1. Roller.

Du (kunden) er dataansvarlig for de personoplysninger, du sender til tjenesten. Contenza K/S er databehandler og handler udelukkende efter dine dokumenterede instrukser. Hvor vi behandler data til vores egne formål (fakturering, tjenestesikkerhed, produktforbedring på aggregerede data), er vi selvstændigt dataansvarlige for det begrænsede formål, og behandlingen reguleres af privatlivspolitikken og ikke af denne aftale.

2. Genstand, varighed og art.

Behandlingen sker for at levere QRRegistry-tjenesten: hosting af registreringer i det Digitale Produktpas, levering til slutbrugere, generering af QR-koder, udsendelse af driftsmæssige e-mails og fakturering. Behandlingen varer i abonnementets løbetid og i en afviklingsperiode defineret i punkt 9.

3. Datakategorier og registrerede.

Personoplysninger, der behandles på vegne af den dataansvarlige, er begrænset til: kontaktoplysninger for producentrepræsentanter (som krævet i Bilag III til Ecodesign-forordningen), kundens medarbejderkonti, der administrerer passports, og slutbruger-scan-hændelser (lokationsdata på landeniveau og user-agent-kategori). Registrerede er medarbejdere hos den dataansvarlige samt anonyme slutbrugere, der scanner offentlige QR-koder.

4. Den dataansvarliges instrukser.

Vi behandler kun personoplysninger efter den dataansvarliges dokumenterede instrukser. Handelsbetingelserne og den produktadfærd, der er beskrevet i den offentlige dokumentation, udgør disse instrukser. Hvis vi vurderer, at en instruks overtræder GDPR, vil vi underrette den dataansvarlige og suspendere instruksen, indtil den er afklaret.

5. Fortrolighed.

Personale, der er bemyndiget til at behandle personoplysninger, er underlagt fortrolighedsforpligtelser, der består efter ophør af deres engagement.

6. Sikkerhedsforanstaltninger (Art. 32).

  • TLS 1.3 til alle data under transport. HSTS gennemtvinges på hvert offentligt domæne.
  • Kryptering i hvile for databasediskenheder og objektlagring.
  • Rollebaseret adgang til produktionssystemer; adgange logges og gennemgås kvartalsvist.
  • Password-hashing og sessions-cookies, der er HttpOnly, Secure og SameSite=Lax.
  • Daglige off-site-krypterede backups med et rullende 30-dages-vindue.
  • Defence-in-depth: isoleret baggrundsworker, sandbox-kø, streng CSP på viewer-fladen.

7. Underdatabehandlere.

Den dataansvarlige godkender vores brug af de underdatabehandlere, der er anført på /sub-processors. Vi giver mindst 30 dages varsel om enhver påtænkt tilføjelse eller udskiftning, hvori den dataansvarlige kan gøre indsigelse ved at opsige abonnementet med ret til forholdsmæssig refusion.

8. Registreredes rettigheder og bistand.

Vi bistår den dataansvarlige med at besvare henvendelser fra registrerede. Hvor henvendelsen kan håndteres via funktioner i dashboardet (eksport, berigtigelse, sletning), håndterer den dataansvarlige det selv; hvor operatørindgriben er nødvendig, svarer vi inden for 10 arbejdsdage.

9. Sletning og tilbagelevering ved ophør.

Ved ophør slettes personoplysninger under den dataansvarliges ansvar inden for 90 dage, medmindre opbevaring er lovpligtig (f.eks. fakturaregistreringer). Publicerede Digitale Produktpas forbliver tilgængelige i overensstemmelse med Artikel 10, stk. 4, i Ecodesign-forordningen; den dataansvarlige kan ansøge om undtagelsesvis sletning, hvor det underliggende produkt er trukket fra markedet.

10. Audits.

Den dataansvarlige kan auditere overholdelsen af denne aftale én gang årligt for egen regning ved at anmode om en skriftlig gap-analyse med understøttende dokumentation. On-site-audits imødekommes kun, hvor det er rimeligt nødvendigt, og er underlagt en fortrolighedsaftale.

11. Internationale overførsler.

Alle personoplysninger lagres i EU. Hvor en underdatabehandler opererer uden for EU/EØS, baserer overførsler sig på Europa-Kommissionens standardkontraktbestemmelser, suppleret af de tekniske foranstaltninger i punkt 6.

12. Underretning ved sikkerhedsbrud.

Vi underretter den dataansvarlige uden unødig forsinkelse — og under alle omstændigheder inden for 48 timer efter, at vi er blevet bekendt med det — om enhver brud på persondatasikkerheden, der berører den dataansvarliges data. Underretningen beskriver bruddets karakter, kategorierne og det omtrentlige antal berørte poster, sandsynlige konsekvenser samt de foranstaltninger, der er truffet for at inddæmme det.

Spørgsmål til denne politik? Brug kontaktformularen — eller skriv til teamet via oplysningerne på kontaktsiden.