Databehandleraftale
Aftale mellem kunden (dataansvarlig) og Stougaard Plan ApS (databehandler) om behandling af personoplysninger, jf. GDPR art. 28. Følger Datatilsynets standardkontrakt.
§ 1 · Baggrund og formål
Kunden (den dataansvarlige) har indgået aftale med Stougaard Plan ApS (databehandler) om levering af plan- og miljørådgivning. Som led i opgaveløsningen kan databehandler få adgang til personoplysninger som kunden er ansvarlig for.
Denne aftale regulerer databehandlers behandling af personoplysninger på vegne af kunden, jf. databeskyttelsesforordningen (GDPR) art. 28, stk. 3. Aftalen supplerer Stougaard Plans generelle handelsbetingelser og den underliggende samarbejdsaftale.
§ 2 · Beskrivelse af behandlingen
Karakter og formål
Behandling sker som led i rådgivningsopgaven — udarbejdelse af lokalplaner, kommuneplantillæg, miljøvurderinger, screeninger og tilsvarende planfaglige leverancer.
Typer af personoplysninger
- Almindelige oplysninger: navne, adresser, e-mailadresser, telefonnumre, CVR-numre, ejendomsoplysninger (BBR, matrikelnummer)
- Kontaktoplysninger fra høringsparter og naboer i planprocesser
- Ved konkret behov: oplysninger fra grundejerfortegnelser, offentlige registre
Særlige kategorier af personoplysninger (følsomme data jf. GDPR art. 9) behandles som udgangspunkt ikke. Hvis det undtagelsesvis bliver relevant, aftales det specifikt og dokumenteres.
Kategorier af registrerede
- Medarbejdere og kontaktpersoner hos kunden
- Grundejere, naboer og høringsparter i konkrete planområder
- Eksterne samarbejdspartnere og myndighedskontakter
Varighed
Behandlingen løber så længe der er en aktiv opgave, plus op til 5 år efter opgavens afslutning til brug for dokumentation og ansvarsvurdering. Derefter slettes oplysningerne, medmindre lovgivning kræver længere opbevaring.
§ 3 · Instruktion
Databehandler må kun behandle personoplysningerne efter dokumenteret instruktion fra kunden. Aftalen og den underliggende samarbejdsaftale udgør den dokumenterede instruktion.
Databehandler informerer kunden, hvis en instruktion efter databehandlers opfattelse er i strid med GDPR eller anden lovgivning om databeskyttelse.
§ 4 · Fortrolighed
Databehandler sikrer, at personer, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. Adgang til oplysninger er begrænset til personer, der har behov for det for at kunne opfylde aftalen.
§ 5 · Sikkerhed
Databehandler træffer passende tekniske og organisatoriske foranstaltninger jf. GDPR art. 32, herunder:
- Kryptering af data under transport (TLS) og i hvilende tilstand hvor teknisk muligt
- Adgangsbegrænsning via stærke, unikke passwords og to-faktor-godkendelse hvor tilgængeligt
- Logning af adgang til systemer der behandler personoplysninger
- Regelmæssig backup hos godkendte databehandlere (Simply.com, Google Workspace)
- Fysisk sikring af arbejdscomputer (låsekode, diskkryptering)
- Procedurer for opdagelse, rapportering og håndtering af sikkerhedshændelser
§ 6 · Underdatabehandlere
Databehandler anvender følgende underdatabehandlere. Listen opdateres løbende på stougaardplan.dk/dpa:
| Underdatabehandler | Formål | Placering |
|---|---|---|
| Simply.com A/S | Hosting, mail, DNS | Danmark (EU) |
| Google LLC (Workspace) | Mail, dokumenter, kalender | EU/USA (EU-US DPF) |
| Anthropic PBC | AI-assistance (Claude). Data anvendes ikke til modeltræning under API-vilkår. | USA (Standard kontraktbestemmelser) |
| Billy ApS | Økonomisystem, fakturering | Danmark (EU) |
| Notion Labs, Inc. | Projekt- og vidensdatabase (kundenoter, sagshistorik, kontaktoplysninger). Data lagres i EU (AWS Frankfurt). | USA (Standard kontraktbestemmelser) |
| Voyage AI, Inc. | Embeddings til semantisk søgning i rådgivers interne vidensbase | USA (Standard kontraktbestemmelser) |
| Hetzner Online GmbH | Offsite backup-infrastruktur (krypteret restic-repo) | Tyskland (EU) |
| Microsoft Corporation | Videokonferencer (Microsoft Teams) ved kundemøder | EU/USA (EU-US DPF) |
| Apple Inc. | iCloud-fotosynkronisering fra rådgivers telefon — herunder billeder taget i forbindelse med besigtigelser og sagsdokumentation | EU/USA (EU-US DPF) |
| Plausible Insights OÜ | Privatlivsvenlig webtrafik-analyse (ingen cookies, ingen personhenførbare data) | Estland (EU) |
| Stripe Payments Europe Ltd. | Betaling for digitale SaaS-produkter | Irland (EU) |
Databehandler kan antage yderligere underdatabehandlere med forudgående generelt samtykke fra kunden. Ved tilføjelse varsles kunden skriftligt med mindst 30 dages frist. Kunden kan gøre indsigelse mod nye underdatabehandlere af saglige grunde inden varselsperiodens udløb.
Databehandler indgår skriftlig databehandleraftale med alle underdatabehandlere med mindst samme databeskyttelsesniveau som den nærværende aftale.
§ 7 · Overførsel til tredjelande
Overførsel af personoplysninger til lande uden for EU/EØS sker kun på grundlag af:
- En tilstrækkelighedsafgørelse fra Kommissionen, eller
- EU's standardkontraktbestemmelser (SCC), eller
- Andet gyldigt overførselsgrundlag jf. GDPR kap. V
Anthropic og Google er certificeret under EU-US Data Privacy Framework.
§ 8 · Bistand til den dataansvarlige
Databehandler bistår, under hensyntagen til behandlingens karakter og oplysninger til rådighed for databehandler, kunden med:
- At opfylde forpligtelsen til at besvare anmodninger om udøvelse af de registreredes rettigheder (indsigt, berigtigelse, sletning, indsigelse m.v.)
- At sikre overholdelse af forpligtelserne i GDPR art. 32-36 (sikkerhed, anmeldelse og underretning af brud, konsekvensanalyser)
For bistand, der rækker ud over almindelig opgaveløsning, kan databehandler opkræve rimelig betaling efter medgået tid til den aftalte timepris.
§ 9 · Databrud
Databehandler underretter kunden uden unødig forsinkelse efter at have fået kendskab til et brud på persondatasikkerheden. Underretningen indeholder beskrivelse af:
- Bruddets karakter og omfang
- Kontaktoplysninger på databehandler
- Sandsynlige konsekvenser
- Iværksatte eller foreslåede foranstaltninger for at begrænse skaden
§ 10 · Sletning og tilbagelevering
Ved aftalens ophør sletter eller tilbageleverer databehandler, efter kundens valg, alle personoplysninger til kunden og sletter eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring.
Databehandler kan opbevare arbejdsdokumenter, udkast og lignende i op til 5 år efter aftalens ophør i overensstemmelse med rådgivers behov for at kunne dokumentere leverancens faglige grundlag (jf. forældelseslovens regler).
Efter aftalens ophør behandler Stougaard Plan ApS de nævnte arbejdsdokumenter som selvstændig dataansvarlig på grundlag af legitim interesse, jf. databeskyttelsesforordningens art. 6, stk. 1, litra f, idet hensynet til faglig dokumentation og rådgivers mulighed for at imødegå krav inden for forældelseslovens frister vurderes at overstige den registreredes interesser eller grundlæggende rettigheder. De registrerede informeres om denne behandling via Stougaard Plans privatlivspolitik, hvor rettighederne efter art. 21 (indsigelse) er beskrevet.
§ 11 · Audit og dokumentation
Databehandler stiller alle oplysninger, der er nødvendige for at påvise overholdelse af GDPR art. 28, til rådighed for kunden. Databehandler giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af kunden eller en anden revisor, som er bemyndiget af kunden.
Kunden afholder omkostningerne ved revisioner, der rækker ud over en årlig standardrevision, herunder rimelig betaling for databehandlers medgåede tid.
§ 12 · Ikrafttræden og opsigelse
Aftalen træder i kraft ved underskrift og gælder, så længe databehandler behandler personoplysninger på vegne af kunden. Aftalen ophører automatisk ved ophør af den underliggende samarbejdsaftale.
§ 13 · Kontakt
Stougaard Plan ApS (CVR 45908941)
Rabalderstræde 7, 4000 Roskilde
kontakt@stpl.dk · +45 26 82 08 25
Databehandler har ikke udpeget databeskyttelsesrådgiver (DPO), da aktivitetsomfanget ikke udløser krav herom.