1. Parterne
Denne databehandleraftale ("Aftalen") indgås mellem:
- Den dataansvarlige: Den enkelte forhandler-virksomhed som anvender Caarflow-platformen ("Kunden")
- Databehandler: Caarflow ApS, CVR 44556677, Kalvebod Brygge 32, 1560 København V ("Caarflow")
2. Behandlingens formål og varighed
Caarflow behandler personoplysninger på vegne af Kunden for at levere Caarflow SaaS-platformen, herunder:
- • Lagring og fremvisning af kunde-, lead- og service-data
- • Email- og SMS-kommunikation til Kundens kunder
- • AI-baserede services (bil-finder, symptom-tjek)
- • Data-eksport, backup og recovery
Aftalen løber så længe Kundens abonnement på Caarflow er aktivt, plus 30 dages opbevaring efter ophør med henblik på data-portabilitet.
3. Typer af data og kategorier af registrerede
Caarflow behandler følgende kategorier af personoplysninger:
- Almindelige oplysninger: Navn, email, telefon, adresse, kontaktoplysninger
- Bil-relaterede oplysninger: Reg.nr, kilometer, service-historik
- Følsomme oplysninger: CPR-nr (kun hvis Kunden underskriver finansieringsaftaler — krypteret med separat nøgle, kun læsbar af Kunden selv)
- Adfærdsdata: Browsing-historik på Kundens website (kun ved cookie-samtykke)
Kategorier af registrerede: Kundens kunder, leads, prospects, ansatte hos Kundens forhandler-virksomhed.
4. Caarflow's forpligtelser
- Instruktion: Caarflow behandler kun data efter dokumenteret instruktion fra Kunden, herunder ved international overførsel
- Tavshedspligt: Alle Caarflow-medarbejdere er underlagt tavshedspligt jf. GDPR Artikel 28(3)(b)
- Sikkerhed: TLS 1.3 i transit, AES-256 ved hvile, Row Level Security på alle databaser, MFA for admin-adgang, daglig backup med 30 dages retention
- Underdatabehandlere: Se afsnit 7
- Databehandling i tredjelande: Sker kun til lande med EU-tilstrækkelighedsbeslutning eller med Standard Contractual Clauses (SCC)
- Brud: Caarflow informerer Kunden uden ugrundet ophold (max 24 timer) ved sikkerhedsbrud
- Audit: Caarflow stiller årlige SOC2 / ISO27001 rapporter til rådighed (planlagt fra 2027) og giver adgang til at gennemføre audit
5. Kundens forpligtelser
- • Sikre at der er lovligt grundlag for behandlingen (samtykke, kontrakt, legitim interesse)
- • Informere de registrerede om Caarflow som databehandler
- • Ikke at uploade personoplysninger uden lovligt grundlag
- • Sikre at egne medarbejdere har tavshedspligt
- • Vedligeholde stærke passwords og MFA på admin-konti
6. Bistand til Kunden
Caarflow bistår Kunden med:
- • Opfyldelse af de registreredes rettigheder (indsigt, sletning, dataportabilitet)
- • Sikkerhedsforanstaltninger (Artikel 32)
- • Anmeldelse af brud (Artikel 33-34)
- • Konsekvensanalyse / DPIA (Artikel 35-36)
7. Underdatabehandlere
Caarflow anvender følgende underdatabehandlere:
| Leverandør | Formål | Region |
|---|
| Supabase | Database + auth | EU (Frankfurt) |
| Vercel | Web-hosting | EU + USA (SCC) |
| Stripe | Kortbetalinger | EU + USA (SCC) |
| Resend | Transaktions-emails | EU + USA (SCC) |
| Twilio | SMS-notifikationer | EU + USA (SCC) |
| Anthropic | AI-services (anonymiseret) | USA (SCC) |
| Synsbasen | DMR-opslag | DK |
Caarflow har indgået databehandleraftaler med alle ovenstående underdatabehandlere. Ændringer i listen meddeles Kunden med 30 dages varsel.
8. Slettepolitik
Ved Kundens ophør sletter Caarflow alle personoplysninger inden for 30 dage, medmindre lovgivning kræver fortsat opbevaring (fx bogføringsloven 5 år, forældelsesloven 10 år).
9. Erstatningsansvar
Caarflow's erstatningsansvar er begrænset til 12 måneders abonnementsbetaling, jf. de almindelige vilkår. Erstatningsansvar for direkte tab som følge af GDPR-overtrædelser fordeles efter ansvarsforhold.
10. Lovvalg og værneting
Aftalen er underlagt dansk ret. Eventuelle tvister afgøres ved Københavns Byret som første instans.