Juridisk

Databehandleraftale

Senest opdateret: 2. juli 2026

1. Baggrund og parter

Denne databehandleraftale (”Aftalen”) indgås mellem den køreskole, der anvender Roadbuddy-platformen (”den Dataansvarlige”), og Roadbuddy ApS, CVR-nr. 45 12 34 56 (”Databehandleren”), og udgør en integreret del af parternes aftale om brug af Roadbuddy, jf. handelsbetingelserne. Aftalen opfylder kravene i databeskyttelsesforordningens (GDPR) artikel 28, stk. 3.

2. Behandlingens karakter og formål

Databehandleren stiller en cloudbaseret platform til rådighed til administration af køreuddannelse, herunder elevadministration, kalender og booking, digitale modulplaner og lektionsplaner, digitale underskrifter, P23-ansøgninger, beskeder samt import og eksport af data. Behandlingen består i opbevaring, strukturering, visning, videregivelse efter instruks samt sletning af personoplysninger som led i leveringen af disse funktioner.

3. Kategorier af registrerede og oplysninger

Behandlingen omfatter følgende kategorier af registrerede: elever, kørelærere og skoleadministratorer samt personer i den offentlige tilmeldingskø.

Behandlingen omfatter følgende kategorier af personoplysninger:

Der behandles ikke følsomme oplysninger omfattet af GDPR artikel 9, medmindre den Dataansvarlige selv indtaster sådanne i fritekstfelter (f.eks. helbredsoplysninger med relevans for kørekortssagen, kode 78 m.v.). Den Dataansvarlige er ansvarlig for lovligheden heraf.

4. Instruks

Databehandleren behandler alene personoplysninger efter dokumenteret instruks fra den Dataansvarlige, medmindre behandling kræves i henhold til EU-ret eller dansk ret. Den dokumenterede instruks udgøres af denne Aftale og af den Dataansvarliges konfiguration og brug af platformens funktioner. Databehandleren underretter den Dataansvarlige, hvis en instruks efter Databehandlerens opfattelse er i strid med databeskyttelsesreglerne.

5. Fortrolighed

Databehandleren sikrer, at personer, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. Adgang til personoplysninger gives alene til medarbejdere, for hvem adgangen er nødvendig.

6. Behandlingssikkerhed

Databehandleren gennemfører passende tekniske og organisatoriske foranstaltninger, jf. GDPR artikel 32, herunder:

7. Underdatabehandlere

Den Dataansvarlige giver en generel godkendelse til, at Databehandleren anvender underdatabehandlere, herunder hostingleverandør med datacentre i EU/EØS. En liste over anvendte underdatabehandlere udleveres på forespørgsel. Databehandleren underretter den Dataansvarlige om planlagte ændringer med mindst 30 dages varsel, så den Dataansvarlige kan gøre indsigelse. Underdatabehandlere pålægges de samme databeskyttelsesforpligtelser som i denne Aftale. Personoplysninger overføres ikke til lande uden for EU/EØS uden gyldigt overførselsgrundlag.

8. Bistand til den Dataansvarlige

Databehandleren bistår, under hensyntagen til behandlingens karakter, den Dataansvarlige med at besvare anmodninger om udøvelse af de registreredes rettigheder (indsigt, berigtigelse, sletning, begrænsning, dataportabilitet og indsigelse) samt med at overholde forpligtelserne i GDPR artikel 32–36, herunder konsekvensanalyser og anmeldelse af brud.

9. Brud på persondatasikkerheden

Databehandleren underretter den Dataansvarlige uden unødig forsinkelse efter at være blevet bekendt med et brud på persondatasikkerheden. Underretningen indeholder de oplysninger, den Dataansvarlige skal bruge for at kunne anmelde bruddet til Datatilsynet inden for 72 timer, jf. GDPR artikel 33.

10. Sletning og tilbagelevering ved ophør

Ved ophør af aftaleforholdet sletter eller tilbageleverer Databehandleren efter den Dataansvarliges valg alle personoplysninger, medmindre EU-ret eller dansk ret kræver fortsat opbevaring. Færdiggjorte modulplaner og tilhørende dokumentation er omfattet af opbevaringspligten i kørekortbekendtgørelsen og slettes først, når den lovpligtige opbevaringsperiode er udløbet. Den Dataansvarlige kan forud for ophør selv eksportere sine data via platformens eksportfunktioner.

11. Revision og dokumentation

Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelse af GDPR artikel 28, til rådighed for den Dataansvarlige og muliggør og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en revisor bemyndiget af denne. Revision varsles med rimelig frist og gennemføres uden unødig forstyrrelse af Databehandlerens drift.

12. Varighed

Aftalen gælder, så længe Databehandleren behandler personoplysninger på vegne af den Dataansvarlige. Spørgsmål til Aftalen kan rettes til kontakt@roadbuddy.dk.