Data Processing Agreement

GDPR-Compliant

Sist oppdatert: mars 2025

1. Gjenstand og varighet

Denne avtalen regulerer behandling av personopplysninger av Refybe på vegne av kunden, i samsvar med artikkel 28 i GDPR. Varigheten av behandlingen er terminen for hovedavtalen mellom partene, eller til alle personopplysninger blir slettet eller returnert til kunden.

2. Art og formål med behandling

  • Formål: Å tilby gamification-tjenester via Refybe.com.
  • Art: Innsamling, lagring, strukturering, analyse og overføring.
  • Typer personopplysninger: Navn, e-postadresser, bruker-IDer, deltakeropplysninger (som deltaker e-post, navn, adresse osv.), aktivitetslogger.
  • Kategorier av registrerte: Sluttbrukere av kundens tjenester.

3. Forpliktelser for databehandleren

  • Behandle personopplysninger kun på dokumenterte instruksjoner fra kunden.
  • Sikre konfidensialitet av personell som håndterer data.
  • Implementere passende tekniske og organisatoriske tiltak.
  • Bistå den dataansvarlige med å oppfylle rettigheter til registrerte.
  • Bistå med sikkerhet, varsler om databrudd og DPIA-er.
  • Slette alle personopplysninger ved opphør.

4. Underbehandling

Kunden autoriserer Refybe til å engasjere underbehandlere som nevnt i vedlegg I. Refybe informerer kunden om planlagte endringer i listen og tillater innvendinger.

5. Internasjonale dataoverføringer

Refybe sikrer at overføringer av personopplysninger utenfor EØS er underlagt passende garantier i samsvar med GDPR kapittel V.

6. Rettigheter for registrerte

Refybe bistår kunden med å oppfylle forpliktelser til å svare på forespørsler fra registrerte i henhold til GDPR artikkel 12–23.

7. Sletting eller returnering av data

Ved opphør av tjenesten sletter Refybe alle personopplysninger med mindre oppbevaring er lovpålagt.

8. Ansvar

Hver part er ansvarlig for sine egne GDPR-brudd. Ingenting i denne avtalen begrenser rettighetene til registrerte eller regulatoriske myndigheter.

9. Gjeldende lov

Denne avtalen er underlagt loven i Den europeiske union og loven i Nederland.

10. Vedlegg I – Autoriserte underbehandlere (på engelsk)

Sub-Processor Service Location Safeguards
AWS Hosting / Email Germany / Sweden EEA, ISO 27001
Hetzner Hosting Germany EEA, ISO 27001
SendGrid Email USA / EU SCCs