Tlf. +45 66 80 40 40

Databehandleraftale

  1. Databehandleraftalens parter
    I henhold til denne databehandleraftale er klienten dataansvarlig, mens CloudCollect er databehandler.
    Databehandleraftalen er indgået mellem:

    Virksomheden [Navn]
    CVR-nr.:
    [Adresse]
    [Postnr. og by]

    Og

    CloudCollect ApS
    CVR-nr.:
    Esplanaden 26
    1263 København K

    Aftalens parter benævnes herefter i denne aftale, som den dataansvarlige og databehandleren.

  2. Baggrund og formål
    Denne aftale fastsætter de rettigheder og forpligtelser, som er gældende, når databehandleren foretager behandling af personoplysninger på vegne af den dataansvarlige.  Den dataansvarlige og databehandler har aftalt levering af visse ydelser fra Databehandleren til den Dataansvarlige, som nærmere beskrevet under “Generelle Betingelser” samt bilag 1 til denne aftale (”Hovedydelserne”).

    Parterne har indgået denne aftale, fordi databehandleren behandler personoplysninger på vegne af den Dataansvarlige.

    Databehandleraftalen har til formål at sikre, at databehandleren overholder den til enhver tid gældende persondata retlige regulering, herunder navnlig:

    Persondataloven (lov 2000-05-31 nr. 429 med senere ændringer)

    Persondataforordningen (Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016

    Formålet med databehandlerens behandling af personoplysninger sker med henblik på at opfylde nærværende aftale om behandling af inkassosager.

  3. Bemyndigelsens omfang
    Foreliggende Databehandleraftale udgør instruksen på underskriftstidspunktet.

    Vilkårene fastsat i Databehandleraftalen bemyndiger Databehandleren til at foretage behandling af personoplysninger på vegne af  den dataansvarlige.

    Vilkårene fastsætter endvidere, at databehandleren må alene behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige.

    Den dataansvarlige er berettiget til enhver tid konkretiserer, uddybe eller ændrer instruksen.

    Databehandleren må, i det omfang andet ikke følger af Databehandleraftalen, benytte alle relevante hjælpemidler, herunder IT-systemer.

  4. Varighed
    Databehandleraftalen ophører enten når aftalen om levering af hovedydelserne ophører eller  Databehandleraftalen opsiges eller ophæves.

  5. Databehandlerens forpligtelser
    Tekniske og organisatoriske sikkerhedsforanstaltninger:

    I medfør af databeskyttelsesforordningen artikel 32, er Databehandleren forpligtet til at sikre data, således at der er et tilstrækkeligt sikkerhedsniveau, under hensyntagen til det aktuelle tekniske niveau, løbende implementeringsomkostninger, herunder sagsbehandlingens karakter, omfang. Hertil kommer vurdering af  risici, sikkerhed for fysiske personers rettigheder og frihedsrettigheder. Databehandleren forpligter sig til at tage kategorien af personoplysninger beskrevet i bilag 1 i betragtning ved fastlæggelsen af disse foranstaltninger.

    Databehandleren skal gennemføre de tekniske og organisatoriske sikkerhedsforanstaltninger som fremgår af bilag 2 til denne Databehandleraftale samt aftalen om levering af Hovedydelserne.

    Databehandleren garanterer over for den dataansvarlige, at databehandleren vil gennemføre passende tekniske og organisatoriske foranstaltninger på en sådan måde, at databehandlerens behandling af personoplysninger opfylder kravene i den til enhver tid gældende persondataretlige regulering.

    Klienten og CloudCollect ApS er enige om, at de afgivne garantier anført i bilag 2 er tilstrækkelige på tidspunktet for indgåelsen af denne Databehandleraftale.

  6. Databehandlers medarbejdere
    Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, har forpligtet sig til fortrolighed i skriftlig kontraktsforhold eller er underlagt lovbestemt tavshedspligt.

    Databehandleren skal sikre, at adgangen til personoplysningerne begrænses til de medarbejdere, for hvem det er nødvendigt at behandle personoplysninger for at kunne opfylde databehandlerens forpligtelser over for den dataansvarlige. Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for databehandleren, kun behandler disse i overensstemmelse med Instruksen.

  7. Dokumentation
    Overholdelse af forpligtelserne dokumenteres løbende, fordi databehandleren på skriftlig anmodning skal dokumentere over for den dataansvarlige, at databehandleren:

    – Overholder sine forpligtelser efter denne Databehandleraftale og Instruksen.

    – Overholder bestemmelserne i den til enhver tid gældende persondata retlige regulering, for så vidt angår de personoplysninger, som behandles på den dataansvarliges vegne.

    Databehandlerens dokumentation heraf skal ske inden rimelig tid. Det nærmere indhold af forpligtelserne er beskrevet i bilag 3 til denne Databehandleraftale.

  8. Behandlingsaktiviteter
    Databehandleren skal løbende føre en oversigt over behandlingen af personoplysningerne, i det omfang en af nedenstående betingelser er opfyldt:
    1. Databehandlerens behandling af personoplysninger sandsynligvis vil medføre en risiko for registreredes rettigheder og frihedsrettigheder,
    2. Behandlingen sættes i bero eller pauses
    3. Behandlingen omfatter særlige kategorier af personoplysninger, eller Behandlingen vedrører straffedomme og lovovertrædelser.

      Oversigten skal indeholde følgende oplysninger:
      1. Kategorier af behandlinger, der foretages på vegne af den Dataansvarlige.
      2. Databehandlerens medarbejdere, der foretager databehandling af personoplysningerne.
      3. Hvis det er relevant, Underdatabehandlere og disses medarbejdere, der foretager databehandling af personoplysningerne.
      4. En generel beskrivelse af tekniske og organisatoriske foranstaltninger, der foretages i forbindelse med behandlingen,
      5. Hvis det er relevant, angivelse af tredjelande eller internationale organisationer, hvortil personoplysningerne overføres, samt dokumentation for passende garantier.
      6. Kontaktoplysninger på Databehandlerens og Underdatabehandlerens kontaktperson eller databehandlingsrådgiver (hvis udpeget).

        Databehandleren stiller inden rimelig tid efter anmodning fortegnelserne til rådighed for den Dataansvarlige eller enhver relevant tilsynsmyndighed.

  9. Brud på persondatasikkerheden
    Databehandleren har pligt til at underrette den dataansvarlige om brud på persondatasikkerheden, der potentielt kan medfører at personoplysningerne går tabt hændeligt eller ulovligt tilintetgøres, tabes, ændres, uautoriseret videregivelse af eller adgang til personoplysningerne behandlet for den dataansvarlige (”Sikkerhedsbrud”).

    Sikkerhedsbrud skal meddeles til den dataansvarlige uden unødig forsinkelse.

    Databehandleren skal vedligeholde en fortegnelse over alle sikkerhedsbrud. Fortegnelsen skal som minimum dokumentere følgende:

    De faktiske omstændigheder omkring sikkerhedsbruddet,

    Sikkerhedsbruddets virkninger, og hvilke trufne afhjælpningsforanstaltninger der er taget.

    Fortegnelsen skal efter skriftlig anmodning stilles til rådighed for den Dataansvarlige eller tilsynsmyndighederne.

    Bistand:
    Databehandleren skal i fornødent og rimeligt omfang bistå ved den Dataansvarliges opfyldelse af dennes forpligtelser ved behandling af personoplysningerne, der er omfattet af denne Databehandleraftale, herunder ved:
    • Besvarelser til registrerede ved udøvelse af disses rettigheder,
    • Sikkerhedsbrud,
    • konsekvensanalyser, og
    • forudgående høringer fra tilsynsmyndighederne.

Databehandleren skal herunder fremskaffe de oplysninger, der skal indgå i en anmeldelse til tilsynsmyndigheden, i det omfang Databehandleren er den nærmeste hertil.

Databehandleren har krav på betaling efter medgået tid og forbrugte materialer for bistand i medfør af dette punkt.

6. DEN DATAANSVARLIGES FORPLIGTELSER

Den Dataansvarlige har de forpligtelser, der fremgår af bilag 4.

6.1.Underdatabehandlere

Databehandleren må kun gøre brug af en tredjepart til behandlingen af personoplysninger for den dataansvarlige (”underdatabehandler”) i det omfang dette fremgår af:

  • bilag 5 til denne databehandleraftale, eller
  • Instruks fra den dataansvarlige.

Databehandleren, CloudCollect og underdatabehandleren skal indgå en skriftlig aftale, som pålægger underdatabehandleren de samme databeskyttelsesforpligtelser, som påhviler databehandleren (herunder i medfør af denne Databehandleraftale).

Den dataansvarlige skal på skriftlig anmodning have udleveret alle aftaler indgået med eventuelle underdatabehandlere.

Underdatabehandleren handler herudover ligeledes alene på Instruks fra den Dataansvarlige. Al kommunikation med Underdatabehandleren varetages af databehandleren. Enhver ændret eller konkretiseret Instruks fra den Dataansvarlige skal straks videregives af databehandleren til underdatabehandleren.

Databehandleren er direkte ansvarlig for underdatabehandlerens behandling af personoplysninger på samme vis, som var behandling foretaget af databehandleren selv.

7. OVERFØRSEL TIL TREDJELANDE OG INTERNATIONALE ORGANISATIONER

Databehandleren må kun overføre personoplysninger til tredjelande eller internationale organisationer i det omfang dette fremgår af:

  • bilag 6 til denne Databehandleraftale, eller
  • Instruks fra den dataansvarlige.

Overførsel af personoplysninger må i alle tilfælde kun ske i det omfang, det er tilladt ifølge den til enhver tid gældende persondataretlige regulering.

8. DATABEHANDLING UDENFOR INSTRUKSEN

Databehandleren kan behandle personoplysninger udenfor Instruksen i tilfælde, hvor det kræves af EU-retten eller national ret, som databehandleren er underlagt.

Ved behandling af personoplysninger uden for Instruksen skal databehandleren underrette om årsagen dertil til den dataansvarlige. Herunder inden behandlingen foretages og skal indeholde en henvisning til de retlige krav, der ligger til grund for behandlingen.

Underretning skal ikke ske, hvis underretning vil være i strid med EU retten eller den nationale ret.

9. MISLIGHOLDELSE

Reguleringen af misligholdelse i aftalen om levering af Hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf. I tilfælde af at hovedaftalen ikke tager stilling hertil, skal gældende rets almindelige misligholdelsesbeføjelser finde anvendelse på denne Databehandleraftale.

10. ANSVARETS OMFANG

Reguleringen af ansvar og omfang her i aftalen og om levering af hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.

Parterne er ansvarlige i overensstemmelse med gældende rets almindelige regler.

Parterne er dog enige om ansvarets afgrænsning i overensstemmelse med hvad der er beskrevet i dette afsnit.

Parterne fraskriver sig ethvert ansvar for indirekte tab og følgeskader, herunder driftstab, tab af goodwill, tab af besparelser og indtægter, inklusive udgifter til at indvinde mistede indtægter, rentetab og tab af data.

10.1 Force majeure

Reguleringen af force majeure i hovedaftalen om levering af hovedydelserne finder tilsvarende anvendelse for denne databehandleraftale, da denne databehandleraftale anses af parterne, som en integreret del af hovedaftalen og indgås ved hovedaftalens indgåelse.

Databehandleren kan ikke gøres ansvarlig for forhold, som er ekstraordinære og som parterne ikke selv har kontrol over. Disse forhold henhører under betegnelsen force majeure, og er bl.a. men ikke begrænset til, krig, optøjer, terror, opstand, strejke, ildsvåde, naturkatastrofer, valutarestriktioner, import- eller eksportrestriktioner, afbrydelse af almindelig samfærdsel, afbrydelse af eller svigt i energiforsyningen, offentlige dataanlæg og kommunikationssystemer, længerevarende sygdom hos nøglemedarbejdere, virus samt indtrædelse af force majeure hos underleverandører.

11. FORTROLIGHED

Reguleringen af fortrolighed i hovedaftalen finder tilsvarende anvendelse på databehandleraftalen, idet denne databehandleraftale er en integreret del heraf.

Information vedrørende indholdet af denne databehandleraftale og hovedaftales ydelser, den anden parts forretning, der enten i forbindelse med overgivelsen til den modtagende part er angivet som fortrolig information, eller som efter sin natur klart må opfattes som fortrolig, skal behandles fortroligt og med mindst samme omhu og diskretion som partens egne fortrolige informationer. Persondata og data generelt, behandles som hovedregel som fortrolige informationer.

Fortrolighedsforpligtelsen gælder undtagelsesvist ikke for information, som er eller bliver offentlig tilgængelig, under forudsætning af at der ikke er brud på en parts fortrolighedsforpligtelse eller information, som allerede er i den modtagende parts besiddelse uden tilsvarende fortrolighedsforpligtelse eller information, som selvstændigt er udviklet af den modtagende part.

12. OPHØR AF PERSONDATAAFTALEN

Dette afsnit beskriver de nærmere betingelser og virkninger af ophør af Persondataaftalen.

12.1 Opsigelse og ophævelse

Databehandleraftalen kan alene opsiges eller ophæves i overensstemmelse med betingelser angivet i hovedaftalen.

Opsigelse eller ophævelse af denne databehandleraftale kan alene ske ved samtidig opsigelse eller ophævelse af dele af hovedaftalen, der vedrører behandling af personoplysninger i medfør af databehandleraftalen.

12.2 Virkning af ophør

Databehandlerens bemyndigelse til at behandle personoplysninger på vegne af den dataansvarlige bortfalder ved databehandleraftalens ophør, uanset hvad årsag dertil i øvrigt er.

Databehandleren må dog fortsat behandle personoplysningerne i op til 12 måneder efter Databehandleraftalens ophør. Det er et krav i denne periode, at behandlingen skal være nødvendig for at foretage nødvendige lovpligtige foranstaltninger. I samme periode er databehandleren berettiget til at lade personoplysningerne indgå i databehandlerens sædvanlige backupprocedure. Databehandlerens behandling i denne periode anses fortsat for at ske under overholdelse af den dataansvarlige instruks.

Det er et krav, at databehandleren og dennes underdatabehandlere skal tilbagelevere alle personoplysninger til den dataansvarlige, som databehandleren har behandlet under denne databehandleraftale. Medmindre den dataansvarlige allerede er i besiddelse af personoplysningerne. Databehandleren er endvidere forpligtet til at slette alle personoplysninger fra den dataansvarlige. Den dataansvarlige har ret til at få fornøden dokumentation for at sletning af data er korrekt tilendebragt.

13. TVISTLØSNING

Reguleringen af tvistløsning, inkl. lovvalg og værneting, i hovedaftalen om levering af hovedydelserne finder anvendelse tilsvarende anvendelse for denne Databehandleraftale, som anses for en integreret del af hovedaftalen.

13.1 Lovvalg

Databehandleraftalen er underlagt dansk ret med undtagelse af (a) regler, der fører til anvendelse af anden lov end dansk lov samt (b) FN konventionen om internationale løsørekøb (CISG).

13.2 Værneting

Uoverensstemmelser i forbindelse med databehandleraftalen eller dens gennemførelse, skal parterne søge at løse konflikten med en positiv, samarbejdende og ansvarlig holdning. Om nødvendigt skal forhandlingerne søges løftet op på direktionsniveau i parternes organisationer.

Kan parterne ikke opnå en løsning ved forhandling, er parterne berettiget til at kræve tvisten afgjort endeligt ved retssag ved de almindelige domstole.

Retten i København er valgt som værneting. Retsplejelovens henvisningsbestemmelser til Landsret og Sø- og Handelsret finder anvendelse på tvister parterne måtte have.

13.3 Juridisk vægtning af parternes aftaler

Såfremt der er modstrid mellem denne databehandleraftale og hovedaftalen om levering af Hovedydelserne, har denne databehandleraftale forrang, med mindre andet følger direkte af databehandleraftalen.

Bilag til databehandleraftalen

BILAG 1 – HOVEDYDELSEN

Hovedydelsen:

CloudCollect ApS er en privat virksomhed med mindre end 250 medarbejdere, der driver et net baseret inddrivelses system, som har til formål, at hjælpe erhvervsdrivende med at få inddrevet deres udeståender igennem formidling af sager til samarbejdspartnere, samt sikre at vores kunder har én indgang og ét overblik over alle igangværende sager, jf. nærmere Generelle betingelser afsnit 1.

CloudCollect behandler som en del af sit erhvervsgrundlag almindelige, ikke-følsomme personoplysninger til legitime formål som beskrevet herunder.

Personoplysninger der er ikke-følsomme:

Typer af almindelige personoplysninger, der behandles i sammen med levering af hovedydelsen:

  • Andre ikke-følsomme personlige oplysninger, herunder oplysninger om gældsforhold (debitorer).

Kategorien af registrerede identificerede eller identificerbare fysiske personer omfattet af databehandleraftalen:

  • Ansatte
  • Kunder
  • Debitorer

BILAG 2 – TEKNISKE OG ORGANISATORISKE SIKKERHEDSKRAV OG GARANTIER

Specifikke tekniske og organisatoriske sikkerhedskrav:

CloudCollect har specifikke krav til virksomhedens fysiske sikkerhed:

  • Der opbevares ingen kundedata fysisk på virksomhedens lokation.
  • Virksomhedens lokation er beskyttet med adgangskontrol og desuden underlagt restriktioner jf. gældende regler fra Finanstilsynet.
  • Kunde- og sagsdata opbevares hos en sikret leverandør jf. liste over underleverandører.

Der stilles følgende specifikke krav til databehandlerens organisatoriske sikkerhed:

  • Adgangen til persondata er begrænset til medarbejdere med direkte ansvarsområde jf. Instruksen.

Der stilles følgende specifikke krav til databehandlerens sletning af personoplysninger:

  • Såfremt det vurderes at det ikke længere er relevant at opbevare persondata jf. Instruksen kan registrerede personer henvende sig skriftligt til ifo@cloudcollect.dk mhp. vurdering af sletning af data.

BILAG 3 – DOKUMENTATION FOR OVERHOLDELSE AF FORPLIGTELSER

Som led i Databehandlerens demonstrering overfor den Dataansvarlige af overholdelse af sine forpligtelser efter Databehandleraftalen skal nedenstående punkter udføres og overholdes.

Generel dokumentation til den dataansvarlige:

Databehandleren er på skriftlig anmodning forpligtet til at fremsende følgende generelle dokumentation til den Dataansvarlige:

  • En erklæring fra Databehandlerens ledelse om, at Databehandleren under sin behandling af personoplysninger på den Dataansvarliges vegne løbende sikrer overholdelse af sine forpligtelser efter denne Databehandleraftale.
  • En beskrivelse af de praktiske tiltag, herunder såvel tekniske som organisatoriske, som Databehandleren har gennemført for at sikre overholdelse af sine forpligtelser efter Databehandleraftalen. Beskrivelsen kan bl.a. omfatte en fremstilling af etablerede og implementerede ledelsessystemer for informationssikkerhed og for behandling af personoplysninger samt beskrivelsen af andre iværksatte tiltag. Databehandleren er som led heri også forpligtet til at deltage i opfølgende møder med den Dataansvarlige herom.
  • En beskrivelse af hvilke kontrolforanstaltninger Databehandleren har iværksat og gennemført til måling og kontrol af virkningen af det etablerede ledelsessystem for informationssikkerhed og for behandling af personoplysninger samt resultatmålinger herfra.

Den generelle dokumentation skal udleveres senest fem arbejdsdage efter, at den Dataansvarlige har fremsat sin skriftlige anmodning overfor Databehandleren, med mindre andet aftales konkret. Databehandlerens udarbejdelse af dokumentation sker for Databehandlerens egen regning.

Øvrigt:

Overstående punkter skal ikke anses for udtømmende, og Databehandleren er derfor forpligtet til at foretage sådanne yderligere handlinger og tiltag, som er nødvendige for demonstration af Databehandlerens forpligtelse i Databehandleraftalen.

Databehandleren er ikke forpligtet til at følge en anmodning fra den Dataansvarlige i henhold til dette bilag 3 hvis anmodningen strider mod den persondata retlige regulering. Databehandleren skal underrette den Dataansvarlige i det omfang, det er Databehandlerens vurdering, at dette er tilfældet.

BILAG 4 – DEN DATAANSVARLIGES FORPLIGTELSER

Forpligtelser:

Den Dataansvarlige har følgende forpligtelser:

  • at sikre sig, at personoplysningerne er ajourførte
  • at sikre sig, at Instruksen er lovlig set i forhold til den til enhver tid gældende persondataretlige regulering
  • at Instruksen er hensigtsmæssig set i forhold til denne Databehandleraftale og Hovedydelsen.

BILAG 5 – UNDERDATABEHANDLERE

Generelt:

Den Dataansvarlige meddeler med Databehandleraftalen sin forudgående generelle skriftlige godkendelse til, at Databehandleren kan gøre brug af en Underdatabehandler. Den dataansvarlige kan altid ajourføre sig om aktuelle underdatabehandlere via databehandlerens hjemmeside.

Den Dataansvarlige har mulighed for at gøre indsigelser gældende mod en sådan Underdatabehandler i det omfang, der er en rimelig grund hertil.

BILAG 6 – OVERFØRSEL TIL TREDJELAND OG INTERNATIONALORGANISATION

Generelt:

Personoplysninger kan ikke underkastes behandling af Databehandleren eller en Underdatabehandler i et land uden for den Europæiske Union, EØS (et ”Tredjeland”) eller lande/organisationer som er omfattet af internationalt anerkendte aftale som f.eks. Privacy Shield, eller en international organisation, medmindre den Dataansvarlige giver konkret tilladelse hertil.

Databehandleren skal underrette den Dataansvarlige om overførslen, inden den finder sted.

Mangler du betaling?

Indtast dine kontaktoplysninger og lad os hjælpe dig med at få sagen ud af verden med det samme.