Utkast – under juridisk gjennomgang
Databehandleravtale (DPA)
1. Parter og bakgrunn
Avtalen inngås mellom Kunden som behandlingsansvarlig og Margareto Software AS, org.nr 931 338 811, Malvik («Databehandler»), og regulerer Databehandlerens behandling av personopplysninger på vegne av Kunden ved levering av EventFeed, i samsvar med personvernforordningen (GDPR) artikkel 28 og personopplysningsloven.
2. Behandlingens art, formål og varighet
2.1. Formål: levering, drift, support og fakturering av Tjenesten.
2.2. Kategorier av registrerte: Kundens kontaktpersoner og brukere av administrasjonspanelet.
2.3. Kategorier av personopplysninger: navn, e-postadresse, organisasjonstilknytning, innloggings- og brukslogger, fakturareferanser.
2.4. Sluttbrukere av widgeten: widgeten setter ikke informasjonskapsler og lagrer ingen identifikatorer om besøkende på Kundens nettsider. IP-adresser behandles flyktig i ordinære driftslogger hos infrastrukturleverandøren av sikkerhetshensyn.
2.5. Arrangementsdata innhentet fra offentlige kilder (titler, steder, arrangørnavn m.m.) kan unntaksvis inneholde personopplysninger (f.eks. utøvernavn). For denne behandlingen er Leverandøren selvstendig behandlingsansvarlig; den omfattes ikke av denne avtalen.
2.6. Varighet: så lenge Kunden har konto, jf. punkt 9.
3. Databehandlerens plikter
Databehandleren skal (a) kun behandle personopplysninger etter dokumenterte instrukser fra Kunden, slik de fremgår av denne avtalen og Tjenestens funksjonalitet; (b) sikre at personer med tilgang er underlagt taushetsplikt; (c) gjennomføre egnede tekniske og organisatoriske tiltak etter GDPR art. 32, jf. punkt 6; (d) bistå Kunden med å besvare henvendelser fra registrerte (art. 12–23) og med plikter etter art. 32–36; (e) varsle Kunden uten ugrunnet opphold dersom en instruks etter Databehandlerens syn strider mot GDPR; (f) slette eller tilbakelevere opplysningene ved opphør, jf. punkt 9.
4. Underdatabehandlere
Kunden gir generell forhåndsgodkjenning til bruk av underdatabehandlere. Gjeldende liste:
| Underdatabehandler | Tjeneste | Lokasjon / overføringsgrunnlag |
|---|---|---|
| Google Cloud / Firebase (Google Ireland Ltd.) | Hosting, database, lagring, drift | EU/EØS (europe-west1, Belgia) |
| Anthropic | AI-basert klassifisering og deduplisering av offentlig arrangementsinnhold (ikke kundepersondata) | USA — EU–U.S. Data Privacy Framework / SCC |
| Apify Technologies s.r.o. | Innhenting av offentlig tilgjengelige nettsider (kilder) | Tsjekkia (EU) |
| SparkPost (Bird) | Utsendelse av transaksjonelle e-poster (varsler, kvitteringer) | EU-region; ev. USA — SCC/DPF |
Endringer i listen varsles minst 30 dager før ny underdatabehandler tas i bruk. Kunden kan fremme saklig innsigelse; dersom partene ikke finner en løsning, kan Kunden si opp Tjenesten med virkning fra endringen. Databehandleren hefter fullt ut for underdatabehandleres oppfyllelse.
5. Overføring til tredjeland
Kundens personopplysninger lagres og behandles primært i EU/EØS. Der underdatabehandlere utenfor EØS benyttes (jf. tabellen), skjer overføring kun med gyldig overføringsgrunnlag etter GDPR kapittel V (adekvansbeslutning/EU–U.S. DPF eller EUs standardkontraktsvilkår med supplerende tiltak).
6. Sikkerhetstiltak
Blant annet: kryptering under overføring (TLS 1.2+) og ved lagring; tilgangsstyring etter minste privilegium med tofaktorautentisering for administrativ tilgang; logging av administrative hendelser; løpende sikkerhetsoppdateringer; automatiserte sikkerhetskopier med definert gjenopprettingsrutine; skille mellom produksjons- og utviklingsmiljø.
7. Avvik og brudd på personopplysningssikkerheten
Databehandleren varsler Kunden uten ugrunnet opphold, og senest innen 48 timer etter å ha fått kjennskap til brudd på personopplysningssikkerheten. Varselet skal så langt mulig beskrive bruddets art, berørte kategorier, sannsynlige konsekvenser og iverksatte tiltak, slik at Kunden kan oppfylle sin meldeplikt til Datatilsynet (art. 33) og de registrerte (art. 34).
8. Revisjon
Kunden kan én gang per år, med rimelig varsel, kreve dokumentasjon på etterlevelse av denne avtalen, primært i form av skriftlig egenrapportering og tredjepartsattestasjoner fra underdatabehandlere (f.eks. Googles ISO 27001/SOC-rapporter). Stedlig revisjon kan avtales der dokumentasjonen ikke er tilstrekkelig; Kunden dekker egne kostnader.
9. Varighet og opphør
Avtalen gjelder så lenge Databehandleren behandler personopplysninger på vegne av Kunden. Ved opphør av kundeforholdet slettes eller tilbakeleveres Kundens personopplysninger innen 90 dager, med mindre lagring er lovpålagt (f.eks. bokføringsloven for fakturadata). Sletting omfatter sikkerhetskopier i takt med ordinær rotasjon.
10. Lovvalg og tilsyn
Avtalen reguleres av norsk rett med Trøndelag tingrett som verneting, jf. Tjenestevilkårene. Tilsynsmyndighet er Datatilsynet.
Kontakt for personvernhenvendelser: hei@eventfeed.no · Margareto Software AS, org.nr 931 338 811, Malvik.