Databehandleraftale
Mellem: [KUNDENS VIRKSOMHEDSNAVN], CVR [CVR] ("Dataansvarlig")
og: OnPly, CVR 45306291, Slagelse, Danmark ("Databehandler")
1. Baggrund
Den Dataansvarlige har indgået en hovedaftale med Databehandleren om brug af OnPly — en AI-receptionist, der modtager, analyserer og besvarer henvendelser fra den Dataansvarliges egne kunder.
Som led i leveringen behandler Databehandleren personoplysninger på vegne af den Dataansvarlige. Denne aftale fastlægger rammerne for behandlingen i overensstemmelse med Databeskyttelsesforordningen ("GDPR").
2. Genstand, varighed, art og formål
Genstand: Personoplysninger om den Dataansvarliges egne kunder ("slutkunder"), som indtastes i en kontaktformular eller sendes via email til en OnPly-aktiveret adresse.
Varighed: Aftalen løber i samme periode som hovedaftalen.
Art og formål: Modtagelse, analyse via AI, generering af automatiske svar, opfølgning og lagring af leads — alt med henblik på at hjælpe den Dataansvarlige med at besvare slutkunders henvendelser hurtigt og i den Dataansvarliges egen tone.
3. Den Dataansvarliges instrukser
Databehandleren behandler kun personoplysninger efter dokumenteret instruks fra den Dataansvarlige. Den primære instruks er denne aftale + hovedaftalen + den Dataansvarliges konfiguration af OnPly (tone, regler, ydelser, AI-adfærd).
4. Tavshedspligt
Databehandleren sikrer, at personer, der har adgang til personoplysninger, er underlagt fortrolighedsforpligtelser.
5. Sikkerhed
Databehandleren træffer passende tekniske og organisatoriske foranstaltninger, herunder:
- Kryptering af data under transport (TLS 1.2+) og i hvile (AES-256)
- Adgangsstyring efter princippet om mindst muligt privilegium
- Row-Level Security i databasen — kunder kan ikke se hinandens data
- Logning af adgang og kritiske handlinger
- Regelmæssig opdatering af afhængigheder og sikkerhedspatches
- Daglige automatiske backups med 7-dages retention
6. Brug af underdatabehandlere
Den Dataansvarlige giver hermed Databehandleren generel godkendelse til at anvende underdatabehandlere som angivet på onply.dk/databehandlere.
Databehandleren underretter den Dataansvarlige via email mindst 14 dage før en ny underdatabehandler tages i brug. Den Dataansvarlige kan gøre indsigelse — og hvis indsigelsen ikke kan imødekommes, kan hovedaftalen opsiges med 30 dages varsel.
7. Overførsel til tredjelande
Enkelte underdatabehandlere er placeret uden for EU/EØS. For sådanne overførsler anvender Databehandleren EU-Kommissionens Standardkontraktbestemmelser (SCC) som overførselsgrundlag, jf. GDPR art. 46, stk. 2, litra c.
8. Den registreredes rettigheder
Databehandleren bistår den Dataansvarlige med at opfylde dennes forpligtelser over for de registrerede (ret til indsigt, berigtigelse, sletning, begrænsning, dataportabilitet og indsigelse).
Hvis Databehandleren modtager en henvendelse direkte fra en registreret, videresender Databehandleren henvendelsen til den Dataansvarlige uden unødigt ophold og svarer ikke selvstændigt.
9. Brud på persondatasikkerheden
Hvis Databehandleren konstaterer et brud, underretter Databehandleren den Dataansvarlige uden unødigt ophold og senest 48 timer efter konstateringen, med oplysninger om:
- Karakteren af bruddet
- Kategorier og antal berørte registrerede og oplysninger
- Sandsynlige konsekvenser
- Foranstaltninger truffet for at imødegå bruddet
10. Bistand til den Dataansvarlige
Databehandleren bistår den Dataansvarlige med GDPR art. 32-36 (sikkerhed, anmeldelse af brud, DPIA, høring af tilsynsmyndighed). Bistand op til 5 timer årligt ydes vederlagsfrit.
11. Sletning eller tilbagelevering
Ved aftalens ophør sletter Databehandleren alle personoplysninger, der er behandlet på vegne af den Dataansvarlige, indenfor 90 dage — medmindre lov kræver længere opbevaring. Den Dataansvarlige kan inden sletning anmode om eksport i CSV/JSON.
12. Tilsyn og revision
Den Dataansvarlige har ret til at gennemføre revision én gang årligt, eller efter et brud. Revision varsles 30 dage forinden. Som alternativ accepterer den Dataansvarlige tredjepartsrevisionsrapporter (fx SOC 2, ISO 27001) fra Databehandlerens underdatabehandlere.
13. Erstatningsansvar
Parterne hæfter hver især, jf. GDPR art. 82. Databehandlerens samlede erstatningsansvar er begrænset til 12 måneders abonnement under hovedaftalen, medmindre skaden skyldes grov uagtsomhed eller forsætligt forhold.
14. Tvister og lovvalg
Aftalen er underlagt dansk ret. Tvister afgøres ved Sø- og Handelsretten i København som første instans.
15. Ikrafttrædelse
Aftalen træder i kraft samtidig med hovedaftalen og er gyldig så længe Databehandleren behandler personoplysninger på vegne af den Dataansvarlige.
Bilag A — Detaljer om behandlingen
Kategorier af registrerede
- Slutkunder, der skriver til den Dataansvarlige
- Personer der henvender sig via OnPly-aktiverede kanaler
Kategorier af personoplysninger
Almindelige: Navn, email, telefonnummer, indhold af besked, tidspunkt og kanal, eventuelle senere svar.
Følsomme: Behandles ikke som udgangspunkt. Den Dataansvarlige er ansvarlig for konfigurationen.
Bilag B — Godkendte underdatabehandlere
Se aktuel liste: onply.dk/databehandlere.
Bilag C — Sikkerhedsforanstaltninger
Se afsnit 5 ovenfor.
Denne aftale er udarbejdet på baggrund af Datatilsynets vejledning og almindelig dansk databeskyttelsespraksis. For dybere juridisk rådgivning anbefales konsultation med specialiseret advokat.