Ring nu

+ 45 53 76 45 11

Login
Opret konto

Databehandlingsaftale

Mellem
[Kundens navn og CVR-nummer] (herefter “Den Dataansvarlige”)

og

Surfway
CVR: 43619993
Taastrup Hovedgade 53A, st.th
2630 Taastrup, Danmark
E-mail: tech@surfway.dk
(herefter “Databehandleren”)

Sidst opdateret: 01.02.2025

1. Formål og omfang

1.1. Denne databehandleraftale (“Aftalen”) fastsætter vilkårene for Databehandlerens behandling af personoplysninger på vegne af Den Dataansvarlige.
1.2. Aftalen sikrer, at behandlingen af persondata sker i overensstemmelse med Europa-Parlamentets og Rådets Forordning (EU) 2016/679 (“GDPR”) og den danske databeskyttelseslov.
1.3. Aftalen er et tillæg til den primære aftale mellem parterne og regulerer udelukkende håndtering af personoplysninger.
1.4. Parterne er enige om, at Databehandleren alene må behandle personoplysninger til de specifikke formål, der fremgår af denne Aftale.

2. Behandlingens karakter, formål og typer af data

2.1. Databehandleren behandler personoplysninger med følgende formål:

  • Workforce management (herunder tidsregistrering, vagtplanlægning, fraværsregistrering)
  • Dokumenthåndtering (opbevaring og administration af ansættelseskontrakter, certifikater, mv.)
  • Brugeradministration (inklusive adgangskontrol, login-logning, og rollebaserede adgangsrettigheder)
  • Kommunikation og notifikationer (e-mails, push-notifikationer, SMS)
  • Databehandling for rapportering og analyse

2.2. Typer af personoplysninger, der behandles:

  • Identifikationsoplysninger: Navn, e-mail, telefonnummer
  • Virksomhedsoplysninger: Firmaets navn, afdeling, ansættelsesstatus
  • IP-adresser og enhedsdata (bruges til logning og sikkerhed)
  • Tidsregistrering og arbejdsrelaterede data
  • Login-historik, adgangsrettigheder, og sikkerhedslogfiler

2.3. Kategorier af registrerede personer:

  • Medarbejdere hos Den Dataansvarlige
  • Administratorer af systemet
  • Konsulenter eller eksterne samarbejdspartnere

2.4. Databehandleren må ikke anvende personoplysninger til egne formål eller videregive dem uden skriftligt samtykke fra Den Dataansvarlige.

3. Databehandlerens forpligtelser

3.1. Databehandleren forpligter sig til at:

  • Behandle personoplysninger i overensstemmelse med GDPR og gældende lovgivning.
  • Implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger.
  • Ikke videregive oplysninger til tredjeparter uden skriftlig godkendelse.
  • Sikre, at medarbejdere, der håndterer persondata, er instrueret i korrekt databehandling.
  • Underrette Den Dataansvarlige straks i tilfælde af brud på datasikkerheden.

4. Sikkerhedsforanstaltninger

4.1. Databehandleren implementerer følgende sikkerhedsforanstaltninger for at beskytte persondata:

  • Kryptering af data (både under transmission og ved lagring)
  • Adgangskontrol (to-faktor-autentifikation, begrænset adgang baseret på roller)
  • Regelmæssige sikkerhedsrevisioner og penetrationstests
  • Automatiseret logning af delvis systemaktiviteter
  • Automatiserede backup-rutiner med geografisk redundans

4.2. Databehandleren forpligter sig til at evaluere og opdatere sikkerhedsforanstaltninger løbende.

5. Underdatabehandlere

5.1. Databehandleren benytter følgende underdatabehandlere:

  • Hostingudbydere (serverinfrastruktur, databaser)
  • E-mail-udbydere (kommunikation)
  • Backup-udbydere (sikring af dataintegritet)

5.2. Den Dataansvarlige informeres, hvis der sker ændringer i underdatabehandlere.

6. Overførsel af data uden for EU/EØS

6.1. Hvis personoplysninger overføres til et land uden for EU/EØS, sikrer Databehandleren:

  • Brug af Standard Contractual Clauses (SCC) godkendt af EU-Kommissionen.
  • Tilsvarende beskyttelsesniveau som i EU, gennem bindende virksomhedsregler eller certificeringer.

6.2. Den Dataansvarlige kan til enhver tid kræve dokumentation for sikkerhedsforanstaltningerne.

7. Rettigheder for registrerede personer

7.1. Databehandleren bistår Den Dataansvarlige med at opfylde de registreredes rettigheder, herunder:

  • Ret til indsigt (adgang til egne data)
  • Ret til berigtigelse (rettelse af ukorrekte data)
  • Ret til sletning (“retten til at blive glemt”)
  • Ret til begrænsning af behandling
  • Ret til dataportabilitet (mulighed for at flytte data)

7.2. Alle henvendelser fra registrerede personer skal besvares inden for 30 dage.

8. Databrud og underretning

8.1. I tilfælde af et databrud skal Databehandleren:

  • Underrette Den Dataansvarlige inden for 24 timer.
  • Foretage en analyse af omfanget af bruddet.
  • Iværksætte nødvendige afhjælpende foranstaltninger.

8.2. Databehandleren skal give en rapport indeholdende:

  • Hvad der skete
  • Hvornår bruddet blev opdaget
  • Hvilke data der er påvirket
  • Hvordan skaden begrænses

8.3. Den Dataansvarlige har ansvar for at anmelde bruddet til Datatilsynet, hvis det er nødvendigt.

9. Opbevaring og sletning af data

9.1. Persondata opbevares kun så længe, det er nødvendigt for at levere tjenesten.
9.2. Ved abonnementsophør slettes alle data automatisk senest 6 måneder efter opsigelse.
9.3. Sletning sker via en sikker metode, der forhindrer gendannelse af data.

10. Revision og tilsyn

10.1. Den Dataansvarlige har ret til at foretage inspektion af Databehandlerens sikkerhedsforanstaltninger.
10.2. Revision kan foretages gennem:

  • Ekstern tredjepart (certificeret IT-revisor)
  • Audit-rapporter leveret af Databehandleren

10.3. Databehandleren forpligter sig til at samarbejde ved inspektioner.

11. Lovvalg og værneting

11.1. Aftalen er underlagt dansk lovgivning.
11.2. Eventuelle tvister afgøres ved Byretten i København.

Underskrifter:

Den DataansvarligeSurfway
[Navn][Navn]
[Dato][Dato]

© Copyright – Surfway