Databehandleraftale

Databehandleraftale (gældende i EU/EØS)

Revision 21.3
Gældende fra 01/04/2021

Den Dataansvarlige Kunde i EU/EØS
(herefter “Dataansvarlige”)

og

Databehandleren
Bricksite ApS
CVR 29408378
Normansvej 1
DK8920 Randers NV
Danmark

(herefter hver for sig “Part”, og samlet kaldet “Parterne”)

har indgået denne databehandleraftale (“Databehandleraftalen”) om Databehandlers behandling af personoplysninger på vegne af den Dataansvarlige.

Kontaktpunkter

i. Databehandleren kan kontaktes elektronisk på privacy@bricksite.com.

ii. Kontakt med den Dataansvarlige skal udelukkende ske med den Kontaktperson, som står angivet på Kundens bruger i Hovedaftalen.

iii. Det er den Dataansvarliges ansvar og forpligtelse løbende at vedligeholde kontaktoplysningerne på Kontaktpersonen i Databehandlerens systemer.

iv. Henvendelse fra tredjeparter vil blive henvist til den Dataansvarliges kontaktperson.

v. Såfremt Kontaktpersonen ikke kan kontaktes grundet stillingsophør, dødsfald, eller andet; eller udgør en væsentlig risiko for behandlingssikkerheden, herunder for misbrug af privilegier, acces, eller tab af en enhver grad; så kan Databehandleren forespørges at overdrage Kontaktpersonrollen, tjenesteydelserne og betalingsforpligtelsen, i tråd med Hovedaftalen, mod den fornødne dokumentation.

1. Baggrund

1.1. Denne Databehandleraftale er underlagt lovgivningen, herunder Databeskyttelsesloven [Lov nr. 502 af 23/05/2018] og Databeskyttelsesforordningen [Forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF, med tilhørende retsakter samt afledt national lovgivning.

1.2. Tidligere revisioner af Databehandleraftalen kan udleveres ved forespørgsel til Databehandleren.

2. Ikrafttrædelse

2.1. Denne Databehandleraftale inkl. bilag er indgået ved oprettelsen af kundeforholdet i tillæg til Bricksites Forretningsbetingelser (“Hovedaftalen”).

2.2. Databehandleraftalen finder anvendelse ved den Dataansvarliges brug af Databehandlerens tjenester, hvori der behandles personoplysninger for den Dataansvarlige, uanset om denne behandling indgår som led i et abonnement, en gratisydelse, eller i øvrige tjenester.

3. Formål og Omfang

3.1. Databehandleren handler alene efter dokumenteret instruks fra den Dataansvarlige. Denne Databehandleraftale inkl. bilag udgør instruksen.

3.2. Databehandlere behandler kun personoplysninger til de formål, der er nødvendige for at opfylde instruksen og Databehandlerens øvrige forpligtelser i lovgivningen.

3.3. Typerne af personoplysninger, som Databehandleren behandler for den Dataansvarlige, er anført i Bilag A.

4. Dataansvarliges Forpligtelser

4.1. Den Dataansvarlige har over for omverdenen (herunder den Registrerede) ansvaret for lovlig overholdelse af den persondataretlige regulering (jf. pkt. 2), herunder at personoplysninger skal behandles til legitime og objektive formål.

4.2. Den Dataansvarlige skal desuden påse sin oplysningspligt over for den Registrerede.

5. Databehandlers Forpligtelser

5.1. Den primære databehandling som Databehandleren udfører, er opbevaring af de data, som den Dataansvarlige overlader til Databehandleren.

5.2. Såfremt den Dataansvarlige ønsker andre former for databehandling, som ikke er relateret til de standardservices, Databehandleren leverer, skal den Dataansvarlige give Databehandleren tydelig dokumenteret instruks herom.

5.3. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre andet kræves i henhold til EU-retten eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.

5.4. Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med EU-retten eller national ret.

5.5. Registreredes anmodninger, indsigelser, eller anden henvendelse til Databehandleren videresendes til den Dataansvarlige for den Dataansvarliges videre behandling deraf.

5.5.1. I medfør heraf, skal Databehandleren på den Dataansvarliges skriftlige og udtrykkelige foranmodning for så vidt muligt bistå den Dataansvarlige med opfyldelse af den Dataansvarliges forpligtelser efter til at besvare anmodninger om udøvelse af den Registreredes rettigheder, herunder om indsigt, berigtigelse, begrænsning eller sletning, hvis de relevante personoplysninger behandles af Databehandleren.

5.6. Den Dataansvarlige hæfter for alle Databehandlerens omkostninger ved sådan bistand, herunder til underdatabehandlere. Databehandlerens bistand afregnes til Databehandlerens til enhver tid gældende timetakst for sådant arbejde.

6. Fortrolighed

6.1. Databehandleren sikrer, at der alene autoriseres medarbejdere, for hvem det er nødvendigt at behandle personoplysninger, for at kunne opfylde Databehandlerens forpligtelser over for den Dataansvarlige.

6.2. Databehandleren sikrer, at autoriserede medarbejdere til at behandle personoplysninger, har forpligtet sig til fortrolighed, eller er undelagt en passende lovbestemt tavshedspligt.

6.3. Databehandleren sikrer, at autoriserede medarbejdere til at behandle personoplysninger kun behandler disse efter instruks.

7. Behandlingssikkerhed

7.1. Databehandleren iværksætter alle nødvendige tekniske og organisatoriske foranstaltninger, som kræves efter Forordningens artikel 32, for at sikre et sikkerhedsniveau der passer til, at personoplysningerne i Bilag A ikke hændeligt eller ulovligt tilintetgøres, bortkommer, forringes, eller videregives til uautoriserede tredjeparter, misbruges, eller på anden måde behandles i strid med gældende databeskyttelsesregulering; med hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål, samt risiciene af varierende sandsynlighed, og alvor for fysiske personers rettigheder og frihedsrettigheder.

7.2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici.

7.3. Databehandleren iværksætter som minimum det sikkerhedsniveau og de foranstaltninger, som er specificeret i Bilag B.

7.4. Såfremt den Dataansvarlige anmoder herom, skal Databehandleren angive eller dokumentere, at Databehandleren opfylder kravene i databeskyttelseslovgivningen.

7.4.1. Databehandleren er berettiget til at fakturere den Dataansvarlige med sin sædvanlige timetakst for al Databehandlerens arbejdstid, som en sådan dokumentationsopgave måtte medføre for Databehandleren, ligesom den Dataansvarlige hæfter for eventuel betaling til underdatabehandleren.

7.5. Databehandleren underretter uden unødig forsinkelse den Dataansvarlige efter at være blevet opmærksom på, at der kan være sket brud på persondatasikkerheden hos Databehandleren eller en eventuel Underdatabehandler.

7.5.1. Den dataansvarlige har derefter ansvaret for om sikkerhedsbruddet skal anmeldes til Tilsynsmyndigheden inden for 72 timer efter at være blevet gjort bekendt med det af Databehandleren eller en Underdatabehandler.

7.5.2. På den Dataansvarlige foranmodning skal Databehandleren, under hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for denne, bistå den Dataansvarlige med at klarlægge omfanget af sikkerhedsbruddet efter Forordningens artikel 32–36, herunder udarbejdelse af en eventuel underretning af Tilsynsmyndigheden og/eller de Registrerede.

8. Anvendelse af Underdatabehandlere

8.1. Den Dataansvarlige giver ved indgåelse af Databehandleraftalen Databehandleren en generel tilladelse til at indgå aftaler med Underdatabehandlere til behandling af personoplysninger for den Dataansvarlige.

8.2. Databehandleren har Dataansvarliges generelle fuldmagt til at indgå standardkontrakter (SCCs) med Underdatabehandlere i tredjelande uden for EU/EØS, eller med internationale organisationer.

8.3. Databehandleren underretter den Dataansvarlige om alle tilføjelser eller udskiftninger af Underdatabehandlere med et rimeligt varsel under hensyntagen til driften. Derudover kan den Dataansvarlige orientere sig i listen over specifikke godkendte Underdatabehandlere i Bilag C.

8.4. Databehandleren sikrer sig, på vegne af den Dataansvarlige, at dennes Underdatabehandlere skal overholde tilsvarende forpligtelser og krav, som er beskrevet i denne Databehandleraftale.

8.4.1. Databehandleren pålægger Underdatabehandleren de samme databeskyttelsesforpligtelser som fastsat i denne Databehandleraftale, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at Underdatabehandleren vil gennemføre passende tekniske og organisatoriske foranstaltninger efter Forordningens artikel 32.

8.4.2. Al brug af Underdatabehandlere er endvidere underlagt Bricksites Privatlivspolitik.

8.5. Den Dataansvarlige har ret til at gøre rimelige og relevante indsigelser mod en ny Underdatabehandler.

8.5.1. I en sådan situation skal Databehandleren demonstrere overensstemmelse ved at give den Dataansvarlige adgang til Databehandlerens databeskyttelsesvurdering af Underdatabehandleren.

8.5.2. Hvis Databehandleren under hensyntagen til den Dataansvarliges indsigelser fortsat ønsker at gøre brug af en Underdatabehandler, har Parterne ret til gensidig ophævelse af Databehandleraftalen, og eventuelt Hovedaftalen, jf. fristerne i Hovedaftalen, men eventuelt mod et kortere varsel for at sikre, at den Dataansvarliges personoplysninger ikke behandles af den pågældende Underdatabehandler.

8.5.3. I løbet af denne periode må den Dataansvarlige ikke kræve, at Databehandleren ophører sin brug af den pågældende Underdatabehandler.

9. Ansvar

9.1. Parternes ansvar og erstatningsansvar, og andre forhold, reguleres af Hovedaftalen.

10. Tilsyn og Revision

10.1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise Databehandlerens og Underdatabehandleres overholdelse af Forordningens art. 28 og denne Databehandleraftale til rådighed for den Dataansvarlige, og giver mulighed for og bidrager til den årlige revision, herunder inspektioner, der foretages af den Dataansvarlige eller anden revisor, som er bemyndiget af den Dataansvarlige.

10.2. Databehandleren er forpligtet til at give myndigheder, der efter den til enhver tid gældende lovgivning har adgang til den dataansvarliges og databehandlerens faciliteter, eller repræsentanter, der optræder på myndighedens vegne, adgang til databehandlerens fysiske faciliteter, mod behørig legitimation.

11. Forrang

11.1. Medmindre andet fremgår, har Databehandleraftale forrang i forhold til tilsvarende bestemmelser i andre aftaler eller betingelser mellem Parterne.

11.2. Hvis lovændringer gør dele af denne Databehandleraftale ugyldig, så vil de øvrige dele af Aftalen fortsat gælde.

12. Ophørsvirkning

12.1. Databehandleraftalen og Hovedaftalen er indbyrdes afhængige og kan ikke opsiges særskilt. Databehandleraftalen kan dog opdateres særskilt uden af opsige Hovedaftalen, mod et varsel på 30 dage.

12.2. Opsigelse af Databehandleraftalen kan ske i henhold til de opsigelsesvilkår, inkl. opsigelsesvarslet, som fremgår af Hovedaftalen.

12.3. Uanset kundeforholdets ophør, vil Databehandleraftalen vedblive i kraft frem til databehandlingens ophør og oplysningernes sletning hos Databehandleren og eventuelle Underdatabehandlere.

12.4. Ved ophør af tjenesterne vedrørende behandling forpligtes Databehandleren til, efter den Dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den Dataansvarlige, samt at slette eksisterende kopier, medmindre andet kræves af EU-retten eller national ret.

13. Lovvalg og værneting

13.1. Aftalen er underlagt en kompetent domstol i første instans i samme jurisdiktion, som fremgår af Hovedaftalen.

BILAG A

A.1. Kategorier af Registrerede

– Bricksite Classic giver den Dataansvarlige mulighed for at oprette gæstebrugere. Dette kan være være Dataansvarliges familie, kolleger, ansatte, leverandører, forretnings- og samarbejdspartnere, medlemmer, kunder, og enhver tredjepart.

– Bricksite Classic giver den Dataansvarlige mulighed for at oprette en webshop, hvor enhver tredjepart kan bestille en vare eller tjenesteydelse.

– Databehandleren stiller sit system til rådighed for den Dataansvarlige som en hostet tjeneste, og Databehandleren har derfor ikke mulighed for at specificere kategorierne af registrerede.

A.2. Typer af Personoplysninger Generelt

– Enhver type indhold, herunder:
– Kontakt- og identifikationsoplysninger
– Besøgs- og statistikdata (kun for Classic)
– IP-adresser

A.2. Typer af Personoplysninger for Gæstebrugere

– Fulde Navn
– Email
– Telefonnummer
– CVR-nr.
– Fax
– Medlemsoplysninger, herunder krypterede adgangskoder.
– Øvrige typer personoplysninger kan forekomme.

A.3. Typer af Personoplysninger for Webshop og Beskedcenter

– Fulde Navn
– Email
– Telefonnummer
– CVR-nr.
– Fax
– Betalingsoplysninger (herunder kontonumre, MD5-ID, Merchant-ID, og PayPal-adresse)
– Øvrige oplysninger
– Ordrehistorik
– Beskedhistorik
– Billeder
– Øvrige typer personoplysninger kan forekomme.

A.4. Typer af Personoplysninger for Bricksite II – Kontaktformular

A.4.1. Ved brug af kontaktformularen på hjemmesiden indsamles som minimum disse personoplysninger for at kunne stille tjenesten til rådighed (legitim interesse), og slettes med det samme:

– Emailadresse
– IP-adresse
– Øvrige typer personoplysninger kan forekomme på den Dataansvarliges foranledning og tilpasning af kontaktformularen, herunder enhver type personoplysning, som måtte fremkomme i fritekstfeltet.

A.5. Sikkerhed

– Databehandleren og Underdatabehandlere stiller systemer til rådighed, som sikrer fortrolighed, integritet og tilgængelighed, herunder også i de fysiske faciliteter og kontorer.

– Den Dataansvarlige er for Classics vedkommende selv ansvarlig for at overholde sine forpligtelser til eksempelvis sletning af personoplysninger fra Beskedcentret og Classic Webshop, uanset om disse og øvrige tjenester er betalte eller gratisydelser.

– Der foretages dagligt en fuld backup af systemet i tilfælde af nedbrud.

– Emailkonti kan gendannes i max 30 dage efter hændelig eller ulovlig sletning.

A.6. Dataansvarliges Supportmuligheder

– Ved supporthenvendelser kan der forekomme overladelse til teknikere ved Underdatabehandlere, eventuelt uden for EU/EØS, som kan have fuld adgang til Dataansvarliges hjemmeside, email, og andre tjenester, som supporthenvendelsen omhandler. Der kan også forekomme overladelse af pseudonymiseret persondata i stedet for fuld adgang, afhængigt af supporthenvendelsens omfang.

BILAG B – Foranstaltninger

B.1. Databehandleren er forpligtet til at sikre et højt sikkerhedsniveau i sine produkter og services, hvilket sikres ved relevante organisatoriske, tekniske og fysiske sikkerhedsforanstaltninger, som er påkrævet i henhold til information om sikkerhedsforanstaltninger som beskrevet i Forordningens artikel 32.

B.2. Derudover har Bricksite foranstaltninger for at sikre fortrolighed, integritet, modstandsdygtigheden og adgangen til Personoplysninger. De følgende foranstaltninger er eksempelvis:

– Begrænse adgangen til Personoplysninger til de relevante personer, der skal til for at overholde krav og forpligtelser i Databehandleraftalen og Hovedaftalen.

– Klassificering af Personoplysninger for at sikre implementering af sikkerhedsforanstaltninger relevante i forhold til risikovurderinger.

– Vurdering af kryptering og pseudonymisering som risikoreducerende faktorer.

– Drift og implementering af systemer der kan opdage, genoprette, imødegå og rapportere hændelser i forhold til Personoplysninger.

– Foretage risikovurdering af eget sikkerhedsniveau for at sikre, at nuværende tekniske og organisatoriske foranstaltninger er tilstrækkelige til beskyttelse af Personoplysninger.

BILAG C – Liste over Specifikke Godkendte Underdatabehandlere

C.1. Tjenester, hvor Kunden er den Dataansvarlige:

Kunden er Dataansvarlig for den data Kunden, eller dennes kunders, registrerer i Bricksites systemer. Bricksite er i rollen som Databehandler forpligtet til at indhente Kundens forhåndssamtykke over specifikke godkendte Underdatabehandlere. Bricksite har indgået Underdatabehandleraftaler med nedenstående leverandører.

Amazon Web Services EMEA SARL (“Amazon Europe”) (FC034225)
– Privatlivspolitik: https://aws.amazon.com/privacy
– Land: EU
– Formål: Hosting, DNS
– Behandlingsgrundlag: Nødvendig for opfyldelse af kontrakt.

Google Ireland Ltd. (IE368047)
– Privatlivspolitik: https://policies.google.com
– Land: EU
– Formål 1: Hosting, DNS, Systemovervågning
– Behandlingsgrundlag 1: Nødvendig for opfyldelse af kontrakt
– Formål 2: Kundeservice (email)
– Behandlingsgrundlag 2: Legitim interesse
– Formål 3: Annoncering
– Behandlingsgrundlag 3: Legitim interesse.

IMC Ltd. (White Label Services)
– Land: Israel
– Formål: Fejlretning på kundens foranmodning. Anvendes kun til softwaretekniske fejl af mere alvorlig karakter, hvor Bricksite ikke selv formår at løse fejlen.
– Overførselsgrundlag: Tilstrækkelighedsafgørelse
– Behandlingsgrundlag: Legitim interesse / Nødvendig for opfyldelse af kontrakt

OVH Groupe SAS (537 407 926)
– Privatlivspolitik: https://www.ovh.com/world/support/privacy-policy
– Land: EU
– Formål: Hosting
– Behandlingsgrundlag: Nødvendig for opfyldelse af kontrakt.

Tucows, Inc. (“OpenSRS”) (0000909494)
– Privatlivspolitik: https://opensrs.com/privacy-policy
– Land: Canada
– Formål: Emailhosting
– Overførselsgrundlag: Tilstrækkelighedsafgørelse
– Behandlingsgrundlag: Nødvendig for opfyldelse af kontrakt.

C.2. Tjenester, hvor Tredjepart er den Dataansvarlige, eller har et Delt Dataansvar:

Visse tjenesteydelser kræver, at Bricksite videregiver data til Tredjepart. Tredjeparten behandler disse data i overensstemmelse med tjenestens særskilte Vilkår & Betingelser og Privatlivspolitik. Tredjepart kan viderebehandle dine kunders data til egne formål, bl.a. med hensyn til dennes retlige forpligtelser.

Bambora Danmark A/S (“ePay Bambora Online”) (DK34215480)
– Vilkår & Betingelser: https://www.bambora.com/da/dk/vilkar-og-betingelser
– Yderligere Vilkår: Afhænger af korttypen, du vil tage mod. Du kan indgå særskilt aftale med Nets A/S, MobilePay Denmark A/S, o.a.
– Privatlivspolitik: https://www.bambora.com/da/dk/legal-hub
– Land: DK/EU
– Formål: Betalingsinitieringstjeneste til din webshop (internationale betalingskort)
– Behandlingsgrundlag: Nødvendig for opfyldelse af kontrakt.

C.3. Øvrige Tjenester, hvor Kunden er den Dataansvarlige:

Kunden er selv ansvarlig for at underskrive Databehandleraftaler i det omfang, at der anvendes øvrige tjenester, som Kunden af egen drift indgår i aftale med. Det kunne for eksempel være en udbyder af nyhedsbreve eller en betalingsinitieringstjeneste.