DATABEHANDLERAFTALE
DATABEHANDLERAFTALE
1. Parterne
(A) PayEx Danmark A/S, virksomhedens CVR nummer 70986914 ▇▇▇▇▇▇▇▇▇▇ ▇, ▇▇▇▇ ▇▇▇▇▇▇▇▇▇ K (“PayEx”);
(B) Virksomheden, der er opført som Kunde på forsiden af Rammeaftalen mellem PayEx og Kunden vedrørende Fakturaservice og/eller Reskontroservice leveret af PayEx til Kunden (”Kunde” eller ”Kunden”)
2. PayEx kommercielle del og appendikser / bilag
2.1 Denne databehandleraftale ("DPA") består af en PayEx kommerciel del, de anførte appendikser og bilag nedenfor. PayEx kommercielle del er defineret som denne DPA uden Bilag 1 og dets underbilag ("PayEx kommercielle del"). I PayEx kommercielle del tilføjes nogle specifikke afsnit, som ikke direkte eller indirekte er i modstrid med klausulerne i Bilag 1 eller krænker de registreredes grundlæggende rettigheder eller frihed.
I denne DPA har PayEx og Kunden de roller, der er beskrevet nedenfor:
Kunden, som Dataansvarlig og når PayEx, som Databehandler, Behandler Personoplysninger på vegne af Kunden, reguleres i denne DPA inklusive Bilag 1 med underbilag.
Bilag 1, Standardkontraktbestemmelser mellem dataansvarlige og databehandlere i henhold til artikel 28 (7) GDPR (“SCC”)
Underbilag til Bilag 1:
Bilagene gælder for Bilag 1
BILAG I LISTE OVER PARTER
BILAG II BESKRIVELSE AF BEHANDLINGEN BILAG III TEKNISKE OG ORGANISATORISKE FORANSTALTNINGER
BILAG IV LISTE OVER UNDERDATABEHANDLERE BILAG V DATAANSVARLIGES INSTRUKTION TIL DATABEHANDLER
2.2 For præcisering er PayEx defineret som PayEx og i SCC (Bilag 1) som Databehandler. Kunde defineres som Kunde og i SCC (Bilag 1) som Dataansvarlig. Betegnelsen PayEx og Kunde vil blive brugt i PayEx- kommercielle del af denne DPA.
3. Baggrund
3.1 Denne DPA regulerer rettigheder og forpligtelser med hensyn til Behandlingen af Personoplysninger i forbindelse med Kundens brug af PayEx-tjenester (som nærmere beskrevet i afsnit 3.2 nedenfor).
3.2 PayEx og Kunden har indgået en Rammeaftale vedrørende Fakturaservice og/eller Reskontroservice ("Aftalen"). I forbindelse med leveringen af ydelser i henhold til Aftalen, vil PayEx, som Databehandler, Behandle Personoplysninger på vegne af ▇▇▇▇▇▇, som den Dataansvarlige. For at sikre, at Persondata til enhver tid behandles i overensstemmelse med gældende lov, har Parterne aftalt at benytte denne DPA.
3.3 I tilfælde af konflikter mellem denne DPA og Aftalen der beskriver Behandling af Personoplysninger, har denne DPA forrang, medmindre andet udtrykkeligt er angivet nedenfor. I tilfælde af en modstrid mellem klausuler i SCC og bestemmelserne i PayEx kommercielle del mellem Parterne, der eksisterende på det tidspunkt, hvor Klausulerne i SCC er aftalt eller indgået derefter, har Klausulerne i SCC forrang.
3.4 Hvor der henvises til PayEx, gælder dette også for hvert relevant PayEx- koncernselskab.
4. Definitioner
“Gældende Lov” | al lovgivning, bestemmelser og rådgivning fra Tilsynsmyndigheder, der gælder for Parterne (såsom den databeskyttelsesforordning (2016/679/EU) og lokale databeskyttelsesforordninger inden for EU/EØS gældende for Parterne. |
“Underbehandler” | enhver underbehandler, der Behandler Personoplysninger, engageret af PayEx til at Behandle Personoplysninger, som Kunden er Dataansvarlig for. |
“PayEx- koncernselskab” | Ethvert selskab i PayEx-koncernen (Swedbank PayEx Holding AB og dets datterselskaber). |
“Part” og “Parter” | "Parter" betyder PayEx og Kunde i fællesskab, og "Part" betyder hver af Parterne. |
Hvor denne DPA bruger udtryk, der er defineret i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27 april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger (2016/679/EU) (databeskyttelsesforordningen), medmindre andet udtrykkeligt er defineret i denne DPA, skal disse udtryk have samme betydning som i databeskyttelsesforordningen (2016/679/EU) . |
5. PayEx forpligtelser
5.1 Generelt
5.1.1 PayEx forpligter sig til at Behandle Personoplysninger i overensstemmelse med Gældende Lov, Aftalen og Kundens instruktioner som angivet i Bilag 1 med underbilag til denne DPA.
5.1.2 Hvis PayEx mangler de instruktioner, der er nødvendige for udførelsen af sine opgaver i henhold til ▇▇▇▇▇▇▇, skal PayEx straks informere Kunden herom og handle i Kundens bedste interesse, indtil de nødvendige instruktioner er givet. Det bemærkes, at det altid vil blive anset således at Kunden har pålagt PayEx at levere ydelsen på den i Aftalen definerede måde.
5.1.3 Ændringer i instruktioner og andre ændringer i Bilag 1 og dets underbilag meddeles skriftligt, og PayEx skal implementere dem inden for rimelig tid. PayEx er berettiget til kompensation for at udføre de pågældende ændringer i det omfang sådanne ændringer medfører nye eller øgede omkostninger af væsentlig karakter.
5.1.4 PayEx har udpeget en databeskyttelsesombudsmand (Data Protection Officer “DPO”), som sikrer, at Personoplysninger Behandles i overensstemmelse med PayEx-rutiner og kundens anvisninger. Kontaktoplysninger til PayEx Data Protection Officer kan findes i Bilag 1, underbilag I til denne DPA.
5.1.5 PayEx skal i henhold til kravene i databeskyttelsesforordningen føre en fortegnelse over alle kategorier af behandlingsaktiviteter, der udføres under denne DPA, indeholdende:
a.) navn og kontaktoplysninger på PayEx og eventuelle Underbehandler samt DPO;
b.) alle kategorier af Behandling udført på vegne af Kunden;
c.) hvor det er relevant, overførsler af Personoplysninger til et tredjeland, inklusive identifikation af det tredjeland og, hvor det er relevant, dokumentation for hvilke eventuelle yderligere sikkerhedsforanstaltninger der er behov for; og
d.) hvor det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger.
5.1.6 De optegnelser, der føres af PayEx i henhold til afsnit 5.1.5 ovenfor, skal stilles til rådighed for Kunden uden forsinkelse, og under alle omstændigheder senest inden for tolv (12) kalenderdage fra anmodning fra Kunden.
5.2 Revisionsrettigheder
5.2.1 Ud over eventuelle revisionsrettigheder anført i Aftalen og SCC, har Kunden, eller en anden revisor bemyndiget af Kunden, ret til, for egen regning og med rimeligt varsel, at foretage en revision, herunder inspektion af, PayEx Behandling af Personoplysninger i henhold til denne DPA for at sikre, at den overholder DPA, i det omfang det er teknisk muligt og med rimelighed kan anses for nødvendigt. Sådan revision kan udføres én gang pr. kalenderår, medmindre Kunden, der foretager en revision, med rimelighed anser en yderligere revision for nødvendig på grund af reelle bekymringer for PayEx overholdelse af DPA eller i tilfælde af et sikkerhedsbrud, der med rimelighed ville give anledning til sådanne bekymringer. I tilfælde af en anmodning om en yderligere revision, skal Kunden meddele årsagerne til anmodningen, bekymringer og andre relevante oplysninger, når ▇▇▇▇▇▇ giver besked om yderligere revision til PayEx.
5.2.2 PayEx vil stille alle nødvendige oplysninger til rådighed for Kunden, for at påvise overholdelse af DPA.
5.2.3 PayEx vil straks informere ▇▇▇▇▇▇, hvis en instruks efter deres opfattelse er i strid med Gældende Lov.
5.2.4 Kunden og enhver anden revisor, der er bemyndiget af ▇▇▇▇▇▇, forpligter sig til at hemmeligholde enhver information, der er tilgængelig for dem under en revision, og anerkender, at de skal underskrive en tavshedspligt forud for revisionen.
5.2.5 Enhver information vedrørende andre PayEx-kunder, der kan betragtes som en forretningshemmelighed, eller som på anden måde er underlagt fortrolighed ved lov eller aftale, vil blive udelukket fra revisionen, og ▇▇▇▇▇▇ har ingen ret til at få adgang til, kunne revidere eller inspicere sådanne oplysninger.
5.2.6 PayEx vil give ▇▇▇▇▇▇ eller en revisor bemyndiget af ▇▇▇▇▇▇ den bistand, der med rimelighed kan kræves for at udføre en revision. PayEx er berettiget til vederlag for sådan bistand i det omfang bistanden har medført omkostninger af væsentlig karakter.
5.2.7 Oplysninger, som Kunden eller en revisor bemyndiget af Kunden indsamler under revision i henhold til denne DPA, skal slettes, så snart det ikke længere er nødvendigt med henblik på revisionen.
5.2.8 PayEx forpligter sig til, at tillade og facilitere revision, som Tilsynsmyndigheder eller andre parter er berettiget til at udføre i henhold til Gældende Lov.
5.3 Incident håndtering / hændelseshåndtering
PayEx skal opfylde krav om hændelseshåndtering samt underretning om brud på persondatasikkerheden i denne DPA, som er nærmere beskrevet i Bilag 1
5.4 Support efter anmodning fra Tilsynsmyndigheder
I overensstemmelse med Bilag 1 skal PayEx give Kunden relevante oplysninger, som Kunden ved lov er forpligtet til at underrette Tilsynsmyndigheden eller de registrerede om i henhold til Gældende Lov. Kunden skal betale vederlag og kompensation for eventuelle omkostninger,
som PayEx måtte pådrage sig, hvis omkostninger og foranstaltninger i henhold til denne klausul er sket, fordi ▇▇▇▇▇▇ ikke overholdt Gældende Lov.
5.5 Underbehandler
5.5.1 Ud over det, der er anført i Bilag 1 pkt. 7.7, gælder følgende mellem Parterne.
5.5.2 PayEx engagerede Underbehandlere, på tidspunktet for underskrivelsen af denne DPA, er opført i Bilag 1 samt underbilaget Bilag IV. Eventuelle ændringer i denne liste skal meddeles ▇▇▇▇▇▇ i overensstemmelse med afsnit 6.4 i denne DPA.
5.5.3 Kunden kan gøre indsigelse mod potentielle, nye Underbehandlere, forudsat at Kunden har en berettiget grund til at ikke godkende den nye Underbehandler. Hvis ▇▇▇▇▇▇ ønsker at gøre indsigelse mod ændringer af Underbehandlere, skal en sådan indsigelse ske skriftligt.
5.6 Overførsel af personoplysninger uden for EU/EØS
5.6.1 Overførsel af personoplysninger inden for EU, EØS og til lande eller organisationer, som Europakommissionen har besluttet sikrer et tilstrækkeligt beskyttelsesniveau er tilladt, forudsat, at det sikres, at Personoplysningerne er tilstrækkeligt beskyttet, dvs. ved standard databeskyttelse klausuler.
5.6.2 Alle andre overførsler uden for EU/EØS, som ellers ikke er tilladt i henhold til dette afsnit 5.6, er tilladt, forudsat at overførslen og Behandlingen derefter er underlagt passende sikkerhedsforanstaltninger som angivet i paragraf 7.8 Internationale overførsler i Bilag 1.
5.6.3 PayEx kan overføre Personoplysninger uanset Kundens instruktioner, hvor PayEx er forpligtet til at gøre det i henhold til EU- eller medlemsstatslovgivning, som PayEx er underlagt. I et sådant tilfælde vil PayEx informere ▇▇▇▇▇▇ om det juridiske krav, før en sådan overførsel foretages, medmindre denne lov forbyder sådanne oplysninger af hensyn til offentlighedens interesse.
5.7 Skadesløsholdelse og ansvar
5.7.1 PayEx er ansvarlig for direkte skader, som Kunden pådrager sig som følge af PayEx Behandling af Personoplysninger i strid med sine forpligtelser som Databehandler i henhold til Gældende Lovgivning, der specifikt regulerer Databehandlers ansvar, og hvis PayEx har overskredet eller handlet i strid med ▇▇▇▇▇▇▇ lovlige instruktioner. PayEx ansvar er begrænset i det omfang, der er angivet i Aftalen eller, hvor der ikke er en sådan ansvarsbegrænsning i Aftalen, til det beløb eksklusiv moms og andre afgifter, som PayEx har faktureret Kunden i de forudgående 12 måneder i henhold til Aftalen, medmindre skaden er forårsaget af grov uagtsomhed eller forsætlig forseelse fra PayEx.
5.7.2 Hvis krav eller administrative bøder rettes mod PayEx som følge af overtrædelse af denne DPA eller Gældende Lov, skal PayEx uden unødig forsinkelse underrette Kunden herom og træffe enhver rimelig foranstaltning for at afbøde skaderne som følge af bruddet.
5.8 Fortrolighed
5.8.1 PayEx garanterer at Behandle og opbevare Personoplysninger strengt fortroligt. Ud over det, der er anført i punkt 7.4 i Bilag 1, gælder følgende bestemmelser 5.8.2--5.8.3.
5.8.2 Med forbehold for, hvad der er angivet i DPA, Aftalen og Gældende Lov, forpligter hver Part sig til ikke at videregive og opbevare fortrolige oplysninger om Persondata og Behandling af Personoplysninger i henhold til denne DPA og indholdet af denne DPA.
5.8.3 Uanset ovenstående vil PayEx sikre, at personer, der er autoriseret til at behandle Personoplysninger (inklusive men ikke begrænset til medarbejdere hos PayEx), har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt fortrolighedsforpligtelse, der kan sammenlignes med vilkårene i denne DPA.
6. Varighed og ændringer af DPA
6.1 Denne DPA træder i kraft, når den er behørigt underskrevet af begge Parter, og den forbliver i kraft, så længe PayEx’ forpligtelser med hensyn til Behandling af Personoplysninger, som Kunden er den Dataansvarlige for (eller, hvor det er relevant, som tildelt PayEx) består.
I tilfælde af ændringer i Gældende Lov, eller en endelig dom er årsag til en anden fortolkning af Gældende Lov, og tjenesterne i henhold til Aftalen kræver ændringer i denne DPA, eller i tilfælde af en væsentlig ændring i Kundens ejerskabsstruktur, skal Parterne i god tro samarbejde om at opdatere DPA i overensstemmelse hermed.
6.2 PayEx er berettiget til skriftlig at give meddelelse om opsigelse af denne DPA og Aftalen med øjeblikkelig virkning eller på et hvilket som helst senere tidspunkt, i tilfælde af, at Parterne ikke kan blive enige om en passende ændring af DPA på grund af ændringer i Gældende Lov eller en endelig dom, hvis tjenesterne dikteret i Aftalen kræver ændringer af denne DPA, eller i tilfælde af en væsentlig ændring i Kundens ejerskabsstruktur.
6.3 I henhold til denne DPA skal allemeddelelser og øvrig kommunikation være skriftlige og på enten svensk, dansk eller engelsk. PayEx skal give Kunden meddelelser i overensstemmelse med Aftalen eller, hvis meddelelsen er af generel karakter, eller hvis en sådan meddelelse vedrører listen over Underbehandlere, på en webside, der er beregnet til meddelelser i henhold til denne DPA.
7. Tvister og Gældende Lovgivning
Denne DPA er underlagt og fortolkes i overensstemmelse med dansk lovgivning, med undtagelse af dens lovkonflikter. Enhver tvist, kontrovers eller krav, der opstår som følge af eller i forbindelse med denne DPA, eller brud, opsigelse eller ugyldighed heraf, skal afgøres endeligt ved voldgift ved af Voldgiftsinstituttet i København. Reglerne for fremskyndede voldgiftssager finder anvendelse, medmindre Voldgiftsinstituttet i København, efter eget skøn, bestemmer, at voldgiftsreglerne skal finde anvendelse under hensyntagen til sagens kompleksitet, størrelsen af tvisten og/eller andre omstændigheder. I sidstnævnte tilfælde skal Voldgiftsinstituttet i København også afgøre, om voldgiftsretten skal bestå af en eller tre voldgiftsmænd. Sæde for voldgift skal være København. Det sprog, der skal anvendes i voldgiftssagen, skal være svensk, dansk eller engelsk. Bestemmelserne om fortrolige oplysninger finder anvendelse på voldgiften og alle fremlagte oplysninger.
Denne DPA er et bilag til Rammeaftalen vedrørende Fakturaservice og/eller Reskontroservice leveret af PayEx til Kunden. Denne DPA gælder straks og regulerer Behandlingen af Personoplysninger mellem Parterne i forhold til Faktureringstjenesten.