Databehandleraftale

Imellem:

Kunden

[Indsættes: Virksomhed, adresse, CVR-nr.]

(”Dataansvarlige”)

Kontaktperson:
[Kontaktperson og kontaktinformationer]

Og

Erestas ApS
(”BoB”)
Slotsmarken 12
2970 Hørsholm
CVR nr. 41038101

(”Databehandleren”)

Parterne kaldes i det følgende henholdsvis den “Dataansvarlige” og “Databehandleren”, og hver for sig kaldet en “Part” og samlet “Parterne”, har indgået nærværende databehandleraftale:

1. Introduktion

Ved brug af systemet Bob the Butler (i det hele benævnt “Applikationen”), vil den Dataansvarlige være ansvarlig for sin Behandling af Personoplysninger i Applikationen. Databehandleren vil behandle personoplysninger på vegne af den Dataansvarlige. For at sikre, at Parterne lever op til sine forpligtelser under nationale databeskyttelsesregler samt Europa-Parlamentet og Rådets forordning (EU) 2016/279 (“GDPR”), har Parterne indgået denne databehandleraftale (“Aftalen”), som udgør instruksen fra den Dataansvarlige til Databehandleren og dermed regulerer Databehandlerens Behandling af personoplysninger på vegne af den Dataansvarlige.

Begge Parter bekræfter, at de har fuldmagt til at underskrive Aftalen.

1.1. Denne aftale er indgået i forbindelse med Databehandlerens levering af:

Online POS-system til håndtering af nedenstående områder i en virksomhed:

  • Salg
  • Tjenersystem
  • Bordbooking
  • Værelseshåndtering
  • Arrangement og Event Håndtering
  • Vagtplanlægning
  • Loyalitetsprogrammer
  • Rapporter og Statistikker
  • Bestillingsapp

1.2. Databehandleren behandler de typer af personoplysninger, som fremgår af denne aftales bilag 1, på vegne af Dataansvarlige. Personoplysningerne angår de kategorier af personer, der er oplistet i bilag 1.

1.3. Databehandleren må kun behandle personoplysninger, som er nødvendige som led i at levere ydelserne.

1.4. Enhver instruktion vedrørende behandling af personoplysninger i henhold til denne aftale skal forelægges Databehandleren.

2. Databehandlerens forpligtelser

2.1. Databehandleren må alene behandle de personoplysninger, som Dataansvarlige har overført, i overensstemmelse med Dataansvarliges dokumenterede instrukser, jf. afsnit 1.1 og aftalens bilag 1.

2.2. Databehandleren er i øvrigt forpligtet til at overholde den til enhver tid gældende databeskyttelseslovgivning. Databehandleren underretter omgående Dataansvarlige, hvis en instruks efter Databehandlerens mening er i strid med databeskyttelseslovgivningen i EU-retten eller en medlemsstats lovgivning.

2.3. Databehandleren skal iværksætte alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32, herunder tekniske og organisatoriske sikkerhedsforanstaltninger. Dette omfatter foranstaltninger mod, at de i bilag 1 anførte personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med databeskyttelseslovgivningen.

2.4. Databehandleren skal sikre, at de medarbejdere, der er involveret i at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

2.5. Databehandleren bistår så vidt muligt Dataansvarlige med opfyldelse af dennes forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder efter databeskyttelsesforordningens kapitel 3.

2.6. Databehandleren sender anmodninger og indsigelser fra registrerede mv. til Dataansvarlige med henblik på Dataansvarliges videre behandling. Databehandleren skal efter anmodning fra Dataansvarlige bistå Dataansvarlige med besvarelse af anmodningen og/eller indsigelsen.

2.7. Databehandleren er forpligtet til at give Dataansvarlige meddelelse om driftsforstyrrelser, mistanke om brud på databeskyttelseslovgivningen eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Databehandlerens frist for at underrette Dataansvarlige om et sikkerhedsbrud er 24 timer fra det tidspunkt, hvor Databehandleren får kendskab til et sikkerhedsbrud. Databehandleren skal efter anmodning fra Dataansvarlige bistå Dataansvarlige i forhold til afklaring af sikkerhedsbruddet, herunder i forbindelse med eventuel underretning af Datatilsynet og/eller registrerede personer. Dataansvarlige afholder Databehandlerens eventuelle omkostninger forbundet hermed.

2.8. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise Databehandlerens overholdelse af databeskyttelsesforordningens artikel 28, aftalen og i databeskyttelseslovgivningen i øvrigt, til rådighed for Dataansvarlige. Databehandleren giver i denne forbindelse mulighed for og bidrager til revisioner og tilsyn, herunder inspektioner, der foretages af Dataansvarlige eller en anden revisor, som er bemyndiget af Dataansvarlige. Den Dataansvarlige afholder eventuelle omkostninger forbundet hermed.

2.9. Databehandleren bistår ud over det ovenfor anførte Dataansvarlige med at sikre overholdelse af Dataansvarliges forpligtelser efter databeskyttelsesforordningens artikel 32-36.

2.10. Den Dataansvarlige giver Databehandleren en generel fuldmagt til at indgå aftaler med underdatabehandlere. Databehandleren sørger for at pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er fastsat i aftalen. Databehandleren skal på vegne af den Dataansvarlige indgå skriftlige databehandleraftaler med underdatabehandlere inden for EU/EØS. I forhold til underdatabehandlere uden for EU/EØS skal Databehandleren indgå standardaftaler i overensstemmelse med Kommissionens beslutning 2010/87/EU af 5. februar 2010 om standardkontraktbestemmelser for videregivelse af personoplysninger til data behandlere etableret i tredjelande ("Standardaftale"). Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver Databehandleren fuldt ansvarlig over for den Dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser. Ved aftalens indgåelse anvender Databehandleren de underdatabehandlere, der er oplistet i bilag 2.

3. Sletning og ophør

3.1. Personoplysningerne opbevares så længe Dataansvarlige opretholder sit Abonnement, hvorefter de slettes hos Databehandleren. Ved ophør af abonnementet forpligtes Databehandleren til, efter Dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til Dataansvarlige samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.

3.2. Aftalen er gældende så længe Databehandleren behandler personoplysninger på vegne af Data-ansvarlige.

4. Øvrig

4.1. Ændringer til Aftalen skal vedlægges i et særskilt bilag til Aftalen. Hvis nogen af bestemmelserne i Aftalen er ugyldige, får dette ikke indvirkning på de resterende bestemmelser. Parterne skal erstatte ugyldige bestemmelser med en lovlig bestemmelse, som afspejler formålet med den ugyldige bestemmelse.

4.2. Ansvar for handlinger i strid med bestemmelserne i denne Aftale reguleres af ansvars- og erstatningsbestemmelser i betingelserne for brug af Bob the Butler. Dette gælder ligeledes for enhver overtrædelse, som foretages af Databehandlerens Underdatabehandlere.

4.3. Den Dataansvarlige er berettiget til at igangsætte en revision af Databehandlerens forpligtelser i henhold til Aftalen én gang årligt. Hvis den Dataansvarlige er forpligtet hertil efter gældende lovgivning, kan der foretages revision oftere en én gang årligt. Den Dataansvarlige skal i forbindelse med anmodning om en revision medsende en detaljeret revisionsplan med en beskrivelse af omfang, varighed og startdato minimum fire uger forud for den foreslåede startdato. Det skal besluttes i fællesskab mellem Parterne, hvis en tredjepart skal foretage revisionen. Imidlertid kan den Dataansvarlige lade Databehandleren bestemme, at revisionen af sikkerhedsårsager skal foretages af en neutral tredjepart efter Databehandlerens valg, såfremt der er tale om et behandlingsmiljø hvor flere dataansvarliges data er anvendt.

Hvis det foreslåede omfang for revisionen følger en ISAE, ISO eller lignende certificeringsrapport udført af en kvalificeret tredjepartsrevisor inden for de forudgående tolv måneder, og Databehandleren bekræfter, at der ikke har været nogen materielle ændringer i de foranstaltninger, som har været under revision, skal den Dataansvarlige acceptere denne revision i stedet for at anmode om en ny revision af de foranstaltninger, som allerede er dækket.

Under alle omstændigheder skal revision finde sted i normal kontortid på den relevante facilitet i overensstemmelse med Databehandlerens politikker og må ikke på urimelig vis forstyrre Databehandlerens sædvanlige kommercielle aktiviteter.

Den Dataansvarlige er ansvarlig for alle omkostninger i forbindelse med anmodningen om revision. Databehandlerens assistance i forbindelse hermed, som overskrider den almindelige service som Databehandleren og/eller BoB skal stille til rådighed som følge af gældende databeskyttelseslovgivning, afregnes særskilt.

5. Lov og værneting

5.1. Denne aftale reguleres af dansk ret.

5.2. Værneting for ethvert krav og enhver tvist, der udspringer af eller på anden måde er forbundet med denne aftale skal indbringes for Københavns Byret.

Bilag 1 – Kategorier af Personoplysninger og Registrerede

1. Kategorier af Registrerede og Personoplysninger som behandles i henhold til Aftalen

a. Kategorier af Registrerede

  • Den Dataansvarliges slutbrugere
  • Den Dataansvarliges medarbejdere
  • Den Dataansvarliges medarbejderes nærmeste pårørende
  • Den Dataansvarliges kontaktpersoner
  • Den Dataansvarliges kunder og kunders slutbrugere
  • Den Dataansvarliges kunders medarbejdere
  • Den Dataansvarliges kunders kontaktpersoner
  • Evt.

b. Kategorier af Personoplysninger

  • Navn
  • Titel
  • Telefonnummer
  • E-mail
  • Adresse
  • CPR-nummer via EAN-fakturering (behandles som fortrolig oplysning)
  • Evt.

Kategorier af Personoplysninger og Registrerede i forbindelse med Løn

1. Kategorier af Registrerede og Personoplysninger som behandles i henhold til Aftalen

a. Kategorier af Registrerede

  • Den Dataansvarliges slutbrugere
  • Den Dataansvarliges medarbejdere
  • Den Dataansvarliges kontaktpersoner
  • Evt.

b. Kategorier af Personoplysninger

Kontaktoplysninger, som navn, adresse

Stillingskategori, oplysninger om løn, arbejdstid, fravær, pension, skat, bankkonto

evt. øvrige personoplysninger, der er nødvendige for, at den Dataansvarlige kan administrere ansættelsesforholdet

Bilag 2 – Underdatabehandlere

VirksomhedCVR-nr.Beskrivelse af behandling
DigitalOcean, LLC
101 Avenue of the Americas
10th Floor
New York, NY 10013
United States
EU528002224 Cloud server leverandør som leverer infrastrukturen hvorpå platformen afvikles. Datacenteret som benyttes, er placeret i Frankfurt, Tyskland (FRA1).
Mailgun Technologies, Inc.
112 E Pecan St. #1135
San Antonio, TX 78205
United States
32062902609 (Texas TIN) Mailgun er en virksomhed der tilbyder udsendelse af e-mails. Planner365 ApS benytter virksomheden til at sende e-mails fra vores platform. Alle e-mails sendes udelukkende gennem Mailgun’s EU-region.
TDC Group A/S
Sletvej 30
8310 Tranbjerg
Denmark
14773908 TDC’s SMS in a Box løsning benyttes til at sende SMS’er fra vores platform.
Microsoft Ireland Operations Ltd
One Microsoft Place
South County Business Park
Leopardstown
Dublin 18
D18 P521 Ireland
IE8256796U Planner365 ApS benytter Microsoft’s Office 365 cloud tjeneste som e-mail udbyder samt lagerplads i skyen. Som en del af opsætningen er placeringen af data valgt til at være i EU. Kundedata backups der gemmes hos Microsoft er krypteret og Microsoft har ikke adgang til indholdet.

Erestas ApS, Slotsmarken 12, 1.th., 2970 Hørsholm, CVR-nr. 41038101
Databehandleraftale Bob the Butler fra d. 01. december 2021