Privatlivspolitik

Politik om beskyttelse af personoplysninger

Ikrafttrædelsesdato: 18. maj 2026 — Version 1.4 (opdateret 5. juni 2026)

Denne politik gælder for PennaSystems og alle produkter under platformen (PennaPay, PennaSchedule, PennaConnect, PennaShare, PennaVentory). Den redegør for, hvilke oplysninger vi indsamler, formålet hermed og Deres rettigheder i henhold til GDPR.

Kort version: Vi indsamler de oplysninger, der er nødvendige for at drive PennaSystems (Deres kontooplysninger, Deres fakturaer og Deres kundedata på Deres vegne). Vi sælger ikke data. Vi opretter ikke profiler til reklamebrug. De kan til enhver tid eksportere eller slette Deres data. Vi er en dansk enkeltmandsvirksomhed, der opererer under EU's GDPR — denne politik er kortfattet, præcis og bindende.

1. Hvem vi er

PennaSystems drives af en enkeltmandsvirksomhed (Personligt ejet Mindre Virksomhed / PMV) med hjemsted i Danmark, registreret hos Erhvervsstyrelsen under CVR-nummer 46522036. Henvisninger til "vi", "os" eller "PennaSystems" i denne politik refererer til denne registrerede enkeltmandsvirksomhed, hvis lovpligtige oplysninger om operatøren (herunder operatørens navn) fremgår af vores Impressum.

Kontakt: privacy@pennapay.com (PennaSystems, CVR 46522036)

Vi er dataansvarlig for de personoplysninger, vi indsamler om Dem direkte (Deres kontodata, Deres brug af platformen og Deres interaktioner med vores markedsføringssite og e-mails) — og vi agerer som dataansvarlig udelukkende for de data, der er nødvendige til fakturering, kontoadministration samt sikkerheds- og revisionslogning. Når De anvender platformen til at sende fakturaer, beskeder, filer eller bookinger til Deres egne kunder, er De dataansvarlig for Deres kunders personoplysninger, og vi er Deres databehandler i henhold til GDPR art. 28. Databehandleraftalen, der regulerer dette forhold, er indarbejdet i vores Servicevilkår.

Vi besvarer ordinære henvendelser inden for 5 hverdage og GDPR-anmodninger fra registrerede inden for én måned som krævet af GDPR art. 12(3).

Databeskyttelsesrådgiver (DPO): PennaSystems har ikke udpeget en databeskyttelsesrådgiver. I henhold til GDPR art. 37(1) er en DPO udelukkende obligatorisk, når en organisations kerneaktiviteter består i regelmæssig og systematisk overvågning af registrerede i stort omfang (art. 37(1)(b)) eller behandling af særlige kategorier af personoplysninger i stort omfang (art. 37(1)(c)). Som mikrovirksomhed (PMV) gør vi ingen af delene — vi behandler hverken særlige kategorier af personoplysninger eller øvrige personoplysninger i stort omfang — og opfylder derfor ikke tærsklerne i art. 37(1). Alle henvendelser vedrørende privatlivsbeskyttelse besvares direkte af operatøren på privacy@pennapay.com. Vi revurderer denne vurdering, efterhånden som platformen vokser.

2. Hvilke data vi indsamler og hvorfor

Kontodata (Dem, den freelancer der tilmelder sig):

Disse kategorier af personoplysninger: identitetsoplysninger (navn), kontaktoplysninger (e-mail, adresse), autentificeringsdata (adgangskodehash), virksomhedsdata (logo, virksomhedsnavn).

Kundedata (oplysninger om Deres kunder, som De selv indtaster):

Disse kategorier af personoplysninger om Deres kunder: identitetsoplysninger (navn), kontaktoplysninger (e-mail, adresse, telefon), transaktionsdata (fakturahistorik), indholdsdata (beskeder, filuploads).

Brugsdata (indsamles automatisk):

Disse kategorier af personoplysninger: tekniske data (IP, browser, tidsstempler), autentificeringsdata (sessionstokens).

3. Retsgrundlag for behandlingen (GDPR artikel 6)

4. Hvem vi deler Deres data med

Vi sælger ikke Deres data. Vi deler dem udelukkende med følgende underdatabehandlere, som alle er bundet af en databehandleraftale. For fuldstændige oplysninger om datakategorier og overførselsmekanismer, se vores side om underdatabehandlere.

Vi giver Dem besked mindst 30 dage, inden vi tilføjer en ny underdatabehandler.

Valgfrie integrationer. Hvis De tilknytter en tredjepartskonto (f.eks. en Meta- / Facebook Messenger- eller Instagram-konto) til PennaConnect, behandler vi de deraf følgende beskeder udelukkende på Deres vegne, som Deres databehandler, med henblik på at drive den integration, De har aktiveret — underlagt den pågældende tredjeparts egne privatlivsvilkår, hvorefter tredjeparten optræder som selvstændig dataansvarlig (eller fælles dataansvarlige sammen med Dem) og ikke som underdatabehandler for PennaPay. Disse integrationer er slået fra som standard og er angivet sammen med deres dataansvarsforhold og overførselsgrundlag på vores side om underdatabehandlere.

5. AI-assisterede funktioner

PennaSystems indeholder valgfrie AI-assisterede funktioner, der hjælper Dem med at udkaste fakturalinjeposter, skrive e-mails og udarbejde tilbud. Disse funktioner anvender Anthropic Claude API.

6. Internationale dataoverførsler

De fleste af vores underdatabehandlere er etableret i USA. Personoplysninger overføres på grundlag af et af følgende overførselsgrundlag, som er anerkendt under GDPR:

Overførsler til USA er beskyttet af mekanismer såsom EU-US Data Privacy Framework eller EU-Kommissionens standardkontraktbestemmelser (SCC'er), der er indarbejdet i vores aftaler med underdatabehandlerne, og vi vurderer løbende de risici, som overførslerne indebærer.

Vi overvåger løbende ændringer i tilstrækkelighedsafgørelser og overførselsmekanismer (f.eks. hvis en underdatabehandler opnår DPF-certificering, mister den, eller hvis databeskyttelsesrammen erklæres ugyldig af EU-Domstolen) og vil ajourføre denne erklæring inden for en rimelig tidsramme efter enhver væsentlig ændring. Registrerede brugere vil blive underrettet pr. e-mail, hvis en ændring væsentligt påvirker overførslen af deres data.

Har De særlige betænkeligheder vedrørende en bestemt overførsel, eller ønsker De at modtage en kopi af de relevante standardkontraktbestemmelser (SCC'er), bedes De kontakte os på privacy@pennapay.com.

7. Opbevaringsperioder

8. Deres rettigheder i henhold til GDPR

Som registreret i EU/EØS har De følgende rettigheder vedrørende de personoplysninger, vi behandler om Dem:

For at udøve disse rettigheder bedes De sende en e-mail til privacy@pennapay.com med ordene "GDPR-anmodning" i emnefeltet. Vi svarer uden unødig forsinkelse og under alle omstændigheder senest en måned efter modtagelsen af Deres anmodning, som krævet af GDPR Art. 12(3); er Deres anmodning kompliceret, kan vi forlænge fristen med yderligere to måneder og vil skriftligt oplyse Dem om årsagen hertil. Der opkræves intet gebyr for ordinære anmodninger; kun åbenbart grundløse eller overdrevent gentagne anmodninger kan være genstand for et rimeligt gebyr eller afvisning, jf. Art. 12(5).

9. Klage til tilsynsmyndigheden

Finder De, at vi ikke har behandlet Deres anmodning fyldestgørende, eller at vores behandling af Deres personoplysninger er i strid med GDPR, har De ret til at indgive en klage til en databeskyttelsestilsynsmyndighed. Den kompetente tilsynsmyndighed for PennaSystems er:

Datatilsynet
Carl Jacobsens Vej 35
2500 Valby, Danmark
datatilsynet.dk · [email protected]

De kan også indgive klage til tilsynsmyndigheden i det EU/EØS-land, hvor De har bopæl eller arbejdsplads.

10. Sikkerhed og underretning om brud

Vi implementerer passende tekniske og organisatoriske foranstaltninger til beskyttelse af Deres personoplysninger, herunder kryptering under overførsel (TLS 1.3) og i hvile, begrænset administrativ adgang sikret med to-faktor-autentificering, adskilte produktionsoplysninger og løbende logning. Vi baserer os på branchestandardpraksis fra vores underdatabehandlere (Railway, Cloudflare, Stripe) for den underliggende infrastruktursikkerhed.

Opstår der et brud på persondatasikkerheden, der sandsynligvis vil medføre en risiko for Deres rettigheder og frihedsrettigheder, underretter vi Datatilsynet uden unødig forsinkelse og, hvor det er muligt, inden for 72 timer efter at vi er blevet bekendt med bruddet (GDPR Art. 33). Er bruddet sandsynligvis forbundet med høj risiko, underretter vi Dem ligeledes direkte uden unødig forsinkelse (GDPR Art. 34).

11. Ændringer i denne privatlivspolitik

Vi kan fra tid til anden ajourføre denne privatlivspolitik for at afspejle ændringer i vores behandlingsaktiviteter, de underdatabehandlere vi anvender, eller gældende lovgivning. Væsentlige ændringer vil blive meddelt registrerede brugere pr. e-mail eller via in-app-notifikation mindst 30 dage, inden de træder i kraft, medmindre kortere varsel er påkrævet for at imødegå et sikkerheds- eller retligt problem. Den gældende version er altid tilgængelig på pennapay.com/privacy.html.

12. Kontakt

For spørgsmål om privatlivsbeskyttelse, anmodninger fra registrerede eller andre henvendelser i relation til denne politik, kontakt:

PennaSystems (CVR 46522036)
privacy@pennapay.com

Vi besvarer ordinære henvendelser inden for 5 hverdage og GDPR-anmodninger fra registrerede inden for én måned som krævet af GDPR Art. 12(3).