Databehandlingsavtal

Databehandlingsavtal

  1. Definitioner och tolkning
    1. Såsom de används och definieras häri har följande termer följande betydelser:
    2. ”Dataskyddslagstiftning” avser den dataskyddslagstiftning som vid varje given tidpunkt gäller i Danmark, för närvarande Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), den danska dataskyddslagen (databeskyttelsesloven) och andra särskilda nationella regler, inklusive men inte begränsat till lagar, regler och bindande riktlinjer från myndigheter som gäller för behandling av personuppgifter. 
    3. ”Personuppgifter” avser all slags information som rör en identifierad eller identifierbar fysisk person. Om andra konfidentiella uppgifter än personuppgifter behandlas enligt avtalet, inkluderar varje hänvisning till personuppgifter även sådana andra konfidentiella uppgifter. 
    4. ”Tjänster” avser de produkter och/eller tjänster som ska levereras/tillhandahållas av Personuppgiftsbehandlaren enligt Avtalet (enligt definitionen nedan).
    5. Varje hänvisning till en lagbestämmelse ska anses omfatta alla senare återinföranden eller ändringar av bestämmelser.
  2. Bakgrund
    1. Parterna har ingått easyrate ApS användarvillkor (nedan kallade ”avtalet”). Som en del av tillhandahållandet av tjänsterna kommer personuppgiftsbiträdet att behandla personuppgifter för den personuppgiftsansvariges räkning.
    2. Parterna önskar nu ingå detta avtal i syfte att reglera personuppgiftsbiträdets behandling av personuppgifter och för att säkerställa att sådan behandling sker i enlighet med dataskyddslagstiftningen.

  3. Allmänna krav
    1. Personuppgiftsbehandlaren får endast behandla Personuppgifterna i enlighet med den Personuppgiftsbehandlarens dokumenterade skriftliga instruktioner. De databehandlingsuppgifter som Personuppgiftsbehandlaren utför för den Personuppgiftsbehandlarens räkning enligt detta Avtal anges i Bilaga 1.
    2. Personuppgiftsbehandlaren har rätt att behandla Personuppgifterna endast i syfte att tillhandahålla Tjänsterna och endast i den omfattning och på det sätt som är nödvändigt för att tillhandahålla Tjänsterna. 
    3. Om personuppgiftsbehandlaren är en juridisk person gäller bestämmelserna i detta avtal för alla anställda hos personuppgiftsbehandlaren. Personuppgiftsbehandlaren garanterar att dess anställda följer detta avtal.
  4. Utlämnande av personuppgifter
    1. Personuppgiftsbehandlaren får inte på något sätt ändra, ändra eller ändra innehållet i Personuppgifterna eller lämna ut Personuppgifterna till någon tredje part, såvida inte 1) annat uttryckligen anges i detta Avtal; 2) den Personuppgiftsbehandlaren på annat sätt skriftligen har bemyndigat och/eller instruerat Personuppgiftsbehandlaren att göra det; och/eller 3) sådant utlämnande krävs enligt tillämplig lagstiftning som Personuppgiftsbehandlaren omfattas av.
    2. Om utlämnandet omfattas av punkt 4.1.3) måste personuppgiftsbehandlaren underrätta den personuppgiftsansvarige om detta innan behandlingen av personuppgifterna påbörjas, såvida inte underrättelse av den personuppgiftsansvarige är förbjuden enligt unionsrätten eller den medlemsstatsrätt som personuppgiftsbehandlaren omfattas av.
  5. säkerhet
    1. Personuppgiftsbehandlaren ska genomföra lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda Personuppgifterna mot obehörig eller olaglig behandling och mot oavsiktlig eller olaglig förlust, förstörelse, skada, ändring eller röjande.  
    2. Vid fastställande av lämpliga tekniska och organisatoriska säkerhetsåtgärder måste personuppgiftsbehandlaren beakta aktuell tillgänglig teknik och teknisk utveckling, implementeringskostnaderna, behandlingens art, omfattning, sammanhang och syften, samt risker av varierande sannolikhet och allvar för fysiska personers rättigheter och friheter. 
    3. Personuppgiftsbehandlaren måste följa och säkerställa att dess anställda följer de särskilda datasäkerhetskrav som gäller för Personuppgiftsbehandlaren, inklusive men inte begränsat till (i) alla krav på säkerhetsåtgärder som skriftligen anmälts till Personuppgiftsbehandlaren, (ii) Personuppgiftsbehandlarens egna interna säkerhetsstandarder och (iii) de nationella säkerhetskraven i det land där Personuppgiftsbehandlaren är etablerad eller i det land där databehandlingen äger rum.
    4. Personuppgiftsbehandlaren ska hålla Personuppgifterna konfidentiella. Personuppgiftsbehandlaren ska vidta rimliga åtgärder för att säkerställa att varje anställd, ombud eller uppdragstagare som har tillgång till Personuppgifterna är pålitlig och trovärdig, och att de alla omfattas av sekretessåtaganden, tystnadsplikt eller lagstadgade sekretessskyldigheter. Personuppgiftsbehandlaren ska också i varje enskilt fall säkerställa att åtkomsten är strikt begränsad till de personer som behöver tillgång till de relevanta Personuppgifterna för att utföra de uppgifter som Personuppgiftsbehandlaren tilldelat dem, och att detta är absolut nödvändigt för tillhandahållandet av Tjänsterna, och att alla sådana personer: (i) är informerade om Personuppgifternas konfidentiella natur; (ii) har fått lämplig utbildning i förhållande till dataskyddslagstiftningen; och (iii) är medvetna om Personuppgiftsbehandlarens skyldigheter enligt detta Avtal.
    5. Den fysiska platsen för Personuppgiftsbehandlarens servrar, servicecenter etc., som används i samband med databehandlingen, framgår av Bilaga 1 till detta Avtal. Ändringar av den fysiska platsen ska skriftligen meddelas Personuppgiftsbehandlaren senast 30 dagar före en sådan ändring.
  6. Överföring av personuppgifter till tredjeländer
    1. Personuppgiftsbehandlaren får inte behandla eller få åtkomst till Personuppgifterna från eller överföra Personuppgifterna till något tredjeland utan föregående skriftligt samtycke från den personuppgiftsansvarige. 
    2. Om den personuppgiftsansvarige har lämnat sitt skriftliga samtycke till en överföring av personuppgifter till ett tredjeland, måste personuppgiftsbiträdet säkerställa att överföringen sker på laglig grund, t.ex. Europeiska kommissionens modellavtal för överföring av personuppgifter till tredjeländer, innan sådan överföring får göras av personuppgiftsbiträdet.
  7. Bistånd
    1. Personuppgiftsbiträdet ska bistå den personuppgiftsansvarige med att hantera förfrågningar från registrerade i samband med att den registrerade utövar sina rättigheter enligt dataskyddslagstiftningen, inklusive men inte begränsat till begäranden om åtkomst, rättelse, begränsning av behandling, radering eller dataportabilitet.
    2. Personuppgiftsbehandlaren ska, utan onödigt dröjsmål efter att ha blivit medveten om detta, skriftligen underrätta den personuppgiftsansvarige om varje begäran från en registrerad om utövande av sina rättigheter som mottagits direkt från den registrerade eller från en tredje part. 
    3. Personuppgiftsbehandlaren ska genomföra lämpliga tekniska och organisatoriska åtgärder för att bistå den personuppgiftsbehandlaren i fullgörandet av sin skyldighet att svara på sådana begäranden från den registrerade. Personuppgiftsbehandlaren ska tillhandahålla all information som den personuppgiftsbehandlaren begär inom den rimliga tid som den personuppgiftsbehandlaren anger.
    4. Personuppgiftsbehandlaren ska, omedelbart efter att ha blivit medveten om detta, skriftligen underrätta den personuppgiftsansvarige om alla misstänkta eller bekräftade (i) personuppgiftsincidenter; (ii) oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt utlämnande av eller åtkomst till Personuppgifter som behandlas av Personuppgiftsbehandlaren enligt detta Avtal; eller (iii) alla andra brister i efterlevnaden av Personuppgiftsbehandlarens skyldigheter enligt detta Avtal. Personuppgiftsbehandlaren ska samarbeta med och bistå den personuppgiftsansvarige i samband med hanteringen av personuppgiftsincidenten. Alla kostnader för dataåterställning ska betalas av Personuppgiftsbehandlaren. 
    5. Personuppgiftsbehandlaren ska bistå den personuppgiftsansvarige med att uppfylla alla andra skyldigheter som åligger den personuppgiftsansvarige enligt dataskyddslagstiftningen, inklusive, men inte begränsat till, att på begäran tillhandahålla den personuppgiftsansvarige all nödvändig information som krävs för att göra en konsekvensbedömning.
    6. Bearbetaren har rätt till separat ersättning för tjänster som utförs i enlighet med denna klausul 7 i enlighet med Bearbetarens från tid till annan standardtimpriser.
  8. Delbehandling
    1. Personuppgiftsbehandlaren får utse en tredje part att behandla Personuppgifter för Personuppgiftsbehandlarens räkning (”Underpersonuppgiftsbehandlare”) utan föregående skriftligt samtycke från Personuppgiftsbehandlaren, förutsatt att ett sådant utnämningsförfarande ska meddelas med två månaders varsel.
    2. Personuppgiftsbehandlarens utnämning av underpersonuppgiftsbehandlare enligt klausul 8.1 är villkorad av att personuppgiftsbehandlaren 1) utför adekvat due diligence (skalbar aktsamhet) hos varje underpersonuppgiftsbehandlare för att säkerställa att denne kan tillhandahålla den skyddsnivå för behandling av personuppgifter som krävs enligt detta avtal och dataskyddslagstiftningen; 2) inkluderar villkor i avtalet mellan personuppgiftsbehandlaren och varje underpersonuppgiftsbehandlare som, som ett minimum, ålägger underpersonuppgiftsbehandlaren samma skyldigheter som de som åligger personuppgiftsbehandlaren enligt detta avtal; och 3) förblir fullt ansvarig gentemot den personuppgiftsansvarige för eventuella underlåtenheter från en underpersonuppgiftsbehandlares sida att fullgöra sina skyldigheter avseende behandling av personuppgifter.
    3. Den personuppgiftsansvarige har rätt att, på begäran, när som helst få en lista över personuppgiftsbiträden.
    4. Den personuppgiftsansvarige har rätt att på begäran få en kopia av de delar av personuppgiftsbiträdets avtal med underpersonuppgiftsbiträdet som avser underpersonuppgiftsbiträdets skyldigheter avseende behandling av personuppgifter.
  9. Efterlevnad av lagstiftning etc.
    1. Den personuppgiftsansvarige är skyldig att säkerställa att det finns en rättslig grund för behandlingen av de personuppgifter som anges i den personuppgiftsansvariges instruktioner till personuppgiftsbiträdet som anges i bilaga 1. Om personuppgiftsbiträdet anser att en instruktioner utgör ett brott mot dataskyddslagstiftningen, ska personuppgiftsbiträdet omedelbart underrätta den personuppgiftsansvarige om detta skriftligen.
    2. Den personuppgiftsansvarige bekräftar att personuppgiftsbiträdet är beroende av den personuppgiftsansvarige för anvisningar gällande i vilken utsträckning personuppgiftsbiträdet har rätt att använda och behandla personuppgifterna för den personuppgiftsansvariges räkning. Följaktligen är personuppgiftsbiträdet inte ansvarigt för några anspråk som en registrerad person ställt till följd av personuppgiftsbiträdets handling eller underlåtenhet, i den utsträckning som sådan handling eller underlåtenhet var ett direkt resultat av att Tjänsterna utfördes i enlighet med den personuppgiftsansvariges instruktioner.
  10. Efterlevnadsrevisioner och uttalanden
    1. På begäran av den personuppgiftsansvarige ska personuppgiftsbiträdet inom rimlig tid tillhandahålla all information som är nödvändig för att den personuppgiftsansvarige, en tredjepartsrevisor som den personuppgiftsansvarige har utsett, eller en offentlig myndighet ska kunna kontrollera efterlevnaden av detta avtal och/eller dataskyddslagstiftningen.
    2. Personuppgiftsbehandlaren är skyldig att en gång per år med rimligt skriftligt meddelande samarbeta i sådan efterlevnadsrevision, inspektion och/eller granskning som utförs av den Personuppgiftsbehandlaren, en tredjepartsrevisor som utsetts av den Personuppgiftsbehandlaren, eller av en offentlig myndighet avseende behandling av Personuppgifter enligt detta Avtal som utförs av Personuppgiftsbehandlaren och eventuella Underpersonuppgiftsbehandlare.
    3. Den personuppgiftsansvarige har rätt att på egen bekostnad utse en oberoende expert som ska ha tillgång till personuppgiftsbiträdets fysiska lokaler där personuppgifterna behandlas och att erhålla den information som krävs för att kontrollera om personuppgiftsbiträdet uppfyller sina skyldigheter enligt detta avtal och dataskyddslagstiftningen. På personuppgiftsbiträdets begäran ska den oberoende experten underteckna ett sedvanligt sekretessförbindelse.
    4. Behandlaren kommer inte att erhålla någon separat ersättning för tjänster som utförs i samband med denna klausul 10 i enlighet med Behandlarens från tid till annan standardtimpriser.
  11. Varaktighet och uppsägning
    1. Detta avtal träder i kraft från och med avtalets ikraftträdandedatum och förblir i kraft tills avtalet sägs upp. 
    2. Båda parter har rätt att säga upp detta avtal på samma villkor som gäller för avtalet.
    3. Detta avtal ska gälla mellan parterna så länge personuppgiftsbiträdet behandlar personuppgifter för den personuppgiftsansvariges räkning.
    4. Vid uppsägning av detta avtal, oavsett anledning, ska personuppgiftsbiträdet 1) med undantag för punkt 3) nedan upphöra med behandlingen av personuppgifterna; 2) på begäran av den personuppgiftsansvarige, (i) återlämna till den personuppgiftsansvarige alla personuppgifter som denne innehar eller kontrollerar och alla kopior därav, eller (ii) förstöra alla kopior av desamma och intyga för den personuppgiftsansvarige att så har gjorts, såvida inte personuppgiftsbiträdet är förhindrat enligt tillämplig lag eller någon offentlig myndighet att förstöra eller återlämna hela eller delar av personuppgifterna, i vilket fall personuppgiftsbiträdet ska hålla sådana uppgifter konfidentiella, fortsätta att behandla dem i enlighet med villkoren i detta avtal och inte utföra någon annan behandling än vad som är nödvändigt för att uppfylla kraven i sådan tillämplig lag eller relevant offentlig myndighet; och 3) på den personuppgiftsansvariges begäran mot en särskild avgift tillhandahålla den personuppgiftsansvarige nödvändiga övergångstjänster, inklusive att samarbeta i god tro och i den mån som krävs. så snabbt som möjligt för att underlätta överföringen av databehandlingens prestanda till en ny databehandlare eller tillbaka till den personuppgiftsansvarige.
    5. Om Personuppgiftsbehandlaren inte har mottagit några instruktioner från den Personuppgiftsansvarige om återlämnande eller radering av Personuppgifterna en månad efter att detta Avtal upphört, har Personuppgiftsbehandlaren rätt att radera Personuppgifterna.
    6. Vid uppsägning av detta avtal, oavsett anledning, ska klausulerna 5.4, 9.2, 11.3 och 16 fortsätta att gälla på obestämd tid.
  12. Uppdrag
    1. Med undantag för vad som anges i klausul 8 får personuppgiftsbehandlaren inte överlåta eller på annat sätt överföra någon eller alla personuppgiftsbehandlarens rättigheter eller skyldigheter enligt detta avtal till någon tredje part (eller försöka göra det) utan den personuppgiftsbehandlarens föregående skriftliga medgivande.

  13. Hela avtalet
    1. Parterna är överens om att detta avtal utgör hela avtalet och överenskommelsen mellan parterna avseende innehållet i detta avtal och ersätter alla tidigare avtal mellan parterna avseende innehållet i detta avtal.
    2. Vid eventuell avvikelse mellan bestämmelserna i detta avtal och bestämmelserna i avtalet eller andra skriftliga eller muntliga avtal mellan parterna, ska bestämmelserna i detta avtal ha företräde. Oaktat ovanstående ska bestämmelserna i detta avtal inte tillämpas om personuppgiftsbehandlaren är underkastad strängare skyldigheter, t.ex. vid användning av Europeiska kommissionens modellavtal för överföring av personuppgifter till tredjeländer.
  14. Tillägg
    1. Villkoren, bestämmelserna, skyldigheterna eller villkoren i detta avtal får inte frångås eller ändras annat än genom ett skriftligt instrument undertecknat av båda parter.
    2. Om någon bestämmelse i detta avtal är eller blir olaglig, ogiltig eller inte verkställbar, måste sådan bestämmelse skiljas från de övriga villkoren, vilka fortsätter att vara giltiga och verkställbara i den utsträckning det är tillåtet enligt lag.
  15. Meddelanden
    1. Alla meddelanden som krävs enligt detta avtal måste ske skriftligen.
  16. Gällande lag
    1. Detta avtal regleras av och ska tolkas i enlighet med dansk lag, utan hänsyn till dess lagvalsregler.
    2. Lämplig domstol för eventuella tvister som uppstår på grund av eller i samband med detta avtal ska vara Köpenhamns tingsrätt. 

Bilaga 1 till databehandlingsavtalet

BESKRIVNING AV BEHANDLING AV PERSONUPPGIFTER

Denna bilaga utgör den personuppgiftsansvariges instruktion till personuppgiftsbiträdet.

Behandlingens föremål och varaktighet

Den personuppgiftsansvarige instruerar härmed personuppgiftsbiträdet att identifiera, samla in, aggregera, behandla och lagra personuppgifter, som anges i detta personuppgiftsbiträdesavtal, som mottagits direkt från den personuppgiftsansvarige genom tekniska systemintegrationer av de koder som tillhandahålls av personuppgiftsbiträdet eller manuell import via personuppgiftsbiträdets plattform eller genom att använda de API:er som tillhandahålls av personuppgiftsbiträdet och använda dessa uppgifter i syfte att analysera den personuppgiftsansvariges användares (registrerades) beteende och leverans av tjänsterna. Leverans av tjänster inkluderar men är inte begränsat till att kommunicera i den personuppgiftsansvariges namn med dess användare, i enlighet med den personuppgiftsansvariges konfiguration av Tjänsten.

Vid uppsägning av detta avtal ska personuppgifterna raderas oåterkalleligt så att det inte längre är möjligt att unikt identifiera fysiska personer. 

Behandlingens art och syfte

Personuppgiftsbehandlaren har rätt att samla in och behandla personuppgifterna för följande ändamål:

(i) beräkning av vinstöversikt samt liknande tjänster som beskrivs i Avtalet och på easyrate ApS webbplats,

(ii) leverans av konverterings- och händelsedata till optimerade annonser via Facebook, Instagram, Google, Bing-annonsnätverk och liknande,

(iii) andra ändamål som skriftligen angetts av den personuppgiftsansvarige.

Kategorier av personuppgifter

Behandlingen omfattar personuppgifter i de kategorier som beskrivs nedan. De säkerhetsåtgärder som vidtas av personuppgiftsbehandlaren och eventuella underpersonuppgiftsbehandlare måste tillhandahålla en säkerhetsnivå som är lämplig i förhållande till den risk som personuppgifternas känslighet utgör.

- Vanliga personuppgifter (artikel 6 i den allmänna dataskyddsförordningen):
- Identifierare (e-postadress, för- och efternamn eller adresser)
- Enhetens IP-adress (lagrad i anonymiserat format)
- Enhetens skärmupplösning, operativsystem, webbläsartyp
- Geografisk plats
- Besökta sidor
- Beställningar
- Hänvisande URL:er och domäner

Kategorier av registrerade

- Onlinekunder hos den kontrollören.


Plats(er) för databehandlingsanläggningar

- Alla underleverantörers platser (enligt beskrivningen nedan)


Underbiträden

Den personuppgiftsansvarige samtycker till användning av följande underbiträden:


Underbiträdesbehandlingsplats (land)

Server4you Tyskland
Amazon AWS Irland

Personuppgiftsbiträdet kommer att dela Personuppgifterna med annonsnätverk som Facebook, Instagram, Google och Bing i enlighet med den personuppgiftsansvariges konfiguration av Tjänsten. Den personuppgiftsansvarige är ansvarig för sin egen relation med dessa annonsnätverk, och dessa betraktas därför inte som underpersonuppgiftsbiträden.

Bilaga 2 till databehandlingsavtalet
BESKRIVNING AV DE TEKNISKA OCH ORGANISATORISKA SÄKERHETSÅTGÄRDERNA

Denna bilaga innehåller en beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som Personuppgiftsbehandlaren enligt Personuppgiftsavtalet är skyldig att implementera, följa och säkerställa att dess Underpersonuppgiftsbehandlare följer.

Personuppgiftsbehandlaren ska som minimum implementera följande tekniska och organisatoriska säkerhetsåtgärder för att säkerställa en adekvat skyddsnivå.

Utöver ovanstående implementeras följande specifika säkerhetsåtgärder: 

  • Åtkomst- och identifieringshantering (IAM). Dessutom är roller med överdrivna åtkomsträttigheter tydligt definierade och tilldelas endast ett begränsat antal specifika medarbetare. 
  • IT-resurser ses över och uppdateras minst en gång per år. 
  • Förändringshanteringsrutiner
  • Rutiner för rapportering och hantering av dataintrång, inklusive registrering av dataintrång tillsammans med detaljer om händelsen och efterföljande åtgärder som vidtagits. Dessutom utses specifik personal med nödvändigt ansvar, befogenhet och kompetens för att hantera verksamhetskontinuitet i händelse av en incident/personuppgiftsintrång. 
  • Alla anställda förstår sina ansvarsområden och skyldigheter i samband med behandling av personuppgifter. Roller och ansvarsområden kommuniceras tydligt under anställningsprocessen och/eller introduktionsprocessen. Anställda som är involverade i behandling av personuppgifter är bundna av specifika sekretessklausuler (enligt sitt anställningsavtal eller annan rättslig handling). 
  • Utbildning av anställda. 
  • Användarlösenord lagras i en "hashad" form. 
  • Loggning av relevanta IT-system. 
  • Databas- och applikationsservrar är konfigurerade på ett säkert sätt och behandlar endast de personuppgifter som faktiskt behövs för att uppnå behandlingsändamålen. 
  • När åtkomst sker via internet krypteras kommunikationen via kryptografiska protokoll (TLS/SSL), såvida inte den registeransvarige begär annat. 
  • Informationssystemets nätverk är separerat från processorns andra nätverk och i förekommande fall sker åtkomst till IT-systemet endast via förhandsgodkända enheter. 
  • Fullständiga säkerhetskopior utförs regelbundet. 
  • Där det bedöms relevant följs säkra utvecklingspraxis, ramverk eller standarder, och standarder och praxis för säker kodning följs. Information om tekniska sårbarheter i informationssystemet inhämtas. 
  • Flera omgångar av programvarubaserad överskrivning utförs på alla servermedier innan de kasseras. 
  • IT-systemets infrastrukturs fysiska omgivningar är inte åtkomliga för obehörig personal. 

Observera att easyrate ApS kan använda finansiella data om ditt företag på pseudonymiserad nivå för att generera aggregerad statistisk information. Den aggregerade statistiska informationen kan delas med tredje part (inklusive offentligt), men varken ditt företag eller information om ditt företag kommer att vara identifierbar. Eftersom dessa uppgifter avser företagets finansiella data faller de dessutom utanför ramen för ovannämnda databehandlingsavtal.