Databehandlingsavtale

Denne databehandlingsavtalen ("avtalen") inngås når du godtar de GENERELLE BETINGELSENE mellom:

Du (“Kunde”) og
Reepay A / S, (“leverandøren”)
- Kunden og leverandøren heretter kalt "partene" og separat som en "part"

1. Avtalens omfang

1.1 Denne avtalen er en del av avtalen mellom kunden og leverandøren for å gjenspeile partenes avtale med hensyn til behandling av personopplysninger.

1.2 Leverandøren fungerer som databehandler for kunden, da leverandøren behandler personopplysninger for kunden som beskrevet i vedlegg 1.

1.3 Personopplysningene som skal behandles av leverandøren gjelder kategoriene data, kategoriene registrerte og formålet med behandlingen som beskrevet i vedlegg 1.

1.4 “Personopplysninger” betyr all informasjon knyttet til en identifisert eller identifiserbar fysisk person, se artikkel 4 (1) i forordning (EU) 2016/679 av 27. april 2016 (den generelle databeskyttelsesforordningen “GDPR”). Hvis annen konfidensiell informasjon enn personopplysninger behandles med det formål å oppfylle avtalen, f.eks. Informasjon som anses som konfidensiell i henhold til Financial Business Act, skal enhver henvisning til “personopplysninger” omfatte annen konfidensiell informasjon.

2. Behandling av personopplysninger

2.1 Instruksjoner: Leverandøren blir bedt om å behandle personopplysningene bare for å levere de databehandlingstjenestene som er angitt i vedlegg 1. Leverandøren kan ikke behandle eller bruke Kundens personopplysninger til noe annet formål enn gitt i instruksjonene, inkludert overføring av personopplysninger til et hvilket som helst tredjeland eller en internasjonal organisasjon, med mindre leverandøren er pålagt å gjøre det i henhold til unions- eller medlemslandsloven. I så fall skal leverandøren informere kunden skriftlig om dette lovkravet før behandlingen, med mindre den loven forbyr slik informasjon på grunnlag av offentlig interesse.

2.2 Hvis kunden i instruksjonene i vedlegg 1 eller på annen måte har gitt tillatelse til overføring av personopplysninger til et tredjeland eller til internasjonale organisasjoner, må leverandøren sørge for at det er et lovlig grunnlag for overføringen, f.eks. EU-kommisjonens standardkontrakt Klausuler for overføring av personopplysninger til tredjeland.

2.3 Hvis leverandøren anser en instruksjon fra kunden for å være i strid med GDPR, eller andre databeskyttelsesbestemmelser fra Union eller medlemsland, skal leverandøren umiddelbart informere kunden skriftlig om dette.

2.4 Hvis leverandøren er underlagt lovgivning i et tredjeland, erklærer leverandøren at han ikke er kjent med den nevnte lovgivningen som hindrer leverandøren i å oppfylle avtalen, og at leverandøren vil varsle kunden skriftlig uten unødig opphold, hvis leverandøren blir klar over at slik hindring er til stede eller vil forekomme.

3. Leverandørens generelle forpliktelser

3.1 Leverandøren må sørge for at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til konfidensialitet eller er underlagt en lovfestet taushetsplikt.

3.2 Leverandøren skal iverksette egnede tekniske og organisatoriske tiltak for å forhindre at de behandlede personopplysningene blir

(i) ved et uhell eller ulovlig ødelagt, tapt eller endret,

(ii) avslørt eller gjort tilgjengelig uten tillatelse, eller

(iii) ellers behandlet i strid med gjeldende lover, inkludert GDPR.

3.3 Leverandøren må også overholde de spesielle datasikkerhetskravene som gjelder for Kunden, se vedlegg 1, og med alle andre gjeldende datasikkerhetskrav som er direkte pålagt leverandøren; inkludert datasikkerhetskravene i leverandørens etableringsland, eller i landet der databehandlingen skal utføres.

3.4 Egnede tekniske og organisatoriske sikkerhetstiltak må bestemmes med behørig hensyn til

(i) den nåværende teknikk,

(ii) kostnadene for gjennomføringen, og

(iii) art, omfang, kontekst og formål med behandlingen samt risikoen for varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter.

3.5 Leverandøren skal på forespørsel gi kunden tilstrekkelig informasjon til at kunden kan sikre at leverandøren overholder sine forpliktelser i henhold til avtalen, inkludert å sikre at de nødvendige tekniske og organisatoriske sikkerhetstiltak er iverksatt.

3.6 Videre har kunden for egen regning rett til å utnevne en uavhengig ekspert som skal ha tilgang til leverandørens databehandlingsanlegg og motta den nødvendige informasjonen for å kunne revidere om leverandøren overholder sine forpliktelser i henhold til avtalen, herunder sørge for at de nødvendige tekniske og organisatoriske sikkerhetstiltak er iverksatt. Eksperten skal på leverandørens anmodning undertegne en vanlig taushetsavtale og behandle all informasjon som er innhentet eller mottatt fra leverandøren, og kan bare dele informasjonen med kunden.

3.7 Leverandøren må gi informasjon relatert til levering av tjenestene til myndighetene eller kundens eksterne rådgivere, inkludert revisorer, hvis dette er nødvendig for å utføre sine plikter i samsvar med unions- eller medlemslandsloven.

3.8 Leverandøren må gi myndigheter som etter fagforening eller medlemslandslov har rett til å komme inn på kundens eller kundens leverandørs anlegg, eller representanter for myndighetene, tilgang til leverandørens fysiske anlegg mot riktig bevis på identitet.

3.9 Leverandøren må uten unødig forsinkelse etter å ha blitt kjent med fakta skriftlig varsle kunden om:

(i) enhver anmodning om utlevering av personopplysninger behandlet i henhold til avtalen av myndighetene, med mindre det er uttrykkelig forbudt i henhold til unions- eller medlemslandsloven,

(ii) enhver mistanke om eller funn av (a) brudd på sikkerheten som resulterer i utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av, eller tilgang til, personopplysninger overført, lagret eller på annen måte behandlet av leverandøren i henhold til avtalen, eller (b) annen manglende overholdelse av leverandørens forpliktelser i henhold til punkt 3.2 og 3.3, eller

(iii) enhver anmodning om tilgang til personopplysningene mottatt direkte fra de registrerte eller fra tredjeparter.

3.10 Ved å ta hensyn til behandlingenes art, må leverandøren umiddelbart hjelpe kunden med behandlingen av forespørsler fra registrerte i henhold til kapittel III i GDPR, inkludert forespørsler om tilgang, retting, blokkering eller sletting. Leverandøren må også bistå den behandlingsansvarlige ved å iverksette passende tekniske og organisatoriske tiltak for å oppfylle Kundens forpliktelse til å svare på slike forespørsler.

3.11 Leverandøren må bistå kunden med å oppfylle de andre forpliktelsene som kan påhvile kunden i henhold til unions- eller medlemslandslov der leverandørens bistand er underforstått, og der leverandørens hjelp er nødvendig for at kunden skal overholde sine forpliktelser. Dette inkluderer, men er ikke begrenset til, på forespørsel å gi kunden all nødvendig informasjon om en hendelse i henhold til paragraf 3.10 (ii), og all nødvendig informasjon for en konsekvensutredning i samsvar med artikkel 35 og 36 i GDPR.

3.12 Eventuelle tjenester fra leverandøren som beskrevet i punkt 3.7 til 3.9 og 3.11 til 3.12 er fakturerbare og vil bli belastet i samsvar med prislisten som blir gjort tilgjengelig for kunden ved inngåelse av denne avtalen.

3.13 I vedlegg 1 har leverandøren oppgitt den fysiske plasseringen til serverne, servicesentrene etc. som brukes til å levere databehandlingstjenestene. Leverandøren forplikter seg til å holde informasjonen om den fysiske plasseringen oppdatert ved å gi kunden en skriftlig forhåndsvarsel på to måneder. Dette krever ikke en formell endring av vedlegg 1, det er tilstrekkelig med en skriftlig varsel per post eller e-post.

4. Underleverandører

4.1 Leverandøren kan engasjere en underleverandør. På tidspunktet for avtalen bruker leverandøren de underleverandørene som er angitt i vedlegg 2. Leverandøren forplikter seg til å informere kunden om alle planlagte endringer angående tillegg eller utskifting av en underleverandør ved å gi en skriftlig forhåndsvarsel på to måneder til kunden. Kunden kan motsette seg bruken av en underleverandør uten grunn dersom en slik innvending er relevant og begrunnet med hensyn til databeskyttelsesspørsmål. Hvis innsigelsen er relevant og begrunnet, vil leverandøren foreslå to nye underleverandører for at kunden skal godta en av dem. Leverandøren må skriftlig informere kunden om avviklet bruk av en underleverandør.

4.2 Før engasjement av en underleverandør, skal leverandøren inngå en skriftlig avtale med underleverandøren, der minst de samme databeskyttelsesforpliktelsene som angitt i avtalen skal pålegges underleverandøren, inkludert en forpliktelse til å implementere passende tekniske og organisatoriske tiltak på en slik måte at behandlingen vil oppfylle kravene i GDPR.

4.3 Kunden har rett til å motta en kopi av leverandørens avtale med underleverandøren når det gjelder bestemmelsene knyttet til databeskyttelsesforpliktelser. Leverandøren skal være fullt ut ansvarlig overfor Kunden for utførelsen av underleverandørens forpliktelser. Det faktum at kunden har gitt samtykke til leverandørens bruk av underleverandør, berører ikke leverandørens plikt til å overholde avtalen.

5. Konfidensialitet

5.1 Leverandøren skal holde personopplysningene konfidensielle.

5.2 Leverandøren skal ikke utlevere personopplysningene til tredjeparter eller ta kopier av personopplysningene med mindre det er strengt nødvendig for å oppfylle Leverandørens forpliktelser overfor Kunden i henhold til Avtalen, og under forutsetning av at den som personopplysningene blir utlevert er kjent med konfidensiell karakter av dataene og har godtatt å holde personopplysningene konfidensielle i samsvar med denne avtalen.

5.3 Hvis leverandøren er en juridisk enhet, gjelder alle vilkårene i avtalen for noen av leverandørens ansatte, og leverandøren må sørge for at de ansatte overholder avtalen.

5.4 Leverandøren må begrense tilgangen til personopplysninger til ansatte som tilgang til nevnte data er nødvendig for å oppfylle leverandørens forpliktelser overfor kunden.

5.5 Leverandørens forpliktelser i henhold til paragraf 5 vedvarer uten tidsbegrensning og uavhengig av om partenes samarbeid er avsluttet.

5.6 Kunden skal behandle konfidensiell informasjon mottatt fra leverandøren konfidensielt og kan ikke ulovlig bruke eller avsløre konfidensiell informasjon.

6. Endringer og oppgaver

6.1 Partene kan når som helst avtale å endre denne avtalen. Endringer må være skriftlige.

6.2 Leverandøren kan ikke overføre eller overføre noen av sine rettigheter eller forpliktelser som følger av denne avtalen uten kundens forutgående, skriftlige samtykke.

7. Avtalens løpetid og oppsigelse

7.1 Avtalen trer i kraft når den er undertegnet av begge parter og forblir i kraft til den blir sagt opp av en av partene.

7.2 Hver part kan si opp avtalen med 3 måneders skriftlig varsel.

7.3 Uavhengig av avtalens løpetid, skal avtalen være i kraft så lenge leverandøren behandler personopplysningene som kunden er behandlingsansvarlig for.

7.4 I tilfelle avslutning av avtalen, uavhengig av juridiske grunner, må leverandøren levere de nødvendige overføringstjenestene til kunden. Leverandøren er forpliktet til å bistå på en lojal måte og så raskt som mulig med å overføre personopplysningene til en annen leverandør eller returnere dem til kunden.

7.5 På kundens forespørsel skal leverandøren umiddelbart overføre eller slette (inkludert anonymiserte) personopplysninger som leverandøren behandler for kunden, med mindre unions- eller medlemslandslov krever lagring av personopplysningene.

7.6 Leverandøren har under ingen omstendigheter rett til å forutsette full og ubegrenset overholdelse av Kundens instruksjoner om Kundens betaling av utestående fakturaer etc., og Leverandøren har ingen rett til å beholde personopplysningene.

8. Prioritet

8.1 Hvis noen av bestemmelsene i avtalen er i strid med bestemmelsene i annen skriftlig eller muntlig avtale inngått mellom partene, skal bestemmelsene i avtalen ha forrang. Kravene i pkt. 3 gjelder imidlertid ikke i den grad partene i en annen avtale har satt strengere forpliktelser for leverandøren. Videre gjelder ikke avtalen hvis og i den utvidelse EU-kommisjonens standardkontraktsklausuler for overføring av personopplysninger til tredjestater er inngått, og slike klausuler angir strengere forpliktelser for leverandøren og / eller for leverandører.

8.2 Denne avtalen bestemmer ikke kundens godtgjørelse til leverandøren for leverandørens tjenester i henhold til avtalen.

VEDLEGG 1

Dette vedlegget utgjør kundens instruksjon til leverandøren i forbindelse med leverandørens databehandling for kunden, og er en integrert del av avtalen.

Behandling av personopplysninger

a) Formålet og arten av behandlingsoperasjonene

Leverandøren er en abonnementsfaktureringstjeneste samt en betalingsportal.

b) Kategorier av registrerte

I. Kunder

II. Betalinger

III. Bedrifter

c) Kategorier av personopplysninger

I: Navn, adresse, e-postadresse, personlig identifikasjonsnummer, telefonnummer

II: Kredittkortnummer og utløpsdato

III: Navn, adresse, e-postadresse, firmaets identifikasjonsnummer, telefonnummer

d) Spesielle datakategorier

I en

II: Ingen

III: Ingen

e) Plassering (er), inkludert navn på land / behandlingsland

Pilestræde 28a, 2. sal

1112 København K

Danmark

VEDLEGG 2

Underleverandører

Amazon Web Services EMEA SARL (vert i Irland)
38 Avenue John F. Kennedy, 1855 Luxembourg
https://aws.amazon.com/compliance/eu-data-protection/

Nets A/S
Klausdalsbrovej 601
DK-2750 Ballerup
Danmark
Tlf: +45 44 68 44 68
https://www.nets.eu/Pages/GDPR.aspx

Poststempel
Chicago, IL
https://postmarkapp.com/eu-privacy

PPRO
PPRO Financial Ltd
Chancery Lane 48,
London
WC2A 1JF
Tlf +442030029170
https://www.ppro.com/privacy-notice/

Evry
Keilalahdentie 2-4
postboks 2
FI-02101 Espoo
Finland
Tlf: +3582072010
https://www.tietoevry.com/en/privacy-notice/