Databehandleraftale
Version 1.0
Senest opdateret: 3. juni 2026
Denne databehandleraftale ("Aftalen") fastlægger, hvordan SaberTask behandler personoplysninger på vegne af kunden, når kunden anvender SaberTask-platformen. Aftalen er indgået mellem:
Den Dataansvarlige
Den kunde, der anvender SaberTask-platformen (den "Dataansvarlige"). Kundens virksomhedsoplysninger udfyldes ved aftaleindgåelse.
Databehandleren
SaberTask LDA, CVR PT518467546, Rua Hermano Neves N.º 18, Piso 3, Escritório 7, V5098 1600-477 Lissabon, Portugal ("Databehandleren").
Den Dataansvarlige og Databehandleren benævnes herefter individuelt som en "Part" og samlet som "Parterne". Parterne har indgået denne Aftale med henblik på at overholde forordning 2016/679 (databeskyttelsesforordningen) og sikre beskyttelse af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsrettigheder.
1. Præambel
- Denne Aftale fastsætter Databehandlerens rettigheder og forpligtelser, når denne foretager behandling af personoplysninger på vegne af den Dataansvarlige.
- Denne Aftale er udformet med henblik på Parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 ("databeskyttelsesforordningen").
- I forbindelse med leveringen af SaberTask-platformen til styring af den Dataansvarliges serviceaktiviteter ("Hovedaftalen") behandler Databehandleren personoplysninger på vegne af den Dataansvarlige i overensstemmelse med denne Aftale.
- Aftalen har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne, herunder Hovedaftalen.
- Der hører to bilag til denne Aftale, og bilagene udgør en integreret del af Aftalen:
- Bilag A indeholder oplysninger om behandlingens formål, karakter, datatyper og varighed.
- Bilag B indeholder en liste over godkendte underdatabehandlere.
2. Den Dataansvarliges rettigheder og forpligtelser
- Den Dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med databeskyttelsesforordningen og denne Aftale.
- Den Dataansvarlige har ret og pligt til at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler der må ske behandling af personoplysninger.
- Den Dataansvarlige er ansvarlig for, at der er et behandlingsgrundlag for de behandlinger, Databehandleren instrueres i at foretage.
3. Databehandleren handler efter instruks
- Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige, jf. Bilag A, medmindre det kræves i henhold til EU-ret eller national ret.
- Databehandleren underretter omgående den Dataansvarlige, hvis en instruks efter Databehandlerens vurdering er i strid med databeskyttelsesforordningen.
4. Fortrolighed
- Databehandleren må kun give adgang til personoplysninger til personer, der er underlagt tavshedspligt, og kun i det nødvendige omfang.
- Adgangslister gennemgås løbende og lukkes, når adgang ikke længere er nødvendig.
5. Behandlingssikkerhed
- Databehandleren gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau svarende til risikoen ved behandlingen, jf. databeskyttelsesforordningens artikel 32.
- SaberTask LDA arbejder aktivt mod ISO 27001-certificering og overvåger løbende sin GDPR-efterlevelse via Sprinto (automatiseret compliancemonitoring). Relevante sikkerhedsforanstaltninger omfatter bl.a.:
- Kryptering af personoplysninger under overførsel og lagring
- Adgangsstyring og rollebaserede rettigheder
- Kontinuerlig logning og overvågning af systemer
- Procedurer for incident response og sikkerhedshændelser
- Databehandleren bistår den Dataansvarlige med oplysninger om gennemførte sikkerhedsforanstaltninger, når dette er nødvendigt for den Dataansvarliges overholdelse af artikel 32.
6. Underdatabehandlere
- Databehandleren opererer under en generel godkendelsesordning, jf. databeskyttelsesforordningens artikel 28, stk. 2. Den Dataansvarlige giver hermed generel forhåndsgodkendelse til brug af de underdatabehandlere, der fremgår af Bilag B.
- Databehandleren underretter den Dataansvarlige skriftligt om planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere mindst 30 dage inden ibrugtagning. Den Dataansvarlige har ret til at gøre begrundet indsigelse inden for denne frist. Parterne skal i så fald drøfte indsigelsen i god tro. Kan parterne ikke nå til enighed inden for 14 dage efter indsigelsen, kan den Dataansvarlige opsige Aftalen med 30 dages skriftligt varsel.
- Databehandleren pålægger underdatabehandlere de samme databeskyttelsesforpligtelser som dem, der fremgår af denne Aftale.
- Databehandleren forbliver fuldt ansvarlig over for den Dataansvarlige, selv hvis en underdatabehandler ikke opfylder sine forpligtelser.
7. Overførsel til tredjelande
- Behandling sker primært inden for EU/EØS. Eventuel overførsel til tredjelande sker kun på baggrund af dokumenteret instruks fra den Dataansvarlige og i overensstemmelse med databeskyttelsesforordningens kapitel V.
- Relevante overførselsgrundlag for godkendte underdatabehandlere (jf. Bilag B) er angivet heri.
8. Bistand til den Dataansvarlige
- Databehandleren bistår, i det omfang det er muligt, den Dataansvarlige med opfyldelse af de registreredes rettigheder (indsigt, berigtigelse, sletning, dataportabilitet m.v.), jf. databeskyttelsesforordningens kapitel III.
- Databehandleren bistår endvidere den Dataansvarlige med:
- Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden (inden for 72 timer)
- Underretning af registrerede ved høj-risiko brud
- Gennemførelse af konsekvensanalyser (DPIA), hvis relevant
9. Underretning om sikkerhedsbrud
- Databehandleren underretter den Dataansvarlige uden unødig forsinkelse og senest inden for 48 timer efter at være blevet opmærksom på et brud på persondatasikkerheden.
- Underretningen skal som minimum indeholde: bruddets karakter, berørte kategorier og antal registrerede, sandsynlige konsekvenser samt iværksatte eller planlagte afhjælpende foranstaltninger.
10. Sletning og returnering af oplysninger
- Ved aftalens ophør sletter Databehandleren alle personoplysninger behandlet på vegne af den Dataansvarlige og bekræfter skriftligt, at sletning er gennemført - medmindre lovgivning kræver fortsat opbevaring.
- Den Dataansvarlige kan inden ophør anmode om udlevering af data i et standardformat (CSV, Excel eller JSON).
11. Revision og inspektion
- Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelsen af databeskyttelsesforordningens artikel 28 og denne Aftale, til rådighed for den Dataansvarlige.
- Databehandleren giver mulighed for revision og inspektion, herunder via Databehandlerens løbende compliancerapporter fra Sprinto, som kan fremlægges på anmodning.
12. Erstatningsansvar og ansvarsbegrænsning
- Databehandlerens samlede erstatningsansvar over for den Dataansvarlige er begrænset til et beløb svarende til 6 måneders abonnementsgebyrer betalt af den Dataansvarlige under Hovedaftalen i de 6 måneder forud for den begivenhed, der gav anledning til kravet.
13. Ikrafttræden og ophør
- Denne Aftale træder i kraft ved begge Parters underskrift og er gældende, så længe Databehandleren behandler personoplysninger på vegne af den Dataansvarlige.
- Aftalen kan genforhandles, hvis lovændringer eller væsentlige ændringer i behandlingens karakter giver anledning hertil.
- Ved ophør af Hovedaftalen ophører denne Aftale, efter at forpligtelserne i § 10 er opfyldt.
14. Lovvalg og værneting
- Enhver tvist i forbindelse med denne Aftale behandles ved de danske domstole og er underlagt dansk ret.
15. Kontaktpersoner
For Databehandleren (SaberTask LDA)
Sebastian Reipuert Søe-Pedersen, Co-Founder & CTO. E-mail: sebastian@sabertask.com
For den Dataansvarlige
Udfyldes af kunden ved aftaleindgåelse.
16. Underskrifter
Denne Aftale indgås elektronisk som en del af kundens onboarding og medunderskrives af SaberTask LDA. En underskrevet kopi udleveres på anmodning.
Bilag A - Oplysninger om behandlingen
Formål med behandlingen
Drift og administration af SaberTask-platformen til styring af den Dataansvarliges serviceaktiviteter, herunder opgavestyring, tidsregistrering, fraværshåndtering, akkordlønsberegning og løneksport.
Behandlingens karakter
Indsamling, registrering, organisering, lagring, tilpasning, søgning, anvendelse og sletning af personoplysninger.
Typer af personoplysninger
- Navn og medarbejdernummer
- Arbejdsopgaver og tidsregistreringer
- Fraværs- og sygemeldingsdata
- Løndata (akkordløn, tillæg)
- GPS/rutedata i forbindelse med opgaveudførelse
- Eventuelle kommentarer og billeder tilknyttet opgaver
Kategorier af registrerede
Den Dataansvarliges medarbejdere og holdledere.
Behandlingens varighed
Så længe Hovedaftalen er i kraft. Ved ophør slettes data i overensstemmelse med § 10.
Behandlingssted
Primært inden for EU/EØS via Microsoft Azure (se Bilag B).
Bilag B - Godkendte underdatabehandlere
| Underdatabehandler | Formål | Overførte data | Land | Overførselsgrundlag |
|---|---|---|---|---|
| Microsoft Azure (Microsoft Ireland Operations Ltd.) | Cloud-hosting og datalagring | Alle personoplysninger i platformen, jf. Bilag A | Irland (EU) | Behandling inden for EU/EØS |
| Postmark (ActiveCampaign, LLC) | Transaktionel e-mailudsendelse | Navn og e-mailadresse på modtager | USA | EU-US Data Privacy Framework |
| Google Maps (Google Ireland Ltd.) | Kortvisning og ruteoptimering | Adresser og geografiske koordinater (ikke knyttet til person eller ID) | Irland (EU) | Behandling inden for EU/EØS |
| Mapbox (Mapbox Inc.) | Kortvisning og ruteoptimering | Adresser og geografiske koordinater (ikke knyttet til person eller ID) | USA | EU-US Data Privacy Framework |
| inMobile ApS | Transaktionel SMS-udsendelse | Mobilnummer og navn på modtager | Danmark (EU) | Behandling inden for EU/EØS (ISAE 3000-certificeret) |
| Anthropic, PBC | AI-behandling af uploadede dokumenter (Claude) | Indhold af dokumenter uploadet af brugere til platformens AI-funktioner - ikke personoplysninger fra øvrige systemdata | USA | EU-US Data Privacy Framework |
Databehandleren underretter den Dataansvarlige skriftligt mindst 30 dage inden tilføjelse af nye underdatabehandlere.