Hopp til hovedinnhold

Databehandleravtale

Gyldig fra:

Denne databehandleravtalen ("DPA") er en del av tjenestevilkårene og gjelder automatisk for alle betalende kunder. Den gjelder når Jonot Oy (foretaksnummer 3620928-7, "Jonot", "databehandler") behandler personopplysninger om sluttbrukere på vegne av kunden ("behandlingsansvarlig"). Rollene fastsettes i henhold til GDPR artikkel 28. Separat signatur er ikke nødvendig.

1. Roller og anvendelsesområde

Behandlingsansvarlig fastsetter formålene og midlene for behandlingen. Jonot behandler personopplysninger utelukkende som databehandler på vegne av behandlingsansvarlig. Denne DPA-en gjelder i den grad GDPR gjelder for behandlingen. Behandling utført av Polar (fakturering) utføres som selvstendig behandlingsansvarlig og er ikke underlagt denne DPA-en.

2. Behandlingsinstruksjoner

Jonot behandler personopplysninger kun etter dokumenterte instruksjoner fra behandlingsansvarlig – inkludert disse vilkårene, denne DPA-en og Kundens bruk av tjenesten – med mindre loven krever noe annet. I så fall vil Jonot informere om kravet før behandling, med mindre loven forbyr dette. Jonot vil informere behandlingsansvarlig dersom en instruksjon etter Jonots mening bryter med databeskyttelseslovgivningen.

3. Gjenstand, varighet, art og formål

Gjenstand og varighet, art og formål for behandlingen, samt kategorier av personopplysninger og registrerte, er beskrevet i vedlegg 1. Behandlingen fortsetter så lenge kunden har et aktivt abonnement, pluss oppbevaringsperiodene beskrevet i personvernerklæringen.

4. Konfidensialitet

Jonot sikrer at personer som er autorisert til å behandle personopplysninger, er underlagt taushetsplikt eller en passende lovfestet fortrolighetsforpliktelse.

5. Sikkerhet

Jonot iverksetter egnede tekniske og organisatoriske tiltak i henhold til GDPR artikkel 32 for å sikre et sikkerhetsnivå som er egnet til risikoen. Gjeldende tiltak er beskrevet i vedlegg 2.

6. Underdatabehandlere

Behandlingsansvarlig gir generell autorisasjon for bruk av underdatabehandlere. Gjeldende underdatabehandlere er oppført i vedlegg 3. Jonot pålegger hver underdatabehandler tilsvarende databeskyttelsesforpliktelser og er ansvarlig for deres handlinger. Jonot vil varsle om planlagte endringer og gi behandlingsansvarlig mulighet til å protestere.

7. Forespørsler fra registrerte

Jonot bistår behandlingsansvarlig med egnede tekniske og organisatoriske tiltak for å besvare forespørsler fra registrerte om innsyn, retting, sletting, begrensning, portabilitet eller innsigelse. Hvis Jonot mottar en slik forespørsel direkte, videresender Jonot den til behandlingsansvarlig og besvarer den ikke selv med mindre behandlingsansvarlig instruerer noe annet.

8. Bistand og databrudd

Jonot bistår behandlingsansvarlig i å oppfylle forpliktelsene etter GDPR artiklene 32–36. Når Jonot blir kjent med et brudd på personopplysningssikkerheten som berører behandlingsansvarliges data, informerer Jonot behandlingsansvarlig uten unødig forsinkelse og gir rimelig tilgjengelig informasjon.

9. Dataoverføringer

Jonot overfører ikke personopplysninger utenfor EØS uten en tilstrekkelighetsavgjørelse eller passende garantier slik som EUs standardkontraktsklausuler. Behandling i edge-nettverket kan skje globalt via vår infrastrukturleverandør; garantiene for slike overføringer er beskrevet i vedlegg 3.

10. Retur og sletting

Ved avslutning sletter eller returnerer Jonot personopplysningene i henhold til tjenestevilkårene: 30-dagers eksportperiode, sletting av produksjonsdata og utfasing av sikkerhetskopier innen 90 dager, med mindre loven krever oppbevaring.

11. Revisjon

Jonot stiller til rådighet informasjon som er nødvendig for å demonstrere etterlevelse av denne DPA-en og tillater og bidrar til revisjoner. Jonot kan oppfylle denne forpliktelsen gjennom dokumentasjon eller tredjepartsrapporter. Stedlige revisjoner krever rimelig varsel og konfidensialitet og finner sted maksimalt én gang per år med mindre brudd mistenkes.

12. Ansvar og endringer

Ansvar under denne DPA-en er underlagt ansvarsbegrensningene i tjenestevilkårene. Jonot kan oppdatere denne DPA-en for å gjenspeile juridiske eller driftsmessige endringer; vesentlige endringer varsles i henhold til tjenestevilkårene.

Vedlegg 1 — Behandlingsbeskrivelse

  • Gjenstand og formål: levering av virtuell køstyring til behandlingsansvarlig.
  • Art: lagring, visning og sanntidsbehandling av sluttbrukeres kødata.
  • Kategorier av personopplysninger: navn, telefonnumre, køhistorikk og kølapp-metadata for sluttbrukere; kontodata for personalbrukere.
  • Kategorier av registrerte: sluttbrukere som setter seg i Kundens køer og Kundens personalbrukere.
  • Varighet: abonnementsperioden og oppbevaringsperiodene i henhold til personvernerklæringen.

Vedlegg 2 — Sikkerhetstiltak

  • Kryptering under overføring (HTTPS i edge-nettverket).
  • Tilgangskontroll og prinsippet om minste privilegium.
  • Hastighetsbegrensning og autentisering i edge-nettverket.
  • Sikkerhetskopier og utfasing.
  • Tilgangs- og hendelseslogging.

Vedlegg 3 — Underdatabehandlere

  • Cloudflare: hosting, database (D1), Durable Objects og edge.
  • E-postleverandør: transaksjons-e-post (f.eks. bekreftelser).
  • Polar: fakturering; opptrer som selvstendig behandlingsansvarlig (ikke en underdatabehandler under denne DPA-en).

Spørsmål: info@jonot.io.