Behandlingsansvarlig:
Kundens bedriftsnavn, org.nr. og kontaktopplysninger hentes automatisk fra opplysningene kunden oppgir ved registrering, og lagres som en del av avtalebeviset (se punkt 10).
(heretter «den behandlingsansvarlige»)
Databehandler:
Mats Glomstad Mordal (Klar AI)
Org.nr.: 937 821 395
Askimveien 212, 1816 Skiptvet
post@klar-ai.no
(heretter «databehandleren»)
Den behandlingsansvarlige har registrert seg for og betaler for programvaretjenesten Klar AI, og benytter den til å lage, lagre og signere HMS-dokumenter (SJA og risikovurderinger). I den forbindelse behandler databehandleren personopplysninger på vegne av den behandlingsansvarlige.
Denne avtalen regulerer behandlingen av personopplysninger i samsvar med EUs personvernforordning (GDPR), artikkel 28.
| Kategori | Eksempel |
|---|---|
| Kontaktinformasjon | Navn, e-postadresse til brukere |
| Nettverksdata | IP-adresse |
| Signaturdata | Navn, rolle, tidspunkt for signering av HMS-dokumenter |
| Bruksdata | Innloggingstidspunkt, handlingslogg |
| HMS-dokumentinnhold | Beskrivelse av arbeidsoppgaver, farer og tiltak (kan inneholde personnavn) |
Ansatte og andre som oppretter, redigerer eller signerer HMS-dokumenter på vegne av den behandlingsansvarlige.
Databehandleren behandler personopplysningene utelukkende for å:
Databehandleren skal ikke bruke personopplysningene til egne formål (f.eks. markedsføring, videresalg eller profilering).
Databehandleren behandler personopplysninger kun i samsvar med dokumenterte instrukser fra den behandlingsansvarlige, med mindre annet er påkrevd ved lov. I så fall varsles den behandlingsansvarlige.
Databehandlerens ansatte og underleverandører som behandler personopplysninger, er underlagt taushetsplikt.
Databehandleren skal gjennomføre passende sikkerhetstiltak (jf. GDPR art. 32), herunder:
Databehandleren varsler den behandlingsansvarlige uten ugrunnet opphold og senest innen 48 timer ved oppdagelse av sikkerhetsbrudd (personvernbrudd) som kan medføre risiko for registrerte.
Databehandleren bistår den behandlingsansvarlige med å oppfylle de registrertes rettigheter (innsyn, retting, sletting, dataportabilitet) og med GDPR-forpliktelser, i den grad dette er mulig innenfor tjenestens funksjonalitet.
Databehandleren benytter underdatabehandlere, jf. liste i Vedlegg A nederst i denne avtalen.
Databehandleren innhenter generell skriftlig forhåndsgodkjenning fra den behandlingsansvarlige for bruk av underdatabehandlere. Den behandlingsansvarlige varsles med minst 30 dagers frist før nye underdatabehandlere tas i bruk, slik at den behandlingsansvarlige kan protestere.
Databehandleren er ansvarlig for at underdatabehandlere overholder GDPR og forpliktelsene i denne avtalen.
Noen underdatabehandlere (Resend, Anthropic) er lokalisert i USA. Slik overføring skjer på grunnlag av EUs standardkontraktsklausuler (SCCs) vedtatt av EU-kommisjonen. Databehandleren kan fremlegge dokumentasjon på dette på forespørsel.
Etter at kundeforholdet avsluttes, sletter eller anonymiserer databehandleren alle personopplysninger innen 30 dager, med mindre loven krever lengre oppbevaring. Den behandlingsansvarlige kan be om skriftlig bekreftelse på at sletting er gjennomført.
Den behandlingsansvarlige har rett til å gjennomføre revisjoner og inspeksjoner — enten selv eller ved hjelp av en ekstern revisor — for å verifisere at databehandleren etterlever denne avtalen. Slik revisjon varsles med rimelig frist. Databehandleren bidrar til revisjonen innenfor rimelighetens grenser.
Denne avtalen gjelder så lenge den behandlingsansvarlige bruker tjenesten Klar AI. Forpliktelsene i avsnitt 3 og 6 gjelder frem til all behandling av personopplysningene er avsluttet.
Vesentlige endringer i denne avtalen varsles med minst 30 dagers frist.
Avtalen inngås elektronisk. GDPR artikkel 28 nr. 9 krever at avtalen er «skriftlig, også elektronisk» — den krever ingen håndskrevet signatur. Aksept ved avkrysning i registreringen oppfyller dette kravet.
Slik inngås avtalen:
Ved registrering og betaling (via Stripe) må den behandlingsansvarlige aktivt huke av en obligatorisk boks der vedkommende bekrefter å ha lest og godtatt Brukervilkår og denne Databehandleravtalen. Man kommer ikke videre uten å huke av. Databehandleren er bundet av avtalen ved å tilby tjenesten på disse vilkårene.
Avtalebevis som lagres ved aksept:
| Felt | Innhold |
|---|---|
| Bedrift | Kundens bedriftsnavn |
| Org.nr. | Kundens organisasjonsnummer |
| Person | Navn og e-post til den som registrerte |
| Tidspunkt | Dato og klokkeslett for aksepten |
| Versjon | Versjonsnummer på avtalen som ble godtatt (f.eks. «2.0») |
Den behandlingsansvarlige får tilgang til avtalen i ettertid (på e-post og på firmasiden i appen), slik at begge parter har den skriftlig.
Ved nye versjoner: Endres avtalen vesentlig, lages en ny versjon, og eksisterende kunder bes om å godta på nytt (jf. punkt 9).
Dette vedlegget er en del av Databehandleravtalen og lister alle underdatabehandlere som Klar AI benytter og som kan komme i kontakt med personopplysninger som behandles på vegne av den behandlingsansvarlige.
| Leverandør | Formål | Land / Dataregion | Overføringsgrunnlag |
|---|---|---|---|
| Railway (railway.app) | Hosting av webapplikasjon og hoveddatabase | EU (Amsterdam, Nederland) | Innenfor EØS |
| Cloudflare R2 (Cloudflare Inc.) | Sikkerhetskopi av database | EU | Innenfor EØS |
| Resend (resend.com) | Utsending av system-e-post (signeringslenker, passordgjenoppretting) | USA | EUs standardkontraktsklausuler (SCCs) |
| Anthropic (anthropic.com) | AI-tekstgenerering (generere SJA-utkast fra brukerens input) | USA | EUs standardkontraktsklausuler (SCCs) |
Databehandleren varsler den behandlingsansvarlige med minst 30 dagers frist ved tillegg av nye underdatabehandlere. Den behandlingsansvarlige kan protestere mot endringen.