Databehandleraftale

Databehandleraftale (gældende i EU/EØS)

Revision 21.2
Gældende fra 15/02/2021

Den Dataansvarlige Kunde i EU/EØS
(herefter “Dataansvarlige”)

og

“Databehandleren”:

Bricksite ApS
CVR 29408378
Normansvej 1
DK8920 Randers NV
Danmark

(herefter hver for sig “Part”, og samlet kaldet “Parterne”)

har indgået denne databehandleraftale (“Databehandleraftalen”) om Databehandlers behandling af personoplysninger på vegne af den Dataansvarlige.

1. Baggrund

1.1. Denne Databehandleraftale er underlagt lovgivningen, herunder Databeskyttelsesloven [Lov nr. 502 af 23/05/2018] og Databeskyttelsesforordningen [Forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF, med tilhørende retsakter samt afledt national lovgivning.

1.2. Tidligere revisioner af Databehandleraftalen kan udleveres mod forespørgsel til Databehandleren på privacy@bricksite.com.

2. Ikrafttrædelse

2.1. Denne Databehandleraftale inkl. bilag er indgået ved oprettelsen af kundeforholdet i tillæg til Bricksites Forretningsbetingelser (“Hovedaftalen”).

2.2. Databehandleraftalen finder anvendelse ved den Dataansvarliges brug af Databehandlerens tjenester, hvori der behandles personoplysninger for den Dataansvarlige, uanset om denne behandling indgår som led i et abonnement, en gratisydelse, eller i øvrige tjenester.

3. Formål og Omfang

3.1. Databehandleren handler alene efter dokumenteret instruks fra den Dataansvarlige. Denne Databehandleraftale inkl. bilag udgør instruksen.

3.2. Databehandlere behandler kun personoplysninger til de formål, der er nødvendige for at opfylde instruksen og Databehandlerens øvrige forpligtelser i lovgivningen.

3.3. Typerne af personoplysninger, som Databehandleren behandler for den Dataansvarlige, er anført i Bilag A.

4. Dataansvarliges Forpligtelser

4.1. Den Dataansvarlige har over for omverdenen (herunder den Registrerede) ansvaret for lovlig overholdelse af den persondataretlige regulering (jf. pkt. 2), herunder at personoplysninger skal behandles til legitime og objektive formål.

4.2. Den Dataansvarlige skal desuden påse sin oplysningspligt over for den Registrerede.

5. Databehandlers Forpligtelser

5.1. Den primære databehandling som Databehandleren udfører, er opbevaring af de data, som den Dataansvarlige overlader til Databehandleren.

5.2. Såfremt den Dataansvarlige ønsker andre former for databehandling, som ikke er relateret til de standardservices, Databehandleren leverer, skal den Dataansvarlige give Databehandleren tydelig dokumenteret instruks herom.

5.3. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre andet kræves i henhold til EU-retten eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.

5.4. Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med EU-retten eller national ret.

5.5. Registreredes anmodninger, indsigelser, eller anden henvendelse til Databehandleren videresendes til den Dataansvarlige for den Dataansvarliges videre behandling deraf.

5.5.1. I medfør heraf, skal Databehandleren på den Dataansvarliges skriftlige og udtrykkelige foranmodning for så vidt muligt bistå den Dataansvarlige med opfyldelse af den Dataansvarliges forpligtelser efter til at besvare anmodninger om udøvelse af den Registreredes rettigheder, herunder om indsigt, berigtigelse, begrænsning eller sletning, hvis de relevante personoplysninger behandles af Databehandleren.

5.6. Den Dataansvarlige hæfter for alle Databehandlerens omkostninger ved sådan bistand, herunder til underdatabehandlere. Databehandlerens bistand afregnes til Databehandlerens til enhver tid gældende timetakst for sådant arbejde.

6. Fortrolighed

6.1. Databehandleren sikrer, at der alene autoriseres medarbejdere, for hvem det er nødvendigt at behandle personoplysninger, for at kunne opfylde Databehandlerens forpligtelser over for den Dataansvarlige.

6.2. Databehandleren sikrer, at autoriserede medarbejdere til at behandle personoplysninger, har forpligtet sig til fortrolighed, eller er undelagt en passende lovbestemt tavshedspligt.

6.3. Databehandleren sikrer, at autoriserede medarbejdere til at behandle personoplysninger kun behandler disse efter instruks.

7. Behandlingssikkerhed

7.1. Databehandleren iværksætter alle nødvendige tekniske og organisatoriske foranstaltninger, som kræves efter Forordningens artikel 32, for at sikre et sikkerhedsniveau der passer til, at personoplysningerne i Bilag A ikke hændeligt eller ulovligt tilintetgøres, bortkommer, forringes, eller videregives til uautoriserede tredjeparter, misbruges, eller på anden måde behandles i strid med gældende databeskyttelsesregulering; med hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål, samt risiciene af varierende sandsynlighed, og alvor for fysiske personers rettigheder og frihedsrettigheder.

7.2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici.

7.3. Databehandleren iværksætter som minimum det sikkerhedsniveau og de foranstaltninger, som er specificeret i Bilag B.

7.4. Såfremt den Dataansvarlige anmoder herom, skal Databehandleren angive eller dokumentere, at Databehandleren opfylder kravene i databeskyttelseslovgivningen.

7.4.1. Databehandleren er berettiget til at fakturere den Dataansvarlige med sin sædvanlige timetakst for al Databehandlerens arbejdstid, som en sådan dokumentationsopgave måtte medføre for Databehandleren, ligesom den Dataansvarlige hæfter for eventuel betaling til underdatabehandleren.

7.5. Databehandleren underretter uden unødig forsinkelse den Dataansvarlige efter at være blevet opmærksom på, at der kan være sket brud på persondatasikkerheden hos Databehandleren eller en eventuel Underdatabehandler.

7.5.1. Den dataansvarlige har derefter ansvaret for om sikkerhedsbruddet skal anmeldes til Tilsynsmyndigheden inden for 72 timer efter at være blevet gjort bekendt med det af Databehandleren eller en Underdatabehandler.

7.5.2. På den Dataansvarlige foranmodning skal Databehandleren, under hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for denne, bistå den Dataansvarlige med at klarlægge omfanget af sikkerhedsbruddet efter Forordningens artikel 32–36, herunder udarbejdelse af en eventuel underretning af Tilsynsmyndigheden og/eller de Registrerede.

8. Anvendelse af Underdatabehandlere

8.1. Den Dataansvarlige giver ved indgåelse af Databehandleraftalen Databehandleren en generel tilladelse til at indgå aftaler med Underdatabehandlere til behandling af personoplysninger for den Dataansvarlige.

8.2. Databehandleren har Dataansvarliges generelle fuldmagt til at indgå standardkontrakter (SCCs) med Underdatabehandlere i tredjelande uden for EU/EØS, eller med internationale organisationer.

8.3. Databehandleren underretter den Dataansvarlige om alle tilføjelser eller udskiftninger af Underdatabehandlere med et rimeligt varsel under hensyntagen til driften, og derudover kan den Dataansvarlige orientere sig i den til enhver tid opdaterede liste over Underdatabehandlerne, som forefindes via https://bricksite.dk/underleverandorer-til-bricksite.

8.4. Databehandleren sikrer sig, på vegne af den Dataansvarlige, at dennes Underdatabehandlere skal overholde tilsvarende forpligtelser og krav, som er beskrevet i denne Databehandlerftale.

8.4.1. Databehandleren pålægger Underdatabehandleren de samme databeskyttelsesforpligtelser som fastsat i denne Databehandleraftale, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at Underdatabehandleren vil gennemføre passende tekniske og organisatoriske foranstaltninger efter Forordningens artikel 32.

8.4.2. Al brug af Underdatabehandlere er endvidere underlagt Bricksites Privatlivspolitik.

8.5. Den Dataansvarlige har ret til at gøre rimelige og relevante indsigelser mod en ny Underdatabehandler.

8.5.1. I en sådan situation skal Databehandleren demonstrere overensstemmelse ved at give den Dataansvarlige adgang til Databehandlerens databeskyttelsesvurdering af Underdatabehandleren.

8.5.2. Hvis Databehandleren under hensyntagen til den Dataansvarliges indsigelser fortsat ønsker at gøre brug af en Underdatabehandler, har Parterne ret til gensidig ophævelse af Databehandleraftalen, og eventuelt Hovedaftalen, jf. fristerne i Hovedaftalen, men eventuelt mod et kortere varsel for at sikre, at den Dataansvarliges personoplysninger ikke behandles af den pågældende Underdatabehandler.

8.5.3. I løbet af denne periode må den Dataansvarlige ikke kræve, at Databehandleren ophører sin brug af den pågældende Underdatabehandler.

9. Ansvar

9.1. Parternes ansvar og erstatningsansvar, og andre forhold, reguleres af Hovedaftalen.

10. Tilsyn og Revision

10.1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise Databehandlerens og Underdatabehandleres overholdelse af Forordningens art. 28 og denne Databehandleraftale til rådighed for den Dataansvarlige, og giver mulighed for og bidrager til den årlige revision, herunder inspektioner, der foretages af den Dataansvarlige eller anden revisor, som er bemyndiget af den Dataansvarlige.

10.2. Databehandleren er forpligtet til at give myndigheder, der efter den til enhver tid gældende lovgivning har adgang til den dataansvarliges og databehandlerens faciliteter, eller repræsentanter, der optræder på myndighedens vegne, adgang til databehandlerens fysiske faciliteter, mod behørig legitimation.

11. Forrang

11.1. Medmindre andet fremgår, har Databehandleraftale forrang i forhold til tilsvarende bestemmelser i andre aftaler eller betingelser mellem Parterne.

11.2. Hvis lovændringer gør dele af denne Databehandleraftale ugyldig, så vil de øvrige dele af Aftalen fortsat gælde.

12. Ophørsvirkning

12.1. Databehandleraftalen og Hovedaftalen er indbyrdes afhængige og kan ikke opsiges særskilt. Databehandleraftalen kan dog opdateres særskilt uden af opsige Hovedaftalen, mod et varsel på 30 dage.

12.2. Opsigelse af Databehandleraftalen kan ske i henhold til de opsigelsesvilkår, inkl. opsigelsesvarslet, som fremgår af Hovedaftalen.

12.3. Uanset kundeforholdets ophør, vil Databehandleraftalen vedblive i kraft frem til databehandlingens ophør og oplysningernes sletning hos Databehandleren og eventuelle Underdatabehandlere.

12.4. Ved ophør af tjenesterne vedrørende behandling forpligtes Databehandleren til, efter den Dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den Dataansvarlige, samt at slette eksisterende kopier, medmindre andet kræves af EU-retten eller national ret.

13. Lovvalg og værneting

13.1. Aftalen er underlagt en kompetent domstol i første instans i samme jurisdiktion, som fremgår af Hovedaftalen.

BILAG A

A.1. Kategorier af Registrerede

– Bricksite Classic giver den Dataansvarlige mulighed for at oprette gæstebrugere. Dette kan være være Dataansvarliges familie, kolleger, ansatte, leverandører, forretnings- og samarbejdspartnere, medlemmer, kunder, og enhver tredjepart.

– Bricksite Classic giver den Dataansvarlige mulighed for at oprette en webshop, hvor enhver tredjepart kan bestille en vare eller tjenesteydelse.

– Databehandleren stiller sit system til rådighed for den Dataansvarlige som en hostet tjeneste, og Databehandleren har derfor ikke mulighed for at specificere kategorierne af registrerede.

A.2. Typer af Personoplysninger Generelt

– Enhver type indhold, herunder:
– Kontakt- og identifikationsoplysninger
– Besøgs- og statistikdata (kun for Classic)
– IP-adresser

A.2. Typer af Personoplysninger for Gæstebrugere

– Fulde Navn
– Email
– Telefonnummer
– CVR-nr.
– Fax
– Medlemsoplysninger, herunder krypterede adgangskoder.
– Øvrige typer personoplysninger kan forekomme.

A.3. Typer af Personoplysninger for Classic Webshop og Beskedcenter

– Fulde Navn
– Email
– Telefonnummer
– CVR-nr.
– Fax
– Betalingsoplysninger (herunder kontonumre, MD5-ID, Merchant-ID, og PayPal-adresse)
– Øvrige oplysninger
– Ordrehistorik
– Beskedhistorik
– Billeder
– Øvrige typer personoplysninger kan forekomme.

A.4. Typer af Personoplysninger for Bricksite II – Kontaktformular

A.4.1. Ved brug af kontaktformularen på hjemmesiden indsamles som minimum disse personoplysninger for at kunne stille tjenesten til rådighed (legitim interesse), og slettes med det samme:

– Emailadresse
– IP-adresse
– Øvrige typer personoplysninger kan forekomme på den Dataansvarliges foranledning og tilpasning af kontaktformularen, herunder enhver type personoplysning, som måtte fremkomme i fritekstfeltet.

A.5. Sikkerhed

– Databehandleren og Underdatabehandlere stiller systemer til rådighed, som sikrer fortrolighed, integritet og tilgængelighed, herunder også i de fysiske faciliteter og kontorer.

– Den Dataansvarlige er for Classics vedkommende selv ansvarlig for at overholde sine forpligtelser til eksempelvis sletning af personoplysninger fra Beskedcentret og Classic Webshop, uanset om disse og øvrige tjenester er betalte eller gratisydelser.

– Der foretages dagligt en fuld backup af systemet i tilfælde af nedbrud.

– Emailkonti kan gendannes i maks 30 dage efter hændelig eller ulovlig sletning.

A.6. Dataansvarliges Supportmuligheder

– Ved supporthenvendelser kan der forekomme overladelse til teknikere ved Underdatabehandlere, eventuelt uden for EU/EØS, som kan have fuld adgang til Dataansvarliges hjemmeside, email, og andre tjenester, som supporthenvendelsen omhandler. Der kan også forekomme overladelse af pseudonymiseret persondata i stedet for fuld adgang, afhængigt af supporthenvendelsens omfang.

BILAG B

B.1. Databehandleren er forpligtet til at sikre et højt sikkerhedsniveau i sine produkter og services, hvilket sikres ved relevante organisatoriske, tekniske og fysiske sikkerhedsforanstaltninger, som er påkrævet i henhold til information om sikkerhedsforanstaltninger som beskrevet i Forordningens artikel 32.

B.2. Derudover har Bricksite foranstaltninger for at sikre fortrolighed, integritet, modstandsdygtigheden og adgangen til Personoplysninger. De følgende foranstaltninger er eksempelvis:

– Begrænse adgangen til Personoplysninger til de relevante personer, der skal til for at overholde krav og forpligtelser i Databehandleraftalen og Hovedaftalen.

– Klassificering af Personoplysninger for at sikre implementering af sikkerhedsforanstaltninger relevante i forhold til risikovurderinger.

– Vurdering af kryptering og pseudonymisering som risikoreducerende faktorer.

– Drift og implementering af systemer der kan opdage, genoprette, imødegå og rapportere hændelser i forhold til Personoplysninger.

– Foretage risikovurdering af eget sikkerhedsniveau for at sikre, at nuværende tekniske og organisatoriske foranstaltninger er tilstrækkelige til beskyttelse af Personoplysninger.