Trenger du signert eksemplar? Send e-post til kontakt@responza.io med firmaopplysninger, så får du signert PDF innen én virkedag.
Denne databehandleravtalen («DPA») inngås mellom deg («Kunden» eller «Behandlingsansvarlig») og Responza («Databehandler»). Den gjelder hver gang Responza behandler personopplysninger på Kundens vegne som en del av leveransen av Responza-chatboten.
Ved å akseptere Responzas Vilkår og ta chatboten i bruk, inngår Kunden denne DPA-en. DPA-en gjelder ved konflikt med andre avtaler om behandling av personopplysninger.
1. Definisjoner
- «GDPR» betyr EU-forordning 2016/679 (personvernforordningen).
- «Personopplysninger», «Behandlingsansvarlig», «Databehandler», «Underdatabehandler», «Behandling» har samme betydning som i GDPR art. 4.
- «Tjenesten» betyr Responza-chatbotproduktet, inkludert adminpanel, embed-kode, integrasjoner og APIer.
- «Kundedata» betyr alle personopplysninger Kunden eller dennes sluttbrukere sender inn i Tjenesten.
2. Avtalens omfang og varighet
Responza behandler personopplysninger kun på dokumenterte instrukser fra Kunden, som en del av leveringen av Tjenesten. DPA-en gjelder gjennom hele Kundens abonnementsperiode, pluss 90 dager etter oppsigelse (i denne perioden beholdes Kundedata for eksport, og slettes deretter).
3. Type behandling, formål og kategorier
| Punkt | Beskrivelse |
|---|---|
| Type behandling | Lagring, henting, analyse (intensjon + innhold), visning i adminpanel, overføring til integrerte systemer etter Kundens valg. |
| Formål | Levere Tjenesten: svare sluttbrukere på Kundens nettside, fange leads, og rapportere til Kunden. |
| Kategorier av registrerte | Sluttbrukere (besøkende på Kundens nettside), Kundens egne ansatte med tilgang til adminpanelet. |
| Kategorier av personopplysninger | Samtaleinnhold; navn, e-post, telefon (hvis frivillig oppgitt); IP-adresse (forkortet); sesjonsmetadata (land, enhet, språk, tidsstempler). |
| Særlige kategorier (art. 9) | Ikke aktuelt. Kunden skal ikke konfigurere Tjenesten til å behandle særlige kategorier av personopplysninger. |
4. Kundens instrukser og ansvar
Kunden instruerer Responza om å behandle Kundedata kun i den grad det er nødvendig for å levere Tjenesten, i samsvar med denne DPA-en, Vilkårene, og de instrukser som er konfigurert i adminpanelet.
Kunden er ansvarlig for: (a) det rettslige grunnlaget for behandlingen etter GDPR; (b) å informere sluttbrukere om chatboten i Kundens personvernerklæring; (c) å håndtere henvendelser fra registrerte rettet til Kunden; og (d) å kun legge personopplysninger inn i kunnskapsbasen der det er strengt nødvendig.
5. Konfidensialitet
Responza sikrer at alt personell som er autorisert til å behandle Kundedata er underlagt taushetsplikt tilsvarende den i denne DPA-en, og kun har tilgang på «need-to-know»-basis.
6. Sikkerhetstiltak (GDPR art. 32)
Responza iverksetter egnede tekniske og organisatoriske tiltak, herunder:
- Kryptering i transitt (TLS 1.3) og i hvile (AES-256)
- Tilgangsstyring: rollebasert tilgang til adminpanel, tofaktor-autentisering tilgjengelig
- Logging og overvåkning av all tilgang til Kundedata
- Regelmessige sikkerhetskopier, kryptert og lagret i samme EU-region
- Årlig penetrasjonstest av uavhengig tredjepart
- Hendelsesrespons-plan med 72-timers brudd-varsling (per GDPR art. 33)
- Opplæring av personell i personvern og informasjonssikkerhet
7. Underdatabehandlere
Kunden gir generell tillatelse til at Responza bruker underdatabehandlerne listet under. Responza kan legge til eller bytte underdatabehandlere med minst 30 dagers skriftlig varsel til Kunden (på e-post til registrert adminadresse). Kunden kan motsette seg ny underdatabehandler på rimelig personvernmessig grunnlag; hvis ingen akseptabel løsning finnes, kan Kunden si opp abonnementet med umiddelbar virkning.
| Underdatabehandler | Formål | Lokasjon | Tiltak |
|---|---|---|---|
| Amazon Web Services (AWS) | Hosting og lagring | Frankfurt, EU | DPA + Standard Contractual Clauses |
| Stripe Payments Europe Ltd. | Betalingsbehandling | Irland, EU | DPA |
| Anthropic PBC | AI-modell (chatbot-svar) | EU + USA (DPF-sertifisert) | DPA + Data Privacy Framework |
| Resend / Postmark | Transaksjonell e-post (lead-varsler, fakturering) | EU | DPA |
| Supabase | Autentisering og database | Frankfurt, EU | DPA + SCCs |
| Vercel | Applikasjons-hosting (admin + embed) | EU regions | DPA + SCCs |
8. Overføring av data ut av EU/EØS
Som standard behandles all Kundedata innenfor EU/EØS. Der en underdatabehandler delvis behandler data utenfor EU (per i dag kun Anthropic), støtter Responza seg på EU–US Data Privacy Framework-sertifisering og EUs standard kontraktsklausuler (SCCs) som lovlig overføringsmekanisme, i tillegg til ytterligere tekniske tiltak (kryptering, pseudonymisering der mulig).
9. Bistand til Kunden
Responza bistår Kunden, så langt det er rimelig mulig, med å oppfylle Kundens forpliktelser etter GDPR, herunder:
- Svar på forespørsler fra registrerte (innsyn, retting, sletting, dataportabilitet, innsigelse)
- Gjennomføring av personvernkonsekvensvurdering (DPIA)
- Etterlevelse av sikkerhetsforpliktelser (GDPR art. 32)
- Varsling av personvernbrudd (GDPR art. 33)
Responza kan kreve rimelig vederlag for ekstraordinær bistand utover standard omfang av Tjenesten.
10. Personvernbrudd
Responza varsler Kunden uten ugrunnet opphold, og senest innen 72 timer etter at vi har blitt klar over et brudd på personopplysningssikkerheten som påvirker Kundedata. Varselet inkluderer: bruddets art, kategorier og omtrentlig antall berørte registrerte, sannsynlige konsekvenser, og iverksatte eller foreslåtte tiltak.
11. Revisjonsrett
Kunden har rett til, for egen regning og med minst 30 dagers skriftlig varsel, å revidere Responzas etterlevelse av denne DPA-en. Revisjoner utføres i normal arbeidstid, er begrenset til én gang per år (med mindre brudd har oppstått), og må respektere konfidensialitet til Responzas øvrige kunder. Responza kan oppfylle revisjonsforespørsler ved å levere eksisterende revisjonsrapporter fra tredjepart (f.eks. ISO 27001, SOC 2).
12. Sletting og retur av data
Ved oppsigelse av abonnementet beholder Responza Kundedata i 90 dager, hvor Kunden kan eksportere det fra adminpanelet eller via API. Etter 90-dagersvinduet slettes all Kundedata permanent, unntatt der lagring er pålagt ved lov (f.eks. fakturaer i 5 år iht. norsk bokføringslov).
13. Ansvar
Ansvar etter denne DPA-en reguleres av begrensningene i Responzas Vilkår. Hver part er ansvarlig for bøter og krav som kan tilskrives eget brudd på GDPR.
14. Endringer i DPA-en
Responza kan oppdatere denne DPA-en med minst 30 dagers skriftlig varsel på e-post til registrert adminadresse. Hvis Kunden ikke er enig i endringene, kan Kunden si opp abonnementet før endringene trer i kraft.
15. Lovvalg og verneting
Denne DPA-en er underlagt norsk rett. Tvister skal bringes inn for Buskerud tingrett.
16. Kontakt
Personvernspørsmål: kontakt@responza.io. Post: Responza, Semsveien 40, 3302 Hokksund, Norge. Org.nr.: REPLACE_WITH_ORGNR.
Se også: Personvernerklæring, Vilkår, Cookie-policy.