SENEST OPDATERET: 23. maj 2018
Denne databeskyttelsesaftale (»DPA«) ændrer den nuværende version af den pågældende aftale, som er indgået mellem den interesserede part og GumGum (»GumGum«), hvor hver part benævnes en »part« eller samlet »parterne«. Denne DPA finder anvendelse på og har forrang for nævnte dokument og ethvert tilknyttet kontraktdokument mellem parterne, såsom en ordreseddel, en arbejdsbeskrivelse eller andre gældende tillæg hertil (samlet benævnt»Hovedaftalen«), i det omfang der foreligger uoverensstemmelser.
Den interesserede part og GumGum aftaler hermed følgende:
1. Definition
1.1 »Gældende lovgivning«betyder love, regler, direktiver og forordninger, der er udstedt eller vedtaget af en hvilken som helst offentlig myndighed (herunder enhver indenlandsk eller udenlandsk, overnational, statslig, amtslig, kommunal, lokal, territorial eller anden offentlig myndighed, hvilket i det omfang det er relevant omfatter direktiv 95/46/EF, direktiv 2002/58/EF, beslutninger og retningslinjer fra Europa-Kommissionen), som hver især er gennemført i den nationale lovgivning i hver medlemsstat eller andet land og som fra tid til anden ændres, erstattes eller afløses, herunder af GDPR og love, der gennemfører eller supplerer GDPR, samt eventuelle selvregulerende principper for branchen, der finder anvendelse på det sted eller i den region, hvor tjenesterne leveres eller modtages, og som vedrører behandling af personoplysninger eller aflytning, optagelse eller overvågning af kommunikation.
1.2 »Hovedaftalen«betyder enhver aftale mellem den interesserede part og GumGum, hvorved GumGum leverer tjenesterne og i forbindelse med leveringen af disse tjenester foretager behandling af de registreredes personoplysninger på vegne af den dataansvarlige.
1.3 »GDPR«(den generelle forordning om databeskyttelse) betyder Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger samt om ophævelse af direktiv 95/46/EF; Udtrykkene»den dataansvarlige«,»databehandleren«,»den registrerede«,»medlemsstat«,»personoplysninger« eller »data«,»brud på persondatasikkerheden«,»behandling«og»tilsynsmyndigheder«har samme betydning som i GDPR, og beslægtede udtryk skal fortolkes i overensstemmelse hermed.
1.4 »EU-standardklausuler«betyder de standardkontraktbestemmelser, der er godkendt af Europa-Kommissionen vedrørende standardkontraktbestemmelser for overførsel af personoplysninger til databehandlere eller dataansvarlige, der er etableret i tredjelande (dog med undtagelse af de kontraktbestemmelser, som Europa-Kommissionen i den pågældende afgørelse har betegnet som valgfri), med de ændringer eller erstatninger, som Europa-Kommissionen fra tid til anden måtte foretage.
1.5 »Interessebaseret annoncering«betyder både (i) indsamling af data på tværs af flere digitale platforme eller andre kilder med det formål at oprette profiler og vise annoncer baseret på præferencer eller interesser, der er kendt eller udledt af de indsamlede data, og (ii) indsamling af data om en brugers aktivitet på eller i en digital platform eller kilde med det formål at oprette profiler og vise annoncer baseret på disse data på en anden digital platform.
1.6 »Den berørte part«betyder den part, der er part i denne aftale, og på hvis vegne GumGum behandler den berørte parts personoplysninger eller den berørte parts kunders personoplysninger, uanset om disse er modtaget fra de registrerede, tredjeparter eller den berørte part.
1.7 »Tjenester«betyder de tjenester, der er defineret i hovedaftalen mellem den interesserede part og GumGum.
1.8 »Underbehandler«betyder enhver tredjepart (herunder ethvert datterselskab til databehandleren), der er udpeget af eller på vegne af databehandleren til at behandle personoplysninger på vegne af den berørte part i forbindelse med en aftale.
2. GumGums forpligtelser
GumGum forpligter sig til:
2.1 Behandle de heri omhandlede personoplysninger udelukkende til det angivne formål og i overensstemmelse med udgiverens dokumenterede instrukser (instrukser som defineret i aftalen og/eller eventuelle andre skriftlige instrukser, der er i overensstemmelse med aftalen);
2.2 Hvis GumGum vurderer, at en instruks er i strid med den gældende lovgivning, skal selskabet straks underrette den berørte part herom;
2.3 at beskytte fortroligheden af de data, der behandles i henhold til denne aftale; og
2.4 Træffe rimelige foranstaltninger for at sikre pålideligheden af alle medarbejdere, tilknyttede virksomheder, underleverandører eller repræsentanter („Personale“), der er involveret i behandlingen af data. GumGum bekræfter, at alle data, som selskabet har adgang til, kun vil være tilgængelige for dets personale, som: (i) har behov for adgang til dem, og (ii) er underlagt kontraktmæssige forpligtelser vedrørende privatliv, sikkerhed og fortrolighed i forbindelse med sådanne personoplysninger.
3. De registreredes samtykke og ret til information
3.1 Hver part bekræfter, at hvis den er operatør af en digital platform, herunder f.eks. hjemmesider og apps, hvorigennem der indsamles data:
a. Den pågældende part har indført og kan dokumentere mekanismer til at indhente passende samtykke til en sådan indsamling af personoplysninger på den måde og til det formål, der er angivet i aftalen; og indeholder et klart og utvetydigt link til en brugervenlig mekanisme, der giver den registrerede mulighed for at fravælge, herunder, hvor det er relevant, muligheden for, at den registrerede kan fravælge interessebaseret
b. Den pågældende part skal sikre, at den har en privatlivspolitik, der overholder gældende lovgivning.
3.2 Hver part bekræfter, at hvis den formidler levering af data fra digitale platforme, der drives af tredjeparter:
a. Den pågældende part skal have indgået juridisk bindende forpligtelser med sådanne tredjeparter, der forpligter dem til at indhente passende samtykke og til at give den pågældende part mulighed for at fremlægge bevis for dette samtykke over for den anden part, med henblik på de midler og det formål, der er nødvendige for den interesserede parts brug af sådanne data som angivet i aftalen. GumGum er ansvarlig for at forsyne den interesserede part med alle relevante oplysninger, der er beregnet til sådanne tredjeparter, der driver digitale platforme, hvorfra data genereres; og
b. Den pågældende part skal i kontrakten forpligte sine relevante kontraktparter til at sikre, at hver enkelt relevant digital ejendom er forsynet med en privatlivserklæring, der overholder gældende lovgivning.
3.3 Hvis GumGum er dataleverandør til den interesserede part:
a. GumGum bekræfter, at selskabet har dokumentation for, at der foreligger et passende samtykke (hvor det er relevant) fra enhver registreret, hvis personoplysninger selskabet deler med den interesserede part, og at de pågældende registrerede i alle tilfælde har fået tilbudt en klar og utvetydig mulighed for at benytte en brugervenlig mekanisme til at fravælge dette, herunder, hvor det er relevant, muligheden for, at en registreret kan fravælge interessebaseret annoncering; og
b. GumGum garanterer, at alle parter, der indsamler eller modtager personoplysninger, som GumGum stiller til rådighed for den interesserede part („leverandøroplysninger“), har en privatlivserklæring, der klart og utvetydigt redegør for indsamlingen, videregivelsen og brugen af leverandøroplysninger, herunder, men ikke begrænset til, beskrivelser af dataindsamlingen i forbindelse med enhver relevant interessebaseret annoncering foretaget af den interesserede part, i overensstemmelse med gældende lovgivning, og som indeholder en brugervenligmekanisme, der gør det muligt for den registrerede at fravælge (herunder, hvor det er relevant, muligheden for, at den registrerede kan fravælge interessebaseret annoncering) via de tjenester, der leveres af GumGum eller dets datakilder.
3.4 GumGum vil sikre, at selskabet opretholder en tilgængelig og ajourført privatlivspolitik , der forklarer den teknologi, virksomheden anvender, og hvordan den behandler personoplysninger.
4. De registreredes rettigheder
GumGum skal, i det omfang det er muligt, bistå den interesserede part med at opfylde sin forpligtelse til at besvare anmodninger om udøvelse af den registreredes rettigheder (herunder navnlig retten til indsigt, berigtigelse, sletning og indsigelse, retten til begrænsning af behandlingen, retten til dataportabilitet samt retten til ikke at være genstand for en automatiseret individuel afgørelse (herunder profilering)).
GumGum bekræfter, at selskabet har de nødvendige midler og vil træffe alle rimelige foranstaltninger for at give den interesserede part mulighed for at imødekomme rimelige anmodninger fra de registrerede (i forbindelse med deres rettigheder i henhold til artikel 12-22 i GDPR) vedrørende deres personoplysninger, så længe disse behandles af GumGum.
5. Håndtering af og underretning om sikkerhedsbrud
GumGum bekræfter, at i tilfælde af et brud på persondatasikkerheden, der omfatter data i henhold til aftalen, vil GumGum:
a. Omgående træffe alle nødvendige og passende afhjælpende foranstaltninger for at afhjælpe de underliggende årsager til bruddet på persondatasikkerheden og udvise en rimelig forretningsmæssig indsats for at sikre, at et sådant brud på persondatasikkerheden ikke gentager sig;
b. Underrette den berørte part straks, og – hvis det med rimelighed kan forventes, at bruddet på persondatasikkerheden vil kræve, at den berørte part indgiver en anmeldelse i henhold til gældende lovgivning – under alle omstændigheder inden for otteogfyrre (48) timer, med rimelige detaljer om bruddet på persondatasikkerheden og de sandsynlige konsekvenser for de registrerede. Nævnte underretning skal sendes sammen med al nødvendig dokumentation, der sætter den berørte part i stand til, hvor det er nødvendigt, at underrette den kompetente tilsynsmyndighed om dette brud, især oplysninger og foranstaltninger som omhandlet i artikel 33, stk. 3, i GDPR; og
c. Træffe de foranstaltninger, der kræves i henhold til gældende lovgivning og/eller efter en rimelig anmodning fra den berørte part.
Efter anmodning fra den berørte part og for dennes regning skal GumGum i den berørte parts navn og på dennes vegne underrette de registrerede om bruddet på persondatasikkerheden uden unødig forsinkelse. Indholdet af en sådan underretning fastlægges ved gensidig aftale mellem parterne, idet det forudsættes, at underretningen i et klart og forståeligt sprog beskriver arten af bruddet på persondatasikkerheden og som minimum indeholder de oplysninger og foranstaltninger, der er omhandlet i artikel 33, stk. 3, litra b), c) og d), i GDPR.
6. Konsekvensanalyse vedrørende databeskyttelse
GumGum skal yde den berørte part rimelig bistand i forbindelse med eventuelle konsekvensanalyser vedrørende databeskyttelse samt forudgående høringer af tilsynsmyndigheder eller andre kompetente databeskyttelsesmyndigheder, som den berørte part med rimelighed anser for at være påkrævet i henhold til artikel 35 og/eller 36 i GDPR eller tilsvarende bestemmelser i enhver anden gældende lovgivning, i hvert tilfælde udelukkende i relation til GumGums behandling af den berørte parts data, og under hensyntagen til behandlingens art og omfang samt de oplysninger, GumGum har til rådighed.
7. Sikkerhedsforanstaltninger
GumGum forpligter sig til at indføre og opretholde administrative, tekniske, fysiske og organisatoriske foranstaltninger, der har til formål at beskytte sikkerheden (herunder beskyttelse mod uautoriseret eller ulovlig behandling samt mod utilsigtet eller ulovlig destruktion, tab, ændring eller beskadigelse, uautoriseret videregivelse af eller adgang til personoplysninger), fortroligheden og integriteten af personoplysninger i overensstemmelse med bedste praksis.
8. Datas skæbne
GumGum vil sikre, at alle data vedrørende den interesserede part, som virksomheden er i besiddelse af, returneres til den interesserede part eller destrueres, alt efter den interesserede parts valg og anmodning, i det omfang sådanne data ikke længere er nødvendige for udførelsen af tjenesterne eller i det omfang, det i henhold til lovgivningen er tilladt for GumGum at opbevare dem.
9. Databeskyttelsesansvarlig og oversigt over kategorier af behandlingsaktiviteter
9.1 Databeskyttelsesansvarlig.
GumGum bekræfter, at virksomheden har udpeget en databeskyttelsesansvarlig, der har til opgave at sikre en lovmæssig håndtering af personoplysninger og alle dermed forbundne forhold hos GumGum, og som står til rådighed for at bistå den interesserede part i tide, hvis der modtages henvendelser fra de registrerede eller en kompetent tilsynsmyndighed vedrørende oplysningerne. Kontakt venligst GumGums databeskyttelsesansvarlige på: gdpr@gumgum.com.
GumGum bekræfter, at selskabet vil yde den interesserede part den bistand og de oplysninger, som denne med rimelighed måtte anmode om, i god tid, for at hjælpe den interesserede part med at opfylde sine forpligtelser i henhold til GDPR i forbindelse med enhver form for data vedrørende den interesserede part.
9.2 Oversigt over kategorier af behandlingsaktiviteter.
GumGum oplyser, at selskabet fører en skriftlig fortegnelse over alle kategorier af behandlingsaktiviteter, der udføres på vegne af den berørte part, og som indeholder de oplysninger, der kræves i henhold til artikel 30, stk. 2, i GDPR.
10. Dokumentation og revision
GumGum vil overholde forpligtelserne i henhold til al gældende lovgivning vedrørende behandling af personoplysninger i forbindelse med aftalen.
GumGum bekræfter, at selskabet vil samarbejde fuldt ud med enhver rimelig anmodning om oplysninger fra den berørte part vedrørende databehandlingen. I det omfang det er nødvendigt for at sætte den interesserede part i stand til at opfylde sine forpligtelser i henhold til gældende lovgivning, vil GumGum give den interesserede part tilladelse til at gennemføre en revision af sin overholdelse af denne artikel og gældende lovgivning. En sådan revision må højst gennemføres én gang pr. kalenderår i aftalens løbetid, skal finde sted i normal arbejdstid og skal ske efter, at den interesserede part har givet GumGum en skriftlig meddelelse herom mindst ti (10) arbejdsdage i forvejen.
11. Underbehandler
Med forbehold af følgende bestemmelser og betingelser i henhold til artikel 28 i GDPR kan GumGum inddrage en anden databehandler (i det følgende benævnt »underdatabehandleren«) til at udføre specifikke databehandlingsaktiviteter.
I dette tilfælde skal GumGum på forhånd skriftligt underrette den berørte part om eventuelle påtænkte ændringer vedrørende tilføjelse eller udskiftning af andre databehandlere, og den berørte part har en frist på enogtyve (21) dage fra den dato, hvor den modtager denne meddelelse, til at gøre indsigelse herimod. En sådan udlicitering er kun mulig, hvis den berørte part ikke har gjort indsigelse herimod inden for den aftalte frist.
Underbehandleren er forpligtet til at overholde forpligtelserne i henhold til denne aftale på vegne af og efter instruks fra den berørte part.
For hver underdatabehandler skal GumGum:
a. Inden underdatabehandleren for første gang behandler udgiverdata, skal der foretages en passende due diligence for at sikre, at underdatabehandleren er i stand til at yde det beskyttelsesniveau for berørte parters data, som kræves i henhold til gældende lovgivning og aftalen;
b. Sikre, at underdatabehandleren indgår en skriftlig aftale, der indeholder bestemmelser, som sikrer mindst samme beskyttelsesniveau for data vedrørende berørte parter som dem, der er fastsat i denne artikel, og som opfylder kravene i gældende lovgivning;
c. Efter en rimelig anmodning at stille sådanne kopier af aftalerne med underdatabehandlere til rådighed for den berørte part til gennemgang (hvor fortrolige forretningsoplysninger, der ikke er relevante for kravene i denne klausul, kan være redigeret ud); og
d. At være ansvarlig for sine underdatabehandleres handlinger og undladelser i samme omfang, som GumGum ville være ansvarlig, hvis selskabet selv udførte den pågældende underdatabehandlers tjenester direkte i henhold til bestemmelserne i denne klausul. GumGum forbliver fuldt ud ansvarlig over for den berørte part for den enkelte underdatabehandlers opfyldelse af sine forpligtelser.
12. Overførsel af data
GumGum bekræfter, at selskabet ikke vil overføre, og vil sikre, at ingen underdatabehandlere overfører data om den berørte part ud af det land, hvor disse data er blevet leveret til selskabet, medmindre (a) overførslen sker mellem medlemsstater i Det Europæiske Økonomiske Samarbejdsområde („EØS“); eller (b) der foreligger skriftlige instrukser fra den berørte part.
Hvis GumGum i henhold til EU-retten eller medlemsstatslovgivningen, som GumGum er underlagt, er forpligtet til at overføre data til et tredjeland eller en international organisation, skal GumGum desuden underrette den berørte part om dette lovkrav inden behandlingen, medmindre denne lovgivning forbyder en sådan underretning af væsentlige hensyn til almenvellet.