Databehandleraftale
Gyldigt fra april 2020. Sidst opdateret januar 2021.
Mellem:
Kundens navn (i det følgende omtalt "Kunden" eller "Dataansvarlig") [Denne information vil automatisk blive udfyldt, når du har færdiggjort din tilmelding]
Og
Debitoor Ireland Ltd. Block 8 Harcourt Centre, Charlotte Way, Dublin 2, D02 K580, Irland (i det følgende benævnt "Debitoor" eller "Databehandler")
hver en "part"; sammen "parterne",
ER BLEVET ENIGE om betingelserne i denne databehandlingsaftale (i det følgende “DPA” eller “Aftale”) om beskyttelse af personoplysninger vedrørende behandling af personoplysninger, når kunden fungerer som dataansvarlig og Debitoor fungerer som databehandler, for at opfylde serviceforpligtelser beskrevet i serviceaftalen (beskrevet nedenfor). Som en del af opfyldelsen af disse serviceforpligtelser vil Debitoor behandle visse personoplysninger på vegne af dataansvarlige i overensstemmelse med betingelserne i denne kontrakt. Hver part er enig og vil sikre, at betingelserne i denne kontrakt også anvendes fuldt ud på dets tilknyttede selskaber, der kan være involveret i behandlingen af personoplysninger til det projekt, der er defineret i serviceaftalen. Specifikt vil Debitoor sikre, at alle underleverandører fungerer inden for de samme betingelser som denne aftale indeholder, når de behandler kundens personlige data.
Introduktion og definitioner:
Personlige data defineres som enhver information, der vedrører en person, hvormed de kan identificeres, direkte eller indirekte, især med henvisning til en identifikator, såsom et navn, et identifikationsnummer, lokalitetsdata, en online identifikator eller til en eller flere faktorer, der er specifikke for den fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet af den fysiske person eller juridiske enhed (hvis relevant).
Alle andre definitioner, der henvises til heri, herunder vilkårene dataansvarlig og databehandler, er som bestemt af de relevante databeskyttelseslove, herunder EU's almindelige databeskyttelsesforordning 2016/679 af 27. april 2016 (i det følgende benævnt "GDPR").
Følsomme personlige data anses ikke for at blive behandlet under den tjeneste, der tilbydes af databehandleren (Debitoor), og er derfor udelukket fra betingelserne i denne aftale.
Ved at tilmelde sig Debitoor programmet og acceptere vilkår og betingelser, herunder fortrolighedspolitikken og denne databehandleraftale, er parterne enige om, i henhold til alle nationale lovgivninger om databeskyttelse og under GDPR, at denne aftale regulerer forholdet mellem dataansvarliges og databehandlerens, bestemmelse af behandlingen af personoplysninger af Debitoor af kundens data. Denne aftale har prioritet, medmindre den er erstattet af en anden underskrevet databehandleraftale, der meddeler dens prioritet frem for denne aftale.
Formålet med Debitoors behandling af personlige data er, for kunden, at sikre kundens fulde brug af tjenesten og at sikre at denne aftale bliver opfyldt. Debitoor sikrer, at sikkerheden for den personlige data opretholdes på alle tidspunkter.
Begge parter bekræfter deres autoritet for at underskrive aftalen ved at gøre dette.
Databehandlerens ansvar:
Databehandleren skal håndtere alle personlige data på vegne af dataansvarlig og følge deres instruktioner. Ved at indgå denne aftale instrueres Debitoor (og eventuelle underleverandører, som databehandleren har indgået en lovlig aftale med) til at behandle kundens personlige data:
- I overensstemmelse med alle nationale og europæiske love
- At opfylde sine forpligtelser i henhold til vilkår og betingelser for Debitoor
- Som yderligere instrueret af dataansvarlig
- Som beskrevet i denne aftale
Som en del af levering af anvendelsen kræves databehandleren altid at give kunden passende løsninger til at ledsage en fortsat udvikling af deres forretning ved brug af tjenesten. Databehandleren sporer, hvordan kunden bruger applikationen for at komme med de bedste forslag, for til hver en tid at kunne levere relevante tjenester og engagere sig i at sende den mest nøjagtige kommunikation for at sigte mod fortsat brugervenlighed og tilfredshed. For så vidt angår behandlingen af personoplysninger fra ansøgningen udgør en del af dette, behandles de kun i overensstemmelse med denne databehandleraftale og gældende lovgivning og deles kun efter behov for at give en bedre oplevelse for kunden.
Under hensyntagen til den tilgængelige teknologi og omkostningerne ved implementering såvel som omfanget, konteksten og formålet med behandlingen er databehandleren forpligtet til at træffe alle rimelige foranstaltninger, herunder tekniske og organisatoriske foranstaltninger, for at sikre et tilstrækkeligt sikkerhedsniveau i forhold til risikoen og den kategori af personoplysninger, der skal beskyttes. Databehandleren skal hjælpe dataansvarlige med passende tekniske og organisatoriske foranstaltninger efter behov og under hensyntagen til behandlingen og den information, der er tilgængelig for databehandleren for at sikre overholdelse af forpligtelserne til dataansvarlig i henhold til gældende databeskyttelseslove.
Databehandleren skal underrette dataansvarlig uden unødig forsinkelse, hvis databehandleren bliver opmærksom på et sikkerhedsbrud.
Derudover skal databehandleren så vidt muligt, og lovligt, underrette dataansvarlig, hvis der anmodes om en anmodning om oplysninger om de opbevarede data (anmodning om datatilgang) af institutioner, som de skal give dem. Databehandleren vil svare på sådanne anmodninger, når den er godkendt af dataansvarlige til at gøre det. Databehandleren vil heller ikke videregive oplysninger om denne aftale, medmindre databehandleren er lovpligtig til at gøre det, f.eks. ved retsafgørelse.
Hvis dataansvarlig kræver information eller hjælp til sikkerhed for data, dokumentation eller information om, hvordan databehandleren behandler personoplysninger generelt, kan de anmode om denne information fra behandleren.
Databehandleren, dets ansatte og eventuelle tilknyttede selskaber skal sikre fortrolighed i forhold til personoplysninger, der behandles i henhold til aftalen. Denne bestemmelse finder fortsat anvendelse efter opsigelse af aftalen, uanset årsagen til opsigelsen.
Ansvar for dataansvarlig:
Dataansvarlige bekræfter ved at underskrive/acceptere denne aftale, at den, når de bruger applikationen, frit kan behandle deres data én gang i overensstemmelse med alle lovgivningsmæssige krav til databeskyttelse, inklusive GDPR. De giver udtrykkeligt samtykke til behandlingen af deres personlige data til enhver tid, når de bruger tjenesten.
Dataansvarlig kan tilbagekalde samtykket af denne DPA på ethvert trin, men ved at gøre dette vil databehandleren ikke længere være i stand til at yde service.
Kunden har et retsgrundlag for behandling af personoplysninger med databehandleren (inklusive eventuelle underleverandører) med brug af Debitoors tjenester.
Dataansvarlige er til enhver tid ansvarlig for nøjagtigheden, integriteten, indholdet og pålideligheden af de personoplysninger, der behandles af databehandleren. De har opfyldt alle obligatoriske krav i forbindelse med anmeldelse til eller få tilladelse fra de relevante offentlige myndigheder vedrørende behandling af personoplysninger. De har yderligere opfyldt deres oplysningsforpligtelser over for de relevante myndigheder vedrørende behandling af personoplysninger i overensstemmelse med al gældende lovgivning om databeskyttelse.
Dataansvarlige skal have en nøjagtig liste over de kategorier af personlige data, den behandler, især hvis sådan behandling adskiller sig fra de kategorier, der er anført af databehandleren i tillæg A.
Aftale om dataoverførsel og brug af underleverandører:
For at levere tjenesten til dataansvarlige bruger databehandleren underleverandører. Disse underleverandører kan være tredjepartsleverandører både inden for og uden for EU / EØS. Databehandleren sikrer, at alle underleverandører opfylder forpligtelserne og kravene i denne aftale, specifikt at deres databeskyttelsesniveau opfylder den standard, der kræves i henhold til relevante databeskyttelseslove. Hvis en jurisdiktion falder uden for EU / EØS og ikke er på Europa kommissionens godkendte liste over tilfredsstillende databeskyttelsesniveauer under GDPR, indgås en særlig aftale mellem Debitoor og en sådan underleverandør for at sikre, at de opretholder alle personoplysninger i overensstemmelse med kravene i henhold til gældende EU-databeskyttelseslovgivning.
Denne aftale udgør dataansvarliges forudgående specifikke og eksplicitte samtykke til databehandlerens brug af underleverandørernes databehandlere, som til tider kan være baseret uden for EU / EØS eller territorier, der er godkendt af Europa-Kommissionen.
Dataansvarlige kan tilbagekalde dette samtykke til enhver tid, men ved at gøre dette opsiges aftalen på stedet, og databehandleren vil ikke længere være i stand til at yde en service.
Hvis der etableres en undermappe eller der gemmes personoplysninger uden for EU / EØS eller godkendte territorier fra Europa kommissionen, har databehandleren ansvaret for at sikre et tilfredsstillende grundlag for overførsel af personlige data til et tredjeland på vegne af dataansvarlige, herunder brugen af EU-Kommissionens standardkontrakter eller specifikke foranstaltninger, der er forhåndsgodkendt med EU-Kommissionen.
Dataansvarlige skal informeres, inden databehandleren erstatter sine underleverandører. Dataansvarlige kan derefter gøre indsigelse mod en ny underleverandør, der behandler deres personlige data på vegne af databehandleren, men kun hvis underleverandør ikke behandler data i overensstemmelse med relevant databeskyttelseslovgivning. Databehandleren kan demonstrere overholdelse ved at give dataansvarlig adgang til den databeskyttelses vurdering, der udføres af databehandleren.
Hvis dataansvarlige stadig gør indsigelse mod brugen af underleverandøren, kan dataansvarlige opsige deres abonnement på tjeneste uden den sædvanlige opsigelsesperiode, derpå sikre, at deres personlige data ikke behandles af den ikke-foretrukne underleverandør.
Aftalens varighed:
Aftalen forbliver gyldig, så længe databehandleren behandler personoplysninger med databehandlerens brug af servicen, medmindre den erstattes af en anden underskrevet databehandleraftale, der kommunikerer dens prioritet frem for denne aftale.
Opsigelse af aftalen:
Hvis den dataansvarlige beslutter at stoppe med at bruge tjenesten, uanset om tjenesten er via abonnement eller ej, kan den dataansvarlige også slette alle deres kontodata. Ved ophør af ethvert abonnement kan dataansvarlige også slette alle kontoens data. Efter udførelsen af proceduren for sletning af data, der er indledt af databehandleren, sletter databehandleren alle personlige data, bortset fra det, de er forpligtet til at opbevare under ethvert gældende juridiske krav, og dataen vil i sådant tilfælde blive opbevaret i overensstemmelse med de tekniske og organisatoriske sikkerhedsforanstaltninger inden for Debitoor.
Dataansvarlige har fuld kapacitet til at hente alle deres personlige data i service applikationen. Hvis dataansvarlig anmoder om hjælp til indhentning af data, fastlægges de tilhørende omkostninger i aftale mellem parterne og baseres på kompleksiteten af den anmodede proces og tidspunktet for at opfylde den i det valgte format.
Ændringer i aftalen:
Ændringer i aftalen kan blive lavet af databehandler i et separat tillæg til aftalen eller på en anden synlig måde, der bliver tilgængelig for dataansvarlige. Hvis nogen af aftalens bestemmelser betragtes som ugyldige, påvirker dette ikke de resterende bestemmelser. Parterne erstatter ugyldige bestemmelser med en lovbestemmelse, der afspejler formålet med den ugyldige bestemmelse.
Revision:
Den dataansvarlige er berettiget til at indlede en gennemgang af databehandlerens forpligtelser i henhold til aftalen én gang om året. Hvis databehandleren er forpligtet til at gøre det i henhold til gældende lovgivning, kan revision gentages en gang om året. Parterne beslutter sammen, om en tredjepart skal foretage revisionen. Dataansvarlige kan dog tillade, at databehandleren får en sikkerhedsgennemgang af en neutral tredjepart efter databehandlerens valg, hvis det er et behandlingsmiljø, hvor flere data fra databehandleren behandles.
Hvis den foreslåede rækkevidde af revisionen følger en ISAE, ISO eller lignende certificering rapport udført af en kvalificeret tredjeparts revisor inden for de foregående tolv måneder, og databehandleren bekræfter, at der ikke er sket væsentlige ændringer i de undersøgte foranstaltninger, vil dette tilfredsstille eventuelle anmodninger modtaget inden for en sådan tidsramme. Revisioner må ikke urimeligt forstyrre databehandlerens forretning som sædvanlige aktiviteter. Dataansvarlige er ansvarlig for alle omkostninger forbundet med deres anmodning om revision.
Ansvar og jurisdiktioner:
Ansvar for handlinger, der stammer fra overtrædelse af bestemmelserne i denne aftale, er reguleret af Debitoors vilkår og betingelser i abonnementsbetingelserne. Dette gælder også for enhver overtrædelse af databehandlerens underleverandører. Denne aftale reguleres af og fortolkes i overensstemmelse med irsk lov, og de irske domstole har irsk enekompetence til at afgøre enhver uenighed vedrørende denne.
Tillæg A - Kategorier af personlige oplysninger og almindelige behandlingskategorier
A. Kategorier af personlige oplysninger (listen er ikke-udtømmende)
- Navn
- Adresse
- Telefonnummer
- Email adresse(er)
- Adresse(r)
- Eventuelle kontonumre og/eller bankoplysninger
B. Almindelige behandlingskategorier (listen er ikke-udtømmende)
- Dataansvarliges medarbejdere
- Dataansvarliges kontakter (telefon/e-mail/adresser/osv.)
- Dataansvarliges kunder
- Dataansvarliges bankoplysninger
- Deres kunders medarbejdere
- Deres kunders kontakter (telefon/e-mail/adresser/osv.)
- Deres kunders kunder
- Deres kunders kunders bankoplysninger