Databehandleraftale

Denne Databehandleraftale ("DBA") udgør en del af aftalen mellem dig ("Kunde") og Getia AS ("Databehandler") for brugen af vores tjenester.

• Personoplysninger: Enhver oplysning vedrørende en identificeret eller identificerbar fysisk person
• Behandling: Enhver operation udført på personoplysninger
• Dataansvarlig: Den enhed, der bestemmer formålene med og midlerne til behandlingen
• Databehandler: Den enhed, der behandler personoplysninger på vegne af den dataansvarlige

Databehandleren skal:

• Kun behandle personoplysninger efter dokumenterede instruktioner fra Kunden
• Sikre, at personer der behandler data er underlagt fortrolighedsforpligtelser
• Implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger
• Bistå Kunden med at besvare henvendelser fra registrerede
• Slete eller returnere alle personoplysninger ved ophør af tjenesterne

Kunden godkender, at Databehandleren anvender underdatabehandlere som angivet i Underdatabehandlerliste.

Nogle af vores underdatabehandlere er placeret i USA. For overførsler af personoplysninger til lande uden for Det Europæiske Økonomiske Samarbejdsområde (EØS), der ikke har et tilstrækkeligt beskyttelsesniveau, baserer vi os på følgende juridiske mekanismer:

• Standardkontraktbestemmelser (SCCs): Vi har indgået EU's standardkontraktbestemmelser (gennemførelsesafgørelse (EU) 2021/914) med vores underdatabehandlere for at sikre tilstrækkelig beskyttelse af personoplysninger overført uden for EØS.
• Supplerende foranstaltninger: Ud over SCCs implementerer vi supplerende tekniske og organisatoriske foranstaltninger, herunder kryptering af data under overførsel og i hvile, adgangskontroller og kontraktlige forpligtelser fra underdatabehandlere.
• Databeskyttelsesramme: Hvor det er relevant, deltager vores USA-baserede underdatabehandlere i EU-US databeskyttelsesrammen.

Du kan anmode om en kopi af de gældende SCCs ved at kontakte os på dpo@attorly.ai.

• Kryptering af data under overførsel (TLS 1.2+) og i hvile (AES-256)
• Adgangskontroller og autentificering
• Regelmæssige sikkerhedsvurderinger
• Procedurer for hændelseshåndtering

I tilfælde af brud på persondatasikkerheden skal Databehandleren underrette Kunden inden for 72 timer.

Vi opbevarer personoplysninger kun så længe det er nødvendigt for at opfylde formålene:

• Kontodata: Opbevares i kontoens levetid og sletes inden for 30 dage efter kontolukning
• Dokumenter: Sletes øjeblikkeligt på brugerens anmodning eller inden for 30 dage efter kontosletning
• Analyseresultater: Opbevares i 90 dage efter sletning af det tilknyttede dokument
• Revisionslogge: Opbevares i 2 år til sikkerheds- og overenstemmelsesformål
• Betalingsregistre: Opbevares i 5 år fra udgangen af regnskabsåret som krævet af den norske bogføringslov (bokføringsloven). Logs over prøveperioder og mislykkede betalinger opbevares i op til 12 måneder til svindelforebyggelse

Databeskyttelsesrådgiver: dpo@attorly.ai