Databehandleraftale

Denne databehandleraftale (“Aftalen”) udgør en del af vilkårene og betingelserne og gælder i det omfang, Seviranta — et handelsnavn tilhørende 1Star BV, Zonnehorst 5, 7207 BT Zutphen, Nederlandene, handelskammernummer (KvK) 65195876 (“Databehandleren”) — behandler personoplysninger på vegne af Kunden (“den Dataansvarlige”) i forbindelse med den betalte tjeneste. Begreber har den betydning, der følger af databeskyttelsesforordningen (“GDPR”).

1. Genstand, karakter og varighed

Databehandleren behandler udelukkende personoplysninger for at levere den aftalte tjeneste: at teste og løbende overvåge Kundens website(s) for tilgængelighed, at opbevare de tilhørende Rapporter/Dossieret samt at administrere kontoen og faktureringen. Aftalen løber, så længe Databehandleren behandler personoplysninger for Kunden.

2. Typer af personoplysninger og registrerede

• Oplysninger: konto- og kontaktoplysninger (navn, e-mailadresse, virksomhedsnavn), faktureringsoplysninger (fakturaadresse, momsnummer) og brugs-/abonnementsdata. De scannede websider er offentlige og testes udelukkende teknisk for tilgængelighed.
• Registrerede: Kundens kontaktpersoner og brugere.
• Der behandles ingen særlige kategorier af personoplysninger.

3. Instrukser

Databehandleren behandler udelukkende personoplysningerne på grundlag af dokumenterede instrukser fra Kunden — herunder denne Aftale og brugen af tjenesten — medmindre en retlig forpligtelse bestemmer andet. Mener Databehandleren, at en instruks strider mod GDPR, gør den opmærksom på det.

4. Fortrolighed

Databehandleren sikrer, at personer, der behandler personoplysningerne, er underlagt fortrolighed.

5. Sikkerhed

Databehandleren træffer passende tekniske og organisatoriske foranstaltninger (GDPR art. 32), herunder kryptering under transport (TLS), krypteret lagring af adgangskoder, adgang efter behov (least privilege), adgangskontrol på rækkeniveau i databasen og behandling fortrinsvis inden for EU.

6. Underdatabehandlere

Kunden giver generel godkendelse til at anvende underdatabehandlere. Databehandleren pålægger hver underdatabehandler mindst de samme forpligtelser som i denne Aftale og vælger primært partnere med datalagring i EU. Funktionelt drejer det sig blandt andet om: en database-/autentificerings-/lagringspartner, scannings- og overvågningsinfrastruktur, website-hosting, en betalingsudbyder, en udbyder af transaktionsmails og en infrastruktur-/sikkerhedspartner.

En aktuel liste over de specifikke underdatabehandlere (med navn, funktion og placering) er tilgængelig for Kunden på anmodning. Ved en planlagt ændring af underdatabehandlere informerer Databehandleren Kunden på forhånd, så denne kan gøre indsigelse.

7. Bistand

Under hensyntagen til behandlingens karakter yder Databehandleren Kunden rimelig bistand med at besvare anmodninger fra registrerede (indsigt, berigtigelse, sletning osv.) og med at overholde forpligtelserne efter GDPR art. 32–36 (sikkerhed, brud på persondatasikkerheden, konsekvensanalyse vedrørende databeskyttelse).

8. Brud på persondatasikkerheden

Databehandleren underretter Kunden uden unødig forsinkelse, efter at den er blevet bekendt med et brud på persondatasikkerheden, med de tilgængelige relevante oplysninger, så Kunden kan opfylde sin anmeldelsespligt.

9. Tilbagelevering og sletning

Ved ophør sletter Databehandleren personoplysningerne eller leverer dem tilbage, efter Kundens valg, bortset fra oplysninger, som Databehandleren er retligt forpligtet til at opbevare (såsom fakturaer under den skattemæssige opbevaringspligt). Kunden kan selv eksportere Dossieret inden ophør.

10. Audits

Databehandleren stiller de oplysninger til rådighed for Kunden, der er nødvendige for at påvise overholdelse af denne Aftale, og medvirker til rimelige audits, efter aftale og under hensyntagen til fortrolighed og tjenestens kontinuitet.

11. Overførsel uden for EØS

Behandler en underdatabehandler oplysninger uden for Det Europæiske Økonomiske Samarbejdsområde, sker det med passende garantier, som GDPR kræver (for eksempel Europa-Kommissionens standardkontraktbestemmelser).

12. Gældende databeskyttelseslovgivning (internationale regimer)

Denne Aftale er udarbejdet med GDPR som den højeste standard. I det omfang anden databeskyttelseslovgivning finder anvendelse på en behandling, gælder bestemmelserne i denne Aftale mutatis mutandis også under den lovgivning — herunder UK GDPR (Storbritannien), den schweiziske lov (nFADP) og gældende amerikanske delstatslove (såsom CCPA/CPRA). For internationale overførsler gælder de tilhørende anerkendte mekanismer i det omfang, de er relevante: EU's standardkontraktbestemmelser (SCC'er), UK International Data Transfer Addendum (IDTA) og det schweiziske addendum. Databehandleren foretrækker datalagring i EU.

13. Californien (CCPA/CPRA)

I det omfang Databehandleren behandler personoplysninger omfattet af California Consumer Privacy Act (CCPA), som ændret ved CPRA, handler Databehandleren som “service provider”. Databehandleren: (a) sælger eller deler ikke disse oplysninger (intet “sale” eller “share” i CCPA's forstand); (b) behandler dem udelukkende til de forretningsformål, der er beskrevet i denne Aftale, og ikke til egne kommercielle formål; (c) opbevarer, bruger eller videregiver dem ikke uden for det direkte forretningsforhold med Kunden; og (d) yder Kunden rimelig bistand ved anmodninger fra registrerede efter CCPA.

14. Afslutning

Ved modstrid mellem denne Aftale og vilkårene og betingelserne har denne Aftale forrang for så vidt angår behandlingen af personoplysninger. Denne Aftale er underlagt nederlandsk ret. Spørgsmål eller et underskrevet eksemplar? info@seviranta.com.