Readings
Log indBestil gateway

Persondata

Databehandleraftale

Sidst opdateret:

Skabelon — kræver juridisk gennemgang. Denne tekst er en arbejdsversion baseret på almindelig praksis. Den skal tilrettes M-Bus Gateway ApS' faktiske forhold og gennemgås af en jurist inden go-live.

Denne databehandleraftale ("Aftalen") regulerer Readings.nu ApS's ("Databehandleren") behandling af personoplysninger på vegne af kunden ("Den dataansvarlige"), når kunden bruger forbrugsmålings- og afregningsplatformen på readings.dk. Aftalen indgås i henhold til artikel 28, stk. 3, i databeskyttelsesforordningen (GDPR) og udgør en integreret del af kundens abonnementsaftale.

Sådan indgår du aftalen: Aftalen accepteres automatisk som en del af abonnementet. Ønsker du et særskilt underskrevet eksemplar (f.eks. til revision eller internt arkiv), så skriv til info@readings.nu — vi sender en udgave klar til digital underskrift. Denne side kan printes til PDF (Ctrl/Cmd + P).

1. Parterne

Databehandler: Readings.nu ApS, CVR 43640240, Erritsø Bygade 81, 7000 Fredericia.
Dataansvarlig:Den kunde (udlejer, ejendoms­- administrator, boligforening m.fl.), der opretter en konto og indgår abonnement på platformen.

2. Behandlingens genstand og varighed

Databehandleren behandler personoplysninger med det formål at levere automatisk forbrugsaflæsning, fordelingsregnskab, afregning og tilhørende portaler og rapporter. Behandlingen løber, så længe kunden har en aktiv aftale, og ophører efter bestemmelserne i punkt 10.

3. Kategorier af registrerede og oplysninger

Registrerede: kundens lejere/beboere samt kundens egne brugere af platformen.
Almindelige personoplysninger: navn, adresse/lejemål, e-mail og telefonnummer, lejeperiode, forbrugsdata (varme, vand, el), afregninger, indsigelser samt kontooplysninger for kundens egne brugere.

Der behandles ikke særlige kategorier af personoplysninger (følsomme data) eller CPR-numre som led i den almindelige drift.

4. Den dataansvarliges instruks

Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige. Brug af platformen og denne Aftale udgør den dokumenterede instruks. Databehandleren underretter den dataansvarlige, hvis en instruks efter Databehandlerens vurdering er i strid med gældende databeskyttelseslovgivning.

5. Fortrolighed

Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

6. Sikkerhedsforanstaltninger

Databehandleren træffer passende tekniske og organisatoriske foranstaltninger, jf. GDPR art. 32, herunder:

  • TLS-kryptering af al netværkstrafik og kryptering af målernøgler.
  • Rollebaseret adgangsstyring, multi-tenant-isolation og 2-faktor-login.
  • Append-only revisionsspor (audit-log) på følsomme handlinger.
  • Daglig krypteret backup med adskilt opbevaring.
  • EU-hosting (Tyskland) — ingen overførsel til tredjelande som led i driften.
  • Løbende sikkerhedsopdateringer og adgangsstyring til infrastrukturen.

7. Underdatabehandlere

Den dataansvarlige giver Databehandleren generel godkendelse til at anvende følgende underdatabehandlere:

UnderdatabehandlerFormålLokation
Hetzner Online GmbHHosting af platform og dataTyskland (EU)
Stripe Payments Europe Ltd.Betalinger og abonnementIrland (EU)
Sendinblue SAS (Brevo)Transaktionsmail (afregninger, alarmer)Frankrig (EU)
Resend, Inc.Nyhedsbrev og kontaktformularEU-databehandling

Databehandleren underretter den dataansvarlige skriftligt mindst 30 dage før tilføjelse eller udskiftning af en underdatabehandler, så den dataansvarlige har mulighed for at gøre indsigelse.

8. Overførsel til tredjelande

Personoplysninger behandles og opbevares inden for EU/EØS. Der sker ikke overførsel til tredjelande som led i den almindelige drift. Skulle en sådan overførsel blive nødvendig, sker den kun på et gyldigt overførselsgrundlag, jf. GDPR kapitel V.

9. Bistand og brud på persondatasikkerheden

Databehandleren bistår — under hensyntagen til behandlingens karakter — den dataansvarlige med at besvare anmodninger fra registrerede (indsigt, berigtigelse, sletning, dataportabilitet) og med at overholde forpligtelserne i GDPR art. 32-36. Ved brud på persondatasikkerheden underretter Databehandleren den dataansvarlige uden unødig forsinkelse efter at være blevet bekendt med bruddet.

10. Sletning og tilbagelevering

Ved Aftalens ophør sletter eller tilbageleverer Databehandleren efter den dataansvarliges valg alle personoplysninger og sletter eksisterende kopier, medmindre opbevaring kræves efter lovgivningen — herunder bogføringslovens 5-årige opbevaringspligt for regnskabsmateriale (afregninger og fakturaer). Den dataansvarlige kan til enhver tid eksportere sine data via platformens eksportfunktioner.

11. Revision og tilsyn

Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelse af art. 28, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner. Revision aftales med rimeligt varsel og må ikke unødigt forstyrre driften.

12. Ansvar og lovvalg

Aftalen er underlagt dansk ret. Parternes ansvar følger databeskyttelseslovgivningen og den mellem parterne indgåede abonnementsaftale, herunder dennes ansvarsbegrænsninger. Se også vores privatlivspolitik og handelsbetingelser.