bungaflow
Sådan fungerer detPriserIntegrationer
Log indKom i gang

Databehandleraftale

Sidst opdateret: 25. marts 2026

1. Parter og anvendelsesområde

Denne databehandleraftale ("DBA") er indgået mellem kunden, der bruger Bungaflow ("Dataansvarlig"), og Redor AS, organisationsnummer [under registrering], som driver Bungaflow-platformen ("Databehandler").

Aftalen regulerer Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige i overensstemmelse med databeskyttelsesforordningen (GDPR), navnlig artikel 28. Aftalen udgør en integreret del af serviceaftalen mellem parterne og supplerer privatlivspolitikken og brugervilkårene.

2. Definitioner

  • Personoplysninger: Enhver oplysning, der vedrører en identificeret eller identificerbar fysisk person.
  • Behandling: Enhver operation, der udføres med personoplysninger, herunder indsamling, opbevaring, ændring, søgning, videregivelse eller sletning.
  • Dataansvarlig: Den part, der bestemmer formålene med og midlerne til behandlingen af personoplysninger (kunden — enhedsejer eller organisationsadministrator).
  • Databehandler: Den part, der behandler personoplysninger på vegne af den Dataansvarlige (Redor AS / Bungaflow).
  • Underdatabehandler: En tredjepart, som Databehandleren engagerer til at udføre specifikke behandlingsaktiviteter.
  • Registreret: Den fysiske person, hvis personoplysninger behandles.
  • Tilsynsmyndighed: Den uafhængige offentlige myndighed, der er ansvarlig for at overvåge anvendelsen af databeskyttelseslovgivningen (i Danmark: Datatilsynet).

3. Genstand og varighed

Databehandleren behandler personoplysninger på vegne af den Dataansvarlige med henblik på at levere Bungaflow-platformen, herunder, men ikke begrænset til: bookingadministration, udgiftsdeling, opgavestyring, beskeder, vedligeholdelseslog, dokumentopbevaring, gæsteportal, AI-assistent og relaterede funktioner.

Behandlingen varer, så længe den Dataansvarlige har en aktiv konto på Bungaflow-platformen. Ved opsigelse eller sletning af kontoen ophører behandlingen, og data slettes i overensstemmelse med punkt 12 i denne aftale.

4. Typer af personoplysninger, der behandles

Databehandleren behandler følgende kategorier af personoplysninger på vegne af den Dataansvarlige:

  • Navne og e-mailadresser på enhedsmedlemmer
  • Bookingdata (datoer, typer, medlemstilknytning)
  • Udgiftsdata (beløb, beskrivelser, kvitteringsbilleder)
  • Beskeder og gæstebogindlæg
  • Vedligeholdelseslogger
  • Opgavetildelinger
  • Gæsteportaldata (gæstenavne, indcheckningsinformation)
  • WiFi-adgangskoder (krypteret med AES-256-GCM)
  • AI-chatsamtaler
  • Push-notifikationsabonnementer
  • Aktivitetslogger

5. Kategorier af registrerede

Behandlingen vedrører følgende kategorier af registrerede:

  • Enhedsmedlemmer (administratorer og lite-medlemmer)
  • Gæster (via gæsteportalen)
  • Organisationsmedlemmer

6. Databehandlerens forpligtelser

Databehandleren skal:

  • Kun behandle personoplysninger efter dokumenterede instruktioner fra den Dataansvarlige, medmindre det kræves af EU- eller medlemsstatsloven.
  • Sikre, at personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
  • Gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der er afpasset risikoen, herunder:
    • TLS-kryptering for alle data under overførsel
    • AES-256-GCM-kryptering for følsomme felter (f.eks. WiFi-adgangskoder)
    • HSTS- og Content Security Policy-headere
    • Rollebaseret adgangskontrol (Admin- / Lite-medlemsroller)
    • Automatiseret CI/CD-pipeline med sikkerhedsscanning
    • Sikkerhed på databaseniveau med rækkesikkerhed og kaskadeslettelsespolitikker
  • Bistå den Dataansvarlige med at opfylde anmodninger fra registrerede, herunder retten til indsigt, berigtigelse, sletning, dataportabilitet og begrænsning af behandling.
  • Bistå den Dataansvarlige med at sikre overholdelse af GDPR artiklerne 32–36 (sikkerhed, underretning om brud, konsekvensanalyser vedrørende databeskyttelse).
  • Efter den Dataansvarliges valg, slette eller returnere alle personoplysninger efter afslutning af tjenesten, og slette eksisterende kopier, medmindre EU- eller medlemsstatsloven kræver opbevaring. Kontosletning fjerner alle enhedsdata via kaskadeslettelse.
  • Stille alle oplysninger til rådighed for den Dataansvarlige, som er nødvendige for at påvise overholdelse af forpligtelserne i GDPR artikel 28.

7. Underdatabehandlere

Den Dataansvarlige giver generel godkendelse til Databehandleren for at anvende følgende underdatabehandlere:

UnderdatabehandlerFormålPlaceringDBA
Supabase Inc.Database og autentificeringEU Vest (Irland)Standard DBA
Stripe Inc.BetalingsbehandlingEU (Irland)Standard DBA
Vercel Inc.Hosting og CDNGlobalt edge, EU oprindelseStandard DBA
Resend Inc.E-mailleveringUSA (Virginia)Standard DBA
OpenAI Inc.AI-assistentUSAAPI DBA, nul dataopbevaring
Functional Software (Sentry)FejlovervågningEU (Frankfurt)Standard DBA
Cookiebot (Cybot A/S)SamtykkehåndteringEU (Tyskland)Standard DBA

Databehandleren skal informere den Dataansvarlige om planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere og give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer inden 14 dage efter meddelelse.

8. Internationale dataoverførsler

Visse underdatabehandlere (Resend, OpenAI, Vercels edge-netværk) kan behandle personoplysninger uden for EU/EØS. Sådanne overførsler er beskyttet af EU–US Data Privacy Framework og/eller standardkontraktbestemmelser (SCCs) vedtaget af EU-Kommissionen, i overensstemmelse med GDPR kapitel V.

9. Underretning om brud på persondatasikkerheden

Databehandleren skal underrette den Dataansvarlige uden unødig forsinkelse, og under alle omstændigheder inden 48 timer, efter at være blevet opmærksom på et brud på persondatasikkerheden, i overensstemmelse med GDPR artikel 33. Underretningen skal omfatte bruddets art, kategorier og omtrentligt antal berørte registrerede, sandsynlige konsekvenser samt foranstaltninger, der er truffet eller foreslået for at håndtere bruddet.

10. Revisionsret

Den Dataansvarlige har ret til at revidere, eller lade en uafhængig tredjepart revidere, Databehandlerens overholdelse af denne aftale og gældende databeskyttelseslovgivning. Databehandleren skal stille alle oplysninger til rådighed, der er nødvendige for at påvise overholdelse, og skal samarbejde om sådanne revisioner.

11. Ansvar

Hver part er ansvarlig for skade forårsaget af behandling, der krænker GDPR, i overensstemmelse med artikel 82. Databehandlerens samlede ansvar under denne aftale er begrænset til de samlede gebyrer, som den Dataansvarlige har betalt til Databehandleren i de 12 måneder forud for den begivenhed, der giver anledning til kravet.

12. Varighed og ophør

Denne aftale træder i kraft, når den Dataansvarlige opretter en konto på Bungaflow-platformen, og forbliver gældende, så længe Databehandleren behandler personoplysninger på vegne af den Dataansvarlige. Ved opsigelse eller sletning af den Dataansvarliges konto slettes alle personoplysninger inden for 30 dage. Sletningen foretages via kaskadeslettelse, som fjerner alle tilknyttede enhedsdata (bookinger, udgifter, medlemmer, beskeder, opgaver, dokumenter osv.).

13. Kontakt

For spørgsmål vedrørende denne databehandleraftale eller behandlingen af personoplysninger, kontakt os på privacy@bungaflow.com.