Databehandleraftale

2.1 Behandleren leverer softwareydelser til den Dataansvarlige i henhold til en særskilt serviceaftale (“Serviceaftalen”). Som led i leveringen af disse ydelser behandler Behandleren personoplysninger på vegne af den Dataansvarlige.

2.2 Denne DBA regulerer Behandlerens behandling af personoplysninger på vegne af den Dataansvarlige og er en integreret del af Serviceaftalen.

4.1 Behandleren må kun behandle Oplysningerne i overensstemmelse med dokumenterede instruktioner fra den Dataansvarlige, herunder med hensyn til overførsler af Oplysningerne til et tredjeland eller en international organisation, medmindre det kræves i henhold til Gældende databeskyttelseslovgivning, hvortil Behandleren er underlagt.

4.2 Behandleren underretter straks den Dataansvarlige, hvis en instruktion efter Behandlerens opfattelse strider mod Gældende databeskyttelseslovgivning.

4.3 Behandleren behandler Oplysningerne i overensstemmelse med denne DBA og bilag A og må ikke behandle Oplysningerne til andre formål end de heri angivne.

6.1 Den Dataansvarlige er ansvarlig for at sikre, at behandlingen af Oplysningerne har et retsgrundlag i henhold til Gældende databeskyttelseslovgivning, og at de registrerede er informeret om behandlingen.

6.2 Den Dataansvarlige er ansvarlig for at give Behandleren de instruktioner, der er nødvendige for, at Behandleren kan overholde sine forpligtelser i henhold til Gældende databeskyttelseslovgivning og denne DBA.

7.1 Behandleren behandler udelukkende Oplysningerne på den Dataansvarliges vegne og i overensstemmelse med dokumenterede instruktioner fra den Dataansvarlige, medmindre Behandleren er forpligtet hertil i henhold til Gældende databeskyttelseslovgivning.

7.2 Behandleren bistår den Dataansvarlige med at opfylde sine forpligtelser i henhold til Gældende databeskyttelseslovgivning, herunder forpligtelserne vedrørende datasikkerhed, anmeldelse af brud på persondatasikkerheden, konsekvensanalyser og forudgående høring.

7.3 Behandleren giver den Dataansvarlige alle oplysninger, der er nødvendige for at påvise overholdelse af de i artikel 28 i Databeskyttelsesforordningen fastsatte forpligtelser.

8.1 Behandleren gennemfører og opretholder passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der svarer til den risiko, som behandlingen af Oplysningerne indebærer, herunder navnlig:

• Kryptering af Oplysningerne under transmission med TLS 1.2 eller højere
• Kryptering af Oplysningerne i hvile med AES-256
• Kundeadskillelse: hvert kundemiljø kører på en fuldt isoleret database
• Adgangskontrol baseret på princippet om mindst privilegium
• Løbende overvågning og logning af sikkerhedshændelser
• Regelmæssig test og evaluering af de tekniske og organisatoriske foranstaltningers effektivitet

8.2 Behandleren sikrer, at de gennemførte foranstaltninger til enhver tid opfylder kravene i artikel 32 i Databeskyttelsesforordningen.

9.1 Oplysningerne opbevares og behandles som udgangspunkt inden for EU/EØS. Behandleren overfører ikke Oplysningerne til tredjelande uden den Dataansvarliges forudgående godkendelse.

9.2 Hvis det bliver nødvendigt at overføre Oplysningerne til et tredjeland, sikrer Behandleren, at overførslen er tilladt i henhold til Gældende databeskyttelseslovgivning, og om nødvendigt underskriver de nødvendige standardkontraktbestemmelser i overensstemmelse med Kommissionens gennemførelsesafgørelse (EU) 2021/914 eller træffer andre nødvendige foranstaltninger.

9.3 Securapilots arkitektur understøtter konfigurerbart valg af AI-model pr. kunde. Den Dataansvarlige kan vælge at anvende sverigebaserede AI-tjenester (f.eks. Berget AI) for at sikre fuld nordisk datasuverænitet. Ingen personoplysninger sendes til AI-leverandører, medmindre den Dataansvarlige udtrykkeligt aktiverer AI-funktioner, og valget af leverandør er altid under den Dataansvarliges kontrol.

10.2 Behandleren forpligter sig til at informere den Dataansvarlige om eventuelle planer om at engagere nye underdatabehandlere og/eller erstatte eksisterende underdatabehandlere mindst femogfyrre (45) dage, inden sådanne planer gennemføres. Den Dataansvarlige har ret til at gøre indsigelse mod forslaget. Hvis den Dataansvarlige ikke vender tilbage til Behandleren inden for 45 dage, anses den Dataansvarlige for at have accepteret Behandlerens plan.

10.3 Hvis den Dataansvarlige gør indsigelse mod en ny underdatabehandler, og ingen løsning kan nås, har den Dataansvarlige ret til at opsige den pågældende tjeneste. En aktuel liste over underdatabehandlere stilles til rådighed på anmodning.

10.4 Aftaler med underdatabehandlere skal være skriftlige og pålægge underdatabehandleren tilsvarende forpligtelser som dem, denne DBA pålægger Behandleren. Behandleren er ansvarlig for at sikre, at underdatabehandlere giver tilstrækkelige garantier for at gennemføre passende tekniske og organisatoriske foranstaltninger.

10.5 Hvis behandling af Oplysningerne planlægges udført af en underdatabehandler i et tredjeland, gælder afsnit 9 ovenfor tilsvarende.

10.6 Hvis en underdatabehandler ikke opfylder sine forpligtelser, forbliver Behandleren fuldt ansvarlig over for den Dataansvarlige for underdatabehandlerens opfyldelse af forpligtelserne i henhold til denne DBA.

11.1 Behandleren forpligter sig til at sikre, at berørt personale overholder denne DBA og de instruktioner, der gives af den Dataansvarlige, og at personalet holdes informeret om bestemmelserne i Gældende databeskyttelseslovgivning.

11.2 Adgang til Oplysningerne skal begrænses til de personer, der har brug for dem for at kunne udføre deres arbejdsopgaver. Behandleren skal sikre, at disse personer har påtaget sig fortrolighed eller er underlagt lovbestemt tavshedspligt.

12.2 Den Dataansvarlige kan eksportere og slette brugerdata direkte via platformens administrationsgrænseflade. For anmodninger, der kræver yderligere bistand, svarer Behandleren inden for ti (10) arbejdsdage.

12.3 Hvis en registreret person, Datatilsynet eller tredjemand kontakter Behandleren med anmodninger vedrørende behandling af Oplysningerne, skal Behandleren henvise til den Dataansvarlige. Behandleren må ikke udlevere Oplysningerne eller andre oplysninger om behandlingen uden udtrykkelig instruktion fra den Dataansvarlige, medmindre udleveringen følger af en lovmæssig forpligtelse.

12.4 Behandleren underretter straks den Dataansvarlige om enhver kontakt med Datatilsynet, der vedrører eller kan have betydning for Behandlerens behandling af Oplysningerne.

13.1 Ved et brud på persondatasikkerheden underretter Behandleren den Dataansvarlige herom senest fireogtyve (24) timer efter, at Behandleren har opdaget bruddet.

13.2 Underretningen skal indeholde oplysninger om:

1. Hændelsens art samt kategorier og det omtrentlige antal registrerede og personoplysningsposter, der er berørt
2. Kontaktoplysninger til den databeskyttelsesansvarlige eller en anden funktion hos Behandleren
3. De sandsynlige konsekvenser af hændelsen
4. De foranstaltninger, som Behandleren allerede har truffet eller planlægger at træffe for at håndtere hændelsen
5. Alle øvrige oplysninger, som den Dataansvarlige har brug for for at opfylde sin anmeldelsespligt over for Datatilsynet (72-timersfristen i GDPR art. 33) og de registrerede

13.3 Behandleren bistår den Dataansvarlige med at opfylde sine anmeldelsespligter over for Datatilsynet og registrerede.

15.1 Behandleren opbevarer ikke Oplysningerne længere end nødvendigt for opfyldelsen af formålet eller hvad der i øvrigt følger af Gældende databeskyttelseslovgivning, denne DBA eller den Dataansvarliges instruktioner.

15.2 Ved aftalens ophør gælder følgende:

• Den Dataansvarlige kan eksportere alle data via platformens eksportfunktion i en overgangsperiode på tredive (30) dage
• Efter overgangsperioden slettes alle den Dataansvarliges data — herunder databaseindhold, uploadede filer og vektorindlejringer — permanent fra alle systemer, herunder sikkerhedskopier, inden for tredive (30) dage
• Behandleren stiller skriftlig bekræftelse på sletningen til rådighed på anmodning

15.3 Hvis sletning ikke er teknisk mulig, garanterer Behandleren, at Oplysningerne anonymiseres på en måde, der umuliggør genidentificering.

16.1 Den Dataansvarlige har ret til selv eller gennem et uafhængigt tredjepartsrevisionsfirma at gennemgå Behandlerens overholdelse af denne DBA og Gældende databeskyttelseslovgivning. Revisioner gennemføres med rimelig forudgående varsel og under iagttagelse af fortrolighedsforpligtelser.

16.2 Behandleren samarbejder ved revisioner og giver adgang til relevant dokumentation, systemer og personale. Behandleren kan imødekomme revisionsanmodninger ved at stille uafhængige tredjepartsrevisionsrapporter eller certificeringer til rådighed.

16.3 Inspektioner skal tilrettelægges på en måde, der medfører mindst mulig indvirkning på Parternes ordinære virksomhed.

16.4 Hvis den Dataansvarlige ved gennemgang konstaterer, at Behandleren behandler Oplysningerne i strid med denne DBA eller Gældende databeskyttelseslovgivning, er Behandleren forpligtet til straks at efterkomme den Dataansvarliges påpegning. Hvis berigtigelse ikke sker rettidigt, har den Dataansvarlige ret til at opsige DBA'en og Serviceaftalen med øjeblikkelig virkning.

16.5 Medmindre andet er skriftligt aftalt, bærer hver Part sine egne omkostninger ved gennemgang.

17.1 Behandleren må ikke udlevere Oplysningerne eller andre oplysninger om behandlingen til tredjemand uden udtrykkelig instruktion eller forudgående godkendelse fra den Dataansvarlige, medmindre udleveringen følger af en lovmæssig forpligtelse.

17.2 Parterne forpligter sig til ikke at afsløre fortrolige oplysninger, som de direkte eller indirekte har fået kendskab til under samarbejdet, til tredjemand.

17.3 Parterne overholder de til enhver tid gældende regler om forretningshemmeligheder.

17.4 Behandleren sikrer, at personer med adgang til Oplysningerne har påtaget sig fortrolighed eller er underlagt lovbestemt tavshedspligt. Underdatabehandlere skal have tilsvarende fortrolighedsforpligtelser.

17.5 Fortrolighedsforpligtelserne i dette afsnit består efter DBA'ens ophør.

19.1 Hvis en Part handler i strid med denne DBA eller Gældende databeskyttelseslovgivning, holder denne Part den anden Part skadesløs for skade, som en sådan handling har forårsaget, medmindre den skadeforvoldende Part kan godtgøre, at denne på ingen måde er ansvarlig.

19.2 Under ingen omstændigheder er en Part ansvarlig for indirekte skader, såsom tabt fortjeneste, indkomsttab, tab af data eller andre følgeskader. Denne begrænsning gælder ikke ved grov uagtsomhed eller forsæt.

19.3 Parternes ansvar over for tredjemand reguleres i overensstemmelse med artikel 82 i Databeskyttelsesforordningen. Den Part, der har betalt fuld erstatning for skade forårsaget tredjemand, har ret til fra den anden Part, der har medvirket ved den samme behandling, at kræve den del af erstatningen tilbage, der svarer til dennes andel af ansvaret.

19.4 Ansvar for overtrædelser af denne DBA reguleres i øvrigt af vilkårene i Serviceaftalen.

20.1 Den Dataansvarlige kan ændre indholdet af denne DBA, i det omfang det er nødvendigt for at imødekomme krav, der følger af Gældende databeskyttelseslovgivning. En sådan ændring træder i kraft tredive (30) dage efter, at meddelelsen om ændringen er kommet Behandleren i hænde. Hvis Behandleren ikke accepterer ændringen, har den Dataansvarlige ret til at opsige Serviceaftalen med øjeblikkelig virkning.

20.2 Øvrige ændringer af og tilføjelser til denne DBA skal for at være bindende udarbejdes skriftligt og godkendes af begge Parter.

21.1 DBA'en gælder fra dens indgåelse og så længe Behandleren behandler Oplysningerne på vegne af den Dataansvarlige.

21.2 Ved DBA'ens ophør skal Behandleren og eventuelle underdatabehandlere enten tilbagelevere alle Oplysningerne og kopier heraf til den Dataansvarlige eller slette alle Oplysningerne og bekræfte, at dette er sket, i overensstemmelse med afsnit 15.

21.3 Fortrolighedsbestemmelserne i afsnit 17 består efter DBA'ens ophør.

23.1 Alle meddelelser og anden kommunikation i henhold til denne DBA skal udarbejdes skriftligt og fremsendes via e-mail, bud eller anbefalet brev til Parternes kontaktpersoner.

23.2 En meddelelse anses for at være kommet modtageren i hænde: ved e-mail på tidspunktet for fremsendelsen (forudsat ingen fejlmeddelelse modtages), ved bud på afleveringstidspunktet, og ved anbefalet brev den tredje (3.) hverdag efter afgivelsen til post.

24.1 Svensk ret finder anvendelse på denne DBA, herunder al behandling af Oplysningerne under DBA'en.

24.2 Tvister, der opstår i anledning af denne DBA, løses i overensstemmelse med tvistløsningsmekanismen angivet i Serviceaftalen.