Databehandleravtale (DPA)

Ikrafttredelsesdato: 17. mars 2025

Denne databehandleravtalen (“Avtalen”) er inngått mellom:

Behandlingsansvarlig: Brukeren eller klienten av Vonde Technology-tjenester (“Data Controller”)

og

Databehandler: Vonde Technology, som drives av KMAK Kelet-Magyarországi Adatközpont Kft. (“Databehandler”)

  1. Definisjoner

Vilkår definert av GDPR (forordning EU 2016/679) gjelder for denne avtalen:

  • “Personopplysninger”: enhver opplysning om en identifisert eller identifiserbar fysisk person.
  • “Behandling”: enhver operasjon som utføres på personopplysninger, for eksempel innsamling, lagring, endring, overføring eller sletting av data.
  • “Datainnbrudd”: Uautorisert tilgang, endring, utlevering eller tap av personopplysninger.
  1. Emne og varighet av behandlingen

Databehandleren behandler personopplysninger utelukkende for å levere følgende tjenester:

  • Opprettelse og administrasjon av digitale visittkort (Biopage)
  • Forkorting av nettadresser
  • Håndtering av NFC- og QR-koder
  • Apple/Google Wallet-integrering

Databehandlingen fortsetter så lenge tjenestene leveres eller til den behandlingsansvarlige avslutter tjenestene.

  1. Kategorier av personopplysninger som behandles
  • Kontaktinformasjon: Navn, e-postadresse, telefonnummer
  • Transaksjons- og abonnementsinformasjon (hvis aktuelt)
  • Tekniske data: IP-adresser, enhetsidentifikatorer, OS-informasjon
  • Bruksdata og analyser
  1. Forpliktelser for databehandlere

Databehandleren forplikter seg til å:

  • Behandle personopplysninger utelukkende etter dokumenterte instruksjoner fra den behandlingsansvarlige.
  • Opprettholde streng konfidensialitet for personopplysninger.
  • Sørg for at alt personell som behandler personopplysninger, er bundet av taushetsplikt.
  • Implementere egnede tekniske og organisatoriske tiltak for å beskytte personopplysninger, inkludert, men ikke begrenset til, kryptering, sikker lagring, tilgangskontroller og regelmessige sikkerhetsrevisjoner.
  • Varsle den behandlingsansvarlige omgående og uten unødig forsinkelse i tilfelle brudd på datasikkerheten, og gi all nødvendig informasjon for å hjelpe den behandlingsansvarlige med å oppfylle sine forpliktelser i henhold til GDPR.
  • Tillate Behandlingsansvarlig å gjennomføre revisjoner eller inspeksjoner med rimelig forhåndsvarsel for å verifisere overholdelse av denne Avtalen.
  • Informer behandlingsansvarlig umiddelbart om eventuelle forespørsler fra registrerte eller myndigheter knyttet til de behandlede personopplysningene.
  • Overholde GDPR og alle andre gjeldende lover og forskrifter om databeskyttelse.
  1. Underprosessorer

Databehandleren kan engasjere følgende underdatabehandlere:

  • Amazon Web Services (AWS): leverandør av nettskyinfrastruktur
  • Google (Firebase, AdMob, Analytics): analyse- og annonseringstjenester

Databehandleren sørger for at underdatabehandlere overholder de samme personvernforpliktelsene som er beskrevet i denne avtalen, og er ansvarlig for deres handlinger og unnlatelser. Databehandleren skal gi den behandlingsansvarlige en liste over underdatabehandlere og skal informere den behandlingsansvarlige om eventuelle planlagte endringer når det gjelder tillegg eller utskifting av andre underdatabehandlere, slik at den behandlingsansvarlige får mulighet til å protestere mot slike endringer.

  1. Overføring av data

Internasjonale overføringer av data vil være i samsvar med GDPR-standardene og omfatte sikkerhetstiltak som EUs standardkontraktsklausuler eller andre egnede overføringsmekanismer for å sikre et tilstrekkelig beskyttelsesnivå.

  1. Forpliktelser for behandlingsansvarlige

Den behandlingsansvarlige er ansvarlig for:

  • Sikre et gyldig juridisk grunnlag for behandling av personopplysninger.
  • Informere de registrerte om databehandlingsaktiviteter på en åpen måte.
  • Svare på forespørsler fra registrerte og oppfylle forpliktelser i henhold til GDPR eller relevante personvernforskrifter, inkludert, men ikke begrenset til, å gi innsyn, retting, sletting, begrensning, portabilitet og retten til å protestere mot behandling.
  1. Sikkerhetstiltak

Databehandleren iverksetter tekniske og organisatoriske tiltak for å ivareta sikkerheten til personopplysningene, herunder:

  • Kryptering av personopplysninger både under transport og i ro.
  • Sikker lagring av personopplysninger.
  • Tilgangskontroll til personopplysninger, slik at kun autorisert personell får tilgang.
  • Regelmessige sikkerhetsrevisjoner og sårbarhetsvurderinger.
  • Implementering av passende autentiserings- og autorisasjonsmekanismer.
  • Regelmessig sikkerhetskopiering av data og prosedyrer for gjenoppretting etter katastrofer.
  1. Varsling av datainnbrudd

Ved brudd på personvernreglene skal databehandleren varsle den behandlingsansvarlige uten unødig forsinkelse, og under alle omstendigheter innen 72 timer etter at databehandleren har fått kjennskap til bruddet. Meldingen skal inneholde all relevant informasjon som kreves i henhold til GDPR, for eksempel bruddets art, hvilke kategorier og antall registrerte som er berørt, de sannsynlige konsekvensene og tiltakene som er iverksatt eller foreslått iverksatt for å håndtere bruddet. Databehandleren skal samarbeide fullt ut med den behandlingsansvarlige om å håndtere og avbøte bruddet.

  1. Den registrertes rettigheter

Databehandleren bistår den behandlingsansvarlige med å oppfylle forpliktelsene knyttet til de registrertes rettigheter, herunder innsyn, retting, sletting, begrensning, portabilitet og innsigelser mot behandling, ved å gi den behandlingsansvarlige nødvendig informasjon og verktøy for å svare på forespørsler fra de registrerte.

  1. Avslutning og sletting av data

Når tjenesten avsluttes, vil databehandleren enten slette eller returnere alle personopplysninger, basert på den behandlingsansvarliges dokumenterte instruksjoner, med mindre oppbevaring er påkrevd i henhold til unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt.

  1. Revisjoner og inspeksjoner

Den behandlingsansvarlige kan gjennomføre revisjoner, etter rimelig skriftlig forhåndsvarsel, for å verifisere overholdelse av denne avtalen. Databehandleren skal gi rimelig assistanse og tilgang til informasjon som er nødvendig for at den behandlingsansvarlige skal kunne gjennomføre slike revisjoner.

  1. Internasjonale overføringer

Databehandleren sørger for å overholde internasjonale standarder for dataoverføring, inkludert bruk av standard kontraktsklausuler eller andre egnede mekanismer, og vil implementere ytterligere sikkerhetstiltak etter behov for å sikre et tilstrekkelig beskyttelsesnivå for personopplysninger som overføres utenfor Det europeiske økonomiske samarbeidsområdet (EØS).

  1. Varsling av datainnbrudd

Databehandleren varsler den behandlingsansvarlige om ethvert brudd på datasikkerheten uten unødig forsinkelse, og under alle omstendigheter innen 72 timer etter å ha blitt oppmerksom på bruddet, og samarbeider fullt ut med å håndtere og redusere bruddet.

  1. Gjeldende lov

Denne avtalen skal være underlagt gjeldende EU-lover om databeskyttelse, inkludert GDPR, og eventuelle andre relevante jurisdiksjonsbestemmelser.

  1. Oppdateringer av denne avtalen

Vi forbeholder oss retten til å oppdatere denne avtalen med jevne mellomrom. Oppdateringer vil bli tydelig kommunisert til den behandlingsansvarlige, og den behandlingsansvarlige skal ha rett til å motsette seg slike endringer.

  1. Kontaktinformasjon

For eventuelle spørsmål knyttet til denne databehandleravtalen, vennligst kontakt:

KMAK Kelet-Magyarországi Adatközpont Kft.

H-5000 Szolnok, Szapáry utca 20.

E-post: [email protected]

Ved å benytte seg av Vonde Technologys tjenester forplikter begge parter seg til å overholde vilkårene som er spesifisert i denne databehandleravtalen.