Databehandleraftale

1. Parterne

1.1 Q8 AB (556027-3244), herefter Q8, og Q8 kunden, herefter Dataansvarlig, indgår en aftale (’Tjenesteydelseskontrakt’) som fastsætter de rettigheder og forpligtelser, som finder anvendelse, når databehandleren foretager behandling af personoplysninger på vegne af den dataansvarlige. 
Q8 og den Dataansvarlige kaldes herefter hver for sig en ’Part’ eller til sammen ’Parterne’.

 

 

2. Baggrund

2.1 Denne Databehandleraftale (Samhandelsaftalen’Databehandleraftalen’) fastsætter de rettigheder og forpligtelser, som finder anvendelse, når databehandleren foretager behandling af personoplysninger på vegne af den dataansvarlige. Denne behandliong sker for at Q8 og den Dataansvarlige kan opfyldes deres forpligtelser i henhold til den indgåede ”Samhandelsaftale”)

 

2.2 Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale

 

2.3 Parterne indgår med denne aftaler vedrørende (’Tjenesteydelseskontrakt’) en aftale. I forbindelse med udførelse af Samhandelsaftalen vil Q8 behandle personoplysninger på vegne af den Dataansvarlige og dermed være databehandler. 

 

2.4 Denne aftale med tilhørende specifikationer (til sammen ’Databehandleraftalen’) er et bilag eller en tillægsaftale til Samhandelsaftalen og udgør aftalen mellem den dataansvarlige og databehandleren, der er omfattet af Gældende databeskyttelseslovgivning (som defineret herunder). 

 

 

3. Definitioner

3.1 Begreber, der defineres juridisk i den Gældende databeskyttelseslovgivning, såsom ’dataansvarlig’, ’databehandler’, ’personoplysninger’, ’behandling’, ’registreret’ og ’tilsynsmyndighed’, skal fortolkes og anvendes i overensstemmelse med Gældende databeskyttelseslovgivning, når de angives med lille begyndelsesbogstav.

 

3.2 Derudover gælder uden begrænsning af ovenstående og ud over de begreber, der er defineret herover, at følgende definitioner skal have nedenstående betydning, når de angives med stort begyndelsesbogstav: 

 

’Omfattede personoplysninger’   Personoplysninger, der overføres til, opbevares af eller på anden vis behandles af Q8 på vegne af den Dataansvarlige Samhandelsaftalensom angivet i bilag til denne Databehandleraftale. 
’Specifikationen’
Henviser til bilag til nærværende Databehandleraftale, hvor Q8’s behandling af personoplysninger beskrives nærmere.
’Gældende databeskyttelseslovgivning’  Henviser til Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af oplysninger, om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse, ’GDPR’) samt gældende svensk databeskyttelseslovgivning. 

 

 

4. Aftaledokument og anvendelighed

4.1 Databehandleraftalen består af dette hoveddokument og Specifikationen. Hvis der opstår konflikt eller uoverensstemmelse mellem Databehandleraftalen og Samhandelsaftalen, skal bestemmelserne i Databehandleraftalen være gældende. 

 

 

5. Behandling og instruktioner

5.1 Q8 må kun behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Q8 er underlagt. Denne instruks skal være specificeret i bilag til denne Databehandleraftale. 

 

5.2 Q8 forpligter sig til at behandle de Omfattede personoplysninger i henhold til Databehandleraftalen, Samhandelsaftalen og den Dataansvarliges skriftlige instruktioner. 

 

5.3 Den Dataansvarlige har ansvar for, at behandling af de Omfattede personoplysninger, der skal udføres i henhold til Databehandleraftalen, opfylder Gældende databeskyttelseslovgivning, herunder, men ikke begrænset til, at påkrævet information gives til den registrerede, og at retsgrundlaget er dokumenteret for alle behandlinger. Desuden forpligter den enkelte Part sig til at overholde Gældende databeskyttelseslovgivning i det omfang, at denne lovgivning finder anvendelse for Partens forpligtelser i henhold til Samhandelsaftalen.

 

5.4 Den Dataansvarlige skal instruere Q8 skriftligt i henhold til Gældende databeskyttelseslovgivning vedrørende Q8’s behandling af de Omfattede personoplysninger. 

 

5.5 Databehandleraftalen og Samhandelsaftalen indeholder udtømmende instruktioner fra den Dataansvarlige til Q8. Hvis den Dataansvarlige giver nye eller ændrede instrukser i aftaleperioden, og disse instrukser medfører yderligere omkostninger for Q8, skal den Dataansvarlige holde Q8 skadesløs over for alle disse omkostninger.

 

5.6 Hvis den Dataansvarliges instruktioner efter Q8’s mening er i strid med Gældende databeskyttelseslovgivning, skal Q8 uden unødig forsinkelse underrette den Dataansvarlige og afvente yderligere instrukser fra den Dataansvarlige.

 

 

6. Fornødne tekniske og organisatoriske garantier 

6.1 Q8 forpligter sig til at træffe de fornødne tekniske og organisatoriske garantier, der skal til for at opnå et sikkerhedsniveau, som er passende i forhold til de risici, der er forbundet med behandlingen af de Omfattede personoplysninger. Q8 skal derved tage hensyn til den seneste udvikling, gennemførelsesomkostningerne samt arten, omfanget, sammenhængen og formålet med behandlingen samt risiciene, af varierende sandsynlighed og alvor, for de Registreredes rettigheder og frihedsrettigheder.

 

6.2 De tekniske og organisatoriske ganratier som Q8 som minumum skal opfylde er angivet i bilag til denne Databehandleraftale.

 

6.3 Q8 skal følge tilsynsmyndighedens beslutning om foranstaltninger til opfyldelse af sikkerhedskrav i henhold til Gældende databeskyttelseslovgivning. 

 

 

7. Overførsel af personoplysninger uden for EU/EØS

7.1 Enhver overførsel af personoplysninger til tredjelande eller internationale  organisationer må kun foretages af Q8 på baggrund af dokumenteret instruks herom fra den dataansvarlige og skal altid ske i overensstemmelse med databeskyttelsesforordningens kapitel V.

 

7.2 Q8 kan overføre de Omfattede personoplysninger til steder uden for EU/EØS-området, hvis og i det omfang, hvis dette er anført i Instruksen i bilaget til denne Databehandleraftale eller på anden vis er aftalt skriftligt.  

 

7.3 Hvis den Dataansvarlige har givet instruks om overførsel af personoplysninger til steder uden for EU-EØS, accepterer den Dataansvarlige og giver tilladelse til, at Q8 kan indgå de påkrævede standardkontraktbestemmelser med den modtagende part ved overførsel af de Omfattede personoplysninger til steder uden for EU/EØS-området, herunder de underleverandører, der er anført i Specifikationen. For underleverandørens ansatte gælder desuden punkt 10 herunder. 

 

 

8. Oplysningspligt osv.

8.1 Q8 skal i forhold til de omfattede personoplysninger og i betragtning af behandlingens beskaffenhed bistå den Dataansvarlige gennem fornødne tekniske og organisatoriske garantier i den udstrækning, det er muligt, så den Dataansvarlige kan opfylde sin forpligtelse til at besvare anmodninger om udøvelse af den registreredes rettigheder i henhold til Gældende databeskyttelseslovgivning.  

 

8.2 Q8 skal bistå den Dataansvarlige med i forhold til de Omfattede personoplysninger og under hensyntagen til typen af behandling samt de oplysninger, Q8 har til rådighed, at sikre, at forpligtelserne i henhold til artikel 32-36 i GDPR opfyldes.

 

8.3 I henhold til den Dataansvarliges instrukser skal Q8 slette eller returnere de Omfattede personoplysninger til den Dataansvarlige, efter at behandlingen af de Omfattede personoplysninger er afsluttet, og slette eksisterende kopier af de Omfattede personoplysninger, hvis opbevaring af personoplysningerne ikke længere er nødvendig eller aftalt.

 

8.4 Q8 skal give den Dataansvarlige adgang til alle de oplysninger, der er nødvendige for, at den Dataansvarlige kan påvise, at de forpligtelser, der er fastsat i artikel 28 i GDPR, er opfyldt.

 

8.5 Q8 skal muliggøre og bidrage til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller af en anden revisor, der er bemyndiget af den Dataansvarlige.

 

8.6 Q8 underretter uden unødig forsinkelse den Dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden. Q8’s underretning til den Dataansvarlige skal om muligt ske senest 36 efter, at denne er blevet bekendt med bruddet, sådan at den dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, jf. databeskyttelsesforordningens artikel 33. Q8 skal bistå den dataansvarlige med at foretage anmeldelse af bruddet til den kompetente tilsynsmyndighed. Det betyder, at Q8 skal bistå med at tilvejebringe nedenstående information, som ifølge artikel 33, stk. 3, skal fremgå af den dataansvarliges anmeldelse af bruddet til den kompetente tilsynsmyndighed.

 

 

9. Kontakt til registrerede og tilsynsmyndighed 

9.1 Hvis en registreret, en tilsynsmyndighed eller en anden tredjepart anmoder om oplysninger fra Q8 vedrørende behandling af de Omfattede personoplysninger, skal Q8 uden unødig forsinkelse henvise sådanne anmodninger til den Dataansvarlige og afvente instrukser i henhold til punkt 5.3 herover.

 

 

10. Underleverandør

10.1 Den Dataansvarlige giver hermed Q8 generel forhåndstilladelse i henhold til artikel 28, stk. 2, i GDPR til på den Dataansvarliges vegne at anvende underleverandører til behandling af de Omfattede personoplysninger. Databehandleraftaler, der indgås med sådanne underleverandører, skal pålægge underleverandøren de samme forpligtelser, som Q8 har i henhold til Databehandleraftalen. 

 

10.2 Q8 skal informere den Dataansvarlige om eventuelle planer om at anvende nye underleverandører og om udskiftning af underleverandører, der behandler de Omfattede personoplysninger. Databehandleren skal skriftligt underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere med mindst 1 måneds varsel og den dataansvarlige skal dermed have mulighed for at gøre indsigelse mod sådanne ændringer. 

 

10.3 Databehandleren er derfor ansvarlig for at kræve, at underdatabehandleren som minimum overholder databehandlerens forpligtelser efter disse Bestemmelser og databeskyttelsesforordningen. Hvis underleverandøren ikke overholder sine forpligtelser hvad angår databeskyttelse, skal Q8 være fuldt ansvarlig over for den Dataansvarlige for opfyldelsen af underleverandørens forpligtelser.

 

 

11. Fortrolighed

11.1 Ud over den tavshedspligt, der følger af Samhandelsaftalen, forpligter Parterne sig til ikke at videregive de Omfattede personoplysninger eller andre oplysninger, der fremkommer i henhold til Databehandleraftalen, til tredjemand (’Fortrolige oplysninger’), medmindre en sådan forpligtelse foreligger i henhold til Gældende databeskyttelseslovgivning eller er instrueret af den Dataansvarlige. Parten forpligter sig derudover til, hverken direkte eller indirekte, på egne eller andres vegne, at anvende Fortrolige oplysninger til andre formål end opfyldelse af sine forpligtelser i henhold til Gældende databeskyttelseslovgivning eller Databehandleraftalen.  

 

11.2 Q8 skal sikre, at personer med beføjelser til at behandle de Omfattede personoplysninger har forpligtet sig til at overholde tavshedspligten eller er omfattet af fornøden lovbestemt tavshedspligt.

 

 

12. Ansvar 

12.1 Q8’s ansvar i henhold til Databehandleraftalen omfatter ikke indirekte skader, følgeskader eller tredjeparts skader, medmindre andet følger i henhold til Gældende databeskyttelseslovgivning. 

 

12.2 Q8’s ansvar for direkte skader i henhold til Databehandleraftalen skal være begrænset i henhold til aftalesummen for Samhandelsaftalen, dog minimum DKK 500.000. Som direkte skade skal anses den skadeserstatning og de administrative bøder (herunder rimelige advokatsalærer), Parten pålægges at betale i en endelig dom afsagt ved en højeste instans.

 

12.3 Ansvarsbegrænsningerne herover gælder ikke i tilfælde af grov uagtsomhed eller forsætlig handling eller undladelse. 

 

 

13. Aftaleperioden og aftalens ophør

13.1 Databehandleraftalen er gældende fra dens underskrift, og så længe Q8 behandler de Omfattede personoplysninger.

 

13.2 Ved ophør af Q8’s behandling af de Omfattede personoplysninger skal Q8 i henhold til den Dataansvarliges instrukser enten (i) overføre alle de Omfattede personoplysninger til den Dataansvarlige eller (ii) slette de Omfattede personoplysninger permanent. 

 

 

14. Andet

14.1 Tilføjelser til og ændringer af Databehandleraftalen skal for at være gyldige ske skriftligt og være underskrevet af begge Parter.

 

14.2 Ingen af Parterne har ret til helt eller delvist at overdrage forpligtelser eller rettigheder i henhold til Databehandleraftalen til tredjepart. 

 

 

15. Gældende lov og tvistløsning

15.1 Databehandleraftalen og enhver behandling af de Omfattede personoplysninger, der sker i henhold til Databehandleraftalen, er underlagt dansk lov med undtagelse af gældende lovvalgsregler. Tvister vedrørende fortolkningen eller anvendelsen af Databehandleraftalen skal afgøres efter dansk ret med Københavns Byret som værneting.Samhandelsaftalen

 

For mere information og muligheden for at downloade vores privatpolitik, klik her: https://www.q8.dk/personoplysninger/.

 

 
Senest opdateret 29.04.2021