Processor Agreement

Between

(“theController”)

And

Wedoio Integrations Aps

CVR-nr. 36928271

Kochsgade 31D, 2. Sal

5000 Odense C

Denmark

(the “Data Processor”)

The controller and the processor are collectively referred to as a “party” and together the “Parties”

1. BAGGRUND

1.1 Den Dataansvarlige har indgået abonnementsaftale (herefter ”Abonnementet”) med Databehandleren med henblik på at foretage integration blandt den Dataansvarliges IT-systemer og tjenester.

1.2 Databehandleren behandler i den forbindelse personoplysninger på vegne af den Dataansvarlige, bl.a. via håndtering på Databehandlerens servere.

1.3 Databehandlingen foregår via en eller flere af Databehandlerens tekniske løsninger (herefter ”Systemet” eller ”Systemer”), der sikrer integrationen mellem de IT-systemer, den Dataansvarlige anvender i sin virksomhed. The data controller may at any time via login into the system see all the personal data processed in the system.

1.4 Formålet med Databehandleraftalen er at sikre, at Databehandleren til enhver tid overholder gældende persondatalovgivning i den forbindelse, herunder Persondataloven (lov nr. 429 af 31/05/2000 med senere ændringer samt Persondataforordningen (Europa-Parlamentets Og Rådets Forordning 2016/679 af 27. april 2016 – herefter ”Persondataforordningen”).

1.5 Databehandleraftalen fastsætter de rettigheder og forpligtelser, som finder anvendelse, når Databehandleren foretager behandling af personoplysninger på vegne af den Dataansvarlige.

1.6 Databehandleraftalen følger betingelserne for opsigelse/ophævelse af Abonnementet, jf. punkt 1.1 og de tilhørende handelsbetingelser. The terms of trade also generally apply in relation to the processing agreement. In case of doubt or conflict, the data processor shall take precedence unless otherwise provided by the data processing agreement.

1.7 Til Databehandleraftalen hører Bilag 1-2. Bilagene fungerer som en integreret del af Databehandleraftalen.

1.8 Databehandleraftalen med tilhørende bilag opbevares skriftligt, herunder elektronisk af begge parter.

2. INSTRUKS

2.1 Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt; i så fald underretter Databehandleren den Dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. Personal Data Regulation art. 28 (3) (a).

2.2 Instruksen består af 2 (to) dele:

2.3 Denne Databehandleraftale inklusiv bilagene på underskrifttidspunktet.

2.4 Integrationen, som Databehandleren foretager i Systemet (og hvorved behandling af personoplysninger finder sted) udgør en instruks til Databehandleren, idet Databehandleren automatisk ud fra de informationer, oplysninger og uploads, der modtages fra den Dataansvarlige, foretager indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.

2.5 Databehandleren underretter omgående den Dataansvarlige, hvis en instruks efter Databehandlerens mening er i strid med Persondataforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

2.6 Hvis ikke andet følger af Databehandleraftalen, må Databehandleren benytte alle relevante hjælpemidler, herunder IT-systemer.

3. GENERELT OM BEHANDLINGSSIKKERHED

3.1 Databehandleren iværksætter løbende alle foranstaltninger, som kræves i henhold til Persondataforordningens artikel 32.

3.2 I artikel 32 fremgår bl.a., at der skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risici forbundet med behandling af personoplysninger under hensyntagen til:

3.3 Det aktuelle niveau

3.4 Implementeringsomkostningerne

3.5 Den pågældende behandlings karakter, omfang, sammenhæng og formål (herunder hensyntagen til kategorien af personoplysninger i Bilag 1)

3.6 Risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder

3.7 Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nedenfor i punkt 4, 5 og 6.

3.8 Parterne er enige om, at disse garantier er tilstrækkelige på tidspunktet for indgåelse af denne Databehandleraftale, idet bemærkes, at Databehandleren i øvrigt har iværksæt øvrige foranstaltninger i interne procedurer.

4. FYSISK SIKKERHED

4.1 Databehandleren foretager sikring af fysiske lokaler.

5. ORGANISATORISK SIKKERHED

5.1 Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den Dataansvarlige. Access to the data must therefore be closed immediately if the authorisation is revoked or expires.

5.2 Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde Databehandlerens forpligtelser overfor den Dataansvarlige.

5.3 Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den Dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt samt at medarbejderne overholder Databehandleraftalen.

5.4 Alle medarbejdere er orienteret om og underlagt interne procedurer for, hvordan sikkerhedsbrud håndteres.

6. TEKNISK SIKKERHED

6.1 Databehandleren anvender udelukkende hard- og software af høj kvalitet, der løbende opdateres, herunder antivirussoftware, antihackingsoftware og firewalls.

6.2 Al kommunikation til/fra Systemet foregår krypteret (https) og understøtter en 256/128 bit TLS-forbindelse.

6.3 Adgang til Databehandlerens interne IT-systemer sker via krypterede login-oplysninger, som sikrer, at uvedkommende ikke kan få adgang. The data processor shall change with appropriate increments passwords in internal IT systems which ultimately provide access to the controller’s personal data.

6.4 Til brug for integration af Systemet med den Dataansvarliges IT-systemer modtager Databehandleren de nødvendige kodeord og adgangsinformationer.
The Data processor deletes the information after the setup/integration of the subscription is complete, unless the parties enter into separate agreement for otherwise. The controller should also change the information.

6.5 Databehandleren gemmer dog korrespondance og logfiler vedrørende support til den Dataansvarlige i en ”ticket”. To debug and have an overview of past history. The content of the “Ticket’en” will not be deleted unless the controller actively requests this.

7. UNDERRETNING OM BRUD PÅ PERSONDATASIKKERHEDEN

7.1 Databehandleren underretter uden unødig forsinkelse den Dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos Databehandleren eller en eventuel Underdatabehandler.

7.2 Et sådant sikkerhedsbrud omfatter ethvert brud, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysningerne behandlet for den Dataansvarlige (”Sikkerhedsbrud”).

7.3 Databehandleren skal føre og opbevare en fortegnelse over alle Sikkerhedsbrud. The inventory must contain at least the facts of the security breach, the effects and the remedial measures taken.

8. ANVENDELSE AF UNDERDATABEHANDLERE

8.1 Databehandleren skal opfylde de betingelser, der er omhandlet i Persondataforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden Databehandler (Underdatabehandler).

8.2 Parterne har aftalt, at Databehandleren generelt kan anvende Underdatabehandlere, jf. Appendix 2, where also the already approved Subdatabase Traders are listed.

8.3 Databehandleren skal underrette den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre Databehandlere og derved give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.

8.4 Databehandleren pålægger Underdatabehandleren minimum de samme databeskyttelsesforpligtelser som dem, der er fastsat i denne Databehandleraftale gennem en kontrakt eller andet retligt dokument, således at kravene til tekniske og organisatoriske foranstaltninger i Persondataforordningen og/eller anden relevant gældende regulering til enhver tid overholdes.

8.5 Hvis Underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver Databehandleren fuldt ansvarlig over for den Dataansvarlige for opfyldelsen af Underdatabehandlerens forpligtelser.

9. OVERFØRSEL AF OPLYSNINGER TIL TREDJELANDE ELLER INTERNATIONALE ORGANISATIONER

9.1 Databehandleren må alene behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige, herunder for så vidt angår overførsel (overladelse, videregivelse samt intern anvendelse) af personoplysninger til tredjelande eller internationale organisationer, medmindre undtagelserne hertil i Persondataforordningen og/eller anden relevant gældende regulering er opfyldt.

9.2 Den Dataansvarliges eventuelle instruks eller godkendelse af, at der foretages overførsel af personoplysninger til et tredjeland, skal fremgå af Bilagene eller særskilt instruks.

9.3 Hvis den Dataansvarlige ikke i Bilagene eller i særskilt instruks har angivet en instruks eller godkendelse vedrørende overførsel af personoplysninger til et tredjeland eller internationale organisationer, må Databehandleren ikke inden for rammerne af Databehandleraftalen foretage en sådan overførsel.

9.4 I det omfang, der sker overførsel til et tredjeland, bistår den Dataansvarlige uden vederlag herfor Databehandleren ved indgåelse af nødvendige aftaler, eller den Dataansvarlige udsteder bemyndigelse til at indgå de fornødne aftaler på den Dataansvarliges vegne og for dennes regning.

10. BISTAND TIL DEN DATAANSVARLIGE

10.1 Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i Persondataforordningens kapitel 3.

10.2 Databehandleren bistår den Dataansvarlige med at sikre overholdelse af den Dataansvarliges forpligtelser i medfør af Persondataforordningens artikel 32-36 under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren, jf. Personal Data Regulation art. 28 (3) (f).

10.3 Parternes aftale om betaling for Databehandlerens bistand til den Dataansvarlige herfor fremgår af punkt 12.

11. SLETNING

11.1 Databehandleren sletter ikke den Dataansvarliges personoplysninger (eller andre data) under Abonnementets løbetid, medmindre den Dataansvarlige instruerer Databehandleren herom.

11.2 Ved ophør af Samarbejdet og tilhørende behandling af personoplysninger skal Databehandleren, efter den Dataansvarliges valg, slette eller tilbagelevere alle personoplysninger til den Dataansvarlige, samt slette eksisterende kopier og kodeord, som eventuelt måtte være lagret hos Databehandleren efter instruks fra den Dataansvarlige, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.

11.3 Sletning af alle former for data hos Databehandleren og Underdatabehandlere sker som udgangspunkt senest 3 måneder efter Abonnementets ophør og uden advisering. Previous deletions may be made on request to the processor.

12. TILSYN OG REVISION

12.1 Databehandleren stiller alle oplysninger, der er nødvendige for at påvise Databehandlerens overholdelse af Persondataforordningens artikel 28 og denne aftale, til rådighed for den Dataansvarlige på anfordring af denne.

12.2 Databehandleren giver bl.a. mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden sagkyndig (f.eks. revisor eller IT-specialist), som er bemyndiget hertil af den Dataansvarlige.

12.3 Databehandleren skal – såfremt den Dataansvarlige ønsker det – én gang årligt indhente en sædvanlig og anerkendt erklæring (f.eks. revisionserklæring eller IT-erklæring) fra en uafhængig, sagkyndig tredjepart angående Databehandlerens overholdelse af denne Databehandleraftale med tilhørende bilag. The declaration shall be drawn up for the account of the controller and the processor shall be entitled to receive a copy of the declaration. If a statement has been drawn up on this occasion within the last 12 months, the data processor may offer the controller the opportunity to receive a copy of it instead.

12.4 Den Dataansvarlige eller en repræsentant for den Dataansvarlige har herudover adgang til at føre tilsyn, herunder fysisk tilsyn, hos Databehandleren, når den Dataansvarlige ønsker det.

12.5 Tilsyn varsles med minimum én måned. Together with the notice, the controller must send a detailed plan describing the scope, duration and start date of the supervision. The processor shall be obliged to dispose of the resources (mainly the time) necessary for the controller to carry out its supervision.

12.6 Databehandlerens udgifter i forbindelse med revision og/eller anden form for tilsyn (herunder intern tid) afholdes af den Dataansvarlige og afregnes i forhold til det af Databehandleren medgåede tidsforbrug.

12.7 Dette gælder ligeledes, såfremt den Dataansvarlige begærer dokumenter eller andet materiale udleveret fra Databehandleren med henblik på at kontrollere, at Databehandleraftalen overholdes.

13. MISLIGHOLDELSE

13.1 Reguleringen af misligholdelsesbeføjelser følger de til Abonnementet tilhørende handelsbetingelser, jf. punkt 1.7.

14. ANSVAR OG ANSVARSBEGRÆNSNINGER

14.1 Parterne er ansvarlige i overensstemmelse med gældende rets almindelige regler, dog med de begrænsninger der følger af dette afsnit.

14.2 Parterne fraskriver sig ethvert ansvar for indirekte tab og følgeskader, herunder driftstab, tab af goodwill, tab af besparelser og indtægter, inklusive udgifter til at indvinde mistede indtægter og tab af data.

14.3 Parternes ansvar for alle kumulerede krav i henhold til denne Databehandleraftale er begrænset til de samlede forfaldne betalinger i henhold til Hovedydelsen for den 6 måneders periode, der går umiddelbart forud for den skadegørende handling.

14.4 Hvis Databehandleraftalen ikke har været i kraft i 6 måneder, opgøres beløbet som den aftalte betaling ved Hovedydelserne i den periode Databehandleraftalen har været i kraft divideret med antallet af måneder, Databehandleraftalen har været i kraft og derefter multipliceret med 6.

14.5 Følgende er ikke omfattet af ansvarsbegrænsningen i dette punkt 14:

14.6 Tab som følge af den anden Parts groft uagtsomme eller forsætlige handlinger.

14.1 Udgifter og ressourceforbrug ved opfyldelse af en Parts forpligtelser over for en tilsynsmyndighed eller den registrerede samt bøder pålagt af en tilsynsmyndighed eller en domstol, i det omfang sådanne er forårsaget af den anden Parts misligholdelse.

15. ÆNDRING

15.1 Databehandleren kan med 1 måneds varsel og uden omkostninger foretage ændring af Databehandleraftalen.

16 Duration and termination

16.1 Databehandleraftalen kan erstattes af en anden gyldig Databehandleraftale. The processing agreement cannot be terminated or revoked separately during the term of the subscription.

16.2 Uanset Databehandleraftalens ophør skal aftalens punkt 5.3 (medarbejderes fortrolighed), 11 (sletning/tilbagelevering), 14 (ansvar og ansvarsbegrænsning) og 17 (tvister) have virkning efter Databehandleraftalens ophør.

16.3 Databehandleren må fortsat behandle personoplysningerne i op til tre måneder efter Databehandleraftalens ophør i det omfang, det er nødvendigt for at foretage nødvendige lovpligtige foranstaltninger, jf. i øvrigt punkt 11.2. During the same period, the data processor shall be entitled to include the personal data in the normal backup procedure of the processor.

16.4 Databehandlerens behandling i denne periode anses fortsat for at ske under overholdelse af instruksen i Databehandleraftalen.

17. TVISTER

17.1 Håndtering af tvister relateret til Databehandleraftalen følger Abonnementets handelsbetingelser.

17.2 Er intet andet aftalt, er Databehandleraftalen underlagt dansk ret og Parterne er berettiget til at kræve tvisten afgjort ved de almindelige domstole. The court in Glostrup was chosen as the Forum of jurisdiction at first instance.

Annex 1

1.FORMÅL

1.1 Dette bilag uddyber indholdet i Databehandleraftalen for så vidt angår de konkrete personoplysninger, der behandles på vegne af den Dataansvarlige.

2. TYPER AF PERSONDATA

2.1 Aftalen indebærer, at Databehandleren behandler følgende kategorier af almindelige personoplysninger:

Name
Phone number
Email address
Address
Payment information
Type of subscription
In addition, the following categories of sensitive personal data are treated as Paragraphs 1.2
Political, philosophical or religious beliefs
Union conditions
Racial or ethnic origin
Health information
Sexual relations or sexual orientation
Offence
Genetic or biometric data for the purpose of uniquely identifying a natural person;

3. The treatment includes the following categories of persons:

The data controller’s customers

Staff of the Controller

Members of the Controller

The owners of the data controller

The Controller’s business partners

Annex 2

1. UNDERDATABEHANDLERE

1.1 Databehandleren har den Dataansvarliges generelle godkendelse til at gøre brug af Underdatabehandlere.

1.2 Databehandleren skal dog underrette den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre Databehandlere og derved give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.

1.3 En sådan underretning skal være den Dataansvarlige i hænde minimum 30 dage før anvendelsen eller ændringen skal træde i kraft.

1.4 Såfremt den Dataansvarlige har indsigelser mod ændringerne, skal den Dataansvarlige give meddelelse herom til Databehandleren inden 14 dage efter modtagelsen af underretningen.

1.5 Den Dataansvarlige kan alene gøre indsigelse, såfremt den Dataansvarlige har rimelige, konkrete årsager hertil.

2. LISTE OVER UNDERDATABEHANDLERE VED DATABEHANDLERAFTALENS INDGÅELSE

Internal systems

Microsoft Azure (Irland)
Stripe
Intercom
Slack
ClickUp
Microsoft Office
Google
Facebook
Twitter
webCRM

Shop Systems

WooCommerce

ERP-Systemer

Uniconta