Databehandleravtale

Sist oppdatert: 2. juli 2026

Dette er databehandleravtalen etter artikkel 28 GDPR, som dekker de obligatoriske elementene med fullstendige operative bestemmelser. Den utgjør ikke juridisk rådgivning; en avsluttende gjennomgang opp mot dine konkrete forhold er tilrådelig før lansering. Den er utformet for å innlemmes ved henvisning i brukervilkårene og bli bindende når kunden aksepterer disse vilkårene.

Denne databehandleravtalen ("DPA") utgjør en del av brukervilkårene mellom SDHC AS, organisasjonsnummer 926 038 060, Postboks 570 Vestre Glemmen, 1612 Fredrikstad, Norge ("Databehandler", "vi") og kunden som aksepterer vilkårene ("Behandlingsansvarlig", "du"). Den regulerer vår behandling av personopplysninger som ligger i innholdet du laster opp til Tjenesten, og gjelder der og i den utstrekning GDPR gjelder for denne behandlingen.

Dersom denne avtalen er i strid med brukervilkårene når det gjelder behandlingen av personopplysninger, går denne avtalen foran.

Begreper med stor forbokstav som brukes i denne avtalen uten å være definert her, har den betydningen de er gitt i brukervilkårene.


1. Partenes roller

For personopplysninger som ligger i Ditt innhold (herunder bilder som kan avbilde identifiserbare enkeltpersoner og kjøretøy) er du Behandlingsansvarlig og SDHC Databehandler. Du fastsetter formålene med og midlene for denne behandlingen; SDHC behandler opplysningene kun på dine vegne.

(For konto-, abonnements-, fakturerings- og nettstedsanalysedata er SDHC selvstendig behandlingsansvarlig slik det er beskrevet i personvernerklæringen; disse dataene faller utenfor denne avtalens virkeområde.)


2. Behandlingens gjenstand, varighet, art og formål


3. Typer personopplysninger og kategorier av registrerte

Du skal ikke bevisst laste opp særlige kategorier av personopplysninger (artikkel 9 GDPR) eller bruke Tjenesten til systematisk å behandle slike opplysninger, med mindre det er særskilt avtalt skriftlig. Vår automatiserte deteksjon av «menneske til stede» identifiserer ikke enkeltpersoner og er ikke utformet for å behandle biometriske opplysninger eller andre særlige kategorier av personopplysninger.


4. Den behandlingsansvarliges instrukser og forpliktelser

Vi behandler personopplysninger kun på dine dokumenterte instrukser, herunder slik det er fastsatt i denne avtalen og gjennom din bruk av Tjenestens funksjoner, med mindre vi er pålagt å handle etter norsk eller EØS-rett (i så fall informerer vi deg, med mindre dette er rettslig forbudt).

Du innestår for at: (a) du har et gyldig behandlingsgrunnlag for behandlingen du instruerer; (b) du har oppfylt alle gjeldende krav til informasjon, skilting og samtykke overfor personer som fanges opp; og (c) instruksene dine er i samsvar med gjeldende rett. Du er ansvarlig for at personopplysningene og instruksene du gir, er lovlige.

Dersom vi mener at en instruks er i strid med GDPR eller annen gjeldende personvernlovgivning, informerer vi deg.


5. Konfidensialitet

Vi sørger for at personer som er autorisert til å behandle personopplysningene, er underlagt en passende taushetsplikt og gjøres oppmerksomme på opplysningenes fortrolige karakter.


6. Sikkerhet

Idet det tas hensyn til det tekniske utviklingsnivået, kostnadene og behandlingens art, omfang, sammenheng og formål, gjennomfører vi egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er tilpasset risikoen (artikkel 32 GDPR), herunder etter behov:

Vi gjennomgår disse tiltakene jevnlig og oppdaterer dem etter behov. En oppdatert oversikt er tilgjengelig på forespørsel.


7. Underdatabehandlere

Du gir generell godkjenning for at vi kan benytte underdatabehandlere for å levere Tjenesten. Vi benytter for tiden:

UnderdatabehandlerRolleSted
Hosting.comHosting / infrastrukturGermany (EEA)
Cloudflare, Inc.DNS, CDN og sikkerhetUnited States
Mapbox, Inc.Interaktivt kart (fliser/stiler/skrifter)United States
Paddle.com Market LimitedBetalingsbehandling (Merchant of Record)United Kingdom

Vi pålegger hver underdatabehandler personvernforpliktelser som ikke er mindre beskyttende enn dem i denne avtalen. Vi gir deg minst 30 dagers forhåndsvarsel før eventuell tilføyelse eller utskifting av en underdatabehandler. I denne perioden kan du fremme innsigelse på rimelig personvernmessig grunnlag; dersom vi ikke kan løse innsigelsen din, kan du si opp den berørte delen av Tjenesten som ditt rettsmiddel.


8. Bistand til den behandlingsansvarlige

Idet det tas hensyn til behandlingens art, bistår vi deg, gjennom egnede tekniske og organisatoriske tiltak og så langt det er mulig:

Dersom vi mottar en henvendelse direkte fra en registrert som gjelder Ditt innhold, besvarer vi den ikke selv (annet enn for å henvise vedkommende på egnet måte) og videresender den til deg uten ugrunnet opphold.


9. Brudd på personopplysningssikkerheten

Vi varsler deg uten ugrunnet opphold etter at vi er blitt kjent med et brudd på personopplysningssikkerheten som berører personopplysninger behandlet etter denne avtalen, og vil gi de opplysningene som med rimelighet er tilgjengelige for oss, for å hjelpe deg med å oppfylle dine varslingsforpliktelser overfor Datatilsynet (artikkel 33) og, der det kreves, overfor berørte registrerte (artikkel 34). Varsling om et brudd innebærer ingen erkjennelse av skyld.


10. Sletting eller tilbakelevering av data

Ved opphør av Tjenesten, eller på din forespørsel, vil vi slette eller tilbakelevere alle personopplysninger som er behandlet på dine vegne, og slette eksisterende kopier innen 30 dager, med mindre norsk eller EØS-rett krever lagring. Du kan når som helst slette bildene dine og tilknyttede data i Tjenesten. På forespørsel fremsatt før sletting vil vi tilbakelevere dataene til deg i et alminnelig brukt, maskinlesbart format.


11. Revisjoner og informasjon

Vi gjør tilgjengelig for deg den informasjonen som med rimelighet er nødvendig for å påvise etterlevelse av artikkel 28 GDPR, og legger til rette for og bidrar til revisjoner, herunder inspeksjoner, utført av deg eller en revisor du har gitt mandat. Vi besvarer en rimelig skriftlig revisjonsforespørsel innen 30 dager, ikke mer enn én gang per 12-månedersperiode (med mindre en tilsynsmyndighet krever det eller det følger et brudd på personopplysningssikkerheten), forutsatt minst 14 dagers forhåndsvarsel, egnede konfidensialitetsforpliktelser og at hver part bærer sine egne kostnader. Revisjoner må ikke urimelig forstyrre driften vår eller svekke konfidensialiteten eller sikkerheten til andre kunders data.


12. Internasjonale overføringer

Personopplysninger etter denne avtalen lagres innenfor EØS (Tyskland). Der en underdatabehandler er lokalisert utenfor EØS (se punkt 7):

Vi vil ikke overføre personopplysninger utenfor EØS uten slike garantier.


13. Generelt

Denne avtalen er underlagt norsk rett. Dersom en bestemmelse skulle bli funnet ugyldig, består resten i kraft. Ved motstrid med brukervilkårene når det gjelder behandlingen av personopplysninger, går denne avtalen foran.

SDHC AS — organisasjonsnummer 926 038 060 — Postboks 570 Vestre Glemmen, 1612 Fredrikstad, Norge — [email protected]