Databehandleraftale

Juridisk kontrakt, der skitserer vilkårene for behandling af personoplysninger og sikrer overholdelse af databeskyttelsesreglerne.

Databehandleraftale

Baggrund for databehandleraftalen

  1. Denne aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse, når Previsto foretager behandling af personoplysninger på vegne af Kunden.

  2. Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.

    1. I forbindelse med leveringen af ruteplanlægning og hertil relaterede services, behandler Previsto personoplysninger på vegne af den Kunden i overensstemmelse med disse Bestemmelser.

  3. Databehandleraftalen og betingelser for anvendelse af Previstos er indbyrdes afhængige, og kan ikke opsiges særskilt. Databehandleraftalen kan dog erstattes af en anden gyldig databehandleraftale.

  4. Denne databehandleraftale har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne, herunder betingelser for anvendelse af Previstos.

  5. Til denne aftale hører 3 bilag. Bilagene fungerer som en integreret del af databehandleraftalen.

  6. Bilag A indeholder nærmere oplysninger om behandlingen af personoplysninger, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.

  7. Kunden godkender at Previsto kan involvere underdatabehandlere til at behandle personlige data på kundens vegne. Databehandleraftalens Bilag B indeholder en liste over de underdatabehandlere Previsto anvender.

  8. Databehandleraftalens Bilag C indeholder en nærmere beskrivelse af Previstos sikkerhedsforanstaltninger.

  9. Bestemmelserne med tilhørende bilag skal opbevares skriftligt, herunder elektronisk, af begge parter.

  10. Denne databehandleraftale frigør ikke Previsto for forpligtelser, som efter databeskyttelsesforordningen eller enhver anden lovgivning direkte er pålagt Previsto.

Kundens rettigheder og forpligtelser

  1. Kunden er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med databeskyttelsesforordningen (se forordningens artikel 24), databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.

  2. Kunden har ret og pligt til at træffe beslutninger om, til hvilke(t) formål og med hvilke hjælpemidler, der må ske behandling af personoplysninger.

  3. Kunden er ansvarlig for, blandt andet, at sikre, at der er et behandlingsgrundlag for behandlingen af personoplysninger, som Previsto instrueres i at foretage.

Dataprocessering

  1. Previsto behandler kun personoplysninger efter instruks fra Kunden, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Previsto er underlagt.

Behandlingssikkerhed

  1. Sikkerhedsforanstaltninger: Previsto skal sørge for passende tekniske og organisatoriske sikkerhedsforanstaltninger til beskyttelse af personoplysninger fra sikkerhedshændelser og for sikker og fortrolig opbevaring af personoplysninger i overensstemmelse med Previstos sikkerhedsforanstaltninger som beskrevet i bilag B.

  2. Fortrolighed: Previsto skal sikre, at enhver person som Previsto har bemyndiget til at behandle personoplysninger (herunder dets personale, agenter og underentreprenører), er underlagt en passende fortrolighedsforpligtelse (hvad enten der er tale om en kontraktlig eller lovbestemt tjeneste).

  3. Underretning om sikkerhedsbrud: Efter at være blevet opmærksom på et sikkerhedsbrud skal Previsto underrette Kunden uden unødig forsinkelse og skal fremlægge rettidig information vedrørende sikkerhedshændelsen, efterhånden som den bliver kendt eller anmodet om af kunden.

  4. Opdateringer til sikkerhedsforanstaltninger: Kunden erkender, at sikkerhedsforanstaltningerne er underlagt teknisk udvikling og at Previsto kan opdatere eller ændre sikkerhedsforanstaltningerne fra tid til anden, forudsat at sådanne opdateringer og ændringer ikke medfører forringelse af den samlede sikkerhed for de tjenester som Kunden køber.

Overførsel af oplysninger til tredjelande eller internationale organisationer

  1. Behandlingssteder: Previsto gemmer og behandler EU-data (defineret nedenfor) i datacentre beliggende inden for EU.

Bistand til Kunden

  1. I det omfang kunden ikke er i stand til selvstændigt at få adgang til de relevante personoplysninger inden for tjenesterne, skal Previsto (på Kundens bekostning) tilbyde et rimeligt samarbejde for at bistå kunden med passende tekniske og organisatoriske foranstaltninger så vidt muligt, samt reagere på anmodninger fra enkeltpersoner eller gældende databeskyttelsesmyndigheder vedrørende behandling af personoplysninger i henhold til aftalen. I tilfælde af, at en sådan anmodning rettes direkte til Previsto, skal Previsto ikke svare direkte på denne meddelelse uden Kundens forudgående tilladelse, medmindre det er tvunget ved lov. Hvis Previsto skal svare på en sådan anmodning, skal Previsto straks underrette Kunden og give denne en kopi af anmodningen, medmindre det er forbudt ved lov.

  2. I det omfang det kræves af Previsto i henhold til databeskyttelsesloven, skal Previsto (på Kundens bekostning) give adgang til oplysninger om Previstos behandling af personoplysninger i henhold til aftalen, for at gøre det muligt for kunden at udføre konsekvensanalyser for databeskyttelse eller konsultationer med databeskyttelsesmyndigheder som krævet i henhold til loven.

Sletning og tilbagelevering af oplysninger

  1. Ved ophør af tjenesterne vedrørende behandling forpligtes Previsto til, efter Kundens valg, at slette eller tilbagelevere alle personoplysninger til Kunden, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.

Bilag A - Liste over underdatabehandlere

Forklaring

Leverandørens Software er afhængig af en række underleverandører for at kunne operere. Sådanne ”underdatabehandlere” er tredjepartsleverandører i og uden for EU/EØS. Leverandørens underleverandører er oplistet i den til enhver tid opdaterede liste over underdatabehandlere. Leverandøren skal sikre sig, at dennes Underdatabehandlere skal overholde tilsvarende forpligtelser og krav, som er beskrevet i Aftalen. Al brug af Underdatabehandlere er endvidere underlagt Leverandørens Generelle Forretningsbetingelser.

Underleverandører

Leverandør Persondatakategori Formål
Postmark
WildBit, LLC
225 Chewstnut Street
Philadelphia, PA 191106		 Registrerede data:
Kundens kunder

Kategorier
Navn, e-mail		 Afsendelse af transaktionelle e-mails
Gateway API
Onlinecity Aps
Buchwaldsgade 50
5000 Odense C		 Registrerede data:
Kundens kunder

Kategorier
Navn, telefonnummer		 Afsendelse af transaktionelle sms'er
Stripe
North Wall Quay Dublin 1.
Dublin 1
Dublin		 Registrerede data:
Kundens virksomhed

Kategorier
Navn, adresse, virksomhed, betalingsoplysninger		 Gennemførelse af kreditkortbetalinger
Digital Ocean101 Avenue of the Americas
10th Floor New York
NY 10013		 Registrerede data:
Kundens kunder og evt. aftaler og opgaver, kundens virksomhed, kundens ansatte, kundens notater, kundens notifikationer

Kategorier:
Navn, adresse, telefonnummer, e-mail, CVR		 Hosting

Bilag B - Sikkerhedsforanstaltninger

Netværkssikkerhed

Dette afsnit beskriver hvilken form for sikkerhed der er fastlagt for Previsto’s servere.

Kryptering

Alle forbindelser til og fra Previsto’s servere er krypterede http-forbindelser(https) og certificeret med certifikater fra LetsEncrypt som opdateres hver måned. Dog modtages også ukrypterede http-forbindelser, men disse omdirigeres til krypterede forbindelser i yderste led.

Firewall

Alle netværksporte til Previsto’s servere er spærret på nær port 80 og 443. Følgende tabel beskriver den enkelte ports formål.

Port Formål
80 HTTP. Omdirigeres omgående til HTTPS.
443 HTTPS. Al data serveres via denne port.

Datasikkerhed

Dette afsnit beskriver datasikkerheden for vores kundedata.

Opbevaring

Alle data opbevares I en database som kun kan tilgås via Previsto’s interne netværk fra udvalgte servere samt med korrekt authentication. Sårbare data som f.eks. kodeord opbevares så vidt muligt med envejskryptering og er ikke mulig at genetablere, men kan kun bruges til validering.