Flokkify Control

Databehandleravtale

Versjon: v1

Denne databehandleravtalen («Avtalen») er inngått mellom din virksomhet («Behandlingsansvarlig») og Vidd Studio AS, org.nr. 937 363 435, som leverandør av Flokkify («Databehandler»), og regulerer Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig, i samsvar med GDPR artikkel 28.

1. Parter og formål

Behandlingsansvarlig er virksomheten som abonnerer på Flokkify Control og som er ansvarlig for at behandling av personopplysninger skjer lovlig. Databehandler er Vidd Studio AS som behandler personopplysninger på vegne av Behandlingsansvarlig for å levere tjenesten.

2. Behandlingens art og formål

Databehandler behandler personopplysninger utelukkende for å levere, drifte og vedlikeholde tjenesten Flokkify Control. Behandling skjer på grunnlag av Behandlingsansvarliges instrukser og i samsvar med disse vilkårene. Databehandler skal ikke bruke opplysningene til egne formål.

3. Kategorier av registrerte

Følgende kategorier av registrerte er berørt av behandlingen:

  • Ansatte og administratorer i Behandlingsansvarligs virksomhet
  • Sjåfører registrert i flåteadministrasjonssystemet

4. Typer personopplysninger

Følgende typer personopplysninger behandles:

  • Ansattdata: navn, e-postadresse, rolle i organisasjonen
  • Kjøretøydata: registreringsnummer, EU-kontrolldatoer, servicedatoer, merknader
  • Sjåførdata: navn, kontaktinformasjon, tilknyttede kjøretøy
  • Skaderapporter: beskrivelse, tidspunkt, bilder lastet opp av brukere

5. Databehandlerens plikter

Databehandler forplikter seg til å:

  • Behandle personopplysninger kun i henhold til dokumenterte instrukser fra Behandlingsansvarlig
  • Sikre at personer med tilgang til opplysningene er underlagt taushetsplikt
  • Iverksette tekniske og organisatoriske tiltak for å sikre tilstrekkelig sikkerhetsnivå
  • Bistå Behandlingsansvarlig med å overholde GDPR-forpliktelser, herunder håndtering av rettighetsforespørsler
  • Slette eller tilbakelevere alle personopplysninger ved avslutning av avtalen
  • Gjøre tilgjengelig all informasjon som er nødvendig for å påvise overholdelse av GDPR artikkel 28

6. Underbehandlere

Databehandler benytter følgende kategorier av underbehandlere for å levere tjenesten: skyleverandør (infrastruktur og lagring), betalingsprosessor (Stripe Inc.), e-posttjeneste for varsler og leverandør av produktanalyse (PostHog, med behandling i EU/EØS). Behandlingsansvarlig gir generell tillatelse til bruk av underbehandlere. Databehandler pålegger underbehandlere tilsvarende forpliktelser som i denne Avtalen.

7. Overføringer til tredjeland

Personopplysninger lagres primært innenfor EØS. Dersom overføring til tredjeland er nødvendig, skjer dette kun på grunnlag av EUs standardkontraktsbestemmelser (SCC) eller tilsvarende gyldig overføringsgrunnlag i henhold til GDPR kapittel V.

8. Sikkerhetstiltak

Databehandler iverksetter følgende tekniske og organisatoriske sikkerhetstiltak: kryptering av data i overføring (TLS) og hvile, tilgangskontroll basert på minste privilegium, regelmessige sikkerhetsvurderinger, og hendelsesresponsrutiner. Tiltakene er tilpasset risikonivået forbundet med behandlingen.

9. Varsling ved brudd

Databehandler varsler Behandlingsansvarlig uten unødig opphold, og senest innen 72 timer, etter å ha fått kjennskap til et personvernbrudd. Varselet skal inneholde informasjon om bruddet, berørte kategorier og omtrentlig antall registrerte, sannsynlige konsekvenser og iverksatte tiltak.

10. Revisjon og innsyn

Behandlingsansvarlig har rett til å gjennomføre revisjoner eller engasjere en uavhengig revisor for å kontrollere at Databehandler overholder denne Avtalen. Databehandler medvirker til slike revisjoner ved å gi tilgang til nødvendig dokumentasjon.

11. Varighet og oppsigelse

Avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig, det vil si i abonnementets løpetid. Ved opphør av abonnementet slettes personopplysninger innen 90 dager, med mindre lenger lagringstid er påkrevd av lov.

12. Kontakt

Spørsmål om denne databehandleravtalen kan rettes til Vidd Studio AS per e-post på personvern@flokkify.no.