Aftale om databehandling
mellem
Kunden i overensstemmelse med GTC som dataansvarlig (herefter "Dataansvarlig"),
og
Spreadly GmbH, Forstenrieder Weg 1G, 82065 Baierbrunn, Deutschland som databehandler (i det følgende benævnt "databehandler", den dataansvarlige og databehandleren i fællesskab "parterne")
Præambel
Den dataansvarlige har bestilt databehandleren i de generelle vilkår og betingelser (i det følgende benævnt "hovedaftalen") for de tjenester, der er specificeret deri. En del af udførelsen af kontrakten er behandling af personoplysninger. I særdeleshed stiller Art. 28 i GDPR specifikke krav til en sådan bestilt behandling. For at overholde disse krav indgår parterne følgende databehandlingsaftale (i det følgende benævnt "aftalen"), hvis udførelse ikke skal aflønnes særskilt, medmindre det udtrykkeligt er aftalt.
§ 1 Definitioner
(1) I henhold til art. 4 (7) GDPR er den dataansvarlige den enhed, der alene eller i fællesskab med andre dataansvarlige bestemmer formålene med og midlerne til behandling af personoplysninger.
(2) I henhold til art. 4 (8) GDPR er en databehandler en fysisk eller juridisk person, myndighed, institution eller andet organ, der behandler personoplysninger på vegne af den dataansvarlige.
(3) I henhold til art. 4 (1) GDPR betyder personoplysninger enhver information, der vedrører en identificeret eller identificerbar fysisk person (herefter "den registrerede"); en identificerbar fysisk person er en person, der kan identificeres direkte eller indirekte, især ved henvisning til en identifikator såsom et navn, et identifikationsnummer, lokaliseringsdata, en online-identifikator eller til en eller flere faktorer, der er specifikke for den fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet af den fysiske person.
(4) Personoplysninger, der kræver særlig beskyttelse, er personoplysninger i henhold til art. 9 GDPR, der afslører den registreredes race eller etniske oprindelse, politiske meninger, religiøse eller filosofiske overbevisning eller fagforeningsmedlemskab, personoplysninger i henhold til art. 10 GDPR om straffedomme og lovovertrædelser eller relaterede sikkerhedsforanstaltninger samt genetiske data i henhold til art. 4 (13) GDPR, biometriske data i henhold til art. 4 (14) GDPR, sundhedsdata i henhold til art. 4 (15) GDPR og data om en fysisk persons sexliv eller seksuelle orientering.
(5) I henhold til artikel 4, stk. 2, i GDPR er behandling enhver operation eller række af operationer, der udføres med personoplysninger, uanset om de udføres automatisk eller ej, såsom indsamling, registrering, organisering, arkivering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for tilrådighedsstillelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.
(6) I henhold til artikel 4, stk. 21, i GDPR er tilsynsmyndigheden et uafhængigt statsligt organ, der er oprettet af en medlemsstat i henhold til artikel 51 i GDPR.
§ 2 Kontraktens genstand
(1) Databehandleren leverer de i hovedkontrakten specificerede ydelser til den dataansvarlige. I den forbindelse får databehandleren adgang til personoplysninger, som databehandleren udelukkende behandler for den dataansvarlige på vegne af og i overensstemmelse med den dataansvarliges instrukser. Omfanget af og formålet med databehandlerens databehandling fremgår af hovedkontrakten og eventuelle tilknyttede servicebeskrivelser. Den dataansvarlige er ansvarlig for at vurdere, om databehandlingen er tilladt.
(2) Parterne indgår denne aftale for at specificere de gensidige rettigheder og forpligtelser i henhold til databeskyttelseslovgivningen. I tvivlstilfælde har bestemmelserne i denne aftale forrang for bestemmelserne i hovedkontrakten.
(3) Bestemmelserne i denne kontrakt gælder for alle aktiviteter i forbindelse med hovedkontrakten, hvor databehandleren og dennes medarbejdere eller personer, der er bemyndiget af databehandleren, kommer i kontakt med personoplysninger, der stammer fra den dataansvarlige eller er indsamlet for den dataansvarlige.
(4) Denne aftales løbetid reguleres af hovedkontraktens løbetid, medmindre følgende bestemmelser giver anledning til yderligere forpligtelser eller opsigelsesrettigheder.
§ 3 Ret til undervisning
(1) Databehandleren må kun indsamle, behandle eller bruge data inden for rammerne af hovedkontrakten og i overensstemmelse med den dataansvarliges instruktioner. Hvis databehandleren er forpligtet til at foretage yderligere behandling i henhold til lovgivningen i Den Europæiske Union eller de medlemsstater, som den er underlagt, skal den underrette den dataansvarlige om disse juridiske krav forud for behandlingen.
(2) Den dataansvarliges instrukser er i første omgang fastlagt i denne aftale. Derefter kan de ændres, suppleres eller erstattes af den dataansvarlige skriftligt eller i tekstform ved hjælp af individuelle instrukser (individuelle instrukser). Den dataansvarlige har til enhver tid ret til at udstede sådanne instrukser. Dette omfatter instruktioner med hensyn til korrektion, sletning og blokering af data.
(3) Alle udstedte instruktioner skal dokumenteres af controlleren. Instrukser, der går ud over den service, der er aftalt i hovedkontrakten, skal behandles som en anmodning om en ændring af servicen.
(4) Hvis databehandleren er af den opfattelse, at en instruks fra den dataansvarlige er i strid med databeskyttelsesbestemmelserne, skal databehandleren underrette den dataansvarlige herom uden unødig forsinkelse. Databehandleren har ret til at suspendere gennemførelsen af den relevante instruks, indtil den er bekræftet eller ændret af den dataansvarlige. Databehandleren kan nægte at udføre en åbenlyst ulovlig instruks.
§ 4 Typer af behandlede data, gruppe af registrerede, tredjeland
(1) Databehandleren skal inden for rammerne af gennemførelsen af hovedkontrakten have adgang til de personoplysninger, der er nærmere specificeret i Bilag 1..
(2) Gruppen af registrerede, der er berørt af databehandlingen, er anført i Bilag 1..
(3) En overførsel af personoplysninger til et tredjeland kan finde sted i henhold til betingelserne i art. 44 ff. GDPR.
§ 5 Databehandlerens beskyttelsesforanstaltninger
(1) Databehandleren er forpligtet til at overholde de lovbestemte bestemmelser om databeskyttelse og ikke videregive oplysninger, der er opnået fra den dataansvarliges domæne, til tredjeparter eller udsætte dem for deres adgang. Dokumenter og data skal sikres mod videregivelse til uautoriserede personer under hensyntagen til det aktuelle tekniske niveau.
(2) Databehandleren skal tilrettelægge den interne organisation inden for sit ansvarsområde på en sådan måde, at den opfylder de særlige krav til databeskyttelse. Den skal have truffet de tekniske og organisatoriske foranstaltninger, der er angivet i Bilag 2, for at beskytte den dataansvarliges data tilstrækkeligt i henhold til Art. 32 GDPR, som den dataansvarlige anerkender som passende. Databehandleren forbeholder sig ret til at ændre de trufne sikkerhedsforanstaltninger og samtidig sikre, at det kontraktligt aftalte beskyttelsesniveau ikke underskrides.
(3) De personer, der er ansat i databehandlingen hos databehandleren, er forbudt at indsamle, behandle eller bruge personoplysninger uden tilladelse. Databehandleren skal forpligte alle personer, der er betroet af den med behandling og udførelse af denne kontrakt (i det følgende benævnt "medarbejdere") i overensstemmelse hermed (fortrolighedsforpligtelse, art. 28 (3) lit. b GDPR) og skal sikre overholdelse af denne forpligtelse med behørig omhu.
(4) Databehandleren har udpeget en databeskyttelsesansvarlig. Databehandlerens databeskyttelsesansvarlige er heyData GmbH, Schützenstr. 5, 10117 Berlin, datenschutz@heydata.eu, www.heydata.eu.
§ 6 Databehandlerens oplysningsforpligtelser
(1) I tilfælde af forstyrrelser, mistanke om databeskyttelsesovertrædelser eller misligholdelse af databehandlerens kontraktlige forpligtelser, mistanke om sikkerhedsrelaterede hændelser eller andre uregelmæssigheder i behandlingen af personoplysninger hos databehandleren, hos personer ansat af databehandleren inden for rammerne af kontrakten eller hos tredjeparter, skal databehandleren underrette den dataansvarlige uden unødig forsinkelse. Det samme gælder for revisioner af databehandleren foretaget af databeskyttelsestilsynsmyndigheden. Anmeldelsen af et brud på persondatasikkerheden skal som minimum indeholde følgende oplysninger:
(a) en beskrivelse af karakteren af bruddet på persondatasikkerheden, herunder så vidt muligt kategorierne og antallet af berørte registrerede, de berørte kategorier og antallet af berørte registreringer af personoplysninger;
(b) en beskrivelse af de foranstaltninger, som databehandleren har truffet eller foreslået for at afhjælpe bruddet og, hvor det er relevant, foranstaltninger til at afbøde dets mulige negative virkninger;
(c) en beskrivelse af de sandsynlige konsekvenser af bruddet på persondatasikkerheden.
(2) Databehandleren skal straks træffe de nødvendige foranstaltninger for at sikre dataene og for at afbøde eventuelle negative konsekvenser for de registrerede, underrette den dataansvarlige herom og anmode om yderligere instruktioner.
(3) Databehandleren er desuden til enhver tid forpligtet til at underrette den dataansvarlige, såfremt den dataansvarliges data er berørt af et brud i henhold til stk. 1.
(4) Databehandleren skal underrette den dataansvarlige om enhver væsentlig ændring af sikkerhedsforanstaltningerne i henhold til § 5, stk. 2.
§ 7 Den dataansvarliges kontrolrettigheder
(1) Den dataansvarlige kan forvisse sig om databehandlerens tekniske og organisatoriske foranstaltninger inden påbegyndelse af databehandling og derefter regelmæssigt på årsbasis. Til dette formål kan den dataansvarlige f.eks. indhente oplysninger fra databehandleren, indhente eksisterende certifikater fra eksperter, certificeringer eller interne revisioner eller, efter rettidig koordinering, personligt inspicere databehandlerens tekniske og organisatoriske foranstaltninger inden for normal arbejdstid eller få dem inspiceret af en kompetent tredjepart, forudsat at tredjeparten ikke er i et konkurrenceforhold med databehandleren. Den dataansvarlige må kun udføre kontroller i det omfang, det er nødvendigt, og må ikke uforholdsmæssigt forstyrre databehandlerens drift i processen.
(2) Databehandleren forpligter sig til at give den dataansvarlige, på dennes mundtlige eller skriftlige anmodning og inden for en rimelig periode, alle oplysninger og beviser, der er nødvendige for at udføre en kontrol af databehandlerens tekniske og organisatoriske foranstaltninger.
(3) Den dataansvarlige skal dokumentere resultaterne af inspektionen og underrette databehandleren herom. I tilfælde af fejl eller uregelmæssigheder, som den dataansvarlige opdager, især under inspektionen af resultaterne af inspektionen, skal den dataansvarlige underrette databehandleren uden unødig forsinkelse. Hvis der under kontrollen konstateres forhold, hvis fremtidige undgåelse kræver ændringer i den bestilte procedure, skal den dataansvarlige straks underrette databehandleren om de nødvendige proceduremæssige ændringer.
§ 8 Brug af tjenesteudbydere
(1) De kontraktligt aftalte tjenester skal udføres med inddragelse af de tjenesteudbydere, der er nævnt i Bilag 3 (i det følgende benævnt "Underdatabehandlere"). Den dataansvarlige giver databehandleren sin generelle tilladelse i henhold til artikel 28, stk. 2, s. 1, i GDPR til at engagere yderligere underdatabehandlere inden for rammerne af sine kontraktlige forpligtelser eller til at erstatte allerede engagerede underdatabehandlere.
(2) Databehandleren skal underrette den dataansvarlige før enhver påtænkt ændring i forbindelse med inddragelse eller udskiftning af en underdatabehandler. Den dataansvarlige kan gøre indsigelse mod den planlagte inddragelse eller udskiftning af en underdatabehandler af en vigtig grund i henhold til databeskyttelseslovgivningen.
(3) Indsigelsen mod den påtænkte inddragelse eller udskiftning af en underdatabehandler skal fremsættes inden for 2 uger efter modtagelsen af oplysningerne om ændringen. Hvis der ikke gøres indsigelse, anses inddragelsen eller udskiftningen for at være godkendt. Hvis der er en vigtig grund i henhold til databeskyttelseslovgivningen, og en mindelig løsning ikke er mulig mellem den dataansvarlige og databehandleren, har den dataansvarlige en særlig ret til opsigelse ved udgangen af den måned, der følger efter indsigelsen.
(4) Ved brug af underdatabehandlere skal databehandleren forpligte dem i overensstemmelse med bestemmelserne i denne aftale.
(5) Der foreligger ikke et underdatabehandlerforhold i henhold til disse bestemmelser, hvis databehandleren lader tredjemand udføre tjenester, der betragtes som rene hjælpetjenester. Disse omfatter f.eks. post-, transport- og forsendelsestjenester, rengøringstjenester, telekommunikationstjenester uden nogen specifik henvisning til tjenester, der leveres af databehandleren til den dataansvarlige, og vagttjenester. Vedligeholdelses- og testtjenester udgør underdatabehandlerforhold, der kræver samtykke, for så vidt som de leveres til IT-systemer, der også bruges i forbindelse med levering af tjenester til den dataansvarlige.
§ 9 Registreredes anmodninger og rettigheder
(1) Databehandleren skal støtte den dataansvarlige med passende tekniske og organisatoriske foranstaltninger til opfyldelse af den dataansvarliges forpligtelser i henhold til artikel 12-22 og 32-36 i GDPR.
(2) Hvis en registreret gør rettigheder gældende, såsom retten til indsigt, berigtigelse eller sletning med hensyn til vedkommendes oplysninger, direkte over for databehandleren, skal sidstnævnte ikke reagere selvstændigt, men henvise den registrerede til den dataansvarlige og afvente den dataansvarliges instrukser.
§ 10 Ansvar
(1) I det interne forhold med databehandleren er den dataansvarlige alene ansvarlig over for den registrerede for erstatning for skader, som en registreret har lidt på grund af utilladelig eller ukorrekt databehandling i henhold til databeskyttelseslovgivningen eller brug inden for rammerne af den bestilte behandling.
(2) Databehandleren har ubegrænset ansvar for skader, i det omfang årsagen til skaden er baseret på en forsætlig eller groft uagtsom pligtforsømmelse fra databehandlerens side, dennes juridiske repræsentant eller stedfortræder.
(3) Databehandleren er kun ansvarlig for uagtsom adfærd i tilfælde af overtrædelse af en forpligtelse, hvis opfyldelse er en forudsætning for korrekt opfyldelse af kontrakten, og hvis overholdelse den dataansvarlige regelmæssigt stoler på og kan stole på, men begrænset til den gennemsnitlige skade, der er typisk for kontrakten. I alle andre henseender er databehandlerens ansvar - herunder for dennes stedfortrædende agenter - udelukket.
(4) Ansvarsbegrænsningen i henhold til § 10.3 gælder ikke for erstatningskrav i forbindelse med skader på liv, legeme eller helbred eller i forbindelse med overtagelse af en garanti.
§ 11 Opsigelse af hovedkontrakten
(1) Efter ophør af hovedkontrakten skal databehandleren returnere alle dokumenter, data og databærere, der er leveret til den dataansvarlige, eller - på anmodning fra den dataansvarlige, medmindre der er en forpligtelse til at opbevare personoplysningerne i henhold til EU-retten eller lovgivningen i Forbundsrepublikken Tyskland - slette dem. Dette gælder også for eventuelle sikkerhedskopier af data hos databehandleren. Databehandleren skal på anmodning fremlægge dokumenteret bevis for korrekt sletning af data.
(2) Den dataansvarlige har ret til at kontrollere den fuldstændige og kontraktmæssige tilbagelevering eller sletning af dataene hos databehandleren på en passende måde.
(3) Databehandleren er forpligtet til at holde de oplysninger, som denne er blevet bekendt med i forbindelse med hovedkontrakten, fortrolige, også efter hovedkontraktens ophør. Nærværende aftale forbliver gyldig efter hovedkontraktens ophør, så længe databehandleren råder over personoplysninger, som er videregivet til databehandleren af den dataansvarlige, eller som databehandleren har indsamlet for den dataansvarlige.
§ 12 Afsluttende bestemmelser
(1) I det omfang databehandleren ikke udtrykkeligt udfører supporthandlinger i henhold til denne aftale gratis, kan den opkræve den dataansvarlige et rimeligt gebyr herfor, medmindre databehandlerens egne handlinger eller undladelser har gjort en sådan support direkte nødvendig.
(2) Ændringer og tilføjelser til denne aftale skal ske skriftligt. Dette gælder også for enhver fravigelse af dette formkrav. Prioriteten af individuelle kontraktlige aftaler forbliver upåvirket.
(3) Hvis enkelte bestemmelser i denne aftale er eller bliver helt eller delvist ugyldige eller ikke kan håndhæves, skal dette ikke påvirke gyldigheden af de resterende bestemmelser.
(4) Denne aftale er underlagt tysk lov.
Bilag 1 - Beskrivelse af data/datakategorier og berørte registrerede/grupper af berørte registrerede
| Kundetype | Kategorier af registrerede | Kategorier af data |
|---|---|---|
| Virksomhedens regnskaber | Medarbejdere | Navn, kontaktoplysninger, stilling, afdeling, foto, virksomhedsoplysninger, links til sociale medier |
| Virksomhedskonti og individuelle brugere | Interesserede parter | IP-adresse (by, land), kontaktoplysninger, navn, virksomhed, besked (valgfrit) |
Bilag 2 - Databehandlerens tekniske og organisatoriske foranstaltninger
1. Introduktion
Dette dokument opsummerer de tekniske og organisatoriske foranstaltninger, der er truffet af databehandleren i henhold til art. 32, stk. 1 GDPR. Dette er foranstaltninger, der er truffet af databehandleren for at beskytte personoplysninger. Formålet med dokumentet er at støtte den dataansvarlige i at opfylde sine ansvarsforpligtelser i henhold til art. 5, stk. 2, i GDPR.
2. Fortrolighed (art. 32, stk. 1, litra b i GDPR)
2.1 Indgangskontrol
Følgende implementerede foranstaltninger forhindrer uautoriserede personer i at få adgang til databehandlingssystemerne:
Arbejde hjemmefra: uvedkommende har ikke adgang til medarbejdernes hjem
Arbejde i hjemmekontoret: Instruktion til medarbejderne om at arbejde i et separat kontor fra deres stue, hvis det er muligt.
2.2 Adgangskontrol
Følgende implementerede foranstaltninger forhindrer uautoriserede personer i at få adgang til databehandlingssystemerne:
Autentificering med bruger og adgangskode
Brug af firewalls
Brug af administration af mobile enheder
Kryptering af databærere
Automatisk låsning af skrivebordet
Håndtering af brugerautorisationer
Oprettelse af brugerprofiler
Centrale regler for adgangskoder
Brug af 2-faktor-autentificering
Virksomhedens politik for sikre adgangskoder
Generel instruktion om manuelt at låse skrivebordet, når man forlader arbejdsstationen
2.3 Adgangskontrol
Følgende implementerede foranstaltninger sikrer, at uautoriserede personer ikke har adgang til personoplysninger:
Logning af adgang til applikationer (især ved indtastning, ændring og sletning af data)
Antallet af administratorer holdes så lavt som muligt
Styring af brugerrettigheder af systemadministratorer
Instruktion til medarbejdere om, at data kun slettes efter konsultation
2.4 Kontrol af adskillelse
Følgende foranstaltninger sikrer, at personoplysninger, der indsamles til forskellige formål, behandles separat:
Fysisk adskilt lagring på separate systemer eller databærere
Adskillelse af produktions- og testsystem
Logisk klientadskillelse (på softwaresiden)
Definition af databaserettigheder
Intern instruks om at anonymisere/pseudonymisere personoplysninger i tilfælde af videregivelse eller efter udløbet af den lovbestemte sletteperiode, hvis det er muligt.
3. Integritet (art. 32, stk. 1, litra b, i GDPR)
3.1 Kontrol af overførsel
Det sikres, at personoplysninger ikke kan læses, kopieres, ændres eller fjernes uautoriseret under overførsel eller opbevaring på databærere, og at det er muligt at kontrollere, hvilke personer eller organer der har modtaget personoplysninger. Følgende foranstaltninger er implementeret for at sikre dette:
WLAN-kryptering (WPA2 med stærk adgangskode)
Logning af adgange og hentninger
Levering af data via krypterede forbindelser som SFTP eller HTTPS
Forbud mod at uploade virksomhedsdata til eksterne servere
3.2 Indgangskontrol
Følgende foranstaltninger sikrer, at det er muligt at kontrollere, hvem der har behandlet personoplysninger i databehandlingssystemer og på hvilket tidspunkt:
Logning af indtastning, ændring og sletning af data
Manuel eller automatisk styring af træstammerne
Sporbarhed af dataindtastning, -ændring og -slettelse via individuelle brugernavne (ikke brugergrupper)
Klare ansvarsområder for sletninger
legal.dpa.latest.annexes.2.3.2.text.6
4. Tilgængelighed og robusthed (art. 32, stk. 1, litra b, i GDPR)
Følgende foranstaltninger sikrer, at personoplysninger er beskyttet mod utilsigtet ødelæggelse eller tab og altid er tilgængelige for kunden:
Brandslukkere i serverrum
Enheder til overvågning af temperatur og luftfugtighed i serverrum
Aircondition i serverrum
Beskyttende stikdåser i serverrum
Uafbrydelig strømforsyning (UPS)
Videoovervågning i serverrum
Alarmmeddelelse for uautoriseret adgang til serverrum
Regelmæssige sikkerhedskopier
Kontrol af backup-processen
Opbevaring af sikkerhedskopier af data på et sikkert, eksternt sted
Regelmæssige test af datagendannelse og logning af resultaterne
Ingen sanitære faciliteter i eller over serverrummet
Hosting (i det mindste af de vigtigste data) hos en professionel hoster
5. Procedurer for regelmæssig gennemgang, vurdering og evaluering (art. 32, stk. 1, litra d, i GDPR; art. 25, stk. 1, i GDPR)
5.1 Styring af databeskyttelse
Følgende foranstaltninger har til formål at sikre, at organisationen opfylder de grundlæggende krav i databeskyttelsesloven:
Brug af heyData-platformen til styring af databeskyttelse
Udpegning af den databeskyttelsesansvarlige heyData
Medarbejdernes forpligtelse til at holde data hemmelige
Regelmæssig uddannelse i databeskyttelse for medarbejdere
Opretholdelse af et overblik over behandlingsaktiviteter (art. 30 GDPR)
5.2 Håndtering af hændelser
Følgende foranstaltninger har til formål at sikre, at rapporteringsprocesser udløses i tilfælde af brud på databeskyttelsen:
Rapporteringsproces for databeskyttelsesovertrædelser i henhold til art. 4 nr. 12 GDPR til tilsynsmyndighederne (art. 33 GDPR)
Underretningsproces for brud på datasikkerheden i henhold til art. 4 nr. 12 GDPR til de registrerede (art. 34 GDPR)
Inddragelse af den databeskyttelsesansvarlige i sikkerhedshændelser og brud på datasikkerheden
Brug af firewalls
5.3 Databeskyttelsesvenlige standardindstillinger (art. 25, stk. 2, GDPR)
Følgende foranstaltninger har til formål at sikre, at rapporteringsprocesser udløses i tilfælde af brud på databeskyttelsen:
Rapporteringsproces for databeskyttelsesovertrædelser i henhold til art. 4 nr. 12 GDPR til tilsynsmyndighederne (art. 33 GDPR)
Underretningsproces for brud på datasikkerheden i henhold til art. 4 nr. 12 GDPR til de registrerede (art. 34 GDPR)
5.4 Kontrol af ordrer
Følgende foranstaltninger sikrer, at personoplysninger kun kan behandles i overensstemmelse med instruktionerne:
Skriftlige instruktioner til leverandøren eller instruktioner i tekstform (f.eks. gennem en databehandlingsaftale)
Sikring af destruktion af data efter afslutning af ordren, f.eks. ved at anmode om tilsvarende bekræftelser
Bekræftelse fra leverandører om, at de forpligter deres egne medarbejdere til at holde data hemmelige (typisk i databehandlingsaftalen)
Omhyggelig udvælgelse af entreprenører (især med hensyn til datasikkerhed)
Løbende gennemgang af entreprenører og deres aktiviteter
Sikring af destruktion af data efter afslutning af ordren, f.eks. ved at anmode om tilsvarende bekræftelser
Bilag 3 - Nuværende underdatabehandlere
Alle amerikanske underdatabehandlere er certificeret i henhold til [Data Privacy Framework] (https://www.dataprivacyframework.gov/).
| Navn | Adresse | Funktion | Serverens placering |
|---|---|---|---|
| Hetzner Online GmbH | Industriestr. 25, 91710 Gunzenhausen, Germany | Hosting og infrastruktur | EU |
| Cloudflare, Inc. | 101 Townsend Street, San Francisco, CA 94107, USA | Indholdsleveringsnetværk og sikkerhed | Globalt, afhængigt af brugerens placering |
| ActiveCampaign, LLC | 1 N Dearborn St., 5th Floor, Chicago, Illinois 60602, USA | Levering af e-mail | USA |
| Functional Software, Inc. | 132 Hawthorne Street San Francisco, CA 94107, USA | Fejlrapportering og overvågning | EU |
| Microsoft Ireland Operations, Ltd. | One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Ireland | Kundeservice og kommunikation | EU |
| HubSpot, Inc. | 25 1st Street Cambridge, MA 0214, USA | Kundeservice og kommunikation | EU |
| Apideck BV | Kammenstraat 43 bus 301, 2000 Antwerp, Belgium | Samlet API (CRM & HR) | EU |
Version 1.4, gældende fra 17. december 2024
| Navn: | |
| Position: | |
| E-mail: | |
| Dato: | |
| Underskrift: |
| Navn: | Florian Theimer |
| Position: | Founder & CEO |
| E-mail: | privacy@spreadly.app |
| Dato: | |
| Underskrift: |
Udskriv denne databehandlingsaftale, og send en underskrevet version til privacy@spreadly.app med dit kundenummer vedhæftet. Du vil modtage en underskrevet version fra os inden for de næste arbejdsdage.
Vil du have en underskrevet kopi af vores databehandlingsaftale?
Udskriv denne databehandlingsaftale, og send en underskrevet version til privacy@spreadly.app med dit kundenummer vedhæftet.
Du vil modtage en underskrevet version fra os inden for de næste arbejdsdage.