Denne databehandleraftale ("DPA") indgås mellem:
Dataansvarlig: Den virksomhed eller organisation der indgår aftale om brug af Hours-platformen ("Kunden").
Databehandler: Hours, CVR: 34 97 22 81, Pilestræde 1, 1112 København K, Danmark, e-mail: privacy@hours.dk ("Hours").
Aftalen regulerer behandlingen af personoplysninger som Hours foretager på vegne af Kunden i forbindelse med Hours-platformen.
Formål: Hours behandler personoplysninger udelukkende med henblik på at levere de tjenester, der er aftalt i brugeraftalen, herunder kontraktstyring, fakturahåndtering, leverandørindsigt og AI-assisteret analyse.
Varighed: Aftalen løber så længe Kunden har et aktivt abonnement på Hours. Aftalen bortfalder automatisk ved abonnementets ophør, med forbehold for de forpligtelser der gælder ved ophør (§ 9).
| Element | Beskrivelse |
|---|---|
| Behandlingens karakter | Lagring, analyse, strukturering og præsentation af dokumenter og økonomiske data |
| Behandlingens formål | Kontraktstyring, udgiftsanalyse, leverandøroversigt, fakturahåndtering og AI-assisteret rådgivning |
| Type af personoplysninger | Navn, e-mailadresse, virksomhedsoplysninger, kontraktdata, fakturaoplysninger, betalingsdata, IP-adresser (logdata) |
| Kategorier af registrerede | Kundens medarbejdere, leverandørers kontaktpersoner, fakturadataskillings modtagere |
| Særlige kategorier | Ingen. Hours behandler ikke følsomme personoplysninger jf. GDPR Art. 9 |
Hours behandler udelukkende personoplysninger efter dokumenteret instruks fra Kunden, medmindre anden behandling er påkrævet i henhold til EU-ret eller dansk ret.
Hours sikrer at de personer der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en lovbestemt tavshedspligt.
Hours bistår Kunden i det omfang det er muligt, med opfyldelse af Kundens forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder.
Hours har implementeret følgende tekniske og organisatoriske foranstaltninger (jf. GDPR Art. 32):
Hours anvender følgende underdatabehandlere. Kunden giver generel tilladelse til brug af underdatabehandlere med forbehold for Hours' forpligtelse til at give forudgående meddelelse om væsentlige ændringer:
| Underdatabehandler | Land | Formål | Lovgrundlag for overførsel |
|---|---|---|---|
| Supabase, Inc. | EU (Frankfurt) | Databasehosting og autentifikation | EU-server (ingen overførsel til tredjelande) |
| Cloudflare, Inc. | USA/EU | CDN, DDoS-beskyttelse, DNS | SCCs (EU-US DPF) |
| Google LLC | USA/EU | Analytics (opt-in), Gmail OAuth | SCCs (EU-US DPF) |
| Anthropic, PBC | USA | AI-analyse af dokumenter (opt-in) | SCCs |
| Microsoft Corporation | USA/EU | Outlook OAuth (opt-in) | SCCs (EU-US DPF) |
| Hostinger, UAB | EU (Litauen) | VPS-hosting, e-mail (SMTP) | EU-server |
SCCs = EU-standardkontraktbestemmelser jf. Kommissionens gennemførelsesafgørelse 2021/914. EU-US DPF = EU-US Data Privacy Framework (anerkendt af Kommissionen, juli 2023).
Hours bistår Kunden med at opfylde forpligtelserne over for registrerede, herunder:
Anmodninger fra registrerede om udøvelse af ovenstående rettigheder videresendes til Kunden inden 48 timer, medmindre lovgivningen kræver at Hours besvarer direkte.
Hours underretter Kunden om brud på persondatasikkerheden uden unødig forsinkelse og senest inden for 72 timer efter at Hours er blevet opmærksom på bruddet (jf. GDPR Art. 33).
Underretningen vil som minimum indeholde:
Sikkerhedshenvendelser: security@hours.dk
Ved aftalens ophør sletter Hours alle personoplysninger behandlet på Kundens vegne inden for 90 dage, medmindre EU-ret eller dansk ret kræver opbevaring.
Kunden kan inden 30 dage efter abonnementets ophør anmode om eksport af data i JSON-format via privacy@hours.dk. Herefter slettes data uigenkaldeligt.
Hours stiller al nødvendig information til rådighed for Kunden for at godtgøre overholdelse af GDPR Art. 28, og muliggør og bidrager til revisioner og inspektioner foretaget af Kunden eller en af Kunden bemyndiget revisor.
Audit-log med alle kritiske handlinger er tilgængeligt for Kunden i admin-panelet med mulighed for CSV-eksport.
Anmodninger om audit rettes til: dpa@hours.dk
Overførsler til tredjelande sker udelukkende på grundlag af:
Kunden accepterer ved indgåelse af brugeraftalen de overførsler til tredjelande der er beskrevet i § 6.
Hours er ansvarlig for skader forårsaget af behandling der strider mod de forpligtelser der specifikt er fastsat for databehandlere i GDPR.
Hours er ikke ansvarlig for skader forårsaget af Kundens instruks, medmindre Hours burde have indset at instruksen var ulovlig.
Erstatning er begrænset til de betalinger Kunden har foretaget til Hours i de 12 måneder forud for den begivenhed der gav anledning til kravet, medmindre skaden skyldes grov uagtsomhed eller forsæt fra Hours' side.
Aftalen ophører automatisk ved abonnementets ophør. Aftalens bestemmelser om fortrolighed, sletning og ansvar overlever ophøret.
Ved ændringer i listen over underdatabehandlere giver Hours Kunden mindst 30 dages forudgående skriftlig varsel, hvorefter Kunden kan gøre indsigelse mod ændringen.
Har du brug for en individuelt underskrevet DPA eller ønsker særlige tillæg til standardvilkårene? Kontakt os på dpa@hours.dk, vi svarer inden for 2 arbejdsdage.