Denne databehandleraftale (DPA) indgås mellem den dataansvarlige og databehandleren og er en integreret del af og reguleres af vilkårene i Aftalen.
Ethvert ord med stort begyndelsesbogstav, som ikke er defineret i denne DPA, har den betydning, som er angivet i Aftalen.
| “Tilknyttet selskab” | betyder enhver enhed, der direkte eller indirekte kontrollerer, kontrolleres af eller er under fælles kontrol med en part. “Kontrol” betyder i denne definition direkte eller indirekte ejerskab eller kontrol over mere end 50 % af en parts stemmeberettigede interesser; |
| “Aftalen” | betyder aftalen mellem den dataansvarlige og databehandleren om levering af Tjenesterne; |
| “CCPA” | betyder California Consumer Privacy Act fra 2018, inklusive tilhørende regler, som til enhver tid ændret; |
| “Dataansvarlig” | betyder Kunden; |
| “Databeskyttelseslovgivning” | betyder alle love og regler, herunder love og regler i Den Europæiske Union, Det Europæiske Økonomiske Samarbejdsområde, deres medlemsstater og Storbritannien, samt enhver ændring, erstatning eller fornyelse heraf, der finder anvendelse på behandlingen af Personoplysninger, herunder hvor relevant Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2020, EU GDPR, UK GDPR, UK Data Protection Act 2018, FADP, CCPA og enhver relevant national gennemførelseslovgivning, regler og sekundær lovgivning vedrørende behandling af Personoplysninger og privatlivets fred i elektronisk kommunikation, som til enhver tid ændret, erstattet eller opdateret, herunder Privacy and Electronic Communications Directive (2002/58/EC) og Privacy and Electronic Communications (EC Directive) Regulations 2003 (SI 2003/2426); |
| “Registreret” | har samme betydning som i Databeskyttelseslovgivningen eller betyder en “Consumer”, som dette begreb er defineret i CCPA; |
| “DPA” | betyder denne databehandleraftale sammen med Bilag A, B og C; |
| “EØS” | betyder Det Europæiske Økonomiske Samarbejdsområde; |
| “EU GDPR” | betyder Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (den generelle forordning om databeskyttelse); |
| “FADP” | betyder den nye schweiziske føderale databeskyttelseslov af 1. september 2023, som til enhver tid ændret; |
| “Personoplysninger” | har samme betydning som i Databeskyttelseslovgivningen; |
| “Databehandler” | betyder Virksomheden, herunder hvor relevant en “Service Provider”, som dette begreb er defineret i CCPA; |
| “Begrænset overførsel” | betyder: (i) hvor EU GDPR finder anvendelse, en overførsel af Personoplysninger via Tjenesterne fra EØS enten direkte eller via videreoverførsel til et land eller en modtager uden for EØS, som ikke er omfattet af en tilstrækkelighedsafgørelse fra Europa-Kommissionen; og (ii) hvor UK GDPR finder anvendelse, en overførsel af Personoplysninger via Tjenesterne fra Storbritannien enten direkte eller via videreoverførsel til et land eller en modtager uden for Storbritannien, som ikke er baseret på tilstrækkelighedsregler i henhold til afsnit 17A i United Kingdom Data Protection Act 2018; og (iii) en overførsel af Personoplysninger via Tjenesterne fra Schweiz enten direkte eller via videreoverførsel til et land eller en modtager uden for EØS og/eller Schweiz, som ikke er omfattet af en tilstrækkelighedsafgørelse fra Europa-Kommissionen; |
| “Tjenester” | betyder alle tjenester og softwareapplikationer og -løsninger, som databehandleren leverer til den dataansvarlige i henhold til og som beskrevet i Aftalen; |
| “SCC’er” | betyder: (i) hvor EU GDPR finder anvendelse, standardkontraktbestemmelserne, der er knyttet som bilag til Europa-Kommissionens gennemførelsesafgørelse 2021/914 af 4. juni 2021 om standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande, offentliggjort på https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN ("EU SCC’er"); og (ii) hvor UK GDPR finder anvendelse, standardbestemmelser om databeskyttelse vedtaget i henhold til artikel 46, stk. 2, litra c, i UK GDPR som angivet i Bilag C til denne DPA ("UK SCC’er"); og (iii) hvor Personoplysninger overføres fra Schweiz til uden for Schweiz eller EØS, EU SCC’erne som ændret i overensstemmelse med vejledning fra den schweiziske databeskyttelsesmyndighed ("Swiss SCC’er"); |
| “Underdatabehandler” | betyder enhver tredjepart (herunder databehandlerens tilknyttede selskaber), som databehandleren direkte eller indirekte engagerer til at behandle Personoplysninger under denne DPA i forbindelse med levering af Tjenesterne til den dataansvarlige; |
| “Tilsynsmyndighed” | betyder et statsligt organ eller et organ oprettet ved statslig bemyndigelse med bindende juridisk kompetence over en part; |
| “UK GDPR” | betyder EU GDPR, som den udgør en del af lovgivningen i England og Wales, Skotland og Nordirland i medfør af section 3 i European Union (Withdrawal) Act 2018. |
2.1. Databehandleren har accepteret at levere Tjenesterne til den dataansvarlige i overensstemmelse med vilkårene i Aftalen. Ved levering af Tjenesterne behandler databehandleren Kundedata på vegne af den dataansvarlige. Kundedata kan omfatte Personoplysninger. Databehandleren vil behandle og beskytte sådanne Personoplysninger i overensstemmelse med vilkårene i denne DPA.
3.1. Ved levering af Tjenesterne til den dataansvarlige i henhold til Aftalens vilkår behandler databehandleren kun Personoplysninger i det omfang, det er nødvendigt for at levere Tjenesterne i overensstemmelse med vilkårene i Aftalen, denne DPA samt den dataansvarliges instrukser, som er dokumenteret i Aftalen og denne DPA, som til enhver tid opdateret.
3.2. Den dataansvarlige og databehandleren skal træffe foranstaltninger for at sikre, at enhver fysisk person, der handler under den dataansvarliges eller databehandlerens myndighed og har adgang til Personoplysninger, ikke behandler dem, medmindre det sker efter instrukser fra den dataansvarlige, medmindre dette kræves af Databeskyttelseslovgivning.
4.1. Databehandleren må kun indsamle, behandle eller bruge Personoplysninger inden for rammerne af denne DPA.
4.2. Databehandleren bekræfter, at den vil behandle Personoplysninger på vegne af den dataansvarlige i overensstemmelse med den dataansvarliges dokumenterede instrukser.
4.3. Databehandleren skal straks informere den dataansvarlige, hvis databehandleren efter egen vurdering mener, at nogen instrukser fra den dataansvarlige vedrørende behandling af Personoplysninger er i strid med Databeskyttelseslovgivningen.
4.4. Databehandleren skal sikre, at alle medarbejdere, agenter, ledelsesmedlemmer og underleverandører, der er involveret i håndteringen af Personoplysninger: (i) er bekendt med Personoplysningernes fortrolige karakter og er kontraktligt forpligtet til at behandle Personoplysninger fortroligt; (ii) har modtaget passende oplæring i deres ansvar som databehandler; og (iii) er bundet af vilkårene i denne DPA.
4.5. Databehandleren skal implementere passende tekniske og organisatoriske foranstaltninger til beskyttelse af Personoplysninger under hensyntagen til det aktuelle teknologiske niveau, implementeringsomkostningerne og behandlingens karakter, omfang, kontekst og formål samt risikoen med varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.
4.6. Databehandleren skal implementere passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen, herunder – hvor relevant – blandt andet: (i) pseudonymisering og kryptering af Personoplysninger; (ii) evnen til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed i behandlingssystemer og -tjenester; (iii) evnen til rettidigt at genskabe tilgængelighed og adgang til Personoplysninger i tilfælde af en fysisk eller teknisk hændelse; (iv) en proces for løbende at teste, vurdere og evaluere effektiviteten af tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerheden. Ved fastlæggelsen af det passende sikkerhedsniveau skal der især tages hensyn til de risici, som behandlingen indebærer, navnlig ved utilsigtet eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til Personoplysninger, der er transmitteret, lagret eller på anden måde behandlet.
4.7. De tekniske og organisatoriske foranstaltninger, der er beskrevet i Bilag B, skal til enhver tid som minimum overholdes som sikkerhedsstandard. Den dataansvarlige anerkender og accepterer, at de tekniske og organisatoriske foranstaltninger er underlagt udvikling og gennemgang, og at databehandleren kan anvende alternative passende foranstaltninger til dem, der er beskrevet i bilagene til denne DPA, forudsat at sådanne foranstaltninger som minimum er tilsvarende de tekniske og organisatoriske foranstaltninger i Bilag B og er passende i henhold til databehandlerens forpligtelser i punkt 4.5 og 4.6 ovenfor.
4.8. Den dataansvarlige anerkender og accepterer, at det i forbindelse med levering af Tjenesterne kan være nødvendigt for databehandleren at få adgang til Personoplysninger for at besvare tekniske problemer eller henvendelser fra den dataansvarlige og for at sikre korrekt drift af Tjenesterne. Al sådan adgang fra databehandlerens side vil være begrænset til disse formål.
4.9. Under hensyntagen til behandlingens karakter og de oplysninger, som databehandleren har til rådighed, skal databehandleren bistå den dataansvarlige ved at have passende tekniske og organisatoriske foranstaltninger på plads, i det omfang det er muligt, til opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af den registreredes rettigheder samt den dataansvarliges overholdelse af sine databeskyttelsesforpligtelser i relation til behandlingen af Personoplysninger.
4.10. Databehandleren må ikke: (i) sælge Personoplysninger; (ii) opbevare, bruge eller videregive Personoplysninger til kommercielle formål ud over at levere Tjenesterne i henhold til Aftalens vilkår; eller (iii) opbevare, bruge eller videregive Personoplysninger uden for Aftalens vilkår.
5.1. Den dataansvarlige erklærer og garanterer, at: (i) den vil overholde denne DPA og sine forpligtelser i henhold til Databeskyttelseslovgivningen; (ii) den har indhentet alle nødvendige tilladelser og godkendelser, der er nødvendige for at databehandleren, dens tilknyttede selskaber og underdatabehandlere kan udøve deres rettigheder eller opfylde deres forpligtelser i henhold til denne DPA; og (iii) alle den dataansvarliges tilknyttede selskaber, der bruger Tjenesterne, vil overholde den dataansvarliges forpligtelser som angivet i denne DPA.
5.2. Den dataansvarlige skal implementere passende tekniske og organisatoriske foranstaltninger til beskyttelse af Personoplysninger under hensyntagen til det aktuelle teknologiske niveau, implementeringsomkostningerne og behandlingens karakter, omfang, kontekst og formål samt risikoen med varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Den dataansvarlige skal implementere passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen, herunder – hvor relevant – blandt andet: (i) pseudonymisering og kryptering af Personoplysninger; (ii) evnen til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed i behandlingssystemer og -tjenester; (iii) evnen til rettidigt at genskabe tilgængelighed og adgang til Personoplysninger i tilfælde af en fysisk eller teknisk hændelse; (iv) en procesfor løbende at teste, vurdere og evaluere effektiviteten af tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerheden. Ved fastlæggelsen af det passende sikkerhedsniveau skal der især tages hensyn til de risici, som behandlingen indebærer, navnlig ved utilsigtet eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til Personoplysninger, der er transmitteret, lagret eller på anden måde behandlet.
5.3. Den dataansvarlige anerkender og accepterer, at visse instrukser fra den dataansvarlige, herunder at databehandleren bistår med revisioner, inspektioner, DPIA’er eller yder anden bistand i henhold til denne DPA, kan medføre ekstra gebyrer. I så fald skal databehandleren på forhånd underrette den dataansvarlige om sine gebyrer for at yde sådan bistand og er berettiget til at opkræve den dataansvarlige sine rimelige omkostninger og udgifter ved at yde sådan bistand, medmindre andet er aftalt skriftligt.
6.1. Den dataansvarlige anerkender og accepterer, at databehandleren kan engagere underdatabehandlere i forbindelse med leveringen af Tjenesterne.
6.2. Alle underdatabehandlere, der behandler Personoplysninger ved leveringen af Tjenesterne til den dataansvarlige, skal overholde databehandlerens forpligtelser som angivet i denne DPA.
6.3. Den dataansvarlige bemyndiger databehandleren til at bruge de underdatabehandlere, der fremgår af listen over underdatabehandlere offentliggjort på: https://multiply.cloud/en/legal-resources/ til at behandle Personoplysninger. I løbet af denne DPA’s løbetid skal databehandleren give den dataansvarlige 30 dages forudgående varsel via e-mail om ændringer i listen over underdatabehandlere, før en ny eller erstatnings-underdatabehandler autoriseres til at behandle Personoplysninger i forbindelse med leveringen af Tjenesterne.
6.4. Den dataansvarlige kan gøre indsigelse mod brugen af en ny eller erstatnings-underdatabehandler ved straks at underrette databehandleren skriftligt inden for femten (15) dage efter modtagelse af databehandlerens meddelelse. Hvis den dataansvarlige gør indsigelse mod en ny eller erstatnings-underdatabehandler, kan den dataansvarlige opsige Aftalen for så vidt angår de Tjenester, som databehandleren ikke kan levere uden brug af den nye eller erstatnings-underdatabehandler. Databehandleren vil refundere den dataansvarlige eventuelle forudbetalte gebyrer, der dækker resten af Aftalens løbetid efter opsigelsens ikrafttrædelsesdato for de pågældende opsagte Tjenester.
6.5. Alle underdatabehandlere, der behandler Personoplysninger, skal overholde databehandlerens forpligtelser som angivet i denne DPA. Databehandleren skal, før den relevante underdatabehandler udfører nogen behandlingsaktiviteter vedrørende Personoplysningerne: (i) engagere hver underdatabehandler via en skriftlig aftale, der i det væsentlige indeholder de samme forpligtelser som databehandlerens i denne DPA, og som kan håndhæves af databehandleren; og (ii) sikre, at hver sådan underdatabehandler overholder alle disse forpligtelser.
6.6. Den dataansvarlige accepterer, at databehandleren og dens underdatabehandlere kan foretage Begrænsede overførsler af Personoplysninger med henblik på at levere Tjenesterne til den dataansvarlige i overensstemmelse med Aftalen. Databehandleren bekræfter, at sådanne underdatabehandlere: (i) er beliggende i et tredjeland eller territorium, der er anerkendt af EU-Kommissionen eller en Tilsynsmyndighed, alt efter hvad der er relevant, som havende et tilstrækkeligt beskyttelsesniveau; eller (ii) har indgået de relevante SCC’er med databehandleren; eller (iii) har andre lovligt anerkendte passende garantier på plads.
7.1. Parterne er enige om, at når en overførsel af Personoplysninger mellem den dataansvarlige og databehandleren eller fra databehandleren til en underdatabehandler udgør en Begrænset overførsel, skal den være underlagt de relevante SCC’er.
7.2. Parterne er enige om, at EU SCC’erne finder anvendelse på Begrænsede overførsler fra EØS. EU SCC’erne anses for indgået (og indarbejdet i denne DPA ved henvisning) og udfyldt som følger:
7.3. Parterne er enige om, at EU SCC’erne som ændret i punkt 7.2 ovenfor, skal tilpasses som angivet nedenfor, hvor FADP finder anvendelse på en Begrænset overførsel:
Den schweiziske føderale databeskyttelses- og informationskommissær (“FDPIC”) skal være den eneste Tilsynsmyndighed for Begrænsede overførsler, der udelukkende er omfattet af FADP; Begrænsede overførsler, der er omfattet af både FADP og EU GDPR, behandles af den EU-tilsynsmyndighed, der er angivet i Bilag A til denne DPA; Begrebet “medlemsstat” må ikke fortolkes på en måde, der udelukker registrerede i Schweiz fra muligheden for at anlægge sag for deres rettigheder i deres sædvanlige opholdssted (Schweiz) i overensstemmelse med klausul 18(c) i EU SCC’erne; Hvor Begrænsede overførsler udelukkende er omfattet af FADP, skal alle henvisninger til GDPR i EU SCC’erne forstås som henvisninger til FADP; Hvor Begrænsede overførsler er omfattet af både FADP og EU GDPR, skal alle henvisninger til GDPR i EU SCC’erne forstås som henvisninger til FADP i det omfang, de Begrænsede overførsler er omfattet af FADP; Swiss SCC’erne beskytter også Personoplysninger om juridiske enheder indtil ikrafttrædelsen af den reviderede FADP. 7.4. Parterne er enige om, at UK SCC’erne finder anvendelse på Begrænsede overførsler fra Storbritannien, og at UK SCC’erne anses for indgået (og indarbejdet i denne DPA ved henvisning) som angivet i Bilag C til denne DPA.
7.5. Hvis en bestemmelse i denne DPA direkte eller indirekte er i strid med en SCC, har bestemmelserne i den relevante SCC forrang frem for vilkårene i DPA’en.
8.1. Den dataansvarlige kan kræve rettelse, sletning, blokering og/eller udlevering af Personoplysninger under eller efter Aftalens ophør. Den dataansvarlige anerkender og accepterer, at databehandleren vil behandle anmodningen i det omfang, det er lovligt, og vil efter bedste evne opfylde en sådan anmodning i overensstemmelse med sine standarddriftsprocedurer i det omfang, det er muligt.
8.2. Hvis databehandleren modtager en anmodning fra en registreret vedrørende Personoplysninger, vil databehandleren henvise den registrerede til den dataansvarlige, medmindre loven forbyder det. Den dataansvarlige skal godtgøre databehandleren alle omkostninger, der er afholdt som følge af rimelig bistand til håndtering af en anmodning fra en registreret. Hvis databehandleren er juridisk forpligtet til at svare den registrerede, vil den dataansvarlige samarbejde fuldt ud med databehandleren, hvor relevant.
9.1. Databehandleren skal stille alle oplysninger til rådighed for den dataansvarlige, som med rimelighed er nødvendige for at påvise overholdelse af sine behandlingsforpligtelser, og tillade samt bidrage til revisioner og inspektioner.
9.2. Enhver revision gennemført i henhold til denne DPA skal bestå af gennemgang af de seneste rapporter, certificeringer og/eller uddrag udarbejdet af en uafhængig revisor, der er bundet af fortrolighedsbestemmelser svarende til dem, der er angivet i Aftalen. Hvis dette efter den dataansvarliges rimelige vurdering ikke anses for tilstrækkeligt, kan den dataansvarlige gennemføre en mere omfattende revision, som skal være: (i) for den dataansvarliges regning; (ii) begrænset i omfang til forhold specifikke for den dataansvarlige og på forhånd aftalt; (iii) gennemført i databehandlerens normale åbningstid og med rimeligt varsel på mindst 4 uger, medmindre der er opstået et identificerbart væsentligt problem; og (iv) gennemført på en måde, der ikke forstyrrer databehandlerens daglige drift.
9.3. Denne bestemmelse ændrer eller begrænser ikke den dataansvarliges revisionsrettigheder, men har til formål at præcisere procedurerne for enhver revision foretaget i medfør heraf.
10.1. Databehandleren skal uden unødig forsinkelse underrette den dataansvarlige, efter at være blevet opmærksom på (og under alle omstændigheder inden for 72 timer efter at have opdaget) ethvert sikkerhedsbrud, der medfører utilsigtet eller ulovlig tilintetgørelse, tab, ændring eller uautoriseret videregivelse af eller adgang til Personoplysninger (“Brud på Persondatasikkerheden”).
10.2. Ved et Brud på Persondatasikkerheden skal databehandleren træffe alle kommercielt rimelige foranstaltninger for at sikre Personoplysningerne, begrænse virkningerne af bruddet og bistå den dataansvarlige med at opfylde sine forpligtelser i henhold til gældende lov.
11.1. Databehandleren skal straks underrette den dataansvarlige om enhver anmodning eller klage vedrørende behandlingen af Personoplysninger, som påvirker den dataansvarlige negativt, medmindre sådan underretning ikke er tilladt i henhold til gældende lov eller en relevant retskendelse.
11.2. Databehandleren kan kopiere og/eller opbevare Personoplysninger i overensstemmelse med enhver juridisk eller regulatorisk forpligtelse, herunder – men ikke begrænset til – opbevaringskrav.
11.3. Databehandleren skal yde rimelig bistand til den dataansvarlige i forbindelse med den dataansvarliges forpligtelse til at gennemføre konsekvensanalyser vedrørende databeskyttelse (DPIA’er) under hensyntagen til behandlingens karakter og de oplysninger, databehandleren har til rådighed.
11.4. Den dataansvarlige skal inden for rimelig tid underrette databehandleren om ændringer i gældende databeskyttelseslove, -koder eller -regler, som kan påvirke databehandlerens kontraktuelle pligter. Databehandleren skal inden for rimelig tid reagere på ændringer, der skal foretages i vilkårene i denne DPA eller i de tekniske og organisatoriske foranstaltninger for at opretholde compliance. Hvis databehandleren ikke kan imødekomme nødvendige ændringer, kan den dataansvarlige opsige den eller de dele af Tjenesterne, der medfører manglende compliance. I det omfang andre dele af de leverede Tjenester ikke påvirkes af sådanne ændringer, fortsætter leveringen af disse Tjenester uændret.
11.5. Den dataansvarlige og databehandleren og, hvor relevant, deres repræsentanter skal efter anmodning samarbejde med en Tilsynsmyndighed i opfyldelsen af deres respektive forpligtelser i henhold til denne DPA og Databeskyttelseslovgivningen.
12.1. Ansvarsbegrænsningerne i Aftalen gælder for alle krav fremsat som følge af enhver overtrædelse af vilkårene i denne DPA.
12.2. Parterne er enige om, at databehandleren er ansvarlig for enhver overtrædelse af denne DPA forårsaget af sine underdatabehandleres handlinger og undladelser eller uagtsomhed i samme omfang, som databehandleren ville være ansvarlig, hvis den udførte hver underdatabehandlers tjenester direkte i henhold til DPA’ens vilkår, med forbehold for eventuelle ansvarsbegrænsninger i Aftalen.
12.3. Parterne er enige om, at den dataansvarlige er ansvarlig for enhver overtrædelse af denne DPA forårsaget af handlinger og undladelser eller uagtsomhed fra sine tilknyttede selskaber, som om sådanne handlinger, undladelser eller uagtsomhed var begået af den dataansvarlige selv.
12.4. Den dataansvarlige er ikke berettiget til at få erstatning mere end én gang for det samme tab.
13.1. Databehandleren må kun behandle Personoplysninger i DPA’ens løbetid. Denne DPA træder i kraft på Aftalens ikrafttrædelsesdato, og denne DPA ophører automatisk ved Aftalens ophør eller udløb.
14.1. Databehandleren skal efter den dataansvarliges valg, ved modtagelse af en skriftlig anmodning inden for 30 dage efter ophør af leveringen af Tjenesterne, slette eller returnere Personoplysninger til den dataansvarlige. Databehandleren skal under alle omstændigheder slette alle kopier af Personoplysninger i sine systemer inden for 1 år fra Aftalens ophørs ikrafttrædelsesdato eller deaktivering af den dataansvarliges konto, medmindre gældende lov eller regler kræver opbevaring af Personoplysninger efter ophør.
15.1. Denne DPA udgør parternes samlede forståelse vedrørende emnet heri.
15.2. Hvis en bestemmelse i denne DPA er ugyldig eller bliver ugyldig, påvirkes de øvrige bestemmelsers retsvirkning ikke. En gyldig bestemmelse anses for aftalt, som ligger tættest på det, parterne kommercielt havde tilsigtet, og som skal erstatte den ugyldige bestemmelse. Det samme gælder for eventuelle mangler.
15.3. Med forbehold for eventuelle bestemmelser i SCC’erne, der siger noget andet, er denne DPA underlagt lovgivningen i England og Wales. Domstolene i England har enekompetence til at afgøre alle tvister, der opstår i forbindelse med denne DPA.
15.4. Parterne er enige om, at denne DPA er indarbejdet i og reguleres af vilkårene i Aftalen.
Parter, beskrivelse af behandling og overførsel af Personoplysninger, kompetent tilsynsmyndighed
A. Parter
| betyder Kunden. | |
| Adresse: | Som angivet for Kunden i Aftalen. |
| Navn på kontaktperson, stilling og kontaktoplysninger: | Som angivet af Kunden i sin konto og anvendt til notifikation og fakturering. |
| Som angivet af Kunden i sin konto og anvendt til notifikation og fakturering. | Brug af Tjenesterne. |
| Underskrift og dato: | Ved at indgå Aftalen anses Eksportøren for at have underskrevet SCC’erne, der er indarbejdet i denne DPA, inklusive deres bilag, pr. Aftalens ikrafttrædelsesdato. |
| Rolle: | Dataansvarlig. |
| Navn på repræsentant (hvis relevant): | Enhver UK- eller EU-repræsentant, der er nævnt i Eksportørens privatlivspolitik. |
| betyder Multiply Software Limited. | |
| Adresse: | 2 Leman Street, London, E1W 9US, United Kingdom |
| Navn på kontaktperson, stilling og kontaktoplysninger: | Julien Demoor Chief Executive Officer
|
| Aktiviteter relevante for de data, der overføres i henhold til SCC’erne: | Levering af cloud computing-løsninger til Eksportøren, hvorunder Importøren behandler Personoplysninger efter Eksportørens instrukser i overensstemmelse med vilkårene i Aftalen. |
| Underskrift og dato: | Ved at indgå Aftalen anses Eksportøren for at have underskrevet SCC’erne, der er indarbejdet i denne DPA, inklusive deres bilag, pr. Aftalens ikrafttrædelsesdato. |
| Rolle: | Databehandler. |
| Kategorier af registrerede: | Medarbejdere, agenter, rådgivere, konsulenter, freelancere hos den dataansvarlige (som er fysiske personer). Brugere, tilknyttede selskaber og andre deltagere, som den dataansvarlige har autoriseret til at få adgang til eller bruge Tjenesterne i overensstemmelse med Aftalens vilkår. |
| Kategorier af Personoplysninger: | Kategorier af Personoplysninger: Den dataansvarlige kan indsende Personoplysninger til Tjenesterne, og omfanget heraf fastlægges og kontrolleres af den dataansvarlige. Personoplysningerne omfatter blandt andet:
|
| Følsomme data: | Der behandles eller overføres ingen følsomme data, og de må ikke indgå i indholdet af eller vedhæftninger til e-mails. |
| Hyppigheden af behandlingen og overførslen (f.eks. om data overføres én gang eller løbende): | Løbende i Aftalens løbetid. |
| Behandlingens karakter: | Behandlingsaktiviteter omfatter blandt andet:
|
| Formål med dataoverførslen og den videre behandling: | Personoplysninger overføres til underleverandører, der har behov for at behandle en del af Personoplysningerne for at levere deres tjenester til databehandleren som en del af de Tjenester, databehandleren leverer til den dataansvarlige. |
| Den periode, hvor Personoplysningerne opbevares, eller – hvis det ikke er muligt – kriterierne for fastlæggelse af perioden: | Medmindre andet er aftalt skriftligt, i Aftalens løbetid, med forbehold for punkt 14 i DPA’en. |
| Ved overførsler til (under-)databehandlere angives også genstand, karakter og varighed af behandlingen: | Listen over underdatabehandlere, offentliggjort på: https://multiply.cloud/en/sub-processor-list/ angiver de Personoplysninger, som hver underdatabehandler behandler, og de tjenester, som hver underdatabehandler leverer. |
| Identificér den/de kompetente tilsynsmyndighed(er) (f.eks. i overensstemmelse med klausul 13 i SCC’erne) | Hvor EU GDPR finder anvendelse: Den irske databeskyttelsesmyndighed – Data Protection Commission (DPC). Hvor UK GDPR finder anvendelse: UK Information Commissioner’s Office (ICO). Hvor FADP finder anvendelse: Swiss Federal Data Protection and Information Commissioner (FDPIC). |
Bilag B
Tekniske og organisatoriske sikkerhedsforanstaltninger
(Herunder tekniske og organisatoriske foranstaltninger til at sikre datasikkerhed)
Nedenfor beskrives de tekniske og organisatoriske foranstaltninger, som databehandleren har implementeret (inklusive relevante certificeringer) for at sikre et passende sikkerhedsniveau under hensyntagen til behandlingens karakter, omfang, kontekst og formål samt risici for fysiske personers rettigheder og frihedsrettigheder.
Hvor relevant fungerer dette Bilag B som Bilag II til SCC’erne.
| Foranstaltning | Beskrivelse |
| Foranstaltninger til pseudonymisering og kryptering af Personoplysninger | Til formålet med overførselskontrol anvendes en krypteringsteknologi. Egnetheden af en krypteringsteknologi måles i forhold til beskyttelsesformålet. Den dataansvarliges arkiverede data krypteres i hvile ved brug af AES256-bit kryptering. Data under overførsel beskyttes af Transport Layer Security (“TLS”). |
| Foranstaltninger til at sikre løbende fortrolighed, integritet, tilgængelighed og robusthed i behandlingssystemer og -tjenester | Adgang til de data, der er nødvendige for at udføre den konkrete opgave, sikres i systemer og applikationer via et tilsvarende rolle- og autorisationskoncept. I overensstemmelse med principperne om “mindste privilegium” og “need-to-know” har hver rolle kun de rettigheder, der er nødvendige for at udføre den opgave, den enkelte person skal udføre. For at opretholde kontrol med dataadgang anvendes state-of-the-art krypteringsteknologi på selve Personoplysningerne, hvor det vurderes passende for at beskytte følsomme data baseret på risiko. |
| Processer til løbende at teste, vurdere og evaluere effektiviteten af tekniske og organisatoriske foranstaltninger for at sikre behandlingssikkerheden | Databehandleren gennemfører flere interne audits. Databehandleren tilstræber at automatisere audits, og størstedelen af overvågningen af infrastrukturen er derfor automatiseret, kører 24/7 og er baseret på forskellige rammeværk (CIS, NEST m.fl.). Databehandleren gennemfører en ekstern sikkerheds- og compliance-audit én gang pr. kalenderår. |
| Foranstaltninger til brugeridentifikation og autorisation | Fjernadgang til databehandlingssystemerne er kun mulig via databehandlerens sikre VPN-tunnel. Når brugere først autentificerer sig i den sikre VPN-tunnel, gennemføres autorisation efter vellykket autentificering ved at angive et unikt brugernavn og adgangskode til en centraliseret directory-tjeneste. Alle adgangsforsøg, både vellykkede og mislykkede, logges og overvåges. |
| Foranstaltninger til beskyttelse af data under transmission | Data under overførsel beskyttes af Transport Layer Security (“TLS”). |
| Foranstaltninger til beskyttelse af data under lagring | Personoplysninger opbevares kun internt og på tredjeparts datacenter-servere. Den dataansvarliges arkiverede data krypteres i hvile ved brug af kryptering, og data under overførsel beskyttes af Transport Layer Security (“TLS”). |
| Foranstaltninger for intern IT- og IT-sikkerhedsstyring og -ledelse | Medarbejdere instrueres i kun at indsamle, behandle og bruge Personoplysninger inden for rammerne af og til formålene med deres opgaver (f.eks. levering af tjenesteydelser). På et teknisk niveau omfatter multi-client-kapacitet adskillelse af funktioner samt passende adskillelse af test- og produktionssystemer. Den dataansvarliges Personoplysninger lagres på en måde, der logisk adskiller dem fra andre kunders data. |
| Foranstaltninger til at sikre dataminimering | Hvis Personoplysninger ikke længere er nødvendige til de formål, de blev behandlet til, slettes de straks. Det skal bemærkes, at ved hver sletning låses Personoplysningerne i første omgang og slettes derefter permanent med en vis forsinkelse. Dette gøres for at forhindre utilsigtede sletninger eller mulig bevidst skade. |
| Foranstaltninger til at sikre datakvalitet | Alle de data, som databehandleren er i besiddelse af, leveres af den dataansvarlige. Databehandleren vurderer ikke kvaliteten af de data, som den dataansvarlige leverer. Databehandleren stiller rapporteringsværktøjer til rådighed i produktet for at hjælpe den dataansvarlige med at forstå og validere de data, der lagres. |
| Foranstaltninger til at sikre begrænset opbevaringstid | Databehandleren anvender et dataklassifikationsskema for alle data, den lagrer, og opbevaringspolitikken angiver, hvordan hver datatype opbevares. Når en post med Personoplysninger slettes, fjernes den permanent fra vores aktive databaser. Data opbevares i vores backups, indtil de udskiftes af nyere backups i henhold til opbevaringspolitikken. |
| Foranstaltninger til at sikre ansvarlighed | Databehandleren gennemgår internt sine informationssikkerhedspolitikker halvårligt for at sikre, at de fortsat er relevante og bliver efterlevet. Alle medarbejdere, der håndterer følsomme data, skal bekræfte, at de har læst informationssikkerhedspolitikkerne. Disse medarbejdere genoplæres i informationssikkerhedspolitikker én gang årligt. Der findes en disciplinærpolitik for medarbejdere, der ikke overholder informationssikkerhedspolitikkerne. |
| Foranstaltninger, som (under-)databehandleren skal træffe for at kunne yde bistand til den dataansvarlige (og ved overførsler fra en databehandler til en underdatabehandler: til dataeksportøren). | Overførsel af Personoplysninger til en tredjepart (f.eks. kunder, underleverandører, tjenesteudbydere) sker kun, hvis der findes en tilsvarende kontrakt, og kun til de specifikke formål. Hvis Personoplysninger overføres uden for EØS, sikrer databehandleren, at der findes et tilstrækkeligt databeskyttelsesniveau på målstedet eller hos organisationen i overensstemmelse med EU’s databeskyttelseskrav, f.eks. ved at anvende kontrakter baseret på EU SCC’erne. |
Bilag C
Tillæg om international dataoverførsel til EU-Kommissionens standardkontraktbestemmelser
VERSION B1.0, gældende fra 21. marts 2022
Dette tillæg er udstedt af Information Commissioner for parter, der foretager Begrænsede overførsler. Information Commissioner vurderer, at det giver passende garantier for Begrænsede overførsler, når det indgås som en juridisk bindende kontrakt.
Del 1: Tabeller
Tabel 1: Parter
| Startdato | Den dato, der er angivet i Bilag I til de godkendte EU SCC’er. | - |
| Parterne | Eksportør (som sender den Begrænsede overførsel) | Importør (som modtager den Begrænsede overførsel) |
| Oplysninger om parterne | Fulde juridiske navn:. Primær adresse: Officielt registreringsnummer (hvis relevant) (CVR-nummer eller lignende identifikator): | Fulde juridiske navn: Primær adresse: Officielt registreringsnummer (hvis relevant) (CVR-nummer eller lignende identifikator): |
| Primær kontakt | Fulde navn (valgfrit): Jobtitel: Kontaktoplysninger inkl. e-mail: | Fulde navn (valgfrit): Jobtitel: Kontaktoplysninger inkl. e-mail: |
| Underskrift (hvis påkrævet i henhold til afsnit 2) | - | - |
Tabel 2: Valgte SCC’er, moduler og valgte bestemmelser
| Tillæg EU SCC’er | de godkendte EU SCC’er, inklusive tillægsoplysningerne, og kun med følgende moduler, klausuler eller valgfrie bestemmelser i de godkendte EU SCC’er sat i kraft til brug for dette tillæg: | ||||
| Modul | Modul i brug | Klausul 11 (Option) | Klausul 9a Generel autorisation | Klausul 9a (Tidsperiode) | Kombineres personoplysninger modtaget fra Importøren med personoplysninger indsamlet af Eksportøren? |
| 1 | false | ikke anvendt | - | - | - |
| 2 | true | ikke anvendt | true | 30 dage | - |
| 3 | true | ikke anvendt | true | 30 dage | - |
| 4 | ja/nej | ikke anvendt | - | - | ja/nej |
Tabel 3: Tillægsoplysninger
“Tillægsoplysninger” betyder de oplysninger, der skal gives for de valgte moduler som angivet i tillægget til de godkendte EU SCC’er (bortset fra parterne), og som for dette tillæg fremgår af:
| Bilag 1A: Parter: Som angivet i Bilag I til de godkendte EU SCC’er |
| Bilag 1B: Beskrivelse af overførsel: Som angivet i Bilag I til de godkendte EU SCC’er |
| Bilag II: Tekniske og organisatoriske foranstaltninger, herunder tekniske og organisatoriske foranstaltninger til at sikre datasikkerheden: Som angivet i Bilag II til de godkendte EU SCC’er |
Tabel 4: Ophør af dette tillæg, når det godkendte tillæg ændres
| Ophør af dette tillæg, når det godkendte tillæg ændres | Hvilke parter kan opsige dette tillæg som angivet i afsnit 19: Importør Eksportør |
Del 2: Obligatoriske bestemmelser
Indgåelse af dette tillæg
Fortolkning af dette tillæg
| Tillæg | Dette tillæg om international dataoverførsel, som består af dette tillæg, der indarbejder Tillæg EU SCC’erne. |
| Tillæg EU SCC’er | Den/de version(er) af de godkendte EU SCC’er, som dette tillæg er vedhæftet, som angivet i Tabel 2, inklusive Tillægsoplysningerne. |
| Tillægsoplysninger | Som angivet i Tabel 3. |
| Passende garantier | Det beskyttelsesniveau for personoplysninger og registreredes rettigheder, som kræves af britisk databeskyttelseslovgivning, når du foretager en Begrænset overførsel med standardbestemmelser om databeskyttelse i henhold til artikel 46(2)(d) i UK GDPR. |
| Godkendt tillæg | Skabelontillægget udstedt af ICO og fremlagt for Parlamentet i overensstemmelse med s119A i Data Protection Act 2018 den 2. februar 2022, som det revideres i henhold til afsnit 18. |
| Godkendte EU SCC’er | Standardkontraktbestemmelserne angivet i bilaget til Kommissionens gennemførelsesafgørelse (EU) 2021/914 af 4. juni 2021. |
| ICO | Information Commissioner. |
| Begrænset overførsel | En overførsel, der er omfattet af kapitel V i UK GDPR. |
| UK | Det Forenede Kongerige Storbritannien og Nordirland. |
| UK Databeskyttelseslovgivning | Alle love vedrørende databeskyttelse, behandling af personoplysninger, privatliv og/eller elektronisk kommunikation, der til enhver tid er i kraft i UK, herunder UK GDPR og Data Protection Act 2018. |
| UK GDPR | Som defineret i section 3 i Data Protection Act 2018. |
4. Dette tillæg skal altid fortolkes på en måde, der er forenelig med UK Databeskyttelseslovgivning, og således at det opfylder parternes forpligtelse til at yde de passende garantier.
Hvis bestemmelserne i Tillæg EU SCC’erne ændrer de godkendte SCC’er på en måde, som ikke er tilladt i henhold til de godkendte EU SCC’er eller det godkendte tillæg, indarbejdes sådanne ændringer ikke i dette tillæg, og den tilsvarende bestemmelse i de godkendte EU SCC’er træder i stedet.
Hvis der er uoverensstemmelse eller konflikt mellem UK Databeskyttelseslovgivning og dette tillæg, har UK Databeskyttelseslovgivning forrang.
Hvis betydningen af dette tillæg er uklar eller der er mere end én mulig betydning, gælder den betydning, der ligger tættest op ad UK Databeskyttelseslovgivning.
Enhver henvisning til lovgivning (eller specifikke bestemmelser i lovgivning) betyder den pågældende lovgivning (eller bestemmelse), som den måtte ændre sig over tid. Dette omfatter tilfælde, hvor lovgivningen (eller bestemmelsen) er blevet konsolideret, genvedtaget og/eller erstattet efter, at dette tillæg er indgået.
Hierarki
Selvom klausul 5 i de godkendte EU SCC’er fastslår, at de godkendte EU SCC’er har forrang frem for alle relaterede aftaler mellem parterne, er parterne enige om, at hierarkiet i afsnit 10 gælder for Begrænsede overførsler.
Hvis der er uoverensstemmelse eller konflikt mellem det godkendte tillæg og Tillæg EU SCC’erne (hvor relevant), har det godkendte tillæg forrang frem for Tillæg EU SCC’erne, undtagen hvor (og i det omfang) de uoverensstemmende eller modstridende vilkår i Tillæg EU SCC’erne giver registrerede en højere beskyttelse – i så fald har disse vilkår forrang frem for det godkendte tillæg.
Hvor dette tillæg indarbejder Tillæg EU SCC’er, som er indgået for at beskytte overførsler omfattet af General Data Protection Regulation (EU) 2016/679, anerkender parterne, at intet i dette tillæg påvirker disse Tillæg EU SCC’er.
Indarbejdelse af og ændringer til EU SCC’erne
a. de samlet fungerer for dataoverførsler, som foretages af dataeksportøren til dataimportøren, i det omfang UK Databeskyttelseslovgivning finder anvendelse på dataeksportørens behandling ved gennemførelse af den overførsel, og de udgør passende garantier for disse dataoverførsler;
b. afsnit 9 til 11 har forrang frem for klausul 5 (Hierarki) i Tillæg EU SCC’erne; og
c. dette tillæg (inklusive de Tillæg EU SCC’er, der er indarbejdet i det) er (1) underlagt lovgivningen i England og Wales, og (2) enhver tvist, der opstår heraf, afgøres af domstolene i England og Wales, i begge tilfælde medmindre lovgivningen og/eller domstolene i Skotland eller Nordirland udtrykkeligt er valgt af parterne.
Medmindre parterne har aftalt alternative ændringer, der opfylder kravene i afsnit 12, finder bestemmelserne i afsnit 15 anvendelse.
Der må ikke foretages andre ændringer til de godkendte EU SCC’er end dem, der er nødvendige for at opfylde kravene i afsnit 12.
Følgende ændringer til Tillæg EU SCC’erne (til brug for afsnit 12) foretages:
a. Henvisninger til “klausulerne” betyder dette tillæg, der indarbejder Tillæg EU SCC’erne;
b. I klausul 2 slettes ordene:
“and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679”;
c. Klausul 6 (Beskrivelse af overførslen/overførslerne) erstattes med:
“The details of the transfers(s) and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred) are those specified in Annex I.B where UK Data Protection Laws apply to the data exporter’s processing when making that transfer.”;
d. Klausul 8.7(i) i modul 1 erstattes med:
“it is to a country benefitting from adequacy regulations pursuant to Section 17A of the UK GDPR that covers the onward transfer”;
e. Klausul 8.8(i) i modulerne 2 og 3 erstattes med:
“the onward transfer is to a country benefitting from adequacy regulations pursuant to Section 17A of the UK GDPR that covers the onward transfer;”;
f. Henvisninger til “Regulation (EU) 2016/679”, “Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)” og “that Regulation” erstattes alle med “UK Data Protection Laws”. Henvisninger til specifikke artikler i “Regulation (EU) 2016/679” erstattes med den tilsvarende artikel eller sektion i UK Databeskyttelseslovgivning;
g. Henvisninger til forordning (EU) 2018/1725 fjernes;
h. Henvisninger til “European Union”, “Union”, “EU”, “EU Member State”, “Member State” og “EU or Member State” erstattes alle med “UK”;
i. Henvisningen til “Clause 12(c)(i)” i klausul 10(b)(i) i modul 1 erstattes med “Clause 11(c)(i)”;
j. Klausul 13(a) og del C af Bilag I anvendes ikke;
k. “competent supervisory authority” og “supervisory authority” erstattes begge med “Information Commissioner”;
l. I klausul 16(e) erstattes underpunkt (i) med:
“the Secretary of State makes regulations pursuant to Section 17A of the Data Protection Act 2018 that cover the transfer of personal data to which these clauses apply;”;
m. Klausul 17 erstattes med:
“These Clauses are governed by the laws of England and Wales.”;
n. Klausul 18 erstattes med:
“Any dispute arising from these Clauses shall be resolved by the courts of England and Wales. A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of any country in the UK. The Parties agree to submit themselves to the jurisdiction of such courts.”; og
o. Fodnoterne til de godkendte EU SCC’er udgør ikke en del af tillægget, undtagen fodnoterne 8, 9, 10 og 11.
Ændringer til dette tillæg
Parterne kan aftale at ændre klausul 17 og/eller 18 i Tillæg EU SCC’erne, så de henviser til lovgivningen og/eller domstolene i Skotland eller Nordirland.
Hvis parterne ønsker at ændre formatet for oplysningerne i Del 1: Tabeller i det godkendte tillæg, kan de gøre det ved skriftligt at aftale ændringen, forudsat at ændringen ikke reducerer de passende garantier.
Fra tid til anden kan ICO udstede et revideret godkendt tillæg, som:
a. foretager rimelige og proportionale ændringer til det godkendte tillæg, herunder rettelse af fejl; og/eller
b. afspejler ændringer i UK Databeskyttelseslovgivning; Det reviderede godkendte tillæg angiver startdatoen, hvorfra ændringerne træder i kraft, og om parterne skal gennemgå dette tillæg, inklusive Tillægsoplysningerne. Dette tillæg ændres automatisk som angivet i det reviderede godkendte tillæg fra den angivne startdato.
a. sine direkte omkostninger ved at opfylde sine forpligtelser i henhold til tillægget; og/eller
b. sin risiko i henhold til tillægget,
og i begge tilfælde først har taget rimelige skridt til at reducere disse omkostninger eller risici, så de ikke er væsentlige og uforholdsmæssige, kan den pågældende part opsige dette tillæg ved udløbet af en rimelig varslingsperiode ved at give skriftligt varsel for den periode til den anden part før startdatoen for det reviderede godkendte tillæg.
Wow! Multiply har
øget Buy Box-sejre til 80%, øget salget med 32% og øget profitten dér, hvor vi ikke har nogen konkurrence. Prøveperioden er slut, nu er vi fuldt tilmeldt. Tusind tak!
Kom i gang med få klik!
Lås op for de værktøjer, du har brug for