Databehandleraftale

1. Definitioner

• Personoplysninger: enhver information om en identificeret eller identificerbar fysisk person, jf. GDPR art. 4, nr. 1.
• Behandling: enhver operation, der udføres med personoplysninger, jf. GDPR art. 4, nr. 2.
• Den dataansvarlige: det flyttefirma, der anvender MoveFlow-platformen og bestemmer formålet med behandlingen af slutkunders personoplysninger.
• Databehandleren: MoveFlow ApS, CVR 46444396, der behandler personoplysninger på vegne af den dataansvarlige.
• Underdatabehandler: en tredjepart, der på vegne af databehandleren behandler personoplysninger.

2. Behandlingens genstand og formål

Databehandleren behandler personoplysninger med det ene formål at levere MoveFlow-platformen til den dataansvarlige, herunder:

• Modtagelse og opbevaring af slutkunders kontaktoplysninger og flytteoplysninger
• Udarbejdelse og afsendelse af tilbud på vegne af den dataansvarlige
• Planlægning og administration af flytteordrer
• Generering af fakturaer og betalingslinks
• Afsendelse af e-mails og notifikationer relateret til ordrer
• Teknisk drift, fejlretning og support af platformen

3. Typer af personoplysninger

Følgende kategorier af personoplysninger behandles:

• Navn, e-mailadresse og telefonnummer på slutkunder
• Adresseoplysninger (nuværende og ny adresse)
• Flytteoplysninger (dato, boligtype, antal rum, indboregistrering)
• Kommunikation mellem den dataansvarlige og slutkunder via platformen
• Faktura- og betalingsoplysninger

Der behandles ikke følsomme personoplysninger (særlige kategorier, jf. GDPR art. 9).

4. Kategorier af registrerede

• Slutkunder (privatpersoner og virksomheder der bestiller flytteydelser)
• Medarbejdere hos den dataansvarlige med adgang til platformen

5. Databehandlerens forpligtelser

Databehandleren forpligter sig til:

• Kun at behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder med hensyn til overførsel til tredjelande, medmindre det kræves i henhold til EU-ret eller national ret (jf. GDPR art. 28, stk. 3, litra a).
• At sikre, at personer, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt (jf. GDPR art. 28, stk. 3, litra b).
• At træffe alle foranstaltninger, der kræves i henhold til GDPR art. 32, herunder passende tekniske og organisatoriske sikkerhedsforanstaltninger.
• At bistå den dataansvarlige med at opfylde sine forpligtelser i henhold til GDPR art. 32-36, herunder underretning om brud på persondatasikkerheden.
• At bistå den dataansvarlige med besvarelse af anmodninger fra registrerede om udøvelse af deres rettigheder i henhold til GDPR kapitel III.
• Efter den dataansvarliges valg at slette eller tilbagelevere alle personoplysninger efter ophør af tjenesten, medmindre lovgivningen kræver opbevaring.
• At stille alle oplysninger, der er nødvendige for at påvise overholdelse af GDPR art. 28, til rådighed for den dataansvarlige og tillade og bidrage til revisioner.

6. Sikkerhedsforanstaltninger

Databehandleren har implementeret følgende tekniske og organisatoriske sikkerhedsforanstaltninger:

• Kryptering af data under overførsel (TLS/HTTPS) og ved opbevaring (AES-256)
• Adgangskontrol med multifaktor-autentificering for alle medarbejdere med adgang til produktion
• Automatisk logning af adgang til personoplysninger
• Regelmæssig sikkerhedsgennemgang og sårbarhedshåndtering
• Fysisk sikring via certifikerede datacentre (EU-baserede)
• Procedurer for håndtering af sikkerhedsbrud, jf. afsnit 8

7. Underdatabehandlere

Den dataansvarlige giver hermed generel skriftlig godkendelse til, at databehandleren anvender underdatabehandlere. Databehandleren underretter den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af underdatabehandlere og giver den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.

Følgende underdatabehandlere anvendes pr. dags dato:

EU-SCC: EU-standardkontraktbestemmelser som overførselsgrundlag.

8. Brud på persondatasikkerheden

Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på et brud på persondatasikkerheden. Underretningen indeholder som minimum:

• En beskrivelse af bruddets karakter, herunder kategorierne af registrerede
• Sandsynlige konsekvenser af bruddet
• En beskrivelse af de foranstaltninger, der er truffet eller foreslås truffet for at håndtere bruddet
• Kontaktoplysninger til databehandlerens kontaktperson

Databehandleren bistår den dataansvarlige med at opfylde dennes forpligtelse til at anmelde brud til Datatilsynet (GDPR art. 33) og underrette de registrerede (GDPR art. 34), i det omfang det er relevant.

9. Overførsel til tredjelande

Personoplysninger overføres kun til lande uden for EU/EØS, hvor der foreligger et gyldigt overførselsgrundlag i henhold til GDPR kapitel V. For alle underdatabehandlere baseret i USA anvendes EU-standardkontraktbestemmelser (EU-SCC) som overførselsgrundlag. Databehandleren foretager løbende vurdering af beskyttelsesniveauet i de relevante tredjelande.

10. Revision og tilsyn

Den dataansvarlige har ret til at foretage eller lade en uafhængig tredjepart foretage revision af databehandlerens overholdelse af denne aftale og GDPR. Revisioner varsles med mindst 30 dages skriftligt varsel og udføres i normal arbejdstid. Databehandleren stiller nødvendige oplysninger og adgang til rådighed og samarbejder aktivt ved revisionen. Eventuelle omkostninger til revisionen afholdes af den dataansvarlige.

11. Varighed og ophør

Denne aftale gælder så længe databehandleren behandler personoplysninger på vegne af den dataansvarlige. Ved ophør af abonnementsaftalen sletter databehandleren alle personoplysninger inden for 30 dage, medmindre lovgivningen kræver længere opbevaring.

Den dataansvarlige kan inden sletning anmode om at modtage en kopi af personoplysningerne i et struktureret, almindeligt anvendt og maskinlæsbart format.

12. Kontaktoplysninger

Spørgsmål vedrørende denne databehandleraftale kan rettes til: