Vores Databehandleraftale

Databehandleraftale

indgået mellem

[Virksomhed]
CVR-nr.: []
[Adresse]
(den 'Dataansvarlige')

og

Merc IT ApS
CVR-nr.: 29 78 56 43
Egelundsvej 18
5260 Odense S
('Databehandleren')

Den Dataansvarlige og Databehandleren kaldes tilsammen 'Parterne' og hver for sig en 'Part'


Version 1.0 af 9. maj 2018

1. BAGGRUND OG FORMÅL

1.1 Parterne har aftalt levering af visse ydelser fra Databehandleren til den Dataansvarlige, som nærmere beskrevet i Parternes særskilte aftale herom samt bilag 1 til denne aftale ('Hovedydelserne').

1.2 I den forbindelse behandler Databehandleren personoplysninger på vegne af den Dataansvarlige, hvorfor Parterne har indgået denne aftale med underliggende bilag ('Databehandleraftalen')

1.3 Databehandleraftalen har til formål at sikre, at Databehandleren overholder den til enhver tid gældende persondataretlige regulering, herunder navnlig:
• persondataloven (lov 2000-05-31 nr. 429 med senere ændringer)
• persondataforordningen (Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016), når denne får virkning.

2. OMFANG

2.1 Databehandleren bemyndiges til at foretage behandling af personoplysninger på den Dataansvarliges vegne på vilkårene fastsat i Databehandleraftalen.

2.2 Databehandleren må alene behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige ('Instruks').

2.3 Instruksen kan til enhver tid ændres eller konkretiseres nærmere af den Dataansvarlige.

3. VARIGHED

3.1 Databehandleraftalen gælder indtil enten (a) aftale(r)n(e) om levering af Hovedydelserne ophører eller (b) Databehandleraftalen opsiges eller ophæves.

4. DATABEHANDLERENS FORPLIGTELSER

4.1 Tekniske og organisatoriske sikkerhedsforanstaltninger
4.1.1 Databehandleren har ansvaret for at gennemføre fornødne (a) tekniske og (b) organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau. Foranstaltningerne skal gennemføres under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostninger-ne og den pågældende behandlings karakter, omfang, sammensætning og formål samt ri-siciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsret-tigheder. Databehandleren skal bl.a. tage kategorien af personoplysninger beskrevet i bilag 1 i betragtning ved fastlæggelsen af disse foranstaltninger.
4.1.2 Databehandleren skal uanset punkt 4.1.1 gennemføre de tekniske og organisatoriske sikkerhedsforanstaltninger som fremgår af aftale(r)n(e) om levering af Hovedydelserne.
4.1.3 Databehandleren gennemfører de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at Databehandlerens behandling af personoplysninger opfylder kravene i den til enhver tid gældende persondataretlige regulering.

4.2 Medarbejderforhold
4.2.1 Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
4.2.2 Databehandleren skal sikre, at adgangen til personoplysningerne begrænses til de medarbejdere, for hvem det er nødvendigt at behandle personoplysninger for at kunne opfylde Databehandlerens forpligtelser over for den Dataansvarlige.
4.2.3 Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, kun behandler disse i overensstemmelse med Instruksen.

4.3 Dokumentation for overholdelse af forpligtelser
4.3.1 Databehandleren skal på skriftlig anmodning dokumentere overfor den Dataansvarlige, at Databehandleren:
a) overholder sine forpligtelser efter denne Databehandleraftale og Instruksen.
b) overholder bestemmelserne i den til enhver tid gældende persondataretlige regulering, for så vidt angår de personoplysninger, som behandles på den Dataansvarliges vegne.
4.3.2 Databehandlerens dokumentation heraf skal ske inden rimelig tid.

4.4 Sikkerhedsbrud
4.4.1 Databehandleren skal underrette den Dataansvarlige om brud på persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysningerne behandlet for den Dataansvarlige ('Sikkerhedsbrud').
4.4.2 Sikkerhedsbrud skal meddeles til den Dataansvarlige uden unødig forsinkelse.
4.4.3 Databehandleren skal vedligeholde en fortegnelse over alle Sikkerhedsbrud. Fortegnelsen skal som minimum dokumentere følgende:
a) De faktiske omstændigheder omkring Sikkerhedsbruddet,
b) Sikkerhedsbruddets virkninger, og
c) de trufne afhjælpningsforanstaltninger.
4.4.4 Fortegnelsen skal efter skriftlig anmodning stilles til rådighed for den Dataansvarlige eller tilsynsmyndighederne.

4.5 Bistand
4.5.1 Databehandleren skal i fornødent og rimeligt omfang bistå ved den Dataansvarliges opfyldelse af dennes forpligtelser ved behandling af personoplysningerne, der er omfattet af denne Databehandleraftale, herunder ved:
a) besvarelser til registrerede ved udøvelse af disses rettigheder,
b) Sikkerhedsbrud,
c) konsekvensanalyser, og
d) forudgående høringer fra tilsynsmyndighederne.

5. UNDERDATABEHANDLERE

5.1 Databehandleren må kun gøre brug af en tredjepart til behandlingen af personoplysninger for den Dataansvarlige ('Underdatabehandler') i det omfang dette fremgår af:
a) bilag 2 til denne Databehandleraftale, eller
b) Instruks fra den Dataansvarlige.

5.2 Databehandleren og Underdatabehandleren skal indgå en skriftlig aftale, som pålægger Underdatabehandleren de samme databeskyttelsesforpligtelser, som påhviler Databehandleren (herunder i medfør af denne Databehandleraftale).

5.3 Underdatabehandleren handler herudover ligeledes alene på Instruks fra den Dataansvarlige. Al kommunikation med Underdatabehandleren varetages af Databehandleren, med mindre andet særskilt aftales. Enhver ændret eller konkretiseret Instruks fra den Dataansvarlige skal straks videregives af Databehandleren til Underdatabehandleren.

5.4 Databehandleren er direkte ansvarlig for Underdatabehandlerens behandling af personoplysninger på samme vis, som var behandling foretaget af Databehandleren selv.

6. DATABEHANDLING UDENFOR INSTRUKSEN

6.1 Databehandleren kan behandle personoplysninger udenfor Instruksen i tilfælde, hvor det kræves af EU-retten eller national ret, som Databehandleren er underlagt.

6.2 Ved behandling af personoplysninger udenfor Instruksen skal Databehandleren underrette den Dataansvarlige om årsagen hertil. Underretningen skal ske, inden behandlingen foretages og skal indeholde en henvisning til de retlige krav, der ligger til grund for behandlingen.

6.3 Underretning skal ikke ske, hvis underretning vil være i strid med EU-retten eller den nationale ret.

7. VEDERLAG OG OMKOSTNINGER

7.1 Parterne har alene krav på betaling for opfyldelse af denne Databehandleraftale, hvis dette konkret er angivet heri eller i aftale(r)n(e) om levering af Hovedydelserne.

7.2 En Part har uanset ovenstående ikke krav på betaling for assistance eller implementering af ændringer i det omfang, sådan assistance eller ændring er en direkte følge af Parternes misligholdelse af denne Databehandleraftale.

8. MISLIGHOLDELSE

8.1 Reguleringen af misligholdelse i aftale(r)n(e) om levering af Hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf. I tilfælde af at aftale(r)n(e) om levering af Hovedydelserne ikke tager stilling hertil, skal gældende rets almindelige misligholdelsesbeføjelser finde anvendelse på denne Databehandleraftale.

9. ANSVAR OG ANSVARSBEGRÆNSNINGER

9.1 Reguleringen af ansvar og ansvarsbegrænsninger og i aftale(r)n(e) om levering af Hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.

9.2 Parterne er ansvarlige i overensstemmelse med gældende rets almindelige regler, dog med de begrænsninger der følger af dette afsnit.

10. FORCE MAJEURE

10.1 Reguleringen af force majeure i aftale(r)n(e) om levering af Hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.

10.2 Databehandleren kan ikke gøres ansvarlig for forhold, der almindeligvis må betegnes som force majeure, herunder, men ikke begrænset til, krig, optøjer, terror, opstand, strejke, ildsvåde, naturkatastrofer, valutarestriktioner, import- eller eksportrestriktioner, afbrydelse af almindelig samfærdsel, afbrydelse af eller svigt i energiforsyningen, offentlige dataanlæg og kommunikationssystemer, længerevarende sygdom hos nøglemedarbejdere, virus samt indtrædelse af force majeure hos underleverandører.

10.3 Force majeure kan højst gøres gældende med det antal arbejdsdage, som force majeure-situationen varer.

11. FORTROLIGHED

11.1 Reguleringen af fortrolighed i aftale(r)n(e) om levering af Hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.

11.2 Information vedrørende indholdet af denne Databehandleraftale, de underliggende Hovedydelser, den anden Parts forretning, der enten i forbindelse med overgivelsen til den modtagende Part er angivet som fortrolig information, eller som efter sin natur eller i øvrigt klart må opfattes som fortrolig, skal behandles fortroligt og med mindst samme omhu og diskretion som partens egne fortrolige informationer. Data, herunder persondata, udgør altid fortrolige informationer.

11.3 Fortrolighedsforpligtelsen gælder dog ikke for information, som er eller bliver offentlig tilgængelig, uden dette skyldes brud på en Parts fortrolighedsforpligtelse eller information, som allerede er i den modtagende Parts besiddelse uden tilsvarende fortrolighedsforpligtelse eller information, som selvstændigt er udviklet af den modtagende Part.

12. OPHØR

12.1 Opsigelse og ophævelse
12.1.1 Databehandleraftalen kan alene opsiges eller ophæves i overensstemmelse med bestemmelserne om opsigelse og ophævelse i aftale(r)n(e) om levering af Hovedydelserne.
12.1.2 Opsigelse eller ophævelse af denne Databehandleraftale kan alene ske ved – og berettiger til - samtidig opsigelse eller ophævelse af dele af aftale(r)n(e) om levering af Hovedydelserne, der vedrører behandling af personoplysninger i medfør af Databehandleraftalen.

12.2 Virkning af ophør
12.2.1 Databehandlerens bemyndigelse til at behandle personoplysninger på vegne af den Dataansvarlige bortfaller ved Databehandleraftalens ophør, uanset årsag.
12.2.2 Databehandleren må fortsat behandle personoplysningerne i op til syv måneder efter Databehandleraftalens ophør, i det omfang dette er nødvendigt for at fortage nødvendige lovpligtige foranstaltninger. I samme periode er Databehandleren berettiget til at lade personoplysningerne indgå i Databehandlerens sædvanlige backupprocedure. Databehandlerens behandling i denne periode anses fortsat for at ske under overholdelse af Instruksen.
12.2.3 Databehandleren og dennes Underdatabehandlere skal tilbagelevere alle personoplysninger, som Databehandleren har behandlet under denne Databehandleraftale, til den Dataansvarlige ved Databehandleraftalens ophør, i det omfang den Dataansvarlige ikke allerede er i besiddelse af personoplysningerne. Databehandleren er herefter forpligtet til at slette alle personoplysninger fra den Dataansvarlige. Den Dataansvarlige kan anmode om fornøden dokumentation for, at dette er sket.

13. TVISTLØSNING

13.1 Reguleringen af tvistløsning, inkl. lovvalg og værneting, i aftale(r)n(e) om levering af Hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.

13.2 Databehandleraftalen er underlagt dansk ret med undtagelse af (a) regler, der fører til anvendelse af anden lov end dansk lov samt (b) FN-konventionen om internationale løsørekøb (CISG).

13.3 Opstår der uoverensstemmelser i forbindelse med Databehandleraftalen eller dens gennemførelse, skal Parterne med en positiv, samarbejdende og ansvarlig holdning søge at indlede forhandlinger med henblik på at løse tvisten. Om nødvendigt skal forhandlingerne søges løftet op på direktionsniveau i Parternes organisationer.

13.4 Kan Parterne ikke opnå en løsning ved forhandling, er Parterne berettiget til at kræve tvisten afgjort endeligt ved retssag ved de almindelige domstole. Retten i Odense er valgt som værneting. Retsplejelovens henvisningsregler til Landsret og Sø- og Handelsret skal dog fortsat finde anvendelse.

14. FORRANG

14.1 Såfremt der er modstrid mellem denne Databehandleraftale og aftale(r)n(e) om levering af Hovedydelserne, har denne Databehandleraftale forrang, med mindre andet følger direkte af Databehandleraftalen.


BILAG 1: HOVEDYDELSEN

1. HOVEDYDELSEN

1.1 Hovedydelsen består i markedsføring, levering af adgang og support til systemet og tilknyttede moduler, hvor aftaleforhold er beskrevet i Licensaftalen for det pågældende system.

2. PERSONOPLYSNINGER

2.1 Typer af personoplysninger, der behandles i sammenhæng med levering af Hovedydelsen:
a) Almindelige personoplysninger, herunder:
i) navn,
ii) adresse,
iii) e-mailadresse,
iv) telefonnummer,
v) ip-adresse.

2.2 Kategorien af registrerede identificerede eller identificerbare fysiske personer omfattet af Databehandleraftalen:
a) Den Dataansvarliges slutbrugere
b) Den Dataansvarliges medarbejdere
c) Den Dataansvarliges kunder
d) Den Dataansvarliges kunders medarbejdere
e) Den Dataansvarliges interessenter
f) Den Dataansvarliges kunders interessenter

BILAG 2: UNDERDATABEHANDLERE

1. GENERELT

1.1 Den Dataansvarlige meddeler med Databehandleraftalen sin forudgående generelle skriftlige godkendelse til, at Databehandleren kan gøre brug af en Underdatabehandler. Databehandleren skal skriftligt underrette den Dataansvarlige om anvendelse af en Underdatabehandler forud for anvendelsens påbegyndelse. Tilsvarende skal Databehandleren underrette den Dataansvarlige om ophør af brug af en Underdatabehandler.

1.2 Den Dataansvarlige har mulighed for at gøre indsigelser gældende mod en sådan Underdatabehandler i det omfang, der er en rimelig grund hertil.

1.3 Ved aftalens indgåelse, anvendes følgende underdatabehandlere, i forhold til de enkelte processer:

Hosting af systemerne
Leverandør Lokation Funktion Opdateret
Sentia / Athena IT-Group Odense, Danmark Hosting af servere med budget123, re-port123 og budget123+. 09-05-2018
SendGrid USA, Privacy Shield Afsendelse af mails fra systemet til de af brugeren oprettede e-mail-modtagere. 09-05-2018
Scannet Jylland, Danmark Afsendelse af velkomstmail og modtagelse af e-mail-henvendelser fra kunder og interessenter. 09-05-2018
Markedsføring og support
Leverandør Lokation Funktion Opdateret
Firmafon Danmark Modtagelse af supportopkald. 09-05-2018
Azure Nordeuropa Hosting af hjemmesider – dog ikke selve produkterne budget123, report123 og budget123+. 09-05-2018
Pipedrive USA, Privacy Shield Håndtering af leads. 09-05-2018
Leadfeeder   Håndtering af leads. 09-05-2018
Mailchimp USA, Privacy Shield Nyhedsbrevsudsendelse. 09-05-2018
Google USA, Privacy Shield Markedsføring og analyser. 09-05-2018
Teamviewer   Fjernsupport og webinarer. 09-05-2018
Administration
Leverandør Lokation Funktion Opdateret
e-conomic EU Afsendelse af fakturaer. 09-05-2018
Azure Nordeuropa Dokumenthåndtering. 09-05-2018
HornskovVindberg   Inkasso. Inddrivelse af fordringer. 09-05-2018

Prøv budget123

Se dig omkring i budget123.

Få en præsentation

Se hvad du kan med budget123.

Bestil budget123

Kom hurtigt i gang med budget123.