Databehandleraftale
Denne databehandleraftale ("Aftalen") regulerer Plano ApS' behandling af personoplysninger på vegne af dig som dataansvarlig i forbindelse med levering af vores tjenester. Aftalen er indgået i henhold til artikel 28 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (GDPR).
1. Parter
Dataansvarlig: Kunde/virksomhed der bruger Plano
Databehandler:
Plano ApS
CVR: 46121864
E-mail: kontakt@plano.dk
2. Aftalens genstand og varighed
2.1 Genstand
Databehandler skal behandle personoplysninger på vegne af den dataansvarlige i forbindelse med levering af Planos tjenester til tidsregistrering, akkordregistrering, planlægning og projektstyring.
2.2 Varighed
Denne aftale træder i kraft ved oprettelse af konto og gælder, så længe Databehandler leverer tjenester til den dataansvarlige.
3. Databehandlerens forpligtelser
Databehandler forpligter sig til:
- Kun at behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige
- At sikre, at personer med adgang til personoplysningerne har forpligtet sig til fortrolighed
- At træffe alle nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger
- At bistå den dataansvarlige med at opfylde pligten til at besvare anmodninger fra registrerede
- Efter eget valg at slette eller tilbagelevere alle personoplysninger ved aftalens ophør
- At stille alle oplysninger til rådighed, der er nødvendige for at påvise overholdelse
4. Behandlingens art og formål
4.1 Art
Behandlingen omfatter:
- Indsamling
- Registrering
- Organisering
- Strukturering
- Opbevaring
- Tilpasning
- Ændring
- Genfinding
- Søgning
- Brug
- Videregivelse ved transmission
- Formidling
- Sletning
4.2 Formål
Behandlingen har til formål at levere Planos tjenester til tidsregistrering, akkordregistrering, planlægning, projektstyring og relaterede funktioner som aftalt mellem parterne.
5. Kategorier af registrerede og personoplysninger
5.1 Kategorier af registrerede
- Medarbejdere hos den dataansvarlige
- Kontaktpersoner hos kunder og leverandører
- Brugere af systemet
5.2 Kategorier af personoplysninger
Almindelige personoplysninger:
- Navn
- E-mailadresse
- Telefonnummer
- Medarbejdernummer
- Arbejdstider og -data
- Projektoplysninger
- GPS-lokation (ved tidsregistrering)
- Fotografier (ved dokumentation)
Bemærk: Databehandler må ikke behandle følgende særlige kategorier af personoplysninger uden specifik instruks: CPR-numre, helbredsoplysninger, race/etnisk oprindelse, politisk/religiøs overbevisning, eller fagforeningsmæssige forhold.
6. Sikkerhedsforanstaltninger
Databehandler har implementeret følgende tekniske og organisatoriske foranstaltninger:
6.1 Tekniske foranstaltninger
- Kryptering af data under overførsel (TLS/SSL)
- Krypterede adgangskoder
- Regelmæssige sikkerhedsopdateringer
- Firewall og netværkssikkerhed
- Backup med kryptering
- To-faktor autentificering (valgfrit)
6.2 Organisatoriske foranstaltninger
- Adgangskontrol og log-overvågning
- Fortrolighedsaftaler med medarbejdere
- Sikkerhedspolitikker og procedurer
- Regelmæssig sikkerhedstræning
- Procedure for håndtering af brud på persondatasikkerheden
7. Brug af underdatabehandlere
Databehandler kan gøre brug af underdatabehandlere til levering af tjenesten. Den dataansvarlige giver hermed generelt forudgående samtykke til brug af underdatabehandlere.
7.1 Aktuelle underdatabehandlere
- Microsoft Azure: Cloud hosting (EU West datacenter)
- Google Analytics: Webanalyse (anonymiseret)
7.2 Ændringer
Ved ændringer i underdatabehandlere informerer Databehandler den dataansvarlige minimum 30 dage før ændringen træder i kraft. Den dataansvarlige kan gøre indsigelse inden for denne frist.
8. Overførsel til tredjelande
Personoplysninger opbevares primært i EU/EØS (Microsoft Azure, datacenter i Europa). Eventuel overførsel til tredjelande sker kun med passende garantier (EU's standardkontraktbestemmelser eller tilsvarende).
9. Bistand til den dataansvarlige
Databehandler skal bistå den dataansvarlige med:
- At besvare anmodninger fra registrerede om indsigt, berigtigelse, sletning osv.
- Sikkerhedsvurderinger og konsekvensanalyser
- Anmeldelse af brud på persondatasikkerheden til Datatilsynet
- Underretning af registrerede ved databrud
Bistand ydes inden for Databehandlerens normale supporttid. Ekstraordinær bistand kan faktureres særskilt.
10. Brud på persondatasikkerheden
Ved brud på persondatasikkerheden underretter Databehandler den dataansvarlige uden unødig forsinkelse og senest inden for 24 timer efter, at Databehandler er blevet opmærksom på bruddet.
11. Sletning og tilbagelevering af data
Ved aftalens ophør skal Databehandler efter den dataansvarliges valg:
- Slette alle personoplysninger, eller
- Tilbagelevere alle personoplysninger i et almindeligt anvendt format
Data slettes eller tilbageleveres inden 30 dage efter aftalens ophør, medmindre lovgivningen kræver fortsat opbevaring.
12. Revision og inspektion
Den dataansvarlige har ret til at gennemføre revision af Databehandlerens databehandling efter forudgående aftale. Databehandler stiller nødvendige oplysninger til rådighed.
13. Ansvar og erstatning
Parterne hæfter i overensstemmelse med GDPR's regler om ansvar og erstatning (artikel 82). Databehandler er kun ansvarlig for skader forårsaget ved manglende overholdelse af GDPR's forpligtelser rettet specifikt mod databehandlere.
14. Aftalens ophør
Aftalen ophører automatisk, når:
- Samarbejdet mellem parterne ophører
- Kundens konto lukkes
- Der ikke længere behandles personoplysninger
15. Ændringer til aftalen
Ændringer til denne aftale skal ske skriftligt og godkendes af begge parter. Dog kan Databehandler opdatere listen over underdatabehandlere i henhold til punkt 7.2.
16. Lovvalg og værneting
Denne aftale er underlagt dansk ret og fortolkes i overensstemmelse med GDPR. Tvister afgøres ved de danske domstole.
17. Kontakt
Spørgsmål vedrørende denne databehandleraftale kan rettes til:
Plano ApS
CVR: 46121864
E-mail: kontakt@plano.dk
Telefon: +45 50 83 68 12