Parterne

Den Dataansvarlige

[Kundens navn og CVR-nummer]

og

Databehandleren

Surfway ApS

CVR: 43619993

Taastrup Hovedgade 53A, st.th

2630 Taastrup, Danmark

E-mail: service@surfway.dk

(herefter “Databehandleren”)

1. Formål og omfang

1.1. Denne databehandleraftale (“Aftalen”) regulerer Databehandlerens behandling af personoplysninger på vegne af Den Dataansvarlige.

1.2. Formålet er at sikre, at al behandling af personoplysninger sker i overensstemmelse med Europa-Parlamentets og Rådets Forordning (EU) 2016/679 (“GDPR”) samt den danske databeskyttelseslovgivning.

1.3. Aftalen udgør et tillæg til den overordnede aftale mellem parterne og regulerer udelukkende håndtering af personoplysninger.

1.4. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra Den Dataansvarlige og udelukkende til de formål, der er specificeret i denne Aftale.

2. Behandlingens formål, karakter og datatyper

2.1. Formål med databehandlingen

Databehandleren behandler personoplysninger for at levere følgende ydelser:

• Workforce management (tidsregistrering, stempelur, vagtplan, fravær, lønforberedelse m.v.)

• Dokumenthåndtering (kontrakter, certifikater, medarbejderdokumenter)

• Bruger- og adgangsstyring

• Notifikationer og kommunikation (push, e-mail, SMS)

• Dataanalyse, logning, rapportering og statistikker

2.2. Typer af personoplysninger

Databehandleren kan behandle følgende datatyper:

• Identifikationsdata (navn, e-mail, telefonnummer)

• Medarbejder- og ansættelsesoplysninger

• Afdelings- og virksomhedsoplysninger

• Tidsregistreringsdata

• Log- og sikkerhedsdata (IP-adresse, enhedsdata, login-historik, adgangsrettigheder)

2.3. Registrerede personer

Personoplysningerne omfatter følgende kategorier af personer:

• Medarbejdere hos Den Dataansvarlige

• Administratorer og superbrugere

• Eksterne konsulenter oprettet af Den Dataansvarlige

2.4. Forbud mod anden anvendelse

Databehandleren må ikke behandle personoplysninger til andre formål end det, der er beskrevet i Aftalen, og må ikke videregive data uden skriftlig instruktion.

3. Databehandlerens forpligtelser

Databehandleren skal:

3.1. Overholde GDPR og dansk databeskyttelseslovgivning.

3.2. Implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger.

3.3. Begrænse adgang til personoplysninger til medarbejdere underlagt fortrolighed.

3.4. Ikke anvende oplysninger til egne formål.

3.5. Ikke videregive data til tredjemand uden skriftlig tilladelse.

3.6. Underrette Den Dataansvarlige uden unødig forsinkelse og senest inden for 24 timer ved databrud.

3.7. Assistere Den Dataansvarlige i forbindelse med GDPR-forespørgsler, revisioner og databrud.

4. Sikkerhedsforanstaltninger

Databehandleren har implementeret følgende tekniske og organisatoriske sikkerhedsforanstaltninger:

• Kryptering af data i transit og ved lagring

• Rollebaseret adgangskontrol og tofaktorlogin

• Løbende sikkerhedsovervågning

• Systematiske sikkerhedsrevisioner og risikovurderinger

• Logning af relevante systemaktiviteter

• Automatisk backup med geografisk redundans

• Beskyttelse mod uautoriseret adgang, malware og tab af data

Databehandleren evaluerer kontinuerligt og opdaterer sikkerhedsforanstaltningerne.

5. Underdatabehandlere

5.1. Databehandleren benytter følgende kategorier af underdatabehandlere:

• Hostingudbydere (servere, datacentre)

• Backup-udbydere

• E-mail- og notifikationsudbydere

• Cloud-tjenester til logning og systemovervågning

5.2. Alle underdatabehandlere er placeret i EU/EØS eller underlagt gyldige overførselsgrundlag.

5.3. Databehandleren informerer Den Dataansvarlige om ændringer i underdatabehandlere.

6. Hosting og overførsel af data

6.1. Alle persondata hostes på private servere i Tyskland, som opfylder GDPR og høje sikkerhedsstandarder.

6.2. Hvis der anvendes tjenesteudbydere uden for EU/EØS, vil Databehandleren sikre:

• Standard Contractual Clauses (SCC)

• Teknisk og organisatorisk sikring

• Dybdegående risikovurdering

6.3. Dokumentation for sikkerhedsforanstaltninger udleveres ved behov.

7. Registreredes rettigheder

Databehandleren bistår Den Dataansvarlige med at håndtere:

• Indsigtsanmodninger

• Rettelser

• Sletning (“retten til at blive glemt”)

• Begrænsning af behandling

• Dataportabilitet

Alle henvendelser fra registrerede personer håndteres inden for 30 dage.

8. Databrud

Ved databrud skal Databehandleren:

8.1. Underrette Den Dataansvarlige senest 24 timer efter konstatering.

8.2. Dokumentere og beskrive hændelsen.

8.3. Begrænse skade og forhindre yderligere uautoriseret adgang.

8.4. Udarbejde en detaljeret rapport.

Den Dataansvarlige er ansvarlig for anmeldelse til Datatilsynet, hvis det er påkrævet.

9. Opbevaring og sletning af data

9.1. Personoplysninger opbevares kun så længe, det er nødvendigt for at levere Surfways tjenester.

9.2. Ved abonnementsophør slettes kundens data fuldt ud senest 6 måneder efter opsigelse.

9.3. Sletning udføres på en måde, der forhindrer genskabelse.

Backup-beholdning:

• Daglige backups

• Ugentlige backups

• Månedlige backups

• Årlig backup

10. Revision og tilsyn

Den Dataansvarlige kan:

• Gennemføre audits

• Modtage dokumentation

• Anmode om sikkerhedsrapporter

Databehandleren forpligter sig til at samarbejde fuldt ud.

11. Lovvalg og værneting

11.1. Aftalen er underlagt dansk lovgivning.

11.2. Tvister afgøres ved Københavns Byret.

12. Underskrifter

Den Dataansvarlige

Navn: _______________________

Dato: ________________________

Surfway ApS

Navn: _______________________

Dato: ________________________