Databehandlingsaftale

1. Baggrund

1.1. Kunden ("den dataansvarlige") har accepteret de generelle vilkår og betingelser for raffle.ai ("databehandleren") og dermed indgået en aftale om den dataansvarliges brug af den licenserede software og SaaS-tjenesterne som defineret i aftalen. De specifikke behandlingsaktiviteter er beskrevet i aftalens punkt 12.2.

1.2. Den dataansvarlige har valgt databehandlerens service vedrørende anonymisering af personoplysninger på vegne af den dataansvarlige. Databehandleren vil derfor behandle personoplysninger på vegne af den dataansvarlige i en kort periode forud for databehandlerens anonymisering af personoplysningerne. Derfor indgås denne databehandleraftale (som defineret nedenfor) mellem den dataansvarlige og databehandleren som en obligatorisk aftale i henhold til artikel 28 i GDPR (som defineret nedenfor).

1.3. Den gældende databeskyttelseslovgivning (som defineret nedenfor) kræver, at der indgås en skriftlig aftale mellem en dataansvarlig og en databehandler, der behandler personoplysninger på vegne af den dataansvarlige, og som fastlægger behandlingenes genstand og varighed, arten og formålet med behandlingen, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder. Parterne har derfor indgået denne databehandlingsaftale.

1.4. Aftalen og databehandlingsaftalen er indbyrdes afhængige og kan ikke opsiges hver for sig.

1.5. I tilfælde af uoverensstemmelse mellem indholdet af Aftalen og Databehandleraftalen i forhold til databeskyttelsesforpligtelser, vil Databehandleraftalen have forrang uanset eventuelle tidligere aftaler mellem Parterne.

2. Definitioner

2.1. Begreber , der er defineret i aftalen, har samme betydning, når de anvendes i denne databehandlingsaftale, medmindre andet udtrykkeligt er angivet heri.

2.2. I denne databehandlingsaftale gælder følgende, medmindre sammenhængen tilsiger andet:

  1. "Aftalen" har den betydning, der er angivet i punkt 1.1.
  2. "Databehandlingsaftale" betyder denne databehandlingsaftale, herunder bilag 1.
  3. "Databeskyttelseslovgivning" betyder alle love i hele Det Europæiske Økonomiske Samarbejdsområde (EØS) og regler om beskyttelse af personoplysninger med de ændringer, der fra tid til anden måtte blive foretaget, herunder GDPR (som defineret nedenfor), relevant national lovgivning, herunder den danske persondatalov, samt, hvor det er relevant, de retningslinjer og regler, der udstedes af de kompetente tilsynsmyndigheder.
  4. Ved»den generelle forordning om databeskyttelse« eller»GDPR« forstås forordning (EU) 2016/679 (den generelle forordning om databeskyttelse) med eventuelle senere ændringer.
  5. Ved»tjenester« forstås de tjenester og leverancer, som databehandleren som leverandør leverer til den dataansvarlige som kunde i henhold til aftalen, herunder de behandlingsaktiviteter, der er beskrevet i punkt 12.2.

2.3. Udtrykkene "personoplysninger", "særlige kategorier af personoplysninger", "behandling", "dataansvarlig", "databehandler", "registreret", "tilsynsmyndighed", "pseudonymisering", "tekniske og organisatoriske foranstaltninger" og "brud på persondatasikkerheden", som anvendes i denne databehandleraftale, skal forstås i overensstemmelse med databeskyttelseslovgivningen, herunder databeskyttelsesforordningen.

3. Behandling af personoplysninger

3.2. De personoplysninger, der skal behandles af databehandleren, og kategorierne af registrerede er angivet i bilag 1 til denne databehandleraftale.

3.3. Den dataansvarlige skal sikre, at behandlingen af personoplysninger er baseret på et retsgrundlag i henhold til databeskyttelseslovgivningen.

3.4. Databehandleren må kun behandle personoplysningerne på grundlag af dokumenterede instrukser fra den dataansvarlige, medmindre dette er påkrævet i henhold til bindende europæiske Fagforening og -bestemmelser eller bindende lovgivning i en medlemsstat, som databehandleren er underlagt. I så fald skal databehandleren underrette den dataansvarlige om et sådant lovkrav inden behandlingen, medmindre den relevante lovgivning forbyder en sådan underretning af væsentlige hensyn til almenvellet.

3.5. Databehandleren skal sikre, at de personer, der er involveret i behandlingen af personoplysninger på vegne af den Dataansvarlige i henhold til Databehandleraftalen, enten har forpligtet sig til fortrolighed eller er underlagt en egentlig lovbestemt tavshedspligt, og at de kun behandler personoplysninger i overensstemmelse med Aftalen, Databehandleraftalen og Databeskyttelseslovgivningen.

3.6. Databehandleren skal tage de nødvendige skridt til at sikre, at enhver person, der handler under databehandlerens myndighed, og som har adgang til personoplysningerne, ikke behandler sådanne personoplysninger undtagen efter dokumenterede instruktioner fra den dataansvarlige.

3.7. Databehandleren skal på anmodning fra den dataansvarlige give adgang til alle nødvendige oplysninger, så den dataansvarlige kan sikre overholdelse af de forpligtelser, der er fastsat i databeskyttelseslovgivningen. Desuden skal databehandleren give tilladelse til og medvirke til eventuelle revisioner, herunder inspektioner, der gennemføres af den dataansvarlige eller en revisor, der er bemyndiget af den dataansvarlige. Databehandleren har ret til at modtage særskilt vederlag herfor.

3.8. Databehandleren skal straks underrette den dataansvarlige, hvis databehandleren mener, at en instruks fra den dataansvarlige er i strid med databeskyttelseslovgivningen.

4. Sikkerhedsforanstaltninger

4.1. Under hensyntagen til den aktuelle tekniske udvikling, omkostningerne ved gennemførelsen samt behandlingens art, omfang, sammenhæng og formål samt risikoen for krænkelse af fysiske personers rettigheder og frihedsrettigheder, uanset om denne risiko er af forskellig sandsynlighed og alvor, skal databehandleren træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der står i rimeligt forhold til risikoen.

4.2. Databehandleren skal ved hjælp af passende tekniske og organisatoriske foranstaltninger bistå den dataansvarlige med at opfylde dennes forpligtelse til at besvare anmodninger om udøvelse af den registreredes rettigheder som fastsat i databeskyttelseslovgivningen. Databehandleren skal modtage godtgørelse for den tid, der bruges på at bistå med besvarelsen af anmodninger vedrørende den registreredes rettigheder. Den konkrete godtgørelse aftales særskilt.

4.3. Databehandleren skal underrette den dataansvarlige uden unødig forsinkelse, så snart vedkommende bliver bekendt med et brud på persondatasikkerheden. Desuden skal databehandleren bistå den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser til (i) at dokumentere ethvert brud på persondatasikkerheden, (ii) at underrette den eller de relevante tilsynsmyndigheder om ethvert brud på persondatasikkerheden og (iii) at underrette de berørte personer om sådanne brud på persondatasikkerheden i overensstemmelse med artikel 33 og 34 i GDPR.

5. Underbehandling

5.1. Ved at underskrive denne databehandlingsaftale accepterer den dataansvarlige, at databehandleren kan inddrage underleverandører til at bistå med leveringen af tjenesterne. Nedenfor findes en liste over de underleverandører, der i øjeblikket er involveret i behandlingen af personoplysninger (i det følgende benævnt »underbehandlere«), samt de lande og faciliteter, hvor personoplysningerne behandles:

Info om databehandling

‍5.2. Eventuelle tilføjelser og/eller ændringer til listen vil blive meddelt den dataansvarlige via e-mail til den registrerede kundekontaktadresse. Hvis den dataansvarlige ønsker at gøre indsigelse mod underbehandlingen, skal den dataansvarlige meddele dette skriftligt, så snart ovennævnte meddelelse er modtaget. Den dataansvarliges indsigelse skal være konkret og begrundet. Manglende indsigelse fra den dataansvarlige betragtes som et samtykke til underbehandlingen.

5.3. Databehandleren skal sikre, at underbehandlingen er lovlig, og at alle underbehandlere påtager sig og er underlagt de samme vilkår og forpligtelser som databehandleren som beskrevet heri.

5.4. Databehandleren garanterer, at dens underdatabehandleres behandling af personoplysninger er lovlig. Databehandleren forbliver ansvarlig for alle handlinger og undladelser begået af dens underdatabehandlere samt for handlinger og undladelser begået af personer, der er ansat eller engageret af underdatabehandlerne, som om disse handlinger og undladelser var udført af databehandleren selv.

6. Overførsel af personoplysninger til et tredjeland

Ved at underskrive denne databehandleraftale accepterer den dataansvarlige, at databehandleren kan overføre personoplysninger til et tredjeland, dvs. et land uden for EØS. Databehandleren vil være forpligtet til at sikre, at en sådan overførsel til enhver tid er lovlig, herunder at der er et tilstrækkeligt beskyttelsesniveau for overførslen af personoplysningerne.

7. Databehandlerens generelle forpligtelser

Databehandleren skal bistå den dataansvarlige med at sikre overholdelse af enhver af den dataansvarliges forpligtelser i henhold til databeskyttelseslovgivningen, herunder f.eks. forpligtelser i henhold til artikel 35 (konsekvensanalyse vedrørende databeskyttelse) og artikel 36 (forudgående høring) i GDPR. Databehandleren er berettiget til at modtage særskilt kompensation for sådan bistand, og den konkrete kompensation aftales særskilt.

8. Ansvarlighed

Databehandleren er kun ansvarlig for skader forårsaget af behandling af personoplysninger, hvor databehandleren ikke har overholdt forpligtelserne i databeskyttelseslovgivningen, der specifikt er rettet mod databehandlere, eller hvor databehandleren har handlet uden for eller i strid med lovlige instruktioner fra den dataansvarlige. Databehandlerens samlede ansvar over for den dataansvarlige som følge af misligholdelse af denne databehandleraftale kan ikke overstige det samlede beløb, som den dataansvarlige har betalt til databehandleren i henhold til aftalen for de seneste tolv (12) måneder.

9. Opsigelse

9.1. Denne databehandlingsaftale ophører automatisk ved aftalens opsigelse eller udløb.

9.2. Parterne er enige om, at databehandleren ved opsigelse eller udløb af aftalen og/eller databehandlingsaftalen efter den dataansvarliges valg skal (i) returnere alle data, der behandles i henhold til aftalen og/eller databehandlingsaftalen, og eventuelle kopier heraf til den dataansvarlige, eller (ii) slette alle data, der behandles i henhold til aftalen og databehandlingsaftalen, og attestere over for den dataansvarlige, at dette er sket, herunder for at undgå tvivl slette sådanne data fra enhver computer, server og/eller enhver anden lagerenhed eller ethvert andet medie, medmindre europæisk Fagforening og/eller medlemslandets lovgivning kræver opbevaring af sådanne persondata.

10. Tillæg

Skematisk oversigt over kategorier af registrerede og typer af personoplysninger, der behandles

Indhold

Relaterede dokumenter

Kontakt vores dygtige specialister

Udfyld formularen, så kontakter vi dig for at hjælpe dig med at komme i gang med Raffle.

Fornavn

Efternavn

Telefonnummer

E-mail