IO Planner ← Compliance
Udkast under juridisk gennemgang. Denne databehandleraftale er tilpasset til IO Planner og skal endeligt godkendes af begge parter (accepteres ved oprettelse af hotellets konto).

Databehandleraftale

i henhold til artikel 28, stk. 3, i forordning 2016/679 (databeskyttelsesforordningen) · Version 2.0 · 1. juli 2026

Dataansvarlig
_____________________________
CVR: ________________
Databehandler
IdeFA Gruppen ApS
Silovej 8, 9900 Frederikshavn
CVR: 27528414 · driver tjenesten IO Planner

der hver især er en "part" og sammen udgør "parterne", har aftalt følgende standardkontraktsbestemmelser (Bestemmelserne) med henblik på at overholde databeskyttelsesforordningen og sikre beskyttelse af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsrettigheder.

1. Præambel

  1. Disse Bestemmelser fastsætter databehandlerens rettigheder og forpligtelser, når denne behandler personoplysninger på vegne af den dataansvarlige.
  2. Bestemmelserne er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i forordning (EU) 2016/679 (databeskyttelsesforordningen).
  3. I forbindelse med leveringen af IO Planner behandler databehandleren personoplysninger på vegne af den dataansvarlige i overensstemmelse med disse Bestemmelser.
  4. Bestemmelserne har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne.
  5. Der hører fire bilag (A–D) til disse Bestemmelser, og bilagene udgør en integreret del af Bestemmelserne.
  6. Bestemmelserne med tilhørende bilag opbevares skriftligt, herunder elektronisk, af begge parter.
  7. Disse Bestemmelser frigør ikke databehandleren fra forpligtelser efter databeskyttelsesforordningen eller anden lovgivning.

2. Den dataansvarliges rettigheder og forpligtelser

  1. Den dataansvarlige er ansvarlig for, at behandlingen sker i overensstemmelse med databeskyttelsesforordningen (art. 24), øvrig EU-ret eller national ret og disse Bestemmelser.
  2. Den dataansvarlige har ret og pligt til at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler der må ske behandling af personoplysninger.
  3. Den dataansvarlige er ansvarlig for, at der er et behandlingsgrundlag for behandlingen, som databehandleren instrueres i at foretage.

3. Databehandleren handler efter instruks

  1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves efter EU-ret eller national ret. Instruksen er specificeret i Bilag A og C. Den dataansvarliges tilkobling af egne booking-/PMS-systemer og aktivering af moduler i IO Planner udgør en dokumenteret instruks om at behandle de pågældende data.
  2. Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med forordningen eller anden databeskyttelseslovgivning.

4. Fortrolighed

  1. Databehandleren giver kun adgang til personoplysninger til personer, som er underlagt databehandlerens instruktionsbeføjelser, som har forpligtet sig til fortrolighed eller er underlagt tavshedspligt, og kun i nødvendigt omfang.
  2. Databehandleren kan efter anmodning påvise, at de pågældende personer er underlagt tavshedspligt.

5. Behandlingssikkerhed

  1. Databehandleren gennemfører passende tekniske og organisatoriske foranstaltninger, jf. forordningens artikel 32. De konkrete foranstaltninger fremgår af Bilag C.
  2. Databehandleren bistår den dataansvarlige med overholdelse af artikel 32 ved at stille nødvendig information om de gennemførte sikkerhedsforanstaltninger til rådighed.

6. Anvendelse af underdatabehandlere

  1. Databehandleren har den dataansvarliges generelle godkendelse til brug af underdatabehandlere. De godkendte underdatabehandlere fremgår af Bilag B og kan altid ses på ioplanner.io/compliance.
  2. Databehandleren underretter den dataansvarlige pr. e-mail om planlagte ændringer (tilføjelse/udskiftning) med mindst 14 dages varsel, så den dataansvarlige kan gøre indsigelse inden ændringen træder i kraft.
  3. Databehandleren pålægger via kontrakt underdatabehandleren de samme databeskyttelsesforpligtelser som i disse Bestemmelser og forbliver fuldt ansvarlig over for den dataansvarlige for underdatabehandlerens opfyldelse.

7. Overførsel til tredjelande

  1. Enhver overførsel til tredjelande eller internationale organisationer sker kun på baggrund af dokumenteret instruks og i overensstemmelse med forordningens kapitel V. Instruks herom fremgår af Bilag C.6.
  2. Hvor en underdatabehandler er placeret uden for EU/EØS, sker overførsel på grundlag af EU-Kommissionens standardkontraktbestemmelser (SCC) og/eller EU-US Data Privacy Framework.

8. Bistand til den dataansvarlige

  1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige med opfyldelse af de registreredes rettigheder (indsigt, berigtigelse, sletning, begrænsning, dataportabilitet, indsigelse m.v.), jf. forordningens kapitel III.
  2. Databehandleren bistår desuden med anmeldelse af brud på persondatasikkerheden (art. 33–34), konsekvensanalyser (art. 35) og forudgående høring (art. 36).

9. Underretning om brud på persondatasikkerheden

  1. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på et brud, så den dataansvarlige kan overholde sin anmeldelsespligt over for Datatilsynet (art. 33).

10. Sletning og returnering

  1. Ved ophør af tjenesten sletter databehandleren alle personoplysninger, der er behandlet på vegne af den dataansvarlige, medmindre EU-ret eller national ret foreskriver opbevaring (fx bogføringsloven). Slette-/opbevaringsrutine fremgår af Bilag C.4.

11. Revision og tilsyn

  1. Databehandleren stiller de oplysninger, der er nødvendige for at påvise overholdelse af artikel 28, til rådighed og giver mulighed for revisioner/inspektioner. Procedurer fremgår af Bilag C.7 og C.8.

12. Ikrafttræden og ophør

  1. Bestemmelserne træder i kraft, når den dataansvarlige accepterer dem ved oprettelse af hotellets konto i IO Planner (elektronisk accept), og er gældende, så længe behandlingen af personoplysninger varer.
  2. Begge parter kan kræve Bestemmelserne genforhandlet ved lovændringer eller uhensigtsmæssigheder.

13. Kontaktpersoner

Databehandlerens compliance-team: compliance@ioplanner.io. Parterne orienterer løbende hinanden om ændringer af kontaktpersoner.

Bilag A — Oplysninger om behandlingen

A.1 Formål

Databehandleren behandler personoplysninger på vegne af den dataansvarlige med henblik på at levere IO Planner — en CRM- og analyseplatform til hoteller — herunder opbevaring, visning og behandling af data fra den dataansvarliges booking-/PMS-system og de aktiverede moduler. Databehandleren behandler ikke oplysningerne til andre formål.

A.2 Typer af personoplysninger

Behandlingen omfatter almindelige personoplysninger, herunder afhængigt af aktiverede moduler:

Der behandles ikke særlige kategorier af personoplysninger (art. 9), CPR-numre eller oplysninger om strafbare forhold. Den dataansvarlige må ikke instruere databehandleren i at behandle sådanne oplysninger via tjenesten.

A.3 Kategorier af registrerede

Hotellets brugere/medarbejdere, hotellets gæster samt forretnings- og B2B-kontakter.

A.4 Varighed

Databehandleren behandler personoplysninger i aftalens løbetid, medmindre andet instrueres af den dataansvarlige.

Bilag B — Underdatabehandlere

Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt følgende underdatabehandlere. Modul-specifikke underdatabehandlere anvendes kun, hvis det pågældende modul er aktiveret.

NavnBehandlingPlacering
Curanet A/S (CVR 29412006)Hosting & drift af platformenDanmark
Microsoft Ireland Operations Ltd.Udsendelse af e-mails (Microsoft 365)EU (Irland)
QuickPay ApSKortbetaling & abonnementsfaktureringDanmark
GatewayAPI ApSUdsendelse af SMS (Guest Revenue)Danmark
DataFQAggregering af anmeldelser (Anmeldelser)EU
SnitcherIdentifikation af B2B-webbesøg (B2B Leads)EU
SE RankingSøgeordsrangering & SEO-data (SEO)EU
Google Ireland Ltd.Trafik- & annoncedata (Rapportering / Annoncer)USA (SCC / EU-US DPF)
Meta Platforms Ireland Ltd.Annoncedata fra Facebook/Instagram (Annoncer)USA (SCC / EU-US DPF)
LinkedIn Ireland Unlimited CompanyAnnoncedata fra LinkedIn (Annoncer)EU (Irland)

Bilag C — Instruks & sikkerhed

C.1 Behandlingens genstand

Databehandleren opbevarer og behandler de personoplysninger, som den dataansvarlige overlader via IO Planner, med henblik på at levere de aktiverede moduler.

C.2 Behandlingssikkerhed

C.3 Bistand til den dataansvarlige

Den dataansvarlige kan som udgangspunkt selv besvare anmodninger fra registrerede via IO Planner. Databehandleren bistår så vidt muligt, når det er databehandleren, der behandler de pågældende oplysninger, og informerer straks den dataansvarlige ved henvendelser fra registrerede.

C.4 Opbevaring & sletning

C.5 Lokalitet for behandling

Behandling sker hos databehandleren (Silovej 8, 9900 Frederikshavn) og hos de i Bilag B anførte underdatabehandlere.

C.6 Overførsel til tredjelande

Databehandleren må ikke overføre personoplysninger til tredjelande uden instruks. Hvor overførsel er nødvendig for at levere et aktiveret modul (jf. Bilag B), reguleres den af EU Standard Contractual Clauses og/eller EU-US Data Privacy Framework.

C.7–C.8 Tilsyn

Den dataansvarlige kan føre tilsyn med databehandleren og underdatabehandlere med mindst 30 dages varsel. Databehandleren sikrer via kontrakter, revisionserklæringer og egenkontrol, at underdatabehandlere efterlever samme krav.

Bilag D — Parternes regulering af andre forhold

Ingen særskilte bestemmelser aftalt ud over Bestemmelserne og Bilag A–C.

For den dataansvarlige (dato + underskrift)
For databehandleren — IdeFA Gruppen ApS