Databehandleraftale

1. Parterne

1.1 Databehandler

Privaci by bon.do
CVR: [CVR-NUMMER]
E-mail: hello@privaci.io
Hjemmeside: privaci.io

Privaci agerer som databehandler og behandler udelukkende personoplysninger på den dataansvarliges vegne og efter dennes dokumenterede instruks, jf. punkt 3 nedenfor.

1.2 Dataansvarlig

Kunden, som angivet i serviceaftalen eller ved oprettelse af konto hos Privaci. Kunden er dataansvarlig for de personoplysninger, der behandles via Privacis tjeneste, og er ansvarlig for at sikre et gyldigt behandlingsgrundlag i henhold til GDPR.

2. Behandlingens genstand og formål

2.1 Genstand

Privaci leverer en cookie-consent-management-platform (CMP), der giver den dataansvarlige mulighed for at indhente, registrere og administrere slutbrugeres samtykke til brugen af cookies og lignende sporingsteknologier på den dataansvarliges hjemmeside(r).

2.2 Formål med behandlingen

• Indsamling og opbevaring af samtykke fra hjemmesidernes besøgende
• Dokumentation af samtykkets indhold, tidspunkt og tekniske kontekst
• Visning af cookie-banner og håndtering af præferencer for den dataansvarliges besøgende
• Automatisk scanning og klassificering af cookies på den dataansvarliges hjemmeside
• Teknisk gennemtvingelse af samtykkevalg via Privacis script
• Levering af samtykke-log til brug for dokumentation og evt. tilsyn

2.3 Instruks

Privaci behandler udelukkende personoplysninger i overensstemmelse med den dataansvarliges dokumenterede instrukser, medmindre behandling er påkrævet i henhold til EU-retten eller medlemsstaternes nationale ret. I sidstnævnte tilfælde underretter Privaci den dataansvarlige herom, medmindre relevant lovgivning forbyder en sådan underretning.

3. Typen af personoplysninger

I forbindelse med levering af tjenesten behandler Privaci følgende kategorier af personoplysninger på vegne af den dataansvarlige:

• IP-adresser — til geo-lokalisering (landniveau) og teknisk logning. IP-adresser anonymiseres inden opbevaring ved afkortning af den sidste oktet.
• Samtykkevalg — hvilke kategorier af cookies den besøgende har accepteret eller afvist.
• Samtykke-ID — en unik identifikator knyttet til den besøgendes samtykke-session.
• Tidsstempler — tidspunktet for afgivelse og eventuel opdatering af samtykke.
• Browseroplysninger — user-agent-streng, sprog og skærmopløsning til teknisk dokumentation og visning af det korrekte banner-sprog.
• URL — den side, hvorfra samtykket blev afgivet.
• Cookie-præference-token — en kryptografisk signeret cookie opbevaret lokalt i slutbrugerens browser med en levetid på op til 12 måneder.

Privaci behandler ikke særlige kategorier af personoplysninger, jf. GDPR artikel 9, og opfordrer den dataansvarlige til at undgå at videregive sådanne oplysninger via platformen.

4. Kategorier af registrerede

De registrerede er besøgende på den dataansvarliges hjemmeside(r), herunder:

• Potentielle og eksisterende kunder hos den dataansvarlige
• Anonyme besøgende uden et eksisterende kundeforhold
• Medarbejdere hos den dataansvarlige, der besøger virksomhedens egne hjemmesider

5. Sikkerhedsforanstaltninger

Privaci har implementeret tekniske og organisatoriske foranstaltninger, der sikrer et sikkerhedsniveau, som passer til risikoen ved behandlingen, jf. GDPR artikel 32. Foranstaltningerne inkluderer, men er ikke begrænset til:

5.1 Tekniske foranstaltninger

• Kryptering under transport: Al kommunikation sker via TLS 1.2 eller nyere (HTTPS).
• Kryptering i hvile: Personoplysninger krypteres i databasen med AES-256.
• Adgangsstyring: Princippet om mindste privilegium gælder for alle interne systemer. Adgang kræver multifaktorautentificering (MFA).
• Pseudonymisering: IP-adresser afkortes inden opbevaring for at reducere identifikationsrisikoen.
• Auditlog: Alle administrative handlinger på personoplysninger logges og opbevares i minimum 12 måneder.
• Sårbarhedsscanning: Infrastruktur og applikationer overvåges løbende og gennemgår regelmæssige penetrationstests.
• Backup: Automatiske daglige sikkerhedskopier med krypteret opbevaring og regelmæssig gendannelsestest.

5.2 Organisatoriske foranstaltninger

• Tavshedspligt for alle medarbejdere og underleverandører med adgang til personoplysninger.
• Løbende oplæring af medarbejdere i databeskyttelse og informationssikkerhed.
• Dokumenteret procedure for håndtering af sikkerhedsbrud, herunder underretning af den dataansvarlige inden for 24 timer efter opdagelse.
• Intern gennemgang af sikkerhedsforanstaltninger minimum én gang om året.

6. Underdatabehandlere

Den dataansvarlige giver ved indgåelse af denne aftale generel forhåndsgodkendelse til, at Privaci kan benytte underdatabehandlere. Privaci underretter den dataansvarlige om planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere med mindst 30 dages varsel, så den dataansvarlige har mulighed for at gøre indsigelse.

Privaci benytter følgende underdatabehandlere:

Privaci sikrer, at alle underdatabehandlere er underlagt samme databeskyttelsesforpligtelser som fastsat i denne aftale, og at der er indgået skriftlige aftaler hermed i overensstemmelse med GDPR artikel 28, stk. 4.

7. Dataoverførsler uden for EU/EØS

Personoplysninger behandles primært inden for EU/EØS. I det omfang behandling involverer overførsel til tredjelande (herunder USA), sker dette udelukkende på grundlag af et af følgende overførselsgrundlag, jf. GDPR kapitel V:

• Adequacy decision: Overførsel til lande, for hvilke Europa-Kommissionen har truffet en tilstrækkelighedsafgørelse.
• EU-US Data Privacy Framework: For leverandører certificeret under EU-US DPF.
• Standardkontraktbestemmelser (SCC): Europa-Kommissionens standardkontraktbestemmelser af 4. juni 2021 suppleret med en transfer impact assessment (TIA), hvor relevant.

Privaci stiller på anmodning dokumentation for anvendte overførselsgrundlag til rådighed for den dataansvarlige.

8. Sletning og tilbagelevering

8.1 Sletning ved ophør

Ved opsigelse eller udløb af serviceaftalen sletter Privaci alle personoplysninger behandlet på vegne af den dataansvarlige senest 90 dage efter aftalens ophør, medmindre anden opbevaringspligt følger af EU-retten eller dansk lovgivning.

8.2 Tilbagelevering

Den dataansvarlige kan inden for 30 dage efter aftalens ophør anmode om eksport af samtykke-data i maskinlæsbart format (CSV eller JSON). Herefter slettes data i overensstemmelse med punkt 8.1.

8.3 Løbende opbevaringsperioder

Samtykke-logs opbevares i 5 år fra registreringstidspunktet med henblik på dokumentation over for tilsynsmyndigheder. Den dataansvarlige kan via administrationspanelet anmode om sletning af specifikke registrerede på grundlag af en anmodning om ret til sletning (GDPR artikel 17).

9. Tilsyn og revision

Privaci stiller alle oplysninger til rådighed, der er nødvendige for at påvise overholdelse af forpligtelserne i GDPR artikel 28, og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget hertil.

Revisioner foretages:

• Med mindst 30 dages skriftligt varsel til Privaci.
• Højst én gang pr. kalenderår, medmindre konkret begrundet mistanke om brud foreligger.
• For den dataansvarliges regning, medmindre revisionen afslører væsentlige overtrædelser begået af Privaci.

Som alternativ til fysisk revision kan Privaci fremlægge en aktuel tredjepartsrevisions- rapport (f.eks. SOC 2 Type II eller ISO 27001-certifikat), som dokumenterer overholdelse af relevante sikkerhedsstandarder.

10. Registreredes rettigheder

Den dataansvarlige er ansvarlig for at håndtere anmodninger fra registrerede om udøvelse af rettigheder i henhold til GDPR (artiklerne 15–22), herunder ret til indsigt, berigtigelse, sletning, begrænsning og dataportabilitet.

Privaci bistår den dataansvarlige med opfyldelse af sådanne anmodninger ved, under hensyntagen til behandlingens karakter og de tilgængelige oplysninger, at:

• Stille tekniske muligheder til rådighed for eksport og sletning af specifikke registrerede via administrationspanelet.
• Besvare skriftlige forespørgsler om, hvilke oplysninger der behandles for en given registreret, inden for 10 arbejdsdage.

11. Brud på persondatasikkerheden

Privaci underretter den dataansvarlige om et konstateret brud på persondatasikkerheden uden unødig forsinkelse og senest 24 timer efter at være blevet opmærksom på bruddet. Underretningen indeholder, i det omfang oplysningerne er tilgængelige:

• En beskrivelse af bruddet, herunder kategorierne og det omtrentlige antal berørte registrerede og registre.
• Kontaktoplysninger på Privacis databeskyttelsesansvarlige eller andet kontaktpunkt.
• En beskrivelse af de sandsynlige konsekvenser af bruddet.
• En beskrivelse af de foranstaltninger, der er truffet eller foreslås truffet for at afhjælpe bruddet.

Den dataansvarlige er alene ansvarlig for at vurdere, om bruddet skal anmeldes til Datatilsynet og/eller de berørte registrerede i henhold til GDPR artiklerne 33–34.

12. Ansvar og erstatning

Parternes ansvar i henhold til denne databehandleraftale reguleres af de ansvarsbegrænsninger, der fremgår af de til enhver tid gældende servicevilkår (Terms of Service) indgået mellem parterne.

I det omfang Privaci holdes ansvarlig over for en registreret eller en tilsynsmyndighed for overtrædelser, som skyldes den dataansvarliges instrukser eller handlinger, er den dataansvarlige forpligtet til at holde Privaci skadesløs i det omfang, ansvaret skyldes forhold hos den dataansvarlige.

Privacis samlede erstatningsansvar i henhold til denne aftale er under alle omstændigheder begrænset til det beløb, den dataansvarlige har betalt til Privaci i de 12 måneder, der ligger umiddelbart forud for den begivenhed, der gav anledning til kravet.

13. Varighed og ophør

Denne databehandleraftale træder i kraft ved kundens accept af Privacis servicevilkår og forbliver gyldig, så længe Privaci behandler personoplysninger på vegne af den dataansvarlige.

Aftalen ophører automatisk ved udløb eller opsigelse af serviceaftalen. Privacis forpligtelse til sletning af data, jf. punkt 8, gælder fortsat efter aftalens ophør.

Såfremt gældende databeskyttelseslovgivning ændres, forbeholder Privaci sig ret til at opdatere denne aftale med rimeligt varsel. Den dataansvarlige vil blive underrettet pr. e-mail mindst 30 dage inden væsentlige ændringer træder i kraft. Fortsat brug af tjenesten efter ikrafttrædelsesdatoen udgør accept af de opdaterede vilkår.

14. Lovvalg og værneting

Denne databehandleraftale er underlagt dansk ret, dog med forrang for GDPR og øvrig EU-ret, der gælder direkte.

Eventuelle tvister, der udspringer af denne aftale, og som ikke kan løses i mindelighed, afgøres ved de danske domstole med Retten i Aarhus som værneting i første instans.