Databehandleravtale (DPA) for bedriftskunder

Gyldig fra: November 2025
Parter: Denne Databehandleravtalen («DPA») er en del av hovedavtalen, bestillingsskjemaet eller annen skriftlig kontrakt for Unloc-tjenester mellom Unloc AS (databehandler) og bedriftskunden (behandlingsansvarlig) («Avtalen»).

1. Formål og omfang

Denne DPA-en fastsetter partenes forpliktelser etter gjeldende personvernlovgivning (inkludert GDPR) for Unlocs behandling av personopplysninger på vegne av Kunden i forbindelse med levering av Tjenestene. Begreper med stor forbokstav som ikke er definert her, har betydningen som angitt i Avtalen eller GDPR.

2. Partenes roller

• Kunden er behandlingsansvarlig og bestemmer formålet med og midlene for behandlingen.
• Unloc er databehandler og behandler personopplysninger kun på dokumenterte instruksjoner fra Kunden, som beskrevet i denne DPA-en og Avtalen.

Selvstendige behandlingsaktiviteter. Unloc kan opptre som selvstendig behandlingsansvarlig for (i) Unlocs egne forretningskontakter om kundens personell (regnskap, fakturering, kontraktsforvaltning), (ii) sikkerhetsovervåkning og svindelforebygging i Unlocs systemer, og (iii) etterlevelse av rettslige forpliktelser. Disse aktivitetene faller utenfor denne DPA-en.

3. Kundens instruksjoner

Unloc vil behandle personopplysninger utelukkende: (a) for å levere, vedlikeholde og sikre Tjenestene; (b) i samsvar med Kundens dokumenterte instruksjoner; og (c) når det kreves ved lov. Dersom Unloc mener at en instruks bryter med personvernlovgivningen, varsles Kunden uten ugrunnet opphold.

4. Datakategorier og registrerte

Typene personopplysninger og kategoriene av registrerte er beskrevet i Vedlegg A. Kunden skal ikke instruere Unloc til å behandle særlige kategorier av personopplysninger uten at dette uttrykkelig er avtalt skriftlig.

5. Konfidensialitet

Unloc sikrer at personer som er autorisert til å behandle personopplysninger, er bundet av taushetsplikt og mottar hensiktsmessig opplæring i personvern. Forpliktelsen består også etter avtalens opphør.

6. Sikkerhetstiltak

Unloc iverksetter egnede tekniske og organisatoriske tiltak for å beskytte personopplysninger, med hensyn til teknologiens utvikling, kostnader og risiko. En overordnet beskrivelse av tiltakene finnes i Vedlegg C. Unloc vil opprettholde sertifiseringer og sikkerhetspraksis som er passende for Tjenestene.

7. Underbehandlere

Kunden gir en generell autorisasjon til at Unloc kan engasjere underbehandlere som er oppført i Vedlegg B, samt underbehandlere som senere legges til. Unloc skal (i) pålegge underbehandlere tilsvarende databeskyttelsesforpliktelser gjennom skriftlig avtale, og (ii) forbli ansvarlig for underbehandlernes ytelser. Unloc vil varsle Kunden om tillegg eller utskiftninger og gi mulighet til å protestere på rimelig grunnlag.

8. Internasjonale overføringer

Unloc og dets underbehandlere vil ikke overføre personopplysninger utenfor EU/EØS med mindre egnede overføringsgrunnlag er etablert (f.eks. EUs standard kontraktsklausuler (SCC-er) og supplerende tiltak). Gjeldende overføringsdetaljer fremgår av Vedlegg B.

9. Bistand og henvendelser fra registrerte

Tatt i betraktning behandlingens art vil Unloc bistå Kunden med:

• svar på henvendelser fra registrerte (innsyn, retting, sletting, begrensning, protest, dataportabilitet);
• sikkerhetsforpliktelser, inkludert bruddvarsling, personvernkonsekvensvurderinger (DPIA) og dialog med tilsynsmyndigheter.

Der loven tillater det, kan Unloc ta rimelige gebyrer for overdrevne eller åpenbart ugrunnet henvendelser, eller for arbeid utenfor Tjenestenes omfang.

10. Brudd på personopplysningssikkerheten

Unloc vil varsle Kunden uten ugrunnet opphold etter å ha blitt kjent med et brudd på personopplysningssikkerheten som påvirker personopplysninger behandlet på Kundens vegne, og gi tilgjengelig informasjon om: (i) bruddets art, (ii) sannsynlige konsekvenser og (iii) tiltak som er iverksatt eller foreslått for å håndtere og begrense bruddet.

11. Revisjon og etterlevelse

Etter rimelig skriftlig varsel (ikke oftere enn én gang per 12 måneder, med mindre tilsynsmyndighet krever det eller etter et vesentlig brudd), vil Unloc: (i) gjøre tilgjengelig informasjon som er nødvendig for å demonstrere etterlevelse av denne DPA-en, og (ii) tillate revisjoner, inkludert inspeksjoner på stedet, gjennomført på en måte som minimerer driftsforstyrrelser og beskytter konfidensialitet og sikkerhet for Unloc, Unlocs kunder og underbehandlere. Hver part bærer egne kostnader; dersom manglende etterlevelse hos Unloc bekreftes, dekker Unloc Kundens rimelige, dokumenterte revisjonskostnader.

12. Lagring og sletting

Unloc beholder personopplysninger kun i Avtalens løpetid og i den grad det er nødvendig for å levere Tjenestene. Operasjonelle hendelseslogger for nøkkelbruk lagres i inntil 60 dager for sikkerhet og feilsøking, deretter slettes eller anonymiseres de. Ved opphør eller etter skriftlig forespørsel vil Unloc slette eller returnere personopplysninger og slette eksisterende kopier fra systemene (inkludert sikkerhetskopier etter standard sykluser), med mindre oppbevaring kreves ved lov.

13. Ansvar

Denne DPA-en følger ansvarsbegrensningene i Avtalen. Ingenting begrenser en parts ansvar der dette ikke er tillatt etter gjeldende rett.

14. Forrangsbestemmelse

Ved motstrid mellom denne DPA-en og Avtalen, går denne DPA-en foran i den utstrekning motstriden gjelder databeskyttelse.

15. Varighet, endringer og varsler

Denne DPA-en gjelder så lenge Unloc behandler personopplysninger for Kunden under Avtalen. Unloc kan oppdatere Vedlegg B (Underbehandlere) ved varsel. Andre endringer krever skriftlig enighet. Varsler skal være skriftlige og følge bestemmelsene om varsling i Avtalen.

16. Lovvalg og verneting

Denne DPA-en følger lovvalg og verneting som spesifisert i Avtalen.

‍

Vedlegg A — Tjenester, behandling, personopplysninger og registrerte

A1. Tjenester
Utvikling og levering av Unloc-plattformen og applikasjoner som muliggjør opprettelse, deling og bruk av digitale nøkler og betjening av kompatible låser, inkludert tilhørende support og vedlikehold.

A2. Behandlingens art og formål

• Opprettelse av konto og autentisering (f.eks. telefonverifisering).
• Nøkkellivssyklus (opprette, tildele, dele, tilbakekalle).
• Tilgangsoperasjoner og logging (hvem brukte hvilken nøkkel på hvilken lås og når).
• Innsamling av enhets-/telemetridata for sikkerhet, diagnostikk og pålitelighet.
• Kundestøtte (inkludert chat i appen) og håndtering av hendelser.
• Forebygging av misbruk og svindel, samt tjenesteanalyse.
  Behandlingen begrenses til det som er nødvendig for å levere, sikre og forbedre Tjenestene.

A3. Kategorier av personopplysninger (avhenger av Kundens bruk av Tjenestene)

• Identifikasjon og kontakt: navn, telefonnummer, (valgfritt) profilbilde.
• Relasjons-/tildelingsdata: låsidentifikatorer eller alias, nøkkeltildelinger, delingsmetadata, tidsvinduer.
• Hendelses-/loggdata: nøkkelbrukshendelser (tidsstempel, referanser til bruker/nøkkel/lås), status, feil-/diagnostikklogger.
• Tekniske data: IP-adresse, enhetsmodell, OS, appversjon, push-token.
• Støttedata: samtalehistorikk og metadata fra supporthenvendelser initiert av brukere.
• (Valgfritt) omtrentlig posisjonsdata dersom brukere har aktivert dette.
  Unloc lagrer ikke betalingskortdata; betalinger håndteres av Kundens valgte leverandør(er), dersom noen.

A4. Registrerte

• Kundens ansatte, beboere, leverandører, besøkende og andre sluttbrukere som gis tilgang av Kunden.
• Kundens administrative brukere.

A5. Lagring

• Hendelseslogger for nøkkelbruk: ≤ 60 dager.
• Øvrige personopplysninger: i Avtalens løpetid og så lenge det er nødvendig for å levere Tjenestene; slettes eller returneres ved opphør eller på forespørsel (med forbehold om lovpålagt oppbevaring).

Vedlegg B — Underbehandlere

UnderbehandlerFormålBehandlingsstedOverføringsmekanisme (utenfor EØS)Google Cloud Platform (inkl. Google Workspace)Hosting, lagring, infrastrukturEU-datasentreN/A (EU)CrispStøtte/chat i appenEUN/A (EU)StrexSMS-levering (EU-numre)EUN/A (EU)TwilioSMS-levering (ikke-EU-numre)Primært USA/EUSCC-er + supplerende tiltak

Unloc kan oppdatere denne listen; Kunden vil bli varslet og gis rett til å protestere på rimelig grunnlag.

Vedlegg C — Tekniske og organisatoriske tiltak (TOM-er)

Organisasjon og tilgangskontroll

• Hele utviklingsteamet er basert i EU; rollebasert tilgang med minst mulig privilegier.
• MFA håndheves for produksjon og underbehandler-tilgang.
• Bakgrunnsprosesser og tilgangslogger overvåkes; kvartalsvise tilgangsrevisjoner.

Datahåndtering og kryptering

• Kryptering under overføring (TLS) og ved lagring.
• Segregerte miljøer (prod/test); produksjonsdata brukes ikke i lavere miljøer.
• Dataminimering og styrt lagringstid; sikre sletteprosesser.

Applikasjons- og infrastruktursikkerhet

• Sikker utviklingsprosess (SDLC) med kodegjennomgang, avhengighetsskanning og CI/CD-kontroller.
• Regelmessig ekstern sikkerhetstesting/gjennomgang.
• Herding av servere og endepunkter; diskkryptering på utviklermaskiner.

Overvåking, hendelser og kontinuitet

• Sentralisert logging og varsling; 24/7 vaktordning for kritiske hendelser.
• Dokumentert hendelsesrespons (triage, inneslutning, utbedring, etteranalyse).
• Sikkerhetskopier med integritetssjekk og testede gjenopprettingsprosedyrer.

Leverandør- og overføringsstyring

• Due diligence av underbehandlere og kontraktsfestede DPA-er/SCC-er.
• Vurdering av overføringer utenfor EØS og supplerende tiltak ved behov.

Personvern som standard og i design

• Personvernkonsekvensvurderinger der det kreves.
• Funksjoner som minimerer dataeksponering (f.eks. korte loggperioder; valgfri posisjonsbehandling).
• Brukerautentisering via telefonverifisering; push-tokens holdes adskilt fra identitetsnøkler.

‍

Unloc AS, org. no. 919 424 508
Kongens gate 6, 0153 Oslo, Norway
info@unloc.app

‍

For sluttbrukere, vennligst se vilkår for brukere.