Hvordan Piraja behandler data på vegne af kunder i overensstemmelse med GDPR og globale privatlivsregler.
1. Introduktion
Denne databehandlingsaftale ("DPA") er en del af servicevilkårene mellem Piraja CRM ("Behandler", "vi", "os") og kunden ("Kontrollør", "du"), der bruger Piraja CRM-tjenester.
Denne DPA gælder, hvor og i det omfang vi behandler personoplysninger på dine vegne i forbindelse med levering af vores tjenester. Denne DPA er designet til at sikre overholdelse af artikel 28 i den generelle databeskyttelsesforordning (EU) 2016/679 ("GDPR") og ækvivalente bestemmelser under gældende databeskyttelseslove verden over.
2. Definitioner
- Personoplysninger: Enhver information, der vedrører en identificeret eller identificerbar fysisk person, som defineret i gældende databeskyttelseslovgivning.
- Behandling: Enhver operation udført på personoplysninger, herunder indsamling, registrering, organisering, strukturering, opbevaring, tilpasning, hentning, konsultation, brug, offentliggørelse, kombination, begrænsning, sletning eller destruktion.
- Registreret: Den identificerede eller identificerbare fysiske person, som personoplysningerne vedrører.
- Underbehandler: Enhver tredjepart, der er engageret af Behandleren til at behandle personoplysninger på vegne af Kontrolløren.
3. Omfang og formål med behandlingen
Vi behandler personoplysninger udelukkende med det formål at levere Piraja CRM-tjenester til dig, herunder:
- Kunde relationsstyring: Opbevaring og administration af kontaktinformation, organisationer og enkeltpersoner.
- Kommunikation: Behandling af e-maildata til mailboksintegrationsmodulet (Gmail, Outlook).
- Fakturering og regning: Behandling af betalings- og faktureringsinformation via Stripe.
- Support og ticketing: Håndtering af supportbilletter og serviceanmodninger.
- Analyse: Aggeret, anonymiseret brugsanalyse for at forbedre tjenesten.
4. Kategorier af registrerede og personoplysninger
Registrerede kan inkludere:
- Dine medarbejdere og teammedlemmer (bruger-konti)
- Dine kunder og kontakter (CRM-poster)
- Dine forretningspartnere og leverandører
Kategorier af personoplysninger, der behandles:
- Kontaktinformation (navn, e-mail, telefonnummer, adresse)
- Professionel information (jobtitel, virksomhed, afdeling)
- Kommunikationsoptegnelser (e-mails, noter, aktivitetslogger)
- Finansielle data (fakturaer, betalingsreferencer — kortdata behandles udelukkende af Stripe)
- Tekniske data (IP-adresser, browserinformation til autentificering)
5. Behandlerens forpligtelser
Vi skal:
a) Behandle personoplysninger kun efter dine dokumenterede instrukser, medmindre det kræves af gældende lov.
b) Sikre, at personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er under en passende lovbestemt forpligtelse til fortrolighed.
c) Implementere passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der er passende til risikoen, herunder:
- Kryptering af data under transport (TLS/HTTPS) og i hvile
- AES-256-GCM kryptering for OAuth tokens
- Row Level Security (RLS) på databaser
- Regelmæssige sikkerhedsvurderinger og revisioner
- Adgangskontroller og autentificering via Supabase Auth
d) Ikke engagere en anden behandler uden din forudgående generelle skriftlige godkendelse. Vi opretholder en liste over godkendte underbehandlere (se afsnit 8).
e) Assistere dig i at reagere på anmodninger fra registrerede (adgang, berigtigelse, sletning, portabilitet, begrænsning og indsigelse).
f) Assistere dig i at sikre overholdelse af dine forpligtelser vedrørende sikkerhed, brudvarsling, vurderinger af databeskyttelsespåvirkninger og forudgående konsultation.
g) Efter dit valg, slette eller returnere alle personoplysninger efter afslutningen af tjenesteydelserne og slette eksisterende kopier, medmindre gældende lov kræver opbevaring.
h) Gøre alle oplysninger tilgængelige for dig, der er nødvendige for at demonstrere overholdelse af denne DPA og tillade og bidrage til revisioner.
6. Kontrollørens forpligtelser
Du skal:
a) Sikre, at din brug af vores tjenester og dine instrukser til os overholder gældende databeskyttelseslove.
b) Have indhentet alle nødvendige samtykker og juridiske grundlag for behandlingen af personoplysninger, der deles med os.
c) Underrette os straks om eventuelle anmodninger fra registrerede, der kræver vores assistance.
7. Underretning om databrud
Vi skal underrette dig uden unødig forsinkelse (og under alle omstændigheder inden for 72 timer) efter at være blevet opmærksom på et databrud. Underretningen skal indeholde:
- En beskrivelse af arten af bruddet
- Kategorierne og det omtrentlige antal registrerede og personoplysninger, der er berørt
- De sandsynlige konsekvenser af bruddet
- De foranstaltninger, der er truffet eller foreslået for at imødegå bruddet
8. Underbehandlere
Vi bruger følgende underbehandlere til at levere vores tjenester:
| Underbehandler | Formål | Beliggenhed |
|---|---|---|
| Supabase (Supabase Inc.) | Databasehosting, autentificering, filopbevaring | USA (AWS) |
| Stripe (Stripe Inc.) | Betalingsbehandling, fakturering, regning | USA |
| Vercel (Vercel Inc.) | Applikationshosting, edge-netværk, serverløse funktioner | Globalt (edge-netværk) |
| Resend (Resend Inc.) | Transaktions-e-mail levering | USA |
| OpenAI (OpenAI LLC) | AI-drevne funktioner (Aiden-assistent) | USA |
| Google (Google LLC) | Gmail-integration, Google Kalender, Analytics | USA |
| Microsoft (Microsoft Corp.) | Outlook/Microsoft 365 integration | USA |
Vi vil informere dig om eventuelle planlagte ændringer til underbehandlere, så du har en rimelig mulighed for at gøre indsigelse.
9. Internationale dataoverførsler
Når personoplysninger overføres uden for Det Europæiske Økonomiske Samarbejdsområde (EØS), sikrer vi, at passende sikkerhedsforanstaltninger er på plads, herunder:
- Standardkontraktbestemmelser (SCC'er) godkendt af Europa-Kommissionen
- Tilstrækkelighedsbeslutninger, hvor det er relevant
- Supplerende foranstaltninger efter behov
Vores primære underbehandlere opretholder deres egne mekanismer og certificeringer for dataoverførsel.
10. Dataopbevaring og sletning
- Vi opbevarer personoplysninger kun så længe, det er nødvendigt for at levere vores tjenester.
- Du kan konfigurere dataopbevaringsperioder inden for applikationsindstillingerne.
- Automatisk datarensning kører på konfigurerbare tidsplaner.
- Ved ophør af tjenesterne vil vi slette dine data inden for 30 dage, medmindre loven kræver, at vi opbevarer dem.
- Du kan anmode om dataeksport når som helst gennem applikationen.
11. Revisionsretter
Du har ret til at revidere vores overholdelse af denne DPA. Revisioner skal være:
- Udført med rimelig forudgående varsel (mindst 30 dage)
- Begrænset til én gang om året, medmindre der er sket et databrud
- Udført i normale arbejdstimer
- På Kontrollørens regning
Vi kan opfylde revisionsanmodninger ved at give relevante certificeringer, revisionsrapporter eller anden dokumentation.
12. Ansvar
Hver parts ansvar under denne DPA er underlagt de begrænsninger og undtagelser, der er angivet i servicevilkårene.
13. Varighed og opsigelse
Denne DPA forbliver i kraft i hele den periode, vi behandler personoplysninger på dine vegne. Den opsiges automatisk, når vi ikke længere behandler personoplysninger for dig.
Bestemmelser, der af deres natur bør overleve opsigelse (herunder forpligtelser til sletning af data, fortrolighed og ansvar), skal overleve.
14. Gældende lov
Denne DPA skal være underlagt den samme lov, der gælder for servicevilkårene, uden at det påvirker obligatoriske databeskyttelseslove, der måtte gælde.
15. Kontakt
For spørgsmål om denne DPA eller for at udøve dine rettigheder, kontakt os på:
E-mail: support@piraja.io