English version, please click here

Databehandleraftale(GDPR), også kaldet Persondataforordningen, gældende fra d. 24/5 2018

Aftalen foreligger mellem
Kunden(dig) & det firma du repræsenterer, og XpressU Aps. Service aftalen omhandler brugen af software ved navn, XpressU.
Bemærk forskellen mellem firmanavnet XpressU Aps og software XpressU.
Kunden og XpressU Aps kan nævnes som “parterne” og hver for sig som “part”

Kunden og XpressU Aps har indgået følgende databehandleraftale om XpressU Aps behandling af personoplysninger på vegne af Kunden.

1. Baggrund, formål og omfang

  1. Denne aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse, når XpressU Aps foretager behandling af personoplysninger på vegne af Kunden.
  2. Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.

2. Instruks

  1. Den primære databehandling, som XpressU Aps udfører, er opbevaring af brugere af XpressU hos Kunden. Kunden og brugere kan yderligere selv redigere dele af disse data.
  2. XpressU Aps må kun behandle personoplysninger efter dokumenteret instruks fra Kunden, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som XpressU Aps er underlagt; i så fald underretter XpressU Aps Kunden om dette retslige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
  3. XpressU Aps underretter omgående Kunden, hvis en instruks efter XpressU Aps mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
  4. XpressU Aps skal så vidt muligt bistå Kunden med opfyldelse af Kundens forpligtelser til at besvare anmodninger om udøvelse af de registreredes rettigheder, herunder om indsigt, berigtigelse, begrænsning eller sletning, hvis de relevante personoplysninger behandles af XpressU Aps . Modtager XpressU Aps en sådan henvendelse fra den registrerede person, orienterer XpressU Aps Kunden herom.
  5. Kunden hæfter for alle XpressU Aps omkostninger ved en sådan bistand, herunder til underleverandør. XpressU Aps bistand afregnes til XpressU Aps  til enhver tid gældende timetakst for et sådant arbejde.

3. XpressU Aps, brug af underleverandører(underdatabehandlere)

  1. Kunden giver XpressU Aps samtykke til anvendelse af underleverandører, forudsat at de i aftalen stillede betingelser for dette er opfyldt.
    XpressU Aps underleverandører kan ses sidst i dokumentet under afsnittet Underleverandører
    Underleverandør er under XpressU Aps instruks. XpressU Aps har indgået databehandleraftale med underleverandør, hvori det er sikret, at underleverandør opfylder krav tilsvarende dem, som stilles til XpressU Aps af Kunden i medfør af aftalen.
  2. Omkostninger forbundet med etablering af aftaleforholdet til en underleverandør, herunder omkostninger til udarbejdelse af databehandleraftale og eventuel etablering af grundlag for overførsel til tredjelande, pålægger XpressU Aps og er således Kunden uvedkommende.
  3. Kunden accepterer ved indgåelsen af nærværende aftale, at XpressU Aps er berettiget til at skifte underleverandører, forudsat at a) en eventuel ny underdatabehandler overholder tilsvarende betingelser, som stilles i pkt. 4 til den nuværende underdatabehandler, og b) Kunden senest ved en eventuel anden underdatabehandlers påbegyndelse af behandlingen af personoplysninger, som Kunden er dataansvarlig for, informeres af XpressU Aps.
  4. Ændring af underleverandører skal altid oplyses enten via nyheder på hjemmesiden og/eller e-mail til kontaktpersonen, i så god tid som muligt.

4. Kundens forpligtelser og rettigheder

  1. Kunden har overfor omverdenen (herunder den registrerede) som udgangspunkt ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af databeskyttelsesforordningen og databeskyttelsesloven.
  2. Kunden indestår for at have fornøden hjemmel til behandling af personoplysningerne omfattet af nærværende databehandleraftale og er ansvarlig for at det overholdes ved brugen af XpressU.
  3. Kunden er ansvarlig for, at der foreligger hjemmel til den behandling, som XpressU Aps instrueres i at foretage.

5. Behandlingssikkerhed

  1. XpressU Aps iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32.
  2. XpressU Aps skal træffe passende sikkerhedsforanstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at personoplysninger kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lovgivningen, jf. pkt. 1.2 ovenfor.
  3. XpressU Aps skal efter nærmere aftale med Kunden så vidt muligt bistå Kunden med at sikre overholdelse af forpligtelserne i forordningens artikel 32 (gennemførelse af passende tekniske og organisatoriske foranstaltninger), 35 (foretagelse af konsekvensanalyse vedrørende databeskyttelse) og 36 (forudgående høring). I den forbindelse er XpressU Aps berettiget til at fakturere Kunden med sin sædvanlige timetakst for al XpressU Aps arbejdstid, som en sådan aftale måtte medføre for XpressU Aps , ligesom Kunden hæfter for eventuel betaling til underleverandør.
  4. Såfremt det i pkt. 5.3 anførte fører til skærpede sikkerhedsforanstaltninger i forhold til det allerede aftalte mellem parterne i medfør af denne aftale, implementerer XpressU Aps, så vidt det er muligt, sådanne foranstaltninger, forudsat at XpressU Aps modtager betaling herfor.

 6. Tilsynsret

  1. XpressU Aps stiller oplysninger, der er nødvendige for at påvise XpressU Aps overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til rådighed for Kunden og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af Kunden eller en anden revisor, som er bemyndiget af Kunden.
  2. Kundens tilsyn med eventuelle underleverandører sker som udgangspunkt gennem XpressU Aps .
  3. Såfremt Kunden ønsker at foretage tilsyn, skal Kunden altid give XpressU Aps et varsel på mindst 30 dage i en sådan forbindelse.
  4. Såfremt Kunden ønsker at få udarbejdet yderligere sikkerhedsrevisionsrapport, eller der i øvrigt ønskes foretaget tilsyn af XpressU Aps eller underleverandørs persondatabehandling, herunder såfremt Kunden ønsker sikkerhedsrevisionsrapport udarbejdet på et nærmere bestemt tidspunkt, aftales dette med XpressU Aps. XpressU Aps eller underleverandør kan til enhver tid kræve, at en sådan sikkerhedsrevisionsrapport udarbejdes i overensstemmelse med en anerkendt revisionsstandard (fx ISAE 3402 med referenceramme til ISO 27002:2014 eller lignende) af en alment anerkendt og uafhængig tredjepart, som beskæftiger sig med sådanne forhold.
  5. Kunden afholder alle omkostninger i forbindelse med tilsyn af sikkerhedsforhold hos XpressU Aps og i forhold til underleverandør, herunder er XpressU Aps berettiget til at fakturere Kunden med sin sædvanlige timetakst for al XpressU Aps arbejdstid samt yderligere afholdte omkostninger, som et sådant tilsyn måtte medføre for XpressU Aps, ligesom Kunden hæfter for eventuel betaling til underleverandør.

7. Persondatasikkerhedsbrud

  1. Såfremt XpressU Aps måtte blive bekendt med et persondatasikkerhedsbrud, hvorved forstås et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring samt uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet, er XpressU Aps forpligtet til uden unødig forsinkelse at søge at lokalisere et sådant brud og begrænse opstået skade i videst muligt omfang og – i det omfang det er muligt – reetablere eventuelt mistede data.
  2. XpressU Aps er endvidere forpligtet til uden unødig forsinkelse at underrette Kunden efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden. XpressU Aps skal herefter uden unødig forsinkelse, i det omfang det er muligt, give skriftlig meddelelse til Kunden, som så vidt muligt skal indeholde:
  • En beskrivelse af karakteren af bruddet, herunder kategorierne og det omtrentlige antal berørte registrerede og registreringer af personoplysninger.
  • Navn og kontaktoplysninger på kontaktpersonen hos XpressU Aps .
  • En beskrivelse af de sandsynlige konsekvenser af bruddet.
  • En beskrivelse af de foranstaltninger, som XpressU Aps eller underleverandør har truffet eller foreslår truffet for at håndtere bruddet, herunder foranstaltninger for at begrænse dets mulige skadevirkninger.
  1. For så vidt det ikke er muligt at give de i pkt. 7.2 anførte oplysninger samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse.
  2. XpressU Aps er forpligtiget til at underrette den kontrollerende myndighed på persondataområdet indenfor de fastsatte tidsfrister vedrørende sikkerhedsbruddet.
  3. Tilsvarende er underleverandører pålagt uden unødig forsinkelse at underrette XpressU Aps i overensstemmelse med pkt. 7.2 og 7.3.

8. Overførsel af oplysninger til tredjelande eller internationale organisationer

  1. XpressU Aps må kun behandle personoplysninger efter dokumenteret instruks fra Kunden, herunder for så vidt angår overførsel (overladelse, videregivelse samt intern anvendelse) af personoplysninger til tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som XpressU Aps er underlagt; i så fald underretter XpressU Aps Kunden om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.

9. Tavshedspligt og fortrolighed

  1. XpressU Aps skal holde personoplysningerne fortrolige og er således alene berettiget til at anvende personoplysningerne som led i opfyldelsen af sine forpligtelser og rettigheder i henhold til nærværende aftale.
  2. XpressU Aps skal sikre, at de medarbejdere og eventuelle andre, herunder underleverandører, der er autoriseret til at behandle de i aftalen omfattede personoplysninger, er pålagt tavshedspligt.
  3. XpressU Aps må ikke uden skriftligt samtykke fra Kunden videregive oplysninger til tredjemand, medmindre sådan videregivelse følger af lovgivningen eller af en bindende anmodning fra en retsinstans eller en databeskyttelsesmyndighed, eller det fremgår af denne aftale.

10. Varighed og ophør af databehandleraftalen

  1. Aftalen træder i kraft ved Kundens accept, der foretages ved første login i XpressU.
  2. XpressU Aps er forpligtet af denne aftale, så længe XpressU Aps behandler personoplysninger på vegne af Kunden.
  3. Såfremt XpressU Aps ophører med at levere service(XpressU) til Kunden, skal Kunden snarest muligt og senest 14 dage efter ophøret oplyse XpressU Aps skriftligt, hvorledes XpressU Aps skal forholde sig til de behandlede personoplysninger. Senest 3 måneder efter ophøret af databehandleraftalen er XpressU Aps berettiget til at slette alle personoplysninger, som er blevet behandlet på vegne af Kunden.
  4. Uanset databehandleraftalens ophør skal aftalens pkt. 9 fortsat have virkning efter databehandleraftalens ophør.

Underleverandører
Herunder er det beskrevet hvilke underleverandører der kan benyttes når jeres data behandles i XpressU.

UnderdatabehandlerLokation/landFormål
AsanaUSA*Kundehåndtering og nyhedsbreve
IntercomUSA*Support og hjælpe portal
E-conomic DanmarkFakturering
Microsoft AzureDanmarkServer og database hosting

* Privacy Shield er det lovlige grundlag for behandling af data udenfor EU