Databehandleraftale

Version 2026-07-07

Denne databehandleraftale ("Aftalen") er indgået mellem den virksomhed, der bruger Klardo ("den Dataansvarlige"), og AT Systems, CVR 43603701, Ballerupvej 52B, 3500 Værløse("Databehandleren"). Aftalen opfylder kravene i GDPR artikel 28 og er en del af aftalegrundlaget sammen med handelsbetingelserne.

Aftalen accepteres digitalt af en administrator på vegne af den Dataansvarlige, når kontoen tages i brug. Accepten registreres med version, tidspunkt og hvem der accepterede.

1. Baggrund og formål

Den Dataansvarlige bruger Klardo til at håndtere ordrer, tilbud, tidsregistrering, materialer og fakturaer. I den forbindelse taster den Dataansvarlige personoplysninger ind om fx sine kunder og medarbejdere. Databehandleren behandler kun disse oplysninger for at levere tjenesten.

2. Behandlingens karakter og varighed

Behandlingen består i opbevaring, visning, organisering og dokumentgenerering (fx tilbud og fakturaer som PDF) i Klardos system. Behandlingen varer, så længe den Dataansvarlige har en konto, og afsluttes med sletning efter punkt 11.

3. Kategorier af registrerede og oplysninger

  • Registrerede: den Dataansvarliges kunder og disses kontaktpersoner samt den Dataansvarliges medarbejdere og brugere af systemet.
  • Oplysninger om kunder: navn, adresse, telefonnummer, e-mail samt indholdet af ordrer, tilbud og fakturaer.
  • Oplysninger om medarbejdere: navn, e-mail, rolle, timesats og registrerede arbejdstimer.
  • Fotos: billeder fra sager, som den Dataansvarlige selv uploader. Instruksen er, at fotos dokumenterer arbejdet og ikke bør indeholde identificerbare personer.

Systemet er ikke beregnet til følsomme personoplysninger (GDPR artikel 9) eller oplysninger om børn, og den Dataansvarlige må ikke indtaste den slags.

4. Instruks

Databehandleren behandler kun personoplysninger efter dokumenteret instruks fra den Dataansvarlige. Instruksen er: at levere Klardos funktioner som beskrevet i handelsbetingelserne. Databehandleren underretter den Dataansvarlige, hvis en instruks efter Databehandlerens opfattelse strider mod GDPR.

5. Fortrolighed

Personer, der er autoriseret til at behandle oplysningerne hos Databehandleren, er underlagt fortrolighed. Adgangen er begrænset til, hvad der er nødvendigt for drift og support.

6. Behandlingssikkerhed

Databehandleren har truffet passende tekniske og organisatoriske foranstaltninger (GDPR artikel 32), herunder:

  • Al adgang kræver login; der er ingen anonym adgang til data.
  • Hver virksomheds data er logisk adskilt, og adgangsregler håndhæves på databaseniveau, så en virksomhed aldrig kan se en anden virksomheds data.
  • Roller pr. bruger begrænser, hvad den enkelte medarbejder kan se og ændre (fx har markarbejdere ikke adgang til økonomidata).
  • Data krypteres under transport (TLS) og i hvile hos Google.
  • Der tages dagligt backup med 7 dages opbevaring, og databasen kan gendannes til et tidspunkt inden for de seneste 7 dage (point-in-time recovery).

7. Underdatabehandlere

Den Dataansvarlige giver en generel godkendelse til, at Databehandleren bruger underdatabehandlere. Ved planlagte ændringer (tilføjelse eller udskiftning) varsles den Dataansvarlige mindst 30 dage før i appen eller pr. e-mail, så der kan gøres indsigelse. Databehandleren pålægger underdatabehandlere de samme databeskyttelsesforpligtelser som i denne Aftale og hæfter for deres behandling.

Godkendte underdatabehandlere ved denne versions ikrafttræden:

UnderdatabehandlerYdelseSted og overførselsgrundlag
Google Ireland Limited (Firebase)Database, login og fillagringDatabase og backup i EU (region eur3). EU-standardkontraktbestemmelser og EU-U.S. Data Privacy Framework.
Vercel Inc.Hosting af web-appenUSA/EU (tekniske driftsdata som IP-adresser). EU-standardkontraktbestemmelser og EU-U.S. Data Privacy Framework.

8. Overførsler til tredjelande

Behandling sker som udgangspunkt i EU. Sker der overførsel til et tredjeland (fx USA via en underdatabehandler), sker det kun på et gyldigt overførselsgrundlag, fx EU-standardkontraktbestemmelser eller EU-U.S. Data Privacy Framework.

9. Bistand til den Dataansvarlige

Databehandleren bistår, i det omfang det er muligt og rimeligt, den Dataansvarlige med at opfylde sine forpligtelser efter GDPR artikel 32-36 og med at besvare anmodninger fra registrerede (indsigt, rettelse, sletning, dataportabilitet med videre). Meget kan den Dataansvarlige selv: oplysninger kan rettes og slettes direkte i systemet.

10. Brud på persondatasikkerheden

Databehandleren underretter den Dataansvarlige uden unødig forsinkelse efter at være blevet bekendt med et brud på persondatasikkerheden, med de oplysninger der er nødvendige for, at den Dataansvarlige kan opfylde sin anmeldelsespligt over for Datatilsynet og de registrerede.

11. Sletning og tilbagelevering

Ved kontoens ophør kan den Dataansvarlige inden for 30 dage få sine data udleveret i et almindeligt maskinlæsbart format. Herefter sletter Databehandleren alle personoplysninger senest 90 dage efter ophør, medmindre lovgivning kræver fortsat opbevaring. Backup ruller automatisk ud efter 7 dage.

12. Dokumentation og tilsyn

Databehandleren stiller på anmodning den dokumentation til rådighed, der er nødvendig for at påvise, at Aftalen overholdes, og muliggør og bidrager til revisioner. Tilsyn sker som udgangspunkt ved skriftlig dokumentation én gang årligt; fysisk revision kræver rimeligt varsel og sker for den Dataansvarliges regning.

13. Varighed og rangorden

Aftalen gælder, så længe Databehandleren behandler personoplysninger for den Dataansvarlige. Ved modstrid mellem denne Aftale og handelsbetingelserne går denne Aftale forud for så vidt angår behandling af personoplysninger.

14. Kontakt

Spørgsmål om denne Aftale sendes til kontakt@klardo.dk eller på telefon 42 41 61 00.