Databehandleraftale

1. De behandlede personoplysninger

1.1 Denne aftale (“Aftalen”) er indgået mellem brugervirksomheden (”Dataansvarlige”) og CrediWire ApS (”Databehandleren”), hver for sig kaldet en ”Part” og samlet ”Parterne”.

1.2 Aftalen omhandler Databehnalderens behandling af personoplysninger på vegne af den Dataansvarlige.

1.3 Aftalen er indgået i forbindelse med den Dataansvarliges indgåelse af aftale om brug af CrediWire i henhold til CrediWire ApS brugervilkår (”Brugervilkårene”).

1.4 Databehandleren behandler de typer af personoplysninger, som fremgår af bilag 1, på vegne af den Dataansvarlige. Personoplysningerne angår de i bilag 1 oplistede registrerede personer.

2. Formål

2.1 Databehandleren må alene behandle personoplysninger til formål, som er nødvendige for at den dataansvarlige kan benytte CrediWire.

3. Den Dataansvarliges forpligtelser

3.1 I det omfang, den Dataansvarlige behandler personoplysninger i forbindelse med brugen af CrediWire, er den Dataansvarlige ansvarlig for, at der eksisterer et gyldigt behandlingsgrundlag, herunder at et eventuelt samtykke er udtrykkeligt, frivilligt, utvetydigt og informeret. Den Dataansvarlige er forpligtet til på Databehandlerens anmodning skriftligt at redegøre for og/eller dokumentere behandlingsgrundlaget.

3.2 Den Dataansvarlige indestår endvidere for, at de registrerede personer, som personoplysningerne vedrører, har fået tilstrækkelig information vedrørende behandlingen af personoplysningerne.

4. Databehandlerens forpligtelser

4.1 Databehandleren må alene behandle de personoplysninger, der er nødvendige for, at den Dataansvarlige kan benytte CrediWire i overensstemmelse med Brugervilkårene. Databehandleren er forpligtet til at overholde den til enhver tid gældende persondatalovgivning.

4.2 Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, herunder sådanne yderligere foranstaltninger, som måtte være nødvendige, mod at de i pkt. 1.2, anførte personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondatalovgivningen.

4.3 Databehandleren skal sikre, at de medarbejdere, der er involveret i at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt lovbestemt tavshedspligt.

4.4 Databehandleren skal på den Dataansvarliges anmodning redegøre for og/eller dokumentere, at Databehandleren opfylder kravene i persondatalovgivningen, herunder fremvise dokumentation for Databehandlerens datastrømme og procedurer/politikker for behandling af personoplysninger.

4.5 Hvis Databehandleren behandler personoplysninger i et andet EU/EØS medlemsland, skal Databehandleren følge lovgivningen om sikkerhedsforanstaltninger i det pågældende medlemsland.

4.6 Databehandleren er forpligtet til at give den Dataansvarlige meddelelse om driftsforstyrrelser, mistanke om brud på persondatalovgivningen eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Databehandleren skal efter anmodning fra den Dataansvarlige bistå den Dataansvarlige i forhold til afklaring af sikkerhedsbruddet, herunder i forbindelse med eventuel anmeldelse til Datatilsynet og/eller registrerede personer.

4.7 Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige oplysninger til, at denne kan påse, at Databehandleren har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger. Den Dataansvarlige er berettiget til for egen regning at lade Databehandlerens behandling af personoplysninger underkaste en årlig revision af en uafhængig tredjepart. Den Dataansvarlige skal godtgøre Databehandleren for den i forbindelse med ovennævnte anmodning anvendte tid.

4.8 Hvis Databehandleren eller en anden databehandler (underdatabehandler), som har modtaget oplysninger, modtager en anmodning om adgang til registrerede personoplysninger fra en registreret eller dennes agent, eller en registreret gør indsigelse mod behandlingen af ​​hans/hendes registrerede personoplysninger, skal Databehandleren sende sådan anmodning og/eller indsigelse til den Dataansvarlige med henblik på den Dataansvarliges videre behandling, medmindre Databehandleren er berettiget til at håndtere en sådan forespørgsel selv. Databehandleren skal efter anmodning fra den Dataansvarlige bistå den Dataansvarlige i relation til besvarelse af anmodningen og/eller indsigelsen.

5. Overførsel af oplysninger til underdatabehandlere eller tredjeparter

5.1 Databehandleren er alene forpligtet til at videregive de i pkt. 1.2 angivne personoplysninger til tredjeparter, såfremt den Dataansvarlige giver skriftlig instruks herom. Databehandleren er ikke berettiget til at videregive personoplysninger til tredjeparter uden den Dataansvarliges forudgående skriftlige instruks, medmindre sådan videregivelse følger af lovgivningen.

5.2 Den Dataansvarlige giver hermed Databehandleren en generel fuldmagt til at indgå aftaler med underdatabehandlere, Databehandleren skal underrette den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af underdatabehandlere. Den Dataansvarlige kan gøre indsigelse imod sådanne ændringer.

5.3 Databehandleren skal inden overførsel af personoplysninger til en ny underdatabehandler sikre, at sådan underdatabehandler har indgået en skriftlig databehandleraftale, hvor denne forpligter sig til over for Databehandleren at være bundet på "back-to-back"-vilkår i forhold til bestemmelserne i denne Aftale.

5.4 Hvis personoplysningerne overføres til udenlandske underdatabehandlere, skal det i nævnte databehandleraftale anføres, at det er den Dataansvarliges lands databeskyttelseslovgivning, der gælder for udenlandske underdatabehandlere. Hvis den modtagende underdatabehandler endvidere er etableret inden for EU, skal det i nævnte databehandlingsaftale anføres, at det modtagende EU-lands særlige lovgivningsmæssige krav vedrørende databehandlere, fx krav om meddelelse til nationale myndigheder, skal overholdes.

5.5 Databehandleren skal i eget navn indgå skriftlige databehandleraftaler med underdatabehandlere indenfor EU/EØS. For så vidt angår underdatabehandlere udenfor EU/EØS skal Databehandleren indgå standardaftaler i overensstemmelse med Kommissionens beslutning 2010/87/EU af 5. februar 2010 om standardkontraktbestemmelser for videregivelse af personoplysninger til databehandlere etableret i tredjelande i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF ("Standardaftale").

5.6 Den Dataansvarlige giver hermed Databehandleren fuldmagt til at indgå Standardaftaler med underdatabehandlere udenfor EU/EØS på den Dataansvarliges vegne og i den Dataansvarliges navn.

5.7 Ved Aftalens indgåelse anvender Databehandleren de i bilag 2 oplistede underdatabehandlere. Til Databehandlerens cloud-baserede infrastruktur benyttes Amazon Web Services (herefter ”AWS”), der er en filial af Amazon.com. Databehandleren har indgået en databehandleraftale med AWS, på AWS’ standardvilkår. Til automatisk at afsende emails benyttes MailChimp, en virksomhed under Rocket Science Group, der er baseret i USA. Databehandleren har indgået en databehandleraftale med MailChimp, på MailChimps standardvilkår. Til email korrespondence mellem Databehandleren og Dataansvarlige benyttes G Suite, et produkt af Google LLC, der er baseret i USA. Databehandleren har endgået en databehandleraftale med Google LLC, på Google LLCs standardvilkår.

6. Ansvar

6.1 Parterne er erstatningsansvarlige efter dansk rets almindelige erstatningsregler, dog således at ingen af Parterne er berettiget til at kræve erstatning for indirekte tab eller følgeskader, uanset om det er den Dataansvarlige, Databehandleren eller tredjemand, som lider disse indirekte tab eller følgeskader. Tab af forretningsmuligheder, tab af fortjeneste, driftstab, tab af omsætning, tab af goodwill, tab af data, herunder tab i forbindelse med genskabelse af data skal altid betragtes som indirekte tab/følgeskader.

6.2 Databehandlerens samlede erstatningspligt under Aftalen er samlet set beløbsmæssigt begrænset jf. pkt. 12 i Brugervilkårene.

7. Ikrafttrædelse og ophør

7.1 Aftalen træder i kraft jf. Brugervilkårene pkt. 15.

7.2 Aftalen ophører efter Bestemmelserne i pkt. 15 i Brugervilkårene. Databehandleren er dog forpligtet af denne Aftale, så længe denne behandler personoplysninger på vegne af den Dataansvarlige.

7.3 I tilfælde af Aftalens ophør er den Dataansvarlige berettiget til at forlange, at personoplysningerne tilbageleveres. Personoplysningerne udleveres på et af Databehandleren besluttet medie i et almindeligt læsbart format.

8. Lovvalg og værneting

8.1 Denne Aftale reguleres af dansk ret.

8.2 Ethvert krav og enhver tvist, der udspringer eller på anden måde er forbundet med denne Aftale, skal afgøres ved Københavns Byret.

Bilag 1 - Typer af personoplysninger og registrerede personer

Registrerede personer:

  • Brugere af CrediWire, fx ansatte hos brugervirksomheden og enkeltmandsvirksomheder.

Typer af personoplysninger:

Alene oplysninger, der er nødvendige for at CrediWire-tjenesten kan benyttes:

  • Log-in-oplysning om brugere.
  • Kontaktoplysninger.
  • Økonomiske oplysninger, fx om enkeltmandsvirksomheder.

Bilag 2 - Underdatabehandlere

Amazon Web Services, a subsidiary of Amazon.com

MailChimp, et filial af Rocket Science Group, https://mailchimp.com, baseret i USA

G Suite, et produkt fra Google LLC, https://gsuite.google.com, baseret i USA

Aftalen er gyldig fra 21-03-2018