Databehandleraftale

Denne databehandleraftale ("DPA") er indgået i henhold til GDPR artikel 28 samt den danske databeskyttelseslov og udgør en integreret del af aftalen mellem Kunden og Branthiq ApS.

1. Parter

Dataansvarlig: Kunden — den virksomhed eller person, der har indgået aftale med Branthiq ApS om levering af ydelser.

Databehandler:

2. Behandlingens genstand og formål

2.1 Formål

Databehandleren behandler personoplysninger på vegne af den Dataansvarlige med det formål at levere de aftalte ydelser, herunder:

• Design, udvikling og drift af websites
• SEO-optimering og digital markedsføring
• Hosting og vedligeholdelse af webløsninger
• Analyse af websitetrafik

2.2 Varighed

Behandlingen finder sted så længe aftalen om levering af ydelser er aktiv. Ved ophør af aftalen gælder afsnit 11 om sletning og tilbagelevering.

2.3 Kategorier af registrerede

• Kundens medarbejdere og kontaktpersoner
• Besøgende på Kundens website
• Kundens egne kunder og brugere

2.4 Typer af personoplysninger

• Kontaktoplysninger (navn, e-mail, telefonnummer)
• Tekniske data (IP-adresser, browserdata, cookies)
• Analytiske data (besøgsstatistik, konverteringsdata)
• Indhold leveret af Kunden (tekst, billeder, brugerdata)

Der behandles som udgangspunkt ikke følsomme personoplysninger (GDPR art. 9) eller oplysninger om strafbare forhold (GDPR art. 10).

3. Instruks

Databehandleren behandler udelukkende personoplysninger efter dokumenteret instruks fra den Dataansvarlige, jf. GDPR art. 28, stk. 3, litra a.

Hvis Databehandleren mener, at en instruks er i strid med GDPR eller anden databeskyttelseslovgivning, underretter Databehandleren straks den Dataansvarlige.

4. Fortrolighed

Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, jf. GDPR art. 28, stk. 3, litra b. Fortrolighedsforpligtelsen gælder også efter aftalens ophør.

5. Sikkerhedsforanstaltninger

Databehandleren træffer passende tekniske og organisatoriske foranstaltninger, jf. GDPR art. 32:

• Kryptering: Al datatransmission via HTTPS/TLS. Data krypteres at rest.
• Adgangskontrol: Rollebaseret adgangsstyring med princippet om mindste privilegium.
• Logning: Adgangs- og ændringslogning for personoplysninger.
• Backup: Regelmæssig backup med mulighed for gendannelse.
• Sårbarhedshåndtering: Løbende opdatering af software og afhængigheder.
• Afprøvning: Sikkerhedsforanstaltninger evalueres og testes løbende.

6. Underdatabehandlere

6.1 Godkendelse

Den Dataansvarlige giver hermed generel skriftlig godkendelse til brug af underdatabehandlere, jf. GDPR art. 28, stk. 2.

6.2 Varsling ved ændringer

Databehandleren underretter den Dataansvarlige mindst 30 dage inden tilføjelse eller udskiftning af underdatabehandlere. Den Dataansvarlige kan gøre indsigelse inden for varslingsperioden.

6.3 Aktuelle underdatabehandlere

6.4 Underdatabehandleraftaler

Databehandleren sikrer, at der er indgået skriftlig aftale med alle underdatabehandlere, der pålægger dem de samme forpligtelser som fastsat i denne DPA, jf. GDPR art. 28, stk. 4. Databehandleren forbliver fuldt ansvarlig for underdatabehandlernes forpligtelser.

7. Overførsel til tredjelande

Overførsel til lande uden for EU/EØS sker udelukkende med gyldigt overførselsgrundlag:

• EU-US Data Privacy Framework for certificerede underdatabehandlere
• EU's standardkontraktbestemmelser (SCCs) som supplement, hvor relevant

8. Bistand til den Dataansvarlige

Databehandleren bistår den Dataansvarlige med:

• Opfyldelse af registreredes rettigheder (GDPR art. 15-22)
• Sikring af passende sikkerhedsniveau (GDPR art. 32)
• Anmeldelse af databrud til Datatilsynet (GDPR art. 33-34)
• Konsekvensanalyse vedrørende databeskyttelse (GDPR art. 35-36), hvis relevant

9. Brud på persondatasikkerheden

Databehandleren underretter den Dataansvarlige uden unødigt ophold og senest inden for 48 timer efter, at Databehandleren er blevet opmærksom på et brud.

Underretningen skal indeholde:

• Beskrivelse af bruddets karakter og berørte kategorier/antal registrerede
• Kontaktoplysninger på Databehandlerens kontaktperson
• Beskrivelse af de sandsynlige konsekvenser
• Beskrivelse af trufne eller foreslåede foranstaltninger

10. Audit og tilsyn

Databehandleren stiller alle nødvendige oplysninger til rådighed for at påvise overholdelse af GDPR art. 28, jf. art. 28, stk. 3, litra h.

Den Dataansvarlige eller en udpeget uafhængig revisor har ret til inspektioner med mindst 14 dages varsel. Databehandleren udarbejder på anmodning en årlig redegørelse for sikkerhedsforanstaltninger og behandlingsaktiviteter.

11. Sletning og tilbagelevering

Ved ophør af aftalen sletter eller tilbageleverer Databehandleren alle personoplysninger efter den Dataansvarliges valg, jf. GDPR art. 28, stk. 3, litra g.

Sletning sker senest 30 dage efter aftalens ophør, medmindre lovgivning foreskriver opbevaring (fx bogføringslovens krav om 5 års opbevaring). Databehandleren bekræfter skriftligt, at sletning er gennemført.

12. Lovvalg og værneting

Denne DPA er underlagt dansk ret. Tvister afgøres ved Retten i Aarhus som første instans.

13. Kontakt

Spørgsmål vedrørende denne databehandleraftale rettes til:

Sidst opdateret: 12. marts 2026