AiReply databehandleraftale
Denne databehandleraftale regulerer AiReplys behandling af personoplysninger på vegne af kunder, der bruger AiReply til AI-baseret kundeservice.
Version 2026-03-14.2
Virksomhedsoplysninger
1. Parter, baggrund og prioritet
Denne databehandleraftale regulerer AiReplys behandling af personoplysninger på vegne af kunden i forbindelse med levering af AiReplys platform til AI-baseret kundeservice.
Kunden er dataansvarlig. AiReply er databehandler og behandler kun personoplysninger efter kundens dokumenterede instrukser og i det omfang det er nødvendigt for at levere den aftalte tjeneste.
Hvis den kommercielle aftale og denne databehandleraftale regulerer samme emne, har denne databehandleraftale forrang for selve behandlingen af personoplysninger, medmindre ufravigelig lovgivning kræver andet.
2. Kundens instruks og behandlingsramme
AiReply behandler personoplysninger i overensstemmelse med kundens dokumenterede instrukser, herunder kundens opsætning, modeller, profiler, vidensbaser, routing og øvrige konfiguration i platformen.
Kundens brug af platformen, valg af funktioner og løbende konfiguration udgør en del af kundens dokumenterede instruks.
Hvis AiReply vurderer, at en instruk er i strid med gældende databeskyttelsesret, skal AiReply uden unødig forsinkelse gøre kunden opmærksom på dette.
3. Behandlingens art, formål og kategorier
Formål, varighed, behandlingstyper samt kategorier af registrerede og personoplysninger fremgår af Bilag A.
AiReply må ikke behandle oplysninger til egne uforenelige formål, men kun i det omfang behandlingen er nødvendig for at levere, vedligeholde, sikre og supportere den tjeneste kunden har bestilt.
4. Fortrolighed og autoriserede personer
AiReply sikrer, at personer med adgang til personoplysninger er underlagt fortrolighed eller passende lovbestemt tavshedspligt.
Adgang til personoplysninger begrænses til de personer, der har et sagligt behov for adgang som led i drift, support, sikkerhed eller anden nødvendig levering af tjenesten.
5. Sikkerhed og tekniske foranstaltninger
AiReply gennemfører passende tekniske og organisatoriske sikkerhedsforanstaltninger under hensyntagen til behandlingens art, omfang, formål og risiko.
Foranstaltningerne omfatter blandt andet adgangskontrol, logning, adskillelse af kundedata, relevante backup- og driftsprocedurer samt rimelige sikkerhedsforanstaltninger omkring platformens anvendte infrastruktur.
Et overordnet overblik over AiReplys organisatoriske og tekniske sikkerhedsforanstaltninger fremgår af Bilag C.
6. Underdatabehandlere
Kunden giver ved denne aftale AiReply en generel godkendelse til at anvende underdatabehandlere, når det er nødvendigt for levering og drift af tjenesten.
AiReply skal sikre, at underdatabehandlere pålægges databeskyttelsesforpligtelser, der i det væsentlige svarer til denne databehandleraftale.
Den aktuelle liste over underdatabehandlere fremgår af Bilag B på denne side.
Hvis AiReply ændrer underdatabehandlerlisten på en måde, der er væsentlig for behandlingen, skal AiReply opdatere listen. Hvis kunden har saglige databeskyttelsesretlige indsigelser mod en ændring, skal parterne søge en rimelig løsning. Hvis ingen rimelig løsning findes, kan kunden opsige den berørte funktionalitet efter de kommercielle vilkår.
7. Overførsel til tredjelande
Hvis behandling indebærer overførsel af personoplysninger til lande uden for EU/EØS, skal AiReply sikre et gyldigt overførselsgrundlag efter gældende databeskyttelsesret.
Dette kan blandt andet ske gennem EU-Kommissionens standardkontraktbestemmelser eller andre gyldige overførselsmekanismer, når det er relevant for de anvendte underdatabehandlere.
8. Bistand til registreredes rettigheder
AiReply bistår i rimeligt omfang kunden med at besvare anmodninger fra registrerede og med kundens overholdelse af databeskyttelsesreglerne, i det omfang bistanden relaterer sig til den behandling AiReply udfører på kundens vegne.
Hvis AiReply modtager en anmodning direkte fra en registreret vedrørende data, som AiReply behandler på kundens vegne, vil AiReply så vidt muligt henvise anmodningen til kunden, medmindre AiReply er retligt forpligtet til andet.
9. Bistand til sikkerhed, konsekvensanalyser og myndighedsdialog
AiReply bistår i rimeligt omfang kunden med den information, som kunden med rimelighed har behov for i relation til sikkerhedsvurderinger, konsekvensanalyser, forudgående høringer og dialog med tilsynsmyndigheder, når bistanden relaterer sig til den behandling AiReply udfører på kundens vegne.
Bistand ud over almindelig dokumentation og almindelig support kan være betinget af særskilt aftale om omfang og betaling.
10. Brud på persondatasikkerheden
Hvis AiReply bliver bekendt med et brud på persondatasikkerheden vedrørende behandlinger omfattet af denne aftale, underretter AiReply kunden uden unødig forsinkelse med de oplysninger, AiReply med rimelighed råder over på tidspunktet.
AiReply vil i rimeligt omfang supplere den første underretning, når flere sikre oplysninger foreligger.
11. Myndighedsanmodninger og lovkrav
Hvis AiReply modtager en bindende anmodning fra offentlig myndighed om udlevering af personoplysninger, som behandles på kundens vegne, vil AiReply i det omfang det er lovligt muligt orientere kunden før udlevering.
Hvis lovgivning forbyder forudgående orientering, vil AiReply søge at begrænse udleveringen til det retligt nødvendige omfang.
12. Dokumentation og audit
AiReply skal på anmodning give kunden rimelig information, der gør det muligt at dokumentere overholdelse af denne databehandleraftale.
Hvis kunden ønsker audit ud over almindelig dokumentation, aftales dette særskilt med hensyn til omfang, varsel, fortrolighed, sikkerhedshensyn og omkostninger.
Audit eller revision gennemføres som udgangspunkt højst én gang årligt og med rimeligt forudgående varsel, medmindre lovgivning, myndighedskrav eller en konkret sikkerhedshændelse tilsiger andet.
Audit må ikke give kunden adgang til andre kunders data, AiReplys forretningshemmeligheder eller information, som ikke er nødvendig for at vurdere overholdelsen af denne aftale.
Kunden bærer egne omkostninger ved audit, og AiReply kan kræve betaling for ekstraordinær bistand, tidsforbrug eller tredjepartsomkostninger i forbindelse med audit eller revision, hvis dette går ud over almindelig dokumentation.
13. Sletning, tilbagelevering og backup
Ved ophør af tjenesten eller når behandling ikke længere er nødvendig, skal AiReply efter kundens valg slette eller tilbagelevere personoplysninger i det omfang det er teknisk muligt, medmindre lovgivning kræver fortsat opbevaring.
Hvis data indgår i sædvanlige backup-cyklusser, kan endelig overskrivning ske som led i den normale rotationsproces, forudsat at data i mellemtiden ikke gøres tilgængelige til andre formål end nødvendig sikker drift.
14. Ansvar og forholdet til hovedaftalen
Denne databehandleraftale ændrer ikke i sig selv de ansvarsbegrænsninger eller ansvarsfordelinger, der følger af parternes kommercielle aftale, medmindre ufravigelig databeskyttelsesret kræver andet.
Ingen databehandleraftale kan i sig selv eliminere alle retlige risici. Kundens egen opsætning, datainput, retention-indstillinger, brug af funktioner og overholdelse af egen oplysningspligt har fortsat betydning for kundens samlede compliance.
15. Varighed, ændringer, lovvalg og værneting
Denne databehandleraftale gælder, så længe AiReply behandler personoplysninger på kundens vegne.
AiReply kan opdatere aftalen, når det er nødvendigt på grund af lovændringer, produktændringer, ændret leverandørstruktur eller andre saglige forhold. Den gældende version offentliggøres på denne side.
Aftalen er underlagt dansk ret. Tvister afgøres ved de danske domstole, medmindre andet følger af ufravigelig lovgivning eller særskilt skriftlig aftale.
Bilag A - Formål og behandlingsramme
| Emne | Beskrivelse |
|---|---|
| Formål | Levering, drift og support af AI-baseret kundeservice, voice, chat, routing, transskription, vidensbase, rapportering og beslægtede platformsfunktioner. |
| Varighed | Så længe AiReply behandler personoplysninger på kundens vegne i forbindelse med kundens aktive brug af tjenesten og i det omfang efterfølgende opbevaring er nødvendig efter aftale, backup-cyklusser eller lovkrav. |
| Behandlingens art | Indsamling, registrering, strukturering, lagring, søgning, transskription, generering af svar, routing, udstilling i brugerflader, support, eksport, sletning og anden nødvendig behandling som følger af kundens instrukser og brug af platformen. |
| Kategorier af registrerede | Kundens egne medarbejdere og kontakter, indringere, chatbesøgende, slutkunder, leverandører og andre personer som indgår i kundens support- og kundeserviceflow. |
| Kategorier af personoplysninger | Kontaktoplysninger, samtale- og chatindhold, transskriptioner, logdata, routingdata, virksomhedsprofil, kalender- og åbningstidsdata, supportdata og andre oplysninger kunden uploader eller instruerer AiReply om at behandle. |
Bilag B - Underdatabehandlere
Listen nedenfor viser de underdatabehandlere, AiReply aktuelt anvender eller kan anvende afhængigt af den aktiverede funktionalitet i løsningen.
| Underdatabehandler | Formål | Lokation |
|---|---|---|
| OpenAI | AI-behandling, realtime voice, transskription og tekst-til-tale når OpenAI er aktiveret. | USA / EU afhængigt af den valgte OpenAI-kontrakt og tjenestevej |
| Google Cloud | Speech-to-Text og Text-to-Speech ved Google-aktiverede eller fallback-baserede voiceflows. | EU og/eller globale datacentre afhængigt af den aktiverede Google-tjeneste |
| SMTP2GO | Afsendelse af systemmails som login-koder, bekræftelseskoder og driftsmails. | EU og/eller globale datacentre afhængigt af aktiv mailrouting |
Bilag C - Tekniske og organisatoriske sikkerhedsforanstaltninger
Bilaget beskriver det overordnede sikkerhedsniveau og de kontrolkategorier, der understøtter AiReplys databehandlerrolle.
| Kontrolområde | Beskrivelse |
|---|---|
| Adgangskontrol | Rollebaseret adgang, login-verifikation, begrænsning af administrative rettigheder og løbende styring af aktive sessioner. |
| Kundeadskillelse | Logisk adskillelse af kundekonti, modeller, profiler, vidensbaser og relaterede data på tværs af platformen. |
| Logning og sporbarhed | Logning af centrale sikkerhedsrelevante hændelser, loginforsøg, systemmæssige ændringer og andre nødvendige driftsaktiviteter. |
| Drift og robusthed | Backup-, genstart-, opdaterings- og overvågningsprocedurer tilpasset platformens funktioner og den aktuelle driftsarkitektur. |
| Hændelseshåndtering | Interne procedurer for identifikation, håndtering og varsling ved brud på persondatasikkerheden. |
| Leverandørstyring | Brug af underdatabehandlere sker på kontraktligt grundlag med databeskyttelseskrav, der i det væsentlige svarer til denne aftale. |