i henhold til artikel 28 i den generelle forordning om databeskyttelse (GDPR)
mellem dig, som bruger af iubendas tjeneste
og
iubenda s.r.l Via San Raffaele, 1 20121 Milano Italien
juridisk repræsentant, Andrea Giannangelo
Genstanden for Databehandleraftalen følger af den hovedaftale, som parterne har underskrevet om levering af iubendas tjeneste ("Kontrakten"). Databehandleren skal udføre de behandlingsaktiviteter, der er beskrevet deri,
for så vidt angår følgende kategorier af personoplysninger:
der henviser til følgende kategorier af personoplysninger:
Denne Databehandleraftales løbetid er den samme som hovedaftalens løbetid.
Behandlingsaktiviteter må kun finde sted efter dokumenteret instruks fra den Dataansvarlige. Sådanne instrukser er indeholdt i Kontrakten og i denne Aftale. Databehandlingsaktiviteter i henhold til denne Databehandleraftale skal udføres inden for Den Europæiske Union (EU) eller Det Europæiske Økonomiske Samarbejdsområde (EØS). Hvis der sker overførsel af oplysninger til lande uden for EU eller EØS, skal dette ske i overensstemmelse med betingelserne i artikel 44 ff i den generelle databeskyttelsesforordning.
Databehandleren har vedtaget tekniske og organisatoriske foranstaltninger for at sikre, at behandlingsaktiviteter i henhold til denne Databehandleraftale udføres i overensstemmelse med gældende databeskyttelsesbestemmelser. Databehandleren har navnlig vedtaget sikkerhedsforanstaltninger for at sikre beskyttelsesstandarder, der er tilstrækkelige til at imødegå risikoen for systemernes fortrolighed, integritet, tilgængelighed og modstandsdygtighed, idet der tages hensyn til sandsynligheden for brud på datasikkerheden og alvoren af den risiko for fysiske personers rettigheder og frihedsrettigheder, der kan være en følge heraf. Tekniske og organisatoriske foranstaltninger skal altid overvåges og opdateres i overensstemmelse med det tekniske fremskridt og udviklingen for at opretholde eller øge databeskyttelsesstandarderne.
Databehandleren må ikke berigtige eller slette oplysninger eller begrænse behandlingen af oplysninger, der er omfattet af denne aftale, medmindre den Dataansvarlige giver instruks herom. Hvis en registreret person henvender sig til Databehandleren vedrørende en databehandlingsaktivitet i henhold til denne aftale, skal Databehandleren videresende en sådan henvendelse direkte til den Dataansvarlige.
Databehandleren skal overholde bestemmelserne i denne Databehandleraftale og alle gældende lovmæssige krav, navnlig dem, der følger af artikel 28-33 i den generelle databeskyttelsesforordning. Navnlig garanterer Databehandleren, at
Databehandleren har lagt en del af sine tjenester ud i underentreprise til tredjeparter, som – i det omfang det kræves i henhold til lovgivningen – er underlagt de samme forpligtelser og garantier, der er fastsat i denne Databehandleraftale og i gældende databeskyttelseslovgivning. Den Dataansvarlige kan anmode om en liste over de aktuelle underdatabehandlere, der anvendes af Databehandleren. Enhver ændring på denne liste skal meddeles den Dataansvarlige uden unødig forsinkelse, så den Dataansvarlige har mulighed for at gøre indsigelse. I tilfælde af indsigelse har Databehandleren ret til at opsige Kontrakten med den Dataansvarlige uden varsel.
Hvis der er en tvingende grund til det, kan den Dataansvarlige anmode om, at en uafhængig og anerkendt tredjepart foretager en inspektion eller revision af de databehandlingsaktiviteter, der udføres af Databehandleren i henhold til denne aftale. Inspektioner og revisioner skal aftales på forhånd med Databehandleren og foretages uden at forstyrre Databehandlerens sædvanlige forretningsaktiviteter. Databehandleren kan pålægge den Dataansvarlige at betale omkostningerne til sådanne revisioner eller inspektioner. Overholdelse af forpligtelserne i henhold til artikel 32-36 i den generelle databeskyttelsesforordning kan også dokumenteres i form af dokumentation for
Databehandleren skal bistå den Dataansvarlige med at opfylde forpligtelserne vedrørende personoplysningers sikkerhed, indberetning af brud på datasikkerheden, konsekvensanalyser vedrørende databeskyttelse og forudgående høringer, jf. artikel 32-36 i databeskyttelsesforordningen, herunder
Hvis den Dataansvarlige måtte kræve ændringer i behandlingen af personoplysninger i henhold til de dokumenterede retningslinjer, der er anført i pkt. 2, skal Databehandleren straks underrette den Dataansvarlige, hvis denne mener, at sådanne ændringer medfører overtrædelse af databeskyttelsesbestemmelserne. Databehandleren kan afholde sig fra at udføre enhver aktivitet, der kan føre til en sådan overtrædelse.
Når leveringen af tjenesterne er afsluttet, skal Databehandleren, efter den Dataansvarliges valg, slette eller returnere alle personoplysninger, der er indsamlet og behandlet i henhold til denne aftale, til den Dataansvarlige, medmindre en gældende lovbestemmelse, som Databehandleren er underlagt, kræver opbevaring af personoplysningerne. Under alle omstændigheder kan Databehandleren opbevare alle oplysninger, der er nødvendige for at påvise overensstemmende behandlingsaktiviteter efter Kontraktens ophør, i overensstemmelse med de lovbestemte opbevaringsperioder.