Utkast – under juridisk gjennomgang

Databehandleravtale (DPA)

Versjon 1.0 · 11. juni 2026. Denne avtalen inngås automatisk som del av Tjenestevilkårene for EventFeed.

1. Parter og bakgrunn

Avtalen inngås mellom Kunden som behandlingsansvarlig og Margareto Software AS, org.nr 931 338 811, Malvik («Databehandler»), og regulerer Databehandlerens behandling av personopplysninger på vegne av Kunden ved levering av EventFeed, i samsvar med personvernforordningen (GDPR) artikkel 28 og personopplysningsloven.

2. Behandlingens art, formål og varighet

2.1. Formål: levering, drift, support og fakturering av Tjenesten.

2.2. Kategorier av registrerte: Kundens kontaktpersoner og brukere av administrasjonspanelet.

2.3. Kategorier av personopplysninger: navn, e-postadresse, organisasjonstilknytning, innloggings- og brukslogger, fakturareferanser.

2.4. Sluttbrukere av widgeten: widgeten setter ikke informasjonskapsler og lagrer ingen identifikatorer om besøkende på Kundens nettsider. IP-adresser behandles flyktig i ordinære driftslogger hos infrastrukturleverandøren av sikkerhetshensyn.

2.5. Arrangementsdata innhentet fra offentlige kilder (titler, steder, arrangørnavn m.m.) kan unntaksvis inneholde personopplysninger (f.eks. utøvernavn). For denne behandlingen er Leverandøren selvstendig behandlingsansvarlig; den omfattes ikke av denne avtalen.

2.6. Varighet: så lenge Kunden har konto, jf. punkt 9.

3. Databehandlerens plikter

Databehandleren skal (a) kun behandle personopplysninger etter dokumenterte instrukser fra Kunden, slik de fremgår av denne avtalen og Tjenestens funksjonalitet; (b) sikre at personer med tilgang er underlagt taushetsplikt; (c) gjennomføre egnede tekniske og organisatoriske tiltak etter GDPR art. 32, jf. punkt 6; (d) bistå Kunden med å besvare henvendelser fra registrerte (art. 12–23) og med plikter etter art. 32–36; (e) varsle Kunden uten ugrunnet opphold dersom en instruks etter Databehandlerens syn strider mot GDPR; (f) slette eller tilbakelevere opplysningene ved opphør, jf. punkt 9.

4. Underdatabehandlere

Kunden gir generell forhåndsgodkjenning til bruk av underdatabehandlere. Gjeldende liste:

UnderdatabehandlerTjenesteLokasjon / overføringsgrunnlag
Google Cloud / Firebase (Google Ireland Ltd.) Hosting, database, lagring, drift EU/EØS (europe-west1, Belgia)
Anthropic AI-basert klassifisering og deduplisering av offentlig arrangementsinnhold (ikke kundepersondata) USA — EU–U.S. Data Privacy Framework / SCC
Apify Technologies s.r.o. Innhenting av offentlig tilgjengelige nettsider (kilder) Tsjekkia (EU)
SparkPost (Bird) Utsendelse av transaksjonelle e-poster (varsler, kvitteringer) EU-region; ev. USA — SCC/DPF

Endringer i listen varsles minst 30 dager før ny underdatabehandler tas i bruk. Kunden kan fremme saklig innsigelse; dersom partene ikke finner en løsning, kan Kunden si opp Tjenesten med virkning fra endringen. Databehandleren hefter fullt ut for underdatabehandleres oppfyllelse.

5. Overføring til tredjeland

Kundens personopplysninger lagres og behandles primært i EU/EØS. Der underdatabehandlere utenfor EØS benyttes (jf. tabellen), skjer overføring kun med gyldig overføringsgrunnlag etter GDPR kapittel V (adekvansbeslutning/EU–U.S. DPF eller EUs standardkontraktsvilkår med supplerende tiltak).

6. Sikkerhetstiltak

Blant annet: kryptering under overføring (TLS 1.2+) og ved lagring; tilgangsstyring etter minste privilegium med tofaktorautentisering for administrativ tilgang; logging av administrative hendelser; løpende sikkerhetsoppdateringer; automatiserte sikkerhetskopier med definert gjenopprettingsrutine; skille mellom produksjons- og utviklingsmiljø.

7. Avvik og brudd på personopplysningssikkerheten

Databehandleren varsler Kunden uten ugrunnet opphold, og senest innen 48 timer etter å ha fått kjennskap til brudd på personopplysningssikkerheten. Varselet skal så langt mulig beskrive bruddets art, berørte kategorier, sannsynlige konsekvenser og iverksatte tiltak, slik at Kunden kan oppfylle sin meldeplikt til Datatilsynet (art. 33) og de registrerte (art. 34).

8. Revisjon

Kunden kan én gang per år, med rimelig varsel, kreve dokumentasjon på etterlevelse av denne avtalen, primært i form av skriftlig egenrapportering og tredjepartsattestasjoner fra underdatabehandlere (f.eks. Googles ISO 27001/SOC-rapporter). Stedlig revisjon kan avtales der dokumentasjonen ikke er tilstrekkelig; Kunden dekker egne kostnader.

9. Varighet og opphør

Avtalen gjelder så lenge Databehandleren behandler personopplysninger på vegne av Kunden. Ved opphør av kundeforholdet slettes eller tilbakeleveres Kundens personopplysninger innen 90 dager, med mindre lagring er lovpålagt (f.eks. bokføringsloven for fakturadata). Sletting omfatter sikkerhetskopier i takt med ordinær rotasjon.

10. Lovvalg og tilsyn

Avtalen reguleres av norsk rett med Trøndelag tingrett som verneting, jf. Tjenestevilkårene. Tilsynsmyndighet er Datatilsynet.

Kontakt for personvernhenvendelser: hei@eventfeed.no · Margareto Software AS, org.nr 931 338 811, Malvik.