Plecto Data Processing Agreement
Behandling af personoplysninger
1.1 Parternes roller. Parterne anerkender og er enige om, at med hensyn til behandling af personoplysninger er Abonnenten den dataansvarlige, Plecto er databehandleren, og at Plecto vil engagere underdatabehandlere i overensstemmelse med kravene i afsnit 5 "Underdatabehandlere" nedenfor. I bilag B afsnit 4.1 henvises der udelukkende til den samtykkebaserede behandlingsaktivitet. Plectos kunder kan til enhver tid trække deres samtykke tilbage.
1.2 Abonnentens behandling af personoplysninger. Abonnenten skal i sin brug af tjenesterne behandle personoplysninger i overensstemmelse med kravene i databeskyttelseslovgivningen. For at undgå tvivl skal Abonnentens instruktioner til behandling af personoplysninger overholde databeskyttelseslovgivningen. Abonnenten bærer det fulde ansvar for nøjagtigheden, kvaliteten og lovligheden af personoplysningerne og de midler, hvormed Abonnenten har erhvervet personoplysningerne.
1.3 Plectos behandling af personoplysninger. Plecto må kun behandle personoplysninger efter dokumenterede instruktioner fra Abonnenten, medmindre det kræves af EU-ret eller national lovgivning i de medlemsstater, som Plecto er underlagt; i så fald skal Plecto underrette Abonnenten om dette lovkrav inden behandling, medmindre en kompetent domstol forbyder en sådan underretning af hensyn til vigtige samfundsinteresser, jf. artikel 28, stk. 3, litra a.
1.4 Plectos oplysningspligt. Plecto skal straks informere den dataansvarlige, hvis den dataansvarliges instruktioner efter Plectos opfattelse er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelserne i EU-retten eller den nationale lovgivning i de medlemsstater, som Plecto er underlagt.
1.5 Detaljer om behandlingen. Formålet med Plectos behandling af personoplysninger er udførelsen af tjenesterne i henhold til aftalen. Varigheden af behandlingen, arten og formålet med behandlingen, typerne af personoplysninger og kategorierne af registrerede, der behandles, er specificeret i bilag B (Detaljer om behandlingen).
1.6 Gratis prøvekunder. Kunden betragtes ligeledes som dataansvarlig i denne forbindelse. Kunder, der kun bruger Plectos gratis prøveperiode, er underlagt denne databehandleraftale, medmindre Plecto har underskrevet kundens egen databehandleraftale. Plectos retsgrundlag for behandling af kundens personoplysninger er artikel 6, stk. 1, litra b, i GDPR. Hvis kunden ikke fortsætter med et abonnement efter prøveperioden, slettes alle personoplysninger fra Plectos servere inden for tre (3) måneder, talt i kalenderdage.
2. De registreredes rettigheder
2.1 Plecto skal, under hensyntagen til behandlingens art, i videst muligt omfang bistå Abonnenten ved hjælp af passende tekniske og organisatoriske foranstaltninger med Abonnentens forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder som fastlagt i kapitel 3 i databeskyttelsesforordningen.
2.2 Plecto skal bistå Abonnenten med at sikre overholdelse af Abonnentens forpligtelser i henhold til artikel 33-36 i databeskyttelsesforordningen under hensyntagen til behandlingens art og de oplysninger, der er tilgængelige for Plecto, som omhandlet i artikel 28, stk. 3, litra f.
2.3 Hvis Abonnenten har brug for Plectos bistand til at sikre overholdelse af de forpligtelser, der er fastsat i artikel 33-36, forbeholder Plecto sig ret til at opkræve Abonnenten rimelige omkostninger forbundet med bistanden, herunder de timer, der bruges af Plectos personale.
3. Plectos personale
3.1 Plecto skal sikre, at dets personale, der er involveret i behandlingen af personoplysninger, er informeret om personoplysningernes fortrolige karakter, har modtaget passende uddannelse om deres ansvar og har underskrevet skriftlige fortrolighedsaftaler. Plecto skal sikre, at sådanne fortrolighedsforpligtelser overlever ophøret af ansættelsesforholdet. 3.2 Plecto skal tage kommercielt rimelige skridt for at sikre pålideligheden af Plectos personale, der er involveret i behandlingen af personoplysninger.
3.3 Plecto skal sikre, at adgang til personoplysninger er begrænset til det personale, der udfører tjenester i overensstemmelse med aftalen.
4. Behandlingssikkerhed
4.1 Plecto skal implementere alle foranstaltninger, der kræves af artikel 32 i databeskyttelsesforordningen, herunder passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der er tilpasset disse risici. Plecto har bl.a. implementeret følgende sikkerhedsforanstaltninger:
(i) Tekniske foranstaltninger (listen er ikke udtømmende), herunder firewalls, antivirussoftware, kryptering, backupløsninger, logning, tofaktorautentificering til systemadgang, adgangskodebeskyttelse og adgangskontrol/autorisationsstyring.
(ii) Organisatoriske foranstaltninger, herunder en IT-sikkerhedspolitik, sikkerhedsbevidsthedstræning, risikovurderinger af systemer, fysisk adgangskontrol i form af en låst hoveddør med individuelle adgangskort udstedt til alle medarbejdere og fortrolighedsklausuler i ansættelseskontrakter.
5. Underdatabehandlere
5.1 Plecto skal overholde betingelserne i artikel 28, stk. 2 og 4, i databeskyttelsesforordningen for at bruge en anden databehandler (underdatabehandler).
5.2 Plecto vedligeholder en opdateret liste over underdatabehandlere i denne MSA i bilag B, afsnit 5.
5.3 Abonnenten giver Plecto en generel godkendelse til at bruge de underdatabehandlere, der er defineret i bilag B, afsnit 5.
5.4 Plecto skal underrette sine kunder i henhold til den generelle godkendelse i afsnit 6.3 og i overensstemmelse med artikel 28, stk. 2, i databeskyttelsesforordningen. Ved en sådan underretning har Plectos kunder én kalendermåned til at rejse begrundede indsigelser mod den udpegede nye databehandler(-e). Hvis der ikke modtages indsigelser inden for denne periode, anses udpegningen af den/de nye databehandler(-e) for at være accepteret af den/de dataansvarlige.
5.5 Abonnenten kan gøre indsigelse mod Plectos brug af en ny underdatabehandler ved at underrette Plecto omgående skriftligt inden for ti (10) arbejdsdage efter modtagelse af Plectos underretning i overensstemmelse med mekanismen i afsnit 5.4, hvis Abonnenten gør indsigelse mod en ny underdatabehandler som tilladt i foregående sætning, vil Plecto gøre rimelige bestræbelser på at stille en ændring af tjenesterne til rådighed for Abonnenten eller anbefale en kommercielt rimelig ændring af Abonnentens konfiguration eller brug af tjenesterne for at undgå behandling af personoplysninger af den underdatabehandler, der er gjort indsigelse mod, uden at belaste Abonnenten urimeligt. Hvis Plecto ikke er i stand til at stille en sådan ændring til rådighed inden for en rimelig tidsperiode, som ikke må overstige tredive (30) dage, kan Abonnenten opsige aftalen. Plecto refunderer Abonnenten eventuelle forudbetalte gebyrer, der dækker resten af aftalens løbetid efter den effektive opsigelsesdato.
5.6 Plecto er fuldt ansvarlig for sine underdatabehandleres handlinger og undladelser i samme omfang, som Plecto ville være ansvarlig, hvis Plecto selv udførte tjenesterne for hver underdatabehandler, medmindre andet er fastsat i aftalen.
6. Overførsel af oplysninger til tredjelande eller internationale organisationer.
6.1 Plecto må kun behandle personoplysninger efter dokumenterede instruktioner fra Abonnenten, herunder med hensyn til overførsel og intern brug af personoplysninger til tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller national lovgivning i de medlemsstater, som Plecto er underlagt; i så fald skal Plecto underrette Abonnenten om dette lovkrav inden behandling, medmindre en kompetent domstol forbyder en sådan underretning af hensyn til vigtige samfundsinteresser, jf. artikel 28, stk. 3, litra a.
6.2 Hvis listen over underdatabehandlere i overensstemmelse med afsnit 5.2 indeholder virksomheder beliggende i tredjelande, godkender Abonnenten ved underskrivelse af aftalen, eller med hensyn til et tillæg til listen over underdatabehandlere ved ikke at rejse indsigelse mod denne underdatabehandler i overensstemmelse med afsnit 5.5, Plectos brug af disse. 6.3 For overførsler til underdatabehandlere beliggende i USA anvendes følgende overførselsmekanismer: EU-U.S. Data Privacy Framework, forudsat at Plectos underdatabehandler er certificeret herunder. Hvis underdatabehandleren ikke er certificeret under EU-U.S. Data Privacy Framework, er overførslen baseret på EU's standardkontraktbestemmelser (SCC).
7. Underretning om brud
7.1 Plecto vedligeholder politikker og procedurer for sikkerhedshændelsesstyring og skal underrette Abonnenten uden unødigt ophold, efter at Plecto er blevet opmærksom på utilsigtet eller ulovlig destruktion, tab, ændring, uautoriseret videregivelse af eller adgang til Abonnentdata, herunder personoplysninger, transmitteret, lagret eller på anden måde behandlet af Plecto eller dets underdatabehandlere, som Plecto bliver bekendt med (en "Kundedata-hændelse").
7.2 Plecto skal gøre rimelige bestræbelser på at identificere årsagen til en sådan Kundedata-hændelse og tage de skridt, som Plecto anser for nødvendige og rimelige for at afhjælpe årsagen til en sådan Kundedata-hændelse, i det omfang afhjælpningen er inden for Plectos rimelige kontrol. Forpligtelserne heri gælder ikke for hændelser, der er forårsaget af Abonnenten eller Abonnentens licens.
7.3 Plecto er forpligtet til at give Abonnenten oplysninger om sådanne brud som beskrevet i 7.1 inden for 48 timer efter, at Plecto er blevet bekendt med bruddet, så Abonnenten kan informere tilsynsmyndigheden inden for 72 timer, som krævet i artikel 33, stk. 1.
8. Sletning og hentning af oplysninger
8.1 Data slettes kun ved ophør. Efter ophør gælder en opbevaringsperiode på femogfyrre (45) dage, hvorefter alle data leveret eller transmitteret af kunden til Plecto slettes permanent.
9. Revision
9.1 Plecto skal stille alle oplysninger til rådighed for Abonnenten, der er nødvendige for at påvise overholdelse af artikel 28 i databeskyttelsesforordningen, og tillade og bidrage til revisioner, herunder inspektioner udført af Abonnenten eller en anden revisor, der er bemyndiget af Abonnenten.
9.2 Plecto er forpligtet til at overholde artikel 58 og anerkender tilsynsmyndighedernes beføjelser.
9.3 Eventuelle revisioner fra Abonnenten skal varsles mindst 72 timer i forvejen og må ikke forstyrre personalet hos Plecto eller deres daglige arbejdsopgaver.
9.4 Abonnenten skal betale alle sine egne omkostninger forbundet med revisionen.
10. Juridisk
10.1 Plecto skal straks informere Abonnenten, hvis det bliver underlagt procedurer, der kan føre til et krav om erstatning eller en administrativ bøde i henhold til EU-lovgivningen eller national lovgivning, der supplerer EU's GDPR. Hvis sådanne procedurer indledes, skal Plecto (a) give Abonnenten detaljerne (herunder specifikke overtrædelsespåstande); (b) give Abonnenten sådanne oplysninger og bistand, som Abonnenten med rimelighed anmoder om; og (c) ikke hindre eller modsætte sig, at Abonnenten tager en aktiv del i procedurerne (ved hjælp af sin egen rådgiver på egne omkostninger).
Bilag B
- Behandlingens art og formål
1.1 Plecto vil behandle personoplysninger i det omfang, det er nødvendigt for at udføre tjenesterne i henhold til aftalen, som nærmere specificeret i dokumentationen og som yderligere instrueret af Abonnenten i dennes brug af tjenesterne.
1.2 Behandlingen udføres på vegne af Abonnenten, som fastlægger retsgrundlaget.
1.3 Når kunden, der fungerer som dataansvarlig, underskriver denne databehandleraftale udarbejdet af Plecto, er det primære retsgrundlag for behandlingen artikel 6, stk. 1, litra b, i GDPR. I visse tilfælde kan specifikke behandlingsaktiviteter i stedet baseres på andre retsgrundlag, såsom overholdelse af en retlig forpligtelse, samtykke eller Plectos legitime interesser.
2. Behandlingens varighed
2.1 Med forbehold for afsnit 8 i bilag A vil Plecto behandle personoplysninger i aftalens løbetid, medmindre andet er skriftligt aftalt.
3. Kategorier af registrerede
3.1 Abonnenten kan indsende personoplysninger til tjenesterne, hvis omfang bestemmes og kontrolleres af Abonnenten efter eget skøn, og som kan omfatte, men ikke er begrænset til, personoplysninger vedrørende følgende kategorier af registrerede:
- Kundeemner, kunder, forretningspartnere og leverandører af
- Abonnenten (som er fysiske personer)
- Medarbejdere eller kontaktpersoner hos Abonnentens kundeemner,
- kunder, forretningspartnere og leverandører
- Medarbejdere, agenter, rådgivere, freelancere hos Abonnenten (som
- er fysiske personer)
- Abonnentens licenshavere bemyndiget af Abonnenten til at bruge
- tjenesterne
4. Type af personoplysninger
4.1 Telefonopkaldsoptagelser med kunder, der behandles med henblik på intern uddannelse. Retsgrundlaget for denne behandling er samtykke i henhold til artikel 6, stk. 1, litra a, i GDPR. Telefonopkaldsoptagelser kan også behandles med henblik på håndtering af kundeklager og tvister, herunder til dokumentations- og bevisformål. Retsgrundlaget for en sådan behandling er Plectos legitime interesser i henhold til artikel 6, stk. 1, litra f, i GDPR.
4.2 Abonnenten kan indsende personoplysninger til tjenesterne, hvis omfang bestemmes og kontrolleres af Abonnenten efter eget skøn, og som kan omfatte, men ikke er begrænset til, følgende kategorier af personoplysninger:
- For- og efternavn
- Titel
- Stilling
- Arbejdsgiver
- Kontaktoplysninger (virksomhed, e-mail, telefon, fysisk
- forretningsadresse)
- ID-data
- Faglige data
- Forbindelsesdata
| Navn | Kontaktoplysninger | Formål | Plectos retsgrundlag og sletning | Opbevaring og retsgrundlag for overførsler til tredjelande |
|---|---|---|---|---|
| Sleeknote | Søren Frichs Vej 42B, 8230 Åbyhøj +45 71 99 77 07 mail@sleeknote.com |
Indsamling af data på den dataansvarliges hjemmesider via direkte indsendelser (indsendte data); Indsamling af adfærdsanalyser relateret til "pop-ups" (analysedata); Systematisering og analyse af data; Præsentation af analysedata i dashboards. | GDPR art 6, stk. 1, litra b. Sletning sker efter 3 måneder, når Plecto ikke længere har et formål, eller kontrakten ophæves. | Danmark. |
| Dealfront | Durlacher Allee 73, 76131 Karlsruhe, Germany privacy@dealfront.com |
Analyse af brugeradfærd, produktoptimering, markedsføring, forbedring af brugeroplevelse, rapportering og performancemåling (dealfront.com). Integration med CRM eller andre systemer for at berige kundedatabaser. | GDPR art 6, stk. 1, litra b. Når Plecto opsiger kontrakten, sletter Dealfront personoplysninger (undtagen når det kræves ved lov). Sikkerhedskopier kan forblive i op til 97 dage. | Opbevaring i EU (Tyskland). Overførsler til USA eller andre lande baseret på EU's standardkontraktbestemmelser (SCC). |
| Google Inc. | Sankt Petri Passage 5, 1165 København K data-protection-office@google.com Tlf: +45 32 70 05 92 |
Cloudtjeneste; Gmail, Kalender, Drive osv. | GDPR art 6, stk. 1, litra f. Sletning sker efter 3 måneder, når Plecto ikke længere har et formål. | Opbevaring i EU. Kan tvinges til overførsel til USA. Certificeret under Data Privacy Framework. |
| Fenerum | Silkeborgvej 263, 8230 Aarhus +45 69 15 72 80 developers@fenerum.com |
Kundefakturering. | GDPR art 6, stk. 1, litra b. Opbevares i fem år i overensstemmelse med den danske bogføringslov og slettes derefter. | Opbevaring i EU (Frankrig og Nederlandene). |
| Hubspot | 1 Sir John Rogerson's Quay, Dublin 2, Irland Privacy@hubspot.com Phone +353 1 518 7500 |
Plectos CRM-system. | GDPR art 6, stk. 1, litra f. Personoplysninger slettes inden for 30 dage på Plectos anmodning. | Dublin, Irland. Kan tvinges til overførsel til USA. Certificeret under Data Privacy Framework. |
| Stonly | Stonly SAS, 43 Rue du Président Wilson, 92300 Levallois-Perret, France Support@stonly.com Phone +06 70 23 27 10 |
Selvbetjeningssupport til brugere/kunder. | GDPR art 6, stk. 1, litra b. | Opbevaring i EU (Frankrig). Kan tvinges til overførsel til USA. EU's standardkontraktbestemmelser (SCC). |
| Scaleway | 8 Rue de la Ville l'Evêque, 75008 Paris, France Privacy@scaleway.com +33 1 84 13 00 00 |
Hosting. | GDPR art 6, stk. 1, litra f. Sletning udføres inden for 72 timer efter en bekræftet anmodning fra Plecto. | Opbevaring i EU (Frankrig). |
| E-Conomic By Visma | Gærtorvet 1-5, 1799 København V info@e-conomic.dk Phone +45 88 20 48 40 |
Regnskabssystem. | GDPR art 6, stk. 1, litra b. Opbevares i fem år i overensstemmelse med den danske bogføringslov og slettes derefter. | Opbevaring i EU (Irland). Kan tvinges til overførsel til USA. E-Conomic bruger Google Ireland hosting (certificeret under Data Privacy Framework). |
| Metabase | 9740 Campo Rd. Suite 1029, Spring Valley, CA 91977, USA Legal@metabase.com Phone (415) 688-4151 |
Business intelligence-funktionalitet; forespørgsel, visualisering og styring af data lagret i kundens data. | GDPR art 6, stk. 1, litra f. Plecto anmoder om sletning, når formålet ikke længere er relevant. | Opbevaring i EU (Frankfurt). Kan tvinges til overførsel til USA. EU's standardkontraktbestemmelser (SCC). |