Spring menu over og gå til indholdVend tilbage til forsidenGå til vores guide for tilgængelighed
  • Databehandleraftale

    Her kan du finde OnlineFundraisings databehandleraftale.

Databehandleraftalen

  1. BAGGRUND OG FORMÅL
    1. Parterne har aftalt levering af visse ydelser fra Fundraisingbureauet til den Dataansvarlige, som nærmere beskrevet i Parternes særskilte aftale herom, samt i punkt 4 (“Hovedydelsen”).
    2. I den forbindelse behandler Fundraisingbureauet personoplysninger på vegne af den Dataansvarlige, hvorfor Parterne har indgået denne aftale (”Databehandleraftalen”).
    3. Databehandleraftalen har til formål at sikre, at Fundraisingbureauet overholder den til enhver tid gældende persondataretlige regulering, herunder navnlig
      1. Persondataloven (lov 2000-05-31 nr. 429 med senere ændringer) og
      2. Persondataforordningen (Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016), med virkning fra d. 25 maj 2018 jf. Art. 28, stk. 3.
  2. OMFANG
    1. Fundraisingbureauet bemyndiges til at foretage behandling af personoplysninger på den Dataansvarliges vegne på vilkårene fastsat i Databehandleraftalen.
    2. Fundraisingbureauet behandler alene personoplysninger efter dokumenteret instruks fra den Dataansvarlige (”Instruks”). Denne Databehandleraftale og partneres aftale om Hovedydelsen udgør Instruksen.
    3. Instruksen kan til enhver tid ændres eller konkretiseres nærmere af den Dataansvarlige. Dette foregår gennem en særskilt aftale, som lægges som bilag til den gældende aftale om Hovedydelsen.
    4. Fundraisingbureauet må, i det omfang andet ikke følger af Databehandleraftalen, benytte alle relevante hjælpemidler, herunder IT-systemer.
    5. Uanset Databehandleraftalens ophør skal aftalens punkt 17 vedrørende fortrolighed samt punkt 15, 18.4 og 19 fortsat have virkning efter Databehandleraftalens ophør.
  3. VARIGHED
    1. Databehandleraftalen gælder indtil enten (a) aftale(r)n(e) om levering af Hovedydelserne ophører eller (b) Databehandleraftalen opsiges eller ophæves.
  4. HOVEDYDELSEN
    1. Efter instruks fra den Dataansvarlige opsamler Fundraisingbureauet alle relevante informationer som er påkrævet for at kunne håndtere bidrag, abonnementsbetalinger og tilmeldinger fra den Dataansvarliges bidragsydere, frivillige og øvrige interessenter. Det sker via IT-systemet OnlineFundraising. Ved håndtering af bidrag varetager Fundraisingbureauet kontakten til gateways, indløsere og andre leverandører af betalingsmidlet for at sikre at betalingen bliver gennemført og registreret korrekt hos den Dataansvarlige. Ved abonnementsaftaler valideres betalingsaftale løbende, for at sikre at der bliver trukket betalinger i henhold til aftalen. OnlineFundraising håndterer betalingsintegrationen mellem den Dataansvarliges gateways, indløsere og andre leverandørerne og den Dataansvarlige regnskabs- og CRM-system.
    2. Typer af personoplysninger der behandles i sammenhæng med levering af Hovedydelsen:
    3. Almindelige personoplysninger, herunder navne, adresser, mailadresser, telefonnumre,
    4. registrerings- og kontonumre, tidspunkt og IP-adresse for online donation,
    5. CPR-numre, og
    6. følsomme personoplysninger, herunder helbredsmæssige forhold behandles for nogle kunder.
  5. FYSISK PLACERING AF DATA OG PRINCIPPER FOR ANVENDELSE AF BACKUPS
    1. Fundraisingbureauets aktive data er placeret hos iTadel i Aarhus, Danmark.
    2. Hver dag foretages en backup af Fundraisingbureauets data og placeres på en server i Danmark. Backup-filerne gemmes i otte uger, hvorefter de slettes.
    3. I tilfælde af et systemnedbrud kan Fundraisingbureauet gendanne systemet fra en backup.
    4. Hvis personer efter eget ønske er blevet glemt i tiden mellem foretagelse af backup og systemnedbrud, slettes persondata på disse ved upload af backup’en ud fra den Glemt-liste, Fundraisingbureauet gemmer i otte uger fra registrering af ønske om at blive glemt.
  6. DATABEHANDLERENS FORPLIGTELSER
    1. Tekniske og organisatoriske sikkerhedsforanstaltninger
      1. Fundraisingbureauet har ansvaret for at have implementeret fornødne tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau. Foranstaltningerne er gennemført under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammensætning og formål samt risici af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Fundraisingbureauet har bl.a. taget kategorien af personoplysninger beskrevet i punkt 4 (“Hovedydelsen”) i betragtning ved fastlæggelsen af disse foranstaltninger.
      2. Fundraisingbureauet har uanset punkt 6.1.1 gennemført de tekniske og organisatoriske sikkerhedsforanstaltninger som fremgår af punkt 7 til denne Databehandleraftale samt aftale(r)n(e) om levering af Hovedydelserne.
      3. Fundraisingbureauet garanterer over for den Dataansvarlige, at man har gennemført de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at Fundraisingbureauets behandling af personoplysninger opfylder kravene i den til enhver tid gældende persondataretlige regulering.
      4. Parterne er enige om, at de afgivne garantier anført i punkt 7 er tilstrækkelige på tidspunktet for indgåelsen af denne Databehandleraftale.
    2. Medarbejderforhold
      1. Fundraisingbureauet garanterer, at medarbejdere, faste partnere og stiftere (herefter benævnt samlet som ‘medarbejdere’), der behandler personoplysninger for Fundraisingbureauet har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
      2. Fundraisingbureauet garanterer, at adgangen til personoplysningerne er begrænset til de medarbejdere, for hvem det er nødvendigt at behandle personoplysninger for at kunne opfylde Fundraisingbureauets forpligtelser over for den Dataansvarlige.
      3. Fundraisingbureauet garanterer at medarbejdere, der behandler personoplysninger for Fundraisingbureauet kun behandler disse i overensstemmelse med Instruksen.
    3. Dokumentation for overholdelse af forpligtelser
      1. Fundraisingbureauet vil på skriftlig anmodning dokumentere over for den Dataansvarlige, at Fundraisingbureauet:
        1. Overholder sine forpligtelser efter denne Databehandleraftale og Instruksen.
        2. Overholder bestemmelserne i den til enhver tid gældende persondataretlige regulering, for så vidt angår de personoplysninger, som behandles på den Dataansvarliges vegne. 
        1. Fundraisingbureauets dokumentation heraf vil ske inden for fem arbejdsdage.
        2. Det nærmere indhold af forpligtelserne under punkt 6.3.1 er beskrevet i denne Databehandleraftales punkt 7
    4. Fortegnelser over behandlingsaktiviteter
      1. Fundraisingbureauet fører løbende en fortegnelse over behandlingen af personoplysningerne.
      2. Fortegnelsen indeholder følgende oplysninger:
        1. Kategorier af behandlinger, der foretages på vegne af den Dataansvarlige.
        2. Fundraisingbureauets medarbejdere og fast tilknyttede partnere, der foretager databehandling af personoplysningerne.
        3. Hvor relevant, Underdatabehandlere (som defineret i punkt 9) og disses medarbejdere, der foretager databehandling af personoplysningerne.
        4. En generel beskrivelse af tekniske og organisatoriske foranstaltninger, der foretages i forbindelse med behandlingen,
        5. Det juridiske grundlag for behandlingen, værende den særskilte kontrakt om hovedydelsen.
        6. Hvor relevant, angivelse af tredjelande eller internationale organisationer, hvortil personoplysningerne overføres, samt dokumentation for passende garantier.
        7. Kontaktoplysninger på Fundraisingbureauets og Underdatabehandlerens kontaktperson eller databehandlingsrådgiver (hvis udpeget).
      3. Fundraisingbureauet stiller inden rimelig tid efter anmodning fortegnelserne til rådighed for den Dataansvarlige eller enhver relevant tilsynsmyndighed.
    5. Sikkerhedsbrud
      1. Fundraisingbureauet underretter den Dataansvarlige om brud på persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysningerne behandlet for den Dataansvarlige (”Sikkerhedsbrud”).
      2. Sikkerhedsbrud meddeles til den Dataansvarlige uden unødig forsinkelse og inden for 24 timer, så det er muligt for den Dataansvarlige at overholde anmeldelsesfristen på 72 timer.
      3. Fundraisingbureauet vedligeholder en fortegnelse over alle Sikkerhedsbrud. Fortegnelsen dokumenterer følgende:
        1. De faktiske omstændigheder omkring Sikkerhedsbruddet,
        2. Sikkerhedsbruddets virkninger, og
        3. de trufne afhjælpningsforanstaltninger.
      4. Fortegnelsen stilles efter skriftlig anmodning til rådighed for den Dataansvarlige eller tilsynsmyndighederne.
    6. Bistand
      1. Fundraisingbureauet bistår i fornødent og rimeligt omfang ved den Dataansvarliges opfyldelse af dennes forpligtelser ved behandling af personoplysningerne, der er omfattet af denne Databehandleraftale, herunder ved:
        1. besvarelser til registrerede ved udøvelse af disses rettigheder,
        2. sikkerhedsbrud,
        3. konsekvensanalyser, og
        4. forudgående høringer fra tilsynsmyndighederne.
      2. Fundraisingbureauet fremskaffer herunder de oplysninger, der skal indgå i en anmeldelse til tilsynsmyndigheden, i det omfang Fundraisingbureauet er den nærmeste hertil.
      3. Bistand, forespørgsler og henvendelser, der ikke kan håndteres indenfor 10 minutter afregnes efter den til enhver tid gældende timetakst for support i det omfang sikkerhedsbruddet ikke kan tilregnes OnlineFundraising.
  7. DOKUMENTATION FOR OVERHOLDELSE AF FORPLIGTELSER
    1. Generel dokumentation til den dataansvarlige
      1. Fundraisingbureauets overholdelse af Persondataforordningen er dokumenteret i en intern standardprocedure. På skriftlig anmodning vil Fundraisingbureauet fremsende dokumentation til den Dataansvarlige.
    2. Tekniske og organisatoriske foranstaltninger
      1. Fundraisingbureauet benytter kun software uden kendte sikkerhedshuller og sørger hele tiden for at holde anvendt software opdateret. Al trafik til og fra serverne, som kører OnlineFundraising, går gennem firewalls administreret af Fundraisingbureauet.
      2. Trafik mellem organisationer og OnlineFundraising i forbindelse med administration, samt mellem brugere af OnlineFundraising’s formularer og OnlineFundraising, krypteres med HTTPS efter officielt anerkendte anbefalinger.
      3. Al data der understøtter organisationers brug af OnlineFundraising, er udelukkende placeret i Danmark, i datacentre hos betroede samarbejdspartnere.
      4. Backups bliver foretaget hver nat og opbevares krypteret i et separat datacenter. Backups gemmes som udgangspunkt i 8 uger.
      5. Kun udvalgte nøglemedarbejdere har adgang til rådata på Fundraisingbureauet’s servere. Fundraisigbureuaet’s medarbejdere har kun de fornødne rettigheder, til at kunne udføre deres daglige arbejde.
    3. Audit
      1. Fundraisingbureauet vil på skriftlig anmodning bidrage til og give adgang til audit. Hver part betaler egne udgifter i forbindelse med et audit.
    4. Øvrigt
      1. Fundraisingbureauet er ikke forpligtet til at følge en anmodning fra den Dataansvarlige i henhold til dette punkt 7, hvis anmodningen strider mod den persondataretlige regulering. Fundraisingbureauet underretter den Dataansvarlige i det omfang, det er Fundraisingbureauets vurdering, at dette er tilfældet.
  8. DEN DATAANSVARLIGES FORPLIGTELSER
    1. Den Dataansvarlige har følgende forpligtelser:
      1. at sikre sig, at personoplysningerne er ajourførte
      2. at sikre sig, at Instruksen er lovlig set i forhold til den til enhver tid gældende persondataretlige regulering
      3. at Instruksen er hensigtsmæssig set i forhold til denne Databehandleraftale og Hovedydelsen.
      4. at der er indgået gyldige databehandleraftaler med øvrige databehandlere og tredjepartssystemer, der benyttes i forbindelse med håndtering af personoplysninger for den Dataansvarlige igennem OnlineFundraising (f.eks. betalingsgateways, CRM-systemer, telemarketingværktøjer, etc.)
  9. UNDERDATABEHANDLERE
    1. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (underdatabehandler).
    2. Fundraisingbureauet gør kun brug af en tredjepart til behandlingen af personoplysninger for den Dataansvarlige (”Underdatabehandler”) i det omfang der er modtaget skriftlig godkendelse fra den Dataansvarlige.
    3. Den Dataansvarlige har mulighed for at gøre indsigelser gældende mod en sådan Underdatabehandler i det omfang, der er en rimelig grund hertil.
    4. I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.
    5. Fundraisingbureauet og Underdatabehandleren indgår en skriftlig aftale, som pålægger Underdatabehandleren de samme databeskyttelsesforpligtelser, som påhviler Fundraisingbureauet (herunder i medfør af denne Databehandleraftale).
    6. Underdatabehandleren handler herudover ligeledes alene på Instruks fra den Dataansvarlige.
    7. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver Fundraisingbureauet fuldt ansvarlig over for den dataansvarlige for opfyldelsen af Fundraisingbureauets forpligtelser.
  10. OVERFØRSEL TIL TREDJELANDE OG INTERNATIONALE ORGANISATIONER
    1. Fundraisingbureauet overfører kun personoplysninger til tredjelande eller internationale organisationer såfremt:
      1. Personoplysninger ikke underkastes behandling af Fundraisingbureauet eller en Underdatabehandler i et land uden for den Europæiske Union eller EØS (et ”Tredjeland”), eller en international organisation, medmindre den Dataansvarlige giver konkret tilladelse hertil.
      2. Fundraisingbureauet underretter den Dataansvarlige om overførslen, inden den finder sted.
      3. Fundraisingbureauet modtager særlig instruks fra den Dataansvarlige.
    2. Overførsel af personoplysninger sker i alle tilfælde kun i det omfang, det er tilladt ifølge den til enhver tid gældende persondataretlige regulering.
    3. I det omfang der sker overførsel af personoplysninger til et tredjeland, skal den Dataansvarlige sikre at der er indgået de fornødne aftaler. Den Dataansvarlige kan også bemyndige Fundraisingbureauet til at indgå de fornødne aftaler på den Dataansvarliges vegne mod vederlag.
  11. DATABEHANDLING UDEN FOR INSTRUKSEN
    1. Fundraisingbureauet kan behandle personoplysninger uden for Instruksen i tilfælde, hvor det kræves af EU-retten eller national ret, som Fundraisingbureauet er underlagt.
    2. Ved behandling af personoplysninger uden for Instruksen underretter Fundraisingbureauet den Dataansvarlige om årsagen hertil. Underretningen vil ske inden behandlingen foretages og skal indeholde en henvisning til de retlige krav, der ligger til grund for behandlingen.
    3. Underretning skal ikke ske, hvis underretning vil være i strid med EU-retten eller den nationale ret.
  12. VEDERLAG OG OMKOSTNINGER
    1. Parterne har alene krav på betaling for opfyldelse af denne Databehandleraftale, hvis dette konkret er angivet heri eller i aftale(r)n(e) om levering af Hovedydelserne.
    2. Bistand, forespørgsler og henvendelser, der ikke kan håndteres indenfor 10 minutter afregnes efter den til enhver tid gældende timetakst for support.
    3. En Part har uanset ovenstående ikke krav på betaling for assistance eller implementering af ændringer i det omfang sådan assistance eller ændring er en direkte følge af Parternes misligholdelse af denne Databehandleraftale.
  13. ÆNDRING AF INSTRUKSEN
    1. Forud for ændringer af Instruksen skal Parterne i videst muligt omfang drøfte, og om muligt aftale, implementeringen af ændringerne, inkl. implementeringstiden og omkostningerne.
    2. Ændringer af Instruksen skal ske skriftligt. Fundraisingbureauet er ansvarlig for at udføre ændringerne uden unødig forsinkelse. Kopi af den gældende Instruks sendes til Databehandleren når disse er implementeret. Evt. omkostninger afregnes efter §12.2.
  14. MISLIGHOLDELSE
    1. Reguleringen af misligholdelse i aftale(r)n(e) om levering af Hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf. I tilfælde af at aftale(r)n(e) om levering af Hovedydelserne ikke tager stilling hertil, skal gældende rets almindelige misligholdelsesbeføjelser finde anvendelse på denne Databehandleraftale.
  15. ANSVAR OG ANSVARSBEGRÆNSNINGER
    1. Reguleringen af ansvar og ansvarsbegrænsninger i aftale(r)n(e) om levering af Hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.
  16. FORCE MAJEURE
    1. Reguleringen af force majeure i aftale(r)n(e) om levering af Hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.
  17. FORTROLIGHED
    1. Reguleringen af fortrolighed i aftale(r)n(e) om levering af Hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf. I tilfælde af at aftale(r)n(e) om levering af Hovedydelserne ikke tager stilling hertil, skal bestemmelserne i dette punkt 17 finde anvendelse på denne Databehandleraftale.
    2. Information vedrørende indholdet af denne Databehandleraftale, de underliggende Hovedydelser, den anden Parts forretning, der enten i forbindelse med overgivelsen til den modtagende Part er angivet som fortrolig information, eller som efter sin natur eller i øvrigt klart må opfattes som fortrolig, skal behandles fortroligt og med mindst samme omhu og diskretion som partens egne fortrolige informationer. Data, herunder persondata, udgør altid fortrolige informationer.
    3. Fundraisingbureauet sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
    4. Efter anmodning fra den dataansvarlige vil Fundraisingbureauet påvise, at de relevante medarbejdere er underlagt ovennævnte tavshedspligt.
  18. OPSIGELSE OG OPHØR
    1. Databehandleraftalen kan alene opsiges eller ophæves i overensstemmelse med bestemmelserne om opsigelse og ophævelse i aftale(r)n(e) om levering af Hovedydelserne.
    2. Fundraisingbureauets bemyndigelse til at behandle personoplysninger på vegne af den Dataansvarlige bortfalder ved Databehandleraftalens ophør, uanset årsag.
    3. Fundraisingbureauet må fortsat behandle personoplysningerne i op til tre måneder efter Databehandleraftalens ophør, i det omfang dette er nødvendigt for at foretage nødvendige lovpligtige foranstaltninger. I samme periode er Fundraisingbureauet berettiget til at lade personoplysningerne indgå i Fundraisingbureauets sædvanlige backup-procedure. Fundraisingbureauets behandling i denne periode anses fortsat for at ske under overholdelse af Instruksen.
    4. Fundraisingbureauet og dennes Underdatabehandlere skal tilbagelevere alle personoplysninger, som Fundraisingbureauet har behandlet under denne Databehandleraftale, til den Dataansvarlige ved Databehandleraftalens ophør, i det omfang den Dataansvarlige ikke allerede er i besiddelse af personoplysningerne. Fundraisingbureauet er herefter forpligtet til at slette alle personoplysninger fra den Dataansvarlige. Backup-filerne gemmes i otte uger, hvorefter de slettes. Den Dataansvarlige kan anmode om fornøden dokumentation for, at dette er sket.
  19. TVISTLØSNING
    1. Reguleringen af tvistløsning, inkl. lovvalg og værneting, i aftale(r)n(e) om levering af Hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf. I tilfælde af, at aftale(r)n(e) om levering af Hovedydelserne ikke tager stilling hertil, skal bestemmelserne i dette punkt 19 finde anvendelse på denne Databehandleraftale.
    2. Databehandleraftalen er underlagt dansk ret med undtagelse af (a) regler, der fører til anvendelse af anden lov end dansk lov samt (b) FN konventionen om internationale løsørekøb (CISG).
    3. Opstår der uoverensstemmelser i forbindelse med Databehandleraftalen eller dens gennemførelse, skal Parterne med en positiv, samarbejdende og ansvarlig holdning søge at indlede forhandlinger med henblik på at løse tvisten. Om nødvendigt skal forhandlingerne søges løftet op på direktionsniveau i Parternes organisationer.
    4. Kan Parterne ikke opnå en løsning ved forhandling, er Parterne berettiget til at kræve tvisten afgjort endeligt ved retssag ved de almindelige domstole. Københavns Byret er valgt som værneting. Retsplejelovens henvisningsregler til Landsret og Sø- og Handelsret skal dog fortsat finde anvendelse.
  20. FORRANG
    1. Såfremt der er modstrid mellem denne Databehandleraftale og aftale(r)n(e) om levering af Hovedydelserne, har Parternes særskilte aftale forrang, med mindre andet følger direkte af Databehandleraftalen.

Gældende fra: 1. maj 2018.
Senest opdateret: 25. Juni 2018