Vælg en side

Mellem

Kunden (erhvervsdrivende, fonde eller foreninger)
[organization.name]
[person.name]
[deal.address]
[deal.zip_code] [deal.city]
CVR-nr. [deal.cvr]

(herefter den ”Dataansvarlige”)

MarketingPlatform ApS
Nørregade 12A
6600 Vejen
CVR-nr. 34 21 74 83
(herefter ”Databehandleren”)

(Den Dataansvarlige og Databehandleren vil herefter tillige blive benævnt som ”Part” og tilsammen som ”Parterne”)

er der dags dato: … [datetime.today] …… udstedt følgende databehandleraftale.

1. BAGGRUND OG FORMÅL

1.1 Parterne har aftalt levering af visse ydelser fra Databehandleren til den Dataansvarlige, som nærmere beskrevet i Databehandlerens Vilkår, som er accepteret af Kunden. I bilag 1 til denne aftale beskrives ydelserne omfattet af denne aftale (herefter ”Hovedydelserne”).

1.2 I den forbindelse behandler Databehandleren personoplysninger på vegne af den Dataansvarlige, hvorfor Parterne har indgået denne databehandleraftale med underliggende bilag (herefter ”Databehandleraftalen”)

1.3 Databehandleraftalen har til formål at sikre, at Databehandleren overholder den til enhver tid gældende persondataretlige regulering, herunder navnlig:

  • Databeskyttelsesloven, lov nr. 502 af 23. maj 2018, som afløser Persondataloven (lov 200-05-31 nr 429 med senere ændringer).
  • Persondataforordningen (Europaparlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016).
2. OMFANG

2.1 Databehandleren bemyndiges til at foretage behandling af personoplysninger på den Dataansvarliges vegne på de vilkår som er fastsat i Databehandleraftalen.

2.2 Databehandleren må alene behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige (herefter ”Instruks”) herunder også overførsel af personoplysninger til et tredjeland eller en international organisation, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser. Databehandleraftalen inkl. bilag udgør Instruksen på underskriftstidspunktet.

2.3 Instruksen kan til enhver tid ændres eller konkretiseres nærmere af den Dataansvarlige.

2.4 Databehandleren må, i det omfang andet ikke følger af Databehandleraftalen, benytte alle relevante hjælpemidler, herunder IT-systemer.

3. VARIGHED

3.1 Databehandleraftalen gælder indtil enten:

a) aftale(r)n(e) om levering af Hovedydelserne ophører eller

b) Databehandleraftalen opsiges eller ophæves.

3.2. Uanset Databehandleraftalens formelle aftaleperiode skal Databehandleraftale fortsætte med at gælde, så længe Databehandleren de facto behandler personoplysninger på vegne af den Dataansvarlige.

4. DATABEHANDLERENS FORPLIGTELSER

4.1 Tekniske og organisatoriske sikkerhedsforanstaltninger

4.1.1 Databehandleren har ansvaret for at gennemføre fornødne tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau. Foranstaltningerne skal gennemføres under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammensætning og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Databehandleren skal bl.a. tage kategorien af personoplysninger beskrevet i bilag 1 i betragtning ved fastlæggelsen af disse foranstaltninger.

4.1.2 Databehandleren gennemfører de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at Databehandlerens behandling af personoplysninger opfylder kravene i den til enhver tid gældende persondataretlige regulering.

4.2 Medarbejderforhold

4.2.1 Databehandleren skal sikre, at personer, der behandler personoplysninger for Databehandleren, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

4.2.2 Databehandleren skal sikre, at adgangen til personoplysningerne begrænses til de personer, for hvem det er nødvendigt at behandle personoplysninger for at kunne opfylde Databehandlerens forpligtelser over for den Dataansvarlige.

4.2.3 Databehandleren skal sikre, at personer, der behandler personoplysninger for Databehandleren, kun behandler disse i overensstemmelse med Instruksen.

4.2.4 Hvis Databehandleren vurderer, at en instruktion fra den Dataansvarlige er i strid med persondataforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller i lovgivningen i en medlemsstat, skal Databehandleren omgående, skriftligt orientere den Dataansvarlige herom.

4.3 Dokumentation for overholdelse af forpligtelser

4.3.1 Databehandleren skal på skriftlig anmodning dokumentere overfor den Dataansvarlige, at Databehandleren:

a) overholder sine forpligtelser efter Databehandleraftalen og Instruksen, og

b) overholder bestemmelserne i den til enhver tid gældende persondataretlige regulering, for så vidt angår de personoplysninger, som behandles på den Dataansvarliges vegne.

4.3.2 Ønsker den Dataansvarlige at modtage yderligere dokumentation efter pkt. 4.3.1 skal den Dataansvarlige konkretisere og specificere hvilken dokumentation der ønskes.
Databehandleren er dog altid forpligtet til at stille alle de oplysninger til rådighed for den Dataansvarlige, der er nødvendige for at påvise overholdelse af lovgivningsmæssige krav. Databehandleren skal derudover give mulighed for og bidrage til revisioner, herunder inspektioner, der foretage af den Dataansvarlige eller anden revisor, som er bemyndiget af den Dataansvarlige.

4.4 Sikkerhedsbrud

4.4.1 Databehandleren skal underrette den Dataansvarlige om brud på persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysningerne behandlet for den Dataansvarlige (herefter ”Sikkerhedsbrud”).

4.4.2 Sikkerhedsbrud skal meddeles til den Dataansvarlige uden unødig forsinkelse.

4.4.3 Databehandleren skal vedligeholde en fortegnelse over alle Sikkerhedsbrud. Fortegnelsen skal som minimum dokumentere følgende:

a) de faktiske omstændigheder omkring Sikkerhedsbruddet,

b) sikkerhedsbruddets virkninger, og

c) de trufne afhjælpningsforanstaltninger.

4.4.4. Fortegnelsen skal efter skriftlig anmodning stilles til rådighed for den Dataansvarlige eller tilsynsmyndighederne.

4.5 Bistand

4.5.1 Databehandleren skal i fornødent og rimeligt omfang bistå ved den Dataansvarliges opfyldelse af dennes forpligtelser ved behandling af personoplysningerne, der er omfattet af Databehandleraftalen og hvor Databehandlerens bistand er nødvendig, herunder ved:

a) under hensyntagen til behandlingens karakter assistere den Dataansvarlige med håndteringen af anmodninger fra en registreret under kapitel III i persondataforordningen. Databehandleren skal implementere passende tekniske og organisatoriske foranstaltninger til at bistå den Dataansvarlige med opfyldelse af dennes forpligtelse til at besvare sådanne anmodninger,

b) sikkerhedsbrud,

c) på anmodning fra den Dataansvarlige give denne alle nødvendige oplysninger til brug for en konsekvensanalyser i medfør af art. 35-36, herunder

d) forudgående høringer fra tilsynsmyndighederne.

4.5.2 Databehandleren skal herunder fremskaffe de oplysninger, der skal indgå i en anmeldelse til tilsynsmyndigheden, i det omfang Databehandleren er den nærmeste hertil.

4.5.3 Databehandleren har krav på betaling efter medgået tid og forbrugte materialer for bistand i medfør af dette punkt 4.5, forudsat at bistanden sker efter forudgående anmodning fra den Dataansvarlige. Databehandleren kan dog ikke kræve betaling for bistand i medfør af 4.5.1.b i det omfang der er tale om sikkerhedsbrud, der er opstår hos Databehandleren.

5. DEN DATAANSVARLIGES FORPLIGTELSER

5.1 Den Dataansvarlige skal sikre, at der er et lovligt behandlingsgrundlag for de personoplysninger Databehandleren behandler på vegne af den Dataansvarlige.

6. UNDERDATABEHANDLERE

6.1 Databehandleren må gøre brug af en tredjepart til behandlingen af personoplysninger for den Dataansvarlige (”Underdatabehandler”) i det omfang dette fremgår af:

a) bilag 2 til denne Databehandleraftale, eller

b) Instruks fra den Dataansvarlige.

6.2 Databehandleren og Underdatabehandleren skal indgå en skriftlig aftale, som pålægger Underdatabehandleren de samme databeskyttelsesforpligtelser, som påhviler Databehandleren (herunder i medfør af Databehandleraftalen).

6.3 Den Dataansvarlige skal på skriftlig anmodning have udleveret alle aftaler omfattet af pkt. 3 indgået med eventuelle Underdatabehandlere.

6.4 Underdatabehandleren handler herudover ligeledes alene på Instruks fra den Dataansvarlige. Al kommunikation med Underdatabehandleren varetages af Databehandleren, med mindre andet særskilt aftales. Enhver ændret eller konkretiseret Instruks fra den Dataansvarlige skal straks videregives af Databehandleren til Underdatabehandleren.

6.5 Databehandleren er direkte ansvarlig for Underdatabehandlerens behandling af personoplysninger på samme vis, som var behandling foretaget af Databehandleren selv.

7. TREDJELANDE OG INTERNATIONALE ORGANISATIONER

7.1 Databehandleren må kun overføre personoplysninger til tredjelande eller internationale organisationer i det omfang dette fremgår af Instruks fra den Dataansvarlige.

7.2 Overførsel af personoplysninger må i alle tilfælde kun ske i det omfang, det er tilladt ifølge den til enhver tid gældende persondataretlige regulering.

7.3 Databehandleren skal, i det omfang at overførslen ikke sker på baggrund af en konkret instruks fra den Dataansvarlige, sikre at der bliver indgået et lovligt overførselsgrundlag til overførsel af personoplysninger til et tredjeland eller til internationale organisationer uanset om dette må være i form af EU-Kommissionens standardkontrakter til overførsel af personoplysninger til tredjelande eller andet lovligt grundlag.

8. DATABEHANDLING UDENFOR INSTRUKSEN

8.1 Databehandleren kan behandle personoplysninger udenfor Instruksen i tilfælde, hvor det kræves af EU-retten eller national ret, som Databehandleren er underlagt.

8.2 Ved behandling af personoplysninger udenfor Instruksen skal Databehandleren underrette den Dataansvarlige om årsagen hertil. Underretningen skal ske, inden behandlingen foretages og skal indeholde en henvisning til de retlige krav, der ligger til grund for behandlingen.

8.3 Underretning skal ikke ske, hvis underretning vil være i strid med EU retten eller den nationale ret.

9. MISLIGHOLDELSE

9.1 Reguleringen af misligholdelse i aftale(r)n(e) om levering af Hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.

I tilfælde af at aftale(r)n(e) om levering af Hovedydelserne ikke tager stilling hertil, skal gældende rets almindelige misligholdelsesbeføjelser finde anvendelse på denne Databehandleraftale.

10. ANSVAR OG ANSVARSBEGRÆNSNING

10.1 Reguleringen af ansvar og ansvarsbegrænsninger i MarketingPlatforms forretningsvilkår finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.

11. FORCE MAJEURE

11.1 Reguleringen af force majeure i MarketingPlatforms forretningsvilkår finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.

12. OPSIGELSE OG OPHÆVELSE

12.1 Databehandleraftalen kan alene opsiges eller ophæves i overensstemmelse med bestemmelserne om opsigelse og ophævelse i MarketingPlatforms forretningsvilkår.

13. OPHØRSVIRKNING

13.1 Databehandlerens bemyndigelse til at behandle personoplysninger på vegne af den Dataansvarlige bortfalder ved Databehandleraftalens ophør, uanset årsag. Ophør reguleres af opsigelsesvarslet og effektuering, der er reguleret i MarketingPlatforms forretningsvilkår.

13.2 Databehandleren skal tilbagelevere, hvilket i praksis foregår som reguleret i MarketingPlatforms forretningsvilkår, alle personoplysninger (undtaget oplysninger beriget i Databehandlerens platform, samt statistik- og adfærdsdata), som Databehandleren har behandlet under denne Databehandleraftale, til den Dataansvarlige ved Databehandleraftalens ophør, i det omfang den Dataansvarlige ikke allerede er i besiddelse af personoplysningerne. Databehandleren er herefter forpligtet til, indenfor tidsfristerne defineret i i MarketingPlatforms forretningsvilkår, at slette alle personoplysninger fra den Dataansvarlige. Den Dataansvarlige kan anmode om fornøden dokumentation for, at dette er sket. I praksis foregår denne sletning ved en sletning af den Dataansvarliges adgang til Databehandlerens platform.

Undtaget herfor er den løbende 10 dages backup procedure som Databehandleren og Underdatabehandleren løbende foretager.

14. FORRANG

14.1 Såfremt der er modstrid mellem denne Databehandleraftale og Vilkårene (bilag 1) om levering af Hovedydelserne, har Vilkårene (bilag 1) forrang, med mindre andet følger direkte af Databehandleraftalen.

14.2 I tilfælde af uoverensstemmelse mellem bestemmelserne i denne Databehandleraftale og andre skriftlige eller mundtlige aftaler indgået mellem Parterne, skal bestemmelserne i denne Databehandleraftale have forrang. I tilfælde af uoverensstemmelse har bestemmelserne i denne Databehandleraftale dog ikke forrang, i det omfang der er fastsat strengere forpligtelser for Databehandleren og/eller dennes Underdatabehandler ved brug af Kommissionens standardkontrakter til overførsel af personoplysninger til tredjelande.

BILAG 1 – OPLYSNINGER OM BEHANDLINGEN

Databehandleren stiller en e-mail marketings- og automationsplatform til rådighed for den Dataansvarlige, som denne bl.a. kan benytte til udsendelse af nyhedsbreve og øvrige markedsføringshenvendelser og tiltag over for dennes kunder eller potentielle leads. Platformen kaldes MarketingPlatform.

Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige omfatter at Databehandleren stiller systemet MarketingPlatform til rådighed for den Dataansvarlige og herigennem opbevarer stamdata for den Dataansvarlige på virksomhedens servere.

Behandlingen omfatter følgende type personoplysninger om de registrerede:
– almindelige personoplysninger

Behandlingen omfatter men er ikke begrænset til nedenstående kategorier af personoplysninger:
– Navn, e-mailadresse, telefonnummer, mobilnummer, adresse, kundenummer samt øvrige
kontaktoplysninger
– Oplysninger om købshistorik, herunder frekvens samt øvrige oplysninger om produktpræferencer
– Oplysninger om markedsføringspræferencer samt permissions.

Behandlingen omfatter følgende kategorier af registrerede:
Personer, som har eller har haft samhandel med den Dataansvarlige og/ eller personer, der har givet samtykke til modtagelse af emails fra den Dataansvarlige.

Den Dataansvarlige kan selv oprette og nedlægge felter i datamodellen, og dermed udvide eller begrænse antallet af personoplysninger der opbevares.

Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige kan påbegyndes efter Databehandleraftalens ikrafttræden. Behandlingen har følgende varighed:
Behandlingen er ikke tidsbegrænset og varer indtil Databehandleraftalen opsiges eller ophæves af en af Parterne.

Uanset Databehandleraftalens formelle aftaleperiode, skal Databehandleraftalen vedblive at gælde, så længe Databehandleren behandler de personoplysninger for den Dataansvarlige.

BILAG 2 – UNDERDATABEHANDLERE

1. UNDERDATABEHANDLERE

1.1 Den Dataansvarlige giver hermed sin godkendelse til, at Databehandleren anvender følgende Underdatabehandlere:

a) Sentia Solutions A/S, Smedeland 32 2600 Glostrup, Danmark, CVR.nr. 25464737 (leverer den fysiske infrastruktur, hosting, herunder servere og sikkerhed) (under
udfasning).
b) Google Cloud Platform, server placeret indenfor EU med planlagt overflytning til Danmark så snart dette center åbner i 2020. CVR nr. 28866984

1.2 Den Dataansvarlige meddeler med Databehandleraftalen sin forudgående generelle skriftlige godkendelse til, at Databehandleren kan gøre brug af Underdatabehandlere. Databehandleren skal skriftligt underrette den Dataansvarlige om anvendelse af en Underdatabehandler forud for anvendelsens påbegyndelse med et varsel på 30 dage. Tilsvarende skal Databehandleren underrette den Dataansvarlige om ophør af brug af en Underdatabehandler.

1.3 Den Dataansvarlige har mulighed for at gøre indsigelser gældende mod en sådan Underdatabehandler i det omfang, der er en rimelig grund hertil.

SÆRLIGE VILKÅR

2.1 Den Dataansvarlige accepterer, at Databehandleren anvender standard applikationer (alene cloud hosting i EU hos Google), løsninger og hardware fra f.eks. Apple, Google og Microsoft. I det omfang at sådanne standard applikationer benyttes til at behandle personoplysninger på vegne af den Dataansvarlige, og der er tale om en Underdatabehandler til Databehandleren, har Databehandleren pligt til at orientere den Dataansvarlige herom og opliste leverandøren under punkt 1.1. i Bilag 2. Den Dataansvarlige har alene accepteret, at de personoplysninger der behandles på vegne af denne, behandles på lokationer angivet under bilag 2, punkt 1.1 samt databehandlerens lokation i Danmark. Accepten under dette punkt 2.1 er således ikke en accept af, at de personoplysninger, der behandles på vegne af den Dataansvarlige, kan behandles på øvrige lokationer eller overføres til lande udenfor EU/EØS.

[16741]
[16741]