Denne Databehandleraftale ("Aftalen") indgås mellem Kundeorganisationen ("Den dataansvarlige") og Allegro IT ApS, CVR 34593701, Fyrrelien 8, 8920 Randers NV, Danmark ("Databehandleren"), som driver tjenesten DonorLink. Aftalen regulerer Databehandlerens behandling af personoplysninger på vegne af Den dataansvarlige i overensstemmelse med artikel 28 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (databeskyttelsesforordningen, "GDPR").

1. Genstand og varighed. Databehandleren behandler personoplysninger på vegne af Den dataansvarlige, så længe Den dataansvarlige har en aktiv konto hos DonorLink. Aftalen træder i kraft ved underskrift og ophører, når kontoen lukkes.

2. Karakter og formål. Behandlingen omfatter opbevaring, organisering, fremfinding og videregivelse af transaktionsregistreringer (donationer og betalinger), tilknyttede personoplysninger og identifikationsdata med henblik på donor- og transaktionshåndtering, skatteindberetning, transaktions-matchning og regnskabsmæssig opbevaring på vegne af Den dataansvarlige.

3. Kategorier af personoplysninger. Navne, e-mailadresser, telefonnumre, postadresser, CPR-/personnumre (hvor oplyst), transaktionsbeløb, transaktionsdatoer, betalingsmetoder, bankreferencer og organisationsadministratorroller. I denne aftale betyder "transaktion" enhver finansiel registrering, der håndteres via tjenesten — typisk en donation, men også en betaling eller anden overførsel.

4. Kategorier af registrerede. Personer, hvis transaktioner registreres af Den dataansvarlige — typisk donorer, men også betalere eller andre parter i en finansiel overførsel; administratorer, medarbejdere og inviterede brugere i Den dataansvarliges organisation på DonorLink.

5. Den dataansvarliges instrukser. Databehandleren behandler kun personoplysninger efter dokumenterede instrukser fra Den dataansvarlige, herunder som fastsat i DonorLinks brugergrænseflade og vilkår. Databehandleren underretter Den dataansvarlige, hvis en instruks efter Databehandlerens opfattelse er i strid med GDPR eller anden relevant databeskyttelseslovgivning.

6. Fortrolighed. Databehandleren sikrer, at personer, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

7. Sikkerhedsforanstaltninger (artikel 32). Databehandleren anvender: kryptering af CPR-/personnumre i hvile; HTTPS for alle klientforbindelser; rollebaseret adgangsstyring; struktureret auditlogning af alle handlinger, der berører de registrerede; SHA-256-duplikatdetektion på importerede data; regelmæssige sikkerhedskopier; fysisk og netværksmæssig sikkerhed leveret af hostingunderdatabehandleren (Hetzner Cloud, Finland, EU).

8. Underdatabehandlere. Databehandleren anvender i øjeblikket: Hetzner Online GmbH (hosting, Finland, EU); Stripe Payments Europe, Ltd. (betalingsbehandling til platformfakturering — anvendes kun, når Den dataansvarlige betaler for DonorLink-tjenesten); og Den dataansvarliges konfigurerede SMTP-udbyder (e-maillevering). Den dataansvarlige giver generel tilladelse til disse underdatabehandlere. Databehandleren underretter Den dataansvarlige forud for enhver tilføjelse eller udskiftning af underdatabehandlere og giver Den dataansvarlige mulighed for at gøre indsigelse.

9. De registreredes rettigheder. Under hensyntagen til behandlingens karakter bistår Databehandleren Den dataansvarlige med passende tekniske og organisatoriske foranstaltninger i at opfylde Den dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder efter kapitel III i GDPR (indsigt, berigtigelse, sletning, begrænsning, dataportabilitet, indsigelse).

10. Underretning om brud. Databehandleren underretter uden unødig forsinkelse og senest 72 timer efter at være blevet bekendt med et brud på persondatasikkerheden, der berører Den dataansvarliges data. Underretningen indeholder som minimum kategorier og omtrentligt antal berørte registrerede og registreringer, sandsynlige konsekvenser samt trufne eller foreslåede foranstaltninger.

11. Tilbagelevering eller sletning ved ophør. Efter Den dataansvarliges valg sletter eller tilbageleverer Databehandleren ved tjenestens ophør alle personoplysninger, der er behandlet på vegne af Den dataansvarlige, og sletter eksisterende kopier, medmindre opbevaring er påkrævet i henhold til EU-retten eller national ret (herunder Bogføringslovens 5-årige opbevaringspligt for regnskabsmateriale). Sletning gennemføres inden 30 dage efter ophør.

12. Auditret. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelse af GDPR artikel 28, til rådighed for Den dataansvarlige og giver mulighed for og bidrager til audits, herunder inspektioner, der gennemføres af Den dataansvarlige eller en anden revisor, der er bemyndiget af Den dataansvarlige, med rimeligt varsel og inden for normal arbejdstid.

Hent som PDF