Sidst opdateret 08/11/2024

Databehandleraftale

Denne databehandleraftale ligger til grund for den behandling af persondata, som HRfamly foretager på vegne af dig som kunde. Databehandleraftalen træder i kraft, idet du opretter dig som kunde.  

Denne databehandleraftale er indgået i henhold til art. 28 stk. 3 i Europa-Parlamentet og Rådets forordning (EU) 2016/679 (“GDPR”) med henblik på at regulere HRfamlys behandling af personoplysninger på vegne af dig som kunde. 

Aftalen er indgået imellem: 

Dataansvarlig: 

[Indsættes: Virksomhed, adresse, CVR-nr.] 

Kontaktperson: 

[Kontaktperson og kontaktinformationer] 

og 

Databehandler: HRfamly Aps  
Studsgade 22B  
800 Aarhus C  
CVR: 37687286 

Kontakt: kontakt@hrfamly.dk   

Parterne kaldes i det følgende henholdsvis “den dataansvarlige” og “databehandleren” og tilsammen “parterne”. 

1. Præambel

1.1 Definitionen af “personoplysninger”, “særlige kategorier af personoplysninger” (følsomme oplysninger), “databehandling”, “den registrerede”, “dataansvarlig” og “databehandler” er den samme som anført i databeskyttelsesforordningen. 

1.2 Formålet med denne databehandleraftale er at sikre parternes efterlevelse af gældende databeskyttelseslovgivning og dokumentere den dataansvarliges instruks til databehandleren. Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er at sikre den dataansvarliges brug af HR-platformen som yderligere beskrevet i HRfamlys betingelser.

1.3 Denne databehandleraftale fastsætter parternes rettigheder og forpligtelser, når databehandleren foretager behandling af personoplysninger på vegne af den dataansvarlige. 

1.4 Denne databehandleraftale har forrang for andre modstridende bestemmelser vedrørende behandling af personoplysninger, for så vidt angår HRfamlys betingelser eller andre aftaler gældende parterne imellem. Databehandleraftalen er gældende mellem parterne, så længe den dataansvarlige abonnerer på HRfamly. 

1.5 Denne databehandleraftale frigør ikke databehandleren fra forpligtelser, som databehandleren yderligere er pålagt efter gældende databeskyttelseslovgivning.

2. Den dataansvarliges rettigheder og forpligtelser

2.1 Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger i forbindelse med brug af HRfamly applikationen sker i overensstemmelse med GDPR art. 24, anden EU-ret eller national ret samt denne databehandleraftale. 

2.2 Den dataansvarlige har ret og pligt til at træffe beslutninger om, til hvilke(t) formål og med hvilke hjælpemidler, der må ske behandling af personoplysninger. Det er hertil alene under den dataansvarliges kontrol, hvilke personoplysninger der behandles, herunder indtastes og genereres i HRfamly applikationen. 

2.3 Den dataansvarlige er ansvarlig for at sikre, at der eksisterer et lovligt behandlingsgrundlag for behandlingen og videregivelsen af personoplysninger, som databehandleren instrueres i at foretage, herunder videregivelse til de underdatabehandlere, som databehandleren benytter, og som til enhver tid er oplistet her.

2.4Den dataansvarlige har ansvaret for nøjagtigheden, integriteten, indholdet af pålideligheden og lovligheden af de personoplysninger, som behandles af databehandleren. 

2.5 Den dataansvarlige har opfyldt alle obligatoriske krav og pligter i forhold til anmeldelse hos eller opnåelse af tilladelse fra de relevante offentlige myndigheder, for så vidt angår behandlingen af personoplysninger. 

2.6 Den dataansvarlige har opfyldt sin oplysningsforpligtelse over for de registrerede vedrørende behandlingen af personoplysninger i henhold til gældende databeskyttelseslovgivning. 

2.7 Den dataansvarlige bekræfter, at databehandleren har givet de relevante garantier, for så vidt angår implementeringen af tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre de registreredes rettigheder og deres personoplysninger, ved indgåelse af denne databehandleraftale.

3. Databehandleren handler efter instruks

3.1 Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU- eller national ret, som databehandleren er underlagt. Ved at indgå denne databehandleraftale instruerer den dataansvarlige databehandleren i at behandle personoplysninger på følgende måder: 

3.1.1 i overensstemmelse med gældende lovgivning; 

3.1.2 for at opfylde sine forpligtelser i henhold til HRfamlys betingelser for brug af applikationen; 

3.1.3 som yderligere specificeret ved den dataansvarliges normale brug af applikationen; 

3.1.4 som beskrevet i denne databehandleraftale. 

3.2 Databehandleren underretter omgående den dataansvarlige, hvis en instruks vurderes at være i strid med gældende databeskyttelseslovgivning eller anden EU- eller national ret. 

4. Behandlingssikkerhed

4.1 Databehandleren er forpligtet til at sikre et højt sikkerhedsniveau. Dette sker i form af implementering af relevante organisatoriske, tekniske og fysiske sikkerhedsforanstaltninger. 

Implementeringen sker under hensyntagen til den teknologi, der er tilgængelig og omkostningerne ved implementeringen samt omfanget, konteksten og formålet med behandlingen for at sikre et tilstrækkeligt sikkerhedsniveau, der imødekommer den risiko og kategorien af personoplysninger, der skal beskyttes. 

4.2 Databehandleren må kun give adgang til personoplysninger, som behandles på den dataansvarliges vegne, til personer som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt – og kun i et nødvendigt omfang. Fortrolighedspligten skal ligeledes gælde efter ophør af databehandleraftalen. 

4.3 HRfamly har implementeret flere sikkerhedsforanstaltninger og interne databeskyttelsespolitikker med henblik på at sikre fortrolighed, integritet, modstandsdygtighed og adgang til personoplysninger. Dette omfatter blandt andet følgende foranstaltninger: 

  • Aflåsning af computere, telefoner og fortrolige dokumenter efter endt arbejdsdag.
  • Ansigtsgenkendelse til adgang til kontoret.
  • Aflåsning af computere når arbejdspladser forlades.
  • Vi minimerer brugen af print til et minimum og makulerer printede dokumter med personoplysningen/fortrolige oplysninger straks efter brug.
  • Anvender Firewall på vores systemer.
  • Opdaterer jævnligt virus scan.
  • Automatisk systemovervågning til identificering af usædvanlig brugeradfærd. 
  • Vi udskifter hyppigt vores passwords og bruger personlige/individuelle passwords.

4.3.1 Risikovurderinger af eget sikkerhedsniveau med henblik på at sikre at nuværende tekniske og organisatoriske foranstaltninger er tilstrækkelige til beskyttelse af personoplysninger, herunder i henhold til GDPR art. 32 om behandlingssikkerhed samt GDPR art. 25 vedrørende privacy by design og default. 

4.3.2 Effektiv kryptering ved overførsel af personoplysninger via internettet. 

4.3.3 Løbende awareness træning til alle medarbejdere med fokus på it-sikkerhed og behandling af personoplysninger. 

4.3.4 Ekstern adgang til systemer og databaser der bruges til at behandle persondata, sker udelukkende gennem en indbygget firewall. 

4.3.5 Begrænsning i adgangen til personoplysninger til de relevante personer der skal til for at overholde krav og forpligtelser i databehandleraftalen. 

4.3.6 Etablerede kontroller til at identificere og rapportere eventuelle brud på persondatasikkerheden. 

4.3.7 Udførelse af sårbarhedsscanninger og penetrationstests på regelmæssig basis for at sikre, at tekniske foranstaltninger implementeres og testes. 

4.3.8 Implementerede procedurer der sikrer, at opdateringer i systemer, databaser og netværk sker konsekvent for at sikre vedligeholdelse. 

5. Anvendelse af underdatabehandlere

5.1 Som en del af driften af HRfamly anvender databehandleren underdatabehandlere. Denne databehandleraftale udgør den dataansvarliges forudgående generelle skriftlige godkendelse af databehandlerens brug af underdatabehandlere. Sådanne underdatabehandlere kan være andre selskaber inden for HRfamly-koncernen, som HRfamly er en del af eller tredjepartsleverandører i og uden for EU/EØS. Databehandlerens underdatabehandlere er oplistet i den til enhver tid gældende liste over underdatabehandlere.

5.2 Databehandleren sikrer, at dennes underdatabehandlere overholder tilsvarende forpligtelser og krav, som er beskrevet i denne databehandleraftale. Den dataansvarlige skal orienteres senest 30 dage inden, databehandleren tager en ny underdatabehandler i brug. Den dataansvarlige har ret til at protestere imod en ny underdatabehandler, som behandler personoplysninger på vegne af den dataansvarlige, hvis denne ikke behandler data i overensstemmelse med gældende databeskyttelseslovgivning. I en sådan situation skal databehandleren demonstrere overensstemmelse ved at give den dataansvarlige adgang til databehandlerens databeskyttelsesvurdering og udarbejdede dokumenter om brug af underdatabehandleren. Hvis der herefter fortsat er uenighed om anvendelsen af underdatabehandleren, kan den dataansvarlige opsige sit abonnement med et kortere varsel end normalt for at sikre, at den dataansvarliges personoplysninger ikke behandles af den pågældende underdatabehandler.

6. Overførsel til tredjelande eller internationale organisationer

6.1 Enhver overførsel af personoplysninger til et tredjeland eller en international organisation forudsætter indgåelse af EU Kommissionens Standardkontraktbestemmelser (EU SCC’s) eller et andet gyldigt overførselsgrundlag. Den dataansvarlige giver databehandleren autorisation til at sikre et tilstrækkeligt grundlag for overførsel af personoplysninger til et tredjeland på vegne af den dataansvarlige.

7. Bistand til den dataansvarlige

7.1 Databehandleren skal, så vidt det er muligt, bistå den dataansvarlige med passende tekniske og organisatoriske foranstaltninger under hensyntagen til behandlingens art og kategorien af oplysninger, der er tilgængelige for databehandleren, for at sikre overholdelse af den dataansvarliges forpligtelser i henhold til gældende databeskyttelseslovgivning. 

7.2 Databehandleren bistår den dataansvarlige med overholdelse af GDPR art. 32-36, herunder blandt andet behandlingssikkerhed, anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden og underretning om brud på persondatasikkerheden til den registrerede under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren. 

7.3 Databehandleren må ikke besvare anmodninger fra registrerede, medmindre databehandleren er autoriseret af den dataansvarlige til at gøre det. Databehandleren videregiver ikke information om denne databehandleraftale til statslige myndigheder såsom politiet, herunder personoplysninger, medmindre databehandleren er forpligtet til det i medfør af lovgivningen i form af en retskendelse eller lignende. 

7.4 Endvidere skal databehandleren så vidt det er muligt og lovligt underrette den dataansvarlige såfremt: 

7.4.1 En anmodning om indsigt i personoplysninger modtages direkte fra den registrerede; 

7.4.2 En anmodning om indsigt i personoplysninger modtages direkte fra statslige myndigheder, herunder politiet, medmindre databehandleren instrueres i ikke at underrette den dataansvarlige. 

7.5 Hvis den dataansvarlige kræver information eller assistance omkring sikkerhedsforanstaltninger, dokumentation eller information om, hvordan databehandleren behandler personoplysninger generelt, og en sådan anmodning indeholder information, som går ud over, hvad der er nødvendigt ifølge gældende databeskyttelseslovgivning, må databehandleren kræve betaling for sådanne yderligere services.

8. Underretning om brud på persondatasikkerheden

8.1 Databehandleren underretter uden unødig forsinkelse den dataansvarlige, inden for 48 timer, efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden, som involverer persondata, databehandleren behandler på vegne af den dataansvarlige. Dette således, at databehandleren understøtter den dataansvarlige i dennes videre forpligtelse herfor. 

8.2 Databehandleren skal underrette den dataansvarlige via den gældende kontaktperson i den oprettede virksomhed, hvis databehandleren bliver bekendt med en sikkerhedsbrist.

9. Returnering og sletning/anonymisering af data

9.1 Som en del af driften af Applikationen anvender Databehandleren underleverandører. Den dataansvarlige har mulighed for at få sin data returneret (eksporteret) i forbindelse med ophør af et HRfamly abonnement. Efter ophør af abonnementet vil databehandleren slette/anonymisere alle personoplysninger, som databehandleren har behandlet på vegne af den dataansvarlige. Dette sker i overensstemmelse med gældende betingelser.
Vi opbevarer data i 5,5. Dette ift. at sikre bedst mulig bevisførelse for virksomheden i tilfælde af en tvist.

10. Revision, herunder inspektion

10.1 Den dataansvarlige er berettiget til at igangsætte en revision af databehandlerens forpligtelser i henhold til databehandleraftalen. 

10.2 Såfremt det foreslåede omfang for revisionen følger en ISAE 3000, ISO eller lignende erklæringsrapport udført af en kvalificeret tredjepartsrevisor indenfor de forudgående tolv måneder, og databehandleren bekræfter, at der ikke har været nogen materielle ændringer i de foranstaltninger, som har været under revision, skal den dataansvarlige acceptere denne revision i stedet for at anmode om en ny revision af de foranstaltninger, som allerede er dækket. 

10.3 Såfremt databehandlerens assistance i forbindelse med revision overskrider den almindelige service, som databehandleren skal stille til rådighed som følge af gældende databeskyttelseslovgivning, afregnes dette særskilt.

11. Ikrafttræden og ophør

11.1 Denne databehandleraftale er gældende, så længe databehandleren behandler personoplysninger på vegne af den dataansvarlige i forbindelse med den dataansvarliges brug af HRfamly applikationen. Databehandleraftalen er en forudsætning for brugen af applikationen og kan derfor ikke opsiges seperat. 

11.2 Databehandleren er berettiget til at beholde personoplysninger efter ophør af databehandleraftalen i det omfang, det er nødvendigt i henhold til gældende lov, hvilket i så fald vil ske i overensstemmelse med de tekniske og organisatoriske sikkerhedsforanstaltninger, som er beskrevet i databehandleraftalen.

12. Ændringer til databehandleraftalen

12.1 Den gældende version af databehandleraftalen vil til enhver tid kunne tilgås på hjemmesiden. Væsentlige ændringer varsles 30 dage inden de træder i kraft via email. Brug af HRfamly applikationen efter opdateringen udgør en accept af databehandleraftalen.

13. Ansvar

13.1 Ansvar for handlinger i strid med bestemmelserne i denne databehandleraftale reguleres af ansvars- og erstatningsbestemmelserne i betingelserne for HRfamly applikationen. Dette gælder ligeledes for enhver overtrædelse, som foretages af databehandlerens underdatabehandlere.

14. Lovvalg og værneting

14.1 Denne databehandleraftale er underlagt dansk ret og enhver tvist, der udspringer af denne databehandleraftale, skal anlægges ved Byretten i Aarhus. 

 

Bilag A – Kategorier af personoplysninger og registrerede 

A. Kategorier af personoplysninger

a. Den dataansvarlige har kontrollen over, hvilke kategorier af personoplysninger, der behandles i HRfamly applikationen, men kan blandt andet omfatte: 

Navn 

Titel 

Telefonnummer 

E-mail 

Adresse 

CPR-nr.

Evt. 

I tillæg til ovenstående kan særlige kategorier af personoplysninger (følsomme oplysninger) blive behandlet af databehandleren, i det omfang den dataansvarlige behandler sådanne oplysninger i HRfamly applikationen. Dette er dog udenfor databehandlerens kontrol. 

B. Kategorier af de(n) registrerede

b. Den dataansvarlige har kontrollen over, hvilke kategorier af registrerede, der behandles i HRfamly applikationen, men kan blandt andet omfatte:

Den dataansvarliges slutbrugere 

Den dataansvarliges medarbejdere 

Den dataansvarliges kontaktpersoner 

 

Bilag B – Underdatabehandlere 

Oversigt over underdatabehandlere til HRfamly 

HRfamly anvender underdatabehandlere til at behandle persondata. Disse underdatabehandlere er typisk leverandører af cloud tjenester eller andre IT hosting ydelser. Vi sikrer selvfølgelig, at der bliver indgået databehandleraftaler med alle vores underdatabehandlere med henblik på at beskytte dine persondata bedst muligt.  

Hvis underdatabehandlere er placeret uden for EU, sørger vi for at have et gyldigt overførselsgrundlag på plads ved blandt andet at indgå EU’s standard kontraktbestemmelser (SCC). Under hver kategori kan du læse hvilken data vores underdatabehandlere får adgang til, hvad formålet er, hvor data er opbevaret og hvad overførselsgrundlaget er, såfremt data overføres til tredjelande. 

 

Underdatabehandler  

Produkt  

Host lokation  

Formål  

betterpeople 

Rekrutterings-ydelser

Danmark 

betterpeople varetager alle opgaver vedr. rekruttering.

Twentyninetimes 

Udvikling og kode

Danmark 

29x er vores design og udviklingspartner på HRfamly og administrerer vores databaser. 

Google 

Google Cloud 

Google Firebase 

Europa 

Firebase er en mobil- og webapplikationsudviklingsplatform til HRfamly applikation og database servere. 

Vercel 

Serverless Functions 

Sverige 

Vercel er en cloud-baseret platform, der anvendes til hosting af HRfamly webapplikation og til at udføre serverless functions.  

Zendesk 

Chatfunktion

Europa 

Zendesk anvendes som vores platform for kundesupport og engagement for at tilbyde effektiv og tilgængelig kundeservice. 

OnPay 

Betalingssystem

Europa 

Vi anvender OnPay som vores betalingsgateway. 

Dandomain 

Betalingssystem

Europa

Dandomain er en e-handelsplatform som Onpay anvender.

Talentech

Rekrutterings-portal

Europa

Talentech anvendes som platform hvorfra al kandidatinformation og processer administreres i et sikkert system.

NETS

Betalingsløsning

Europa

Betalingsløsning til vores abonnementsydelser. 

Simply CRM

CRM system

Danmark

Det program vi bruger til administrering af kunder.

MailGun

Mailsystem

Europa

Det mailsystem vi bruger til autogenerering af mails fra webapp og betalingsløsning.

 

Kontakt os, hvis du har spørgsmål 

Hvis du har nogle spørgsmål til vores brug af underdatabehandlere, er du velkommen til at række ud til os på kontakt@hrfamly.dk  

Denne databehandleraftale er sidst opdateret den 08. november 2024. 

HRfamly Aps | Studsgade 22B, 8000 Aarhus C  
CVR: 37687286 |  

 

 

 

Rul til toppen