Har du mere end 20 medarbejdere? Lad os tage en snak om, hvad Salary kan gøre for dig.
Prøv nu

Databehandleraftale

I henhold til artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (databeskyttelsesforordningen/GDPR), med det formål at regulere databehandlerens behandling af personoplysninger, er denne databehandleraftale (DPA) et tillæg til servicevilkårene (Terms of Service) mellem Shine Platform og abonnenten.

Databehandleraftalen anses for at være underskrevet af den dataansvarlige ved underskrift af servicevilkårene.

“Databehandler” betyder:

Shine Salary ApS

CVR-nr. 37 62 84 09

Fiolstræde 17B

1171 København K, herefter benævnt ”Salary”.

 

“Dataansvarlig” betyder: Kunden hos Salary.

 

Salary og kunden benævnes under ét ”Parterne”.

Introduktion

Ved brug af Tjenesterne og eventuelle tilgængelige tillægsfunktioner eller integrationer i forbindelse med platformen (heraf benævnt ”Tjenesterne”), vil Databehandleren være ansvarlig for behandlingen af personoplysninger på Platformen.

Databehandleren behandler udelukkende personoplysninger efter dokumenteret instruks fra den Dataansvarlige og i overensstemmelse med Databehandlerens privatlivspolitik, forudsat at denne politik ikke er i modstrid med den Dataansvarliges instrukser i henhold til denne Aftale eller GDPR.

Denne Databehandleraftale er indgået mellem Parterne, for at begge Parter kan overholde national databeskyttelseslovgivning, herunder GDPR, samt beskyttelsen af privatlivets fred og fysiske personers grundlæggende rettigheder. Databehandleraftalen fastlægger de instrukser, hvorefter Databehandleren behandler personoplysninger på vegne af den Dataansvarlige. Databehandleraftalen består af tre bilag, som udgør en integreret del heraf.

Den Dataansvarliges ansvar og forpligtelser

Den Dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med GDPR, jf. GDPR artikel 24, samt de nationale databeskyttelsesregler.

Den Dataansvarlige er berettiget og forpligtet til at træffe beslutninger vedrørende de(t) formål, hvortil personoplysninger behandles, samt de tekniske hjælpemidler, der anvendes til behandlingen. Herudover er den Dataansvarlige ansvarlig for at sikre et lovligt behandlingsgrundlag for behandlingen og overførslen af de personoplysninger, som Databehandleren instrueres i at udføre.

Som Dataansvarlig skal denne opfylde alle oplysningsforpligtelser over for de registrerede vedrørende behandlingen af deres personoplysninger samt stille de fornødne garantier i forhold til alle tekniske og sikkerhedsmæssige foranstaltninger til beskyttelse af de registreredes personoplysninger.

Ved brug af Platformen er den Dataansvarlige alene ansvarlig for at levere de personoplysninger, der er angivet i Bilag A, og for at begrænse behandlingen af data uden for specifikationerne heri, herunder særlige kategorier af personoplysninger som angivet i GDPR artikel 9.

Den Dataansvarlige giver udtrykkeligt samtykke til, at Databehandleren fungerer som udbyder af kontooplysningstjenester (AISP) i overensstemmelse med gældende national lovgivning, der implementerer direktiv (EU) 2015/2366 om betalingstjenester i det indre marked (PSD2).

Dette samtykke er nødvendigt for, at Databehandleren kan tilgå og behandle personoplysninger indhentet fra den Dataansvarliges betalingskonti, udelukkende med det formål at levere de anmodede tjenester, såsom kontosammenlægning, transaktionshistorik og funktioner til økonomisk automatisering.

Den Dataansvarlige kan til enhver tid tilbagekalde dette samtykke. Ved en sådan tilbagekaldelse ophører de relaterede kontooplysningstjenester automatisk, og Databehandleren skal indstille alle tilknyttede behandlingsaktiviteter, medmindre andet er tilladt eller påkrævet i henhold til gældende lovgivning.

Databehandleren skal sikre, at adgang til kontooplysninger er begrænset til, hvad der er strengt nødvendigt for udførelsen af den anmodede tjeneste, og at al behandling udføres i overensstemmelse med GDPR og relevante nationale regler for betalingstjenester.

Databehandlerens ansvar og forpligtelser

Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige og behandler disse på vegne af den Dataansvarlige. Den Dataansvarlige instruerer Databehandleren i at behandle personoplysninger i) i overensstemmelse med gældende lovgivning, ii) for at opfylde sine forpligtelser i henhold til aftalen mellem den Dataansvarlige og Databehandleren, og iii) som beskrevet i denne Aftale.

Databehandleren er ansvarlig for at underrette den Dataansvarlige, hvis en instruks efter Databehandlerens opfattelse er i strid med GDPR eller national databeskyttelseslovgivning.

I tilfælde af at Databehandleren vurderer, at en instruks fra den Dataansvarlige er ulovlig eller i strid med gældende lovgivning, er Databehandleren forpligtet til at informere den Dataansvarlige, som skal berigtige instruksen i tide. Hvis den Dataansvarlige ikke er i stand til at berigtige instruksen, er Databehandleren berettiget til at ophøre tjenesteaftalen mellem Parterne.

Databehandleren bistår den Dataansvarlige med at implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger under hensyntagen til behandlingens karakter og kategorien af personoplysninger.

Herudover bistår Databehandleren den Dataansvarlige i forbindelse med anmodninger fra de registrerede vedrørende udøvelsen af deres rettigheder i henhold til GDPR. Databehandleren besvarer ikke disse anmodninger, medmindre det er godkendt af den Dataansvarlige.

Ved anmodning fra den Dataansvarlige om information eller bistand vedrørende den Dataansvarliges sikkerhedsforanstaltninger eller behandling af personoplysninger generelt, og såfremt en sådan anmodning overstiger, hvad der er nødvendigt i henhold til gældende databeskyttelseslovgivning, er Databehandleren berettiget til at kræve betaling for sådanne yderligere tjenester.

Databehandleren sikrer fortrolighed i forbindelse med behandlingen af personoplysninger, herunder for den Dataansvarliges medarbejdere. Dette gælder også efter Databehandleraftalens ophør.

Databehandleren er ikke ansvarlig for indirekte tab, hændelige skader, særlige skader, følgeskader eller pønalt begrundede skadeserstatninger, herunder driftstab, tab af omsætning eller data, selvom Databehandleren er blevet underrettet om muligheden for sådanne skader. Databehandleren samlede maksimale erstatningsansvar, der udspringer af eller i forbindelse med denne Aftale, uanset om det er kontraktligt, uden for kontrakt eller på anden vis, skal begrænses til det samlede beløb, som den Dataansvarlige har betalt til Databehandleren i henhold til Servicevilkårene i de tolv (12) måneder forud for den begivenhed, der giver anledning til kravet. Denne begrænsning finder anvendelse uanset antallet eller arten af krav og uanset søgsmålsgrundlag, undtagen i tilfælde af forsætlig misligholdelse eller grov uagtsomhed udvist af Databehandleren, som er bevist ved en kompetent domstol.

Brug af underdatabehandlere

Databehandleren skal opfylde betingelserne i GDPR artikel 28, stk. 2 og 4, for at kunne gøre brug af en anden databehandler (underdatabehandlere).

Databehandleren benytter underdatabehandlere, herunder enheder i Shine Group og tredjepartsudbydere, inden for eller uden for EU/EØS, til at levere sine Tjenester.

Databehandleren har indgået databehandleraftaler med alle underdatabehandlere, og en udtømmende liste over disse findes i Bilag B. Databehandleren sikrer, at alle underdatabehandlere overholder de tilsvarende forpligtelser og krav i denne Databehandleraftale samt databeskyttelseslovgivningen.

Denne Aftale skal anses for at være den Dataansvarliges generelle skriftlige godkendelse til brug af underdatabehandlere i overensstemmelse med GDPR artikel 28, stk. 2.

Databehandleren overfører data til partnere som en del af den leverede tjeneste til den Dataansvarlige. Ved at acceptere vilkårene i tjenesteaftalen er den Dataansvarlige informeret om, at Databehandlerens partnere vil modtage personoplysningerne med henblik på at give et tilbud på den anmodede tjeneste fra den Dataansvarlige.

Ved overførsel af personoplysninger til lande uden for EU/EØS sikrer Databehandleren, at sådanne overførsler sker i overensstemmelse med GDPR kapitel V, og at der garanteres et tilstrækkeligt beskyttelsesniveau.

Databehandleren kan støtte sig til forskellige juridiske overførselsmekanismer i henhold til GDPR, herunder, men ikke begrænset til:

  • Europa-Kommissionens afgørelser om tilstrækkeligheden af beskyttelsesniveauet,
  • EU-Kommissionens standardkontraktbestemmelser (SCCs),
  • bindende virksomhedsregler (BCRs), hvor det er relevant, eller
  • andre passende garantier som anført i GDPR artikel 46.

Hvor det er påkrævet, skal Databehandleren implementere supplerende tekniske, organisatoriske og kontraktlige foranstaltninger for at sikre, at de overførte personoplysninger nyder et beskyttelsesniveau, der reelt svarer til det, der er garanteret inden for EU/EØS.

Hvis Databehandleren udskifter underdatabehandlere, vil den Dataansvarlige blive underrettet og har ret til at gøre indsigelse mod en sådan udskiftning, hvis den nye underdatabehandler ikke behandler personoplysninger i overensstemmelse med den gældende databeskyttelseslovgivning. Hvis den Dataansvarlige gør indsigelse mod brugen af en ny underdatabehandler på baggrund af rimelige og dokumenterede databeskyttelsesgrunde, skal Parterne indlede drøftelser i god tro for at løse sagen. Hvis der ikke opnås en løsning inden for tredive (30) dage, forbeholder Databehandleren sig retten til at fortsætte med at bruge underdatabehandleren, medmindre den Dataansvarlige vælger at opsige den relevante del af de tjenester, der er berørt af indsigelsen. Opsigelse giver ikke ret til nogen form for kompensation, erstatning eller ansvar på Databehandlerens vegne.

Databehandleren er ansvarlig for at kræve underdatabehandlernes overholdelse af Databehandlerens forpligtelser som anført i denne Databehandleraftale samt GDPR.

Efter rimelig anmodning skal Databehandleren give den Dataansvarlige relevante oplysninger, der dokumenterer, at underdatabehandlerne er underlagt tilsvarende databeskyttelsesforpligtelser, herunder et resumé eller uddrag af databeskyttelsesklausulerne i underdatabehandleraftalerne, hvor det er nødvendigt for at påvise overholdelse. Fuldstændige kopier af underdatabehandleraftaler kræves ikke, medmindre det er påbudt ved gældende lov eller af en tilsynsmyndighed.

I tilfælde af en underdatabehandlers brud på databeskyttelsesreglerne er Databehandleren fuldt ud ansvarlig for at sikre, at underdatabehandleren opfylder sine forpligtelser over for den Dataansvarlige.

Koncernenheders adgang

Den Dataansvarlige anerkender og accepterer, at Databehandleren kan give adgang til de personoplysninger, der behandles i henhold til denne Aftale, til andre enheder i Shine Group, herunder tilknyttede selskaber, moderselskaber og datterselskaber, i det omfang det er nødvendigt for udførelsen, vedligeholdelsen, sikkerheden og forbedringen af Tjenesterne.

Disse koncernenheder kan operere inden for eller uden for EU/EØS. I sådanne tilfælde sikrer Databehandleren, at alle dataoverførsler overholder GDPR kapitel V, og at der er etableret passende garantier. En liste over relevante koncernenheder og deres roller kan stilles til rådighed for den Dataansvarlige efter anmodning.

Koncernenheders adgang skal ikke anses for at være brug af nye underdatabehandlere, der kræver særskilt underretning.

Fortrolighed

Databehandleren må kun give adgang til de personoplysninger, der behandles på vegne af den Dataansvarlige, til personer under Databehandlerens instruktionsbeføjelse, som har påtaget sig en fortrolighedsforpligtelse.

Efter anmodning fra den Dataansvarlige skal Databehandleren påvise fortrolighedsforanstaltningerne for de pågældende personer.

Behandlingssikkerhed

Den Dataansvarlige er ansvarlig for at definere de overordnede sikkerhedskrav, og Databehandleren skal implementere foranstaltninger i overensstemmelse hermed.

Databehandleren skal implementere passende tekniske og organisatoriske foranstaltninger som krævet i henhold til GDPR artikel 32, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og de specifikke risici, der er forbundet med de behandlingsaktiviteter, som udføres på vegne af den Dataansvarlige.

Efter dokumenteret anmodning skal Databehandleren bistå den Dataansvarlige, inden for rammerne af behandlingsaktiviteterne i denne Aftale og i det omfang, det er rimeligt muligt, med at sikre overholdelse af forpligtelserne i henhold til GDPR artikel 32.

Overførsel af personoplysninger til tredjelande eller internationale organisationer

Databehandleren må kun overføre personoplysninger til et tredjeland eller en international organisation på baggrund af dokumenterede instrukser fra den Dataansvarlige og altid i overensstemmelse med GDPR kapitel V.

Databehandleren kan foretage sådanne overførsler, hvis det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt. I sådanne tilfælde skal Databehandleren underrette den Dataansvarlige om det juridiske krav forud for behandlingen, medmindre en sådan oplysning er forbudt af hensyn til vigtige samfundsmæssige interesser i medfør af gældende lovgivning.

Databehandleren skal opbevare dokumentation for den Dataansvarliges instrukser i følgende situationer:

  • overførsel af personoplysninger til en dataansvarlig eller databehandler i et tredjeland eller en international organisation;
  • benyttelse af en underdatabehandler beliggende i et tredjeland;
  • behandlingsaktiviteter udført i et tredjeland.

Den Dataansvarlige anerkender og accepterer, ved underskrift af denne Aftale, Databehandlerens brug af underdatabehandlere beliggende i tredjelande som anført i Bilag B. Databehandleren skal sikre, at alle sådanne overførsler baseres på en gyldig overførselsmekanisme i henhold til GDPR kapitel V, hvilket kan omfatte: – en afgørelse fra Europa-Kommissionen om tilstrækkeligheden af beskyttelsesniveauet; – standardkontraktbestemmelser (SCCs) vedtaget af Kommissionen; – bindende virksomhedsregler (BCRs); eller – andre passende garantier som tilladt i henhold til GDPR artikel 46.

Hvor det er påkrævet, skal Databehandleren implementere supplerende tekniske, organisatoriske eller kontraktlige foranstaltninger for at sikre, at beskyttelsesniveauet for personoplysninger reelt svarer til niveauet inden for EU/EØS, i overensstemmelse med gældende juridisk vejledning (f.eks. EDPB’s anbefalinger og nationale tilsynsmyndigheders forventninger).

Databehandleren kan ikke holdes ansvarlig for overførsler foretaget i overensstemmelse med den Dataansvarliges instrukser og kravene i GDPR kapitel V, medmindre Databehandleren har undladt at implementere de aftalte garantier. Eventuelle forpligtelser vedrørende vurderingen af de retlige rammer i modtagerlandet eller udførelsen af en konsekvensanalyse af overførslen (TIA) skal koordineres i fællesskab af Parterne, idet den Dataansvarlige bærer det primære ansvar for beslutningen om at fortsætte.

Databehandleren har indgået skriftlige databehandleraftaler med alle underdatabehandlere og har sikret, at alle relevante garantier og kontraktlige forpligtelser er på plads for at garantere overholdelse af gældende databeskyttelseslovgivning i forbindelse med dataoverførsler uden for EU/EØS.

Bistand til den Dataansvarlige

Databehandleren skal bistå den Dataansvarlige, i det omfang det er rimeligt muligt og under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren, med at opfylde den Dataansvarliges forpligtelser i henhold til gældende databeskyttelseslovgivning, herunder GDPR og eventuel relevant national lovgivning.

En sådan bistand kan, efter skriftlig og dokumenteret anmodning fra den Dataansvarlige, omfatte:

  • bistand til håndtering af de registreredes anmodninger om at udøve deres rettigheder (indsigt, berigtigelse, sletning, begrænsning, indsigelse og dataportabilitet);
  • støtte til gennemførelse af konsekvensanalyser vedrørende databeskyttelse (DPIA);
  • levering af nødvendige oplysninger til brug for samarbejde med den kompetente tilsynsmyndighed i forbindelse med højrisiko-behandlingsaktiviteter eller brud på persondatasikkerheden.

Databehandleren må ikke besvare de registrerede direkte eller kommunikere med en tilsynsmyndighed, medmindre dette udtrykkeligt er instrueret skriftligt af den Dataansvarlige. Enhver bistand, der overstiger det omfang, der kræves i henhold til GDPR artikel 28, kan være betinget af yderligere vederlag efter aftale mellem Parterne.

Underretning om brud på persondatasikkerheden

Databehandleren skal underrette den Dataansvarlige uden unødig forsinkelse, efter at denne er blevet opmærksom på et brud på persondatasikkerheden, som berører de personoplysninger, der behandles i henhold til denne Aftale.

Underretningen skal, i det omfang det er kendt på det pågældende tidspunkt, indeholde relevante oplysninger for at bistå den Dataansvarlige med at opfylde sine forpligtelser i henhold til GDPR artikel 33 og, hvor det er relevant, artikel 34.

Databehandleren skal yde rimeligt samarbejde og bistand til den Dataansvarlige i forbindelse med undersøgelse og begrænsning af bruddet samt ved udarbejdelse af eventuelle påkrævede underretninger til tilsynsmyndigheder eller de registrerede, under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren.

Hvis bruddet sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal Databehandleren bistå den Dataansvarlige med at udarbejde eventuel kommunikation til de berørte registrerede, som påkrævet i henhold til gældende databeskyttelseslovgivning.

Sletning og tilbagelevering af personoplysninger

Ved ophør af den tjeneste, der omfatter behandling af personoplysninger, er Databehandleren forpligtet til at slette alle personoplysninger, der er behandlet på vegne af den Dataansvarlige, og bekræfte over for den Dataansvarlige, at personoplysningerne er blevet slettet.

Ovenstående gælder ikke, hvis EU-ret eller national lovgivning kræver opbevaring af personoplysninger efter tjenestens ophør. Endvidere gælder ovenstående ikke for personoplysninger, som behandles af Databehandleren i dennes egenskab af dataansvarlig i kundeforholdet mellem Parterne. Dette omfatter opbevaring i overensstemmelse med særlovgivning, herunder den danske bogføringslov.

Revision og tilsyn

Databehandleren skal efter anmodning give den Dataansvarlige de oplysninger, der er strengt nødvendige for at påvise overholdelse af de forpligtelser, der er fastsat i denne Aftale og i henhold til gældende databeskyttelseslovgivning, herunder GDPR.

Databehandleren skal desuden give kompetente tilsynsmyndigheder adgang til sine faciliteter eller dokumentation, hvor det kræves i henhold til gældende lovgivning.

 

Ændringer

Databehandleren forbeholder sig retten til til enhver tid at ændre denne Databehandleraftale (DPA). Den Dataansvarlige skal informeres om sådanne ændringer via e-mail eller via platformen.

Bortset fra ændringer vedrørende underdatabehandlere, som er reguleret i Bilag B til Databehandleraftalen, finder ændringer af denne Databehandleraftale anvendelse for den Dataansvarlige femten (15) dage efter, at underretning er givet, selvom dennes engagement går forud for ændringerne.

Hvis ændringerne er til væsentlig ulempe for den Dataansvarlige og ikke er påkrævet i henhold til gældende love, forordninger, direktiver, vejledninger eller afgørelser fra en europæisk databeskyttelsesmyndighed eller ved en retsafgørelse, kan den Dataansvarlige gøre skriftlig indsigelse inden for femten (15) dage efter at være blevet informeret, idet begrundelsen for en sådan indsigelse skal oplyses.

Hvis Parterne ikke er i stand til at nå til enighed inden for tredive (30) dage efter modtagelsen af den Dataansvarliges indsigelse, kan den Dataansvarlige opsige den berørte Tjeneste uden bod ved at sende skriftlig meddelelse til Databehandleren.

Enhver fortsat brug af Tjenesten efter underretningen skal anses for den Dataansvarliges accept af den opdaterede Databehandleraftale.

Andre aftaler mellem Parterne

Parterne kan aftale andre bestemmelser vedrørende den tjeneste, som Databehandleren leverer til den Dataansvarlige, forudsat at sådanne bestemmelser ikke, hverken direkte eller indirekte, er i modstrid med bestemmelserne i denne Databehandleraftale vedrørende behandling af personoplysninger, eller på anden måde forringer de registreredes grundlæggende rettigheder, som er fastsat i databeskyttelseslovgivningen.

Ikrafttræden og ophør

Bestemmelserne i denne Databehandleraftale træder i kraft på datoen for underskrivelsen af Servicevilkårene mellem Parterne.

Databehandleraftalen er gældende i hele tjenesteaftalens løbetid. I denne periode kan Aftalen ikke opsiges af nogen af Parterne, medmindre tjenesteaftalen opsiges samtidigt. Opsigelse af tjenesteaftalen kan ske i overensstemmelse med bestemmelserne vedrørende opsigelse i tjenesteaftalen.

Denne Aftale er underlagt dansk ret, og enhver tvist skal afgøres ved de danske domstole.

Bilag A – Kategorier af personoplysninger og registrerede

 

A.1. Kategorier af registrerede

  • Den Dataansvarliges kontaktperson(er)
  • Den Dataansvarliges medarbejdere
  • Den Dataansvarliges kunde(r) og deres kontaktperson(er)
  • Den Dataansvarliges kunde(r) og deres medarbejder(e)
  • Den Dataansvarliges leverandør(er) og deres kontaktperson(er)

A.2. Kategorier af personoplysninger

  • For- og efternavn
  • Fødselsdato og -sted
  • CPR-nummer
  • Jobtitel
  • Telefonnummer
  • E-mailadresse
  • Adresse
  • IP-adresser
  • Betalingsoplysninger på faktura
  • Løndata

Databehandleren behandler ikke særlige kategorier af personoplysninger (følsomme oplysninger), medmindre denne specifikt er instrueret herom af den Dataansvarlige.

Hvor behandlingen af særlige kategorier af personoplysninger ikke er en naturlig del af de ovennævnte kategorier, opfordres den Dataansvarlige til at anonymisere dataene, før der gives adgang til Databehandleren som anført i denne Aftale.

A.3. Formålene med behandlingen af personoplysninger

De behandlingsformål, der er beskrevet i denne Aftale, forfølges konsekvent på tværs af alle lande, hvor Databehandleren opererer.

  • Afsendelse af fakturaer til den Dataansvarliges kunder
  • Afsendelse af rykkere til den Dataansvarliges kunder
  • Opretholde overblik over leverandører og afstemme mellemværender med disse
  • Føre lager over solgte produkter
  • Føre lager over købte produkter
  • Give et historisk overblik over fakturaer og betalinger for den Dataansvarliges virksomhed
  • Levere automatiske rykkerprocedurer
  • Tilbyde forskellige rapporter og indsigt i den Dataansvarliges virksomhed
  • Modtage betalinger fra den Dataansvarliges kunder
  • Initiere betalinger af den Dataansvarliges modtagne fakturaer
  • Integrere tredjepartssystemer
  • Bogføre udgifter
  • Integrere udgiftskonti til bogføring
  • Opbevare regnskabsmateriale
  • Skatteberegninger
  • Udarbejde skatterapporter
  • Administrere månedlige lønsedler og udbetalinger
  • Månedlig indberetning og betaling af skat og arbejdsmarkedsbidrag/social sikring
  • Udlæg
  • Pensionsberegninger og udbetalinger
  • Geografisk data

Behandlingens karakter omfatter indsamling, opbevaring, strukturering, søgning, brug, analyse, videreformidling ved transmission, sletning og tilintetgørelse.

Personoplysningerne vil blive behandlet i hele kundeforholdets løbetid, indtil Servicevilkårene opsiges af enten den Dataansvarlige eller Databehandleren. Efter ophør af Servicevilkårene vil personoplysninger blive opbevaret i overensstemmelse med Databehandlerens opbevaringsperiode.

Bilag B – Databehandlerens underdatabehandlere

Ud over selskaberne i Shine Group benytter Databehandleren følgende underdatabehandlere, som behandler data på vegne af den Dataansvarlige:

 

Understandable handler Adresse Formål
Amazon Web Services Ørestads Boulevard 73, 2300 København S, Danmark Hosting, udsendelse af e-mails og opbevaring
Cookie Information A/S Købmagergade 19

1150 København, Danmark

 Samtykkeadministration på hjemmesiden
e-Boks A/S Hans Bekkevolds Allé 7, 2900 Hellerup, Danmark Leverer elektronisk post.
Idura Gl. Kongevej 3E, 1, 1610 København, Danmark Leverer digital underskrift af dokumenter.
Intercom 3rd Floor, Stephens Ct. 18-21, St. Stephen’s Green, Dublin 2, Ireland Håndterer kundesupportanmodninger og kommunikation med kunder.
Mastercard Payment Services Denmark Lautrupbjerg 10, Post office box 500, 2750 Ballerup, Danmark Lønoverførsler.
Mit.dk Netcompany A/S Grønningen 17, 1., 1270 København K, Danmark Leverer elektronisk post.
Mixpanel International Inc. 28th Floor, One Front Street, San Francisco CA 94111, United States Analyse af brugeradfærd.
Segment IO, Twilio Ireland Limited 25-28 North Wall Quay, Dublin 1, D01 H104, Ireland Internt hædelssystem.
Twilio Valhalvej 4, 8230 Åbyhøj, Danmark Udsendels af SMS.

 

Bilag C – Instrukser for behandling af personoplysninger

C.1 – Behandlingens karakter og formål

Databehandleren behandler udelukkende personoplysninger baseret på dokumenterede instrukser fra den Dataansvarlige, som defineret nedenfor eller meddelt særskilt skriftligt og godkendt af begge Parter. Behandlingsaktiviteterne udført af Databehandleren omfatter:

  • Levering af en platform til økonomistyring, der blandt andet muliggør fakturering, bogføring og lønhåndtering;
  • De nødvendige operationer for udførelsen af de tjenester, som den Dataansvarlige har valgt i henhold til de generelle servicevilkår;
  • Brug af softwarekomponenter og integrationer valgt af Databehandleren til at levere de nævnte tjenester.

Den Dataansvarlige er alene ansvarlig for at fastlægge behandlingsgrundlaget, herunder i henhold til GDPR artikel 6 og 9. Enhver behandling uden for dette omfang skal være genstand for en særskilt dokumenteret instruks fra den Dataansvarlige.

C.2 – Kategorier af data og registrerede

Kategorierne af personoplysninger og registrerede er detaljeret beskrevet i Bilag A. Særlige kategorier af data (GDPR artikel 9) må ikke behandles, medmindre det udtrykkeligt og formelt er godkendt af den Dataansvarlige. Den Dataansvarlige opfordres til at anonymisere eller pseudonymisere sådanne data, når det er muligt.

C.3 – Sikkerhedsforanstaltninger

Databehandleren skal implementere, vedligeholde og om nødvendigt tilpasse passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen, i overensstemmelse med GDPR artikel 32. Databehandleren sikrer navnlig, at:

  • Personer, der er autoriseret til at behandle dataene, er bundet af fortrolighed;
  • Adgang til data er begrænset til autoriseret personale strengt inden for rammerne af deres ansvarsområder;
  • Systemer er beskyttet mod uautoriseret adgang gennem fysiske og logiske sikkerhedsforanstaltninger;
  • Der er procedurer for regelmæssig test og evaluering af effektiviteten af disse sikkerhedsforanstaltninger.

C.4 – Opbevaring og sletning af data

Databehandleren sletter eller returnerer personoplysningerne ved ophør af kontraktforholdet i overensstemmelse med den Dataansvarliges instrukser, medmindre andet er påkrævet i henhold til EU-ret eller medlemsstaternes lovgivning, herunder til regnskabsmæssige eller skattemæssige formål.

C.5 – Underdatabehandlere

Databehandleren har den Dataansvarliges generelle godkendelse til at benytte de underdatabehandlere, der er anført i Bilag B. Ved ændringer skal den Dataansvarlige informeres på forhånd. Den Dataansvarlige kan gøre begrundet indsigelse inden for 30 dage.

C.6 – Dataoverførsler uden for EØS

Data behandles inden for Det Europæiske Økonomiske Samarbejdsområde (EØS) og af autoriserede underdatabehandlere i Bilag B. Ved overførsler uden for EØS sikrer Databehandleren passende garantier, såsom EU-Kommissionens standardkontraktbestemmelser (SCCs) eller tilstrækkelighed afgørelser.

C.7 – Samarbejde og instrukser om overholdelse

Databehandleren bistår den Dataansvarlige med at håndtere registreredes rettigheder (artikel 12-22) og gennemføre konsekvensanalyser (artikel 35), hvor det er relevant. Databehandleren kommunikerer ikke direkte med registrerede eller tilsynsmyndigheder uden skriftlig instruks.

C.8 – Adgang og revision

Efter anmodning fra den Dataansvarlige, og hvor der er troværdige tegn på manglende overholdelse, skal Databehandleren give adgang til revision. En sådan revision kan finde sted én gang om året med 60 dages varsel og må ikke overstige én arbejdsdag. Den Dataansvarlige bærer alle omkostninger forbundet med en sådan revision.