English version, please click here

Databehandleraftale(GDPR), også kaldet Persondataforordningen, gældende fra d. 24/5 2018

Aftalen foreligger mellem
Kunden(dig) & det firma du repræsenterer, og XpressU Ivs. Service aftalen omhandler brugen af software ved navn, XpressU.
Bemærk forskellen mellem firmanavnet XpressU Ivs og software XpressU.
Kunden og XpressU Ivs kan nævnes som “parterne” og hver for sig som “part”

Kunden og XpressU Ivs har indgået følgende databehandleraftale om XpressU Ivs behandling af personoplysninger på vegne af Kunden.

1. Baggrund, formål og omfang

  1. Denne aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse, når XpressU Ivs foretager behandling af personoplysninger på vegne af Kunden.
  2. Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.

2. Instruks

  1. Den primære databehandling, som XpressU Ivs udfører, er opbevaring af brugere af XpressU hos Kunden. Kunden og brugere kan yderligere selv redigere dele af disse data.
  2. XpressU Ivs må kun behandle personoplysninger efter dokumenteret instruks fra Kunden, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som XpressU Ivs er underlagt; i så fald underretter XpressU Ivs Kunden om dette retslige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
  3. XpressU Ivs underretter omgående Kunden, hvis en instruks efter XpressU Ivs mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
  4. XpressU Ivs skal så vidt muligt bistå Kunden med opfyldelse af Kundens forpligtelser til at besvare anmodninger om udøvelse af de registreredes rettigheder, herunder om indsigt, berigtigelse, begrænsning eller sletning, hvis de relevante personoplysninger behandles af XpressU Ivs. Modtager XpressU Ivs en sådan henvendelse fra den registrerede person, orienterer XpressU Ivs Kunden herom.
  5. Kunden hæfter for alle XpressU Ivs omkostninger ved en sådan bistand, herunder til underleverandør. XpressU Ivs bistand afregnes til XpressU Ivs til enhver tid gældende timetakst for et sådant arbejde.

3. XpressU Ivs, brug af underleverandører(underdatabehandlere)

  1. Kunden giver XpressU Ivs samtykke til anvendelse af underleverandører, forudsat at de i aftalen stillede betingelser for dette er opfyldt.
    XpressU Ivs underleverandører kan ses sidst i dokumentet under afsnittet Underleverandører
    Underleverandør er under XpressU Ivs instruks. XpressU Ivs har indgået databehandleraftale med underleverandør, hvori det er sikret, at underleverandør opfylder krav tilsvarende dem, som stilles til XpressU Ivs af Kunden i medfør af aftalen.
  2. Omkostninger forbundet med etablering af aftaleforholdet til en underleverandør, herunder omkostninger til udarbejdelse af databehandleraftale og eventuel etablering af grundlag for overførsel til tredjelande, pålægger XpressU Ivs og er således Kunden uvedkommende.
  3. Kunden accepterer ved indgåelsen af nærværende aftale, at XpressU Ivs er berettiget til at skifte underleverandører, forudsat at a) en eventuel ny underdatabehandler overholder tilsvarende betingelser, som stilles i pkt. 4 til den nuværende underdatabehandler, og b) Kunden senest ved en eventuel anden underdatabehandlers påbegyndelse af behandlingen af personoplysninger, som Kunden er dataansvarlig for, informeres af XpressU Ivs.
  4. Ændring af underleverandører skal altid oplyses enten via nyheder på hjemmesiden og/eller e-mail til kontaktpersonen, i så god tid som muligt.

4. Kundens forpligtelser og rettigheder

  1. Kunden har overfor omverdenen (herunder den registrerede) som udgangspunkt ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af databeskyttelsesforordningen og databeskyttelsesloven.
  2. Kunden indestår for at have fornøden hjemmel til behandling af personoplysningerne omfattet af nærværende databehandleraftale og er ansvarlig for at det overholdes ved brugen af XpressU.
  3. Kunden er ansvarlig for, at der foreligger hjemmel til den behandling, som XpressU Ivs instrueres i at foretage.

5. Behandlingssikkerhed

  1. XpressU Ivs iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32.
  2. XpressU Ivs skal træffe passende sikkerhedsforanstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at personoplysninger kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lovgivningen, jf. pkt. 1.2 ovenfor.
  3. XpressU Ivs skal efter nærmere aftale med Kunden så vidt muligt bistå Kunden med at sikre overholdelse af forpligtelserne i forordningens artikel 32 (gennemførelse af passende tekniske og organisatoriske foranstaltninger), 35 (foretagelse af konsekvensanalyse vedrørende databeskyttelse) og 36 (forudgående høring). I den forbindelse er XpressU Ivs berettiget til at fakturere Kunden med sin sædvanlige timetakst for al XpressU Ivs arbejdstid, som en sådan aftale måtte medføre for XpressU Ivs, ligesom Kunden hæfter for eventuel betaling til underleverandør.
  4. Såfremt det i pkt. 5.3 anførte fører til skærpede sikkerhedsforanstaltninger i forhold til det allerede aftalte mellem parterne i medfør af denne aftale, implementerer XpressU Ivs, så vidt det er muligt, sådanne foranstaltninger, forudsat at XpressU Ivs modtager betaling herfor.

 6. Tilsynsret

  1. XpressU Ivs stiller oplysninger, der er nødvendige for at påvise XpressU Ivs overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til rådighed for Kunden og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af Kunden eller en anden revisor, som er bemyndiget af Kunden.
  2. Kundens tilsyn med eventuelle underleverandører sker som udgangspunkt gennem XpressU Ivs.
  3. Såfremt Kunden ønsker at foretage tilsyn, skal Kunden altid give XpressU Ivs et varsel på mindst 30 dage i en sådan forbindelse.
  4. Såfremt Kunden ønsker at få udarbejdet yderligere sikkerhedsrevisionsrapport, eller der i øvrigt ønskes foretaget tilsyn af XpressU Ivs eller underleverandørs persondatabehandling, herunder såfremt Kunden ønsker sikkerhedsrevisionsrapport udarbejdet på et nærmere bestemt tidspunkt, aftales dette med XpressU Ivs. XpressU Ivs eller underleverandør kan til enhver tid kræve, at en sådan sikkerhedsrevisionsrapport udarbejdes i overensstemmelse med en anerkendt revisionsstandard (fx ISAE 3402 med referenceramme til ISO 27002:2014 eller lignende) af en alment anerkendt og uafhængig tredjepart, som beskæftiger sig med sådanne forhold.
  5. Kunden afholder alle omkostninger i forbindelse med tilsyn af sikkerhedsforhold hos XpressU Ivs og i forhold til underleverandør, herunder er XpressU Ivs berettiget til at fakturere Kunden med sin sædvanlige timetakst for al XpressU Ivs arbejdstid samt yderligere afholdte omkostninger, som et sådant tilsyn måtte medføre for XpressU Ivs, ligesom Kunden hæfter for eventuel betaling til underleverandør.

7. Persondatasikkerhedsbrud

  1. Såfremt XpressU Ivs måtte blive bekendt med et persondatasikkerhedsbrud, hvorved forstås et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring samt uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet, er XpressU Ivs forpligtet til uden unødig forsinkelse at søge at lokalisere et sådant brud og begrænse opstået skade i videst muligt omfang og – i det omfang det er muligt – reetablere eventuelt mistede data.
  2. XpressU Ivs er endvidere forpligtet til uden unødig forsinkelse at underrette Kunden efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden. XpressU Ivs skal herefter uden unødig forsinkelse, i det omfang det er muligt, give skriftlig meddelelse til Kunden, som så vidt muligt skal indeholde:
  • En beskrivelse af karakteren af bruddet, herunder kategorierne og det omtrentlige antal berørte registrerede og registreringer af personoplysninger.
  • Navn og kontaktoplysninger på kontaktpersonen hos XpressU Ivs.
  • En beskrivelse af de sandsynlige konsekvenser af bruddet.
  • En beskrivelse af de foranstaltninger, som XpressU Ivs eller underleverandør har truffet eller foreslår truffet for at håndtere bruddet, herunder foranstaltninger for at begrænse dets mulige skadevirkninger.
  1. For så vidt det ikke er muligt at give de i pkt. 7.2 anførte oplysninger samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse.
  2. XpressU Ivs er forpligtiget til at underrette den kontrollerende myndighed på persondataområdet indenfor de fastsatte tidsfrister vedrørende sikkerhedsbruddet.
  3. Tilsvarende er underleverandører pålagt uden unødig forsinkelse at underrette XpressU Ivs i overensstemmelse med pkt. 7.2 og 7.3.

8. Overførsel af oplysninger til tredjelande eller internationale organisationer

  1. XpressU Ivs må kun behandle personoplysninger efter dokumenteret instruks fra Kunden, herunder for så vidt angår overførsel (overladelse, videregivelse samt intern anvendelse) af personoplysninger til tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som XpressU Ivs er underlagt; i så fald underretter XpressU Ivs Kunden om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.

9. Tavshedspligt og fortrolighed

  1. XpressU Ivs skal holde personoplysningerne fortrolige og er således alene berettiget til at anvende personoplysningerne som led i opfyldelsen af sine forpligtelser og rettigheder i henhold til nærværende aftale.
  2. XpressU Ivs skal sikre, at de medarbejdere og eventuelle andre, herunder underleverandører, der er autoriseret til at behandle de i aftalen omfattede personoplysninger, er pålagt tavshedspligt.
  3. XpressU Ivs må ikke uden skriftligt samtykke fra Kunden videregive oplysninger til tredjemand, medmindre sådan videregivelse følger af lovgivningen eller af en bindende anmodning fra en retsinstans eller en databeskyttelsesmyndighed, eller det fremgår af denne aftale.

10. Varighed og ophør af databehandleraftalen

  1. Aftalen træder i kraft ved Kundens accept, der foretages ved første login i XpressU.
  2. XpressU Ivs er forpligtet af denne aftale, så længe XpressU Ivs behandler personoplysninger på vegne af Kunden.
  3. Såfremt XpressU Ivs ophører med at levere service(XpressU) til Kunden, skal Kunden snarest muligt og senest 14 dage efter ophøret oplyse XpressU Ivs skriftligt, hvorledes XpressU Ivs skal forholde sig til de behandlede personoplysninger. Senest 3 måneder efter ophøret af databehandleraftalen er XpressU Ivs berettiget til at slette alle personoplysninger, som er blevet behandlet på vegne af Kunden.
  4. Uanset databehandleraftalens ophør skal aftalens pkt. 9 fortsat have virkning efter databehandleraftalens ophør.

Underleverandører
Herunder er det beskrevet hvilke underleverandører der kan benyttes når jeres data behandles i XpressU.

UnderdatabehandlerLokation/landFormål
AsanaUSA*Kundehåndtering og nyhedsbreve
HelpCrunch USA*Support og hjælpe portal
E-conomic DanmarkFakturering
 Fab-it.dkDanmarkServer og database hosting

* Privacy Shield er det lovlige grundlag for behandling af data udenfor EU

Menu