Databehandleraftale

1. Parter, integration og forrang

Denne databehandleraftale udgør en integreret del af aftalen mellem (i) kunden, som er identificeret i sin kundekonto, ordrebekræftelse, faktura eller anden kommerciel aftale med VueSend, og (ii) den VueSend-enhed, som er angivet i samme aftalegrundlag.

Databehandleraftalen gælder kun for den behandling, hvor VueSend behandler personoplysninger på kundens vegne i forbindelse med Tjenesten. Hvis der er konflikt mellem denne databehandleraftale og øvrige vilkår om samme behandling, har databehandleraftalen forrang for den pågældende behandling.

Databehandleraftalen gælder fra det tidspunkt, hvor kunden accepterer vilkårene for Tjenesten, opretter en konto eller fortsætter brugen af Tjenesten efter offentliggørelse af aftalen, medmindre parterne skriftligt aftaler andet.

2. Definitioner

Begreber som personoplysninger, behandling, registreret, dataansvarlig, databehandler, brud på persondatasikkerheden og tilsynsmyndighed har den betydning, som følger af GDPR eller tilsvarende databeskyttelseslovgivning, når den finder anvendelse.

Kundedata betyder de personoplysninger, som VueSend behandler på vegne af kunden gennem Tjenesten, herunder kontaktdata, abonnentdata, formularsvar, trackingevents, suppressions, præferenceoplysninger, webhookdata og relaterede metadata.

Tjenesten betyder VueSends nyhedsbrevs-, kontakt-, formular-, tracking-, automations-, webhook-, leverings-, analyse- og relaterede support- og driftsydelser.

• Underdatabehandler betyder en tredjepart, som VueSend engagerer til at behandle Kundedata på kundens vegne som led i leveringen af Tjenesten.

3. Roller

For Kundedata er kunden dataansvarlig eller tilsvarende beslutningstager, og VueSend er databehandler, service provider eller tilsvarende behandlingspart.

VueSend behandler ikke Kundedata til egne uafhængige markedsføringsformål og sælger ikke Kundedata.

For oplysninger om kontoadministration, fakturering, sikkerhed, misbrugsforebyggelse, lovpligtig dokumentation og andre egne driftsformål, der ikke udføres på kundens instruks, kan VueSend være selvstændig dataansvarlig som beskrevet i privatlivspolitikken.

4. Instrukser og behandlingsformål

VueSend må kun behandle Kundedata efter kundens dokumenterede instrukser, medmindre behandling kræves efter gældende EU-ret eller national ret, som VueSend er underlagt.

Kundens instrukser følger blandt andet af denne databehandleraftale, hovedaftalen, produktkonfigurationer, brugerhandlinger i Tjenesten, API-kald, integrationer, supportanmodninger og andre lovlige skriftlige instrukser, der er forenelige med Tjenesten.

Kunden instruerer blandt andet VueSend i at hoste, lagre, organisere, segmentere, sende, suppressere, analysere, eksportere, slette, vise og på anden måde behandle Kundedata i det omfang, det er nødvendigt for at levere, sikre og supportere Tjenesten.

Hvis VueSend vurderer, at en instruks sandsynligvis er ulovlig, uforenelig med Tjenesten eller teknisk usikker, kan VueSend suspendere den relevante behandling og informere kunden uden unødig forsinkelse.

5. Kundens forpligtelser

Kunden er ansvarlig for lovligheden, gennemsigtigheden, nøjagtigheden, dataminimeringen, opbevaringsgrundlaget og rettighederne til Kundedata.

Kunden skal sørge for relevante privatlivsoplysninger, cookie-information, samtykker, kontraktgrundlag, interesseafvejninger, slettepolitikker og procedurer for håndtering af registreredes rettigheder, når sådanne forhold er kundens ansvar.

Kunden er også ansvarlig for korrekt brug af adgangskontroller, roller, eksportfunktioner, integrationer og andre værktøjer, som påvirker behandlingen af Kundedata.

6. Fortrolighed og autoriserede personer

VueSend sikrer, at personer, som er autoriseret til at behandle Kundedata, er underlagt passende fortrolighedsforpligtelser eller lovbestemt tavshedspligt.

Adgang til Kundedata gives efter need-to-know-princippet og kun i det omfang, det er nødvendigt for drift, support, sikkerhed, fejlretning eller anden lovlig opgave under denne aftale.

VueSend opretholder passende interne processer for onboarding, adgangstildeling og fratrædelse for relevante medarbejdere og konsulenter.

7. Tekniske og organisatoriske sikkerhedsforanstaltninger

VueSend opretholder passende tekniske og organisatoriske foranstaltninger, der er designet til at beskytte Kundedata mod utilsigtet eller ulovlig tilintetgørelse, tab, ændring, uautoriseret adgang eller uberettiget videregivelse.

Foranstaltningerne er beskrevet nærmere i Bilag 2. VueSend kan løbende opdatere sikkerhedsforanstaltningerne, så længe det samlede sikkerhedsniveau ikke forringes væsentligt for den relevante tjeneste.

VueSend vurderer løbende risici og kan tilpasse kontroller til teknologi, trusselsbillede, datatyper og brugsmønstre, når det er nødvendigt for at opretholde et passende sikkerhedsniveau.

8. Underdatabehandlere

Kunden giver VueSend generel forudgående godkendelse til at anvende underdatabehandlere til levering, drift, sikkerhed, support og videreudvikling af Tjenesten.

VueSend indgår skriftlige aftaler med underdatabehandlere, som pålægger dem databeskyttelsesforpligtelser, der i det væsentlige er mindst lige så beskyttende som forpligtelserne i denne databehandleraftale. VueSend forbliver ansvarlig for underdatabehandleres behandling i det omfang, det følger af gældende ret.

VueSend opretholder en aktuel navngiven liste over underdatabehandlere, herunder funktion og primær behandlingslokation, som gøres tilgængelig for kunder via kundedokumentation eller på skriftlig anmodning.

VueSend giver rimeligt varsel om væsentlige ændringer i underdatabehandlerlandskabet, normalt mindst 30 kalenderdage, hvor det med rimelighed er praktisk muligt. Kunden kan gøre indsigelse mod en ny underdatabehandler på konkrete og rimelige databeskyttelsesretlige grunde inden for den angivne frist.

Hvis en rimelig indsigelse ikke kan løses, kan parterne aftale en alternativ løsning, begrænse den berørte del af Tjenesten eller ophøre den relevante ydelse forholdsmæssigt.

9. Internationale overførsler

Hvis Kundedata overføres til et land eller en modtager uden for EØS, Storbritannien, Schweiz eller andre jurisdiktioner med overførselsbegrænsninger, anvender VueSend et lovligt overførselsgrundlag såsom tilstrækkelighedsafgørelse, standardkontraktbestemmelser, UK addendum, relevant data privacy framework eller anden gyldig mekanisme.

VueSend vurderer, hvor relevant, om supplerende tekniske, organisatoriske eller kontraktuelle foranstaltninger er nødvendige for den konkrete overførsel.

10. Bistand ved registreredes rettigheder

Under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for VueSend, yder VueSend rimelig bistand til kunden med at besvare anmodninger om indsigt, rettelse, sletning, begrænsning, dataportabilitet, indsigelse eller andre registreredes rettigheder, i det omfang kunden ikke selv kan løse dem via Tjenesten.

Hvis VueSend modtager en anmodning direkte fra en registreret om Kundedata, kan VueSend henvise den registrerede til kunden, medmindre loven kræver andet.

11. Bistand ved DPIA, sikkerhed og myndighedsdialog

VueSend yder, under hensyntagen til behandlingens karakter og de tilgængelige oplysninger, rimelig bistand til databeskyttelseskonsekvensanalyser, forudgående høringer og andre compliance-forpligtelser, som følger af gældende databeskyttelsesret, herunder efter GDPR artikel 32-36.

Sådan bistand ydes i et omfang, der er proportionalt med kundens behov, teknisk muligt og ikke kompromitterer andre kunders sikkerhed eller fortrolighed.

Hvis kunden anmoder om ekstraordinær bistand, der går væsentligt ud over Tjenestens standardfunktioner eller lovens minimumskrav, kan parterne aftale rimelig betaling for den supplerende bistand.

12. Myndighedsanmodninger og tredjemandskrav

Hvis VueSend modtager en bindende anmodning fra en myndighed eller domstol om udlevering af Kundedata, vil VueSend, i det omfang det er lovligt tilladt, forsøge at underrette kunden uden unødig forsinkelse.

Hvor det er rimeligt og lovligt muligt, vil VueSend gennemgå anmodningens formelle grundlag, forsøge at henvise myndigheden til kunden og begrænse udleveringen til det minimum, som loven kræver.

13. Brud på persondatasikkerheden

VueSend underretter kunden uden unødig forsinkelse efter at være blevet opmærksom på et brud på persondatasikkerheden, som påvirker Kundedata.

Underretningen vil indeholde de oplysninger, som VueSend med rimelighed har til rådighed om hændelsens karakter, sandsynlige konsekvenser, berørte datakategorier, eventuelt omtrentligt omfang, trufne eller planlagte afhjælpende foranstaltninger samt relevant kontaktpunkt for opfølgning.

VueSend træffer rimelige skridt for at begrænse kendte skadevirkninger og afhjælpe årsagen i det omfang, det ligger inden for VueSends kontrol.

14. Sletning og tilbagelevering

Kunden er ansvarlig for at bruge de eksport- og administrationsværktøjer, som Tjenesten stiller til rådighed, inden ophør, eller for at anmode om anden lovlig tilbagelevering, hvis dette er særskilt aftalt.

Ved ophør af den relevante tjeneste eller efter kundens lovlige anmodning vil VueSend slette eller anonymisere Kundedata uden unødig forsinkelse efter udløb af eventuel teknisk eller kontraktuel adgangs- eller udtræksperiode, medmindre gældende lov kræver fortsat opbevaring.

Backups kan indeholde Kundedata, indtil de overskrives i den normale backup-rotation. Sådanne data forbliver under passende beskyttelse og gendannes ikke til produktionsbrug, medmindre det er nødvendigt af hensyn til sikkerhed eller disaster recovery.

VueSend kan opbevare begrænsede data, når det er nødvendigt for at dokumentere samtykke- eller suppressionhistorik, forebygge misbrug, håndhæve aftaler, forsvare retskrav eller opfylde lovkrav.

15. Audit, information og dokumentation

VueSend stiller oplysninger til rådighed, som med rimelighed er nødvendige for at dokumentere overholdelse af denne databehandleraftale, når loven kræver det.

Hvor loven giver kunden auditret, skal audit være rimelig, forholdsmæssig, fortrolig, begrænset i omfang og tilrettelagt, så den ikke unødigt forstyrrer VueSends drift eller kompromitterer andre kunders sikkerhed eller fortrolighed. Medmindre loven eller en konkret hændelse kræver andet, kan kunden normalt ikke kræve mere end én audit pr. 12-måneders periode.

VueSend kan opfylde auditkrav helt eller delvist gennem dokumentation, sikkerhedsbeskrivelser, politikker, kontrollerede interviews, spørgeskemaer, erklæringer, rapporter eller andre mindre indgribende midler, hvis det er passende.

Hvis en fysisk eller mere indgribende audit er nødvendig, skal den ske med rimeligt forudgående varsel, være underlagt fortrolighed og gennemføres på en måde, der ikke giver adgang til andre kunders data, forretningshemmeligheder eller unødvendige systemdetaljer.

16. Tjenesteudbydervilkår for visse amerikanske delstatslove

I det omfang gældende amerikanske delstatslove finder anvendelse, behandler VueSend Kundedata som service provider, processor eller tilsvarende rolle og vil ikke sælge eller dele Kundedata til egne uafhængige markedsføringsformål.

VueSend vil ikke opbevare, bruge eller videregive Kundedata uden for det direkte forretningsforhold med kunden, bortset fra hvad der er nødvendigt for at levere Tjenesten eller ellers tilladt ved lov.

17. Varighed, ansvar og ændringer

Denne databehandleraftale gælder, så længe VueSend behandler Kundedata på kundens vegne.

Ansvarsregler og ansvarsbegrænsninger følger de almindelige vilkår, medmindre ufravigelig databeskyttelsesret kræver andet.

VueSend kan opdatere denne databehandleraftale, hvis det er nødvendigt på grund af lovændringer, regulatoriske krav, udvikling i Tjenesten eller ændringer i underdatabehandlerstrukturen. Væsentlige ændringer håndteres på rimelig måde og med passende varsel, når det er relevant. Ændringer, der er nødvendige for at overholde lov eller afværge en sikkerhedsrisiko, kan træde i kraft hurtigere, hvis det er nødvendigt.

18. Kontakt

Spørgsmål om databeskyttelse kan sendes til privacy@vuesend.com. Juridiske henvendelser kan sendes til legal@vuesend.com. Sikkerhedshenvendelser kan sendes til security@vuesend.com.

19. Bilag 1 - Behandlingsdetaljer

Genstand: levering af VueSends nyhedsbrevs-, kontakt-, formular-, tracking-, webhook-, leverings-, automations- og analysefunktioner samt relaterede support- og driftsydelser.

Varighed: i kundens aftaleperiode samt i eventuelle opbevaringsperioder, der følger af aftalen, kundens instrukser eller gældende lov.

Karakter og formål: hosting, lagring, organisering, segmentering, udsendelse, suppressionshåndtering, måling, fejlfinding, sikkerhed, support og anden nødvendig drift af kundens e-mail- og abonnentaktiviteter.

• Registrerede: abonnenter, kontakter, kampagnemodtagere, formularbrugere, henvisningsbrugere, kundens medarbejdere, inviterede brugere og andre slutbrugere, der interagerer med kundens indhold.
• Datakategorier: e-mailadresse, navn, virksomhed, tags, segmenter, præferencer, samtykkefelter, suppressionsstatus, abonnementsstatus, IP-adresse, user agent, enheds- og lokationssignaler, opens, clicks, bounces, klager, formularsvar, webhook-events, Smart Link-events og relaterede metadata.
• Følsomme data: VueSend er ikke designet til rutinemæssig behandling af særlige kategorier af personoplysninger eller andre højsensitive data, medmindre særskilt skriftlig aftale og passende foranstaltninger foreligger.

20. Bilag 2 - Tekniske og organisatoriske foranstaltninger

VueSend opretholder et sikkerhedsprogram, der er designet til en platform, som håndterer kunders abonnent- og kommunikationsdata. Foranstaltningerne kan udvikles over tid, men er generelt rettet mod fortrolighed, integritet, tilgængelighed og robusthed.

• Adgangskontrol: rollebaseret adgang, mindst mulige rettigheder, styring af autorisationer og begrænsning af adgang til relevante medarbejdere og systemer.
• Konto- og loginbeskyttelse: passende passwordkontroller, sessionstyring og multifaktorgodkendelse for privilegerede eller særligt følsomme adgangsscenarier, hvor det understøttes eller kræves af sikkerhedspolitikken.
• Netværk og transport: HTTPS/TLS under overførsel, relevante perimeter- og firewallkontroller samt hardening af eksponerede tjenester og administrative adgangspunkter.
• Logging og overvågning: sikkerheds- og driftslogs, auditspor for centrale handlinger, overvågning, alarmering og opfølgning på relevante hændelser.
• Sårbarheds- og ændringsstyring: patching, versionsopdateringer, risikobaseret afhjælpning, ændringskontrol og løbende vedligehold af relevante komponenter.
• Tilgængelighed og robusthed: backup, gendannelsesprocedurer, driftskontroller, incident response og andre tiltag, der understøtter kontinuitet og genopretning ved fejl eller hændelser.
• Datalivscyklus og isolation: logisk separation mellem workspaces, eksport- og slettefunktioner, suppressionsbeskyttelse og kontroller for opbevaring og dataminimering.
• Personale- og leverandørstyring: fortrolighedsforpligtelser, awareness-aktiviteter, adgang efter need-to-know og leverandørvurderinger med passende kontraktuelle krav.

21. Bilag 3 - Kategorier af underdatabehandlere

VueSend kan anvende underdatabehandlere inden for nedenstående kategorier for at levere Tjenesten. VueSend opretholder en aktuel navngiven underdatabehandlerliste med leverandørnavn, funktion og primær behandlingslokation, som gøres tilgængelig for kunder via kundedokumentation eller på skriftlig anmodning.

• Cloud hosting, databaser, storage, backup og anden kerneinfrastruktur.
• E-maillevering, bounce- og klagehåndtering, domæne- og DNS-relaterede tjenester samt leveringsomdømmeværktøjer.
• Overvågning, logning, analyse, fejlsporing og sikkerhedstjenester.
• Betaling, fakturering, regnskab, kundesupport og kommunikationsværktøjer.
• AI-, billed- eller teksttjenester, når kunden aktivt bruger relevante funktioner eller sender indhold til sådanne workflows.
• Kundeaktiverede integrationer og andre tredjepartstjenester, som kunden vælger at forbinde til VueSend.