Resumé af de centrale punkter i Komparos DPA. Den fulde, underskrevne version udleveres ved aftaleindgåelse.
Bemærk: Denne side er et resumé af vores standard databehandleraftale. En komplet, underskreven version udleveres som PDF i forbindelse med aftaleindgåelsen. Skriv til privacy@komparo.dk for at modtage den fulde aftale.
Denne databehandleraftale ("DPA") indgås mellem Kunden ("den Dataansvarlige") og Komparo ApS ("Databehandleren") som tillæg til den indgåede hovedaftale om brug af Komparos tjenester. DPA'en regulerer Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige.
Databehandleren behandler personoplysninger med det formål at levere widget- og platformsydelser, herunder beregning og sammenligning af leveomkostninger, lagring af konfiguration og rapportering af brug. Behandlingen sker udelukkende efter dokumenteret instruks fra den Dataansvarlige.
Behandlingen pågår, så længe hovedaftalen er i kraft, og indtil sletning sker som beskrevet i pkt. 13.
| Kategori | Eksempler |
|---|---|
| Registrerede | Slutbrugere af Kundens hjemmeside; Kundens egne brugere af administrationspanelet |
| Almindelige oplysninger | Navn, e-mail, virksomhedsnavn, indtastede beregningsparametre (kommune, indkomst, husstand) |
| Følsomme oplysninger | Ingen følsomme personoplysninger behandles som udgangspunkt |
| Tekniske oplysninger | Forkortet IP-adresse, browsertype, tidspunkt for interaktion |
Databehandleren handler alene efter dokumenteret instruks fra den Dataansvarlige, herunder ved overførsel til tredjelande. Mener Databehandleren, at en instruks er i strid med databeskyttelsesreglerne, oplyser Databehandleren straks den Dataansvarlige herom.
Den Dataansvarlige giver generel forhåndsgodkendelse til, at Databehandleren anvender sub-databehandlere til opfyldelse af hovedaftalen. Databehandleren fører en aktuel oversigt over sub-databehandlere, som udleveres på anmodning og ved enhver ændring med 30 dages forudgående varsel.
| Sub-databehandler | Formål | Lokation |
|---|---|---|
| Hetzner Online GmbH | Hosting af platform og databaser | Tyskland (EU) |
| Sentry GmbH | Fejllogning og monitorering (anonymiseret) | Tyskland (EU) |
| Postmark / ActiveCampaign EU | Transaktionel e-mail og kundedialog | EU |
| HubSpot Ireland Ltd. | CRM og salg (kun for kontaktoplysninger) | Irland (EU) |
Databehandleren behandler som udgangspunkt udelukkende personoplysninger inden for EU/EØS. Skulle overførsel til tredjeland blive nødvendig, sker det kun på baggrund af et gyldigt overførselsgrundlag, fx EU-Kommissionens standardkontraktbestemmelser, og altid efter forudgående information til den Dataansvarlige.
Databehandleren implementerer foranstaltninger som beskrevet i sikkerhedssiden, herunder kryptering i transit og hvile, adgangsstyring, audit log, backup samt løbende sårbarhedstest. Foranstaltningerne vurderes mindst én gang årligt.
Databehandleren bistår den Dataansvarlige, henset til behandlingens karakter, med passende tekniske og organisatoriske foranstaltninger med opfyldelse af den Dataansvarliges forpligtelser efter GDPR kap. III (registreredes rettigheder) og art. 32-36 (sikkerhed, brud, DPIA).
Databehandleren underretter den Dataansvarlige om et brud på persondatasikkerheden uden ugrundet ophold og senest 48 timer efter at være blevet bekendt med bruddet. Underretningen indeholder de oplysninger, der er nødvendige for, at den Dataansvarlige kan opfylde sin egen underretningspligt over for Datatilsynet.
Databehandleren stiller på den Dataansvarliges anmodning oplysninger til rådighed, der dokumenterer overholdelse af DPA'en, herunder seneste tredjeparts pen-test og uddrag af relevante politikker. Den Dataansvarlige har desuden — eller en uafhængig revisor godkendt af parterne — ret til at gennemføre en revision af Databehandlerens behandling højst én gang årligt, mod rimelig forudgående varsel og afholdt på den Dataansvarliges regning.
Ved DPA'ens ophør sletter eller tilbageleverer Databehandleren — efter den Dataansvarliges valg — alle personoplysninger inden for 90 dage, medmindre lovgivningen kræver fortsat opbevaring. Sletning bekræftes skriftligt over for den Dataansvarlige.