Prv GRATIS

Prv gratis!

Afhold dit nste arrangement med NemTilmelds tilmeldingssystem og mrk hvor let det er for dig og dine deltagere.

F din gratis brugerkonto ved tilmelding til nyhedsbrevet.

Bonus: Du fr ogs e-guiden: "Sdan fr du flere deltagere" og "NemListen" vores tjekliste til afholdelse af arrangementer.

Du m gerne prve GRATIS

Download som PDF  |  Vis tilhrende Forretningbetingelser

Databehandleraftale

mellem

Den dataansvarlige:

[Organisationens navn]
CVR [Organisationens CVR-nummer]
[Organisationens adresse]
[Organisationens postnummer og by]
[Organisationens land]

og

Databehandleren:

NemTilmeld.dk ApS
CVR 27 67 31 20
Strmmen 6
9400 Nrresundby
Danmark

1. Baggrund for databehandleraftalen

1.1. Den dataansvarlige nsker at indg en aftale om en tilmeldings- og eventuelt betalingslsning til brug for arrangementer og events, som krver tilmelding og eventuelt betaling fra den dataansvarliges kunder (herefter "Deltagerne"). Lsningen leveres via internettet, som en selvbetjeningslsning.

1.2. Databehandlerens behandling af personoplysninger sker med henblik p den indgede aftale om levering af den ovenfor skitserede selvbetjeningslsning, herefter "hovedaftalen".

1.3. Denne aftale er gldende fra [Dato for indgelse] og faststter de rettigheder og forpligtelser, som finder anvendelse, nr databehandleren foretager behandling af personoplysninger p vegne af den dataansvarlige i selvbetjeningssystemet.

1.4. Personoplysninger om den dataansvarlige og dennes brugere der oprettes i selvbetjeningssystemet og som benyttes til NemTilmeld.dk's forml reguleres ikke af denne databehandleraftale. NemTilmeld.dk er dataansvarlig for denne behandling og behandlingen er beskrevet i hovedaftalen, se afsnit 1.5 og 9.

1.5. Aftalen er udformet med henblik p parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rdets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sdanne oplysninger og om ophvelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.

1.6. Databehandleraftalen og "hovedaftalen" er indbyrdes afhngige, og kan ikke opsiges srskilt. Databehandleraftalen kan dog - uden at opsige "hovedaftalen" - erstattes af en anden gyldig databehandleraftale.

1.7. Denne databehandleraftale har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne, herunder i "hovedaftalen".

1.8. Til denne aftale hrer fire bilag. Bilagene fungerer som en integreret del af databehandleraftalen.

1.9. Databehandleraftalens bilag A indeholder nrmere oplysninger om behandlingen, herunder om behandlingens forml og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.

1.10. Databehandleraftalens bilag B indeholder den dataansvarliges betingelser for, at databehandleren kan gre brug af eventuelle underdatabehandlere, instruks for overfrelse til tredjeland samt en liste over de underdatabehandlere samt modtagere, som den dataansvarlige har godkendt.

1.11. Databehandleraftalens bilag C indeholder en nrmere instruks om, hvilken behandling databehandleren skal foretage p vegne af den dataansvarlige (behandlingens genstand), hvilke sikkerhedsforanstaltninger, der som minimum skal iagttages, samt hvordan der fres tilsyn med databehandleren og underdatabehandlere.

1.12. Databehandleraftalens bilag D indeholder kontaktoplysninger p den dataansvarliges databeskyttelsesrdgiver eller dataansvarlige, som Deltagerne kan kontakte omkring varetagelsen af den dataansvarliges forpligtelser i henhold til databeskyttelsesforordningen og databeskyttelsesloven.

1.13. Databehandleraftalen med tilhrende bilag opbevares skriftligt, herunder elektronisk af begge parter.

1.14. Denne databehandleraftale frigr ikke databehandleren for forpligtelser, som efter databeskyttelsesforordningen eller enhver anden lovgivning direkte er plagt databehandleren.

2. Den dataansvarliges forpligtelser og rettigheder

2.1. NemTilmeld.dk er et selvbetjeningssystem, hvor de oplysninger der behandles hos NemTilmeld.dk p vegne af den dataansvarlige foretages p baggrund af de oplysninger den dataansvarlige giver og anmoder om ved oprettelse og redigering af et arrangement.

2.2. Den dataansvarlige har overfor omverdenen (herunder den registrerede) ansvaret for, at den behandling af personoplysninger der foretages p vegne af den dataansvarlige i selvbetjeningssystemet sker indenfor rammerne af databeskyttelsesforordningen og databeskyttelsesloven, herunder at behandlingen er ndvendig og saglig i forhold til den dataansvarliges opgavevaretagelse.

2.3. Den dataansvarlige har derfor bde rettighederne og forpligtelserne til at trffe beslutninger om, til hvilke forml og med hvilke hjlpemidler der m foretages behandling.

2.4. Den dataansvarlige er blandt andet ansvarlig for, at der foreligger hjemmel til den behandling, som databehandleren instrueres i at foretage.

2.5. Baseret p de oplysninger den dataansvarlige dels anmoder om dels giver ved oprettelsen og redigering af et arrangement danner systemet automatisk et st tilmeldingsbetingelser. Den dataansvarlige er forpligtet til, at gennemlse og kontrollere om oplysningerne i tilmeldingsbetingelserne er tilstrkkelige i forhold til reglerne i databeskyttelsesforordningen og databeskyttelsesloven fr systemet kan bruges til Deltagerens tilmelding/betaling.

2.6. Den dataansvarlige indestr for og har det fulde ansvar for de brugere der har adgang til den dataansvarliges konto hos NemTilmeld.dk. Den dataansvarlige skal oplyse dennes brugere om forpligtelserne der phviler hver bruger af systemet, herunder eventuelle problemstillinger der kan opst i forbindelse med deling af login-detaljer.

2.7. I systemet kan den dataansvarlige udskrive/udsende en "deltagerliste", lave "ekstern statistik" og anvende en "offentlig deltagerliste". Hvis disse funktioner bruges af den dataansvarlige er denne ansvarlig for, at videregivelse af Deltagernes informationer er i overensstemmelse med reglerne i databeskyttelsesforordningen og databeskyttelsesloven.

3. Databehandleren handler efter instruks

3.1. Databehandleren m kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det krves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i s fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pgldende ret forbyder en sdan underretning af hensyn til vigtige samfundsmssige interesser, jf. artikel 28, stk. 3, litra a.

3.2. Den dataansvarlige giver dels den dokumenterede instruks igennem denne databehandleraftale dels igennem brugen af selvbetjeningssystemet, alts igennem de oplysninger den dataansvarlige giver igennem opstningen af systemet samt det lbende brug af systemet. Selvbetjeningssystemet medfrer derfor, at instruksen automatisk viderebehandles af systemet og gr at databehandleren ikke lbende vurderer om instruksen er i strid med databeskyttelsesforordningen og databeskyttelsesloven.

3.3. Databehandleren tilgr kun den dataansvarliges sider i systemet i forbindelse med supportopgaver. Bliver databehandleren i forbindelse med supporten opmrksom p, at en instruks efter databehandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesloven underrettes den dataansvarlige omgende.

4. Fortrolighed

4.1. Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles p vegne af den dataansvarlige. Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udlber.

4.2. Der m alene autoriseres personer, for hvem det er ndvendigt at have adgang til personoplysningerne for at kunne opfylde databehandlerens forpligtelser overfor den dataansvarlige.

4.3. Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger p vegne af den dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

4.4. Databehandleren skal efter anmodning fra den dataansvarlige kunne pvise, at de relevante medarbejdere er underlagt ovennvnte tavshedspligt.

5. Behandlingssikkerhed

5.1. Databehandleren ivrkstter alle foranstaltninger, som krves i henhold til databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgr, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pgldende behandlings karakter, omfang, sammenhng og forml samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemfres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.

5.2. Databehandleren skal i forbindelse med ovenstende - i alle tilflde - som minimum ivrkstte det sikkerhedsniveau og de foranstaltninger, som er specificeret nrmere i denne aftales Bilag C.

6. Anvendelse af underdatabehandlere

6.1. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at gre brug af en anden databehandler (underdatabehandler).

6.2. Databehandleren m sledes ikke gre brug af en anden databehandler (underdatabehandler) til opfyldelse af databehandleraftalen uden forudgende specifik eller generel skriftlig godkendelse fra den dataansvarlige.

6.3. I tilflde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte ndringer vedrrende tilfjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gre indsigelse mod sdanne ndringer.

6.4. Den dataansvarliges nrmere betingelser for databehandlerens brug af eventuelle underdatabehandlere fremgr af denne aftales bilag B.

6.5. Den dataansvarliges eventuelle godkendelse af specifikke underdatabehandlere er anfrt i denne aftales bilag B.

6.6. Nr databehandleren har den dataansvarliges godkendelse til at gre brug af en underdatabehandler, srger databehandleren for at plgge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er fastsat i denne databehandleraftale, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de forndne garantier for, at underdatabehandleren vil gennemfre de passende tekniske og organisatoriske foranstaltninger p en sdan mde, at behandlingen opfylder kravene i databeskyttelsesforordningen.

Databehandleren er sledes ansvarlig for at plgge en eventuel underdatabehandler mindst de forpligtelser, som databehandleren selv er underlagt efter databeskyttelsesreglerne og denne databehandleraftale med tilhrende bilag.

6.7. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.

7. Overfrsel af oplysninger til tredjelande eller internationale organisationer

7.1. Databehandleren m kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for s vidt angr overfrsel (overladelse, videregivelse samt intern anvendelse) af personoplysninger til tredjelande eller internationale organisationer, medmindre det krves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i s fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pgldende ret forbyder en sdan underretning af hensyn til vigtige samfundsmssige interesser, jf. artikel 28, stk. 3, litra a.

7.2. Uden den dataansvarliges instruks eller godkendelse kan databehandleren, derfor bl.a. ikke;

  1. videregive personoplysningerne til en dataansvarlig i et tredjeland eller i en international organisation,
  2. overlade behandlingen af personoplysninger til en underdatabehandler i et tredjeland,
  3. lade oplysningerne behandle i en anden af databehandlerens afdelinger, som er placeret i et tredjeland.

7.3. Den dataansvarliges eventuelle instruks eller godkendelse af, at der foretages overfrsel af personoplysninger til et tredjeland, vil fremg af denne aftales bilag B.

7.4. I det omfang at databehandleren er berettiget til at foretage overfrsel af personoplysninger til et tredjeland, jf. bilag B, da er databehandleren forpligtet til at sikre sig, at

  1. en sdan overfrsel er lovlig, herunder at der er et tilstrkkeligt beskyttelsesniveau for overfrslen af personoplysninger, f.eks. ved indgelse af EU Kommissionens standardkontraktbestemmelser,
  2. alle ndvendige godkendelser er indhentet, samt
  3. alle ndvendige meddelelser vedrrende den pgldende overfrsel er blevet givet til den relevante tilsynsmyndighed.

8. Bistand til den dataansvarlige

8.1. Databehandleren bistr, under hensyntagen til behandlingens karakter, s vidt muligt den dataansvarlige ved hjlp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udvelsen af Deltagernes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.

Dette indebrer, at databehandleren s vidt muligt skal bist den dataansvarlige efter den dataansvarliges verificering af Deltageren med overholdelsen af:

  1. oplysningspligten ved indsamling af personoplysninger hos Deltageren
  2. oplysningspligten, hvis personoplysninger ikke er indsamlet hos Deltageren
  3. Deltagerens indsigtsret
  4. retten til berigtigelse
  5. retten til sletning (retten til at blive glemt)
  6. retten til begrnsning af behandling
  7. underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrnsning af behandling
  8. retten til dataportabilitet
  9. retten til indsigelse
  10. retten til at gre indsigelse mod resultatet af automatiske individuelle afgrelser, herunder profilering

I selvbetjeningssystemet kan den dataansvarlige uden bistand fra databehandleren overholde en rkke af de anfrte forpligtelser overfor Deltageren. Selvbetjeningssystemet bliver lbende opdateret, sledes at strstedelen af den dataansvarliges forpligtelser overfor Deltageren direkte kan foretages af den dataansvarlige i systemet.

Sfremt databehandleren modtager en begring om indsigt fra Deltageren, skal databehandleren hurtigst muligt videregive denne begring til den Dataansvarlige.

8.2. Databehandleren bistr den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser i medfr af databeskyttelsesforordningens artikel 32-36 under hensynstagen til behandlingens karakter og de oplysninger, der er tilgngelige for databehandleren, jf. artikel 28, stk. 3, litra f.

Dette indebrer, at databehandleren under hensyntagen til behandlingens karakter skal bist den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:

  1. forpligtelsen til at gennemfre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen
  2. forpligtelsen til at anmelde brud p persondatasikkerheden til tilsynsmyndigheden (Datatilsynet) uden undig forsinkelse og om muligt senest 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet, medmindre at det er usandsynligt, at bruddet p persondatasikkerheden indebrer en risiko for fysiske personers rettigheder eller frihedsrettigheder
  3. forpligtelsen til - uden undig forsinkelse - at underrette Deltageren/Deltagerne om brud p persondatasikkerheden, nr et sdant brud sandsynligvis vil indebre en hj risiko for fysiske personers rettigheder og frihedsrettigheder
  4. forpligtelsen til at gennemfre en konsekvensanalyse vedrrende databeskyttelse, hvis en type behandling sandsynligvis vil indebre en hj risiko for fysiske personers rettigheder og frihedsrettigheder
  5. forpligtelsen til at hre tilsynsmyndigheden (Datatilsynet) inden behandling, sfremt en konsekvensanalyse vedrrende databeskyttelse viser, at behandlingen vil fre til hj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrnse risikoen

8.3. Databehandleren er berettiget til en kompensation for dennes medarbejderes tid i forbindelse med bistand til anmeldelse af brud til Datatilsynet medmindre bruddet skyldes databehandleren, eventuel bistand til gennemfrelse af en konsekvensanalyse eller bistand til hrelse af tilsynsmyndigheden inden en behandling, der vil fre til hj risiko i mangel af foranstaltninger truffet af den dataansvarlige. Prisen er 1.000 kr. eksklusiv moms per time.

9. Underretning om brud p persondatasikkerheden

9.1. Databehandleren underretter uden undig forsinkelse den dataansvarlige efter at vre blevet opmrksom p, at der er sket brud p persondatasikkerheden hos databehandleren eller en eventuel underdatabehandler.

Databehandlerens underretning til den dataansvarlige skal som minimum ske ved, at Databehandleren giver en indledende underretning indenfor 2-4 timer efter opdagelsen af bruddet og en uddybende underretning inden for 36 timer efter opdagelsen af bruddet, sdan at den dataansvarlige har mulighed for at efterleve sin eventuelle forpligtelse til at anmelde bruddet til tilsynsmyndigheden indenfor 72 timer.

9.2. I overensstemmelse med denne aftales afsnit 9.2., litra b, skal databehandleren - under hensyntagen til behandlingens karakter og de oplysninger, der er tilgngelige for denne - bist den dataansvarlige med at foretage anmeldelse af bruddet til tilsynsmyndigheden.

Det kan betyde, at databehandleren bl.a. skal hjlpe med at tilvejebringe nedenstende oplysninger, som efter databeskyttelsesforordningens artikel 33, stk. 3, skal fremg af den dataansvarliges anmeldelse til tilsynsmyndigheden:

  1. Karakteren af bruddet p persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berrte registrerede samt kategorierne og det omtrentlige antal berrte registreringer af personoplysninger
  2. Sandsynlige konsekvenser af bruddet p persondatasikkerheden
  3. Foranstaltninger, som er truffet eller foresls truffet for at hndtere bruddet p persondatasikkerheden, herunder hvis det er relevant, foranstaltninger for at begrnse dets mulige skadevirkninger

10. Sletning og tilbagelevering af oplysninger

10.1. Ved ophr af tjenesterne vedrrende behandling forpligtes databehandleren til, efter den dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den dataansvarlige, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.

10.2. Oplysninger der har involveret en betaling opbevares i henhold til reglerne i bogfringsloven i 5 r fra udgangen af det regnskabsr, som materialet vedrrer.

11. Tilsyn og revision

11.1. Databehandleren stiller alle oplysninger, der er ndvendige for at pvise databehandlerens overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til rdighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.

11.2. Den nrmere procedure for den dataansvarliges tilsyn med databehandleren fremgr af denne aftales bilag C.

11.3. Den dataansvarliges tilsyn med eventuelle underdatabehandlere sker som udgangspunkt gennem databehandleren. Den nrmere procedure herfor fremgr af denne aftales bilag C.

12. Parternes aftaler om andre forhold

12.1. Parterne er ansvarlige i overensstemmelse med gldende rets almindelige regler, dog fraskriver parterne sig ethvert ansvar for indirekte tab og flger, herunder blandt andet driftstab, tab af goodwill, tab af besparelser og indtgter, inklusiv udgifter til at inddrive mistede indtgter, rentetab, omkostninger til reetablering af data mv.

Parternes ansvar for alle kumulerede krav i henhold til denne Databehandleraftale kan ikke per kalenderr samlet overstige de samlede forfaldne betalinger i henhold til salg af abonnementer samt tilknyttede ydelser, som NemTilmeld.dk har faktureret den Dataansvarlige i det umiddelbart foregende kalenderr. Har den Dataansvarlige ikke haft et abonnement det foregende kalenderr opgres ansvaret ud fra det forventede salg af abonnement samt tilknyttede ydelser for det indevrende r. Ansvarsbegrnsningen dkker ikke tab som flge af den andens parts groft uagtsomme eller forstlige handlinger.

12.2. Regulering af lovvalg og vrneting i hovedaftalen finder ogs anvendelse for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.

13. Ikrafttrden og ophr

13.1. Denne aftale trder i kraft ved begge parters accept heraf. Enten ved underskrift eller selvstndig afkrydsning i selvbetjeningssystemet.

13.2. Aftalen kan af begge parter krves genforhandlet eller ndret, hvis lovndringer eller uhensigtsmssigheder i aftalen giver anledning hertil. Underretning om en ndring skal vre modparten i hnde minimum 30 dage fr anvendelsen eller ndringen skal trde i kraft.

13.4. Opsigelse af databehandleraftalen kan ske i henhold til de opsigelsesvilkr, inkl. opsigelsesvarsel, som fremgr af "hovedaftalen".

13.5. Aftalen er gldende, s lnge behandlingen bestr. Uanset "hovedaftalens" og/eller databehandleraftalens opsigelse, vil databehandleraftalen forblive i kraft frem til behandlingens ophr og oplysningernes sletning hos databehandleren og eventuelle underdatabehandlere.

13.6. Underskrift

P vegne af den dataansvarlige P vegne af databehandleren
Navn: [Angivet navn p Godkender]
Stilling: [Angivet stilling p Godkender]
Dato: [Dato for indgelse]
Underskrift: [Angivet underskrift p Godkender]
Navn: Thomas Kjrgaard
Stilling: Direktr
Dato: [Dato for indgelse]
Underskrift: [Underskrift]

14. Kontaktpersoner/kontaktpunkter hos den dataansvarlige og databehandleren

14.1. Parterne kan kontakte hinanden via nedenstende kontaktpersoner/kontaktpunkter. Denne kontakt bruges ogs til underretning om databrud.

14.2. Parterne er forpligtet til lbende at orientere hinanden om ndringer vedrrende kontaktpersonen/kontaktpunktet.

Kontaktperson hos den dataansvarlige: Kontaktperson hos databehandleren:
Navn: [Angivet navn p Kontaktperson]
Stilling: [Angivet stilling p Kontaktperson]
Telefonnummer: [Angivet telefonnummer p Kontaktperson]
Email: [Angivet email p Kontaktperson]
Navn: Thomas Kjrgaard
Stilling: Direktr
Telefonnummer: 70404061
Email: thomas@nemtilmeld.dk

Bilag A

Oplysninger om behandlingen

Formlet med databehandlerens behandling af personoplysninger p vegne af den dataansvarlige er:

  • at den dataansvarlige kan anvende selvbetjeningssystemet NemTilmeld.dk, som ejes og administreres af databehandleren, til at indsamle og behandle oplysninger om den dataansvarlige, herunder vrige brugere samt den dataansvarliges Deltagere til arrangementer, kurser, events og lignende.

Databehandlerens behandling af personoplysninger p vegne af den dataansvarlige drejer sig primrt om (karakteren af behandlingen):

  • at databehandleren stiller selvbetjeningssystemet NemTilmeld.dk til rdighed for den dataansvarlige og herigennem opbevarer personoplysninger om den dataansvarlige, herunder vrige brugere samt den dataansvarliges Deltagere til forskellige events, arrangementer, kurser og lignende.

Behandlingen foretaget p vegne af den dataansvarlige omfatter flgende typer af personoplysninger om de registrerede:

  • NemTilmeld.dk er et selvbetjeningssystem, hvor de oplysninger der behandles hos NemTilmeld.dk er de oplysninger den dataansvarlige giver og anmoder om ved oprettelse og redigering af et arrangement, event, kursus eller lignende. Den dataansvarlige kan derfor anmode om bde almindelige og personflsomme oplysninger.
  • Strstedelen af de oplysninger der registreres er almindelige personoplysninger, som; navn, e-mailadresse, telefonnummer, adresse, betalingsoplysninger, titel, firma/organisation, stilling, oprindelses land, kn, alder samt oplysninger der er relevante for deltagelse i det pgldende arrangement, som interesser og kendskab til forskellige emner.
  • Der registreres alene et begrnset omfang af personflsomme oplysninger. Selve arrangementets type f.eks. et politisk arrangement kan medfre at det pgldende arrangement indeholder personflsomme oplysninger alene fordi Deltageren tilmelder sig, og dermed kan antages at vre involveret i hvad arrangementet handler om. f.eks. politik, arrangementer for patienter osv.

Behandlingen foretaget p vegne af den dataansvarlige omfatter flgende kategorier af registrerede:

  • Personer, som er eller har vret Deltagere til et arrangement, event, kursus eller lignende hos den dataansvarlige.
  • Personer, som bruger selvbetjeningssystemet til oprettelse og redigering af arrangement, event, kurser eller lignende.

Databehandlerens behandling af personoplysninger p vegne af den dataansvarlige kan pbegyndes efter denne aftales ikrafttrden. Behandlingen har flgende varighed:

  • Behandlingen er ikke tidsbegrnset og varer indtil aftalen opsiges eller p anden mde ophves af en af parterne.

Bilag B

Betingelser for brug af underdatabehandlere, instruks vedrrende overfrsel til tredjeland samt liste over godkendte underdatabehandlere og modtagere af personoplysninger

B.1. Betingelser for databehandlerens brug af eventuelle underdatabehandlere i forbindelse med behandlingen af personoplysninger p den dataansvarliges vegne

Databehandleren har den dataansvarliges generelle godkendelse til at gre brug af underdatabehandlere. Databehandleren skal dog underrette den dataansvarlige om eventuelle planlagte ndringer vedrrende tilfjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gre indsigelse mod sdanne ndringer. En sdan underretning skal vre den dataansvarlige i hnde minimum 30 dage fr anvendelsen eller ndringen skal trde i kraft. Sfremt den dataansvarlige har indsigelser mod ndringerne, skal den dataansvarlige give meddelelse herom til databehandleren inden 10 dage efter modtagelsen af underretningen. Den dataansvarlige kan alene gre indsigelse, sfremt den dataansvarlige har rimelige, konkrete rsager hertil.

B.2. Instruks vedrrende overfrsel af personoplysninger der behandles p vegne af den dataansvarlig til tredjelande

Hvis den dataansvarlige ikke i dette afsnit eller ved en efterflgende skriftlig meddelelse har godkendt overfrsel af personoplysninger der behandles p vegne af den dataansvarlige til et tredjeland, m databehandleren ikke indenfor rammerne af databehandleraftalen foretage en sdan overfrsel.

B.3. Godkendte underdatabehandlere samt modtagere af personoplysninger der behandles p vegne af den dataansvarlige

Skemaet nedenfor skitserer alle de underdatabehandlere samt modtagere, som NemTilmeld.dk anvender i den behandling af personlige oplysninger NemTilmeld.dk foretager p vegne af den dataansvarlige. Personlige oplysninger sendes kun til underdatabehandlere og datamodtagere nr det er ndvendigt og begrnses til de oplysninger der er ndvendige for, at de kan udfre den nedenfor anfrte funktion. Den dataansvarlige har ved databehandleraftalens ikrafttrden godkendt anvendelsen af de anfrte underdatabehandlere og modtagere af personoplysninger:

Leverandr Lokation/Land Lovligt grundlag for processing udenfor EU Funktion
Amazon Web Services, Inc. USA EU-US Privacy Shield Framework Hosting af ksystem til tilmeldingsystemet ved spidsbelastninger.
Clearhaus A/S
CVR-nummer.: 33749996
Danmark Indlser af transaktioner udfrt med betalingskort.
Danske Bank A/S
CVR-nummer: 61126228
Danmark Bank
Google LLC USA EU-US Privacy Shield Framework Kortfunktion p tilmeldingssider
Link Mobility A/S
CVR-nummer: 30077520
Danmark SMS gateway
Maxtel.dk ApS
CVR-nummer: 30207734
Danmark IP-telefoni samt mobiltelefoni
NETS A/S
CVR-nummer:37417497
Danmark Indlser af transaktioner udfrt med betalingskort.
OnePacket Ltd Holland Hosting og drift af servere til hjemmesiden.
QuickPay ApS
CVR-nummer:77348642
Danmark Betalingsgateway
Spar Nord Bank A/S
CVR-nummer:13737584
Danmark Bank

Den dataansvarlige har ved databehandleraftalens ikrafttrden generelt godkendt anvendelsen af ovennvnte underdatabehandlere samt modtagere af personoplysninger til netop den behandling, som er beskrevet ud for parten. Databehandleren kan ikke - uden den dataansvarliges specifikke og skriftlige godkendelse - anvende den enkelte underdatabehandler eller modtager til en "anden" behandling end aftalt eller lade en anden underdatabehandler eller modtager foretage den beskrevne behandling.

Bilag C

Instruks vedrrende behandling af personoplysninger

C.1. Behandlingens genstand/instruks

Databehandlerens behandling af personoplysninger sker efter den dataansvarliges instruks. Instruksen fra den dataansvarlige bliver dels givet via indholdet af denne databehandleraftale dels gennem brugen af selvbetjeningssystemet.

C.2. Behandlingssikkerhed

Sikkerhedsniveauet skal afspejle:

At der er tale om behandling af en stor mngde personoplysninger og selvom der alene behandles en begrnset mngde af personoplysninger omfattet af databeskyttelsesforordningens artikel 9 om "srlig kategorier af personoplysninger" opererer databehandler med et forholdsmssigt "hjt" sikkerhedsniveau fordi selvbetjeningssystemet benyttes af mange forskellige dataansvarlige.

Databehandleren er berettiget og forpligtet til at trffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det ndvendige (og aftalte) sikkerhedsniveau omkring oplysningerne.

Databehandleren skal dog - i alle tilflde og som minimum - gennemfre flgende foranstaltninger, som medfrer at;

  • Selvbetjeningssystemet er robust og teknisk modstandsdygtigt.
  • Der er etableret backupprocedure
  • Al adgang til IT-systemer, servere og pc'er, der indeholder fortrolige oplysninger, personoplysninger og kritiske data er betinget af konkrete autorisationer. I den forbindelse vil der blive autoriseret personer, for hvem adgangen er ndvendig med henblik p revision eller drifts- og systemtekniske opgaver.
  • Det kun er de personer, som til lsning af deres arbejdsopgaver har brug for personoplysningerne, som har adgang til dem.
  • Der en gang rligt foretages kontrol med, at ansatte kun er tildelt de adgange, som de har behov for.
  • Al adgang krver personligt bruger-id og adgangskode.
  • Personoplysninger slettes effektivt og p en sikker mde ved bortskaffelse af IT-udstyr.
  • Alle Deltagernes personoplysninger ikke opbevares i udskrevet form. Medarbejdere m ikke printe eller udtrkke Deltagernes oplysninger fra systemet.
  • Adgangen til NemTilmeld.dk's egne fysiske servere er sikret med ls og alarm. Alene de medarbejdere der har brug for adgang har adgang til det/de pgldende lokaler.
  • Alle overfrsler af personoplysninger i selvbetjeningssystemet sker via krypterede forbindelser.
  • Kun srligt autoriserede medarbejdere har fjernadgang til NemTilmeld.dk's interne netvrk, og at dette altid foregr via krypterede VPN forbindelser.
  • Selvbetjeningssystemet logger alle brugeres adgang og adfrd i systemet for sledes at kunne undersge hvem der f.eks. har anmodet om og set en oplysning, udbetalt et pengebelb etc., sfremt en undersgelse heraf er ndvendig.
  • Der i selvbetjeningssystemet fres kontrol med afviste adgangsforsg og at forgves forsg p login automatisk logges. Hvis der konstateres mere end 5 p hinanden flgende fejlede login-forsg lgges der en tidsforsinkelse ind mellem hvert efterflgende forsg der kan foretages.

C.3. Opbevaringsperiode/sletterutine

Personoplysninger i selvbetjeningssystemet slettes automatisk i systemet efter de nedenfor anfrte opbevaringsperioder:

  • Betalingsmodul anvendes: Betalingsoplysninger opbevares i 5 r fra udgangen af det regnskabsr, som materialet vedrrer. Alle vrige personoplysninger slettes 2 r efter arrangementet er afsluttet.
  • Betalingsmodul anvendes ikke: Personoplysninger opbevares i 2 r efter arrangementer er afsluttet.

Den dataansvarlige kan til enhver tid via selvbetjeningssystemet slette og vlge hvor lang tid der skal g fr systemet automatisk sletter indhentet data der ikke er ndvendig i forhold til bogfringsloven.

C.4. Nrmere procedurer for den dataansvarliges tilsyn med den behandling, som foretages hos databehandleren

Databehandleren skal til enhver tid og p den Dataansvarliges anmodning give den Dataansvarlige tilstrkkelige oplysninger til, at denne kan pse, at Databehandleren har truffet de forndne tekniske og organisatoriske sikkerhedsforanstaltninger.

Den dataansvarlige eller en reprsentant for den dataansvarlige har efter nrmere aftale herudover adgang til at fre tilsyn, herunder fysisk tilsyn, hos databehandleren, nr der efter den dataansvarliges vurdering opstr et behov herfor.

Den dataansvarliges eventuelle udgifter i forbindelse med et fysisk tilsyn afholdes af den dataansvarlige. Databehandleren er dog forpligtet til at afstte de ressourcer (hovedsagligt den tid), der er ndvendig for, at den dataansvarlige kan gennemfre sit tilsyn.

Databehandleren vil udarbejde generel dokumentation med tilstrkkelig oplysninger til, at den dataansvarlige kan pse, at Databehandleren har truffet de forndne tekniske og organisatoriske foranstaltninger. Databehandleren er, nr der ikke er tale om denne generelle dokumentation, berettiget til en kompensation for dennes medarbejderes tid i forbindelse med tilsyn, revision eller kontrolbesg initieret af den dataansvarlige, medmindre dette sker p grundlag af en henvendelse fra tilsynsmyndigheden om Databehandlerens manglende efterlevelse af persondatareguleringen. Prisen er 1.000 kr. eksklusiv moms per time.

Den dataansvarlige er endvidere berettiget til for egen regning at lade Databehandlerens behandling af persondata underkaste en rlig revision af en uafhngig tredjepart efter den Dataansvarliges valg.

C.5. Nrmere procedurer for tilsynet med den behandling, som foretages hos eventuelle underdatabehandlere

Databehandleren skal til enhver tid og p den Dataansvarliges anmodning give den Dataansvarlige tilstrkkelige oplysninger til, at denne kan pse, at Databehandleren har sikret sig, at der er indget en gyldig aftale mellem databehandleren og underdatabehandleren vedrrende overholdelse af denne databehandleraftale hos underdatabehandleren.

Databehandleren vil, nr der efter databehandlerens vurdering opstr et behov herfor, foretage et tilsyn, herunder fysisk tilsyn, vedrrende overholdelsen af denne databehandleraftale hos underdatabehandleren.

Den dataansvarlige kan - hvis det findes ndvendigt - vlge at initiere og deltage p en fysisk inspektion hos underdatabehandleren. Dette kan blive aktuelt, sfremt den dataansvarlige vurderer, at databehandlerens tilsyn med underdatabehandleren ikke har givet den dataansvarlige tilstrkkelig sikkerhed for, at behandlingen hos underdatabehandleren sker i overensstemmelse med denne databehandleraftale.

Den dataansvarliges udgifter samt databehandlerens udgifter i forbindelse med et fysisk tilsyn af underdatabehandleren initieret af den dataansvarlige afholdes af den dataansvarlige. Databehandleren er dog forpligtet til at afstte de ressourcer (hovedsagligt den tid), der er ndvendig for, at den dataansvarlige kan gennemfre sit tilsyn.

Databehandleren er berettiget til en kompensation for dennes medarbejderes tid i forbindelse med tilsyn, revision eller kontrol besg hos underdatabehandleren initieret af den dataansvarlige, medmindre dette sker p grundlag af en henvendelse fra tilsynsmyndigheden om Databehandlerens manglende efterlevelse af persondatareguleringen. 1.000 kr. eksklusiv moms per time.

Bilag D

Oplysninger om Databeskyttelsesrdgiver eller Databeskyttelses ansvarlig

D.1. Databeskyttelsesrdgiver eller Databeskyttelsesansvarlig hos den dataansvarlige er:

Navn: [Angivet navn p Dataansvarlig]
Stilling: [Angivet stilling p Dataansvarlig]
Telefonnummer: [Angivet telefonnummer p Dataansvarlig]
Email: [Angivet email p Dataansvarlig]

Oplysningerne vil fremg af de tilmeldingsbetingelser, som regulere den dataansvarliges forhold til Deltagerne.