Tillæg til

ordrebehandling Disse bestemmelser for ordrebehandling supplerer de generelle forretningsbetingelser for Jungherz GmbH som operatør af mærket AppConfector (i det følgende benævnt »kontraktparten«). Som en integreret del heraf accepterer du som kunde (i det følgende benævnt »opdragsgiveren«) automatisk dette tillæg inden for rammerne af et forretningsforhold. I tilfælde af modstrid mellem disse bestemmelser og de generelle forretningsbetingelser har disse bestemmelser forrang for ordrebehandlingen.

Kontrahenten og kunden benævnes herefter samlet "parterne".

Parterne er enige om, at samtidig med, at denne aftale om databehandling på vegne af en tredjepart træder i kraft, ophører den eksisterende aftale om databehandling på vegne af en tredjepart mellem parterne i henhold til § 11 i den tyske føderale databeskyttelseslov samt eventuelle andre aftaler om databehandling på vegne af en tredjepart ved gensidig aftale og erstattes af denne nye aftale om databehandling på vegne af en tredjepart.

1. Generelt

(1) Databehandleren behandler personoplysninger på vegne af Kunden i henhold til artikel 4, nr. 8, og artikel 28 i forordning (EU) 2016/679 – den generelle forordning om databeskyttelse (GDPR). Denne aftale regulerer parternes rettigheder og forpligtelser i forbindelse med behandlingen af personoplysninger.

(2) I det omfang udtrykket "databehandling" eller "behandling" (af data) anvendes i denne aftale, finder definitionen af "behandling" i henhold til artikel 4, stk. 2, i GDPR anvendelse.

(3) Alle henvisninger i denne aftale til GDPR (Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (den generelle forordning om databeskyttelse)) gælder for GDPR i dens aktuelle version.

2. Opgavens genstand

Genstanden for behandlingen, arten og formålet med behandlingen, arten af personoplysningerne og kategorierne af registrerede er fastlagt i bilag 1 til denne aftale.

3. Kundens rettigheder og pligter

(1) Kunden er den dataansvarlige i henhold til artikel 4, stk. 7, i GDPR for databehandlingen på vegne af databehandleren. I overensstemmelse med artikel 4, stk. 5, i denne aftale har databehandleren ret til at informere kunden, hvis databehandlingen, som efter hans opfattelse er juridisk uacceptabel, er genstand for ordren og/eller en instruks.

(2) Kunden er ansvarlig for beskyttelsen af de registreredes rettigheder. Databehandleren skal straks underrette kunden, hvis de registrerede gør deres rettigheder gældende over for databehandleren.

(3) Kunden har til enhver tid ret til at give databehandleren yderligere instrukser vedrørende typen, omfanget og fremgangsmåden for databehandlingen. Instrukser kan gives i tekstform (f.eks. e-mail).

(4) Bestemmelser vedrørende en eventuel godtgørelse for ekstraudgifter, som databehandleren pådrager sig som følge af supplerende instrukser fra kunden, forbliver uberørte.

5. Den kontraherende myndighed skal straks underrette databehandleren, hvis den opdager fejl eller uregelmæssigheder i forbindelse med databehandlerens behandling af personoplysninger.

(6) I tilfælde af, at der foreligger en forpligtelse til at informere tredjeparter i henhold til artikel 33, 34 i GDPR eller en anden lovmæssig underretningsforpligtelse, der gælder for kunden, er kunden ansvarlig for overholdelsen af denne forpligtelse.

4. Databehandlerens generelle forpligtelser

(1) Databehandleren behandler personoplysninger udelukkende inden for rammerne af de indgåede aftaler og/eller i overensstemmelse med eventuelle supplerende instrukser fra kunden. Undtaget herfra er lovbestemmelser, der kan forpligte databehandleren til at behandle oplysningerne på en anden måde. I et sådant tilfælde skal databehandleren underrette kunden om disse lovkrav inden behandlingen, medmindre den pågældende lov forbyder en sådan underretning af hensyn til en væsentlig offentlig interesse. Formålet, arten og omfanget af databehandlingen reguleres i øvrigt udelukkende af denne aftale og/eller opdragsgiverens instrukser. Enhver databehandling, der afviger herfra, er forbudt for databehandleren, medmindre databehandleren har givet sit skriftlige samtykke.

(2) Databehandleren forpligter sig til at udføre databehandlingen på vegne af kunden udelukkende inden for Det Europæiske Økonomiske Samarbejdsområde, medmindre andet er teknisk påkrævet.

(3) Inden for behandlingen af personoplysninger i henhold til ordren garanterer databehandleren den kontraktmæssige gennemførelse af alle aftalte foranstaltninger.

(4) Databehandleren er forpligtet til at indrette sin virksomhed og sine driftsprocedurer på en sådan måde, at de data, som databehandleren behandler på vegne af kunden, sikres i det omfang, der er nødvendigt i hvert enkelt tilfælde, og beskyttes mod uautoriseret adgang fra tredjeparter. Denne skal på forhånd aftale ændringer i tilrettelæggelsen af databehandlingen på vegne af kunden, som er væsentlige for datasikkerheden, med kunden

. (5) Databehandleren skal straks underrette kunden, hvis en instruks fra kunden efter databehandlerens opfattelse strider mod lovbestemmelser. Databehandleren har ret til at suspendere udførelsen af den pågældende instruks, indtil den er bekræftet eller ændret af kunden. Hvis databehandleren kan påvise, at behandling i overensstemmelse med kundens instrukser kan medføre databehandlerens ansvar i henhold til artikel 82 i GDPR, har databehandleren ret til at suspendere yderligere behandling i denne henseende, indtil ansvaret mellem parterne er afklaret.

(6) Behandling af data

på vegne af

kunden uden for databehandlerens eller underleverandørens forretningslokaler er kun tilladt med kundens samtykke i skriftlig eller tekstform. Behandling af data for kunden i private hjem er kun tilladt med kundens samtykke i skriftlig eller tekstform i enkelte tilfælde.

(7) Databehandleren skal behandle de data, som den behandler på vegne af kunden, adskilt fra andre data. En fysisk adskillelse er ikke obligatorisk.

5. Databeskyttelsesansvarlig hos databehandleren

(1) Databehandleren bekræfter, at han har udpeget en databeskyttelsesansvarlig i overensstemmelse med artikel 37 i GDPR. Databehandleren skal sikre, at den databeskyttelsesansvarlige har de nødvendige kvalifikationer og ekspertise. Databehandleren skal separat informere kunden i tekstform om navnet og kontaktoplysningerne på sin databeskyttelsesansvarlige.

(2) Forpligtelsen til at udpege en databeskyttelsesansvarlig i henhold til stk. 1 kan fraviges efter ordregiverens skøn, hvis databehandleren kan bevise, at den ikke er lovmæssigt forpligtet til at udpege en databeskyttelsesansvarlig, og databehandleren kan bevise, at der findes driftsmæssige foranstaltninger, der sikrer, at personoplysninger behandles i overensstemmelse med de lovmæssige bestemmelser, bestemmelserne i denne aftale og eventuelle yderligere instrukser fra ordregiveren.

6. Databehandlerens rapporteringsforpligtelser

(1) Databehandleren er forpligtet til straks at underrette kunden om enhver overtrædelse af databeskyttelsesbestemmelserne eller de indgåede aftaler og/eller de instrukser, der er givet af kunden, som er sket i forbindelse med databehandlingen foretaget af ham eller af andre personer, der er involveret i behandlingen. Det samme gælder for enhver overtrædelse af beskyttelsen af personoplysninger, der behandles af databehandleren på vegne af kunden.

(2) Desuden skal databehandleren straks underrette kunden, hvis en tilsynsmyndighed i henhold til artikel 58 i GDPR træffer foranstaltninger mod databehandleren, og dette kan også vedrøre en kontrol af den behandling, som databehandleren udfører på vegne af kunden.

(3) Databehandleren er klar over, at kunden kan være underlagt en underretningspligt i henhold til artikel 33 og 34 i GDPR, som foreskriver en underretning til tilsynsmyndigheden inden for 72 timer efter opdagelsen. Databehandleren skal bistå kunden med opfyldelsen af underretningsforpligtelserne. Databehandleren skal navnlig straks, senest dog inden for 48 timer efter at have fået kendskab hertil, underrette kunden om enhver uautoriseret adgang til personoplysninger, der behandles på vegne af kunden. Databehandlerens underretning til kunden skal navnlig indeholde følgende oplysninger:

  • en beskrivelse af arten af bruddet på beskyttelsen af personoplysninger, om muligt med angivelse af kategorierne og det omtrentlige antal berørte personer, de berørte kategorier og det omtrentlige antal berørte personoplysningsregistre
  • en beskrivelse af de foranstaltninger, som databehandleren har truffet eller foreslår for at afhjælpe bruddet på beskyttelsen af personoplysninger og, hvor det er relevant, foranstaltninger til at afbøde eventuelle negative virkninger heraf.

7. Behandlerens samarbejdsforpligtelser

(1) Den påtænkte behandler skal støtte kunden i dennes forpligtelse til at besvare anmodninger om udøvelse af den registreredes rettigheder i overensstemmelse med artikel 12-23 i GDPR. Bestemmelserne i § 11 i denne aftale finder anvendelse.

(2) Behandleren skal deltage i udarbejdelsen af listerne over behandlingsaktiviteter hos den kontraherende enhed. Databehandleren skal på passende vis stille de nødvendige oplysninger til rådighed for kunden.

(3) Under hensyntagen til behandlingsarten og de oplysninger, der står til hans rådighed, skal databehandleren bistå kunden med at overholde de forpligtelser, der er fastsat i artikel 32-36 i DPA.

(4) Databehandleren er berettiget til at kræve et passende, omkostningsbaseret vederlag fra kunden for disse ydelser.

8. Kontrolbeføjelser

(1) Kunden har til enhver tid ret til i det omfang, det er nødvendigt, at kontrollere, at databehandleren overholder de lovmæssige bestemmelser om databeskyttelse og/eller de mellem parterne aftalte kontraktbestemmelser, og/eller at databehandleren overholder kundens instrukser.

Bevis for overholdelse af de forpligtelser, der påhviler en databehandler i henhold til GDPR, skal primært fremlægges ved hjælp af uafhængige testrapporter og certificering.

Hvis kunden på grundlag af faktiske beviser har begrundet tvivl om, at testrapporterne eller certificeringerne er utilstrækkelige eller ukorrekte, eller hvis særlige hændelser i henhold til artikel 33, stk. 1, i GDPR i forbindelse med udførelsen af kundens ordrebehandling berettiger dette, kan kunden foretage inspektioner i overensstemmelse med afsnit 8, stk. 2.

(2) For at give kunden mulighed for at foretage en inspektion af ordren og især for at kontrollere de tekniske og organisatoriske foranstaltninger, der er truffet hos den påtænkte databehandler før påbegyndelsen af og regelmæssigt under databehandlingen, skal den påtænkte databehandler tillade inspektion af en neutral tredjepart (beediget revisor), der er udpeget af kunden. Den påtænkte databehandler har ret til at fastsætte datoer for en inspektion i overensstemmelse med de driftsmæssige muligheder. Inspektionen skal gøres mulig inden for en rimelig frist efter anmodningen. Alternativt kan databehandleren også imødekomme kundens ret til inspektion ved at fremlægge en inspektionsrapport udarbejdet af en uafhængig, beediget revisor på vegne af databehandleren. Udøvelsen af inspektionsretten må ikke unødigt forstyrre databehandlerens forretningsdrift eller være misbrugende.

(3) Databehandleren har ret til at kræve et rimeligt vederlag fra kunden for inspektioner i henhold til punkt 8. (2).

9. Andel af underleverandører

(1) Databehandlerens anvendelse af underleverandører er kun tilladt med kundens samtykke i skriftlig form. Databehandleren skal angive alle underleverandørforhold, der allerede eksisterer på tidspunktet for kontraktens indgåelse, i bilag 2 til denne kontrakt.

(2) Ordrebehandleren skal nøje udvælge underleverandøren og inden ordren afgives kontrollere, at underleverandøren er i stand til at overholde de aftaler, der er indgået mellem kunden og ordrebehandleren. Underleverandøren skal navnlig på forhånd og regelmæssigt i løbet af kontraktperioden kontrollere, at underleverandøren har truffet de tekniske og organisatoriske foranstaltninger, der kræves i henhold til artikel 32 i GDPR til beskyttelse af personoplysninger. Resultatet af kontrollen skal dokumenteres af underleverandøren og stilles til rådighed for kunden på anmodning.

(3) Behandleren er forpligtet til at indhente en bekræftelse fra underleverandøren på, at denne har udpeget en databeskyttelsesansvarlig i virksomheden i overensstemmelse med artikel 37 i GDPR. I tilfælde af at underleverandøren ikke har udpeget en databeskyttelsesansvarlig, skal behandleren informere kunden herom og fremlægge oplysninger, der viser, at underleverandøren ikke er lovmæssigt forpligtet til at udpege en databeskyttelsesansvarlig.

(4) Behandleren

skal

sikre, at de bestemmelser, der er aftalt i denne kontrakt, og eventuelle supplerende instrukser fra kunden, også gælder for

underleverandøren

.

(5) Behandleren skal indgå en kontrakt med underleverandøren, der opfylder kravene i artikel 28 i GDPR. Derudover skal behandleren pålægge underleverandøren de samme forpligtelser vedrørende beskyttelse af personoplysninger som dem, der er fastlagt mellem hovedkontraktsparten og behandleren.

(6) Den part, der behandler ordren, er navnlig forpligtet til ved kontraktmæssige bestemmelser at sikre, at kundens og tilsynsmyndighedernes kontrolbeføjelser (punkt 8 i denne aftale) også gælder for underleverandøren, og at tilsvarende kontrolrettigheder aftales af kunden og tilsynsmyndighederne. Desuden skal det aftales kontraktmæssigt, at underleverandøren skal acceptere disse kontrolforanstaltninger og eventuelle inspektioner på stedet.

(7) Underleverandørforhold i henhold til stk. 1 til 6 betragtes ikke som tjenester, som databehandleren indhenter fra tredjeparter som en rent accessorisk tjeneste med henblik på at udføre forretningsaktiviteten. Sådanne tjenester omfatter f.eks. rengøringstjenester, rene telekommunikationstjenester uden specifik henvisning til tjenester, som databehandleren leverer til hovedmanden, post- og kurertjenester, transporttjenester og sikkerhedstjenester. Behandleren er ikke desto mindre forpligtet til at sikre, også i tilfælde af hjælpetjenester leveret af tredjeparter, at der er truffet passende forholdsregler samt tekniske og organisatoriske foranstaltninger for at sikre beskyttelsen af personoplysninger. Vedligeholdelse og service af it-systemer eller -applikationer udgør et underleverandørforhold og ordrebehandling i henhold til artikel 28 i GDPR, hvilket kræver godkendelse, hvis vedligeholdelsen og testningen vedrører sådanne IT-systemer, der også anvendes i forbindelse med levering af tjenester til kunden, og hvis der under vedligeholdelsen kan opnås adgang til personoplysninger, der behandles på

vegne

af kunden.

10. Fortrolighedsforpligtelse

(1) Ved behandling af data på vegne af kunden er databehandleren forpligtet til at bevare fortroligheden af de data, som vedkommende modtager eller får kendskab til i forbindelse med ordren.

Databehandleren

forpligter sig til at overholde de samme regler om hemmeligholdelse som dem, der påhviler ordregiveren. Ordregiveren er forpligtet til at informere databehandleren om eventuelle særlige regler

om

hemmeligholdelse.

(2) Databehandleren forsikrer, at han er bekendt med de gældende databeskyttelsesbestemmelser og er fortrolig med deres anvendelse. Databehandleren garanterer endvidere, at han har gjort sine medarbejdere bekendt med de databeskyttelsesbestemmelser, der gælder for dem, og har forpligtet dem til at overholde tavshedspligten. Databehandleren garanterer endvidere, at han navnlig har forpligtet de medarbejdere, der er involveret i udførelsen af arbejdet, til at overholde tavshedspligten og har informeret dem om kundens instrukser.

(3) Medarbejdernes forpligtelse i henhold til stk. 2 skal på anmodning dokumenteres over for kunden.

11. Beskyttelse af de berørte personers rettigheder

(1) Kunden er alene ansvarlig for at sikre de registreredes rettigheder. Databehandleren er forpligtet til at støtte kunden i dennes forpligtelse til at behandle anmodninger fra de registrerede i overensstemmelse med artikel 12-23 i GDPR. Databehandleren skal navnlig sikre, at de i denne henseende nødvendige oplysninger straks stilles til rådighed for kunden, således at denne kan opfylde sine forpligtelser i henhold til artikel 12, stk. 3, i GDPR.

(2) I det omfang den påtænkte databehandlers medvirken er nødvendig for at sikre de registreredes rettigheder – især retten til information, berigtigelse, spærring eller sletning – hos kunden, skal den påtænkte databehandler træffe de nødvendige foranstaltninger i overensstemmelse med kundens instrukser. Databehandleren skal om muligt støtte kunden med passende tekniske og organisatoriske foranstaltninger for at opfylde dennes forpligtelse til at imødekomme anmodninger om udøvelse af de registreredes rettigheder. Databehandleren har ret til at kræve

et

rimeligt vederlag fra kunden for disse tjenester.

(3) Dette berører ikke eventuelle bestemmelser om eventuel godtgørelse af ekstraudgifter, som den databehandler, der er pålagt opgaven, har afholdt som følge af samarbejdstjenester i forbindelse med håndhævelsen af de registreredes rettigheder over for kunden.

12. Fortrolighedsforpligtelser

(1) Begge parter forpligter sig til at behandle alle oplysninger, der modtages i forbindelse med gennemførelsen af denne aftale, som fortrolige i en ubegrænset periode og kun at anvende dem til gennemførelsen af aftalen. Ingen af parterne har ret til at anvende disse oplysninger helt eller delvist til andre formål end de netop nævnte eller til at stille disse oplysninger til rådighed for tredjeparter.

(2) Ovenstående forpligtelse gælder ikke for oplysninger, som en af parterne påviseligt har modtaget fra tredjeparter uden at være forpligtet til at overholde tavshedspligten, eller som er alment kendt.

13. Behandling

Databehandleren modtager ikke særskilt vederlag for denne kontrakt.

14. Tekniske og organisatoriske foranstaltninger til datasikkerhed

(1) Databehandleren forpligter sig over for kunden til at overholde de tekniske og organisatoriske foranstaltninger, der er nødvendige for at overholde de gældende databeskyttelsesbestemmelser. Dette omfatter især kravene i artikel 32 i GDPR.

(2) Status for de tekniske og organisatoriske foranstaltninger, der eksisterede på tidspunktet for aftalens indgåelse, er vedlagt denne aftale som bilag 3. Parterne er enige om, at ændringer af de tekniske og organisatoriske foranstaltninger kan være nødvendige for at tilpasse sig tekniske og juridiske forhold. Væsentlige ændringer, der kan påvirke integriteten, fortroligheden eller tilgængeligheden af personoplysninger, aftales på forhånd mellem databehandleren og kunden. Foranstaltninger, der kun indebærer mindre tekniske eller organisatoriske ændringer og ikke påvirker integriteten, fortroligheden og tilgængeligheden af personoplysningerne negativt, kan gennemføres af databehandleren uden at konsultere kunden. Kunden kan til enhver tid anmode om en opdateret version af de tekniske og organisatoriske foranstaltninger,

som

databehandleren

har truffet

.

(3) Databehandleren skal regelmæssigt og efter behov kontrollere effektiviteten af de tekniske og organisatoriske foranstaltninger

,

som han har truffet. I tilfælde af behov for optimering og/eller ændring skal den påtænkte databehandler informere kunden.

15. Ordres varighed

(1) Kontrakten træder i kraft ved tildeling og indgås for en ubestemt periode.

(2) Kontrakten ophører ved opsigelse af hovedkontrakten (en app-pakke eller en hvilken som helst tjeneste) uden behov for en separat opsigelse.

Eventuelle sletnings- og returforpligtelser efter aftalens ophør er reguleret i § 16.

(3) Ordregiveren kan til enhver tid opsige aftalen uden varsel, hvis der foreligger en alvorlig overtrædelse af de databeskyttelsesbestemmelser, der gælder for databehandleren, eller af forpligtelser i henhold til denne aftale, hvis databehandleren ikke er i stand til eller ikke er villig til at udføre en instruks fra ordregiveren, eller hvis databehandleren i strid med aftalen nægter ordregiveren eller den kompetente tilsynsmyndighed adgang.

16. Opsigelse

(1) Efter aftalens ophør skal den befuldmægtigede databehandler efter kundens valg returnere til kunden eller slette alle dokumenter, data og oprettede behandlings- eller anvendelsesresultater, som er kommet i hans besiddelse i forbindelse med aftaleforholdet. Sletningen skal dokumenteres på passende vis. Eventuelle lovbestemte opbevaringsforpligtelser eller andre forpligtelser til at opbevare dataene forbliver uberørte. I tilfælde af datamedier skal disse destrueres, hvis kunden anmoder om sletning, hvorved mindst sikkerhedsniveau 3 i DIN 66399 skal overholdes; kunden skal fremlægge bevis for destruktionen med henvisning til sikkerhedsniveauet i henhold til DIN 66399.

(2) Kunden har ret til at kontrollere den fuldstændige og kontraktmæssige tilbagelevering og sletning af dataene hos den påtænkte databehandler. Dette kan også ske ved inspektion af databehandlingsudstyret på databehandlerens lokaler. Inspektionen på stedet skal meddeles af kunden med et rimeligt varsel.

17. Tilbageholdelsesret

Parterne er enige om, at databehandlerens påberåbelse af tilbageholdelsesret i henhold til § 273 BGB (tysk civilret) med hensyn til de behandlede data og de tilhørende datamedier er udelukket.

18. Afsluttende bestemmelser

(1) Hvis kundens ejendom er i fare på databehandlerens lokaler som følge af tredjemands foranstaltninger (f.eks. beslaglæggelse eller konfiskation), insolvensbehandling eller andre begivenheder, skal databehandleren straks underrette kunden herom. Databehandleren skal straks underrette kreditorerne om, at dataene behandles i henhold til ordren.

(2) Sideaftaler skal indgås skriftligt.

(3) Skulle enkelte dele af denne kontrakt være ugyldige, berører dette ikke gyldigheden af de øvrige bestemmelser i kontrakten.

Bilag 1 – Ordreens genstand

1. Behandlingens genstand og formål

Kundens ordre til databehandleren omfatter følgende arbejde og/eller tjenester: Tilvejebringelse af mobile applikationer (beskrevet mere detaljeret i den respektive gældende servicebeskrivelse) samt websider med lignende indhold. Dette omfatter indsamling, behandling og videresendelse af registrerede data.

2. Type(r) af personoplysninger

Følgende typer data behandles regelmæssigt: Trafikdata, indholdsdata, kontaktdata, personlige stamdata og kommunikationsdata (navn, adresse, telefonnummer, faxnummer, e-mailadresse).

3. Kreds af berørte personer

Kreds af personer, der er berørt af databehandlingen: Brugere af din konto, opkaldende og opkaldte deltagere eller afsender/modtager af SMS/fax, medarbejdere, kunder, forretningspartnere, interessenter og tjenesteudbydere hos kunden.

Hvis kunden er en partner til databehandleren: Kontakt-, personlige stam- og kommunikationsdata (navn, adresse, telefonnummer, faxnummer, e-mailadresse) for de entreprenører/virksomheder, der er henvist af den partner, der har afgivet ordren.

Kunden er forpligtet til at informere brugerne af kontoen og – om nødvendigt – samarbejdsudvalget eller tilsvarende repræsentanter om behandlingen af de i punkt 2 nævnte data.

4. Sted for databehandling:

Alle data behandles på servere inden for Det Europæiske Økonomiske Samarbejdsområde.

Bilag 2 – Underleverandør

Til behandling af data på vegne af den dataansvarlige benytter databehandleren sig af tredjeparter, der behandler data på dennes vegne ("underleverandører").

Databehandleren benytter sig af forskellige underleverandører til at levere sine tjenester.

Disse underleverandører er i første omgang følgende virksomheder tilhørende databehandleren og udfører forarbejde til realiseringen af databehandlerens tjenester. De nødvendige kontraktmæssige aftaler er indgået mellem virksomhederne med henblik på behandling af disse data.

Dette er følgende virksomheder:

Jungherz LLC, 1621 Central Ave, Cheyenne, WY 82001

Mailjet GmbH, c/o Mindspace, Friedrichstraße 68, 10117 Berlin,

netcup GmbH, Daimlerstraße 25, D-76185 Karlsruhe

OVH Groupe SAS, 2 Rue Kellermann Roubaix, 59100 Frankrig

Digistore24 GmbH, St.-Godehard-Str. 32, 31139 Hildesheim

CopeCart GmbH, Ufnaustrasse 10, 10553 Berlin

Stripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Dublin, D02 H210, Irland

Bilag 3 – Databehandlerens tekniske og organisatoriske foranstaltninger

Databehandleren skal træffe følgende tekniske og organisatoriske foranstaltninger til datasikkerhed i henhold til artikel 32 i GDPR.

1. Fortrolighed

Adgangskontrol

For at forhindre uautoriseret adgang til de databehandlingssystemer, hvor data behandles eller anvendes, har databehandleren og dennes underleverandører, såsom Netcup og Google Cloud Division, implementeret omfattende formelle adgangskontrolprocesser.

De anvendte lokationer rummer serverrum og et rum til serverteknologi. For at få adgang udstedes der elektroniske nøgler til udvalgte medarbejdere hos underleverandøren. Nøglerne giver kun den pågældende underleverandørs medarbejder ret til at åbne/lukke enkelte døre, der er godkendt til dette formål. Alle åbnings- og lukningshandlinger med en nøgle logges elektronisk sammen med nøglens unikke ID. Kun medarbejdere hos underleverandøren, der er direkte bemyndiget af ledelsen, er ansvarlige for administrationen af nøglerne.

Serverrummet er altid aflåst og kan kun betrædes af udvalgte medarbejdere hos underleverandøren.

Inden for bygningen på den pågældende lokation er underleverandørens medarbejderes adgangsrettigheder – selv for dem, der har en nøgle – begrænset til det omfang, der er nødvendigt for den specifikke opgave, der skal udføres.

I åbningstiden foretages der en kontrol af personer, der kommer ind i bygningen, ved den permanent bemandede reception. Uden for åbningstiden er alle indgange til bygningen aflåst og sikret med alarm. Bygningen er desuden sikret af et sikkerhedsfirma. Alle alarmer fra alarmsystemet rapporteres direkte til et sikkerhedsfirma.

Der anvendes standard sikkerhedsforanstaltninger i alle datacentre. Disse svarer til den nyeste teknologi og (best practices) inden for IT-branchen. Disse omfatter elektroniske adgangskontrolsystemer med logning, hvorved kun autoriserede personer har adgang til bygningen, alarmsystemer, videoovervågning inde/ude, sikkerhedspersonale døgnet rundt, alarmsystemer, sikring af bygningen med pigtråd, beskyttelse af eksterne sikkerhedstjenester, der automatisk informeres via en dedikeret alarmlinje i tilfælde af en alarm.

Nøglerne til de enkelte rum og bure i datacentret skal altid afhentes hos sikkerhedspersonalet.

Adgangskontrol

For at sikre, at de personer, der er autoriseret til at bruge et system til databehandling, kun har adgang til de data, der er omfattet af deres adgangsrettigheder, og at lagrede data eller data, der behandles, ikke kan læses, kopieres, ændres eller fjernes af uautoriserede personer, bruger ordrebearbejderen et centralt system til styring af adgangsrettigheder. Alle adgangshandlinger lagres lokalt og på den centrale logserver. Administratorrettigheder kan kun udøves via et centralt administrationsprogram.

Adgangen til alle data er begrænset til det omfang, der er nødvendigt for, at alle autoriserede personer kan udføre deres specifikke opgaver. De lovmæssige krav til databeskyttelse, især kravene i den generelle forordning om databeskyttelse (GDPR) og TKG, overholdes.

Adskillelse

Databehandleren behandler dataene på serversystemer, der er logisk adskilt ved hjælp af et system af logiske og fysiske adgangskontrolforanstaltninger på netværket.

2. Integritet

Indtastningskontrol

For at sikre, at databehandleren efterfølgende kan kontrollere og fastslå, om og af hvem data er blevet indtastet, ændret eller slettet i databehandlingssystemerne, logføres alle adgangshandlinger til kundens lagrede data lokalt og på den centrale logserver.

Videresendelseskontrol

For at sikre, at data ikke kan læses, kopieres, ændres eller fjernes af uautoriserede personer under elektronisk transmission, transport eller opbevaring, og at det er muligt at verificere, hvor data skal overføres af dataoverførselssystemer, er adgangen til alle systemer, der behandler kundedata, underlagt effektive adgangskontrolmekanismer. Disse adgangskontrolmekanismer er allerede beskrevet mere detaljeret ovenfor under punkt 3.

3. Tilgængelighed og robusthed

Databehandleren anvender en kombination af redundante systemer og backup-løsninger i alle systemer for at beskytte de lagrede data og for at kunne gendanne dem, hvis det er nødvendigt. Disse systemer drives udelukkende i lokaler, der er sikret og udstyret i overensstemmelse med den aktuelle tekniske standard, som har de nødvendige klimaanlæg, brand- og røgalarmsystemer, og for hvilke der findes detaljerede beredskabsplaner.

4. Procedurer for regelmæssig gennemgang, vurdering og evaluering

Alle vores egne medarbejdere og underleverandørens medarbejdere modtager regelmæssigt uddannelse i databeskyttelsesspørgsmål. Denne uddannelse foregår udelukkende internt, så den kan tilpasses nøjagtigt til de spørgsmål, der er relevante for ordrebearbejderen. Individuelle spørgsmål behandles også i detaljer under disse uddannelsessessioner.

Alle medarbejdere hos databehandleren, der i forbindelse med deres arbejde kommer i kontakt med behandling af personoplysninger, er forpligtet til at behandle personoplysninger fortroligt. Dette sker regelmæssigt, når nye medarbejdere ansættes, ved hjælp af en kontraktmæssig forpligtelseserklæring, som hver medarbejder skal afgive.

Databehandleren har udpeget en databeskyttelsesansvarlig. Sammen med sine stedfortrædere skal den databeskyttelsesansvarlige sikre, at henvendelser fra registrerede besvares rettidigt.

Databehandleren skal føre et register over behandlingsaktiviteter i henhold

til

artikel 30, stk. 1 og 2, i GDPR. Denne liste over behandlingsaktiviteter er ikke offentlig.

(pr. 16. februar 2022)