Databehandleraftale

Dataansvarlig: Din virksomhed (vognmanden) — du bestemmer formålet med og hjælpemidlerne til behandlingen.

Databehandler: Keyton ApS, CVR 38508571, Aalborg, Danmark (“Flexnu”) — handler udelukkende efter din dokumenterede instruks.

Behandlingen sker for at levere Flexnu-platformen: chauffør-app, vognmandsportal og integration til FlexDanmark eller andre trafikselskaber du har indgået aftale med. Behandlingen løber så længe din konto er aktiv plus den retentionsperiode der fremgår af privatlivspolitikken.

Registrerede: Dine chauffører, dispatchere og andre brugere af platformen. I tur-data kan optræde passager-kontaktoplysninger (navn, telefon) leveret af trafikselskabet.

Datakategorier: Identifikationsdata (navn, brugernavn, e-mail, telefon), autentificeringsmateriale (hashede passwords, PIN-hash, JWT-cursors), GPS-positioner og tidsstempler under aktive vagter, tur-historik (rutepunkter, status, prisdata), kommunikations-metadata (push-tokens, WebSocket-sessioner) og audit-logs.

Flexnu behandler kun data efter din dokumenterede instruks. Den oprindelige instruks består af denne aftale plus de funktioner du aktiverer i portalen. Vi underretter dig hvis vi vurderer en instruks er i strid med GDPR.

Flexnu gennemfører passende tekniske og organisatoriske foranstaltninger: moderne transport-kryptering på al trafik, rollebaseret adgangskontrol (RBAC), industri-standard hashing af passwords og PIN-koder, audit-log på kritisk adgang, dagligt backup-program med 30 dages retention, og separation af produktions-data fra udviklings-miljøer. ISO 27001-baseret kontrolprogram er under fortsat udbygning — detaljeret kontrol-oversigt og uafhængig revisions-rapport deles med kontraktbundne kunder ved forespørgsel.

Du giver hermed Flexnu generel godkendelse til at anvende underbehandlere. Den til enhver tid gældende liste fremgår af Bilag A nedenfor.

Varsel. Ændringer (tilføjelse eller udskiftning) varsles direkte til din registrerede kontakt-e-mail mindst 30 dage før ibrugtagning. Indvendinger rejses ved at svare på varslet med begrundelse. Hvis vi ikke kan finde en rimelig løsning, kan du opsige hovedaftalen med 30 dages varsel uden gebyr.

Flexnu behandler alle persondata i EU/EØS (primært Tyskland med disaster-recovery i Finland). Skulle en underbehandler involvere overførsel uden for EU/EØS, sker det udelukkende på grundlag af EU-Kommissionens standardkontraktbestemmelser (SCCs) suppleret med en transfer impact assessment.

Ved brud på persondatasikkerheden underretter Flexnu dig uden unødigt ophold og under alle omstændigheder inden 72 timer efter konstatering. Notifikationen indeholder de oplysninger der kræves jf. GDPR Art. 33, stk. 3, så du kan opfylde din egen anmeldelsespligt over for Datatilsynet.

Flexnu bistår dig — i det omfang det er muligt — med at besvare anmodninger fra de registrerede om indsigt, berigtigelse, sletning, begrænsning, dataportabilitet og indsigelse jf. GDPR Art. 12–22. Chauffører kan selv anmode om indsigt og sletning via /min-side i chauffør-appen.

Ved opsigelse af hovedaftalen sletter eller tilbageleverer Flexnu — efter dit valg — alle persondata, medmindre lovgivningen (f.eks. bogføringsloven for afregnings-relevante data) kræver fortsat opbevaring. Eksport leveres i et struktureret maskinlæsbart format (JSON eller CSV).

Flexnu giver dig adgang til de oplysninger der er nødvendige for at påvise overholdelse af art. 28-forpligtelserne, herunder årlig opsummering af sikkerheds-foranstaltninger og hændelses-loggen. Egentlig audit på stedet kræves rimeligt varslet (minimum 30 dage), foregår uden for spidsbelastningsperioder og kan udføres af en gensidigt accepteret tredjepart.

Parternes ansvar reguleres af GDPR Art. 82 og dansk ret. Tvister afgøres ved de almindelige danske domstole med Aalborg som værneting.

Alle behandlinger sker i EU/EØS. Kategorierne nedenfor dækker de typer af underbehandlere Flexnu anvender til drift. Den konkrete leverandør pr. kategori — og enhver ændring — varsles direkte til kundens kontakt-e-mail mindst 30 dage før ibrugtagning, så indvendinger kan rejses inden den nye leverandør tages i brug.

Den konkrete navne-liste pr. kategori deles med kontraktbundne kunder ved forespørgsel til support@flexnu.dk. Indvendinger mod en varslet ændring sendes samme sted inden 30 dage efter bekendtgørelsen.

Spørgsmål til denne aftale, til en konkret behandling eller til subprocessor-listen rettes til support@flexnu.dk. Den fulde, paragraf-for-paragraf RC1-version (til underskrift på papir) udleveres ved henvendelse.