Databehandleraftale

Denne databehandleraftale ("Aftalen") regulerer behandlingen af personoplysninger, som AutoTrust foretager på vegne af forhandleren i forbindelse med levering af AutoTrust-platformen og tilknyttede garantiprodukter.

Aftalen er indgået i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (GDPR), artikel 28.

• Dataansvarlig (Controller) — Forhandleren, der opretter garantiforsikringer via AutoTrust-platformen og bestemmer formål og midler for behandlingen af slutkundens personoplysninger.
• Databehandler (Processor) — AutoTrust, der behandler personoplysninger på vegne af forhandleren i forbindelse med drift af platformen.

AutoTrust behandler personoplysninger udelukkende med det formål at:

• Levere og drifte AutoTrust-platformen.
• Oprette og administrere garantiforsikringer.
• Generere garantibeviser (certifikater).
• Gennemføre betalinger og fakturering.
• Sende transaktionsrelaterede e-mails til slutkunder (betalingsbekræftelser, betalingslinks, certifikatlevering).
• Modtage og strukturere data udtrukket via AutoTrust browser-extension, som forhandleren har installeret og aktivt benytter til at oprette garantier hurtigere.

AutoTrust behandler ikke personoplysninger til egne formål ud over, hvad der er nødvendigt for at levere ydelsen.

Følgende kategorier af personoplysninger behandles:

• Kundeoplysninger — Navn, e-mailadresse, telefonnummer og adresse.
• Køretøjsdata — Stelnummer (VIN), nummerplade, mærke, model, årgang og motoreffekt (kW).
• Betalingsdata — Betalingsstatus og transaktionsreferencer. Kortoplysninger behandles af Stripe og opbevares ikke hos AutoTrust.
• Extension-udtrukne data — Når forhandleren bruger vores Chrome-extension, sendes følgende til AutoTrust: den tekst forhandleren har markeret på siden eller — hvis det er en åben email-tråd på mail.google.com — selve email-trådens åbnede tekst, samt indhold af synlige formular-felter (skjulte felter, password-felter og felter med secret-lignende navne filtreres fra). Derudover modtager AutoTrust kildens domænenavn (for eksempel mail.google.com), aldrig den fulde webadresse. De udtrukne data sendes til Anthropic (se afsnit 5) for at finde kunde-kontaktoplysninger i fritekst og returneres som strukturerede felter, der gemmes i AutoTrusts database.

De registrerede er slutkunder, der køber garantiprodukter via forhandleren.

AutoTrust anvender følgende underdatabehandlere. Forhandleren giver ved accept af denne aftale generel skriftlig godkendelse til brug af nedenstående underdatabehandlere, jf. GDPR art. 28, stk. 2:

AutoTrust underretter forhandleren om eventuelle ændringer i listen af underdatabehandlere og giver forhandleren mulighed for at gøre indsigelse.

AutoTrust implementerer passende tekniske og organisatoriske foranstaltninger for at beskytte personoplysninger, herunder:

• Kryptering — Al kommunikation sker over krypterede forbindelser (TLS). Data krypteres at rest i databasen.
• Adgangskontrol — Rollebaseret adgangsstyring (RBAC) sikrer, at brugere kun har adgang til data, der er relevante for deres rolle.
• Row-Level Security — Databaseniveau-isolation sikrer, at forhandlere kun kan tilgå egne data.
• Autentificering — Sikker autentificering via Supabase Auth med krypterede sessions.
• Extension-tokens — Autentificeringstokens udstedt til forhandlerens browser-extension opbevares isoleret i Chromes egen sikrede extension-storage. Tokens har kort levetid og fornyes automatisk. AutoTrust kan til enhver tid tilbagekalde extension-adgang ved at ophæve forhandlerens session.

Når forhandleren benytter AutoTrust browser-extension, bekræfter forhandleren:

• At extensionen kun aktiveres på sider, hvor forhandleren har lovlig adgang til de viste oplysninger (egen e-mail, eget CRM-system).
• At extensionen ikke aktiveres på sider, der indeholder følsomme oplysninger om personer, forhandleren ikke har et legitimt forretningsmæssigt forhold til.
• At forhandleren, hvor det er nødvendigt, underretter sine egne kunder om, at data fra slutsedler og lignende dokumenter videregives til AutoTrust med henblik på oprettelse af garanti.
• At forhandleren indhenter samtykke fra slutkunden, hvis lokal lovgivning kræver det.

Forhandleren bærer det fulde ansvar for, at hans brug af extensionen sker i overensstemmelse med gældende databeskyttelseslovgivning.

AutoTrust bistår forhandleren med at opfylde sine forpligtelser over for registrerede, der udøver deres rettigheder i henhold til GDPR kapitel III (indsigt, berigtigelse, sletning, dataportabilitet, indsigelse m.v.).

Forhandleren er ansvarlig for at modtage og behandle henvendelser fra registrerede. AutoTrust stiller de nødvendige tekniske faciliteter til rådighed inden for rimelig tid.

I tilfælde af brud på persondatasikkerheden underretter AutoTrust forhandleren uden unødig forsinkelse og senest inden for 72 timer efter at være blevet bekendt med bruddet, jf. GDPR art. 33.

Underretningen indeholder som minimum en beskrivelse af bruddets karakter, de berørte kategorier af personoplysninger, de sandsynlige konsekvenser samt de foranstaltninger, der er truffet for at afhjælpe bruddet.

Ved ophør af samarbejdet mellem forhandleren og AutoTrust sletter eller tilbageleverer AutoTrust alle personoplysninger behandlet på vegne af forhandleren, medmindre lovgivning kræver fortsat opbevaring.

Forhandleren kan anmode om sletning eller udlevering af data inden for 30 dage efter aftalens ophør.

Ved oprettelse af en konto på AutoTrust-platformen accepterer forhandleren denne databehandleraftale. Aftalen træder i kraft fra det tidspunkt, forhandleren første gang tilgår platformen.

Denne aftale er underlagt dansk ret. Eventuelle tvister afgøres ved de danske domstole.

Spørgsmål vedrørende denne databehandleraftale kan rettes til: