Databehandleraftale

Denne Databehandleraftale ("DPA") udgør en del af aftalen mellem 3RD ApS ("Databehandler", "3RD") og kunden ("Dataansvarlig", "Kunden") vedrørende levering af 3RD's SaaS-platform og tilknyttede tjenester ("Tjenesterne").

Denne DPA regulerer behandling af personoplysninger, som 3RD foretager på vegne af Kunden i forbindelse med Tjenesterne, og indgås i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2016/679 (GDPR).

1. Definitioner

I denne DPA har følgende udtryk de angivne betydninger:

• Personoplysninger: Oplysninger som defineret i GDPR art. 4(1)
• Behandling: Enhver aktivitet som defineret i GDPR art. 4(2)
• Dataansvarlig: Den juridiske enhed, der fastlægger formål og midler for behandling af personoplysninger
• Databehandler: Den juridiske enhed, der behandler personoplysninger på vegne af den dataansvarlige
• Underdatabehandler: Enhver tredjepartsbehandler engageret af Databehandleren
• Kundedata: Alle personoplysninger, som Kunden indsamler, indlæser eller på anden måde stiller til rådighed gennem Tjenesterne
• Databeskyttelseslovgivning: GDPR og øvrig gældende databeskyttelseslovgivning

2. Behandlingens genstand og formål

2.1 Behandlingsformål

Databehandler skal behandle Kundedata udelukkende med henblik på at levere Tjenesterne i overensstemmelse med Vilkår og betingelser og Kundens dokumenterede instrukser.

2.2 Behandlingens art

Behandlingen omfatter indsamling, registrering, organisering, strukturering, opbevaring, tilpasning, ændring, søgning, forespørgsel, brug, videregivelse ved transmission, formidling eller enhver anden form for tilgængeliggørelse, sammenstilling, sletning og destruktion.

2.3 Kategorier af registrerede

Behandlingen kan omfatte personoplysninger vedrørende:

• Kundens medarbejdere og brugere
• Kundens kunder og slutbrugere
• Andre personer identificeret i Kundedata

2.4 Kategorier af personoplysninger

Behandlingen kan omfatte følgende kategorier:

• Identifikationsoplysninger (navn, e-mail, brugernavn)
• Kontaktoplysninger (telefonnummer, adresse)
• Virksomhedsoplysninger (jobtitel, organisation)
• Brugsdata (log-data, IP-adresser, aktivitet)
• Tekniske data (enhedsoplysninger, cookies)
• Andet Kundeindhold indsendt gennem Tjenesterne

Særlige kategorier af personoplysninger (GDPR art. 9) må ikke behandles gennem Tjenesterne, medmindre dette udtrykkeligt er aftalt skriftligt.

3. Databehandlerens forpligtelser

3.1 Behandling i henhold til instrukser

Databehandler skal:

• Behandle Kundedata udelukkende efter dokumenterede instrukser fra Kunden
• Underrette Kunden, hvis en instruks efter Databehandlerens mening er i strid med GDPR eller anden databeskyttelseslovgivning
• Ikke behandle Kundedata til egne formål eller videreoverdrage data til tredjemand uden Kundens forudgående skriftlige samtykke

3.2 Fortrolighed

Databehandler skal sikre, at personer, der er autoriseret til at behandle Kundedata:

• Er underlagt fortrolighedsforpligtelse eller tavshedspligt
• Kun har adgang til de data, der er nødvendige for at opfylde deres opgaver
• Er behørigt instrueret og trænet i databeskyttelse

3.3 Sikkerhedsforanstaltninger

Databehandler implementerer passende tekniske og organisatoriske foranstaltninger, jf. GDPR art. 32:

Tekniske foranstaltninger:

• Kryptering under transmission (TLS 1.2 eller højere)
• Kryptering af følsomme data at rest
• Adgangskontrol og autentificering (MFA hvor relevant)
• Regelmæssig backup og disaster recovery
• Netværkssegmentering og firewall-beskyttelse
• Logging og monitering af systemadgang

Organisatoriske foranstaltninger:

• Sikkerhedspolitikker og procedurer
• Medarbejderuddannelse i informationssikkerhed
• Incident response-procedure
• Regelmæssige sikkerhedsgennemgange og audits
• Adgangsstyring baseret på need-to-know-princippet
• Secure software development lifecycle (SDLC)

3.4 Assistance til den dataansvarlige

Databehandler skal, under hensyntagen til behandlingens art og de for Databehandler tilgængelige oplysninger, bistå Kunden med:

• Implementering af passende tekniske og organisatoriske foranstaltninger
• Opfyldelse af Kundens forpligtelser til at besvare anmodninger fra registrerede (GDPR kap. III)
• Sikring af behandlingssikkerhed
• Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden
• Konsekvensvurdering vedrørende databeskyttelse (DPIA), hvis relevant
• Forudgående konsultation med tilsynsmyndigheden, hvis relevant

Sådan assistance kan, hvis den kræver betydelig indsats ud over almindelig drift af Tjenesterne, faktureres efter Databehandlerens til enhver tid gældende timesats.

4. Underdatabehandlere

4.1 Generel godkendelse

Kunden giver hermed generel godkendelse til, at Databehandler kan anvende underdatabehandlere til levering af Tjenesterne, forudsat at:

• Underdatabehandleren er underlagt de samme databeskyttelsesforpligtelser som Databehandleren
• Databehandleren forbliver fuldt ansvarlig over for Kunden

4.2 Liste over underdatabehandlere

En aktuel liste over underdatabehandlere er tilgængelig på:

https://trust.get3rd.com/subprocessors

Listen omfatter:

• Underdatabehandlerens navn og kontaktoplysninger
• Lokation af databehandling
• Beskrivelse af behandlingsaktiviteten

4.3 Varsling om ændringer

Databehandler skal varsle Kunden om planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere mindst 30 dage før ændringen træder i kraft.

Varsel gives via:

• E-mail til Kundens registrerede kontaktperson
• Opdatering på https://trust.get3rd.com/subprocessors

4.4 Indsigelsesret

Hvis Kunden har begrundede og dokumenterede indvendinger mod en ny eller ændret underdatabehandler af databeskyttelsesmæssige årsager, skal Kunden gøre indsigelse skriftligt inden for 14 dage efter modtagelse af varsel.

Hvis indsigelsen ikke kan imødekommes, har Kunden ret til at opsige aftalen med virkning fra den dato, hvor den nye underdatabehandler ville blive anvendt.

5. Internationale overførsler

5.1 Overførsel til tredjelande

Behandling af Kundedata kan finde sted i lande uden for EU/EØS, herunder ved anvendelse af Tredjeparts-LLM'er fra udbydere baseret i USA.

5.2 Overførselsmekanismer

Databehandler sikrer, at internationale overførsler sker på grundlag af et af følgende:

• EU-Kommissionens standardkontraktbestemmelser (SCC)
• EU-Kommissionens afgørelse om tilstrækkeligt beskyttelsesniveau (adequacy decision)
• Godkendte certificeringsmekanismer
• Andre GDPR-godkendte overførselsmekanismer

5.3 Supplerende foranstaltninger

Hvor relevant implementerer Databehandler supplerende tekniske og organisatoriske foranstaltninger for at sikre et tilstrækkeligt beskyttelsesniveau, herunder kryptering og pseudonymisering.

6. Brud på persondatasikkerheden

6.1 Underretning

Databehandler skal uden unødig forsinkelse, og senest 48 timer efter at være blevet bekendt med et brud på persondatasikkerheden, underrette Kunden.

6.2 Indhold af underretning

Underretningen skal minimum indeholde:

• Beskrivelse af bruddet, herunder kategorier og antal berørte registrerede og dataposter
• Kontaktpunkt for yderligere information
• Beskrivelse af sandsynlige konsekvenser
• Beskrivelse af iværksatte eller foreslåede afhjælpende foranstaltninger

6.3 Dokumentation

Databehandler skal dokumentere alle brud på persondatasikkerheden og på anmodning stille dokumentationen til rådighed for Kunden og tilsynsmyndigheden.

7. Sletning og tilbagelevering af data

7.1 Ved aftalens ophør

Ved ophør af Tjenesterne skal Databehandler efter Kundens valg:

• Slette alle Kundedata, eller
• Tilbagelevere Kundedata i et struktureret, almindeligt anvendt og maskinlæsbart format

7.2 Eksportperiode

Kunden har ret til at eksportere Kundedata i op til 30 dage efter ophør af abonnementet, medmindre ophøret skyldes Kundens væsentlige misligholdelse.

7.3 Sletning

Efter udløb af eksportperioden sletter Databehandler alle Kundedata, herunder eventuelle kopier, med følgende undtagelser:

• Backup-kopier kan bevares i op til 90 dage som led i normal backup-rotation
• Data kan opbevares i anonymiseret eller aggregeret form
• Data kan opbevares i det omfang det kræves efter gældende lovgivning

7.4 Bekræftelse

Databehandler kan på anmodning udstede en skriftlig bekræftelse på, at Kundedata er slettet.

8. Revision og inspektion

8.1 Ret til revision

Kunden har ret til at foretage revision eller lade en uafhængig revisor foretage inspektion af Databehandlerens behandling af Kundedata for at kontrollere overholdelse af denne DPA og GDPR.

8.2 Dokumentation og certificeringer

Databehandler stiller følgende dokumentation til rådighed:

• Sikkerhedspolitikker og procedurer (i anonymiseret form)
• Relevante certificeringer (ISO 27001, SOC 2 Type II, hvis tilgængelige)
• Tredjepartsaudits og penetration tests (summary reports)

8.3 On-site audit

Kunden kan anmode om on-site audit, forudsat at:

• Anmodningen er rimelig, begrundet og nødvendig
• Anmodningen fremsættes med mindst 30 dages skriftligt varsel
• Auditten ikke foretages mere end én gang årligt (medmindre der foreligger mistanke om brud)
• Auditten gennemføres på en måde, der ikke forstyrrer Databehandlerens forretningsdrift
• Kundens repræsentanter er underlagt fortrolighedsforpligtelse
• Kunden afholder omkostninger forbundet med auditten

8.4 Sikkerhed og fortrolighed

Revision må ikke kompromittere andre kunders data, sikkerhed eller forretningshemmeligheder.

9. Databeskyttelsesansvarlig

Databehandler har udpeget en kontaktperson for databeskyttelsesspørgsmål:

Data Protection Contact

3RD ApS

E-mail: gethelp@get3rd.com

10. Varighed og opsigelse

10.1 Varighed

Denne DPA træder i kraft samtidig med Vilkår og betingelser og forbliver i kraft, så længe Databehandler behandler Kundedata på vegne af Kunden.

10.2 Ophør

Denne DPA ophører automatisk ved ophør af Tjenesterne, forudsat at alle forpligtelser vedrørende sletning eller tilbagelevering af data er opfyldt.

10.3 Overlevende bestemmelser

Følgende bestemmelser overlever aftalens ophør:

• Fortrolighed (afsnit 3.2)
• Sletning af data (afsnit 7)
• Ansvar (afsnit 11)

11. Ansvar og godtgørelse

11.1 Ansvar for underdatabehandlere

Databehandler er fuldt ansvarlig over for Kunden for underdatabehandleres opfyldelse af databeskyttelsesforpligtelser.

11.2 Ansvarsbegrænsning

Databehandlerens ansvar under denne DPA er underlagt de ansvarsbegrænsninger, der er fastsat i Vilkår og betingelser, i det omfang gældende lovgivning tillader det.

11.3 Reguleringsmyndigheder

Intet i denne DPA begrænser parternes ansvar over for tilsynsmyndigheder eller registrerede i henhold til GDPR.

12. Lovvalg og værneting

Denne DPA er underlagt samme lovvalg og værneting som Vilkår og betingelser.

13. Ændringer

Denne DPA kan ændres for at afspejle ændringer i databeskyttelseslovgivningen eller Databehandlerens behandlingsaktiviteter. Væsentlige ændringer varsles i overensstemmelse med Vilkår og betingelser.

14. Kontakt

For spørgsmål vedrørende denne DPA, kontakt:

3RD ApS

Pilestræde 52A

DK-1112 København K

Danmark

E-mail: gethelp@get3rd.com

Bilag A: Tekniske og organisatoriske foranstaltninger

A.1 Fysisk adgangskontrol

• Tjenesterne hostes hos certificerede cloud-leverandører (AWS, GCP) med fysisk sikkerhed, adgangskontrol og overvågning
• Datacentre i EU-regioner med ISO 27001, SOC 2 Type II certificeringer

A.2 Systemadgangskontrol

• Multifaktor-autentifikation (MFA) for administrativ adgang
• Rollebaseret adgangskontrol (RBAC)
• Unik bruger-identifikation og stærke adgangskoder
• Automatisk session timeout

A.3 Datakryptering

• TLS 1.2+ for alle data under transmission
• Kryptering at rest for følsomme data
• Sikker nøglehåndtering

A.4 Logging og overvågning

• Centraliseret logging af systemadgang og aktivitet
• Real-time sikkerhedsovervågning og alerting
• Log-retention i 12 måneder
• Regelmæssig gennemgang af sikkerhedslogs

A.5 Netværkssikkerhed

• Firewall og netværkssegmentering
• DDoS-beskyttelse
• Intrusion detection/prevention systems
• Regelmæssige sårbarheds-scans og penetration tests

A.6 Backup og disaster recovery

• Automatisk daglig backup
• Geografisk redundans
• Testede disaster recovery-procedurer
• RTO (Recovery Time Objective): 24 timer
• RPO (Recovery Point Objective): 24 timer

A.7 Udviklings- og test-miljøer

• Adskillelse af produktion, test og udvikling
• Anonymisering af produktionsdata i test-miljøer
• Sikker kodegennemgang og deployment-procedurer

A.8 Organisatoriske foranstaltninger

• Informationssikkerhedspolitik
• Årlig sikkerhedstræning for medarbejdere
• Background checks for medarbejdere med adgang til Kundedata
• Fortrolighedsaftaler for alle medarbejdere
• Incident response team og procedure
• Vendor risk management-program

*Denne DPA er en del af 3RD's juridiske rammeværk og supplerer Vilkår og betingelser.*