Databehandleraftale

indgået mellem

[Navn]

CVR-nr.: [CVR-nr.]

[email]

[repræsentant]

(den ”Dataansvarlige”)

og

Shopbox ApS

CVR-nr.: 33964544

Rentemestervej 2b

2400 Købehavn NV

(”Databehandleren”)

(Den Dataansvarlige og Databehandleren kaldes tilsammen ”Parterne” og hver for sig en ”Part”)

Definitioner

Definitionen af Personoplysninger, Særlige Kategorier af Data (Følsomme Oplysninger), Behandling, den Registrerede, Dataansvarlig og Databehandler er den samme som den relevante persondatalovgivning, herunder GDPR.

Aftalen regulerer Databehandlerens Behandling af Personoplysninger på vegne af den Dataansvarlige, og beskriver, hvordan Databehandleren skal medvirke til at beskytte privatliv på vegne af den Dataansvarlige og dennes Registrerede gennem tekniske og organisatoriske foranstaltninger som er krævet under den gældende databeskyttelseslovgivning, herunder GDPR fra den 25. maj 2018.

Formålet med Databehandlerens Behandling af Personoplysninger på vegne af den Dataansvarlige er at sikre, den Dataansvarliges brug af Applikationen og opfyldelsen af denne Aftale.

  1. Baggrund og Formål
  2. Parterne har aftalt levering af visse ydelser fra Databehandleren til den Dataansvarlige, som nærmere beskrevet i Parternes særskilte aftale herom samt bilag 1 til denne aftale (”Hovedydelserne”).
  3. Databehandleren behandler desuden udelukkende Personoplysninger i overensstemmelse med Shopbox privatlivspolitik
  4. I den forbindelse behandler Databehandleren personoplysninger på vegne af den Dataansvarlige, hvorfor Parterne har indgået denne aftale med underliggende bilag (”Databehandleraftalen”)
  5. Databehandleraftalen har til formål at sikre, at Databehandleren overholder den til enhver tid gældende persondataretlige regulering, herunder navnlig:
  • persondataloven
  • persondataforordningen (Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016), når denne får virkning.
  1. Omfang
  2. Databehandleren bemyndiges til at fortage behandling af personoplysninger på den Dataansvarliges vegne på vilkårene fastsat i Databehandleraftalen.
  3. Databehandleren må alene behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige (”Instruks”). Denne Databehandleraftale inkl. bilag udgør Instruksen på underskriftstidspunktet.  
  4. Instruksen kan til enhver tid ændres eller konkretiseres nærmere af den Dataansvarlige.
  5. Databehandleren må, i det omfang andet ikke følger af Databehandleraftalen, benytte alle relevante hjælpemidler, herunder IT-systemer.
  6. Varighed
  7. Databehandleraftalen gælder indtil enten (a) aftale(r)n(e) om levering af Hovedydelserne ophører eller (b) Databehandleraftalen opsiges eller ophæves.
  8. Databehandlerens forpligtelser
  9. Tekniske og organisatoriske sikkerhedsforanstaltninger

14.1.1 Databehandleren har ansvaret for at gennemføre fornødne (a) tekniske og (b) organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau. Foranstaltningerne skal gennemføres under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammensætning og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Databehandleren skal bl.a. tage kategorien af personoplysninger beskrevet i bilag 1 i betragtning ved fastlæggelsen af disse foranstaltninger.

14.1.2 Databehandleren skal uanset punkt 4.1.1 gennemføre de tekniske og organisatoriske sikkerhedsforanstaltninger til denne Databehandleraftale samt (b) aftale(r)n(e) om levering af Hovedydelserne.

14.1.3 Databehandleren garanterer overfor den Dataansvarlige, at Databehandleren garanterer at ville sikre personoplysningerne i overensstemmelse med den l enhver d gældende persondataretlige lovgivning og bekendtgørelser (sikkerhedsbekendtgørlsen off. myndigheder) samt gennemføre passende tekniske og organisatoriske foranstaltninger således en passende sikkerhed op- nås.

14.1.4 Dataansvarlige accepterer at Databehandleren anvender IT l behandling af personoplysninger.

14.1.5 Dataansvarlige accepterer, at Databehandleren anvender følgende programmer l behandling af personoplysninger:

  1. Medarbejderforhold

15.1.1 Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

15.1.2 Databehandleren skal sikre, at adgangen til personoplysningerne begrænses til de medarbejdere, for hvem det er nødvendigt at behandle personoplysninger for at kunne opfylde Databehandlerens forpligtelser over for den Dataansvarlige.

15.1.3 Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, kun behandler disse i overensstemmelse med Instruksen.  

  1. Dokumentation for overholdelse af forpligtelser

16.1.1 Databehandleren skal på skriftlig anmodning dokumentere overfor den Dataansvarlige, at Databehandleren:

  • overholder sine forpligtelser efter denne Databehandleraftale og Instruksen.
  • overholder bestemmelserne i den til enhver tid gældende persondataretlige regulering, for så vidt angår de personoplysninger, som behandles på den Dataansvarliges vegne.

16.1.2 Databehandlerens dokumentation heraf skal ske inden rimelig tid.

16.1.3 Det nærmere indhold af forpligtelserne under punkt 4.3.1 er beskrevet i bilag 2 til denne Databehandleraftale.

  1. Sikkerhedsbrud

17.1.1 Databehandleren skal underrette den Dataansvarlige om brud på persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysningerne behandlet for den Dataansvarlige (”Sikkerhedsbrud”).

17.1.2 Sikkerhedsbrud skal meddeles til den Dataansvarlige uden unødig forsinkelse.

  1. Bistand

18.1.1 Databehandleren skal i fornødent og rimeligt omfang bistå ved den Dataansvarliges opfyldelse af dennes forpligtelser ved behandling af personoplysningerne, der er omfattet af denne Databehandleraftale, herunder ved:

  • besvarelser til registrerede ved udøvelse af disses rettigheder,
  • Sikkerhedsbrud,
  • konsekvensanalyser, og
  • forudgående høringer fra tilsynsmyndighederne.
  1. Underdatabehandlere
  2. Databehandleren må kun gøre brug af en tredjepart til behandlingen af personoplysninger for den Dataansvarlige (”Underdatabehandler”) i det omfang dette fremgår af:
  • bilag 6 til denne Databehandleraftale, eller
  • Instruks fra den Dataansvarlige.
  1. Databehandleren og Underdatabehandleren skal indgå en skriftlig aftale, som pålægger Underdatabehandleren de samme databeskyttelsesforpligtelser, som påhviler Databehandleren (herunder i medfør af denne Databehandleraftale).
  2. Underdatabehandleren handler herudover ligeledes alene på Instruks fra den Dataansvarlige.
  3. Databehandleren er direkte ansvarlig for Underdatabehandlerens behandling af personoplysninger på samme vis, som var behandling foretaget af Databehandleren selv.
  4. Overførsel til tredjelande og internationale organisationer
  5. Databehandleren må kun overføre personoplysninger til tredjelande eller internationale organisationer i det omfang dette fremgår af:
  • bilag 7 til denne Databehandleraftale, eller
  • Instruks fra den Dataansvarlige.

25.1 Overførsel af personoplysninger må i alle tilfælde kun ske i det omfang, det er tilladt ifølge den til enhver tid gældende persondataretlige regulering.

  1. Databehandling udenfor instruksen
  2. Databehandleren kan behandle personoplysninger udenfor Instruksen i tilfælde, hvor det kræves af EU-retten eller national ret, som Databehandleren er underlagt.
  3. Ved behandling af personoplysninger udenfor Instruksen skal Databehandleren underrette den Dataansvarlige om årsagen hertil. Underretningen skal ske, inden behandlingen foretages og skal indeholde en henvisning til de retlige krav, der ligger til grund for behandlingen.
  4. Underretning skal ikke ske, hvis underretning vil være i strid med EU retten eller den nationale ret.  
  5. Force Majeure
  6. Reguleringen af force majeure i aftale(r)n(e) om levering af Hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf. I tilfælde af, at aftale(r)n(e) om levering af Hovedydelserne ikke tager stilling hertil, skal bestemmelserne i dette punkt 13 finde anvendelse på denne Databehandleraftale.
  7. Databehandleren kan ikke gøres ansvarlig for forhold, der almindeligvis må betegnes som force majeure, herunder, men ikke begrænset til, krig, optøjer, terror, opstand, strejke, ildsvåde, naturkatastrofer, valutarestriktioner, import- eller eksportrestriktioner, afbrydelse af almindelig samfærdsel, afbrydelse af eller svigt i energiforsyningen, offentlige dataanlæg og kommunikationssystemer, længerevarende sygdom hos nøglemedarbejdere, virus samt indtrædelse af force majeure hos underleverandører.
  8. Force majeure kan højst gøres gældende med det antal arbejdsdage, som force majeure-situationen varer.
  9. Ophør
  10. Opsigelse og ophævelse

35.1.1 Databehandleraftalen kan alene opsiges eller ophæves i overensstemmelse med bestemmelserne om opsigelse og ophævelse i aftale(r)n(e) om levering af Hovedydelserne.

35.1.2 Opsigelse eller ophævelse af denne Databehandleraftale kan alene ske ved – og berettiger til – samtidig opsigelse eller ophævelse af dele af aftale(r)n(e) om levering af Hovedydelserne, der vedrører behandling af personoplysninger i medfør af Databehandleraftalen.

  1. Databehandleren og dennes Underdatabehandlere skal tilbagelevere alle personoplysninger, som Databehandleren har behandlet under denne Databehandleraftale, til den Dataansvarlige ved Databehandleraftalens ophør, i det omfang den Dataansvarlige ikke allerede er i besiddelse af personoplysningerne. Databehandleren er herefter forpligtet til at slette alle personoplysninger fra den Dataansvarlige. Den Dataansvarlige kan anmode om fornøden dokumentation for, at dette er sket.
  2. Tvistløsning
  3. Reguleringen af tvistløsning, inkl. lovvalg og værneting, i aftale(r)n(e) om levering af Hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf. I tilfælde af, at aftale(r)n(e) om levering af Hovedydelserne ikke tager stilling hertil, skal bestemmelserne i dette punkt 16 finde anvendelse på denne Databehandleraftale.
  4. Databehandleraftalen er underlagt dansk ret med undtagelse af (a) regler, der fører til anvendelse af anden lov end dansk lov samt (b) FN konventionen om internationale løsørekøb (CISG).

BILAG 1

HOVEDYDELSEN

1. Hovedydelsen

A. Hovedydelsen består af følgende: Levering af software til håndtering af partnerens forretningsdata herunder transaktioner samt tilhørende data.

2. Personoplysninger

A. Typer af personoplysninger, der behandles i sammenhæng med levering af Hovedydelsen:  

B. Almindelige personoplysninger, herunder Navn, Telefonnummer og E-mail

C. Kategorien af registrerede identificerede eller identificerbare fysiske personer omfattet af Databehandleraftalen:

I. Den Dataansvarliges slutbrugere 


II. Den Dataansvarliges medarbejdere 


BILAG 2

DOKUMENTATION FOR OVERHOLDELSE AF FORPLIGTELSER

Som led i Databehandlerens demonstrering overfor den Dataansvarlige af overholdelse af sine forpligtelser efter punkt 4.3 i Databehandleraftalen skal nedenstående punkter udføres og overholdes.

2. Generel Dokumentation til den Dataansvarlige

10.3 Databehandleren er på skriftlig anmodning forpligtet til at fremsende følgende generelle dokumentation til den Dataansvarlige:

I. En erklæring fra Databehandlerens ledelse om, at Databehandleren under sin behandling af personoplysninger på den Dataansvarliges vegne løbende sikrer overholdelse af sine forpligtelser efter denne Databehandleraftale.

11. Audit

11.1 Databehandleren skal på skriftlig anmodning bidrage til og give adgang til audit.

11.2 Audit skal foretages af en uafhængig tredjepart valgt af den Dataansvarlige og godkendt af Databehandleren. Databehandleren kan ikke afvise en foreslået tredjepart uden rimelig begrundelse. Den uafhængige tredjepart skal tiltræde en sædvanlig fortrolighedserklæring overfor Databehandleren.

11.3 Anmodning om audit skal ske med mindst 60 dages varsel.

11.4 Databehandleren har krav på betaling efter medgået tid og forbrugte materialer for bistand i medfør af dette punkt 4, med mindre andet følger af bilag 4 eller punkt 9.2 i Databehandleraftalen.

12. Øvrigt

12.1 Overstående punkter skal ikke anses for udtømmende, og Databehandleren er derfor forpligtet til at foretage sådanne yderligere handlinger og tiltag, som er nødvendige for demonstration af Databehandlerens forpligtelse efter punkt 4 i Databehandleraftalen.

12.2 Databehandleren er ikke forpligtet til at følge en anmodning fra den Dataansvarlige i henhold til dette bilag 3 hvis anmodningen strider mod den persondataretlige regulering. Databehandleren skal underrette den Dataansvarlige i det omfang, det er Databehandlerens vurdering, at dette er tilfældet.

BILAG 3

DEN DATAANSVARLIGES FORPLIGTELSER

3. Forpligtelser

13.3 Den Dataansvarlige har følgende forpligtelser

A. At personoplysningerne er ajourførte

B. At kunde- og personale-data er lovlig indhentet

C. At sikre sig, at Instruksen er lovlig set i forhold til den til enhver tid gældende persondataretlige regulering

D. At Instruksen er hensigtsmæssig set i forhold til denne Databehandleraftale og Hovedydelsen.

BILAG 4

UNDERDATABEHANDLERE

Den Dataansvarlige giver hermed sin godkendelse til, at Databehandleren anvender følgende Underdatabehandlere af vores IT-systemer. Underdatabehandlere kan få adgang til vores brugeres persondata idet man indgår en aftale med Shopbox. De leverer services, vi vurderer er nødvendige for, at vi kan leve op til den aftale, du som bruger laver med Shopbox ved at blive bruger hos os.

Listen vil løbende blive opdateret ved eventuelle ændringer. Hvis der bliver tilføjet en underleverandør, vil alle brugere ligeledes blive varslet.

Leverandør LOKATION/ LAND Lovligt grundlag for
processering udenfor EU
FUNKTION OPDATERET
Amazon Irland Hosting 23/5 2018
Facebook Irland Monitorering, markedsføring og statistik 23/5 2018
google Irland Monitorering, markedsføring og statistik 23/5 2018
Intercom USA EU-US Privacy Shield Kundeservice 23/5 2018
E-conomic Danmark Fakturering 23/5 2018
Telefonsupport Danmark Telefonsupport 23/5 2018
Instabug USA EU-US Privacy Shield Monitorering 23/5 2018
Apple (Itunes Connect) USA EU-US Privacy Shield Monitorering 23/5 2018
Microstoft (Store) USA EU-US Privacy Shield Monitorering 23/5 2018
Mixpanel, Inc USA EU-US Privacy Shield Statistik og udvikling 23/5 2018
MongoDB, Inc EU (Holland, Irland) Hosting 23/5 2018
Xamarin Insights USA EU-US Privacy Shield Monitorering 23/5 2018
Mandril USA EU-US Privacy Shield Email service 23/5 2018
Mailchimp USA EU-US Privacy Shield Email service 23/5 2018

BILAG 7

OVERFØRSEL TIL TREDJELAND OG INTERNATIONALORGANISATION

4. Generelt

12.4 Den Dataansvarlige giver hermed sin godkendelse til, at Databehandleren overfører personoplysninger til følgende sikre tredjelande:

N. Egypten

C. Databasen håndteres Af Amazon, men udviklere ansat af Shopbox og bosiddende i Egypten kan få adgang til data for at løse eventuelle tekniske problemer med de ydelser der leveres til kunden