Databehandlingsappendiks

Senest opdateret: 21. marts 2023

Dette Databehandlingsappendiks (“Data Processing Addendum - DBA”) mellem dig, som bruger, og det selskab eller anden forretningsenhed, du eventuelt repræsenterer (fremover “Kunden”) og VistaPrints kontraktpart, som angivet i Aftalen ("VistaPrint"), er inkorporeret og udgør en del af betingelserne for brug af de forskellige VistaPrint-Tjenester, som nu og da ændres (samlet kaldet “Aftalen”). Dette DBA gælder i de tilfælde og det omfang, hvor VistaPrint optræder som Databehandler eller Tjenesteudbyder (hvor det er relevant) i forhold til Personlige oplysninger på vegne af Kunden under Aftalen. Dette DBA er gældende og erstatter alle tidligere gældende betingelser fra og med Aftalens Startdato og er gældende, indtil Aftalen opsiges.

1. DEFINITIONER

“Godkendt land” betyder, afhængigt af kontekst, (i) lande, hvor EU's GDPR er gældende, det Europæiske Økonomiske Samarbejdsområde (“EØS”) eller et land eller område, som Europa-Kommissionen vurderer har et tilstrækkeligt højt databeskyttelsesniveau; (ii) hvor Storbritanniens GDPR er gældende, i Storbritannien eller et land eller område anerkendt som tilstrækkeligt datasikret i henhold til Sektion 17A af Storbritanniens Data Protection Act 2018 med tilføjelser og opdateringer; og (iii) hvor schweizisk FADP med tilføjelser og opdateringer er gældende, i Schweiz eller i lande eller områder udenfor Schweiz, som er anerkendt som tilstrækkeligt datasikret af Kommissæren for Føderal Databeskyttelse og Informationssikkerhed.

“Forretningsøjemed” betyder det begrænsede formål, specifikt angivet i Bilag I, med hvilket VistaPrint modtager eller tilgår Personlige oplysninger.

“Databeskyttelseslov” betyder alle relevante databeskyttelses- og persondatalove og -regler gældende for en part, herunder, men ikke begrænset til, hvor det er relevant, EU's Databeskyttelseslove, USA's Databeskyttelseslove, samt anden statslig eller national databeskyttelse, privatlivssikring eller datasikkerhed, i alle tilfælde i opdateret udgave.

“Slutbrugeres Personlige oplysninger” betyder Personlige oplysninger vedrørende besøgende og brugere af Kundens tjenester, som behandles af VistaPrint på Kundens vegne for at kunne levere tjenesterne.

“EU's databeskyttelseslov” betyder (i) Europaparlamentet og Rådets Forordning 2016/679 om beskyttelse af personer i forhold til behandling af personlige oplysninger og om fri bevægelighed af data, som erstatter direktiv 95/46/EC (General Data Protection Regulation eller "EU GDPR"), (ii) GDPR som inkorporeret i Storbritanniens lovgivning i henhold til sektion 3 af EU's (Tilbagetræknings-)lov af 2018 ("UK GDPR"); (iii) den schweiziske Føderale Lov om Databeskyttelse af 19. juni 1992 og dens ordinanser ("FADP"); (iv) EU-direktiv 2002/58/EF om Privatliv og Elektronisk kommunikation; og (v) enhver lov i EU-medlemsstater eller Storbritannien, som omhandler punkterne (i) - (iii); i alle tilfælde i opdateret udgave.

“Personlige oplysninger”, “Dataemne”, “Behandle” eller “Behandling”, “Inspektør” og “Databehandler” har den betydning, som er brugt i gældende Databeskyttelseslov, eller, hvis ikke defineret deri, i GDPR, og termerne “Forretning” og __“Tjenesteudbyder”__har de betydninger, som de har fået i CCPA.

“Tjenester” betyder de forskellige tjenester, som VistaPrint tilbyder Kunden på hjemmesiden i de tilfælde og det omfang, hvor VistaPrint optræder som Databehandler eller Tjenesteudbyder (hvor det er relevant) på vegne af Kunden under den relevante Aftale, herunder, men ikke begrænset til, ProAdvantage Program Agreement og Brugsbetingelser for ProShop.

“Standardkontraktparagraffer” eller “Standard Contractual Clauses - SCC” betyder, (i) hvor EU's GDPR og/eller schweizisk FADP er gældende, EU's standardkontraktparagraffer som godkendt af Europakommissionen (EU) 2021/914 af 4. juni 2021 (“EU's SCC”); og (ii) hvor Storbritanniens GDPR er gældende, EU's SCC som aftalt i Det internationale datatrafikappendiks til EU-Kommissionens standardkontraktparagraffer udstedt af den britiske informationskommissionærs kontor (“UK Addendum”), i alle tilfælde i opdateret udgave. EU's SCC og UK Addendum er inkorporeret som referencer og udgør en integreret del af dette DBA.

“Underdatabehandler” betyder enhver enhed ansat af VistaPrint, herunder Tilknyttede virksomheder, til at assistere med at udføre forpligtelser i henhold til Aftalen eller dette DBA.

“Bedømmelse af risiko ved overførsel” betyder de ekstra garantier, som supplerer de garantier, som SCC og UK Addendum stiller.

“USA's Databeskyttelseslove” betyder alle gældende love og regler under en hvilken som helst jurisdiktion i USA omhandlende privatliv, databeskyttelse eller datasikkerhed (i alle tilfælde i opdateret udgave), inklusive, uden begrænsninger, hvor det er relevant, Californisk Forbrugerprivatlivslov, som vedtaget i Californisk Privatlivslov sammen med regulationer bekendtgjort deri (samlet CCPA; Virginias Forbrugerdatabeskyttelseslov; Colorados Privatlivslov; Connecticuts Databeskyttelseslov og Utahs Forbrugerprivatlivslov.

Andre termer med stort begyndelsesbogstav, som ikke er defineret i dette DBA, har den betydning, de er givet i Aftalen.

2. ROLLER OG OMFANG AF BEHANDLING

2.1. Parternes rolle. Parterne er enige om, at i forhold til Behandling af Slutbrugeres Personlige oplysninger under dette DBA, optræder Kunden som Datainspektør eller Virksomhed (når relevant), og VistaPrint optræder som Databehandler og Tjenesteudbyder (når relevant).

Kunden anerkender, at VistaPrint agerer som uafhængig Datainspektør i forhold til Personlige oplysninger indsamlet direkte fra kunder eller besøgende igennem forbrugerrettede apps og tjenester.

2.2. Behandlingens omfang. Alle parter skal overholde alle relevante Databeskyttelseslove og deres forpligtelser i henhold til Aftalen og dette DBA i forhold til Behandling af Slutbrugeres Personlige oplysninger som beskrevet i Bilag I. Uden at begrænse førnævnte skal VistaPrint yde samme niveau af persondatabeskyttelse som det kræves af Virksomheder (som defineret af CCPA) under CCPA.

3. PARTERNES FORPLIGTELSER

3.1. Kundens forpligtelser. Ved brug af Tjenester fra VistaPrint:

(i) sikrer og dokumenterer Kunden, at de har givet varsel til Dataemner, har sikret lovligt grundlag og indhentet alle nødvendige tilsagn i henhold til gældende Databeskyttelseslov, således at VistaPrint og Underdatabehandlere kan behandle Slutbrugeres Personlige oplysninger på deres vegne og desuden sikre Tjenester i henhold til Aftalen, herunder dette DBA.

(ii) Kunden er alene ansvarlig for rigtigheden og kvaliteten af Slutbrugeres Personlige oplysninger som leveret og for lovligheden af midlerne, hvormed Kunden fremskaffer, deler og behandler Slutbrugeres Personlige oplysninger. Kunden er alene ansvarlig for at overholde gældende Databeskyttelseslov i forhold til enhver uafhængig indsamling og behandling af Personlige oplysninger, som ikke er relevante for Tjenesten.

(iii) Kunden giver instruks til VistaPrint om at behandle Slutbrugeres Personlige oplysninger på deres vegne i henhold til dette DBA og skal sikre, at deres instrukser er i overensstemmelse med gældende Databeskyttelseslove. Dette DBA og Aftalen udgør Kundens fuldstændige og endelige instruks til VistaPrint.

Yderligere instrukser uden for Aftalen eller dette DBA's rammer skal aftales separat og skriftligt, med angivelse af eventuelle ekstragebyrer, som Kunden skal betale VistaPrint for at udføre sådanne instrukser.

3.2. VistaPrints forpligtelser. For at overholde Behandlingen af Slutbrugerens Personlige oplysninger skal VistaPrint:

(i) udelukkende Behandle Slutbrugeres Personlige oplysninger i Forretningsøjemed og i henhold til Kundens instrukser, så vidt som disse instrukser er i overensstemmelse med Aftalen og dette DBA;

(ii) håndtere Slutbrugeres Personlige oplysninger som fortrolig information og kun Behandle dem i det omfang og på en sådan måde, som er nødvendig for at udføre de i Aftalen angivne forpligtelser og med de formål, som er yderligere specificeret i Bilag I nedenfor. VistaPrint må ikke Behandle Slutbrugeres Personlige oplysninger med noget andet formål, medmindre VistaPrint er lovligt forpligtet hertil. I sådanne tilfælde skal VistaPrint skriftligt informere Kunden om lovkravet forud for Behandlingen, medmindre loven forbyder dette med henvisning til offentlighedens interesse;

(iii) assistere Kunden med at sikre overholdelse af forpligtelser i henhold til gældende Databeskyttelseslove, hvilket kan omfatte, men ikke er begrænset til, at udføre ønskede vurderinger af påvirkning af privatliv eller forudgående rådføring med de relevante databeskyttelsesmyndigheder ved Kundens rimelige anmodning herom;

(iv) informere Kunden, hvis de mener, at Kundens Behandlingsinstrukser krænker gældende databeskyttelseslove. I sådanne tilfælde forbeholder VistaPrint sig retten til at standse Behandlingen af Slutbrugeres Personlige oplysninger, indtil Kunden har udsendt nye instrukser, og VistaPrint er ikke erstatningspligtig overfor Kunden for ikke at udføre Tjenester som anført i Aftalen i dette tidsrum;

(v) sikre, at alle ansatte og Underdatabehandlere, som har adgang til Slutbrugeres Personlige oplysninger, er underlagt passende fortrolighedskrav;

(vi) oplyse Kunden om enhver bestemmelse, som hindrer overholdelse af deres forpligtelser i henhold til dette DBA eller Databeskyttelseslove;

(vii) straks give Kunden besked om forespørgsler fra Dataemner eller myndigheder i forbindelse med Behandlingen af Slutbrugeres Personlige oplysninger, således at Kunden kan reagere på forespørgslen; samt

(viii) hvis Kunden inden for rimelighedens grænser beder om det, straks yde samarbejde og assistance i forhold til at opfylde forpligtelser i henhold til Databeskyttelseslove i forbindelse med forespørgsler fra Dataemner eller fra relevante statslige organer eller myndigheder.

I det omfang det er lovligt i henhold til gældende databeskyttelseslovgivning, må VistaPrint benytte aggregerede og anonymiserede data hentet fra Slutbrugeres Personlige oplysninger ("Anonymiserede data") internt for at opbygge og forbedre kvaliteten af Tjenester, forudsat at de Anonymiserede data ikke udgør Personlige oplysninger i henhold til gældende Databeskyttelseslove.

3.3. VistaPrints ikke-tilladte Behandlingsaktiviteter. VistaPrint må ikke:

(i) Sælge eller Dele (som defineret i CCPA) Slutbrugeres Personlige oplysninger eller beholde, anvende eller afsløre Slutbrugeres Personlige oplysninger med noget Kommercielt Formål (som defineret af CCPA) eller udenfor den direkte forretningsrelation med Kunden og i givet fald kun med Kundens forudgående skriftlige tilladelse; og

(ii) blande eller kombinere Slutbrugeres Personlige oplysninger med egne data eller data tilhørende tredjepart, udover i det omfang det er strengt nødvendigt for at levere Tjenesterne.

VistaPrint certificerer, at de forstår og vil overholde restriktionerne for anvendelse af Slutbrugeres Personlige oplysninger i forbindelse med Tjenesterne fremsat i dette DBA.

4. DATAEMNETS RETTIGHEDER

I det omfang VistaPrint er i stand til det og i overensstemmelse med gældende lovgivning skal VistaPrint under hensyntagen til den relevante Behandlings art yde rimelig assistance til Kunden i forhold til at svare på forespørgsler fra Dataemner, som ønsker at udøve deres rettigheder under gældende Databeskyttelseslove. Kunden skal dække alle VistaPrints udgifter i forbindelse med sådan assistance. Hvis sådanne forespørgsler rettes direkte til VistaPrint, skal VistaPrint informere Kunden, medmindre VistaPrint er lovmæssigt forhindret heri, og Kunden er alene ansvarlig for besvarelse af en sådan forespørgsel. VistaPrint er ikke ansvarlig for oplysninger givet til Kunden i god tro i henhold til denne Sektion.

5. UNDERDATABEHANDLERE

5.1. Generel autorisation. Kunden giver hermed VistaPrint en generel autorisation til at ansætte Underdatabehandlere (inklusive deres tilknyttede virksomheder) til at behandle Slutbrugeres Personlige oplysninger for at kunne levere den pågældende Tjeneste og opfylde forpligtelserne i Aftalen og dette DBA. VistaPrint skal ifølge fortrolighedsbestemmelserne i Aftalen og efter forudgående forespørgsel fra Kunden kunne vise Kunden en liste over de Underdatabehandlere, som de ansætter.

5.2. Ansvar. VistaPrint skal i essensen lade de samme kontraktlige forpligtelser gælde for sine Underdatabehandlere som de, der gælder for VistaPrint ifølge dette DBA, i det omfang, det er relevant i forhold til arten af tjenester leveret af den enkelte Underdatabehandler.

5.3. Klageret for nye Underdatabehandlere. Når VistaPrint hyrer nye Underdatabehandlere, skal VistaPrint varsle Kunden herom, så snart det er praktisk muligt, hvis og i det omfang det sker i forbindelse med de relevante Tjenester.

5.3.1. Kunden kan skriftligt gøre indsigelse mod VistaPrint´s udnævnelse eller udskiftning af en underdatabehandler inden for en periode på ti (10) arbejdsdage fra modtagelsen af meddelelsen baseret på rimelige grunde vedrørende gældende databeskyttelseslove. I sådanne tilfælde kan VistaPrint efter eget skøn vælge at gøre en kommerciel rimelig indsats (men er ikke forpligtet til det) for at stille en alternativ løsning til rådighed for dig for at undgå, at den nye eller udskiftede underdatabehandler behandler slutbrugernes personlige data. Indtil VistaPrint træffer en beslutning om Kundens indsigelse, kan VistaPrint være forpligtet til midlertidigt at suspendere behandlingen af de relaterede Personlige Slutbrugerdata, herunder, hvis det er nødvendigt i denne sag, suspendere eller begrænse adgangen til Kundens Konto eller suspendere eller begrænse visse funktioner i de Tjenester, der tilbydes Kunden. Hvis VistaPrint med rimelighed er i stand til at levere tjenesterne til kunden i overensstemmelse med aftalen uden at bruge underdatabehandleren og beslutter efter eget skøn at gøre dette, vil kunden ikke have yderligere rettigheder i henhold til dette afsnit med hensyn til den foreslåede brug af underdatabehandleren.

5.3.2. Hvis VistaPrint efter eget skøn kræver brug af underdatabehandleren og ikke er i stand til at imødekomme kundens indsigelse vedrørende den foreslåede brug af den nye eller erstatningsunderdatabehandler inden for tredive (30) dage fra modtagelsen af din gyldige begrundede indsigelse, kan kunden opsige den gældende aftale med virkning fra den dato, hvor VistaPrint begynder at bruge en sådan ny eller erstatningsunderdatabehandler udelukkende med hensyn til de tjenester, der vil bruge den foreslåede nye underdatabehandler til behandling af personoplysninger, ved at give skriftlig meddelelse til VistaPrint. En sådan opsigelse vil ikke berøre eventuelle gebyrer, som kunden har pådraget sig før opsigelsen af de berørte tjenester, og kunden vil ikke have yderligere krav mod VistaPrint i forbindelse med opsigelsen af de berørte tjenester.

5.3.3. Hvis kunden ikke skriftligt gør indsigelse mod VistaPrint´s udnævnelse af en ny underdatabehandler inden for ti (10) arbejdsdage fra modtagelsen af meddelelsen, accepterer kunden, at det vil blive anset for at have givet sit samtykke til den nye underdatabehandler.

5.4. Ansvar. VistaPrint forbliver ansvarlig for ethvert brud på denne DPA forårsaget af en handling eller undladelse fra dets underdatabehandleres side i samme omfang som VistaPrint er ansvarlig for sine egne, medmindre andet er fastsat i aftalen.

6. INTERNATIONALE DATAOVERFØRSLER

6.1. Generelt. Som en del af de leverede Tjenester autoriserer Kunden VistaPrint, deres tilknyttede virksomheder og deres Underdatabehandlere til at opbevare, Behandle og overføre Slutbrugeres Personlige oplysninger alle steder i verden, hvor VistaPrint, deres Tilknyttede virksomheder eller Underdatabehandlere udfører databehandlingsaktiviteter. Hvis Personlige oplysninger fra EU, Storbritannien eller Schweiz sendes ud af EØS, Storbritannien eller Schweiz, skal VistaPrint kun tillade Behandlingen af Personlige oplysninger fra EU, Storbritannien eller Schweiz, hvis en af følgende betingelser er opfyldt:

a) De Personlige oplysninger fra EU, Storbritannien eller Schweiz overføres til et Godkendt land; eller

b) Standardkontraktparagrafferne og Vurderingen af risiko ved overførsel er etableret mellem VistaPrint og Kunden og/eller mellem VistaPrint og Underdatabehandleren, hvis relevant.

6.2. Overførsel af Personlige oplysninger i EU. I det omfang Personlige oplysninger overføres fra et EØS-område, hvor GDPR er styrende for den internationale del af overførslen, kan EU's SCC udgøre en del af dette DBA, og de anses for opfyldt som følger:

(i) Modul to-betingelser (Inspektør til Databehandler) skal finde anvendelse i tilfælde, hvor Kunden er Inspektør og dataeksportør af Personlige oplysninger, og VistaPrint er Databehandler og dataimportør i forbindelse med de pågældende Personlige oplysninger.

(ii) Modul tre-betingelser (Databehandler til Databehandler) skal finde anvendelse i tilfælde, hvor Kunden er Inspektør og dataeksportør af Personlige oplysninger, og VistaPrint er Databehandler og dataimportør i forbindelse med de pågældende Personlige oplysninger.

(iii) Paragraf 7 (a)-(c) er gældende;

(iv) Paragraf 9, Option 2 er gældende, og fristen for forudgående varsel om skifte af Underdatabehandler skal være i overensstemmelse med varslingsproceduren som angivet i Underdatabehandlers forpligtelser i dette DBA.

(v) Paragraf 11 vil ikke være gældende;

(vi) Paragraf 17, Option 1 er gældende, og EU's SCC er underordnet loven som specificeret i Aftalen, forudsat at den pågældende lov er fra et EU-medlemsland, og anerkender tredjeparters begunstigelsesrettigheder. I øvrige tilfælde vil hollandsk lovgivning være gældende;

(vii) Paragraf 18 (b), tvister skal løses ved domstole som angivet i Aftalen, forudsat at disse domstole befinder sig i et EU-medlemsland. I øvrige tilfælde skal de løses ved Hollands domstole. Under alle omstændigheder skal Paragraf 17 og 18 (b) være konsistente i forhold til at valg af forum, og jurisdiktionen skal stemme overens med gældende lovgivning;

(viii) Bilagene til EU's SCC tilføjes relevant information oplyst i Bilag I, Bilag II og Bilag III til dette DBA; samt

(ix) Såfremt og i det omfang EU's SCC er i konflikt med nogen bestemmelse i dette DBA, vil EU's SCC gældende.

6.3. Overførsel af Personlige oplysninger i Storbritannien. I det omfang Personlige oplysninger overføres fra et EØS-område, hvor GDPR er styrende for den internationale del af overførslen, kan EU's SCC, refereret i Sektion 6.2 ovenfor, anvendes sammen med UK Addendum, og vil anses som værende opfyldt som følger:

(i) Tabellerne 1 til 3 i Del 1 af UK Addendum skal anses for opfyldt med den information, som findes i Bilagene til dette DBA;

(ii) Tabel 4 i Del 2 af UK Addendum skal anses som værende opfyldt ved at vælge “importør”; og

(iii) Enhver konflikt mellem EU's SCC og UK Addendum skal løses i henhold til Sektion 10 og 11 i UK Addendum.

6.4. Overførsel af Personlige oplysninger i Schweiz. I det omfang Personlige oplysninger overføres fra Schweiz på en måde, som udløser forpligtelser hørende under schweizisk Føderal Lov om Databeskyttelse ("FADP"), skal EU's SCC anvendes for disse overførsler, og de skal anses for at være modificeret på en sådan måde, at de inkorporerer relevante referencer og definitioner, således at EU's SCC er et passende værktøj for sådanne overførsler i henhold til FADP, inklusive, men ikke begrænset til, følgende:

(i) Kompetent tilsynsmyndighed i Bilag I.C af EU's SCC i henhold til Paragraf 13 er den Schweiziske Kommissær for Føderal Databeskyttelse og Informationssikkerhed;

(ii) Gældende lov for kontraktlige krav i henhold til Paragraf 17 af EU's SCC er schweizisk lov eller loven i et land, som tillader og tildeler rettigheder som tredjepartsbegunstiget;

(iii) Termen "medlemsstat" brugt i EU's SCC skal ikke tolkes således, at den udelukker Dataemner i Schweiz fra at lægge sag an i forbindelse med deres rettigheder i deres hjemland (Schweiz) i overensstemmelse med Paragraf 18(c); og

(iv) EU's SCC beskytter også juridiske enheders data, indtil den reviderede FADP træder i kraft.

6.5. Yderligere sikkerhedstiltag. I det omfang VistaPrint behandler Personlige oplysninger for Dataemner, som befinder sig i eller er underlagt gældende Databeskyttelseslove for EØS, Storbritannien eller Schweiz, har VistaPrint indført en række yderligere sikkerhedstiltag i forhold til overførsel af Personlige oplysninger fra disse jurisdiktioner. VistaPrint har udført en Vurdering af risiko ved overførsel, som videregives til Kunden efter skriftlig anmodning på e-mailadressen [email protected].

7. DATASIKKERHED OG UNDERRETNING OM BRUD

7.1. Sikkerhedsforanstaltninger. VistaPrint har indført og vil fortsat operere med passende tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte Slutbrugeres Personlige oplysninger mod uautoriseret eller ulovlig Behandling samt utilsigtet tab eller ændring ("Sikkerhedshændelse"). Specifikt har VistaPrint implementeret tekniske og organisatoriske tiltag som anført i Bilag II.

7.2. Underretning om brud på datasikkerheden. Såfremt VistaPrint bliver gjort bekendt med en Sikkerhedshændelse, som påvirker Slutbrugeres Personlige oplysninger, skal VistaPrint straks foretage rimelige skridt for at underrette Kunden herom, samt:

(i) udstyre Kunden med de oplysninger om Sikkerhedshændelsen, som det er rimeligt at dele med Kunden i forhold til arten af Tjenester, information, der er tilgængelig for VistaPrint og eventuelle restriktioner i forhold til at afsløre informationen, såsom fortrolighed.

(ii) På Kundens foranledning skaffe rimelig assistance i forhold til at sætte Kunden i stand til at underrette relevante myndigheder eller berørte Dataemner som krævet ifølge gældende Databeskyttelseslove.

En Sikkerhedshændelse omfatter ikke fejlslagne forsøg eller aktiviteter, som ikke kompromitterer sikkerheden for Slutbrugernes Personlige oplysninger. VistaPrints underretning om eller respons på en Sikkerhedshændelse er ikke en anerkendelse af fejl eller af erstatningspligt i forbindelse med Sikkerhedshændelsen.

8. REVISIONER

8.1. Revisionsrapporter. På kundens skriftlige foranledning med rimelige intervaller (ikke oftere end en gang om året) og underlagt fortrolighedskrav skal VistaPrint levere en kopi af VistaPrints seneste referater af revisioner udført af tredjeparter, certifikater eller rapporter, hvor det er relevant. Parterne er enige om, at Kundens rettigheder i forhold til revisioner som beskrevet i gældende Databeskyttelseslove er opfyldt ved VistaPrints fremvisning af sådanne referater og/eller rapporter.

8.2. Revision foretaget af tilsynsmyndighed. VistaPrint skal give Kunden rimelig adgang til dokumentation og systemer i tilfælde af revision foranlediget af statsligt organ eller tilsynsmyndighed med ansvar for overholdelse af gældende Databeskyttelseslove.

8.3. Fortrolig information. Alle oplysninger udleveret af VistaPrint i henhold til denne Sektion 8 er at betragte som fortrolig information. VistaPrint er ikke forpligtet til at afsløre forretningshemmeligheder, herunder algoritmer, kodning, handelshemmeligheder eller lignende information.

9. SLETNING AF DATA

Parterne er enige om, at ved DBA's ophør eller på Kundens skriftlige anmodning skal VistaPrint og eventuelle Underbehandlere destruere alle Slutbrugernes Personlige oplysninger og kopier heraf, så snart det er rimeligt udførligt i overensstemmelse med Aftalens betingelser og gældende lovgivning. Uagtet førnævnte kan VistaPrint beholde alle eller dele af Slutbrugeres Personlige oplysninger, såfremt det er krævet i henhold til Aftalen eller gældende love eller regler (herunder gældende Databeskyttelseslove), forudsat at disse Slutbrugeres Personlige oplysninger fortsat er beskyttet i overensstemmelse med betingelserne i dette DBA og gældende Databeskyttelseslove.

10. DIVERSE

10.1. Hierarki. I tilfælde af uoverensstemmelser eller konflikter mellem bestemmelserne i dette DBA og bestemmelserne i Aftalen, er det bestemmelserne i dette DBA, som er gældende, i det omfang konflikten optræder i forbindelse med Behandling af Slutbrugeres Personlige oplysninger. I det omfang der er en konflikt mellem Standardkontraktparagrafferne (hvor det er relevant) og dette DBA eller Aftalen, er det Standardkontraktparagrafferne, som er gældende.

10.2. Opdateringer til DBA. VistaPrint kan opdatere dette DBA efter behov og vil lægge den nyeste version på hjemmesiden. Alle sådanne ændringer eller opdateringer træder i kraft, når de er lagt ud på siden. Ved at fortsætte med at gøre brug af Tjenesterne, efter opdateringerne er trådt i kraft, accepterer Kunden at være omfattet af det opdaterede DBA.

10.3. Gældende lov. Dette DBA er underlagt og udlagt i overensstemmelse med gældende lovgivning og jurisdiktionsbestemmelser i Aftalen, medmindre andet er krævet i henhold til gældende Databeskyttelseslove.

10.4. Ansvarsbegrænsning. Alle aktiviteter omfattet af dette DBA (inklusive al Behandling af Slutbrugeres Personlige oplysninger) er underlagt gældende ansvarsbegrænsninger som angivet i Aftalen.

10.5 Kontakt. Alle spørgsmål angående dette DBA skal adresseres til Databeskyttelsesrådgiveren på [email protected]. VistaPrint vil søge at løse eventuelle klager over brugen af Slutbrugeres Personlige oplysninger i overensstemmelse med dette DBA og Aftalen.

BILAG I - BESKRIVELSE AF BEHANDLING/OVERFØRSEL

A. LISTE OVER PARTER

Dataansvarlig(e):

  • Navn: Enhed identificeret som "Kunden" eller navn som angivet på Kundens konto.
  • Adresse: Kundens faktureringsadresse som angivet på Kundens konto.
  • Kontaktpersonens navn, stilling og kontaktoplysninger: Kontaktinformationer som angivet på Kundens konto.
  • Aktiviteter, der er relevante for overførte data i henhold til disse Paragraffer: Alle aktiviteter, der er relevante for at benytte Tjenester, som VistaPrint yder i forbindelse med Aftalen.
  • Underskrift og dato: Ved at acceptere dette DBA anses dataeksportør for at have underskrevet Standardkontraktparagraffer og Bilag, som indgår heri fra og med DBA's startdato.
  • Rolle (inspektør/databehandler): Inspektør

Databehandler(e):

  • Navn: VistaPrints kontraktpart i henhold til Aftalen.
  • Adresse: VistaPrints kontraktparts adresse i henhold til Aftalen.
  • Kontaktpersonens navn, stilling og kontaktoplysninger: [email protected].
  • Aktiviteter, der er relevante for overførte data i henhold til disse Paragraffer: Behandling af Personlige oplysninger i forbindelse med Kundens brug af VistaPrints Tjenester.
  • Underskrift og dato: Ved at acceptere dette DBA anses dataimportør for at have underskrevet Standardkontrakparagraffer og Bilag, som indgår heri, fra og med DBA's startdato.
  • Rolle (inspektør/databehandler): Databehandler

B. BESKRIVELSE AF OVERFØRSEL

Kategorier af dataemner: Dataemner kan omfatte, men er ikke begrænset til:

  • Slutbrugere (personer), såsom eksisterende og fremtidige kunder, klienter eller besøgende, som er brugere af Kundens tjenester.
  • Kundens nuværende, tidligere eller fremtidige repræsentanter, ansatte, kandidater, agenter, konsulenter, freelancere, forretningsforbindelser, underleverandører og/eller samarbejdspartnere (personer).
  • Tredjeparts-individer, som Kunden beslutter at hyre via Tjenesten.

Kategorier af personlige oplysninger: Personlige oplysninger overdraget i det omfang og af en sådan art som fastlagt af Inspektør efter skøn.

Følsomme oplysninger, der er overført (hvis relevant) og underlagt restriktioner eller sikkerhedsforanstaltninger: Parterne forventer ikke overførsel af følsomme oplysninger.

Overførslens frekvens: Kontinuerlig basis afhængig af omfanget af Kundens brug af Tjenester.

Behandlingens art: Udførelse af Tjenesterne i henhold til Aftalen.

Formål(et) med dataoverførslen og videre behandling: Vi vil muligvis bruge dine Personlige oplysninger til de følgende formål (og opgaver relateret til disse formål), alle i overensstemmelse med Aftalen og på en passende måde, som sikrer respekt for dine Personlige oplysninger som Slutbruger:

  • At levere Tjenesterne til dig;
  • At udføre dine instrukser;
  • At udføre og håndhæve Aftalen og dette DBA;
  • At forsvare vores rettigheder;
  • At forhindre, efterforske og videreformidle datasikkerhedsrisiko og sikkerhedshændelser, bedrageri og/eller illegale eller ulovlige aktiviteter;
  • At overholde gældende love og regler

Det tidsrum, som de Personlige oplysninger opbevares i, eller, hvis dette ikke er muligt,de kriterier, som benyttes til at afgøre dette tidsrum: VistaPrint opbevarer Personlige oplysninger indtil Aftalens ophør i henhold til Sektion 9 af DBA, medmindre andet er fastlagt i Aftalen.

For overførsler til (under)databehandelere specificeres behandlingens kategori, art og varighed: Underdatabehandlere behandler Personlige oplysninger i det omfang, det er nødvendigt, for at udføre Tjenesterne i henhold til Aftalen og i den periode, Aftalen er gældende, medmindre andet er aftalt skriftligt.

C. KOMPETENT TILSYNSMYNDIGHED

Angiv de(n) kompetente tilsynsmyndighed(er) i henhold til Paragraf 13: De hollandske databeskyttelses-myndigheder, medmindre andet er krævet i henhold til Sektion 6 af DBA.

BILAG II - TEKNISKE OG ORGANISATORISKE TILTAG, HERUNDER TEKNISKE OG ORGANISATORISKE TILTAG I FORHOLD TIL DATASIKKERHED

VistaPrint benytter sig i øjeblikket af tekniske og organisatoriske sikkerhedstiltag for at sikre graden af beskyttelse, fortrolighed og integritet i forhold til Personlige oplysninger. Bemærk, at VistaPrint må ændre denne praksis efter eget ønske og behov. Ingen eventuelle ændringer må materielt forringe den overordnede sikkerhed for og beskyttelse af Personlige oplysninger.

1- Hindring af uautoriserede personers adgang til systemer, som behandler eller bruger Personlige oplysninger (fysisk adgangskontrol), især ved følgende tiltag:

  • Adgangskontrol til kritiske eller følsomme områder
  • Hændelseslogning
  • Automatiserede adgangssystemer
  • ID- eller chipkortlæsere
  • Sikkerhedskurser

2- Hindring af, at databehandlingssystemer benyttes uautoriseret (logisk adgangskontrol), især ved følgende tiltag:

  • Netværksenheder såsom systemer til registrering af indtrængen, routere og firewalls.
  • Sikkert login med unikt bruger-id/adgangskode, herunder krav til adgangskoders kompleksitet og multifaktorgodkendelse, hvor det er relevant.
  • Politik omkring låsning af ubemandede arbejdsstationer. Adgangskode til pauseskærm, således at arbejdsstationen låses, hvis brugeren har glemt at låse den.
  • Logning og analyse af systembrug.
  • Rollebaseret adgang til kritiske systemer, der indeholder Personlige oplysninger.
  • Procedure for rutinemæssige systemopdateringer i forhold til kendte farer.
  • Kryptering af harddiske på bærbare computere.
  • Overvågning af sikkerhedsrisici på kritiske systemer.
  • Implementering og opdatering af antivirus-software.
  • Netværksenheder såsom systemer til registrering af indtrængen, routere og firewalls.
  • Overholdelse af Betalingskortindustriens Sikkerhedsstandard for Datasikkerhed.

3- Sikring af, at personer, som har tilladelse til at bruge et system, kun har adgang til de data, som de har rettigheder til, samt at Personlige oplysninger under Behandling, i brug eller efter lagring ikke kan læses, kopieres, ændres eller slettes uden tilladelse (adgangskontrol til data), især ved følgende tiltag:

  • Netværksenheder såsom systemer til registrering af indtrængen, routere og firewalls.
  • Sikkert login med unikt bruger-id/adgangskode, herunder krav til adgangskoders kompleksitet og multifaktorgodkendelse, hvor det er relevant.
  • Logning og analyse af systembrug.
  • Rollebaseret adgang til kritiske systemer med Personlige oplysninger.
  • Kryptering af harddiske på bærbare computere.
  • Implementering og opdatering af antivirus-software.
  • Overholdelse af Betalingskortindustriens Sikkerhedsstandard for Datasikkerhed.

4- Sikre, at Personlige oplysninger ikke kan læses, kopieres, ændres eller slettes uden tilladelse under elektronisk overførsel, transport eller lagring, ved følgende tiltag:

  • Sikkert login med unikt bruger-id/adgangskode, herunder krav til adgangskoders kompleksitet og multifaktorgodkendelse, hvor det er relevant.
  • Protokol for sikker transmission.
  • Logning og analyse af systembrug.
  • Rollebaseret adgang til kritiske systemer med Personlige oplysninger.
  • Netværksenheder såsom systemer til registrering af indtrængen, routere og firewalls.
  • Implementering af VPN.

5- Sikring af, at Personlige oplysninger udelukkende behandles i overensstemmelse med virksomhedens politik, ved følgende tiltag:

  • Obligatorisk sikkerheds- og privatlivstræning til alle ansatte.
  • Ansættelsesprocedurer, som kræver udfyldelse af detaljerede ansøgningsformularer for nøglemedarbejdere med adgang til vigtige Personlige oplysninger, hvor det er tilladt ifølge lokal lovgivning.
  • Omhyggelig udvælgelse af personale og tjenesteleverandører.
  • Indgåelse af relevante databehandlingsaftaler med underdatabehandlere, herunder relevante tekniske og organisatoriske sikkerhedstiltag.

6- Sikring af, at Personlige oplysninger er beskyttet mod utilsigtet ødelæggelse eller tab (tilgængelighedskontrol), især ved følgende tiltag:

  • Regelmæssig testning af sikkerhedstiltagenes effektivitet.
  • Sikkerhedskopieringsprocedurer og gendannelsessystemer.
  • Redundante servere på separate lokationer.
  • Uafbrudt strømforsyning og reservestrømforsyning.
  • Fjernlagring.
  • Klimaovervågning og kontrol af servere.
  • Implementering og opdatering af antivirus-software.
  • Plan for nødgendannelse og katastrofer.

7- Sikring af, at data indsamlet til andre formål eller efter andre principper kan behandles separat (adskillelseskontrol), især ved følgende tiltag:

  • Rollebaseret adgang til kritiske systemer med Personlige oplysninger.
  • Adskillelse af test- og live-data.
  • Overholdelse af Betalingskortindustriens Sikkerhedsstandard for Datasikkerhed.

BILAG III - LISTE OVER UNDERDATABEHANDLERE

En liste over Underdatabehandlere, som vi ansætter, og vores formål med at ansætte dem, kan stilles til rådighed for Kunden.