Alle juridiske dokumenter

Databehandleravtale

Avtale om SeaITs behandling av personopplysninger på vegne av havna, jf. personvernforordningen art. 28.

Sist oppdatert 8. juli 2026

1. Parter og bakgrunn

Denne databehandleravtalen inngås mellom havna («behandlingsansvarlig») og SeaIT AS (org.nr. 930 847 763) («databehandler» / «SeaIT»). Avtalen regulerer databehandlerens behandling av personopplysninger på vegne av behandlingsansvarlig i forbindelse med bruk av tjenesten, og utfyller partenes øvrige avtale. Ved motstrid går denne avtalen foran for spørsmål om personvern.

Avtalen skal sikre at behandlingen skjer i samsvar med personvernforordningen (GDPR) og personopplysningsloven.

2. Formål og instruks

Databehandleren skal kun behandle personopplysninger for å levere tjenesten og etter behandlingsansvarligs dokumenterte instrukser, herunder denne avtalen og bruken av tjenestens funksjoner og innstillinger. Databehandleren varsler behandlingsansvarlig dersom en instruks etter databehandlerens vurdering er i strid med regelverket.

Databehandleren behandler ikke personopplysningene for egne formål og overlater dem ikke til andre enn det avtalen tillater.

3. Behandlingens art, varighet og kategorier (vedlegg A)

Behandlingens art og formål: drift av en nettbasert havneadministrasjonstjeneste, herunder lagring, organisering, visning, utsending av varsler og fakturering.

Varighet: så lenge tjenesteavtalen løper, med etterfølgende sletting/utlevering som beskrevet i punkt 9.

Registrerte: havnas medlemmer og deres medeiere, ansatte/styre, gjester og kontaktpersoner.

Kategorier av personopplysninger: identifikasjon og kontaktopplysninger, båt- og plassopplysninger, økonomiske referanser, bruks- og aktivitetsdata, kommunikasjon, møte- og stemmedata, samt data fra valgfrie moduler (adgang, strøm, bilder). Særlige kategorier behandles ikke.

4. Databehandlerens plikter

  • Behandle personopplysninger kun etter dokumentert instruks fra behandlingsansvarlig.
  • Sikre at personer med tilgang har taushetsplikt.
  • Gjennomføre egnede tekniske og organisatoriske sikkerhetstiltak, jf. art. 32 (vedlegg B).
  • Bistå behandlingsansvarlig med å svare på de registrertes henvendelser om rettigheter.
  • Bistå behandlingsansvarlig med sikkerhet, avviks­håndtering, melding om brudd og vurdering av personvernkonsekvenser (art. 32–36).
  • Gjøre tilgjengelig informasjon som er nødvendig for å vise at pliktene overholdes, og muliggjøre revisjon (punkt 8).
  • Slette eller returnere personopplysninger ved avtalens opphør (punkt 9).

5. Sikkerhet (vedlegg B)

Databehandleren gjennomfører sikkerhetstiltak tilpasset risikoen, herunder:

  • Kryptering av personopplysninger under overføring (TLS) og i hvile.
  • Rollebasert tilgangsstyring med tilgangskontroll på databasenivå og prinsippet om minste privilegium.
  • Sikker autentisering og adgangslogging.
  • Sikkerhetskopiering og rutiner for gjenoppretting.
  • Løpende logging og overvåking av tilgang og hendelser.
  • Lagring i EØS og interne rutiner for konfidensialitet og hendelseshåndtering.

6. Bruk av underdatabehandlere (vedlegg C)

Behandlingsansvarlig gir generell forhåndsgodkjenning til at databehandleren benytter underdatabehandlere som angitt nedenfor. Databehandleren inngår avtale med hver underdatabehandler som pålegger tilsvarende personvernplikter, og forblir ansvarlig for underdatabehandlerens utførelse.

Ved planlagte endringer i eller tillegg til underdatabehandlere varsles behandlingsansvarlig i rimelig tid, slik at det er mulig å motsette seg endringen.

UnderdatabehandlerFormålLokasjonOverføringsgrunnlag
SupabaseDatabase, autentisering og fillagringEØS (EU-region)Innenfor EØS
VercelDrift, hosting og serverfunksjonerEØS (EU-region)Innenfor EØS
ResendUtsending av e-postEØS (EU-region)Innenfor EØS
Sinch / GatewayAPIUtsending av SMSEØSInnenfor EØS
LiveKitSanntidsvideo for styremøterEØS (EU-region)Innenfor EØS
Stripe / VippsBetaling i gjestehavn[EØS/Norge – bekreftes]Egen behandlingsansvarlig for betalingsdata
Tripletex / Fatture in CloudRegnskaps- og fakturaintegrasjonEØS (Norge/Italia)Egen behandlingsansvarlig

7. Overføring utenfor EØS

Kjernedriften skjer i EØS. Overføring av personopplysninger til land utenfor EØS skjer kun med gyldig overføringsgrunnlag etter forordningen kapittel V, for eksempel en beslutning om tilstrekkelig beskyttelsesnivå eller EUs standard personvernbestemmelser (SCC) med nødvendige tilleggstiltak, jf. vedlegg C.

8. Brudd på personopplysningssikkerheten og revisjon

Databehandleren varsler behandlingsansvarlig uten ugrunnet opphold etter å ha blitt kjent med brudd på personopplysningssikkerheten, og bistår med informasjon slik at behandlingsansvarlig kan oppfylle sin meldeplikt til Datatilsynet og eventuelle registrerte.

Behandlingsansvarlig har rett til å kontrollere at behandlingen skjer i samsvar med avtalen. Databehandleren gjør nødvendig dokumentasjon tilgjengelig og bidrar ved revisjon, herunder ved en uavhengig revisor underlagt taushetsplikt, innenfor rimelige rammer.

9. Opphør, sletting og utlevering

Ved avtalens opphør skal databehandleren, etter behandlingsansvarligs valg, slette eller returnere alle personopplysninger og slette eksisterende kopier, med mindre lov krever fortsatt lagring. Behandlingsansvarlig kan eksportere data før slettefristen. Sletting skjer innen rimelig tid etter opphør.

10. Ansvar, lovvalg og verneting

Partenes ansvar følger av personvernregelverket og den underliggende tjenesteavtalen. Denne databehandleravtalen er underlagt norsk rett, med samme verneting som tjenesteavtalen. Datatilsynet er tilsynsmyndighet.

Dette dokumentet er en mal og kan bli oppdatert. Bekreft selskapsopplysninger, underdatabehandlere og overføringsgrunnlag før det tas i bruk.