Databehandleravtale (DPA)
Sist oppdatert: 2. juli 2026
Denne databehandleravtalen («avtalen») inngås mellom kunden («behandlingsansvarlig») og [Selskapsnavn AS] (org.nr [org.nr]) («databehandler») og regulerer databehandlers behandling av personopplysninger på vegne av behandlingsansvarlig i forbindelse med den hostede tjenesten. Avtalen er en del av vilkårene og gjelder så lenge behandlingen pågår.
1. Formål og omfang
Databehandler behandler personopplysninger utelukkende for å levere den hostede tjenesten til behandlingsansvarlig, og kun etter dokumenterte instrukser fra behandlingsansvarlig – herunder disse vilkårene og bruken av tjenesten.
2. Kategorier av registrerte og personopplysninger
Behandlingen omfatter typisk:
- ▪Registrerte: behandlingsansvarliges ansatte og brukere av instansen.
- ▪Opplysninger: kallenavn, avdeling, valgfritt profilbilde (avatar), administrators e-postadresse, og hendelser om logget konsum (drikketype, tidspunkt, stasjon).
- ▪Ingen særlige kategorier av personopplysninger skal legges inn i tjenesten.
3. Databehandlers plikter
- ▪Behandle personopplysninger kun etter behandlingsansvarliges instruks.
- ▪Sikre at personer med tilgang har taushetsplikt.
- ▪Iverksette egnede tekniske og organisatoriske sikkerhetstiltak (GDPR art. 32), herunder kryptert overføring, tilgangsstyring og sikkerhetskopi.
- ▪Bistå behandlingsansvarlig med å oppfylle plikter overfor de registrerte og tilsynsmyndigheter.
4. Underdatabehandlere
Behandlingsansvarlig gir generell forhåndsgodkjenning til bruk av underdatabehandlere. Databehandler inngår avtale med hver underdatabehandler med tilsvarende forpliktelser, og varsler ved planlagte endringer slik at behandlingsansvarlig kan protestere. Nåværende underdatabehandlere:
- ▪Hetzner Online GmbH – hosting/lagring (EU).
- ▪Stripe – betalingsbehandling.
- ▪Resend – transaksjons-e-post.
5. Aggregerte og anonymiserte data
Databehandler kan produsere aggregerte og anonymiserte data fra behandlingen – for eksempel et samlet totaltall for antall loggede kopper på tvers av alle kunder – og bruke slike data til statistikk, drift, forbedring og markedsføring av tjenesten. Dette er kun tillatt når dataene er irreversibelt anonymisert slik at verken en registrert eller en enkeltkunde kan identifiseres. Slike anonyme data regnes ikke som personopplysninger og er ikke underlagt denne avtalen.
6. Registrertes rettigheter og sikkerhetsbrudd
Databehandler bistår behandlingsansvarlig med å besvare henvendelser fra registrerte om deres rettigheter. Ved brudd på personopplysningssikkerheten varsler databehandler behandlingsansvarlig uten ugrunnet opphold, og bistår med nødvendig informasjon.
7. Overføring til tredjeland
Personopplysninger behandles og lagres innenfor EU/EØS og overføres ikke til land utenfor EØS uten at det foreligger et gyldig overføringsgrunnlag og behandlingsansvarliges godkjenning.
8. Sletting og retur
Ved opphør av tjenesten sletter databehandler, etter behandlingsansvarliges valg, alle personopplysninger eller returnerer dem, og sletter eksisterende kopier innen en rimelig frist, med mindre lagring er lovpålagt.
9. Revisjon
Databehandler gjør tilgjengelig informasjon som er nødvendig for å dokumentere at pliktene i denne avtalen overholdes, og muliggjør revisjoner på rimelige vilkår.
10. Varighet og lovvalg
Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig. Avtalen reguleres av norsk rett.
11. Kontakt
Spørsmål om databehandlingen: personvern@questroasted.app.