Background Paths
Background Paths

Data Processing Agreement · GDPR Art. 28

Databehandleravtale

Sist oppdatert: 07.02.2026·Gjelder fra: 07.02.2026

1. Innledning

Denne Databehandleravtalen (“Avtalen” eller “DPA”) er inngått mellom Drakkkar AS, et selskap registrert i Norge (“Behandlingsansvarlig”), og selskapets partnere, underleverandører og tjenesteleverandører (“Databehandlere”).

Avtalen regulerer all behandling av personopplysninger som utføres på vegne av Drakkkar AS i tilknytning til Drakkkar-plattformen, og er inngått i samsvar med:

  • Europaparlaments- og rådsforordning (EU) 2016/679 (GDPR)
  • ISO/IEC 27701:2019 (Privacy Information Management System – PIMS)
  • ISO/IEC 27001:2022 og ISO/IEC 27002:2022 (Informasjonssikkerhet)

Denne avtalen oppfyller kravene i GDPR artikkel 28 og er juridisk bindende.

2. Definisjoner

I denne avtalen gjelder følgende definisjoner:

  • Behandlingsansvarlig: Drakkkar AS, som bestemmer formålet med og midlene for behandlingen av personopplysninger.
  • Databehandler: Enhver fysisk eller juridisk person som behandler personopplysninger på vegne av den Behandlingsansvarlige.
  • Personopplysninger: Enhver opplysning som kan knyttes til en identifisert eller identifiserbar fysisk person.
  • Behandling: Enhver operasjon som utføres på personopplysninger, herunder innsamling, lagring, bruk, utlevering, begrensning, sletting eller tilintetgjøring.
  • Underleverandør (Subdatabehandler): Tredjepart engasjert av Databehandler for å behandle personopplysninger.
  • Personopplysningsbrudd: Brudd på sikkerheten som fører til utilsiktet eller ulovlig tap, endring, utlevering eller uautorisert tilgang til personopplysninger.

3. Formål og omfang av behandlingen

Personopplysninger skal behandles utelukkende etter dokumenterte instrukser fra Drakkkar AS, og kun for følgende formål:

  • Formidling av transporttjenester, ruting, ETA-beregning og prisfastsettelse
  • Sikker betalingsbehandling, refusjoner og forebygging av svindel
  • Identitetskontroll, KYC og regulatorisk etterlevelse
  • Kundeservice, tvister, gjenfinning av glemte eiendeler og sikkerhetshendelser
  • Oppfyllelse av rettslige, skattemessige og regulatoriske forpliktelser

Enhver annen behandling er strengt forbudt.

4. Databehandlers plikter (GDPR artikkel 28)

Databehandler forplikter seg til å:

  1. Behandle personopplysninger kun etter dokumenterte instrukser fra Drakkkar AS.
  2. Sikre at alle som har tilgang til personopplysninger er underlagt taushetsplikt.
  3. Implementere egnede tekniske og organisatoriske tiltak i samsvar med GDPR artikkel 32 og ISO-standardene.
  4. Bistå Drakkkar AS ved henvendelser fra registrerte, gjennomføring av personvernkonsekvensvurderinger (DPIA), og tilsyn/forespørsler fra Datatilsynet.
  5. Varsle Drakkkar AS uten ugrunnet opphold ved personopplysningsbrudd.
  6. Gjøre nødvendig dokumentasjon tilgjengelig og tillate revisjon og kontroll.
  7. Returnere eller slette alle personopplysninger ved avtalens opphør, med mindre videre lagring er lovpålagt.

5. Godkjente underleverandører

Drakkkar AS benytter følgende underleverandører:

  • Stripe – Betalingsbehandling og svindelkontroll
  • BankID – Identitetsverifisering
  • Expo – Push-varsler
  • HERE Technologies – Kart, ruting og geolokasjon
  • AWS – Skyinfrastruktur og lagring

Alle underleverandører er kontraktsmessig forpliktet til å overholde GDPR og ISO/IEC 27701-ekvivalente krav.

6. Informasjonssikkerhet

Drakkkar AS har etablert avanserte sikkerhetstiltak, inkludert:

  • Kryptering av data i transitt og i hvile
  • Rollebasert tilgangskontroll (RBAC)
  • Multifaktorautentisering (MFA)
  • Sikker håndtering av nøkler og hemmeligheter
  • Kontinuerlig overvåkning og logging
  • Reviderbare og uforanderlige revisjonslogger

Tiltakene er i samsvar med ISO/IEC 27001:2022 og ISO/IEC 27701.

7. Håndtering av personopplysningsbrudd

Ved personopplysningsbrudd gjelder følgende:

  • Databehandler varsler Drakkkar AS uten ugrunnet opphold.
  • Drakkkar AS varsler Datatilsynet innen 72 timer, der dette er påkrevd.
  • Registrerte varsles når loven krever det.
  • Alle brudd dokumenteres, analyseres og følges opp med korrigerende tiltak.

8. Registrertes rettigheter

Drakkkar AS sikrer de registrertes rettigheter, herunder:

  • Rett til innsyn
  • Rett til retting
  • Rett til sletting
  • Rett til begrensning av behandling
  • Rett til dataportabilitet
  • Rett til å protestere

Forespørsler behandles innen 30 dager i samsvar med GDPR artikkel 12.

9. Lagring og livssyklushåndtering

Personopplysninger håndteres gjennom hele livssyklusen:

Innsamling → Bruk → Lagring → Deling → Sletting / Anonymisering

Opplysninger lagres ikke lenger enn nødvendig og slettes eller anonymiseres på en sikker måte.

10. Personvernkonsekvensvurdering (DPIA)

Drakkkar AS gjennomfører personvernkonsekvensvurderinger i samsvar med GDPR artikkel 35 for behandlinger med høy risiko, inkludert lokasjonsdata, identitetskontroll og betalingstjenester.

11. Protokoll over behandlingsaktiviteter

Drakkkar AS fører protokoll over behandlingsaktiviteter (RoPA) i henhold til GDPR artikkel 30 og gjør denne tilgjengelig for tilsynsmyndigheter ved forespørsel.

12. Overføring til tredjeland

Ved overføring av personopplysninger utenfor EØS benyttes lovlige overføringsmekanismer, herunder:

  • Standard kontraktsklausuler (SCC)
  • Andre godkjente mekanismer etter GDPR kapittel V

13. Personvernstyring og ansvarlighet

Drakkkar AS har etablert et personvern- og styringsrammeverk som inkluderer:

  • Utpekt personvernansvar
  • Løpende etterlevelseskontroll
  • Periodiske risikovurderinger
  • Kontinuerlig forbedring av personvern og sikkerhet

Dette rammeverket er i samsvar med ISO/IEC 27701.

14. Opphør

Ved opphør av tjenesteforholdet skal Databehandler, etter Drakkkar AS’ valg:

  • Returnere alle personopplysninger, eller
  • Slette alle personopplysninger på en sikker måte

med mindre videre lagring er lovpålagt.

15. Lovvalg og verneting

Denne avtalen er underlagt norsk rett.

Eventuelle tvister skal avgjøres av norske domstoler.

English

DATA PROCESSING AGREEMENT (DPA)

Drakkkar AS

Last updated: 07.02.2026

Effective date: 07.02.2026

1. Introduction

This Data Processing Agreement (“DPA”) is entered into by and between Drakkkar AS, a company incorporated under the laws of Norway (“Data Controller”), and its partners, subcontractors, and service providers (“Data Processors”).

This DPA governs all Processing of Personal Data carried out on behalf of Drakkkar AS in connection with the Drakkkar platform and is concluded in full compliance with:

  • Regulation (EU) 2016/679 (GDPR)
  • ISO/IEC 27701:2019 (Privacy Information Management System – PIMS)
  • ISO/IEC 27001:2022 and ISO/IEC 27002:2022 (Information Security)

This DPA constitutes a legally binding agreement pursuant to GDPR Article 28.

2. Definitions

For the purposes of this Agreement, the following definitions apply:

  • Data Controller: Drakkkar AS, which determines the purposes and means of Processing Personal Data.
  • Data Processor: Any natural or legal person Processing Personal Data on behalf of the Data Controller.
  • Personal Data: Any information relating to an identified or identifiable natural person.
  • Processing: Any operation performed on Personal Data, including collection, recording, storage, use, disclosure, alignment, restriction, erasure, or destruction.
  • Subprocessor: Any third party engaged by a Data Processor to Process Personal Data.
  • Personal Data Breach: A breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to Personal Data.

3. Scope and Purpose of Processing

Personal Data shall be Processed solely on documented instructions from Drakkkar AS and only for the following purposes:

  • Trip matching, routing, ETA calculation, and fare computation
  • Secure payment processing, refunds, and fraud prevention
  • Identity verification, KYC, and regulatory compliance
  • Customer support, dispute handling, lost-item recovery, and safety incidents
  • Compliance with legal, tax, and regulatory obligations

Processing for any other purpose is strictly prohibited.

4. Processor Obligations (GDPR Article 28)

The Data Processor shall:

  1. Process Personal Data only on documented instructions from Drakkkar AS.
  2. Ensure all persons authorized to Process Personal Data are subject to statutory or contractual confidentiality obligations.
  3. Implement appropriate technical and organizational measures in accordance with GDPR Article 32 and ISO/IEC 27001/27701.
  4. Assist Drakkkar AS in fulfilling obligations related to Data subject rights (GDPR Articles 12–23), Data Protection Impact Assessments (GDPR Article 35), and prior consultations with supervisory authorities.
  5. Notify Drakkkar AS without undue delay after becoming aware of a Personal Data Breach.
  6. Make available all information necessary to demonstrate compliance and allow audits and inspections.
  7. Delete or return all Personal Data upon termination of services unless retention is required by law.

6. Information Security Measures

Drakkkar AS applies state-of-the-art security controls, including but not limited to:

  • Encryption of Personal Data in transit and at rest
  • Role-based access control (RBAC)
  • Multi-factor authentication (MFA)
  • Secure key management and secrets handling
  • Continuous monitoring and logging
  • Immutable audit logs for administrative and sensitive actions

These measures align with ISO/IEC 27001:2022 Annex A and ISO/IEC 27701 controls.

7. Personal Data Breach Management

In the event of a Personal Data Breach:

  • The Data Processor shall notify Drakkkar AS without undue delay.
  • Drakkkar AS shall notify the relevant supervisory authority within 72 hours, where required.
  • Data subjects shall be informed where mandated by GDPR Articles 33 and 34.
  • All breaches shall be documented, investigated, and remediated.

8. Data Subject Rights

Drakkkar AS ensures the effective exercise of the following rights:

  • Right of access
  • Right to rectification
  • Right to erasure
  • Right to restriction of Processing
  • Right to data portability
  • Right to object

All requests are handled within 30 days, in accordance with GDPR Article 12.

9. Data Retention and Lifecycle Management

Personal Data is managed across its full lifecycle:

Collection → Use → Storage → Disclosure → Deletion / Anonymization

Data is retained only as long as necessary for legal or operational purposes and securely deleted or anonymized thereafter.

10. Data Protection Impact Assessments (DPIA)

Drakkkar AS conducts Data Protection Impact Assessments in accordance with GDPR Article 35 for high-risk Processing activities, including but not limited to location tracking, identity verification, and payment processing.

11. Records of Processing Activities

Drakkkar AS maintains Records of Processing Activities (RoPA) in compliance with GDPR Article 30 and makes such records available to supervisory authorities upon request.

12. International Data Transfers

Where Personal Data is transferred outside the EEA, Drakkkar AS ensures appropriate safeguards, including:

  • Standard Contractual Clauses (SCCs)
  • Other lawful transfer mechanisms recognized under GDPR Chapter V

13. Privacy Governance and Accountability

Drakkkar AS maintains an internal privacy governance framework, including:

  • Assigned privacy responsibility
  • Ongoing compliance monitoring
  • Periodic risk assessments
  • Continuous improvement of privacy controls

This framework complies with ISO/IEC 27701 governance requirements.

14. Termination

Upon termination of services, the Data Processor shall, at the choice of Drakkkar AS:

  • Return all Personal Data, or
  • Securely delete all Personal Data

unless retention is required by applicable law.

15. Governing Law and Jurisdiction

This Agreement is governed by the laws of Norway.

Any disputes shall be subject to the exclusive jurisdiction of Norwegian courts.