Databehandleravtale

Inngått i henhold til art. 28 nr. 3 GDPR. Den utgjør en integrert del av Tjenestevilkårene og gjelder automatisk for enhver WorkAist Cloud-kunde.

Gjeldende fra: 2026-07-10

Dette dokumentet er publisert på flere språk. Ved eventuelle avvik er den engelske versjonen bindende.

1. Parter og roller

Denne databehandleravtalen («DBA») inngås mellom kunden som er identifisert i WorkAist-kontoen («Behandlingsansvarlig») og ILIN & SADOVENKO, LDA, Rua de Xabregas, nº 2, Escritório 3.21, 1900-440 Lisboa, Portugal, NIF 517251876 («Databehandler»).

Med hensyn til Kundedata som behandles i WorkAist Cloud, fastsetter Behandlingsansvarlig formålene med og midlene for behandlingen, og Databehandler behandler på vegne av Behandlingsansvarlig. Der Behandlingsansvarlig selv er databehandler for en tredjepart, garanterer Behandlingsansvarlig at vedkommende har myndighet til å inngå denne DBA-en, og at instruksene som gis, gjenspeiler denne tredjepartens instrukser.

Denne DBA-en gjelder ikke for WorkAist Self-Hosted, der Kundedata ikke når Databehandlers systemer, og heller ikke for data der Databehandler selv er behandlingsansvarlig, som reguleres av Personvernerklæringen.

2. Rangordning

Der denne DBA-en er i strid med Tjenestevilkårene, går denne DBA-en foran i personvernspørsmål. Der den er i strid med et individuelt forhandlet bestillingsskjema eller en signert databehandleravtale, går det dokumentet foran.

3. Formål, varighet, art og hensikt

Formålet er leveransen av WorkAist Cloud. Behandlingens art og hensikt er hosting, lagring, overføring og automatisert behandling av Kundedata, slik at Behandlingsansvarliges konfigurerte agenter, connectors og prosesser kan kjøre, sammen med de support-, sikkerhets-, måle- og faktureringsaktivitetene som er nødvendige for å levere Tjenesten.

Behandlingen varer så lenge Behandlingsansvarliges avtale for WorkAist Cloud er i kraft, i tillegg til slettefristene i punkt 11.

4. Kategorier av registrerte og personopplysninger

Behandlingsansvarlig bestemmer hva som lastes opp. Vanligvis gjelder behandlingen:

Kategorier av registrerteKategorier av personopplysninger
Behandlingsansvarliges ansatte og autoriserte brukereNavn, jobb-e-post, rolle, autentiseringsdata, oppføringer i revisjonslogg
Behandlingsansvarliges kunder, leads og kontakterNavn, e-post, telefonnummer, selskap, korrespondanse, CRM-poster, enhver identifikator Behandlingsansvarlig velger å synkronisere
Behandlingsansvarliges leverandører og partnereKontaktopplysninger, kontrakts- og fakturadata
Enhver registrert som fremgår av dokumenter eller meldinger Behandlingsansvarlig behandlerAlle personopplysninger som finnes i filer, e-poster, transkripsjoner, bilder eller meldinger Behandlingsansvarlig sender inn til Tjenesten

Særlige kategorier av personopplysninger etter art. 9 GDPR og personopplysninger om straffedommer og lovovertredelser etter art. 10 GDPR må ikke behandles i Tjenesten med mindre partene på forhånd har avtalt ytterligere sikkerhetstiltak skriftlig.

Datakilde

Kundedata når Tjenesten fordi Behandlingsansvarlig kobler til eksterne systemer, laster opp filer, eller instruerer sine agenter til å hente dem. Kun Behandlingsansvarlig velger disse kildene og bestemmer hva som importeres.

Behandlingsansvarlig garanterer at vedkommende har et rettslig grunnlag etter art. 6 GDPR — og, der det er relevant, art. 9 — for å samle inn disse personopplysningene og for å overføre dem til Databehandler, og at ethvert informasjonsvarsel eller samtykke som kreves i kildesystemet, er på plass. Databehandler har ingen tilgang til Behandlingsansvarliges kildesystemer, velger dem ikke, og verken kontrollerer eller er i stand til å kontrollere om de overholder personvernlovgivningen. Det er Behandlingsansvarliges forpliktelse som behandlingsansvarlig å fastslå dette.

5. Behandling etter dokumenterte instrukser

Databehandler behandler Kundedata kun etter Behandlingsansvarliges dokumenterte instrukser, herunder med hensyn til overføringer til tredjeland, med mindre Databehandler er pålagt noe annet av EU-rett eller medlemsstatenes rett som Databehandler er underlagt. I så fall informerer Databehandler Behandlingsansvarlig om dette rettslige kravet før behandlingen finner sted, med mindre loven forbyr dette av viktige allmenne hensyn.

Tjenestevilkårene, denne DBA-en, samt Behandlingsansvarliges konfigurasjon og bruk av Tjenesten, utgjør Behandlingsansvarliges fullstendige dokumenterte instrukser. Enhver tilleggsinstruks må være skriftlig og kan, dersom den krever innsats utover Tjenestens standardfunksjonalitet, være gjenstand for et rimelig vederlag avtalt på forhånd.

Databehandler informerer Behandlingsansvarlig uten unødig opphold dersom Databehandler mener at en instruks er i strid med GDPR eller annen personvernlovgivning i EU eller medlemsstatene.

6. Konfidensialitet

Databehandler sikrer at personer som er autorisert til å behandle Kundedata, har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt, og at tilgangen er begrenset til dem som trenger den for å oppfylle avtalen.

7. Sikkerhet ved behandlingen

Under hensyntagen til den tekniske utviklingen, gjennomføringskostnadene samt behandlingens art, omfang, sammenheng og formål, og risikoen for fysiske personers rettigheter og friheter, gjennomfører Databehandler følgende tekniske og organisatoriske tiltak etter art. 32 GDPR.

Vedlegg II — Tekniske og organisatoriske tiltak

TiltakGjennomføring
Kryptering under overføringAll trafikk til og fra Tjenesten leveres over TLS med automatisk fornyede sertifikater. Intern trafikk mellom tjenester forlater ikke vertsnettverket.
Kryptering av hemmeligheterKundens påloggingsopplysninger og connector-hemmeligheter krypteres i hvilende tilstand med AES-256-GCM under en nøkkel som oppbevares utenfor applikasjonsdatabasen.
PseudonymiseringTelemetri- og måledata refererer til kunder og agenter ved identifikator fremfor navn eller e-post, der identifikatoren er tilstrekkelig.
Konfidensialitet — tilgangskontrollRollebasert tilgangskontroll per arbeidsområde. Hver agent er avgrenset til sitt eget lagringsprefiks og sitt eget databaseskjema; tilgang på tvers av kunder avvises på dataflaten, ikke bare i brukergrensesnittet.
Konfidensialitet — ansatteAdministrativ tilgang etter prinsippet om minste privilegium, tildelt individuelt og gjennomgått ved rolleendring. Alle administrative handlinger skrives til en revisjonslogg som kun tillater tilføyelser (append-only).
IntegritetGjennomgående inndatavalidering og parametriserte spørringer. Hver endring gjennom driftsdata-API-et registrerer en rad i revisjonsloggen som identifiserer den som utførte handlingen.
Tilgjengelighet og robusthetAdministrert hosting i et datasenter av Tier III-klasse i Tyskland. Automatiserte daglige sikkerhetskopier av databasen, oppbevart kryptert og adskilt fra produksjonsmiljøet.
GjenopprettingDokumentert gjenopprettingsprosedyre fra den nyeste sikkerhetskopien; gjenoppretting øves som del av infrastrukturendringer.
Testing og evalueringSårbarhetsskanning av avhengigheter i kontinuerlig integrasjon, kodegjennomgang før sammenslåing, samt periodisk gjennomgang av disse tiltakene minst årlig og ved vesentlige endringer i Tjenesten.
Innebygd dataminimeringConnectors synkroniserer kun feltene Behandlingsansvarlig aktiverer. Behandlingsansvarlig kan når som helst slette enhver synkronisert tabell.

Databehandler kan oppdatere disse tiltakene etter hvert som teknologien utvikler seg, forutsatt at beskyttelsesnivået ikke reduseres. Den til enhver tid gjeldende versjonen er alltid den som er publisert på denne siden.

8. Underdatabehandlere

Behandlingsansvarlig gir Databehandler en generell skriftlig fullmakt til å engasjere underdatabehandlere. Databehandler pålegger hver underdatabehandler, gjennom avtale, personvernforpliktelser som ikke er mindre beskyttende enn dem som følger av denne DBA-en, og forblir fullt ut ansvarlig overfor Behandlingsansvarlig for underdatabehandlerens ytelse.

Vedlegg III — Godkjente underdatabehandlere

Følgende underdatabehandlere er engasjert for enhver WorkAist Cloud-kunde, fordi de er en del av infrastrukturen Tjenesten kjører på.

UnderdatabehandlerFormålStedOverføringsgaranti
Hetzner Online GmbHHosting av applikasjonsservere, database og sikkerhetskopierTyskland (EU)Ikke aktuelt
Cloudflare, Inc.DNS, reverse proxy, TLS-terminering, DDoS-beskyttelseGlobalt edge-nettverk, inkludert EUSCC; EU-US Data Privacy Framework
Stripe Payments Europe, Ltd.Betalings- og abonnementsbehandlingIrland (EU)SCC for videre konserninterne overføringer; EU-US Data Privacy Framework
Resend, Inc.Levering av transaksjonelle e-posterUSASCC

Modellleverandører

Leverandører av store språkmodeller behandles annerledes, fordi Behandlingsansvarlig velger dem selv.

  • Dersom Behandlingsansvarlig oppgir egne leverandørlegitimasjoner, engasjeres denne leverandøren av Behandlingsansvarlig, etter Behandlingsansvarliges instrukser og under Behandlingsansvarliges egen avtale med den. Den er ikke en underdatabehandler av Databehandler. Databehandler videresender kun forespørselen ved bruk av de oppgitte legitimasjonene og gir ingen garanti for denne leverandørens sikkerhet, sted for behandling, treningspraksis eller regeletterlevelse.
  • Dersom Behandlingsansvarlig bruker Databehandlers administrerte tokenfakturering, velger Databehandler leverandøren, og denne er en underdatabehandler av Databehandler. Leverandøren som for tiden er engasjert i denne funksjonen, er Anthropic PBC (USA), for inferens fra store språkmodeller, i henhold til standard personvernbestemmelser og kontraktsmessig forhindret fra å trene på dataene som sendes til den.

Behandlingsansvarlig kan når som helst se hvilken modellleverandør hver av sine agenter bruker, og kan endre den, inne i Tjenesten.

Endringer av underdatabehandlere

Databehandler varsler Behandlingsansvarlig per e-post minst 30 dager i forveien før en underdatabehandler legges til eller erstattes. Behandlingsansvarlig kan protestere på rimelige personvernrettslige grunnlag innen disse 30 dagene. Dersom partene ikke kan løse innsigelsen, kan Behandlingsansvarlig si opp den berørte delen av Tjenesten uten gebyr og motta en forholdsmessig refusjon av forhåndsbetalte gebyrer.

9. Bistand ved utøvelse av registrertes rettigheter

Under hensyntagen til behandlingens art bistår Databehandler Behandlingsansvarlig, gjennom egnede tekniske og organisatoriske tiltak, så langt dette er mulig, med å oppfylle Behandlingsansvarliges plikt til å besvare anmodninger om utøvelse av den registrertes rettigheter etter kapittel III GDPR.

Tjenesten gir Behandlingsansvarlig direkte tilgang til Kundedata, slik at vedkommende selv kan finne, eksportere, rette og slette personopplysninger. Der en anmodning likevel krever Databehandlers medvirkning, svarer Databehandler uten unødig opphold og under enhver omstendighet innen 10 virkedager. Dersom en registrert henvender seg direkte til Databehandler angående Kundedata, gir Databehandler intet realitetssvar; anmodningen videresendes til Behandlingsansvarlig uten unødig opphold.

10. Bistand ved art. 32 til 36

Databehandler bistår Behandlingsansvarlig med å sikre etterlevelse av forpliktelsene i art. 32 til 36 GDPR, under hensyntagen til behandlingens art og den informasjonen Databehandler har tilgjengelig — særlig med hensyn til sikkerhet ved behandlingen, melding av brudd på personopplysningssikkerheten, kommunikasjon til registrerte, vurderinger av personvernkonsekvenser og forhåndsdrøfting.

Brudd på personopplysningssikkerheten

Databehandler varsler Behandlingsansvarlig uten unødig opphold, og under enhver omstendighet innen 48 timer, etter å ha blitt oppmerksom på et brudd på personopplysningssikkerheten som berører Kundedata. Varselet beskriver bruddets art, kategoriene og det omtrentlige antallet berørte registrerte og poster, de sannsynlige konsekvensene, de tiltakene som er iverksatt eller foreslått, og et kontaktpunkt. Der ikke all informasjon foreligger samtidig, gis den trinnvis uten ytterligere unødig opphold. Databehandler varsler ikke en tilsynsmyndighet eller registrerte på vegne av Behandlingsansvarlig med mindre Databehandler blir instruert om det.

11. Sletting og retur av Kundedata

Etter Behandlingsansvarliges valg sletter eller returnerer Databehandler alle Kundedata etter avslutningen av tjenestene knyttet til behandlingen, og sletter eksisterende kopier, med mindre EU-rett eller medlemsstatenes rett krever lagring av personopplysningene.

  • I 30 dager etter at avtalen opphører, kan Behandlingsansvarlig eksportere Kundedata fra Tjenesten, eller anmode om at de returneres i et strukturert, alminnelig anvendt, maskinlesbart format.
  • Databehandler sletter Kundedata fra driftssystemene innen 30 dager etter at dette eksportvinduet lukkes.
  • Krypterte sikkerhetskopier som inneholder Kundedata, overskrives ved sin normale rotasjon og under enhver omstendighet innen 90 dager etter sletting fra driftssystemene.
  • På skriftlig anmodning bekrefter Databehandler slettingen skriftlig.

12. Revisjoner og informasjon

Databehandler stiller til rådighet for Behandlingsansvarlig all informasjon som er nødvendig for å dokumentere etterlevelse av art. 28 GDPR, og tillater og bidrar til revisjoner, herunder inspeksjoner, gjennomført av Behandlingsansvarlig eller en annen revisor gitt fullmakt av Behandlingsansvarlig.

I praksis gir Databehandler først sin gjeldende dokumentasjon av tekniske og organisatoriske tiltak, sin liste over underdatabehandlere, og skriftlige svar på et sikkerhetsspørreskjema. Der dette ikke er tilstrekkelig til å dokumentere etterlevelse, kan Behandlingsansvarlig gjennomføre en revisjon på stedet eller eksternt, med 30 dagers skriftlig forhåndsvarsel, høyst én gang per kalenderår med mindre et brudd på personopplysningssikkerheten har inntruffet eller en tilsynsmyndighet krever det. Revisjoner finner sted i normal arbeidstid, må ikke uforholdsmessig forstyrre Databehandlers drift, og er underlagt konfidensialitet. Behandlingsansvarlig bærer sine egne revisjonskostnader; Databehandler bærer sine egne, med mindre revisjonen avdekker et vesentlig brudd på denne DBA-en.

13. Internasjonale overføringer

Databehandler lagrer Kundedata i hvilende tilstand i Tyskland. Overføringer til underdatabehandlere utenfor Det europeiske økonomiske samarbeidsområdet, som oppført i Vedlegg III, finner sted i henhold til Europakommisjonens standard personvernbestemmelser (gjennomføringsbeslutning (EU) 2021/914), modul tre, der Databehandler opptrer som databehandler som engasjerer en underdatabehandler, supplert der det er hensiktsmessig med ytterligere sikkerhetstiltak, og — der mottakeren er sertifisert — i henhold til beslutningen om tilstrekkelig beskyttelsesnivå for EU-US Data Privacy Framework.

Ved å inngå denne DBA-en gir Behandlingsansvarlig Databehandler fullmakt til å inngå disse standard personvernbestemmelsene med hver underdatabehandler i Behandlingsansvarliges navn og på vegne av denne.

14. Ansvar

Ansvar etter denne DBA-en reguleres av ansvarsbegrensningen i Tjenestevilkårene, med det unntak at ingenting begrenser noen av partenes ansvar overfor en registrert etter art. 82 GDPR eller overfor en tilsynsmyndighet.

15. Varighet, lovvalg og kontakt

Denne DBA-en trer i kraft når Behandlingsansvarliges avtale for WorkAist Cloud begynner, og forblir i kraft så lenge Databehandler behandler Kundedata. Den reguleres av portugisisk rett, og domstolene i Lisboa har eksklusiv jurisdiksjon, uten at dette berører art. 79 GDPR.

Kontakt for alle forhold knyttet til denne DBA-en: [email protected].