Databehandleraftale
Den dataansvarlige: Kunde placeret indenfor EU
og
Databehandleren:
Stickleback
CVR 29432473
Vordingborg
Danmark
har indgået følgende databehandleraftale:
1. Baggrund
Denne aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse, når databehandleren foretager behandling af personoplysninger på vegne af den dataansvarlige.
Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskytttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.
Databehandlerens behandling af personoplysninger sker med henblik på opfyldelse af databehandlerens forpligtelser i forbindelse med levering af webhosting og tilknyttede ydelser, som beskrevet i databehandlerens generelle forretningsbetingelser for webhosting (”hovedaftalen”)
Databehandleraftalen og hovedaftalen er indbyrdes afhængige, og kan ikke opsiges særskilt. Databehandleraftalen kan dog – uden at opsige hovedaftalen – erstattes af en anden gyldig databehandleraftale.
Databehandleraftalens Bilag A indeholder nærmere oplysninger om behandlingen.
Denne databehandleraftale frigør ikke databehandleren for forpligtelser, som efter databeskyttelsesforordningen eller enhver anden lovgivning direkte er pålagt databehandleren.
2. Den dataansvarliges forpligtelser
Den dataansvarlige har ansvaret for, at behandlingen af personoplysninger sker indenfor rammer-ne af databeskyttelsesforordningen og databeskyttelsesloven.
Den dataansvarlige er blandt andet ansvarlig for, at der foreligger hjemmel til den behandling, som databehandleren instrueres i at foretage.
3. Databehandlerens forpligtelser
Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
4. Fortrolighed
Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den dataansvarlige. Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber.
Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde databehandlerens forpligtelser overfor den dataansvarlige.
Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de relevante medarbejdere er underlagt ovennævnte tavshedspligt.
5. Behandlingssikkerhed
Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
6. Anvendelse af underdatabehandlere
Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (underdatabehandler).
Databehandleren må således ikke gøre brug af en anden databehandler (underdatabehandler) til opfyldelse af databehandleraftalen uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige.
Den dataansvarlige giver databehandleren generel tilladelse til at indgå aftaler med underdata-behandlere. Anvendte underdatabehandlere fremgår af databehandleraftalens Bilag B.
Databehandleren underretter den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af databehandlere og giver derved den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer. Hvis databehandleren fortsat ønsker at anvende en un-derdatabehandler som den dataansvarlige har gjort indsigelse imod, så kan begge parter opsige hovedaftalen og databehandleraftalen med omgående virkning.
Databehandleren sørger for at pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er fastsat i denne databehandleraftale, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i databeskyttelsesforordningen.
For underdatabehandlere udenfor EU/EØS gælder, at databehandleren skal sikre, at underdatabehandleren opfylder reglerne fastlagt i EU/US Privacy Shield eller Kommisionens afgørelse af 5. februar 2010 om standardkontraktbestemmelser for videregivelse af personoplysninger til regi-sterførere etableret i tredjelande i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF.
Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.
7. Overførsel af oplysninger til tredjelande eller internationale organisationer
Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel (overladelse, videregivelse samt intern anvendelse) af personoplysninger til tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
8. Bistand til den dataansvarlige
Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.
Databehandleren bistår den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensynstagen til behand-lingens karakter og de oplysninger, der er tilgængelige for databehandleren, jf. art 28, stk. 3, litra f.
Databehandlerens bistand til den dataansvarlige afregnes efter de til enhver tid gældende priser for konsulentbistand fra databehandleren.
9. Sletning og tilbagelevering af oplysninger
Ved ophør af tjenesterne vedrørende behandling forpligtes databehandleren til at slette eller tilbagelevere alle personoplysninger til den dataansvarlige, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.
10. Tilsyn og revision
Databehandleren stiller alle oplysninger, der er nødvendige for at påvise databehandlerens overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.
Databehandlerens systemer deles af flere forskellige dataansvarlige. Databehandleren kan derfor af sikkerhedshensyn afvise tredjeparter som den dataansvarlige har udpeget til at foretage revisi-oner eller inspektioner. Den dataansvarlige og databehandleren udpeger derefter en anden tredjepart i fællesskab.
11. Ikrafttræden og ophør
Denne aftale træder i kraft samtidig med hovedaftalen.
Opsigelse af databehandleraftalen kan ske i henhold til de opsigelsesvilkår, inkl. opsigelsesvarsel, som fremgår af hovedaftalen.
Aftalen er gældende, så længe behandlingen består. Uanset hovedaftalens og/eller databehandleraftalens opsigelse, vil databehandleraftalen forblive i kraft frem til behandlingens ophør og oplysningernes sletning hos databehandleren og eventuelle underdatabehandlere.
Bilag A. Oplysninger om behandlingen
Formålet med behandlingen
Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er, at den dataansvarlige kan anvende databehandlerens systemer til hosting af websites, web-apps og lignende applikationer.
Typer af personoplysninger der er omfattet af behandlingen
Den dataansvarlige anvender databehandlerens systemer som en hostet service, og det er derfor ikke muligt for databehandleren at levere en komplet liste over alle typer af personoplysninger som er registreret.
Databehandleren forventer at systemerne anvendes til opbevaring af følgende typer af persondata:
- Navne
- E-mailadresser
- Telefonnumre
- Adresser
- CPR-numre
- Betalingsoplysninger
- IP-adresser
- Brugernavne
- Oplysninger om medlemskaber
- Forbrugsdata
- Billeder
- Andre typer af persondata
Det påhviler den dataansvarlige at registrere andre typer af personoplysninger som opbevares på databehandlerens systemer, og som ikke er omfattet af ovenstående
Placering af data
Persondata der anvender databehandlerens systemer opbevares på servere placeret i datacentre i EU.
Sletning af data
Data slettes fra databehandlerens systemer indenfor en rimelig tid efter at hovedaftalen er ophørt. Undtaget herfra er oplysninger som det påhviler databehandleren at gemme i længere tid jf. gældende lovgivning.
Typisk slettes alle data umiddelbart efter at hovedaftalen er ophørt. Backups, logfiler mm. slettes typisk indenfor 3 måneder efter hovedaftalens ophør, men kan slettes hurtigere.
Bilag B. Godkendte underdatabehandlere
Databehandleren anvender ved databehandleraftalens ikrafttræden følgende underdatabehandlere:
DigitalOcean, LLC
101 Avenue of the Americas, 10th Floor
New York, NY 10013
USA
GoDaddy.com LLC
14455 N. Hayden Rd, Ste. 219
Scottsdale, AZ 85260,
United States of America
Wildbit LLC
225 Chestnut St
Philadelphia, PA, 19106-2812
United States
Peakford Ltd
86, “The Office” Leli Fallon Street
Naxxar NXR 2690
Malta
WeTransfer
Willem Fenengastraat 19
1096BL Amsterdam
The Netherlands
Bilag C. Historik
25/5-2018: Udgivet.
18/11-2020: Opdateret bilag B (underdatabehandlere).
18/11-2020: Adresseændring
17/11-2023: Opdateret bilag B (underdatabehandlere)