Databehandleraftale

1. Genstand, varighed, karakter og formål Subject matter, duration, nature and purpose

Behandlingen vedrører de tekstuddrag fra årsrapporter og tilknyttede dokumenter, som den dataansvarlige uploader til AndelTjek, med det formål at generere en AI-baseret risikoanalyse samt at besvare spørgsmål via Advisor-chatten. Aftalen løber, så længe databehandleren behandler personoplysninger på vegne af den dataansvarlige.

The processing concerns text extracts from annual reports and related documents uploaded by the controller to AndelTjek, for the purpose of generating an AI-based risk analysis and answering questions via the Advisor chat. The Agreement remains in force for as long as the processor processes personal data on behalf of the controller.

2. Type personoplysninger og kategorier af registrerede Types of personal data and categories of data subjects

Almindelige personoplysninger, der måtte fremgå af de uploadede dokumenter (fx navne, adresser og økonomiske oplysninger om andelshavere og foreningens repræsentanter). Kategorier af registrerede: andelshavere, bestyrelsesmedlemmer og øvrige personer nævnt i årsrapporten. Der behandles ikke bevidst særlige kategorier (følsomme) personoplysninger.

Ordinary personal data that may appear in the uploaded documents (e.g. names, addresses and financial information about cooperative members and representatives). Categories of data subjects: cooperative members, board members and other individuals named in the annual report. No special (sensitive) categories of personal data are processed intentionally.

3. Den dataansvarliges forpligtelser og rettigheder Obligations and rights of the controller

Den dataansvarlige er ansvarlig for, at der er et lovligt behandlingsgrundlag, og at de oplysninger, der overlades til databehandleren, må behandles til de aftalte formål. Den dataansvarlige kan til enhver tid give dokumenterede instruktioner om behandlingen. Databehandleren behandler udelukkende personoplysninger efter den dataansvarliges instruks, jf. GDPR art. 28, stk. 3, litra a, og art. 29.

The controller is responsible for ensuring a lawful basis for processing and that the data disclosed to the processor may be processed for the agreed purposes. The controller may at any time issue documented instructions. The processor processes personal data solely on the controller's documented instructions, cf. GDPR art. 28(3)(a) and art. 29.

4. Fortrolighed Confidentiality

Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, jf. GDPR art. 28, stk. 3, litra b.

The processor ensures that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality, cf. GDPR art. 28(3)(b).

5. Behandlingssikkerhed Security of processing

Databehandleren gennemfører passende tekniske og organisatoriske foranstaltninger, jf. GDPR art. 32, herunder: kryptering under transport (TLS) og kryptering af data i hvile (encryption at rest), adgangsstyring via row-level security (RLS), princippet om mindst mulig adgang, logning samt automatisk sletning af dokumenter efter 30 dage.

The processor implements appropriate technical and organisational measures pursuant to GDPR art. 32, including: encryption in transit (TLS), encryption at rest, access control via row-level security (RLS), least-privilege access, logging, and automatic deletion of documents after 30 days.

6. Underdatabehandlere Sub-processors

Den dataansvarlige giver hermed generel forhåndsgodkendelse til, at databehandleren anvender følgende underdatabehandlere. Vores underdatabehandlere leverer hosting, AI-inferens, betalings­formidling og e-mail-udsendelse på vegne af AndelTjek under SCC- og DPA-aftaler.

Databehandleren varsler den dataansvarlige mindst 30 dage før tilføjelse eller udskiftning af en underdatabehandler, så den dataansvarlige kan gøre indsigelse, jf. GDPR art. 28, stk. 2 og stk. 4.

The processor gives the controller at least 30 days' notice before adding or replacing a sub-processor, allowing the controller to object, cf. GDPR art. 28(2) and (4).

7. Overførsel til tredjelande (Schrems II) Third-country transfers (Schrems II)

AI-analysen og Advisor-chatten udføres primært hos Anthropic, Inc. — med Google LLC (Gemini) som reservemodel, der i sjældne tilfælde tillige kan modtage den uploadede årsrapport som PDF-fil — og behandlingen sker i USA. Overførslen sker på grundlag af EU-Kommissionens standardkontraktbestemmelser (SCC, 2021/914) suppleret med zero-retention-vilkår og kryptering. I lyset af EU-Domstolens dom i sag C-311/18 (Schrems II) har databehandleren foretaget en transfer-impact-vurdering og vurderet, at de supplerende foranstaltninger sikrer et beskyttelsesniveau i det væsentlige svarende til EU/EØS. Tekstudtræk fra årsrapporten (Microsoft Azure Document Intelligence) samt øvrige underdatabehandlere er placeret i EU og kræver ikke overførselsgrundlag.

The AI analysis and the Advisor chat are performed primarily by Anthropic, Inc. — with Google LLC (Gemini) as a fallback model, which in rare cases may also receive the uploaded annual report as a PDF file — and the processing takes place in the USA. Transfers rely on the EU Commission's Standard Contractual Clauses (SCC, 2021/914), supplemented by zero-retention terms and encryption. In light of CJEU case C-311/18 (Schrems II), the processor has carried out a transfer impact assessment and concluded that the supplementary measures ensure a level of protection essentially equivalent to the EU/EEA. Text extraction from the annual report (Microsoft Azure Document Intelligence) and other sub-processors are located in the EU and require no transfer mechanism.

8. Bistand og audit-ret Assistance and audit rights

Databehandleren bistår den dataansvarlige med passende tekniske og organisatoriske foranstaltninger, så vidt muligt, med opfyldelse af den dataansvarliges forpligtelser til at besvare anmodninger fra registrerede (GDPR art. 12–22) samt forpligtelserne efter art. 32–36. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelse af art. 28, til rådighed og giver mulighed for og bidrager til revisioner, herunder inspektioner, jf. GDPR art. 28, stk. 3, litra h.

The processor assists the controller, by appropriate technical and organisational measures and insofar as possible, in fulfilling the controller's obligation to respond to data-subject requests (GDPR art. 12–22) and the obligations under art. 32–36. The processor makes available all information necessary to demonstrate compliance with art. 28 and allows for and contributes to audits, including inspections, cf. GDPR art. 28(3)(h).

9. Tilbagelevering og sletning Return and deletion

Ved ophør af tjenesterne sletter databehandleren efter den dataansvarliges valg alle personoplysninger eller tilbageleverer dem og sletter eksisterende kopier, medmindre opbevaring kræves efter EU-retten eller national ret, jf. GDPR art. 28, stk. 3, litra g. Uploadede dokumenter slettes som udgangspunkt automatisk efter 30 dage.

On termination of the services, the processor, at the controller's choice, deletes or returns all personal data and deletes existing copies, unless storage is required by EU or national law, cf. GDPR art. 28(3)(g). Uploaded documents are by default deleted automatically after 30 days.

10. Brud på persondatasikkerheden Personal data breach

Databehandleren underretter uden unødig forsinkelse og senest 72 timer efter at være blevet bekendt med et brud på persondatasikkerheden den dataansvarlige herom, med de oplysninger, der er nødvendige for, at den dataansvarlige kan opfylde sin underretningspligt efter GDPR art. 33–34.

The processor notifies the controller without undue delay and no later than 72 hours after becoming aware of a personal data breach, providing the information necessary for the controller to comply with its notification obligations under GDPR art. 33–34.