Connect & Engage - Data Processing Addendum (DPA)

Version: 1. februar 2023

Dette Databehandlingstillæg udgør en integreret del af Aftalen mellem Kunden og CM.com, der dækker Kundens brug af Tjenesterne.

1. Definitioner og fortolkning

Betegnelserne i disse Vilkår og Betingelser defineres af og har den betydning, som er angivet i denne bestemmelse.

Behandling/at Behandle: Enhver aktivitet eller række af aktiviteter, med eller uden brug af automatisk behandling, som Personoplysninger eller en samling af Personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved overførsel, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.

Brud på Persondatasikkerheden: Et brud på sikkerheden, der fører til utilsigtet eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af, eller adgang til, Personoplysninger, der sendes, opbevares eller behandles på anden måde.

Databehandler: En fysisk eller juridisk person, offentlig myndighed, agentur eller andet organ, der behandler personoplysninger på vegne af den Dataansvarlige.

Dataansvarlig: Den fysiske eller juridiske person, offentlige myndighed, agentur eller andet organ, som alene eller i fællesskab med andre, bestemmer formålene med og midlerne til behandling af personoplysninger.

Registreret: En identificeret eller identificerbar fysisk person som personoplysninger vedrører.

Tekniske og Organisatoriske Foranstaltninger: Foranstaltninger til beskyttelse af Personoplysninger mod utilsigtet eller ulovlig tilintetgørelse eller utilsigtet tab, ændring, uautoriseret videregivelse eller adgang og mod alle andre ulovlige former for behandling.

Underdatabehandler: En part, der ansættes af CM.com til behandlingsaktiviteter, hvor CM.com er Databehandler i henhold til dette Databehandlingstillæg, som anført på: www.cm.com/trust-center/privacy/. Betegnelsen “Konsekvensanalyse Vedrørende Databeskyttelse” har den betydning, der er tilskrevet den i Gældende Databeskyttelseslov.

1.2. Henvisninger til Gældende Databeskyttelseslove skal erstattes med eller indarbejde henvisninger til eventuelle love, der erstatter eller ændrer de Gældende Databeskyttelseslove, og de tilsvarende vilkår, der er defineret i sådanne love, når de er i kraft og gældende.

1.3. Disse Databehandlingsvilkår og -Betingelser gælder udelukkende for CM.coms behandling af Personoplysninger som Databehandler på vegne af Kunden. I tilfælde af eventuel uoverensstemmelse, skal bestemmelserne i disse Databehandlingsvilkår og -Betingelser vedrørende behandling af Personoplysninger have forrang over bestemmelserne i Aftalen om Generelle Vilkår og Betingelser. Hvor individuelle bestemmelser i disse Databehandlingsvilkår og -Betingelser er ugyldige eller uden retskraft, vil gyldigheden og retskraften af de andre bestemmelser ikke blive påvirket. Tillidscenter: www.cm.com/trust-center/.

2. Anvendelsesområde og anvendelighed

2.1 Disse Databehandlingsvilkår og -Betingelser gælder for behandling af Personoplysninger, for hvilke CM.com er Databehandler med forbehold for Gældende Databeskyttelseslove.

2.2 CM.com er Databehandler for de behandlingsaktiviteter, der er beskrevet i artikel 6 i disse Databehandlingsvilkår og -Betingelser

3. Kundens forpligtelser

3.1.1 Kunden skal ved sin brug af Tjenesten Behandle Personoplysninger i overensstemmelse med kravene i Gældende Databeskyttelseslove. Kundens anvisninger for Behandlingen af Personoplysninger skal overholde Gældende Databeskyttelseslove. Kunden er ansvarlig for nøjagtigheden, kvaliteten og lovligheden af Personoplysninger, samt de midler med hvilke Kunden erhvervede Personoplysninger. Kunden skal sikre, at den opfylder alle krav til behandling og overførsel af Personoplysninger i henhold til Gældende Love, herunder, men ikke begrænset til, sikring af et lovligt grundlag for behandling og/eller grænseoverskridende overførsler. Kunden skal informere CM.com uden unødig forsinkelse, hvis Kunden ikke længere kan opfylde sine forpligtelser i forbindelse med behandlingen af Personoplysninger i henhold til Gældende Love og/eller Aftalen.

3.1.2 Uden at begrænse den generelle karakter af eventuel anden bestemmelse i Aftalen, skal Kunden, inden brug af Tjenesten, indhente verificerbart informeret samtykke fra Slutbrugerne eller være i stand til at bekræfte eventuelt andet gældende lovligt grundlag for behandling, og skal føre optegnelse over hvert sådant samtykke og/eller lovligt grundlag. Efter rimeligt skriftligt varsel skal Kunden tilvejebringe oplysninger om det lovlige grundlag som anmodet og hvis påkrævet af CM.com, eventuel operatør, tilsynsmyndighed eller anden kompetent myndighed.

4. Databehandlerens forpligtelser

4.1 Anvisninger

4.1.1 CM.com behandler Personoplysninger i overensstemmelse med dette Databehandlingstillæg og Aftalen, og til de formål og på den måde, der fra tid til anden angives af Kunden i Aftalen og yderligere anvisninger inden for Aftalens anvendelsesområde.

4.2 Tekniske og Organisatoriske Foranstaltninger

4.2.1 Under hensyntagen til det aktuelle tekniske niveau og Behandlingens karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal CM.com implementere passende Tekniske og Organisatoriske Foranstaltninger (herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet eller ulovlig tilintetgørelse, tab eller ændring eller skade, uautoriseret videregivelse af, eller adgang til, Personoplysninger) for at sikre et sikkerhedsniveau, der er passende for risikoen. Opdaterede oplysninger vedrørende Tekniske og Organisatoriske Foranstaltninger kan findes på www.cm.com/trust-center/security/

4.2.2 CM.com løbende skal teste, vurdere og evaluere effektiviteten af Tekniske og Organisatoriske Foranstaltninger til at sikre sikkerheden af behandlingen. CM.com skal løbende forbedre Tekniske og Organisatoriske Foranstaltninger, hvis relevant.

4.3 Personalekrav

CM.com sikrer, at personer, der er autoriseret til at behandle Personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt fortrolighedsforpligtelse. Adgang til Personoplysninger er begrænset til personale, der kræver adgang for at udføre Tjenesterne i henhold til Aftalen.

4.4. Fortrolighed

CM.com accepterer, at den skal holde Personoplysningerne fortrolige. Nærmere bestemt accepterer CM.com, at den ikke må videregive eventuelle Personoplysninger, der gives CM.com af, for eller på vegne af Kunden til eventuel tredjepart uden Kundens forudgående samtykke, undtagen som forudset og påkrævet for at udføre Tjenesten i henhold til Aftalen eller præceptiv lovgivning.

4.5.Registreredes rettigheder

4.5.1 Hvis Kunden beder CM.com herom, skal CM.com overføre, berigtige, slette eller blokere Personoplysninger, hvis Kunden modtager en anmodning fra en Registreret om at udøve den Registreredes ret til indsigt, ret til berigtigelse, begrænsning af behandling, sletning (“ret til at blive glemt”), dataportabilitet, indsigelse mod behandling, eller retten til ikke at blive genstand for en automatisk individuel afgørelse (“anmodning fra Registreret”).

4.5.2 CM.com skal underrette Kunden, hvis CM.com modtager en anmodning fra en Registreret. Under hensyntagen til behandlingens karakter, skal CM.com hjælpe Kunden med at svare på en anmodning fra en Registreret i henhold til Gældende Databeskyttelseslovgivning. CM.com skal hjælpe Kunden i det omfang, CM.com har tilladelse til at gøre det ved lov, og besvarelse af en sådan anmodning fra en Registreret er påkrævet i henhold til databeskyttelseslove.

4.6 Assistance til Kundens overholdelse af love

CM.com skal yde Kunden yderligere assistance, der med rimelighed er nødvendig for at sikre overholdelse af Kundens forpligtelser i henhold til Databeskyttelseslove, herunder med hensyn til:

(a) Konsekvensanalyse Vedrørende Databeskyttelse, ved at tilvejebringe sådanne oplysninger og samarbejde, som Kunden måtte kræve med henblik på at hjælpe kunden med at udføre en Konsekvensanalyse Vedrørende Databeskyttelse og periodiske gennemgange for at vurdere, om Behandlingen af Personoplysninger udføres i overensstemmelse med Konsekvensanalysen Vedrørende Databeskyttelse,

(b) tidligere samråd med en databeskyttelsesmyndighed vedrørende højrisikobehandling.

4.7 Overholdelse, information og revision

4.7.1 CM.com har indhentet tredjepartscertificeringer, der er angivet i Tillidscenteret på CM.coms websted, der er tilgængeligt på www.cm.com/trust-center/, som giver oplysninger om Tekniske og Organisatoriske Foranstaltninger, databeskyttelse, overholdelse, risikostyring og datasikkerhed. Efter Kundens skriftlige anmodning herom og med forbehold for fortrolighedsforpligtelserne angivet i Aftalen, skal CM.com stille en kopi af CM.coms på daværende tidspunkt mest aktuelle tredjepartscertificeringer samt oplysninger vedrørende it-arkitekturen og sikkerheden, som relevant og med rimelighed anmodet om, til rådighed for Kunden, der ikke er konkurrent til CM.com. Kunden er ansvarlig for at vurdere de oplysninger, der stilles til rådighed af CM.com, og for at afgøre, hvorvidt de opfylder Kundens krav og forpligtelser i henhold til Gældende Databeskyttelseslove. Kunden accepterer, at oplysningerne, der tilvejebringes herunder skal opfylde Kundens revisionsrettigheder i henhold til Gældende Databeskyttelseslove.

4.7.2 I tilfælde af, at de oplysninger, der tilvejebringes af CM.com, ikke er tilstrækkelige til at bevise overholdelse af dette Databehandlingstillæg, har Kunden ret til at udpege en godkendt ekstern ekspert højst én gang om året til at foretage revision af procedurerne vedrørende databehandlingen for Kunden. CM.com skal samarbejde med en sådan revision efter rimeligt forudgående skriftligt varsel på mindst ti hverdage. Kunden skal godtgøre CM.com for eventuel tid, der bruges af CM.com til enhver sådan revision til CM.coms på daværende tidspunkt aktuelle takster for Professionelle Tjenester, som skal stilles til rådighed for Kunden efter anmodning herom. Før påbegyndelsen af enhver sådan revision skal parterne gensidigt aftale omfang, timing og varighed af revisionen ud over den refusionssats, som Kunden er ansvarlig for. 4.7.3 CM.com er berettiget til at anmode om, at den eksterne ekspert underskriver en fortrolighedserklæring til fordel for CM.com. Fortrolighedserklæringen skal indeholde de vilkår og betingelser, der er normale for denne type erklæring. Eventuel rapport eller erklæring fra den eksterne ekspert skal gøres tilgængelig for CM.com. Kunden skal sikre, at revisionen hindrer CM.coms drift så lidt som muligt.

4.8 Optegnelser

CM.com skal opretholde fuldstændige, nøjagtige og opdaterede optegnelser over behandlingsaktiviteter, der udføres på vegne af sine Kunder.

4.9 Tilknyttede selskaber og Underdatabehandlere

4.9.1 Nogle eller alle CM.coms forpligtelser i henhold til Aftalen kan udføres af CM.coms tilknyttede selskaber. CM.com er ansvarlig for, at dens tilknyttede selskaber overholder Aftalen.

4.9.2 Kunden anerkender og accepterer, at (a) CM.coms tilknyttede selskaber kan ansættes som Underdatabehandlere, og (b) CM.com og CM.coms tilknyttede selskaber kan ansætte tredjepartsunderdatabehandlere i forbindelse med leveringen af Tjenesterne. Altid forudsat at CM.com eller et tilknyttet CM.com-selskab har indgået en skriftlig aftale med hver Underdatabehandler, der indeholder databeskyttelsesforpligtelser, der ikke er mindre beskyttende end dem i Aftalen med hensyn til beskyttelse af Personoplysninger i det omfang, der gælder for arten af Tjenesten, der leveres af en sådan Underdatabehandler, og CM.com opretholder en ajourført liste over Underdatabehandlere. CM.coms aktuelle liste over Underdatabehandlere er tilgængelig på: www.cm.com/trust-center/privacy/. CM.com skal informere Kunden tredive (30) dage før eventuelle ændringer med hensyn til listen over Underdatabehandlere. Inden for denne tidsramme kan kunden gøre indsigelse mod ændringen af listen over Underdatabehandlere, forudsat at en sådan indsigelse indsendes skriftligt og er baseret på rimelige årsager med hensyn til Gældende Databeskyttelseslove. Parterne skal i god tro bestræbe sig på at løse kundens indsigelse. Hvis indsigelsen ikke løses inden for tredive (30) dage, kan begge parter opsige Aftalen.

4.9.3 CM.com er ansvarlig for hver af sine Underdatabehandlere i samme omfang, som CM.com ville være ansvarlig, hvis CM.com udførte hver Underdatabehandlers Tjenester direkte i henhold til vilkårene i Aftalen.

4.10 Meddelelse om brud

Med hensyn til et Brud på Persondatasikkerheden, skal CM.com:

(a) underrette Kunden om Brud på Persondatasikkerheden, der involverer CM.com eller en underleverandør, uden unødig forsinkelse (men under ingen omstændigheder senere end otteogfyrre timer efter at være blevet opmærksom på Bruddet på Persondatasikkerheden).

(b) yde rimeligt samarbejde og assistance til Kunden i forbindelse med eventuelle foranstaltninger, der skal træffes som reaktion på et Brud på Persondatasikkerheden i henhold til Gældende Databeskyttelseslove, såsom artikel 33 stk. 3 og 34 stk. 3 i den generelle forordning om databeskyttelse, herunder vedrørende eventuel meddelelse om Bruddet på Persondatasikkerheden til den Registrerede og databeskyttelsesmyndighederne.

CM.com vil omgående undersøge et Brud på Persondatasikkerheden og træffe rimelige foranstaltninger for at identificere dets kerneårsag(er) og forhindre gentagelse. Efterhånden som oplysninger indsamles eller på anden måde bliver tilgængelige, vil CM.com, medmindre det er forbudt ved lov, give Kunden en beskrivelse af Bruddet på Persondatasikkerheden, typen af oplysninger, der var genstand for Bruddet på Persondatasikkerheden, og andre oplysninger, som Kunden med rimelighed måtte anmode om. Parterne aftaler at koordinere i god tro udarbejdelse af indholdet af eventuelle relaterede offentlige udtalelser eller eventuelle påkrævede erklæringer til de berørte Registrerede og/eller de relevante databeskyttelsesmyndigheder.

5. Overførsel af oplysninger på tværs af grænser

I det omfang ansættelse af en Underdatabehandler i henhold til art. 4.9 kræver en mekanisme til overførsel på tværs af grænser i henhold til Gældende Databeskyttelseslove for lovligt at overføre Personoplysninger fra en retskreds (dvs. Det Europæiske Økonomiske Samarbejdsområde, Storbritannien eller eventuel anden relevant retskreds) til en tredjepart, der er beliggende uden for den pågældende retskreds, gælder følgende vilkår. Kunden bemyndiger CM.com til at overføre Personoplysninger uden for den retskreds, hvor CM.com er beliggende og Personoplysningerne blev modtaget for første gang, forudsat at CM.com sikrer, at sådanne overførsler udføres i overensstemmelse med dette Databehandlingstillæg og en lovlig dataoverførselsmekanisme, der yder et passende beskyttelsesniveau i henhold til Gældende Databeskyttelseslove.

6. Opbevaring, lagring og sletning af Personoplysninger

CM.com skal behandle og opbevare oplysninger, herunder Personoplysninger, i overensstemmelse med Gældende Lov, forordninger, herunder, men ikke begrænset til, national lovgivning om telekommunikation og Gældende Databeskyttelseslove. Oplysningerne, herunder Personoplysninger, der indsendes til CM.com-platformen, skal behandles og opbevares i overensstemmelse med CM.coms dataopbevaringspolitik. Personoplysningerne skal ikke opbevares længere end nødvendigt for at levere Tjenesterne i henhold til Aftalen, til de formål, der er angivet i Aftalen, og så vidt det er påkrævet og/eller tilladt i henhold til Gældende Lovgivning. CM.com skal afidentificere eller afpersonificere oplysninger til anonymiserede oplysninger efter den gældende opbevaringsperiode. Dette resulterer i oplysninger, der ikke omfatter Personoplysninger eller unikke identifikatorer, der senere kan bruges til at henvise til de Personoplysninger, som oplysningerne engang var tilknyttet.

7. Beskrivelse af Behandling

7.1 Arten af og formålet med Behandling

CM.com Behandler Personoplysninger som nødvendigt for at udføre Tjenesterne i medfør af Aftalen, som nærmere angivet i Aftalen, og som yderligere anvist af Kunden inden for Aftalens anvendelsesområde.

7.2 Varighed af Behandlingen

CM.com behandler Personoplysninger under hele Aftalens varighed og i overensstemmelse med bestemmelse 6 i dette Databehandlingstillæg.

7.3 Kategorier af Registrerede

Kunden kan indsende oplysninger til CM.com ved brug af Tjenesten, hvis indhold bestemmes og kontrolleres af Kunden efter eget skøn, og som kan omfatte, men ikke er begrænset til, Personoplysninger vedrørende kategorierne af Registrerede, der er angivet i bilag 1

7.4 Type af Personoplysninger

Kunden kan indsende Personoplysninger til Tjenesterne, hvis omfang bestemmes og kontrolleres af Kunden efter eget skøn, og som kan omfatte, men ikke er begrænset til, de kategorier af Personoplysninger, der er angivet i bilag 1