Databehandleravtale (DPA)

Sist oppdatert: 1. mars 2026

Denne databehandleravtalen (“Avtalen”) regulerer behandling av personopplysninger i forbindelse med bruk av bookingtjenesten levert av:

Bjerke Media (org.nr. 832 217 492)

heretter kalt Databehandler

og

Virksomheten som bruker bookingtjenesten

heretter kalt Behandlingsansvarlig.

Avtalen er inngått i henhold til personvernforordningen (GDPR) artikkel 28.

1. Avtalens formål

Formålet med avtalen er å regulere Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig i forbindelse med levering og drift av bookingtjenesten.

Databehandler behandler personopplysninger utelukkende for å levere tjenesten i samsvar med hovedavtalen.

2. Behandlingens art og formål

Databehandler behandler personopplysninger for å:

  • muliggjøre timebestilling og kalenderadministrasjon
  • registrere og administrere bookinger
  • lagre kundekommunikasjon og merknader
  • sende varsler og bekreftelser knyttet til bookinger
  • sikre stabil drift og teknisk funksjonalitet

3. Typer personopplysninger

Følgende personopplysninger kan behandles:

  • navn
  • telefonnummer
  • e-postadresse
  • bookingdetaljer (tidspunkt, tjeneste, merknader)
  • kommunikasjon sendt via bookingsystemet
  • tekniske opplysninger (IP-adresse, enhet, tidspunkt)

4. Kategorier av registrerte

Personopplysninger kan gjelde:

  • Behandlingsansvarliges kunder og sluttbrukere
  • personer som bestiller timer via bookingløsningen
  • ansatte eller representanter hos Behandlingsansvarlig

5. Databehandlers plikter

Databehandler skal:

  • behandle personopplysninger kun etter dokumenterte instrukser fra Behandlingsansvarlig
  • sikre at personer med tilgang til opplysningene er underlagt taushetsplikt
  • iverksette nødvendige tekniske og organisatoriske sikkerhetstiltak
  • bistå Behandlingsansvarlig med å oppfylle rettigheter etter GDPR
  • varsle uten ugrunnet opphold ved brudd på personopplysningssikkerheten
  • slette eller returnere personopplysninger ved avtalens opphør

6. Behandlingsansvarliges plikter

Behandlingsansvarlig er ansvarlig for:

  • å ha gyldig behandlingsgrunnlag for personopplysninger
  • å informere registrerte om behandlingen
  • å sikre at opplysningene som registreres er relevante og korrekte
  • å overholde gjeldende personvernlovgivning

7. Bruk av underdatabehandlere

Databehandler kan benytte underdatabehandlere for drift og levering av tjenesten, for eksempel:

  • hosting og infrastrukturleverandører
  • e-post- og varslingstjenester
  • analyse- og sikkerhetstjenester

Databehandler skal sikre at underdatabehandlere er bundet av tilsvarende personvernforpliktelser.

Oppdatert oversikt over underdatabehandlere skal være tilgjengelig på forespørsel.

8. Overføring til tredjeland

Personopplysninger behandles primært innen EU/EØS.

Dersom overføring til land utenfor EU/EØS skjer, skal dette sikres gjennom gyldig overføringsgrunnlag i samsvar med GDPR, som EU-kommisjonens standard kontraktsklausuler.

9. Informasjonssikkerhet

Databehandler skal implementere egnede tekniske og organisatoriske tiltak for å sikre:

  • konfidensialitet
  • integritet
  • tilgjengelighet
  • robusthet i behandlingssystemene

Tiltakene skal stå i forhold til risikoen ved behandlingen.

10. Avvik og sikkerhetsbrudd

Databehandler skal uten ugrunnet opphold varsle Behandlingsansvarlig dersom det oppdages brudd på personopplysningssikkerheten.

Varslingen skal inneholde tilgjengelig informasjon om:

  • hendelsens art
  • hvilke data som er berørt
  • sannsynlige konsekvenser
  • tiltak som er iverksatt

11. Bistand til den behandlingsansvarlige

Databehandler skal, så langt det er mulig, bistå Behandlingsansvarlig med:

  • håndtering av innsyns- og sletteforespørsler
  • vurdering av personvernkonsekvenser (DPIA)
  • dialog med tilsynsmyndigheter

12. Lagring og sletting

Personopplysninger lagres så lenge avtalen er aktiv.

Ved opphør av avtalen slettes eller anonymiseres opplysningene innen rimelig tid, med mindre lagring er påkrevd etter lov.

13. Revisjon og dokumentasjon

Behandlingsansvarlig kan be om dokumentasjon som viser at Databehandler overholder denne avtalen.

14. Varighet

Avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig.

15. Lovvalg og verneting

Avtalen reguleres av norsk rett.

Eventuelle tvister behandles ved ordinære domstoler med Databehandlers verneting som rett verneting.