EasyConsent
Personvernerklæring Tjenestevilkår Logg inn

Databehandleravtale

Sist oppdatert: February 12, 2026

1. Introduksjon

Denne databehandleravtalen ("DPA") utgjør en del av tjenestevilkårene mellom EasyConsent ("Databehandler") og deg, kunden ("Behandlingsansvarlig"), og regulerer behandlingen av personopplysninger utført av Databehandleren på vegne av den Behandlingsansvarlige.

Denne avtalen er i samsvar med kravene i personvernforordningen (GDPR) og andre relevante personvernlover.

2. Definisjoner

  • "Controller" betyr deg, kunden, som bestemmer formålet og midlene for behandling av personopplysninger.
  • "Processor" betyer EasyConsent, som behandler personopplysninger på vegne av den Behandlingsansvarlige.
  • "Personal Data" betyr enhver opplysning om en identifisert eller identifiserbar fysisk person.
  • "Processing" betyr enhver operasjon som gjøres med personopplysninger, som innsamling, lagring, bruk eller utlevering.
  • "Data Subject" betyr en identifisert eller identifiserbar fysisk person som personopplysningene gjelder.
  • "GDPR" betyr personvernforordningen (EU) 2016/679.
  • "Services" betyr EasyConsent-plattformen for håndtering av samtykke og relaterte tjenester.

3. Omfang og anvendelse

Denne avtalen gjelder for behandling av personopplysninger utført av Databehandleren på vegne av den Behandlingsansvarlige i forbindelse med levering av tjenestene.

3.1 Processing Activities: Databehandleren vil behandle personopplysninger for følgende formål:

  • Lagring og håndtering av samtykkeprotokoller
  • Overføring av samtykkedata til integrerte plattformer (Google Analytics, osv.)
  • Visning av samtykkehistorikk og analyse i kundens kontrollpanel
  • Analyse av samtykkemønstre for etterlevelsesrapportering

3.2 Categories of Personal Data: Følgende kategorier av personopplysninger kan bli behandlet:

  • Brukerens samtykkevalg (godta, avvise, tilpasse)
  • IP-adresser (hashet/anonymisert)
  • Enhetstype, nettleser og informasjon om operativsystem
  • Tidspunkt for samtykkehandling

4. Databehandlerens forpliktelser

4.1 Generelle forpliktelser

Databehandleren skal:

  • Behandle personopplysninger kun etter dokumenterte instrukser fra den Behandlingsansvarlige
  • Sikre at personer med tilgang til personopplysningene er underlagt taushetsplikt
  • Gjennomføre egnede tekniske og organisatoriske tiltak for å ivareta datasikkerheten
  • Kun benytte underdatabehandlere etter forhåndsgodkjenning fra den Behandlingsansvarlige
  • Bistå den Behandlingsansvarlige med å svare på forespørsler om de registrertes rettigheter
  • Varsle den Behandlingsansvarlige uten ugrunnet opphold ved brudd på personopplysningssikkerheten
  • Gjøre tilgjengelig all informasjon som er nødvendig for å dokumentere etterlevelse og muliggjøre revisjon

4.2 Sikkerhetstiltak

Databehandleren implementerer følgende sikkerhetstiltak:

  • Kryptering av data under transport (TLS/SSL) og ved lagring (AES-256)
  • Rollebasert tilgangskontroll og multifaktorautentisering
  • Regelmessig automatisk sikkerhetskopiering med kryptering
  • Kontinuerlig sikkerhetsovervåking og inntrengningsdeteksjon
  • Dokumenterte prosedyrer for hendelseshåndtering

5. Underdatabehandlere

Behandlingsansvarlig gir en generell tillatelse til bruk av underdatabehandlere. Databehandleren skal informere om eventuelle planer om å legge til eller bytte ut underdatabehandlere, slik at kunden kan motsette seg slike endringer.

Gjeldende underdatabehandlere:

Underdatabehandler Tjeneste levert Datalagring
Amazon Web Services (AWS) Skytjenester og infrastruktur EU (Frankfurt)
Stripe, Inc. Betalingsbehandling USA (GDPR-compliant)
Cloudflare, Inc. Innholdsleveringsnettverk (CDN) Global (EU storage)

Databehandleren sikrer at alle underdatabehandlere er bundet av vilkår som tilsvarer denne avtalen.

6. Internasjonale dataoverføringer

Personopplysninger lagres og behandles primært innenfor EØS.

6.1 Hovedlagringssted: Alle personopplysninger lagres på servere i EU (Frankfurt, Tyskland) operert av Amazon Web Services.

6.2 Overføring ut av EØS: Dersom personopplysninger overføres ut av EØS, sikrer Databehandleren nødvendige garantier, inkludert:

  • EUs standardkontrakter (SCC) godkjent av EU-kommisjonen
  • Beslutninger om tilstrekkelig beskyttelsesnivå for visse land
  • Sterk kryptering under transport og lagring

7. Registrertes rettigheter

Databehandleren skal bistå Behandlingsansvarlig med å svare på krav fra registrerte som utøver sine rettigheter etter GDPR, inkludert:

  • Rett til innsyn: Gi tilgang til personopplysninger ved forespørsel
  • Rett til retting: Rette feilaktige personopplysninger
  • Rett til sletting: Slette personopplysninger ("retten til å bli glemt")
  • Rett til begrensning: Begrense behandlingen under visse omstendigheter
  • Rett til dataportabilitet: Utlevere data i et strukturert og maskinlesbart format
  • Rett til å protestere: Protestere mot behandling basert på berettigede interesser

Databehandleren vil svare på slike forespørsler innen 30 dager og gi nødvendig bistand.

8. Brudd på personopplysningssikkerheten

Ved brudd på sikkerheten skal Databehandleren varsle Behandlingsansvarlig uten ugrunnet opphold, og senest innen 72 timer etter å ha fått kunnskap om bruddet.

8.1 Varslingsdetaljer: Varselet skal inkludere:

  • Bruddets art
  • Kategorier og omtrentlig antall berørte personer
  • Sannsynlige konsekvenser av bruddet
  • Tiltak iverksatt eller foreslått for å håndtere bruddet

8.2 Samarbeid: Databehandleren skal samarbeide med Behandlingsansvarlig for å undersøke bruddet og overholde meldeplikten til tilsynsmyndigheter.

9. Revisjon og etterlevelse

Databehandleren skal gjøre tilgjengelig all informasjon som er nødvendig for å dokumentere etterlevelse av forpliktelsene i denne avtalen.

9.1 Kundens revisjon: Behandlingsansvarlig kan gjennomføre revisjon eller inspeksjon av databehandlingen etter rimelig varsel.

9.2 Sertifiseringer: Databehandleren har forpliktet seg til høye sikkerhetsstandarder og planlegger å oppnå ISO 27001-sertifisering.

10. Tilbakelevering eller sletting

Ved avslutning av tjenestene skal Databehandleren, etter kundens valg:

10.1 Valgmuligheter:

  • Tilbakelevere alle personopplysninger i et vanlig brukt format
  • Slette alle personopplysninger og bekrefte slettingen

10.2 Lovpålagt lagring: Databehandleren kan lagre data i den grad det er påkrevd av gjeldende lovverk, gitt at taushetsplikten opprettholdes.

11. Ansvar og erstatning

Partenes ansvar under denne avtalen følger ansvarsbestemmelsene i de generelle tjenestevilkårene.

Databehandleren skal holde kunden skadesløs for bøter eller krav fra myndigheter som skyldes Databehandlerens brudd på denne avtalen eller GDPR.

12. Varighet og oppsigelse

Denne avtalen gjelder så lenge Databehandleren behandler personopplysninger på vegne av kunden.

Ved opphør vil bestemmelser om sletting, konfidensialitet og revisjon fortsette å gjelde.

13. Lovvalg

Denne avtalen er underlagt svensk lov og de relevante bestemmelsene i GDPR.

14. Kontaktinformasjon

For spørsmål om denne avtalen, vennligst kontakt:

  • Email: dpo@easyconsent.com
  • Data Protection Officer: privacy@easyconsent.com
  • Company: EasyConsent (by Guillermo Eduardo Gallego Pagella)
  • Address: Helsingborg, Sweden