Databehandleravtale (DPA)

Sist oppdatert: 2. juli 2026

Denne databehandleravtalen («avtalen») inngås mellom kunden («behandlingsansvarlig») og [Selskapsnavn AS] (org.nr [org.nr]) («databehandler») og regulerer databehandlers behandling av personopplysninger på vegne av behandlingsansvarlig i forbindelse med den hostede tjenesten. Avtalen er en del av vilkårene og gjelder så lenge behandlingen pågår.

1. Formål og omfang

Databehandler behandler personopplysninger utelukkende for å levere den hostede tjenesten til behandlingsansvarlig, og kun etter dokumenterte instrukser fra behandlingsansvarlig – herunder disse vilkårene og bruken av tjenesten.

2. Kategorier av registrerte og personopplysninger

Behandlingen omfatter typisk:

  • Registrerte: behandlingsansvarliges ansatte og brukere av instansen.
  • Opplysninger: kallenavn, avdeling, valgfritt profilbilde (avatar), administrators e-postadresse, og hendelser om logget konsum (drikketype, tidspunkt, stasjon).
  • Ingen særlige kategorier av personopplysninger skal legges inn i tjenesten.

3. Databehandlers plikter

  • Behandle personopplysninger kun etter behandlingsansvarliges instruks.
  • Sikre at personer med tilgang har taushetsplikt.
  • Iverksette egnede tekniske og organisatoriske sikkerhetstiltak (GDPR art. 32), herunder kryptert overføring, tilgangsstyring og sikkerhetskopi.
  • Bistå behandlingsansvarlig med å oppfylle plikter overfor de registrerte og tilsynsmyndigheter.

4. Underdatabehandlere

Behandlingsansvarlig gir generell forhåndsgodkjenning til bruk av underdatabehandlere. Databehandler inngår avtale med hver underdatabehandler med tilsvarende forpliktelser, og varsler ved planlagte endringer slik at behandlingsansvarlig kan protestere. Nåværende underdatabehandlere:

  • Hetzner Online GmbH – hosting/lagring (EU).
  • Stripe – betalingsbehandling.
  • Resend – transaksjons-e-post.

5. Aggregerte og anonymiserte data

Databehandler kan produsere aggregerte og anonymiserte data fra behandlingen – for eksempel et samlet totaltall for antall loggede kopper på tvers av alle kunder – og bruke slike data til statistikk, drift, forbedring og markedsføring av tjenesten. Dette er kun tillatt når dataene er irreversibelt anonymisert slik at verken en registrert eller en enkeltkunde kan identifiseres. Slike anonyme data regnes ikke som personopplysninger og er ikke underlagt denne avtalen.

6. Registrertes rettigheter og sikkerhetsbrudd

Databehandler bistår behandlingsansvarlig med å besvare henvendelser fra registrerte om deres rettigheter. Ved brudd på personopplysningssikkerheten varsler databehandler behandlingsansvarlig uten ugrunnet opphold, og bistår med nødvendig informasjon.

7. Overføring til tredjeland

Personopplysninger behandles og lagres innenfor EU/EØS og overføres ikke til land utenfor EØS uten at det foreligger et gyldig overføringsgrunnlag og behandlingsansvarliges godkjenning.

8. Sletting og retur

Ved opphør av tjenesten sletter databehandler, etter behandlingsansvarliges valg, alle personopplysninger eller returnerer dem, og sletter eksisterende kopier innen en rimelig frist, med mindre lagring er lovpålagt.

9. Revisjon

Databehandler gjør tilgjengelig informasjon som er nødvendig for å dokumentere at pliktene i denne avtalen overholdes, og muliggjør revisjoner på rimelige vilkår.

10. Varighet og lovvalg

Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig. Avtalen reguleres av norsk rett.

11. Kontakt

Spørsmål om databehandlingen: personvern@questroasted.app.