Databehandleraftale

Databehandleraftale for Spurto

 

Indgås imellem

 

Dataansvarlig:

Organisationen som brugeren af Spurto har angivet i sin brugerprofil med oplysning af navn/organisation, adresse, CVR-nr. m.m.

Kontaktperson:

Kontaktperson og kontaktinformationer ligeledes angivet i brugerprofilen.

og

 

Databehandler:

Spurto ApS, Skolebakken 11, 9000 Aalborg

 

Parterne kaldes i det følgende henholdsvis den ”Dataansvarlig” og ”Databehandleren”, der samlet benævnes ”Parterne” og separat en ”Part”.

 

 

1.        Aftalens omfang

1.1.    Databehandleren er databehandler for Dataansvarlig, idet Databehandleren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Dataansvarlig.

1.2.    De personoplysninger, der behandles af Databehandleren, formålene med behandlingen, kategorierne af personoplysninger og kategorierne af registrerede personer, er anført i Appendiks 1.

1.3.    Aftalen regulerer alene den behandling af personoplysninger, som Databehandleren foretager for Dataansvarlig.

1.4.    Ved "personoplysning" forstås enhver form for information om en identificeret eller identificerbar fysisk person, jf. artikel 4(1) i Forordning (EU) 2016/679 af 27. april 2016 ("Persondataforordningen").
 

2.        Behandling af personoplysninger

2.1.    Databehandleren behandler alene personoplysninger efter instruks fra Dataansvarlig.

2.2.    Instruks: Databehandleren er instrueret i alene at behandle personoplysningerne med det formål at varetage de i Appendiks 1 fastsatte databehandlingsopgaver. Databehandleren må ikke behandle eller anvende personoplysningerne til andre formål end angivet i instruksen, herunder overføre personoplysningerne til et tredjeland eller en international organisation, medmindre Databehandleren er forpligtet hertil efter EU-retten eller lovgivningen i en medlemsstat, som Databehandleren er underlagt. I givet fald skal Databehandleren skriftligt underrette Dataansvarlig om denne juridiske forpligtelse, forinden behandlingen påbegyndes, medmindre pågældende lovgivning på baggrund af vigtige samfundsinteresser forbyder en sådan underretning.

2.3.    Hvis Databehandleren skønner, at en instruktion fra Dataansvarlig er i strid med Persondataforordningen, databeskyttelseslovgivningen i anden EU-ret eller i lovgivningen i en medlemsstat, skal Databehandleren skriftligt orientere Dataansvarlig herom.

2.4.    Dataansvarlig garanterer over for Databehandleren for, at denne har fornøden ret til at behandle personoplysninger omfattet af Aftalen og til at lade Databehandleren behandle disse personoplysninger på vegne af sig, herunder men ikke begrænset til ved indsamling af relevante samtykker.
 

3.        Krav til Databehandleren

3.1.    Databehandleren skal behandle personoplysninger i overensstemmelse med gældende dansk persondatalovgivning, herunder Persondataforordningen, når denne træder i kraft.

3.2.    Databehandleren skal sikre, at de personer, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

3.3.    Databehandleren skal gennemføre de passende tekniske og organisatoriske sikkerhedsforanstaltninger mod, at de behandlede personoplysninger

I.        hændeligt eller ulovligt tilintetgøres, fortabes eller ændres,

II.       videregives eller gøres tilgængelige uden autorisation, eller

III.     i øvrigt behandles i strid med lovgivningen, herunder Persondataforordningen.

3.4.    Databehandleren skal endvidere overholde de lovgivningsmæssige krav til sikkerhedsforanstaltninger, som direkte forpligter Databehandleren, herunder kravene til sikkerhedsforanstaltninger i det land, hvor Databehandleren er etableret, eller i det land, hvor databehandlingen finder sted.

3.5.    Fastsættelsen af de passende tekniske og organisatoriske sikkerhedsforanstaltninger skal ske under hensyntagen til

I.        det aktuelle tekniske niveau

II.       omkostningerne ved implementeringen, samt

III.     behandlingens karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.

3.6.    Databehandleren skal på Dataansvarliges anmodning give Dataansvarlig alle nødvendige oplysninger til, at denne kan påse, at Databehandlerens forpligtelser i henhold til Aftalen overholdes, herunder at de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger er truffet.

3.7.    Dataansvarlig har ret til for egen regning at udpege en uafhængig ekspert, som skal have adgang til de dele af Databehandlerens fysiske faciliteter, hvor behandling af personoplysninger finder sted, samt modtage de nødvendige informationer til udførelsen af undersøgelsen af, hvorvidt Databehandleren har gennemført de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger. Dataansvarliges uafhængige ekspert kan ikke opnå adgang til oplysninger om Databehandlerens generelle omkostningsstruktur eller til oplysninger, der vedrører andre af Databehandlerens kunder. Eksperten skal på Databehandlerens anmodning underskrive en sædvanlig fortrolighedserklæring og skal under alle omstændigheder behandle enhver information indhentet hos eller modtaget fra Databehandleren fortroligt, og må alene dele informationen med Dataansvarlig. Dataansvarlig må ikke viderebringe informationen eller benytte informationen til andre formål end at vurdere hvor vidt, Databehandleren har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger.

3.8.    Databehandleren skal uden unødig forsinkelse efter at være blevet opmærksom herpå, skriftligt orientere Dataansvarlig om

I.        enhver anmodning fra en myndighed om videregivelse af personoplysninger omfattet af Aftalen, medmindre orientering af Dataansvarlig er forbudt i henhold til EU-retten eller lovgivningen i en stat, som Databehandleren er underlagt,

II.       enhver mistanke om, eller konstatering af, (a) brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet af Databehandleren i henhold til Aftalen, eller (b) enhver anden manglende overholdelse af Databehandlerens forpligtelser efter punkt 3.3 og 3.4, eller

III.     enhver anmodning om indsigt i personoplysningerne modtaget direkte fra den registrerede eller fra tredjemand.

3.9.    Databehandleren skal assistere Dataansvarlig med håndteringen af enhver anmodning fra en registreret i henhold til kapitel III i Persondataforordningen, herunder anmodning om indsigt, berigtigelse, blokering eller sletning.

3.10. Databehandleren skal assistere Dataansvarlig med at sikre overholdelse af Dataansvarliges forpligtelser i medfør af artikel 32-36 i Persondataforordningen, samt øvrige forpligtelser, der måtte påhvile Dataansvarlig efter EU-retten eller lovgivningen i en medlemsstat, hvor Databehandlerens assistance er forudsat, dog alene i det omfang Databehandlerens assistance er nødvendig for, at Dataansvarlig kan overholde sine forpligtelser. Dette omfatter blandt andet, på anmodning at give Dataansvarlig alle nødvendige oplysninger om en hændelse omfattet af punkt 3.8 (ii), samt alle nødvendige oplysninger til brug for en konsekvensanalyse i medfør af artikel 35-36 i Persondataforordningen i det omfang, Databehandleren har adgang til sådan information.

3.11. I Appendiks 1 har Databehandleren oplyst den fysiske placering af servere, servicecentre mv. som indgår i udførelsen af databehandlingen. Databehandleren forpligter sig til at give skriftligt varsel til Dataansvarlig forud for ændringer af den fysiske placering. Dette kræver ikke en formel ændring af Appendiks 1, forudgående skriftlig meddelelse er tilstrækkelig.

3.12. Dataansvarlig honorerer Databehandleren særskilt og efter medgået tid og materiale for at håndtere forespørgsler og opgaver i henhold til Aftalens pkt. 3.7, 3.8 (i) og (iii), 3.9, 3.10, 7.4 og 7.5. Honoreringen fastsættes efter Databehandlerens til enhver tid gældende prisliste, der er tilgængelig på www.spurto.com eller en anden hjemmeside valgt af Databehandleren.
 

4.        Underdatabehandlere

4.1.    Databehandleren må gøre brug af underdatabehandlere. På tidspunktet for indgåelsen af Aftalen anvender Databehandleren de i Appendiks 2 anførte underdatabehandlere. Databehandleren skal skriftligt underrette Dataansvarlig om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af underdatabehandlere senest 2 måneder inden ændringen træder i kraft, hvorefter Dataansvarlig inden 2 uger fra afgivelsen af meddelelsen om ændringen uden begrundelse kan nægte brugen af den nye underdatabehandler, i hvilket tilfælde Databehandleren er berettiget til at opsige alle aftaler med Dataansvarlig, i henhold til hvilke Databehandleren behandler personoplysninger for Dataansvarlig, med 1 måneds varsel. Ved ophør af brugen af en underdatabehandler, skal Databehandleren give Dataansvarlig skriftlig meddelelse herom.

4.2.    Databehandleren skal forinden brug af en underdatabehandler indgå en skriftlig aftale med underdatabehandleren, hvori underdatabehandleren som minimum pålægges forpligtelser svarende til de som Databehandleren har påtaget sig ved Aftalen, herunder pligten til at gennemføre passende tekniske og organisatoriske foranstaltninger til sikring af, at behandlingen opfylder kravene i Persondataforordningen.

4.3.    Dataansvarlig har ret til at få udleveret en kopi af de dele af Databehandlerens aftale med en underdatabehandler, som vedrører databeskyttelsesforpligtelser, som er obligatoriske i henhold til punkt 4.2. Databehandleren hæfter over for Dataansvarlig for underdatabehandlerens opfyldelse af sine databeskyttelsesforpligtelser. Det forhold, at Dataansvarlig har meddelt samtykke til Databehandlerens aftaleindgåelse med en underdatabehandler er uden præjudice for Databehandlerens pligt til at efterleve Aftalen.
 

5.        Fortrolighed

5.1.    Databehandleren skal holde personoplysningerne fortrolige.

5.2.    Databehandleren må ikke formidle personoplysningerne til tredjemand eller tage kopi af personoplysningerne, medmindre dette er nødvendigt til varetagelse af Databehandlerens forpligtelser over for Dataansvarlig, forudsat at den, til hvem personoplysningerne overlades, er bekendt med oplysningernes fortrolige karakter og har indvilget i at holde personoplysningerne fortrolige i overensstemmelse med Aftalen, eller dette følger af en lovbestemt pligt for Databehandleren.

5.3.    Databehandleren skal begrænse adgangen til personoplysningerne til de medarbejdere, for hvem det er nødvendigt at have adgang til personoplysninger for at kunne opfylde Databehandlerens forpligtelser over for Dataansvarlig.

5.4.    Databehandlerens forpligtelser efter nærværende punkt 5 består uden tidsbegrænsning, og uanset om Parternes samarbejde i øvrigt måtte være ophørt.

5.5.    Dataansvarlig skal behandle fortrolige oplysninger, som modtages fra Databehandleren, fortroligt, og må ikke uberettiget udnytte eller videregive de fortrolige oplysninger.
 

6.        Ændringer og overdragelser

6.1.    Aftalen kan ændres i henhold til Aftalen om Spurtos bestemmelser om ændringer.

6.2.    Databehandleren kan overdrage sine rettigheder og forpligtelser i henhold til Aftalen uden Dataansvarliges samtykke, forudsat at den, til hvem rettigheder og/eller pligter overdrages, forpligtes til at behandle personoplysninger i overensstemmelse med de krav, der gælder for Databehandleren, i henhold til Aftalen.
 

7.        Varighed og ophør af Aftalen

7.1.    Aftalen træder i kraft på samme tidspunkt, som Aftalen om Spurto og er gældende indtil Aftalen om Spurto ophører.

7.2.    Hver Part kan opsige Aftalen efter samme vilkår, som er gældende Aftalen om Spurto.

7.3.    Uanset Aftalens formelle aftaleperiode skal Aftalen vedblive at gælde, så længe Databehandleren behandler personoplysninger for Dataansvarlig, som Dataansvarlig er dataansvarlig for, dog alene for de personoplysninger som til enhver tid behandles for Dataansvarlig af Databehandleren.

7.4.    I tilfælde af ophør af Aftalen er Databehandleren forpligtet til efter anmodning loyalt at medvirke til, at databehandlingen overgår til en anden leverandør eller tilbageføres til Dataansvarlig.

7.5.    Databehandleren skal efter anmodning fra Dataansvarlig og ved ophør af aftalen overføre personoplysninger, som Databehandleren behandler og/eller har behandlet for Dataansvarlig, til Dataansvarlig eller slette disse, medmindre EU-retten eller lovgivningen i en medlemsstat foreskriver opbevaring af personoplysningerne.
 

8.        Meddelelser

8.1.    I det tilfælde en Part i henhold til Aftalen skal afgive skriftlig meddelelse til den anden Part, kan denne pligt opfyldes ved at afsende en e-mail til den anden Parts senest oplyste e-mailadresse. Databehandleren kan ligeledes opfylde sin pligt til at afgive skriftlig meddelelse ved at udsende nyheder direkte i systemet, som Dataansvarlig har fået tildelt en licens til at benytte i henhold til Aftalen om Spurto.
 

9.        Forrang

9.1.    I tilfælde af uoverensstemmelse mellem bestemmelserne i Aftalen og bestemmelserne i andre skriftlige eller mundtlige aftaler indgået mellem Parterne, skal bestemmelserne i Aftalen have forrang

 

APPENDIKS 1

Dette Appendiks indeholder blandt andet Dataansvarliges instruks til Databehandleren i forbindelse med Databehandlerens databehandling for Dataansvarlig og er en integreret del af Aftalen.

Instruks og beskrivelse af behandlingen af personoplysninger i Spurto

Formål og karakteren af databehandlingen

Formålet med databehandlingen er at Dataansvarlig kan anvende Databehandlerens IT løsning til at håndtere arrangementer. IT-systemeta funktioner tilgås via internettet, og løsningen er hostet og drevet af Databehandleren. IT-systemet hjælper med at håndtere Dataansvarliges arrangementer og online tilmeldinger samt stiller værktøjer til rådighed for effektiv administration af deltagerne, herunder redigering, udskrivning, mailudsendelse m.v. samt håndtering af hjælpere m.m. Dette indebærer også videregivelse af oplysninger på vegne af Dataansvarlig, fx til Nets, Bambora, eventuelt Danmarks Statistik m.fl. på vegne af Dataansvarlig.

Kategorier af registrerede personer

I.           Dataansvarliges brugerinformationer som arrangør i IT-løsningen.

II.          Deltager- og hjælperdata for Dataansvarliges arrangementer i IT-løsningen.

 

Kategorier af personoplysninger

Oplysninger om Dataansvarliges navn, adresse, CVR nr., bankkontonummer, telefonnumre, e-mail adresser og eventuelle kontaktpersoner.
 

Afhængig af hvilke oplysninger, den Dataansvarlige, vælger at indsamle omkring den registrerede, behandles navn, adresse, e-mail adresse, fødselsdato/fødselsår og andet relevant for arrangementet, som eksempelvis . Derudover behandles eventuelt oplysninger vedrørende de registreredes t-shirt størrelse, valgte tilkøbsprodukter såsom sandwich typer mv, herunder de oplysninger som Dataansvarlig registrerer om de registrerede i IT-systemet.

Særlige kategorier af personoplysninger

Deltagerdata: Afhængigt af hvilket arrangement, der oprettes tilmelding til, kan den Dataansvarlige i sjældne tilfælde have behov for indsamling af følsomme og fortrolige personoplysninger[1]. I fald dette er tilfældet skal Dataansvarlig altid kontakte Databehandler og informere skriftligt herom, således at de fornødne organisatoriske sikkerhedsforanstaltninger sikres efterlevet.

 

Lokation(er), inklusive angivelse af land for behandlingen

Skolebakken 11

9000 Aalborg

Danmark

 

Videregivelse af data

Databehandleren kan videregive persondata på vegne af Dataansvarlig som led i Databehandlerens services til Dataansvarlig, herunder eksempelvis til NETS, Danmarks Statistik m.fl.

 

APPENDIKS 2

Brug af underdatabehandlere

Databehandleren samarbejder med følgende underdatabehandlere, som alle er placeret inden for EU:

 

I.           Som hosting operatør
Internet 123 ApS, Højen 48, 4400 Kalundborg, Danmark
 

II.          Som betalingsformidlere, hvor dankortoplysninger behandles i forbindelse med deltagernes betaling for deltagelse i jeres arrangement eller i forbindelse med jeres egen betaling af ydelser:
 

a.    Bambora / ePay A/S, Vandmanden 10L, 9200 Aalborg SV, Danmark
 

b.    Nets Denmark A/S, Lautrupbjerg 10, 2750 Ballerup, Danmark
 

 



[1] Følsomme og fortrolige personoplysninger omhandler straffedomme og lovovertrædelser, race eller etnisk oprindelse, politisk overbevisning, religiøs overbevisning, filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, helbredsoplysninger, seksuelle forhold eller orientering, genetiske eller biometriske data til brug for identificering samt CPR-nr.