Databehandleravtale

1. Innledning

Denne Databehandleravtalen ("Avtalen" eller "DPA") er inngått mellom Drakkkar AS, et selskap registrert i Norge ("Behandlingsansvarlig"), og selskapets partnere, underleverandører og tjenesteleverandører ("Databehandlere").

Avtalen regulerer all behandling av personopplysninger som utføres på vegne av Drakkkar AS i tilknytning til Drakkkar-plattformen, og er inngått i samsvar med:

• Europaparlaments- og rådsforordning (EU) 2016/679 (GDPR)
• ISO/IEC 27701:2019 (Privacy Information Management System – PIMS)
• ISO/IEC 27001:2022 og ISO/IEC 27002:2022 (Informasjonssikkerhet)

Denne avtalen oppfyller kravene i GDPR artikkel 28 og er juridisk bindende.

2. Definisjoner

I denne avtalen gjelder følgende definisjoner:

• Behandlingsansvarlig: Drakkkar AS, som bestemmer formålet med og midlene for behandlingen av personopplysninger.
• Databehandler: Enhver fysisk eller juridisk person som behandler personopplysninger på vegne av den Behandlingsansvarlige.
• Personopplysninger: Enhver opplysning som kan knyttes til en identifisert eller identifiserbar fysisk person.
• Behandling: Enhver operasjon som utføres på personopplysninger, herunder innsamling, lagring, bruk, utlevering, begrensning, sletting eller tilintetgjøring.
• Underleverandør (Subdatabehandler): Tredjepart engasjert av Databehandler for å behandle personopplysninger.
• Personopplysningsbrudd: Brudd på sikkerheten som fører til utilsiktet eller ulovlig tap, endring, utlevering eller uautorisert tilgang til personopplysninger.

3. Formål og omfang av behandlingen

Personopplysninger skal behandles utelukkende etter dokumenterte instrukser fra Drakkkar AS, og kun for følgende formål:

• Formidling av transporttjenester, ruting, ETA-beregning og prisfastsettelse
• Sikker betalingsbehandling, refusjoner og forebygging av svindel
• Identitetskontroll, KYC og regulatorisk etterlevelse
• Kundeservice, tvister, gjenfinning av glemte eiendeler og sikkerhetshendelser
• Oppfyllelse av rettslige, skattemessige og regulatoriske forpliktelser

Enhver annen behandling er strengt forbudt.

4. Databehandlers plikter (GDPR artikkel 28)

Databehandler forplikter seg til å:

• Behandle personopplysninger kun etter dokumenterte instrukser fra Drakkkar AS.
• Sikre at alle som har tilgang til personopplysninger er underlagt taushetsplikt.
• Implementere egnede tekniske og organisatoriske tiltak i samsvar med GDPR artikkel 32 og ISO-standardene.
• Bistå Drakkkar AS ved henvendelser fra registrerte, gjennomføring av personvernkonsekvensvurderinger (DPIA), og tilsyn/forespørsler fra Datatilsynet.
• Varsle Drakkkar AS uten ugrunnet opphold ved personopplysningsbrudd.
• Gjøre nødvendig dokumentasjon tilgjengelig og tillate revisjon og kontroll.
• Returnere eller slette alle personopplysninger ved avtalens opphør, med mindre videre lagring er lovpålagt.

5. Godkjente underleverandører

Drakkkar AS benytter følgende underleverandører:

• Stripe – Betalingsbehandling og svindelkontroll
• BankID – Identitetsverifisering
• Expo – Push-varsler
• HERE Technologies – Kart, ruting og geolokasjon
• AWS – Skyinfrastruktur og lagring

Alle underleverandører er kontraktsmessig forpliktet til å overholde GDPR og ISO/IEC 27701-ekvivalente krav.

6. Informasjonssikkerhet

Drakkkar AS har etablert avanserte sikkerhetstiltak, inkludert:

• Kryptering av data i transitt og i hvile
• Rollebasert tilgangskontroll (RBAC)
• Multifaktorautentisering (MFA)
• Sikker håndtering av nøkler og hemmeligheter
• Kontinuerlig overvåkning og logging
• Reviderbare og uforanderlige revisjonslogger

Tiltakene er i samsvar med ISO/IEC 27001:2022 og ISO/IEC 27701.

7. Håndtering av personopplysningsbrudd

Ved personopplysningsbrudd gjelder følgende:

• Databehandler varsler Drakkkar AS uten ugrunnet opphold.
• Drakkkar AS varsler Datatilsynet innen 72 timer, der dette er påkrevd.
• Registrerte varsles når loven krever det.
• Alle brudd dokumenteres, analyseres og følges opp med korrigerende tiltak.

8. Registrertes rettigheter

Drakkkar AS sikrer de registrertes rettigheter, herunder:

• Rett til innsyn
• Rett til retting
• Rett til sletting
• Rett til begrensning av behandling
• Rett til dataportabilitet
• Rett til å protestere

Forespørsler behandles innen 30 dager i samsvar med GDPR artikkel 12.

9. Lagring og livssyklushåndtering

Personopplysninger håndteres gjennom hele livssyklusen: Innsamling → Bruk → Lagring → Deling → Sletting / Anonymisering

Opplysninger lagres ikke lenger enn nødvendig og slettes eller anonymiseres på en sikker måte.

10. Personvernkonsekvensvurdering (DPIA)

Drakkkar AS gjennomfører personvernkonsekvensvurderinger i samsvar med GDPR artikkel 35 for behandlinger med høy risiko, inkludert lokasjonsdata, identitetskontroll og betalingstjenester.

11. Protokoll over behandlingsaktiviteter

Drakkkar AS fører protokoll over behandlingsaktiviteter (RoPA) i henhold til GDPR artikkel 30 og gjør denne tilgjengelig for tilsynsmyndigheter ved forespørsel.

12. Overføring til tredjeland

Ved overføring av personopplysninger utenfor EØS benyttes lovlige overføringsmekanismer, herunder:

• Standard kontraktsklausuler (SCC)
• Andre godkjente mekanismer etter GDPR kapittel V

13. Personvernstyring og ansvarlighet

Drakkkar AS har etablert et personvern- og styringsrammeverk som inkluderer:

• Utpekt personvernansvar
• Løpende etterlevelseskontroll
• Periodiske risikovurderinger
• Kontinuerlig forbedring av personvern og sikkerhet

Dette rammeverket er i samsvar med ISO/IEC 27701.

14. Opphør

Ved opphør av tjenesteforholdet skal Databehandler, etter Drakkkar AS' valg:

• Returnere alle personopplysninger, eller
• Slette alle personopplysninger på en sikker måte

med mindre videre lagring er lovpålagt.

15. Lovvalg og verneting

Denne avtalen er underlagt norsk rett.

Eventuelle tvister skal avgjøres av norske domstoler.