Denne politik fastsætter de rettigheder og forpligtelser, som finder anvendelse, når databehandleren foretager behandling af personoplysninger på vegne af den dataansvarlige.

Definition:

Databehandleren: REEZETS

Underdatabehandleren: "Kunderne"

Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.

Databehandlerens behandling af personoplysninger sker med henblik på opfyldelse af parternes "hovedaftale": Rezeets.dk.

Databehandleraftalen og "hovedaftalen" er indbyrdes afhængige, og kan ikke opsiges særskilt. Databehandleraftalen kan dog – uden at opsige "hovedaftalen" – erstattes af en anden gyldig databehandleraftale.

Denne databehandleraftale har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne, herunder i "hovedaftalen".

6. Bilag

Til denne aftale hører en bilag. Bilagene fungerer som en integreret del af databehandleraftalen.

7. Databehandleraftalens Bilag

Databehandleraftalens bilag indeholder nærmere oplysninger om behandlingen, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.

12. Underdatabehandlere

Den dataansvarlige har ved databehandleraftalens ikrafttræden ingen forpligtelser for anvendelsen af købte software eller data hos underdatabehandlere.

Databehandleren må således ikke gøre brug af en underdatabehandler til opfyldelse af disse bestemmelser uden forudgående specifik skriftlig godkendelse / generel skriftlig godkendelse fra den dataansvarlige.

13. Forpligtelser

Denne databehandleraftale frigør ikke databehandleren for forpligtelser, som efter databeskyttelsesforordningen eller enhver anden lovgivning direkte er pålagt databehandleren.

Underretning om brud på persondatasikkerheden

Databehandleren foretager en intern undersøgelse af brud på persondatasikkerheden, hvis der er sket et brud. Undersøgelsen dækker:

• Karakteren af bruddet på persondatasikkerheden, herunder kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger
• Sandsynlige konsekvenser af bruddet på persondatasikkerheden
• Foranstaltninger, som er truffet eller foreslås truffet for at håndtere bruddet på persondatasikkerheden, herunder foranstaltninger for at begrænse dets mulige skadevirkninger

Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos databehandleren eller en eventuel underdatabehandler.

Overførsel af oplysninger til tredjelande eller internationale organisationer

Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel af personoplysninger til tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling.

Fortrolighed

Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den dataansvarlige. Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber.

Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

Sletning af oplysningerne

Ved ophør af tjenesterne vedrørende behandling forpligtes databehandleren til, efter den dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den dataansvarlige, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.

Tilsyn og revision

Databehandleren stiller alle oplysninger, der er nødvendige for at påvise databehandlerens overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.

Bilag 1. Oplysninger om behandlingen

Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er:

• at den dataansvarlige kan anvende systemet og kontakte information, som ejes og administreres af databehandleren, til at indsamle og behandle oplysninger om den dataansvarliges medlemmer og kunder.
• at databehandleren stiller systemet Rezeets til rådighed for den dataansvarlige og herigennem opbevarer personoplysninger om den dataansvarliges medlemmer på virksomhedens server.

Personoplysninger, der behandles i denne forbindelse kan være:

• Navn
• E-mailadresse
• Telefonnummer
• Adresse
• CVR nummer
• Betalingsoplysninger
• Type af medlemskab / abonnement

Alle medarbejdere i Rezeets har adgang til disse personoplysninger, da det er krævende for de forskellige roller og arbejdsopgaver medarbejdere sidder med. Rezeets bestræber sig efter limiteret adgang til følsomme personoplysninger.

Personoplysningerne opbevares hos databehandleren, indtil den dataansvarlige anmoder om at få oplysningerne slettet eller tilbageleveret. Hvis ikke anmodet, bliver personoplysningerne beholdt i virksomhedens server efter finansielle og skatte nødvendighed, som er frem til 5 år efter opsigelse af brug af service fra Rezeets.

Anmodning om sletning kan foretages via kontakt info@rezeets.dk