Aftale om databehandling

Senest opdateret: 2024-01-17

1. Baggrund og formål

Ungapped AB (556786-1264), herefter Ungapped, og Ungappeds kunde, herefter  Kunden, har indgået en aftale om digitale markedsføringstjenester (“Aftalen”). Aftalen betyder, at Ungapped behandler personoplysninger på Kundens vegne. I henhold til reglerne i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger m.v. (GDPR) skal en sådan behandling mellem parterne reguleres ved aftale eller lignende. Denne databehandleraftale (“DPA-aftalen”) supplerer derfor aftalen med hensyn til behandling af personoplysninger. Det, der er angivet i denne DPA, har forrang for aftalen og dens bilag, medmindre andet udtrykkeligt er angivet nedenfor. DPA-aftalen erstatter eventuelle tidligere Databehandleraftaler eller andre aftaler om Behandling af Personoplysninger mellem parterne.

2. Definitioner mv.

DPA-aftalen skal have de samme definitioner, som kan findes i den til enhver tid gældende version af GDPR. Det betyder f.eks., at Kunden er Dataansvarlig, og Ungapped er Databehandler i forhold til Kunden.

3. Personoplysninger, der behandles

Ungapped behandler personoplysninger fra tre forskellige kilder:

1. • Data leveret af Kunden via vores applikationsgrænseflader, såsom import fra eksterne datakilder, upload af filer, manuel indtastning, kald til vores API’er osv. Disse data omfatter mindst e-mail eller mobilnummer. Derudover kan Ungapped bruges til at opbevare eventuelle kontaktoplysninger, som Kunden vælger at uploade til systemet.
   • Oplysninger leveret af den registrerede via vores registreringsformular, formularer til redigering af egne data eller undersøgelser designet af kunden. Personoplysninger, der kan gives, er navn, e-mail, mobiltelefon, abonnementer og andre felter, som kunden anmoder om.
   • Data, der automatisk opbevares af Ungapped under den registreredes interaktion med e-mails, sms’er, formularer og websider, såsom tidspunktet for hændelsen, hændelsestype (åbne, klik, afmelding osv.), IP-adresse, web-/e-mail-læser.

Ungapped opbevarer ovenstående data, indtil Kunden eller den fysiske person sletter dataene. Det er op til Kunden at være ansvarlig for at sikre, at data ikke opbevares længere end tilladt i henhold til GDPR.

4. Databehandlerens behandling af personoplysninger

Databehandleren må kun behandle Personoplysninger i overensstemmelse med denne DPA-aftale, Aftalen med tilhørende bilag, gældende lovgivning, Tilsynsmyndighedens regler og den dataansvarliges til enhver tid gældende og dokumenterede instruks. Databehandleren skal i forbindelse med hver Behandling af Personoplysninger sikre, at der under hensyntagen til Personoplysningernes karakter træffes passende tekniske og organisatoriske foranstaltninger på en sådan måde, at kravene i Gældende Lovgivning/Regulering overholdes, og at den Registreredes rettigheder beskyttes. Databehandleren må ikke Behandle Personoplysninger til egne eller andre formål end dem, som Databehandleren har været engageret til af den Dataansvarlige.Databehandleren skal, under hensyntagen til den seneste udvikling, implementeringsomkostninger og Behandlingens art, omfang, kontekst og formål samt de risici, der er forbundet med Behandlingen, træffe passende tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau, som fastsat i Gældende lov/forordning. Den dataansvarlige har ret til, om nødvendigt og med rimeligt varsel, at supplere dette afsnit med særlige instruktioner. Personoplysningerne skal beskyttes mod tilintetgørelse, ændring, uautoriseret formidling og uautoriseret adgang. Databehandleren skal også være beskyttet mod enhver anden form for ulovlig Behandling. Databehandleren skal træffe foranstaltninger for at sikre, at alle personer, der arbejder under Databehandlerens ledelse, overholder det, der er angivet i denne DPA-aftale og til enhver tid gældende instrukser fra den Dataansvarlige, og at de holdes orienteret om indholdet af den Gældende Lovgivning/Forordning. Databehandleren skal begrænse adgangen til Personoplysningerne til sådanne personer, der arbejder under Databehandlerens ledelse, og som har brug for Personoplysningerne til at udføre deres opgaver i forbindelse med udførelsen af aftaler indgået mellem Databehandleren og den Dataansvarlige. Databehandleren skal sikre, at de personer, der har adgang til Personoplysningerne, er omfattet af fortrolighed som beskrevet i afsnit 9, og at de er informeret om, hvordan de må behandle Personoplysningerne.Databehandleren skal have et adgangskontrolsystem, der forhindrer uautoriseret Behandling af Personoplysninger eller uautoriseret adgang til Personoplysninger.Databehandleren skal levere og implementere tekniske og praktiske løsninger til at undersøge mistanke om, at nogen i tilfælde af uautoriseret Behandling, uautoriseret adgang, tilintetgørelse eller ændring af Personoplysninger, samt forsøg herpå, eller i tilfælde af mistanke om andre forhold i forbindelse med Behandlingen, der kan være af betydning for den Dataansvarlige, skal Databehandleren straks underrette den Dataansvarlige skriftligt om hændelsen og træffe foranstaltninger for at forhindre, at lignende hændelser opstår igen. I tilfælde af brud på persondatasikkerheden skal databehandleren give følgende oplysninger til den dataansvarlige:

1. • En beskrivelse af begivenheden
   • kategorierne og antallet af berørte personoplysninger;
   • kategorierne og antallet af berørte personer
   • beskrivelse af de sandsynlige virkninger af hændelsen
   • en beskrivelse af de foranstaltninger, der er truffet for at håndtere hændelsen, og
   • en beskrivelse af de foranstaltninger, der er truffet for at afbøde eventuelle negative virkninger af hændelsen

Oplysningerne skal gives uden unødig forsinkelse. Databehandleren skal også på anden måde og hensigtsmæssigt bistå den dataansvarlige, således at den dataansvarlige er i stand til at opfylde de krav i henhold til gældende lovgivning/forordning, der pålægges en dataansvarlig i tilfælde af brud på persondatasikkerheden. Databehandleren skal i så fald følge instruksen. Den dataansvarlige har ret til med rimeligt varsel at kontrollere, at de tekniske og organisatoriske sikkerhedsforanstaltninger rent faktisk træffes under opfyldelsen af DPA-aftalen. Hvis databehandleren ikke har instrukser fra den dataansvarlige, som databehandleren anser for nødvendige for at udføre behandlingen af personoplysninger, eller vurderer, at den dataansvarliges instruks helt eller delvist er i strid med de love, regler og henstillinger, som databehandleren skal overholde i henhold til DPA-aftalen, skal databehandleren straks underrette den dataansvarlige om sin holdning og afvente de instrukser, som databehandleren skal meddele Den dataansvarlige vurderer det krævede. Databehandleren skal efter anmodning bistå den dataansvarlige med konsekvensanalyser i overensstemmelse med gældende lovgivning/regulering og forud for eventuelle konsultationer med tilsynsmyndigheden. Databehandleren skal skriftligt dokumentere de foranstaltninger, der er truffet for at opfylde sine forpligtelser i henhold til dette afsnit, og skal efter anmodning straks give den dataansvarlige kopier af denne dokumentation. Databehandleren må ikke overføre Personoplysninger til Tredjelande eller stille Personoplysninger til rådighed for Tredjelande, medmindre det er tilladt som angivet i afsnit 7. Databehandleren må ikke overføre Personoplysninger til Tredjeparter eller stille Personoplysninger til rådighed for Tredjeparter, medmindre det er tilladt som angivet i afsnit 5 og 6 nedenfor. Databehandleren må ikke overføre nogen af sine rettigheder eller forpligtelser i henhold til denne DPA til tredjeparter, medmindre det er tilladt i henhold til afsnit 5. Databehandleren skal føre en skriftlig fortegnelse over al behandling af personoplysninger på den måde, der er angivet i GDPR.
Databehandleren skal rette, blokere, slette, ændre eller slette Personoplysninger i overensstemmelse med den Dataansvarliges instruks. Hvis den dataansvarlige f.eks. har meddelt, at personoplysninger skal slettes, skal en sådan sletning ske senest 30 dage derefter, medmindre den dataansvarlige meddeler andet. Databehandleren skal straks og efter anmodning fra den dataansvarlige bistå den dataansvarlige med at opfylde den dataansvarliges forpligtelser i henhold til gældende lovgivning/regulering i forhold til registrerede, såsom at give oplysninger om, hvilke personoplysninger databehandleren behandler i forhold til registrerede eller elektronisk overføre den registreredes personoplysninger til den dataansvarlige eller til en anden dataansvarlig, der Controlleren dirigerer. Hvis databehandleren vurderer, at den dataansvarliges instruks er i strid med gældende lovgivning/forordning, skal databehandleren straks underrette den dataansvarlige herom. Databehandleren har dog ikke ret til at annullere opgaven af denne grund. Den dataansvarlige har ret til efter anmodning at få indsigt i alle relevante oplysninger og dokumentation vedrørende de foranstaltninger, som databehandleren har truffet for at opfylde de krav, der stilles til databehandleren i henhold til gældende lovgivning/forordning.

5. Underdatabehandlere

Databehandleren kan til gengæld engagere en Databehandler (“Underdatabehandler”), hvis følgende betingelser er opfyldt:

1. • Databehandleren meddeler den Dataansvarlige, at Databehandleren har til hensigt at engagere en Underdatabehandler, og at den Dataansvarlige har haft mulighed for at gøre indsigelse mod brugen af en Underdatabehandler, og at
   • Databehandleren har indgået en skriftlig aftale med en godkendt Underdatabehandler om Behandling af Personoplysninger, hvor Underdatabehandleren er underlagt de samme forpligtelser, som påhviler Databehandleren i henhold til denne DPA-aftale.
   • Underdatabehandleren har den nødvendige kompetence som angivet i GDPR.

Databehandleren skal sikre, at den dataansvarlige til enhver tid er bekendt med, hvilke underdatabehandlere, der behandler personoplysninger. Databehandleren må ikke engagere underdatabehandlere, hvis dette betyder, at personoplysninger vil blive overført til et tredjeland, medmindre bestemmelserne i afsnit 7 er opfyldt. Underdatabehandlere, der er anvendt, og som Ungapped har indgået en DPA-aftale med:

1. • Cleura AB (SE 556630780601), datacenter Sverige
   • Infobip Limited (GB 003212059), datacenter Tyskland

6. Begrænsninger i retten til at videregive oplysninger

Hvis den registrerede, tilsynsmyndighed, anden tilsynsmyndighed eller anden tredjepart anmoder databehandleren om oplysninger om behandlingen af personoplysninger, skal databehandleren henvise til den dataansvarlige. Databehandleren må ikke videregive personoplysninger eller andre oplysninger om behandlingen af personoplysninger uden forudgående skriftligt samtykke fra den dataansvarlige. Databehandleren skal bistå den dataansvarlige i tilfælde af, at en registreret anmoder om adgang til oplysninger, der er registreret om ham eller hende i form af personoplysninger eller anmoder om berigtigelse af sådanne oplysninger. Databehandleren skal straks skriftligt underrette den Dataansvarlige om enhver henvendelse fra Tilsynsmyndigheden eller anden tilsynsmyndighed, der vedrører eller kan være af betydning for Behandlingen af Personoplysninger. Databehandleren er ikke berettiget til at repræsentere den dataansvarlige eller handle på vegne af den dataansvarlige over for tilsynsmyndigheden eller anden tilsynsmyndighed, der vedrører eller kan være af betydning for behandlingen af personoplysninger. I tilfælde af at databehandleren er forpligtet ved lov eller påbud fra offentlig myndighed til at videregive personoplysninger, skal den dataansvarlige hurtigst muligt underrettes om, hvilke oplysninger der kan videregives.

7. Begrænsninger i retten til at overføre personoplysninger til tredjelande

Databehandleren er ikke berettiget til at overføre Personoplysninger til Tredjelande, medmindre den Dataansvarlige skriftligt har godkendt en sådan overførsel på forhånd, eller en af følgende betingelser er opfyldt:

1. • Europa-Kommissionen har fastslået, at der er et tilstrækkeligt beskyttelsesniveau i det tredjeland eller hos den pågældende internationale organisation, der modtager personoplysningerne til behandling i tredjelandet, eller
   • Databehandleren/underdatabehandleren, der modtager personoplysningerne, indfører tilstrækkelig beskyttelse af dataene (passende sikkerhedsforanstaltninger). Eksempler på sådanne passende garantier er (a) standardbestemmelser om databeskyttelse vedtaget af Europa-Kommissionen, såkaldte standardkontraktbestemmelser, (b) et juridisk bindende instrument, der kan håndhæves mellem offentlige myndigheder og organer, såsom “Memoranda of Understanding”, (c) bindende virksomhedsregler, der er godkendt af tilsynsmyndigheden, og (d) godkendt adfærdskodeks/certificering.

I tilfælde af at Personoplysninger overføres til et Tredjeland, skal Databehandleren til enhver tid kunne fremlægge dokumentation for, at bestemmelserne i dette afsnit 7 er opfyldt.

8. Opfølgning

Den Dataansvarlige har ret til at følge op på, at Databehandleren lever op til den Dataansvarliges krav til Behandlingen. Databehandleren skal i en sådan opfølgning bistå den Dataansvarlige eller den person, der udfører auditten, med dokumentation, adgang til lokaler, IT-systemer og andre aktiver, der er nødvendige for at kunne følge op på Databehandlerens overholdelse af denne DPA-aftale. Databehandleren skal endvidere sikre den Dataansvarlige tilsvarende rettigheder i forhold til de involverede Underdatabehandlere. Databehandleren har ret til at tilbyde alternative metoder til opfølgning, såsom revision af en uafhængig Tredjepart. I så fald har den dataansvarlige ret, men er ikke forpligtet til, at anvende denne alternative tilgang til opfølgning. Databehandleren skal også give tilsynsmyndigheden eller anden myndighed, der vedrører eller kan være af betydning for behandlingen af personoplysninger, mulighed for at foretage tilsyn på stedet.

9. Fortrolighed

Databehandleren og de personer, der arbejder under dennes ledelse, skal iagttage tavshedspligt ved behandling af personoplysninger. Det betyder, at personoplysninger ikke må videregives til tredjepart uden tilladelse. Databehandleren forpligter sig til at sikre, at den eller de personer, der arbejder under databehandlerens ledelse, og som skal behandle personoplysninger, overholder og overholder databehandlerens tavshedspligt i henhold til dette afsnit 9.Personoplysninger, oplysninger, instrukser, systemløsninger, beskrivelser eller andre dokumenter, som databehandleren indhenter gennem udveksling af oplysninger i henhold til denne DPA eller anden aftale mellem parterne, ikke må anvendes eller videregives til databehandleren. andet formål end angivet i denne DPA eller enhver anden aftale mellem parterne, enten direkte eller indirekte, medmindre den dataansvarlige på forhånd skriftligt har givet samtykke hertil. Tavshedspligten gælder ikke for oplysninger, som en part kan påvise var offentligt kendt, eller som er kommet til partens kendskab fra tredjemand uden misligholdelse af denne DPA-aftale.Databehandleren kan videregive Personoplysninger, uden at dette indebærer en handling i strid med denne DPA-aftale, hvis Databehandleren har pligt til at videregive Personoplysninger i henhold til lov eller myndighedspåbud. I et sådant tilfælde er det databehandlerens ansvar straks at underrette den dataansvarlige skriftligt herom og anmode om, at de ønskede personoplysninger er omfattet af fortrolighed på tidspunktet for videregivelsen. Tavshedspligten gælder også efter denne DPA-aftales ophør.

10. Skadesløsholdelse

Databehandleren er ud over det vederlag, der er fastsat i Aftalen, ikke berettiget til yderligere kompensation for Behandling af Personoplysninger i henhold til denne DPA-aftale.

11. Erstatning og ansvar over for tredjemand

Databehandleren forpligter sig til at holde den Dataansvarlige skadesløs i tilfælde af, at den Dataansvarlige er forpligtet til at betale erstatning til de Registrerede i henhold til gældende lovgivning/forordning, hvis den Behandling af Personoplysninger, som erstatningen er baseret på, er blevet udført af Databehandleren i strid med gældende lovgivning og med denne DPA-aftale.Databehandleren forpligter sig også til at holde den Dataansvarlige skadesløs i tilfælde af, at den Dataansvarlige lider direkte skade som følge af Databehandlerens behandling af Personoplysninger, og denne behandling er sket i strid med denne DPA-aftale/skriftlige instrukser fra den Dataansvarlige. Det betyder, at administrative bøder, der pålægges den Dataansvarlige som følge af, at Databehandleren behandler Personoplysninger i strid med denne DPA-aftale og gældende lovgivning, anses for at udgøre direkte skade for den Dataansvarlige.Databehandleren er ansvarlig for egen regning og fuldt ud over for den Dataansvarlige for hver Underdatabehandlers Behandling af Personoplysninger som følge af denne DPA-aftale.

12. Aftalens løbetid, forholdet til andre aftaler og ændringer

Denne DPA-aftale gælder mellem parterne, så længe databehandleren behandler personoplysninger, som den dataansvarlige er dataansvarlig for, og så længe aftalen er i kraft. Ved DPA-aftalens ophør skal databehandleren sikre, at alle personoplysninger udleveres til den dataansvarlige i et sådant sædvanligt format, som den dataansvarlige definerer. Databehandleren forpligter sig til at slette alle Personoplysninger, der behandles i henhold til denne DPA, inden for 180 dage fra DPA-aftalens ophør. Sletning finder dog ikke sted, før databehandleren skriftligt har informeret den dataansvarlige om, at sletning vil finde sted, og har afgivet personoplysninger i overensstemmelse med den dataansvarliges instruks. Når sletning har fundet sted, skal Databehandleren skriftligt bekræfte over for den Dataansvarlige, at dette er sket. Hvis aftalen opsiges, og en ny sådan aftale indgås, uden at der indgås en ny databehandleraftale, gælder denne DPA-aftale også for den nye aftale. Hvis der ikke indgås en ny aftale, ophører denne DPA-aftale samtidig med Aftalen, med undtagelse af bestemmelserne om ansvar og eventuelle resterende rettigheder og forpligtelser efter DPA-aftalens ophør. Ændringer og tilføjelser til denne DPA skal for at være gyldige ske skriftligt og underskrives af begge parter. Sådanne ændringer og tilføjelser til DPA træder i kraft 30 dage efter begge parters underskrift, medmindre andet er aftalt. Denne paragraf 12 forhindrer ikke den dataansvarlige i at ændre eller udstede yderligere instrukser som angivet i denne DPA.

13. Lovvalg og tvistbilæggelse

For denne DPA-aftale gælder svensk lovgivning. Enhver tvist, der opstår som følge af denne DPA, skal afgøres endeligt i overensstemmelse med det, der er angivet i aftalen.