Denne databehandleravtalen ("DPA") inngås mellom kunden som benytter Osilion CRM (Behandlingsansvarlig) og Osilion AS (org.nr. 000 000 000, Databehandler). DPA-en gjelder fra første gang kunden tar tjenesten i bruk, og utgjør en integrert del av vilkårene for bruk av Osilion CRM.
1. Gjenstand og varighet
Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig for å levere Osilion CRM. DPA-en gjelder så lenge Behandlingsansvarlig har en aktiv konto og i en periode på 30 dager etter oppsigelse for sletting/retur av data.
2. Behandlingens art og formål
- Art: lagring, organisering, strukturering, tilgjengeliggjøring, sammenstilling, AI-basert berikelse og sletting av personopplysninger.
- Formål: B2B-salgsprospektering og kundeoppfølging.
3. Typer personopplysninger
- Navn, rolle/tittel, jobb-e-post, jobb-telefon
- Arbeidsgiver (virksomhetsnavn, org.nr.)
- Offentlig tilgjengelig informasjon om beslutningstakere
- Salgshistorikk og kommunikasjonsnotater lagt inn av Behandlingsansvarlig
Osilion CRM er ikke beregnet for sensitive personopplysninger (GDPR art. 9).
4. Kategorier av registrerte
- Ansatte og beslutningstakere i norske virksomheter som Behandlingsansvarlig selger til
- Behandlingsansvarliges egne brukere av tjenesten
5. Databehandlers forpliktelser
Databehandler skal:
- Kun behandle personopplysninger etter dokumentert instruks fra Behandlingsansvarlig, med mindre EU-/EØS-rett krever annet. Bruk av tjenesten i samsvar med funksjonaliteten utgjør dokumentert instruks.
- Sørge for at personer med tilgang til personopplysningene har taushetsplikt.
- Implementere tekniske og organisatoriske sikringstiltak i tråd med GDPR art. 32 (se vedlegg 1).
- Bistå Behandlingsansvarlig med oppfyllelse av rettighetsforespørsler (art. 15–22), gjennom de innebygde GDPR-verktøyene i Osilion CRM.
- Varsle Behandlingsansvarlig uten ugrunnet opphold, og senest innen 72 timer, ved sikkerhetsbrudd som omfatter personopplysninger.
- Slette eller returnere alle personopplysninger ved kontraktsopphør, etter Behandlingsansvarliges valg.
- Stille nødvendig informasjon til rådighet for å dokumentere etterlevelse, og tillate revisjoner som nevnt i punkt 9.
6. Underdatabehandlere
Behandlingsansvarlig gir generelt samtykke til bruk av underdatabehandlerne listet i personvernerklæringen punkt 6. Databehandler varsler minst 30 dager før bytte eller tillegg av underdatabehandlere. Behandlingsansvarlig kan motsette seg endringen; hvis partene ikke blir enige har Behandlingsansvarlig rett til å si opp avtalen.
7. Overføring til tredjeland
Hoveddatabehandlingen skjer innen EU/EØS. Ved overføring til tredjeland benyttes EUs standard kontraktklausuler (SCC) og ev. supplerende tiltak. Gjeldende overføringsmekanismer fremgår av listen over underdatabehandlere.
8. Sikkerhet (art. 32)
- Kryptert overføring (TLS 1.2+) og kryptert lagring (AES-256)
- Tenant-isolering via Row Level Security i database
- Tilgangskontroll og tofaktor-autentisering
- Loggføring av all behandling av personopplysninger (GDPR-revisjonslogg)
- Regelmessig backup med geografisk redundans innen EU/EØS
- Sårbarhetsovervåkning og pen-testing minst årlig
9. Revisjon
Behandlingsansvarlig har rett til å be om dokumentasjon på etterlevelse. Fysisk stedlig revisjon kan avtales med minst 30 dagers varsel, maksimalt én gang per år, og dekkes av Behandlingsansvarlig.
10. Sletting og retur
Ved opphør sletter Databehandler alle personopplysninger innen 30 dager, med mindre Behandlingsansvarlig ber om retur i strukturert format (f.eks. JSON/CSV-eksport). Behandlingsansvarlig kan også utløse umiddelbar sletting gjennom administratorgrensesnittet.
11. Ansvar
Partenes ansvar følger hovedavtalen for tjenesten og GDPR art. 82.
12. Lovvalg og verneting
DPA-en er underlagt norsk rett. Tvister løses ved Oslo tingrett.
Vedlegg 1 — Tekniske og organisatoriske tiltak
Se detaljert oversikt i personvernerklæringens punkt 8.
Dette dokumentet aksepteres automatisk ved bruk av tjenesten. Signert eksemplar kan bestilles på personvern@osilion.no.