Databehandleravtale (DPA)

Sist oppdatert: 28. mai 2025

Denne databehandleravtalen regulerer behandlingen av personopplysninger mellom:

Behandlingsansvarlig: Enhver juridisk enhet eller virksomhet som benytter Anrop for behandling av personopplysninger

Databehandler: MK Consulting AS, org.nr. 932937832. Tjenesteleverandør for Anrop.no

1. Formål

Formålet med avtalen er å regulere rettigheter og plikter i henhold til EUs personvernforordning (GDPR) når MK Consulting AS behandler personopplysninger på vegne av kunden (Behandlingsansvarlig) i tilknytning til bruken av Anrop-tjenesten.

2. Varighet

Avtalen gjelder så lenge Behandlingsansvarlig benytter Anrop og Databehandler behandler personopplysninger på dennes vegne.

3. Typer personopplysninger og registrerte

Personopplysninger som behandles:

• Navn, telefonnummer, e-postadresse
• Samtaleopptak og transkripsjoner
• Eventuelle meldinger, opplastede filer og innstillinger

Kategorier av registrerte: Ansatte hos Behandlingsansvarlig og deres kunder, kontakter eller innringere.

4. Databehandlers plikter

• Kun behandle personopplysninger etter dokumenterte instrukser fra Behandlingsansvarlig
• Sikre at ansatte er underlagt konfidensialitet
• Iverksette nødvendige tekniske og organisatoriske sikkerhetstiltak
• Bistå med etterlevelse av GDPR (innsyn, sletting m.m.)
• Slette eller returnere data etter tjenesteforholdets slutt, med mindre annet følger av lov

5. Bruk av underdatabehandlere

Databehandler benytter tredjeparts underleverandører (underdatabehandlere) for levering av kjernefunksjonalitet i Anrop, herunder:

• Telefoni og infrastruktur
• Autentisering og datalagring
• Tale-til-tekst og talegenerering
• Språkanalyse og AI-baserte svartjenester
• Betaling og kundesupport

Databehandler forplikter seg til å inngå nødvendige databehandleravtaler med alle underdatabehandlere og sikre at disse oppfyller kravene i GDPR.

En detaljert og oppdatert liste over underdatabehandlere er tilgjengelig ved forespørsel fra Behandlingsansvarlig. Ved vesentlige endringer vil Databehandler varsle Behandlingsansvarlig, som har rett til å motsette seg endringer med saklig grunn.

6. Overføring av data utenfor EØS

Hvis data overføres utenfor EØS, forplikter Databehandler seg til å sikre gyldig overføringsgrunnlag, som bruk av EUs standardavtaler (SCC), sertifiseringsordninger eller tilsvarende.

7. Informasjonssikkerhet

Databehandler har iverksatt egnede sikkerhetstiltak, inkludert tilgangskontroller, kryptering og lagring innenfor EU/EØS eller med godkjente overføringsmekanismer. Lydopptak og transkripsjoner slettes automatisk etter 90 dager.

8. Håndtering av brudd på personopplysningssikkerhet

Ved brudd skal Databehandler varsle Behandlingsansvarlig uten ugrunnet opphold, og gi informasjon om:

• Hva som har skjedd
• Hvilke personer og data som er berørt
• Hvilke tiltak som er iverksatt

9. Revisjon og innsyn

Behandlingsansvarlig har rett til å be om dokumentasjon for å bekrefte etterlevelse av avtalen. Eventuell revisjon kan avtales med rimelig varsel.

10. Avslutning og sletting

Ved opphør av tjenesteforholdet skal Databehandler slette eller returnere personopplysninger etter Behandlingsansvarliges valg, med mindre videre lagring er lovpålagt.

11. Aksept

Denne avtalen gjelder automatisk for alle behandlingsansvarlige som benytter Anrop. Ved å ta tjenesten i bruk bekrefter du å ha lest, forstått og akseptert innholdet i denne databehandleravtalen. Signatur er ikke nødvendig.

12. Lovvalg og tvisteløsning

Avtalen reguleres av norsk lov. Tvister skal søkes løst i minnelighet. Dersom dette ikke lykkes, avgjøres saken av Oslo tingrett som verneting.