Indgået mellem den nedenfor anførte dataansvarlige og databehandleren.
Den dataansvarlige
Navn: Yassin Ayoub
CVR-nr.: 43156985
Adresse: Emiliedalen 157
Postnr. og by: 8270 Højbjerg
Land: Danmark
Databehandleren
Navn: FrekvenZ Danmark ApS
CVR-nr.: 43156985
Adresse: Emiliedalen 157
Postnr. og by: 8270 Højbjerg
Land: Danmark
Kontaktperson: Yassin Ayoub
E-mail: post@frekvenz.nu
Parterne har indgået disse bestemmelser (Bestemmelserne) med henblik på at overholde databeskyttelsesforordningen og sikre beskyttelse af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsrettigheder.
1.1 Disse Bestemmelser fastsætter databehandlerens rettigheder og forpligtelser, når denne behandler personoplysninger på vegne af den dataansvarlige.
1.2 Bestemmelserne er udformet med henblik på parternes overholdelse af artikel 28, stk. 3, i databeskyttelsesforordningen.
1.3 Anvendelsesområde og roller. Når databehandleren behandler personoplysninger på vegne af en dataansvarlig erhvervskunde som led i leveringen af FrekvenZ’ ydelser, er FrekvenZ databehandler, og pkt. 2 til 13 finder anvendelse. For private slutkunder, hvor FrekvenZ selv fastlægger formål og hjælpemidler, er FrekvenZ dataansvarlig, og pkt. 14 finder anvendelse i stedet for pkt. 2 til 13.
1.4 Der hører fire bilag til Bestemmelserne, og bilagene udgør en integreret del heraf. Bilag A indeholder nærmere oplysninger om behandlingen, herunder formål, karakter, typer af personoplysninger, kategorier af registrerede og varighed. Bilag B indeholder betingelserne for brug af underdatabehandlere og en liste over de godkendte underdatabehandlere. Bilag C indeholder den dataansvarliges instruks om behandlingssikkerhed. Bilag D indeholder parternes regulering af andre forhold.
1.5 Bestemmelserne har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne.
1.6 Bestemmelserne frigør ikke databehandleren for forpligtelser, som efter databeskyttelsesforordningen eller anden lovgivning er pålagt databehandleren.
2.1 Den dataansvarlige er ansvarlig for, at behandlingen af personoplysninger sker i overensstemmelse med databeskyttelsesforordningen, databeskyttelsesloven og anden relevant ret.
2.2 Den dataansvarlige har både ret og pligt til at træffe beslutning om, til hvilke formål og med hvilke hjælpemidler behandlingen må finde sted.
2.3 Den dataansvarlige er ansvarlig for, blandt andet, at der foreligger et behandlingsgrundlag for den behandling, som databehandleren instrueres i at foretage.
3.1 Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves efter EU-ret eller dansk ret. Den dataansvarliges første instruks fremgår af Bilag A og C.
3.2 Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med databeskyttelsesforordningen eller anden databeskyttelsesret.
4.1 Databehandleren må kun give adgang til personoplysninger til de personer, der er underlagt databehandlerens instruktionsbeføjelser, og som har behov herfor for at opfylde databehandlerens forpligtelser.
4.2 Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
4.3 Databehandleren sikrer, at adgangen til personoplysninger straks lukkes, når autorisationen ophører.
4.4 Databehandleren stiller efter anmodning dokumentation til rådighed for, at de berørte personer er underlagt fortrolighed.
5.1 Databehandleren iværksætter passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til risikoen, jf. artikel 32. Den dataansvarliges krav til behandlingssikkerhed fremgår af Bilag C.
5.2 Vurderingen tager hensyn til det aktuelle tekniske niveau, omkostningerne ved gennemførelsen, behandlingens karakter, omfang, sammenhæng og formål samt risiciene for fysiske personers rettigheder og frihedsrettigheder.
6.1 Databehandleren skal opfylde betingelserne i artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (underdatabehandler).
6.2 Databehandleren har den dataansvarliges generelle godkendelse til brug af underdatabehandlere. De godkendte underdatabehandlere fremgår af Bilag B.
6.3 Databehandleren underretter skriftligt den dataansvarlige om planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere med mindst 30 dages varsel og giver dermed den dataansvarlige mulighed for at gøre indsigelse, før den pågældende underdatabehandler tages i brug.
6.4 Når databehandleren gør brug af en underdatabehandler, pålægger databehandleren ved en kontrakt underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er fastsat i disse Bestemmelser.
6.5 Den dataansvarlige skal efter anmodning have adgang til at se underdatabehandleraftalerne, idet kommercielle vilkår, der ikke berører databeskyttelse, kan udelades.
6.6 Opfylder underdatabehandleren ikke sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.
6.7 Parterne aftaler, at den dataansvarlige ved databehandlerens konkurs indtræder som begunstiget tredjemand i de bestemmelser i underdatabehandleraftalerne, der vedrører den dataansvarliges rettigheder, herunder retten til sletning og tilbagelevering af personoplysninger.
7.1 Databehandleren må kun behandle personoplysninger uden for EU eller EØS efter dokumenteret instruks fra den dataansvarlige og i overensstemmelse med kapitel V i databeskyttelsesforordningen.
7.2 I det omfang behandling hos en underdatabehandler indebærer overførsel til et tredjeland, sker overførslen på grundlag af et gyldigt overførselsgrundlag, herunder Europa-Kommissionens standardkontraktbestemmelser efter artikel 46, stk. 2, eller en afgørelse om tilstrækkeligt beskyttelsesniveau efter artikel 45, herunder EU-US Data Privacy Framework, om fornødent suppleret med yderligere foranstaltninger.
7.3 De aktuelle underdatabehandlere og deres behandlingssteder fremgår af Bilag B.
8.1 Databehandleren bistår under hensyntagen til behandlingens karakter den dataansvarlige med passende tekniske og organisatoriske foranstaltninger med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder efter forordningens kapitel III.
8.2 Databehandleren videresender uden unødig forsinkelse enhver anmodning, som databehandleren modtager fra en registreret, til den dataansvarlige og besvarer ikke selv anmodningen, medmindre den dataansvarlige har instrueret herom.
8.3 Databehandleren bistår den dataansvarlige med at sikre overholdelse af forpligtelserne i artikel 32 til 36, herunder behandlingssikkerhed, anmeldelse af brud til tilsynsmyndigheden, underretning af de registrerede og konsekvensanalyser vedrørende databeskyttelse.
9.1 Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden, og under alle omstændigheder senest 48 timer herefter.
9.2 Databehandlerens underretning skal så vidt muligt indeholde en beskrivelse af bruddets karakter, de sandsynlige konsekvenser og de foranstaltninger, der er truffet eller foreslås truffet, samt kontaktoplysninger, således at den dataansvarlige kan opfylde sin eventuelle anmeldelsespligt til tilsynsmyndigheden efter artikel 33 inden for 72 timer.
10.1 Ved ophør af behandlingen sletter eller tilbageleverer databehandleren efter den dataansvarliges valg alle personoplysninger og sletter eksisterende kopier, medmindre opbevaring kræves efter EU-ret eller dansk ret.
11.1 Databehandleren stiller efter anmodning alle oplysninger til rådighed, der er nødvendige for at påvise overholdelsen af artikel 28 og disse Bestemmelser, og giver mulighed for og bidrager til revisioner, herunder inspektioner.
11.2 Tilsyn sker som udgangspunkt ved skriftlig dokumentation. Den dataansvarlige kan med rimeligt varsel og højst en gang årligt foretage en fysisk inspektion, medmindre der er konkret anledning til andet. Hver part bærer egne omkostninger ved tilsynet.
11.3 Databehandleren er forpligtet til at give tilsynsmyndigheder, der efter gældende lovgivning har adgang, adgang til databehandlerens og underdatabehandlernes fysiske faciliteter mod behørig legitimation.
12.1 Bilag A til D og navnene på underdatabehandlere udgør fortrolig forretningsinformation. Parterne behandler bilagene fortroligt og videregiver dem ikke til tredjemand uden den anden parts forudgående skriftlige samtykke.
12.2 Fortroligheden er ikke til hinder for videregivelse, der kræves efter lovgivningen eller af en kompetent myndighed, herunder til Datatilsynet, domstolene og andre offentlige myndigheder, til lovpligtig revisor samt til parternes egne rådgivere, der er underlagt tavshedspligt.
12.3 Fortroligheden er endvidere ikke til hinder for, at den dataansvarlige videregiver oplysninger i det omfang, det er nødvendigt for at opfylde den dataansvarliges egne forpligtelser efter databeskyttelsesforordningen, herunder oplysningspligten over for de registrerede efter artikel 13 og 14.
13.1 Parternes regulering af andre forhold, herunder ansvar, ansvarsbegrænsning, lovvalg og værneting, fremgår af Bilag D.
14.1 For private slutkunder fastlægger FrekvenZ selv formålene med og hjælpemidlerne til behandlingen og er dataansvarlig efter databeskyttelsesforordningen.
14.2 FrekvenZ behandler i denne rolle personoplysninger på et behandlingsgrundlag efter artikel 6, herunder opfyldelse af aftalen med den registrerede, FrekvenZ’ legitime interesser eller den registreredes samtykke, og oplyser herom i FrekvenZ’ privatlivspolitik, der er tilgængelig på frekvenz.nu.
14.3 FrekvenZ varetager selv besvarelsen af de registreredes anmodninger om udøvelse af deres rettigheder efter forordningens kapitel III.
14.4 FrekvenZ anvender de samme tekniske og organisatoriske sikkerhedsforanstaltninger som beskrevet i Bilag C og de samme underdatabehandlere som anført i Bilag B, og enhver overførsel til tredjelande sker på det grundlag, der er anført i pkt. 7.
14.5 De kategorier af personoplysninger og registrerede, der behandles, svarer til dem, der er anført i Bilag A.
15.1 Bestemmelserne træder i kraft ved begge parters underskrift.
15.2 Bestemmelserne kan af begge parter kræves genforhandlet, hvis lovændringer eller uhensigtsmæssigheder giver anledning hertil.
15.3 Bestemmelserne gælder, så længe behandlingen af personoplysninger på vegne af den dataansvarlige varer. Uanset ophør af den underliggende aftale forbliver Bestemmelserne i kraft, indtil behandlingen ophører, og oplysningerne er slettet eller tilbageleveret.
A.1 Formålet med behandlingen. Behandlingen sker med henblik på at levere FrekvenZ’ ydelser, herunder oprettelse og administration af brugerkonti, indhentning af energidata fra kundens anlæg, intelligent styring af batteri efter elpris, beregning og visning af besparelser, levering af netbalancering via balanceplatform og edge-styreenhed hos kunden, push-notifikationer, support samt administration af forhandlere og teknikere.
A.2 Behandlingens karakter. Behandlingen er løbende og overvejende automatiseret og omfatter hyppig indsamling af telemetri fra enhederne samt automatiske styringskommandoer til kundens anlæg.
A.3 Typer af personoplysninger. Der behandles følgende typer af personoplysninger:
Der behandles ikke CPR-numre og ingen særlige kategorier af personoplysninger omfattet af artikel 9.
A.4 Kategorier af registrerede. Behandlingen omfatter følgende kategorier af registrerede:
A.5 Varighed. Personoplysningerne behandles, så længe kundeforholdet er aktivt, og slettes eller tilbageleveres ved ophør efter pkt. 10. Visse log- og historikdata opbevares i kortere, fastsatte perioder af drifts- og dokumentationshensyn.
A.6 Instruks. Behandlingen sker alene med henblik på at levere de aftalte ydelser og i overensstemmelse med Bestemmelserne, Bilag A og Bilag C samt den dataansvarliges eventuelle senere dokumenterede instrukser.
B.1 Den dataansvarlige har givet generel godkendelse til brug af underdatabehandlere. Ændringer varsles efter pkt. 6.3 med mindst 30 dages varsel med ret til indsigelse.
B.2 Følgende underdatabehandlere er godkendt:
| Underdatabehandler | Formål | Behandlingssted | Overførselsgrundlag |
|---|---|---|---|
| Supabase Inc. | Database, brugeradministration og realtidstjeneste | EU (Frankfurt) | Inden for EU/EØS |
| Vercel Inc. | Hosting og planlagte opgaver | EU | Standardkontraktbestemmelser eller Data Privacy Framework ved overførsel uden for EØS |
| Resend Inc. | Udsendelse af transaktionelle e-mails | EU (Frankfurt) | Standardkontraktbestemmelser eller Data Privacy Framework ved overførsel uden for EØS |
| OneSignal | Push-notifikationer i app | EU | Standardkontraktbestemmelser eller Data Privacy Framework ved overførsel uden for EØS |
| Fronius International GmbH | Inverter-data og styring | EU (Østrig) | Inden for EU/EØS |
| Huawei Technologies (FusionSolar) | Inverter-data for Huawei-anlæg | EU | Inden for EU/EØS |
| Adresseopslag og bot-værn | EU og globalt | Standardkontraktbestemmelser eller Data Privacy Framework ved overførsel uden for EØS | |
| Cloudflare | Sikker fjernadgang til enheder og DNS | EU og globalt | Standardkontraktbestemmelser eller Data Privacy Framework ved overførsel uden for EØS |
| Fly.io | Hosting af integrationstjenester | EU (Frankfurt) | Inden for EU/EØS |
| Balanceansvarlig partner | Levering af netbalancering (balanceansvarlig part) | EU | Inden for EU/EØS |
| Solprognoseleverandører (Open-Meteo, Forecast.solar) | Vejr- og solprognose på grundlag af geokoordinater | EU/EØS | Inden for EU/EØS |
B.3 Bilaget er fortroligt, jf. pkt. 12.
C.1 Databehandleren har under hensyntagen til det aktuelle tekniske niveau og risikoen for de registrerede gennemført følgende tekniske og organisatoriske foranstaltninger:
C.2 Foranstaltningerne evalueres og ajourføres løbende i takt med den tekniske udvikling og ændringer i risikobilledet.
D.1 Ansvar. Hver part er ansvarlig efter de almindelige regler i dansk ret og artikel 82 i databeskyttelsesforordningen for skade forvoldt ved behandling, der overtræder forordningen eller Bestemmelserne.
D.2 Ansvarsbegrænsning. Mellem parterne er hver parts samlede ansvar over for den anden part begrænset til et beløb svarende til det vederlag, der er betalt i henhold til den underliggende aftale i de 12 måneder, der går forud for den ansvarspådragende begivenhed. En part er ikke ansvarlig for indirekte tab, herunder driftstab, avancetab og tab af forventet besparelse. Begrænsningerne gælder ikke for ansvar efter artikel 82 over for de registrerede, for tab forvoldt ved forsæt eller grov uagtsomhed, for personskade eller for ansvar, der i øvrigt ikke kan begrænses efter præceptiv ret.
D.3 Lovvalg og værneting. Bestemmelserne er underlagt dansk ret. Tvister, der ikke kan løses i mindelighed, afgøres ved retten i Aarhus som første instans.
D.4 Kontaktpunkt for databeskyttelse. Henvendelser om databeskyttelse, herunder underretning om brud, anmodninger fra registrerede og varsler, rettes til FrekvenZ ved Yassin Ayoub, e-mail post@frekvenz.nu. FrekvenZ har ikke udpeget en databeskyttelsesrådgiver og er ikke forpligtet hertil.
D.5 Ændringer. Ændringer til Bestemmelserne og bilagene skal være skriftlige for at være gyldige.
Hos FrekvenZ er beskyttelse af dine data en topprioritet. Vores GDPR betingelser sikrer, at dine personoplysninger hu00e5ndteres ansvarligt, nu00e5r du bruger FrekvenZ-appen. Vi indsamler kun nu00f8dvendige oplysninger for appens funktionalitet og beskytter dem gennem strenge sikkerhedsforanstaltninger. Vores privatlivspolitik forklarer, hvordan vi behandler dine data, og hvordan du kan udu00f8ve dine rettigheder. Lu00e6s mere om vores GDPR betingelser og sikkerhedsforanstaltninger, der beskytter dine personoplysninger.