sker som udgangspunkt senest 3 måneder efter Aftalens ophør og uden advisering. Tidligere sletning kan ske efter anmodning til Databehandleren.

12. TILSYN OG REVISION
Databehandleren stiller alle oplysninger, der er nødvendige for at påvise Databehandlerens overholdelse af Persondataforordningens artikel 28 og denne aftale, til rådighed for den Dataansvarlige på anfordring af denne.
Databehandleren giver bl.a. mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden sagkyndig (f.eks. revisor eller IT-specialist), som er bemyndiget hertil af den Dataansvarlige.
Databehandleren skal – såfremt den Dataansvarlige ønsker det – én gang årligt indhente en sædvanlig og anerkendt erklæring (f.eks. revisionserklæring eller IT-erklæring) fra en uafhængig, sagkyndig tredjepart angående Databehandlerens overholdelse af denne Databehandleraftale med tilhørende bilag. Erklæringen udarbejdes for den Dataansvarliges regning og Databehandleren er berettiget til at modtage kopi af erklæringen. Såfremt en erklæring er udarbejdet i denne anledning inden for de seneste 12 måneder, kan Databehandleren tilbyde den Dataansvarlige at modtage kopi af denne i stedet.
Den Dataansvarlige eller en repræsentant for den Dataansvarlige har herudover adgang til at føre tilsyn, herunder fysisk tilsyn, hos Databehandleren, når den Dataansvarlige ønsker det.
Tilsyn varsles med minimum én måned. Sammen med varslet skal den Dataansvarlige sende en detaljeret plan med beskrivelse af omfang, varighed og startdato for tilsynet.
Databehandleren er forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig for, at den Dataansvarlige kan gennemføre sit tilsyn.
Databehandlerens udgifter i forbindelse med revision og/eller anden form for tilsyn (herunder intern tid) afholdes af den Dataansvarlige og afregnes i forhold til det af Databehandleren medgåede tidsforbrug.
Dette gælder ligeledes, såfremt den Dataansvarlige begærer dokumenter eller andet materiale udleveret fra Databehandleren med henblik på at kontrollere, at Databehandleraftalen overholdes.
Databehandleren laver 1 gang årligt en intern systematisk gennemgang af alle procedurer og punkter beskrevet i Databehandleraftalen.

13. MISLIGHOLDELSE
Reguleringen af misligholdelsesbeføjelser følger de til Aftalens tilhørende handelsbetingelser.

14. ANSVAR OG ANSVARBEGRÆNSNINGER
Parterne er ansvarlige i overensstemmelse med gældende rets almindelige regler, dog med de begrænsninger der følger af dette afsnit.
Parterne fraskriver sig ethvert ansvar for indirekte tab og følgeskader, herunder driftstab, tab af goodwill, tab af besparelser og indtægter, inklusive udgifter til at indvinde mistede indtægter og tab af data.
Følgende er ikke omfattet af ansvarsbegrænsningen i dette punkt 14:
Tab som følge af den anden Parts groft uagtsomme eller forsætlige handlinger.
Udgifter og ressourceforbrug ved opfyldelse af en Parts forpligtelser over for en tilsynsmyndighed eller den registrerede samt bøder pålagt af en tilsynsmyndighed eller en domstol, i det omfang sådanne er forårsaget af den anden Parts misligholdelse.

15. ÆNDRING
Databehandleren kan med 1 måneds varsel og uden omkostninger foretage ændring af Databehandleraftalen.

16. VARIGHED OG OPHØR
Databehandleraftalen kan erstattes af en anden gyldig Databehandleraftale. Databehandleraftalen kan ikke opsiges eller ophæves særskilt i Aftalens løbetid.
Uanset Databehandleraftalens ophør skal aftalens punkt 5.3 (medarbejderes fortrolighed), 11 (sletning/tilbagelevering), 14 (ansvar og ansvarsbegrænsning) og 17 (tvister) have virkning efter Databehandleraftalens ophør.
Databehandleren må fortsat behandle personoplysningerne i op til tre måneder efter Databehandleraftalens ophør i det omfang, det er nødvendigt for at foretage nødvendige lovpligtige foranstaltninger, jf. i øvrigt punkt 11.2. I samme periode er Databehandleren berettiget til at lade personoplysningerne indgå i Databehandlerens sædvanlige backupprocedure.
Databehandlerens behandling i denne periode anses fortsat for at ske under overholdelse af instruksen i Databehandleraftalen.

17. TVISTER
Håndtering af tvister relateret til Databehandleraftalen følger Abonnementets handelsbetingelser.
Er intet andet aftalt, er Databehandleraftalen underlagt dansk ret og Parterne er berettiget til at kræve tvisten afgjort ved de almindelige domstole. Retten i Lyngby er valgt som værneting i første instans.

BILAG 1
1. FORMÅL
Dette bilag uddyber indholdet i Databehandleraftalen for så vidt angår de konkrete personoplysninger, der behandles på vegne af den Dataansvarlige.
2. TYPER AF PERSONDATA
Aftalen indebærer, at Databehandleren behandler følgende kategorier af almindelige personoplysninger:
Navn
Telefonnummer
E-mailadresse
Adresse
Betalingsoplysninger
Såfremt der behandles Følsomme persondata skal den Dataansvarlige og Databehandleren indgå en underskrevet aftale herom. Ved underskrift samtykker den Dataansvarlige at Databehandleren behandler Følsomme persondata på vegne af den Dataansvarlige. Den Dataansvarlige forpligter sig til at kontakte Databehandleren ved tilføjelse af Følsomme persondata, så som:
Politisk, filosofisk eller religiøs overbevisning
Fagforeningsmæssige forhold
Race eller etnisk oprindelse
Helbredsoplysninger
Seksuelle forhold eller seksuelle orientering
Strafbare forhold
Genetiske eller biometriske data med det formål entydigt at identificere en fysisk person
3. BEHANDLINGEN OMFATTER FØLGENDE KATEGORIER AF PERSONER
Den Dataansvarliges kunder
Den Dataansvarliges medarbejdere
Den Dataansvarliges medlemmer
Den Dataansvarliges ejere
Den Dataansvarliges samarbejdspartnere

BILAG 2
1. UNDERDATABEHANDLERE
Databehandleren har den Dataansvarliges generelle godkendelse til at gøre brug af Underdatabehandlere.
Databehandleren skal dog underrette den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre Databehandlere og derved give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.
En sådan underretning skal være den Dataansvarlige i hænde minimum 30 dage før anvendelsen eller ændringen skal træde i kraft.
Såfremt den Dataansvarlige har indsigelser mod ændringerne, skal den Dataansvarlige give meddelelse herom til Databehandleren inden 14 dage efter modtagelsen af underretningen.
Den Dataansvarlige kan alene gøre indsigelse, såfremt den Dataansvarlige har rimelige, konkrete årsager hertil.
2. LISTE OVER UNDERLEVERANDØRER
E-CONOMIC
REEPAY
ONPAY
GOOGLE

SLACK
ZENDESK
EFFIHUB
CURANET