TAXBACK INTERNATIONAL Vilkår og betingelser

Databehandlingsaftale

Indledning

Denne databehandlingsaftale (“DBA”) har det primære formål at (i) udpege T.B.I. Refunds, IDA BUSINESS & TECHNOLOGY PARK, RING ROAD, KILKENNY, IRLAND, som Databehandler (“Databehandleren”) for den begærende organisation (“Dataansvarlige”).

EFTERSOM

Parterne ønsker at indgå aftale om leveringen og sikkerheden af data videregivet fra Dataansvarlige til Databehandleren med henblik på afspejling af kravene som følger af relevant lovgivning og regulativer, herunder lovgivning og regulativer med relevans for beskyttelse af personoplysninger, såsom Databeskyttelsesloven i henhold til det nationale retsområde, hvor Dataansvarlige har hjemsted.

A. PARTERNE ER NÅET TIL ENIGHED om følgende:

1. DEFINITIONER

1.1 Begreber angivet med versaler skal forstås som defineret i Aftalen. “Skade” betyder alle ansvar, omkostninger, udgifter, erstatninger eller tab (inklusive men ikke begrænset til direkte, indirekte eller afledte tab, tab af fortjeneste, tab af omdømme og alle renter, bøder, sanktioner og juridiske omkostninger (beregnet på basis af fuld skadesløsholdelse) og alle andre rimelige erhvervsmæssige omkostninger og udgifter) der måtte pålægges eller resultere for Kunden som resultat af denne Aftale eller en årsag til søgsmål i forbindelse med udførelsen af denne Aftale, inklusive kontraktbrud, ansvar (herunder forsømmelse) og enhver anden common law, retlig eller lovbestemt årsag til søgsmål,

“Dataansvarlig” har den betydning, der medfører af Databeskyttelsesloven,

“Databehandler” har den betydning, der medfører af Databeskyttelsesloven,

“Databeskyttelsesvurdering” har den betydning, der medfører af Databeskyttelsesloven,

“Databeskyttelsesloven” betyder den databeskyttelses- og dataprivatlivslovgivning, der er i kraft i retsområdet for den Dataansvarliges hjemsted.

“Datasikkerhedsbrud” har den betydning, der medfører af Databeskyttelsesloven,

“Registreret person” har den betydning, der medfører af Databeskyttelsesloven,

“Personoplysninger” har den betydning, der medfører af Databeskyttelsesloven,

“Privacy Shield” betyder Privacy Shield-ordningen og -principperne hos US Department of Commerce, godkendt af Europa-Kommissionen, eller enhver ordning og principper, der træder i dennes sted, og godkendes af Europa-Kommissionen til det pågældende formål til enhver tid,

“Behandling” har den betydning, der medfører af Databeskyttelsesloven, og “Behandlingstrin” skal fortolkes i overensstemmelse med dette,

 “Tilsynsførende myndighed” betyder enhver regeringsmyndighed og tilsynsførende, lovbestemt og enhver anden enhed, komite og organ, som enten i medfør af lovgivning, regler, forordninger, praksis eller på anden måde er berettiget via enhver relevant lovgivning til at føre tilsyn med, regulere, undersøge eller udøve indflydelse på de i denne Aftale omhandlede forhold eller nogle andre af parternes forhold,

“Dataunderbehandler” har den betydning, der medfører af Databeskyttelsesloven.

2. DATABESKYTTELSE

2.1 Dataansvarlig: Kunden er Dataansvarlig i forhold til Behandling af personoplysninger som beskrevet i Bilag 1.

2.2 Databehandler: Leverandøren fungerer som Databehandler med hensyn til de Personoplysninger, vedrørende behandler på vegne af Kunden.

2.3 Leverandøren skal efterleve sine forpligtelser som Databehandler i medfør af Databeskyttelsesloven. Hvis Leverandøren er eller bliver bekendt med nogen årsag, der kunne forhindre vedkommende i at efterleve Databeskyttelsesloven eller noget tilfælde af manglende efterlevelse af Databeskyttelsesloven i forbindelse med Behandling af Personoplysninger i henhold til denne Aftale, skal Kunden hurtigst muligt underrettes.

2.4 Instruktioner: Leverandøren og dennes ansatte må kun Behandle Personoplysningerne i overensstemmelse med denne Aftale og enhver anden skriftlig instruktion fra Kinden, medmindre det er pålagt af Unions- eller medlemsstatslovgivning, som Leverandøren er underlagt, i hvilket tilfælde Leverandøren skal underrette Kunden om dette lovkrav inden behandlingen foregår, medmindre lovgivningen forbyder sådan underretning med udgangspunkt i væsentlige årsager med relation til almenvellet. Leverandøren erklærer sig også indforstået med ikke at erhverve sig nogen form for rettigheder eller interesse i Personoplysningerne.

2.5 Den registrerede persons rettigheder: Leverandøren erklærer sig indforstået med at hjælpe Kunden med at besvare henvendelser fra Registrerede personer, som benytter sig af deres rettigheder i medfør af Databeskyttelsesloven, inden for en sådan rimelig tidshorisont, som Kunden angiver.

2.6 Hvis Leverandøren modtager sådanne anmodninger direkte fra Registrerede personer, skal Leverandøren omgående underrette Kunden om, at en sådan anmodning er blevet modtaget, og straks fremsende anmodningen til Kunden. Leverandøren må på ingen måde besvare en sådan henvendelse, medmindre der er modtaget instruktioner om dette fra Kunden.

2.7 Assistance: Leverandøren skal assistere Kunden inden for en sådan rimelig tidshorisont, som Kunden måtte have angivet, med hensyn til efterlevelse af Kundens forpligtelser i henhold til:

2.7.1 Behandlingssikkerhed

2.7.2 Underretning om brud på datasikkerheden

2.7.3 Databeskyttelsesvurderinger

2.8 Dataoverførsler: Leverandøren skal overføre Personoplysninger eller andre oplysninger vedrørende Kundens kunder med henblik på at overholde deres kontraktlige forpligtelser. Kunden kan, blandet andet, kræve at Leverandøren:

2.8.1 indgår i eller sikrer at enhver relevant underleverandør indgår i en relevant Dataoverførselsaftale; eller

2.8.2 vedrørende overførsel til USA, tilsikre at modtageren har og fortsætter med at opretholde en aktiv, gyldig certificering fra Privacy Shield og efterlever Privacy Shield-principperne.

De foranstående bestemmelser i dette punkt 2.8 skal også gælde for enhver efterfølgende overførsel af Personoplysningerne eller andre oplysninger relateret til Kundens kunder.

2.9 I det tilfælde, at den overførselsmekanisme, der er indgået i medfør af punkt 8 ophører med at være gyldigt, skal Leverandøren, efter Kundens skøn:

2.9.1 indgå i og/eller tilsikre at enhver relevant underleverandør indgår i en relevant alternativ dataoverførselsmekanisme,

2.9.2 destruere alle Personoplysninger, som de og/eller deres underleverandør måtte være i besiddelse af, eller

2.9.3 tilbagesende alle Personoplysninger, som de og/eller deres underleverandør måtte være i besiddelse af, til Kunden.

2.10 Personoplysninger fra Kundegruppemedlemmer: I tilfælde af at mere end et enkelt medlem af Kundegruppen giver Leverandøren, eller på anden måde giver Leverandøren adgang til, Personoplysninger eller andre oplysninger relateret til dennes kunder i medfør af denne Aftale:

2.10.1 skal Leverandøren opbevare Personoplysningerne og andre oplysninger relateret til kunderne for hvert medlem separat identificeret, med henvisning til pågældende medlem, og

2.10.2 Leverandøren vil ikke videregive nogle Personoplysninger eller andre oplysninger relateret til et enkelt medlem af Kundegruppen til et andet medlem af Kundegruppen, uden samtykke fra det medlem, som ejer Personoplysningerne eller andre oplysninger relateret til dennes kunder.

2.11 Underdatabehandling: Leverandøren erklærer sig indforstået med ikke at antage nogen tredjepart til at Behandle Kunders Personoplysninger uden Kundens forudgående skriftlige samtykke.

2.12 Hvis Leverandøren antager en tredjepart til at Behandle enhver Kundes Personoplysninger, skal Leverandøren pålægge en sådan tredjepart, i form af en skriftlig kontrakt, de samme databeskyttelsesforpligtelser, som er beskrevet i denne Aftale, og tilsikre at for det tilfælde, at en enhver tredjepart antaget af Leverandøren for sit vedkommende antager en anden person til at Behandle enhver Personoplysning, at tredjeparten er pålagt at efterleve alle forpligtelser med relation til Behandling af Personoplysninger, der følger af denne Aftale.

2.13 Leverandøren skal underrette Kunden om enhver påtænkt ændring vedrørende tilføjelse eller udskiftning af de andre behandlere og må ikke foretage sådanne ændringer uden Kundens forudgående skriftlige samtykke.

2.14 Leverandøren vil fortsat være fuldt ansvarlig i forhold til Kunden for Behandling foretaget af en tredjepart som var Behandlingen foretaget af Leverandøren.

2.15 Sikkerhed: Leverandøren skal implementere relevante tekniske og organisationsmæssige foranstaltninger til at tilsikre et sikkerhedsniveau, der er relevant for sikkerheden af Personoplysningerne, i særdeleshed, mod tilfældig eller ulovlig destruktion, bortkomst, ændring, uautoriseret videregivelse af eller adgang til Personoplysninger og, som meddelt på forhånd til Kunden:

2.15.1 pseudonymisering og kryptering af Personoplysninger,

2.15.2 evnen til at tilsikre den løbende hemmeligholdelse, integritet og tilgængelighed af Personoplysningerne og modstandsdygtigheden af Leverandørens Systemer, der anvendes til sådan Behandling,

2.15.3 evnen til at gendanne tilgængeligheden af og adgangen til Personoplysningerne i tilfælde af en fysisk eller teknisk begivenhed og

2.15.4 en procedure for jævnlig afprøvning, vurdering og evaluering af effektiviteten af tekniske og organisationsmæssige foranstaltninger til sikring af behandlingssikkerheden.

2.16 Fortrolighed: Leverandøren skal tilsikre, at personale, som Behandler Personoplysninger i medfør af denne Aftale er underlagt fortrolighedsbestemmelser med relation til sådanne Personoplysninger.

2.17 Dokumentation af efterlevelse: Leverandøren skal give Kunden adgang til alle nødvendige oplysninger, der gør revision mulig og bidrager til dette, herunder inspektioner, udført af Kunden eller en anden revisor udpeget af Kunden.

2.18 Overtrædelse: Leverandøren skal omgående underrette Kunden, hvis det er dennes opfattelse, at en instruktion eller anmodning i medfør af denne Aftale udgør en overtrædelse af Databeskyttelsesloven.

2.19 Underretning om brud på datasikkerheden: Leverandøren skal indenfor fireogtyve (24) timer underrette Kunden, hvis Leverandøren er blevet bekendt med et Brud på datasikkerheden. Leverandøren må ikke kommunikere med nogen Registreret person vedrørende et Brud på datasikkerheden uden foregående skriftligt samtykke fra Kunden.

2.20 Skade Leverandøren skal holde Kunden skadesløs mod enhver Skade, der måtte blive påført Kunden som resultat af eller i forbindelse med:

2.20.1 At Leverandøren agerer udover eller i modstrid med Kundens lovefterlevende instruktioner,

2.20.2 Enhver anden overtrædelse hos Leverandøren af dennes forpligtelser i medfør af denne Aftale eller af Databeskyttelsesloven og/eller

2.20.3 Enhver handling eller udeladelse på vegne af Leverandøren eller dennes medarbejder, der på nogen måde medfører, at Kunden overtræder Databeskyttelsesloven.

2.21 Opsigelse/udløb: Ved opsigelse eller udløb af denne Aftale (eller på noget andet tidspunkt efter Kundens anmodning) skal Leverandøren tilbagegive, destruere eller permanent slette, efter Kundens skøn, alle kopier af modtagne og/eller behandlede Personoplysninger i medfør af denne Aftale, medmindre relevant lovgivning kræver, at Personoplysningerne skal bevares.

2.22 Varig bestemmelse: Bestemmelserne i dette punkt 2.22 skal bestå efter ophøret af denne Aftale, medmindre Leverandøren har tilbagegivet eller destrueret alle Personoplysninger i overensstemmelse med punkt 2.21.

3. OPSIGELSE

3.1 Denne Aftale ophører automatisk ved opsigelse eller udløb af Databehandlerens forpligtelser med relation til Serviceydelserne, og ved ophør af denne aftale skal Databehandleren efterleve sine forpligtelser i medfør af punkt 2.21 af denne Aftale.

3.2 Enhver af parterne kan opsige denne Aftale med øjeblikkelig virkning ved skriftlig meddelelse til den anden part:

(a)     hvis den anden part begår væsentlig misligholdelse af Aftalen, eller

(b)     hvis den anden part bliver eller erklæres insolvent eller træffer skridt til at gå konkurs eller foreslår eller indgår akkord med sine kreditorer eller der udpeges en kurator eller lignende person med relation til nogle af eller alle dennes aktiver eller der tages skridt til opløsning eller sletning af parten.

4. DIVERSE

4.1 Genparter: denne Aftale kan indgås i ethvert antal genparter og af dens Parter i separate genparter, der hver især vil være en original, men hvoraf de alle udgør en og samme aftale.

4.2 Lovvalg og værneting: denne Aftale og enhver tvist eller ethvert krav, der måtte opstå som følge af eller i forbindelse med dens indhold, er underlagt og skal fortolkes i overensstemmelse med lovgivningen i Irland. Parterne skal udelukkende være underlagt Irlands retssystem i forhold til enhver tvist eller ethvert krav, der måtte opstå som resultat af eller i forbindelse med denne Aftale.

BILAG 1

Beskrivelse af Behandlingen af Personoplysninger

1. Emne

Momsrefusion i kontraktens gyldighedsperiode.

2. Forretningsaftalens karakter

Databehandleren er ansvarlig for behandling af data og oplysninger på vegne af den Dataansvarlige med den forståelse at den Dataansvarlige har indhentet det nødvendige samtykke eller har et legitimt formål med databehandlingen.

3. Formål

Personoplysninger behandles med henblik på at validere moms vedrørende køb foretaget med direkte forbindelse til virksomhedsrejser og tilknyttede udgifter.

4. Personoplysningskategorier

Kontaktoplysninger (navn, adresse, e-mailadresse, telefonnumre), transaktionsoplysninger.

5. Personfølsomme oplysninger

Der indhentes ingen personfølsomme oplysninger.

6. Kategorier af Registrerede personer

Kundens ansatte

7. Sikkerheds- og organisationsmæssige foranstaltninger

Sikkerheds- og organisationsmæssige foranstaltninger
Sikkerheds- og organisationsmæssige foranstaltninger implementeres i overensstemmelse med informationssikkerhedsstandarden ISO 27001 – Taxback International er certificeret efter denne standard af vores eksterne akkrediteringsorgan.

8. Modtagere af Personoplysningerne

Oplysningerne modtages af Taxback International fra diverse kilder som del af arbejdet med at sikre momsrefusion for (klientens navn), som aftalt via kontrakt.

Oplysninger videregives til vores serviceleverandører, herunder (uden begrænsning) parter som vi har engageret til at udføre funktioner relateret til behandling af globale moms-tjenester, hvilket omfatter opbevaring af dine data i EØS og USA, Enhver person, som er nødvendig for at sikre, at Taxback International efterlever relevant lovgivning, regulativer og juridiske krav.

9. Dataoverførsler

Dataoverførsler, der ledes af den Dataansvarlige, omfatter Lokale skattemyndigheder i overensstemmelse med hvert lands relevante bestemmelser for Momsrefusion.

10. Opbevaring

Oplysninger opbevares i henhold til instruktioner fra den Dataansvarlige.

11. Taxback DPO

Margaret Corrigan, The Taxback Group, IDA Business & Technology Park, Ring Road, Kilkenny, Ireland.