Databehandleraftale

Dataansvarlig:Den virksomhed der opretter en konto hos SnupTid ("kunden").

Databehandler:SnupTid, CVR-nr. [indsæt], hej@snuptid.dk ("vi", "os").

Denne aftale regulerer vores behandling af personoplysninger på kundens vegne i forbindelse med levering af SnupTids ventelistetjeneste. Aftalen gælder så længe kunden har en aktiv konto.

• Formål: Modtage, opbevare og behandle ventelistedata med henblik på at matche aflyste tider med ventende kunder via SMS.
• Typer af personoplysninger: Navn, mobilnummer, ydelsestype, tidspræferencer, samtykkedata, SMS-historik.
• Kategorier af registrerede: Slutkunder der tilmelder sig virksomhedens venteliste.

Vi forpligter os til at:

• Kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige (denne aftale og kundens brug af dashboardet).
• Sikre at personer med adgang til personoplysninger er underlagt fortrolighed.
• Træffe passende tekniske og organisatoriske sikkerhedsforanstaltninger (kryptering, adgangskontrol, Row Level Security).
• Ikke anvende underdatabehandlere uden forudgående godkendelse — se punkt 6.
• Bistå den dataansvarlige med at opfylde forpligtelser vedr. registreredes rettigheder (indsigt, sletning, dataportabilitet).
• Slette alle personoplysninger ved aftalens ophør, medmindre lovgivning kræver fortsat opbevaring.
• Stille alle nødvendige oplysninger til rådighed for den dataansvarlige med henblik på at påvise overholdelse.

• TLS-kryptering af al datatransmission
• Adgangskoder hashes med bcrypt
• Row Level Security i database — virksomheder kan kun tilgå egne data
• Service-role nøgler bruges udelukkende server-side
• SMS-webhooks verificeres med HMAC-signatur for at forhindre uautoriseret adgang
• Alle data opbevares inden for EU/EØS (Frankfurt, Danmark)

Den dataansvarlige giver hermed generel godkendelse til brug af følgende underdatabehandlere:

• Supabase Inc. — database og autentificering (EU-region, Frankfurt)
• GatewayAPI ApS— SMS-levering (dansk virksomhed, data i EU)
• Vercel Inc. — webhosting (EU-region)

Ved tilføjelse eller udskiftning af underdatabehandlere varsles kunden mindst 14 dage forinden via email. Kunden kan gøre indsigelse inden varselsperiodens udløb.

Vi overfører ikke personoplysninger til lande uden for EU/EØS. Samtlige underdatabehandlere opererer med data i EU-regioner.

Ved brud på persondatasikkerheden underretter vi den dataansvarlige uden unødig forsinkelse og senest inden 24 timer efter vi er blevet bekendt med bruddet. Underretningen indeholder:

• Beskrivelse af bruddets art
• Kategorier og omtrentligt antal berørte registrerede
• Sandsynlige konsekvenser
• Foranstaltninger truffet eller foreslået

Den dataansvarlige har ret til at auditere vores overholdelse af denne aftale, herunder ved inspektion. Audit aftales med mindst 14 dages varsel og gennemføres på en måde der ikke unødigt forstyrrer driften.

Ved ophør af kundeforholdet sletter vi alle personoplysninger behandlet på kundens vegne inden 30 dage, medmindre lovgivning kræver fortsat opbevaring. Kunden kan anmode om en kopi af data inden sletning.

Denne aftale er underlagt dansk ret og suppleres af databeskyttelsesforordningen (GDPR) og databeskyttelsesloven.

Ved at oprette en konto hos SnupTid accepterer den dataansvarlige denne databehandleraftale elektronisk. Accepten logges med tidsstempel.