Tilbage til webshop

DATABEHANDLERAFTALE

Bilag til handelsaftale mellem ideal shop ApS (Databehandleren) og køber af hjemmeside/webshop tjeneste (Dataansvarlig)



(Den Dataansvarlige og Databehandleren kaldes tilsammen ”Parterne” og hver for sig en ”Part”)



BILAG TIL DATABEHANDLERAFTALEN

Bilag 1 Hovedydelsen
Bilag 2 Dokumentation for overholdelse af forpligtelser
Bilag 3 Underdatabehandlere
Bilag 4 Overførsel til tredjelande og internationale organisationer


1. BAGGRUND OG FORMÅL

1.1. Parterne har aftalt levering af visse ydelser fra Databehandleren til den Dataansvarlige, som nærmere beskrevet i Parternes særskilte aftale herom samt bilag 1 til denne aftale (”Hovedydelserne”).

2. I den forbindelse behandler Databehandleren personoplysninger på vegne af den Dataansvarlige, hvorfor Parterne har indgået denne aftale med underliggende bilag (”Databehandleraftalen”)

3. Databehandleraftalen har til formål at sikre, at Databehandleren overholder den til enhver tid gældende persondataretlige regulering, herunder navnlig:
- Databeskyttelsesloven
- persondataforordningen (Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016), når denne får virkning.

4. OMFANG

5. Databehandleren bemyndiges til at foretage behandling af personoplysninger på den Dataansvarliges vegne på vilkårene fastsat i Databehandleraftalen.

6. Databehandleren må alene behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige (”Instruks”). Denne Databehandleraftale inkl. bilag udgør Instruksen på underskriftstidspunktet.

7. Databehandleren må, i det omfang andet ikke følger af Databehandleraftalen, benytte alle relevante hjælpemidler, herunder IT-systemer.

8. VARIGHED

9. Databehandleraftalen gælder indtil enten (a) aftale(r)n(e) om levering af Hovedydelserne ophører eller (b) Databehandleraftalen opsiges eller ophæves.

10. DATABEHANDLERENS FORPLIGTELSER

10.1 Tekniske og organisatoriske sikkerhedsforanstaltninger

11. Databehandleren har ansvaret for at gennemføre fornødne (a) tekniske og (b) organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau. Foranstaltningerne skal gennemføres under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammensætning og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder ogfrihedsrettigheder. Databehandleren skal bl.a. tage kategorien af personoplysninger beskrevet i bilag 1 i betragtning ved fastlæggelsen af disse foranstaltninger.

12. Databehandleren gennemfører de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at Databehandlerens behandling af personoplysninger opfylder kravene i den til enhver tid gældende persondataretlige regulering.

12.1 Medarbejderforhold

13. Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

14. Databehandleren skal sikre, at adgangen til personoplysningerne begrænses til de medarbejdere, for hvem det er nødvendigt at behandle personoplysninger for at kunne opfylde Databehandlerens forpligtelser over for den Dataansvarlige.

15. Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, kun behandler disse i overensstemmelse med Instruksen.

15.1 Dokumentation for overholdelse af forpligtelser

16. Databehandleren skal på skriftlig anmodning dokumentere overfor den Dataansvarlige, at Databehandleren:
a) overholder sine forpligtelser efter denne Databehandleraftale og Instruksen.
b) overholder bestemmelserne i den til enhver tid gældende persondataretlige regulering, for så vidt angår de personoplysninger, som behandles på den Dataansvarliges vegne.

17. Databehandlerens dokumentation heraf skal ske inden rimelig tid.

18. Det nærmere indhold af forpligtelserne under punkt 16 er beskrevet i bilag 2 til denne Databehandleraftale.

18.1 Sikkerhedsbrud

19. Databehandleren skal underrette den Dataansvarlige om brud på persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysningerne behandlet for den Dataansvarlige (”Sikkerhedsbrud”).

20. Sikkerhedsbrud skal meddeles til den Dataansvarlige uden unødig forsinkelse og senest indenfor 24 timer.

20.1 Bistand

21. Databehandleren skal i fornødent og rimeligt omfang bistå ved den Dataansvarliges opfyldelse af dennes forpligtelser ved behandling af personoplysningerne, der er omfattet af denne Databehandleraftale, herunder ved:
a) besvarelser til registrerede ved udøvelse af disses rettigheder,
b) Sikkerhedsbrud,
c) konsekvensanalyser, og
d) forudgående høringer fra tilsynsmyndighederne.

22. UNDERDATABEHANDLERE

23. Databehandleren må kun gøre brug af en tredjepart til behandlingen af personoplysninger for den Dataansvarlige (”Underdatabehandler”) i det omfang dette fremgår af:
a) bilag 3 til denne Databehandleraftale, eller
b) Instruks fra den Dataansvarlige.

24. Databehandleren og Underdatabehandleren skal indgå en skriftlig aftale, som pålægger Underdatabehandleren de samme databeskyttelsesforpligtelser, som påhviler Databehandleren (herunder i medfør af denne Databehandleraftale).

25. Underdatabehandleren handler herudover ligeledes alene på Instruks fra den Dataansvarlige. Al kommunikation med Underdatabehandleren varetages af Databehandleren, med mindre andet særskilt aftales. Enhver ændret eller konkretiseret Instruks fra den Dataansvarlige skal straks videregives af Databehandleren til Underdatabehandleren.

26. Hvis en Underdatabehandler ikke lever op til Instruksen, kan den Dataansvarlige forbyde anvendelse af den pågældende Underdatabehandler.

27. Databehandleren er direkte ansvarlig for Underdatabehandlerens behandling af personoplysninger på samme vis, som var behandling foretaget af Databehandleren selv.

28. OVERFØRSEL TIL TREDJELANDE OG INTERNATIONALE ORGANISATIONER

29. Databehandleren må kun overføre personoplysninger til tredjelande eller internationale organisationer i det omfang dette fremgår af:
a) bilag 4 til denne Databehandleraftale, eller
b) Instruks fra den Dataansvarlige.

1.1 Overførsel af personoplysninger må i alle tilfælde kun ske i det omfang, det er tilladt ifølge den til enhver tid gældende persondataretlige regulering.

30. DATABEHANDLING UDENFOR INSTRUKSEN

31. Databehandleren kan behandle personoplysninger udenfor Instruksen i tilfælde, hvor det kræves af EU-retten eller national ret, som Databehandleren er underlagt.

32. Ved behandling af personoplysninger udenfor Instruksen skal Databehandleren underrette den Dataansvarlige om årsagen hertil. Underretningen skal ske, inden behandlingen foretages og skal indeholde en henvisning til de retlige krav, der ligger til grund for behandlingen.

33. Underretning skal ikke ske, hvis underretning vil være i strid med EU retten eller den nationale ret.

34. OPHØR

34.1 Opsigelse og ophævelse

35. Databehandleraftalen kan alene opsiges eller ophæves i overensstemmelse med bestemmelserne om opsigelse i de generelle handelsbetingelser.

35.1 Virkning af ophør

36. Databehandlerens bemyndigelse til at behandle personoplysninger på vegne af den Dataansvarlige bortfaller ved Databehandleraftalens ophør, uanset årsag.

37. Databehandleren må fortsat behandle personoplysningerne i op til tre måneder efter Databehandleraftalens ophør, i det omfang dette er nødvendigt for at fortage nødvendige lovpligtige foranstaltninger. I samme periode er Databehandleren berettiget til at lade personoplysningerne indgå i Databehandlerens sædvanlige backupprocedure. Databehandlerens behandling i denne periode anses fortsat for at ske under overholdelse af Instruksen.

38. TVISTLØSNING

39. Reguleringen af tvistløsning, inkl. lovvalg og værneting, i aftale(r)n(e) om levering af Hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf. I tilfælde af, at aftale(r)n(e) om levering af Hovedydelserne ikke tager stilling hertil, skal bestemmelserne i dette punkt finde anvendelse på denne Databehandleraftale.

40. Databehandleraftalen er underlagt dansk ret med undtagelse af (a) regler, der fører til anvendelse af anden lov end dansk lov samt (b) FN konventionen om internationale løsørekøb (CISG).

41. Opstår der uoverensstemmelser i forbindelse med Databehandleraftalen eller dens gennemførelse, skal Parterne med en positiv, samarbejdende og ansvarlig holdning søge at indlede forhandlinger med henblik på at løse tvisten. Om nødvendigt skal forhandlingerne søges løftet op på direktionsniveau i Parternes organisationer.

42. Kan Parterne ikke opnå en løsning ved forhandling, er Parterne berettiget til at kræve tvisten afgjort endeligt ved retssag ved de almindelige domstole. Retten i Herning er valgt som værneting. Retsplejelovens henvisningsregler til Landsret og Sø- og Handelsret skal dog fortsat finde anvendelse.

43. FORRANG

44. Såfremt der er modstrid mellem denne Databehandleraftale og aftale(r)n(e) om levering af Hovedydelserne, har denne Databehandleraftale forrang, med mindre andet følger direkte af Databehandleraftalen



BILAG 1

HOVEDYDELSEN



1. HOVEDYDELSEN

45. Databehandler stiller et hosted hjemmeside/webshop system til rådighed for Dataansvarlig. Gennem dette har Dataansvarlig mulighed for at administrere en online hjemmeside/webshop, hvor denne kan sælge varer og ydelser til 3. part.

46. PERSONOPLYSNINGER

47. Typer af personoplysninger, der behandles i sammenhæng med levering af Hovedydelsen inkluderer almindelige personoplysninger, herunder navn, adresse, telefonnummer og email adresse.

48. Hovedydelsen giver Dataansvarlig mulighed for at indsamle yderligere personoplysninger fra dennes kunder. Såfremt Dataansvarlig benytter sig af disse muligheder, vil denne aftale automatisk dække alle yderligere indsamlede personoplysninger.

49. Såfremt Hovedydelsen ændres eller udvides til at indsamle personoplysninger som ikke er i dette bilag, vil denne aftale automatisk dække alle yderligere indsamlede personoplysninger.



BILAG 2

DOKUMENTATION FOR OVERHOLDELSE AF FORPLIGTELSER



Som led i Databehandlerens demonstrering overfor den Dataansvarlige af overholdelse af sine forpligtelser efter punkt 15.1 i Databehandleraftalen skal nedenstående punkter udføres og overholdes.

1. GENEREL DOKUMENTATION TIL DEN DATAANSVARLIGE

50. Databehandleren er på skriftlig anmodning forpligtet til at fremsende følgende generelle dokumentation til den Dataansvarlige:

a) En erklæring fra Databehandlerens ledelse om, at Databehandleren under sin behandling af personoplysninger på den Dataansvarliges vegne løbende sikrer overholdelse af sine forpligtelser efter denne Databehandleraftale.

b) En beskrivelse af hvilke kontrolforanstaltninger Databehandleren har iværksat og gennemført til måling og kontrol af virkningen af det etablerede ledelsessystem for informationssikkerhed og for behandling af personoplysninger samt resultatmålinger herfra.

51. Den generelle dokumentation skal udleveres senest fem arbejdsdage efter, at den Dataansvarlige har fremsat sin skriftlige anmodning overfor Databehandleren, med mindre andet aftales konkret. Databehandlerens udarbejdelse af dokumentation sker for Dataansvarligs regning.

52. AUDIT

53. Databehandleren skal på skriftlig anmodning bidrage til og give adgang til audit.

54. Audit skal foretages af en uafhængig tredjepart valgt af den Dataansvarlige og godkendt af Databehandleren. Databehandleren kan ikke afvise en foreslået tredjepart uden rimelig begrundelse. Den uafhængige tredjepart skal tiltræde en sædvanlig fortrolighedserklæring overfor Databehandleren. Anmodning om audit skal ske med mindst 14 dages varsel.

55. Databehandleren har krav på betaling efter medgået tid og forbrugte materialer for bistand i medfør af dette punkt 52

56. ØVRIGT

57. Overstående punkter skal ikke anses for udtømmende, og Databehandleren er derfor forpligtet til at foretage sådanne yderligere handlinger og tiltag, som er nødvendige for demonstration af Databehandlerens forpligtelse efter punkt 10 i Databehandleraftalen.

58. Databehandleren er ikke forpligtet til at følge en anmodning fra den Dataansvarlige hvis anmodningen strider mod den persondataretlige regulering. Databehandleren skal underrette den Dataansvarlige i det omfang, det er Databehandlerens vurdering, at dette er tilfældet.





BILAG 3

UNDERDATABEHANDLERE



1. GENERELT

59. Den Dataansvarlige meddeler med Databehandleraftalen sin forudgående generelle skriftlige godkendelse til, at Databehandleren kan gøre brug af en Underdatabehandler. Databehandleren skal skriftligt underrette den Dataansvarlige om anvendelse af en Underdatabehandler forud for anvendelsens påbegyndelse. Tilsvarende skal Databehandleren underrette den Dataansvarlige om ophør af brug af en Underdatabehandler.

60. Den Dataansvarlige har mulighed for at gøre indsigelser gældende mod en sådan Underdatabehandler i det omfang, der er en rimelig grund hertil.



BILAG 4

OVERFØRSEL TIL TREDJELAND OG INTERNATIONALORGANISATION



1. GENERELT

61. Personoplysninger kan ikke underkastes behandling af Databehandleren eller en Underdatabehandler i et land uden for den Europæiske Union eller EØS (et ”Tredjeland”), eller en international organisation, medmindre den Dataansvarlige giver konkret tilladelse hertil.

62. Databehandleren skal underrette den Dataansvarlige om overførslen, inden den finder sted.

63. SÆRLIGE VILKÅR

64. Den Dataansvarlige accepterer, at Databehandleren anvender server-hosting fra internationale virksomheder, så længe persondata befinder sig på servere, som fysisk er placeret i EU

Copyright © 2022 ideal.shop. All Rights Reserved.