Data Processor Agreement

English - DATA PROCESSOR AGREEMENT


1 BACKGROUND AND PURPOSE

  1. NorthQ ApS, company reg.no. 31048850 (“the Processor”) provides various IT service to the customer (the “Controller”) as describes in the parties’ underlying agreement(s) concerning the Services (the “Services”).
  2. The Processor processes personal data on behalf of the Controller as part of the performance of the Services. Accordingly, the parties have concluded this agreement (the “Data Processor Agreement”) which constitutes an integrated part of the parties’ agreement(s) concerning the Services. In case of conflict between any agreement between the Parties and this Data Processor Agreement, this Data Processor Agreement shall take precedence.
  3. To the extent that the applicable data protection regulation entails a need to adjust the Data Processor Agreement, the parties agree that the content of this Data Processor Agreement shall be renegotiated between the Parties.
2 SCOPE
  1. The Processor is authorized to process personal data on behalf of the Controller as part of the performance of the Services on the terms and conditions set out in this Data Processor Agreement.
  2. The Processer is only allowed to process personal data pursuant to this Data Processor Agreement on behalf of the Controller and only to the extent the processing is necessary for delivering the Services.
  3. The Processor is not allowed to process the personal data for its own purposes.
  4. The Processor will process ordinary categories of personal data. This includes all personal data the Controller provides to the Processor, e.g. personal data uploaded to the Processor’s by the Customer when using the Services including GPS-data, data on electrical or gas consumption, price data concerning electrical or gas consumption, utility used and data on the Controllers buildings, addresses, ID number, contact information etc. No special or sensitive categories of personal data is processed.
  5. To the extent the Processor becomes aware that special/sensitive categories of personal data has been provided to the Processor, such personal data will be deleted instantly and without prior notice to the Controller, unless the Processer receives instructions from the Controller allowing the Processer to process such categories of personal data.
  6. The Processor will process personal data pertaining to all categories of data subjects on behalf of the Controller incl. citizens, and any other stakeholders, which may also include children, to extent such data is provided by the Controller.
  7. The Processor may only process the personal data on the terms and conditions of the Controller’s instructions unless processing is otherwise required under EU law or national law applicable to the Processor. In this event, the Processor shall notify the Controller of the legal requirement before processing is carried out unless such notification would be in contravention to the law in question.
  8. The Processor may anonymize data. Such anonymized data, may be used, without the instructions of the Controller and for the Processors own purposes.
3 DURATION
  1. This Data Processor Agreement shall be effective for the duration of the provision of the Services and shall terminate automatically when the Processor no longer processes personal data on be-half of the Controller as part of the Services.
  2. Upon termination of the Data Processor Agreement, the Processor shall return to the Controller all personal data (if the Controller does not already have such data) and shall delete any existing copies unless EU law or national law requires the Processor to store the personal data.
  3. Processor may keep any data which is not classified as personal data.
4 CONTROLLER’S OBLIGATIONS
  1. The Controller is responsible for com-plying with applicable data protection law in relation to the personal data processed by the Processor on behalf of the Controller.
  2. The Controller’s responsibility includes in particular the following, the compliance with which is warranted by the Controller:
  • The Controller has the necessary legal basis to process, and to permit the Processor to process, the personal data processed as part of the performance of the Services.
  • The specification of personal data in clause 2 of this Data Processor Agreement is exhaustive and no other personal data is being processed as part of the performance of the Services.
  • The instructions given are legal and sufficient for the Processor to fulfill its obligations.
5 PROCESSOR’S OBLIGATIONS
  1. Security measures
    1. The Processor shall initiate and implement appropriate technical and organizational measures to achieve a security level that matches the risks involved in the processing activities carried out by the Processor for the Controller.
    2. The technical and organizational measures shall be determined, taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of the processing as well as the risk of varying likelihood and severity to the rights and freedoms of natural persons.
    3. The Processor shall ensure that persons authorized to process the Controller’s personal data have committed them-selves to confidentiality or are subject to an appropriate statutory obligation of confidentiality.
  2. Documentation for compliance with the processor’s obligations
    1. The Processor shall make available to the Controller all information required to demonstrate compliance with the requirements of the Data Processor Agreement. The Processor shall give access and contribute to audits, including inspections, conducted by the Controller or another auditor authorized by the Controller. This clause can also be fulfilled by the Processors submission of an audit report.
    2. The Processor shall notify the Controller immediately if, in the Processor’s view, an instruction to make information available or give access to audits or inspections is contrary to applicable Danish law or data protection provisions in other EU law or national law.
  3. Notification of personal data breaches
  • The Processor shall notify the Controller without undue delay after becoming aware of a personal data breach.
  1. Assistance to the Controller
    1. At the Controller’s request and taking into account the nature of the processing, the Processor shall assist the Controller by appropriate technical and organizational measures, with the fulfilment of the Controller’s obligation to respond to requests for exercising the data subjects’ rights as set out in the applicable legislation on the processing of personal data.
    2. At the Controller’s request and taking into account the nature of the processing and the information available to the Processor, the Processor shall also assist the Controller with ensuring compliance with the Controller’s obligations to:
      a) implement appropriate technical and organizational measures;
      b) notify the supervisory authorities of personal data breaches;
      c) communicate a personal data breach to data subjects;
      d) carry out data protection impact assessments; and
      e) perform prior consultations of the supervisory authority.
6 COMPENSATION
  1. The Processor is entitled to receive payment for time spent as well as other direct costs incurred by the Processor relating to assistance and services provided by the Processor at the request of the Controller. Such assistance and services may include but is not limited to assistance with reporting a security breach, provision of data to data subjects, audits, cooperation with supervisory authorities and assistance for compliance with request from data subjects.
  2. The Processor is entitled to receive payment for time spent as well as other direct costs incurred by the Processor relating to changes in the Controller’s circumstances or the instructions. The costs may include but is not limited to changes as a result of new risk assessments and impact assessments as well as changes necessitated due to the Controller is being subject to law or than Danish law.
  3. The compensation is calculated in accordance with the agreed hourly rate in the agreement(s) regarding delivery of the Service. Where no agreement regarding hourly rate has been made, the compensation is calculated in accordance with the Processor’s generally applied hourly rates.
  4. Notwithstanding anything to the contrary in this clause 6, a party does not have the right to claim compensation for assistance or implementation of changes to the extend where such assistance or changes are a direct consequence of the party’s own breach of this Data Processor Agreement.
7 USE OF ANOTHER PROCESSOR
  1. The Processor may use another processor (a sub-processor) without the Controller’s prior approval.
  2. An updated list of sub-processors can be found either on the Processor’s website or made available through the IT solution provided by the Processor. Such list can also be provided by request to the e-mail address dpo@northq.com. Further, any updates to the sub-processors will be notified to the Controller, e.g. via e-mail, newsletters, system notification etc. The Controller may object against the addition or substitution of a sub-processor to the extent the Controller has a reasonable basis for such objection.
  3. Where the Processor engages a sub-processor, the same data protection obligations as set out in this Data Processor Agreement shall be imposed on that other sub-processor by way of a contract, in particular providing sufficient guarantees to implement appropriate technical and organizational measures in such a manner that the processing will meet the requirements of the general data protection regulation. Notwithstanding the foregoing, the Controller accepts that the processing of data by the sub-processor may be subject to the standard terms and conditions that applies to such sub-processor, provided that the Controller is informed hereof. Such information regarding the sub-processors can be found on the Processor’s website, the IT solution provided by the Processor or otherwise provided to the Controller.
  4. The Processor is fully liable to the Controller for the performance of the sub-processor’s obligations.
8 DATA EXPORT
  1. The Processor will seek to keep all personal data within the European Union or EEA; it is not the intention of the Processor to export data. However, the Controller accepts that the Processor may transfer personal data to a country outside the European Union or EEA – provided that the Processor, prior to the transfer, has secured the necessary lawful basis for such transfer - or that the Controller has instructed the Processor to do so (e.g. by using the services provided by the Processor to send information to recipients outside of the EU or EEA), in which case the Controller is responsible for securing the necessary lawful basis.
  2. If the Controller under the employed transfer basis is required to be a direct contractual party to an agreement, e.g. the EU Commission’s model con-tracts for the transfer of personal data to third countries, the Processor shall be authorized to conclude such agreement on behalf of the Controller. The content of this Data Processor Agreement shall not be deemed to change the content of such transfer basis, incl. the EU Commission’s model contracts.
9 AMENDMENTS
  1. The Processor may amend this Data Processor Agreement by giving 90 days prior written notice, such notice to include the amendment(s). If the Controller does not wish to be bound by the amended Data Processor Agreement, the Controller shall terminate the affected part(s) of the parties’ agreement(s) concerning the Services for convenience, by giving written notice hereof prior to the end of the Processor’s notice period with effect at the expiry of such notice period.
10 LIMITATIONS OF LIABILITY
  1. The limitation of liability in the under-lying agreement(s) concerning the Services applies to the Processor’s processing of the personal data under this Data Processor Agreement, incl. with regard to art. 82(5) of the general data protection regulation.
11 DISPUTES AND CHOICE OF LAW
  1. This Data Processor Agreement is subject to the laws of Denmark, except for (a) Danish International Private Law principles leading to the application of law other than Danish law and (b) the United Nations Convention on Contracts for the International Sale of Goods (CISG).
  2. Any dispute arising out of or in connection with this Data Processor Agreement which is not resolved by negotiation shall be settled by a competent court at the Processor’s venue.




Dansk -  DATABEHANDLERAFTALE


  1. BAGGRUND OG FORMÅL
    1. NorthQ ApS, CVR-nr. 31048850, (”Databehandleren”) leverer en række IT-ydelser til Kunden (den ”Dataansvarlige”), som nærmere beskrevet i Parternes særskilte aftale(r) herom (”Hovedydelsen”).
    2. I forbindelse med levering af Hovedydelsen behandler Databehandleren personoplysninger på vegne af den Dataansvarlige, hvorfor Parterne har indgået denne aftale (”Databehandleraftalen”), der udgør en integreret del af Parternes aftale(r) om Hovedydelsen. I tilfælde af uoverensstemmelser mellem Databehandleraftalen og enhver anden aftale indgået mellem Databehandleren og den Dataansvarlige har Databehandleraftalen forrang.
    3. I det omfang den til enhver tid gældende databeskyttelsesretlige regulering medfører, at der er brug for tilpasninger af Databehandleraftalen, er Parterne enige om, at dette skal medføre fornyet forhandling af indholdet af denne Databehandleraftale.
  2. OMFANG
    1. Databehandleren bemyndiges til at foretage behandling af personoplysninger på den Dataansvarliges vegne som led i opfyldelsen af Hovedydelsen på vilkårene fastsat i Databehandleraftalen.
    2. Databehandleren må alene behandle personoplysningerne i henhold til Databehandleraftalen på vegne af den Dataansvarlige, og alene i det omfang det er nødvendigt for Databehandlerens levering af Hovedydelsen.
    3. Databehandleren må ikke behandle personoplysninger til egne formål, jf. dog afsnit 2.8. og 3.3
    4. Databehandleren behandler alene almindelige ikke-følsomme oplysninger på vegne af den Dataansvarlige. Dette omfatter alle personoplysninger leveret fra den Dataansvarlige til Databehandler, i forbindelse med den Dataansvarliges brug af Hovedydelsen herunder GPS-data, data vedrørende elektricitet-, gas-, varme- eller vand forbrug, pris data vedrørende elektricitet-, gas-, varme- eller vand forbrug, data indkommende fra andre klimasensorer og data vedrørende den Dataansvarliges bygninger, adresser, ID-numre, kontaktinformationer osv. Der vil ikke blive behandlet følsomme personoplysninger.
    5. I det omfang Databehandleren bliver opmærksom på, at der bliver overladt følsomme oplysninger til Databehandleren slettes sådanne oplysninger af Databehandleren uden varsel, medmindre Databehandleren modtager særlig instruktioner fra den Dataansvarlige, der tillader behandling af sådanne oplysninger.
    6. Databehandleren behandler personoplysninger vedrørende alle kategorier af registrerede på vegne af den Dataansvarlige, inkl. beboere og andre interessenter, som også kan omfatte børn, i den udstrækning sådanne data er overladt fra den Dataansvarlige.
    7. Databehandleren må alene behandle personoplysningerne efter instruks fra den Dataansvarlige, medmindre en behandling kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt; i så fald underretter Databehandleren den Dataansvarlige om det retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning.
    8. Databehandleren må anonymisere data. Sådan anonymiseret data må anvendes uden yderligere instruks fra den dataansvarlige og til Databehandlerens egne formål.
  3. VARIGHED OG OPHØR
    1. Databehandleraftalen gælder, så længe Databehandleren leverer Hovedydelsen og ophører automatisk når Databehandleren ikke længere behandler personoplysninger på vegne af den Dataansvarlige som en del af Hovedydelsen.
    2. I det omfang den Dataansvarlige ikke selv er i besiddelse af personoplysningerne, ved Databehandleraftalens ophør, skal Databehandleren tilbagelevere personoplysningerne behandlet under Databehandleraftalen til den Dataansvarlige. Databehandleren er herefter forpligtet til at slette personoplysningerne, medmindre opbevaring kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt.
    3. Databehandleren må beholde alle former for oplysninger, som ikke er personoplysninger.
  4. DATAANSVARLIGES FORPLIGTIGELSER
    1. Den Dataansvarlige er ansvarlig for at overholde den til enhver tid gældende databeskyttelsesretlige regulering i forhold til de personoplysninger, som overlades til Databehandlerens behandling på vegne af den Dataansvarlige.
    2. Den Dataansvarlige er herunder navnlig ansvarlig for og indestår for, at:
    • Den Dataansvarlige har fornøden hjemmel til at behandle og til at lade Databehandleren behandle de personoplysninger, der behandles i forbindelse med Hovedydelsen.
    • Angivelsen af personoplysninger i Databehandleraftalens punkt 2 er udtømmende, og at der ikke behandles andre oplysninger i forbindelse med Hovedydelsen.
    • De afgivne instrukser er lovlige og tilstrækkelige for, at Databehandleren kan opfylde sine forpligtigelser.
  5. DATABEHANDLERENS FORPLIGTIGELSER
    1. Tekniske- og organisatoriske sikkerhedsforanstaltninger
      1. Databehandleren skal iværksætte og implementere passende tekniske og organisatoriske foranstaltninger, til at opnå et sikkerhedsniveau der passer til de risici der er involveret i behandlingsaktiviteterne udført af Databehandleren på vegne af den Dataansvarlige.
      2. Sikkerhedsforanstaltningerne skal gennemføres under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne, den pågældende behandlings karakter, omfang, sammensætning og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.
      3. Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, har forpligtet sig til fortrolighed eller er underkastet en passende lovpligtig tavshedspligt.
    2. Dokumentation foroverholdelse
      1. Databehandleren skal stille alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i Databehandleraftalen, til rådighed for den Dataansvarlige. Databehandleren skal give adgang og bidrage til audits, herunder inspektioner, der foretages af den Dataansvarlige eller en revisor, som er bemyndiget af den Dataansvarlige. Denne bestemmelse kan også opfyldes af Databehandlerens indlevering af en auditrapport.
      2. Databehandleren skal underrette den Dataansvarlige omgående såfremt en instruks om at gøre oplysninger tilgængelig eller give adgang til audits eller inspektioner, efter Databehandlerens opfattelse, er i strid med gældende dansk ret eller databeskyttelsesbestemmelser i anden EU-ret eller nationale ret.
    3. Sikkerhedsbrud
      • Databehandleren underretter uden unødig forsinkelse den Dataansvarlige, hvis Databehandleren bliver opmærksom på, at der er sket brud på persondatasikkerheden.
    4. Bistand
      1. På den Dataansvarliges anmodning og under hensyntagen til behandlingens karakter, bistår Databehandleren så vidt muligt den Dataansvarlige ved hjælp af passende, tekniske og organisatoriske foranstaltninger med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder som angivet i gældende lovgivning om behandling af personoplysninger.
      2. På den Dataansvarliges anmodning og under hensyntagen til behandlingens karakter, samt den information der er tilgængelig for Databehandleren, bistår Databehandleren den Dataansvarlige med at sikre overholdelse af den Dataansvarliges forpligtelser vedrørende:
      • Implementering af passende tekniske og organisatoriske foranstaltninger;
      • anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheder;
      • underretning om brud på persondatasikkerheden til registrerede;
      • gennemførelse af konsekvensanalyser vedrørende databeskyttelse; samt
      • forudgående høringer af kompetente tilsynsmyndigheder.
  6. VEDERLAG
    1. Databehandleren har krav på betaling efter medgået tid, samt Databehandlerens øvrige direkte forbundne omkostninger herved, for de ydelser, der udføres efter Databehandleraftalen på den Dataansvarliges anmodning. Ydelserne kan omfatte, men er ikke begrænset til, assistance ved anmeldelse af brud på persondatasikkerheden, hjælp til at sende data til registrerede, bistand ved audit, samarbejde med tilsynsmyndigheder og assistance med efterlevelse af anmodninger fra registrerede.
    2. Databehandleren har krav på betaling efter medgået tid, samt Databehandlerens øvrige direkte forbundne omkostninger herved, for de ydelser, der udføres efter Databehandleraftalen, som følger af ændringer i den Dataansvarliges forhold eller instruktioner. Ydelserne kan omfatte, men er ikke begrænset til, bistand til ændringer, der følger af nye risikovurderinger og konsekvensanalyser samt ændringer nødvendiggjort af, at den Dataansvarlige forpligtes af anden lovgivning end dansk ret.
    3. Vederlaget beregnes efter de aftalte timesatser i aftale(r)n(e) om levering af Hovedydelserne, og hvor der ikke er aftalt timesatser heri, da beregnes vederlaget efter Databehandlerens gældende timesatser.
    4. En Part har uanset ovenstående ikke krav på betaling for assistance eller implementering af ændringer i det omfang, sådan assistance eller ændring er en direkte følge af Partens egen misligholdelse af denne Databehandleraftale.
  7. UNDERDATABEHANDLERE
    1. Databehandleren kan gøre brug af en tredjepart til behandlingen af personoplysninger på vegne af den Dataansvarlige (en underdatabehandler) uden forudgående samtykke hertil.
    2. En opdateret liste over underdatabehandlere findes enten på Databehandlerens hjemmeside eller i IT-systemet leveret af Databehandleren. Denne liste kan i øvrigt rekvireres ved henvendelse til e-mailadressen dpo@northq.com. Derudover vil ændringer i underdatabehandlere på anden måde blive oplyst til den Dataansvarlige, f.eks. via e-mail, nyhedsbreve, systembeskeder etc. Den Dataansvarlige har mulighed for at gøre indsigelser gældende mod tilføjelser eller erstatninger af underdatabehandler i det omfang, den Dataansvarlige har en rimelig grund hertil.
    3. Når Databehandleren gør brug af en Underdatabehandler, skal Databehandleren og underdatabehandleren indgå en skriftlig aftale, som pålægger underdatabehandleren de samme databeskyttelsesforpligtelser, som påhviler Databehandleren, navnlig ved at give tilstrækkelige garantier til implementering af passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen vil opfylde kravene i databeskyttelsesforordningen. Uanset ovenstående accepterer den Dataansvarlige at behandling af personoplysninger, på vegne af den Dataansvarlige, som fortages af underdatabehandlere, sker på vilkårene fastsat i den pågældende underdatabehandlers til en hver tid gældende standardvilkår, når den Dataansvarlige er informeret herom. Sådanne oplysninger vedrørende underdatabehandlere kan findes på Databehandlerens hjemmeside, det leverede IT-system eller kan på anden vis tilvejebringes den Dataansvarlige.
    4. Databehandleren er direkte ansvarlig for underdatabehandlerens opfyldelse af sine forpligtelser overfor den Dataansvarlige.
  8. DATAEKSPORT
    1. Databehandleren vil søge at opbevare alle personoplysninger inden for EU eller EØS; det er ikke Databehandlerens hensigt at eksportere data. Den Dataansvarlige accepterer dog, at Databehandleren kan overføre/give personoplysninger til et land uden for EU eller EØS – forudsat at Databehandleren, forud for overførslen, har sikret sig det nødvendige lovlige grundlag for sådan overførsel – eller at den Dataansvarlige har instrueret Databehandleren til at foretage overførslen (f.eks. ved at benytte de tjenester, der leveres af Databehandleren til at sende information til modtagere uden for EU eller EØS), i hvilket tilfælde den Dataansvarlige er ansvarlig for sikring af det nødvendige lovlige grundlag.
    2. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den Dataansvarlige er direkte aftalepart i overførselsgrundlaget, f.eks. EU Kommissionens modelkontrakt for overførsel af personoplysninger til tredjelande, skal Databehandleren anses for bemyndiget til at indgå sådan aftale på vegne af den Dataansvarlige. Indholdet af denne Databehandleraftale anses ikke for at ændre indholdet af sådan overførselsgrundlag, herunder EU Kommissionens modelkontrakter.