Databehandleraftale

Databehandleraftale

Summary
1. Introduktion
2. Den dataansvarliges ansvarsområder og forpligtelser
3. Databehandlerens ansvarsområder og forpligtelser
4. Brugen af underdatabehandlere
5. Adgang for koncernenheder
6. Fortrolighed
7. Sikkerhed ved behandlingen
8. Overførsel af persondata til tredjelande eller internationale organisationer
9. Bistand til den dataansvarlige
10. Meddelelse om brud på persondatasikkerheden
11. Sletning og returnering af persondata
12. Revision og inspektion
13. Ændring
14. Andre aftaler mellem parterne
15. Ikrafttræden og opsigelse
Bilag A – Kategorier af persondata og registrerede
Bilag B – Databehandlerens underdatabehandlere
Bilag C – Instruktioner til behandling af persondata

I henhold til artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (GDPR), og med det formål at regulere databehandlerens behandling af persondata, er denne Databehandleraftale (DPA) et tillæg til servicevilkårene mellem Shine Platform og abonnenten.

 

DPA'en anses for at være underskrevet af den dataansvarlige ved underskrivelsen af servicevilkårene.

 

"Databehandler" betyder Shine Platform som defineret i servicevilkårene, hvilket betyder det selskab i Shine Group, som kunden har indgået servicevilkårene med.

 

"Dataansvarlig" betyder kunden af Shine Platform.

 

Den nuværende version af dette dokument er gældende fra 2025-10-10 Tidligere versioner kan ses her.

1. Introduktion

Ved brug af ydelserne og eventuelle yderligere funktioner eller integrationer i relation til platformen (herefter kaldet "ydelserne"), vil databehandleren være ansvarlig for behandlingen af persondata på platformen.

 

Databehandleren behandler udelukkende persondata på baggrund af dokumenterede instruktioner fra den dataansvarlige og i overensstemmelse med databehandlerens persondatapolitik, forudsat at en sådan politik ikke er i strid med den dataansvarliges instruktioner i henhold til denne aftale eller GDPR.

 

Denne databehandleraftale er indgået mellem parterne for at sikre, at begge parter overholder national databeskyttelseslovgivning, herunder GDPR, samt beskyttelsen af privatlivets fred og fysiske personers grundlæggende rettigheder. Databehandleraftalen skitserer de instruktioner, som databehandleren behandler persondata på vegne af den dataansvarlige på baggrund af.

 

Databehandleraftalen anvender de definitioner, der er angivet i den nationale databeskyttelseslovgivning og GDPR.

 

2. Den dataansvarliges ansvarsområder og forpligtelser

Den dataansvarlige er ansvarlig for at sikre, at behandlingen af persondata sker i overensstemmelse med GDPR, jf. artikel 24, og de nationale databeskyttelsesregler.

 

Den dataansvarlige er berettiget og forpligtet til at træffe beslutninger om, hvilke(t) formål der, og hvilke tekniske værktøjer der skal anvendes til behandlingen af persondata. Desuden er den dataansvarlige ansvarlig for at sikre et lovligt grundlag for behandlingen og overførslen af persondata, som databehandleren er instrueret i at udføre.

 

Som den dataansvarlige skal de opfylde alle oplysningsforpligtelser over for de registrerede vedrørende behandlingen af deres persondata, samt give de relevante garantier i relation til alle tekniske og sikkerhedsmæssige foranstaltninger for at beskytte de registreredes persondata.

 

Ved at bruge platformen er den dataansvarlige alene ansvarlig for at levere de persondata, der er specificeret i bilag A, og for at begrænse behandlingen af data uden for specifikationen heri, herunder særlige kategorier af persondata som specificeret i artikel 9 i GDPR.

 

Den dataansvarlige giver udtrykkeligt samtykke til, at databehandleren kan fungere som en kontoinformationstjenesteudbyder (AISP), i overensstemmelse med gældende national lovgivning, der implementerer direktiv (EU) 2015/2366 om betalingstjenester i det indre marked (PSD2).

 

Dette samtykke er nødvendigt for, at databehandleren kan få adgang til og behandle persondata, der er hentet fra den dataansvarliges betalingskonti, udelukkende med det formål at levere de anmodede ydelser, såsom kontoaggregation, transaktionshistorik og finansielle automatiseringsfunktionaliteter.

 

Den dataansvarlige kan til enhver tid trække dette samtykke tilbage. Ved en sådan tilbagetrækning skal de relaterede kontoinformationstjenester automatisk ophøre, og databehandleren skal stoppe alle tilknyttede behandlingsaktiviteter, medmindre andet er tilladt eller påkrævet i henhold til gældende lov.

 

Databehandleren skal sikre, at adgangen til kontoinformation er begrænset til det, der er strengt nødvendigt for udførelsen af den anmodede ydelse, og at al behandling udføres i overensstemmelse med GDPR og relevant national betalingsregulering.

3. Databehandlerens ansvarsområder og forpligtelser

Databehandleren må kun behandle persondata på baggrund af dokumenterede instruktioner fra den dataansvarlige og behandler disse på vegne af den dataansvarlige. Den dataansvarlige instruerer databehandleren i at behandle persondata i) i overensstemmelse med gældende lovgivning, ii) for at opfylde sine forpligtelser angivet i aftalen mellem den dataansvarlige og databehandleren, og iii) som beskrevet i denne aftale.

 

Databehandleren er ansvarlig for at underrette den dataansvarlige, hvis en instruktion, efter databehandlerens opfattelse, er i strid med GDPR eller national databeskyttelseslovgivning.

 

I tilfælde af at databehandleren vurderer, at en instruktion fra den dataansvarlige er ulovlig eller i strid med gældende lovgivning, er databehandleren forpligtet til at informere den dataansvarlige, som skal rette instruktionen i tide. Hvis den dataansvarlige ikke er i stand til at rette instruktionen, er databehandleren berettiget til at ophøre med serviceaftalen mellem parterne.

 

Databehandleren bistår den dataansvarlige med at implementere passende tekniske og sikkerhedsmæssige foranstaltninger, under hensyntagen til behandlingens art og kategorien af persondata.

 

Desuden bistår databehandleren den dataansvarlige med anmodninger fra registrerede vedrørende udøvelsen af deres rettigheder i GDPR. Databehandleren besvarer ikke disse anmodninger, medmindre den dataansvarlige har bemyndiget ham til det.

 

På anmodning fra den dataansvarlige om information eller assistance med hensyn til den dataansvarliges sikkerhedsforanstaltninger eller behandling af persondata generelt, og hvis en sådan anmodning overstiger det, der er nødvendigt i henhold til gældende databeskyttelseslovgivning, er databehandleren berettiget til at kræve betaling for sådanne yderligere ydelser.

 

Databehandleren sikrer fortrolighed vedrørende behandlingen af persondata, herunder den dataansvarliges medarbejdere. Dette gælder også efter ophøret af databehandleraftalen.

 

Databehandleren er ikke ansvarlig for indirekte, tilfældige, specielle, følgeskader eller strafbare skader, herunder tab af fortjeneste, indtægter eller data, selvom der er blevet rådgivet om muligheden for sådanne skader. 

 

Databehandlerens samlede ansvar, der opstår som følge af eller i forbindelse med denne aftale, uanset om det er i kontrakt, erstatning eller andet, skal begrænses til det samlede beløb, som den dataansvarlige har betalt til databehandleren under servicevilkårene i de tolv (12) måneder forud for den begivenhed, der gav anledning til kravet. 

 

Denne begrænsning gælder uanset antallet eller arten af krav, og uanset årsagen til handlingen, undtagen i tilfælde af forsætlig forseelse eller grov uagtsomhed fra databehandlerens side, der er bevist ved en kompetent domstol.

4. Brugen af underdatabehandlere

Databehandleren skal opfylde de betingelser, der er angivet i artikel 28, stk. 2 og 4, i GDPR for at kunne bruge en anden databehandler (underdatabehandlere).

 

Databehandleren bruger underdatabehandlere, herunder enheder inden for Shine Group og tredjepartsudbydere inden for eller uden for EU/EØS, til at levere sine ydelser.

 

Databehandleren har databehandleraftaler med alle underdatabehandlere, og en udtømmende liste over disse kan findes i bilag B. Databehandleren sikrer, at alle underdatabehandlere overholder de tilsvarende forpligtelser og krav i denne databehandleraftale og databeskyttelseslovgivningen.

 

Denne aftale skal anses for den dataansvarliges generelle skriftlige tilladelse til brug af underdatabehandlere, i overensstemmelse med GDPR's artikel 28, stk. 2.

 

Databehandleren overfører data til partnere som en del af den ydelse, der leveres til den dataansvarlige. Ved at acceptere serviceaftalens vilkår informeres den dataansvarlige om, at databehandlerens partnere vil modtage persondata for at give et tilbud på den serviceanmodning fra den dataansvarlige.

 

Ved overførsel af persondata uden for EU/EØS, sikrer databehandleren, at sådanne overførsler udføres i overensstemmelse med GDPR's kapitel V, og at et passende beskyttelsesniveau garanteres.

 

Databehandleren kan støtte sig på forskellige lovlige overførselsmekanismer, der er fastsat i GDPR, herunder men ikke begrænset til:

  • Europa-Kommissionens afgørelser om tilstrækkeligheden,
  • EU-Kommissionens standardkontraktbestemmelser (SCC'er),
  • bindende virksomhedsregler (BCR'er), hvor det er relevant, eller
  • andre passende garantier, som fastsat i artikel 46 i GDPR.

 

Hvor det kræves, skal databehandleren implementere supplerende tekniske, organisatoriske og kontraktuelle foranstaltninger for at sikre, at de overførte persondata modtager et beskyttelsesniveau, der i det væsentlige svarer til det, der garanteres inden for EU/EØS.

 

Hvis databehandleren ændrer underdatabehandlerne, vil den dataansvarlige blive underrettet og har ret til at modsætte sig en sådan ændring af underdatabehandlere, hvis den nye underdatabehandler ikke behandler persondata i overensstemmelse med den gældende databeskyttelseslovgivning. 

 

Hvis den dataansvarlige gør indsigelse mod brugen af en ny underdatabehandler på rimelige og dokumenterede databeskyttelsesgrunde, skal parterne indgå i diskussioner i god tro for at løse sagen. Hvis der ikke opnås en løsning inden for tredive (30) dage, forbeholder databehandleren sig retten til at fortsætte med at bruge underdatabehandleren, medmindre den dataansvarlige vælger at opsige den relevante del af de ydelser, der er berørt af indsigelsen. 

 

En opsigelse giver ikke anledning til nogen kompensation, erstatning eller ansvar fra databehandlerens side.

 

Databehandleren er ansvarlig for at kræve, at underdatabehandlerne overholder databehandlerens forpligtelser, som angivet i denne databehandleraftale, samt GDPR.

 

På rimelig anmodning skal databehandleren forsyne den dataansvarlige med relevante oplysninger, der demonstrerer, at underdatabehandlerne er underlagt tilsvarende databeskyttelsesforpligtelser, herunder en opsummering eller et uddrag af databeskyttelsesklausulerne i underbehandlingsaftalerne, hvor det er nødvendigt for at demonstrere overholdelse. 

 

Fuldstændige kopier af underbehandlingsaftaler er ikke påkrævet, medmindre det er påbudt af gældende lovgivning eller en tilsynsmyndighed.

 

I tilfælde af en af underdatabehandlernes brud på databeskyttelsesreglerne, er databehandleren fuldt ansvarlig for at sikre, at underdatabehandleren opfylder sine forpligtelser over for den dataansvarlige.

5. Adgang for koncernenheder

Den dataansvarlige anerkender og accepterer, at databehandleren kan give adgang til persondata, der behandles under denne aftale, til andre enheder inden for Shine Group, herunder datterselskaber, moderselskaber og søsterselskaber, i det omfang det er nødvendigt for udførelsen, vedligeholdelsen, sikkerheden og forbedringen af ydelserne.

 

Disse koncernenheder kan operere i eller uden for EU/EØS. I sådanne tilfælde sikrer databehandleren, at alle dataoverførsler overholder GDPR's kapitel V, og at passende garantier er på plads. En liste over relevante koncernenheder og deres roller kan stilles til rådighed for den dataansvarlige efter anmodning.

 

Adgang for koncernenheder skal ikke betragtes som brugen af nye underdatabehandlere, der kræver særskilt underretning.

6. Fortrolighed

Databehandleren må kun give adgang til de persondata, der behandles på vegne af den dataansvarlige, til personer under databehandlerens autoritet, der har forpligtet sig til fortrolighed.

 

På anmodning fra den dataansvarlige skal databehandleren demonstrere fortrolighedsforanstaltninger for de pågældende personer.

7. Sikkerhed ved behandlingen

Den dataansvarlige er ansvarlig for at definere de overordnede sikkerhedskrav, og databehandleren skal implementere foranstaltninger i overensstemmelse hermed.

 

Databehandleren skal implementere passende tekniske og organisatoriske foranstaltninger som krævet i artikel 32, under hensyntagen til teknikkens stade, implementeringsomkostningerne og de specifikke risici forbundet med de behandlingsoperationer, den udfører på vegne af den dataansvarlige.

 

På dokumenteret anmodning skal databehandleren bistå den dataansvarlige, inden for rammerne af behandlingsaktiviteterne under denne aftale og i det omfang det er rimeligt muligt, med at sikre overholdelse af forpligtelserne under GDPR's artikel 32.

8. Overførsel af persondata til tredjelande eller internationale organisationer

Databehandleren må kun overføre persondata til et tredjeland eller en international organisation baseret på dokumenterede instruktioner fra den dataansvarlige, og altid i overensstemmelse med GDPR's kapitel V.

 

Databehandleren kan udføre sådanne overførsler, når det er krævet i henhold til EU- eller medlemsstatslovgivning, som databehandleren er underlagt. I sådanne tilfælde skal databehandleren informere den dataansvarlige om det lovkrav, før behandlingen foretages, medmindre en sådan videregivelse er forbudt af årsager af offentlig interesse i henhold til gældende lovgivning.

 

Databehandleren skal opretholde dokumentation for den dataansvarliges instruktioner i følgende situationer:

  • overførsler af persondata til en dataansvarlig eller databehandler i et tredjeland eller en international organisation;
  • inddragelse af en underdatabehandler, der er beliggende i et tredjeland;
  • behandlingsaktiviteter, der udføres i et tredjeland.

 

Den dataansvarlige anerkender og accepterer, gennem underskrivelsen af denne aftale, databehandlerens brug af underdatabehandlere beliggende i tredjelande som anført i bilag B. Databehandleren skal sikre, at alle sådanne overførsler er baseret på en gyldig overførselsmekanisme under GDPR's kapitel V, som kan omfatte:

  • en tilstrækkelighedsafgørelse fra Europa-Kommissionen;
  • standardkontraktbestemmelser (SCC'er) vedtaget af Kommissionen;
  • bindende virksomhedsregler (BCR'er); eller
  • andre passende garantier som tilladt i henhold til GDPR's artikel 46.

 

Hvor det kræves, skal databehandleren implementere supplerende tekniske, organisatoriske eller kontraktuelle foranstaltninger for at sikre, at beskyttelsesniveauet for persondata i det væsentlige er ækvivalent med det inden for EU/EØS, i overensstemmelse med gældende juridisk vejledning (f.eks. EDPB-anbefalinger og nationale tilsynsmyndigheders forventninger).

 

Databehandleren kan ikke holdes ansvarlig for overførsler, der er udført i overensstemmelse med den dataansvarliges instruktioner og kravene i GDPR's kapitel V, medmindre databehandleren har undladt at implementere de aftalte garantier. Eventuelle forpligtelser vedrørende vurderingen af det juridiske rammeværk i destinationslandet eller udførelsen af en overførselskonsekvensanalyse (TIA) skal koordineres i fællesskab af parterne, hvor den dataansvarlige bærer det primære ansvar for beslutningen om at fortsætte.

 

Databehandleren har indgået skriftlige databehandleraftaler med alle underdatabehandlere og har sikret, at alle relevante garantier og kontraktuelle forpligtelser er på plads for at garantere overholdelse af gældende databeskyttelseslovgivning i forbindelse med dataoverførsler uden for EU/EØS.

9. Bistand til den dataansvarlige

Databehandleren skal bistå den dataansvarlige, i det omfang det er rimeligt muligt og under hensyntagen til behandlingens art og den information, der er tilgængelig for databehandleren, med at opfylde den dataansvarliges forpligtelser i henhold til gældende databeskyttelseslove, herunder GDPR og relevant national lovgivning i Frankrig, Tyskland, Holland og Danmark.

 

En sådan bistand kan, på skriftlig og dokumenteret anmodning fra den dataansvarlige, omfatte:

  • bistand med håndtering af registreredes anmodninger om at udøve deres rettigheder (adgang, berigtigelse, sletning, begrænsning, indsigelse og dataportabilitet);
  • støtte til udførelsen af databeskyttelseskonsekvensanalyser (DPIA'er);
  • levering af information, der er nødvendig for at samarbejde med den kompetente tilsynsmyndighed i forbindelse med højrisiko-behandlingsaktiviteter eller brud på persondatasikkerheden.

 

Databehandleren vil ikke reagere direkte over for registrerede eller kommunikere med en tilsynsmyndighed uden udtrykkelige skriftlige instruktioner fra den dataansvarlige. Enhver bistand, der overstiger omfanget, som kræves af GDPR's artikel 28, kan være underlagt yderligere kompensation, som aftales mellem parterne.

10. Meddelelse om brud på persondatasikkerheden

Databehandleren skal underrette den dataansvarlige uden unødig forsinkelse efter at være blevet opmærksom på et brud på persondatasikkerheden, der påvirker de persondata, der behandles under denne aftale.

 

Underretningen skal omfatte, i det omfang det er kendt på det tidspunkt, relevant information for at hjælpe den dataansvarlige med at opfylde sine forpligtelser i henhold til artikel 33 og, hvor det er relevant, artikel 34 i GDPR.

 

Databehandleren skal yde rimeligt samarbejde og bistand til den dataansvarlige i efterforskningen og afbødningen af bruddet og i forberedelsen af eventuelle påkrævede meddelelser til tilsynsmyndigheder eller registrerede, under hensyntagen til behandlingens art og den information, der er tilgængelig for databehandleren.

 

Hvis bruddet sandsynligvis vil resultere i en høj risiko for fysiske personers rettigheder og friheder, skal databehandleren bistå den dataansvarlige med at forberede enhver kommunikation til de berørte registrerede, som krævet af gældende databeskyttelseslovgivning.

11. Sletning og returnering af persondata

Ved ophør af den ydelse, der inkluderer behandling af persondata, er databehandleren forpligtet til at slette alle persondata, der er behandlet på vegne af den dataansvarlige, og at bekræfte over for den dataansvarlige, at persondata er blevet slettet.

 

Ovenstående gælder ikke, hvis EU- eller national lovgivning kræver opbevaring af persondata efter ophør af ydelsen. Endvidere gælder ovenstående ikke for persondata, som databehandleren behandler som dataansvarlig i kundeforholdet mellem parterne. Dette inkluderer opbevaring i overensstemmelse med speciel lovgivning, herunder den danske bogføringslovgivning.

12. Revision og inspektion

Databehandleren skal, på anmodning, forsyne den dataansvarlige med de oplysninger, der er strengt nødvendige for at demonstrere overholdelse af forpligtelserne i denne aftale og under gældende databeskyttelseslovgivning, herunder GDPR.

 

Databehandleren skal også give adgang til kompetente tilsynsmyndigheder til sine faciliteter eller dokumentation, når det kræves af gældende lovgivning.

13. Ændring

Databehandleren forbeholder sig retten til at ændre denne DPA til enhver tid. Den dataansvarlige skal informeres om sådanne ændringer via e-mail eller via platformen.

 

Med undtagelse af ændringer vedrørende underdatabehandlere, der er reguleret af bilag B til DPA'en, skal ændringer i denne DPA gælde for den dataansvarlige, selvom hans engagement daterer sig før ændringerne, femten (15) dage efter at meddelelsen er blevet givet.

 

Hvis ændringerne materielt skader den dataansvarlige og ikke er krævet af gældende love, forordninger, direktiver, vejledninger eller afgørelser fra en europæisk databeskyttelsesmyndighed, eller af en retsafgørelse, kan den dataansvarlige gøre skriftlig indsigelse inden for femten (15) dage efter at være blevet informeret, med angivelse af årsagerne til en sådan indsigelse.

 

Hvis parterne ikke er i stand til at nå til enighed inden for tredive (30) dage efter modtagelsen af den dataansvarliges indsigelse, kan den dataansvarlige opsige den berørte ydelse uden straf ved at sende en skriftlig meddelelse til databehandleren.

 

Enhver fortsat brug af ydelsen efter meddelelsen skal anses for at være en accept af den opdaterede DPA fra den dataansvarliges side.

14. Andre aftaler mellem parterne

Parterne kan aftale andre bestemmelser vedrørende den ydelse, der leveres af databehandleren til den dataansvarlige, forudsat at sådanne bestemmelser ikke, direkte eller indirekte, er i modstrid med bestemmelserne i denne databehandleraftale vedrørende behandlingen af persondata, eller på nogen anden måde forringer de grundlæggende rettigheder for de registrerede, som er fastsat i databeskyttelseslovgivningen.

15. Ikrafttræden og opsigelse

Bestemmelserne i denne databehandleraftale træder i kraft på datoen for underskrivelsen af servicevilkårene mellem parterne.

 

Databehandleraftalen er gældende for varigheden af serviceaftalen. I denne periode kan aftalen ikke opsiges af nogen af parterne, medmindre serviceaftalen opsiges samtidigt. Opsigelse af serviceaftalen kan ske i overensstemmelse med bestemmelsen om opsigelse i serviceaftalen.

 

Denne aftale er underlagt dansk lovgivning, og enhver tvist vil være underlagt dansk retsforfølgning.

Bilag A – Kategorier af persondata og registrerede

A.1. Kategorier af registrerede

  • Den dataansvarliges kontaktperson(er)
  • Den dataansvarliges medarbejdere
  • Den dataansvarliges kunder og leverandører (ved brug af regnskabsfunktionalitet, hvis funktionaliteten er tilgængelig i kundens land) og deres kontaktperson(er)

 

A.2. Kategorier af persondata

  • For- og efternavn
  • Jobtitel
  • Telefonnummer
  • E-mailadresse
  • Adresse
  • IP-adresser
  • Betalingsoplysninger på faktura
  • Kontoudtogsinformation (ved brug af bankintegrationsfunktionalitet, hvis funktionaliteten er tilgængelig i kundens land)
  • Professionelle livsdata
  • Løndata (ved brug af lønfunktioner, hvis funktionaliteten er tilgængelig i kundens land)
  • Medarbejderes personlige ID-numre (fortrolige persondata) (ved brug af lønfunktioner eller personlige skatteberegninger, hvis funktionaliteten er tilgængelig i kundens land)

 

Databehandleren behandler ikke særlige kategorier af persondata, medmindre den dataansvarlige specifikt har instrueret ham i det. I tilfælde af at behandling af særlige kategorier af persondata ikke ville være en naturlig del af de ovennævnte kategorier, opfordres den dataansvarlige til at anonymisere dataene, før der gives adgang til databehandleren som angivet i denne aftale.

 

A.3. Formål med behandlingen af persondata

De behandlingsformål, der er beskrevet i denne aftale, forfølges konsekvent i alle de lande, hvor databehandleren opererer. Visse behandlingsaktiviteter kan dog kun udføres i jurisdiktioner, hvor de tilsvarende tjenester eller tekniske kapaciteter er tilgængelige.

 

  • Afsendelse af fakturaer til den dataansvarliges kunder
  • Afsendelse af rykkerprocedurer til den dataansvarliges kunder
  • Opretholdelse af et overblik over leverandører og balance med disse (ved brug af regnskabsfunktionalitet, hvis funktionaliteten er tilgængelig i kundens land)
  • Lagerstyring af solgte produkter
  • Lagerstyring af købte produkter (ved brug af regnskabsfunktionalitet, hvis funktionaliteten er tilgængelig i kundens land)
  • Tilbyde et historisk overblik over fakturaer og betalinger for den dataansvarliges virksomhed
  • Tilbyde automatiske rykkerprocedurer
  • Tilbyde forskellige rapporter og indsigter i den dataansvarliges virksomhed
  • Modtagelse af betalinger fra den dataansvarliges kunder
  • Initiere betalinger af den dataansvarliges modtagne fakturaer (ved brug af regnskabs- og bankfunktionalitet, hvis funktionaliteten er tilgængelig i kundens land)
  • Integrere tredjepartssystemer
  • Føre bøger over udgifter (ved brug af regnskabsfunktionalitet, hvis funktionaliteten er tilgængelig i kundens land)
  • Automatisering af udarbejdelsen af årsregnskabet (ved brug af skatteberegningsfunktionalitet, hvis funktionaliteten er tilgængelig i kundens land)
  • Udarbejdelse af momsrapporter (ved brug af regnskabsfunktionalitet, hvis funktionaliteten er tilgængelig i kundens land)
  • Integrere udgiftskonti for at føre bøger (ved brug af regnskabsfunktionalitet, hvis funktionaliteten er tilgængelig i kundens land)
  • Opbevaring af regnskabsoptegnelser (ved brug af regnskabsfunktionalitet, hvis funktionaliteten er tilgængelig i kundens land)
  • Skatteberegninger (ved brug af skatteberegnings- og regnskabsfunktionalitet, hvis funktionaliteten er tilgængelig i kundens land)
  • Udarbejdelse af skatterapporter (ved brug af skatteberegnings- og regnskabsfunktionalitet, hvis funktionaliteten er tilgængelig i kundens land)
  • Generelle bankfunktioner (ved brug af bankfunktionalitet, hvis funktionaliteten er tilgængelig i kundens land)
  • Administration af månedlige lønsedler og betalinger (ved brug af lønfunktionalitet, hvis funktionaliteten er tilgængelig i kundens land)
  • Månedlig skatte- og social sikringsrapportering og betalinger (ved brug af lønfunktionalitet, hvis funktionaliteten er tilgængelig i kundens land)
  • Markedsføring af revisorydelser (ved brug af regnskabsfunktionalitet, hvis funktionaliteten er tilgængelig i kundens land)

Behandlingens art omfatter indsamling, opbevaring, strukturering, genfinding, brug, analyse, videregivelse ved transmission, sletning og destruktion. Persondata vil blive behandlet i kundeforholdets varighed, indtil servicevilkårene opsiges af enten den dataansvarlige eller databehandleren. Efter opsigelse af servicevilkårene vil persondata blive opbevaret i overensstemmelse med databehandlerens opbevaringsperiode.

Bilag B – Databehandlerens underdatabehandlere

Ud over Shine Group-selskaberne har databehandleren følgende underdatabehandlere, der behandler data på vegne af den dataansvarlige:

Underdatabehandler

Adresse

Formål

ActiveCampaign LLC

1 North Dearborn St., 5th Floor, Chicago, IL 60602, USA

Afsender markedsførings-e-mails til kunder

Aiia A/S

Artillerivej 86, 2300 København S, Danmark

Forbinder bankkonti til Tjenesterne for automatisk overførsel af oplysninger

Amazon Web Services EMEA SARL

38 Avenue John F. Kennedy, L-1855 Luxembourg

Cloud-infrastruktur, der understøtter Tjenesterne, lagrer kundedata, sikkerhedskopier og leverer service

Cluvio GmbH

Friedrichstrasse 79, 10117 Berlin, Tyskland

Visualisering af data og intern rapportering

Datadog Inc.

620 8th Avenue, 45. sal, New York, NY 10018, USA

Overvågning af kritiske systemer og rapportering af systemfejl

Google Ireland Limited

Gordon House, Barrow Street, Dublin 4, Irland

Dokumentoprettelse og -synkronisering, cloud-lagring, marketingkampagner og analysefunktioner

Hotjar Ltd.

Dragonara Business Centre, 5. sal, Dragonara Road, Paceville St Julian's STJ 3141, Malta

Analyse af kundeadfærd på platformen

Intercom Inc.

55 Second Street, Suite 400, San Francisco, CA 94105, USA

Håndtering af kundesupportanmodninger og kommunikation med kunder

Iterable Inc.

71 Stevenson St., Suite 300, San Francisco, CA 94105, USA

Udsendelse af e-mails til kunder, primært markedsføring og serviceopdateringer

Mixpanel International Inc.

One Front Street, 28. sal, San Francisco, CA 94111, USA

Analyse af hændelser på platformen, f.eks. sporing af brugere af specifikke funktioner

Postmark by ActiveCampaign LLC

1 North Dearborn St., 5th Floor, Chicago, IL 60602, USA

Automatiserede service-e-mails til kunder, f.eks. bekræftelse af indsendt materiale, fakturaer mv.

Sentry

45 Fremont Street, 8. sal, San Francisco, CA 94105, USA

Overvåger platformen for fejl og sikkerhed

Userflow Inc.

548 Market St., PMB 69598, San Francisco, CA 94104-5401, USA

Muliggør kommunikation med kunder direkte på platformen

Cookie Information A/S

Købmagergade 19, 1150 København K, Danmark

Samtykkestyring på hjemmesiden

Meta Platforms Ireland Limited

Merrion Road, Dublin 4, D04 X2K5, Irland

Annoncering på Facebook for at opbygge målgrupper af brugere, der kan være interesseret i tjenesterne

Microsoft Ireland Operations Limited

One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland

Annoncering på Bing & LinkedIn for at opbygge målgrupper af brugere, der kan være interesseret i tjenesterne

Basware Inc.

Linnoitustie 2, 02600 Espoo, Finland

Infrastruktur til afsendelse og modtagelse af elektroniske fakturaer

Stripe Inc.

354 Oyster Point Boulevard, South San Francisco, CA 94080, USA

Betalingshåndtering

Aircall.io Inc.

44 W 28th Street, 14. sal, New York, NY 10001, USA

Cloud-baseret telefonsystem til håndtering af opkald og forbedring af kundesupport og salgsoperationer

Snowflake Inc.

Suite 3A, 106 East Babcock Street, Bozeman, Montana 59715, USA

Dataplatform anvendt til intern finansiel rapportering

Segment by Twilio Inc.

101 Spear Street, 5th Floor, San Francisco, CA 94105, USA

Internt hændelsessystem, der videresender brugerdefinerede hændelser til andre dele af systemet

Zapier Inc.

548 Market St. #62411, San Francisco, CA 94104, USA

Automatiseringsværktøj til at forbinde webapplikationer og automatisere gentagne opgaver

MongoDB Inc.

1633 Broadway, 38. sal, New York, NY 10019, USA

Dokumentorienteret NoSQL-database til lagring af virksomhedsindstillinger

Mailgun by Sinch Sweden AB

Lindhagensgatan 112, 112 51 Stockholm, Sverige

Automatiserede service-e-mails til kunder, f.eks. bekræftelse af indsendt materiale, fakturaer mv.

Fivetran Inc.

1221 Broadway Street, 20. sal, Oakland, CA 94612, USA

Data Integrationsplatform til effektiv dataintegration og business intelligence

FusionAuth

11080 Circle Point Rd., Suite 405, Westminster, CO 80020, USA

Identitetsudbyder til sikker loginhåndtering

Weld Technologies ApS

Danneskiold-Samsøes Allé 41, 1434 København, Danmark

Overførsel af data fra vores tjeneste til Snowflake

Chargebee Inc.

909 Rose Avenue, Suite 950, North Bethesda, MD 20852, USA

Betalingshåndtering

Braze Inc.

63 Madison Building, 28 East 28th Street, 12. sal, New York, NY 10016, USA

Udsender e-mails til kunder, primært markedsføring og serviceopdateringer

HubSpot Ireland Limited

HubSpot House, One Sir John Rogerson's Quay, Dublin 2, Irland

Markedsføringsværktøj til håndtering af nye kunder

AppsFlyer Inc.

100 1st St., 25. sal, San Francisco, CA 94105, USA

Opretter links i e-mails, der virker i både browsere og på mobil

Cookie Information

Købmagergade 19, 1150 København K, Danmark

Samtykkestyring på hjemmesiden

Omni Analytics Inc.

375 Alabama St., Unit 350, San Francisco, CA 94110, USA

Visualisering af data og intern rapportering

Klippa App B.V.

Groningen, Holland

Dataudtræk for uploadede kvitteringer til regnskabsproduktet

Letregnskab.dk ApS

C/O Woiremose & Partner ApS, Pilestræde 52, 2., 1112 København K, Danmark

Udarbejdelse af årsregnskaber via spørgeskemaer til kunden

Relatel A/S

Teglværksgade 18, 2100 København Ø, Danmark

Telefoni til kundesupport

Sproom by VISMA e-conomic

Gærtorvet 1-5, 1799 København V, Danmark

Infrastruktur til afsendelse og modtagelse af elektroniske fakturaer i Danmark

Apple Inc

One Apple Park Way, Cupertino, CA 95014, USA

Betalingshåndtering

 

Bilag C – Instruktioner til behandling af persondata

C.1 – Behandlingens art og formål 

 

Databehandleren behandler udelukkende persondata baseret på dokumenterede instruktioner fra den dataansvarlige, som defineret nedenfor eller meddelt særskilt skriftligt og godkendt af begge parter.

De behandlingsaktiviteter, som udføres af databehandleren, omfatter:

  • levering af en finansiel administrationsplatform, der blandt andet muliggør fakturering, regnskab, bankforretninger og lønbehandling;
  • operationer, der er nødvendige for udførelsen af de ydelser, som den dataansvarlige har valgt under de generelle servicevilkår;
  • brugen af softwarekomponenter og integrationer, som er valgt af databehandleren for at levere de nævnte ydelser.

 

Den dataansvarlige er alene ansvarlig for at bestemme det lovlige grundlag for behandlingsoperationerne, herunder i henhold til GDPR's artikler 6 og 9. Enhver behandling ud over dette omfang skal være underlagt en særskilt dokumenteret instruktion fra den dataansvarlige.

 

C.2 – Data- og registreredes kategorier 

 

Kategorierne af persondata og registrerede er detaljerede i bilag A.

 

Særlige kategorier af data (GDPR's artikel 9) må ikke behandles, medmindre det er udtrykkeligt og formelt autoriseret af den dataansvarlige. Den dataansvarlige opfordres til at anonymisere eller pseudonymisere sådanne data, når det er muligt.

 

C.3 – Sikkerhedsforanstaltninger 

 

Databehandleren skal implementere, opretholde og, hvor det er nødvendigt, tilpasse passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der er passende for risikoen, i overensstemmelse med GDPR's artikel 32.

 

Disse foranstaltninger tager højde for teknikkens stade, implementeringsomkostningerne, behandlingens art, omfang, kontekst og formål samt risikoen for utilsigtet eller ulovlig destruktion, tab, ændring, uautoriseret videregivelse af eller adgang til persondata.

 

Specifikt sikrer databehandleren, at:

  1. personer, der er autoriseret til at behandle data, er bundet af fortrolighedsforpligtelser eller en passende juridisk fortrolighedspligt;
  2. adgangen til data er begrænset til autoriseret personale strengt inden for rammerne af deres ansvarsområder;
  3. systemer er beskyttet mod uautoriseret adgang gennem fysiske, logiske og organisatoriske sikkerhedsforanstaltninger;
  4. procedurer er på plads for regelmæssigt at teste, vurdere og evaluere effektiviteten af disse sikkerhedsforanstaltninger.

 

Uden at det berører de ovenstående forpligtelser, kan detaljerne om de specifikke implementerede sikkerhedsforanstaltninger leveres særskilt efter anmodning, med forbehold for gældende fortrolighedsbegrænsninger.

 

C.4 – Databevaring og sletning 

 

Databehandleren sletter eller returnerer persondata ved afslutningen af kontraktforholdet, i overensstemmelse med de dokumenterede instruktioner fra den dataansvarlige, medmindre andet kræves i henhold til EU- eller medlemsstatslovgivning, især til regnskabs- eller skatteformål.

 

C.5 – Underdatabehandlere 

 

Databehandleren har den generelle autorisation fra den dataansvarlige til at engagere de underdatabehandlere, der er opført i bilag B.

 

Databehandleren kan også engagere andre underdatabehandlere, forudsat at den informerer den dataansvarlige på forhånd inden for en rimelig tidsramme, før ændringen implementeres.

 

Den dataansvarlige kan fremsætte en begrundet indsigelse skriftligt inden for tredive (30) dage efter meddelelsen, udelukkende på legitime og dokumenterede grunde relateret til beskyttelsen af persondata. Hvis der ikke modtages nogen indsigelse, skal ændringen anses for at være accepteret.

 

I tilfælde af en berettiget indsigelse, er parterne enige om at samarbejde i god tro for at finde en gensidigt acceptabel løsning. Hvis der ikke findes en løsning inden for en rimelig tidsramme, forbeholder databehandleren sig retten til at fortsætte med den udpegede underdatabehandler, i hvilket tilfælde den dataansvarlige kun kan opsige de berørte ydelser, uden kompensation eller ansvar for databehandleren.

 

C.6 – Dataoverførsler uden for EØS 

 

Data behandles af databehandleren inden for Det Europæiske Økonomiske Samarbejdsområde (EØS) og af dens autoriserede underdatabehandlere, der er opført i bilag B.

 

Overførsler af persondata uden for EØS kan forekomme i forbindelse med brugen af internationale serviceudbydere. Den dataansvarlige autoriserer udtrykkeligt sådanne overførsler, forudsat at databehandleren overholder GDPR's kapitel V og implementerer passende garantier, såsom:

  • Tilstrækkelighedsafgørelser fra Europa-Kommissionen;
  • Standardkontraktbestemmelser (SCC'er);
  • Bindende virksomhedsregler (BCR'er);
  • Eller andre GDPR-kompatible garantier.

C.7 – Samarbejde og overholdelsesinstruktioner 

Databehandleren accepterer at:

  • Bistå den dataansvarlige, på skriftlig anmodning, med at håndtere registrerede rettighedsanmodninger (GDPR's artikler 12-22);
  • Støtte udførelsen af databeskyttelseskonsekvensanalyser (GDPR's artikel 35), hvor det er relevant;
  • Samarbejde med kompetente tilsynsmyndigheder, hvor det kræves af gældende lovgivning.

 

Databehandleren vil ikke kommunikere direkte med registrerede eller tilsynsmyndigheder uden udtrykkelig skriftlig instruktion fra den dataansvarlige. Enhver bistand ud over det, der er strengt påkrævet i henhold til GDPR's artikel 28, kan være underlagt yderligere vederlag som aftalt mellem parterne.

C.8 – Adgang og revision 

På den dataansvarliges anmodning og hvor der er troværdige beviser for manglende overholdelse, skal databehandleren tillade og bidrage til revisioner af de behandlingsaktiviteter, der er dækket af disse klausuler. En sådan revision kan udføres en gang per kalenderår, underlagt tres (60) dages forudgående skriftlig varsel til databehandleren.

 

Revisionen skal udføres på en måde, der bevarer sikkerheden og fortroligheden af databehandlerens dokumentation og procedurer. Den må ikke overstige én (1) arbejdsdag og skal finde sted i almindelig arbejdstid på databehandlerens lokaler.

 

Den dataansvarlige kan vælge selv at udføre revisionen eller udpege en uafhængig revisor, der er gensidigt aftalt af begge parter og bundet af en fortrolighedsforpligtelse. Databehandleren kan afvise den foreslåede revisor, hvis der er en klar interessekonflikt eller utilstrækkelig kvalifikation.

 

Uanset enhver bestemmelse om det modsatte, skal den dataansvarlige bære alle omkostninger og/eller udgifter, der opstår som følge af en sådan revision.