Definitioner og fortolkning

Som anvendt og defineret heri har følgende udtryk følgende betydning: ”Databeskyttelseslovgivning” betyder den til enhver tid gældende databeskyttelseslovgivning i Danmark, herunder i øjeblikket Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger samt om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), den danske databeskyttelseslov samt enhver anden særlig national regel, herunder – uden begrænsning – enhver lov, bekendtgørelse eller bindende retningslinje fra offentlige myndigheder, der finder anvendelse på behandling af personoplysninger. ”Personoplysninger” betyder enhver form for information om en identificeret eller identificerbar fysisk person. Hvis fortrolige oplysninger, der ikke udgør personoplysninger, behandles i henhold til denne aftale, skal enhver henvisning til personoplysninger også omfatte sådanne fortrolige oplysninger. ”Ydelser” betyder de produkter og/eller tjenester, som Databehandleren skal levere i henhold til kontrakten (som defineret nedenfor). Enhver henvisning til lovbestemmelser skal anses for også at omfatte eventuelle senere ændringer eller genudstedelser heraf.

Baggrund

Parterne har indgået Easyrate ApS’s Servicevilkår (herefter kaldet ”Kontrakten”).Som led i leveringen af ydelserne vil Databehandleren behandle personoplysninger på vegne af den Dataansvarlige. Parterne ønsker nu at indgå denne Databehandleraftale for at regulere behandlingen af personoplysninger og sikre, at denne behandling sker i overensstemmelse med gældende databeskyttelseslovgivning.

Generelle krav

Databehandleren må kun behandle personoplysninger i overensstemmelse med den Dataansvarliges dokumenterede skriftlige instrukser. De databehandlingsopgaver, som Databehandleren udfører på vegne af den Dataansvarlige, er beskrevet i Bilag 1. Databehandleren er alene berettiget til at behandle personoplysninger med henblik på levering af ydelserne og kun i det omfang, det er nødvendigt for at levere dem. Hvis Databehandleren er en juridisk person, gælder bestemmelserne i denne aftale for alle Databehandlerens medarbejdere. Databehandleren garanterer, at medarbejderne overholder denne aftale.

Videregivelse af personoplysninger

Databehandleren må ikke ændre, tilpasse eller på nogen måde ændre indholdet af personoplysninger eller videregive personoplysninger til tredjemand, medmindre

1. dette udtrykkeligt fremgår af denne aftale,
2. den Dataansvarlige har givet skriftlig tilladelse hertil, eller
3. videregivelsen er påkrævet i henhold til gældende lovgivning.

Hvis punkt 3) er relevant, skal Databehandleren underrette den Dataansvarlige, før behandlingen påbegyndes, medmindre en sådan underretning er forbudt i henhold til EU- eller national lovgivning.

Sikkerhed

Databehandleren skal implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte personoplysninger mod uautoriseret eller ulovlig behandling samt mod hændelig tab, ødelæggelse, beskadigelse eller videregivelse. Ved fastlæggelsen af passende sikkerhedsforanstaltninger skal Databehandleren tage hensyn til:

• den tilgængelige teknologi og udviklingen heraf,
• omkostningerne ved implementering,
• behandlingens karakter, omfang, kontekst og formål,
• samt de risici, der kan have betydning for de registreredes rettigheder og frihedsgrader.

Databehandleren skal sikre, at alle medarbejdere, agenter og underleverandører, der har adgang til personoplysninger, er pålidelige og underlagt tavshedspligt.Adgang må kun gives til personer, som har brug for oplysningerne for at udføre deres opgaver. Den fysiske placering af Databehandlerens servere, servicecentre mv. fremgår af Bilag 1. Enhver ændring skal meddeles skriftligt mindst 30 dage før ændringen.

Overførsel til tredjelande

Databehandleren må ikke behandle eller tilgå personoplysninger fra – eller overføre personoplysninger til – et tredjeland uden den Dataansvarliges forudgående skriftlige samtykke. Hvis samtykke gives, skal Databehandleren sikre, at overførslen sker på et lovligt grundlag, f.eks. ved brug af EU-Kommissionens standardkontrakter for tredjelandsoverførsler.

Bistand

Databehandleren skal bistå den Dataansvarlige med at håndtere henvendelser fra registrerede om udøvelse af deres rettigheder (indsigt, berigtigelse, sletning, dataportabilitet m.v.). Databehandleren skal uden unødig forsinkelse skriftligt underrette den Dataansvarlige om enhver sådan henvendelse. Databehandleren skal straks underrette den Dataansvarlige om enhver mistanke om eller bekræftet databrud samt samarbejde om håndteringen heraf.Eventuelle udgifter til datagendannelse bæres af Databehandleren.

Underleverandører (Sub-processorer)

Databehandleren må anvende underdatabehandlere uden forudgående samtykke fra den Dataansvarlige, forudsat at to måneders varsel gives. Databehandleren skal:

1. foretage passende due diligence af enhver underdatabehandler,
2. indgå en kontrakt med samme forpligtelser som denne aftale, og
3. forbliver fuldt ansvarlig over for den Dataansvarlige for underdatabehandlerens handlinger.

Den Dataansvarlige kan til enhver tid kræve en liste over eller indse dele af kontrakter med underdatabehandlere.

Overholdelse af lovgivning

Den Dataansvarlige skal sikre, at der foreligger et lovligt behandlingsgrundlag for de personoplysninger, der behandles. Hvis Databehandleren mener, at en instruks overtræder databeskyttelseslovgivningen, skal den straks underrette den Dataansvarlige.

Revision og kontrol

Efter anmodning skal Databehandleren give alle nødvendige oplysninger for at dokumentere overholdelsen af aftalen og lovgivningen. Den Dataansvarlige eller en udpeget tredjepart kan én gang årligt, med rimeligt varsel, gennemføre audit eller inspektion af Databehandlerens faciliteter.

Varighed og ophør

Denne aftale træder i kraft samtidig med kontrakten og gælder, så længe Databehandleren behandler personoplysninger på vegne af den Dataansvarlige. Ved ophør skal Databehandleren:

1. stoppe behandlingen,
2. efter instruks returnere eller slette alle personoplysninger, og
3. på anmodning yde nødvendig overgangsbistand mod betaling.

Hvis ingen instruktion er givet inden én måned efter ophør, må Databehandleren slette data.Visse bestemmelser forbliver gældende efter ophør (bl.a. tavshedspligt og ansvarsforhold).

Overdragelse

Databehandleren må ikke overdrage sine rettigheder eller forpligtelser til tredjemand uden den Dataansvarliges skriftlige samtykke.

Hele aftalen

Denne aftale udgør den fuldstændige aftale mellem parterne vedrørende databehandling og erstatter tidligere aftaler. I tilfælde af uoverensstemmelse mellem denne aftale og kontrakten har denne aftale forrang.

Ændringer

Ændringer skal ske skriftligt og underskrives af begge parter. Hvis en bestemmelse viser sig ugyldig, påvirkes de øvrige bestemmelser ikke.

Meddelelser

Alle meddelelser i henhold til aftalen skal være skriftlige.

Lovvalg og værneting

Aftalen er underlagt dansk ret. Enhver tvist afgøres ved Københavns Byret.

Bilag 1 – Beskrivelse af behandlingen af personoplysninger

Genstand og varighed

Databehandleren skal identificere, indsamle, sammenstille, behandle og hoste personoplysninger modtaget fra den Dataansvarlige via integrationer, manuelle importer eller API’er og anvende disse til at analysere brugeradfærd og levere de aftalte ydelser. Ved ophør skal alle personoplysninger slettes uigenkaldeligt.

Behandlingens art og formål

Databehandleren må indsamle og behandle personoplysninger med følgende formål:

1. Udarbejdelse af oversigter over indtjening m.v.
2. Levering af konverterings- og hændelsesdata til optimerede annoncer på Facebook, Instagram, Google, Bing m.fl.
3. Andre formål, som den Dataansvarlige skriftligt instruerer om.

Kategorier af personoplysninger

Behandlingen omfatter bl.a.: Almindelige personoplysninger (art. 6 GDPR):

• Identifikatorer (e-mail, navn, adresse)
• IP-adresse (anonymiseret)
• Skærmopløsning, styresystem, browser
• Geografisk placering
• Besøgte sider
• Ordrer
• Henvisende URL’er og domæner

Kategorier af personoplysninger

• Onlinekunder hos den Dataansvarlige.

Behandlingssteder

• Enhver lokalitet for underdatabehandlere (se nedenfor)

Underdatabehandlere

• Underdatabehandler
  • Server4you
  • Amazon AWS
• Land
  • Tyskland
  • Irland

Databehandleren kan desuden dele data med annoncenetværk som Facebook, Instagram, Google og Bing i overensstemmelse med den Dataansvarliges konfiguration af tjenesten. Disse betragtes ikke som underdatabehandlere, da forholdet håndteres direkte af den Dataansvarlige.

Bilag 2 – Tekniske og organisatoriske sikkerhedsforanstaltninger

Databehandleren skal som minimum implementere følgende foranstaltninger:

• Adgangs- og identitetsstyring (IAM) med klart definerede roller og rettigheder.
• Årlig gennemgang og opdatering af IT-ressourcer.
• Ændringsstyringsprocedurer.
• Procedurer for håndtering af databrud, inkl. registrering og afhjælpning.
• Udpegning af ansvarligt personale for beredskab ved databrud.
• Tavshedspligt for medarbejdere samt klar kommunikation af roller og ansvar.
• Træning i databeskyttelse.
• Adgangskoder opbevares hashed.
• Logging af relevante IT-systemer.
• Sikker konfiguration af databaser og servere.
• Kryptering (TLS/SSL) ved internetadgang.
• Netværkssegmentering og adgang kun fra autoriserede enheder.
• Regelmæssige backups.
• Sikker udviklingspraksis og sårbarhedshåndtering.
• Sikker sletning af medier via softwarebaseret overskrivning.
• Fysisk adgang kun for autoriseret personale.

Bemærk: Easyrate ApS kan anvende pseudonymiserede finansielle data til at udarbejde aggregere statistiske oplysninger, som kan deles offentligt. Disse data er ikke identificerbare og falder derfor uden for denne databehandleraftales anvendelsesområde.