Databehandleraftale

Denne databehandleraftale ("DPA") er en integreret del af Langstack Abonnementsaftalen ("Aftalen"), herunder eventuelle tilknyttede ordreformularer, og regulerer vores behandling af personoplysninger på dine vegne, dog ikke i forbindelse med brug i en gratis prøveperiode.

Ved at underskrive Aftalen accepterer du vilkårene i denne DPA. I tilfælde af uoverensstemmelser mellem DPA og Aftalen har DPA forrang.

I forbindelse med levering af tjenesterne til dig i henhold til Aftalen kan vi behandle personoplysninger på dine vegne, og Parterne er enige om at overholde følgende vilkår i forhold til sådanne personoplysninger.

1. Definitioner

1.1 I denne DPA har begreber med stort begyndelsesbogstav den betydning, der fremgår af Aftalen eller nedenfor:

• Aftalen: Langstack Abonnementsaftalen med tilhørende ordreformularer.
• Dataansvarlig: Den enhed, der bestemmer formål og midler til behandling af personoplysninger.
• Registreret: Den fysiske person, som personoplysningerne vedrører.
• DPA: Denne databehandleraftale.
• GDPR: Europa-Parlamentets forordning (EU) 2016/679 af 27. april 2016 om databeskyttelse.
• Personoplysninger: Enhver oplysning om en identificeret eller identificerbar fysisk person, jf. artikel 4, stk. 1 i GDPR. Hvis andre fortrolige oplysninger behandles i forbindelse med Aftalen (f.eks. efter reglerne i finansiel lovgivning), omfatter henvisningen til personoplysninger også disse oplysninger.
• Behandling: Enhver aktivitet i relation til personoplysninger som beskrevet i Bilag 1 til Aftalen.
• Underdatabehandler: Enhver databehandler engageret af os eller et tilknyttet selskab.

2. Omfang af denne DPA

2.1 Vi agerer som databehandler for dig, idet vi behandler personoplysninger som nærmere angivet i Bilag 1 til Aftalen.

2.2 De kategorier af data og registrerede samt formålene med behandlingen, som vi udfører, er beskrevet i Bilag 1.

3. Behandling af personoplysninger

3.1 Instrukser: Vi må kun behandle personoplysninger i overensstemmelse med dine dokumenterede instrukser og med henblik på at udføre de behandlingsopgaver, der er angivet i Bilag 1. Vi må ikke anvende eller videregive personoplysninger til andre formål, medmindre vi er forpligtet hertil efter EU- eller national ret. I så fald vil vi – medmindre loven forbyder det – informere dig skriftligt om det juridiske grundlag for behandlingen forud for den pågældende behandling.

3.2 Hvis du i Bilag 1 eller andetsteds har givet tilladelse til overførsel af personoplysninger til tredjelande eller internationale organisationer, sikrer vi, at en gyldig overførselsmekanisme foreligger, f.eks. Europa-Kommissionens standardbestemmelser.

3.3 Hvis vi vurderer, at en instruktion fra dig er i strid med GDPR eller anden gældende databeskyttelseslovgivning, vil vi straks informere dig skriftligt herom.

3.4 Hvis vi er underlagt tredjelandslovgivning, erklærer vi, at vi ikke er bekendt med nogen hindringer for at overholde DPA’en. Skulle en sådan hindring opstå, forpligter vi os til straks at underrette dig skriftligt.

4. Vores generelle forpligtelser

4.1 Vi sikrer, at personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er omfattet af en passende lovbestemt tavshedspligt.

4.2 Vi gennemfører passende tekniske og organisatoriske foranstaltninger for at forhindre, at personoplysninger:

• ved et uheld eller ulovligt bliver ødelagt, tabt eller ændret,
• bliver videregivet eller tilgængelige uden autorisation, eller
• på anden måde behandles i strid med gældende lovgivning, herunder GDPR.

4.3 Vi overholder særlige krav til datasikkerhed, som måtte gælde for dig, som angivet i Bilag 1, samt øvrige relevante sikkerhedskrav, herunder i vores etableringsland eller det land, hvor behandlingen foregår.

4.4 De sikkerhedsforanstaltninger, vi vælger, fastsættes ud fra:

• teknologisk udvikling,
• implementeringsomkostninger, og
• karakter, omfang, kontekst og formål med behandlingen samt risici for fysiske personers rettigheder og frihedsrettigheder.

4.5 Vi stiller på anmodning tilstrækkelig information til rådighed for dig, så du kan sikre, at vi overholder vores forpligtelser, herunder dokumentation for implementerede tekniske og organisatoriske sikkerhedsforanstaltninger.

4.6 Du kan for egen regning udpege en uafhængig ekspert, som får adgang til vores behandlingsfaciliteter og nødvendig information for at kunne revidere vores overholdelse af denne DPA. Eksperten skal underskrive en fortrolighedserklæring og må kun videreformidle information til dig. Enhver videregivet information er omfattet af aftalens fortrolighedsbestemmelser.

4.7 Vi stiller oplysninger til rådighed for myndigheder eller dine eksterne rådgivere, herunder revisorer, hvis det er nødvendigt i henhold til EU-ret eller national ret.

4.8 Myndigheder, der har ret til adgang til dine eller dine leverandørers faciliteter ifølge lovgivningen, eller disses repræsentanter, får adgang til vores faciliteter mod legitimation.

4.9 Vi giver dig uden unødig forsinkelse skriftlig meddelelse om:

• enhver myndighedsanmodning om adgang til personoplysninger, medmindre det er forbudt ved lov,
• sikkerhedsbrud eller anden væsentlig overtrædelse af DPA’en, og
• anmodninger fra registrerede eller tredjemand om adgang til personoplysninger.

4.10 Under hensyntagen til behandlingens karakter bistår vi dig hurtigst muligt med at håndtere registreredes anmodninger efter GDPR kapitel III (fx indsigt, berigtigelse, sletning).

4.11 Vi bistår dig med at opfylde dine øvrige forpligtelser efter EU- eller national lovgivning, når vores bistand er nødvendig, herunder ved sikkerhedsbrud og konsekvensanalyser (artiklerne 35 og 36 i GDPR).

4.12 Vi er berettiget til betaling for bistand som nævnt i pkt. 4.5, 4.6, 4.7, 4.8, 4.10 og 4.11, hvis denne overstiger, hvad der med rimelighed kan kræves som led i den almindelige tjenesteydelse. Betaling sker efter dokumenterede omkostninger, herunder tidsforbrug.

4.13 Vores servere er placeret hos Hetzner Online GmbH, Tyskland (Nürnberg og Falkenstein) og Hetzner Finland Oy, Finland (Helsinki). Vi giver dig skriftligt varsel mindst to måneder forud, hvis placeringen ændres. Varsel via e-mail er tilstrækkeligt og kræver ikke formel ændring af DPA’en.

5. Underdatabehandlere

5.1 Vi må ikke anvende en underdatabehandler til behandling af personoplysninger omfattet af denne DPA uden din forudgående skriftlige tilladelse. Du kan uden begrundelse modsætte dig brugen af en underdatabehandler. Vi vil informere dig skriftligt, hvis en underdatabehandler ikke længere benyttes.

5.2 Før vi engagerer en underdatabehandler, indgår vi en skriftlig aftale med den pågældende underdatabehandler, hvori der stilles mindst samme databeskyttelsesforpligtelser som angivet i denne DPA, herunder krav om passende tekniske og organisatoriske foranstaltninger, der sikrer overholdelse af GDPR.

5.3 Du har ret til at modtage en kopi af vores aftale med underdatabehandleren, dog kun de databeskyttelsesrelevante bestemmelser. Din accept af, at vi anvender en underdatabehandler, fritager os ikke fra vores ansvar for at overholde DPA’en.

6. Fortrolighed

6.1 Vi forpligter os til at behandle personoplysninger fortroligt.

6.2 Vi må ikke videregive personoplysninger til tredjemand eller tage kopier, medmindre det er nødvendigt for at opfylde vores forpligtelser over for dig i henhold til denne DPA. I så fald sikrer vi, at modtageren er bekendt med oplysningernes fortrolige karakter og forpligter sig til fortrolighed i overensstemmelse med denne DPA.

6.3 Alle bestemmelser i DPA’en gælder for vores medarbejdere, og vi sikrer, at de overholder DPA’en.

6.4 Adgang til personoplysninger begrænses til medarbejdere, for hvem adgangen er nødvendig for at opfylde vores forpligtelser over for dig.

6.5 Vores forpligtelser i henhold til dette afsnit 6 gælder uden tidsbegrænsning og uanset om samarbejdet mellem parterne ophører.

6.6 Du forpligter dig til at behandle fortrolige oplysninger modtaget fra os som fortrolige og må ikke uberettiget anvende eller videregive sådanne oplysninger.

7. Ændringer og overdragelse

7.1 Parterne kan til enhver tid aftale ændringer til denne DPA. Ændringer skal være skriftlige.

7.2 Vi må ikke overdrage eller overføre rettigheder eller forpligtelser i henhold til denne DPA uden din forudgående skriftlige godkendelse, medmindre overdragelsen sker som led i en reel virksomhedsoverdragelse, hvor en tredjepart overtager hele eller størstedelen af vores aktier.

8. Varighed og opsigelse af DPA’en

8.1 DPA’en træder i kraft samtidig med, at Aftalen underskrives, og forbliver i kraft, indtil den opsiges af en af Parterne.

8.2 Hver part kan opsige DPA’en med 3 måneders skriftligt varsel.

8.3 Uanset opsigelse gælder DPA’en, så længe vi behandler personoplysninger, hvor du er dataansvarlig.

8.4 Ved ophør af DPA’en, uanset årsag, yder vi nødvendig overgangsbistand til dig og hjælper loyalt og hurtigst muligt med at overføre personoplysninger til en ny leverandør eller tilbagelevere dem til dig. Omkostningerne hertil bæres af dig.

8.5 Efter anmodning fra dig og for din regning sletter eller tilbageleverer vi straks personoplysninger, medmindre EU-ret eller national ret kræver opbevaring.

8.6 Vi må under ingen omstændigheder betinge opfyldelse af dine instruktioner af betaling af udestående beløb, og vi har ikke nogen tilbageholdsret i personoplysningerne.

9. Prioritet

9.1 Hvis bestemmelserne i denne DPA er i konflikt med vilkår i andre skriftlige eller mundtlige aftaler mellem Parterne, har DPA’en forrang. Bestemmelserne i afsnit 4 gælder dog ikke, hvis der i en anden aftale er fastsat strengere forpligtelser for os. DPA’en finder heller ikke anvendelse, hvis og i det omfang EU-Kommissionens standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande er indgået, og disse stiller strengere krav til os eller vores underdatabehandlere.

9.2 DPA’en regulerer ikke vores vederlag for ydelser i henhold til Aftalen.