Om denne aftale
Denne databehandleraftale (“DPA”) indgås automatisk mellem dig som fællesskabsejer (“den dataansvarlige”) og Folka ApS (“databehandleren”) i henhold til GDPR artikel 28, når du opretter et fællesskab på folka-platformen.
1. Formål og omfang
Folka ApS behandler personoplysninger på vegne af den dataansvarlige med det formål at levere folka-platformen, herunder medlemshåndtering, begivenhedsstyring, betalingsbehandling, kommunikation og tilhørende funktioner.
Denne aftale regulerer databehandlerens behandling af personoplysninger i forbindelse med levering af disse tjenester.
2. Typer af personoplysninger
Databehandleren behandler følgende kategorier af personoplysninger på vegne af den dataansvarlige:
- Navn, emailadresse og telefonnummer
- Fødselsdato (til aldersgruppe, valgfrit)
- Betalingsoplysninger (håndteres af Stripe som underdatabehandler)
- Medlemskabsstatus, roller og tilmeldingsdata
- Aktivitetsdata (check-in, begivenheder, opslag, kommentarer)
- Kommunikationsdata (kontaktformularbeskeder, nyhedsbreve)
De registrerede er medlemmer og brugere af den dataansvarliges fællesskab på folka-platformen.
3. Behandlingens varighed
Behandlingen varer, så længe fællesskabet eksisterer på folka-platformen. Ved sletning af fællesskabet slettes alle tilknyttede personoplysninger inden for 30 dage, medmindre opbevaring er påkrævet ved lov (fx bogføring i 5 år jf. bogføringsloven).
4. Databehandlerens forpligtelser
Databehandleren forpligter sig til at:
- Kun behandle personoplysninger efter instruks fra den dataansvarlige
- Sikre fortrolighed hos alle der behandler personoplysninger
- Sikre passende teknisk og organisatorisk beskyttelse
- Kun anvende godkendte underdatabehandlere (se pkt. 5)
- Bistå den dataansvarlige med at besvare henvendelser fra registrerede
- Slette alle personoplysninger ved ophør, medmindre lovgivning kræver opbevaring
5. Underdatabehandlere
Den dataansvarlige giver hermed generel godkendelse til, at databehandleren anvender følgende underdatabehandlere:
| Tjeneste | Formål | Lokation |
|---|---|---|
| Stripe | Betalingsbehandling | USA/EU (EU SCC) |
| Vercel | Hosting og CDN | USA/EU (EU SCC) |
| Neon | PostgreSQL-database | EU (Frankfurt) |
| Resend | Email-afsendelse | USA (EU SCC) |
| Uploadthing | Fil- og billedopbevaring | USA (EU SCC) |
| Upstash | Redis-cache (rate limiting) | EU |
Databehandleren underretter den dataansvarlige om planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere, hvorved den dataansvarlige har mulighed for at gøre indsigelse mod sådanne ændringer.
6. Overførsel til tredjelande
Overførsel af personoplysninger til lande uden for EU/EØS sker på grundlag af EU's standardkontraktbestemmelser (SCC). Alle underdatabehandlere uden for EU sikrer tilsvarende beskyttelsesniveau.
7. Sikkerhedsforanstaltninger
Databehandleren har implementeret følgende tekniske og organisatoriske foranstaltninger jf. GDPR artikel 32:
- Kryptering af data under overførsel (TLS/HTTPS)
- Kryptering af adgangskoder (bcrypt)
- Database hostet i EU (Frankfurt, Tyskland) med adgangskontrol
- Princippet om mindste privilegium for dataadgang
- Logning af adgang til personoplysninger
- Løbende sikkerhedsvurderinger og -opdateringer
8. Brud på persondatasikkerheden
Databehandleren underretter uden unødig forsinkelse og senest inden for 48 timer den dataansvarlige om ethvert brud på persondatasikkerheden, efter at databehandleren er blevet opmærksom på bruddet. Underretningen skal indeholde:
- En beskrivelse af bruddets art
- Kategorier og omtrentligt antal berørte registrerede
- Sandsynlige konsekvenser af bruddet
- De foranstaltninger, der er truffet eller foreslås truffet
9. Bistand til den dataansvarlige
Databehandleren bistår den dataansvarlige med henvendelser om indsigt, rettelse, sletning og eksport af data. folka stiller selvbetjeningsværktøjer til rådighed til dette formål.
10. Kontakt
Folka ApS - Databeskyttelse
Email: hej@folka.dk