CitNOW Group - Standard (udgave af oktober 2023)

Mellem parterne:

Denne aftale indgås mellem:

1. Den enhed, der er identificeret som "leverandør" på ordreformularen/-erne ("leverandør").
2. Den enhed, der er identificeret som "kunden" på ordreformularen/-erne ("kunden").

Indledning

Leverandøren er en del af og driver virksomhed inden for CitNOW-koncernen. CitNOW-koncernen er en gruppe af virksomheder, der tilbyder produkter og tjenester til bilindustrien.

I forbindelse med levering af produkter og tjenester vil leverandøren fungere som kundens databehandler. Vilkårene i pkt. 1 (Databeskyttelse) og 2 (Forbrugerdata og medarbejderdata) i CitNOW Groups vilkår og betingelser er gældende, for så vidt angår parternes databeskyttelsesforpligtelser. Dette tillæg er henvendt til kunderne, hvis de ønsker et underskrevet tillæg vedrørende databehandling.

Bestemmelserne i dette tillæg er meget vigtige og kræver, at kunden indfører processer for at sikre, at kravene i dette databehandlingstillæg er opfyldt. Læs venligst disse bestemmelser nøje. Kunden skal især sikre og sørge for, at alle brugere sikrer, før de overfører en forbrugers personoplysninger til leverandøren via produkterne, at

1. der enten er indhentet samtykke fra alle forbrugere til, at deres forbrugerdata uploades til produktet/-erne eller på anden måde overføres til leverandøren, eller
2. kunden tydeligt har identificeret et eller flere andre retsgrundlag (som beskrevet i databeskyttelseslovgivningen), der giver mulighed for at uploade forbrugerdata til produktet/-erne eller på anden måde overføre dem til leverandøren.

Definitioner

Begreber, der er defineret i vilkårene og betingelserne, licensaftalen og/eller ordreformularen/-erne, skal, medmindre andet er defineret heri, have samme betydning i dette tillæg vedrørende databehandling.

• Aftale: Den kontrakt, der indgås mellem leverandøren og kunden, og som omfatter ordreformularen/-erne, vilkårene og betingelserne og licensaftalen/-erne.
• CitNOW-koncernen: Medlemmerne af CitNOW-koncernen, som er enhver enhed, der kontrollerer, kontrolleres af eller er under fælles kontrol af leverandøren, og "kontrol" skal have den betydning, det har i afsnit 1124 i den britiske selskabsskattelov af 2010. Alle enheder skal til enhver tid være opført på CitNOW-koncernens hjemmeside (https://www.citnowgroup.com/).
• Forbruger: Enhver forbruger, som er kunde hos kunden, og hvis personoplysninger uploades af en bruger til produkterne.
• Forbrugerdata: Betyder alle oplysninger, herunder personoplysninger, vedrørende en forbruger, der uploades til produkterne eller overføres til leverandøren fra kunden, herunder af en bruger.
• Indhold: Video, stillbilleder, lyd, grafik, tekst, meddelelser og anden information, som du har oprettet og uploadet via produktet.
• Dataansvarlig, databehandler, registreret, personoplysninger, brud på persondatasikkerheden, behandling og passende tekniske og organisatoriske foranstaltninger - skal have den betydning, der er defineret i databeskyttelseslovgivningen.
• Kunde: den kunde, der er anført som sådan på ordreformularen/-erne, som kan være en OEM, et nationalt salgsselskab, en forhandlergruppe eller en forhandler.
• Data: Alle data, herunder personoplysninger, som uploades til produkterne eller overføres til leverandøren af kunden, herunder eventuelle forbruger- og/eller medarbejderdata.
• Databeskyttelseslovgivning: Betyder: (a) i det omfang UK GDPR finder anvendelse, lovgivningen i Det Forenede Kongerige eller i en del af Det Forenede Kongerige, som vedrører beskyttelse af personoplysninger; eller (b) i det omfang EU GDPR finder anvendelse, lovgivningen i Den Europæiske Union eller en medlemsstat i Den Europæiske Union, som leverandøren eller kunden er underlagt, og som vedrører beskyttelse af personoplysninger.
• Forhandlergruppe: En virksomhed, der driver flere forhandlere.
• Medarbejderdata: Alle data, herunder personoplysninger, som uploades til produkterne eller overføres til leverandøren af kunden, herunder af en bruger.
• EU's generelle databeskyttelsesforordning: Betyder EU's generelle databeskyttelsesforordning (2016/679/EU).
• OEM: En original udstyrsproducent.
• Ordreformular(er): Den eller de ordreformular(er), som kunden har underskrevet, og som inkorporerer disse vilkår og betingelser og licensaftalen/-erne ved henvisning dertil.
• Produkter: De produkter, der er beskrevet på ordreformularen/-erne, som skal leveres til kunden af leverandøren (enten direkte eller som autoriseret forhandler) på abonnementsbasis, og som kan være tilgængelige på forskellige niveauer kaldet Standard, Pro og Plus (hvor det er relevant). De(t) produkt(er), som kunden køber, herunder produktniveauet, skal være som beskrevet på abonnementets ordreformular(er), og leveringen af produktet/-erne omfatter levering af teknisk support.
• Forhandler: Den/de franchisetagere, der er angivet på ordreformularen/-erne.
• Tjenester: De tjenester, som leverandøren leverer til kunden (enten direkte eller som autoriseret forhandler), som nærmere beskrevet på ordreformularen/-erne, som kan omfatte uddannelse, dataimport, dataeksport, datarensning, skræddersyet udvikling og/eller webinarer, men ikke opsætningstjenesten.
• Tredjepartssoftware: Alle tredjepartssoftwareapplikationer eller -tjenester, som leverandøren leverer eller stiller til rådighed for kunden som en del af produkterne (herunder eventuelle yderligere funktioner) og/eller tjenesterne (herunder eventuelle opsætningstjenester), idet kunden altid accepterer at være bundet af eventuelle vilkår, der gælder for sådan tredjepartssoftware.
• Brugere: Kundens medarbejdere på kundens lokationer (herunder medarbejdere på hovedkontoret, hvor det er relevant), der er anført på ordreformularen/-erne, og som har tilladelse til at bruge produkterne.
• UK GDPR: Skal have den betydning, der er anført i afsnit 3, stk. 1 (som suppleret med afsnit 205, stk. 4), i den britiske databeskyttelseslov af 2018.

1. Databeskyttelse
   1. Leverandøren behandler personoplysninger på vegne af kunden. Omfanget og varigheden, kategorierne og formålet med de personoplysninger, der behandles af leverandøren i henhold til denne aftale, er anført i bilag A i licensaftalen/-erne.
   2. Kunden ejer alle rettigheder i og til alle data og har eneansvaret for lovligheden, pålideligheden, integriteten, nøjagtigheden og kvaliteten af alle sådanne data. Leverandøren anerkender og accepterer, at kunden er dataansvarlig for alle personoplysninger, der indgår i dataene. Hvis kunden er en OEM eller en forhandlergruppe, er parterne enige om, at data kan deles med leverandøren enten af OEM eller forhandlergruppen eller af forhandlere inden for kundens gruppe. Hvis dette er tilfældet, forstår og anerkender leverandøren, at forhandleren og en OEM/forhandlergruppe er fælles dataansvarlige for de personoplysninger, der videregives til leverandøren, i henhold til vilkårene i en særskilt skriftlig aftale mellem forhandleren og OEM/forhandlergruppen, alt efter hvad der er relevant.
   3. Kundens instrukser i forbindelse med behandling af personoplysninger, der er omfattet af dataene, skal være som anført i bilag A til licensaftalerne. Kunden har ret til, skriftligt eller i et maskinlæsbart format (i tekstform*), at opdatere, ændre eller erstatte sådanne individuelle instrukser ved at underrette leverandørens udpegede kontaktperson vedrørende databeskyttelsesanliggender. Kunden skal, hurtigst muligt, bekræfte en mundtlig instruktion skriftligt eller i tekstform.
   4. Begge parter vil overholde alle gældende krav i databeskyttelseslovgivningen. Dette pkt. 1 er et tillæg til, og fjerner eller erstatter ikke en parts forpligtelser eller rettigheder i henhold til databeskyttelseslovgivningen.
   5. Med forbehold for pkt. 1.7.2 kan personoplysninger, der indgår i dataene, overføres til eller opbevares uden for Storbritannien og EØS eller det land, hvor kunden befinder sig, med henblik på at levere produkterne og/eller tjenesterne (herunder, hvor det er relevant, eventuelle yderligere funktioner) i henhold til aftalen.
   6. Uden at det berører den generelle anvendelighed af pkt. 1.4, skal kunden sikre, at den har alle nødvendige og passende retsgrundlag og meddelelser på plads for at muliggøre lovlig overførsel af personoplysningerne til leverandøren i henhold til aftalens varighed og formål.
   7. Uden at det berører den generelle anvendelighed af pkt. 1.4, skal leverandøren i forbindelse med alle personoplysninger, der behandles af leverandøren, når denne opfylder sine forpligtelser i henhold til aftalen:
      1. kun behandle disse personoplysninger i henhold til kundens dokumenterede skriftlige instruks, medmindre leverandøren er forpligtet til at behandle sådanne personoplysninger i henhold til lovgivningen i et land, der er en del af Den Europæiske Union og/eller national britisk lovgivning (gældende lovgivning). Hvis gældende lovgivning kræver, at leverandøren behandler sådanne personoplysninger, skal kunden informeres om dette inden behandlingen, medmindre gældende lovgivning forbyder dette.
      2. ikke overføre nogen personoplysninger uden for Det Europæiske Økonomiske Samarbejdsområde og Storbritannien, medmindre følgende betingelser er opfyldt:
         1. Leverandøren har sørget for passende sikkerhedsforanstaltninger i forbindelse med overførslen.
         2. Den registrerede har rettigheder, der kan håndhæves, og effektive retsmidler.
         3. Leverandøren overholder sine forpligtelser i henhold til databeskyttelseslovgivningen ved at sikre et tilstrækkeligt beskyttelsesniveau for alle personoplysninger, der overføres, og
         4. Leverandøren overholder kundens rimelige forudgående instruktioner ved behandling af kundens personoplysninger.
      3. assistere kunden, for kundens regning, med at besvare eventuelle henvendelser fra en registreret for at gøre det muligt for kunden at overholde sine forpligtelser i henhold til databeskyttelseslovgivningen, hvad angår sikkerhed, meddelelser om brud, vurderinger af indvirkninger og drøftelser med tilsynsmyndigheder eller lovgivere.
      4. straks underrette kunden, når leverandøren bliver opmærksom på et brud på persondatasikkerheden, der berører kundens personoplysninger
      5. på kundens skriftlige anmodning og ved aftalens ophør slette eller returnere kundens personoplysninger i overensstemmelse med pkt. 1.11, medmindre det er påkrævet i henhold til gældende lov at opbevare personoplysningerne, og
      6. opbevare optegnelser og oplysninger med henblik på at dokumentere, at pkt. 1 og 2 overholdes. Leverandøren skal tillade kunden og dennes autoriserede repræsentanter at revidere og gennemgå leverandørens overholdelse af databeskyttelseslovgivningen, forudsat at en sådan revision og/eller gennemgang altid udføres med rimeligt varsel på et gensidigt passende tidspunkt. Alle oplysninger, der videregives som en del af revisionen/inspektionen, skal behandles som fortrolige oplysninger i overensstemmelse med pkt. 9 i CitNOW-koncernens vilkår og betingelser. Revisioner og inspektioner må ikke udføres mere end én gang om året, medmindre kunden med rimelighed mener, at leverandøren har overtrådt databeskyttelseslovgivningen, og
      7. leverandøren skal straks underrette kunden, hvis kundens instrukser efter leverandørens mening er i strid med databeskyttelseslovgivningen. I sådanne tilfælde har leverandøren ret til at annullere udførelsen af en sådan instruks, indtil kunden har bekræftet eller ændret instruksen, så den er i overensstemmelse med databeskyttelseslovgivningen.
   8. Hver part skal sikre, at den har indført passende tekniske og organisatoriske foranstaltninger til at yde beskyttelse mod uberettiget eller ulovlig behandling af personoplysninger og mod hændelig tilintetgørelse, ødelæggelse eller beskadigelse af personoplysninger, der er passende i forhold til den skade, der kan opstå som følge af uberettiget eller ulovlig behandling eller hændelig tilintetgørelse, ødelæggelse eller beskadigelse, under hensyntagen til den teknologiske udvikling og omkostningerne ved at gennemføre sådanne foranstaltninger.
   9. Kunden giver sit samtykke til, at leverandøren må udpege underdatabehandlere af personoplysninger i henhold til aftalen. En oversigt over de underbehandlere, som leverandøren bruger, er tilgængelig på virksomhedens hjemmeside. Leverandøren bekræfter, at han har indgået eller vil indgå (enten direkte eller via et medlem af CitNOW-koncernen) en skriftlig aftale med underdatabehandlere, som inkorporerer vilkår, der i det væsentlige svarer til dem, der er anført i dette pkt. 1. Leverandøren forbliver fuldt ansvarlig for alle handlinger eller undladelser fra enhver underdatabehandler, der er udpeget af eller på vegne af leverandøren i henhold til dette pkt. 1. Hvis leverandøren bruger underdatabehandlere, der er baseret uden for Storbritannien og EØS, i et område, hvor der ikke er truffet en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, skal leverandøren overholde kravene i pkt. 1.7.2 , før der overføres personoplysninger til en sådan underdatabehandler. En oversigt over eventuelle underbehandlere, som dette punkt gælder for, er til enhver tid tilgængelig på leverandørens hjemmeside. Leverandøren kan til enhver tid udpege nye underdatabehandlere, og kunden anbefales regelmæssigt at tjekke hjemmesiden for en oversigt over de aktuelle underdatabehandlere, der anvendes af leverandøren.
   10. Tredjepartskrav. Kunden skal skadesløsholde og for egen regning forsvare leverandøren mod alle omkostninger, krav, skader eller udgifter, som leverandøren og/eller andre medlemmer af CitNOW-koncernen måtte pådrage sig, eller som leverandøren og/eller andre medlemmer af CitNOW-koncernen kan blive ansvarlige for som følge af kundens, brugernes, forhandlernes (hvor det er relevant) og/eller kundens medarbejderes, underleverandørers eller repræsentanters manglende overholdelse af deres forpligtelser i henhold til pkt. 1 og/eller 2, og/eller databeskyttelseslovgivningen, alt efter hvad der er relevant.
   11. Opbevaring efter opsigelse. Hvis denne aftale opsiges af den ene eller anden årsag, vil leverandøren opbevare dataene i en periode på 60 dage (eller en anden periode, som måtte være anført i den gældende licensaftale) efter opsigelsen. Leverandøren opbevarer dataene i dette tidsrum af følgende årsager:
       1. for at give kunden mulighed for at ændre mening og genoptage sit abonnement på produktet mens alle detaljer, præferencer og konfigurationer stadig på plads, hvis det er relevant, og
       2. for at give kunden mulighed for at anmode om eksport af sine data.
   12. CitNOW-koncernen. Parterne er enige om, at kundens kontaktoplysninger og oplysninger om kundens brug af produkterne kan deles med andre enheder og virksomheder i CitNOW-koncernen, og leverandøren skal sørge for, at sådanne enheder håndterer sådanne oplysninger i overensstemmelse med fortrolighedsforpligtelserne i CitNOW-koncernens vilkår og betingelser samt i overensstemmelse med reglerne om datadeling som defineret i den gældende lovgivning om beskyttelse af personoplysninger.
2. Forbrugerdata og medarbejderdata
   1. Parterne anerkender og accepterer, at da forbrugerdata skal behandles af leverandøren på vegne af kunden, er det kundens ansvar at identificere og registrere det lovlige grundlag for at indsamle og dele forbrugerdata med leverandøren. Leverandøren har ingen kontrol over de data, der indtastes i produktet/-erne af kunderne og deres brugere. Kunden skal derfor sikre og sørge for, at alle brugere sikrer, at der enten
      1. er indhentet samtykke fra alle forbrugere til, at deres forbrugerdata må uploades til produktet/-erne eller på anden måde overføres til leverandøren, eller
      2. hvis der ikke er indhentet samtykke, at kunden klart har identificeret et eller flere andre retsgrundlag (som beskrevet i databeskyttelseslovgivningen), der giver mulighed for at uploade forbrugerdata til produktet/-erne eller på anden måde overføre dem til leverandøren.
   2. Kunden skal føre en skriftlig fortegnelse over et sådant retsgrundlag og på anmodning fremlægge dokumentation for et sådant retsgrundlag for behandling til leverandøren.
   3. Det er kundens ansvar, uanset om kunden er en OEM, en forhandlergruppe eller en forhandler, at sikre overholdelse af pkt. 2.1 og 2.2. Leverandøren påtager sig intet ansvar over for kunden og/eller en forbruger for kundens manglende indhentning af den nødvendige bemyndigelse og tilladelse til at dele forbrugerdata med leverandøren. Hvis en forhandlergruppe eller en OEM har indgået denne aftale for at købe abonnementer til at bruge produkterne på vegne af sine forhandlere, er det forhandlergruppens/OEM's ansvar at sikre, at hver enkelt forhandler i gruppen har opnået den nødvendige godkendelse og tilladelse, før forbrugerdata uploades til produktet eller på anden måde overføres til leverandøren.
   4. Kunden skal skadesløsholde leverandøren for eventuelle tab, omkostninger, krav, skader eller udgifter, som leverandøren og/eller andre medlemmer af CitNOW-koncernen pådrager sig som følge af kundens videregivelse af forbrugerdata, uden at der er indhentet nødvendig godkendelse og tilladelse forud for videregivelsen.
   5. Medmindre andet er fastsat i databeskyttelseslovgivningen, må leverandøren ikke bruge eller tillade brug af forbrugerdata til andet end at opfylde sine forpligtelser i henhold til aftalen og/eller i overensstemmelse med Kundens skriftlige instrukser.
   6. Leverandøren bekræfter, at alle medarbejdere, der er involveret i behandlingen af forbrugerdata, ikke må behandle forbrugerdataene uden for rammerne af de instrukser, der er beskrevet i pkt. 2.5 ovenfor. Leverandøren bekræfter, at enhver person, der er berettiget til at behandle forbrugerdata, er bundet af en kontraktlig forpligtelse til fortrolighed eller er underlagt en passende lovbestemt forpligtelse til fortrolighed.
   7. Hvis en af parterne bliver opmærksom på uautoriseret eller ulovlig behandling af forbrugerdataene, eller hvis forbrugerdataene går tabt eller tilintetgøres, eller hvis en af parterne får kendskab til eller mistanke om, at der er sket et brud på persondatasikkerheden, som påvirker forbrugerdataene, skal denne part straks underrette den anden part og samarbejde fuldt ud med den anden part om at træffe de nødvendige afhjælpende foranstaltninger så hurtigt som muligt
   8. I de tilfælde, hvor medarbejderdata uploades af kunden (som dataansvarlig) til produktet, skal de være tilgængelige for leverandøren, og kun i dette tilfælde skal leverandøren fungere som fælles dataansvarlig for medarbejderdataene. Både kunden og leverandøren skal behandle medarbejderdata i det omfang, det er nødvendigt for at kunne opfylde deres kontraktlige forpligtelser i henhold til aftalen.
3. Generelt
   1. Vilkårenes fortsatte gyldighed. Hvis en bestemmelse i dette tillæg om databehandling viser sig ikke at kunne håndhæves, skal de resterende bestemmelser forblive gældende.
   2. Lovvalg og værneting. Aftalen er underlagt den lovgivning, der gælder for den enhed, der er anført på ordreformularen/-erne og dette tillæg vedrørende databehandling, og er underlagt domstolenes eksklusive jurisdiktion i det område, hvor den pågældende enhed er registreret.
   3. Ændringer. Uanset andet er anført i denne databehandlingsaftale og med forbehold af de bestemmelser, der er indeholdt heri, forbeholder CitNOW-koncernen og leverandøren sig ret til at foretage opdateringer og ændringer af dette tillæg vedrørende databehandling, og den seneste udgave skal til enhver tid være gældende i forholdet mellem kunden og leverandøren. Der må ikke indføres ændringer, som i væsentlig grad reducerer de forpligtelser, der påhviler leverandøren som databehandler over for kunden i henhold til gældende databeskyttelseslovgivning.