Databehandleraftale for Hands A/S.
Nedenstående udgør den generelle databehandleraftale med:
8000 Aarhus C
CVR-nummer: 41810068
Vi anbefaler, at du som kunde læser databehandleraftalen grundigt igennem inden du indgår et samarbejde med os. Har du spørgsmål, eller ønsker du at få et eller flere punkter uddybet, er du velkommen til at kontakte os via mail på hello@wearehands.dk eller pr. telefon på +45 3026 4387.
1.2 Med Persondataforordningen kommer et krav til virksomheder, som opbevarer persondata, om at have en databehandleraftale med sine databehandlere. Ansvaret for denne er pålagt Dataansvarlig, men fordi Databehandler kender sine interne instrukser om databehandling og sikkerhed bedst, har Databehandler udarbejdet Aftalen.
1.3 Databehandler bekræfter med Aftalen at være opmærksom på, hvilke krav Persondataforordningen stiller til dataansvarlige og databehandlere helt overordnet. Persondataforordningen skærper kravene til hvilke persondata Databehandler må behandle og kravene for at behandling af personoplysninger foregår korrekt og sikkert. Under Persondataforordningen skal Databehandler kunne påvise sit kendskab til rettigheder vedrørende gældende lovgivning for opbevaring af persondata.
1.4 I tilfælde af at Datatilsynet, eller andre relevante myndigheder eller organisationer, efterspørger Aftalen fra Dataansvarlig eller Databehandler, skal Aftalen kunne fremvises med dokumentation for Dataansvarligs accept.
2.2 For at kunne opfylde indgåede aftaler om levering af rådgivning og bistand, kan Databehandler få midlertidig adgang til de persondata, som Dataansvarlig opbevarer i sine egne systemer. Denne adgang er nødvendig for, at Databehandler kan yde support, udføre opsætning, rådgive om brug, samt assistere med fejlsøgning og problemløsning i forbindelse med Dataansvarliges systemer og platforme, som de kontraktlige forpligtelser omfatter.
2.3 Som en del af Aftalen forpligter Dataansvarlig sig til kontinuerligt at sikre, at alle persondata, der behandles i egne systemer og platforme, er indsamlet og behandlet i overensstemmelse med gældende lovgivning, herunder GDPR. Dataansvarlig skal sørge for, at kun lovligt indsamlede og relevante persondata stilles til rådighed for Databehandler i forbindelse med rådgivning, opsætning, fejlsøgning og andre aftalte ydelser.
Dette skal sikre, at Databehandler ikke utilsigtet kommer til at behandle ulovligt indsamlet data, hvilket kunne medføre ansvar eller konsekvenser for begge parter.
2.4 Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige. Instrukser fra den dataansvarlige skal altid være dokumenteret skriftligt.
2.5 Databehandleren behandler følgende typer personoplysninger på vegne af den dataansvarlige:
3.2 Databehandler bruger Googles services til mail og kalender. Ved at underskrive Aftalen accepterer Dataansvarlig at Databehandler bruger Googles mailplatform Gmail til emailkontakt, samt Googles kalenderplatform til planlægning.
3.4 Databehandler forbeholder sig retten til at tage arbejdscomputere med på udlandsophold. Databehandler har en række sikkerhedsinstrukser, for at sikre, at der i den forbindelse ikke sker sikkerhedsbrud.
3.5 Databehandler forbeholder sig retten til at tage en arbejdscomputer med til ansattes hjemmeadresse. Databehandler er ansvarlig for at implementere sikkerhedsinstrukser, der sikrer, at der i den forbindelse ikke sker sikkerhedsbrud.
4.2 Databehandler behandler udelukkende Dataansvarligs persondata og Dataansvarligs kunders persondata på instruks fra Dataansvarlig. Dette bekræftes af Databehandler ved accept af Aftalen.
4.3 Databehandler forbeholder sig retten til at afvise en konkret instruks, såfremt den vurderes at være i strid med gældende lovgivning om behandling af persondata.
4.4 Databehandler rådgiver Dataansvarlig efter bedste evne, og svarer på spørgsmål om Databehandlers behandling af persondata. Såfremt der er omkostninger med dette, vil de blive markeret inden dialogen påbegyndes.
5.2 De underdatabehandlere som Dataansvarlig giver Databehandler instruks om at integrere med og videresende persondata til, er Dataanvarlig selv ansvarlig for at indgå databehandleraftaler med. Dataansvarlig er ligeledes selv ansvarlig for at bevare overblikket over hvilke underdatabehandlere, som Dataansvarlig har instrueret Databehandler i at integrere med, som resulterer i deling af persondata og krav om yderligere databehandleraftaler.
5.3 Såfremt Databehandler instrueres om at videresende persondata til tredjepart af Dataansvarlig, så er Dataansvarlig ansvarlig for at have den fornødne behandlingshjemmel på plads for deling af persondata.
5.4 Det står Databehandler frit for at vælge nye underdatabehandlere, i de forhold hvor Databehandler selv er dataansvarlig.
6.2 Ved at acceptere Aftalen instruerer Dataansvarlig Databehandler om at tilrette sikkerheden og tilrette interne instrukser løbende, for at sikre at de persondata som opbevares af Databehandler er bedst muligt beskyttet.
7.2 Databehandler dokumenterer i interne instrukser hvordan Databehandlers praksis er. Databehandlers interne instrukser er ikke offentligt tilgængelige, som et led i at sikre sikkerheden, men udvalgte instrukser kan fremvises på forespørgsel fra Dataansvarlig.
8.2 Databehandler er forpligtet til at vurdere om Dataansvarlig skal gøres opmærksom på brud på sikkerheden, så snart det er muligt for Databehandler. Databehandler bruger Datatilsynets anbefalinger til at vurdere dette.
8.3 Databehandler er forpligtet til at gøre Dataansvarlig opmærksom på konsekvenserne som et sikkerhedsbrud har haft, og hvilke persondata der kan være mistet eller videregivet uhensigtmæssigt, så snart det er muligt for Databehandler.
8.4 Databehandler er forpligtet til at vurdere om brud på sikkerheden skal meldes til politiet, så snart det er muligt for Databehandler. Det sker såfremt der er foregået noget kriminelt i forbindelse med bruddet. Hvis det vurderes at et brud på sikkerheden skal meldes til politiet, er Databehandler ansvarlig for at gøre dette.
9.2 Databehandlers erstatningsansvar overfor Dataansvarlig kan aldrig overstige et beløb svarende til det løbende vederlag, som Dataansvarlig har betalt til Databehandler i henhold til samarbejdsaftalen i den 6 måneders periode, der går forud for den skadegørende handling.
9.3 Databehandler er ikke økonomisk ansvarlig for indirekte tab, herunder tab for følgeskade, tabt indtjening, driftstab, goodwill, tab af data eller videregivelse af data til tredjemand i forbindelse med sikkerhedsbrud.
10.2 Databehandler skal som led i opfyldelsen af sine forpligtelser og rettigheder i henhold til Aftalen, have interne instrukser for at forhindre at Databehandler bryder tavshedspligten.
12.2 Nærværende aftale anses som indgået og bindende, når accept er dokumenteret skriftligt eller elektronisk, og begge parter beholder en kopi af den gældende aftale.
12.3 I tilfælde af at samarbejdet mellem Dataansvarlig og Databehandler ophører, uanset årsag, ophører Aftalen også.
12.4 Aftalen kan ikke opsiges særskilt fra Databehandlers handelsbetingelser (findes på hands.dk/om-os/handelsbetingelser).
12.5 Hvis Aftalen ophører gør det sig gældende at Databehandler inden for 3 måneder efter Aftalens ophør, skal slette den persondata, som har været behandlet i forbindelse med samarbejdsaftalen herom, med mindre andet er aftalt.
Opdateret d. 27. november 2024.
Hands A/S
Nørreport 26 D, 3. sal8000 Aarhus C
CVR-nummer: 41810068
Vi anbefaler, at du som kunde læser databehandleraftalen grundigt igennem inden du indgår et samarbejde med os. Har du spørgsmål, eller ønsker du at få et eller flere punkter uddybet, er du velkommen til at kontakte os via mail på hello@wearehands.dk eller pr. telefon på +45 3026 4387.
1. Baggrund, formål og omfang
1.1 Nærværende databehandlerafaler (herefter “Aftalen"), gør sig gældende for alle projekter, som udføres af Hands A/S (herefter "Databehandler") på vegne af en kunde (herefter "Dataansvarlig").1.2 Med Persondataforordningen kommer et krav til virksomheder, som opbevarer persondata, om at have en databehandleraftale med sine databehandlere. Ansvaret for denne er pålagt Dataansvarlig, men fordi Databehandler kender sine interne instrukser om databehandling og sikkerhed bedst, har Databehandler udarbejdet Aftalen.
1.3 Databehandler bekræfter med Aftalen at være opmærksom på, hvilke krav Persondataforordningen stiller til dataansvarlige og databehandlere helt overordnet. Persondataforordningen skærper kravene til hvilke persondata Databehandler må behandle og kravene for at behandling af personoplysninger foregår korrekt og sikkert. Under Persondataforordningen skal Databehandler kunne påvise sit kendskab til rettigheder vedrørende gældende lovgivning for opbevaring af persondata.
1.4 I tilfælde af at Datatilsynet, eller andre relevante myndigheder eller organisationer, efterspørger Aftalen fra Dataansvarlig eller Databehandler, skal Aftalen kunne fremvises med dokumentation for Dataansvarligs accept.
2 Personoplysninger omfattet af aftalen
2.1 Dataansvarlig anvender egne systemer og platforme, herunder, men ikke begrænset til, webshop, økonomisystem, marketingplatforme, kassesystem og andre interne systemer, til styring af indhold, ordrebehandling, økonomisk administration, markedsføring og øvrige forretningsprocesser. Databehandler leverer rådgivning og bistand i opsætning, optimering og brug af disse systemer og platforme. Databehandler fungerer i denne sammenhæng som konsulent og vejleder og har ikke ansvar for den løbende drift eller opbevaring af persondata i Dataansvarliges systemer.2.2 For at kunne opfylde indgåede aftaler om levering af rådgivning og bistand, kan Databehandler få midlertidig adgang til de persondata, som Dataansvarlig opbevarer i sine egne systemer. Denne adgang er nødvendig for, at Databehandler kan yde support, udføre opsætning, rådgive om brug, samt assistere med fejlsøgning og problemløsning i forbindelse med Dataansvarliges systemer og platforme, som de kontraktlige forpligtelser omfatter.
2.3 Som en del af Aftalen forpligter Dataansvarlig sig til kontinuerligt at sikre, at alle persondata, der behandles i egne systemer og platforme, er indsamlet og behandlet i overensstemmelse med gældende lovgivning, herunder GDPR. Dataansvarlig skal sørge for, at kun lovligt indsamlede og relevante persondata stilles til rådighed for Databehandler i forbindelse med rådgivning, opsætning, fejlsøgning og andre aftalte ydelser.
Dette skal sikre, at Databehandler ikke utilsigtet kommer til at behandle ulovligt indsamlet data, hvilket kunne medføre ansvar eller konsekvenser for begge parter.
2.4 Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige. Instrukser fra den dataansvarlige skal altid være dokumenteret skriftligt.
2.5 Databehandleren behandler følgende typer personoplysninger på vegne af den dataansvarlige:
- — Fornavn
- — Efternavn
- — Telefonnummer
- — E-mailadresse
- — Vejnavn og vejnummer
- — Ordrekommentar
- — IP-adresse
- — Bynavn
- — Postnummer
- — Land
- — Kodeord
- — Købshistorik
- — Fødselsdag
- — Marketingsamtykke
3 Geografiske krav
3.1 Med få undtagelser (se 3.2, 3.3 og 3.4) behandler Databehandler ikke data i andre lande end Danmark, med mindre andet er aftalt.3.2 Databehandler bruger Googles services til mail og kalender. Ved at underskrive Aftalen accepterer Dataansvarlig at Databehandler bruger Googles mailplatform Gmail til emailkontakt, samt Googles kalenderplatform til planlægning.
3.4 Databehandler forbeholder sig retten til at tage arbejdscomputere med på udlandsophold. Databehandler har en række sikkerhedsinstrukser, for at sikre, at der i den forbindelse ikke sker sikkerhedsbrud.
3.5 Databehandler forbeholder sig retten til at tage en arbejdscomputer med til ansattes hjemmeadresse. Databehandler er ansvarlig for at implementere sikkerhedsinstrukser, der sikrer, at der i den forbindelse ikke sker sikkerhedsbrud.
4 Instruks
4.1 Ved at acceptere Aftalen giver Dataansvarlig en instruks til Databehandler om, at Databehandler må og skal behandle Dataansvarligs og Dataansvarligs kunders persondata på Dataansvarligs vegne, som led i deres aftale herom.4.2 Databehandler behandler udelukkende Dataansvarligs persondata og Dataansvarligs kunders persondata på instruks fra Dataansvarlig. Dette bekræftes af Databehandler ved accept af Aftalen.
4.3 Databehandler forbeholder sig retten til at afvise en konkret instruks, såfremt den vurderes at være i strid med gældende lovgivning om behandling af persondata.
4.4 Databehandler rådgiver Dataansvarlig efter bedste evne, og svarer på spørgsmål om Databehandlers behandling af persondata. Såfremt der er omkostninger med dette, vil de blive markeret inden dialogen påbegyndes.
5 Behandling og videregivelse af persondata
5.1 Databehandler videresender ikke persondata til tredjepart, uden at været blevet instrueret om det af Dataansvarlig.5.2 De underdatabehandlere som Dataansvarlig giver Databehandler instruks om at integrere med og videresende persondata til, er Dataanvarlig selv ansvarlig for at indgå databehandleraftaler med. Dataansvarlig er ligeledes selv ansvarlig for at bevare overblikket over hvilke underdatabehandlere, som Dataansvarlig har instrueret Databehandler i at integrere med, som resulterer i deling af persondata og krav om yderligere databehandleraftaler.
5.3 Såfremt Databehandler instrueres om at videresende persondata til tredjepart af Dataansvarlig, så er Dataansvarlig ansvarlig for at have den fornødne behandlingshjemmel på plads for deling af persondata.
5.4 Det står Databehandler frit for at vælge nye underdatabehandlere, i de forhold hvor Databehandler selv er dataansvarlig.
6 Sikkerhed
6.1 Det er Databehandlers ansvar at Databehandlers behandling af Dataansvarligs persondata og Dataansvarligs kunders persondata lever op til Persondataforordningen.6.2 Ved at acceptere Aftalen instruerer Dataansvarlig Databehandler om at tilrette sikkerheden og tilrette interne instrukser løbende, for at sikre at de persondata som opbevares af Databehandler er bedst muligt beskyttet.
7 Tilsynsret
7.1 Databehandler er bekendt med Dataansvarligs rettigheder vedørende tilsynsret ved fremmøde på Databehandlers adresse.7.2 Databehandler dokumenterer i interne instrukser hvordan Databehandlers praksis er. Databehandlers interne instrukser er ikke offentligt tilgængelige, som et led i at sikre sikkerheden, men udvalgte instrukser kan fremvises på forespørgsel fra Dataansvarlig.
8 Persondatasikkerhedsbrud
8.1 Databehandler er forpligtet til at håndtere brud på sikkerheden når det opstår, så snart Databehandler er gjort opmærksom på dem.8.2 Databehandler er forpligtet til at vurdere om Dataansvarlig skal gøres opmærksom på brud på sikkerheden, så snart det er muligt for Databehandler. Databehandler bruger Datatilsynets anbefalinger til at vurdere dette.
8.3 Databehandler er forpligtet til at gøre Dataansvarlig opmærksom på konsekvenserne som et sikkerhedsbrud har haft, og hvilke persondata der kan være mistet eller videregivet uhensigtmæssigt, så snart det er muligt for Databehandler.
8.4 Databehandler er forpligtet til at vurdere om brud på sikkerheden skal meldes til politiet, så snart det er muligt for Databehandler. Det sker såfremt der er foregået noget kriminelt i forbindelse med bruddet. Hvis det vurderes at et brud på sikkerheden skal meldes til politiet, er Databehandler ansvarlig for at gøre dette.
9 Ansvarsbegrænsning
9.1 Databehandler er ansvarlig overfor Dataansvarlig efter dansk rets almindelige regler, med de begrænsninger der følger af dette.9.2 Databehandlers erstatningsansvar overfor Dataansvarlig kan aldrig overstige et beløb svarende til det løbende vederlag, som Dataansvarlig har betalt til Databehandler i henhold til samarbejdsaftalen i den 6 måneders periode, der går forud for den skadegørende handling.
9.3 Databehandler er ikke økonomisk ansvarlig for indirekte tab, herunder tab for følgeskade, tabt indtjening, driftstab, goodwill, tab af data eller videregivelse af data til tredjemand i forbindelse med sikkerhedsbrud.
10 Tavshedspligt
10.1 Databehandler er pålagt tavshedspligt vedrørende de persondata, som opbevares af Databehandler.10.2 Databehandler skal som led i opfyldelsen af sine forpligtelser og rettigheder i henhold til Aftalen, have interne instrukser for at forhindre at Databehandler bryder tavshedspligten.
11 Forrang
11.1 Medmindre andet fremgår af Aftalen, har bestemmelser i Aftalen forrang i forhold til tilsvarende bestemmelser i andre aftaler mellem Dataansvarlig og Databehandler.12 Accept, varighed og ophør af Aftalen
12.1 Ovenstående tiltrædes hermed med virkning fra Dataansvarligs elektroniske accept eller anden dokumenterbar godkendelse, fx ved aftaleindgåelse via en digital platform, e-mailkorrespondance eller ved accept af tilhørende handelsbetingelser.12.2 Nærværende aftale anses som indgået og bindende, når accept er dokumenteret skriftligt eller elektronisk, og begge parter beholder en kopi af den gældende aftale.
12.3 I tilfælde af at samarbejdet mellem Dataansvarlig og Databehandler ophører, uanset årsag, ophører Aftalen også.
12.4 Aftalen kan ikke opsiges særskilt fra Databehandlers handelsbetingelser (findes på hands.dk/om-os/handelsbetingelser).
12.5 Hvis Aftalen ophører gør det sig gældende at Databehandler inden for 3 måneder efter Aftalens ophør, skal slette den persondata, som har været behandlet i forbindelse med samarbejdsaftalen herom, med mindre andet er aftalt.
13. Ændringer
13.1 Databehandler kan foretage ændringer i Aftalen med 30 dages varsel. Eventuelle ændringer skal skriftligt adviseres til Datansvarlig.Opdateret d. 27. november 2024.