Hvordan Piraja behandler data på vegne av kunder i samsvar med GDPR og globale personvernregler.
1. Innledning
Denne databehandleravtalen ("DBA") utgjør en del av vilkårene for bruk mellom Piraja CRM ("Databehandler", "vi", "oss") og kunden ("Behandlingsansvarlig", "du") som bruker Piraja CRM-tjenester.
Denne DBA gjelder der og i den grad vi behandler personopplysninger på dine vegne i forbindelse med levering av våre tjenester. Denne DBA er utformet for å sikre overholdelse av artikkel 28 i personvernforordningen (EU) 2016/679 ("GDPR") og tilsvarende bestemmelser i gjeldende personvernlovgivning.
2. Definisjoner
- Personopplysninger: Enhver opplysning om en identifisert eller identifiserbar fysisk person som definert i gjeldende personvernlovgivning.
- Behandling: Enhver operasjon utført på personopplysninger, inkludert innsamling, registrering, organisering, strukturering, lagring, tilpasning, gjenfinning, konsultasjon, bruk, utlevering, kombinasjon, begrensning, sletting eller ødeleggelse.
- Registrert: Den identifiserte eller identifiserbare fysiske personen som personopplysningene gjelder.
- Underleverandør: Enhver tredjepart engasjert av databehandleren for å behandle personopplysninger på vegne av den behandlingsansvarlige.
3. Omfang og formål med behandlingen
Vi behandler personopplysninger utelukkende for å levere Piraja CRM-tjenester til deg, inkludert:
- Kundebehandling: Lagring og håndtering av kontaktinformasjon, organisasjoner og personer.
- Kommunikasjon: Behandling av e-postdata for e-postintegrasjonsmodulen (Gmail, Outlook).
- Fakturering: Behandling av betalings- og faktureringsinformasjon via Stripe.
- Support og saksbehandling: Håndtering av supporthenvendelser og servicesaker.
- Analytikk: Aggregert, anonymisert bruksanalytikk for å forbedre tjenesten.
4. Kategorier av registrerte og personopplysninger
Registrerte kan inkludere:
- Dine ansatte og teammedlemmer (brukerkontoer)
- Dine kunder og kontakter (CRM-poster)
- Dine forretningspartnere og leverandører
Kategorier av personopplysninger som behandles:
- Kontaktinformasjon (navn, e-post, telefonnummer, adresse)
- Profesjonell informasjon (stillingstittel, selskap, avdeling)
- Kommunikasjonsposter (e-poster, notater, aktivitetslogger)
- Finansielle data (fakturaer, betalingsreferanser — kortdata behandles utelukkende av Stripe)
- Tekniske data (IP-adresser, nettleserinformasjon for autentisering)
5. Databehandlerens forpliktelser
Vi skal:
a) Behandle personopplysninger kun basert på dine dokumenterte instrukser, med mindre gjeldende lov krever noe annet.
b) Sikre at personer som er autorisert til å behandle personopplysninger har forpliktet seg til konfidensialitet.
c) Implementere egnede tekniske og organisatoriske tiltak, inkludert:
- Kryptering av data under overføring (TLS/HTTPS) og i hvile
- AES-256-GCM-kryptering for OAuth-tokens
- Row Level Security (RLS) på databasetabeller
- Regelmessige sikkerhetsvurderinger og revisjoner
- Tilgangskontroll og autentisering via Supabase Auth
d) Ikke engasjere en annen databehandler uten din forutgående skriftlige autorisasjon. Vi vedlikeholder en liste over godkjente underleverandører (se punkt 8).
e) Bistå deg med å svare på forespørsler fra registrerte (innsyn, retting, sletting, portabilitet, begrensning og innsigelse).
f) Bistå deg med å sikre overholdelse av dine forpliktelser vedrørende sikkerhet, varsling om brudd, personvernkonsekvensvurderinger og forhåndskonsultasjon.
g) Etter ditt valg slette eller returnere alle personopplysninger etter avslutning av tjenestene, og slette eksisterende kopier med mindre gjeldende lov krever lagring.
h) Gjøre tilgjengelig for deg all informasjon som er nødvendig for å demonstrere overholdelse av denne DBA og tillate og bidra til revisjoner.
6. Behandlingsansvarliges forpliktelser
Du skal:
a) Sikre at din bruk av våre tjenester og dine instrukser til oss er i samsvar med gjeldende personvernlovgivning.
b) Ha innhentet alle nødvendige samtykker og rettslige grunnlag for behandling av personopplysninger som deles med oss.
c) Varsle oss umiddelbart om forespørsler fra registrerte som krever vår bistand.
7. Varsling om personvernbrudd
Vi skal varsle deg uten ugrunnet opphold (og uansett innen 72 timer) etter å ha blitt kjent med et brudd på personopplysningssikkerheten. Varslingen skal inneholde:
- En beskrivelse av bruddets art
- Kategoriene og omtrentlig antall berørte registrerte og personopplysninger
- Sannsynlige konsekvenser av bruddet
- Tiltak som er iverksatt eller foreslått for å håndtere bruddet
8. Underleverandører
Vi bruker følgende underleverandører for å levere våre tjenester:
| Underleverandør | Formål | Lokasjon |
|---|---|---|
| Supabase (Supabase Inc.) | Databasehosting, autentisering, fillagring | USA (AWS) |
| Stripe (Stripe Inc.) | Betalingsbehandling, fakturering | USA |
| Vercel (Vercel Inc.) | Applikasjonshosting, edge-nettverk, serverless | Globalt |
| Resend (Resend Inc.) | Transaksjonell e-postlevering | USA |
| OpenAI (OpenAI LLC) | AI-drevne funksjoner (Aiden-assistent) | USA |
| Google (Google LLC) | Gmail-integrasjon, Google Kalender, Analytikk | USA |
| Microsoft (Microsoft Corp.) | Outlook/Microsoft 365-integrasjon | USA |
Vi vil informere deg om planlagte endringer i underleverandører og gi deg rimelig mulighet til å protestere.
9. Internasjonale dataoverføringer
Der personopplysninger overføres utenfor Det europeiske økonomiske samarbeidsområdet (EØS), sikrer vi at egnede garantier er på plass, inkludert:
- Standard personvernbestemmelser (SCC-er) godkjent av EU-kommisjonen
- Adekvansvedtak der det er aktuelt
- Supplerende tiltak etter behov
10. Datalagring og sletting
- Vi lagrer personopplysninger kun så lenge det er nødvendig for å levere våre tjenester.
- Du kan konfigurere lagringsperioder i applikasjonsinnstillingene.
- Automatisert datarensing kjører etter konfigurerbare tidsplaner.
- Ved opphør av tjenester vil vi slette dine data innen 30 dager med mindre loven krever lagring.
- Du kan be om dataeksport når som helst gjennom applikasjonen.
11. Revisjonsrettigheter
Du har rett til å revidere vår overholdelse av denne DBA. Revisjoner skal:
- Gjennomføres med rimelig forhåndsvarsel (minst 30 dager)
- Begrenses til én gang per år med mindre et brudd har funnet sted
- Gjennomføres i normal arbeidstid
- Bekostes av den behandlingsansvarlige
12. Ansvar
Hver parts ansvar under denne DBA er underlagt begrensningene i vilkårene for bruk.
13. Varighet og opphør
Denne DBA skal forbli gjeldende så lenge vi behandler personopplysninger på dine vegne. Den opphører automatisk når vi ikke lenger behandler personopplysninger for deg.
14. Lovvalg
Denne DBA er underlagt samme lov som vilkårene for bruk, uten at dette berører ufravikelig personvernlovgivning.
15. Kontakt
For spørsmål om denne DBA eller for å utøve dine rettigheter, kontakt oss på:
E-post: support@piraja.io