BetingelserGDPRDatabehandler aftale

Betingelser

Betingelser for anvendelse af denne service


1 Præambel

1.1 Nærværende Betingelser har til formål at beskrive betingelserne for samhandlen mellem kunden og SurveyLabs.

1.2 Betingelserne gælder for alle typer aftaler mellem Parterne, såfremt kunden har accepteret Betingelserne.

1.3 Såfremt en privatperson indgår en aftale med SurveyLabs, er der i det følgende givet oplysninger om de forbrugervilkår, der er gældende for den pågældende aftale.

1.4 SurveyLabs forbeholder sig retten til løbende at foretage ændringer i Betingelserne uden forudgående varsel, dog under den forudsætning, at de opdaterede og gældende Betingelser altid er tilgængelige på SurveyLabss hjemmeside. Hvis en ændring anses for at være væsentlig, vil forbrugere blive orienteret om ændringen med 30 dages varsel.


2 Definitioner

2.1 "Betingelser" er defineret som nærværende Betingelser.

2.2 "SurveyLabs" ejes og drives af CVR.nr. DK26478731

2.3 "Løsning" definerer de ydelser, services og produkter som SurveyLabs leverer til kunden.

2.4 "Parterne" benyttes som fællesbetegnelse for kunden og SurveyLabs.

2.5 "Kontoen" betegner den SurveyLabs konto, som Løsninger er tildelt og administreres igennem.

2.6 "Abonnementsaftale" anvendes for køb af produkter foretaget igennem SurveyLabs's hjemmeside.


3 Betalingsbetingelser, priser og gebyrer

3.1 Alle priser på SurveyLabs's hjemmeside er som udgangspunkt opgivet i EUR/DKK/SEK/NOK. Hvorvidt moms er indregnet i prisen, afhænger af den respektive valuta og vil altid være opgivet på hjemmesiden.

3.2 Alle Løsninger skal som udgangspunkt betales via online betaling.

3.3 Kunden kan gebyrfrit foretage en op- eller nedgradering af sin Løsning via sit kontrolpanel.

3.4 Såfremt kunden opgraderer et produkt, skal kunden som udgangspunkt betale prisdifferencen for det oprindelige produkt og det opgraderede produkt, i resten af den oprindelige bindingsperiode. Først fra den næste faktureringsperiode vil det opgraderede produkt blive faktureret selvstændigt.

3.5 Såfremt kunden nedgraderer et produkt, skal kunden fortsat betale prisen for det oprindelige produkt i resten af den oprindelige bindingsperiode. Først fra den næste faktureringsperiode vil det nedgraderede produkt blive faktureret selvstændigt.

3.6 SurveyLabs tager forbehold for tastefejl, prisændringer, udgåede varer samt leverancesvigt fra underleverandører.

3.7 SurveyLabs kan regulere alle priser og gebyrer med minimum en måneds varsel. Prisreguleringen af eksisterende aftaler træder i kraft ved næste faktureringsperiode.

3.8 Såfremt forhold uden for SurveyLabs's kontrol indtræffer, herunder lovmæssige eller retslige forhold, samt prisstigninger fra SurveyLabs's underleverandører, er SurveyLabs berettiget til at foretage prisforhøjelser uden varsel. Ved stigende energiudgifter, forbeholder SurveyLabs sig ret til at pålægge en tilsvarende energiafgift til dækning af de øgede energiudgifter. Sådanne prisændringer og afgifter skal varsles, med minimum en måneds varsel, over for kunden.


4 Oprettelse

4.1 SurveyLabs påbegynder oprettelsen af Løsningen umiddelbart efter at have modtaget kundens betaling.

4.2 For at etablere en aftale hos SurveyLabs, forudsættes det, at kunden er myndig, besidder en gyldig accept fra en myndig værge eller er et registreret selskab. Såfremt dette ikke er tilfældet, kan en aftale ikke etableres.

4.3 Efter oprettelsen vil kunden modtage en e-mail med oplysninger om den bestilte Løsning, samt evt. videre instruktioner til kunden.


5 SurveyLabs's ansvar

5.1 SurveyLabs er uden ansvar for tab som lides ved indirekte skader og følgeskader, herunder tab af forventet avance, tab af data eller deres reetablering, tab af goodwill, tab i forbindelse med betalingsoverførsler, tekniske nedbrud, uvedkommendes adgang eller lignede følgeskade, i forbindelse med anvendelsen af systemet eller tab som følge af manglende funktioner i systemet, uanset om SurveyLabs har været underrettet om muligheden for et sådant tab, og uanset om SurveyLabs kan bebrejdes tabet på baggrund af udvist uagtsomhed eller lignende.

5.2 SurveyLabs tilstræber, at systemerne er tilgængelige 24 timer i døgnet året rundt. SurveyLabs er dog berettiget til at afbryde driften, når vedligeholdelse eller andre tekniske forhold gør det nødvendigt. Sådanne driftsafbrydelser vil så vidt muligt blive varslet forinden.

5.3 SurveyLabs forbeholder sig ret til at opsige en kundes igangværende Løsning med 30 dages skriftligt varsel. I tilfælde hvor kunden har forudbetalt for en periode, der afbrydes som følge af SurveyLabs's opsigelse, er kunden berettiget til at få det forudbetalte beløb refunderet, for den del af den forudbetalte periode, hvor produktet er opsagt.


6 Erstatning

6.1 Parterne er erstatningspligtige efter dansk rets almindelige regler. Erstatningsbeløbet vil være begrænset til løsningsvederlaget.

6.2 SurveyLabs er ikke ansvarlig for følgende former for tab:

- Driftstab eller indirekte tab.
- Kundens lønudgifter til eget personale og eksterne omkostninger til inddatering af tabte data og retablering af systemer.
- Kundens udgifter til ekstern konsulentassistance og rådgiverassistance.
- Kundens tab af fortjeneste og/eller goodwill.


7 Force majeure

7.1 Ingen af Parterne skal i henhold til aftalen anses for ansvarlige overfor den modstående Part, for så vidt angår forhold, der ligger udenfor Partens kontrol, og som Parten ikke ved kontraktens underskrift burde have taget i betragtning og ej heller burde have undgået eller overvundet.

7.2 Force majeure kan kun påberåbes, såfremt den pågældende Part har givet skriftligt meddelelse herom til den anden Part senest 5 arbejdsdage efter, at force majeure situationen er indtrådt.

7.3 Tilfælde af force majeure kan være lynnedslag, oversvømmelser, naturkatastrofer, svigtende strømforsyninger, svigtende telekommunikation, ildebrand, røgskade, eksplosion, vandskade, manglende eller forsinket myndighedsgodkendelse, regeringsindgreb, hærværk, indbrud, terrorisme, sabotage, væbnet konflikt, oprør, arbejdsnedlæggelse, strejke og lockout, herunder også strejke og lockout blandt SurveyLabs's egne medarbejdere og eventuelle underleverandører. Ovenstående er gældende selv om SurveyLabs er part i konflikten, og selv om konflikten kun rammer dele af SurveyLabs's funktioner.


8 Fortrydelsesret og opsigelse

8.2 Ved oprettelse af et abonnement gælder 14 dages fortrydelsesret.

8.3 Abonnementsaftaler forudfaktureres for perioden svarenede abonnementsperioden for det valgte produkt. Opsigelse midt i abonnementsperioden, skal ske skriftligt til SurveyLabs via email til support@surveylabs.dk . I dette tilfælde tilbagebetales ikke gebyr for resterende del af forudbetalt abonnementsperiode.
Opsigelse af en Abonnementsaftale sker automatisk, såfremt aftalen ikke forlænges af kunden.

8.4 Når betaling for en Løsning er registreret, vil fejlbestilte eller resterende perioder som udgangspunkt ikke blive tilbagebetalt.


9 Behandling af persondata

9.1 Som led i SurveyLabs's levering af Løsningen, foretager SurveyLabs behandling af eventuelle persondata, som kunden overlader til SurveyLabs.

9.2 SurveyLabs er forpligtet til at træffe de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger mod, at kundens oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab.





10 Værneting

10.1 Nærværende Betingelser skal fortolkes i overensstemmelse med dansk ret.

10.2 Parterne forpligter sig til gennem forhandling at forsøge, at finde en mindelig løsning på konflikter, og bestræbe sig på, at gøre det på en sådan måde, at Parternes anden produktion og andre ydelser ikke berøres heraf.

10.3 I mangel af mindelig løsning efter forhandling, skal sagen afgøres endeligt og bindende ved voldgift efter reglerne for Det Danske Voldgiftsinstitut eller ved en dansk retsinstans efter SurveyLabs's valg.


11 Kontakt

11.1 SurveyLabs tilbyder fri og ubegrænset support igennem vores online kontaktside.

11.2 Hvis kunden ønsker at indgive en klage til SurveyLabs, kan dette ske via igennem SurveyLabs's kontaktside .




General Data Protection Regulation (GDPR)

Indehavere af en konto hos SurveyLabs skal overholde reglerne for GDPR, når der indsamler eller behandler personoplysninger, uanset om de er beligggende i eller udenfor EU.

I forhold til GDPR og spørgeskemaundersøgelser spiller definitionerne af roller og deres ansvar en central rolle.

Personige data

Enhver information, der vedrører en identificeret eller identificerbar fysisk person (registreret) ved hjælp af en identifikator, såsom et navn, identifikationsnummer, placeringsdata, online-identifikator eller en eller flere faktorer, der er specifikke for den fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller fysisk identitet for den fysiske person.


Forarbejdning af data

Enhver handling udført på personlige data, herunder men ikke begrænset til indsamling, organisering, strukturering, opbevaring, ændring, brug, videregivelse ved transmission osv.

RespondenterKontoindehaver

(Dataansvarlig)
SurveyLabs

(Databehandler)


Respondenten (den registrerede)

En person, hvis personoplysninger behandles.


Respondenters rettigheder
Det skal være nemt for dine respondenter til enhver tid at ændre eller tilbagekalde deres samtykke og få deres data slettet fra din undersøgelse.


Den dataansvarlige

Bestemmer formålet med og hvordan de personlige data behandles. I dette tilfælde er den dataansvarlige SurveyLabs-kontoindehaver, der udfører undersøgelser.

Dit ansvar som kontoindehaver og dataansvarlig
Som kontoindehaver og den udfører spørgeskemaundersøgelse er du datanasvarlig, mens SurveyLabs er databehandler.

For den fulde lovtekst og forpligtelser for kontoindehaver som dataansvarlig, besøg https://gdpr-info.eu/chapter-3/

Den datasansvarlige, har ansvaret for de data, som din konto indsætter i systemet. Du er altså ansvarlig for at de data er anskaffet på lovlig vis, og at du kan anvende dem til det formål, som du har oplyst ved spørgeskemaundersøgelsen. Hvis loven overtrædes et eller andet sted i processen, er det dig, der bærer ansvaret.

Når personlige data indsamles eller modtages af den dataansvarlige fra respondenterne, skal den dataansvarlige informere respondenterne om respondenternes rettigheder som anført ovenfor.

Databehandleren hander på den dataansvarliges instruks.


Databehandleren

Behandler data på vegne af den dataansvarlige i henhold til dens instruktioner. I dette tilfælde er databehandleren SurveyLabs, der behandler data på vegne af og i henhold til instruktioner fra SurveyLabs-kontoindehaveren (den dataansvarlig).

SurveyLabs stiller en række værktøjer til rådighed, som gør det let ad administerer data og samtidig gør det lettere at leve op til lovens krav.


Databehandler aftale

Gælder for den / de aftaler, der er indgået af SurveyLabs og kunden vedrørende brug af SurveyLabs s tjenester.


MELLEM:

Kunden i det følgende benævnt "Controller"

og

SurveyLabs, CVR-nr. 26478731 med hjemsted på Fortebakken 6, 8240 Risskov, Danmark, i det følgende benævnt "SurveyLabs" eller "Processor"

kollektivt benævnt "parter" og individuelt benævnt "part"

BETRAGTET

jeg. Processor tilbyder forskellige online databehandlingstjenester, herunder blandt andet et survey- og rapporteringsværktøj til Controller via Processors online platform og / eller konsulenttjenester som nærmere defineret i artikel 1.10 ("Processors Services"), som inkluderer behandling af "Personoplysninger" (som defineret under punkt 1.3) og er i den egenskab en databehandler i juridisk forstand.

ii. Controller har til hensigt at bruge Processors tjenester. Ved brug af Processors tjenester kan Controller dele personlige data om sine dataemner med Processor og er i den egenskab en controller i juridisk forstand.

iii. Parterne anerkender og er enige om, at den registeransvarlige udelukkende bestemmer midlerne og formålene med databehandlerens behandling af personlige data.

iv. Formålet med aftalen er at sikre parternes overholdelse af artikel 28, stk. 3, i den generelle databeskyttelsesforordning, Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 (i det følgende benævnt "GDPR" ) der fastsætter specifikke krav til indholdet af en databehandlingsaftale.

v. I denne aftale ønsker parterne at angive genstanden og varigheden af ​​behandlingen af ​​personoplysninger, arten og formålet med behandlingen, typen af ​​personoplysninger og kategorier af registrerede og parternes forpligtelser og rettigheder .

vi. I tilfælde af uoverensstemmelser mellem denne aftale og andre aftaler mellem parterne, herunder hovedaftalen (som defineret i punkt 1.9), vedrørende et spørgsmål i forbindelse med behandlingen af ​​personoplysninger, har vilkårene i denne aftale forrang.

KONTROLLEN OG PROCESSOREN ER BLEVET ENIGE

Som følger for at sikre passende beskyttelsesforanstaltninger med hensyn til beskyttelse af privatlivets fred og grundlæggende rettigheder og friheder for enkeltpersoner med hensyn til behandling af personoplysninger som specificeret i tillæg 1:

1. Definitioner
1.1. Ud over de definitioner, der anvendes andetsteds i denne aftale, finder nedenstående definitioner anvendelse og har den betydning, der er beskrevet deri.

1.2. Aftale betyder denne databehandlingsaftale inklusive dens bilag;

1.3. Personoplysninger betyder enhver information, der behandles af databehandler i forbindelse med levering af databehandlerens tjenester i henhold til denne aftale vedrørende en identificeret eller identificerbar fysisk person (registreret); en identificerbar person er en person, der kan identificeres direkte eller indirekte, især ved henvisning til en identifikator såsom et navn, et identifikationsnummer, placeringsdata, en online-identifikator eller en eller flere faktorer, der er specifikke for hans fysiske, fysiologiske, genetiske , mental, økonomisk, kulturel eller social identitet for denne person

1.4. Behandling betyder enhver operation eller et sæt operationer foretaget af Processor i forbindelse med Aftalen, der udføres på personlige data, uanset om det sker automatisk eller ikke, såsom indsamling, registrering, organisering, strukturering, lagring, tilpasning eller ændring, hentning, konsultation, anvendelse, videregivelse ved transmission, formidling eller på anden måde at stille til rådighed, tilpasning eller kombination, begrænsning, sletning eller destruktion

1.5. Underprocessor betyder enhver processor, der er involveret af databehandleren til behandling af personoplysninger på vegne af den dataansvarlige.

1.6. Tredjeland betyder lande uden for EU og Det Europæiske Økonomiske Samarbejdsområde (EØS).

1.7. Tredjepart betyder enhver fysisk eller juridisk person, offentlig myndighed, agentur eller ethvert andet organ end den registrerede, den dataansvarlige, databehandleren og de personer, der under den registeransvarliges eller databehandlerens direkte autoritet er autoriseret til Behandle personoplysningerne baseret på hovedaftalen;

1.8. Personbrud betyder brud på sikkerheden, der fører til utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse af eller adgang til, personoplysninger, der overføres, lagres eller på anden måde behandles;

1.9. Hovedaftale betyder enhver aftale, der er indgået mellem Controller og Processor vedrørende brugen af ​​Processors Services, herunder men ikke begrænset til den (de) aftale (r), der er specificeret på første side af denne Aftale;

lers data, herunder personlige data og / eller (ii) konsulenttjenester, der leveres af processoren i henhold til hovedaftalen, og / eller (iii) support og / eller uddannelsestjenester, der leveres af processoren fra tid til anden til den registeransvarlige;

1.10. Processorens tjenester betyder (i) de forskellige online databehandlingstjenester, der leveres af Processor i henhold til hovedaftalen, herunder blandt andet levering af et kortlægnings- og rapporteringsværktøj og hosting af Controllers data, herunder personlige data og / eller (ii) rådgivning tjenester leveret af processoren i henhold til hovedaftalen og / eller (iii) support og / eller uddannelsestjenester leveret af processoren fra tid til anden til den registeransvarlige;

1.11. "EU" betyder Den Europæiske Union inklusive Det Europæiske Økonomiske Samarbejdsområde (EEA).

2. Omfang og detaljer om behandling
2.1. Den registeransvarlige bemyndiger herved databehandleren til at behandle de personlige data på vegne af den dataansvarlige på de vilkår og betingelser, der er beskrevet i denne aftale. Behandleren behandler kun personoplysningerne på dokumenterede instruktioner fra den registeransvarlige. Parterne er enige om, at denne aftale udgør instruktionerne fra datoen for aftalen. Processoren kan - medmindre andet specifikt er angivet i aftalen - anvende alle relevante midler, herunder software, servere og IT-systemer.

2.2. Controlleren kan til enhver tid ændre eller specificere instruktionerne i overensstemmelse med paragraf 11 i denne aftale. Uanset ovenstående kan klausul 11 ​​kun ændres efter fælles overenskomst mellem parterne.

2.3. Detaljerne i behandlingen af ​​personoplysninger og især kategorierne af dataemner, typer personoplysninger og de formål, hvortil de behandles, er specificeret i tillæg 1, som udgør en integreret del af aftalen.

3. Sikkerhedsforanstaltninger
3.1. Behandleren er indforstået med at gennemføre passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen af ​​personoplysningerne vil opfylde kravene i GDPR og andre gældende nationale og EU-databeskyttelseslove og sikre beskyttelsen af ​​de registreredes rettigheder.

3.2. detaljer om de sikkerhedsforanstaltninger, som behandler har truffet i denne henseende til behandlingen af ​​personoplysninger, er specificeret i tillæg 2, som udgør en integreret del af aftalen.

3.3. Parterne er enige om, at de tekniske og organisatoriske foranstaltninger og sikkerhedsniveauet, der er anført i tillæg 2, er tilstrækkelige til at overholde processorens forpligtelser, der er fastsat i denne klausul 3 på tidspunktet for indgåelsen af ​​denne aftale.

3.4. Hvis den registeransvarlige efter indgåelsen af ​​denne aftale baseret på sin egen sikkerheds- og risikovurdering anmoder om, at databehandleren skal gennemføre yderligere sikkerhedsforanstaltninger eller andre tekniske eller organisatoriske foranstaltninger end aftalt i tillæg 2, behandles en sådan anmodning i overensstemmelse med og er underlagt pkt. 11 i denne aftale.

4. Controllers forpligtelser
Controlleren accepterer:

4.1. 4.1. For at sikre, at de personoplysninger, der indsamles af den registeransvarlige, sker i overensstemmelse med de relevante bestemmelser i GDPR og anden gældende EU- og national databeskyttelseslov i den medlemsstat, hvor den registeransvarlige er etableret (og hvor det er relevant, er underrettet de relevante myndigheder i den pågældende medlemsstat) og overtræder ikke de relevante bestemmelser i den pågældende medlemsstat.

5. Processorens generelle forpligtelser
Processoren er enig:

5.1. at behandle personoplysningerne i overensstemmelse med de sikkerhedsforanstaltninger, der er beskrevet i tillæg 2;

5.2. kun at behandle personoplysninger i overensstemmelse med instruktionerne fra den registeransvarlige, jf. klausul 2 i denne aftale, herunder med hensyn til overførsel af personoplysninger til et tredjeland eller en international organisation, medmindre det kræves i henhold til EU- eller medlemsstatsret, som databehandleren er underlagt i et sådant tilfælde skal databehandleren informere den registeransvarlige om dette juridiske krav inden behandlingen, medmindre denne lov forbyder sådanne oplysninger af vigtige grunde af offentlig interesse;

5.3. hvor det er nødvendigt og under hensyntagen til behandlingens art, at hjælpe den registeransvarlige ved passende tekniske og organisatoriske foranstaltninger, så vidt dette er muligt, til opfyldelse af den registeransvarliges forpligtelse ved lov til at svare på anmodninger om udøvelse af de registreredes rettigheder ned i kapitel III i GDPR;

5.4. hvor det er nødvendigt og under hensyntagen til behandlingens art, at hjælpe den registeransvarlige i dens overholdelse af en forpligtelse til at foretage en databeskyttelseseffektvurdering ("DPIA") og forudgående høring af tilsynsmyndigheder, hvor det er nødvendigt, jf. artikel 35 og 36 i GDPR

5.5. at give den registeransvarlige efter anmodning og inden for rimelig tid de nødvendige oplysninger for at påvise overholdelse af forpligtelserne i denne paragraf 5

5.6. at samarbejde (inklusive repræsentanter for Processor) på controllerens anmodning med tilsynsmyndigheden i udførelsen af ​​dens opgaver

5.7. at tillade og bidrage til under normale åbningstider til rimeligt nødvendige revisioner inklusive inspektioner, udført af en ekstern kvalificeret revisor, der er bemyndiget af den registeransvarlige, udelukkende med henblik på opfyldelse af den registeransvarliges forpligtelser i henhold til artikel 28 i GDPR og til nøjagtigt fastsat forskning spørgsmål i denne forbindelse forudsat at en sådan ekstern kvalificeret revisor er underlagt og bundet af fortrolighedsforpligtelser som beskrevet i afsnit 12 i denne aftale;

5.8. at stille alle oplysninger, der er nødvendige for at påvise overholdelsen af databeskyttelsesforordningens artikel 28 og disse Bestemmelser, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.

5.9. at underrette den registeransvarlige i tilfælde af et brud på personoplysninger som beskrevet i afsnit 6 i denne aftale;

5.10. At underrette den registeransvarlige i tilfælde af, at en tilsynsmyndighed kontakter databehandler, i det omfang loven tillader det.

6. Brud på persondata
6.1. Behandleren underretter den registeransvarlige uden unødig forsinkelse efter at have fået kendskab til et brud på personoplysninger.

6.2. Ovennævnte meddelelse skal beskrive karakteren af ​​bruddet på personoplysninger, herunder hvor det er muligt: ​​(i) det (anslåede) tidspunkt for bruddet på persondataene; (ii) de sandsynlige konsekvenser af bruddet på personoplysninger (iii) rimelige foranstaltninger truffet eller foreslået af databehandleren for at afbøde konsekvenserne af bruddet på personoplysninger.

6.3. Den registeransvarlige skal straks underrette databehandleren skriftligt efter at have fået kendskab til enhver mulig uautoriseret brug af loginoplysninger, adgangskoder, legitimationsoplysninger eller andre sikkerhedsbrud relateret til hovedaftalen.

7. Registreringer af behandlingsaktiviteter
7.1. Behandleren skal i skriftlig og elektronisk form føre registre over alle kategorier af behandlingsaktiviteter, der udføres på vegne af den registeransvarlige i henhold til hovedaftalen, indeholdende:

(i) navnet og kontaktoplysningerne på processoren og eventuelle underbehandlere og i givet fald deres respektive repræsentanter og / eller databeskyttelsesansvarlige
(ii) controllerens navn og kontaktoplysninger
(iii) kategorierne af behandling, der udføres på vegne af den registeransvarlige
iv) iv) hvor det er relevant, overførsel af personoplysninger til et tredjeland eller en international organisation, herunder identifikationen af ​​det pågældende tredjeland eller den internationale organisation, og i tilfælde af overførsel, der er omhandlet i artikel 49, andet afsnit, ( 1) i GDPR, dokumentation for passende sikkerhedsforanstaltninger
(v) en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger som nævnt i tillæg 2 og efterfølgende ændringer dertil.

7.2. Behandleren stiller optegnelserne til rådighed for den registeransvarlige og tilsynsmyndigheden efter anmodning.

8. Omkostninger til assistance og revision
8.1. I tilfælde af at Controller kræver assistance fra Processor eller Processors Underprocessorer i henhold til denne Aftale (inklusive, men ikke begrænset til klausuler 5.3, 5.4, 5.5, 5.6, 5.7 og / eller klausul 7.2), opkræves denne assistance under de angivne betingelser ud i tillæg 3, som udgør en integreret del af aftalen. Uanset det ovennævnte er Processor ikke berettiget til vederlag for omstændigheder, der kan henføres til Processors misligholdelse af sikkerhed eller Processors misligholdelse af sine forpligtelser som beskrevet i denne Aftale.

8.2. Den årlige revisionsrapport, der stilles til rådighed på processorens websted i henhold til afsnit 5.8, skal udarbejdes for processorens regning. Enhver yderligere revisionsrapportering eller yderligere anden lignende dokumentation, som controlleren anmoder om, skal udarbejdes og stilles til rådighed i henhold til særskilt aftale og på controllerens bekostning og opkræves under de betingelser, der er beskrevet i tillæg 3.

9. Varighed af lagring af personlige data
9.1. Processor giver Controller adgang til systemfunktionalitet for at Controlleren kan slette og / eller returnere (dvs. eksportere) alle Controllers data inklusive Personoplysninger under Aftalen. Ved udløbet af aftalen vil databehandleren slette alle data fra den dataansvarlige inklusive personoplysningerne, medmindre EU- eller national lovgivning kræver lagring af personoplysningerne.

9.2. Processen og tidsrammerne for sletning af controllerens data inklusive personoplysninger er beskrevet i tillæg 4, som udgør en integreret del af aftalen.

9.3. Hvis den registeransvarlige anmoder databehandlerens hjælp til at slette og / eller returnere (dvs. eksportere) den dataansvarlige, herunder personoplysningerne under og efter udløbet af aftalen, ydes denne hjælp af databehandleren på den registeransvarliges regning og opkræves under de betingelser, der er beskrevet Tillæg 4.

10. Underbehandling
10.1. Processoren må ikke engagere en underprocessor, medmindre dette er godkendt af controlleren ved (i) en generel eller specifik autorisation i henhold til tillæg 5 til denne aftale eller (ii) specifik instruktion fra controlleren.

10.2. I tilfælde af at processor behandler underbehandlere til at udføre behandlingsaktiviteter på vegne af den dataansvarlige i overensstemmelse med bilag 5, pålægges den samme databeskyttelsesforpligtelse som beskrevet i denne aftale den pågældende underbehandler ved hjælp af en kontrakt eller anden juridisk handling i henhold til EU- eller national medlemsstats lovgivning, især tilvejebringelse af tilstrækkelige garantier til at gennemføre passende tekniske og organiserede foranstaltninger på en sådan måde, at behandlingen vil opfylde kravene i denne aftale.

10.3. I tilfælde af generel skriftlig tilladelse skal databehandleren informere den dataansvarlige om alle påtænkte ændringer vedrørende tilføjelse eller udskiftning af underbehandlere, hvorved den dataansvarlige får mulighed for at gøre indsigelse mod sådanne ændringer. Controlleren kan imidlertid ikke gøre indsigelse mod tilsigtede ændringer vedrørende tilføjelse eller udskiftning af underprocessorer, hvis den nye underprocessor giver tilstrækkelige garantier med hensyn til implementering af passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene. af GDPR som beskrevet i denne aftale. Hvis controlleren ikke gør indsigelse mod ændringer vedrørende tilføjelse eller udskiftning af underprocessorer inden for 30 dage fra processorens meddelelse om de påtænkte ændringer, anses sådanne ændringer for at være accepteret af controlleren.

10.4. Processor er fortsat ansvarlig over for den registeransvarlige for opfyldelsen af ​​sin underprocessors forpligtelser.

10.5. Hvis den registeransvarlige anmoder databehandleren om at dokumentere sin underbehandlers overholdelse af forpligtelserne i artikel 28 i databeskyttelsesforordningen.

11. Ændring af instruktioner
11.1. Forud for enhver ændring af instruktionerne skal parterne i videst muligt omfang drøfte i god tro og om muligt aftale rimelige vilkår for gennemførelsen af ​​sådanne ændringer, herunder implementeringsperioden og de dermed forbundne omkostninger.

11.2. Processoren skal gøre rimelige bestræbelser på at overholde lovgivningsmæssige ændringer. Processor er dog ikke forpligtet til at gennemføre nogen ændring af instruktionerne, hvis parterne ikke i god tro kan acceptere rimelige betingelser for implementeringen. Hvis parterne ikke i god tro accepterer rimelige vilkår vedrørende ændring af instruktionerne, er hver part berettiget til at opsige denne aftale med en skriftlig varsel på 60 dage, forudsat at sådanne ændringer anses for nødvendige for at overholde GDPR eller anden gældende EU eller nationale databeskyttelseslove og -forskrifter. Hovedaftalen og enhver anden aftale mellem parterne om behandling af personoplysninger ophører automatisk på samme tid.

11.3. Medmindre andet er aftalt, gælder følgende:

(i) Processoren skal uden unødig forsinkelse igangsætte implementering af aftalte ændringer i instruktionerne og skal sikre, at sådanne ændringer gennemføres uden unødig forsinkelse i forhold til ændringernes art og omfang.
(ii) Processor er berettiget til betaling af alle omkostninger, der er direkte forbundet med ændringer af instruktionerne, herunder implementeringsomkostninger og øger omkostningerne ved levering af Tjenesterne.
(iii) Controlleren skal uden unødig forsinkelse underrettes om det vejledende skøn over implementeringsperioden og de dermed forbundne omkostninger.
(iv) Ændringer af instruktionerne anses ikke for at være i kraft før det tidspunkt, hvor sådanne ændringer er implementeret, forudsat at implementeringen heraf udføres i overensstemmelse med denne paragraf 11.2.
(v) Processor er fritaget for ansvar for manglende levering af tjenesterne i det omfang (inkl. med hensyn til tid), at levering af tjenesterne er i strid med de ændrede instruktioner, eller levering i overensstemmelse med de ændrede instruktioner er umulig. Dette kan være tilfældet f.eks. i tilfælde af at (i) ændringerne ikke kan foretages af tekniske, praktiske eller juridiske årsager, (ii) den dataansvarlige udtrykkeligt erklærer, at ændringerne skal gælde, før implementeringen er mulig, eller (iii) i perioden indtil parterne bærer gennem alle nødvendige ændringer af aftalen i overensstemmelse med ændringsprocedurerne heri.

12. Fortrolighed
12.1. Ingen af ​​parterne har tilladelse til at videregive fortrolige oplysninger. Disse oplysninger inkluderer, men er ikke begrænset til personlige data, dokumenter, der er mærket "fortrolige", oplysninger, som den fortrolige karakter skal antages, og oplysninger, som ingen part har gjort offentligt tilgængelige.

12.2. En part må kun videregive fortrolige oplysninger, når de er forpligtet af gældende lov, eller medmindre andet er aftalt, underskrevet skriftligt.

12.3. Behandler sikrer, at personer, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er under en passende statuto
ry fortrolighedspligt.

12.4. Behandleren skal sikre, at de personer, der udfører arbejde for databehandleren, og som har adgang til personoplysninger, kun behandler sådanne personoplysninger som instrueret af den registeransvarlige, medmindre behandling kræves i henhold til gældende EU-lovgivning eller national lovgivning.

13. Ansvar
13.1. Processor er ansvarlig for skader i overensstemmelse med de generelle regler i dansk ret med de begrænsninger, der er beskrevet i denne paragraf 13.

13.2. Processor er ikke ansvarlig for at betale erstatning for indirekte, følgeskader eller hændelige tab eller skader, herunder men ikke begrænset til tab af goodwill, tab af forventet fortjeneste og / eller driftstab, der opstår som følge af eller i forbindelse med Aftalen.

13.3. Processoren er ikke ansvarlig for tab eller skader, hvis det skyldes, at den dataansvarlige ikke overholder sine forpligtelser i henhold til gældende EU eller nationale databeskyttelseslove og -bestemmelser eller denne aftale eller i tilfælde af, at den dataansvarlige overtræder hovedaftalen og / eller enhver anden aftale mellem parterne, der involverer behandling af personoplysninger, den registeransvarliges manglende overholdelse af sine forpligtelser over for en tilsynsmyndighed eller sanktioner, der pålægges af en tilsynsmyndighed på grund af den registeransvarliges misligholdelse eller manglende overholdelse.

13.4. Under alle omstændigheder er Processorens ansvar begrænset til det beløb, der udbetales i den specifikke sag under Processorens ansvarsforsikringspolice, og hvis relevant forhøjet med fradragsberettigelsen.

13.5. Hvis den ovennævnte forsikringspolice af en eller anden grund ikke giver berettigede ret til nogen betaling, vil databehandlerens ansvar under alle omstændigheder være begrænset til direkte skader med maksimalt tre (3) gange det beløb, der faktureres til den registeransvarlige i henhold til hovedaftalen i foregående seks (6) måneder efter, at et krav blev fremsat, dog under ingen omstændigheder overstige et maksimum på € 10.000, medmindre skaden skyldes forsætlig forsømmelse eller grov uagtsomhed fra Processorens side.

13.6. Uanset det foregående gælder begrænsningerne i databehandlerens ansvar i denne paragraf 13 ikke for tab eller omkostninger, som Controller pådrager sig på grund af Processorens manglende overholdelse af sine forpligtelser over for en tilsynsmyndighed eller sanktioner pålagt af en tilsynsmyndighed til Processorens væsentlige brud.

13.7. Eventuelle krav fra den registeransvarlige om erstatning for erstatning udløber et år efter den dato, hvor den registeransvarlige blev opmærksom på eller burde have været opmærksom på denne skade.

14. Aftalens ophør og opsigelse
14.1. Ikrafttrædelsesdatoen for aftalen bestemmes af ikrafttrædelsesdatoen for hovedaftalen.

14.2. Ophævelsen af ​​aftalen påvirker ikke bestemmelser vedrørende fortrolighed og de bestemmelser, som af natur er beregnet til at overleve opsigelsen.

14.3. Denne aftale udgør en integreret del af hovedaftalen og ophører derfor samtidig med opsigelsen af ​​hovedaftalen.

14.4. En part kan opsige hovedaftalen i tilfælde af den anden parts væsentlige overtrædelse af denne aftale. Hvis en sådan overtrædelse kan afhjælpes, kan en part kun opsige hovedaftalen, hvis den overtrædende part ikke har afhjulpet en sådan overtrædelse inden for 30 dage efter skriftlig meddelelse om en sådan overtrædelse og konsekvenserne af manglende afhjælpning af overtrædelsen.

14.5. Uanset opsigelse af denne Aftale i henhold til denne paragraf 14, er Aftalen gældende, så længe Behandleren behandler personoplysninger på vegne af den registeransvarlige for eksempel med hensyn til de sletningsprocesser, der er beskrevet i tillæg 4.

15. Gældende lov og ændringer
15.1. Retsforholdet mellem Controller og Processor er udelukkende underlagt Danmarks lovgivning uden hensyntagen til dets principper for lovkonflikter. Tvister mellem parter løses i første omgang udelukkende af District Court of Copenhagen, Danmark.

15.2. I tilfælde af at parterne er enige om at ændre aftalen, skal ændringerne vedhæftes aftalen i et yderligere tillæg 6. Ændringer fra aftalen er kun gyldige, hvis de pågældende bestemmelser udtrykkeligt henvises til (når det er relevant) og udtrykkeligt fraviges; og kun hvis tillægget er underskrevet og dateret af begge parter.

16. Accept og udførelse
16.1. Denne aftale er bindende for databehandleren.

16.2. Ved controllerens log-in på dens SurveyLabs -konto og adgang og fortsat brug af processortjenesten fra den 25. maj 2018 accepterer controlleren denne aftale og accepterer at være bundet af dens vilkår og betingelser.

Bilag 1 Detaljer om behandling af personoplysninger


Dette tillæg er en del af aftalen.
1. Beskrivelse af processorens aktiviteter, der er relevante for behandlingen af ​​dataansvarliges personoplysninger:

1.1. Afhængigt af omfanget og arten af ​​hovedaftalen er de aktiviteter, der skal udføres af databehandleren i henhold til denne aftale, relevante for behandlingen af ​​Personal Data kan omfatte følgende:

1.1.1. Levering af forskellige online databehandlingstjenester, herunder blandt andet et undersøgelses- og rapporteringsværktøj via softwareløsninger og platform stillet til rådighed fra SurveyLabs .io

1.1.2. Hosting af personoplysninger.

1.1.3. Levering af forskellige konsulenttjenester

1.1.4. Levering af support og / eller uddannelsestjenester.

1.2. Som en del af hovedaftalen kan controlleren også vælge at bruge tredjeparts integrationstjenester og / eller applikationer, der stilles til rådighed af processoren på SurveyLabs .io i samarbejde med tredjepartsudbydere af sådanne integrationstjenester og applikationer. Hvis controlleren bruger sådanne tredjepartsintegrationstjenester og / eller applikationer, bemyndiger den hermed processoren til at:

i) leverer, transmitterer eller overfører dataene, herunder personlige data, fra controlleren til tredjepartsudbyderen af ​​den relevante integrationstjeneste og / eller applikation, forudsat og kun i det omfang det er nødvendigt for udførelsen og brugen af ​​controller af nævnte integrationstjenester og / eller applikationer og

ii) Behandle data, herunder personlige data, for den controller, der overføres fra tredjepartsudbyderen af ​​den relevante integrationstjeneste og / eller applikation til den controller, der har tjenester med processoren.

1.3. Det er Controllers eneansvar og ansvar at sikre det nødvendige grundlag for lovlig behandling til overførsel af Controllers personlige data til og fra enhver tredjepartsudbyder af en integrationstjeneste og / eller applikation, der bruges af Controlleren via SurveyLabs .io og behandlingen af ​​enhver tredjepartsudbyder af Controllers personlige data i denne henseende.

2. Dataemner
2.1. Den dataansvarlige importerer personlige data til tjenesterne til behandling af behandler, der kan vedrøre en af ​​følgende kategorier af dataemner, inklusive men ikke begrænset til:

2.1.1. Controllers medarbejdere, bestyrelsesmedlemmer og officerer

2.1.2. Controllers kunder, kunder og andre forretningspartnere

2.1.3. Befolkningen i Controller

2.1.4. Studerende, elever og andre brugere af offentlige og private institutioner

2.1.5. Børn

2.1.6. Patienter og pårørende

2.1.7. Private brugere

2.1.8. Forretningsbrugere

2.1.9. Medlemmer af fonde, fagforeninger, foreninger og / eller politiske oprindelser

3. Datakategorier
3.1. De behandlede personoplysninger kan falde inden for en af ​​følgende kategorier af data.

3.2. Ikke-følsomme data (jf. GDPR artikel 6) af enhver art, herunder men ikke begrænset til kontaktoplysninger såsom navn, adresse, telefon og / eller mobil, køn, alder, fødselsdato, præferencer, stilling, familiestatus osv.

3.3. Nationalt identifikationsnummer.

3.4. Følsomme data (jf. GDPR artikel 9) *.

3.5. Data vedrørende straffedomme og lovovertrædelser (jf. GDPR art. 10).

* Følsomme data inkluderer: data, der afslører race eller etnisk oprindelse, politiske meninger, religiøs og / eller filosofisk overbevisning, fagforeningsmedlemskab, behandling af genetiske data eller biometriske data med det formål at identificere en fysisk person entydigt, data vedrørende sundhed og / eller data vedrørende en fysisk persons sexliv eller seksuelle orientering.

Bemærk, at til behandling af følsomme data kræves det udtrykkelige samtykke fra den registrerede.

Tillæg 2 Behandling af sikkerhed


Dette tillæg er en del af aftalen.

1. Under hensyntagen til den nyeste teknologi, omkostningerne ved implementering og behandlingens art, omfang, kontekst og formål samt risikoen for varierende sandsynlighed og sværhedsgrad for fysiske personers, den registeransvarliges og databehandlerens rettigheder og friheder skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen, herunder bl.a.

(a) af personlige data, når de overføres via offentlige netværk og i forbindelse med fjernadgang til controllerens systemer

(b) evnen til at sikre den løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed over for behandlingssystemer og -tjenester

(c) evnen til at gendanne tilgængeligheden og adgangen til personlige data rettidigt i tilfælde af en fysisk eller teknisk hændelse

d) en proces til afprøvning, vurdering og evaluering af effektiviteten af ​​tekniske og organisatoriske foranstaltninger til sikring af behandlingen.

2. Ved vurderingen af ​​det passende sikkerhedsniveau skal der tages særligt hensyn til de risici, der er forbundet med behandling, især fra utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der overføres, lagres eller på anden måde behandlet.

3. Processoren er vært for dataene, inklusive personlige data, for controlleren via Google Cloud. Online-hostingtjenesterne leveres fra datacentre, der udelukkende er beliggende i EU, i Irland og Holland.

4. Google Cloud-platformen giver sikkerhedsforanstaltningerne som beskrevet på www. SurveyLabs .io.

5. Særlige sikkerhedsforanstaltninger, der skal træffes af databehandleren i henhold til denne aftale aer specificeret detaljeret på www. SurveyLabs .io (Processors sikkerheds- og privatlivspolitikker).

Bilag 3 Omkostninger til assistance og revision


Dette tillæg er en del af aftalen.
1. I tilfælde af at den registeransvarlige har brug for hjælp fra processoren eller en af ​​processorens underbehandlere i henhold til denne aftale, opkræves sådan hjælp som følger:

1.1. betaling for tidsforbrug pr. person, inklusive forberedelse, til en timepris på € 150, - eksklusive moms (hvis relevant) og

1.2. betaling af rimelige omkostninger og udgifter i løbet af udførelsen af ​​en opgave eller på anden måde som en nødvendig del af en sådan opgave eller anden hjælp.

2. Alle omkostninger og udgifter til revision eller inspektioner, der kræves og udføres af den dataansvarlige eller dens repræsentanter med hensyn til databehandlerens eller databehandlerens underforarbejdningsvirksomheds overholdelse af artikel 28 i GDPR, bæres udelukkende af den dataansvarlige, medmindre andet specifikt følger af Aftale.

Tillæg 4 Sletning af data


Dette tillæg er en del af aftalen.

Sletning af data

Processoren fungerer med forskellige tidsrammer for sletning af controllerens data afhængigt af omstændighederne. Disse er beskrevet nedenfor.

I. Den registeransvarlige sletter data i løbet af aftalens løbetid

I løbet af aftalens løbetid kan den dataansvarlige slette sine data på tre (3) måder:

1. Slet respondenter i et undersøgelsesprojekt. I dette tilfælde slettes data vedrørende respondenter efter ti (10) dage.
2. Slet et helt undersøgelsesprojekt. I dette tilfælde tager det 90 dage, før dataene slettes.
3. Slet en organisation. I dette tilfælde slettes alle data vedrørende Controllers organisation efter 110 dage.

I både 1, 2 og 3 opbevares sikkerhedskopier af alle data under alle omstændigheder af processoren i tredive (30) dage efter sletning.

II. Sletning efter afslutning af kontoen

Ved afslutning af kontoen træder en afdragsfri periode på tyve (20) dage i kraft. Afdragsperioden er angivet, hvis Controller og Processor gensidigt accepterer at genindgå / fortsætte Aftalen. Hvis ikke, vil sletningsprocessen automatisk starte efter udløbet af afdragsperioden. Herefter slettes controllerens data automatisk efter halvfems (90) dage.

Sikkerhedskopier af alle data opbevares under alle omstændigheder af databehandleren i tredive (30) dage efter sletning.

III. Sletning eller eksport af data efter controllerens anmodning

Den registeransvarlige kan når som helst anmode behandlerens hjælp til at udføre sletning eller eksport af registrerede med særskilt betaling for disse tjenester til en timepris på 150 euro.

Efter modtagelse af en sådan skriftlig anmodning vil Processor inden for højst fem (5) arbejdsdage straks slette eller eksportere alle Controllers undersøgelsesprojektdata og slette Controllers organisation (hvis nogen).

Sikkerhedskopier af alle data opbevares under alle omstændigheder af Processoren i tredive (30) dage efter sletning.

Uanset udløbet af aftalen skal behandlerens behandling af den dataansvarliges personlige data i de sletningsperioder, der er angivet i ovenstående klausuler, betragtes som foregående i henhold til den dataansvarligees anvisninger.

Appendiks 5: Underprocessorer


Dette tillæg er en del af aftalen.

I. Generel tilladelse

1. Den registeransvarlige giver hermed databehandleren sin forudgående generelle skriftlige tilladelse til databehandleren til at bruge underbehandlere. En liste over underbehandlere, der anvendes af databehandleren på datoen for aftalen, er tilgængelig nedenfor:

2. Google Cloud

2.1. Processoren har indgået en aftale med Google Corporation, hvorved Google er en underprocessor til processoren, der handler (på Controllers vegne) for at levere hostingtjenester via Google Cloud Platform. Alle Controllers data inklusive personlige data er hostet på Google Cloud Platform.

2.2. I tilfælde af Googles ophør af sin aftale med Processoren (helt eller delvist) vedrørende Google Cloud Platform, skal Processor bestræbe sig på at levere en ny hostingtjeneste til Controlleren inden for EU så hurtigt som det er rimeligt muligt. Processor er berettiget til at opsige aftalen helt eller delvist med en forudgående varsel på tres (60) dage.

3. Andre underprocessorer

3.1. Hvis den registeransvarlige og databehandleren har indgået en konsulentaftale som en del af hovedaftalen, kan databehandleren engagere underbehandlere til levering af konsulenttjenester til den dataansvarlige.

3.2. Hvis Processor bruger en eller flere underprocessorer til levering af konsulenttjenester, reguleres dette detaljeret i hovedaftalen (konsulentaftale). Behandleren underretter den registeransvarlige i overensstemmelse med aftalens punkt 10.3, hvis der foretages ændringer i underforarbejdningsvirksomhederne, der anvendes til levering af konsulenttjenesterne.