Databehandlingstillæg til databehandlere og underdatabehandlere
Nærværende Databehandlingstillæg (”DBT”) regulerer alle tjenester, der ydes til Ticketcase og deres Associerede Selskaber (”Ticketcase”) fra dig (”dig”, ”du”, ”din” eller ”Leverandør”) som Databehandler eller Underdatabehandler (som defineret nedenfor) (”Tjenesterne”).
Du og Ticketcase benævnes hver for sig en ”Part” og samlet ”Parterne”. Nærværende DBT supplerer, er inkorporeret i og forbliver gældende i løbetiden for alle aftaler Parterne imellem. Parterne aftaler følgende:
1. Definitioner
Termer med stort begyndelsesbogstav, men som ikke er defineret i nærværende DBT, har samme betydning som angivet i Aftalen, hvor dette er relevant. For så vidt angår nærværende DBT:
1.1
"Associeret Selskab/Associerede Selskaber" betyder en person eller enhed, der kontrollerer, er kontrolleret af eller er under fælles kontrol med enheden.
1.2
"Gældende love om Privatliv” betyder alle gældende love og regler om privatliv og databeskyttelse overalt i verden.
1.3
"Dataansvarlig” betyder den fysiske eller juridiske person eller enhed, som fastlægger formålene med og midlerne til behandling af Persondata.
1.4
"Databrud" betyder et sikkerhedsbrud, der fører til utilsigtet eller uretmæssig tilintetgørelse eller hændelig undergang, ændring, uautoriseret videregivelse eller adgang og alle øvrige uretmæssige former for behandling af Ticketcases Data.
1.5
"Ticketcases Data" betyder alle data, herunder Persondata, der leveres til Leverandøren eller på anden måde indhentes og/eller tilgås af Leverandøren på vegne af Ticketcase og/eller deres Associerede Selskaber under leveringen af Tjenesterne i henhold til Aftalen. Alle Ticketcases Data, der er Persondata, benævnes ”Ticketcases Persondata”.
1.6
"Persondata" betyder alle oplysninger, der vedrører en identificeret eller identificerbar fysisk person.
1.7
"Databehandler" betyder en enhed, der behandler Persondata på vegne af og i overensstemmelse med en Dataansvarligs anvisninger.
1.8
"Underdatabehandler" betyder en enhed, der er antaget af en Databehandler, som indvilliger i fra Databehandleren, at modtage Persondata, der alene er beregnet til de behandlingsaktiviteter, der skal udføres som en del af Tjenesterne.
1.9
"Leverandør" betyder den person eller enhed, som har indgået aftalen med Ticketcase.
2. Oplysninger om roller og data
2.1
For så vidt angår nærværende DBT kan Ticketcase fungere som Dataansvarlig, eller de kan fungere som Databehandler for en af deres kunder. Leverandøren anerkender derfor, at denne kan fungere som Databehandler for Ticketcase eller som Underdatabehandler for Ticketcase. Når Ticketcase fungerer som Databehandler, er Ticketcase forpligtet til kontraktmæssigt og/eller i henhold til Gældende love om Privatliv at sørge for, at visse forpligtelser, der relaterer sig til databeskyttelse, også overholdes af de udpegede Underdatabehandlere. Derfor gælder alle Databehandleres forpligtelser i henhold til nærværende DBT for Leverandøren, uanset om Leverandøren fungerer som Databehandler eller Underdatabehandler.
2.2.
Arten af, formålet med og genstanden i Leverandørens databehandlingsaktiviteter, der udføres som en del af Tjenesterne, er angivet i Aftalen. De Persondata, der kan behandles, kan relatere sig til eventarrangører, deltagere, medarbejdere, leverandører og kontakter og kan indeholde navn, e-mailadresser, faktura- og betalingsoplysninger, events, der bookes, arrangeres og deltages i samt alle øvrige Persondata, der kan behandles i henhold til Aftalen.
3. Leverandørers behandling af Data
3.1
Leverandøren garanterer og forpligter sig til alene at behandle Ticketcases Persondata til de begrænsede og specificerede formål, der er angivet i Aftalen, og/eller som det i øvrigt er retmæssig anvist af Ticketcase på skrift (e-mail eller på anden måde), medmindre gældende ret kræver andet. Leverandøren informerer øjeblikkeligt Ticketcase, hvis en anvisning, efter deres opfattelse, er et brud på Gældende love om Privatliv.
3.2
Når Leverandøren behandler Ticketcases Persondata, som kommer fra EU, EØS, Storbritannien og/eller Schweiz, og Leverandøren overfører Ticketcases Persondata til et land, der af Europa-Kommissionen ikke skønnes at give passende beskyttelse af Persondata, garanterer og forpligter Leverandøren sig til at: (i) overholde sine forpligtelser i henhold til Gældende love om Privatliv og (ii) som minimum sikre tilstrækkelige sikkerhedsforanstaltninger for Ticketcases Persondata som angivet i Standardkontraktbestemmelserne (SKB), der er udstedt af Europa-Kommissionen, og/eller at sikre et passende beskyttelsesniveau for Ticketcases Persondata, som Ticketcase ellers med rimelighed måtte kræve i overensstemmelse med Gældende love om Privatliv. Leverandøren accepterer øjeblikkeligt at informere Ticketcase på skrift om sin manglende evne til at kunne opfylde sine forpligtelser og at træffe alle rimelige og passende foranstaltninger for at afhjælpe en eventuel misligholdelse og/eller ophøre behandlingen af Ticketcases Persondata, alt efter hvad Ticketcase efter eget skøn afgør.
4. Fortrolighed og beskyttelse mod brud
4.1
Leverandøren sikrer, at en person, som denne giver tilladelse til at behandle Ticketcases Data (herunder Leverandørens personale, agenter og underleverandører), er underlagt tavshedspligt.
4.2
Leverandøren sikrer, at denne i hele Aftalens løbetid eller i varigheden for sine Tjenester til Ticketcase som Databehandler eller Underdatabehandler implementerer og opretholder passende tekniske og organisatoriske foranstaltninger til at beskytte Ticketcases Data, herunder beskyttelse mod Databrud. Ligeledes gælder, at såfremt Leverandøren er etableret uden for EU eller EØS, overholder Leverandøren sine kontraktbestemmelser for dataoverførsler fra dataansvarlige i EU til databehandlere, der er etableret uden for EU eller EØS som udstedt fra tid til anden af Europa-Kommissionen.
5. Brug af Underdatabehandlere
Leverandøren oplyser Ticketcase om eventuelle Underdatabehandlere, som denne bruger for så vidt angår Ticketcases Persondata, og Leverandøren skal:
Sikre, at alle Underdatabehandlere er kontraktmæssigt og skriftligt forpligtet til at yde mindst det samme beskyttelsesniveau, som der er påkrævet i nærværende DPT, og at de overholder Gældende love om Privatliv
Være fuldt ansvarlig for og erstatningspligtig over for Ticketcase for handlinger og undladelser foretaget af Underdatabehandlere, som var de Leverandørens egen handling eller undladelse
Efter anmodning give Ticketcase oplysninger om eventuelle udpegede Underdatabehandlere.
6. Registrerede personers rettigheder og Leverandørens samarbejde
Leverandøren skal på Leverandørens regning yde al den assistance, som Ticketcase har brug for, for at gøre det muligt for Ticketcase at:
Reagere på, overholde og i øvrigt løse eventuelle anmodninger, spørgsmål eller klager om rettigheder, som modtages af Ticketcase (eller en af Ticketcases kunder) fra en person, hvis Persondata behandles af Leverandøren på vegne af Ticketcase eller en gældende og formelt udpeget databeskyttelsesmyndighed.
Overholde (og udvise overensstemmelse med) sine forpligtelser i henhold til Gældende love om Privatliv. I tilfælde af, at en sådan anmodning, et sådant spørgsmål eller en sådan klage i henhold til afsnit 5 gives direkte til Leverandøren, oplyser Leverandøren Ticketcase derom og giver de fulde oplysninger.
7. Oplysninger og revision
Leverandøren accepterer med rimeligt forudgående skriftligt varsel at give Ticketcase (eller dennes udpegede revisorer) alle oplysninger, som Ticketcase skønner med rimelighed er nødvendige for, at Ticketcase kan revidere Leverandørens overholdelse af kravene i nærværende DPT, herunder færdiggørelse af spørgeskemaer i forbindelse med revision, tilvejebringelse af sikkerhedspolitikker og sammendrag af vurderinger af overholdelsen af branchestandarder, penetrationstest og sårbarhedsscanninger. Al sådan revision udføres for Leverandørens regning.
8. Procedure i tilfælde af Databrud
I tilfælde af et Databrud udfører Leverandøren alene følgende handlinger (medmindre Ticketcase har givet tilladelse til andet):
8.1
Informerer straks og uden unødigt ophold (og senest 24 timer efter at være blevet bevidst om Databruddet) Ticketcase og giver Ticketcase en rimeligt detaljeret beskrivelse af Databruddet, den type data, der var genstand for Databruddet, og identiteten for den enkelte berørte person, så snart sådanne oplysninger kan indhentes eller på anden måde bliver tilgængelige, samt alle øvrige oplysninger, som Ticketcase med rimelighed måtte forlange i forbindelse med Databruddet.
8.2
Undersøger straks (og senest inden for 24 timer efter at være blevet bevidst om Databruddet) Databruddet, bestræber sig inden for rimelighedens grænser på at afbøde Databruddets virkning og skade i overensstemmelse med sine forpligtelser i henhold til afsnit 4 ovenfor og yder al øvrig assistance, som Ticketcase med rimelighed måtte forlange i forbindelse med Databruddet.
9. Tilbagelevering eller tilintetgørelse af Data
Ved opsigelse eller ophør af nærværende DPT (se Vilkår og Betingelser) skal Leverandøren (efter Ticketcases valg) tilintetgøre eller tilbagelevere alle Ticketcases Data og kopier af disse Data, som er i deres besiddelse eller kontrol (herunder Ticketcases Data, for hvilke en tredjepart fungerer som underleverandør med henblik på databehandling), medmindre en relevant lov kræver, at Leverandøren beholder Ticketcases Data.
10. Skadesløsholdelse
Leverandøren holder Ticketcase, deres kunder, bestyrelsesmedlemmer, direktører, medarbejdere, agenter, repræsenter og Associerede Selskaber (hver en ”Skadesløsholdt Part”) skadesløs og friholdt fra og mod alle tredjepartstab, -skader, -omkostninger (herunder rimelige advokatsalærer og -udgifter), -udgifter og -ansvar, som en Skadesløsholdt Part måtte lide eller pådrage sig på grund af Leverandørens manglende overholdelse af kravene i nærværende DBT.
11. Andre bestemmelser
Med undtagelse af de ændringer, som foretages af nærværende DBT, forbliver Aftalen og/eller andre aftaler, som vedrører Tjenesterne, uændrede og med fuld gyldighed.
For så vidt angår bestemmelserne vedrørende behandlingen af Persondata gælder bestemmelserne i nærværende DBT i tilfælde af uoverensstemmelse mellem Aftalen og nærværende DBT. I tilfælde af uoverensstemmelse mellem nærværende DBT og en anden bestemmelse i Aftalen mellem dig og os gælder nærværende DBT med undtagelse af tilfælde, hvor du og Ticketcase individuelt har forhandlet databehandlingsvilkår, der adskiller sig fra nærværende DBT, og som fuldt ud opfylder kravene i Gældende love om Privatliv, i hvilket tilfælde de forhandlede vilkår gælder.
