DATABEHANDLERAFTALE

1. Persondatapolitik – oplysningsforpligtelse ved indsamling af personoplysninger

Kontaktoplysninger på dataansvarlig:

Virksomhed: Revisor Mikael Hansen ApS

Adresse: SOHO – Flæsketorvet 68, 1. 1711 København V.

CVR: 40 47 71 79

E-mail: mikael@revisormikaelhansen.dk

Telefonnummer: 53 53 69 69

Vi anvender denne type data om kunden

Vi anvender de persondata, som kunden giver os, for at vi kan løse den aftalte opgave. Det inkluderer stamdata og cpr. nr., regnskabsdata, skatteoplysninger, officielle registreringer (fx om pantsætninger), ledelse, koncern- og ejerforhold, ejendomsoplysninger mv. Formålet med behandlingen er at kunne tilbyde vores kunder de ydelser, som de efterspørger, samt at opfylde den lovgivning som er gældende for revisionsvirksomheder i Danmark.

Vi behandler kun nødvendige persondata

Vi indsamler, behandler og opbevarer kun de persondata, der er nødvendige i forhold til at løse de aftalte opgaver. Det gælder i udgangspunktet Personbogen, Tinglysningsbogen, Erhvervsstyrelsen, CVR-registret, SKAT, OIS (Den Offentlige Informationsserver) og Ejerregisteret.

Derudover kan det være bestemt ved lovgivning, hvilken type data der er nødvendig at indsamle og opbevare for vores forretningsdrift. Det gælder fx bogføringsloven og hvidvaskloven (se nærmere nedenfor i sidste afsnit).

Vi sletter persondata, når de ikke længere er nødvendige

Revisor Mikael Hansen ApS` dataenhed sletter persondata, når de ikke længere er nødvendige i forhold til det formål, som var årsagen til indsamlingen. Det vil som udgangspunkt være efter endt kundeforhold. Kundedata til brug for regnskabsmateriale opbevarer vi dog altid i mindst 5 år på grund af reglerne i Bogføringsloven og Hvidvaskloven.

Videregivelse og overladelse af persondata

Vi videregiver og overlader persondata til samarbejdspartnere og andre aktører, hvis det er nødvendigt for at opfylde aftalen, som vi har indgået med kunden.

Vi vælger nogle gange at benytte databehandlere, herunder udbydere af software, webhosting, backup, sikkerhed og opbevaring. Når der anvendes databehandlere, sker det kun ud fra specifikke formål, og det er stadig vores ansvar, at kundens oplysninger behandles i overensstemmelse med gældende lovgivning og nærværende persondatapolitik.

Vi videregiver ikke persondata til formål, som ikke følger af aftalen – fx videregivelse til andre til brug for deres markedsføring – medmindre vi har aftalt det med kunden i forbindelse med indsamlingen eller indhenter samtykke fra kunden efter at have informeret denne om, hvad kundens data vil blive brugt til. Kunden kan til enhver tid bede os stoppe videregivelsen af personoplysninger, uanset at det er aftalt, eller kunden på anden vis har samtykket til det.

Vi indhenter dog ikke kundens samtykke, hvis vi er retligt forpligtet til at videregive persondata, fx som led i en lovpligtig indberetning til en myndighed.

Kunden har ret til at få adgang til sin persondata

Kunden har til en enhver tid ret til at få oplyst, hvilke data vi behandler om vedkommende, hvor de stammer fra, og hvad vi anvender dem til. Kunden kan også få oplyst, hvor længe vi opbevarer persondata, og hvem, der modtager data om kunden.

Adgangen kan dog være begrænset af hensyn til andre personers privatlivsbeskyttelse, til forretningshemmeligheder og immaterielle rettigheder. Kunden kan gøre brug af rettigheder ved at henvende sig til os.

Kunden har ret til at få unøjagtige persondata rettet eller slettet

Hvis kunden mener, at de persondata, vi behandler om kunden, er unøjagtige eller urigtige, kan kunden naturligvis henvende sig til os og få dem rettet.

I nogle tilfælde vil vi have en forpligtelse til at slette persondata. Det gælder fx, hvis kunden trækker sit samtykke tilbage. Hvis kunden mener, at data ikke længere er nødvendige i forhold til det formål, som vi indhentede dem til, kan kunden bede om at få dem slettet. Kunden kan også kontakte os, hvis kunden mener, at persondata bliver behandlet i strid med lovgivningen eller andre retlige forpligtelser.

Kunden har ret til at gøre indsigelse mod vores behandling af persondata

Kunden har ret til at gøre indsigelse mod vores behandling af persondata. Kunden kan også gøre indsigelse mod vores videregivelse af data til markedsføringsformål. Hvis kundens indsigelse er berettiget, stopper vi med behandlingen og sletter kundens data, medmindre vi er forpligtet efter lovgivningen til at opbevare dem.

Hvis kunden ønsker at bruge sin ret til dataportabilitet, vil kunden modtage persondata fra os i et almindeligt anvendt format

Kunden har ret til at modtage de persondata, kunden har stillet til rådighed for os, og dem, vi har indhentet om kunden hos andre aktører på baggrund af kundens samtykke.

Generelt om kundens brug af sine rettigheder

Hvis kunden ønsker at få adgang til data, få dem rettet eller slettet, eller at gøre indsigelse mod vores databehandling, undersøger vi om det er muligt og giver kunden svar på sin henvendelse så hurtigt som muligt og senest en måned efter, vi har modtaget henvendelse.

Ret til at klage til Datatilsynet

Kunden har ret til at klage til Datatilsynet, hvis kunden mener, at Revisor Mikael Hansen ApS’ behandling af personoplysninger ikke lever op til lovgivningens krav.

2. Indsamling af oplysninger i henhold til hvidvaskloven

Vi er forpligtet til at indsamle oplysninger efter reglerne i hvidvaskloven og i den forbindelse:

1. Indhentes identitets- og kontroloplysninger samt kopi af foreviste legitimations-dokumenter ved etablering af kundeforholdet
2. Indhentes dokumentation for og registreringer af transaktioner, der gennemføres som led i en forretningsforbindelse eller en enkeltstående transaktion
3. I tilfælde af mistanke om, at kunden begår hvidvask, vil der blive indhentet dokumenter og registreringer vedrørende gennemførte undersøgelser
4. Oplyse om, at de indhentede oplysninger om kunden alene vil blive brugt til at opfylde revisors forpligtelser efter hvidvaskloven og ikke til fx markedsførings-formål
5. Gøre opmærksom på, at oplysningerne kan blive videregivet til SØIK i tilfælde af mistanke om, at kunden antages at være involveret hvidvask
6. At kunden har ret til indsigt i de registrerede oplysninger
7. At oplysningerne opbevares i 5 år og normalt vil blive slettet 5 år efter sidste engagement med kunden
8. At kunden har ret til at få korrigeret fejlagtige oplysninger, som er registreret

3. Elektronisk kommunikation

Revisor Mikael Hansen ApS og Kunden accepterer brugen af elektronisk kommunikation i forbindelse med levering af ydelser, godkendelse af materiale (årsregnskaber, skatteopgørelser, selvangivelser mv.) og løbende korrespondance. Enhver part er ansvarlig for at beskytte egne systemer og interesser i forbindelse med elektronisk kommunikation.

Revisor Mikael Hansen ApS eller Revisor Mikael Hansen ApS’ underleverandører er ikke ansvarlige for fejl, tab, uautoriseret adgang, virus, forsinkelse, ødelæggelse mv. i forbindelse med eller forårsaget af elektronisk kommunikation og information.

Revisor Mikael Hansen ApS kan udsende elektroniske nyhedsbreve til Kunden, hvis Kunden har tilkendegivet, at der ønskes elektroniske nyhedsbreve. Kunden kan til enhver tid efter eget ønske afmelde sig de elektroniske nyhedsbreve.

4. Misligholdelse

Hvis en af parterne misligholder sine forpligtelser væsentligt i henhold til Aftalen og/eller disse betingelser, er den anden part berettiget til at ophæve Aftalen.

Væsentlig misligholdelse af Kundens betalingsforpligtelser er gyldig grund til, at Revisor Mikael Hansen ApS berettiget kan ophæve Aftalen.

I tilfælde af væsentlig misligholdelse er en part berettiget til erstatning i henhold til dansk rets almindelige regler, jf. dog punktet om ansvarsbegrænsning.

5. Lovvalg og værneting

Enhver uenighed eller tvist mellem parterne om forståelsen af Aftalen og/eller disse forretningsbetingelser afgøres under anvendelse af dansk ret ved de danske domstole og med Revisor Mikael Hansen ApS hjemsted som værneting.

6. Databehandleraftale

• I det omfang Revisor Mikael Hansen ApS behandler persondata på vegne af Kunden og i henhold til persondataforordningen er databehandler, gælder nedenstående bestemmelser
• I det følgende benævnes Kunden som ”Den Dataansvarlige” og Revisor Mikael Hansen ApS som ”Databehandleren”

6.1. Omfang om instruks

• Databehandleren bemyndiges til at foretage behandling af personoplysninger på den Dataansvarliges vegne på vilkårene fastsat i Databehandleraftalen.
• Databehandleren må alene behandle personoplysninger efter dokumenteret instruks. På underskriftstidspunktet udgør Instruksen dels de dele af aftalen om ydelsen, som vedrører Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige, og dels de dele af denne Databehandleraftale, som enten forpligter, bemyndiger eller begrænser Databehandleren i forhold til behandling af personoplysninger.
• Databehandleren må alene behandle de overladte personoplysninger med henblik på opfyldelse af aftalen om ydelsen og må ikke behandle personoplysningerne til andre formål uden samtykke fra den Dataansvarlige. For at opfylde aftalen om ydelsen bemyndiges Databehandleren til at behandle almindelige personoplysninger om personer ansat hos Den Dataansvarlige. Består hele eller dele af ydelsen af scanning og filtrering af Den Dataansvarliges e-mailtrafik, bemyndiges Databehandleren til at behandle følsomme personoplysninger, jf. persondataforordningens artikel 9, samt personoplysninger om straffedomme og lovovertrædelser, jf. persondataforordningens artikel 10, i det omfang, at sådanne oplysninger forekommer i den e-mailtrafik, som Databehandleren scanner og filtrerer på Den Dataansvarliges vegne.
• Instruksen kan til enhver tid ændres eller konkretiseres nærmere af den Dataansvarlige. Forud for ændringer af Instruksen skal Parterne drøfte, og aftale, implementeringen af ændringerne, inkl. implementeringstiden og omkostningerne.
• Uanset Databehandleraftalens ophør skal betingelsernes § 22 vedrørende fortrolighed fortsat have virkning efter Databehandleraftalens ophør.

6.2. Databehandlerens forpligtelser

• Tekniske og organisatoriske sikkerhedsforanstaltninger
  
  • Databehandleren skal, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammensætning og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemføre nødvendige tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau.
  • Databehandleren garanterer overfor den Dataansvarlige, at Databehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at Databehandlerens behandling af personoplysninger opfylder kravene i den til enhver tid gældende persondataretlige regulering.
• Medarbejderforhold
  
  • Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
  • Databehandleren skal sikre, at adgangen til personoplysningerne begrænses til de medarbejdere, for hvem det er nødvendigt at behandle personoplysninger for at kunne opfylde Databehandlerens forpligtelser over for den Dataansvarlige.
• Dokumentation for overholdelse af forpligtelser
  
  • Databehandleren skal efter skriftlig anmodning fra den Dataansvarlige dokumentere overfor den Dataansvarlige, at Databehandleren:
    
    • overholder Instruksen.
    • overholder bestemmelserne i den til enhver tid gældende persondataretlige regulering, for så vidt angår de personoplysninger, som behandles på den Dataansvarliges vegne.
  • I forbindelse med dokumentationen skal Databehandleren stille alle oplysninger, der er nødvendige for at påvise overholdelse af de nævnte forhold til rådighed for den Dataansvarlige.
  • Databehandleren skal efter den Dataansvarliges skriftlige anmodning give mulighed for og bidrage til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige.
  • Databehandlerens dokumentation heraf skal ske inden rimelig tid.
• Sikkerhedsbrud
  
  • Databehandleren skal uden unødig forsinkelse underrette den Dataansvarlige om brud på persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysningerne behandlet for den Dataansvarlige (”Sikkerhedsbrud”).
  • Databehandleren skal herunder fremskaffe de oplysninger, der skal indgå i en anmeldelse til tilsynsmyndigheden, i det omfang Databehandleren er den nærmeste hertil.
  • Databehandleren bærer omkostningerne til denne bistand, for så vidt den er nødvendig for at sikre den Dataansvarliges overholdelse af sine forpligtelser efter persondatareglerne.
• Bidrag til overholdelse af den dataansvarliges forpligtelser
  
  • Databehandleren skal organisatorisk og teknisk være i stand til at bidrage til, at den dataansvarlige kan overholde sine forpligtelser efter persondataforordningens kapitel 3, i det omfang databehandlerens medvirken kræver det.
  • Databehandleren bistår den dataansvarlige med overholdelse af sine forpligtelser efter persondataforordningens artikel 32-36, i det omfang databehandlerens deltagelse kræver det. Databehandleren har krav på betaling efter medgået tid, for bistand i medfør af dette punkt.

6.3. Den Dataansvarliges forpligtelser

• Den Dataansvarlige skal sikre, at Instruksen er lovlig set i forhold til den til enhver tid gældende persondataretlige regulering.
• Den Dataansvarlige skal sikre, at Instruksen er hensigtsmæssig i forhold til Parternes samarbejde.

6.4. Underdatabehandlere

• Den Dataansvarlige har accepteret, at Databehandleren må gøre brug af leverandører til behandlingen af personoplysninger for den Dataansvarlige (”Underdatabehandler”). Databehandleren skal underrette den dataansvarlige om planlagte tilføjelser eller erstatninger af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.
• Databehandlerens brug af Underdatabehandleren reguleres af en aftale, som sikrer, at underdatabehandleren alene behandler data i overensstemmelse med aftalen mellem Databehandleren og den Dataansvarlige. Al kommunikation med Underdatabehandleren varetages af Databehandleren, medmindre andet særskilt aftales.
• Underdatabehandleren må alene overføre oplysninger til tredjelande, såfremt det fremgår af aftalen med Databehandleren.
• Hvis Underdatabehandleren ikke lever op til aftalen med Databehandleren, kan den Dataansvarlige forbyde anvendelse af den pågældende Underdatabehandler.
• Databehandleren er direkte ansvarlig for Underdatabehandlerens behandling af personoplysninger på samme vis, som var behandling foretaget af Databehandleren selv.

6.5. Overførsel til tredjelande og internationale organisationer

• Databehandleren må ikke overføre personoplysninger til tredjelande og internationale organisationer, som ikke er dækket af persondataforordningens artikel 45, stk. 1, medmindre andet skriftligt aftales.

6.6. Fortrolighed

• Information vedrørende indholdet af denne Databehandleraftale, den anden Parts forretning, der enten i forbindelse med overgivelsen til den modtagende Part er angivet som fortrolig information, eller som efter sin natur eller i øvrigt klart må opfattes som fortrolig, skal behandles fortroligt og med mindst samme omhu og diskretion som partens egne fortrolige informationer. Data, herunder persondata, udgør altid fortrolige informationer.
• Fortrolighedsforpligtelsen gælder dog ikke for information, som er eller bliver offentlig tilgængelig, uden dette skyldes brud på en Parts fortrolighedsforpligtelse eller information, som allerede er i den modtagende Parts besiddelse uden tilsvarende fortrolighedsforpligtelse eller information, som selvstændigt er udviklet af den modtagende Part.

6.7 Ophør

• Databehandlerbestemmelserne kan alene opsiges eller ophæves i overensstemmelse med bestemmelserne om opsigelse og ophævelse i Hovedaftalen.
• Ved databehandlerbestemmelsernes ophør skal Databehandleren og dennes underdatabehandlere efter den Dataansvarliges valg enten slette eller tilbagelevere og slette eksisterende kopier af alle personoplysninger, som Databehandleren har behandlet på vegne af den Dataansvarlige. Den Dataansvarlige kan anmode om nødvendig dokumentation for, at dette er sket.