mellem
Den dataansvarlige:
[Firmanavn, Adresse, CVR]
Kontakt:
[email]
og
Databehandleren:
Simpelt Regnskab ApS
Bogøvej 2, 4.tv
2000 Frederiksberg
CVR: 35385622
Kontakt:
info@simpeltregnskab.dk
Parterne kaldes i det følgende henholdvis den "Dataansvarlige" og "Databehandleren", og "Part" eller tilsammen "Parterne".
HAR AFTALT følgende standardkontraktsbestemmelser (Bestemmelserne) med henblik på at overholde databeskyttelsesforordningen og sikre beskyttelse af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsrettigheder.
Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt. Databehandleren instrueres af den Dataansvarlige i at behandle personoplysninger:
Efterfølgende instruks kan også gives af den dataansvarlige, mens der sker behandling af personoplysninger, men instruksen skal altid være dokumenteret og opbevares skriftligt, herunder elektronisk, sammen med disse Bestemmelser.
Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret. Den dataansvarlige skal herefter berigtige instruksen uden unødig forsinkelse. Er den dataansvarlige ikke i stand til at berigtige instruksen er databehandleren berettiget til at ophæve servicekontrakten mellem parterne.
Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici.
Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte:
Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici.
Simpelt Regnskab har implementeret flere sikkerhedsforanstaltninger og interne databeskyttelsespolitikker med henblik på at sikre fortrolighed, integritet, modstandsdygtighed og adgang til personoplysninger. De følgende foranstaltninger er særligt væsentlige:
Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32.
Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.
Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (underdatabehandler).
Databehandleren må således ikke gøre brug af en underdatabehandler til opfyldelse af disse Bestemmelser uden forudgående generel skriftlig godkendelse fra den dataansvarlige.
Databehandleren har den dataansvarliges generelle og specifikke godkendelse til brug af underdatabehandlere. Databehandleren skal underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer inden brugen af de(n) omhandlede underdatabehandler(e).
Listen over underdatabehandlere, som den dataansvarlige allerede har godkendt, fremgår af bilag B. I tillæg hertil findes databehandlerens underdatabehandlere angivet i den til enhver tid opdaterede liste tilgængelig på https://simpeltregnskab.dk/pages/subprocessors.
Når databehandleren gør brug af en underdatabehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af den dataansvarlige, skal databehandleren, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der fremgår af disse Bestemmelser, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen overholder kravene i disse Bestemmelser og databeskyttelsesforordningen.
Databehandleren er derfor ansvarlig for at kræve, at underdatabehandleren som minimum overholder databehandlerens forpligtelser efter disse Bestemmelser og databeskyttelsesforordningen.
Underdatabehandleraftale(r) og eventuelle senere ændringer hertil sendes – efter den dataansvarliges anmodning herom – i kopi til den dataansvarlige, som herigennem har mulighed for at sikre sig, at tilsvarende databeskyttelsesforpligtelser som følger af disse Bestemmelser er pålagt underdatabehandleren. Bestemmelser om kommercielle vilkår, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den dataansvarlige.
Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser. Dette påvirker ikke de registreredes rettigheder, der følger af databeskyttelsesforordningen, herunder særligt forordningens artikel 79 og 82, over for den dataansvarlige og databehandleren, herunder underdatabehandleren.
Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun foretages af databehandleren på baggrund af dokumenteret instruks herom fra den dataansvarlige og skal altid ske i overensstemmelse med databeskyttelsesforordningens kapitel V.
Hvis overførsel af personoplysninger til tredjelande eller internationale organisationer, som databehandleren ikke er blevet instrueret i at foretage af den dataansvarlige, kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.
Uden dokumenteret instruks fra den dataansvarlige kan databehandleren således ikke inden for rammerne af disse Bestemmelser:
Den dataansvarliges instruks vedrørende en overførsel af personoplysninger til et tredjeland, herunder det eventuelle overførselsgrundlag i databeskyttelsesforordningens kapitel V, som overførslen er baseret på, skal angives i bilag C.6.
Disse Bestemmelser skal ikke forveksles med standardkontraktsbestemmelser som omhandlet i databeskyttelsesforordningens artikel 46, stk. 2, litra c og d, og disse Bestemmelser kan ikke udgøre et grundlag for overførsel af personoplysninger som omhandlet i databeskyttelsesforordningens kapitel V.
Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel III.
Dette indebærer, at databehandleren så vidt muligt skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:
I tillæg til databehandlerens forpligtelse til at bistå den dataansvarlige i henhold til Bestemmelse 5.5., bistår databehandleren endvidere, under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, den dataansvarlige med:
Parterne skal i bilag C angive de fornødne tekniske og organisatoriske foranstaltninger, hvormed databehandleren skal bistå den dataansvarlige samt i hvilket omfang og udstrækning. Det gælder for de forpligtelser, der følger af Bestemmelse 8.1. og 8.2.
Hvis den dataansvarlige kræver information eller assistance omkring sikkerhedsforanstaltninger, dokumentation eller information om, hvordan databehandleren behandler personoplysninger generelt, og en sådan anmodning indeholder information, som går ud over, hvad der er nødvendigt ifølge gældende databeskyttelseslovgivning, må databehandleren kræve betaling for sådanne yderligere services.
Ved ophør af tjenesterne vedrørende behandling af personoplysninger, er databehandleren forpligtet til at slette alle personoplysninger, der er blevet behandlet på vegne af den dataansvarlige og bekræfte over for den dataansvarlig, at oplysningerne er slettet, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne.
Følgende regler i EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne efter ophør af tjenesterne vedrørende behandling af personoplysninger:
Databehandleren forpligter sig til alene at behandle personoplysningerne til de(t) formål, i den periode og under de betingelser, som disse regler foreskriver.
Ovenstående gør sig ikke gældende for de personoplysninger, som databehandleren behandler som dataansvarlig i kundeforholdet mellem databehandleren og den dataansvarlige.
Bestemmelserne træder i kraft ved oprettelse af en konto i Applikationen af den Dataansvarlige.
Bestemmelserne er gældende, så længe databehandleren behandler personoplysninger på vegne af den dataansvarlige i forbindelse med den dataansvarliges brug af applikationen. I denne periode kan Bestemmelserne ikke opsiges, medmindre andre bestemmelser, der regulerer levering af tjenesten vedrørende behandling af personoplysninger, aftales mellem parterne.
Begge parter kan kræve Bestemmelserne genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i Bestemmelserne giver anledning hertil.
Databehandleren er berettiget til at beholde personoplysninger efter ophør af databehandleraftalen i det omfang, det er nødvendigt i henhold til gældende lov, hvilket i så fald vil ske i overensstemmelse med de tekniske og organisatoriske sikkerhedsforanstaltninger, som er beskrevet i disse Bestemmelser.
Hvis levering af tjenesterne vedrørende behandling af personoplysninger ophører, og personoplysningerne er slettet eller returneret til den dataansvarlige i overensstemmelse med Bestemmelse 10.1 og Bilag C.4, kan Bestemmelserne opsiges med skriftlig varsel af begge parter.
Opbevaring og behandling af regnskabsmateriale og funktioner i forbindelse hermed.
Som en del af leveringen af Applikationen, arbejder Databehandleren på at forbedre Applikationen til gavn for den Dataansvarlige. I den grad personoplysninger indgår i dette arbejde, behandles disse i henhold til denne aftale og gældende lovgivning.
Databehandleren behandler ikke særlige kategorier af personoplysninger medmindre den dataansvarlige giver specifik instruks herom. Såfremt særlige kategorier af personoplysninger er omfattet som en naturlig del af de ovenfor nævnte kategorier, f.eks. i forbindelse med fakturering af helbredsydelser, er den dataansvarlige ansvarlig for at anonymisere sådanne personoplysninger forud for overførsel til databehandleren.
Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt brugen af følgende underdatabehandlere
Navn | Adresse | Formål |
---|---|---|
DigitalOcean LLC |
101 Avenue of the Americas, 2nd Floor New York, NY 10013 USA |
Hosting |
Microsoft Ireland Operations Ltd |
One Microsoft Place South County Business Park, Leopardstown D18 P521 Dublin 18 Ireland |
Hosting |
Mailgun Technologies, Inc. |
112 E Pecan St, #1135 San Antonio, TX 78205 USA |
Email service |
Runbox Solutions AS |
Oscars gate 27 N-0352 Oslo Norge |
Email service |
Sproom Solutions A/S |
Gærtorvet 3 1799 København V Danmark |
e-faktura service |
Sidst opdateret 30. oktober 2023
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører følgende:
Databehandleren leverer en tjeneste, Applikationen, for mindre virksomheder til opbevaring og behandling af regnskabsmateriale og funktioner i forbindelse hermed. Det inkluderer at databehandleren:
Sikkerhedsniveauet tager hensyn til behandlingens omfang, karakter, sammenhæng og formål, samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Som udgangspunkt udgør behandlingen af personoplysninger ikke behandling af særlige kategorier af personoplysninger. Sikkerhedsniveauet afspejler dette.
Den dataansvarlige er opfordret til at minimere og pseudonymisere særlige kategorier af personoplysninger, hvor behandlingen af sådanne oplysninger er nødvendig for databehandleren for at levere den aftalte tjeneste.
Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal gennemføres for at etableret det nødvendige (og aftalte) sikkerhedsniveau.
Databehandleren skal dog – under alle omstændigheder og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige:
Sikring af oplysninger gennem
Databehandleren skal så vidt muligt – inden for det nedenstående omfang og udstrækning – bistå den dataansvarlige i overensstemmelse med Bestemmelserne ved at gennemføre tekniske og organisatoriske foranstaltninger.
Tekniske og organisatoriske foranstaltninger implementeret af databehandleren indebærer organisatorisk fortrolighed, krypteringer, sikkerhed i forbindelse med adgang til opbevarede personoplysninger og lignede foranstaltninger hvor dette synes nødvendigt.
Personoplysninger opbevares så længe databehandleren behandler personoplysninger på vegne af den dataansvarlige i forbindelse med den dataansvarliges brug af applikationen.
Ved ophør af tjenesten vedrørende behandling af personoplysninger, skal databehandleren slette eller tilbagelevere personoplysningerne i overensstemmelse med bestemmelse 10.1, medmindre den dataansvarlige – efter underskriften af disse bestemmelser – har ændret den dataansvarlige oprindelige valg. Sådanne ændringer skal være dokumenteret og opbevares skriftligt, herunder elektronisk, i tilknytning til bestemmelserne.
Idet der foreligger et kundeforhold mellem parterne, hvor databehandleren også er dataansvarlig for andre personoplysninger, vil sådanne personoplysninger opbevares i 5 år efter ophøret af servicekontrakten.
Behandlingen af personoplysningerne i henhold til disse Bestemmelser må ikke behandles på andre lokationer end databehandlerens faciliteter, herunder databehandlerens underdatabehandlere. Enhver behandling udenfor disse lokationer skal godkendes af den dataansvarlige forud for behandlingen.
På grund af brugen af underdatabehandlere vil der kunne ske overførsler til tredjelande. I sådanne tilfælde har databehandleren sikret overholdelse af databeskyttelsesforordningen gennem databehandleraftaler baseret på EU-Kommissionens standardkontraktbestemmelser, samt passende organisatoriske og tekniske foranstaltninger for at sørge for behandlingssikkerheden. Databehandleren har sikret et lovlig overførselsgrundlag, såvel som de supplerende foranstaltninger som er påkrævet for at garantere behandlingssikkerheden.
Den dataansvarlige giver databehandleren autorisation til at sikre et tilstrækkeligt grundlag for overførsel af personoplysninger til et tredjeland på vegne af den dataansvarlige ved indgåelse af denne databehandleraftale
Grundlaget for en overførsel af personoplysninger til tredjelande er EU-U.S. Data Privacy Framework, specifikt organisationer i USA, der har certificeret sig under EU-U.S. Data Privacy Framework hos det amerikanske handelsministerium.
Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler.
Ved anmodning fra den dataansvarlige skal databehandleren indhente en inspektionsrapport fra en tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.
Den Dataansvarlige skal i forbindelse med anmodning om en revision medsende en detaljeret revisionsplan med en beskrivelse af omfang, varighed og startdato minimum fire uger forud for den foreslåede startdato.
Såfremt databehandlerens assistance i forbindelse med revision overskrider den almindelige service, som databehandleren skal stille til rådighed som følge af gældende databeskyttelseslovgivning, afregnes dette særskilt.
Revision skal finde sted i normal kontortid på den relevante facilitet i overensstemmelse med Databehandlerens politikker og må ikke på urimelig vis forstyrre Databehandlerens sædvanlige kommercielle aktiviteter.
Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er forpligtet til at afsætte de rimelige ressourcer, herunder tid, der er nødvendig for at den dataansvarlige kan gennemføre sin inspektion.
Denne databehandleraftale er gældende fra 1. december 2023.