Databehandleravtale Bedriftskunder

📜 Databehandleravtale (DPA)

i henhold til artikkel 28 i EUs personvernforordning (GDPR)

mellom

Behandlingsansvarlig:
[Bedriftsnavn]
Org.nr.: [Organisasjonsnummer]
Adresse: [Adresse]

Databehandler:
Snapper City AS
Org.nr.: 932 393 859
Flåtestadveien 7, 1415 Oppegård, Norge
(kalt «Snapper City» eller «Databehandleren»)

Behandlingsansvarlig og Databehandler omtales samlet som Partene.

1. Formål og bakgrunn

Denne avtalen regulerer Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlig ved bruk av tjenesten Snapper City – digital CV-base og rekrutteringsplattform.

Formålet er å sikre at behandlingen skjer i samsvar med EUs personvernforordning (EU 2016/679) og norsk personopplysningslov, slik at personvernet til registrerte kandidater blir ivaretatt.

Avtalen supplerer hovedavtalen mellom Partene om bruk av Snapper City og gjelder så lenge personopplysninger behandles.

2. Roller og ansvar

Behandlingsansvarlig bestemmer formålet og midlene for behandlingen.
Databehandler behandler personopplysninger utelukkende etter dokumentert instruks fra Behandlingsansvarlig og som beskrevet i denne avtalen.
Databehandler skal straks varsle Behandlingsansvarlig dersom en instruks er i strid med GDPR eller annen lovgivning.

3. Behandlingens formål, art og omfang

Formål:
Behandlingen skjer for at Behandlingsansvarlig skal kunne søke etter, vurdere og kontakte kandidater registrert i Snapper Citys CV-base for rekruttering eller samarbeid.

Omfang / art:
Tilgang, lagring og behandling av kandidatinformasjon registrert av brukerne av Snapper City.

Typiske personopplysninger:
Navn, e-post, telefonnummer, adresse, CV, utdanning, arbeidserfaring, ferdigheter, attester, sertifikater, bilde, videopresentasjon, samt systemdata (innloggingstidspunkter m.m.).

Kategorier av registrerte:
Jobbkandidater som har registrert profil i Snapper City.

Det behandles ikke særlige kategorier av personopplysninger (artikkel 9).

4. Databehandlerens forpliktelser

Databehandleren skal:

behandle opplysninger kun etter dokumenterte instrukser fra Behandlingsansvarlig,
sikre at ansatte og underleverandører er underlagt taushetsplikt,
gjennomføre egnede tekniske og organisatoriske sikkerhetstiltak jf. artikkel 32,
bistå Behandlingsansvarlig ved forespørsler fra registrerte (innsyn, sletting m.m.),
varsle Behandlingsansvarlig uten ugrunnet opphold, og senest innen 72 timer, ved brudd på personopplysningssikkerheten,
bistå ved vurdering av personvernkonsekvenser (DPIA) og ved henvendelser fra Datatilsynet,
ikke overføre opplysninger til tredjeland uten dokumentert instruks og gyldig overføringsgrunnlag (kapittel V GDPR),
stille nødvendig dokumentasjon til rådighet slik at Behandlingsansvarlig kan kontrollere etterlevelsen.

5. Konfidensialitet

Alle personer som gis tilgang til personopplysninger hos Databehandleren skal ha signert taushetserklæring eller være underlagt lovpålagt taushetsplikt.
Taushetsplikten gjelder også etter avtalens opphør.

6. Sikkerhetstiltak

Snapper City har implementert tekniske og organisatoriske tiltak som oppfyller kravene i artikkel 32, herunder:

tilgangsstyring og rollebasert tilgang i systemet,
kryptert kommunikasjon (TLS 1.3) og kryptering av autentiseringsdata,
sikkerhetskopiering og redundans,
loggføring av tilgang og endringer,
jevnlig sikkerhetstesting og tilgangsrevisjoner.

Behandlingsansvarlig kan kreve dokumentasjon på gjeldende sikkerhetstiltak én gang per år.

7. Bruk av underdatabehandlere

Databehandleren har generell godkjenning til å benytte underdatabehandlere for drift, lagring eller utvikling av Snapper City.
En oppdatert liste finnes i Vedlegg B.

Databehandleren skal varsle Behandlingsansvarlig minst 30 dager før endringer i listen trer i kraft.
Behandlingsansvarlig kan motsette seg endringen og si opp avtalen dersom innvendingen ikke imøtekommes.

Databehandleren skal sikre at enhver underdatabehandler pålegges de samme forpliktelser som i denne avtalen, og Databehandleren forblir fullt ut ansvarlig for underdatabehandlerens handlinger.

8. Overføring til tredjeland

All behandling skal som hovedregel skje innenfor EU/EØS.
Overføring utenfor EU/EØS kan kun skje etter skriftlig instruks fra Behandlingsansvarlig og med gyldig overføringsgrunnlag (for eksempel EUs standardkontraktsklausuler).

9. Brudd på personopplysningssikkerheten

Ved avvik eller sikkerhetsbrudd skal Databehandleren:

varsle Behandlingsansvarlig uten ugrunnet opphold og senest 72 timer etter at bruddet er oppdaget,
beskrive arten av bruddet, berørte registrerte, sannsynlige konsekvenser og foreslåtte tiltak,
bistå Behandlingsansvarlig med varsling til Datatilsynet og eventuelle registrerte.

10. Revisjon og kontroll

Behandlingsansvarlig har rett til å føre kontroll med Databehandlerens etterlevelse én gang per år.
Revisjoner kan gjennomføres av uavhengig tredjepart etter rimelig varsel.
Databehandleren skal stille nødvendig dokumentasjon til rådighet.

Eventuelle kostnader for revisjon bæres av den som bestiller den, med mindre det avdekkes vesentlige brudd.

11. Sletting og retur av data

Ved avtalens opphør skal Databehandler:

slette eller returnere alle personopplysninger som er behandlet på vegne av Behandlingsansvarlig,
bekrefte skriftlig at sletting er gjennomført,
sikre at eventuell restdata som må beholdes etter lovkrav lagres sikkert og ikke brukes til andre formål.

Snapper City kan beholde anonymiserte data for statistikk og systemforbedring.

12. Ansvar og erstatning

Hver part er ansvarlig for sine handlinger etter GDPR.
Databehandleren er ansvarlig for skader som skyldes manglende etterlevelse av denne avtalen eller instruksene.
Behandlingsansvarlig kan kreve dokumentert tap dekket i henhold til artikkel 82 GDPR.

13. Varighet og opphør

Avtalen trer i kraft ved signering og gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig.
Avtalen kan revideres ved lovendringer eller etter skriftlig enighet mellom Partene.

Etter opphør skal Databehandler umiddelbart slette eller returnere all data som angitt i punkt 11.

14. Kontaktpersoner

Hos Behandlingsansvarlig:
Navn: [ ] Stilling: [ ] E-post: [ ]

Hos Databehandler:
Navn: Heidi Alice Vennevik
Stilling: Personvernombud / Daglig leder
E-post: kontakt@ snappercity.no Telefon: +47 466 96 698

15. Signaturer

For Behandlingsansvarlig	For Databehandler (Snapper City AS)
Navn:	Navn: Heidi Alice Vennevik
Stilling:	Stilling: Personvernombud / Daglig leder
Dato:	Dato: 08.10.2025
Signatur: aksepteres digitalt	Signatur: aksepteres digitalt

📎 Vedlegg A – Behandlingsdetaljer

📎 Vedlegg B – Godkjente underdatabehandlere

Denne oversikten viser hvilke underdatabehandlere Snapper City AS benytter for å levere tjenesten.
Databehandleren skal varsle Behandlingsansvarlig minst 30 dager før eventuelle endringer (nye, fjernede eller erstattede underleverandører) trer i kraft.
Behandlingsansvarlig kan motsette seg endringen dersom den ikke er i tråd med personvernforordningen eller virksomhetens interne krav.

Leverandør	Formål med behandlingen	Lokasjon for behandling	Overføringsgrunnlag / merknad
Kodeks AS Org.nr.: [sett inn nr] Flåtestadveien 7, 1415 Oppegård, Norge	Teknisk drift, utvikling og vedlikehold av Snapper City-plattformen	Norge / EU (EØS)	Behandling innenfor EØS – ingen overføring utenfor EU
WordPress Hosting / Automattic Inc. 60 29th Street #343, San Francisco, CA 94110, USA	Publisering av nettside og infrastruktur for nettsider og blogg	Primært EU (EØS-sentre), speiling USA	Standard Contractual Clauses (SCCs) – GDPR art. 46(2)(c)
Algolia, Inc. 301 Howard Street, Suite 1800, San Francisco, CA 94105, USA Org.nr. (US EIN): 46-4036575	Søke- og indekseringstjenester for Snapper City (plattformens søk og API for profiler og kandidater)	Primær datalagring: EU (Amsterdam / Frankfurt / Paris) via AWS, Google Cloud, OVH, Hetzner. Speiling / redundans: global (inkl. USA), avhengig av kundens valgte region.	Standard Contractual Clauses (SCCs) – GDPR art. 46(2)(c) + tekniske og organisatoriske tiltak
(Fremtidig leverandør 1)
(Fremtidig leverandør 2)
(Fremtidig leverandør 3)

Snapper City AS bruker underleverandører for spesifikke deler av driften (som drift, søk og nettsideinfrastruktur).
Alle underdatabehandlere er vurdert i henhold til GDPR artikkel 28 og 32, og eventuelle overføringer utenfor EU/EØS er regulert gjennom EUs Standard Contractual Clauses (SCCs) og tilhørende tekniske og organisatoriske sikkerhetstiltak.
Snapper City AS er til enhver tid ansvarlig for at alle underdatabehandlere etterlever disse kravene.

Databehandleren skal varsle Behandlingsansvarlig minst 30 dager før nye underdatabehandlere tas i bruk.

📎 Vedlegg C – Tekniske og organisatoriske sikkerhetstiltak (TOMs)

Snapper City AS har etablert egnede tekniske og organisatoriske tiltak for å sikre et beskyttelsesnivå som står i forhold til risikoen ved behandlingen, jf. personvernforordningen art. 32.
Tiltakene omfatter blant annet:
Kryptert kommunikasjon: All trafikk foregår over HTTPS (TLS 1.3). Passord lagres med sikker hashing (bcrypt).
Tilgangsstyring: Kun autoriserte personer har tilgang til personopplysninger. Tilganger gis etter minste-rett-prinsippet og fjernes ved opphør.
Loggføring: Pålogginger og endringer loggføres for å ivareta sporbarhet og sikkerhet.
Sikkerhetskopiering: Data sikkerhetskopieres jevnlig og lagres kryptert i EØS-baserte datasentre.
Oppdatering og kontroll: Systemet vedlikeholdes med jevnlige sikkerhetsoppdateringer og årlig gjennomgang av rutiner og tilganger.
Lagringssted: Personopplysninger lagres innenfor EU/EØS. Enkelte underleverandører (f.eks. Algolia og Automattic Inc.) kan ha speiling utenfor EU/EØS, beskyttet av EUs Standard Contractual Clauses (SCCs).
Snapper City AS vurderer jevnlig sine sikkerhetstiltak for å sikre fortsatt etterlevelse av gjeldende personvern- og informasjonssikkerhetskrav.