Databehandlingsavtale

Denne databehandlingsavtalen ("DPA") utgjør en del av avtalen mellom deg ("Kunden") og Getia AS ("Databehandleren") for bruk av våre tjenester.

• Personopplysninger: Enhver informasjon knyttet til en identifisert eller identifiserbar fysisk person
• Behandling: Enhver operasjon utført på personopplysninger
• Behandlingsansvarlig: Den enheten som bestemmer formål og midler for behandlingen
• Databehandler: Den enheten som behandler personopplysninger på vegne av den behandlingsansvarlige

Databehandleren skal:

• Behandle personopplysninger kun etter dokumenterte instruksjoner fra Kunden
• Sikre at personer som behandler data er underlagt konfidensialitetsforpliktelser
• Implementere passende tekniske og organisatoriske sikkerhetstiltak
• Bistå Kunden med å svare på forespørsler fra registrerte
• Slette eller returnere alle personopplysninger ved opphør av tjenestene

Kunden autoriserer Databehandleren til å engasjere underdatabehandlere som oppført i Underdatabehandlerlisten.

Noen av våre underdatabehandlere befinner seg i USA. For overføring av personopplysninger til land utenfor Det europeiske økonomiske samarbeidsområdet (EØS) som ikke har et tilstrekkelig nivå av databeskyttelse, baserer vi oss på følgende juridiske mekanismer:

• Standard kontraktsklausuler (SCC-er): Vi har inngått EUs standard kontraktsklausuler (Kommisjonens gjennomføringsbeslutning (EU) 2021/914) med våre underdatabehandlere for å sikre tilstrekkelig beskyttelse av personopplysninger overført utenfor EØS.
• Supplerende tiltak: I tillegg til SCC-er implementerer vi supplerende tekniske og organisatoriske tiltak, inkludert kryptering av data under overføring og lagring, tilgangskontroller og kontraktsmessige forpliktelser fra underdatabehandlere.
• Rammeverk for databeskyttelse: Der det er relevant, deltar våre USA-baserte underdatabehandlere i EU-US Data Privacy Framework.

Du kan be om en kopi av gjeldende SCC-er ved å kontakte oss på dpo@attorly.ai.

• Kryptering av data under overføring (TLS 1.2+) og lagring (AES-256)
• Tilgangskontroller og autentisering
• Regelmessige sikkerhetsvurderinger
• Prosedyrer for hendelseshåndtering

Ved et personopplysningsbrudd skal Databehandleren varsle Kunden innen 72 timer.

Vi oppbevarer personopplysninger kun så lenge det er nødvendig for å oppfylle formålene de ble samlet inn for:

• Kontodata: Oppbevares så lenge kontoen eksisterer og slettes innen 30 dager etter kontosletting
• Dokumenter: Slettes umiddelbart på brukerens forespørsel eller innen 30 dager etter kontosletting
• Analyseresultater: Oppbevares i 90 dager etter at det tilknyttede dokumentet er slettet
• Revisjonslogger: Oppbevares i 2 år for sikkerhets- og samsvarsformål
• Betalingsoppføringer: Oppbevares i 5 år fra utgangen av regnskapsåret som påkrevd av bokføringsloven. Logger om prøveperioder og mislykkede betalinger oppbevares inntil 12 måneder for svindelforebygging

Personvernombud: dpo@attorly.ai