Kalkyle

Databehandleravtale (DPA)

Denne avtalen regulerer Skapertorget AS sin behandling av personopplysninger på vegne av deg som bruker (heretter «den behandlings­ansvarlige»), i samsvar med GDPR artikkel 28.

Denne DPA-en aksepteres automatisk når du oppretter konto. Du kan laste ned en signert versjon ved å kontakte personvern@skapertorget.no.

1. Partene

  • Behandlings­ansvarlig: Du som bruker av Kalkyle (heretter «kunden»).
  • Databehandler: Skapertorget AS, org.nr. 933 902 175 (heretter «Skapertorget»).

2. Formål og varighet

Skapertorget behandler personopplysninger på vegne av kunden for å levere tjenesten Kalkyle. Avtalen gjelder så lenge kundens abonnement er aktivt + 12 måneder etter avslutning.

3. Type personopplysninger

  • Kontakt­info om kundens egne kunder (navn, e-post, telefon, adresse, organisasjons­nummer)
  • Prosjektdata (beskrivelser, datoer, materialer, timer)
  • Tilbuds­data (priser, vilkår, signaturer, IP-adresse ved aksept)
  • Notater og kommunikasjon kunden legger inn

4. Kategori av registrerte

  • Kundens egne sluttkunder (privat­personer eller bedrifter)
  • Personer som mottar tilbud­e-poster fra kunden via Kalkyle

5. Skapertorget sine forpliktelser

Skapertorget skal:

  1. Kun behandle personopplysninger etter dokumentert instruks fra kunden (slik instruks anses gitt ved bruk av tjenesten).
  2. Sørge for at personer med tilgang til opplysningene har taushetsplikt.
  3. Iverksette tekniske og organisatoriske sikkerhets­tiltak (se §6).
  4. Ikke benytte under­leverandører uten kundens forhånds­godkjennelse. Liste over godkjente subprosessorer ligger på subprosessor-siden. Vi varsler om endringer 30 dager før de trer i kraft.
  5. Bistå kunden med å oppfylle de registrertes rettigheter (innsyn, retting, sletting, dataportabilitet).
  6. Bistå kunden med å oppfylle pliktene etter art. 32-36 (sikkerhet, brudd­varsling, DPIA, forhånds­drøfting).
  7. Slette eller returnere alle personopplysninger ved avtalens slutt, etter kundens valg.
  8. Tilgjengelig­gjøre dokumentasjon som viser at forpliktelsene oppfylles, og tillate revisjoner ved skriftlig forespørsel.

6. Sikkerhets­tiltak

Skapertorget garanterer minimum følgende sikkerhets­tiltak:

  • Kryptering av all data i transit (TLS 1.3)
  • Kryptering av data i ro (AES-256 i Supabase)
  • Row-Level Security som hindrer at brukere ser hverandres data
  • Innlogging med engangslenke på e-post (magic-link med kort utløpstid) eller passord, levert av Supabase Auth
  • Daglig backup med 30 dagers oppbevaring
  • Audit-logger på admin­tilgang
  • Tilgangs­kontroll: kun nøkkel­ansatte hos Skapertorget har tilgang
  • Årlig risikoanalyse (ROS) og databeskyttelses­konsekvens­utredning (DPIA)
  • Brudd­respons­plan med 72 timers varslings­plikt til kunde

7. Subprosessorer

Kunden gir generell forhånds­godkjennelse til at Skapertorget benytter de subprosessorer som er listet på subprosessor-siden. Endringer varsles minst 30 dager før de trer i kraft. Kunden kan motsette seg endringer og avslutte avtalen.

8. Overføring til tredjeland

Personopplysninger lagres innenfor EØS. Ved overføring til tredjeland (f.eks. USA via Resend) skjer det under EU/US Data Privacy Framework eller standard­kontrakts­klausuler vedtatt av EU-kommisjonen.

9. Brudd på personvern­sikkerheten

Ved sikkerhetsbrudd som påvirker kundens data, varsler Skapertorget kunden uten ugrunnet opphold, og senest innen 72 timer. Varsel inneholder: type brudd, hvilke data, sannsynlige konsekvenser, og hvilke tiltak som er gjort.

10. De registrertes rettigheter

Hvis Skapertorget mottar henvendelser fra de registrerte (f.eks. kundens sluttkunde) som krever handling, videreformidles henvendelsen til kunden uten å gi svar selv.

11. Avslutning

Ved avtalens slutt sletter kunden selv alle personopplysninger via Innstillinger → Data. Slettingen er fullstendig og umiddelbar — den omfatter også sendte og aksepterte tilbud. Før sletting kan kunden eksportere alle data i strukturert format (JSON/CSV) fra samme side.

Rest-spor i drifts­systemene slettes automatisk: audit-logger etter 12 måneder, e-post-leverings­logger etter 6 måneder, tekniske feillogger etter 90 dager og backup etter 30 dager.

Merk: Skapertorget beholder ingen regnskaps­dokumentasjon på kundens vegne. Kunden er selv ansvarlig for å eksportere og oppbevare dokumentasjon som kreves etter bokføringsloven §13 (5 år) før sletting.

12. Erstatning

Begge parter er ansvarlige for direkte tap forårsaket av brudd på avtalen. Skapertorgets erstatnings­ansvar er begrenset til summen kunden har betalt for tjenesten siste 12 måneder, men ikke ved grov uaktsomhet eller forsett.

13. Tvist

Avtalen er underlagt norsk rett. Tvister behandles av norske domstoler med Bergen tingrett som rett verneting.

14. Kontakt

Personvern­spørsmål, henvendelser om DPA, eller varsler om brudd:

Skapertorget AS
E-post: personvern@skapertorget.no