DATABEHANDLERAFTALE

Bilag 2
1. Introduktion

1.1 Dette bilag regulerer de generelle persondataretlige forhold i forbindelse med Creditros moduler, i det omfang Creditro er databehandler for kunden. Creditro er databehandler i det omfang opgaver udføres for at forfølge Kundens formål og på Kundens instruks. Aftalen regulerer ikke Creditros behandling af personoplysninger, hvor Creditro er dataansvarlig.

1.2 Bilaget er udformet med henblik på overholdelse af databeskyttelsesforordningen, herunder art. 28, stk. 3. Formålet er således at sikre, at databehandlerens (Creditros) behandling af persondata sker indenfor de af denne aftale fastsatte rammer.

1.3 Bestemmelserne i dette bilag 2 er hovedbestemmelserne for databehandlingen, i forlængelse af denne aftale findes, for hvert modul eller tilkøb, Kunden abonnerer på hos Creditro, specifik afdækning af behandling og instruks for den konkrete behandling i bilaget for modulet eller tilkøbet. Af hovedaftalen fremgår, hvilke moduler og tilkøb Kunden abonnerer på.

2. Instruks

2.1 Creditro foretager, som databehandler, alene behandling af personoplysninger på vegne af Kunden efter dennes udtrykkelige instruks. Sådan instruks udgøres af Aftalen herunder denne databehandleraftale, og omfatter Creditros afvikling af de moduler, som Kunden abonnerer på, i det omfang Creditro behandler personoplysninger på vegne af Kunden.

2.2 Såfremt Creditro er underlagt krav som følge af EU-ret eller national ret om at foretage særlig behandling af personoplysninger udover den af Kunden instruerede behandling, foretager Creditro sådan, men vil i det omfang, dette er lovligt, forinden behandlingen igangsættes orientere Kunden om dette. Creditro vil i så fald betragtes som selvstændig dataansvarlig for denne behandling.

2.3 I det omfang Kunden måtte give Creditro en instruks om behandling af personoplysninger eller i øvrigt, som efter Creditros vurdering er ulovlig, underretter Creditro Kunden om dette.

2.4 Creditro skal generelt foretage sådan behandling af personoplysninger, som er nødvendig for drift og levering af Creditros moduler til Kunden, jf. Aftalen, herunder skal Creditro foretage lagring af data, som uploades til modulerne af Kunden, foretage drift af og stille modulerne til rådighed som beskrevet i Aftalen, herunder foretage eventlogging og backup. Nedenfor er anført mere detaljeret beskrivelse af instruksen for hver af Creditros moduler.

3. Bistand

3.1 Under hensyntagen til behandlingens karakter bistår Creditro Kunden med dennes overholdelse af de registreredes rettigheder, jf. databeskyttelsesforordningens kap. III, herunder ved videresendelse til Kunden af eventuelle henvendelser i denne anledning uden unødig forsinkelse.

3.2 Under hensyntagen til behandlingens karakter og de oplysninger, som er tilgængelige for Creditro, bistår Creditro Kunden med dennes overholdelse af forpligtelser i medfør af databeskyttelsesforordningens art. 32-36.

3.3 For arbejde der ikke kan kategoriseres som simpel underretning, eller følger af de forpligtelser der i øvrigt tilfalder Creditro på baggrund af Aftalen med Kunden, er Creditro berettiget til vederlag med sin til enhver tid gældende timetakst for den anvendte tid jf. standardbetingelsernes afsnit 4, dette gør sig gældende bl.a. i tilfælde hvor Creditro yder Kunden bistand jf. pkt. 9.1 og 10.2.

4. Underdatabehandlere

4.1 Creditro anvender nedenfor anførte underdatabehandlere i forbindelse med sin databehandling på vegne af Kunden. Nedenfor anførte underdatabehandlere er godkendt af Kunden ved indgåelse af denne aftale.

Underdatabehandler Sted for databehandling og -opbevaring Databehandlingsopgave Relevant for modul
Hetzner GmbH Falkenstein, Tyskland
Helsinki, Finland
Hosting og drift af Creditros it-miljø.
Backup på tværs af driftscenter.
Server-setuppet er dedikeret til Creditro
Assess,
Comply,
StoreMyID,
og Sign
Onlinecity.io ApS Odense, Danmark Udsendelse af SMS’er Comply
Visma Solutions Oy Helsinki, Finland Udsendelse og digitale signaturer Comply,
og Sign
Sendinblue Paris, Frankrig E-mailudsendelse Assess,
Comply,
StoreMyID,
og Sign
Experian København, Danmark RKI-opslag Assess
Backblaze Inc. Amsterdam, Holland Backup-service job Assess,
Comply,
StoreMyID,
og Sign
Criipto ApS Holte, Danmark Login til StoreMyID via Nemid/MitID StoreMyID

4.2 Creditro har indgået skriftlige databehandleraftaler med alle underdatabehandlere, som pålægger underdatabehandleren betingelser, der som minimum svarer til de betingelser for persondatabehandling, som Creditro er underlagt ifølge denne aftale. Creditro indestår for, at der for enhver tredjelandsoverførsel eksisterer et gyldigt overførselsgrundlag og foreligger en tilfredsstillende Transfer Impact Assesment.

4.3 Creditro er ansvarlig for, at alle nuværende og fremtidige underdatabehandlere følger de til enhver tid gældende regler på området samt denne databehandleraftale i øvrigt.

4.4 Ved tilføjelse eller udskiftning af underdatabehandlere, orienterer Creditro Kunden snarest muligt og med mindst 30 dages skriftligt varsel herom. Hvis Kunden fremsætter indsigelser, som vurderes at være berettigede, er Creditro ikke berettiget til at foretage tilføjelse eller udskiftning af underdatabehandleren i forhold til behandlingen af personoplysninger på Kundens vegne. Creditro er forpligtet til at udarbejde TIA ved overførsel til usikre tredjelande hvor dette er påkrævet.

5. Overførsler til tredjelande

5.1 Creditro foretager ikke overførsler af personoplysninger til usikre tredjelande (red. Lande udenfor EU/EØS, som ikke er godkendt som sikkert tredjeland igennem fx tilstrækkelighedsklausuler), uden forudgående tilfredsstillende TIA og varsel som anfør i pkt. 4.4.

6. Videregivelse

6.1 Creditro videregiver ikke oplysninger, som behandles på vegne Kunden uden specifik instruks fra Kunden.

7. Fortrolighed

7.1 Creditro sikrer, at Creditros ansatte og andre, herunder underdatabehandlere, som behandler de for Kunden behandlede personoplysninger, er forpligtede til at fortroligholde enhver af de for Kunden behandlede personoplysninger, samt ikke har adgang til flere personoplysninger end hvad der er nødvendigt. Creditro sikrer endvidere, at enhver adgang til Kundens oplysninger sker på en teknisk og organisatorisk forsvarlig måde og efter branchekendte normer.

8. Sikkerhed

8.1 Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng, formål og risici af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder har Creditro sikret (og har pligt til at sikre) et passende teknisk og organisatorisk sikkerhedsniveau i forbindelse med behandlingen af personoplysninger på vegne af Kunden, som beskrevet herunder.

8.2 Adgangskontrol

Forhindring af uautoriseret produktadgang:
Outsourcet behandling: Creditro hoster vores service med outsourcede cloud-infrastrukturudbydere. Derudover opretholdes kontraktlige relationer med leverandører for at levere tjenesten i overensstemmelse med databehandleraftalen, jf. også pkt. 4.2. Creditro er afhængige af kontraktlige aftaler, herunder databehandleraftaler og leverandørers overholdelsesprogrammer for at beskytte data, der behandles eller opbevares af disse leverandører.

Fysisk og miljømæssig sikkerhed:
Vi hoster vores produktinfrastruktur med multiniveau outsourcede infrastrukturudbydere. De fysiske og miljømæssige sikkerhedskontroller revideres for SOC 2 Type II og ISO 27001 overholdelse, blandt andre certificeringer.

Autentificering:
Creditro benytter en ensartet kodeordspolitik for vores kundeprodukter. Kunder, der interagerer med produkterne via brugergrænsefladen, skal autentificere, før de får adgang til ikke-offentlige kundedata.

Autorisation:
Kundedata lagres i lagersystemer med flere lejere, som kun er tilgængelige for kunder via applikationsbrugergrænseflader og applikationsprogrammeringsgrænseflader. Kunder får ikke direkte adgang til den underliggende applikationsinfrastruktur. Autorisationsmodellen i hvert af vores produkter er designet til at sikre, at kun de korrekt tildelte personer kan få adgang til relevante funktioner, visninger og tilpasningsmuligheder. Autorisation til datasæt udføres ved at validere brugerens tilladelser mod de attributter, der er knyttet til hvert datasæt.

Application Programming Interface (API)-adgang:
Offentlige produkt-API’er kan tilgås ved hjælp af en API-nøgle eller via Oauth-autorisation.

Forebyggelse af uautoriseret produktbrug:
Creditro benytter industristandard adgangskontrol og detektionsfunktioner til de interne netværk, der understøtter dets produkter.

Adgangskontrol:
Netværksadgangskontrolmekanismer er designet til at forhindre netværkstrafik, der bruger uautoriserede protokoller, i at nå produktinfrastrukturen. De implementerede tekniske foranstaltninger adskiller sig fra infrastrukturudbydere og inkluderer Virtual Private Cloud (VPC) implementeringer, sikkerhedsgruppetildeling og traditionelle firewallregler.

Registrering og forebyggelse af indtrængen:
Creditro benytter en Web Application Firewall-løsning (WAF) til at beskytte hostede kundewebsteder og andre internettilgængelige applikationer. WAF er designet til at identificere og forhindre angreb mod offentligt tilgængelige netværkstjenester.

Statisk kodeanalyse:
Sikkerhedsgennemgange af kode, der er gemt i vores kildekodelagre, udføres med passende interval, og der kontrolleres for bedste kodningspraksis og identificerbare softwarefejl.

8.3 Begrænsninger af privilegier og autorisationskrav

Produktadgang:
En delmængde af vores medarbejdere har adgang til produkterne og til kundedata via kontrollerede grænseflader. Hensigten med at give adgang til en undergruppe af medarbejdere er at yde effektiv kundesupport, at fejlfinde potentielle problemer, at opdage og reagere på sikkerhedshændelser og implementere datasikkerhed. Adgang er aktiveret gennem ”just in time” anmodninger om adgang; alle sådanne anmodninger logges. Medarbejdere tildeles adgang efter rolle, og gennemgange af højrisikoprivilegiebevillinger igangsættes dagligt. Medarbejderroller og adgange gennemgås mindst en gang hvert år.

Baggrundstjek:
Alle Creditro-medarbejdere gennemgår et baggrundstjek, inden de får tilbudt et ansættelsestilbud, i overensstemmelse med og som tilladt af gældende love. Alle Creditro-medarbejdere er forpligtet til at opføre sig på en måde, der er i overensstemmelse med virksomhedens retningslinjer, krav til hemmeligholdelse og etiske standarder.

8.4 Transmissionskontrol

Under transport:
Creditro gør HTTPS-kryptering (også kaldet SSL eller TLS) tilgængelig på alle dets login-grænseflader og gratis på alle kundewebsteder, der hostes på Creditro-produkterne. Vores HTTPS-implementering bruger industristandardalgoritmer og certifikater. Creditro sikrer, at der som min. afsendes via det af Datatilsynet forlangte krypteringsniveau, pt. TLS 1.2, på alle data under transport.

At-rest:
Creditro gemmer brugeradgangskoder efter politikker, der følger industristandardpraksis for sikkerhed. Creditro har implementeret teknologier for at sikre, at lagrede data er krypteret i hvile.

8.5 Indgangskontrol

Registrering:
Creditro har designet vores infrastruktur til at logge omfattende oplysninger om systemets adfærd, modtagne trafik, systemgodkendelse og andre applikationsanmodninger. Interne systemer aggregerede logdata og advarer relevante medarbejdere om ondsindede, utilsigtede eller unormale aktiviteter. Vores personale, herunder sikkerheds-, drifts- og supportpersonale, er lydhøre over for kendte hændelser.

Respons og sporing:
Creditro opretholder en fortegnelse over kendte sikkerhedshændelser, der inkluderer beskrivelse, datoer og tidspunkter for relevante aktiviteter og hændelsens disposition. Mistænkte og bekræftede sikkerhedshændelser efterforskes af sikkerheds-, operations- eller supportpersonale; og passende afviklingstrin identificeres og dokumenteres. For alle bekræftede hændelser vil Creditro tage passende skridt for at minimere produkt- og kundeskade eller uautoriseret offentliggørelse. Meddelelse til Kunden vil være i overensstemmelse med vilkårene i aftalen.

8.6 Tilgængelighedskontrol

Infrastrukturtilgængelighed:
Infrastrukturudbyderne bruger en kommercielt rimelig indsats for at sikre minimum 99,95 % oppetid. Udbyderne opretholder et minimum af N+1 redundans til strøm og netværk.

Fejltolerance:
Backup- og replikeringsstrategier er designet til at sikre redundans og fail-over-beskyttelse under en væsentlig behandlingsfejl. Kundedata sikkerhedskopieres til flere holdbare datalagre og replikeres på tværs af flere tilgængelighedszoner.

Online replikaer og sikkerhedskopier:
Hvor det er muligt, er produktionsdatabaser designet til at replikere data mellem ikke mindre end en primær og en sekundær database. Alle databaser er sikkerhedskopieret og vedligeholdt ved at bruge mindst industristandardmetoder.

Vores produkter er designet til at sikre redundans og problemfri fail-over. Serverforekomsterne, der understøtter produkterne, er også designet med et mål om at forhindre enkelte fejlpunkter. Dette design hjælper vores operationer med at vedligeholde og opdatere produktapplikationerne og backend og samtidig begrænse nedetiden.

IT- og datasikkerhed er et fokus for Creditro. Kunden kan på Creditros hjemmeside finde en række sikkerhedsrelaterede dokumenter og godkendelser, herunder de senest udarbejdede erklæringer, jf. pkt. 10.2.

9. Persondatasikkerhedsbrud

9.1 Hvis Creditro bliver bekendt med, at der i forbindelse med den behandling af personoplysninger, som Creditro foretager på vegne af Kunden, er sket brud på persondatasikkerheden, underretter Creditro uden unødig forsinkelse Kunden om dette. Creditro er ikke berettiget til at opkræve betaling for denne underretning eller øvrig opklaring, besvarelse af spørgsmål fra Kunden eller tilsynsmyndighederne, i forbindelse med et sikkerhedsbrud, som er knyttet til Creditros behandling af personoplysninger på vegne Kunden, medmindre spørgsmålene fra Kunden ligger ud over hvad der kan forventes i henhold til aftaleforholdet. Creditro oplyser i den forbindelse eller snarest muligt herefter, og i det omfang det er muligt, Kunden om karakteren af bruddet, kategorier og antal af berørte registrerede og personoplysninger, sandsynlige konsekvenser af bruddet, og hvilke foranstaltninger Creditro har truffet eller anbefaler Kunden at træffe i anledning af bruddet. Creditro er berettiget til at foretage underretning til Kunden straks, dette kan ske trinvist, efterhånden som Creditro opnår kendskab til forholdene.

10. Tilsyn

10.1 I det omfang Creditro er databehandler for Kunden, medvirker Creditro til Kundens eller en af Kunden hyret tredjemands revision og inspektion af Creditros overholdelse af Creditros persondataretlige forpligtelser. Creditro er berettiget til vederlag med sin til enhver tid gældende timetakster for sådant arbejde for den til revision og inspektion anvendte tid, såfremt revision eller inspektion er begæret af Kunden, ligesom Creditro er berettiget til betaling for sine omkostninger herved, herunder eventuelle omkostninger til underdatabehandlere.

10.2 Creditro gennemgår generel it-sikkerhedsrevision som til enhver tid vil svarer til ISAE 3402 standard og GDPR-revision som til enhver tid vil svare til en ISAE-3000 standard. Revisionen foretages sædvanligvis i kalenderårets 3. kvartal. Kunden kan på begæring vederlagsfrit få udleveret en kopi af den i sådan anledning udarbejdede offentligt rettede erklæring. Nyeste erklæringer findes til enhver tid på Creditros hjemmeside.

10.3 Creditro er forpligtet til at føre tilsyn med de anvendte underdatabehandlere. Tilsynsmetoden skal følge principperne i Datatilsynets vejledning for tilsyn med databehandler, og Creditro skal kunne påvise overholdelse af dette punkt overfor Kunden.

11. Sletning af de for Kunden behandlede data

11.1 Personoplysninger, som Creditro behandler på vegne af Kunden, slettes af Creditro straks efter, at den aftalte behandling, herunder opbevaringsperiode, er gennemført eller senest ved Aftalens ophør med undtagelse af backup. Personoplysninger, som behandles eller har været behandlet på vegne af Kunden, og som måtte være lagret i forbindelse med backups, slettes dog senest 6 måneder efter behandlingens gennemførelse eller Aftalens ophør.

11.2 Kunden kan til enhver tid få slettet personoplysninger, som Creditro behandler på vegne af Kunden inden for rimelig tid efter anmodning om dette under hensyntagen til mængden af data, kompleksiteten ved sletning og forholdene i øvrigt. Creditros assistance til Kunden afregnes som anført i Standardbetingelsernes afsnit 4.

11.3 Creditros pligt til sletning af personoplysninger, som behandles på vegne af Kunden, er i alle tilfælde med forbehold af, at lovgivningen foreskriver Creditros fortsatte opbevaring.

12. Varighed

12.1 Denne databehandleraftale finder anvendelse, så længe Kunden abonnerer på en eller flere af Creditros moduler i henhold til, hvilke Creditro foretager persondatabehandling på vegne af Kunden, jf. Aftalen. Databehandleraftalen finder anvendelse, så længe Creditro måtte foretage behandling af personoplysninger på vegne af Kunden, også hvor dette måtte være efter Aftalens ophør, fx fordi der fortsat behandles personoplysninger i forbindelse med backup eller i henhold til pkt. 11.1.

12.2 Databehandleraftalen kan ikke opsiges, men kan dog erstattes af en anden databehandleraftale. Creditro er berettiget til at opdatere databehandleraftalen, når dette er relevant, herunder ved lovændringer og eller ændringer i Creditros moduler. Kunden vil blive underrettet om en sådan opdatering.

Bilag 2A

Dette bilag gør sig gældende for de af Creditros kunder, som har tilkøbt modulet Creditro Comply jf. hovedaftalen. I Creditro Comply findes tre pakker, Basic, Premium og Enterprise, af hovedaftalen vil det ligeledes fremgå hvilken pakke Kunden har købt.

 

1. Databehandling i Creditro Comply

Generelle bestemmelser om behandling af persondata findes øverst i bilag 2, i dette bilag 2A beskrives de specifikationer som gør sig gældende for Creditro Comply i Creditros rolle som databehandler ved levering af Creditro Comply. Kunden er således dataansvarlig, når Kunden leverer oplysnin-ger på sine Klienter til Creditro, og Creditro vil derfor være databehandler for disse persondata. Creditro bliver selvstændigt dataansvarlig i det omfang, at Kundens klienter opretter en profil hos Creditro. Kunden er dataansvarlig for persondata om klienter, der leveres af Kunden til Creditro forud for og med henblik på gennemførelse af hvidvaskundersøgelse, og Creditro agerer således som databehandler i udførelsen af denne opgave. For yderligere uddybning og visualisering af rolle-fordelingen og flowet se pkt. 1.2 herunder.

1.1 Formål

1.1.1 Formålet med behandlingen af personoplysningerne er at assistere Kunden med overhol-delse af Kundens forpligtelser i henhold til hvidvasklovgivningen, herunder at invitere de til Kundens Klienter tilknyttede personer til at blive oprettet som Slutbrugere af Creditro samt at opbevare dokumentation for hvidvaskundersøgelser.

1.2 Oversigt

Her findes en visualisering af rollefordelingen og persondata flowet ved brug af Creditro Comply:

1.2.1 Særligt om Creditro Comply – Hvor Kunden anvender Creditro Comply, skal Creditro i forhold til hvidvaskrelevante personer indhente oplysninger om sådanne personer, her-under indhente oplysninger om personernes eventuelle status som PEP eller RCA. Endvi-dere skal Creditro indhente oplysning om, hvorvidt den pågældende person, ifølge offent-lige sanktionslister, er undergivet sanktioner. På baggrund af de af Kunden uploadede op-lysninger og de fra tredjemand indhentede oplysninger skal Creditro i overensstemmelse med Kundens instruks foretage vurdering af risikoen for Klientens involvering eller risiko for involvering i hvidvask eller terrorfinansiering. I forbindelse med Creditro Comply fore-tager Creditro løbende overvågning og opdatering af oplysninger om personer, som er indhentet af Creditro for Kunden.

1.2.2 Særligt om Store My ID – Creditro kan på baggrund af personoplysningerne fra Kunden i forbindelse med Kundens oprettelse af en person i Creditro Comply, slå op i sin ID-database (Store My ID) over personer, som er oprettet som brugeren i Store My ID og:

  1. Hvis Brugeren allerede er oprettet i Store My ID og accepterer, at Creditro videregiver kopi af dennes identifikationsdokumenter til Kunden, skal Creditro foretage sådan vi-deregivelse til Kunden.
  2.  

  3. Hvis den hvidvaskrelevante person ikke er oprettet i Store My ID eller ikke accepterer videregivelsen, skal Creditro pr. e-mail, på vegne af Kunden, kontakte den pågælden-de med anmodning om at gennemføre processen.
     
    1. Opretter den hvidvaskrelevante person sig i Store My ID, og samtykker til vi-deregivelsen, videregiver Creditro herefter kopi af identifikationsdokumenter til Kunden.
    2.  

    3. Ønsker den pågældende hvidvaskrelevante person ikke at oprette sig i Store My ID, eller ønsker personen ikke, at Creditro deler dennes identifikationsdo-kumenter med Kunden, oplyses Kunden om dette og må selv indhente iden-tifikationsdokumenter fra den hvidvaskrelevante person.
    4.  

Creditro er dataansvarlig for personoplysninger i Store My ID. Kunden er Dataansvarlig for personoplysninger, som videregives til Kunden fra Store My ID.

1.3 Kategorier af registrerede

1.3.1 Der foretages behandling af personoplysninger om:

  • Personer, som Kunden ønsker at gennemføre hvidvaskundersøgelser af
  •  

  • Personer, som har relation til virksomheder, selskaber eller organisationer mv., herunder personer, som kan oplyse, hvem i sådanne virksomheder der er reelle ejere
  •  

  • Personer, som fremgår af dokumenter, som Kunden uploader til Creditros tjeneste
  •  

1.4 Datatyper

1.5 Almindelige personoplysninger:

  • Navn
  •  

  • Kontaktoplysninger, herunder e-mailadresse og mobiltelefonnummer;
  •  

  • Relation til virksomhed, selskab eller organisation, herunder rolle som ejer, le-delsesmedlem, stilling; status som PEP
  •  

  • Hvidvaskrapporter
  •  

  • Kopier af identitetspapirer
  •  

  • Omtale i medier
  •  

  • Informationer i dokumenter, som Kunden uploader til Creditros tjeneste
  •  

  • Informationer, som Creditro efter aftale med Kunden indhenter til Kundens brug
  •  

2. Databehandling ved Nordiske / Internationale data

2.1 Formål

2.1.1 Formålet med behandlingen er på Kundens vegne at indhente internationale data til brug i Creditro Comply. Kunden har indgået aftale med dataleverandør.

2.2 Instruks

2.2.1 Creditro skal på Kundens anmodning indhente oplysninger fra den af kunden definerede dataleverandør om de af Kunden ønskede personer og lade sådanne data indgå i Credit-ros øvrige moduler. Hvor dette i øvrigt er omfattet af Aftalen, skal Creditro foretage lø-bende Overvågning og opdatering af Internationale data, som er indhentet af Creditro til Kunden.

2.3 Kategorier af registrerede:

  • Personer, som Kunder ønsker at indhente oplysninger om
  •  

  • Personer, som har relation til virksomheder, selskaber eller organisationer, som Kunden ønsker at indhente oplysninger om
  •  

2.4 Datatyper

2.4.1 Almindelige persondata:

  • Navn
  •  

  • Kontaktoplysninger, herunder e-mailadresse og mobiltelefonnummer
  •  

  • Relation til virksomhed, selskab eller organisation, herunder rolle som ejer, le-delsesmedlem, stilling
  •  

  • Status som PEP
  •  

Bilag 2B

Dette bilag gør sig gældende for de af Creditros kunder, som har tilkøbt modulet Creditro Asses jf. hovedaftalen.

 

3. Databehandling i Creditro Assess

Generelle bestemmelser om databehandling findes i bilag 2 til Aftalen, i dette afsnit beskrives de specifikationer som gør sig gældende for Creditro Assess i Creditros rolle som databehandler ved levering af Creditro Assess.

3.1 Formål

3.1.1 Formålet er at indhente og levere oplysninger om økonomiske forhold og kreditrelaterede forhold til Kunden samt opbevare de indhentede oplysninger for Kunden.

3.2 Instruks

3.2.1 Creditro skal indhente oplysninger om økonomiske forhold og kreditrelaterede forhold om sådanne virksomheder og personer, som Kunden ønsker. Creditro skal foretage ana-lyse af sådanne oplysninger i de af Kunden definerede og eller godkendte scoremodeller. Creditro skal på vegne af Kunden opbevare indhentede oplysninger og udarbejdede ana-lyser, ligesom Creditro efter aftale skal foretage løbende indhentning af opdaterede oplys-ninger vedrørende virksomheder om hvilke, Kunden har indhentet oplysninger.

3.3 Kategorier af registrerede

3.3.1 Der foretages behandling af personoplysninger om:

  • Virksomheder og personer, som Kunden ønsker at indhente oplysninger om.
  •  

3.4 Datatyper

3.4.1 Almindelige persondata:

  • Navn
  •  

  • Kontaktoplysninger, herunder e-mail og mobiltelefonnummer
  •  

  • Relation til virksomhed, selskab eller organisation, herunder rolle som ejer, le-delsesmedlem og stilling
  •  

  • Virksomhedsrapporter
  •  

  • Økonomiske forhold
  •  

  • Omtale i medier
  •  

  • Informationer, som Creditro efter aftale med Kunden indhenter til Kundens brug
  •  

Bilag 2C

Dette bilag gør sig gældende for de af Creditros Kunder, som har tilkøbt modulet Creditro Sign jf. hovedaftalen.

 

4. Databehandling i Creditro Sign

Generelle bestemmelser om behandling af persondata findes i bilag 2 til kontrakten, i dette afsnit beskrives de specifikationer som gør sig gældende for Creditro Sign i Creditros rolle som databe-handler ved levering af Creditro Sign.

4.1 Formål

4.1.1 Formålet er at udsende dokumenter med henblik på, at Kunden kan opnå digital under-skrift af disse samt at opbevare sådanne dokumenter for Kunden.

4.2 Instruks

4.2.1 Creditro skal elektronisk udsende de af Kunden bestemte dokumenter til digital under-skrift hos sådanne personer, som Kunden bestemmer. Creditro skal registrere, hvem af modtagerne der har underskrevet de udsendte dokumenter digitalt og opbevare under-skrevne dokumenter og dokumentation for digitale underskrifter på Kundens vegne.

4.3 Kategorier af registrerede

4.3.1 Der foretages behandling af personoplysninger om:

  • Personer, som skal underskrive dokumenter
  •  

  • Personer, som er nævnt i dokumenter, som udsendes til underskrivelse
  •  

4.4 Datatyper

4.4.1 Almindelige persondata:

  • Navn
  •  

  • Kontaktoplysninger, herunder e-mailadresse og mobiltelefonnummer
  •  

  • Relation til virksomhed, selskab eller organisation, herunder rolle som ejer, le-delsesmedlem, stilling
  •  

  • Oplysninger i dokumenter til underskrift
  •  

  • Dokumentation for underskrift, herunder elektroniske ID-oplysninger
  •