I henhold til artikel 28, stk. 3 i Europa-Parlamentet og Rådets Forordning (EU) 2016/679 (databeskyttelsesforordningen) med henblik på databehandlerens behandling af personoplysninger, som indgået mellem kunden, som den dataansvarlige,
og
Billy.dk
CVR nr. 33 23 91 06
Fiolstræde 17B
1171 København K, som databehandler.
Parterne er hver især en “part” og sammen udgør de “parterne”.
Parterne har aftalt følgende standardkontraktbestemmelser (Bestemmelserne) med henblik på at overholde databeskyttelsesforordningen og sikre beskyttelse af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsrettigheder.
Disse bestemmelser fastsætter databehandlerens rettigheder og forpligtelser, når denne foretager behandling af personoplysninger på vegne af den dataansvarlige.
Ved anvendelse af regnskabsprogrammet Billy og enhver af de tilgængelige tillægsfunktioner tilknyttet platformen (herefter “Platformen”) behandler databehandleren personoplysninger på vegne af den dataansvarlige.
Der hører tre bilag til disse Bestemmelser, og bilagene udgør en integreret del af Bestemmelserne.
Bilag A indeholder nærmere oplysninger om behandlingen af personoplysninger, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varigheden af behandlingen.
Bilag B indeholder den dataansvarliges betingelser for databehandlerens brug af underdatabehandlere og en liste af underdatabehandlere, som den dataansvarlige har godkendt brugen af.
Bilag C indeholder den dataansvarliges instruks for så vidt angår databehandlerens behandling af personoplysninger, en beskrivelse af de sikkerhedsforanstaltninger, som databehandleren som minimum skal gennemføre, og hvordan der føres tilsyn med databehandleren og eventuelle underdatabehandlere.
Det er den dataansvarlige, der er ansvarlig for behandlingen af personoplysninger på Platformen. Databehandleren behandler personoplysninger på instruks fra den dataansvarlige, samt i overensstemmelse med national databeskyttelseslovgivning, herunder databeskyttelsesforordningen, og sin egen privatlivspolitik.
Bestemmelserne anvender definitioner som defineret i databeskyttelsesforordningen og den danske databeskyttelseslov.
Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med databeskyttelsesforordningen, samt andre databeskyttelsesbestemmelser i EU-retten eller medlemsstaternes national ret og disse Bestemmelser.
Den dataansvarlige har ret og pligt til at træffe beslutninger om, til hvilke(t) formål og med hvilke hjælpemidler, der må ske behandling af personoplysninger. Den dataansvarlige er endvidere ansvarlige for at sikre, at der er et behandlingsgrundlag for behandlingen af personoplysninger, som databehandleren instrueres i at foretage.
Den dataansvarlige bærer oplysningsforpligtelsen overfor de registrerede, som den dataansvarlige behandler personoplysninger om, samt instruerer databehandleren i at behandle. Dette indebærer også en forpligtelse til at give garantier i forbindelse med tekniske og sikkerhedsmæssige foranstaltninger for de registreredes personoplysninger.
Ved anvendelse af Platformen er den dataansvarlige ansvarlig for at tilvejebringe udelukkende de personoplysninger som er specificeret i Bilag A, og til at minimere behandlingen af særlige kategorier af personoplysninger som beskrevet i artikel 9 i databeskyttelsesforordningen. Sådan begrænsning kan gøres ved at anonymisere visse personoplysninger før overførsel til databehandleren.
Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt. Denne instruks er specificeret i Bilag A og C. efterfølgende instruks kan gives af den dataansvarlige, mens der sker behandling af personoplysninger, men instruksen skal altid være dokumenteret og opbevares skriftlig, herunder elektronisk, sammen med disse Bestemmelser.
Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter vedkommende mening er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret. Den i Bilag C beskrevne instruks ses ikke at give grund til at tro, at gældende lovgivning forhindrer en sådan behandling af personoplysninger.
I tilfælde, hvor databehandleren vurderer, at en instruks fra den dataansvarlige er ulovlig eller i uoverensstemmelse med gældende lovgivning, skal databehandleren informere den dataansvarlige, som skal berigtige instruksen uden unødig forsinkelse. Er den dataansvarlige ikke i stand til at berigtige instruksen er databehandleren berettiget til at ophæve servicekontrakten mellem parterne.
Databehandleren assisterer den dataansvarlige med at indføre de passende tekniske og sikkerhedsmæssige foranstaltninger, der svarer til karakteren og kategorien af de personoplysninger, som behandles.
Endvidere assisterer databehandleren den dataansvarlige ved anmodninger fra de registrerede vedrørende udøvelse af disses rettigheder som bestemt i databeskyttelsesforordningen. Databehandleren besvarer dog ikke disse anmodninger medmindre særligt aftalt med den dataansvarlige.
Ved anmodninger fra den dataansvarlige vedrørende information eller assistance i forbindelse med den dataansvarliges sikkerhedsmæssige foranstaltninger eller behandling af personoplysninger, og disse anmodninger overstiger hvad der er nødvendigt i henhold til gældende databeskyttelsesbestemmelser, er databehandleren berettiget til at kræve betaling for sådan yderligere ydelser.
Databehandleren må kun give adgang til personoplysninger, som behandles på den dataansvarliges vegne, til personer, som er underlagt databehandlerens instruktionsbeføjelser, som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, og kun i det nødvendige omfang.
Listen af personer, som har fået tildelt adgang, skal løbende gennemgås. På baggrund af denne gennemgang kan adgangen til personoplysninger lukkes, hvis adgangen ikke længere er nødvendig, og personoplysningerne skal herefter ikke længere være tilgængelige for disse personer.
Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de pågældende personer, som er underlagt databehandlerens instruktionsbeføjelser, er underlagt ovennævnte tavshedspligt.
Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål, samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici.
Begge parter skal evaluere risici for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør. Sikkerhedsmæssige foranstaltninger passende til disse risici skal implementeres af begge parter i henhold til deres respektive vurderinger.
Databehandleren assisterer den dataansvarlige i sikringen af overholdelse af forpligtelserne i artikel 32 i databeskyttelsesforordningen. Dette sker blandt andet ved, at databehandleren stiller den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til artikel 32, og al anden information, der er nødvendig for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici.
Hvis imødegåelse af de identificerede risici, efter den dataansvarliges vurdering, kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i Bilag C.
Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og stk. 4, for at gøre brug af en anden databehandler (en underdatabehandler).
Databehandleren må således ikke gøre brug af en underdatabehandler til opfyldelse af disse bestemmelser uden forudgående generel skriftlig godkendelse fra den dataansvarlige. Databehandleren har den dataansvarliges generelle godkendelse til brug af underdatabehandlere.
Databehandleren skal skriftligt underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere, og giver den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer inden brugen af de(n) omhandlede underdatabehandler(e). Listen over underdatabehandlere, som den dataansvarlige allerede har godkendt, fremgår af Bilag B.
Når databehandleren gør brug af en underdatabehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af den dataansvarlige, skal databehandleren, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der fremgår af disse Bestemmelser, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen overholder kravene i disse Bestemmelser og databeskyttelsesforordningen.
Databehandleren er ansvarlig for at kræve, at underdatabehandleren som minimum overholder databehandlerens forpligtelser efter disse Bestemmelser og databeskyttelsesforordningen.
Underdatabehandleraftaler og eventuelle senere ændringer hertil sendes, efter den dataansvarliges anmodning herom, i kopi til den dataansvarlige, som herigennem har mulighed for at sikre sig, at tilsvarende databeskyttelsesforpligtelser som følger af disse Bestemmelser er pålagt underdatabehandleren. Bestemmelser om kommercielle vilkår, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den dataansvarlige.
Databehandleren skal i sin aftale med underdatabehandleren indføre den dataansvarlige som begunstiget tredjemand i tilfælde af databehandlerens konkurs, således at den dataansvarlige kan indtræde i databehandlerens rettigheder og gøre dem gældende over for underdatabehandleren, som f.eks. gøre den dataansvarlige i stand til at instruere underdatabehandleren i at slette eller tilbagelevere personoplysningerne.
Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig overfor den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser. Dette påvirker ikke de registreredes rettigheder, der følger af databeskyttelsesforordningen, herunder særligt forordningens artikel 79 og 82, overfor den dataansvarlige of databehandleren, herunder underdatabehandleren.
Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun foretages af databehandleren på baggrund af dokumenteret instruks herom fra den dataansvarlige og skal altid ske i overensstemmelse med databeskyttelsesforordningens kapitel V.
Hvis overførsel af personoplysninger til tredjelande eller internationale organisationer, som databehandleren ikke er blevet instrueret i at foretage af den dataansvarlige, kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.
Uden dokumenteret instruks fra den dataansvarlige kan databehandleren således ikke indenfor rammerne af disse Bestemmelser:
Den dataansvarliges instruks vedrørende en overførsel af personoplysninger til et tredjeland, herunder det eventuelle overførselsgrundlag i databeskyttelsesforordningens kapitel V, som overførslen er baseret på, skal angives i bilag C.6.
Disse Bestemmelser skal ikke forveksles med standardkontraktsbestemmelser som omhandlet i databeskyttelsesforordningens artikel 46, stk. 2, litra c og d, og disse Bestemmelser kan ikke udgøre et grundlag for overførsel af personoplysninger som omhandlet i databeskyttelsesforordningens kapitel V.
Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel III.
Dette indebærer, at databehandleren så vidt muligt skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:
I tillæg til databehandlerens forpligtelse til at bistå den dataansvarlige i henhold til Bestemmelse 6, bistår databehandleren endvidere, under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, den dataansvarlige med:
Parterne skal i bilag C angive de fornødne tekniske og organisatoriske foranstaltninger, hvormed databehandleren skal bistå den dataansvarlige samt i hvilket omfang og udstrækning. Det gælder for de forpligtelser, der følger af Bestemmelse 9.
Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.
Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 36 timer efter, at denne er blevet bekendt med bruddet, sådan at den dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, jf. databeskyttelsesforordningen s artikel 33.
I overensstemmelse med Bestemmelse 9 skal databehandleren bistå den dataansvarlige med at foretage anmeldelse af bruddet til den kompetente tilsynsmyndighed. Det betyder, at databehandleren skal bistå med at tilvejebringe nedenstående information, som ifølge artikel 33, stk. 3, skal fremgå af den dataansvarliges anmeldelse af bruddet til den kompetente tilsynsmyndighed:
Parterne skal i bilag C angive den information, som databehandleren skal tilvejebringe i forbindelse med sin bistand til den dataansvarlige i dennes forpligtelse til at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed.
Ved ophør af tjenesterne vedrørende behandling af personoplysninger, er databehandleren forpligtet til at tilbagelevere alle personoplysningerne og slette eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne.
Ovenstående gør sig ikke gældende for de personoplysninger, som databehandleren behandler som dataansvarlig i kundeforholdet mellem databehandleren og den dataansvarlige.
Databehandleren stiller alle oplysninger, der er nødvendig for at påvise overholdelsen af databeskyttelsesforordningens artikel 28 og disse Bestemmelser, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.
Procedurerne for den dataansvarliges revisioner, herunder inspektioner, med databehandleren og underdatabehandlere er nærmere angivet i Bilag C.
Databehandleren er forpligtet til at give tilsynsmyndigheder, som efter gældende lovgivning har adgang til den dataansvarliges eller databehandlerens faciliteter, eller repræsentanter, der optræder på tilsynsmyndighedens vegne, adgang til databehandlerens fysiske faciliteter mod behørig legitimation.
Parterne kan aftale andre bestemmelser vedrørende tjenesten vedrørende behandling af personoplysninger om f.eks. Erstatningsansvar, så længe disse andre bestemmelser ikke direkte eller indirekte strider mod Bestemmelserne eller forringer den registreredes grundlæggende rettigheder eller frihedsrettigheder, som følger af databeskyttelsesforordningen.
Bestemmelserne træder i kraft på datoen for underskrift af servicekontrakten mellem parterne.
Begge parter kan kræve Bestemmelserne genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i Bestemmelserne giver anledning hertil.
Bestemmelserne er gældende så længe tjenesten vedrørende behandling af personoplysninger varer, samt så længe servicekontrakten varer. I denne periode kan Bestemmelserne ikke opsiges, medmindre andre bestemmelser, der regulerer levering af tjenesten vedrørende behandling af personoplysninger aftales mellem parterne.
Bestemmelserne er underlagt dansk lovgivning og enhver konflikt afgøres i det danske domstolssystem.
A.1. Kategorier af registrerede:
A.2. Kategorier af personoplysninger:
Databehandleren behandler ikke særlige kategorier af personoplysninger medmindre den dataansvarlige giver specifik instruks herom. Såfremt særlige kategorier af personoplysninger er omfattet som en naturlig del af de ovenfor nævnte kategorier, f.eks. i forbindelse med fakturering af helbredsydelser, er den dataansvarlige opfordret til at anonymisere sådanne personoplysninger forud for overførsel til databehandleren.
Databehandlerens software er afhængig af en række underdatabehandlere for at kunne operere. Sådanne underdatabehandlere er tredjepartsleverandører i og uden for EU/EØS. Databehandlerens underdatabehandlere er oplistet i den til enhver tid opdaterede liste nedenfor.
Den dataansvarlige har givet generel accept af databehandlerens brug af følgende underdatabehandlere.
Leverandør | Adresse | Hosting lokation | Formål |
Ageras Finance ApS
CVR: 42328944 |
Vesterbrogade 1e
1620 København |
Danmark | Ageras Finance er vores partner for at tilbyde financiering direkte i vores platform. Kunder som ønsker det bliver sendt videre til Ageras Finance for at oprette sig som kunder, samt ansøge om lån. |
Aiia A/S
CVR.nr. 33509006 |
Artillerivej 86 |
Danmark | Aiia er en platform til udveksling af bankposteringer. Som en del af PSD2-lovgivningen, har regnskabsprogrammer mulighed for at automatisk importere banklinjer fra samtlige danske banker. Aiia er mellemled i denne proces, hvor de integrerer med alle banker. Vores kunder kan forbinde deres bankkonto og give særskilt samtykke til at bankdata overføres automatisk. |
Amazon Web Services EMEA SARL
Reg. No.: B186284 |
38 Avenue John F. Kennedy, L-1855 Luxembourg | Sverige, Tyskland | Amazon er vores primære leverandør af cloud-infrastuktur. Databaser med kundedata, backups og server til brug for drift afvikles på denne platform. |
Årsregnskabet ApS
CVR: 33352514 |
Pilestræde 52, 2 - 1112 København K - Danmark | Danmark | Årsregnskabet ApS er en anden partner til udarbejdelse af årsregnskaber. Deres service inkluderer et tættere samarbejde med kunden, hvor de har direkte adgang til at få regnskabet afstemt inden årsrapporten udarbejdes |
Cluvio GmbH
VAT #: DE305359096 |
Friedrichstrasse 79
Berlin, Berlin 10117 |
Tyskland | Cluvio er et værktøj til visualisering af data. Det benyttes til internt brug til at vise forskellige rapporter omkring forretningen. |
Datadog, Inc.
EIN: 27-2825503 |
620 8th Avenue
45th floor |
USA | Datadog benyttes til intern overvågning af vores kritiske systemer. Ved at have overvågning sat op, så vi får besked om problemer, kan vi sikre en stabil drift af systemet og hurtig reaktion i tilfælde af problemer. |
Google Ireland Limited
VAT: IE 6388047V |
Gordon House
Barrow Street |
Irland | Vi bruger Google som et værktøj til oprettelse og samarbejde om dokumenter. Vi bruger Google Drive som en cloud storage- og filsynkroniseringstjeneste. Vi opretter marketingkampagner via Google Ads, og vi bruger Google Vision til at levere billedgenkendelse og analysefunktioner. |
Hotjar Ltd.
VAT Number: MT21846014 |
Dragonara Business Centre
5th Floor, Dragonara Road, |
Malta | HotJar benyttes til analyse af kundeadfærd på platformen. Der er to primære funktioner: Optagelse af kundeadfærd og spørgeskemaer, hvor vi kun benytter os af det første. Optagelser af kunderne sker baseret på IP-adresser og alle indtastningsfelter er anonymiseret. Vi tilføjer ikke ekstra persondata til HotJar. |
Intercom Inc.
FEIN: 45-3543192 |
55 Second Street, Suite 400
San Francisco, CA 94105 |
USA | Intercom er vores primære værktøj til håndtering af kundesupport. Dette inkluderer kommunikation med vores kunder via email og chat direkte i platformen. Den data vi udveklser er begrænset til basale bruger information og den kommunikation vi har via support. |
Iterable, Inc.
EIN: 46-2289594 |
71 Stevenson St., Suite 300
San Francisco, CA 94105 |
USA | Iterable er et værktøj til at sende emails. Det benyttes primært at marketing til at sende kampagner. Derudover bruges det til visse transaktionelle emails, som f.eks. besked om opdatering af forretningsvilkår. Vi udveksler kun begrænset data om slutkunden (email) |
LETREGNSKAB.DK ApS |
C/O Woiremose & Partner ApS
|
Danmark | Letregnskab ApS er en partner til udarbejdelse af årsregnskaber. Vores kunder udfylder en række spørgsmål, der sammen med deres bogføringsdata sendes til Letregnskab, der derefter udarbejder den endelige årsrapport til indrapportering til Skat. |
Mixpanel International Inc. |
One Front Street, 28th Floor |
USA | Mixpanel er et værktøj til analyse af events. Vi har defineret en række brugerhandlinger, som vi gerne vil analysere. Dette er f.eks. for analysere hvor mange brugere, der benytter en bestemt funktion. |
Postmark by ActiveCampaign, LLC FEIN: 20-0215482 |
1 North Dearborn St, 5th Floor |
USA | Postmark er en service til at sende transaktionelle emails. Alle emails genereret fra vores platform (ikke marketing og support) sendes via denne service. Eksempler på dette er faktura-emails, bekræftelse på upload af bilag og password reset emails. |
ProductBoard, Inc. |
612 Howard street, |
USA | ProductBoard bruges til at indsamle feedback fra kunder. Det kan komme fra NPS-feedback eller kundesupport. Ved at samle store mængder af feedback og kundeønsker, kan vi foretage bedre valg for fremtidige forbedringer af vores produkt. Vi udveksler begrænset data om slutkunden og deres ønsker til forbedringer. |
Relatel A/S |
Teglværksgade 18 |
Danmark | Relatel er en service til telefoni for kundesupport. Det giver mulighedhed for viderestilling af samtaler, telefonkøer og håndtering af åbningstider for telefonen. |
Segment IO |
3 Dublin Landings, North Wall Quay, Dublin 1, |
Ireland | Segment er et internt event-system. Vi har defineret en række brugerhandlinger, hvor vi sender events til Segment. Segment søger for at route disse events til andre dele i vores system |
Sentry |
45 Fremont Street, 8th Floor |
USA | Vi bruger Sentry til monitorering og sikkerhed. Det giver os opdaterede rapporter, når slutbrugerne har problemer, så vi kan fejlsøge mere effektivt og proaktivt. |
Sproom by |
Gærtorvet 1-5 |
Danmark | Sproom er en leverandør af infrastruktur til at sende og modtage elektroniske fakturaer via den danske Nemhandel-platform. |
Upodi ApS |
Åbogade 25A |
Irland | Upodi er en platform til håndtering af abonnementer og fakturering for brug af vores platform. Vi har forskellige produkter der kan betales med forskellige intervaller og Upodi håndterer den endelige fakturering. |
Userflow Inc. |
548 Market St PMB 69598, San Francisco, CA 94104-5401, USA | USA | UserFlow er en platform til at kommunikere med kunder direkte i produktet. Det bruges til spørgeskemaer, guidede ture gennem funktioner i produktet, samt beskeder. Vi udveksler begrænset data om slutkunden (email) |
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører følgende:
Databehandleren leverer en tjeneste for mikrovirksomheder, som administrerer deres fakturering, regnskab, momsindberetninger og bogholderi.
Databehandleren behandler sådanne personoplysninger på vegne af den dataansvarlige for at kunne levere denne tjeneste, og dermed kontrakten mellem parterne, jf. Artikel 6, stk. 1, litra b, samt den dataansvarliges legitime interesse i henhold til artikel 6, stk. 1, litra f, vedrørende deres interesse i at administrere deres virksomhed.
Databehandleren behandler personoplysninger som fastslået i disse Bestemmelser med det formål at opfylde og levere den tjeneste, som den dataansvarlige har købt af databehandleren. Denne behandling indebærer formålet med at levere en platform for disse tjenester og opfyldelsen af kontrakten mellem parterne, samt levering af produktet solgt af databehandleren.
Enhver anden behandling af personoplysninger omfattet af tjenesten må aftales mellem parterne, og vil være underlagt databehandlerens betingelser og privatlivspolitikker. Personoplysninger behandlet som led i tjenesten leveret til den dataansvarlige sker dog udelukkende på den dataansvarliges instruks.
Niveauet af sikkerhed tager hensyn til behandlingens omfang, karakter, sammenhæng og formål, samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Som udgangspunkt udgør behandlingen af personoplysninger ikke behandling af særlige kategorier af personoplysninger. Sikkerhedsniveauet afspejler dette.
Databehandleren er dog instrueret til at have implementeret sikkerhedsforanstaltninger for at undgå enhver uautoriseret adgang til personoplysningerne, uanset at karakteren af personoplysningerne udgør en lav risiko. Disse foranstaltninger udgør firewall-beskyttelse, antivirusprogrammer, mobile management og lignende beskyttelsesmetoder for alle plug-ins og kommercielle links, hvor personoplysninger bliver behandlet.
Med hensyntagen til omfanget af personoplysninger har databehandleren indført kryptering af personoplysningerne, hvor dette er passende og muligt, herunder men ikke begrænset til under transmission.
Endvidere er den dataansvarlige opfordret til at pseudonymisere særlige kategorier af personoplysninger, hvor behandlingen af sådanne oplysninger er nødvendig for databehandleren for at levere den aftalte tjeneste.
Databehandleren skal så vidt muligt, indenfor nedenstående omfang og udstrækning, bistå den dataansvarlige i overensstemmelse med Bestemmelserne ved at gennemføre tekniske og organisatoriske foranstaltninger.
Tekniske og organisatoriske foranstaltninger implementeret af databehandleren indebærer organisatorisk fortrolighed, krypteringer, sikkerhed i forbindelse med adgang til opbevarede personoplysninger og lignede foranstaltninger hvor dette synes nødvendigt.
Databehandleren sletter de behandlede personoplysninger når de ikke længere er nødvendige for deres formål, herunder ved opgør av servicekontrakten mellem parterne. Databehandleren kan opbevare personoplysningerne i længere tid hvis EU-ret eller medlemsstaternes nationale ret foreskriver en sådan længere opbevaring. Idet der foreligger et kundeforhold mellem parterne, hvor databehandleren også er dataansvarlig for andre personoplysninger, vil sådanne personoplysninger opbevares i 3 år efter ophøret af servicekontrakten.
Behandlingen af personoplysningerne i henhold til disse Bestemmelser må ikke behandles på andre lokationer end databehandlerens faciliteter, herunder databehandlerens underdatabehandlere. Enhver behandling udenfor disse lokationer skal godkendes af den dataansvarlige forud for behandlingen.
På grund af brugen af underdatabehandlere vil der kunne ske overførsler til tredjelande. I sådanne tilfælde har databehandleren sikret overholdelse af databeskyttelsesforordningen gennem databehandleraftaler baseret på EU-Kommissionens standardkontraktbestemmelser, samt passende organisatoriske og tekniske foranstaltninger for at sørge for behandlingssikkerheden. Databehandleren har sikret et lovlig overførselsgrundlag, såvel som de supplerende foranstaltninger som er påkrævet for at garantere behandlingssikkerheden.
Ved anmodning fra den dataansvarlige skal databehandleren indhente en inspektionsrapport fra en tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.
Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er forpligtet til at afsætte de rimelige ressourcer, herunder tid, der er nødvendig for at den dataansvarlige kan gennemføre sin inspektion.
Du finder et link til den tidligere databehandleraftale her.