Tedee App Privatlivspolitik

af 25.01.2024

Indholdsfortegnelse

§ 1 Definitioner

§ 2 Generelle oplysninger

§ 3 Hvilke typer personoplysninger vi indsamler

§ 4 Hvorfor vi indsamler personoplysninger

§ 5 Hvor længe vi opbevarer personoplysninger

§ 6 Hvilke rettigheder brugerne har

§ 7 Overfører vi personoplysninger til tredjelande

§ 8 Videregiver vi personoplysninger til tredjeparter

§ 9 Databehandleraftale

§ 10 Ansvar og ophavsret

§ 11 Ændring af politik

§ 1 Definitioner

1)Personoplysningerenhver oplysning om en identificeret eller identificerbar fysisk person (kaldet “den registrerede”). En fysisk person anses for identificerbar, hvis vedkommende kan genkendes direkte eller indirekte, navnlig ved hjælp af en identifikator såsom et navn. I enkle vendinger er personoplysninger enhver oplysning, der kan knyttes til en enkeltperson;
2)Dataansvarligen fysisk eller juridisk person, offentlig myndighed, institution eller andet organ, der alene eller sammen med andre fastlægger formålene med og hjælpemidlerne til behandlingen af personoplysninger, når Brugeren tilgår Tedee App;
3)Bruger / Duenhver fysisk eller juridisk person, der tilgår Tedee App til henholdsvis personlige eller forretningsmæssige formål, herunder enhedsejere, administratorer og brugere, der er inviteret til at få adgang til Tedee-enheder;
4)Tedee Appmobilapplikationen “Tedee App” tilgængelig på iOS og AndroidOS;
5)GDPREuropa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (den generelle forordning om databeskyttelse);
6)Databehandleren fysisk eller juridisk person, offentlig myndighed, institution eller andet organ, der behandler personoplysninger tilhørende tredjeparter på vegne af den dataansvarlige;
7)          Privatlivspolitiknærværende privatlivspolitik;

§ 2 Generelle oplysninger

Tedee lægger særlig vægt på at beskytte fortroligheden og privatlivets fred for de oplysninger, som Brugerne betror os. Et af vores centrale ansvar er at sikre et passende sikkerhedsniveau og korrekt brug af Brugernes personoplysninger, der indsamles via vores applikation.

Den dataansvarlige for dine personoplysninger er:

TEDEE Spółka z ograniczoną odpowiedzialnością, registreret i Entrepreneurs Register i National Court Register, der administreres af distriktsdomstolen for Warszawas by, 12. handelsafdeling i National Court Register under KRS-nummer: 0000712451, NIP: 7010795542, REGON: 369188621, med hjemsted i Warszawa, 02-127, Karola Bohdanowicza 21/57, e-mailadresse: [email protected]

Den dataansvarlige oplyser, at den varetager opgaverne som dataansvarlig selvstændigt og ikke har udpeget en databeskyttelsesrådgiver i denne forbindelse, jf. artikel 37 i GDPR.

Tedee behandler Brugernes personoplysninger til forskellige formål, og afhængigt af det konkrete formål kan der derfor gælde forskellige indsamlingsmetoder, retsgrundlag for behandling, anvendelse, videregivelse og opbevaringsperioder. Vi indsamler kun personoplysninger, som Brugerne frivilligt afgiver til os, og som er nødvendige for at modtage information eller benytte vores tjenester.

I denne privatlivspolitik beskriver vi, hvordan vi indsamler og anvender Brugernes personoplysninger, samt dine rettigheder og din mulighed for at udøve kontrol over de oplysninger, vi opbevarer. Alle termer med stort begyndelsesbogstav i denne privatlivspolitik har den betydning, der er tillagt dem i § 1 Definitioner.

Hvis du har spørgsmål til, hvordan Tedee behandler dine personoplysninger, opfordrer vi dig til at kontakte os på: [email protected]

§ 3 Hvilke typer personoplysninger vi indsamler


Tedee indsamler følgende typer personoplysninger om Brugeren:

  • e-mailadresse;
  • GPS-placering for Brugeren og Brugerens slutenhed;
  • Brugerens IP-adresse, dato og tidspunkt for adgang, operativsystem, sprog, land;
  • bruger-ID;
  • telemetriske data fra Brugerens enhed;
  • aktivitetslogge, herunder historiske data om låsning og oplåsning af enheden, tilknyttet dit bruger-ID.

(samlet: “Personoplysninger”).

Det er helt frivilligt at afgive personoplysninger til den dataansvarlige, men afgivelse af sande og fuldstændige oplysninger kan være nødvendig for at levere en bestemt tjeneste eller opnå et specifikt formål for Tedee eller Brugeren. For eksempel i forbindelse med:

  1. oprettelse af en brugerkonto i Tedee App – det er nødvendigt at afgive følgende oplysninger til den dataansvarlige: (i) Brugerens brugernavn (ID) og (ii) e-mailadresse for at kunne levere tjenesten med brugerkonto i Tedee App;
  2. begyndelse af brugen af Tedee Apps funktioner – det er nødvendigt at afgive følgende oplysninger til den dataansvarlige: (i) GPS-placering for Brugeren og slutenheden, (ii) bruger-ID, (iii) telemetriske data fra enheden, (iv) sprog samt (v) land for at give Brugeren mulighed for at benytte disse funktioner;
  3. integration af Brugerens enhed med en tredjeparts smart home-integrator (f.eks. Amazon Alexa, Google Home) – det er nødvendigt at afgive følgende oplysninger til den dataansvarlige: (i) Brugerens brugernavn (ID) og (ii) e-mailadresse for at lette integrationen;
  4. overvågning af Tedee Apps korrekte funktion og fejlfinding – det er nødvendigt at afgive følgende oplysninger til den dataansvarlige: (i) Brugerens IP-adresse, (ii) dato og tidspunkt for adgang, (iii) operativsystem samt (iv) e-mailadresse for at muliggøre overvågning, fejlfinding og orientering af Brugeren om eventuelle problemer og vigtige forhold vedrørende Tedee App.

(samlet: “Tjenester“)

Tedee behandler kun de personoplysninger, som Brugeren selv afgiver til os, med undtagelse af overvågnings- og fejlfindingsdata, der indsamles automatisk for at sikre den kontinuerlige drift af Tedee App.

§ 4 Hvorfor vi indsamler personoplysninger

Tedee indsamler dine personoplysninger til følgende formål:

  1. oprettelse af en brugerkonto i Tedee App
    • opfyldelse af kontraktmæssige forpligtelser, dvs. indgåelse og opfyldelse af Tedees forpligtelser i henhold til en aftale om levering af brugerkontotjenesten i Tedee App – på grundlag af artikel 6, stk. 1, litra b), i GDPR og artikel 6, stk. 1, litra a), i GDPR;
  2. begyndelse af brugen af Tedee Apps funktioner
    • opfyldelse af kontraktmæssige forpligtelser, dvs. indgåelse og opfyldelse af Tedees forpligtelser i henhold til en aftale om levering af Tedee Apps funktioner – på grundlag af artikel 6, stk. 1, litra b), i GDPR og artikel 6, stk. 1, litra a), i GDPR;
  3. integration af Brugerens enhed med en tredjeparts smart home-integrator (f.eks. Amazon Alexa, Google Home)
    • at lette Brugerens brug af tredjeparts integration via Tedee App – på grundlag af artikel 6, stk. 1, litra a), i GDPR;
  4. overvågning af Tedee Apps korrekte funktion og fejlfinding
    • muliggøre løbende forbedring af Tedee App og den generelle servicekvalitet samt ydeevneovervågning og optimering af dataanvendelse – på grundlag af artikel 6, stk. 1, litra f), i GDPR.
  5. arkivering
    • udarbejdelse af registre over behandling af personoplysninger som krævet i henhold til GDPR og særlovgivning – på grundlag af artikel 6, stk. 1, litra c), og artikel 6, stk. 1, litra f), i GDPR;
    • arkivering af oplysninger til dokumentationsformål med henblik på at godtgøre relevante kendsgerninger – på grundlag af artikel 6, stk. 1, litra c), i GDPR.

§ 5 Hvor længe vi opbevarer personoplysninger

Tedee indsamler og behandler (anvender) dine personoplysninger fra registreringen af brugerkontoen i Tedee App og fortsætter hermed i hele leveringsperioden for Tjenesterne, og:

  • indtil aftalen om levering af tjenester i henhold til Tedee Apps vilkår og betingelser og denne privatlivspolitik udløber;
  • indtil forældelsesfristen for økonomiske/personlige krav i henhold til relevant lovgivning udløber – for så vidt angår Brugernes oplysninger;
  • indtil forpligtelsen til at opbevare registre som følge af særlovgivning, herunder skattelovgivning, udløber – for så vidt angår Brugernes oplysninger,
    – alt efter hvilken af ovenstående frister der udløber først.

§ 6 Hvilke rettigheder brugerne har

I henhold til bestemmelserne i artikel 15–20 i GDPR har enhver Bruger følgende rettigheder vedrørende sine personoplysninger, der behandles af Tedee:

  1. Ret til indsigt i personoplysninger (artikel 15 i GDPR)
    Den registrerede har ret til at få bekræftelse fra den dataansvarlige om, hvorvidt vedkommendes personoplysninger behandles. Hvis det er tilfældet, har denne person også ret til at få adgang til disse oplysninger.
    Hvis Brugerens personoplysninger overføres til et tredjeland eller en international organisation, har Brugeren ret til at blive informeret om de passende garantier i forbindelse med overførslen.
  2. Ret til berigtigelse af personoplysninger (artikel 16 i GDPR)
    Den registrerede har ret til at anmode den dataansvarlige om straks at berigtige urigtige personoplysninger om vedkommende.
    Derudover har Brugeren også ret til at anmode om supplering af ufuldstændige personoplysninger, herunder ved at afgive en supplerende erklæring.
  3. Ret til sletning (ret til at blive “glemt”) (artikel 17 i GDPR)
    Den registrerede har ret til at anmode den dataansvarlige om at slette vedkommendes oplysninger fra den dataansvarliges database uden unødig forsinkelse.
    Den dataansvarlige kan vælge ikke at slette oplysninger i tilfælde af tilbagetrækning af samtykke fra Brugeren, hvis samtykke ikke var det eneste primære grundlag for behandlingen af vedkommendes oplysninger. Dette er navnlig tilfældet, når behandlingen er nødvendig for at opfylde forpligtelserne i henhold til aftalen mellem Brugeren og den dataansvarlige, eller når behandlingen er nødvendig for at opfylde en retlig forpligtelse, der påhviler den dataansvarlige, til at udføre en opgave i offentlighedens interesse, til statistiske formål eller til at fastslå, gøre gældende eller forsvare retskrav.
  4. Ret til begrænsning af behandlingen af personoplysninger (artikel 18 i GDPR)
    Den registrerede har ret til at anmode den dataansvarlige om at begrænse behandlingen af vedkommendes oplysninger i situationer som:
    • Brugerens anfægtelse af rigtigheden af vedkommendes personoplysninger (i en periode, der giver den dataansvarlige mulighed for at kontrollere rigtigheden heraf);
    • behandling, der er ulovlig, og Brugeren modsætter sig sletning af oplysningerne og i stedet anmoder om begrænsning af behandlingen;
    • en situation, hvor den dataansvarlige ikke længere har brug for personoplysningerne til behandlingsformålene, men de stadig er nødvendige for Brugeren til at fastslå, gøre gældende eller forsvare retskrav;
    • hvor Brugeren har gjort indsigelse mod behandlingen i henhold til artikel 21, stk. 1, i GDPR – indtil det er fastslået, om den dataansvarliges legitime grunde går forud for indsigelsesgrundene fremsat af den registrerede.
  5. Ret til dataportabilitet (artikel 20 i GDPR)
    Den registrerede modtager på anmodning de personoplysninger om vedkommende i et struktureret, almindeligt anvendt og maskinlæsbart format (f.eks. .doc, .docx, .pdf osv.).
    Disse oplysninger er afgivet til den dataansvarlige af Brugeren og behandles af den dataansvarlige. Desuden har Brugeren ret til at anmode om, at disse oplysninger sendes til en anden dataansvarlig. Brugeren har også ret til at overføre disse oplysninger til en anden dataansvarlig uden hindring fra den dataansvarliges side.
  6. Ret til indsigelse (artikel 21 i GDPR)
    Den registrerede har til enhver tid ret til af grunde, der vedrører vedkommendes særlige situation, at gøre indsigelse mod behandling af personoplysninger om vedkommende med henblik på den dataansvarliges eller en tredjeparts legitime interesser, herunder profilering på grundlag af disse bestemmelser.
    Fra det tidspunkt, hvor du indgiver indsigelse, og indtil indsigelsen er afgjort positivt eller negativt, må den dataansvarlige ikke behandle dine personoplysninger, medmindre vedkommende påviser vægtige legitime grunde til behandlingen, der går forud for dine interesser, rettigheder og friheder, eller grunde til fastslåelse, udøvelse eller forsvar af retskrav.

For at udøve en af ovenstående rettigheder bedes du kontakte den dataansvarlige på den fysiske adresse angivet i § 1 i privatlivspolitikken eller på e-mailadressen: [email protected], idet du angiver omfanget af Brugerens anmodning i meddelelsens indhold. Fristen for besvarelse af anmodningen er 30 dage fra datoen for effektiv levering af en korrekt udfyldt anmodning.

Den dataansvarlige vil gerne understrege, at udøvelsen af ovenstående rettigheder ikke er absolut og ikke gælder i samme omfang for alle behandlingsaktiviteter foretaget af den dataansvarlige. Detaljerede oplysninger om ovenstående begrænsninger findes i teksten til GDPR-forordningen.

Ud over muligheden for at håndhæve deres rettigheder direkte over for den dataansvarlige har enhver Bruger ret til at indgive en klage til tilsynsmyndigheden for beskyttelse af personoplysninger, som er Præsidenten for Kontoret for Beskyttelse af Personoplysninger, ul. Stawki 2, 00-193 Warszawa på: [email protected] eller via den elektroniske indbakke (ESP) på: https://uodo.gov.pl/pl/83/153.

§ 7 Overfører vi personoplysninger til tredjelande

Den dataansvarlige oplyser, at Brugerens personoplysninger kan overføres uden for Den Europæiske Union og Det Europæiske Økonomiske Samarbejdsområde til tredjelande, idet alle sikkerhedskrav i henhold til relevant lovgivning, herunder GDPR, overholdes.

Opretholdelsen af ovennævnte standarder skyldes, at personoplysninger kun deles med de enheder (databehandlere), der:

  1. er etableret i et land, for hvilket EU-Kommissionen har udstedt en gennemførelsesafgørelse om et tilstrækkeligt beskyttelsesniveau for personoplysninger (f.eks. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021D0915&locale-en);
  2. har indgået såkaldte standardkontraktbestemmelser (SCC) i deres aftaler med den dataansvarlige, som garanterer det niveau for beskyttelse af personoplysninger, der kræves i henhold til gældende lovgivning;

§ 8 Videregiver vi personoplysninger til tredjeparter

Den dataansvarlige oplyser, at Brugerens personoplysninger med henblik på korrekt levering af de tjenester, der er omhandlet i privatlivspolitikken og vilkårene for brug, kan gøres tilgængelige for tredjeparter, som den dataansvarlige samarbejder med, idet alle sikkerhedskrav i henhold til relevant lovgivning, herunder GDPR, overholdes.

Brugeroplysninger kan gøres tilgængelige for følgende enheder:

  1. Forretningspartnere inden for smart home-integration (f.eks. Amazon Alexa, Google Home, Fibaro, Homey, Krossbooking) – i det tilfælde, at Brugeren beslutter sig for at integrere sine enheder med en tredjeparts integrator via Tedee App, kan Brugeren bemyndige Tedee til at dele vedkommendes personoplysninger med en sådan integrator;
  2. Offentlige myndigheder (f.eks. retshåndhævende myndigheder, Præsidenten for UOKiK) – i tilfælde af en anmodning fra en autoriseret myndighed om at afgive Brugerens personoplysninger for at opfylde en retlig forpligtelse;
  3. Leverandører af supplerende tjenester (f.eks. juridiske, regnskabsmæssige, IT-tjenesteudbydere) – i det omfang disse enheder leverer juridisk/HR/IT-støttetjenester til den dataansvarlige, med krav om minimering af de personoplysninger, der deles med disse enheder;
  4. Enhedsejere og -administratorer – hvis du bruger Tedee App på baggrund af en invitation til en bestemt enhed, deles dine aktivitetslogge relateret til denne enhed (tidspunkt og adgangsmetode) automatisk med ejeren og administratorerne af denne enhed for at sikre sikkerhed og adgangskontrol.

VIGTIGT: Tredjeparts smart home-integrationspartneres brug af Brugerens personoplysninger sker ved deling af personoplysninger på grundlag af Brugerens udtrykkelige samtykke. Da en sådan integration ikke udgør en overdragelse i henhold til artikel 28 i GDPR, er de specifikke vilkår og betingelser for behandling af Brugerens personoplysninger tilgængelige via den respektive privatlivspolitikdokumentation, som sådanne tredjeparts integratorer stiller til rådighed. Det anbefales altid omhyggeligt at gennemgå disse dokumenter, inden der gives samtykke til deling af brugers personoplysninger.

§ 9 Databehandleraftale

I det tilfælde, at du (Brugeren) agerer som dataansvarlig for tredjeparters personoplysninger, og sådanne personoplysninger ved registreringen og opsætningen af brugerkontoen i Tedee App skal behandles, overføres, videregives eller på anden måde gøres tilgængelige for den dataansvarlige via enhver brug af Tedee App, indgår du og Tedee ved at acceptere denne privatlivspolitik – uden yderligere handling i denne henseende – en databehandleraftale som defineret i artikel 28 i GDPR (DPA), hvori du agerer som dataansvarlig for de betroede personoplysninger, og Tedee agerer som databehandler for de således modtagne personoplysninger, hvis indhold er vedlagt som Bilag nr. 1 til denne privatlivspolitik.

Alle termer med stort begyndelsesbogstav i databehandleraftalen har samme betydning som defineret til formålene med denne privatlivspolitik.

§ 10 Ansvar og ophavsret

Den dataansvarlige oplyser, at alt indhold i denne privatlivspolitik er den dataansvarliges eksklusive ejendom og er beskyttet af ophavsret som defineret i loven om beskyttelse af ophavsret og beslægtede rettigheder.

Ethvert forsøg på at kopiere indholdet af privatlivspolitikken uden den dataansvarliges udtrykkelige skriftlige samtykke udgør en ulovlig krænkelse af ophavsretten og er underlagt de retlige sanktioner, der er fastsat i de relevante bestemmelser i den almindeligt gældende lovgivning.

§ 11 Ændring af politik

Denne privatlivspolitik er gældende fra den 25. januar 2024.

Tedee forbeholder sig ret til fra tid til anden at ændre denne politik i forbindelse med den løbende udvikling af Tedee App, hvilken ændring vil være bindende for dig ved din accept af den nyligt offentliggjorte version heraf, som vises i Tedee App.

Arkiverede versioner af privatlivspolitikken:

  1. Tedees privatlivspolitik af 25. januar 2025
  2. Tedees privatlivspolitik af 2. juni 2023;

Bilag nr. 1

DATABEHANDLERAFTALE (DPA)
indgået i Warszawa, Polen


mellem:
Brugeren,
herefter benævnt den dataansvarlige
og
Tedee,
herefter benævnt databehandleren,
herefter samlet benævnt Parterne og hver enkelt Part.

§ 1 Aftalens genstand

  1. I forbindelse med indgåelsen af aftalen om levering af Tjenesterne overlader den dataansvarlige til databehandleren at behandle de personoplysninger, der er angivet i aftalens § 3 (Personoplysninger) (behandlingsordre).
  2. Databehandleren vil behandle de personoplysninger, som den dataansvarlige har betroet vedkommende, udelukkende med henblik på at levere Tjenesterne.
  3. Databehandleren er berettiget til at foretage ikke-automatiserede behandlingsoperationer på personoplysninger, såsom: indsamling, registrering, organisering, strukturering, lagring, ændring, søgning, visning, brug, videregivelse ved transmission, formidling eller anden form for tilgængeliggørelse, begrænsning, sletning eller tilintetgørelse – men kun i det omfang det er nødvendigt for at opfylde denne aftale.
  4. Parterne er enige om, at databehandleren ikke vil behandle de betroede oplysninger på automatiseret vis i den forstand, der er omhandlet i artikel 22 i GDPR, herunder ved brug af profilering.

§ 2 Den dataansvarliges erklæringer

  1. Den dataansvarlige erklærer hermed, at vedkommende inden for rammerne af denne aftale:
    • agerer som dataansvarlig for personoplysninger i henhold til GDPR-forordningen;
    • behandler personoplysninger på fuldt lovlig vis;
    • personoplysningerne er indhentet på lovlig vis til legitime formål;
    • overholder de retlige krav, som den dataansvarlige er underlagt;
    • overlader behandlingen af personoplysninger på en måde, der ikke krænker nogen kontraktbestemmelser eller tredjeparters rettigheder;
    • er eneansvarlig for at opfylde oplysningspligten over for de pågældende personer i henhold til artikel 13 i GDPR, herunder at informere dem om, at deres adgang logges, og hvem der har adgang til disse logge.
  2. Den dataansvarlige forpligter sig til at samarbejde med databehandleren om udførelsen af aftalen, herunder at forsyne databehandleren med alle de oplysninger, der er nødvendige for aftalens opfyldelse.
  3. Den dataansvarlige forpligter sig til skriftligt at dokumentere eventuelle instrukser vedrørende behandling af personoplysninger, der gives til databehandleren.

§ 3 Kategorier af registrerede og typer af personoplysninger

  1. Databehandleren behandler sådanne typer og kategorier af personoplysninger, som betros vedkommende af den dataansvarlige i forbindelse med den dataansvarliges brug af Tjenesterne.

§ 4 Databehandlerens forpligtelser

  1. Databehandleren forpligter sig til at behandle personoplysninger udelukkende til det formål, hvortil de er betroet vedkommende.
  2. Databehandleren behandler personoplysninger kun på den dataansvarliges dokumenterede instrukser, medmindre forpligtelsen til at behandle personoplysninger følger af lovgivningen – i så fald informerer databehandleren den dataansvarlige om denne retlige forpligtelse forud for behandlingens påbegyndelse, medmindre sådan information er forbudt ved lov af hensyn til vigtige samfundsinteresser.
  3. Databehandleren er forpligtet til straks at informere den dataansvarlige, hvis vedkommende mener, at den dataansvarliges instruks er i strid med lovgivningen.
  4. Databehandleren erklærer, at vedkommende har implementeret passende tekniske og organisatoriske foranstaltninger for at sikre behandlingens sikkerhed, så der opnås et sikkerhedsniveau, der er afpasset efter risikoen for krænkelse af fysiske personers rettigheder eller friheder. De tekniske og organisatoriske foranstaltninger, som databehandleren anvender, er beskrevet i aftalens § 5.
  5. Databehandleren vil kun autorisere de medarbejdere, for hvem adgang til de betroede oplysninger er nødvendig, og kun i det omfang det er nødvendigt for at behandle personoplysningerne, idet enhver person, der opnår adgang til personoplysningerne under databehandlerens myndighed, forpligter sig til at behandle dem fortroligt.
  6. Databehandleren erklærer, at ovennævnte personale er gjort bekendt med reglerne om beskyttelse af personoplysninger samt ansvaret for at beskytte oplysningerne mod uautoriseret adgang, ændring, tab, offentliggørelse eller erhvervelse.
  7. Databehandleren erklærer, at vedkommende ikke har udpeget en databeskyttelsesrådgiver. For alle spørgsmål vedrørende GDPR og behandling af personoplysninger bedes du kontakte [email protected].
  8. Databehandleren forpligter sig til at samarbejde med den dataansvarlige under hensyntagen til behandlingens karakter om at opfylde forpligtelsen til at besvare den registreredes anmodninger om udøvelse af vedkommendes ret til information, ret til indsigt, ret til berigtigelse, sletning, begrænsning af behandling, dataportabilitet og ret til indsigelse ved hjælp af passende tekniske og organisatoriske midler. I tilfælde af modtagelse af en sådan anmodning meddeler databehandleren straks dette til den dataansvarlige pr. e-mail til: [email protected], men senest tre dage efter modtagelsen af anmodningen.
  9. Databehandleren forpligter sig til at samarbejde med den dataansvarlige om at opfylde forpligtelserne i artikel 32–36 i GDPR, dvs. sikring af oplysninger, anmeldelse af brud på datasikkerheden, underretning af de registrerede om bruddet, gennemførelse af en konsekvensanalyse vedrørende databeskyttelse og forudgående høring af tilsynsmyndigheden vedrørende de betroede oplysninger.
  10. Databehandleren forpligter sig til straks at underrette den dataansvarlige og senest inden for 48 timer om eventuelle konstaterede brud på databeskyttelsen pr. e-mail til [email protected]

§ 5 Tekniske og organisatoriske foranstaltninger

  1. I forbindelse med opfyldelsen af sine forpligtelser i henhold til denne aftale erklærer databehandleren under hensyntagen til behandlingens karakter, omfang, sammenhæng og formål samt risikoen for krænkelse af fysiske personers rettigheder og friheder, idet der tages hensyn til sandsynligheden for og konsekvenserne af en sådan krænkelse, at vedkommende har implementeret følgende tekniske og organisatoriske foranstaltninger i sin organisation i henhold til bestemmelserne i artikel 32 i GDPR:
    • pseudonymisering og kryptering af personoplysninger;
    • tekniske foranstaltninger til at sikre fortrolighed, integritet, tilgængelighed og modstandsdygtighed for personoplysninger, der behandles i systemerne;
    • tekniske foranstaltninger til at sikre, at der kan opnås effektiv adgang til personoplysninger i tilfælde af en teknisk eller fysisk sikkerhedshændelse;
    • cyklisk afprøvning, analyse og evaluering af de anvendte tekniske og organisatoriske foranstaltninger.
  2. Databehandleren erklærer overholdelse af mindst minimumskravene til databeskyttelse, herunder:
    • organisatoriske foranstaltninger:
      • implementering af dokumentation, der fastlægger grundlaget for beskyttelse af personoplysninger i databehandlerens virksomhed;
      • gennemførelse af introduktions- og efteruddannelseskurser om beskyttelse af behandling af personoplysninger blandt databehandlerens medarbejdere;
      • anvendelse af fysisk adgangskontrol til databehandlerens lokaler;
    • tekniske foranstaltninger:
      • identifikation af sikre lokaler, hvor data kan behandles;
      • implementering af passende sikkerhedsforanstaltninger, f.eks. adgangskontrol, låsning af adgang til udstyr;
    • adgangskontrolsikkerhedsforanstaltninger:
      • hver medarbejder hos databehandleren har en separat, unik adgangskode til computeren og IT-systemet, hvor personoplysningerne behandles;
      • implementering af en politik for stærke, cyklisk ændrede adgangskoder;
      • implementering af kryptering af personoplysninger, der behandles på virksomhedens mobile enheder;
      • fjernadgang til personoplysninger administreres og overvåges centralt.
    • operationelle sikkerhedsforanstaltninger:
      • de applikationer og IT-systemer, som databehandleren anvender til behandling af personoplysninger, opdateres, verificeres og testes regelmæssigt for sårbarhed over for cyberangreb og beskyttes med antivirussoftware;
      • implementering af foranstaltninger til beskyttelse mod uautoriseret adgang til systemer og virksomhedsnetværket ved hjælp af en firewall;
      • implementering af systemer til overvågning af netværkstrafik, anomalidetektering og hurtig respons.
  3. Databehandleren erklærer, at vedkommende fører et register over kategorier af behandlede personoplysninger, der dækker de betroede personoplysninger, i overensstemmelse med artikel 30, stk. 2, i GDPR, medmindre vedkommende er fritaget for denne forpligtelse i henhold til artikel 30, stk. 5, i GDPR.


§ 6 Revision

  1. På den dataansvarliges anmodning stiller databehandleren alle oplysninger til rådighed, der er nødvendige for at foretage eller påvise overholdelse af vedkommendes forpligtelser i henhold til GDPR.
  2. Den dataansvarlige forbeholder sig ret til at inspicere aftalens opfyldelse mindst hvert 12. måned og altid i tilfælde af et brud på databeskyttelsen fra databehandlerens side.
  3. Databehandleren er forpligtet til behørigt at samarbejde med den dataansvarlige med hensyn til kontrolaktiviteter. Databehandleren forpligter sig navnlig til:
    • at stille dokumentation for behandlingen af personoplysninger til rådighed for den dataansvarlige;
    • at give den dataansvarlige adgang til de lokaler, hvor personoplysningerne behandles;
    • at give den dataansvarlige mulighed for at tage kopier af dokumenter vedrørende behandlingen af personoplysninger.
  4. Revisionen gennemføres efter at databehandleren er blevet underrettet om revisionsdatoen. Revisionen gennemføres i databehandlerens arbejdstid.
  5. Databehandleren forpligter sig til at afhjælpe de mangler, der konstateres under inspektionen, og til at implementere den dataansvarliges anbefalinger inden for højst 30 dage. Databehandleren informerer straks den dataansvarlige om de foranstaltninger, der er truffet i denne forbindelse.
  6. Den dataansvarlige forbeholder sig ret til at benytte tredjeparter til at gennemføre revisioner (revisorer) samt til selv at gennemføre sådanne revisioner.

§ 7 Underdatabehandling

  1. Databehandleren kan overdrage visse personoplysningsoperationer til videre behandling i henhold til en aftale med en anden databehandler (underdatabehandling).
  2. Databehandleren forpligter sig til at sikre, at den enhed, der er betroet videre behandling af personoplysninger, mindst opfylder de samme garantier og krav til beskyttelse af personoplysninger som dem, der er pålagt databehandleren i henhold til aftalen. Dette krav vedrører navnlig forpligtelsen til at give tilstrækkelige garantier for implementering af passende tekniske og organisatoriske foranstaltninger, så behandlingen opfylder kravene i GDPR.
  3. Databehandleren er forpligtet til straks at informere den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af andre databehandlere. Den dataansvarlige har ret til at gøre indsigelse mod databehandlerens planlagte ændringer.
  4. Databehandleren kan ikke overdrage udførelsen af aftalen i sin helhed til en anden databehandler.
  5. Databehandleren er fuldt ansvarlig over for den dataansvarlige for underdatabehandlerens manglende opfyldelse af vedkommendes forpligtelser i henhold til denne aftale.

§ 8 Behandlingssted

  1. Databehandleren erklærer, at der i forbindelse med opfyldelsen af denne aftale ikke vil ske overførsel af oplysninger til et tredjeland i henhold til GDPR, hverken som følge af databehandlerens eller underdatabehandleres handling/undladelse, medmindre dette kræves af retlige forpligtelser, der pålægges databehandleren af relevant lovgivning.
  2. Hvis databehandleren agter at overføre personoplysninger omfattet af denne aftale til et tredjeland, informerer databehandleren den dataansvarlige herom skriftligt og giver den dataansvarlige mulighed for at deltage i processen med at sikre overholdelsen af en sådan overførsel eller opsigelse af denne aftale.

§ 9 Varighed

  1. Aftalen er indgået for en ubestemt periode og er bindende, indtil aftalen om levering af Tjenesterne ophæves, eller den tilknyttede brugerkonto i Tedee App udløber eller slettes.
  2. Ved aftalens ophør returnerer eller sletter databehandleren, afhængigt af den dataansvarliges anmodning, de betroede oplysninger til den dataansvarlige og sletter eventuelle eksisterende kopier heraf, medmindre EU-retten eller medlemsstaternes lovgivning kræver opbevaring af personoplysninger. Manglende fremsendelse af en sådan beslutning ved aftalens ophør medfører automatisk sletning af alle personoplysninger, der er betroet databehandleren.


§ 10 Afsluttende bestemmelser

  1. Aftalen er udarbejdet elektronisk i dokumentarisk form.
  2. Eventuelle ændringer og tilføjelser til bestemmelserne i denne aftale skal foretages i dokumentarisk form under straf af ugyldighed.
  3. Databehandleren er ikke berettiget til særskilt vederlag for opfyldelsen af vedkommendes kontraktmæssige forpligtelser.
  4. For spørgsmål, der ikke er reguleret af denne aftale, finder bestemmelserne i den polske civillovbog, GDPR samt bestemmelserne i anden lovgivning om beskyttelse af personoplysninger anvendelse.
  5. Eventuelle tvister, der måtte opstå i forbindelse med indgåelsen eller opfyldelsen af aftalen, afgøres af den domstol, der har jurisdiktion over den dataansvarliges hjemsted.