Databehandleraftale

i henhold til artikel 28, stk. 3, i forordning 2016/679 (databeskyttelsesforordningen) med henblik på databehandlerens behandling af personoplysninger

mellem

Den Dataansvarlige
(den kunde, der har accepteret denne Databehandleraftale i forbindelse med brugen af Planways tjenester)

og

Planway ApS
CVR-nummer 36946881
Baggesensgade 4C.
DK-2200 København N
Danmark
herefter "Databehandleren"

Indholdsfortegnelse
1 Baggrund og formål 3
2 Definitioner 3
3 Indledning 3
4 Den dataansvarliges rettigheder og forpligtelser 4
5 Databehandleren handler efter instruks 5
6 Fortrolighed 5
7 Behandlingssikkerhed 5
8 Anvendelse af underdatabehandlere 6
9 Overførsel til tredjelande eller internationale organisationer 7
10 Bistand til den dataansvarlige 8
11 Underretning om brud på persondatasikkerheden 8
12 Sletning og returnering af oplysninger 9
13 Revision, herunder inspektion 9
14 Ikrafttræden og ophør 10
Bilag A Oplysninger om behandlingen 11
Bilag B Underdatabehandlere 13
Bilag C Instruks vedrørende behandling af personoplysninger 14

1 Baggrund og formål

1.1 Aftalen er udarbejdet i overensstemmelse med databeskyttelsesforordningen (GDPR) for at sikre beskyttelsen af personoplysninger og de registreredes rettigheder og frihedsrettigheder.

1.2 Denne databehandleraftale er indgået som led i den virksomhed, der anvender Planway-systemet (herefter "den Dataansvarlige"), og dennes brugsret til systemet, som leveres som en software-as-a-service-løsning og reguleres af Planways Betingelser (herefter "Aftalen").

1.3 Aftalen indebærer, at Databehandleren behandler personoplysninger på vegne af den Dataansvarlige i Planway-systemet ("Ydelserne"), og alene med henblik på levering af disse.

2 Definitioner

2.1 Definitionerne i databeskyttelsesforordningen anvendes tilsvarende i denne Databehandleraftale, medmindre andet er særskilt angivet i Databehandleraftalen.

2.2 Ved "Aftalen" forstås den aftale, der er indgået mellem Parterne, og som specificeret i punkt 1.1.

2.3 Ved "Personoplysninger" forstås de personoplysninger, som Databehandleren behandler på vegne af den Dataansvarlige i henhold til denne Databehandleraftale og som nærmere specificeret i bilag A.

3 Indledning

3.1 Databehandleraftalen er udformet med henblik på Parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (databeskyttelsesforordningen).

3.2 Databehandleraftalen har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem Parterne.
3.3 Der hører tre bilag til Databehandleraftalen, og bilagene udgør en integreret del af Databehandleraftalen.

3.4 Bilag A indeholder nærmere oplysninger om behandlingen af Personoplysninger, herunder om behandlingens formål og karakter, typen af Personoplysninger, kategorierne af registrerede og varighed af behandlingen.

3.5 Bilag B indeholder den Dataansvarliges betingelser for Databehandlerens brug af underdatabehandlere og en liste af underdatabehandlere, som den Dataansvarlige har godkendt brugen af.

3.6 Bilag C indeholder den Dataansvarliges instruks for så vidt angår Databehandlerens behandling af Personoplysninger, en beskrivelse af de sikkerhedsforanstaltninger, som Databehandleren som minimum skal gennemføre, og hvordan der føres tilsyn med Databehandleren og eventuelle underdatabehandlere.

3.7 Databehandleraftalen med tilhørende bilag er tilgængelig for den Dataansvarlige i Planway-systemet under “Dokumenter" og opbevares skriftligt, herunder elektronisk, af begge Parter som dokumentation

3.8 Databehandleraftalen frigør ikke Databehandleren fra forpligtelser, som Databehandleren er pålagt efter databeskyttelsesforordningen eller enhver anden lovgivning.

4 Den dataansvarliges rettigheder og forpligtelser

4.1 Den Dataansvarlige skal sikre, at behandlingen af Personoplysninger sker i overensstemmelse med databeskyttelsesforordningen (artikel 24), databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og Databehandleraftalen, samt kun registrere oplysninger, der lovligt må behandles.

4.2 Den Dataansvarlige fastlægger, hvilke formål Personoplysninger må behandles til. Disse formål fremgår nærmere af bilag A (Oplysninger om behandlingen) samt bilag C (Instruks vedrørende behandling af personoplysninger).
Det præciseres, at det alene er den Dataansvarlige, der beslutter, hvilke kategorier af personoplysninger der registreres i Planway, herunder om der behandles oplysninger omfattet af databeskyttelsesforordningens artikel 9 eller CPR-numre omfattet af databeskyttelseslovens § 11, og på hvilket retsgrundlag dette sker.

4.3 Den Dataansvarlige skal sikre, at der foreligger gyldigt behandlingsgrundlag for de Personoplysninger, som Databehandleren instrueres i at behandle. Dette behandlingsgrundlag skabes ved, at den Dataansvarlige opretter en bruger i Planway og accepterer Planways Betingelser og i øvrigt sikrer, at egne behandlingsaktiviteter opfylder gældende databeskyttelsesregler.

4.4 Databehandleren kan ikke holdes ansvarlig for manglende overholdelse af databeskyttelsesretlige krav, hvis den Dataansvarlige undlader at informere om behandlingen af følsomme oplysninger eller CPR-numre, eller undlader at benytte eller efterleve de sikkerhedsforanstaltninger og autentifikationskrav, som Planway stiller til rådighed eller fastsætter i systemet.

5 Databehandleren handler efter instruks

5.1 Databehandleren behandler Personoplysninger efter dokumenteret instruks fra den Dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt. Denne instruks er specificeret i bilag A og C.

5.2 Eventuelle yderligere instrukser skal være skriftlige og vil blive håndteret uden unødig forsinkelse, i det omfang de er forenelige med den standardiserede systemløsning.

6 Fortrolighed

6.1 Databehandleren må kun give adgang til Personoplysninger til personer under sin instruks, som er underlagt fortrolighed. Adgang må kun gives, når det er nødvendigt, og skal lukkes straks, når behovet ophører. Listen over personer med adgang skal løbende gennemgås.

6.2 Databehandleren skal efter anmodning fra den Dataansvarlige kunne dokumentere, at de personer, der handler efter Databehandlerens instruks, har underskrevet en tavshedserklæring.

7 Behandlingssikkerhed

7.1 I henhold til artikel 32 skal den Dataansvarlige og Databehandleren, under hensyntagen til det tekniske niveau, omkostningerne samt behandlingens karakter og risici, gennemføre passende tekniske og organisatoriske foranstaltninger, der sikrer et beskyttelsesniveau i forhold til de registreredes rettigheder og frihedsrettigheder.

7.2 Planway er ansvarlig for at udarbejde og vedligeholde de tekniske og organisatoriske sikkerhedsforanstaltninger, der er nødvendige for at opretholde et passende sikkerhedsniveau. Disse foranstaltninger er nærmere beskrevet i Bilag C, som udgør den gældende instruks for behandlingssikkerhed.

7.3 Databehandleren skal i henhold til artikel 32 selvstændigt vurdere risici for de registreredes rettigheder og iværksætte passende foranstaltninger. Den Dataansvarlige skal stille de nødvendige oplysninger til rådighed for denne vurdering.

7.4 Databehandleren skal bistå den Dataansvarlige i opfyldelsen af sine forpligtelser efter artikel 32 ved at give nødvendige oplysninger om Databehandlerens tekniske og organisatoriske sikkerhedsforanstaltninger samt anden relevant information.

7.5 Hvis den Dataansvarlige vurderer, at der er behov for yderligere sikkerhedsforanstaltninger ud over dem, Databehandleren allerede har implementeret, kan dette drøftes med Databehandleren. Databehandleren vil vurdere, om foranstaltningerne kan gennemføres på platformen uden at påvirke driften for andre kunder. Eventuelle aftalte foranstaltninger dokumenteres i bilag C.

8 Anvendelse af underdatabehandlere

8.1 Databehandleren skal opfylde de betingelser, der er beskrevet i databeskyttelsesforordningens artikel 28, stk. 2, og stk. 4, for at gøre brug af en anden databehandler (en underdatabehandler).

8.2 Databehandleren må ikke benytte en underdatabehandler til opfyldelse af denne databehandleraftale uden forudgående generel, dokumenterbar godkendelse fra den dataansvarlige. Den generelle godkendelse gives ved indgåelsen af denne aftale, jf. bilag B, og forudsætter, at databehandleren overholder proceduren for underretning og indsigelse som angivet i punkt 8.3.

8.3 Databehandleren informerer den Dataansvarlige om ændringer af underdatabehandlere via e-mail eller systembesked. Den Dataansvarlige kan gøre skriftlig indsigelse, hvis ændringen strider mod databeskyttelsesreglerne eller aftalen. Udeblivende indsigelse anses som accept. Godkendte underdatabehandlere fremgår af bilag B.

8.4 Databehandleren skal sikre, at underdatabehandlere gennem kontrakt pålægges de samme databeskyttelsesforpligtelser som i denne aftale, herunder krav om passende tekniske og organisatoriske sikkerhedsforanstaltninger, så behandlingen sker i overensstemmelse med Databehandleraftalen og databeskyttelsesforordningen.

8.5 Databehandleren er derfor ansvarlig for at kræve, at underdatabehandleren som minimum overholder Databehandlerens forpligtelser efter Databehandleraftalen og databeskyttelsesforordningen.

8.6 Underdatabehandleraftaler og ændringer hertil fremsendes til den Dataansvarlige på anmodning, så det kan sikres, at underdatabehandlere er pålagt samme databeskyttelsesforpligtelser som i denne aftale. Kommercielle vilkår uden betydning for databeskyttelsen kan undtages.

8.7 Hvis en underdatabehandler ikke overholder sine forpligtelser, er Databehandleren fortsat fuldt ansvarlig over for den Dataansvarlige. Dette berører ikke de registreredes rettigheder efter databeskyttelsesforordningen, herunder artikel 79 og 82, over for både Dataansvarlig, Databehandler og underdatabehandler.

9 Overførsel til tredjelande eller internationale organisationer

9.1 Enhver overførsel af Personoplysninger til tredjelande eller internationale organisationer må kun foretages af Databehandleren på baggrund af dokumenteret instruks herom fra den Dataansvarlige og skal altid ske i overensstemmelse med databeskyttelsesforordningens kapitel V.

9.2 Hvis Databehandleren på grund af EU-ret eller national ret er forpligtet til at overføre personoplysninger til tredjelande uden instruks fra den Dataansvarlige, skal den Dataansvarlige underrettes forud medmindre loven forbyder dette af hensyn til væsentlige samfundsinteresser.

9.3 Uden dokumenteret instruks fra den Dataansvarlige kan Databehandleren således ikke inden for rammerne af Databehandleraftalen:
a) overføre Personoplysninger til en dataansvarlig eller databehandler i et tredjeland eller en international organisation
b) overlade behandling af Personoplysninger til en underdatabehandler i et tredjeland
c) behandle Personoplysningerne i et tredjeland

9.4 Den Dataansvarliges instruks vedrørende overførsel af Personoplysninger til et tredjeland, herunder det eventuelle overførselsgrundlag i databeskyttelsesforordningens kapitel V, som overførslen er baseret på, skal angives i bilag C.6.

9.5 Databehandleraftalen skal ikke forveksles med standardkontraktsbestemmelser som omhandlet i databeskyttelsesforordningens artikel 46, stk. 2, litra c og d, og Databehandleraftalen kan ikke udgøre et grundlag for overførsel af Personoplysninger som omhandlet i databeskyttelsesforordningens kapitel V.

9.6 Hvis Databehandleren i medfør af ufravigelig lovgivning pålægges at udlevere eller rapportere personoplysninger til en offentlig myndighed:
a) underrettes den Dataansvarlige uden unødig forsinkelse og før udlevering, i det omfang loven ikke forbyder underretning,
b) udleveringen begrænses til det strengt nødvendige, og
c) Databehandleren dokumenterer det retlige grundlag for udleveringen.

9.7 Denne bestemmelse ændrer ikke på, at Planway i relation til Jazzy-markedspladsen kan handle som selvstændigt dataansvarlig for lovpligtige indberetninger.

10 Bistand til den dataansvarlige

10.1 Databehandleren bistår, så vidt muligt og under hensyn til behandlingens karakter, den Dataansvarlige med at opfylde sine forpligtelser vedrørende de registreredes rettigheder i henhold til databeskyttelsesforordningens kapitel III.

10.2 Databehandleren skal, i det omfang det er muligt og relevant, bistå den Dataansvarlige med opfyldelse af den registreredes rettigheder i henhold til artikel 12-22 i databeskyttelsesforordningen (GDPR), herunder navnlig oplysningspligt, indsigtsret, retten til berigtigelse, sletning, begrænsning, dataportabilitet, indsigelse samt beskyttelse mod automatiske afgørelser.

10.3 Databehandleren skal, så vidt muligt og under hensyntagen til behandlingens karakter og tilgængelige oplysninger, bistå den Dataansvarlige med: Anmeldelse af brud til Datatilsynet inden 72 timer, underretning af registrerede ved høj risiko, udarbejdelse af konsekvensanalyser og eventuel forhåndshøring af Datatilsynet, hvis en høj risiko ikke kan imødegås.

10.4 Parterne skal i bilag C angive de fornødne tekniske og organisatoriske foranstaltninger, hvormed Databehandleren skal bistå den dataansvarlige samt i hvilket omfang og udstrækning.

11 Underretning om brud på persondatasikkerheden

11.1 Databehandleren underretter uden unødig forsinkelse den Dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.

11.2 Databehandlerens underretning til den Dataansvarlige skal om muligt ske senest 24 timer efter, at denne er blevet bekendt med bruddet, sådan at den Dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, jf. databeskyttelsesforordningens artikel 33.

11.3 Databehandleren skal bistå den Dataansvarlige med at udarbejde anmeldelsen til tilsynsmyndigheden, jf. artikel 33, stk. 3. Dette omfatter oplysninger om bruddets karakter, herunder antal og typer af berørte registrerede og personoplysninger, de sandsynlige konsekvenser og de foranstaltninger, der er truffet eller planlagt for at begrænse skaden.

11.4 Parterne skal i bilag C angive den information, som Databehandleren skal tilvejebringe i forbindelse med sin bistand til den Dataansvarlige i dennes forpligtelse til at anmelde brud på persondatasikkerheden til Datatilsynet.

12 Sletning og returnering af oplysninger

12.1 Ved aftalens ophør skal Databehandleren slette og, hvis ønsket af dataansvarlige, returnere relevante personoplysninger behandlet for den Dataansvarlige. Sletning sker senest 90 dage efter skriftligt ophør, medmindre EU-ret kræver opbevaring.

12.2 Databehandleren sletter ikke Personoplysninger, hvis Databehandleraftalen fortsat er i kraft, og det ikke er forsvarligt at slette oplysningerne. Sletning gennemføres først, når Databehandleraftalen er ophørt i sin helhed.

12.3 Sletning på anmodning (freemium og betalte planer). Den Dataansvarlige kan instruere Databehandleren om sletning af ikke-regnskabsmæssige personoplysninger (fx kontaktoplysninger, noter). Regnskabs- og transaktionsdata (herunder salgsbilag, varelinjer, betalings-/udbetalingsdata, moms-/afgiftsgrundlag, afstemnings- og revisionsspor) slettes ikke og opbevares i det omfang ufravigelig lovgivning og dokumentations-/sikkerhedshensyn kræver det.
Anmodninger skal komme fra en bemyndiget administrator. Databehandleren kan kræve autorisation og journalfører anmodningen. Eksekvering sker uden unødig forsinkelse og senest inden 30 dage, medmindre lovkrav, legal hold (fx svig/chargeback/tvist) eller systemintegritet tilsiger udsættelse, hvor relevant anvendes anonymisering frem for fysisk sletning for at bevare referentiel integritet.
Kopier i eksisterende backups kan ikke slettes selektivt, men fjernes ved normal rotation og må ikke reetableres i produktion.

13 Revision, herunder inspektion

13.1 Databehandleren stiller de nødvendige oplysninger til rådighed for at påvise overholdelse af artikel 28 og denne aftale og medvirker til revisioner og inspektioner foretaget af eller på vegne af den Dataansvarlige.

13.2 Procedurerne for den Dataansvarliges revisioner, herunder inspektioner, med Databehandleren og underdatabehandlere er nærmere angivet i Bilag C.7. og C.8.

13.3 Databehandleren skal give tilsynsmyndigheder og deres repræsentanter adgang til sine fysiske faciliteter i henhold til gældende lovgivning mod behørig legitimation.

14 Ikrafttræden og ophør

14.1 Denne Databehandleraftale træder i kraft, når Betingelser er godkendt elektronisk af den Dataansvarlige i Planway-systemet. Den Dataansvarlige identificeres i denne forbindelse på baggrund af de registrerede virksomhedsoplysninger, og accepten dokumenteres ved systemets logning.

14.2 Databehandleren kan opdatere Databehandleraftalen generelt for alle kunder, når det er nødvendigt. Den Dataansvarlige informeres om ændringerne og kan gøre indsigelse, hvis de strider mod databeskyttelsesreglerne.

14.3 Databehandleraftalen er gældende, så længe tjenesten vedrørende behandling af Personoplysninger varer. I denne periode kan Databehandleraftalen ikke opsiges, medmindre andre bestemmelser, der regulerer levering af tjenesten vedrørende behandling af Personoplysninger, aftales mellem parterne.

14.4 Hvis levering af tjenesterne vedrørende behandling af Personoplysninger ophører, og Personoplysningerne er slettet eller returneret til den dataansvarlige i overensstemmelse med Databehandleraftalens Bilag C.4, kan Databehandleraftalen opsiges med skriftlig varsel af begge parter.

Bilag A Oplysninger om behandlingen
A.1. Formål

Formålet med Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige er at levere og drifte Planways software-as-a-service-platform (Planway), herunder administration af online booking, håndtering af kundedata til tidsbestilling og udsendelse af automatiske påmindelser samt relaterede funktioner i Planway, som er aktiveret af den Dataansvarlige.
Jazzy: Bookinger, der foretages via Jazzy, er omfattet af denne Databehandleraftale i det omfang og fra det tidspunkt, hvor oplysningerne overføres til Planway til brug for gennemførelse/administration af bookingen. Øvrig behandling i Jazzy (fx visning, rangering, markedspladsdrift og eventuelle lovpligtige platform-indberetninger) varetages af Planway som selvstændigt dataansvarlig og er derfor uden for denne Databehandleraftales anvendelsesområde.
Betalingstjenester (hvis relevant): Betalinger leveres af den angivne betalingstjenesteudbyder (fx Adyen). Udbyderen er selvstændigt dataansvarlig, og er derfor ikke underdatabehandler under denne aftale. Planway videregiver alene de nødvendige oplysninger for at muliggøre transaktioner og opfylde retlige krav.

A.2 Behandlingens karakter

Behandlingen har følgende karakter:

- Indsamling
- Registrering
- Opbevaring
- Videregivelse
- Sletning

i forbindelse med booking og kundeadministration gennem Planway-systemet.

A.3 Kategorier af personoplysninger og registrerede

Følgende kategorier af personoplysninger behandles i forbindelse med Aftalen:

- Almindelige kontaktoplysninger, herunder navn, adresse, e-mail og telefonnummer:
Tid/sted for behandling, Navn på behandler, Valgt ydelse/behandling samt Booking- og transaktionsreferenceoplysninger
- Øvrige personoplysninger:
Cpr.nr. på den registrerede i dertil indrettet felt
- Særlige kategorier af personoplysninger:
Helbredsoplysninger om den registrerede

A.4. Behandlingen omfatter følgende kategorier af registrerede

- Slutkunder: Personer, der foretager online booking hos den dataansvarlige
- Medarbejdere: Brugere af bookingsystemet, som er ansat hos den Dataansvarlige
- Freelance-behandlere: Selvstændige behandlere eller andre tilknyttede personer, som den Dataansvarlige giver adgang til bookingsystemet.
- Bemærkning: Planway håndterer ikke betalingskortdata, da betalinger gennemføres via Adyen for Platforms og betalingsoplysninger indsamles udelukkende i et miljø hostet af Adyen.

A.5. Behandlingen har følgende varighed

- Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan påbegyndes efter databehandleraftalens ikrafttræden.
- Behandling af personoplysninger fortsætter indtil de slettes af den dataansvarlige.
- Ved ophør af denne Databehandleraftale opbevares personoplysninger i op til 90 dage efter Databehandleraftalens ophør, hvorefter de slettes.
- Den Dataansvarlige kan til enhver tid rekvirere en eksport af de personoplysninger, der behandles for den Dataansvarlige.

Bilag B Underdatabehandlere
B.1. Godkendte underdatabehandlere

Ved Databehandleraftalens ikrafttræden er de i bilaget nævnte underdatabehandlere godkendt:

Firmanavn	CVR.nr./VirksomhedsID	Beskrivelse af behandling	Serverlokation
Mailjet SAS	0849.620.426	Varetager udsending af e-mails	Belgien og Tyskland
Mikjaer Consulting ApS	35523871	Varetager hosting/servicering af servere	Danmark, Tyskland og Finland
Onlinecity.io ApS	27364276	Varetager udsending af SMS’er	Tyskland og Finland

B.2. Godkendelse af underdatabehandlere

Bilag B kan opdateres løbende ved tilføjelse eller udskiftning af underdatabehandlere. Den Dataansvarlige underrettes skriftligt om ændringer og har 15 dage til at gøre indsigelse. Manglende indsigelse anses som accept. Databehandleren sikrer, at eventuelle nye underdatabehandlere pålægges samme forpligtelser som i denne aftale.

Bilag C Instruks vedrørende behandling af personoplysninger

C.1. Behandlingens genstand/instruks
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører følgende:
- Indsamling
- Registrering
- Opbevaring
- Videregivelse
- Sletning

Den Dataansvarlige er alene ansvarlig for, at de oplysninger, der registreres i Planway, er lovlige og relevante. Planway kan ikke kontrollere indholdet og påtager sig derfor intet ansvar for registrering af ulovlige eller uberettigede oplysninger, men bistår den Dataansvarlige med sletning eller berigtigelse, når der anmodes herom.

C.2. Behandlingssikkerhed
Databehandleren er berettiget og forpligtet til at træffe beslutninger om de tekniske og organisatoriske foranstaltninger, der er nødvendige for at opretholde et passende sikkerhedsniveau i overensstemmelse med art. 32 GDPR. Foranstaltningerne skal løbende tilpasses risici, teknologisk udvikling og kendte trusler. Nedenstående minimumskrav gælder som instruks fra den Dataansvarlige.

Risikostyring:

- Risikostyring: Databehandleren anvender en dokumenteret og løbende opdateret risikovurdering som grundlag for informationssikkerheden, herunder vurdering af trusselsbillede, sårbarheder og konsekvenser for de registreredes rettigheder. Relevante uddrag kan udleveres til den Dataansvarlige efter rimelig anmodning.

- Informationssikkerhedspolitik: Der foreligger godkendte politikker og procedurer for informationssikkerhed, som gennemgås mindst årligt og ved væsentlige ændringer.

Adgangsstyring, dataklassifikation og stærk autentifikation:
- Klassifikation: Den Dataansvarlige instruerer Databehandleren til at klassificere personoplysninger efter beskyttelsesværdi. Oplysninger omfattet af art. 9 (særlige kategorier) og CPR (databeskyttelseslovens § 11) anses som høj beskyttelsesværdi og underlægges skærpede kontroller.

- Stærk autentifikation (2FA/MitID): For enhver adgang til data med høj beskyttelsesværdi er to-faktor-godkendelse (2FA) obligatorisk. Databehandleren fastsætter og vedligeholder passende autentifikationskrav og kan, efter risikovurdering, kræve MitID eller tilsvarende løsning for bestemte kundetyper/roller for at opretholde et passende sikkerhedsniveau, jf. art. 32.

- Rettighedsstyring: Adgang tildeles efter principperne need-to-know og least privilege.

-Brugerkonti: Alle brugere er individuelle konti. Den Dataansvarlige sikrer, at autoriserede brugere (medarbejdere, ejere, konsulenter mv.) efterlever Databehandlerens sikkerheds- og autentifikationskrav.

- Session-kontroller: Rimelige kontroller håndhæves (passwordpolitik, kontolås efter gentagne fejl, session-timeout, inaktivitetstimeout).

- Slutkunder: Bestemmelsen vedrører ikke slutkunder/forbrugere, der alene anvender online booking eller Jazzy-markedspladsen.

Medarbejdere og fortrolighed:

- Tavshedspligt: Personer med adgang til personoplysninger er underlagt fortrolighed og har underskrevet relevant erklæring. Adgang lukkes straks ved ændret behov/fratrædelse.

- Uddannelse: Relevante medarbejdere modtager løbende træning i GDPR og informationssikkerhed.

- Ryddet skrivebord & fysisk håndtering: Instrukser for håndtering af fysiske dokumenter og skærm-/arbejdspladssikkerhed håndhæves.

Fysisk og miljømæssig sikkerhed:
- Adgangskontrol: Servere og behandlingsudstyr er placeret i adgangskontrollerede og aflåste faciliteter med passende miljøbeskyttelse (brand, tyveri, hærværk).

- Bærbare medier: Personoplysninger opbevares som udgangspunkt ikke på bærbare lagermedier. Eventuel undtagelsesvis brug kræver kryptering og godkendt procedure.

IT-sikkerhed og datahåndtering:
- Netværk og sikkerhed: Rimelige beskyttelsesforanstaltninger mod malware, DDoS mv., herunder patch-/sårbarhedshåndtering og konfigurationsstyring.

- Kryptering: Personoplysninger er krypteret under transport og, i det omfang det er teknisk muligt, i hvile i databaser, filsystemer og backup-medier. Nøgler håndteres efter principper for nøgleadskillelse og begrænset adgang.

- Pseudonymisering/anonymisering: Anvendes, hvor relevant, til test/statistik/udvikling. Anonymisering skal være irreversibel i praksis.

- Dataminimering og kontroller: Systemet understøtter den Dataansvarliges dataminimering via konfigurerbare felter, maskering (fx CPR) i UI samt rolle-/rettighedsstyring på felt-/modulniveau.

- Backups: Der tages regelrette backups på geografisk adskilte lokationer inden for EU/EØS for høj tilgængelighed og retablering. Adgang til backups er begrænset og logges.

Logning og overvågning:
Sikkerhedslogning: Adgangs-, hændelses- og systemlogs føres med henblik på sikkerhed, fejlsøgning og revisionsspor.

- Retention: Logs, der kan indeholde personoplysninger, opbevares i 3 måneder og anonymiseres eller slettes herefter, medmindre længere opbevaring kræves ved lov eller for dokumentation af sikkerhedshændelser.

- Overvågning: Væsentlige sikkerhedshændelser detekteres og håndteres efter dokumenterede procedurer.

Hændelseshåndtering og databrud:
- Procedure: Databehandleren har en dokumenteret incident-procedure.

- Underretning: Den Dataansvarlige underrettes uden unødig forsinkelse og som udgangspunkt senest 24 timer efter kendskab til bruddet.

Mobile enheder og fjernarbejde:
- Politikker og kontroller: Brug af mobile enheder og fjernarbejde er underlagt passende foranstaltninger.

- Dataadskillelse: Personoplysninger må ikke lagres ukontrolleret på lokale enheder.

Kontrol, dokumentation og afhjælpning:
- Databehandleren skal som dokumentation for løbende overholdelse af GDPR og Databehandleraftalen stille egenkontrolrapport til rådighed for den Dataansvarlige og fremsende den inden for rimelig tid efter anmodning.

- Afvigelser: Databehandleren er forpligtet til at afhjælpe afvigelser, der er identificeret i forbindelse med egenkontrollen. Databehandleren skal dokumentere planen for og implementeringen af afhjælpningen.

C.3 Bistand til den dataansvarlige
Databehandleren bistår den Dataansvarlige, i det omfang det er muligt og relevant under hensyn til behandlingens karakter og de oplysninger Databehandleren råder over, og uden unødig forsinkelse, med at opfylde forpligtelser efter GDPR art. 12–22 og 32–36 samt aftalens punkt 10 til 11. Rimelig bistand er inkluderet; ekstraordinær bistand (fx omfattende manuelt review eller skræddersyede udtræk) kan afregnes efter aftale.

C.4 Opbevaringsperiode/sletterutine
Systemet skal indeholde en funktion til automatisk sletning af kundedata efter kriterier fastsat af den dataansvarlige. Leverandøren stiller funktionen til rådighed og sikrer, at sletningen udføres teknisk korrekt i overensstemmelse med den dataansvarliges indstillinger.

- Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan påbegyndes efter databehandleraftalens ikrafttræden.
- Behandling af personoplysninger fortsætter indtil de slettes af den dataansvarlige.
- Ved ophør af denne Databehandleraftale opbevares personoplysninger i op til 90 dage efter Databehandleraftalens ophør, hvorefter de slettes.
- Ønsker Dataansvarlige sletning eller returnering alle Personoplysninger skal dette ske.
- Den dataansvarlige kan til enhver tid tage en kopi af personoplysningerne.

C.5 Lokalitet for behandling
Behandling af de af Bestemmelserne omfattede personoplysninger kan ikke uden den dataansvarliges forudgående skriftlige godkendelse ske uden for EU/EØS. Aktuelt behandles data inden for EU‑lande.

C.6 Instruks vedrørende overførsel af personoplysninger til tredjelande
Databehandleren er ikke berettiget til inden for rammerne af databehandleraftalen at foretage sådanne overførsler.

C.7 Procedurer for den Dataansvarliges revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er overladt til Databehandleren

Databehandleren skal én gang årligt, for den Dataansvarliges regning, deltage i kontrol af overholdelse af gældende databeskyttelsesregler og denne aftale. Kontrollen sker via spørgeskema, og den Dataansvarlige kan på baggrund heraf anmode om yderligere oplysninger eller foranstaltninger.

Den Dataansvarlige kan med rimeligt varsel foretage inspektioner, herunder fysiske, jf. GDPR artikel 28, stk. 3, litra h. Den Dataansvarlige afholder udgifterne, mens Databehandleren stiller nødvendige ressourcer til rådighed.

C.8 Procedurer for revisioner, herunder inspektioner, med behandling af personoplysninger, som er overladt til underdatabehandlere

Databehandleren fører løbende tilsyn med sine underdatabehandlere for at sikre, at behandlingen sker i overensstemmelse med denne aftale og gældende databeskyttelseslovgivning.

Tilsynet kan ske via dokumentation, f.eks. revisionsrapporter og sikkerhedsbeskrivelser. Fysiske inspektioner gennemføres kun, hvis det er praktisk muligt og proportionalt. Hvis fysisk adgang ikke er mulig, stilles relevant dokumentation til rådighed. Dokumentation for gennemførte tilsyn udleveres til den Dataansvarlige på anmodning, og den Dataansvarlige kan komme med bemærkninger til rammerne for tilsynet.