Aftale om databehandling (DPA)

Denne databehandleraftale ("Aftalen") indgås af og mellem Duckling Media ApS, CVR-nr: DK-43764810 Databehandleren ("Databehandleren"), og den Dataansvarlige ("den Dataansvarlige").

(kollektivt benævnt "parterne" og individuelt benævnt "part")

Denne aftale beskriver de vilkår og betingelser, hvorunder databehandleren vil behandle personoplysninger på vegne af den dataansvarlige i overensstemmelse med den generelle databeskyttelsesforordning (GDPR) (EU) 2016/679.

1. FORMÅLET MED DATABEHANDLINGEN

Databehandleren må udelukkende behandle personoplysninger til de formål, der er fastsat i aftalen, og i overensstemmelse med den dataansvarliges dokumenterede instruktioner. Behandlingen foretages for at gøre det muligt for databehandleren at levere et socialt medienetværk i en app eller et websted, som giver brugerne mulighed for at dele multimediehistorier, oprette grupper og interagere med hinanden med likes, kommentarer og lignende midler.

2. DATABEHANDLINGSINSTRUKTIONER

Databehandleren behandler kun personoplysninger i overensstemmelse med den dataansvarliges privatlivspolitik og juridiske vilkår, som kan ændres fra tid til anden. Databehandleren vil ikke bruge personoplysninger til andre formål, medmindre det kræves i henhold til gældende lovgivning.

3. VARIGHED AF DATABEHANDLINGSRETTIGHEDER

Databehandleren skal behandle personoplysninger, så længe der leveres tjenester i henhold til denne aftale. Ved ophør af de tjenester, der leveres til databehandleren, vil databehandleren opbevare brugerdata i det omfang, det er nødvendigt for sine legitime forretningsformål og overholdelse af gældende lovgivning. Duckling skal dog returnere eller sikkert slette personoplysningerne efter anmodning fra individuelle brugere, forudsat at en sådan anmodning fremsættes i overensstemmelse med den registreredes rettigheder i henhold til gældende databeskyttelseslovgivning.

4. BEHANDLINGENS ART OG FORMÅL

Databehandleren vil indsamle, opbevare og behandle personoplysninger som en del af serviceleverancen. Behandlingsaktiviteterne kan omfatte datahosting, analyse, brugergodkendelse, anbefalinger, verificering og sortlistning af indhold og brugere. Formålet med behandlingen er at gøre det muligt for databehandleren at levere de tjenester, der er beskrevet i denne aftale.

5. FORTROLIGHED

Databehandleren må kun give adgang til personoplysninger, der behandles på vegne af den dataansvarlige, til personer, der er underlagt databehandlerens myndighed, har forpligtet sig til fortrolighed eller er bundet af en passende lovbestemt tavshedspligt, og kun i det omfang, det er nødvendigt. Listen over personer, der har fået adgang, skal gennemgås regelmæssigt. Baseret på denne gennemgang kan adgangen til personoplysninger tilbagekaldes, hvis det ikke længere er nødvendigt, og sådanne oplysninger må ikke længere være tilgængelige for disse personer. Efter anmodning fra den dataansvarlige skal databehandleren kunne påvise, at de personer, der er underlagt dennes myndighed, er underlagt ovennævnte fortrolighedsforpligtelser.

6. TYPE AF PERSONOPLYSNINGER

De typer af personoplysninger, der skal behandles, kan omfatte:

  • Kontaktoplysninger: Navn, e-mailadresse og telefonnummer

  • Demografiske oplysninger: Skole, alder, køn

  • Brugsdata: Brugerinteraktioner som likes og visninger

7. KATEGORIER AF REGISTREREDE

De personoplysninger, der skal behandles, vedrører følgende kategorier af registrerede:

  • Indholdsskabere, der skaber historier og uploader medier på Duckling

  • Indholdsseere, der ser eller på anden måde interagerer med historier og medier på Duckling .

  • Supportere, lærere og mentorer, som tilbyder læring og vejledning på platformen.

8. DEN DATAANSVARLIGES FORPLIGTELSER OG RETTIGHEDER

Den dataansvarlige anerkender, at denne er ansvarlig for at sikre, at de personoplysninger, der leveres til databehandleren, behandles i overensstemmelse med gældende databeskyttelseslove. Den dataansvarlige har følgende forpligtelser og rettigheder:

  • Sikre, at alle personoplysninger, der deles med databehandleren, er indsamlet og behandlet lovligt.

  • Giv klare instruktioner til databehandleren om databehandling.

  • Overvåg databehandlerens overholdelse af databeskyttelseslovgivningen.

  • Sørg for, at de registreredes rettigheder (f.eks. ret til indsigt, berigtigelse, sletning osv.) overholdes.

9. SIKKERHED I FORBINDELSE MED DATABEHANDLING

I henhold til artikel 32 i GDPR skal den dataansvarlige og databehandleren gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der står i forhold til risiciene for brugernes rettigheder og friheder. Disse risici omfatter uautoriseret adgang, databrud, identitetstyveri og profilering, der kan krænke brugernes privatliv, digitale autonomi og borgerlige frihedsrettigheder.

For at mindske disse risici skal processoren:

  • Krypter og pseudonymiser kritiske private data for at forhindre uautoriseret adgang.

  • Sikre kontinuerlig fortrolighed, integritet og tilgængelighed af brugerdata.

  • Implementer robust adgangskontrol

  • Etabler et system til hurtig genoprettelse af datatilgængelighed i tilfælde af cyberangreb eller systemfejl.

  • Gennemfør regelmæssige sikkerhedsrevisioner og penetrationstest for at identificere sårbarheder.

  • Oprethold en gennemsigtig underretningspolitik, og informer brugerne inden for 72 timer i tilfælde af et databrud.

  • Gemme brugerdata på servere, der overholder GDPR, og sikre streng overholdelse af databeskyttelseslove.

  • Begræns databehandling til det nødvendige minimum og forhindr brug af brugerdata til uautoriseret profilering eller målrettet reklame.

  • Uddan alle medarbejdere og underleverandører i bedste praksis for databeskyttelse for at reducere menneskelige fejl, der fører til brud.

Databehandleren skal også regelmæssigt vurdere nye risici og om nødvendigt indføre yderligere beskyttelsesforanstaltninger for at opretholde brugernes digitale rettigheder, sikkerhed og borgerlige frihedsrettigheder og sikre, at ingen databehandlingsaktiviteter udsætter dem for diskrimination, overvågning eller unødig manipulation.

10. BISTAND TIL DEN DATAANSVARLIGE

Under hensyntagen til behandlingens karakter bistår databehandleren så vidt muligt den dataansvarlige ved at gennemføre passende tekniske og organisatoriske foranstaltninger med at opfylde den dataansvarliges forpligtelse til at besvare anmodninger vedrørende udøvelse af registreredes rettigheder som beskrevet i kapitel III i den generelle databeskyttelsesforordning (GDPR).

Dette omfatter at hjælpe den dataansvarlige, i det omfang det er muligt, med at sikre overholdelse af:

  • Forpligtelsen til at give oplysninger ved indsamling af personoplysninger fra den registrerede

  • Forpligtelsen til at give oplysninger, hvis personoplysninger ikke indsamles fra den registrerede

  • Retten til adgang

  • Retten til berigtigelse

  • Retten til sletning ("retten til at blive glemt")

  • Retten til begrænsning af behandling

  • Forpligtelsen til at underrette om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling

  • Retten til dataportabilitet

  • Retten til at gøre indsigelse

  • Retten til ikke at være genstand for en afgørelse, der udelukkende er baseret på automatiseret behandling, herunder profilering

Databehandleren skal endvidere bistå den dataansvarlige under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, med at opfylde:

Databehandleren underretter den dataansvarlige om ethvert brud på persondatasikkerheden senest 24 timer efter at være blevet bekendt med bruddet, hvis det er muligt, for at gøre det muligt for den dataansvarlige at overholde sin forpligtelse til at anmelde bruddet til den kompetente tilsynsmyndighed, Datatilsynet i Danmark, uden unødig forsinkelse og, hvis det er muligt, senest 72 timer efter at være blevet bekendt med bruddet, medmindre det er usandsynligt, at bruddet vil medføre en risiko for fysiske personers rettigheder eller frihedsrettigheder, i overensstemmelse med artikel 33 i GDPR.

Den dataansvarliges forpligtelse til at underrette den registrerede om et brud på persondatasikkerheden uden unødig forsinkelse, når bruddet sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder.

Den dataansvarliges forpligtelse til at foretage en konsekvensanalyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelsen af personoplysninger (en konsekvensanalyse vedrørende databeskyttelse).

Den dataansvarliges forpligtelse til at høre den kompetente tilsynsmyndighed, Datatilsynet i Danmark, før behandling, hvis en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil medføre en høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at mindske risikoen.

11. ANMELDELSE AF BRUD PÅ PERSONDATASIKKERHEDEN

Databehandleren skal underrette den dataansvarlige uden unødig forsinkelse, når han bliver opmærksom på et brud på persondatasikkerheden.

Hvis det er muligt, skal databehandlerens anmeldelse til den dataansvarlige ske senest 72 timer efter at være blevet opmærksom på bruddet, så den dataansvarlige kan opfylde sin forpligtelse til at anmelde bruddet til den kompetente tilsynsmyndighed i overensstemmelse med artikel 33 i GDPR.

Databehandleren skal bistå den dataansvarlige med at anmelde bruddet til den kompetente tilsynsmyndighed. Det betyder, at databehandleren skal hjælpe med at tilvejebringe følgende oplysninger, som i henhold til artikel 33, stk. 3, skal indgå i den dataansvarliges rapport til tilsynsmyndigheden:

  • Karakteren af bruddet på persondatasikkerheden, herunder, hvor det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte persondataregistre.

  • De sandsynlige konsekvenser af bruddet på persondatasikkerheden.

  • De foranstaltninger, som den dataansvarlige har truffet eller foreslået for at håndtere bruddet på persondatasikkerheden, herunder, hvor det er relevant, foranstaltninger til at afbøde dets mulige negative virkninger.

12. SUB-PROCESSORER

Databehandleren kan engagere underdatabehandlere til specifikke opgaver. Underdatabehandleren er bundet af de samme databeskyttelsesforpligtelser som databehandleren.

Databehandleren skal underrette den dataansvarlige om brugen af nye underdatabehandlere via e-mail eller meddelelse i appen, medmindre den dataansvarlige specifikt har fravalgt denne type kommunikation.

Duckling skal have databehandlingsaftaler (DPA'er) på plads med underleverandører og sikre, at DPA'en eksplicit definerer databeskyttelsesforpligtelser i henhold til GDPR (eller andre gældende love) samt ansvarsområder vedrørende sikkerhed, overholdelse og anmeldelse af brud.

Duckling Media ApS bruger i øjeblikket følgende underdatabehandlere:

  • Google LLC, Dublin, Irland: Duckling bruger Google Cloud til lagring af data.

  • Twilio GmbH, Berlin, Tyskland: Duckling bruger Twilio til godkendelse via SMS (når en bruger tilmelder sig, kan de bekræfte deres konto via en tekstbesked).

13. ANSVAR

Hver part er ansvarlig for eventuelle skader, der skyldes manglende overholdelse af gældende databeskyttelseslovgivning. Databehandleren skal holde den dataansvarlige skadesløs for ethvert krav, der opstår som følge af databehandlerens misligholdelse af denne aftale.

14. GÆLDENDE LOV OG TVISTER

Denne aftale er underlagt dansk lovgivning, og eventuelle tvister skal afgøres ved de kompetente domstole i København, Danmark.

15. ACCEPT AF VILKÅR

Ved at onboarde Duckling og tilvælge de juridiske vilkår anerkender og accepterer databehandleren vilkårene i denne databehandleraftale. Denne accept betyder, at databehandleren forpligter sig til at overholde alle forpligtelser i denne aftale og til at behandle personoplysninger i overensstemmelse med den dataansvarliges instruktioner og den gældende databeskyttelseslovgivning.