Databehandleravtale (DPA)

Versjon 1.0 – Gyldig fra 01.10.2025

1. Formål

Denne avtalen regulerer Digibrann AS sin behandling av personopplysninger på vegne av kunder («Behandlingsansvarlig») ved bruk av Digibranns digitale brannøvelseplattform («Tjenesten»). Formålet er å sikre at personopplysninger behandles i samsvar med personvernforordningen (EU) 2016/679 («GDPR») og norsk personvernlovgivning.

2. Parter og roller

Behandlingsansvarlig er den juridiske enheten (kunden) som inngår salgsavtale med Digibrann AS og bestemmer formål og midler for behandlingen.

Databehandleren er Digibrann AS, org.nr 925 178 357, Christian Michelsens vei 63, 1464 Fjellhamar, som behandler personopplysninger på vegne av Behandlingsansvarlig.

Denne avtalen utgjør en del av Digibrann AS sine Terms of Service og gjelder automatisk for alle kunder som inngår salgsavtale med selskapet.

3. Behandlingens art og varighet

  • Formål: Gjennomføring og dokumentasjon av digitale brannøvelser.
  • Varighet: Så lenge Kunden har gyldig lisens til Tjenesten.
  • Type personopplysninger: Navn, e-postadresse, telefonnummer og tilknytning til bygg/organisasjon.
  • Kategorier av registrerte: Ansatte, leietakere, beboere eller andre personer som deltar i Kundens brannøvelser.

4. Databehandlerens forpliktelser

Digibrann AS skal:

  • Kun behandle personopplysninger i henhold til skriftlig instruks fra Behandlingsansvarlig.
  • Sørge for at personer med tilgang er underlagt taushetsplikt.
  • Iverksette tekniske og organisatoriske sikkerhetstiltak som står i forhold til risikoen, inkludert moderne sikkerhetsrutiner og kryptering ved overføring.
  • Varsle Behandlingsansvarlig uten ugrunnet opphold ved brudd på personopplysningssikkerheten.
  • Bistå Behandlingsansvarlig med nødvendig informasjon for å oppfylle plikter etter GDPR.
  • Dokumentere at behandlingen skjer i samsvar med denne avtalen og gjeldende lovgivning.

5. Behandlingsansvarliges plikter

Behandlingsansvarlig skal sørge for at:

  • behandlingen har rettslig grunnlag,
  • de registrerte er informert om behandlingen,
  • opplysningene som overføres til Digibrann AS er korrekte, relevante og nødvendige.

6. Underdatabehandlere

Digibrann AS kan benytte underleverandører for drift, lagring og levering av Tjenesten. Alle underdatabehandlere er underlagt de samme plikter til sikkerhet og konfidensialitet som Digibrann AS. Informasjon om aktuelle underdatabehandlere kan gis på forespørsel fra Kunden. Digibrann AS forbeholder seg retten til å endre eller bytte underdatabehandlere uten forhåndsvarsel, så lenge slike endringer ikke medfører redusert personvernbeskyttelse.

7. Overføring til tredjeland

Dersom behandling skjer utenfor EØS, skal Digibrann AS sikre lovlig overføringsgrunnlag i samsvar med GDPR kapittel V.

8. Brudd på personopplysningssikkerheten

Ved brudd på personopplysningssikkerheten skal Digibrann AS uten ugrunnet opphold, og senest innen 48 timer, varsle Behandlingsansvarlig. Varslingen skal inneholde en beskrivelse av bruddets karakter, antatt konsekvens og foreslåtte tiltak.

9. Revisjon

Behandlingsansvarlig kan én gang per år be om revisjon for å bekrefte at Digibrann AS overholder denne avtalen. Revisjon varsles minst 30 dager i forkant og gjennomføres uten å forstyrre normal drift. Kostnader bæres av Behandlingsansvarlig.

10. Sletting og tilbakelevering av data

Ved avtalens opphør eller etter skriftlig forespørsel fra Behandlingsansvarlig skal Digibrann AS slette eller anonymisere personopplysninger innen 30 dager. Digibrann AS kan beholde nødvendige data dersom det kreves etter lov.

11. Ansvar

Digibrann AS sitt samlede ansvar etter denne avtalen er begrenset til det beløp Kunden har betalt de siste tolv (12) måneder. Begrensningen gjelder ikke ved grov uaktsomhet eller forsett fra Digibrann AS sin side.

12. Varighet og oppsigelse

Denne avtalen gjelder så lenge Digibrann AS behandler personopplysninger på vegne av Kunden. Ved opphør slettes eller tilbakeleveres data i henhold til punkt 10.

13. Tvisteløsning, lovvalg og verneting

Tvister skal først søkes løst i minnelighet innen 90 dager. Dersom partene ikke oppnår enighet, avgjøres tvisten etter norsk rett, med Oslo tingrett som eksklusivt verneting.

Aksept og virkning

Denne Databehandleravtalen utgjør en integrert del av Digibrann AS sine Terms of Service. Ved å inngå salgsavtale med Digibrann AS eller ved å ta i bruk Tjenesten, anses Kunden å ha akseptert denne avtalen.