Jura
Databehandleraftale
Senest opdateret: 2. april 2026 · Opfylder kravene i GDPR artikel 28
1. Parter og roller
Databehandler: Ottica ApS, CVR-nr. 46260856 (”Ottica“).
Dataansvarlig: Den forening (ejerforening, andelsboligforening eller grundejerforening) der anvender Ottica-platformen (”Foreningen“).
Denne databehandleraftale (DPA) er en integreret del af abonnementsaftalen. Kunden accepterer DPA aktivt ved oprettelse af konto via et afkrydsningsfelt på oprettelsessiden – ingen implicit accept.
2. Formålet med behandlingen
Ottica behandler personoplysninger på foreningens vegne med det ene formål at levere og drive Ottica-platformen, herunder: håndtering af beboerdata, økonomistyring, dokumentarkivering, beboerkommunikation og compliance-funktioner.
Ottica må ikke behandle personoplysninger til andre formål end det aftalte, medmindre der foreligger et lovkrav.
3. Kategorier af registrerede og oplysninger
Registrerede: Beboere, bestyrelsesmedlemmer og andre der er tilknyttet foreningen.
Kategorier af oplysninger: Navn, e-mailadresse, telefonnummer, boligadresse, ejerandel/fordelingstal, betalingshistorik, indberettede skader og kommunikation med bestyrelsen.
4. Varighed
DPA er gældende så længe Ottica behandler personoplysninger på foreningens vegne. Ved abonnementsophør slettes data senest 90 dage efter ophørsdatoen, medmindre foreningen anmoder om tidligere sletning.
5. Otticas forpligtelser
Ottica forpligter sig til at: (a) behandle data udelukkende på foreningens dokumenterede instruks, (b) pålægge alle medarbejdere med adgang til data tavshedspligt, (c) gennemføre de tekniske og organisatoriske sikkerhedsforanstaltninger der er beskrevet i afsnit 7, (d) underrette foreningen inden for 24 timer ved kendskab til eller formodning om brud på persondatasikkerheden (Ottica underretter herefter Datatilsynet inden for 72 timer i henhold til GDPR art. 33), (e) bistå foreningen med at opfylde registreredes rettigheder og myndighedspåbud.
6. Underdatabehandlere
Ottica anvender følgende godkendte underdatabehandlere:
| Underdatabehandler | Formål | Land |
|---|---|---|
| Supabase Inc. | Database og autentificering | USA / EU-servere (Irland) |
| Vercel Inc. | Hosting og deployment | USA / EU-servere (Frankfurt) |
| Anthropic PBC | AI-tekstbehandling (ingen lagring af persondata) | USA |
| Resend Inc. | Transaktions-emails | USA |
| Neonomics AS | Open banking / bankintegration | Norge / EU |
| Stripe Inc. | Betalingsbehandling og fakturering | USA / EU-servere (Irland) |
Brug af underdatabehandlere uden for EU/EØS er reguleret af Standard Contractual Clauses (SCC) godkendt af Europa-Kommissionen. Ottica informerer foreningen om planlagte ændringer til listen med mindst 14 dages varsel.
7. Sikkerhedsforanstaltninger
Ottica gennemfører mindst følgende tekniske og organisatoriske foranstaltninger: (a) TLS 1.2/1.3 kryptering i transit, (b) AES-256 kryptering at rest, (c) Row Level Security (RLS) i databasen, (d) multi-faktor godkendelse for administrative konti, (e) adgangskontrol baseret på mindste-privilegieprincippet, (f) løbende sikkerhedsopdateringer og sårbarhedsscanning, (g) automatiske backups med krypteret opbevaring.
8. Revision og dokumentation
Ottica stiller på foreningens anmodning nødvendig dokumentation til rådighed for at godtgøre overholdelsen af DPA. Foreningen kan enten anmode om en skriftlig dokumentationsrapport eller rekvirere en revisionsrapport (SOC 2 eller tilsvarende) med højst 12 måneders gammelt udstedelsesdato.
9. Kontakt
Spørgsmål til databehandleraftalen rettes til support@ottica.dk.