BSBoksen – Databehandleraftale

Version 1.0, gældende fra d. 24/5 2018

Aftalen foreligger mellem

[DATAANSVARLIG NAVN]
[DATAANSVARLIG ADRESSE]
[DATAANSVARLIG POSTNR OG BY]

CVR: [DATAANSVARLIG CVR]

(i det følgende betegnet “dataansvarlig”)

og

BSBoksen ApS
Tolstojs Alle 21
2860 Søborg
CVR: 36715421

(i det følgende betegnet “databehandler”)
(herefter samlet benævnt “parterne” og hver for sig “part”)

Den dataansvarlige og databehandleren har indgået følgende databehandleraftale (“databehandleraftalen”) om databehandlerens behandling af personoplysninger på vegne af den dataansvarlige.

  1. Baggrund, formål og omfang
    1. Denne aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse, når databehandleren foretager behandling af personoplysninger på vegne af den dataansvarlige.
    2. Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.
    3. Aftalen omfatter selve databehandleraftalen samt betingelser for brug og privatlivspolitik (bilag 1 og 2).
    4. Databehandleraftalen med tilhørende bilag opbevares skriftligt, herunder elektronisk af begge parter.
  1. Instruks
    1. Den primære databehandling, som databehandleren udfører, er videresendelse af opkrævnings- og betalingsaftaleoplysninger fra kreditor til, og udelukkende til, Nets Betalingsservice, samt modtagelse af indbetalingsbetalingsoplysninger og status på betalingsaftaler fra Nets Betalingsservice, indgået mellem kreditor og debitor. Derudover kan applikationen members.bsboksen.dk benyttes af den dataansvarlige til selv at udføre administrative opgaver med disse data. Såfremt den dataansvarlige ønsker andre former for databehandling, som ikke er relateret til de standardservices, databehandleren leverer, skal den dataansvarlige give databehandleren tydeligt dokumenteret instruks herom.
    2. Instruksen omfatter forholdene beskrevet i Bilag 1: BSBoksen – betingelser for brug.
    3. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
    4. Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
    5. Databehandleren skal så vidt muligt bistå den dataansvarlige med opfyldelse af den dataansvarliges forpligtelser til at besvare anmodninger om udøvelse af de registreredes rettigheder, herunder om indsigt, berigtigelse, begrænsning eller sletning, hvis de relevante personoplysninger behandles af databehandleren. Modtager databehandleren en sådan henvendelse fra den registrerede person, orienterer databehandleren den dataansvarlige herom.
    6. Den dataansvarlige hæfter for alle databehandlerens omkostninger ved en sådan bistand, herunder til underdatabehandleren. Databehandlerens bistand afregnes til databehandlerens til enhver tid gældende timetakst for et sådant arbejde.
  1. Brug af underdatabehandlere
    1. Den dataansvarlige giver databehandleren samtykke til anvendelse af underdatabehandlere, forudsat at de i aftalen stillede betingelser for dette er opfyldt. Den dataansvarlige kan altid se databehandlerens underdatabehandlere på databehandlerens hjemmeside på www.bsboksen.dk/compliance.
    2. Underdatabehandleren er under databehandlerens instruks. Databehandleren har indgået skriftlig databehandleraftale med underdatabehandleren, hvori det er sikret, at underdatabehandleren opfylder krav tilsvarende dem, som stilles til databehandleren af den dataansvarlige i medfør af aftalen.
    3. Omkostninger forbundet med etablering af aftaleforholdet til en underdatabehandler, herunder omkostninger til udarbejdelse af databehandleraftale og eventuel etablering af grundlag for overførsel til tredjelande, pålægger databehandleren og er således den dataansvarlige uvedkommende.
    4. Den dataansvarlige accepterer ved indgåelsen af nærværende aftale, at databehandleren er berettiget til at skifte underdatabehandler, forudsat at a) en eventuel ny underdatabehandler overholder tilsvarende betingelser, som stilles i pkt. 4 til den nuværende underdatabehandler, og b) den dataansvarlige senest ved en eventuel anden underdatabehandlers påbegyndelse af behandlingen af personoplysninger, som den dataansvarlige er dataansvarlig for, fremgår af databehandlerens hjemmeside.
    5. Ændring af underdatabehandlere skal altid oplyses via nyheder på hjemmesiden og/eller e-mail til kontaktpersonen, i så god tid som muligt.
  1. Den dataansvarliges forpligtelser og rettigheder
    1. Den dataansvarlige har overfor omverdenen (herunder den registrerede) som udgangspunkt ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af databeskyttelsesforordningen og databeskyttelsesloven.
    2. Den dataansvarlige indestår for at have fornøden hjemmel til behandling af personoplysningerne omfattet af nærværende databehandleraftale og er ansvarlig for at det overholdes ved brugen af bsboksen.dk.
    3. Den dataansvarlige er ansvarlig for, at der foreligger hjemmel til den behandling, som databehandleren instrueres i at foretage.
  1. Behandlingssikkerhed
    1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32.
    2. Databehandleren skal træffe passende sikkerhedsforanstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at personoplysninger kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lovgivningen, jf. pkt. 1.2 ovenfor.
    3. Databehandleren skal efter nærmere aftale med den dataansvarlige så vidt muligt bistå den dataansvarlige med at sikre overholdelse af forpligtelserne i forordningens artikel 32 (gennemførelse af passende tekniske og organisatoriske foranstaltninger), 35 (foretagelse af konsekvensanalyse vedrørende databeskyttelse) og 36 (forudgående høring). I den forbindelse er databehandleren berettiget til at fakturere den dataansvarlige med sin sædvanlige timetakst for al databehandlerens arbejdstid, som en sådan aftale måtte medføre for databehandleren, ligesom den dataansvarlige hæfter for eventuel betaling til underdatabehandleren.
    4. Såfremt det i pkt. 5c anførte fører til skærpede sikkerhedsforanstaltninger i forhold til det allerede aftalte mellem parterne i medfør af denne aftale, implementerer databehandleren, så vidt det er muligt, sådanne foranstaltninger, forudsat at databehandleren modtager betaling herfor.
  1. Tilsynsret
    1. Databehandleren stiller oplysninger, der er nødvendige for at påvise databehandlerens overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.
    2. Den dataansvarliges tilsyn med eventuelle underdatabehandlere sker som udgangspunkt gennem databehandleren.
    3. Såfremt den dataansvarlige ønsker at foretage tilsyn, som anført i dette pkt. 6, skal den dataansvarlige altid give databehandleren et varsel på mindst 30 dage i en sådan forbindelse.
    4. Såfremt den dataansvarlige ønsker at få udarbejdet yderligere sikkerhedsrevisionsrapport, eller der i øvrigt ønskes foretaget tilsyn af databehandlerens eller underdatabehandlerens persondatabehandling, herunder såfremt den dataansvarlige ønsker sikkerhedsrevisionsrapport udarbejdet på et nærmere bestemt tidspunkt, aftales dette med databehandleren. Databehandleren eller underdatabehandleren kan til enhver tid kræve, at en sådan sikkerhedsrevisionsrapport udarbejdes i overensstemmelse med en anerkendt revisionsstandard (fx ISAE 3402 med referenceramme til ISO 27002:2014 eller lignende) af en alment anerkendt og uafhængig tredjepart, som beskæftiger sig med sådanne forhold.
    5. Den dataansvarlige afholder alle omkostninger i forbindelse med tilsyn af sikkerhedsforhold hos databehandleren og i forhold til underdatabehandleren, herunder er databehandleren berettiget til at fakturere den dataansvarlige med sin sædvanlige timetakst for al databehandlerens arbejdstid samt yderligere afholdte omkostninger, som et sådant tilsyn måtte medføre for databehandleren, ligesom den dataansvarlige hæfter for eventuel betaling til underdatabehandleren.
  1. Persondatasikkerhedsbrud
    1. Såfremt databehandleren måtte blive bekendt med et persondatasikkerhedsbrud, hvorved forstås et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring samt uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet, er databehandleren forpligtet til uden unødig forsinkelse at søge at lokalisere et sådant brud og begrænse opstået skade i videst muligt omfang og – i det omfang det er muligt – reetablere eventuelt mistede data.
    2. Databehandleren er endvidere forpligtet til uden unødig forsinkelse at underrette den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden. Databehandleren skal herefter uden unødig forsinkelse, i det omfang det er muligt, give skriftlig meddelelse til den dataansvarlige, som så vidt muligt skal indeholde:
    3. En beskrivelse af karakteren af bruddet, herunder kategorierne og det omtrentlige antal berørte registrerede og registreringer af personoplysninger.
    4. Navn og kontaktoplysninger på kontaktpersonen hos databehandleren.
    5. En beskrivelse af de sandsynlige konsekvenser af bruddet.
    6. En beskrivelse af de foranstaltninger, som databehandleren eller underdatabehandleren har truffet eller foreslår truffet for at håndtere bruddet, herunder foranstaltninger for at begrænse dets mulige skadevirkninger.
    7. For så vidt det ikke er muligt at give de i pkt. 7b anførte oplysninger samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse.
    8. Databehandleren er forpligtiget til at underrette den kontrollerende myndighed på persondataområdet indenfor de fastsatte tidsfrister vedrørende sikkerhedsbruddet.
    9. Tilsvarende er underdatabehandlere pålagt uden unødig forsinkelse at underrette databehandleren i overensstemmelse med pkt. 7b og 7c.
  1. Overførsel af oplysninger til tredjelande eller internationale organisationer
    1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel (overladelse, videregivelse samt intern anvendelse) af personoplysninger til tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
  1. Tavshedspligt og fortrolighed
    1. Databehandleren skal holde personoplysningerne fortrolige og er således alene berettiget til at anvende personoplysningerne som led i opfyldelsen af sine forpligtelser og rettigheder i henhold til nærværende aftale.
    2. Databehandleren skal sikre, at de medarbejdere og eventuelle andre, herunder underdatabehandlere, der er autoriseret til at behandle de i aftalen omfattede personoplysninger, er pålagt tavshedspligt.
    3. Databehandleren må ikke uden skriftligt samtykke fra den dataansvarlige videregive oplysninger til tredjemand, medmindre sådan videregivelse følger af lovgivningen eller af en bindende anmodning fra en retsinstans eller en databeskyttelsesmyndighed, eller det fremgår af denne aftale.
  1. Varighed og ophør af databehandleraftalen
    1. Aftalen træder i kraft ved parternes underskrift af databehandleraftalen.
    2. Databehandleren er forpligtet af denne aftale, så længe databehandleren behandler personoplysninger på vegne af den dataansvarlige.
    3. Såfremt databehandleren ophører med at levere services til den dataansvarlige, skal den dataansvarlige snarest muligt og senest 14 dage efter ophøret oplyse databehandleren skriftligt, hvorledes databehandleren skal forholde sig til de behandlede personoplysninger. Senest 3 måneder efter ophøret af databehandleraftalen er databehandleren berettiget til at slette alle personoplysninger, som er blevet behandlet på vegne af den dataansvarlige.
    4. Uanset databehandleraftalens ophør skal aftalens pkt. 9 fortsat have virkning efter databehandleraftalens ophør.
  1. Bilag
    1. Bilag 1: BSBoksen – Forretningsbetingelser
    2. Bilag 2: BSBoksen – Privatlivspolitik
  1. Underskrift

Ovenstående tiltrædes hermed med virkning fra parternes underskrift.

For den dataansvarlige
[UNDERSKRIFT BY], d. [UNDERSKRIFT DATO]

_____________________________
[DATAANSVARLIG KONTAKTPERSON]
[DATAANSVARLIG NAVN]

For databehandleren
Søborg d. [DATO]

_____________________________
Jakob Øjvind Nielsen, direktør
BSBoksen ApS