Standardbetingelser

Bilag 1

Disse Standardbetingelser (i det følgende benævnt “Standardbetingelser”) og Databehandlertillæg (i det følgende individuelt benævnt “Databehandlertillæg” eller “DPA”), samlet benævnt “Aftalen”, indgås mellem Creditro A/S, registreret i Det Centrale Virksomhedsregister med CVR-nr. 39181169 (i det følgende benævnt “Creditro”), og den enhed, der afgiver en ordre om adgang til Creditro KYC Platformen (i det følgende benævnt “Kunden”). Creditro og Kunden benævnes individuelt en “Part” eller samlet “Parterne”. 

1. Indledning 

1.1 Disse betingelser finder anvendelse og regulerer forholdet mellem Kunden og Creditro. 

2. Definitioner 

2.1 Hvor der i Aftalen anvendes nedenstående begreber skrevet med stort forbogstav, skal begreberne have den nedenstående betydning:

Almindelig arbejdstid: Mandag til torsdag kl. 09.00 – 16.00 (CET) og fredag kl. 09.00 – 15.00 (CET), danske helligdage undtaget.

Aftalen: henviser til Standardbetingelserne, Databehandlertillægget, Ordrebekræftelsen og eventuelle bilag relateret til disse dokumenter.

Bruger: En person der er oprettet i Creditros systemer af Kunden, som kan anvende Creditros moduler på Kundens vegne.

Kald: En teknisk henvendelse til Creditro Assess om indhentelse af oplysninger om en bestemt virksomhed eller person.

Ejer: Den af Kunden udpegede medarbejder, som er ansvarlig hos Kunden for intern opsætning, brugerhåndtering og andre tekniske/praktiske forhold.

Klient: Den person, virksomhed mv., som Kunden ønsker kontrolleret i Creditro Comply eller Creditro Assess. Normalt vil Klienten være Kundens kunde. Der kan til hver Klient være knyttet flere sager.

Overvågning: Creditros løbende Overvågning af om tidligere indhentede Stamoplysninger fortsat er korrekte.

Ordrebekræftelse: er en integreret del af Aftalen og angiver detaljer om priser, produktegenskaber og yderligere tjenester, aftalt mellem Creditro og Kunden.

Pakke: Den udgave af en af Creditros moduler, som er valgt af Kunden. Pakken omfatter normalt et antal enheder, fx et antal Brugere.

Rapport: En Rapport er en samling af oplysninger hentet af Kunden via Creditro, fx via Creditro Comply.

Slutbruger: En person, hvis Stamoplysninger skal indgå i en undersøgelse i Creditro Comply, fx en reel ejer eller medlem af ledelsen i en undersøgt virksomhed mv. 
Stamoplysninger: En Klients eller Slutbrugers oplysninger om navn; eventuelt CPR-/CVR-nummer; kontaktoplysninger, herunder bl.a. adresse, telefonnummer; e-mailadresse, branche, og eventuel kopi af identifikationspapirer; status som PEP og eventuel optagelse på sanktionslister.

Udsendelse: Et eller flere dokumenter, som af Kunden sendes til underskrift til en eller flere underskrivere. 

3. Brugsret 

3.1 På baggrund af Aftalen opnår Kunden en ikke-eksklusiv ret til at anvende de af Creditros moduler, som er omfattet af Aftalen i det aftalte omfang, og så længe Aftalen er i kraft.

3.1.1 Creditros moduler kan af Kunden anvendes enten gennem login på Creditros hjemmeside, https://app.creditro.com, eller forudsat der er indgået aftale om dette gennem de af Creditro til rådighed stillede application programming interfaces (API’er).

3.1.2 Hvor Kundens Brugere logger ind på Creditros tjeneste for at anvende en af Creditros moduler, skal hver Bruger anvende et særskilt login bestående af et brugernavn og et password. Hvor antallet af Brugere er begrænset, fremgår det af Order Confirmationen, hvor mange Brugere Kunden kan oprette i Creditro. Brugernavn og password er personlige og skal holdes fortrolige. Kundens ejere kan selv administrere Kundens Brugeres adgang via Creditros hjemmeside. Såfremt Kunden anvender en af Creditros moduler via API, skal Kunden anvende sådan autentifikation, som udstedes af Creditro til Kunden til login.

3.1.3 Såfremt Kunden bliver bekendt med eller mistænker, at der sker misbrug af dennes eller dennes Brugeres adgang til Creditros moduler, skal Kunden straks ændre et eventuelt misbrugt brugernavn og password samt underrette Creditro.

3.1.4 Kundens Brugere skal tilhøre Kundens juridiske enhed, og Creditros moduler må alene anvendes internt i Kundens juridiske enhed. Hverken Kunden eller Kundens Brugere må overdrage eller tillade andre personer inden- eller udenfor Kundens juridiske enhed at benytte dennes login.

4. Priser og betaling 

4.1 Priser for Kundens adgang til Creditros moduler på tidspunktet for Aftalens indgåelse fremgår af Order Confirmation. Alle priser er, medmindre andet er angivet, anført i danske kroner og ekskl. moms.

4.1.1 Ved Aftalens indgåelse faktureres opstartsprisen for de moduler som Kunden ifølge Aftalen abonnerer på.

4.1.2 Mængdebetalinger baseret på antal, fx antal Klienter, Brugere, Kald eller Udsendelser, undtaget Internationale Data, faktureres forud for Aftaleperioden ved Aftaleperiodens start, eller forholdsmæssigt for en kortere periode, såfremt Parterne har aftalt dette.

4.1.3 Såfremt Kunden har foretaget forbrug udover det omfattet af den aftalte Pakke, foretages efterregulering af sådant overskydende forbrug straks fra konstatering og til udløb af indeværende abonnementsperiode med tilbagevirkende kraft. Eventuelt overskydende forbrug afregnes pr. enhed. Der sker ingen regulering på baggrund af et mindre forbrug end det aftalte. Kundens anskaffelse af Internationale Data faktureres ved Aftalens indgåelse.

4.1.4 Ønsker Kunden, at Creditro foretager programmeringsopgaver, hvortil bl.a. henregnes ny- eller specialudvikling af komponenter eller moduler, som arbejder sammen med Creditros øvrige moduler, indgås særskilt aftale mellem Parterne vedrørende sådant arbejde. Sådan aftale skal som minimum beskrive den ønskede funktionalitet og det estimerede tidsforbrug for arbejdet. For et sådant arbejde udarbejdes særskilt tilbud.

4.1.5 Såfremt Kunden ønsker, at Creditro foretager særlig opsætning/konfiguration af sine moduler til Kunden eller ønsker specialtilpasning, som ikke er en programmeringsopgave, faktureres sådant arbejde på baggrund af forbrugt tid med en timepris på kr. 999 pr. påbegyndt time.

Forinden Creditro påbegynder arbejde med opsætning/konfiguration, indgås særskilt aftale med Kunden. Sådan aftale skal beskrive Kundens ønsker til opsætning/konfiguration samt Creditros forventede tidsforbrug til dette.

4.1.6 Såfremt Kunden ønsker support fra Creditro udover den support, som er omfattet af denne aftale jf. pkt. 6.1, faktureres sådan support med en timepris på kr. 499. Der afregnes pr. påbegyndt 15 minutter.

4.1.7 Fremsendte fakturaer forfalder til betaling ved udløbet af den i hovedaftalens anførte betalingsfrist. Betalingsfristen regnes fra tidspunktet for fremsendelse af fakturaen.

Ved forsinket betaling er Creditro berettiget til at opkræve morarente fra forfaldsdagen, og indtil betaling sker med rentelovens til enhver tid gældende rentesats. Hvis betaling ikke sker senest 5 dage efter afsendelse af første påkrav, er Creditro tillige berettiget til at hindre Kundens adgang til enhver af Creditros moduler, indtil betaling sker.

4.1.8 Creditros standard priser justeres som udgangspunkt én gang årligt pr. 1. marts med en ændring svarende til stigningen i udviklingen i januar måneds forbrugerprisindeks det seneste år, medmindre andet meldes ud. Aftalte priser reguleres ved næstkommende Aftaleperiodes start med samme sats, medmindre andet aftales.

4.1.9 Udover det i pkt. 4.1.8 anførte er Creditro berettiget til at foretage ændring af priserne med et varsel på 3 mdr. Kunden er indenfor 14 dage fra en varslet prisstigning berettiget til at opsige Aftalen med 3 måneders varsel uanset afsnit 13.

4.1.10 En klient oprettet til KYC/AML eller overvågning er fakturerbar i minimum 12 måneder ad gangen. En klient eller overvågningsservice fornyes dagen før oprettelsesdatoen + 12 måneder oprinder. En klient eller overvågningsservice kan arkiveres før 12 måneder fra oprettelsesdagen, men er fortsat fakturerbar i minimum 12 måneder ad gangen. 

5. Rettigheder

5.1 Creditro ejer alle immaterielle rettigheder, herunder ejendomsret og ophavsret, til Creditros moduler, hvor også de til rådighed stillede API’er tilhører, eller har ret til at gøre disse tilgængelige for Kunden på Aftalens betingelser.

5.1.1 Kunden har alene brugsret til Creditros moduler, som anført i Aftalen.

5.1.2 Creditro opnår ingen rettigheder udover de for levering af Creditros moduler til Kundens nødvendige data, som Kunden overlader til Creditro i forbindelse med brugen af Creditros moduler.

5.1.3 I tilfælde af, at Kunden bliver mødt med indsigelser om, at Creditros moduler eller Kundens brug af disse er i strid med tredjemands rettigheder, eller måtte Kunden i øvrigt blive bekendt med sådanne påstande, skal Kunden straks orientere Creditro herom.

6. Support

Kundesupport er inkluderet i Aftalen og leveres primært på dansk og engelsk. Kundesupporten giver Kunden mulighed for at indsende standard support anmodninger vedrørende brug og funktioner af Platformen gennem et tilgængeligt ticketsystem samt en online chat funktion. Yderligere support skal aftales skriftligt af begge parter og kan medføre ekstra fakturering fra Creditro.

6.1 I forbindelse med idriftsættelse af samarbejdet tilbydes Kunden 1,5 times assistance til opsætning af Kundens konto mod en betaling på 2.760 kr. ekskl. moms. Assistancen ydes via et onlinemøde mellem den af Kunden udpegede person og en person fra Creditros Client Management team.

6.1.1 Det er Kundens ansvar at oplære sine Brugere tilstrækkeligt i brugen af Creditros moduler.

6.2. Tilgængelighed 
6.2.1 Creditro garanterer en tilgængelighed for hver af sine moduler på 98% indenfor Almindelig Arbejdstid målt i et gennemsnit over hver kalendermåned.

6.2.3 Såfremt en ydelse i en periode har mindre end den garanterede tilgængelighed, yder Creditro, efter Kundens påkrav, forholdsmæssigt afslag i den del af vederlaget, der vedrører den ydelse, hvor tilgængeligheden har været reduceret. Er en ydelse tilgængelig i en kalendermåned i 95% af den garanterede oppetid, ydes et afslag i vederlaget for den pågældende måned (1/12 af det årlige vederlag) på 3% (98% - 95% = 3%). Er tilgængeligheden for den pågældende ydelse i en kalendermåned under 90%, er afslaget dog hele månedens vederlag for den pågældende ydelse.

6.2.4 Ved tilgængelig forstås, at den pågældende af Creditros moduler afvikles og svarer målt på ydersiden af firewallen i det af Creditro anvendte driftscenter. Det betragtes ikke som manglende tilgængelighed, såfremt et manglende svar fra Creditros ydelse skyldes, at tredjepartsleverandører af data, herunder fx, at CVR-registeret og CPR-registret ikke svarer på Creditros henvendelse.

6.3 Backup
6.3.1 Creditro foretager løbende backup af alle data lagret i Creditros systemer. Der foretages fuld backup med passende intervaller.

6.3.2 Fulde ugentlige backups gemmes i en periode på 6 måneder, inkrementelle backups gemmes i en periode på 30 dage. Backup lagres i krypteret form. Backup gemmes duplikeret på tværs af de af Creditro anvendte driftscentre.

6.3.3 Creditro kontrollerer løbende og mindst hver 6. måned backupfunktionaliteten, herunder testes genetablering.

6.3.4 Såfremt Kunden ønsker data genetableret fra backup, kontaktes Creditro. Creditro er berettiget til at fakturere Kunden for sit arbejde med genetablering af data fra backups, såfremt behovet for genetablering ikke skyldes forhold, som Creditro er ansvarlig for. Fakturering af Creditros arbejde sker som Teknisk Konfiguration mv., jf. afsnit 4.

6.4 Vedligehold 
6.4.1 Creditro foretager løbende vedligehold af sine moduler. Vedligehold gennemføres sædvanligvis i tidsrummet mellem 21.00 og 06.00 (CET).

6.4.2 Hvis Creditros vedligehold forventes at medføre, at modulerne til Kunden er utilgængelige i en periode, varsles Kunden om dette senest to hverdage inden den planlagte vedligeholds-påbegyndelse. Planlagt vedligehold kan ikke overstige 4 timer pr. kalendermåned.

6.4.3 Ikke-planlagt vedligehold søges i videst muligt omfang placeret indenfor det i pkt. 6.4.1 anførte tidsrum. Hvis Creditro bliver bekendt med, at ikke-planlagt vedligehold må forventes at medføre, at modulerne til Kunden er utilgængelige i en periode, varsles dette over for Kunden hurtigst muligt via mail.

6.4.4 Ændringer til Creditros API’er varsles overfor Kunden hurtigst muligt. 6.5 6.5Fejlrettelse

6.5.1 Såfremt Kunden konstaterer fejl i Creditros moduler, skal Kunden straks orientere Creditro herom. Kunden skal så vidt muligt detaljeret oplyse om, hvorledes fejlen viser sig samt under hvilke forhold.

7. Persondata

7.1 Creditro behandler personoplysninger efter til enhver tid gældende lovgivning. Creditros behandling af personoplysninger på vegne af Kunden er reguleret i Databehandleraftalen.

8. Misligholdelse

8.1 Hvis en af Parterne væsentligt misligholder Aftalen, er den anden Part berettiget til at ophæve Aftalen med øjeblikkeligt varsel. 

9. Fortrolighed mv.

9.1 Hver af Parterne skal, medmindre andet fremgår af Aftalen, fortroligholde enhver intern oplysning modtaget fra den anden Part, herunder oplysninger modtaget i forbindelse med levering af Creditros moduler samt oplysninger modtaget i forbindelse med indgåelse af Aftalen, herunder Aftalens indhold.

9.1.1 Creditros medarbejdere er underlagt tavshedspligt igennem deres ansættelsesaftale både under og efter ansættelsesforholdet. Creditro sikrer, at den enkelte medarbejder ikke har adgang til flere oplysninger, end hvad der er nødvendigt for, at de kan udføre deres arbejde.

9.1.2 Creditro har Kundens udtrykkelige og generelle godkendelse til at engagere underdatabehandlere. Creditro skal have en skriftlig aftale med hver Underdatabehandler, der sikrer, at Underdatabehandleren er i overensstemmelse med bestemmelserne i EU-lovgivningen og de bestemmelser, der er beskrevet i Databehandleraftalen. Creditro forbliver ansvarlig over for Kunden, hvis en Underdatabehandler ikke opfylder sine databeskyttelsesforpligtelser for behandlingsaktiviteterne under Aftalen. 
Creditro vedligeholder en opdateret liste over sine Underdatabehandlere. Denne liste kan findes i bilag b i databehandleraftalen.
Varsel om nye underdatabehandlere. Creditro vil skriftligt informere Kunden om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af Underdatabehandlere mindst tredive (30) dage i forvejen. 
Indsigelse mod nye underdatabehandlere. I løbet af tredive (30) dages varslingsperiode kan Kunden skriftligt gøre indsigelse mod introduktionen af en ny Underdatabehandler, hvilket fører til opsigelse af Aftalen i overensstemmelse med punkt 2.4 i Standardvilkårene. 
Tredjelande. Enhver overførsel af personoplysninger til tredjelande må kun foretages af Creditro på baggrund af dokumenterede instrukser fra Kunden og skal altid ske i overensstemmelse med kapitel V i GDPR.

9.1.3 Creditro er berettiget til at bruge Kundens navn, logo og andre identifikationsoplysninger som reference på sin hjemmeside og i markedsføringsmaterialer, medmindre Kunden udtrykkeligt og skriftligt har gjort indsigelse mod dette. 

10. Ansvar og ansvarsbegrænsning

10.1 Parterne er, med de i øvrigt af Aftalen anførte specifikationer, ansvarlige overfor hinanden efter dansk rets almindelige regler. Ingen af Parterne er ansvarlige for indirekte tab og følgeskader, herunder, men ikke begrænset til driftstab, tab af goodwill og andre forretningsmæssige tab samt krav fra tredjemand, jf. dog pkt. 5.1.3.

10.1.1 Creditro kan ikke holdes ansvarlig for tredjepartsløsninger, som ikke er udarbejdet af Creditro eller integrationer med Creditros moduler, som ikke er konfigureret af Creditro.

10.1.2 Creditro kan ikke holdes ansvarlig for Kundens brug af informationer, der er indhentet ved hjælp af Creditros moduler, og heller følgerne heraf.

10.1.3 Creditros eventuelle erstatningsansvar overfor kunden kan ikke overstige et beløb svarende til 12 måneders abonnementsbetaling.

10.1.4 Ingen af Parterne er ansvarlige over for den anden Part for så vidt angår forhold, der ligger uden for den pågældende Parts kontrol, og som den Part ikke burde have taget i betragtning og ej heller burde have undgået eller på anden måde taget forbehold for, herunder, men ikke begrænset til, arbejdsnedlæggelser, offentlige myndigheders indgriben eller restriktioner, fejl eller nedbrud i telekommunikations infrastruktur og arbejdskonflikter. Det samme gælder, hvor sådanne forhold foreligger hos Creditros underleverandører. Creditros forpligtelser er i sådanne tilfælde suspenderet uden yderligere foranstaltninger, indtil disse rimeligvis kan genoptages. 

11. Ændringer af Aftalen

11.1 Såfremt Parterne ved Aftalens indgåelse aftaler fravigelser fra Creditros sædvanlige aftale, herunder i forhold til disse Almindelige Betingelser eller Creditros Særlige Betingelser, skal dette anføres i hovedaftalen eller særskilt bilag hertil, som godkendes af begge Parter.

11.1.1 Såfremt Creditro foretager ændringer til Aftalen og dennes betingelser, varsles dette, medmindre andet fremgår af Aftalen, med passende varsel. Ændringer kan herudover alene ske, hvis Parterne er enige herom.

11.1.2 Konsekvenser af force majeure. Ingen af parterne er ansvarlige for skader som følge af force majeure. Hvis Platformen forbliver utilgængelig på grund af force majeure i mere end tredive (30) på hinanden følgende dage, kan begge parter opsige Aftalen skriftligt uden krav mod den anden part. 

12. Force Majeure clause

12.1 Hvis Creditro ikke er i stand til at opfylde sine forpligtelser i henhold til Aftalen på grund af force majeure, vil Creditro straks underrette Kunden. Force majeure refererer til omstændigheder uden for Creditros kontrol, som ikke kan afhjælpes gennem rimelige økonomiske eller praktiske foranstaltninger, herunder, men ikke begrænset til, krig, mobilisering, terrorangreb, svigt eller nedbrud i offentlige elforsyninger, strejker, pandemier, brande eller oversvømmelser.

13. Ikrafttræden, idriftsættelse, løbetid og ophør

13.1 Aftalen træder i kraft pr. den på hovedaftalen anførte dato og senest ved den sidste af Parternes underskrift og modulerne er tilgængelige for Kunden senest på idriftsættelsesdatoen. Aftalen løber i perioder på 12 måneder fra ikrafttrædelsen eller udløb af seneste Aftaleperiode. Aftalen er fortløbende og bliver dermed automatisk fornyet, medmindre en af Parterne med et skriftligt varsel på 3 måneder opsiger Aftalen til udløb ved udgangen af indeværende Aftaleperiode.

13.1.1 Kunden kan til enhver tid frem til udløb af den sidste Aftaleperiode hente alle data, som Kunden har uploadet eller gemt i forbindelse med Creditros moduler. Ved sidste Aftaleperiodes udløb slettes alle Kundens data i Creditros systemer, idet data gemt af Creditro i forbindelse med backups slettes senest 90 dage efter sidste Aftaleperiodes udløb. Det er alene Kundens ansvar at hente data, som Kunden har gemt i forbindelse med Creditros moduler inden sidste Aftaleperiodes udløb. Efter særskilt aftale kan Creditro være Kunden behjælpelig med udlevering af de af Kunden gemte data. 

14. Tvistløsning

14.1 Såfremt der måtte opstå tvist mellem Parterne, skal en sådan tvist indledningsvis søges løst i mindelighed. Hvis en mindelig løsning ikke kan opnås, skal tvisten indbringes for Københavns Byret, som første instans.

 

Databehandleraftale

Databehandleraftalen opfylder kravene i henhold til artikel 28, stk. 3, i forordning 2016/679 (databeskyttelsesforordningen) med henblik på databehandlerens behandling af personoplysninger 

mellem 

Kunden (som defineret i Aftalen) er ”den dataansvarlige” 

herefter ”den dataansvarlige” 

og 

Creditro A/S 

CVR 39181169 

Østervangsvej 4C, 1. th. 

6715 Esbjerg N 

Danmark 

herefter ”databehandleren” 

der hver især er en ”part” og sammen udgør ”parterne”.

Parterne har således aftalt følgende standardkontraktsbestemmelser (Bestemmelserne) med henblik på at overholde databeskyttelsesforordningen og sikre beskyttelse af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsrettigheder. 

Denne databehandleraftale udgør bilag 2. Kunden og Creditro har indgået en aftale om Creditros standardbetingelser for levering af digitale platform. Dette databehandlertillæg (herefter benævnt “Databehandlertillæg” eller “DPA) er en integreret del af Aftalen og fastlægger vilkårene for behandling af personoplysninger.

1. Indhold 
2. Præambel 
3. Den dataansvarliges rettigheder og forpligtelser 
4. Databehandleren handler efter instruks 
5. Fortrolighed 
6. Behandlingssikkerhed 
7. Anvendelse af underdatabehandlere 
8. Overførsel til tredjelande eller internationale organisationer 9. Bistand til den dataansvarlige 
9. Underretning om brud på persondatasikkerheden 
10. Sletning og returnering af oplysninger 
11. Revision, herunder inspektion 
12. Parternes aftale om andre forhold 
13. Ikrafttræden og ophør 
14. Kontaktpersoner hos den dataansvarlige og databehandleren 

Bilag A Oplysninger om behandlingen 

Bilag B Underdatabehandlere 

Bilag C Instruks vedrørende behandling af personoplysninger

Bilag D Parternes regulering af andre forhold

2. Præambel 

1. Disse Bestemmelser fastsætter databehandlerens rettigheder og forpligtelser, når denne foretager behandling af personoplysninger på vegne af den dataansvarlige. 
2. Disse bestemmelser er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (databeskyttelsesforordningen).
3. I forbindelse med leveringen af licens til databehandlerens løsning(er) og service(s) behandler databehandleren personoplysninger på vegne af den dataansvarlige i overensstemmelse med disse Bestemmelser.
4. Bestemmelserne har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne.
5. Der hører fire bilag til disse Bestemmelser, og bilagene udgør en integreret del af Bestemmelserne.
6. Bilag A indeholder nærmere oplysninger om behandlingen af personoplysninger, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.
7. Bilag B indeholder den dataansvarliges betingelser for databehandlerens brug af underdatabehandlere og en liste over underdatabehandlere, som den dataansvarlige har godkendt brugen af.
8. Bilag C indeholder den dataansvarliges instruks for så vidt angår databehandlerens behandling af personoplysninger, en beskrivelse af de sikkerhedsforanstaltninger, som databehandleren som minimum skal gennemføre, og hvordan der føres tilsyn med databehandleren og eventuelle underdatabehandlere.
9. Bilag D indeholder bestemmelser vedrørende andre aktiviteter, som ikke er omfattet af Bestemmelserne.
10. Bestemmelserne med tilhørende bilag skal opbevares skriftligt, herunder elektronisk, af begge parter.
11. Disse Bestemmelser frigør ikke databehandleren fra forpligtelser, som databehandleren er pålagt efter databeskyttelsesforordningen eller enhver anden lovgivning.

3. Den dataansvarliges rettigheder og forpligtelser 

1. Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med databeskyttelsesforordningen (se forordningens artikel 24), databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. 
2. Den dataansvarlige har ret og pligt til at træffe beslutninger om, til hvilke(t) formål og med hvilke hjælpemidler, der må ske behandling af personoplysninger.
3. Den dataansvarlige er ansvarlig for, blandt andet, at sikre, at der er et behandlingsgrundlag for behandlingen af personoplysninger, som databehandleren instrueres i at foretage.

4. Databehandleren handler efter instruks 

1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt. Denne instruks skal være specificeret i bilag A og C. Efterfølgende instruks kan også gives af den dataansvarlige, mens der sker behandling af personoplysninger, men instruksen skal altid være dokumenteret og opbevares skriftligt, herunder elektronisk, sammen med disse Bestemmelser. 
2. Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret. 

5. Fortrolighed 

1. Databehandleren må kun give adgang til personoplysninger, som behandles på den dataansvarliges vegne, til personer, som er underlagt databehandlerens instruktionsbeføjelser, som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, og kun i det nødvendige omfang. Listen af personer, som har fået tildelt adgang, skal løbende gennemgås. På baggrund af denne gennemgang kan adgangen til personoplysninger lukkes, hvis adgangen ikke længere er nødvendig, og personoplysningerne skal herefter ikke længere være tilgængelige for disse personer.
2. Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de pågældende personer, som er underlagt databehandlerens instruktionsbeføjelser, er underlagt ovennævnte tavshedspligt. 

6. Behandlingssikkerhed 

1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici.  
   Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte:
   1. pseudonymisering og kryptering af personoplysninger.
   2. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester.
   3. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse.
   4. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren, som gør vedkommende i stand til at identificere og vurdere sådanne risici.
3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. 

Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

7. Anvendelse af underdatabehandlere 

1. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2, og stk. 4, for at gøre brug af en anden databehandler (en underdatabehandler). 
2. Databehandleren må således ikke gøre brug af en underdatabehandler til opfyldelse af disse Bestemmelser uden forudgående rettidig varsling af den dataansvarlige. 
3. Databehandleren har den dataansvarliges generelle godkendelse til brug af underdatabehandlere. Databehandleren skal skriftligt underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere med mindst 30 dages varsel og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer inden brugen af de(n) omhandlede underdatabehandler(e). Længere varsel for underretning i forbindelse med specifikke behandlingsaktiviteter kan angives i bilag B. Listen over underdatabehandlere, som den dataansvarlige allerede har godkendt, fremgår af bilag B. 
4. Når databehandleren gør brug af en underdatabehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af den dataansvarlige, skal databehandleren, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der fremgår af disse Bestemmelser, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen overholder kravene i disse Bestemmelser og databeskyttelsesforordningen. 
   Databehandleren er derfor ansvarlig for at kræve, at underdatabehandleren som minimum overholder databehandlerens forpligtelser efter disse Bestemmelser og databeskyttelsesforordningen. 
5. Underdatabehandleraftale(r) og eventuelle senere ændringer hertil sendes – efter den dataansvarliges anmodning herom – i kopi til den dataansvarlige, som herigennem har mulighed for at sikre sig, at tilsvarende databeskyttelsesforpligtelser som følger af disse Bestemmelser er pålagt underdatabehandleren. Bestemmelser om kommercielle vilkår, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den dataansvarlige.
6. Databehandleren skal om muligt i sin aftale med underdatabehandleren indføje den dataansvarlige som begunstiget tredjemand i tilfælde af databehandlerens konkurs, således at den dataansvarlige kan indtræde i databehandlerens rettigheder og gøre dem gældende over for underdatabehandlere, som f.eks. gør den dataansvarlige i stand til at instruere underdatabehandleren i at slette eller tilbagelevere personoplysningerne.
7. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser. Dette påvirker ikke de registreredes rettigheder, der følger af databeskyttelsesforordningen, herunder særligt forordningens artikel 79 og 82, over for den dataansvarlige og databehandleren, herunder underdatabehandleren.

8. Overførsel til tredjelande eller internationale organisationer 

- Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun foretages af databehandleren på baggrund af dokumenteret instruks herom fra den dataansvarlige og skal altid ske i overensstemmelse med databeskyttelsesforordningens kapitel V. 

- Hvis overførsel af personoplysninger til tredjelande eller internationale organisationer, som databehandleren ikke er blevet instrueret i at foretage af den dataansvarlige, kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.

- Uden dokumenteret instruks fra den dataansvarlige kan databehandleren således ikke inden for rammerne af disse Bestemmelser: 

1. overføre personoplysninger til en dataansvarlig eller databehandler i et tredjeland eller en international organisation 
2. overlade behandling af personoplysninger til en underdatabehandler i et tredjeland 
3. behandle personoplysningerne i et tredjeland 

- Den dataansvarliges instruks vedrørende overførsel af personoplysninger til et tredjeland, herunder det eventuelle overførselsgrundlag i databeskyttelsesforordningens kapitel V, som overførslen er baseret på, skal angives i bilag C.6. 

- Disse Bestemmelser skal ikke forveksles med standardkontraktsbestemmelser som omhandlet i databeskyttelsesforordningens artikel 46, stk. 2, litra c og d, og disse Bestemmelser kan ikke udgøre et grundlag for overførsel af personoplysninger som omhandlet i databeskyttelsesforordningens kapitel V.

Bistand til den dataansvarlige 

1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel III. 
   Dette indebærer, at databehandleren så vidt muligt skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:

1. 1. oplysningspligten ved indsamling af personoplysninger hos den registrerede 
   2. oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede 
   3. indsigtsretten 
   4. retten til berigtigelse 
   5. retten til sletning (”retten til at blive glemt”) 
   6. retten til begrænsning af behandling 
   7. underretningspligten i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling 
   8. retten til dataportabilitet 
   9. retten til indsigelse 
   10. retten til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering
2. I tillæg til databehandlerens forpligtelse til at bistå den dataansvarlige i henhold til Bestemmelse 6.3., bistår databehandleren endvidere, under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, den dataansvarlige med: 
   1. den dataansvarliges forpligtelse til uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed, Datatilsynet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder
   2. den dataansvarliges forpligtelse til uden unødig forsinkelse at underrette den registrerede om brud på persondatasikkerheden, når bruddet sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder 
   3. den dataansvarliges forpligtelse til forud for behandlingen at foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger (en konsekvensanalyse) 
   4. den dataansvarliges forpligtelse til at høre den kompetente tilsynsmyndighed, Datatilsynet, inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truet af den dataansvarlige for at begrænse risikoen. 
3. Databehandlerens forpligtelser i henhold til aftalen medfører ikke krav på særskilt betaling til databehandleren for medgået tid, medmindre medgået tid overstiger fem (5) timer.
4. Parterne skal i bilag C angive de fornødne tekniske og organisatoriske foranstaltninger, hvormed databehandleren skal bistå den dataansvarlige samt i hvilket omfang og udstrækning. Det gælder for de forpligtelser, der følger af Bestemmelse 9.1. og 9.2. 

10. Underretning om brud på persondatasikkerheden 

1. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.
2. Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 24 timer efter, at denne er blevet bekendt med bruddet, sådan at den dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, jf. databeskyttelsesforordningens artikel 33. 
3. I overensstemmelse med Bestemmelse 9.2.a skal databehandleren bistå den dataansvarlige med at foretage anmeldelse af bruddet til den kompetente tilsynsmyndighed. Det betyder, at databehandleren skal bistå med at tilvejebringe nedenstående information, som ifølge artikel 33, stk. 3, skal fremgå af den dataansvarliges anmeldelse af bruddet til den kompetente tilsynsmyndighed: 
   1. karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger 
   2. de sandsynlige konsekvenser af bruddet på persondatasikkerheden 
   3. de foranstaltninger, som den dataansvarlige har truet eller foreslår truet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.  
4. Er den dataansvarlige uden unødig forsinkelse blevet underrettet af databehandleren om et brud på persondatasikkerheden i overensstemmelse med Bestemmelse 10, og skyldes bruddet alene den dataansvarliges forhold, er databehandleren berettiget til særskilt vederlag for tid brugt på underretningen.
5. Parterne skal i bilag C angive den information, som databehandleren skal tilvejebringe i forbindelse med sin bistand til den dataansvarlige i dennes forpligtelse til at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed. 

11. Sletning og returnering af oplysninger 

1. Ved ophør af databehandlerens tjenester vedrørende behandling af personoplysninger, er databehandleren forpligtet til at slette alle personoplysninger, der er blevet behandlet på vegne af den dataansvarlige og bekræfte over for den dataansvarlig, at oplysningerne er slettet, medmindre den dataansvarlige instruerer databehandleren om andet, eller medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne. 

12. Revision, herunder inspektion 

1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelsen af databeskyttelsesforordningens artikel 28 og disse Bestemmelser, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige. 
2. Procedurerne for den dataansvarliges revisioner, herunder inspektioner, med databehandleren og underdatabehandlere er nærmere angivet i Bilag C.7. og C.8.
3. Databehandleren er forpligtet til at give tilsynsmyndigheder, som efter gældende lovgivningen har adgang til den dataansvarliges eller databehandlerens faciliteter, eller repræsentanter, der optræder på tilsynsmyndighedens vegne, adgang til databehandlerens fysiske faciliteter mod behørig legitimation. 

13. Parternes aftale om andre forhold 

1. Parterne kan aftale andre bestemmelser vedrørende tjenesten vedrørende behandling af personoplysninger om f.eks. erstatningsansvar, så længe disse andre bestemmelser ikke direkte eller indirekte strider imod Bestemmelserne eller forringer den registreredes grundlæggende rettigheder og frihedsrettigheder, som følger af databeskyttelsesforordningen. 

14. Ikrafttræden og ophør 

1. Bestemmelserne træder i kraft ved begge parters underskrift heraf. 
2. Begge parter kan kræve Bestemmelserne genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i Bestemmelserne giver anledning hertil. 
3. Bestemmelserne er gældende, så længe tjenesten vedrørende behandling af personoplysninger varer. I denne periode kan Bestemmelserne ikke opsiges, medmindre andre bestemmelser, der regulerer levering af tjenesten vedrørende behandling af personoplysninger, aftales mellem parterne. 
4. Hvis levering af tjenesterne vedrørende behandling af personoplysninger ophører, og personoplysningerne er slettet eller returneret til den dataansvarlige i overensstemmelse med Bestemmelse 11.1 og Bilag C.4, kan Bestemmelserne opsiges med skriftligt varsel af begge parter.

15. Kontaktpersoner hos den dataansvarlige og databehandleren 

1. Databehandleren kan kontaktes via nedenstående kontaktperson eller ved kommunikation til personer, der normalvis kommunikeres med i aftaleforholdet mellem den dataansvarlige og databehandleren. 
   Navn - Asmita Velji Tejani 
   Stilling - Managing Director 
   E-mail - avt@creditro.com
   På vegne af databehandleren
   Asmita Velji Tejani
   Managing Director 

Bilag A - Oplysninger om behandlingen 

A.1. Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige 

Behandlingen af den dataansvarliges personoplysninger sker med det formål at opfylde den mellem databehandleren og den dataansvarlige indgåede aftale om databehandlerens levering af databehandlerens løsninger og services. De af databehandlerens løsninger, der er omfattet af denne databehandleraftale, fremgår af Hovedaftalen og eventuelle tillæg til Hovedaftalen. 

Formålet med databehandlerens løsning(er) og/eller service(s) er: 

Creditro Comply 

At assistere den dataansvarlige med overholdelse af dennes forpligtelser i henhold til hvidvasklovgivning, herunder at invitere de til den dataansvarliges Klienter tilknyttede personer til at blive oprettet som Slutbrugere af Creditro samt at opbevare dokumentation for hvidvaskundersøgelser. 

kyc.creditro.com / StoreMyID 

At oprette og vedligeholde ID-database over hvidvaskrelevante personer til brug for løsningen Creditro Comply. 

Creditro Asses 

At indhente og levere oplysninger om økonomiske forhold og kreditrelaterede forhold til den dataansvarlige samt opbevare de indhentede oplysninger for den dataansvarlige. 

A.2. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig primært om (karakteren af behandlingen) 

Som ejer og leverandør af løsningen behandler databehandleren ved generel drift, herunder hosting, visning, organisering, modtagelse, videresendelse, strukturering, tilpasning, implementering, søgning, processering, lagring, gendannelse, sletning, begrænsning, vedligeholdelse, udvikling, logning, support, fejlfinding og andre it-ydelser forbundet med databehandlerens løsning(er) og/eller service(s) til den dataansvarlige i henhold til den mellem parterne indgåede aftale. 

A.3. Behandlingen omfatter følgende typer af personoplysninger om de registrerede 

Databehandleren behandler i udgangspunktet nedenstående kategorier af personoplysninger. Ved brug af løsningen er der dog mulighed for, at den dataansvarlige kan overlade behandling af alt slags data og personoplysninger til databehandleren, hvorfor databehandleren potentielt vil kunne behandle alle kategorier af personoplysninger. 

Kategorier af personoplysninger: 

Almindelige personoplysninger (jf. Databeskyttelsesforordningens artikel 4, stk. 1 og artikel 6): 

Almindelige og fortrolige personoplysninger, herunder Oplysninger om CPR-nummer (jf. Databeskyttelsesforordningens artikel 87): 

Creditro Comply

1. Navn 
2. Kontaktoplysninger, herunder e-mailadresse og mobiltelefonnummer; c) Relation til virksomhed, selskab eller organisation, herunder rolle som ejer, ledelsesmedlem, stilling; status som PEP 
3. Hvidvaskrapporter 
4. Kopier af identitetspapirer 
5. CPR-nummer 
6. Omtale i medier 
7. Informationer i dokumenter, som den dataansvarlige uploader til databehandlerens tjeneste 
8. Informationer, som databehandleren efter aftale med den dataansvarlige indhenter til dennes brug 

kyc.creditro.com / StoreMyID 

1. Navn 
2. Kontaktoplysninger, herunder e-mailadresse og mobiltelefonnummer; c) Relation til virksomhed, selskab eller organisation, herunder rolle som ejer, ledelsesmedlem, stilling; status som PEP 
3. Hvidvaskrapporter 
4. Kopier af identitetspapirer 
5. CPR-nummer 
6. Omtale i medier 
7. Informationer i dokumenter, som den dataansvarlige uploader til databehandlerens tjeneste 
8. Informationer, som databehandleren efter aftale med den dataansvarlige indhenter til dennes brug 

Creditro Assess

1. Navn 
2. Kontaktoplysninger, herunder e-mail og mobiltelefonnummer c) Relation til virksomhed, selskab eller organisation, herunder rolle som ejer, ledelsesmedlem og stilling 
3. Virksomhedsrapporter 
4. Økonomiske forhold 
5. CPR-nummer 
6. Omtale i medier 
7. Informationer, som databehandleren efter aftale med den dataansvarlige indhenter til dennes brug 

De Løsninger, som er omfattet af denne databehandleraftale, fremgår af Hovedaftalen og eventuelle tillæg til Hovedaftalen. 

A.4. Behandlingen omfatter følgende kategorier af registrerede 

Databehandleren behandler i udgangspunktet nedenstående kategorier af registrerede. Ved brug af løsningen er der dog mulighed for, at den dataansvarlige kan overlade behandling af alt slags data og personoplysninger til databehandleren, hvorfor databehandleren potentielt vil kunne behandle personoplysninger om flere kategorier af registrerede. 

Kategorier af registrerede: 

Creditro Comply 

1. a) Personer, som den dataansvarlige ønsker at gennemføre hvidvaskundersøgelse af 
2. b) Personer, der har relation til virksomheder, selskaber eller organisationer, som den dataansvarlige ønsker at indhente oplysninger om c) Personer, der fremgår af dokumenter, som den dataansvarlige uploader til de anvendte løsninger 

StoreMyID 

1. a) Personer, som den dataansvarlige ønsker at gennemføre hvidvaskundersøgelse af 
2. b) Personer, der har relation til virksomheder, selskaber eller organisationer, som den dataansvarlige ønsker at indhente oplysninger om c) Personer, der fremgår af dokumenter, som den dataansvarlige uploader til de anvendte løsninger 

Creditro Assess 

1. a) Personer, som den dataansvarlige ønsker at indhente oplysninger om 

De Løsninger, som er omfattet af denne databehandleraftale, fremgår af Hovedaftalen og eventuelle tillæg til Hovedaftalen. 

A.5. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan påbegyndes efter disse Bestemmelsers ikrafttræden. Behandlingen har følgende varighed 

Behandlingen er ikke tidsbegrænset og varer, indtil abonnementsaftalen mellem parterne om levering af databehandlerens værktøjer til den dataansvarlige, opsiges eller ophæves af en af parterne.

 

Bilag b 

Underdatabehandlere 

B.1. Godkendte underdatabehandlere 

Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt brugen af følgende underdatabehandlere afhængig af den løsning, der fremgår af Hovedaftalen eller tillæg til Hovedaftalen.

Creditro Comply

 

Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt brugen af ovennævnte underdatabehandlere for den beskrevne behandlingsaktivitet. Databehandleren må ikke – uden varsling til den dataansvarlige – gøre brug 

af en underdatabehandler til en anden behandlingsaktivitet end den beskrevne og aftalte eller gøre brug af en anden underdatabehandler til denne behandlingsaktivitet. 

De af databehandlerens løsninger, der er omfattet af denne databehandleraftale, fremgår af Hovedaftalen og eventuelle tillæg til Hovedaftalen. 

Databehandleren skal opretholde en gældende liste over 

underdatabehandlere på databehandlerens hjemmeside, som udgør gældende bilag B. Underdatabehandleraftalerne rekvireres via hjemmesiden eller ved skriftlig anmodning til databehandleren. 

B.2. Varsel for orientering om brug af underdatabehandlere

Databehandlerens underretning om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af underdatabehandlere skal være den dataansvarlige i hænde minimum 30 dage, før anvendelsen eller ændringen skal træde i kraft, så vidt dette umiddelbart er muligt jf. 

kontraktsbestemmelse 7, 7.3. 

Databehandleren indestår for, at enhver brug af underdatabehandlere følger lovgivningen og denne aftale i øvrigt. Herunder sikrer databehandleren, at der ved en eventuel tredjelandsoverførsel til et usikkert tredjeland eksisterer et gyldigt overførselsgrundlag og foreligger en tilfredsstillende Transfer Impact Assesment i det omfang dette er påkrævet af lovgivningen. 

Uanset ovenstående accepterer den dataansvarlige, at der kan være helt særlige tilfælde, hvor der kan opstå et konkret behov for, at ændringen vedrørende tilføjelse eller erstatning af underdatabehandlere sker med kortere varsel, f.eks. kritiske situationer hvor løsningen ikke kan driftes. I sådanne tilfælde vil databehandleren underrette den dataansvarlige om ændringen snarest muligt. Det bemærkes at disse tilfælde er helt ekstraordinære kritiske situationer. Kritiske situationer defineres som situationer der kan forårsage f.eks. manglende overholdelse af lovgivningen herunder datatab og lignende. Den dataansvarlige kan i disse tilfælde gøre indsigelse overfor ændringen uanset at virkningstidspunktet er indtruffet. Indsigelse skal ske inden 30 dage fra den dataansvarlige bliver gjort bekendt med ændringen.

Såfremt den dataansvarlige har indsigelser mod ændringerne, skal den dataansvarlige give databehandleren meddelelse herom inden ændringens varslede virkningstidspunkt. Den dataansvarlige kan alene gøre indsigelse, hvis den dataansvarlige har rimelige, konkrete årsager hertil.

Ved den dataansvarliges indsigelse accepterer den dataansvarlige samtidig, at databehandleren kan være forhindret i at levere hele eller dele af de aftalte tjenester. Sådan manglende opfyldelse kan ikke tilskrives databehandlerens misligholdelse. Databehandleren opretholder sit krav på betaling for sådanne ydelser, uanset de ikke kan leveres til den dataansvarlige. 

Hvor det er særligt aftalt, at databehandleren ikke må gøre brug af underdatabehandlere uden den dataansvarliges forudgående tilladelse, accepterer den dataansvarlige, at dette kan medføre, at databehandleren kan blive afskåret fra at opfylde tjenesterne. Hvis den dataansvarlige har afslået, at der foretages ændringer vedrørende tilføjelse eller erstatning af underdatabehandlere, vil manglende levering af tjenester derfor ikke anses for en misligholdelse af parternes aftale vedrørende levering af tjenesterne, som kan tilskrives databehandleren i de tilfælde, hvor den manglende opfyldelse kan henføres til en underdatabehandlers forhold.

 

Bilag C - Instruks vedrørende behandling af personoplysninger 

C.1. Behandlingens genstand/instruks

Databehandleren må alene behandle data på instruks fra den dataansvarlige. Databehandlerens behandling af personoplysninger på instruks fra og på vegne af den dataansvarlige sker ved, at databehandleren generelt udfører følgende: 

Generel drift, herunder hosting, visning, organisering, modtagelse, videresendelse, strukturering, tilpasning, implementering, søgning, processering, lagring, gendannelse, sletning, begrænsning, vedligeholdelse, udvikling, logning, support, fejlfinding og andre it-ydelser forbundet med databehandlerens løsning(er) og/eller service(s) til den dataansvarlige i henhold til den mellem parterne indgåede aftale. 

Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører følgende:

Creditro Comply 

- Databehandleren skal indhente oplysninger om, de af den dataansvarlige angivne, personers eventuelle status som PEP eller RCA. Endvidere skal databehandleren indhente oplysninger om, hvorvidt den pågældende person er registreret på offentlige sanktionslister. På baggrund af de af den dataansvarlige uploadede oplysninger og de fra tredjemand indhentede oplysninger skal Creditro i overensstemmelse med den dataansvarlige instruks foretage vurdering af risikoen for personens involvering eller risiko for involvering i hvidvask eller terrorfinansiering. I forbindelse med Creditro Comply foretager databehandleren løbende overvågning og opdatering af oplysninger om personer, som er indhentet af databehandleren for den dataansvarlige. 

StoreMyID 

- Databehandleren skal udsende invitation via mail til de af den dataansvarlige angivne personer med link til oprettelse i StoreMyID. Modtageren af mailen opretter en profil i StoreMyID til brug for den dataansvarliges dokumentation for overholdelse af hvidvaskloven herunder KYC-gennemgang. Databehandleren opbevarer identitetsdokumenter og besvarelser af KYC-spørgeskema på vegne af den dataansvarlige. 

- Databehandleren skal udsende invitation via mail til de af den dataansvarlige angivne personer med link til StoreMyID med henvisning til opdatering af profil i StoreMyID. Intervallet for dette fastsættes af den dataansvarlige i StoreMyID. 

Creditro Assess 

- Databehandleren skal indhente oplysninger om økonomiske forhold og kreditrelaterede forhold om virksomheder og personer på instruks fra den dataansvarlige. Databehandleren skal foretage analyse af oplysningerne i de af den dataansvarlige definerede og/eller godkendte scoremodeller. Databehandleren skal på vegne af den dataansvarlige opbevare indhentede oplysninger og udarbejdede analyser, ligesom databehandleren efter aftale, skal foretage løbende indhentning af opdaterede oplysninger vedrørende virksomheder om hvilke, den dataansvarlige har indhentet oplysninger. 

De løsninger, der er omfattet af denne databehandleraftale, fremgår af Hovedaftalen og eventuelle tillæg til Hovedaftalen.

C.2. Behandlingssikkerhed

Sikkerhedsniveauet skal afspejle: 

Databehandlerens løsninger og services omfatter som udgangspunkt behandling af personoplysninger som omfattet af Databeskyttelsesforordningens forskellige kategorier af personoplysninger som anført i Bilag A. Derfor har databehandleren valgt at implementere et generelt højt sikkerhedsniveau afspejlende, at der kan ske behandling heraf. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal gennemføres for at etablere det nødvendige (og aftalte) sikkerhedsniveau. 

Databehandleren skal dog – under alle omstændigheder og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige: 

Informationssikkerhed 

Databehandleren har implementeret politikker, kontroller og processer, som dækker de nedenfor beskrevne informationssikkerhedsområder: 

Fortrolighed: Sikre at uautoriserede personer ikke kan få adgang til data, som kan misbruges til skade for databehandlerens kunder, forretningsforbindelser og ansatte. 

Integritet: Sikre at systemer indeholder akkurat og komplet information. Tilgængelighed: Sikre at relevant information og relevante systemer er tilgængelige og stabile.

Instruks 

Der foreligger skriftlige procedurer, som indeholder krav om, at der alene må foretages behandling af personoplysninger, når der foreligger en instruks. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. 

Databehandleren udfører alene den behandling af personoplysninger, som fremgår af instruks fra den dataansvarlige. 

Fysisk sikring og miljøsikring 

Databehandlerenen skal opretholde fysiske sikringsforanstaltninger til sikring af lokaliteter, som anvendes til behandling af personoplysninger, herunder opbevaring af personoplysninger omfattet af Databehandleraftalen mod uvedkommendes adgang og manipulation. 

Skal have passende tekniske foranstaltninger til at begrænse risikoen for enhver uautoriseret adgang til lokaler, hvor der behandles persondata. Databehandleren skal desuden, hvor det er nødvendigt, evaluere og forbedre effektiviteten af sådanne forholdsregler 

Sikrer at niveauet for den fysiske sikkerhed til enhver tid være er afstemt med det aktuelle trusselsbillede samt den følsomhed og mængde af persondata som databehandleraftalen omfatter 

Kommunikationsforbindelser og kryptering 

Databehandleren har passende tekniske foranstaltninger til at beskytte systemer og netværk, herunder beskytte data under transmission og adgang via internettet, samt til at begrænse risikoen for uautoriseret adgang og/eller installering af skadelig kode. 

Databehandleren anvender passende krypteringsteknologier og andre tilsvarende foranstaltninger i overensstemmelse med kravene i lovgivningen, godkendte standarder for kryptering af klassificeret information samt god databehandlingsskik. 

I det omfang det er et krav i medfør af gældende national og international lovgivning, standarder vedrørende kryptering af klassificeret information eller god databehandlingsskik anvender databehandler 

krypteringsteknologier og andre tilsvarende foranstaltninger. 

Transmission af følsomme og fortrolige oplysninger over internettet er beskyttet af kryptering. Teknologiske løsninger til kryptering er tilgængelige og aktiverede. Firewall tillader kun krypteret datatrafik. Der foreligger formaliserede procedurer, der sikrer, at transmission af følsomme og fortrolige oplysninger over internettet er beskyttet af stærk kryptering baseret på en anerkendt algoritme. 

Firewall eller lignende tekniske foranstaltninger 

Ekstern adgang til systemer og databaser, der anvendes til behandling af personoplysninger, sker alene gennem en VPN. Der skal foreligge administrativ adgang til at vedligeholde firewall-konfiguration og -regelsæt. 

Antivirus 

Der er for de systemer og databaser, der anvendes til behandling af personoplysninger, installeret antivirus, som løbende opdateres 

Sikkerhedskopiering 

Databehandler skal have interne beredskabsprocedurer, der sikrer genetablering af services uden ugrundet ophold i tilfælde af driftsafbrydelser i henhold til hovedaftalen. Databehandleren sikrer daglig backup. 

Sikkerhedskopiering af konfigurationsfiler og data skal finde sted i et ubrudt forløb, så at relevante data kan reetableres. Sikkerhedskopierne opbevares således, at de ikke hændeligt eller ulovligt (eks. ved brand, oversvømmelse, uheld, tyveri eller lignende) tilintetgøres, fortabes, forringes, kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med de til enhver tid gældende regler og forskrifter for behandling af personoplysninger. 

Sikkerhedskopierne skal opbevares fysisk adskilt fra primære data og i et sikkerhedsgodkendt datacenter. 

Databehandleren anvender et redundant miljø til sikring af adgang og kontinuerlig drift af softwareløsningen. Sikre at backup gemmes i sin fulde længde. 

Anvendelse af hjemme/fjernarbejdspladser 

Såfremt der foretages databehandling fra ad hoc og/eller 

hjemmearbejdspladser, sikre Databehandleren at disse lever op til de sikkerhedsmæssige krav i denne Databehandleraftale med bilag og lovgivning i øvrigt. 

Databehandler skal blandt andet opfylde følgende: 

• At deres anvendes krypteret forbindelse mellem ad hoc arbejdspladsen og Databehandlerens/Dataansvarliges netværk 
• Databehandlerens har en interne instruks til egne medarbejdere vedrørende ad hoc og hjemmearbejdspladser 

Derudover skal Databehandleren, hvis det er teknisk muligt, anvende 2-faktor-autentifikation.

Instruktion af medarbejdere 

Databehandleren sikrer, at ansatte til stadighed er bekendt med og har tilstrækkelig uddannelse og instruktion om databehandlingens formål, politikker, arbejdsgange og om deres tavshedspligt. 

Der foreligger en informationssikkerhedspolitik, som ledelsen har behandlet og godkendt inden for det seneste år. Informationssikkerhedspolitikken er kommunikeret til relevante interessenter, herunder databehandlerens medarbejdere. 

Informationssikkerhedspolitikken lever generelt op til kravene om sikringsforanstaltninger og behandlingssikkerheden i indgåede databehandleraftaler. 

Der foreligger formaliserede procedurer, der sikrer efterprøvning af databehandlerens medarbejdere i forbindelse med ansættelse 

Medarbejdere har underskrevet en fortrolighedsaftale. Medarbejdere er blevet introduceret til: 

- Informationssikkerhedspolitikken. 

- Procedurer vedrørende databehandling, samt anden relevant information 

Der foreligger procedurer, der sikrer, at fratrådte medarbejderes rettigheder inaktiveres eller ophører ved fratrædelse, og at aktiver som adgangskort, pc, mobiltelefon osv. Inddrages. Fratrådte medarbejderes rettigheder er inaktiveret eller ophørt, samt at aktiver er inddrages

Der foreligger formaliserede procedurer, der sikrer, at fratrådte medarbejdere gøres opmærksom på opretholdelse af fortrolighedsaftalen og generel tavshedspligt. Ansættelseskontrakten indeholder retningslinjer for, at medarbejdere er underlagt tavshedspligt efter ophørt samarbejde. 

Databehandleren udbyder awareness-træning til medarbejderne, omfattende generel it-sikkerhed og behandlingssikkerhed i relation til personoplysninger. 

Der foreligger dokumentation for, at alle medarbejdere, som enten har adgang til eller behandler personoplysninger, har gennemført den udbudte awareness-træning. 

Bortskaffelse af udstyr 

Databehandleren skal have formelle processer med henblik på at sikre, at der sker en effektiv sletning af personoplysninger inden bortskaffelse af elektronisk udstyr. 

Logning 

1. Sikrer logning på alle miljøer, hvor personoplysninger behandles. 2. Aktiviteter, der udføres af systemadministratorer og andre med særlige rettigheder. 
2. Ændringer i logopsætninger, herunder deaktivering af logning. 4. Ændringer i systemrettigheder til brugere. 
3. Sikrer, at sikkerhedsloggens omfang er defineret ud fra en af Databehandleren udført risikovurdering 
4. Sikrer, at der er plads nok til at sikkerhedsloggene kan gemmes for perioden
5. Sikrer, at der gennemføres løbende stikprøvekontroller, af, at sikkerhedsloggene indeholder det forventede 
6. Sikrer opsamlede oplysninger om brugeraktivitet i logs er beskyttet mod sletning og manipulation.

C.3 Bistand til den dataansvarlige

Databehandleren skal så vidt muligt – inden for det nedenstående omfang og udstrækning – bistå den dataansvarlige i overensstemmelse med Bestemmelse 9.1 og 9.2 ved at gennemføre følgende tekniske og organisatoriske foranstaltninger: 

Registreredes rettigheder, jf. pkt. 9.1. 

• Databehandleren skal bistå med at iagttage de registreredes rettigheder ved bl.a. at kunne give indsigt i, slette, begrænse og berigtige oplysninger, og sørge for at dette også sker hos underdatabehandlerne. 
• Databehandleren skal bistå med at opfylde de registreredes rettigheder uden unødig forsinkelse 
• Databehandleren skal have udarbejdet en procedure for, hvordan de behandler anmodninger fra en registreret om deres rettigheder. 

Brud og hændelser, jf. pkt. 9.2. 

Informationer som skal sendes: 

• Fakta om det konstaterede brud (tid, sted, årsag) 
• Hvornår bruddet startede, hvornår det blev opdaget og hvornår bruddet er standset
• Karakteren af bruddet på persondatasikkerheden, herunder om der er sket brud på fortrolighed, integritet og tilgængelighed 
• Kategorierne og det omtrentlige antal berørte registrerede, hvis det er muligt 
• Kategorierne af personoplysninger, hvis det er muligt. 
• Navn og kontaktoplysninger til kontaktpunkt, hvor yderligere oplysninger kan indhentes 
• Beskrivelse af de sandsynlige konsekvenser af bruddet 
• Beskrivelse af foranstaltninger der er truet, eller foreslås truet som led i håndteringen af bruddet og dets mulige skadevirkninger

C.4 Opbevaringsperiode/slette rutine

Personoplysninger opbevares i perioden for parternes aftale om databehandlerens levering af databehandlerens løsning(er) og/eller service(s) til den dataansvarlige, eller i henhold til særskilt skriftlig aftale, hvorefter de slettes hos databehandleren. 

Ved ophør skal databehandleren således enten slette eller tilbagelevere personoplysningerne i overensstemmelse med bestemmelse 11.1, medmindre den dataansvarlige – efter underskriften af disse bestemmelser – har ændret den dataansvarlige oprindelige valg. Sådanne ændringer skal være dokumenteret og opbevares skriftligt, herunder elektronisk, i tilknytning til bestemmelserne.

C.5 Lokalitet for behandling

Behandling af de af Bestemmelserne omfattede personoplysninger kan ikke uden den dataansvarliges forudgående skriftlige godkendelse ske på andre lokaliteter end de, som følger af nærværende databehandleraftale og de adresser som fremgår af anvendte underdatabehandlere, samt underdatabehandlere i yderligere led, som nærmere beskrevet i gældende bilag B.

C.6 Instruks vedrørende overførsel af personoplysninger til tredjelande 

Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler, medmindre en sådan overførsel sker til en af de autoriseret underdatabehandlere nævnt i bilag B. Overførselsgrundlag anvendes i henhold til Databeskyttelsesforordningens Kapitel V om overførsler af personoplysninger til tredjelande eller internationale organisationer. De specifikke overførselsgrundlag følger af gældende bilag B. Databehandleren er endvidere forpligtet til at sikre, at der udarbejdes tilfredsstillende Transfer Impact Assesment hvor relevant forud for eventuel tredjelandsoverførsel til et usikkert tredjeland hvor dette er påkrævet af lovgivningen.

C.7 Procedurer for den dataansvarliges revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er overladt til databehandleren 

Databehandleren skal inden for en periode af 12 måneder for egen regning indhente en ISAE 3000 revisionserklæring eller anden kontrol svarende hertil fra en uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. 

Revisorerklæringen vil være tilgængelig for den dataansvarlige på databehandlerens hjemmeside. 

Den dataansvarlige kan mod betaling anfægte rammerne for og/eller metoden i erklæringen og kan i sådanne tilfælde anmode om en ny erklæring under andre rammer og/eller under anvendelse af anden metode. 

Baseret på resultaterne af erklæring, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, 

databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. 

Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover, mod betaling, adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne, hvorfra databehandleren foretager behandling af personoplysninger. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. 

Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. 

C.8 Procedurer for revisioner, herunder inspektioner, med behandling af personoplysninger, som er overladt til underdatabehandlere 

Databehandleren skal for egen regning gennemføre passende tilsyn med underdatabehandleres overholdelse af databeskyttelsesforordningen. Tilsynsniveauet følger Datatilsynets vejledning herom. 

Dokumentation for sådanne tilsyn fremsendes ved anmodning herom til den dataansvarlige til orientering.

 

Bilag D - Parternes regulering af andre forhold

D. 1 Ansvar og misligholdelse 

En eventuel misligholdelse af Bestemmelserne reguleres og behandles i overensstemmelse med parternes aftale vedrørende levering af tjenesterne. 

I tilfælde hvor databehandleren har udredt beløb til registrerede i overensstemmelse med Databeskyttelsesforordningens artikel 82 eller erstatningsansvarsloven § 26, har databehandleren fuld regres mod den dataansvarlige for det udredte beløb, som beløbsmæssigt overstiger den aftalte ansvarsbegrænsning i parternes aftale vedrørende levering af tjenesterne. 

Parterne har hermed aftalemæssigt fraveget Databeskyttelsesforordningens artikel 82, stk. 5, og erstatningsansvarsloven § 26. 

Uanset databeskyttelsesforordningen art 82, stk. 5 kan en part, der har udredt erstatningsbeløb til en skadelidt, der ikke svarer til fuld erstatning, gøre regres efter princippet i art. 82, stk. 5. 

I forhold til anden godtgørelse for ikke-økonomiske tab til de registrerede skal princippet i art. 82 ligeledes finde anvendelse, for så vidt angår den interne endelige ansvarsfordeling mellem databehandleren og den dataansvarlige. 

Parterne kan ikke gøre regres eller erstatningskrav gældende overfor den anden part for bøder eller anden straf, der er pålagt i medfør af databeskyttelsesloven § 41 samt for bødeforelæg accepteret efter databeskyttelsesloven § 42.

D.2 Konsekvenser af den dataansvarliges ulovlige instruks 

Den dataansvarlige er bekendt med, at databehandleren er afhængig af den dataansvarliges anvisninger om, i hvilket omfang databehandleren er berettiget til at anvende og behandle personoplysningerne på den dataansvarliges vegne. Databehandleren hæfter derfor ikke for krav, som udspringer af databehandlerens handlinger eller undladelser, i det omfang disse handlinger eller undladelser er en direkte databehandlingsaktivitet udøvet i overensstemmelse med den dataansvarliges instrukser, medmindre det kan fastslås, at databehandleren havde kendskab til behandlingens manglende lovlighed. 

D.3 Anvendelse af underdatabehandler, som leverer på standardvilkår 

Uanset kontraktsbestemmelse 7 skal det understreges, at hvis databehandleren anvender en underdatabehandler, som leverer sine ydelser på egne vilkår, som databehandleren ikke har mulighed for at aftale fravigelser til, gælder underdatabehandlerens vilkår for de behandlingsaktiviteter, der overlades til udførelse hos sådan underdatabehandler. Hvor der sker behandling på en underdatabehandlers vilkår, er dette angivet ved den relevante underdatabehandler på oversigten over underdatabehandlere. Ved Bestemmelserne giver den dataansvarlige sin accept af og instruks om, at sådanne konkrete behandlingsaktiviteter sker på underdatabehandlerens vilkår. 

D.4 Sletning og returnering af oplysninger 

Det er mellem parterne aftalt, at den dataansvarlige instruerer om databehandlerens sletning og returnering af personoplysninger i forbindelse med Bestemmelsernes ophør. 

Den dataansvarlige skal, senest 30 dage efter at behandlingen af personoplysninger er ophørt, meddele databehandleren, hvorvidt alle personoplysninger skal slettes eller tilbageleveres til den dataansvarlige. I tilfælde hvor personoplysninger skal tilbageleveres til den dataansvarlige, skal databehandleren ligeledes slette eventuelle kopier. Databehandleren skal sikre, at eventuelle underdatabehandlere ligeledes efterlever meddelelsen fra den dataansvarlige. 

Såfremt databehandleren ikke har modtaget meddelelse fra den dataansvarlige, inden 30 dage efter behandlingen af personoplysninger er ophørt, fremsender databehandleren en rykker til den dataansvarlige. Hvis den dataansvarlige herefter ikke meddeler databehandleren, hvorvidt alle personoplysninger skal slettes eller tilbageleveres til den dataansvarlige, er databehandleren uden yderligere varsel berettiget til at slette personoplysninger. 

Databehandleren er berettiget til vederlag for dennes behandlingsaktiviteter frem til det tidspunkt, hvor den dataansvarlige meddeler databehandleren, hvorvidt alle personoplysninger skal slettes eller tilbageleveres til den dataansvarlige.

 

Dataforordningstillæg

1. Generelle vilkår

1.1. Aftale. Dette Tillæg er en integreret del af Aftalen mellem Parterne. Dette Tillæg skal have forrang i tilfælde af uoverensstemmelse med Aftalen, medmindre andet udtrykkeligt er angivet. Tillægget har til formål at implementere de kontraktlige forpligtelser, der følger af Dataforordningen (Data Act), med særlig vægt på kravene fastsat i artikel 25 i Dataforordningen, som fastslår, at kundens rettigheder og udbyderens forpligtelser i forbindelse med skift mellem udbydere af databehandlingstjenester eller, hvis relevant, til en lokal IKT-infrastruktur, skal fastsættes klart i en skriftlig kontrakt. 

1.2. Databekendtgørelsen. Dette Tillæg indarbejder kravene i artikel 25 i Dataforordningen (Forordning (EU) 2023/2854 af 13. december 2023), som definerer kundens rettigheder og tjenesteudbyderens forpligtelser ved skift eller migrering af IKT-infrastruktur i en skriftlig kontrakt. Tillægget skal ikke fortolkes som pålæggelse af krav over for Creditro, der afviger fra en rimelig fortolkning af Dataforordningen 

1.3. Ændringer. Creditro kan ændre dette Tillæg med tredive (30) dages skriftligt varsel til Kunden for at afspejle ændringer i gældende regler. Sådanne ændringer anses for accepteret, medmindre Kunden udtrykkeligt afviser dem skriftligt inden for tredive (30) dage efter modtagelse af varslet. I tilfælde af en afvisning skal Parterne indgå i drøftelser i god tro for at søge en gensidigt acceptabel løsning.

 

2. Skift af Leverandør 

2.1. Skifteret. Efter skriftlig anmodning kan Kunden skifte udbyder, flytte til lokal infrastruktur eller slette eksporterbare data i henhold til vilkårene i dette Tillæg. Creditro leverer al nødvendig information om skift og dataoverførsel i Bilag A. 

2.2. Skiftevarsel. Underlagt et varsel på to (2) måneder har Kunden ret til at (i) skifte til en anden databehandlingstjeneste, der tilbydes af en anden leverandør end Creditro, i hvilket tilfælde Kunden skal give de nødvendige oplysninger om denne udbyder, (ii) skifte til en lokal IKT-infrastruktur, eller (iii) få slettet sine eksporterbare data og digitale aktiver. 

2.3. Bekræftelse af skift. Creditro skal bekræfte modtagelsen af Skiftevarslet ("Bekræftelse af skift") og informere Kunden om eventuelle tilknyttede omkostninger. 

2.4. Overgangsperiode. Creditro skal imødekomme Kundens ovennævnte anmodning uden unødig forsinkelse og under alle omstændigheder inden for en overgangsperiode på tredive (30) kalenderdage, der skal påbegyndes efter varselperioden på to (2) måneder. Hvis Kunden kun ønsker at skifte specifikke Tjenester, data eller digitale aktiver, skal dette tydeligt specificeres i varslet. Aftalen forbliver gældende i overgangsperioden. 

2.5. Forlængelse af overgangsperiode. Kunden kan, ved at give Creditro besked før eller inden for fem (5) dage efter varselsperiodens udløb, forlænge den ovennævnte overgangsperiode én gang med en periode, som Kunden anser for mere passende til sine egne formål. 

2.6. Creditros forpligtelse. I overgangsperioden skal Leverandøren sikre, at den: yder rimelig bistand til Kunden og tredjeparter, der er godkendt af Kunden, i skifteprocessen; handler med den fornødne omhu for at opretholde forretningskontinuitet og fortsætte leveringen af Tjenesterne; leverer klar information om kendte risici for kontinuiteten i leveringen af databehandlingstjenester fra Leverandørens side; sikrer, at et højt sikkerhedsniveau opretholdes gennem hele skifteprocessen i overensstemmelse med alle gældende love, især datasikkerheden under deres overførsel og den fortsatte sikkerhed af data under en genfindingsperiode på 30 (tredive) kalenderdage, der starter efter overgangsperiodens udløb. Leverandøren skal understøtte Kundens exitstrategi, der er relevant for Tjenesterne, herunder ved at levere alle relevante oplysninger. Kunden forpligter sig til at træffe alle rimelige foranstaltninger for at opnå et effektivt skift. Kunden er ansvarlig for import og implementering af data og digitale aktiver i sine egne systemer eller i destinationsudbyderens systemer. Desuden er Kunden ansvarlig for at give Leverandøren alle de nødvendige oplysninger for at sætte Leverandøren i stand til at opfylde sine ovennævnte forpligtelser. 

2.7. Hentning. Efter Overgangsperioden kan Kunden hente sine Eksporterbare Data inden for tredive (30) dage ("Genfindingsperiode"). Kunden anerkender, at i tilfælde, hvor skifte anmodningen sker før Udskrivningsperiodens udløb, vil Kunden miste adgangen til Platformen. 

2.8. Sletning. Ved udløbet af Genfindingsperioden, og hvis skifteprocessen er afsluttet succesfuldt, skal Creditro slette alle data inden for halvfems (90) dage. 

2.9. Eksporterbare data. Alle data vedrørende klienterne vil blive eksporteret.

 

3. Skifteomkostninger og Opsigelse 

3.1. Skifteomkostninger. Hvis Kunden anmoder Creditro om at skifte i overensstemmelse med afsnit 3 i dette Tillæg, har Creditro kun ret til at opkræve Kunden for skifteprocessen, hvis anmodningen fremsættes før den 12. januar 2027. Disse gebyrer må ikke overstige de omkostninger, som Leverandøren har afholdt, og som er direkte relateret til skifteprocessen. 

3.2. Opsigelse. Aftalen betragtes som opsagt, og Kunden skal underrettes om denne opsigelse (i) ved en succesfuld afslutning af genfindingsperioden, eller (ii) ved udløbet af varselsperioden nævnt under afsnit 3.3 i dette Tillæg, hvor Kunden ikke ønsker at skifte, men at få slettet sine eksporterbare data og digitale aktiver ved opsigelse af Aftalen.

3.3. Gebyrer for førtidig opsigelse. Kunden accepterer og anerkender at Creditro ikke vil refundere forudbetalte abonnementsgebyrer i overensstemmelse med bestemmelserne i standardvilkårene. For at undgå tvivl er sådanne gebyrer for førtidig opsigelse adskilt fra de skiftegebyrer, der er nævnt i 3.1., og skal ikke betragtes som en hindring for at skifte udbyder.

 

4. Diverse  

4.1 Delvis ugyldighed. Hvis et vilkår eller en bestemmelse i Tillægget af en kompetent domstol eller myndighed erklæres for ugyldig, ulovlig eller ikke-håndhævelig, påvirkes gyldigheden eller håndhævelsen af resten af Tillægget ikke, medmindre en sådan håndhævelse klart ville være urimelig. Parterne forpligter sig til at forhandle i god tro med det formål at erstatte vilkår, der anses for ugyldige, ulovlige eller ikke-håndhævelige, med en lovlig, gyldig og håndhævelig bestemmelse, der, set i sammenhæng med dette Tillæg som helhed, opnår Parternes intentioner i henhold til dette Tillæg så tæt som muligt. 

 

ANNEX A. BESKRIVELSE AF SKIFTEPROCESSEN

A.1. Igennem Creditro Support

Procesbeskrivelse. I løbet af overgangsperioden og efter modtagelse af varsel om skift fra Kunden vil Creditro fortsætte med overførslen af data. For at understøtte denne eksport:

1. Skal Kunden levere, eller give Credtrio tilladelse til at oprette de nødvendige API-legitimationsoplysninger for at muliggøre den fuldstændige eksport af Kundens data. 
2. Skal Creditro uploade uploade de eksporterede kundedata til en gensidigt aftalt sikker fildelingsplatform.
3. Skal Creditro give de personer, der udpeget i Kundens varsel om skift, sikre legitimationsoplysninger for at få adgang til de eksporterede kundedata på den aftalte platform. 

Behandlingsinstruks. Inden for rammerne af dette tillæg fungerer Creditro som databehandler, og kunden fungerer som dataansvarlig. Kunden anerkender og forstår, at ved at tildele sådanne Super API-legitimationsoplysninger vil Creditro have fuld adgang til alle data, sagsmapper og mapper (inklusive indholdet af sagsmapper) på kundens Creditro-konto, herunder eventuelle personoplysninger i klartekst under denne proces, og instruerer Creditro i at behandle sådanne data i overensstemmelse hermed.

A.2. Selvbetjening

Kunden kan anvende de tilgængelige automatiserede selvbetjeningsværktøjer til skift via Creditros API. Offentligt tilgængelig dokumentation om brugen af Creditros API er på følgende link: https://learn.creditro.com