Databehandleraftale
Denne Databehandleraftale ("Aftalen" eller "DPA") er en integreret del af hovedaftalen mellem Contimo ApS, Kronprinsensgade 4, 2., 1114 København K, Danmark, CVR: DK-43706659 ("Databehandleren" eller "Contimo") og annoncøren/kunden ("Den Dataansvarlige" eller "Kunden").
Aftalen fastsætter parternes rettigheder og forpligtelser i henhold til Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 (Databeskyttelsesforordningen eller "GDPR") artikel 28, stk. 3.
1. Roller og Ansvarsfordeling
Parterne er enige om, at Kunden fungerer som Dataansvarlig for de personoplysninger, der indsamles på Kundens egne digitale platforme (f.eks. hjemmesider). Dette inkluderer oplysninger indsamlet via cookies og lignende sporingsteknologier, som implementeres via Contimos teknologi.
Contimo fungerer som Databehandler og behandler udelukkende personoplysninger på vegne af og efter dokumenteret instruks fra den Dataansvarlige.
Den Dataansvarlige er ansvarlig for at sikre, at der foreligger et lovligt behandlingsgrundlag for indsamling og behandling af personoplysninger. Dette inkluderer indhentning af gyldigt og informeret samtykke fra slutbrugerne i overensstemmelse med gældende lovgivning, herunder ePrivacy-direktivet og GDPR. Den Dataansvarlige er ligeledes ansvarlig for implementeringen af Databehandlerens tracking-scripts (f.eks. via Google Tag Manager) på sine platforme og for at sikre, at disse kun aktiveres, når det nødvendige samtykke er opnået.
Databehandleren stiller teknologi (herunder scripts, tags eller GTM-templates) til rådighed, som muliggør sporing af brugeradfærd. Selvom teknologien leveres af Databehandleren, anerkender parterne, at aktiveringen af teknologien og dermed placeringen af cookies sker på den Dataansvarliges domæne og under den Dataansvarliges kontrol.
2. Instruks og Formål med Behandlingen
Formålet med Databehandlerens behandling af personoplysninger er at levere de aftalte adtech-tjenester. Dette omfatter sporing af annonceeffektivitet, konverteringsmåling og tilskrivning af klik-ID'er via "contimo cookie" samt fakturering baseret på performance metrics og optimering af annoncekampagner.
Den Dataansvarliges implementering og konfiguration af Databehandlerens tracking-scripts udgør den Dataansvarliges dokumenterede instruks til Databehandleren. Denne instruks omfatter tilladelse til at behandle personoplysninger, herunder at sætte og læse cookies på slutbrugerens enhed, når betingelserne for dette er opfyldt af den Dataansvarlige.
De personoplysninger, der behandles, omfatter:
-
Anonyme enhedsidentifikatorer (Device identifiers)
-
IP-adresser
-
URL på besøgte sider
-
HTTP cookies (herunder ubv, ubvc, ucv, UUID)
Behandlingen omfatter almindelige personoplysninger og retter sig mod slutbrugere, der besøger den Dataansvarliges digitale platforme.
3. Særlige bestemmelser vedrørende Cookies og Tracking
Parterne anerkender, at Databehandlerens teknologi (f.eks. GTM-template) indeholder instruktioner, der kræver tilladelser som "Sets a cookie", "Reads cookie value(s)" og "Accesses local storage" i Google Tag Manager. Det er Databehandlerens kode, der udfører handlingen, men det sker udelukkende som en funktion af den service, der leveres til den Dataansvarlige, og på den Dataansvarliges platform.
Databehandleren påtager sig intet ansvar for indhentning af brugersamtykke på den Dataansvarliges platforme. Den Dataansvarlige garanterer, at der benyttes en fyldestgørende Consent Management Platform (CMP) eller tilsvarende mekanisme. Den Dataansvarlige skal sikre, at Contimos tags og scripts kun aktiveres, såfremt slutbrugeren har afgivet et gyldigt samtykke til det specifikke formål (f.eks. markedsføring og statistik). Contimo understøtter IAB Transparency and Consent Framework (TCF) 2.2.
4. Underdatabehandlere
Databehandleren har den Dataansvarliges generelle godkendelse til at gøre brug af underdatabehandlere. Databehandleren skal pålægge underdatabehandlere de samme databeskyttelsesforpligtelser, som er fastsat i denne Aftale.
Ved Aftalens indgåelse anvender Contimo følgende underdatabehandlere:
Databehandleren skal underrette den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre underdatabehandlere, og derved give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.
5. Overførsel til Tredjelande
Contimo anvender tjenesteudbydere, som kan medføre, at personoplysninger overføres til lande uden for Det Europæiske Økonomiske Samarbejdsområde (EØS). Contimo sikrer, at sådanne overførsler sker i overensstemmelse med gældende lovgivning.
Dette sikres primært gennem anvendelse af EU-Kommissionens Standardkontraktbestemmelser (SCC) eller certificeringer under EU-US Data Privacy Framework (DPF), UK Extension til EU-US DPF, og Swiss-US DPF.
6. Sikkerhed og Sletning
Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til GDPR artikel 32, for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen.
Contimo opbevarer personoplysninger i en periode på 365 dage for at understøtte faktureringsprocessen og kampagneoptimering. Efter denne periode bliver personoplysninger sikkert slettet eller anonymiseret, medmindre andet er krævet ved lov. Ved ophør af tjenesterne vedrørende behandling skal Databehandleren, efter den Dataansvarliges valg, slette eller tilbagelevere alle personoplysninger til den Dataansvarlige.
7. Bistand til den Dataansvarlige
Databehandleren bistår den Dataansvarlige med passende tekniske og organisatoriske foranstaltninger med henblik på opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder.
Databehandleren bistår ligeledes den Dataansvarlige med at sikre overholdelse af forpligtelserne vedrørende sikkerhed, anmeldelse af brud på persondatasikkerheden og konsekvensanalyser, under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren.
