Databehandlingsaftale

Denne Databehandlingsaftale ("Aftale") udgør en del af Vilkår og Betingelser ("Hovedaftalen") mellem:

  • Kunden ("Dataansvarlig")
  • Textintel FZE ("Databehandler")

(Samlet benævnt "Parterne").

1. Baggrund

1.1 Kunden fungerer som Dataansvarlig og ønsker at udlicitere visse tjenester, der indebærer behandling af personoplysninger, til Databehandleren.

1.2 Parterne ønsker at indgå en databehandlingsaftale, der overholder gældende databeskyttelseslove, herunder:

  • Europa‑Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (Generel Forordning om Databeskyttelse, GDPR).
  • Enhver anden relevant lovgivning om databeskyttelse eller privatliv, der regulerer behandling af personoplysninger.

1.3 Denne Aftale fastlægger Parternes rettigheder og forpligtelser vedrørende databeskyttelse og privatliv.

2. Definitioner & Fortolkning

2.1 Medmindre andet er angivet, har udtryk med stort begyndelsesbogstav i denne Aftale følgende betydning:

  • "Aftale" – Denne Databehandlingsaftale inklusive alle bilag og tidsplaner.
  • "Kundens personoplysninger" – Alle personoplysninger, som Databehandleren behandler på vegne af Kunden i henhold til Hovedaftalen.
  • "Databeskyttelseslove" – Alle gældende love om privatliv og databeskyttelse, herunder GDPR og nationale love, der supplerer eller implementerer GDPR.
  • "Behandling" – Enhver operation, der udføres på personoplysninger, såsom indsamling, opbevaring, overførsel eller sletning.
  • "Underdatabehandler" – Enhver tredjepart, der er godkendt af Databehandleren til at behandle personoplysninger på vegne af Kunden.

2.2 Udtryk, der anvendes i denne Aftale uden definition, har den betydning, der er fastsat i GDPR.

3. Omfang af databehandling

3.1 Kunden instruerer Databehandleren i at behandle Kundens personoplysninger udelukkende i overensstemmelse med:

  • Kundens dokumenterede instruktioner,
  • Hovedaftalen og denne Databehandlingsaftale samt
  • gældende Databeskyttelseslove.

3.2 Databehandleren må ikke behandle Kundens personoplysninger til andre formål end dem, der er angivet i denne Aftale og Hovedaftalen.

4. Databehandlerens ansvar

4.1 Databehandleren skal:

  • Sikre overholdelse af gældende Databeskyttelseslove.
  • Behandle data sikkert i overensstemmelse med branchens bedste praksis.
  • Begrænse adgang til autoriseret personale.
  • Sikre, at alt personale, der håndterer Kundens personoplysninger, er underlagt fortrolighedsforpligtelser.

5. Sikkerhedsforanstaltninger

5.1 Databehandleren skal implementere passende tekniske og organisatoriske foranstaltninger for at beskytte Kundens personoplysninger under hensyntagen til:

  • Det aktuelle teknologiske niveau.
  • Behandlingens karakter, omfang og kontekst.
  • Potentielle risici, herunder uautoriseret adgang, databrud og tab.

5.2 Hvor det er relevant, omfatter sikkerhedsforanstaltninger:

  • Kryptering af data under overførsel og ved lagring.
  • Adgangskontrol og autentificeringsmekanismer.
  • Regelmæssige sikkerhedsrevisioner og risikovurderinger.

6. Underdatabehandling

6.1 Databehandleren må ikke engagere en Underdatabehandler uden Kundens forudgående skriftlige godkendelse.

6.2 Kunden anerkender og godkender, at Databehandleren anvender følgende godkendte Underdatabehandlere:

  • Amazon Web Services
  • Meta
  • Google
  • Amplitude
  • Firebase Analytics
  • Stripe

6.3 Databehandleren skal sikre, at enhver Underdatabehandler overholder de samme forpligtelser i henhold til denne Aftale.

7. Registreredes rettigheder

7.1 Databehandleren skal bistå Kunden med at opfylde sine forpligtelser vedrørende registreredes rettigheder, herunder:

  • Adgang til personoplysninger.
  • Berigtigelse eller sletning af unøjagtige data.
  • Anmodninger om dataportabilitet.

7.2 Hvis Databehandleren modtager en anmodning fra en registreret, skal Databehandleren:

  • Prompt underrette Kunden, og
  • ikke besvare anmodningen, medmindre Kunden har givet tilladelse.

8. Meddelelse om databrud

8.1 I tilfælde af brud på persondatasikkerheden skal Databehandleren:

  • Uden unødig forsinkelse underrette Kunden.
  • Levere alle nødvendige oplysninger, så Kunden kan opfylde sine lovmæssige indberetningsforpligtelser.
  • Træffe rimelige foranstaltninger for at afbøde og afhjælpe bruddet.

9. Dataoverførsler

9.1 Databehandleren må ikke overføre Kundens personoplysninger uden for EU/EØS, medmindre:

  • Kunden forinden har givet skriftligt samtykke, eller
  • passende garantier, såsom Standard Contractual Clauses (SCC’er), er på plads.

10. Opbevaring & sletning af data

10.1 Ved ophør af Hovedaftalen kan Kunden anmode om:

  • Sletning af alle Kundens personoplysninger inden for 10 arbejdsdage.
  • Et slettecertifikat som bekræftelse på overholdelse.

11. Revisionsrettigheder

11.1 Kunden har ret til:

  • Anmode om oplysninger, der dokumenterer overholdelse.
  • Gennemføre audits og inspektioner hos Databehandleren.

12. Fortrolighed

12.1 Hver part skal opretholde fortroligheden af alle oplysninger, der deles under denne Aftale, og må ikke videregive dem uden den anden parts skriftlige samtykke, medmindre:

  • Videregivelse er påkrævet ved lov, eller
  • oplysningerne allerede er offentligt tilgængelige.

13. Lovvalg & værneting

13.1 Denne Aftale er underlagt lovgivningen i Dubai, Forenede Arabiske Emirater.

13.2 Alle tvister, der udspringer af denne Aftale, skal afgøres ved domstolene i Dubai.