Databehandleraftale

mellem

dig som kunde
(”Den Dataansvarlige”)

og
IEX ApS
CVR-nr. 35527710
Roholmsvej 10R
2620 Albertslund
Danmark
gdpr@iex.dk
(”Databehandleren”)

Den Dataansvarlige og Databehandleren benævnes hver for sig en ”Part” og tilsammen ”Parterne”.

1. Behandlingens baggrund

  1. Databehandleraftalen er udformet med henblik på Parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger, om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (databeskyttelsesforordningen).

2. Rettigheder og forpligtelser

  1. Den Dataansvarlige skal sørge for, at behandlingen af personoplysninger følger reglerne i databeskyttelsesforordningen (se artikel 24 i forordningen), EU’s øvrige databeskyttelsesbestemmelser eller de nationale love i medlemsstaterne, samt denne databehandleraftale.
  2. Den Dataansvarlige har både ret til og ansvar for at træffe beslutninger om, hvilke formål behandlingen af personoplysninger skal tjene, og hvilke midler der skal anvendes i processen.
  3. Den Dataansvarlige har også ansvaret for at sikre, at der er en juridisk grund til behandlingen af personoplysninger, som Databehandleren bliver bedt om at udføre.
  4. Databehandleraftalen har forrang i forhold til eventuelle andre aftaler mellem Parterne.
  5. Databehandleraftalen opbevares skriftlig, herunder elektronisk, af begge Parter.

3. Oplysninger om behandlingen

  1. Databehandleren må kun behandle personoplysninger efter instruks fra den Dataansvarlige. Dette gælder medmindre lovgivningen kræver andet i EU-regler eller nationale love. Hvis der undervejs i behandlingen af personoplysninger er behov for yderligere instrukser fra den Dataansvarlige, skal disse altid være skriftlige og gemmes elektronisk.
  2. Databehandleren skal straks informere den Dataansvarlige, hvis de mener, at instrukserne er i konflikt med reglerne i databehandleraftalen eller andre EU-lovgivningsmæssige databeskyttelsesbestemmelser eller nationale love.
  3. Databehandling foregår via en teknisk løsning, der er udviklet af Databehandleren (herefter ”Systemet”), der sikrer integration mellem den Dataansvarliges webshop, regnskab, POS, lager, indløser, abonnementsstyring, API, fil-formater og/eller andre systemer som Databehandleren udbyder integration til (herefter “IT-systemer”).
  4. Den Dataansvarlige har indgået abonnementsaftale (herefter ”Abonnementet”) med Databehandleren med henblik på at integrere og overføre data mellem den Dataansvarliges IT-systemer. Overførsel af data, som foretages i Systemet, udgør en instruks fra den Dataansvarlige via Abonnementet. Abonnementet involverer også en eventuel prøveperiode. Den Dataansvarlige kan ikke indgå Abonnementet uden at godkende denne databehandleraftale.
  5. Den Dataansvarlige vælger igennem Abonnementet hvilke af deres IT-systemer der skal overføres data imellem, samt hvilke kategorier af personoplysninger der overføres mellem IT-systemerne.
  6. Der kan kun overføres de personoplysninger den Dataansvarlige har valgt at opbevare i deres IT-systemer. Den Dataansvarlige kan til enhver tid via login i Systemet se alle de personoplysninger, der behandles i Systemet.

4. Formål og behandlingsgrundlag

  1. Levering af tjenester, administration af kundeforhold og support. Behandles efter databeskyttelsesforordningen artikel 6, stk. 1, litra b, da det er nødvendigt for at opfylde Abonnementet.
  2. Fakturering, bogføring og lovpligtige registreringer. Behandles efter artikel 6, stk. 1, litra c, da Databehandleren er retligt forpligtet efter bogføringslovgivningen.
  3. Servicebeskeder om drift, ændringer i vilkår og sikkerhed. Behandles efter artikel 6, stk. 1, litra f, på grundlag af Databehandlerens legitime interesse i at informere om forhold, der er nødvendige for brugen af tjenesten.
  4. Markedsføring via e-mail sendes kun, hvis den Dataansvarlige har givet samtykke, jf. artikel 6, stk. 1, litra a. Den Dataansvarlige kan til enhver tid trække samtykket tilbage.

5. Fortrolighed

  1. Databehandleren må kun give adgang til personoplysninger, som behandles på vegne af den Dataansvarlige, for personer der er underlagt Databehandlerens instruktioner og som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. Dette må kun ske i det omfang, der er nødvendigt. Listen over personer, der har fået adgang, skal løbende revideres. Hvis det viser sig, at adgangen ikke længere er nødvendig, skal adgangen til personoplysningerne lukkes, og oplysningerne skal ikke længere være tilgængelige for disse personer.
  2. På anmodning fra den Dataansvarlige skal Databehandleren være i stand til at dokumentere, at de pågældende personer, som er underlagt Databehandlerens instruktioner, også er underlagt den nævnte tavshedspligt.

6. Behandlingssikkerhed og sikkerhedsforanstaltninger

  1. Ifølge Artikel 32 i databeskyttelsesforordningen skal både den dataansvarlige og databehandleren træffe passende tekniske og organisatoriske foranstaltninger for at beskytte personoplysninger. Dette skal tage hensyn til den aktuelle teknologi, omkostningerne ved implementering, arten af behandlingen, omfanget, sammenhængen og formålet med behandlingen samt vurdering af risiciene for fysiske personers rettigheder og frihedsrettigheder.
  2. Den dataansvarlige skal vurdere risiciene ved behandlingen og træffe foranstaltninger for at minimere dem. Ifølge samme artikel skal også databehandleren, uafhængigt af den dataansvarlige, vurdere og håndtere risiciene ved behandlingen. For at gøre dette skal den dataansvarlige give databehandleren alle nødvendige oplysninger, så de kan identificere og vurdere risiciene.
  3. Databehandleren skal også støtte den dataansvarlige med at overholde deres forpligtelser ifølge Artikel 32 i forordningen. Dette indebærer at give den nødvendige information om de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har implementeret ifølge Artikel 32, samt alle andre oplysninger, der er nødvendige for den dataansvarliges overholdelse af deres forpligtelser ifølge samme artikel.
    • Databehandlerens fysiske sikkerhedsforanstaltninger:
      • Databehandleren foretager sikring af fysiske lokaler med bl.a. videoovervågning.
    • Databehandlerens organisatoriske sikkerhedsforanstaltninger:
      • Databehandleren sørger for, at kun de personer, der er bemyndiget til det, kan få adgang til de personoplysninger, der behandles på vegne af den Dataansvarlige.
      • Databehandleren garanterer, at de personer, der har tilladelse til at behandle personoplysninger på vegne af den Dataansvarlige, enten har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. Derudover sikres det, at medarbejderne overholder betingelserne i databehandleraftalen.
      • Databehandlerens medarbejdere er bekendt med og forpligtet til at følge interne retningslinjer for, hvordan sikkerhedsbrud skal behandles.
    • Databehandlerens tekniske sikkerhedsforanstaltninger:
      • Databehandleren anvender udelukkende hard- og software af høj kvalitet, der løbende opdateres, herunder antivirus software, anti-hacking software og firewalls.
      • Al kommunikation til/fra Systemet foregår krypteret (https) og understøtter en 256/128 bit TLS-forbindelse.
      • Adgang til Databehandlerens interne IT-systemer sker via krypterede login-oplysninger, som sikrer, at uvedkommende ikke kan få adgang. Hertil sikres login med to-faktor autentificering (2FA).
      • Til brug for integration i Systemet med den Dataansvarliges IT-systemer modtager Databehandleren de nødvendige kodeord og adgangsinformationer. Databehandleren sletter oplysningerne efter opsætning af integrationen er fuldendt, medmindre Parterne indgår særskilt aftale om andet. Den Dataansvarlige bør samtidig ændre og slette de tilsendte oplysninger.
  4. Når du sender fakturaer gennem integrationen (valgfri indstilling), forbinder Systemet via Google OAuth. Systemets brug og overførsel til enhver anden app af oplysninger modtaget fra Googles API’er vil overholde Google API-tjenesternes brugerdatapolitik (“API Services User Data Policy”), herunder kravene til begrænset brug (“Limited Use”).
  5. Databehandleren foretager afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger 1 gang årligt.

7. Anvendelse af underdatabehandlere

  1. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2, og stk. 4, for at gøre brug af en anden Databehandler (en underdatabehandler).
  2. Databehandleren må ikke gøre brug af en underdatabehandler til opfyldelse af databehandleraftalen uden forudgående generel skriftlig godkendelse fra den Dataansvarlige.
  3. Databehandleren har den Dataansvarliges generelle godkendelse til brug af underdatabehandlere. Databehandleren skal skriftligt underrette den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere med mindst 1 måneds varsel og dermed give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer inden brugen af de omhandlede underdatabehandlere.
  4. Når Databehandleren gør brug af en underdatabehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af den Dataansvarlige, skal Databehandleren, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der fremgår af disse Bestemmelser, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen overholder kravene i disse Bestemmelser og databeskyttelsesforordningen.
    Databehandleren er derfor ansvarlig for at kræve, at underdatabehandleren som minimum overholder Databehandlerens forpligtelser i denne databehandleraftale og databeskyttelsesforordningen.
  5. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver Databehandleren fuldt ansvarlig over for den Dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser. Dette påvirker ikke de registreredes rettigheder, der følger af databeskyttelsesforordningen, herunder særligt forordningens artikel 79 og 82, over for den Dataansvarlige og Databehandleren, herunder underdatabehandleren.
  6. Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun foretages af Databehandleren på baggrund af dokumenteret instruks herom fra den Dataansvarlige og skal altid ske i overensstemmelse med databeskyttelsesforordningens kapitel 5.
  7. Hvis overførsel af personoplysninger til tredjelande eller internationale organisationer, som Databehandleren ikke er blevet instrueret i at foretage af den Dataansvarlige, kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt, skal Databehandleren underrette den Dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.
  8. Uden dokumenteret instruks fra den Dataansvarlige kan Databehandleren således ikke inden for rammerne af denne databehandleraftale:
    • Overføre personoplysninger til en Dataansvarlig eller Databehandler i et tredjeland eller en international organisation.
    • Overlade behandling af personoplysninger til en underdatabehandler i et tredjeland.
    • Behandle personoplysningerne i et tredjeland.
  9. Den Dataansvarliges instruks vedrørende overførsel af personoplysninger til et tredjeland, herunder det eventuelle overførselsgrundlag i databeskyttelsesforordningens kapitel V, som overførslen er baseret på, udgør Abonnementet.
  10. Denne databehandleraftale skal ikke forveksles med standardkontraktbestemmelser som omhandlet i databeskyttelsesforordningens artikel 46, stk. 2, litra c og d, og denne databehandleraftale kan ikke udgøre et grundlag for overførsel af personoplysninger som omhandlet i databeskyttelsesforordningens kapitel V.
  11. Anvendte underdatabehandlere:
    • 1password – sikker login opbevaring
    • 3CX – telefonsystem
    • Clearhaus – betalingsindløser
    • e-conomic – bogholderi
    • Frisbii – abonnementshåndtering
    • Google Cloud EMEA Limited² – Server hosting (Cloud), email (Gmail/Groups) og fil-deling (Drive)
    • Intercom Inc.¹ – sagsbehandling
    • Nordea – bank og betalinger/overførsler
    • product fruits – hints og vejledninger i platform
    • Rykkerportalen ApS – rykker- og inkassohåndtering
    • Slack¹ – sagshåndtering og kommunikation
    • Viptel – telefonsystem

¹ Overfører til tredjeland via SCC (Kommisionens standardaftaler)
² Overfører til tredjeland via EU-U.S. Data Privacy Framework

8. Bistand til den Dataansvarlige

  1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.
  2. Dette indebærer, at Databehandleren så vidt muligt skal bistå den Dataansvarlige i forbindelse med, at den Dataansvarlige skal sikre overholdelsen af:
    • oplysningspligten ved indsamling af personoplysninger hos den registrerede
    • oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede
    • indsigtsretten
    • retten til berigtigelse
    • retten til sletning (”retten til at blive glemt”)
    • retten til begrænsning af behandling
    • underretningspligten i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
    • retten til dataportabilitet
    • retten til indsigelse
    • retten til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering
  3. I tillæg til Databehandlerens forpligtelse til at bistå den Dataansvarlige i henhold til 6.3, bistår Databehandleren endvidere, under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren, den Dataansvarlige med:
    • den Dataansvarliges forpligtelse til uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, at anmelde brud på persondatasikkerheden til Datatilsynet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder
    • den Dataansvarliges forpligtelse til uden unødig forsinkelse at underrette den registrerede om brud på persondatasikkerheden, når bruddet sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder
    • den Dataansvarliges forpligtelse til forud for behandlingen at foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger (en konsekvensanalyse)
    • den Dataansvarliges forpligtelse til at høre Datatilsynet inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den Dataansvarlige for at begrænse risikoen.

9. Underretning om brud på persondatasikkerheden

  1. Databehandleren underretter uden unødig forsinkelse den Dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.
  2. Databehandlerens underretning til den Dataansvarlige skal om muligt ske senest 72 efter, at denne er blevet bekendt med bruddet, sådan at den Dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, jf. databeskyttelsesforordningens artikel 33.
  3. I overensstemmelse med punkt 9.2 skal Databehandleren bistå den Dataansvarlige med at foretage anmeldelse af bruddet til den kompetente tilsynsmyndighed. Det betyder, at Databehandleren skal bistå med at tilvejebringe nedenstående information, som ifølge artikel 33, stk. 3, skal fremgå af den Dataansvarliges anmeldelse af bruddet til den kompetente tilsynsmyndighed:
    • karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger
    • de sandsynlige konsekvenser af bruddet på persondatasikkerheden
    • de foranstaltninger, som den Dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

10. Sletning og returnering af oplysninger

  1. I Systemet opbevarer Databehandler den persondata, som behandles efter den Dataansvarliges instruks, opbevares så længe Abonnementet er aktivt og i op til 6 måneder efter ophør, medmindre længere opbevaring er nødvendig af hensyn til krav eller tvister. Dette bruges til logging og fejlfinding. Ligeledes opbevares sagsbehandling i aftaleperioden og i op til 12 måneder efter Abonnementets ophør.
  2. Faktura og bogføringsmateriale for den Dataansvarlige opbevares i 5 år fra udløbet af regnskabsåret i henhold til bogføringslovgivningen.
  3. Ved ophør af Abonnementet er Databehandleren forpligtet til at slette alle den Dataansvarliges personoplysninger inden 6 måneder, ekskl. data nævnt i afsnit 10 der slettes efter deres udløb, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne.
  4. Databehandleren forpligter sig til alene at behandle personoplysningerne til de(t) formål, i den periode og under de betingelser, som disse regler foreskriver.

11. Revision, herunder inspektion

  1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelsen af databeskyttelsesforordningens artikel 28 og denne databehandleraftale, til rådighed for den Dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige.
  2. Den Dataansvarliges eventuelle udgifter i forbindelse med en revision og/eller fysisk inspektion afholdes af den Dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den Dataansvarlige kan gennemføre sin revision og/eller inspektion.
  3. Databehandleren er forpligtet til at give tilsynsmyndigheder, som efter gældende lovgivningen har adgang til den Dataansvarliges eller Databehandlerens faciliteter, eller repræsentanter, der optræder på tilsynsmyndighedens vegne, adgang til Databehandlerens fysiske faciliteter mod behørig legitimation.

12. Parternes aftale om andre forhold

  1. Parterne kan indgå yderligere aftaler i forbindelse med Abonnementet, såsom bestemmelser om erstatningsansvar, så længe disse supplerende bestemmelser ikke går imod selve databehandleraftalen eller begrænser de grundlæggende rettigheder og frihedsrettigheder, som den registrerede har i henhold til databeskyttelsesforordningen.

13. Ikrafttræden og ophør

  1. Databehandleraftalen træder i kraft samtidig med Abonnementet. Databehandleraftalen er gældende, så længe Abonnementet varer. I denne periode kan databehandleraftalen ikke opsiges, medmindre andre bestemmelser, der regulerer levering af tjenesten vedrørende behandling af personoplysninger, aftales mellem parterne.
  2. Begge parter kan kræve databehandleraftalen genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i databehandleraftalen giver anledning hertil.
  3. Hvis Abonnementet ophører, og personoplysningerne er slettet eller returneret til den Dataansvarlige i overensstemmelse med afsnit 10, vil databehandleraftalen automatisk opsiges da der ikke længere foreligger instruks vedrørende behandling af personoplysninger fra den Dataansvarliges side.

Tilpasset dit behov

IEX er en platform, der automatiserer størstedelen af dine bogføringsopgaver for dit webshopsalg.

Prøv 14 dage gratis

*Prøveperiode tilbydes ikke på systemer med påkrævet opsætning

Info

Genveje

Integrationer

Fra bloggen

Ny podcast: Tal, Tech og Troværdighed
Nordisk strategi i tæt samarbejde med Visma MyStore, Fiken og Fortknox
Efteråret startede ude med fuld fart på
Succesvirksomhed 2025!
Dandomain og Swedbank Pay samarbejder med IEX omkring optimal indløser håndtering
IEX logo
Facebook Linkedin Youtube Instagram