Databehandleraftale (DPA)

1. Parter og roller

Denne DPA indgås mellem:

Kunden (dataansvarlig)

og

Signly (databehandler)

Signly behandler personoplysninger udelukkende på vegne af Kunden i forbindelse med levering af Signly-platformen.

2. Behandlingens karakter og formål

2.1 Formål

Behandling sker med henblik på:

• Upload, opbevaring og håndtering af dokumenter
• Elektronisk underskrift
• Logning og dokumentation af underskriftsprocesser
• Teknisk drift og sikkerhed

2.2 Behandlingens karakter

Behandling kan omfatte:

• Indsamling
• Registrering
• Strukturering
• Opbevaring
• Tilpasning
• Overførsel
• Sletning

3. Kategorier af registrerede

Behandlingen kan omfatte følgende kategorier:

• Kundens medarbejdere
• Underskrivere
• Kontraktparter
• Repræsentanter
• Andre personer nævnt i dokumenter

4. Kategorier af personoplysninger

Behandlingen kan omfatte:

• Navn
• E-mail
• Telefonnummer
• Stilling/virksomhed
• IP-adresse
• Underskriftsmetadata
• Dokumentindhold uploadet af Kunden

Signly har ikke kontrol over indholdet af de dokumenter, Kunden uploader.

5. Kundens forpligtelser

Kunden erklærer og garanterer, at:

• Kunden har lovligt behandlingsgrundlag
• Kunden opfylder oplysningspligten
• Behandlingen er lovlig
• Instrukser til Signly er i overensstemmelse med GDPR
• Kunden er eneansvarlig for dokumentindhold.

6. Signlys forpligtelser

Signly forpligter sig til at:

• Behandle personoplysninger alene efter dokumenteret instruks
• Sikre fortrolighed
• Implementere passende tekniske og organisatoriske foranstaltninger
• Bistå Kunden ved anmodninger fra registrerede
• Underrette Kunden ved brud på persondatasikkerheden uden unødig forsinkelse

7. Tekniske og organisatoriske sikkerhedsforanstaltninger

Signly har implementeret:

• Kryptering i transit (TLS)
• Krypteret hostinginfrastruktur
• Adgangsbegrænsning
• Rollebaseret adgang
• Logning
• Backup og redundans
• Sikkerhedsovervågning

8. Underdatabehandlere

Kunden giver generel forhåndsgodkendelse til, at Signly kan anvende underdatabehandlere.

Signly anvender blandt andet:

• Cloud hosting (fx AWS / Laravel Cloud)
• CDN og sikkerhed (fx Cloudflare)
• AI-tjenester (fx OpenAI)
• Dokumentbehandling (fx Aspose)
• E-mail og infrastrukturleverandører

Signly sikrer, at underdatabehandlere er bundet af tilsvarende databeskyttelsesforpligtelser.

En opdateret liste kan udleveres på anmodning.

9. Tredjelandsoverførsler

Hvis personoplysninger overføres uden for EU/EØS, sikrer Signly et tilstrækkeligt beskyttelsesniveau via:

• EU-Kommissionens standardkontraktbestemmelser (SCC)
• EU-US Data Privacy Framework (hvis relevant)
• Supplerende sikkerhedsforanstaltninger

10. Sikkerhedsbrud

Ved brud på persondatasikkerheden:

• Underretter Signly Kunden uden unødig forsinkelse
• Giver relevante oplysninger til vurdering af risiko
• Bistår med dokumentation

11. Bistand til Kunden

Signly bistår i rimeligt omfang Kunden med:

• Indsigtsanmodninger
• Sletning
• Dataportabilitet
• Konsekvensanalyser (DPIA)
• Dialog med tilsynsmyndigheder

Bistand kan faktureres efter medgået tid.

12. Ophør og sletning

Ved ophør af aftalen:

• Sletter eller returnerer Signly personoplysninger efter Kundens valg
• Kan opbevare backup i en begrænset periode
• Bevarer data hvis krævet ved lov

13. Revision og audit

Kunden kan anmode om dokumentation for sikkerhedsforanstaltninger.

Eventuel audit:

• Skal varsles rimeligt
• Må ikke forstyrre driften
• Gennemføres på Kundens regning

14. Ansvarsbegrænsning

Signlys ansvar i henhold til denne DPA er underlagt ansvarsbegrænsningen i vilkår og betingelser.

Signly er ikke ansvarlig for:

• Ulovlige instrukser
• Dokumentindhold
• Kundens manglende overholdelse af GDPR

15. Varighed

Denne DPA gælder så længe Signly behandler personoplysninger på vegne af Kunden.