Databehandleraftale

Denne databehandleraftale ("Aftale") indgås af og mellem dig, som

• Dataansvarlig

og

iubenda s.r.l
Via San Raffaele, 1
20121 Milano
Italien

juridisk repræsentant, Andrea Giannangelo

• Databehandler

---

1. Genstand, hovedaftale og løbetid

Genstanden for Kontrakten følger af den hovedaftale, som parterne har underskrevet om levering af iubendas tjenester ("Kontrakten"). Databehandleren skal udføre de behandlingsaktiviteter, der er beskrevet deri,

• for så vidt angår følgende kategorier af Personoplysninger:

  • kontakt- og kommunikationsoplysninger
  • betalingsoplysninger i forbindelse med fakturering
  • data, som brugeren har afgivet ved brug af generatoren, herunder virksomhedsoplysninger, Personoplysninger om nøglepersoner og medarbejdere
  • data, der leveres til brug for produktet Register over Databehandlingsaktiviteter
  • data vedrørende brug af iubendas hjemmeside, f.eks. data vedrørende support, analyser osv.
  • data vedrørende kundens brugere, herunder oplysninger om deres interaktion med iubendas værktøjer på kundens hjemmeside og oplysninger om samtykke til sporing, der indsamles via produkterne Privacy Controls and Cookie Solution, Consent Database, Newsletter Opt-in Booster, Complianz, Data Subject Rights Management Tool, WayWidget eller Registret over databehandlingsaktiviteter.

• og henviser til følgende kategorier af Registrerede:

  • kunder
  • kunders nøglepersoner, medarbejdere
  • tredjeparter, der handler på kundens vegne (f.eks. webbureauer)
  • kundernes kunder.

Uanset hvor den Dataansvarlige befinder sig, og medmindre andet er anført heri – især for så vidt angår Underdatabehandlere i henhold til pkt. 7 nedenfor – skal alle databehandlingsaktiviteter, der udføres af Databehandleren, udføres inden for Den Europæiske Union/Det Europæiske Økonomiske Samarbejdsområde (EU/EØS).

2. Definitioner

I denne Aftale skal disse udtryk have følgende betydninger, medmindre konteksten angiver andet:

1. "Aftale" henviser til denne Databehandleraftale og alle dens tilhørende Bilag og eventuelle ændringer hertil.

2. "Gældende databeskyttelseslovgivning" henviser til – alt efter omstændighederne – alle gældende love og bestemmelser om databeskyttelse, såsom for eksempel: (i) EU's generelle databeskyttelsesforordning (forordning 2016/679) ("GDPR"); (ii) Federal Act on Data Protection of Switzerland ("FADP"); (iii) Lei Geral de Proteção de Dados of Brazil No. 13.709/2018 ("LGPD"); (iv) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (Storbritanniens generelle databeskyttelsesforordning) ("UK GDPR").

3. "Dataansvarlig" betyder den enhed, som alene eller sammen med andre, fastsætter formålene med og metoden til Behandling af Personoplysninger.

4. "Registreret" betyder den person, som Personoplysningerne vedrører.

5. "ISO 27001-certificering" henviser til en bredt anerkendt international standard for forvaltning af informationssikkerhed. Den fastlægger kravene til etablering, implementering, vedligeholdelse og løbende forbedring af en organisations system til forvaltning af informationssikkerhed (ISMS). ISO 27001-certificering viser, at Databehandleren har implementeret en omfattende række sikkerhedskontroller og -foranstaltninger for at sikre fortroligheden, integriteten og tilgængeligheden af informationsaktiver og har gennemgået en uafhængig vurdering og revision foretaget af et certificeringsorgan med henblik på at verificere overholdelse af ISO 27001-standarden.

6. "Personoplysninger" betyder enhver oplysning om en identificeret eller identificerbar fysisk person; en identificerbar fysisk person er en person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en online-identifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.

7. "Behandling" betyder enhver operation eller række af operationer – med eller uden brug af automatiseret databehandling – som Personoplysninger eller en samling af Personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt sletning eller tilintetgørelse.

8. "Databehandler" betyder en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler Personoplysninger på den Dataansvarliges vegne

9. "Underdatabehandler" betyder en Databehandler, der er antaget af Databehandleren, og som accepterer at modtage Personoplysninger fra Databehandleren udelukkende med henblik på Behandlingsaktiviteter, der skal udføres på vegne af den Dataansvarlige, efter at denne har godkendt en sådan underentreprise.

10. "Tekniske og organisatoriske foranstaltninger" betyder de foranstaltninger, der har til formål at beskytte Personoplysninger mod hændelig eller ulovlig tilintetgørelse eller hændeligt tab, ændring, uautoriseret videregivelse eller adgang og mod alle andre ulovlige former for behandling.

Alle ord med stort begyndelsesbogstav, der ikke er defineret heri, skal have den betydning, der er angivet i GDPR, FADP, LGPD, UK GDPR og enhver Gældende Databeskyttelseslovgivning.

3. Behandling efter instruks

Databehandleren accepterer kun at behandle Personoplysningerne efter dokumenteret instruks fra den Dataansvarlige, herunder for så vidt angår overførsel af Personoplysninger til et tredjeland eller en international organisation, medmindre andet er fastlagt i henhold til Gældende Databeskyttelseslovgivning, som Databehandleren er underlagt.

4. Tekniske og organisatoriske foranstaltninger

Databehandleren forpligter sig til at implementere passende tekniske og organisatoriske foranstaltninger, der giver et sikkerhedsniveau, der passer til den risiko, der er forbundet med Behandlingen og typen af de Personoplysninger, der skal beskyttes. Disse foranstaltninger skal bl.a. beskytte Personoplysninger mod hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til Personoplysninger, der sendes, lagres eller på anden måde behandles.
Specifikke detaljer om disse foranstaltninger er beskrevet i Bilag I.

5. Udøvelse af rettigheder

Databehandleren er forpligtet til at hjælpe den Dataansvarlige med at sikre overholdelse af de Registreredes rettigheder i henhold til Gældende Databeskyttelseslovgivning.

Den Dataansvarliges rettigheder i henhold til denne aftale, herunder, men ikke begrænset til, retten til berigtigelse, begrænsning og sletning eller returnering af data, kan udøves via ticketsystemet eller ved at kontakte Databehandleren pr. e-mail på info@iubenda.com.

6. Kvalitetssikring og Databehandlerens øvrige forpligtelser

Databehandleren vil sikre kvaliteten af sine databehandlingsaktiviteter og overholde sine forpligtelser i henhold til Gældende Databeskyttelseslovgivning. Databehandleren vil:

1. Dokumentere og implementere procedurer: Databehandleren vil føre en fortegnelse over alle kategorier af behandlingsaktiviteter, der udføres på vegne af den Dataansvarlige, som indeholder de oplysninger, der kræves i henhold til Gældende Databeskyttelseslovgivning.

2. Dataminimering: Databehandleren vil sikre, at Personoplysningerne er tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles.

3. Datanøjagtighed: Databehandleren vil tage ethvert rimeligt skridt til at sikre, at Personoplysninger, der er unøjagtige i forhold til de formål, hvortil de behandles, slettes eller berigtiges uden forsinkelse.

4. Datatilgængelighed, integritet og fortrolighed: Databehandleren behandler Personoplysninger på en måde, der sikrer passende beskyttelse af Personoplysningerne, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse, beskadigelse eller afbrydelse, ved hjælp af passende tekniske eller organisatoriske foranstaltninger.

5. Samarbejde med den Dataansvarlige: Databehandleren vil bistå den Dataansvarlige med at opfylde forpligtelserne vedrørende Personoplysningers sikkerhed, indberetning af brud på Persondatasikkerheden til tilsynsmyndigheden, meddelelse af brud på Persondatasikkerheden til den Registrerede, konsekvensanalyser vedrørende databeskyttelse og forudgående høring i forbindelse med højrisikoprocesser.

6. Fortrolighed blandt medarbejdere: Databehandleren vil sikre, at dennes medarbejdere, der er involveret i Behandlingen af Personoplysninger, er informeret om Personoplysningernes fortrolige karakter, har modtaget passende uddannelse i deres ansvar og er omfattet af forpligtelser vedrørende fortrolighed og begrænsninger vedrørende brug, for så vidt angår Personoplysningerne.

7. Svar til Registrerede: Hvis Databehandleren modtager en anmodning fra en Registreret vedrørende Personoplysninger i henhold til en Gældende Databeskyttelseslov, vil Databehandleren henvise den Registrerede til at sende anmodningen til den Dataansvarlige, og Databehandleren vil underrette den Dataansvarlige om anmodningen så hurtigt, det er praktisk muligt.

8. Konsekvensanalyse vedrørende databeskyttelse (DPIA): På den Dataansvarliges anmodning vil Databehandleren give den Dataansvarlige de nødvendige oplysninger til at udføre en DPIA som krævet i henhold til Gældende Databeskyttelseslovgivning.

7. Underdatabehandlere

Den Dataansvarlige anerkender og accepterer, at Databehandleren kan bruge Underdatabehandlere til at udføre behandlingsaktiviteter i henhold til denne Aftale. De Underdatabehandlere, der p.t. anvendes, anses hermed for at være accepteret af den Dataansvarlige.

En oversigt over Underbehandlere kan rekvireres ved brug af ticketsystemet eller e-mailadressen info@iubenda.com.

Databehandleren forpligter sig til på forhånd at underrette den Dataansvarlige om enhver planlagt udskiftning af Underdatabehandlere og til at indhente den Dataansvarliges godkendelse, før en sådan udskiftning foretages. Databehandleren skal under alle omstændigheder pålægge Underdatabehandlere de samme databeskyttelsesforpligtelser som dem, der er fastlagt i denne Aftale.

8. Revision

Databehandleren skal ved anmodning derom stille alle de oplysninger til rådighed for den Dataansvarlige, der er nødvendige for at dokumentere overholdelse af de forpligtelser, der er fastlagt i denne Aftale, og tillade og bidrage til revisioner, herunder inspektioner, der udføres af den Dataansvarlige eller en anden revisor, der er bemyndiget af den Dataansvarlige.

Inspektioner og revisioner skal aftales på forhånd med Databehandleren og foretages uden at forstyrre Databehandlerens sædvanlige forretningsaktiviteter. Databehandleren kan pålægge den Dataansvarlige at betale omkostningerne til sådanne revisioner eller inspektioner.

9. Brud på persondatasikkerheden

Databehandleren vil sørge for egnede procedurer og teknologier til at opdage, forhindre og reagere på brud på datasikkerheden.

I tilfælde af et brud på Persondatasikkerheden vil Databehandleren straks og uden unødig forsinkelse underrette den Dataansvarlige derom. Denne meddelelse vil indeholde:

• en beskrivelse af overtrædelsens art, herunder, hvor det er muligt, kategorierne og det omtrentlige antal berørte registrerede og kategorierne samt det omtrentlige antal berørte dataposter
• navn og kontaktoplysninger på Databehandlerens databeskyttelsesansvarlige eller et andet kontaktpunkt, hvor der kan indhentes flere oplysninger
• en beskrivelse af de sandsynlige konsekvenser af bruddet
• en beskrivelse af de foranstaltninger, der er truffet eller foreslås truffet af Databehandleren for at håndtere bruddet, herunder, hvor det er relevant, foranstaltninger til at afbøde eventuelle negative virkninger af bruddet.

Databehandleren dokumenterer alle brud på Persondatasikkerheden, herunder fakta vedrørende bruddet på Persondatasikkerheden, dets virkninger og de afhjælpende foranstaltninger, der er truffet. Databehandleren vil også bistå den Dataansvarlige med at sikre overholdelse af den Dataansvarliges forpligtelser i henhold til gældende databeskyttelseslovgivning vedrørende underretninger om sikkerhedsbrud til myndighederne og berørte personer.

Databehandleren vil ikke formidle oplysninger om bruddet på Persondatasikkerheden til nogen tredjepart eller til den berørte Registrerede uden forudgående skriftligt samtykke fra den Dataansvarlige, medmindre en sådan kommunikation er påkrævet i henhold til Gældende Databeskyttelseslovgivning. Databehandleren forstår og accepterer, at enhver undladelse af at hjælpe den Dataansvarlige som beskrevet i denne Artikel kan føre til sanktioner og bøder, som Databehandleren vil blive holdt ansvarlig for.

Denne Artikel berører ikke nogen rettigheder eller retsmidler, som den Dataansvarlige måtte have i henhold til denne Aftale eller Gældende Databeskyttelseslovgivning.

10. Dataopbevaring

I hele denne Aftales løbetid skal Databehandleren opbevare alle personoplysninger, der er indsamlet og behandlet i henhold til Aftalen, så længe det er nødvendigt for levering af tjenesterne, medmindre de slettes forinden af den Dataansvarlige.

Dataopbevaring for aktive brugere af loggen over indstillinger for cookies og samtykke
Uden at det berører ovenstående, vil Databehandleren opbevare dokumentation for cookiesamtykke indsamlet via loggen over indstillinger for cookies og samtykke med en maksimal opbevaringsperiode på fem år fra datoen for indsamlingen, hvilket gør det muligt for den Dataansvarlige at fremfinde sådan dokumentation i op til fem år. Den Dataansvarlige bevarer til enhver tid retten til at begrænse den maksimale opbevaringsperiode vedrørende dokumentation for cookiesamtykke eller til at anmode om sletning af sådan dokumentation tidligere end den angivne periode på fem år.

Dataopbevaring ved tjenestens ophør
Ved ophør af denne Aftale (uanset årsag), eller tidligere, hvis den Dataansvarlige beder om det, skal Databehandleren efter den Dataansvarliges valg slette eller returnere alle øvrige personoplysninger, der er indsamlet og behandlet i henhold til denne Aftale, medmindre Databehandleren er forpligtet til at opbevare sådanne personoplysninger i henhold til gældende lovbestemmelser. Medmindre den Dataansvarlige har givet instruks om tidligere sletning, vil Databehandleren opbevare sådanne øvrige personoplysningerne i seks måneder efter kontraktens ophør og leveringen af tjenesterne, og alene med det formål at gøre det muligt for den Dataansvarlige at eksportere sine data, og efter denne seksmåneders periode skal Databehandleren slette alle sådanne personoplysninger.

Uanset ovenstående har Databehandleren ret til at gemme alle oplysninger, der er nødvendige for at dokumentere Databehandlerens systematiske og overensstemmende behandling, i overensstemmelse med lovbestemte opbevaringsperioder, selv efter at leveringen af tjenesterne er afsluttet og kontrakten er ophørt.

Bilag I

BILAG I – TEKNISKE OG ORGANISATORISKE FORANSTALTNINGER

I overensstemmelse med Databehandlerens UNI CEI EN ISO/IEC ISO 27001:2017-certificering er følgende centrale elementer implementeret som tekniske og organisatoriske foranstaltninger:

1. Informationssikkerhedspolitikker: Databehandleren har etableret og gennemgår regelmæssigt en informationssikkerhedspolitik, der giver retning og hjælp til informationssikkerhed i overensstemmelse med forretningsmæssige krav og relevante love og regler.

2. Organisering af informationssikkerhed: Databehandleren uddelegerer ansvar for specifikke opgaver for at sikre effektiv styring af informationssikkerhed.

3. Sikkerhed for menneskelige ressourcer: Databehandleren har implementeret sikkerhedspraksisser for medarbejdere og kontraktsparter i deres ansættelses- og projektperiode.

4. Forvaltning af aktiver: Databehandleren fører en fortegnelse over aktiver og har defineret passende beskyttelsesansvar.

5. Adgangskontrol: Databehandleren sikrer, at medarbejdere og kontraktsparter kun har adgang til de oplysninger og aktiver, der er forbundet med deres jobfunktion.

6. Kryptografi: Databehandleren bruger kryptering og nøgle til beskyttelse af oplysninger.

7. Fysisk og miljømæssig sikkerhed: Databehandleren sikrer kontorer, lokaler og faciliteter for at forhindre uautoriseret fysisk adgang, skade og forstyrrelse af Databehandlerens lokaler og oplysninger.

8. Driftssikkerhed: Databehandleren sikrer korrekt og sikker drift af informationsbehandlingsfaciliteter.

9. Kommunikationssikkerhed: Databehandleren implementerer netværk og informationsoverførsler på en sikker måde.

10. Anskaffelse, udvikling og vedligeholdelse af systemer: Databehandleren sikrer, at informationssikkerhed er en integreret del af systemerne i hele deres livscyklus.

11. Leverandørforhold: Databehandleren beskytter Databehandlerens aktiver, som er tilgængelige for leverandører.

12. Håndtering af hændelser: Databehandleren håndterer informationssikkerhedshændelser og varetager forbedringer.

13. Kontinuitetsstyring: Databehandleren sikrer kontinuiteten i informationssikkerhedsstyringen i tilfælde af driftsforstyrrelser.

14. Overholdelse: Databehandleren overholder juridiske bestemmelser, lovbestemmelser og kontraktkrav samt Databehandlerens politikker og procedurer.

15. Sikkerhed i skyen: Databehandleren har implementeret yderligere cloud-sikkerhedsforanstaltninger til beskyttelse af dataintegritet, tilgængelighed og fortrolighed. Disse foranstaltninger omfatter, men er ikke begrænset til, sikker dataoverførsel, sikre softwaregrænseflader, sikker datalagring, brugeridentitet og adgangsstyring samt infrastruktursikkerhed. Databehandleren gennemfører også regelmæssige sikkerhedsrevisioner af sit cloud-miljø for at identificere og håndtere potentielle sårbarheder.

Yderligere oplysninger om Databehandlerens ISO 27001-certificering, herunder en kopi af selve certifikatet, kan fås ved henvendelse via Databehandlerens ticketsystem eller via e-mail.