Bemærk! Følgende er kun en forhåndsvisning af Databehandleraftale for underleverandører.
Den korrekte databehandleraftale kan hentes fra jeres Quickbutik-kontrolpanel, når i er logget ind.

Databehandleraftalen for underleverandører kan downloades fra webshoppens kontrolpanel.

Databehandleraftale for underleverandører


Aftalen indgås mellem Quickbutik ApS med CVR-nummer 41311622 og adressen Automatikvej 1, 2860 Søborg, herefter betegnet "Den Databehandlende Underleverandør", og {{customer.company_name}} med virksomhedsnummer {{customer.company_orgnr}} og adressen {{customer.address}}, {{customer.zipcode}} {{customer.city}}, herefter betegnet "Den Dataansvarlige", sammen kaldet "Parter".

Bilag

Aftalen består af dette hoveddokument og de følgende bilag:

  1. Bilag 1 – Oplysninger om lagring, underaktører og ansvar


I tilfælde af at dokumenternes indhold ikke stemmer overens, har hoveddokumentet forrang over bilagene.

Definitioner

I det omfang databeskyttelsesforordningen GDPR indeholder udtryk, der modsvarer dem anvendt i Aftalen, skal sådanne begreb fortolkes og anvendes i overensstemmelse med databeskyttelsesforordningen.

I Aftalen har nedenstående termer følgende betydning:

Med Aftalen menes der dette hoveddokument og de vedhæftede bilag, der til enhver tid er gældende. 

Med Behandling menes der en foranstaltning eller kombination af foranstaltninger vedrørende persondata eller et sæt af persondata, uanset om de udføres automatiseret eller ej, såsom ved indsamling, registrering, organisering, strukturering, lagring, bearbejdning eller ændring, udarbejdelse, læsning, brug, udlevering via overførsel, formidling eller hensættelse på anden måde, justering eller sammenføring, begrænsning, sletning eller ødelæggelse.

Med Persondata menes der enhver information, der vedrører en identificeret eller identificerbar fysisk person, hvorved en identificerbar fysisk person er en person, der direkte eller indirekte kan identificeres specifikt under henvisning til en identifikator, såsom et navn, identifikationsnummer, lokaliseringsoplysninger eller online identifikatorer eller en eller flere faktorer, der er specifikke for den fysiske persons fysiske, fysiologiske, genetiske, psykologiske, økonomiske, kulturelle eller sociale identitet.

Med Brud på persondatasikkerhed menes der en sikkerhedshændelse, der resulterer i utilsigtet eller ulovlig ødelæggelse, tab, ændring eller en uautoriseret videregivelse af eller uautoriseret adgang til persondata, der er overført, lagret eller på anden vis behandlet.

Med Gældende bestemmelser menes der forordninger og praksis i forbindelse med databeskyttelsesforordningen, national supplerende lovgivning til databeskyttelsesforordningen, tilsynsmyndigheders inkl. Det Europæiske Databeskyttelsesråds forordninger og udtalelser samt Kommissionens retsakter inden for persondataområdet.

1. Formål

Den Databehandlende Underleverandør har gennem Aftalen påtaget sig ansvaret for at behandle persondata på vegne af Den Dataansvarlige. Parterne er enige om at regulere omfanget og den detaljerede udformning af behandlingen gennem indgåelsen af Aftalen.

2. Den Dataansvarliges forpligtelser

2.1.1 Behandling i overensstemmelse med de Gældende bestemmelser

Den Dataansvarlige er ansvarlig for, at al behandling af persondata sker i overensstemmelse med Aftalen og Gældende bestemmelser.

2.1.2 Behandling i overensstemmelse med Aftalen og Gældende bestemmelser

Den Dataansvarlige skal give Den Databehandlende Underleverandør de informationer og persondata, som er nødvendige og passende, for at vedkommende skal kunne opfylde sine forpligtelser i henhold til Aftalen og Gældende bestemmelser.

2.1.3 Korrekt information

Den Dataansvarlige skal umiddelbart udlevere de korrekte oplysninger til Den Databehandlende Underleverandør, i tilfælde af at de dokumenterede instruktioner er forkerte, ufuldstændige eller på anden vis skal ændres.

2.2 Dokumenterede instruktioner

Den Dataansvarlige skal udlevere de dokumenterede instruktioner til Den Databehandlende Underleverandør. Disse skal blandt andet, men ikke udelukkende, regulere de persondata, der skal behandles, formålet for behandlingen, behandlingens varighed og omfang, art og formål, typen af persondata og kategorier af de registrerede, Den Dataansvarliges og Den Databehandlende Underleverandørs forpligtelser og rettighederne samt omfanget af beskyttelsesforanstaltninger og øvrige IT- og sikkerhedsrelaterede forpligtelser.

Den Dataansvarlige skal videregive alle de oplysninger, der kan være nødvendige for, at Den Databehandlende Underleverandør kan opfylde sine forpligtelser ifølge Aftalen over for den Dataansvarlige.

De dokumenterede instruktioner tilføjes til Aftalen, se Bilag 1.

3. Den Databehandlende Underleverandørs ansvarsområder

3.1 Behandling af persondata

3.1.1 Behandling i overensstemmelse med Aftalen og Gældende bestemmelser

Den Databehandlende Underleverandør må kun behandle persondata på vegne af Den Dataansvarlige i overensstemmelse med Aftalen og Gældende bestemmelser.

Den Databehandlende Underleverandør må ikke, uden samtykke fra Den Dataansvarlige, foreliggende fra relevant tilsynsmyndighed eller obligatorisk lovgivning:

  • indsamle eller videregive persondata fra eller til en tredjepart, medmindre andet er skriftligt aftalt;
  • ændre metode for behandlingen,
  • kopiere eller gengive persondata eller
  • på nogen anden vis behandle persondata til andre formål end dem, der er specificeret i de dokumenterede instruktioner.

3.1.2 Overførsel af persondata

Den Databehandlende Underleverandør må ikke overføre persondata til en stat uden for EU-området eller til en stat, der ikke er underlagt undtagelserne til forbud mod overførsel til tredjelande i overensstemmelse med Gældende bestemmelser. Forbuddet omfatter også service, teknisk support, vedligeholdelse, udvikling og lignende tjenester af systemet.

3.1.3 Skriftligt samtykke ved overførsel

En overførsel, der ikke er dækket af ovenstående, kræver et skriftligt samtykke fra Den Dataansvarlige og en garanti for, at en sådan overførsel sker i overensstemmelse med Gældende bestemmelser.

3.1.4 Implementering af ændringer

Den Databehandlende Underleverandør skal gennemføre ændringer, sletninger, begrænsninger og overførsler efter udtrykkelige anmodninger fra Den Dataansvarlige, dog ikke hvis en sådan anmodning strider mod Aftalen eller Gældende bestemmelser.

3.2 Tekniske og organisatoriske foranstaltninger

3.2.1 Implementering af tekniske og organisatoriske foranstaltninger

Set i forhold til den seneste udvikling, implementeringsomkostningerne og behandlingens art, omfang, sammenhæng og formål samt risiciene, af varierende sandsynlighedsgrad og alvor, for fysiske personers rettigheder og friheder, skal Den Databehandlende Underleverandør iværksætte passende tekniske og organisatoriske foranstaltninger, der sikrer et sikkerhedsniveau, der er passende i forhold til risikoen, hvor det vel at mærke er hensigtsmæssigt:

  • pseudonymisering og kryptering af persondata
  • evnen til kontinuerligt at sikre fortrolighed, integritet, tilgængelighed og modstandsdygtighed i behandlingssystemerne og -tjenesterne, 
  • evnen til at gendanne tilgængeligheden og adgangen til persondata i rimelig tid, i tilfælde af en fysisk eller teknisk hændelse, 
  • en procedure til regelmæssigt at teste, undersøge og evaluere effektiviteten af de tekniske og organisatoriske foranstaltninger, der skal sikre behandlingens sikkerhed.


3.2.2 Adfærdskodeks og certificeringsmekanisme

Den Databehandlende Underleverandør kan ved overholdelse af et godkendt adfærdskodeks eller en godkendt certificeringsmekanisme demonstrere, at de ovennævnte forpligtelser overholdes.

3.3 Udarbejdelse af indeks

3.3.1 Oprettelse af et indeks

Den Databehandlende Underleverandør skal føre et indeks over alle kategorier af behandling, der udføres på vegne af Den Dataansvarlige, og dette skal omfatte følgende:

  • Navn og kontaktoplysninger for Den Databehandlende Underleverandør og Dataansvarlige, på hvis vegne Den Databehandlende Underleverandør handler, og, hvor det er relevant, for den Dataansvarlige eller Databehandlende underleverandørs repræsentant samt databeskyttelsesombudsmanden.
  • De kategorier af behandling, der er udført på vegne af Den Dataansvarlige.
  • I gældende fald, overførsler af persondata til et tredjeland eller international organisation, herunder identifikation af tredjelandet eller den internationale organisation og dokumentationen af passende sikkerhedsforanstaltninger.
  • Hvor det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger.

3.3.2 Skriftlig indeks 

Den Databehandlende Underleverandør skal udarbejde indekset skriftligt, herunder i elektronisk form.

3.4 Underretningspligt

Den Databehandlende Underleverandør skal uden unødig forsinkelse underrette Den Dataansvarlige, i tilfælde af at behandlingen af persondata er i strid med Aftalen, databeskyttelsesforordningen eller anden lovgivning. Den Databehandlende Underleverandør skal derefter afvente instruktioner fra Den Dataansvarlige.

3.5 Information

3.5.1 Udlevering af persondata

Den Databehandlende Underleverandør må ikke udlevere persondata eller information om behandlingen af persondata uden et forudgående samtykke fra Den Dataansvarlige, medmindre der findes et påbud fra en relevant tilsynsmyndighed, eller hvis Den Databehandlende Underleverandør er forpligtet til at gøre dette i overensstemmelse med Gældende bestemmelser.

3.5.2 Underretningspligt ved kontakt

Den Databehandlende Underleverandør skal uden unødig forsinkelse underrette Den Dataansvarlige, hvis Den Databehandlende Underleverandør kontaktes af en behørig tilsynsmyndighed, registreret, eller en tredjepart for at få adgang til de persondata, som Den Databehandlende Underleverandør behandler.

3.6 Revision

3.6.1 Kontrol af overholdelse

Den Dataansvarlige har ret til, enten selv eller gennem en tredjepart, at foretage en revision over for Den Databehandlende Underleverandør eller på anden vis kontrollere, at Den Databehandlende Underleverandørs behandling af persondata sker i overensstemmelse med Aftalen og Gældende bestemmelser. Ved en sådan revision eller kontrol skal Den Databehandlende Underleverandør give Den Dataansvarlige den nødvendige assistance til at gennemføre revisionen.

3.6.2 Demonstration af overholdelse af Aftalen og Gældende bestemmelser

Den Databehandlende Underleverandør skal på anmodning, og uden unødige forsinkelser, demonstrere, at forpligtelserne i henhold til Aftalen og Gældende bestemmelser, overholdes. Dette omfatter blandt andet, men er ikke begrænset til, en forpligtelse til at fremlægge dokumentation, som i givet fald viser, at de godkendte adfærdskodekser eller certificeringer er opfyldt. Den Databehandlende Underleverandør skal ligeledes bidrage til, at Den Dataansvarlige kan udføre de nødvendige revisioner og inspektioner.

3.6.3 Adgang til persondata

Den Databehandlende Underleverandør skal give Den Dataansvarlige adgang til alle de persondata, der behandles af Den Databehandlende Underleverandør på vegne af Den Dataansvarlige. Dette inkluderer også adgang til de oplysninger og dokumenter, som Den Dataansvarlige har brug for med henblik på at kunne udøve kontrol over Den Databehandlende Underleverandørs overholdelse af Aftalen og Gældende bestemmelser. En sådan adgang skal gives uden urimelig forsinkelse, dog senest 20 dage efter den udtrykkelige og skriftlige anmodning fra Den Dataansvarlige.

3.7 Sikkerhed og fortrolighed

3.7.1 Evaluering af risici

Den Databehandlende Underleverandør skal evaluere risici ved behandlingen og foretage foranstaltninger, såsom kryptering, for at reducere disse. Foranstaltningerne skal sikre et passende sikkerhedsniveau, herunder fortrolighed, under hensyntagen til den seneste udvikling og gennemførelsesomkostninger i relation til risici og typen af de persondata, der skal beskyttes.

3.7.2 Implementering af sikkerhedsforanstaltninger

Den Databehandlende Underleverandør skal foretage foranstaltninger, der sikrer, at enhver fysisk person og juridisk person, der udfører arbejde under tilsyn af Den Databehandlende Underleverandør, og som får adgang til persondata, kun behandler disse efter instruktioner fra Den Dataansvarlige.

3.7.3 Tilstrækkelig viden og uddannelse

Den Databehandlende Underleverandør er ansvarlig for at sikre, at enhver fysisk person, der har adgang til de persondata, som behandles i henhold til Aftalen, har en tilstrækkelig viden og uddannelse til at kunne behandle persondata på en sikker og effektiv måde.

3.7.4 Ændringer i behandling af persondata

Hvis Den Databehandlende Underleverandør har til hensigt at foretage ændringer angående behandlingen af persondata eller på anden vis ønsker at foretage ændringer, der kan have indflydelse på sikkerheden for de registrerede, de registreredes rettigheder eller overholdelse af Aftalen eller gældende lovgivning, skal Den Databehandlende Underleverandør skriftligt informere Den Dataansvarlige på forhånd. Den Dataansvarlige skal give sit samtykke til sådanne ændringer.

3.7.5 Fortrolighed og tavshedspligt

Den Databehandlende Underleverandør forpligter sig til at behandle persondata og anden information, der er relateret til Aftalen, i overensstemmelse med den gældende fortrolighedslovgivning. De medarbejdere, der behandler persondata, har indgået særlige fortrolighedsaftaler og er blevet informeret om, at tavshedspligten gælder i henhold til Aftalen eller den nationale lovgivning.

3.7.6 Hensigtsmæssige fortrolighedsforpligtelser

Den Databehandlende Underleverandør skal sikre, at alle medarbejdere, konsulenter og andre, som Den Databehandlende Underleverandør er ansvarlig for, og som behandler persondata, er bundet af en hensigtsmæssig fortrolighedsforpligtelse, og at de bliver informeret om, hvordan behandlingen af persondata skal foregå.

3.7.7 Information til personer med adgang

Den Databehandlende Underleverandør er ansvarlig for at sikre, at de personer, der har adgang til persondata, bliver informeret om, hvordan de må behandle dataene i overensstemmelse med de dokumenterede instruktioner fra Den Dataansvarlige. Den Databehandlende Underleverandør skal ligeledes sikre, at der er en tilstrækkelig autorisationsstyring.

3.8 Brud på persondatasikkerhed

3.8.1 Iværksættelse af skadebegrænsende foranstaltninger

Er der mistanke om Brud på persondatasikkerheden, skal Den Databehandlende Underleverandør omgående undersøge hændelsen og foretage passende forholdsregler for at afbøde potentielle negative virkninger.

3.8.2 Beskrivelse af Brud på persondatasikkerhed

Hvis Den Dataansvarlige anmoder om det, skal en beskrivelse af Bruddet på persondatasikkerheden videregives til Den Dataansvarlige inden for 72 timer. En sådan beskrivelse skal som minimum omfatte følgende:

  • en beskrivelse af hændelsens art med persondata, herunder, om muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte persondataposter,
  • en formidling af navnet og kontaktoplysningerne på databeskyttelsesombudsmanden eller andre kontaktpunkter, hvor der kan indhentes nærmere information,
  • en beskrivelse af de sandsynlige konsekvenser af hændelsen med persondata, og
  • en beskrivelse af de forholdsregler, der er truffet eller foreslået af Den Databehandlende Underleverandør, for at tackle Bruddet på persondatasikkerheden, herunder, hvor det er relevant, foranstaltninger til at afbøde potentielle negative virkninger.

Hvis det ikke er muligt at videregive informationen samtidigt, kan informationen gives ad flere omgange, dog uden unødige forsinkelser.

3.8.3 Forpligtelser angående Brud på persondatasikkerhed

Den Databehandlende Underleverandør skal bistå Den Dataansvarlige med henblik på at sikre, at vedkommendes forpligtelser i henhold til Gældende bestemmelser om Brud på persondatasikkerhed er opfyldt, under hensyntagen til typen af behandling og informationen, der er tilgængelige for Den Databehandlende Underleverandør. Dette gælder også, hvis Den Dataansvarlige mistænker eller opdager et Brud på persondatasikkerheden.

3.8.4 Underretning om Brud på persondatasikkerhed

Den Databehandlende Underleverandør skal underrette Den Dataansvarlige, uden unødig forsinkelse, dog senest 30 timer efter at have opdaget et Brud på persondatasikkerheden.

3.8.5 Oplysninger om Brud på persondatasikkerhed

En underretning som beskrevet ovenfor skal indeholde alle de oplysninger, som Den Dataansvarlige har brug for med henblik på at opfylde sine forpligtelser i forhold til tilsynsmyndigheden.

3.8.6 Ubetinget underretningsforpligtelse

Ovenstående underretningsforpligtelse over for Den Dataansvarlige gælder, selvom Den Databehandlende Underleverandør af en eller anden grund ikke kan opfylde sine forpligtelser i henhold til Aftalen eller de dokumenterede instruktioner, eller alternativt bliver opmærksom på, at persondataene er blevet behandlet i strid med Aftalen.

3.9 Bistå Den Dataansvarlige

3.9.1 Konsekvensvurderinger og forudgående konsultation

Den Databehandlende Underleverandør skal, om nødvendigt og efter anmodning, bistå Den Dataansvarlige med at opfylde sine forpligtelser, der følger af bestemmelserne i databeskyttelsesforordningen vedrørende gennemførelse af konsekvensvurderinger med henblik på databeskyttelse og forudgående konsultation med tilsynsmyndigheden.

3.9.2 Udførelse af forpligtelser vedrørende registrerede rettigheder

Den Databehandlende Underleverandør skal bistå Den Dataansvarlige ved behov og efter anmodning via passende tekniske foranstaltninger i videst muligt omfang, så Den Dataansvarlige kan opfylde sin forpligtelse med henblik på at svare på anmodningen om udøvelse af den registreredes rettigheder i henhold til databeskyttelsesforordningen.

4 Den Databehandlende Underleverandørs brug af Underaktør

4.1 Skriftlig tilladelse for brug af Underaktør

Den Dataansvarlige godkender Den Databehandlende Underleverandørs brug af Underaktør i overensstemmelse med Bilag 1, punkt 2. Den Databehandlende Underleverandør må ikke gøre brug af en anden Databehandlende Underleverandør (Underaktør) uden en særlig eller generel skriftlig forudgående tilladelse fra Den Dataansvarlige.

4.2 Generel skriftlig tilladelse

Hvis der er opnået en generel skriftlig tilladelse, skal Den Databehandlende Underleverandør underrette Den Dataansvarlige om eventuelle planer om at ansætte nye databehandlende underleverandører eller nuværende, således at Den Dataansvarlige har mulighed for at gøre indsigelser mod sådanne ændringer.

4.3 Risikodistribution

Den Databehandlende Underleverandørs brug af Underaktør sker på egen risiko. Det medfører ingen ændring i ansvarsfordelingen mellem parterne i henhold til Aftalen.

4.4 Tilstrækkeligt beskyttelsesniveau

Hvis Den Dataansvarlige godkender Den Databehandlende Underleverandørs ansøgning om brug af Underaktør, skal Den Databehandlende Underleverandør tage de nødvendige forholdsregler for at sikre, at Underaktøren opretholder et tilstrækkeligt beskyttelsesniveau for de persondata, der behandles, og på anden måde overholder de gældende dele af Aftalen og gældende databeskyttelseslovgivning.

4.5 Underretning om brug eller udskiftning af Underaktør

Den Databehandlende Underleverandør skal, inden foranstaltninger foretages og under forudsætning af, at ansøgningen om Underaktør accepteres af Den Dataansvarlige, underrette denne om brugen eller udskiftningen af Underaktør. Den Dataansvarlige skal have mulighed for at gøre indsigelse mod Den Databehandlende Underleverandørs forslag om ændringer. En sådan indsigelse udgør en hindring for, at Den Databehandlende Underleverandør kan gennemføre den foreslåede ændring.

5 Ansvar for skade

5.1 Den Databehandlende Underleverandørs ansvar

Den Databehandlende Underleverandør skal i forhold til Den Dataansvarlige tage ansvar for de skader, der opstår som følge af behandlingen af persondata, hvis vedkommende ikke har opfyldt forpligtelserne i henhold til de Gældende bestemmelser, der specifikt er rettet til Den Databehandlende Underleverandør, eller har handlet uden for eller i strid med Aftalen.

Den Databehandlende Underleverandør skal undgå ansvar som ovenfor, hvis det viser sig, at vedkommende ikke på nogen måde er ansvarlig for hændelsen, der har forårsaget skaden.

5.2 Den Dataansvarliges ansvar

Den Dataansvarlige skal erstatte Den Databehandlende Underleverandør for de fordringer, der er rettet mod Den Databehandlende Underleverandør, forudsat at fordringen har sit grundlag i Den Dataansvarliges mangelfulde eller forkerte instruktioner til Den Databehandlende Underleverandør.

6 Aftalens varighed og ændringer i Aftalen

6.1 Varighed

Aftalen er gyldig fra den dato, hvor den blev underskrevet af Parterne, og i denne periode behandler Den Databehandlende Underleverandør persondata i overensstemmelse med Den Dataansvarliges instruktioner.

6.2 Returnering eller sletning af persondata

Efter at behandlingen er afsluttet på vegne af Den Dataansvarlige, skal Den Databehandlende Underleverandør returnere eller slette persondataene, medmindre en lagring af persondata er påkrævet ifølge lovgivningen, og som Den Databehandlende Underleverandør er omfattet af. Hvis persondataene skal returneres, skal det ske uden unødig forsinkelse og i et generelt og læsbart elektronisk format.

6.3 Den Dataansvarliges ret til at foretage ændringer

Den Dataansvarlige må kun foretage ændringer i Aftalen, i det omfang det er nødvendigt for at overholde den gældende lovgivning.

6.4 Ændring af aftalen

En ændring af Aftalen træder i kraft 30 dage efter, at underretningen om ændring er modtaget af Den Databehandlende Underleverandør.

6.5 Den Databehandlende Underleverandørs ret til at foretage ændringer

Den Databehandlende Underleverandør har ikke ret til at kræve ændringer i Aftalen, medmindre det er nødvendigt for at overholde gældende lovgivning.

6.6 Samtykke ved nye typer behandlinger

I tilfælde af at Den Dataansvarlige agter at udvide Den Databehandlende Underleverandørs behandling af persondata til nye typer behandling, kræver dette et eksplicit samtykke fra Den Databehandlende Underleverandør.

7 Underretninger

7.1 Skriftlige underretninger

Underretninger og meddelelser i henhold til Aftalen skal ske skriftligt. Underretninger skal meddeles til nedenstående kontaktpersoner:

Dataansvarlig, {{customer.company_name}}
{{customer.firstname}} {{customer.lastname}}
{{customer.address}, {{customer.zipcode}} {{customer.city}}

Databehandlende Underleverandør, Quickbutik ApS
Azddin Benberkan
Automatikvej 1, 2860 Søborg

7.2 Skriftlig anmeldelse af Brud på persondatasikkerhed

Et Brud på persondatasikkerheden skal altid rapporteres via e-mail til e-mailadressen: gdpr@quickbutik.com.

8. Tvister

8.1 Fortolkning og håndhævelse

Aftalen skal fortolkes og håndhæves i overensstemmelse med dansk lovgivning. Tvister vedrørende fortolkning eller håndhævelse af Aftalen løses ved en dansk domstol, forudsat at ingen anden myndighed eller domstol i en anden jurisdiktion har enekompetence til at løse tvisten.

9. Underskrifter

For at denne aftale skal gælde, skal de underskriftsberettigede for {{customer.company_name}}, {{customer.company_orgnr}} give deres samtykke til Aftalen.

Dataansvarlig
{{customer.firstname}} {{customer.lastname}}, {{customer.company_name}} {{customer.company_orgnr}}

Databehandlende Underleverandør
Administrerende direktør hos Quickbutik ApS, Azddin Benberkan