FlareTechs standard databehandleraftale.

Den her side beskriver FlareTechs standard databehandleraftale ("Behandleraftalen") som vi indgår med kunder hvor vi behandler personoplysninger på kundens vegne — typisk når vi udvikler eller drifter en platform der indeholder personoplysninger om kundens slutbrugere.

Behandleraftalen lever op til kravene i GDPR art. 28, og den faktisk underskrevne version tilpasses det enkelte engagement. Den her sides indhold fungerer som en beskrivelse af rammerne — den juridisk bindende version udleveres som et separat dokument før behandlingen begynder.

Aftalen indgås mellem to parter med klart definerede roller efter GDPR:

Den dataansvarlige

Vores kunde — den virksomhed eller organisation der bestemmer formål med og midler til behandlingen af personoplysningerne.

Databehandleren

FlareTech, CVR 46309162, Rs Hansensvej 15, 4520 Svinninge — der behandler personoplysninger på den dataansvarliges vegne i henhold til denne aftale.

Behandleraftalen regulerer FlareTechs behandling af personoplysninger på vegne af den dataansvarlige i forbindelse med den ydelse, der er aftalt i hovedaftalen (typisk en udviklings- eller drifts-aftale).

Behandleraftalen træder i kraft samtidig med hovedaftalen og løber så længe FlareTech behandler personoplysninger på vegne af den dataansvarlige. Behandleraftalens bestemmelser om sletning, fortrolighed og bistand fortsætter med at gælde efter aftalens ophør, så længe det er relevant.

Karakteren og formålet med FlareTechs behandling af personoplysninger fremgår af hovedaftalen. Typisk omfatter behandlingen:

• Hosting og drift af platformen, herunder lagring af data i databaser og filsystemer.
• Udvikling, fejlfinding og support hvor adgang til produktionsdata kan være nødvendig.
• Backup og restore af data som led i den almindelige drift.
• Overvågning og logning med henblik på sikkerhed, ydeevne og kapacitet.
• Kommunikation med slutbrugere på den dataansvarliges vegne (fx transaktionelle e-mails) hvor det er en del af leverancen.

FlareTech behandler udelukkende personoplysninger efter dokumenteret instruks fra den dataansvarlige. Hovedaftalen og denne Behandleraftale udgør den dokumenterede instruks. Yderligere instrukser kan gives skriftligt — fx via e-mail.

De konkrete kategorier af personoplysninger og registrerede afhænger af det konkrete engagement og specificeres i et bilag til den underskrevne Behandleraftale. Typisk omfatter det:

Almindelige personoplysninger

Navn, e-mail, telefonnummer, brugerprofil, login-data, IP-adresse, tekniske logfiler, indhold genereret af brugere på platformen.

Følsomme oplysninger (særlige kategorier)

Behandles kun hvis det udtrykkeligt er en del af leverancen og er specificeret i bilaget — fx helbredsoplysninger i et sundheds-SaaS. Kræver yderligere tekniske og organisatoriske foranstaltninger.

Kategorier af registrerede

Slutbrugere af kundens platform, kundens medarbejdere, kundens kunder, eller andre der interagerer med platformen — som specificeret i bilaget.

FlareTech forpligter sig til:

• Kun at behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige.
• At sikre at personer der behandler personoplysningerne er pålagt tavshedspligt.
• At iværksætte og opretholde passende tekniske og organisatoriske sikkerhedsforanstaltninger (jf. afsnit 9).
• Ikke at antage en ny underdatabehandler uden den dataansvarliges forudgående generelle eller specifikke skriftlige godkendelse (jf. afsnit 8).
• At bistå den dataansvarlige med at opfylde sine forpligtelser efter GDPR (jf. afsnit 10).
• Underrette den dataansvarlige uden unødig forsinkelse efter at være blevet bekendt med et brud på persondatasikkerheden.
• Efter den dataansvarliges valg slette eller tilbagelevere alle personoplysninger ved aftalens ophør.
• Stille alle oplysninger til rådighed der er nødvendige for at påvise overholdelse af aftalen, og give mulighed for og bidrage til revisioner (jf. afsnit 13).

FlareTech kan anvende underdatabehandlere til at opfylde aftalen. Den dataansvarlige giver med Behandleraftalen en generel forhåndsgodkendelse til at FlareTech anvender underdatabehandlere — under forudsætning af at FlareTech indgår en skriftlig aftale med hver underdatabehandler der pålægger samme databeskyttelsesforpligtelser som dem i Behandleraftalen.

FlareTech vedligeholder en aktuel liste over underdatabehandlere og varsler ændringer til den dataansvarlige med rimelig forudgående varsel — typisk 30 dage — så den dataansvarlige har mulighed for at gøre indsigelse. Standardlisten over typiske underdatabehandlere fremgår af bilag til den underskrevne Behandleraftale.

FlareTech er fuldt ud ansvarlig over for den dataansvarlige for at underdatabehandleren opfylder sine forpligtelser.

FlareTech iværksætter og vedligeholder passende tekniske og organisatoriske foranstaltninger (TOM) for at sikre et sikkerhedsniveau der passer til risikoen ved behandlingen. Det omfatter — men er ikke begrænset til:

• Kryptering af data under transport (TLS 1.2+) og at-rest hvor leverandørerne understøtter det.
• Adgangsstyring efter mindste-privilegium-princippet og rollebaseret adgang (RBAC).
• Multifaktor-autentificering (MFA) på alle medarbejderkonti og kritiske systemer.
• Sikker udvikling: code review, automatisk testning, dependency scanning og hemmeligheds-håndtering uden for kodebasen.
• Logning og overvågning af adgang til produktion, med opbevaring af logs i op til 30 dage (eller længere ved sikkerhedsefterforskning).
• Backup-rutiner med periodisk gendannelses-test for kritiske systemer.
• Incident response-procedurer, herunder eskaleringsveje, kontakter og forpligtelse til at underrette den dataansvarlige uden unødig forsinkelse.
• Regelmæssig evaluering og revurdering af sikkerhedsniveauet.

Detaljerede TOM-foranstaltninger for det konkrete engagement specificeres i et bilag til den underskrevne Behandleraftale, så omfanget matcher det faktiske risikobillede.

FlareTech bistår den dataansvarlige med at opfylde sine forpligtelser efter GDPR, i det omfang behandlingens karakter giver mulighed for det. Det omfatter:

• Bistand med at besvare anmodninger fra registrerede om udøvelse af deres rettigheder (indsigt, berigtigelse, sletning, indsigelse, dataportabilitet).
• Bistand med at opfylde forpligtelser om sikkerhed, brudunderretning og konsekvensanalyser (DPIA).
• Bistand med at gennemføre forhåndshøringer ved Datatilsynet hvor det er påkrævet.

Bistand der går ud over hvad der følger naturligt af aftalen kan faktureres separat efter de almindelige rater i hovedaftalen.

FlareTech underretter den dataansvarlige uden unødig forsinkelse efter at være blevet bekendt med et brud på persondatasikkerheden. Underretningen indeholder så vidt muligt:

• En beskrivelse af bruddets karakter, herunder hvis muligt kategorier og det omtrentlige antal berørte registrerede og personoplysninger.
• Navn og kontaktoplysninger på en kontaktperson hos FlareTech der kan oplyse mere.
• En beskrivelse af de sandsynlige konsekvenser af bruddet.
• En beskrivelse af de foranstaltninger FlareTech har truffet eller agter at træffe for at håndtere bruddet og afbøde konsekvenserne.

Det er den dataansvarliges ansvar at vurdere om bruddet udløser en pligt til at underrette Datatilsynet og/eller de registrerede. FlareTech bistår med at fremskaffe yderligere information.

Ved Behandleraftalens ophør skal FlareTech, efter den dataansvarliges valg, slette eller tilbagelevere alle personoplysninger til den dataansvarlige. Den dataansvarlige skal give skriftligt valg senest 30 dage efter aftalens ophør — i mangel af valg sletter FlareTech personoplysningerne efter 90 dage.

Backup og logfiler der indeholder personoplysninger slettes efter den almindelige rotation som beskrevet i bilaget. EU-retlige opbevaringspligter (fx skatte- og bogføringsforpligtelser) går forud for sletningskravet for det data det vedrører.

Den dataansvarlige har ret til at føre tilsyn med Behandleraftalens overholdelse. Revisionen kan ske ved:

• FlareTechs egne dokumentations-bilag (TOM-beskrivelse, sikkerhedspolitikker, log-uddrag, certifikater).
• Skriftlige spørgeskemaer og opfølgende svar.
• Inspektion på FlareTechs kontor med rimelig forudgående varsel (typisk 30 dage), udført af den dataansvarlige eller en uafhængig tredjepart bundet af tavshedspligt.

Inspektion må ikke forstyrre FlareTechs almindelige drift unødigt. Omkostninger ved inspektion afholdes af den dataansvarlige, medmindre inspektionen afdækker væsentlige brud på Behandleraftalen.

FlareTechs primære driftsmiljø ligger indenfor EU/EØS, og vi tilstræber at al behandling sker indenfor EU/EØS. Hvis en behandling i et konkret tilfælde indebærer overførsel til et tredjeland, sker det kun på et gyldigt overførselsgrundlag — typisk EU-Kommissionens Standard Contractual Clauses (SCC) suppleret med tekniske og organisatoriske foranstaltninger.

Eventuelle overførsler til tredjelande oplyses i det konkrete bilag, og kan kræve specifik godkendelse fra den dataansvarlige.

Behandleraftalen er underlagt dansk ret. Tvister der måtte opstå i forbindelse med Behandleraftalen skal afgøres ved Retten i Holbæk som første instans, medmindre andet følger af præceptive regler.

Skal vi drøfte den faktiske underskrevne Behandleraftale for et konkret engagement, eller har du spørgsmål til indholdet, så skriv eller ring:

FlareTech

Rs Hansensvej 15, 4520 Svinninge, Danmark

CVR-nummer

46309162

E-mail

sales@flaretech.dk

Telefon

+45 50 56 90 77