Databehandleraftale

DATABEHANDLERAFTALE
Standardkontraktsbestemmelser i henhold til artikel 28, stk. 3,
i forordning 2016/679 (databeskyttelsesforordningen)

VERSION: 1.0
DATO: [Indsættes ved underskrift]

══════════════════════════════════════════════════════════════════════════

MELLEM

Den dataansvarlige:

Navn/Firmanavn: [Udfyldes]
CVR/Org.nr.: [Udfyldes hvis relevant]
Adresse: [Udfyldes]
Postnr. og by: [Udfyldes]
Land: Danmark

herefter “den dataansvarlige”

OG

Quizform ApS
CVR-nummer: 44991845
Adresse: Thorsø Skovvej 1
Postnr. og by: 8600 Silkeborg
Land: Danmark

herefter “databehandleren”

der hver især er en “part” og sammen udgør “parterne”

══════════════════════════════════════════════════════════════════════════

HAR AFTALT følgende standardkontraktsbestemmelser (Bestemmelserne) med
henblik på at overholde databeskyttelsesforordningen og sikre beskyttelse
af privatlivets fred og fysiske personers grundlæggende rettigheder og
frihedsrettigheder.

DEFINITIONER

I denne aftale anvendes følgende definitioner:

“Quizform-platformen”: Det digitale SaaS-værktøj leveret af databehandleren,
som giver mulighed for at oprette interaktive aktiviteter (quizzer, formularer,
spil mv.) samt indsamle og behandle personoplysninger fra deltagere.

“Aktiviteter”: Quizzer, formularer, spil og andre interaktive elementer som
den dataansvarlige opretter i Quizform-platformen.

“Kompleks adgangskode”: Adgangskode med minimum 8 tegn indeholdende store
og små bogstaver, tal og specialtegn.

“Rimelig mistanke”: Konkrete indikationer baseret på faktiske omstændigheder,
der giver anledning til begrundet tvivl om overholdelse af databeskyttelses-
reglerne, såsom gentagne sikkerhedshændelser, manglende svar på henvendelser,
eller rapporter fra tredjeparter.

“Hverdage”: Mandag til fredag, eksklusiv danske helligdage.

PRÆAMBEL

Disse Bestemmelser fastsætter databehandlerens rettigheder og forpligtelser,
når denne foretager behandling af personoplysninger på vegne af den
dataansvarlige.

Disse bestemmelser er udformet med henblik på parternes efterlevelse af
artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679
af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med
behandling af personoplysninger og om fri udveksling af sådanne oplysninger
og om ophævelse af direktiv 95/46/EF (databeskyttelsesforordningen).

I forbindelse med leveringen af Quizform-platformen behandler databehandleren
personoplysninger på vegne af den dataansvarlige i overensstemmelse med disse
Bestemmelser.

Bestemmelserne har forrang i forhold til eventuelle tilsvarende bestemmelser
i andre aftaler mellem parterne.

Der hører fire bilag til disse Bestemmelser, og bilagene udgør en integreret
del af Bestemmelserne:

• Bilag A indeholder nærmere oplysninger om behandlingen af personoplysninger,
herunder om behandlingens formål og karakter, typen af personoplysninger,
kategorierne af registrerede og varighed af behandlingen.

• Bilag B indeholder den dataansvarliges betingelser for databehandlerens
brug af underdatabehandlere og en liste af underdatabehandlere, som den
dataansvarlige har godkendt brugen af.

• Bilag C indeholder den dataansvarliges instruks for så vidt angår
databehandlerens behandling af personoplysninger, en beskrivelse af de
sikkerhedsforanstaltninger, som databehandleren som minimum skal gennemføre,
og hvordan der føres tilsyn med databehandleren og eventuelle
underdatabehandlere.

• Bilag D indeholder versionsoversigt og ændringslog for aftalen.

Bestemmelserne med tilhørende bilag skal opbevares skriftligt, herunder
elektronisk, af begge parter.

Disse Bestemmelser frigør ikke databehandleren fra forpligtelser, som
databehandleren er pålagt efter databeskyttelsesforordningen eller enhver
anden lovgivning.

1. DEN DATAANSVARLIGES RETTIGHEDER OG FORPLIGTELSER

1.1. Den dataansvarlige er ansvarlig for at sikre, at behandlingen af
personoplysninger sker i overensstemmelse med databeskyttelsesforordningen
(se forordningens artikel 24), databeskyttelsesbestemmelser i anden EU-ret
eller medlemsstaternes nationale ret og disse Bestemmelser.

1.2. Den dataansvarlige har ret og pligt til at træffe beslutninger om, til
hvilke(t) formål og med hvilke hjælpemidler, der må ske behandling af
personoplysninger.

1.3. Den dataansvarlige er ansvarlig for, blandt andet, at sikre, at der er
et behandlingsgrundlag for behandlingen af personoplysninger, som
databehandleren instrueres i at foretage. Det anvendte behandlingsgrundlag
i henhold til GDPR artikel 6, stk. 1, er angivet i Bilag A.1.

2. DATABEHANDLEREN HANDLER EFTER INSTRUKS

2.1. Databehandleren må kun behandle personoplysninger efter dokumenteret
instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret
eller medlemsstaternes nationale ret, som databehandleren er underlagt.
Denne instruks skal være specificeret i bilag A og C. Efterfølgende instruks
kan også gives af den dataansvarlige, mens der sker behandling af
personoplysninger, men instruksen skal altid være dokumenteret og opbevares
skriftligt, herunder elektronisk, sammen med disse Bestemmelser.

2.2. Databehandleren underretter omgående den dataansvarlige, hvis en
instruks efter vedkommendes mening er i strid med denne forordning eller
databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale
ret.

3. FORTROLIGHED

3.1. Databehandleren må kun give adgang til personoplysninger, som behandles
på den dataansvarliges vegne, til personer, som er underlagt databehandlerens
instruktionsbeføjelser, som har forpligtet sig til fortrolighed eller er
underlagt en passende lovbestemt tavshedspligt, og kun i det nødvendige
omfang. Listen af personer, som har fået tildelt adgang, skal løbende
gennemgås. På baggrund af denne gennemgang kan adgangen til personoplysninger
lukkes, hvis adgangen ikke længere er nødvendig, og personoplysningerne skal
herefter ikke længere være tilgængelige for disse personer.

3.2. Databehandleren skal efter anmodning fra den dataansvarlige kunne
påvise, at de pågældende personer, som er underlagt databehandlerens
instruktionsbeføjelser, er underlagt ovennævnte tavshedspligt.

4. BEHANDLINGSSIKKERHED

4.1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige
og databehandleren, under hensyntagen til det aktuelle tekniske niveau,
implementeringsomkostningerne og den pågældende behandlings karakter, omfang,
sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for
fysiske personers rettigheder og frihedsrettigheder, gennemfører passende
tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau,
der passer til disse risici.

4.2. Den dataansvarlige skal vurdere risiciene for fysiske personers
rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre
foranstaltninger for at imødegå disse risici. Afhængig af deres relevans
kan det omfatte:

a) Pseudonymisering og kryptering af personoplysninger
b) evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed
og robusthed af behandlingssystemer og -tjenester
c) evne til rettidigt at genoprette tilgængeligheden af og adgangen til
personoplysninger i tilfælde af en fysisk eller teknisk hændelse
d) en procedure for regelmæssig afprøvning, vurdering og evaluering af
effektiviteten af de tekniske og organisatoriske foranstaltninger til
sikring af behandlingssikkerhed.

4.3. Efter forordningens artikel 32 skal databehandleren – uafhængigt af
den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder
som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse
risici. Med henblik på denne vurdering skal den dataansvarlige stille den
nødvendige information til rådighed for databehandleren som gør vedkommende
i stand til at identificere og vurdere sådanne risici.

4.4. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes
overholdelse af den dataansvarliges forpligtelse efter forordningens artikel
32, ved bl.a. at stille den nødvendige information til rådighed for den
dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstalt-
ninger, som databehandleren allerede har gennemført i henhold til forordningens
artikel 32, og al anden information, der er nødvendig for den dataansvarliges
overholdelse af sin forpligtelse efter forordningens artikel 32.

4.5. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges
vurdering – kræver gennemførelse af yderligere foranstaltninger end de
foranstaltninger, som databehandleren allerede har gennemført, skal den
dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres,
i bilag C.

5. ANVENDELSE AF UNDERDATABEHANDLERE

5.1. Databehandleren skal opfylde de betingelser, der er omhandlet i
databeskyttelsesforordningens artikel 28, stk. 2, og stk. 4, for at gøre
brug af en anden databehandler (en underdatabehandler).

5.2. Databehandleren må således ikke gøre brug af en underdatabehandler til
opfyldelse af disse Bestemmelser uden forudgående generel skriftlig
godkendelse fra den dataansvarlige.

5.3. Databehandleren har den dataansvarliges generelle godkendelse til brug
af de i Bilag B angivne underdatabehandlere. Databehandleren skal skriftligt
underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende
tilføjelse eller udskiftning af underdatabehandlere med mindst 14 dages
varsel og derved give den dataansvarlige mulighed for at gøre indsigelse mod
sådanne ændringer inden brugen af de(n) omhandlede underdatabehandler(e).

5.4. Hvis den dataansvarlige gør indsigelse mod brugen af en ny eller
erstatnings-underdatabehandler, skal parterne indlede forhandlinger om en
løsning. Hvis der ikke kan findes en acceptabel løsning inden for 30 dage,
har den dataansvarlige ret til at opsige aftalen med et varsel på 30 dage
uden kompensation til databehandleren, medmindre databehandleren kan tilbyde
en alternativ løsning, der opfylder den dataansvarliges krav.

5.5. Når databehandleren gør brug af en underdatabehandler i forbindelse med
udførelse af specifikke behandlingsaktiviteter på vegne af den dataansvarlige,
skal databehandleren, gennem en kontrakt eller andet retligt dokument i
henhold til EU-retten eller medlemsstaternes nationale ret, pålægge
underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der
fremgår af disse Bestemmelser, hvorved der navnlig stilles de fornødne
garantier for, at underdatabehandleren vil gennemføre de tekniske og
organisatoriske foranstaltninger på en sådan måde, at behandlingen overholder
kravene i disse Bestemmelser og databeskyttelsesforordningen.

5.6. Databehandleren er derfor ansvarlig for at kræve, at underdatabehandleren
som minimum overholder databehandlerens forpligtelser efter disse Bestemmelser
og databeskyttelsesforordningen.

5.7. Underdatabehandleraftale(r) og eventuelle senere ændringer hertil sendes
– efter den dataansvarliges anmodning herom – i kopi til den dataansvarlige,
som herigennem har mulighed for at sikre sig, at tilsvarende databeskyttelses-
forpligtelser som følger af disse Bestemmelser er pålagt underdatabehandleren.
Bestemmelser om kommercielle vilkår, som ikke påvirker det databeskyttelses-
retlige indhold af underdatabehandleraftalen, kan udelades eller anonymiseres.

5.8. Databehandleren skal i sin aftale med underdatabehandleren indføje den
dataansvarlige som begunstiget tredjemand, således at den dataansvarlige i
tilfælde af at databehandleren faktisk eller retligt set er ophørt med at
eksistere eller i tilfælde af databehandlerens konkurs, har ret til at
opsige underdatabehandleraftalen og instruere underdatabehandleren i at
slette eller tilbagelevere personoplysningerne.

5.9. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser,
forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for
opfyldelsen af underdatabehandlerens forpligtelser. Dette påvirker ikke de
registreredes rettigheder, der følger af databeskyttelsesforordningen,
herunder særligt forordningens artikel 79 og 82, over for den dataansvarlige
og databehandleren, herunder underdatabehandleren.

6. OVERFØRSEL TIL TREDJELANDE ELLER INTERNATIONALE ORGANISATIONER

6.1. Enhver overførsel af personoplysninger til tredjelande eller
internationale organisationer må kun foretages af databehandleren på baggrund
af dokumenteret instruks herom fra den dataansvarlige og skal altid ske i
overensstemmelse med databeskyttelsesforordningens kapitel V.

6.2. Hvis overførsel af personoplysninger til tredjelande eller internationale
organisationer, som databehandleren ikke er blevet instrueret i at foretage
af den dataansvarlige, kræves i henhold til EU-ret eller medlemsstaternes
nationale ret, som databehandleren er underlagt, skal databehandleren
underrette den dataansvarlige om dette retlige krav inden behandling,
medmindre den pågældende ret forbyder en sådan underretning af hensyn til
vigtige samfundsmæssige interesser.

6.3. Uden dokumenteret instruks fra den dataansvarlige kan databehandleren
således ikke inden for rammerne af disse Bestemmelser:

a) overføre personoplysninger til en dataansvarlig eller databehandler i et
tredjeland eller en international organisation
b) overlade behandling af personoplysninger til en underdatabehandler i et
tredjeland
c) behandle personoplysningerne i et tredjeland

6.4. Den dataansvarliges instruks vedrørende overførsel af personoplysninger
til et tredjeland, herunder det eventuelle overførselsgrundlag i
databeskyttelsesforordningens kapitel V, som overførslen er baseret på,
skal angives i bilag C.6.

6.5. Disse Bestemmelser skal ikke forveksles med standardkontraktsbestemmelser
som omhandlet i databeskyttelsesforordningens artikel 46, stk. 2, litra c og d,
og disse Bestemmelser kan ikke udgøre et grundlag for overførsel af
personoplysninger som omhandlet i databeskyttelsesforordningens kapitel V.

6.6. Ved ændringer i underdatabehandleres lokalitet eller ved flytning af
databehandling til et tredjeland, skal databehandleren underrette den
dataansvarlige i henhold til punkt 5.3 med mindst 14 dages varsel, og den
dataansvarlige har ret til at gøre indsigelse som beskrevet i punkt 5.4.

7. BISTAND TIL DEN DATAANSVARLIGE

7.1. Databehandleren bistår, under hensyntagen til behandlingens karakter,
så vidt muligt den dataansvarlige ved hjælp af passende tekniske og
organisatoriske foranstaltninger med opfyldelse af den dataansvarliges
forpligtelse til at besvare anmodninger om udøvelsen af de registreredes
rettigheder som fastlagt i databeskyttelsesforordningens kapitel III.

7.2. Dette indebærer, at databehandleren så vidt muligt skal bistå den
dataansvarlige i forbindelse med, at den dataansvarlige skal sikre
overholdelsen af:

a) oplysningspligten ved indsamling af personoplysninger hos den registrerede
(artikel 13)
b) oplysningspligten, hvis personoplysninger ikke er indsamlet hos den
registrerede (artikel 14)
c) indsigtsretten (artikel 15)
d) retten til berigtigelse (artikel 16)
e) retten til sletning (“retten til at blive glemt”) (artikel 17)
f) retten til begrænsning af behandling (artikel 18)
g) underretningspligten i forbindelse med berigtigelse eller sletning af
personoplysninger eller begrænsning af behandling (artikel 19)
h) retten til dataportabilitet (artikel 20)
i) retten til indsigelse (artikel 21)
j) retten til ikke at være genstand for en afgørelse, der alene er baseret
på automatisk behandling, herunder profilering (artikel 22)

7.3. I tillæg til databehandlerens forpligtelse til at bistå den
dataansvarlige i henhold til punkt 7.1., bistår databehandleren endvidere,
under hensyntagen til behandlingens karakter og de oplysninger, der er
tilgængelige for databehandleren, den dataansvarlige med:

a) den dataansvarliges forpligtelse til uden unødig forsinkelse og om muligt
senest 72 timer, efter at den dataansvarlige er blevet bekendt med det, at
anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed,
Datatilsynet, medmindre at det er usandsynligt, at bruddet på
persondatasikkerheden indebærer en risiko for fysiske personers rettigheder
eller frihedsrettigheder. Databehandleren bistår ved at tilvejebringe
nødvendige oplysninger hurtigst muligt.

b) den dataansvarliges forpligtelse til uden unødig forsinkelse at underrette
den registrerede om brud på persondatasikkerheden, når bruddet sandsynligvis
vil medføre en høj risiko for fysiske personers rettigheder og
frihedsrettigheder

c) den dataansvarliges forpligtelse til forud for behandlingen at foretage en
analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse
af personoplysninger (en konsekvensanalyse)

d) den dataansvarliges forpligtelse til at høre den kompetente tilsynsmyndighed,
Datatilsynet, inden behandling, såfremt en konsekvensanalyse vedrørende
databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af
foranstaltninger truffet af den dataansvarlige for at begrænse risikoen.

7.4. Parterne skal i bilag C angive de fornødne tekniske og organisatoriske
foranstaltninger, hvormed databehandleren skal bistå den dataansvarlige samt
i hvilket omfang og udstrækning. Det gælder for de forpligtelser, der følger
af punkt 7.1. og 7.3.

8. UNDERRETNING OM BRUD PÅ PERSONDATASIKKERHEDEN

8.1. Databehandleren underretter uden unødig forsinkelse den dataansvarlige
efter at være blevet opmærksom på, at der er sket et brud på
persondatasikkerheden.

8.2. Databehandlerens underretning til den dataansvarlige skal ske uden
unødig forsinkelse efter, at denne er blevet bekendt med bruddet, sådan at den
dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet på
persondatasikkerheden til den kompetente tilsynsmyndighed, jf.
databeskyttelsesforordningens artikel 33.

8.3. I overensstemmelse med punkt 7.3.a skal databehandleren bistå den
dataansvarlige med at foretage anmeldelse af bruddet til den kompetente
tilsynsmyndighed. Det betyder, at databehandleren skal bistå med at
tilvejebringe nedenstående information, som ifølge artikel 33, stk. 3,
skal fremgå af den dataansvarliges anmeldelse af bruddet til den kompetente
tilsynsmyndighed:

a) karakteren af bruddet på persondatasikkerheden, herunder, hvis det er
muligt, kategorierne og det omtrentlige antal berørte registrerede samt
kategorierne og det omtrentlige antal berørte registreringer af
personoplysninger

b) de sandsynlige konsekvenser af bruddet på persondatasikkerheden

c) de foranstaltninger, som den dataansvarlige har truffet eller foreslår
truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis
det er relevant, foranstaltninger for at begrænse dets mulige
skadevirkninger.

8.4. Parterne skal i bilag C angive den information, som databehandleren skal
tilvejebringe i forbindelse med sin bistand til den dataansvarlige i dennes
forpligtelse til at anmelde brud på persondatasikkerheden til den kompetente
tilsynsmyndighed.

9. SLETNING OG RETURNERING AF OPLYSNINGER

9.1. Ved ophør af tjenesterne vedrørende behandling af personoplysninger,
slettes alle personoplysninger automatisk når den dataansvarlige sletter sin
konto via Quizform-platformen, jf. Bilag C.4.2. Databehandleren bekræfter
sletningen over for den dataansvarlige, medmindre EU-retten eller
medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne.

9.2. Sletning omfatter alle kopier af data, herunder backup-kopier, med
undtagelse af backup-kopier der opbevares i henhold til databehandlerens
normale backup-procedurer. Sådanne backup-kopier skal slettes senest 90 dage
efter ophør af tjenesterne eller når de pågældende backup-generationer udløber
i henhold til normal backup-rotation, alt efter hvad der indtræffer først.

9.3. Databehandleren forpligter sig til alene at behandle personoplysningerne
til de(t) formål, i den periode og under de betingelser, som disse regler
foreskriver.

10. REVISION, HERUNDER INSPEKTION

10.1. Databehandleren stiller alle oplysninger, der er nødvendige for at
påvise overholdelsen af databeskyttelsesforordningens artikel 28 og disse
Bestemmelser, til rådighed for den dataansvarlige og giver mulighed for og
bidrager til revisioner, herunder inspektioner, der foretages af den
dataansvarlige eller en anden revisor, som er bemyndiget af den
dataansvarlige.

10.2. Procedurerne for den dataansvarliges revisioner, herunder inspektioner,
med databehandleren er nærmere angivet i Bilag C.7.

10.3. Databehandleren er forpligtet til at give tilsynsmyndigheder, som efter
gældende lovgivningen har adgang til den dataansvarliges eller databehandlerens
faciliteter, eller repræsentanter, der optræder på tilsynsmyndighedens vegne,
adgang til databehandlerens fysiske faciliteter mod behørig legitimation.

11. PARTERNES AFTALE OM ANDRE FORHOLD

11.1. Parterne kan aftale andre bestemmelser vedrørende tjenesten vedrørende
behandling af personoplysninger om f.eks. erstatningsansvar, så længe disse
andre bestemmelser ikke direkte eller indirekte strider imod Bestemmelserne
eller forringer den registreredes grundlæggende rettigheder og
frihedsrettigheder, som følger af databeskyttelsesforordningen.

12. IKRAFTTRÆDEN OG OPHØR

12.1. Bestemmelserne træder i kraft på datoen for begge parters accept eller
underskrift heraf.

12.2. Begge parter kan kræve Bestemmelserne genforhandlet, hvis lovændringer
eller uhensigtsmæssigheder i Bestemmelserne giver anledning hertil.

12.3. Bestemmelserne er gældende, så længe tjenesten vedrørende behandling af
personoplysninger varer. I denne periode kan Bestemmelserne ikke opsiges,
medmindre andre bestemmelser, der regulerer levering af tjenesten vedrørende
behandling af personoplysninger, aftales mellem parterne.

12.4. Hvis levering af tjenesterne vedrørende behandling af personoplysninger
ophører, og personoplysningerne er slettet eller returneret til den
dataansvarlige i overensstemmelse med punkt 9.1 og Bilag C.4, kan
Bestemmelserne opsiges med skriftlig varsel af begge parter.

UNDERSKRIFT

På vegne af den dataansvarlige

Navn/Firmanavn: [Udfyldes]
CVR/Org.nr.: [Udfyldes hvis relevant]
Adresse: [Udfyldes]
Kontaktperson: [Navn]
Stilling: [Udfyldes]
Telefonnummer: [Udfyldes]
E-mail: [Udfyldes]
Dato: [Udfyldes]
Underskrift: [Digital accept / fysisk underskrift]

På vegne af databehandleren

Navn: Jakob Stensig Henneberg
Stilling: Databeskyttelsesansvarlig
Telefonnummer: 26 39 39 79
E-mail:
Dato: [Udfyldes]
Underskrift: [Digital accept / fysisk underskrift]

══════════════════════════════════════════════════════════════════════════
KONTAKTPERSONER
══════════════════════════════════════════════════════════════════════════

Parterne kan kontakte hinanden via nedenstående kontaktpersoner.
Parterne er forpligtet til løbende at orientere hinanden om ændringer
vedrørende kontaktpersoner.

HOS DEN DATAANSVARLIGE:
Navn/Firmanavn: [Udfyldes]
CVR/Org.nr.: [Udfyldes hvis relevant]
Kontaktperson: [Navn]
Stilling: [Udfyldes]
Telefonnummer: [Udfyldes]
E-mail: [Udfyldes]

HOS DATABEHANDLEREN:
Navn: Jakob Stensig Henneberg
Stilling: Databeskyttelsesansvarlig
Telefonnummer: 26 39 39 79
E-mail:

══════════════════════════════════════════════════════════════════════════
BILAG A – OPLYSNINGER OM BEHANDLINGEN
══════════════════════════════════════════════════════════════════════════

A.1. FORMÅL MED DATABEHANDLERENS BEHANDLING

Databehandleren behandler personoplysninger med følgende formål:

• Registrering af deltageres aktivitet i Quizform-platformen (quizzer,
formularer, spil mv.)
• Indsamling og lagring af kontaktinformation fra deltagere
• Afgivelse af resultater fra aktiviteter til deltagere
• Eksport af data til den dataansvarliges egne systemer (CRM-database mv.)
• Berigelse af eksisterende persondata via Quizform-aktiviteter
• Teknisk formidling af data til tredjepartssystemer efter instruks fra den
dataansvarlige
• Modtagelse og visning af callback-data fra betalingsløsninger

Behandlingsgrundlag i henhold til GDPR artikel 6, stk. 1:
[Den dataansvarlige skal angive relevant grundlag, typisk:]
☐ (a) Samtykke fra den registrerede
☐ (b) Opfyldelse af kontrakt
☐ (f) Legitim interesse

Hvis legitim interesse anvendes, skal denne specificeres:
[Beskriv den legitime interesse]

A.2. BEHANDLINGENS KARAKTER

Databehandleren leverer Quizform-platformen som en Software-as-a-Service
(SaaS) løsning, der tilgås via login med kompleks adgangskode og valgfri
to-faktor autentifikation.

Hovedfunktionalitet:
• Den dataansvarlige tiltrækker nye personer via Quizform-aktiviteter og kan
eksportere indsamlede persondata fra deltagere til egen CRM-database
• Den dataansvarlige kan berige data på eksisterende personer via
Quizform-aktiviteter og efterfølgende importere opdaterede data i egen
CRM-database
• Quizform-platformen registrerer hvilke aktiviteter personen har deltaget i,
resultater i diverse spil samt kontaktinformation
• Persondata på deltagere der har afgivet deres data i forbindelse med
aktiviteter kan eksporteres af den dataansvarlige

Integration med tredjepartssystemer:
Nogle aktiviteter giver efterfølgende mulighed for at donere, blive medlem
eller fastgiver. Den dataansvarlige kan konfigurere integrationer til
tredjepartssystemer direkte i Quizform, herunder:
• Betalingsløsninger (f.eks. Collectpay fra Collectaz, Onlinefundraising)
• Marketing- og CRM-systemer (f.eks. Mailchimp, HubSpot)

VIGTIGT: Den dataansvarlige er selv ansvarlig for:
• At have gyldig databehandleraftale med tredjeparten før integration
aktiveres
• At sikre lovligt behandlingsgrundlag for videregivelsen
• At informere de registrerede om videregivelsen

Databehandleren (Quizform) agerer alene som teknisk formidler på instruks fra
den dataansvarlige ved sådan videregivelse.

Callback-funktionalitet:
Quizform modtager callback-notifikationer fra den dataansvarliges
betalingsløsninger (f.eks. Collectpay, Onlinefundraising) med information om
gennemførte transaktioner (navn, email, beløb, dato) for at vise disse i den
dataansvarliges dashboard. Disse betalingsløsninger er valgt og kontrakteret
af den dataansvarlige, som er ansvarlig for at have gyldig databehandleraftale
med dem. Quizform behandler modtagne callback-data på samme vilkår som øvrige
personoplysninger indsamlet via Quizform-platformen.

A.3. TYPER AF PERSONOPLYSNINGER

Behandlingen kan omfatte følgende kategorier af almindelige personoplysninger:

☑ Navn (fornavn og efternavn)
☑ E-mailadresse
☑ Telefonnummer
☑ Postadresse (vej, postnummer, by)
☑ Medlemsnummer / kundenummer
☑ Type af medlemskab eller giversegment
☑ Aktivitetsdata (hvilke quizzer/formularer personen har udfyldt)
☑ Resultatdata (svar og scores fra aktiviteter)
☑ Tekniske data (IP-adresse, timestamp, browser-information)
☑ Transaktionsdata fra callback (beløb, dato) – ikke komplette
betalingskortoplysninger

Følsomme personoplysninger (GDPR artikel 9):
☑ Behandlingen omfatter IKKE følsomme personoplysninger under normal drift
☐ Behandlingen kan omfatte følsomme personoplysninger efter specifik instruks
fra den dataansvarlige

Hvis følsomme personoplysninger behandles, skal den dataansvarlige sikre:
• Eksplicit samtykke eller andet lovligt grundlag i henhold til GDPR artikel
9, stk. 2
• Forhøjede sikkerhedsforanstaltninger implementeres (se Bilag C.2)

A.4. KATEGORIER AF REGISTREREDE

Behandlingen kan omfatte følgende kategorier af registrerede personer:

• Givere (nuværende og potentielle donorer)
• Medlemmer (nuværende og tidligere medlemmer)
• Dialogvenner (personer der har givet samtykke til kommunikation)
• Frivillige (aktive og tidligere frivillige)
• Interesserede personer (personer der har deltaget i aktiviteter uden
medlemskab)
• Eventdeltagere
• Kundens medarbejdere og administratorer der bruger Quizform-platformen
• Andre personer med tilknytning til den dataansvarliges formål og aktiviteter

A.5. BEHANDLINGENS VARIGHED

Databehandlerens behandling af personoplysninger på vegne af den
dataansvarlige påbegyndes ved disse Bestemmelsers ikrafttræden.

Behandlingen har følgende varighed:
☑ Indtil ophør af tjenesten (løbende abonnement)
☐ Fast periode: [Angiv periode]

Ved ophør af tjenesten følges proceduren beskrevet i punkt 9 og Bilag C.4.

══════════════════════════════════════════════════════════════════════════
BILAG B – UNDERDATABEHANDLERE
══════════════════════════════════════════════════════════════════════════

B.1. GODKENDTE UNDERDATABEHANDLERE

Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt brugen af
følgende underdatabehandlere:

┌─────────────────────────────────────────────────────────────────────────┐
│ UNDERDATABEHANDLER 1 │
├─────────────────────────────────────────────────────────────────────────┤
│ Navn: Nordicway A/S │
│ CVR-nummer: 40745769 │
│ Adresse: Ny Banegårdsgade 48, 8000 Aarhus C, Danmark │
│ │
│ Behandlingsaktivitet: Hosting af Quizform-platformen, datalagring, │
│ database-administration og backup-services │
│ │
│ Lokalitet: Tyskland (EU/EØS) │
│ Backup-lokationer: Andre EU-lande │
│ │
│ Bemærkninger: Servere placeret i Tyskland. Backup gemmes på │
│ fjernlokationer i andre EU-lande (daglig backup │
│ gemmes i 14 dage, spejlet backup gemmes i 3 │
│ måneder). Nordicway er dansk virksomhed │
│ underlagt dansk lovgivning og Datatilsynets │
│ jurisdiktion. │
└─────────────────────────────────────────────────────────────────────────┘

B.2. GENERELLE BESTEMMELSER FOR UNDERDATABEHANDLERE

Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt brugen af
ovennævnte underdatabehandler for den beskrevne behandlingsaktivitet.

Databehandleren må ikke – uden den dataansvarliges skriftlige godkendelse i
henhold til punkt 5.3 – gøre brug af:
• En underdatabehandler til en anden behandlingsaktivitet end den beskrevne
og aftalte
• En anden underdatabehandler til de beskrevne behandlingsaktiviteter

Ved ændringer eller tilføjelser til listen over underdatabehandlere gælder
proceduren beskrevet i punkt 5.3-5.4.

══════════════════════════════════════════════════════════════════════════
BILAG C – INSTRUKS VEDRØRENDE BEHANDLING AF PERSONOPLYSNINGER
══════════════════════════════════════════════════════════════════════════

C.1. BEHANDLINGENS GENSTAND / GENEREL INSTRUKS

Databehandlerens behandling af personoplysninger på vegne af den
dataansvarlige sker som beskrevet i Bilag A.

Generel instruks:
Databehandleren må kun behandle personoplysninger som led i leveringen af
Quizform-platformen og tilhørende supporttjenester, og kun i det omfang det
er nødvendigt for at opfylde den aftalte service.

Specifikke instrukser:
• Databehandleren må lagre og behandle de i Bilag A.3 angivne datatyper
• Databehandleren må eksportere data til den dataansvarlige efter dennes
anmodning
• Databehandleren må videresende data til tredjepartssystemer som konfigureret
af den dataansvarlige
• Databehandleren må modtage callback-data fra betalingsløsninger og vise
disse i den dataansvarliges dashboard
• Databehandleren må tilgå kundedata ved support-henvendelser, begrænset til
nødvendigt omfang for problemløsning
• Databehandleren må oprette og anvende anonymiseret statistik på tværs af
kunder til benchmarking, produktudvikling og markedsføring. Anonymiseringen
sikrer at hverken kunder eller individuelle personer kan identificeres.

Databehandleren må IKKE:
• Anvende personoplysningerne til egne formål eller markedsføring
• Videregive personoplysninger til tredjeparter uden for de godkendte
underdatabehandlere
• Behandle personoplysningerne efter ophør af tjenesten (undtagen backup jf.
punkt 9.2)
• Flytte databehandling til andre lokaliteter end angivet i Bilag B og C.5

C.2. BEHANDLINGSSIKKERHED

C.2.1. Risikovurdering

Behandlingen omfatter primært almindelige personoplysninger (jf. Bilag A.3)
med følgende karakteristika:

Risikofaktorer:
• Behandlingen kan omfatte profilering baseret på aktivitetsdata
• Data kan videregives til tredjepartssystemer efter kundens instruks
• Data tilgås via internetbaseret platform
• Callback-data modtages fra eksterne betalingsløsninger

Risikominimerende faktorer:
• Ingen behandling af følsomme personoplysninger under normal drift
• Stærk kryptering ved transmission og lagring
• Al data opbevares i EU (Tyskland) med fuld GDPR-beskyttelse
• Begrænset personkreds med adgang til data
• Regelmæssige sikkerhedsopdateringer
• Kun modtagelse af callback-data, ikke direkte håndtering af betalingskort

Samlet risikovurdering:
Baseret på ovenstående vurderes det samlede risikoniveau som LAV til MEDIUM
for de registreredes rettigheder og frihedsrettigheder.

Konsekvenser ved utilsigtet datadeling eller databrud vurderes som ikke værende
til væsentlig ulempe for de registrerede personer under forudsætning af, at de
angivne sikkerhedsforanstaltninger implementeres og vedligeholdes.

C.2.2. Obligatoriske sikkerhedsforanstaltninger

Databehandleren skal som minimum gennemføre følgende tekniske og
organisatoriske sikkerhedsforanstaltninger:

KRYPTERING OG TRANSMISSION:
• Kryptering ved overførsel af personoplysninger over internettet (HTTPS/TLS)
i henhold til aktuelle branchestandarder
• Kryptering af lagrede personoplysninger i henhold til aktuelle
branchestandarder
• Sikker HTTPS-forbindelse for al adgang til Quizform-platformen
• Regelmæssig opdatering af krypteringsstandarder i takt med teknologisk
udvikling og sikkerhedsanbefalinger

ADGANGSKONTROL:
• Quizform kræver login med kompleks adgangskode (minimum 8 tegn, store/små
bogstaver, tal og specialtegn) for alle brugere
• Mulighed for to-faktor autentifikation (2FA) via authenticator-app
• Automatisk logud efter 60 minutters inaktivitet
• Maksimum 5 fejlslagne loginforsøg før midlertidig blokering (15 minutter)

BACKUP OG GENOPRETTELSE:
• Automatisk daglig backup af alle personoplysninger
• Backup opbevares krypteret hos Nordicway i Tyskland og andre EU-lande
• Backup gemmes i minimum 90 dage

FYSISK SIKKERHED:
• Al databehandling foregår digitalt på Nordicways servere i Tyskland
• Ingen personoplysninger opbevares i papirform eller på databehandlerens PC’ere
• Serverfaciliteter hos Nordicway er beskyttet med fysisk adgangskontrol,
overvågning, brandslukningsanlæg og redundant strømforsyning (jf. Nordicways
ISO 27001 certificering)

KONTINUERLIG FORBEDRING:
• Databehandleren arbejder løbende med at opretholde og forbedre sikkerheden
af Quizform-platformen
• Sikkerhedsopdateringer implementeres løbende, med prioritering af kritiske
sårbarheder

C.3. BISTAND TIL DEN DATAANSVARLIGE

Databehandleren bistår den dataansvarlige ved at stille følgende
selvbetjeningsfunktioner til rådighed i Quizform-platformen:

DE REGISTREREDES RETTIGHEDER:

• Indsigtsret (artikel 15): Eksportfunktion til at udtrække data om
specifikke personer

• Ret til berigtigelse (artikel 16): Direkte redigering af oplysninger i
platformen

• Ret til sletning (artikel 17): Direkte sletning af personer i platformen
(træder i kraft umiddelbart, fjernes fra backup senest 90 dage)

• Ret til dataportabilitet (artikel 20): Eksport i CSV

• Ret til begrænsning af behandling (artikel 18): Mulighed for at markere
personer som “begrænset behandling” så data ikke eksporteres eller
videresendes

Ved tekniske problemer eller behov for assistance bistår databehandleren
inden for rimelig tid efter henvendelse.

C.4. OPBEVARINGSPERIODE / SLETTERUTINE

C.4.1. Løbende opbevaring under tjenesten

Personoplysninger opbevares i Quizform-platformen så længe tjenesten leveres,
medmindre:
• Den dataansvarlige selv sletter data via platformen
• Den dataansvarlige instruerer databehandleren i at slette specifikke data
• Data slettes automatisk i henhold til den dataansvarliges konfigurerede
opbevaringsperioder

Den dataansvarlige er selv ansvarlig for at sikre, at personoplysninger ikke
opbevares længere end nødvendigt i henhold til GDPR artikel 5, stk. 1, litra e.

C.4.2. Sletning ved ophør af tjenesten

Ved ophør af tjenesten slettes personoplysninger automatisk:

☑ Personoplysninger slettes automatisk og permanent fra produktionssystemer
når den dataansvarlige sletter sin konto via Quizform-platformen
☑ Personoplysninger fjernes fra aktive backup-systemer ved næste backup-rotation
☑ Personoplysninger i historiske backup-kopier slettes senest 90 dage efter
kontosletning

Bemærk: Sletning sker ved sikker overskrivning af data. Automatisk sletning
ved kontosletning sikrer GDPR-compliance uden manuel proces.

Den dataansvarlige kan eksportere alle data via selvbetjeningsfunktionen
(se C.3) inden kontosletning hvis ønsket.

C.5. LOKALITET FOR BEHANDLING

Behandling af personoplysninger foregår på følgende lokaliteter:

PRIMÆR DATABEHANDLING:
• Nordicways datacenter i Tyskland (jf. Bilag B, underdatabehandler 1)

ADMINISTRATIV ADGANG:
• Quizform ApS medarbejdere i Danmark via sikker HTTPS-forbindelse

Al behandling af personoplysninger foregår digitalt på Nordicways servere
i Tyskland. Databehandlerens medarbejdere har udelukkende administrativ
adgang via krypteret forbindelse – ingen personoplysninger opbevares lokalt
på medarbejderes enheder.

BACKUP-LOKATIONER:
• Fjernlokationer i andre EU-lande (specificeret i Nordicways
databehandleraftale)

Ved ændringer i behandlingslokaliteter (f.eks. ny underdatabehandler) gælder
proceduren beskrevet i punkt 5.3-5.4.

C.6. INSTRUKS VEDRØRENDE OVERFØRSEL AF PERSONOPLYSNINGER TIL TREDJELANDE

Databehandleren benytter ikke underdatabehandlere i tredjelande.

Alle personoplysninger behandles og opbevares i Tyskland hos Nordicway A/S.
Tyskland er medlem af EU/EØS, og databehandling er derfor omfattet af GDPR
uden krav om særlige overførselsgarantier.

Backup af personoplysninger opbevares i andre EU-lande i henhold til Nordicways
backup-strategi (daglig backup i 14 dage, spejlet backup i 3 måneder).

Bemærk: Den dataansvarlige kan selv vælge at konfigurere integrationer til
tredjepartssystemer (f.eks. Mailchimp, HubSpot) der kan være lokaliseret i
tredjelande. Det er den dataansvarliges ansvar at sikre lovligt
overførselsgrundlag for sådanne integrationer, og databehandleren agerer
alene som teknisk formidler på instruks fra den dataansvarlige.

C.7. PROCEDURER FOR DEN DATAANSVARLIGES REVISIONER MED DATABEHANDLEREN

C.7.1. Ret til revision

Den dataansvarlige har ret til at foretage revisioner og inspektioner af
databehandlerens overholdelse af:
• Databeskyttelsesforordningen (GDPR)
• Databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale
ret
• Disse Bestemmelser

Revisionen kan omfatte:
• Gennemgang af sikkerhedsprocedurer og -dokumentation
• Inspektion af systemer og processer
• Interview med nøglepersoner
• Test af sikkerhedsforanstaltninger (efter aftale)
• Fysisk inspektion af lokaler (efter aftale)

C.7.2. Dokumentationsrevision (standard)

Som standard stiller databehandleren følgende dokumentation til rådighed på
anmodning:
• Denne databehandleraftale med bilag
• Oversigt over implementerede sikkerhedsforanstaltninger (punkt C.2)
• Liste over medarbejdere med adgang til personoplysninger
• Kopi af underdatabehandleraftaler (kommercielle vilkår kan anonymiseres)
• Eventuelle sikkerhedscertificeringer fra underdatabehandlere

Responstid: Inden for rimelig tid, normalt 2-3 uger efter anmodning
Omkostninger: Ingen omkostninger for den dataansvarlige ved første anmodning
årligt

C.7.3. Yderligere assistance

Ved behov for yderligere dokumentation eller teknisk gennemgang ud over
punkt C.7.2, kan dette aftales mellem parterne.

Da al databehandling foregår på Nordicways servere i Tyskland, kan den
dataansvarlige kontakte Nordicway direkte for inspektion af datacentre.
Databehandleren faciliterer kontakt ved behov.

══════════════════════════════════════════════════════════════════════════
BILAG D – VERSIONSOVERSIGT OG ÆNDRINGSLOG
══════════════════════════════════════════════════════════════════════════

┌─────────────────────────────────────────────────────────────────────────┐
│ VERSION 1.0 (AKTUEL) │
├─────────────────────────────────────────────────────────────────────────┤
│ Dato: [Indsættes ved ikrafttræden] │
│ Status: Gældende │
│ │
│ Første version af databehandleraftalen mellem Quizform ApS og kunder. │
└─────────────────────────────────────────────────────────────────────────┘

FREMTIDIGE ÆNDRINGER:

Alle fremtidige ændringer til denne databehandleraftale skal dokumenteres i
dette bilag med følgende information:
• Versionsnummer
• Ikrafttrædelsesdato
• Beskrivelse af ændringer
• Årsag til ændring
• Hvem der har godkendt ændringen (begge parter)

Ved væsentlige ændringer skal den dataansvarlige aktivt acceptere den nye
version.
Ved mindre ændringer (f.eks. kontaktoplysninger) kan den dataansvarlige
underrettes med 14 dages varsel.

══════════════════════════════════════════════════════════════════════════
AFSLUTNING
══════════════════════════════════════════════════════════════════════════

Dette dokument med tilhørende bilag udgør den komplette databehandleraftale
mellem parterne.

Aftalen træder i kraft ved begge parters accept/underskrift og forbliver
gældende så længe databehandleren leverer Quizform-platformen til den
dataansvarlige.

Ved digital accept via Quizform-platformens signup-flow, logges følgende
information automatisk:
• Den dataansvarliges firmanavn og CVR-nummer
• Navn og email på person der accepterer på vegne af den
dataansvarlige
• Timestamp for accept (ISO 8601 format med tidssone)
• IP-adresse ved accept
• Versionsnummer af denne aftale (1.0)
• SHA-256 hash af det accepterede dokument

En kopi af denne aftale med den dataansvarliges udfyldte oplysninger
fremsendes automatisk på email til både den dataansvarlige og databehandleren
umiddelbart efter accept.

═══════════════════════════════════════════════════════════════════════════
SLUTNING PÅ DATABEHANDLERAFTALE VERSION 1.0
═══════════════════════════════════════════════════════════════════════════