Databehandleravtale (DPA)

Versjon 1.0 · Sist oppdatert: 1. mai 2025

Denne databehandleravtalen («DPA») inngås mellom kunden («Behandlingsansvarlig») og Proffdata AS, org.nr. 919 829 567, Ålesund («Databehandler»), som leverer Skifty-tjenesten, og utgjør et vedlegg til Vilkår for bruk av Skifty-tjenesten.

Avtalen regulerer Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlig, i henhold til EUs personvernforordning (GDPR) artikkel 28.

1. Behandlingens formål og omfang

Databehandleren behandler personopplysninger utelukkende for å levere tjenesten Skifty til Behandlingsansvarlig, herunder:

Vaktplanlegging og publisering av arbeidstidsplaner
Registrering og loggføring av arbeidstid
Geo-basert inn- og utstempelingsregistrering
Håndtering av fraværssøknader og godkjenninger
Brukeradministrasjon og tilgangsstyring

2. Kategorier av registrerte og personopplysninger

Behandlingen gjelder følgende kategorier av registrerte:

Ansatte og innleide arbeidstakere hos Behandlingsansvarlig

Følgende kategorier av personopplysninger behandles:

Navn, e-postadresse, telefonnummer
Arbeidstid, vaktplaner og fravær
Geografisk posisjon ved inn- og utstempelinger
Rolle og tilgangsinformasjon

Sensitive personopplysninger (særlige kategorier etter GDPR art. 9) behandles ikke som en del av standardtjenesten. Dersom Behandlingsansvarlig likevel registrerer slik informasjon i fritekstfelter, er dette Behandlingsansvarliges ansvar.

3. Databehandlerens plikter

Databehandleren forplikter seg til å:

Behandle personopplysninger kun etter dokumenterte instrukser fra Behandlingsansvarlig, med mindre annet er påkrevd av lov.
Sikre at personer med autorisert tilgang til opplysningene er bundet av konfidensialitetsplikt.
Treffe alle nødvendige tekniske og organisatoriske sikkerhetstiltak i samsvar med GDPR artikkel 32.
Bistå Behandlingsansvarlig med å besvare henvendelser om utøvelse av den registrertes rettigheter.
Bistå Behandlingsansvarlig med å sikre overholdelse av forpliktelsene etter GDPR artiklene 32–36.
Slette eller tilbakelevere alle personopplysninger ved avslutning av avtalen, etter Behandlingsansvarliges valg, og slette eksisterende kopier med mindre dette strider mot lovgivning.
Stille all nødvendig informasjon til rådighet for å påvise at forpliktelsene i denne avtalen overholdes, og bidra til og tillate revisjoner.

4. Underleverandører (underdatabehandlere)

Behandlingsansvarlig gir generell forhåndsgodkjenning til bruk av underdatabehandlere. Databehandleren benytter følgende underdatabehandlere:

Serverhosting (EU) – Drift og lagring av applikasjon og database på servere innenfor EU/EØS.
Stripe Inc. – Betalingsbehandling (kortbetaling). Merk: Stripe behandler ikke arbeidsrelaterte personopplysninger, kun faktureringsdata.

Databehandleren varsler Behandlingsansvarlig med minst 14 dagers frist ved endringer i bruk av underdatabehandlere. Behandlingsansvarlig kan protestere mot slike endringer. Alle underdatabehandlere er bundet av tilsvarende forpliktelser som fremgår av denne DPA.

5. Overføring til tredjeland

Personopplysninger overføres ikke til land utenfor EU/EØS uten at det foreligger et gyldig overføringsgrunnlag etter GDPR kapittel V (f.eks. EU standardkontraktklausuler). Stripe Inc. er underlagt EU-US Data Privacy Framework.

6. Sikkerhetstiltak

Databehandleren har implementert følgende tiltak:

Kryptering av all dataoverføring (TLS 1.2+)
Kryptering av data i hvile
Tilgangskontroll og rollebasert autorisasjon
Regelmessige sikkerhetskopier
Rutiner for håndtering av databrudd
Begrenset og loggført tilgang for driftspersonell

7. Varsling ved databrudd

Databehandleren varsler Behandlingsansvarlig uten ugrunnet opphold og senest innen 72 timer etter å ha fått kjennskap til et databrudd som kan medføre risiko for de registrerte. Varslet inneholder tilgjengelig informasjon om bruddet, antatt omfang og iverksatte tiltak.

8. Varighet og opphør

Denne DPA gjelder så lenge Databehandleren behandler personopplysninger på vegne av Behandlingsansvarlig. Ved opphør av Vilkår for bruk sletter Databehandleren Behandlingsansvarliges data innen 30 dager, med mindre lovpålagt oppbevaringsplikt krever annet.

9. Kontakt og signatur

Spørsmål om denne DPA rettes til Proffdata AS på personvern@skifty.no.

Dersom du ønsker en signert versjon av denne DPA for ditt arkiv, ta kontakt med oss så sender vi en avtale tilpasset din virksomhet.

Merk: Dette er et standardutkast. Dersom virksomheten din har spesifikke krav til DPA-innhold (f.eks. ved offentlig sektor eller særlige bransjekrav), kontakt oss for tilpasning.

Vilkår for bruk Personvernerklæring ← Tilbake