Forretningsbetingelser med databehandleraftale

Forretningsbetingelser pr. 1. november 2025 for Ullits & Winther, Statsautoriseret Revisionspartnerselskab

1           Revision, erklæringer og andre ydelser                       

1.1       Nærværende forretningsbetingelser, eventuelt aftalebrev samt eventuelle skriftlige aftalte ændringer hertil er gældende for enhver ydelse, uanset karakter og omfang, fra Ullits & Winther, Statsautoriseret Revisionspartnerselskab, medmindre de udtrykkeligt er fraveget eller modificeret ved anden skriftlig aftale. Nærværende forretningsbetingelser gælder, uanset om aftalen er indgået via e mail, telefon eller på anden vis. I tilfælde af konflikt mellem vilkårene i forretningsbetingelserne og aftalebrev har vilkårene i aftalebrevet forrang.

1.2       Specielle købsbetingelser eller specifikke krav til ydelsen fra kundens side, anført i f.eks. kundens ordreafgivelse, udbudsmateriale eller i kundens indkøbsbetingelser, er ikke bindende, medmindre Ullits & Winther, Statsautoriseret Revisionspartnerselskab udtrykkeligt skriftligt har erklæret sig indforstået med vilkårene, herunder at disse indebærer en konkret fravigelse af nærværende forretningsbetingelser.

1.3       Tilbud er bindende i 14 dage fra tilbuddets dato at regne, medmindre andet udtrykkeligt fremgår af tilbuddet.

 

2           Opgavens afgrænsning og udførelse                            

2.1       Ullits & Winther, Statsautoriseret Revisionspartnerselskab forpligter sig til at levere en kvalificeret ydelse til aftalt tid og i aftalt omfang. Medmindre andet er anført i aftalebrevet, er alle datoer, som [Revisionsfirma XX] har angivet, alene skønsmæssige. Ullits & Winther, Statsautoriseret Revisionspartnerselskabs ydelser er beskrevet i aftalebrevet.

2.2       Stemmer Ullits & Winther, Statsautoriseret Revisionspartnerselskabs ordrebekræftelse/aftalebrev ikke overens med kundens bestilling, skal kunden straks reklamere. I modsat fald vil kunden være bundet af ordrebekræftelsens/ aftalebrevets indhold.

2.3       Såfremt Ullits & Winther, Statsautoriseret Revisionspartnerselskab udfører andet arbejde for kunden end det, som specifikt er anført i aftalebrevet, er Ullits & Winther, Statsautoriseret Revisionspartnerselskab berettiget til særskilt honorar for dette arbejde. Merarbejde, som Ullits & Winther, Statsautoriseret Revisionspartnerselskab i den forbindelse udfører, vil være omfattet af aftalen og underlagt samme vilkår, dog med forbehold for justeringer af Ullits & Winther, Statsautoriseret Revisionspartnerselskabs honorar og tidsplan.

2.4       Ullits & Winther, Statsautoriseret Revisionspartnerselskab opbevarer egne arbejdspapirer, elektronisk materiale og dokumentation for opgavens udførelse i 5 år. Kundens originale dokumenter tilbageleveres senest ved opgavens afslutning, hvorefter Ullits & Winther, Statsautoriseret Revisionspartnerselskab ikke har ansvar for opbevaring mv.

2.5       I det omfang, at det af aftalen fremgår, hvorledes ydelsen er bemandet med godkendte revisorer/partnere og medarbejdere, som er ansvarlige for levering af ydelsen, er Ullits & Winther, Statsautoriseret Revisionspartnerselskab berettiget til at erstatte anførte personer med andre godkendte revisorer/partnere og medarbejdere.

2.6       Ullits & Winther, Statsautoriseret Revisionspartnerselskab er ikke forpligtet til at ajourføre anbefalinger, konklusioner, rapporter eller andre produkter, hverken i mundtlig eller skriftlig form, efter at disse er overdraget og kommunikeret til kunden i endelig form.

 

3           Kundens forpligtelser                   

3.1       Kunden skal loyalt samarbejde med Ullits & Winther, Statsautoriseret Revisionspartnerselskab om løsning af opgaven, herunder rettidigt foranledige, at Ullits & Winther, Statsautoriseret Revisionspartnerselskab får adgang til alle kundens data, oplysninger og medarbejdere, som er nødvendige for levering af den aftalte ydelse, samt straks oplyse Ullits & Winther, Statsautoriseret Revisionspartnerselskab om evt. forslag, udvikling eller andre forhold eller problemstillinger der, efter kundens vurdering, er væsentlige for Ullits & Winther, Statsautoriseret Revisionspartnerselskabs løsning af opgaven og levering af den aftalte ydelse.

 

4           Kvalitetskontrol                                 

4.1       Ullits & Winther, Statsautoriseret Revisionspartnerselskab er medlem af FSR – danske revisorer, som stiller krav til revisionsvirksomhedernes etiske og kvalitetsmæssige standard. Ullits & Winther, Statsautoriseret Revisionspartnerselskab er desuden omfattet af den danske revisorlovgivnings og FSR   danske revisorers regler om klageadgang over revisorer.

4.2       Ullits & Winther, Statsautoriseret Revisionspartnerselskab er omfattet af kvalitetskontrol jf. lov om godkendte revisorer, hvidvaskloven og databeskyttelsesreglerne. Ullits & Winther, Statsautoriseret Revisionspartnerselskab overholder de til enhver tid gældende standarder for vores arbejde samt krav til revisorers efteruddannelse.

4.3       Ullits & Winther, Statsautoriseret Revisionspartnerselskab er medlem af Revisorgruppen Danmark, der løbende opdaterer og forbedrer vores kvalitetsstyringssystem, så det altid er i overensstemmelse med gældende lovgivning. Gennem Revisorgruppen Danmark er Ullits & Winther, Statsautoriseret Revisionspartnerselskab desuden underlagt årlige kvalitetskontroller.

4.4       I forbindelse med gennemførelse af kvalitetskontrollen kan Ullits & Winther, Statsautoriseret Revisionspartnerselskab i nødvendigt omfang videregive fortrolige oplysninger til relevante myndigheder m.fl. Modtagerne heraf vil være pålagt fortrolighedsforpligtelser, og oplysningerne vil alene blive anvendt med henblik på kvalitetskontrollen.

4.5       Ullits & Winther, Statsautoriseret Revisionspartnerselskab forpligter sig til at undersøge enhver klage omhyggeligt og inden for rimelig tid under hensyntagen til klagens karakter og indhold. Hvis Ullits & Winther, Statsautoriseret Revisionspartnerselskab har leveret en ydelse, som anses for mindre tilfredsstillende eller mangelfuld, kan kunden, rette henvendelse til den ansvarlige kontaktperson hos Ullits & Winther, Statsautoriseret Revisionspartnerselskab. Senest 2 uger efter, at kunden har konstateret eller burde have konstateret eventuelle fejl og mangler ved den leverede ydelse, skal kunden kontakte Ullits & Winther, Statsautoriseret Revisionspartnerselskab. Ullits & Winther, Statsautoriseret Revisionspartnerselskab er i den forbindelse forpligtet til at afhjælpe eventuelle fejl og mangler inden for rimelig tid. Retter kunden ikke kontakt inden for tidsfristen, mister kunden retten til afhjælpning.

 

5           Elektronisk kommunikation    

5.1       Parterne accepterer brugen af elektronisk kommunikation i forbindelse med levering af ydelsen, godkendelse af materiale og løbende korrespondance. Parterne er indforstået med, at elektronisk kommunikation kan være usikker, og at oplysninger og data kan blive ødelagt, og at meddelelser og informationer kan komme til uvedkommendes kendskab. Ullits & Winther, Statsautoriseret Revisionspartnerselskab og kunden er ansvarlig for at beskytte egne systemer og interesser i forbindelse med elektronisk kommunikation. Ullits & Winther, Statsautoriseret Revisionspartnerselskab eller dets underleverandører er ikke ansvarlige for tab eller skade, uautoriseret adgang, virus, forsinkelse, ødelæggelse mv. der måtte opstå som følge af anvendelse af elektroniske data, internet, programmer o.l. forudsat at lovgivningens krav til sikkerheden omkring sådan kommunikation er overholdt

 

6           Honorarberegning og betaling

6.1       Honorar for udført arbejde beregnes normalt på baggrund af medgået tid og de til enhver tid fastsatte timesatser for partnere og medarbejdere, der har udført opgaven. Medmindre der er aftalt et fast honorar, er Ullits & Winther, Statsautoriseret Revisionspartnerselskabs angivelse af honoraret udtryk for et skøn. Såfremt Ullits & Winther, Statsautoriseret Revisionspartnerselskab har angivet et honorar ved aftaleindgåelsen, så bygger det på de forudsætninger, som parterne har angivet i aftalebrevet. Det følger heraf, at selv om der er aftalt et fast honorar for ydelsen, er Ullits & Winther, Statsautoriseret Revisionspartnerselskab berettiget til i følgende situationer at foretage korrektioner af det beregnede honorar:

1. a) Forudsætningerne for levering af ydelsen er ændret.

1. b) Forudsætningerne var ikke korrekte eller fuldstændige.

1. c) Omstændighederne jf. a) og b) kan tilskrives kunden eller forhold, som kunden er ansvarlig for.

6.2       Derudover er Ullits & Winther, Statsautoriseret Revisionspartnerselskab berettiget til at opkræve særskilt honorar for arbejde, som ligger uden for det aftalte omfang i den oprindelige aftale om fast honorar.

6.3       Opgaverelaterede omkostninger og udlæg refunderes af kunden udover det aftalte honorar, medmindre andet er aftalt i aftalebrev og eventuelle skriftlige tillæg hertil.

6.4       Der faktureres normalt efter opgavens afslutning. Ved større opgaver og ved opgaver, der tidsmæssigt strækker sig over en længere periode, faktureres der løbende for det udførte arbejde. Ullits & Winther, Statsautoriseret Revisionspartnerselskab forbeholder sig ret til i særlige situationer at kræve forudbetaling eller anden sikkerhed for betalingen.

6.5       Betalingsbetingelser er 14 dage netto medmindre andet er aftalt i aftalebrev og eventuelle skriftlige tillæg hertil. Fakturering sker som udgangspunkt elektronisk via e mail.

6.6       Ved overskridelse af betalingsfristen svarer kunden rente svarende til 1,5 % pr. påbegyndt kalendermåned af den forfaldne saldo fra seneste rettidige betalingsdato, indtil beløbet krediteres Ullits & Winther, Statsautoriseret Revisionspartnerselskabs konto i Ullits & Winther, Statsautoriseret Revisionspartnerselskabs pengeinstitut medmindre andet er aftalt i aftalebrev og eventuelle skriftlige tillæg hertil.

6.7       Hvis Ullits & Winther, Statsautoriseret Revisionspartnerselskab varetager administration/bogføring og/eller lønbehandling for kunden faktureres særskilt for licenser i forbindelse med levering af ydelsen. I de tilfælde hvor kunden ikke har adgang til et system, men Ullits & Winther, Statsautoriseret Revisionspartnerselskab arbejder i systemet på vegne af kunden i forbindelse med levering af ydelsen, vil licens til brugen af systemet blive faktureret til kunden.

6.8       Kunden er ikke berettiget til at foretage modregning i honoraret, og kunden kan ikke udøve tilbageholdelsesret eller nægte betaling pga. forsinkelse, reklamation eller modkrav vedrørende den konkrete ydelse eller noget andet krav. Ullits & Winther, Statsautoriseret Revisionspartnerselskab er berettiget til at fastsætte kreditmaksimum for kunden, der på ethvert tidspunkt ensidigt kan ændres eller ophæves af Ullits & Winther, Statsautoriseret Revisionspartnerselskab.

6.9       Ullits & Winther, Statsautoriseret Revisionspartnerselskab er berettiget til at tilbageholde ydelsen, hvis kunden er i misligholdelse med betaling/sikkerhedsstillelse, eller der foreligger anticiperet misligholdelse. Ullits & Winther, Statsautoriseret Revisionspartnerselskab er endvidere berettiget til at opkræve honorar for udført arbejde indtil datoen for en eventuel opsigelse af aftalen. Dette uanset grunden til opsigelsen af aftalen. Honoraret beregnes på baggrund af gældende timesatser og tidsforbrug.

 

7           Ansvarsbegrænsning                    

7.1       Konstaterer kunden fejl og mangler ved ydelsen, skal kunden straks skriftligt reklamere til Ullits & Winther, Statsautoriseret Revisionspartnerselskab med specifikation af de mangler, der gøres gældende, jf. dog pkt. 3.

7.2       Ullits & Winther, Statsautoriseret Revisionspartnerselskab er ansvarlig for det udførte arbejde i overensstemmelse med dansk rets almindelige regler, men med følgende begrænsninger:

7.3       Ullits & Winther, Statsautoriseret Revisionspartnerselskab er kun ansvarlig overfor kunden og påtager sig ikke ansvar over for andre parter (herunder tredjemand), som drager fordel eller benytter den af Ullits & Winther, Statsautoriseret Revisionspartnerselskab leverede ydelse eller opnår adgang til ydelsen. Kunden forpligter sig til at godtgøre og holde Ullits & Winther, Statsautoriseret Revisionspartnerselskab skadesløs for eventuelle forpligtelser, tab, udgifter eller andre omkostninger, som Ullits & Winther, Statsautoriseret Revisionspartnerselskab med rimelighed måtte pådrage sig i forbindelse med krav fra sådanne andre parter samt krav mod Ullits & Winther, Statsautoriseret Revisionspartnerselskab som følge af kundens misligholdelse af aftalen.

7.4       Ullits & Winther, Statsautoriseret Revisionspartnerselskab er ikke ansvarlig for indhold af mundtlige rapporteringer eller udkast til ydelser, som efterfølgende bliver erstattet af færdiggjorte ydelser.

7.5       Ullits & Winther, Statsautoriseret Revisionspartnerselskabs ansvar omfatter ikke forhold, som ikke kunne forudses på tidspunktet for arbejdets udførelse/aftalebrevets indgåelse.

7.6       Ullits & Winther, Statsautoriseret Revisionspartnerselskabs ansvar for rådgivnings- og assistanceydelser, der ikke indebærer afgivelse af erklæringer med sikkerhed, er beløbsmæssigt begrænset til tre gange det honorar (ekskl. moms), som kunden har betalt for den pågældende ydelse. Såfremt der er tale om en løbende ydelse, opgøres honoraret i forbindelse med ansvarsbegrænsning som det i de seneste 12 måneders fakturerede og betalte honorar for denne ydelse.

7.7       Såfremt kunden ikke har betalt for den pågældende ydelse, kan der ikke rettes noget krav mod Ullits & Winther, Statsautoriseret Revisionspartnerselskab.

7.8       Ullits & Winther, Statsautoriseret Revisionspartnerselskab hæfter ikke for eventuelle fejl begået af rådgivere, som Ullits & Winther, Statsautoriseret Revisionspartnerselskab har henvist kunden til, ligesom Ullits & Winther, Statsautoriseret Revisionspartnerselskab ikke hæfter for eventuelle fejl begået af underleverandører, som kunden efter aftale med Ullits & Winther, Statsautoriseret Revisionspartnerselskab har overladt dele af ydelsernes løsning til.

7.9       Ullits & Winther, Statsautoriseret Revisionspartnerselskab skal i forholdet mellem Ullits & Winther, Statsautoriseret Revisionspartnerselskab og kunden ikke være ansvarlig i tilfælde af kundens og Ullits & Winther, Statsautoriseret Revisionspartnerselskabs medvirkensansvar for levering af ydelserne overfor myndigheder, når et sådan medvirkensansvar skyldes kundens afgivelse af urigtige oplysninger samt anden grov uagtsom eller forsætlig adfærd eller undladelse i forholdet mellem Ullits & Winther, Statsautoriseret Revisionspartnerselskab og kunden. Kunden forpligter sig til at godtgøre og holde Ullits & Winther, Statsautoriseret Revisionspartnerselskab skadesløs for eventuelle forpligtelser, tab, udgifter eller andre omkostninger, herunder bøder, som Ullits & Winther, Statsautoriseret Revisionspartnerselskab måtte pådrage sig i forbindelse med sådanne krav mod Ullits & Winther, Statsautoriseret Revisionspartnerselskab.

7.10    Ullits & Winther, Statsautoriseret Revisionspartnerselskab er ikke ansvarlig for indirekte tab, følgeskader eller andet økonomisk konsekvenstab, herunder blandt andet tab af goodwill, image, indtjening, fortjeneste, driftstab eller tab af data. Ullits & Winther, Statsautoriseret Revisionspartnerselskab er ikke ansvarlig for tab eller skader forårsaget af cyberangreb eller it-nedbrud. Ullits & Winther, Statsautoriseret Revisionspartnerselskab kan ikke holdes ansvarlig for krav, der måtte opstå som et resultat af falsk, misvisende eller ufuldstændig information, data eller dokumentation, som er tilvejebragt af andre end Ullits & Winther, Statsautoriseret Revisionspartnerselskab.

7.11    Ved revisions-, review- eller attestationsopgaver, der er underlagt ufravigelige regler eller professionelle standarder, finder eventuelle bestemmelser, der medfører en begrænsning i Ullits & Winther, Statsautoriseret Revisionspartnerselskabs ansvar, ikke anvendelse.

 

8           Fortrolighed                                          

8.1       Parterne er gensidigt forpligtet til at behandle alt materiale og alle oplysninger, herunder oplysninger modtaget fra den anden partsamt konklusionen på den leverede ydelse fortroligt.

8.2       Alle medarbejdere i Ullits & Winther, Statsautoriseret Revisionspartnerselskab er omfattet af tavshedspligt, således at enhver oplysning, som Ullits & Winther, Statsautoriseret Revisionspartnerselskab modtager i forbindelse med løsning af en opgave, bliver anset som fortrolig.

8.3       Ullits & Winther, Statsautoriseret Revisionspartnerselskab og kunden må ikke offentligt omtale hinanden eller den anden parts ydelser uden den anden parts forudgående skriftlige aftale. Inden offentliggørelse af dokumenter, rapporter eller lignende, der bærer Ullits & Winther, Statsautoriseret Revisionspartnerselskab firmanavn, skal offentliggørelsen godkendes af Ullits & Winther, Statsautoriseret Revisionspartnerselskab. Efter ydelsens levering har Ullits & Winther, Statsautoriseret Revisionspartnerselskab dog ret til loyalt at henvise til kunden og opgaven ved brug af kundens navn og logo i forbindelse med f.eks. afgivelse af tilbud, præsentationer eller undervisning, medmindre kunden skriftligt forbyder dette.

8.4       Bestemmelsen om fortrolighed finder ikke anvendelse på materiale og oplysninger mv., som er oplyst i medfør af et lovmæssigt krav, en dom, en kendelse eller lignende.

8.5       Det er Ullits & Winther, Statsautoriseret Revisionspartnerselskabs politik at opretholde et højt sikkerhedsniveau omkring enhver kommunikation, hvad enten den er i brevform eller elektronisk. Uanset dette kan Ullits & Winther, Statsautoriseret Revisionspartnerselskab ikke gøres ansvarlig for sikkerheds- og fortrolighedsbrister ved transmission via elektroniske kommunikationsmidler.

 

9           Hvidvaskregler                                   

9.1       I henhold til hvidvasklovgivningen skal Ullits & Winther, Statsautoriseret Revisionspartnerselskab oplyse om de regler, der gælder for behandling af personoplysninger. Ullits & Winther, Statsautoriseret Revisionspartnerselskab skal bl.a. indhente identitets- og kontroloplysninger samt sikre nødvendig legitimation ved etablering af kundeforholdet. Ved mistanke om hvidvask eller terrorfinansiering vil vi indhente dokumenter og registreringer vedrørende foretagne yderligere undersøgelser.

9.2       De oplysninger, Ullits & Winther, Statsautoriseret Revisionspartnerselskab har indhentet, vil i fælles interesse blive opbevaret så længe, Ullits & Winther, Statsautoriseret Revisionspartnerselskab vurderer at have behov for det, dog iht. lovgivning minimum 5 år. Ved ophør af engagementet, vil personoplysninger blive slettet efter 5 år. Kunden har mulighed for at bede om indsigt i de registrerede oplysninger, og kunden har ret til at få korrigeret eventuelle fejlagtige oplysninger.

9.3       Ullits & Winther, Statsautoriseret Revisionspartnerselskab er i henhold til hvidvaskloven forpligtet til at indhente og opbevare oplysninger om kundens identitet.

9.4       Ullits & Winther, Statsautoriseret Revisionspartnerselskab videregiver ikke personoplysninger til tredjemand uden kundens godkendelse. Ullits & Winther, Statsautoriseret Revisionspartnerselskab kan dog været forpligtet til at videregive oplysninger om kundeforholdet mv. til Hvidvasksekretariatet uden at underrette kunden.

9.5       Ullits & Winther, Statsautoriseret Revisionspartnerselskab er underlagt en undersøgelses- og underretningspligt vedrørende kundens transaktioner, midler eller aktiviteter, hvor Ullits & Winther, Statsautoriseret Revisionspartnerselskab har mistanke om eller rimelig grund til at mene, at transaktioner, midler eller aktiviteter har eller har haft tilknytning til hvidvask eller finansiering af terrorisme. Det gælder eksempelvis komplekse eller usædvanligt store transaktioner og transaktionsmønstre set i forhold til kunden samt transaktioner, der har forbindelse til lande eller territorier, hvor risikoen for tilknytning til hvidvask eller finansiering af terrorisme antages at være forøget. I de tilfælde hvor en mistanke om hvidvask eller terrorfinansiering ikke kan afkræftes, er Ullits & Winther, Statsautoriseret Revisionspartnerselskab forpligtet til at underrette Hvidvasksekretariatet.

 

10        Brugs-, ejendoms- og ophavsret                                      

10.1    Kunden får de nødvendige rettigheder til at bruge det skriftlige materiale, som Ullits & Winther, Statsautoriseret Revisionspartnerselskab leverer til kunden i forbindelse med ydelsen, men Ullits & Winther, Statsautoriseret Revisionspartnerselskab har og bibeholder alle ophavsrettigheder og øvrige immaterielle rettigheder til materialet.

 

11        Interessekonflikt                              

11.1    Det er Ullits & Winther, Statsautoriseret Revisionspartnerselskabs praksis at kontrollere, om der eksisterer en interessekonflikt, før Ullits & Winther, Statsautoriseret Revisionspartnerselskab påtager sig at levere den pågældende ydelse. Ullits & Winther, Statsautoriseret Revisionspartnerselskab leverer mange forskellige ydelser, og kan ikke give sikkerhed for, at alle situationer, hvor der kan foreligge en interessekonflikt, straks afdækkes. Ullits & Winther, Statsautoriseret Revisionspartnerselskab opfordrer derfor kunden om straks at underrette Ullits & Winther, Statsautoriseret Revisionspartnerselskab, hvis denne skulle blive opmærksom på en mulig interessekonflikt.

11.2    Hvis en aktuel eller potentiel interessekonflikt er identificeret, og Ullits & Winther, Statsautoriseret Revisionspartnerselskab vurderer, at kundens interesser kan varetages tilstrækkeligt ved iværksættelse af relevante procedurer, vil Ullits & Winther, Statsautoriseret Revisionspartnerselskab drøfte sådanne procedurer med kunden.

 

12        Personoplysninger                           

12.1    I forbindelse med den aftalte ydelse, vil Ullits & Winther, Statsautoriseret Revisionspartnerselskab indsamle og behandle personoplysninger i overensstemmelse med gældende dansk lovgivning, herunder databeskyttelsesloven og EU’s generelle forordning om databeskyttelse (GDPR), Databeskyttelsesloven og særlovgivning, herunder revisorloven.

12.2    Ullits & Winther, Statsautoriseret Revisionspartnerselskab er dataansvarlig for de personoplysninger, Ullits & Winther, Statsautoriseret Revisionspartnerselskab indsamler og behandler med henblik på at opfylde Ullits & Winther, Statsautoriseret Revisionspartnerselskabs forpligtelser i henhold til lovgivningen, f.eks. bogførings- og hvidvaskloven, ligesom Ullits & Winther, Statsautoriseret Revisionspartnerselskab er dataansvarlig for behandlingen af de personoplysninger, Ullits & Winther, Statsautoriseret Revisionspartnerselskab indsamler og behandler i forbindelse med aftaleindgåelsen og det løbende samarbejde med kunden.

12.3    Ullits & Winther, Statsautoriseret Revisionspartnerselskab er som udgangspunkt dataansvarlig for behandling af de personoplysninger, Ullits & Winther, Statsautoriseret Revisionspartnerselskab indsamler og behandler i forbindelse med Ullits & Winther, Statsautoriseret Revisionspartnerselskabs leverance af de aftalte ydelser. Hver part er således selvstændig ansvarlig for at overholde Databeskyttelseslovgivningen i relation til deres egen behandling af personoplysninger, herunder at sikre, at der findes den fornødne hjemmel til at behandle personoplysningerne.

12.4    Ullits & Winther, Statsautoriseret Revisionspartnerselskab har udarbejdet en privatlivspolitik om behandling af personoplysninger om personer, som Ullits & Winther, Statsautoriseret Revisionspartnerselskab ikke har individuel kontakt med, herunder kundens medarbejdere, kunder, samarbejdspartnere m.fl. Ullits & Winther, Statsautoriseret Revisionspartnerselskabs privatlivspolitik findes på Ullits & Winther, Statsautoriseret Revisionspartnerselskabs hjemmeside. Kunden er forpligtet til at informere dennes medarbejdere, kunder m.fl. om Ullits & Winther, Statsautoriseret Revisionspartnerselskabs privatlivspolitik, fx via link til privatlivspolitikken.

12.5    Hvis parternes aftale omhandler bogføringsydelser, lønbogholderiydelser eller opstilling af regnskaber og skattemæssige opgørelser uden erklæring, hvori der som en del af Ullits & Winther, Statsautoriseret Revisionspartnerselskabs ydelse vil indgå behandling af personoplysninger for kunden, er Ullits & Winther, Statsautoriseret Revisionspartnerselskab databehandler for denne behandling. Parterne er i sådanne tilfælde forpligtede til at indgå en databehandleraftale, der skal indgå som bilag 1 til forretningsbetingelserne.

12.6    I forbindelse med kombinerede ydelser, hvor Ullits & Winther, Statsautoriseret Revisionspartnerselskab som følge af ydelsens karakter agerer både dataansvarlig og databehandler, finder databehandleraftalen alene anvendelse på den del af ydelsen, hvor Ullits & Winther, Statsautoriseret Revisionspartnerselskab er databehandler.

 

13        Aftalens ophør                                    

13.1    Er Ullits & Winther, Statsautoriseret Revisionspartnerselskab valgt som revisor, kan dette hverv bringes til ophør i overensstemmelse med de gældende regler herfor.

13.2    Medmindre der i aftalebrevet er angivet et opsigelsesvarsel, ophører aftalen, når ydelsen er leveret. Ullits & Winther, Statsautoriseret Revisionspartnerselskab kan desuden opsige aftalen med et varsel på én måned i det omfang gældende lov tillader det. Opsigelsen skal meddeles skriftlig.

13.3    Ullits & Winther, Statsautoriseret Revisionspartnerselskab er berettiget til skriftligt at opsige aftalen med øjeblikkelig virkning, hvis det vurderes, at Ullits & Winther, Statsautoriseret Revisionspartnerselskabs hele eller delvise opfyldelse af aftalen som følge af lov, gældende ret eller omstændighederne (herunder ændringer i kundens ejerskab eller kontrol) vil være ulovlig, i strid med reglerne om uafhængighed, som Ullits & Winther, Statsautoriseret Revisionspartnerselskab er underlagt, og Ullits & Winther, Statsautoriseret Revisionspartnerselskabs interne regler og/eller forskrifter.

13.4    Hvis en af parterne væsentligt misligholder sine forpligtelser i henhold til aftalen, er den anden part berettiget til at ophæve aftalen, medmindre misligholdelsen afhjælpes inden for rimelig tid efter, at den ikke misligholdende part gør den misligholdende part opmærksom på den væsentlige misligholdelse, og kræver afhjælpning.

13.5    Ophævelse kan dog tidligst ske, såfremt den væsentlige misligholdelse ikke er bragt til ophør 14 dage efter afsendelse af skriftligt påkrav. Påkravet skal omfatte den væsentlige misligholdelsesgrund, og at aftalen vil blive ophævet, hvis forholdet ikke berigtiges inden for 14 dages fristens udløb.

13.6    Enhver misligholdelse af kundens betalingsforpligtelser betragtes som væsentlig misligholdelse og berettiger Ullits & Winther, Statsautoriseret Revisionspartnerselskab til at ophæve aftalen uden varsel uanset det i pkt. 13.4 13.5 anførte.

 

14        Force majeure                                     

14.1    I tilfælde af force majeure suspenderes Ullits & Winther, Statsautoriseret Revisionspartnerselskabs forpligtelser i henhold til aftalen, så længe Ullits & Winther, Statsautoriseret Revisionspartnerselskab er påvirket af force majeure.

14.2    Force majeure dækker over forhold uden for Ullits & Winther, Statsautoriseret Revisionspartnerselskabs rimelige kontrol, som medfører, at Ullits & Winther, Statsautoriseret Revisionspartnerselskab ikke er i stand til at opfylde sine forpligtelser, og som Ullits & Winther, Statsautoriseret Revisionspartnerselskab ikke med rimelighed burde eller kunne have forudset eller taget i betragtning forud for aftalens indgåelse eller da Ullits & Winther, Statsautoriseret Revisionspartnerselskab begyndte at levere sine ydelser, herunder f.eks. cyberangreb, epidemier, pandemier, andre sundhedskriser og andre forhold uden for Ullits & Winther, Statsautoriseret Revisionspartnerselskabs rimelige kontrol. Forhold hos underleverandører vil også blive anset for force majeure for Ullits & Winther, Statsautoriseret Revisionspartnerselskab, dog forudsat at disse opfylder ovenstående betingelser.

 

15        Lovvalg og værneting                    

15.1    Ullits & Winther, Statsautoriseret Revisionspartnerselskabs ydelser og disse forretningsbetingelser er underlagt dansk ret med undtagelse af dansk rets lovvalgsregler.

15.2    Enhver uenighed eller tvist mellem parterne om forståelsen af aftalebrevet og/eller disse forretningsbetingelser afgøres under anvendelse af dansk ret ved de danske domstole og med Retten ved Ullits & Winther, Statsautoriseret Revisionspartnerselskabs hovedkontor som aftalt værneting.

 

 

 

 

 

Bilag 1

Databehandleraftale pr. 1. november 2025 for Ullits & Winther, Statsautoriseret Revisionspartnerselskab

i henhold til artikel 28, stk. 3, i forordning 2016/679 (databeskyttelsesforordningen) med henblik på databehandlerens behandling af personoplysninger.

 

1           Indhold           

2           Præambel

3           Den dataansvarliges rettigheder og forpligtelser

4           Databehandleren handler efter instruks

5           Fortrolighed

6           Behandlingssikkerhed

7           Anvendelse af underdatabehandlere

8           Overførsel til tredjelande eller internationale organisationer

9           Bistand til den dataansvarlige

10        Underretning om brud på persondatasikkerheden

11        Sletning og returnering af oplysninger

12        Revision, herunder inspektion

13        Parternes aftale om andre forhold

14        Ikrafttræden og ophør

 

Bilag A Oplysninger om behandlingen

Bilag B Underdatabehandlere

Bilag C Instruks vedrørende behandling af personoplysninger

Bilag D Parternes regulering af andre forhold

 

 

2           Præambel   

2.1       Disse Bestemmelser fastsætter databehandlerens rettigheder og forpligtelser, når denne foretager behandling af personoplysninger på vegne af den dataansvarlige.

2.2       Disse bestemmelser er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (databeskyttelsesforordningen).

2.3       I forbindelse med leveringen af databehandlerens ydelser som beskrevet i forretningsbetingelserne behandler databehandleren personoplysninger på vegne af den dataansvarlige i overensstemmelse med disse Bestemmelser.

2.4       Bestemmelserne har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne.

2.5       Der hører fire bilag til disse Bestemmelser, og bilagene udgør en integreret del af Bestemmelserne.

2.6       Bilag A indeholder nærmere oplysninger om behandlingen af personoplysninger, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.

2.7       Bilag B indeholder den dataansvarliges betingelser for databehandlerens brug af underdatabehandlere.

2.8       Bilag C indeholder den dataansvarliges instruks for så vidt angår databehandlerens behandling af personoplysninger, en beskrivelse af de sikkerhedsforanstaltninger, som databehandleren som minimum skal gennemføre, og hvordan der føres tilsyn med databehandleren og eventuelle underdatabehandlere.

2.9       Bilag D indeholder bestemmelser vedrørende andre aktiviteter, som ikke af omfattet af Bestemmelserne.

2.10    Bestemmelserne med tilhørende bilag skal opbevares skriftligt, herunder elektronisk, af begge parter.

2.11    Disse Bestemmelser frigør ikke databehandleren fra forpligtelser, som databehandleren er pålagt efter databeskyttelsesforordningen eller enhver anden lovgivning.

 

3           Den dataansvarliges rettigheder og forpligtelser

3.1       Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med databeskyttelsesforordningen (se forordningens artikel 24), databeskyttelsesbestemmelser i anden EU ret eller medlemsstaternes nationale ret og disse bestemmelser (Henvisninger til “medlemsstat” i disse bestemmelser skal forstås som en henvisning til “EØS-medlemsstater”).

3.2       Den dataansvarlige har ret og pligt til at træffe beslutninger om, til hvilke(t) formål og med hvilke hjælpemidler, der må ske behandling af personoplysninger.

3.3       Den dataansvarlige er ansvarlig for, blandt andet, at sikre, at der er et behandlingsgrundlag for behandlingen af personoplysninger, som databehandleren instrueres i at foretage.

 

4           Databehandleren handler efter instruks                   

4.1       Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU ret eller medlemsstaternes nationale ret, som databehandleren er underlagt. Denne instruks skal være specificeret i bilag A og C. Efterfølgende instruks kan også gives af den dataansvarlige, mens der sker behandling af personoplysninger, men instruksen skal altid være dokumenteret og opbevares skriftligt, herunder elektronisk, sammen med disse Bestemmelser.

4.2       Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU ret eller medlemsstaternes nationale ret.

 

5           Fortrolighed                                          

5.1       Databehandleren må kun give adgang til personoplysninger, som behandles på den dataansvarliges vegne, til personer, som er underlagt databehandlerens instruktionsbeføjelser, som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, og kun i det nødvendige omfang. Listen af personer, som har fået tildelt adgang, skal løbende gennemgås. På baggrund af denne gennemgang kan adgangen til personoplysninger lukkes, hvis adgangen ikke længere er nødvendig, og personoplysningerne skal herefter ikke længere være tilgængelige for disse personer.

5.2       Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de pågældende personer, som er underlagt databehandlerens instruktionsbeføjelser, er underlagt ovennævnte tavshedspligt.

 

6           Behandlingssikkerhed                  

6.1       Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici.

Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte:

1. Pseudonymisering og kryptering af personoplysninger
2. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester
3. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse
4. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.

6.2       Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici.

6.3       Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32.

Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

 

7           Anvendelse af underdatabehandlere                            

7.1       Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2, og stk. 4, for at gøre brug af en anden databehandler (en underdatabehandler).

7.2       Databehandleren må således ikke gøre brug af en underdatabehandler til opfyldelse af disse Bestemmelser uden forudgående generel skriftlig godkendelse fra den dataansvarlige.

7.3       Databehandleren har den dataansvarliges generelle godkendelse til brug af underdatabehandlere.

7.4       Når databehandleren gør brug af en underdatabehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af den dataansvarlige, skal databehandleren, gennem en kontrakt eller andet retligt dokument i henhold til EU retten eller medlemsstaternes nationale ret, pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der fremgår af disse Bestemmelser, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen overholder kravene i disse Bestemmelser og databeskyttelsesforordningen.

Databehandleren er derfor ansvarlig for at kræve, at underdatabehandleren som minimum overholder databehandlerens forpligtelser efter disse Bestemmelser og databeskyttelsesforordningen.

7.5       Underdatabehandleraftale(r) og eventuelle senere ændringer hertil sendes – efter den dataansvarliges anmodning herom – i kopi til den dataansvarlige, som herigennem har mulighed for at sikre sig, at tilsvarende databeskyttelsesforpligtelser som følger af disse Bestemmelser er pålagt underdatabehandleren. Bestemmelser om kommercielle vilkår, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den dataansvarlige.

7.6       Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser. Dette påvirker ikke de registreredes rettigheder, der følger af databeskyttelsesforordningen, herunder særligt forordningens artikel 79 og 82, over for den dataansvarlige og databehandleren, herunder underdatabehandleren.

7.7       Den dataansvarlige har ved databehandleraftalens ikrafttrædelse godkendt anvendelsen af underdatabehandlere. Oversigt over underdatabehandlere, som anvendes af databehandleren, kan rekvireres hos databehandleren.

 

8           Overførsel til tredjelande eller internationale organisationer              

8.1       Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun foretages af databehandleren på baggrund af dokumenteret instruks herom fra den dataansvarlige og skal altid ske i overensstemmelse med databeskyttelsesforordningens kapitel V.

8.2       Hvis overførsel af personoplysninger til tredjelande eller internationale organisationer, som databehandleren ikke er blevet instrueret i at foretage af den dataansvarlige, kræves i henhold til EU ret eller medlemsstaternes nationale ret, som databehandleren er underlagt, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.

8.3       Uden dokumenteret instruks fra den dataansvarlige kan databehandleren således ikke inden for rammerne af disse Bestemmelser:

1. overføre personoplysninger til en dataansvarlig eller databehandler i et tredjeland eller en international organisation
2. overlade behandling af personoplysninger til en underdatabehandler i et tredjeland
3. behandle personoplysningerne i et tredjeland

8.4       Den dataansvarliges instruks vedrørende overførsel af personoplysninger til et tredjeland, herunder det eventuelle overførselsgrundlag i databeskyttelsesforordningens kapitel V, som overførslen er baseret på, skal angives i bilag C.6.

8.5       Disse Bestemmelser skal ikke forveksles med standardkontraktsbestemmelser som omhandlet i databeskyttelsesforordningens artikel 46, stk. 2, litra c og d, og disse Bestemmelser kan ikke udgøre et grundlag for overførsel af personoplysninger som omhandlet i databeskyttelsesforordningens kapitel V.

 

9           Bistand til den dataansvarlige 

9.1       Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel III.

Dette indebærer, at databehandleren så vidt muligt skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:

1. oplysningspligten ved indsamling af personoplysninger hos den registrerede
2. oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede
3. indsigtsretten
4. retten til berigtigelse
5. retten til sletning (”retten til at blive glemt”)
6. retten til begrænsning af behandling
7. underretningspligten i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
8. retten til dataportabilitet
9. retten til indsigelse
10. retten til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering

9.2       I tillæg til databehandlerens forpligtelse til at bistå den dataansvarlige i henhold til Bestemmelse 6.3., bistår databehandleren endvidere, under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, den dataansvarlige med:

1. den dataansvarliges forpligtelse til uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed, Datatilsynet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder
2. den dataansvarliges forpligtelse til uden unødig forsinkelse at underrette den registrerede om brud på persondatasikkerheden, når bruddet sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder
3. den dataansvarliges forpligtelse til forud for behandlingen at foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger (en konsekvensanalyse)
4. den dataansvarliges forpligtelse til at høre den kompetente tilsynsmyndighed, Datatilsynet, inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen.

9.3       Parterne skal i bilag C angive de fornødne tekniske og organisatoriske foranstaltninger, hvormed databehandleren skal bistå den dataansvarlige samt i hvilket omfang og udstrækning. Det gælder for de forpligtelser, der følger af Bestemmelse 9.1. og 9.2.

 

10        Underretning om brud på persondatasikkerheden                                       

10.1    Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.

10.2    Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 24 timer efter, at denne er blevet bekendt med bruddet, sådan at den dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, jf. databeskyttelsesforordningens artikel 33.

10.3    I overensstemmelse med Bestemmelse 9.2.a skal databehandleren bistå den dataansvarlige med at foretage anmeldelse af bruddet til den kompetente tilsynsmyndighed. Det betyder, at databehandleren skal bistå med at tilvejebringe nedenstående information, som ifølge artikel 33, stk. 3, skal fremgå af den dataansvarliges anmeldelse af bruddet til den kompetente tilsynsmyndighed:

1. karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger
2. navn på og kontaktoplysninger for databeskyttelsesrådgiveren
3. de sandsynlige konsekvenser af bruddet på persondatasikkerheden
4. de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

10.4    Parterne skal i bilag C angive den information, som databehandleren skal tilvejebringe i forbindelse med sin bistand til den dataansvarlige i dennes forpligtelse til at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed.

10.5    Tilsvarende er underdatabehandlere pålagt uden unødig forsinkelse at underrette Databehandleren i overensstemmelse med pkt. 10.3.

 

11        Sletning og returnering af oplysninger                         

11.1    Ved ophør af tjenesterne vedrørende behandling af personoplysninger, er databehandleren forpligtet til at tilbagelevere alle personoplysningerne og slette eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne.

 

12        Revision, herunder inspektion

12.1    Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelsen af databeskyttelsesforordningens artikel 28 og disse Bestemmelser, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.

12.2    Procedurerne for den dataansvarliges revisioner, herunder inspektioner, med databehandleren og underdatabehandlere er nærmere angivet i Bilag C.7. og C.8.

12.3    Databehandleren er forpligtet til at give tilsynsmyndigheder, som efter gældende lovgivningen har adgang til den dataansvarliges eller databehandlerens faciliteter, eller repræsentanter, der optræder på tilsynsmyndighedens vegne, adgang til databehandlerens fysiske faciliteter mod behørig legitimation.

 

13        Parternes aftale om andre forhold                                  

13.1    Parterne kan aftale andre bestemmelser vedrørende tjenesten vedrørende behandling af personoplysninger om f.eks. erstatningsansvar, så længe disse andre bestemmelser ikke direkte eller indirekte strider imod Bestemmelserne eller forringer den registreredes grundlæggende rettigheder og frihedsrettigheder, som følger af databeskyttelsesforordningen.

 

14        Ikrafttræden og ophør                   

14.1    Nærværende databehandleraftale følger som bilag til aftalebrevet omfattende den aftalte ydelse. Databehandleraftalen anses ved underskrift på aftalebrevet som accepteret, og bestemmelserne træder i kraft på datoen for begge parters underskrift heraf.

14.2    Begge parter kan kræve Bestemmelserne genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i Bestemmelserne giver anledning hertil.

14.3    Bestemmelserne er gældende, så længe tjenesten vedrørende behandling af personoplysninger varer. I denne periode kan Bestemmelserne ikke opsiges, medmindre andre bestemmelser, der regulerer levering af tjenesten vedrørende behandling af personoplysninger, aftales mellem parterne.

14.4    Hvis levering af tjenesterne vedrørende behandling af personoplysninger ophører, og personoplysningerne er slettet eller returneret til den dataansvarlige i overensstemmelse med Bestemmelse 11.1 og Bilag C.4, kan Bestemmelserne opsiges med skriftlig varsel af begge parter.

 

Bilag A Oplysninger om behandlingen

Databehandleren kan levere følgende ydelser, der indebærer behandling af personoplysninger på vegne af den dataansvarlige:

• Bogføringsydelser
• Lønbogholderiydelser
• Opstilling af regnskaber og/eller skattemæssige opgørelser

Dette bilag beskriver databehandlerens behandling af personoplysninger i relation til de mellem parterne aftalte ydelser, dog således at alene de(t) underbilag, der beskriver de(n) ydelse(r), parterne har indgået aftale om, finder anvendelse.

 

Underbilag A.1. – Bogføringsydelser 

A.1.1. Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige

Formålet med behandlingen er at sikre, at den dataansvarlige efterlever kravene i bogføringslovgivningen.

 

A.1.2 Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig primært om (karakteren af behandlingen)

Databehandleren bistår med bogføring for den dataansvarlige, hvorved databehandleren får adgang til og foretager systematisk registrering af bogføringsmateriale, der kan indeholde personoplysninger.

 

A.1.3. Behandlingen omfatter følgende typer af personoplysninger om de registrerede

• Kontaktinformationer som navn, e mailadresse og adresse
• Organisatoriske oplysninger som stilling, titel og arbejdsplads
• Økonomiske oplysninger som kontooplysninger, løn og pensionsindbetalinger
• CPR-numre
• Oplysninger om fagforeningsmæssigt tilhørsforhold

Typerne af personoplysninger, databehandleren behandler på vegne af den dataansvarlige, varierer afhængigt af den dataansvarliges bogføringsmateriale, herunder regnskabsbilag.

 

A.1.4. Behandlingen omfatter følgende kategorier af registrerede

• Den dataansvarliges medarbejdere
• Den dataansvarliges kunder
• Den dataansvarliges leverandører og samarbejdspartnere
• Den dataansvarliges øvrige associerede

 

A.1.5. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan påbegyndes efter disse Bestemmelsers ikrafttræden. Behandlingen har følgende varighed.

Behandlingen pågår så længe parternes aftalebrev er gældende. Behandlingens varighed følger således aftalebrevets varighed.

 

Underbilag A.2. – Lønbogholderiydelser                                   

A.2.1. Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige.

Formålet med behandlingen er at sikre, at den dataansvarlige udbetaler rette løn til den dataansvarlige, og at udbetaling sker rettidigt. Formålet med behandlingen er derudover at sikre, at den dataansvarlige efterlever kravene i skattelovgivningen og bogføringslovgivningen i forhold til den dataansvarliges lønudbetalinger.

 

A.2.2 Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig primært om (karakteren af behandlingen).

Databehandleren bistår med lønbogholderi for den dataansvarlige, hvorved databehandleren får adgang til, indsamler, kontrollerer og organiserer personoplysninger til brug for beregning af løn, fradrag mv., og foretager beregning og udbetaling af løn for del dataansvarlige.

 

A.2.3. Behandlingen omfatter følgende typer af personoplysninger om de registrerede.

• Kontaktinformationer som navn, e mailadresse og adresse
• Organisatoriske oplysninger som stilling, titel og arbejdsplads
• Økonomiske oplysninger som kontooplysninger, løn og pensionsindbetalinger
• CPR-numre
• Oplysninger om fagforeningsmæssigt tilhørsforhold

Typerne af personoplysninger, databehandleren behandler på vegne af den dataansvarlige, varierer afhængigt af den dataansvarliges bogføringsmateriale, herunder regnskabsbilag.

 

A.2.4. Behandlingen omfatter følgende kategorier af registrerede

• Den dataansvarliges medarbejdere

 

A.2.5. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan påbegyndes efter disse Bestemmelsers ikrafttræden. Behandlingen har følgende varighed.

Behandlingen pågår så længe parternes aftalebrev er gældende. Behandlingens varighed følger således aftalebrevets varighed.

 

Underbilag A.3. – Opstilling af regnskaber og/eller skattemæssige opgørelser uden erklæring                                     

A.3.1. Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige

Formålet med behandlingen er at sikre, at den dataansvarlige efterlever kravene i årsregnskabsloven og skattelovgivningen.

 

A.3.2 Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig primært om (karakteren af behandlingen)

Databehandleren bistår med opstilling af regnskaber og/eller skattemæssige opgørelser, hvorved databehandleren får adgang til og foretager gennemgang af relevant regnskabsmateriale, der kan indeholde personoplysninger.

 

A.3.3. Behandlingen omfatter følgende typer af personoplysninger om de registrerede

• Kontaktinformationer som navn, e mailadresse og adresse
• Organisatoriske oplysninger som titel og arbejdsplads
• Økonomiske oplysninger som kontooplysninger, løn og pensionsindbetalinger
• CPR-numre
• Oplysninger om fagforeningsmæssigt tilhørsforhold

Typerne af personoplysninger, databehandleren behandler på vegne af den dataansvarlige, varierer afhængigt af den dataansvarliges bogføringsmateriale, herunder regnskabsbilag.

 

A.3.4. Behandlingen omfatter følgende kategorier af registrerede

• Den dataansvarliges medarbejdere
• Den dataansvarliges kunder
• Den dataansvarliges leverandører og samarbejdspartnere
• Den dataansvarliges øvrige associerede

 

A.3.5. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan påbegyndes efter disse Bestemmelsers ikrafttræden. Behandlingen har følgende varighed.

Behandlingen pågår så længe parternes aftalebrev er gældende. Behandlingens varighed følger således aftalebrevets varighed.

 

 

Bilag B Underdatabehandlere

B.1. Godkendte underdatabehandlere                                       

Ved underskrift af aftalebrev og dermed accept af nærværende databehandleraftale med tilhørende bilag har den dataansvarlige godkendt, at databehandleren gør brug af underdatabehandlere.

Oversigt over underdatabehandlere, som anvendes af databehandleren, kan rekvireres hos databehandleren.

 

Bilag C Instruks vedrørende behandling af personoplysninger

C.1. Behandlingens genstand/instruks                                     

Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører følgende:

Databehandleren udfører den behandling af personoplysninger, der er beskrevet i afsnittene A.1.2., A.2.2. og/eller A.2.3. ovenfor.

 

C.2. Behandlingssikkerhed                     

Sikkerhedsniveauet skal afspejle:

Behandlingen omfatter behandling af personoplysninger, der i henhold til de databeskyttelsesretlige regler nyder særlig beskyttelse, herunder oplysninger om CPR-nummer, kontooplysninger og evt. fagforeningsmæssigt tilhørsforhold, ligesom behandlingen omfatter personoplysninger vedrørende medarbejdere, der kategoriseres som en sårbar gruppe af registrerede. Der skal derfor etableres et ”højt” sikkerhedsniveau.

Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal gennemføres for at etableret det nødvendige (og aftalte) sikkerhedsniveau.

Databehandleren skal dog – under alle omstændigheder og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige:

Generelle sikkerhedsforanstaltninger

Databehandleren skal sikre, at:

• Samtlige medarbejdere, der har adgang til personoplysninger, har forpligtet sig til tavshed i forhold til personoplysninger og behandlingsaktiviteter, og at en sådan tavshedspligt også gælder efter ophør af parternes samarbejde, samt efter medarbejderens ansættelse hos databehandleren er ophørt.
• Samtlige medarbejdere hos databehandleren, der har adgang til personoplysninger, underlægges interne politikker for IT-sikkerhed og databeskyttelse.
• Samtlige medarbejdere hos databehandleren, der har adgang til personoplysninger, undervises løbende i IT sikkerhed og databeskyttelse.
• Der sker løbende afprøvning og evaluering af de implementerede sikkerhedsforanstaltninger.

I det omfang den dataansvarlige har godkendt brugen af underdatabehandlere, der leverer systemer, platforme eller hostingydelser, skal databehandleren derudover sikre, at:

• Systemer, databehandleren anvender til behandlingen af personoplysninger, udvikles med udgangspunkt i datasikkerhed og best practice inden for databeskyttelse.

Fysiske sikkerhedsforanstaltninger

Databehandleren skal sikre, at:

• Fysiske lokationer, fra hvilke der sker behandling af personoplysninger, er beskyttet med indbrudssikring og elektronisk overvågning.
• Adgang til fysiske lokationer, fra hvilke der sker behandling af personoplysninger, kun kan ske via personligt nøglekort eller anden adgangskontrolforanstaltning.
• Besøgende ikke uden opsyn tillades adgang til fysiske lokationer, fra hvilke der sker behandling af personoplysninger.

Kryptering af personoplysninger

Databehandleren skal sikre, at:

• Al transmission af følsomme og fortrolige personoplysninger sker via en tilstrækkeligt krypteret forbindelse.
• Udstyr, der anvendes til behandling af personoplysninger, er krypteret.

I det omfang den dataansvarlige har godkendt brugen af underdatabehandlere, der leverer systemer, platforme eller hostingydelser, skal databehandleren derudover sikre, at:

• Personoplysninger er krypterede i hvile efter best practice.
• Krypteringsnøgler er stærke og opbevares på en sikker lokation med identitetsbaseret adgangskontrol og kontrolpolitikker.

Sikring af vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester.

Databehandleren skal sikre, at:

• Kun databehandlerens autoriserede medarbejdere har adgang til personoplysninger.
• Databehandlerens medarbejdere alene har adgang til personoplysninger i det omfang, det er nødvendigt for udførelsen af deres arbejde.
• Udstyr, som databehandlerens medarbejdere får udleveret til brug i udførelsen af deres arbejde, skal sikres med adgangskontrol.
• Alle medarbejdere har unikke brugernavne og passwords.
• Der er implementeret passwordpolitikker baseret på best practice.
• Der anvendes VPN-forbindelse eller tilsvarende løsning med flerfaktor autentifikation ved fjernadgang til personoplysninger, herunder i forbindelse med hjemmearbejde.
• Medarbejdere pålægges at opretholde adgangskontrollen og sikre, at adgangskoder forbliver personlige og fortrolige.
• Der skal implementeres procedurer, der sikrer, at medarbejdere låser deres skærm, når den forlades, ligesom der skal implementeres automatisk skærmlås, der aktiveres efter kort tids inaktivitet.
• Der anvendes firewalls og antivirusprogrammer på alt udstyr, der anvendes til behandling af personoplysninger, og at sådanne firewalls og antivirusprogrammer til enhver tid er opdaterede.
• Der implementeres procedurer vedrørende håndtering af anmodninger fra offentlige myndigheder om adgang til personoplysninger. Dette inkluderer procedurer der sikrer, at sådanne anmodninger dokumenteres og at sådan dokumentation gøres tilgængelig for den dataansvarlige.

I det omfang den dataansvarlige har godkendt brugen af underdatabehandlere, der leverer systemer, platforme eller hostingydelser, skal databehandleren derudover sikre, at:

• Der er etableret velfungerende backup, og at der foretages løbende stikprøvekontrol af, at backup foretages.
• Der implementeres procedurer, der skal sikre imod skadelige hændelser i driftsudstyr.
• Der implementeres procedurer, der skal sikre imod at personoplysninger, der opbevares på elektronisk udstyr og fysisk materiel, tilintetgøres, tabes, ændres eller uautoriseret videregives
• Driftservere alene har nødvendige services og porte åbne og sikkerhedsopdateres løbende.

Logning

I det omfang den dataansvarlige har godkendt brugen af underdatabehandlere, der leverer systemer, platforme eller hostingydelser, skal databehandleren sikre, at der sker logning af al adgang til og behandling af personoplysninger og at der gennemføres stikprøvekontrol med det formål at sikre, at adgang til og behandling af personoplysninger logges korrekt.

 

C.3 Bistand til den dataansvarlige     

Databehandleren skal så vidt muligt – inden for det nedenstående omfang og udstrækning – bistå den dataansvarlige i overensstemmelse med Bestemmelse 9.1 og 9.2 ved at gennemføre følgende tekniske og organisatoriske foranstaltninger:

Assistance i overensstemmelse med pkt. 9.1

I tilfælde af, at databehandleren modtager anmodninger vedrørende de registreredes rettigheder, der vedrører den dataansvarliges personoplysninger, skal databehandleren uden ugrundet ophold sende anmodningerne via en krypteret forbindelse til den dataansvarlige.

Databehandleren skal assistere den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelse til at opfylde registreredes anmodninger inden for den frist, der følger af databeskyttelsesforordningen. Databehandleren skal være berettiget til vederlag for sådan assistance, baseret på databehandlerens til enhver tid gældende timepris.

Assistance i overensstemmelse med pkt. 9.2

I overensstemmelse med disse Bestemmelsers pkt. 9.2 og afsnit 10 skal databehandleren   under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for denne – bistå den dataansvarlige med at foretage anmeldelse af bruddet til tilsynsmyndigheden, ved at tilvejebringe nedenstående oplysninger:

1. En beskrivelse af hændelsen, herunder hvor den fysisk fandt sted.
2. Et hændelsesforløb, indeholdende information om hændelsens start, konstatering og (forventet) afslutning.
3. Karakteren af bruddet på persondatasikkeheden, herunder eventuelt involveret teknologi, kategorierne af oplysninger og registrerede samt det omtrentlige antal berørte registrerede og om muligt det omtrentlige antal registreringer.
4. En generel vurdering af den sandsynlige konsekvens for de registrerede.
5. En beskrivelse af de foranstaltninger, som databehandleren har truffet eller/og foreslår truffet af den dataansvarlige for at håndtere hændelsen og begrænse bruddets skadevirkninger.
6. Oplysning om, at underretningen er endelig, eller om og hvordan der vil følge yderligere information.
7. Oplysning om, hvor den dataansvarlige kan få yderligere information.

Hvis det ikke er muligt at give samtlige oplysninger nævnt ovenfor på én gang, skal oplysningerne gives skridt for skridt, uden unødig forsinkelse efter at det bliver muligt for databehandleren at tilvejebringe oplysningerne.

Databehandleren er forpligtet til aktivt at bidrage til at sikre, at den dataansvarlige modtager tilstrækkelige oplysninger til at håndtere enhver forpligtelse til at orientere de kompetente tilsynsmyndigheder og de registrerede om bruddet på persondatasikkerheden.

Underretning om et brud på persondatasikkerheden såvel som ovenstående oplysninger skal sendes skriftligt som e mail markeret som ”høj prioritet” til den dataansvarlige.

Databehandleren må ikke udtale sig offentligt eller til tredjeparter om brud på persondatasikkerheden uden forudgående skriftlig aftale med den dataansvarlige.

Forudsat at hverken databehandleren eller underdatabehandlerne har været direkte årsag til sikkerhedsbruddet, skal databehandleren være berettiget til vederlag for databehandlerens assistance med håndteringen af sikkerhedsbrud, baseret på databehandlerens til enhver tid gældende timepris.

 

C.4 Opbevaringsperiode/sletterutine                                        

Den dataansvarlige er selv ansvarlig for at foretage sletning af de personoplysninger, der behandles i den dataansvarliges egne systemer.

Personoplysninger, som databehandleren eventuelt behandler i systemer leveret af databehandleren som led i den ydelse, parterne har aftalt i aftalebrevet, slettes på den dataansvarliges anmodning.

Ved ophør af tjenesten vedrørende behandling af personoplysninger, skal databehandleren enten slette eller tilbagelevere personoplysningerne i overensstemmelse med bestemmelse 11.1, medmindre den dataansvarlige – efter underskriften af disse bestemmelser – har ændret den dataansvarlige oprindelige valg. Sådanne ændringer skal være dokumenteret og opbevares skriftligt, herunder elektronisk, i tilknytning til bestemmelserne.

 

C.5 Lokalitet for behandling                   

Behandling af de af Bestemmelserne omfattede personoplysninger kan ikke uden den dataansvarliges forudgående skriftlige godkendelse ske på andre lokaliteter end følgende:

• Den dataansvarliges adresse(r)
• Databehandlerens adresse(r)
• Underdatabehandlernes adresser

Databehandlerens medarbejdere er berettiget til at behandle personoplysningerne i forbindelse med hjemmearbejde, under forudsætning af, at behandlingssikkerheden som beskrevet i dette bilag C opretholdes.

 

C.6 Instruks vedrørende overførsel af personoplysninger til tredjelande  

Behandling af de personoplysninger, der er omfattet af disse Bestemmelser kan ikke ske på lokaliteter udenfor EU/EØS uden den dataansvarliges forudgående godkendelse. Den dataansvarliges godkendelse af underdatabehandlere etableret uden for EU/EØS skal betragtes som en sådan godkendelse.

Databehandleren skal sikre, at overførsler af personoplysninger til modtagere uden for EU/EØS baseres på enten en tilstrækkelighedsafgørelse fra EU-Kommissionen eller et gyldigt overførselsgrundlag i overensstemmelse med databeskyttelsesforordningens artikel 46.

Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler.

 

C.7 Procedurer for den dataansvarliges revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er overladt til databehandleren 

Databehandleren skal – på den dataansvarliges anmodning – deltage i den dataansvarliges eller den dataansvarliges repræsentants tilsyn med behandlingen af personoplysninger, fx i form af fysiske inspektioner eller besvarelse af et spørgeskema. Databehandleren skal være berettiget til vederlag for sin deltagelse i sådanne tilsyn, baseret på databehandlerens til enhver tid gældende timepris.

Baseret på resultaterne af tilsynet, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige bærer alle omkostninger forbundet med anskaffelse, implementering og drift af sådanne yderligere foranstaltninger.

 

C.8 Procedurer for revisioner, herunder inspektioner, med behandling af personoplysninger, som er overladt til underdatabehandlere                            

Databehandleren er forpligtet til at føre tilsyn med eventuelle underdatabehandlere ved at indhente revisionserklæringer, foretage fysiske inspektioner eller benytte et spørgeskema.

Resultaterne af tilsynet fremsendes til den dataansvarlige på anmodning. Den dataansvarlige kan anfægte rammerne for og/eller metoden for tilsynet og kan i sådanne tilfælde anmode om et nyt tilsyn under andre rammer og/eller under anvendelse af anden metode. Den dataansvarlige afholder samtlige omkostninger forbundet med et sådant nyt tilsyn, ligesom databehandleren skal være berettiget til vederlag i henhold til databehandlerens til enhver tid gældende timesats.

Baseret på resultaterne af tilsynet, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige bærer alle omkostninger forbundet med anskaffelse, implementering og drift af sådanne yderligere foranstaltninger.

 

 

Bilag D Parternes regulering af andre forhold

D.1. Ansvar                

Parternes ansvar reguleres af databehandlerens forretningsbetingelser.

 

D.2. Lovvalg og værneting                        

Lovvalgs- og værnetingsbestemmelserne i databehandlerens forretningsbetingelser finder anvendelse for disse Bestemmelser.