Databehandleravtale
Denne databehandleravtalen ("Avtalen") regulerer Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig, og inngås som vedlegg til hovedavtalen om levering av Zellap-tjenesten ("Hovedavtalen").
Parter
| Rolle | Part |
|---|---|
| Behandlingsansvarlig | [Salongens/virksomhetens navn], org.nr [org.nr], [adresse] ("Kunden") |
| Databehandler | Zellap [org.form/org.nr når registrert], [adresse] ("Zellap") |
Avtalen anses inngått når Kunden aksepterer den (avkrysning ved kjøp i /portal/new, eller signatur). Aksept logges i Zellaps register (dpa_acceptances) med tidspunkt, versjon og e-post.
1. Bakgrunn og formål
Kunden bruker Zellap til å drive sin virksomhet (timebestilling, kunderegister, ansatte, innhold, betalinger m.m.). For å levere tjenesten behandler Zellap personopplysninger på vegne av Kunden. Kunden er behandlingsansvarlig og bestemmer formål og midler; Zellap er databehandler og handler kun etter Kundens dokumenterte instrukser, jf. personvernforordningen (GDPR) artikkel 28.
Ved motstrid mellom Avtalen og Hovedavtalen går Avtalen foran for spørsmål om behandling av personopplysninger.
2. Definisjoner
Begreper som "personopplysning", "behandling", "behandlingsansvarlig", "databehandler", "registrert" og "brudd på personopplysningssikkerheten" har samme betydning som i GDPR artikkel 4 og personopplysningsloven.
3. Behandlingens art, formål, varighet og omfang
Detaljene følger av Vedlegg A: kategorier av registrerte, typer personopplysninger, formål og varighet. Behandlingen varer så lenge Hovedavtalen løper, med mindre annet følger av punkt 11 (sletting/retur ved opphør).
3a. Betalinger (Stripe Connect)
Aktiverer Kunden betalinger, kan Kundens sluttkunder betale Kunden for tjenester direkte. Betalingen skjer via Stripe Connect, der Kunden er den betalingsansvarlige selgeren (merchant of record): pengene går til Kundens egen tilknyttede Stripe-konto, og Kunden bærer Stripes transaksjonsgebyr. Zellap trekker et plattformgebyr (application_fee) av transaksjonen.
For betalingsbehandlingen gjelder følgende rollefordeling:
a) Stripe er selvstendig behandlingsansvarlig for kortdata og selve betalingstransaksjonen (PCI-DSS, svindelhåndtering, regulatoriske krav). Zellap mottar og lagrer ikke fullstendige kortnummer.
b) Zellap behandler kun betalingsmetadata på vegne av Kunden: beløp, valuta, Stripe betalings-ID (PaymentIntent/charge), status og kobling til bestilling. Disse lagres i Zellaps sentrale register for avstemming og gebyrberegning. Dette er omfattet av denne Avtalen.
c) Plattformgebyret trekkes av transaksjonen og fremstilles aldri som et eget påslag overfor sluttkunden (jf. forbud mot kortgebyr, finansavtaleloven/PSD2).
4. Databehandlers plikter
Zellap skal:
a) Kun behandle etter instruks. Behandle personopplysninger utelukkende på grunnlag av Kundens dokumenterte instrukser (Avtalen, Vedlegg A og bruk av tjenestens funksjoner utgjør instruksen), herunder for overføring til tredjeland, med mindre annet kreves etter EØS-rett eller norsk rett. Pålegger loven slik behandling, varsler Zellap Kunden før behandlingen, med mindre loven forbyr slik varsling.
b) Varsle ulovlige instrukser. Umiddelbart informere Kunden dersom en instruks etter Zellaps syn er i strid med personvernregelverket.
c) Ikke bruke data til egne formål. Aldri behandle Kundens personopplysninger til egne formål (egen markedsføring, profilering på tvers av kunder, trening av modeller e.l.). Aggregert/anonymisert statistikk som ikke kan knyttes til en enkeltperson, omfattes ikke av dette forbudet.
d) Sikkerhet. Gjennomføre egnede tekniske og organisatoriske tiltak, jf. punkt 6 og Vedlegg B.
e) Bistå Kunden, jf. punkt 8.
f) Føre protokoll over behandlingsaktiviteter utført på vegne av Kunden, jf. GDPR artikkel 30 nr. 2.
5. Taushetsplikt
Zellap sikrer at personer med tilgang til personopplysningene (ansatte, innleide) er underlagt taushetsplikt, og at tilgang gis etter "need-to-know"-prinsippet og logges.
6. Sikkerhet (GDPR art. 32)
Zellap gjennomfører tekniske og organisatoriske tiltak som angitt i Vedlegg B, tilpasset risikoen. Tiltakene inkluderer blant annet at hver kunde har sin egen, isolerte database, rad-nivå sikkerhet (RLS), kryptering under overføring, tilgangsstyring og rate limiting.
7. Underdatabehandlere
a) Kunden gir Zellap generell forhåndsgodkjenning til å bruke underdatabehandlere. Gjeldende liste følger av Vedlegg C.
b) Zellap pålegger enhver underdatabehandler de samme databeskyttelses- forpliktelsene som i Avtalen, ved avtale (GDPR art. 28 nr. 4).
c) Ved endringer (ny eller utskiftet underdatabehandler) varsler Zellap Kunden i rimelig tid på forhånd, slik at Kunden kan protestere. Protesterer Kunden på saklig personvern-grunnlag, søker partene en løsning; oppnås ikke enighet, kan Kunden si opp den berørte tjenesten.
d) Zellap er ansvarlig overfor Kunden for underdatabehandlernes oppfyllelse.
8. Bistand til Behandlingsansvarlig
Zellap skal, hensyntatt behandlingens art og tilgjengelig informasjon, bistå Kunden med:
a) De registrertes rettigheter (innsyn, retting, sletting, begrensning, dataportabilitet, innsigelse) — herunder ved å gjøre data tilgjengelig og tilby eksport/sletting via tjenesten (GDPR art. 12–23).
b) Sikkerhet, avviksvarsling og personvernkonsekvensvurdering (DPIA) (GDPR art. 32–36).
9. Brudd på personopplysningssikkerheten
Ved brudd som berører Kundens personopplysninger skal Zellap uten ugrunnet opphold og senest innen 48 timer etter at Zellap ble kjent med bruddet, varsle Kunden, med tilstrekkelig informasjon til at Kunden kan oppfylle sin egen meldeplikt til Datatilsynet innen 72 timer (GDPR art. 33). Zellap bistår med tiltak og dokumentasjon.
10. Overføring til tredjeland
Personopplysninger lagres og behandles som hovedregel innenfor EØS. Overføring utenfor EØS skjer bare når et gyldig overføringsgrunnlag foreligger (tilstrekkelighetsbeslutning eller EUs standardkontrakter (SCC)). Gjeldende lagringssted og eventuelle overføringsgrunnlag for hver underdatabehandler fremgår av Vedlegg C.
11. Sletting og retur ved opphør
Ved opphør av Hovedavtalen skal Zellap, etter Kundens valg, slette eller returnere alle personopplysninger og slette eksisterende kopier, med mindre EØS- eller norsk rett krever fortsatt lagring (f.eks. bokføringsloven for faktura- og betalingsdata). Sletting omfatter også sikkerhetskopier innen [sikkerhetskopi-syklus, f.eks. 30 dager]. Zellap bekrefter sletting skriftlig på forespørsel.
12. Revisjon og dokumentasjon
Zellap gjør tilgjengelig for Kunden all informasjon som er nødvendig for å vise at pliktene i GDPR art. 28 er oppfylt, og muliggjør og bidrar til revisjoner, herunder inspeksjoner, gjennomført av Kunden eller en revisor Kunden har utpekt, med rimelig varsel og uten urimelig forstyrrelse av driften.
13. Ansvar og varighet
Avtalen gjelder så lenge Zellap behandler personopplysninger på vegne av Kunden. Ansvar reguleres av Hovedavtalen. Partenes ansvar etter personvernregelverket overfor registrerte og tilsynsmyndighet følger av GDPR art. 82.
14. Lovvalg og verneting
Avtalen er underlagt norsk rett. Tvister søkes løst i minnelighet; ellers er verneting [Kundens/Zellaps] hjemting. Tilsynsmyndighet er Datatilsynet.
Vedlegg A — Behandlingens detaljer
| Punkt | Innhold |
|---|---|
| Formål | Levere Zellap-tjenesten: timebestilling, kunderegister, ansattadministrasjon, innhold, betalinger og tilhørende kommunikasjon, på vegne av Kunden. |
| Behandlingens art | Innsamling, lagring, strukturering, visning, endring, sletting og overføring (til underdatabehandlere) som ledd i driften av tjenesten. |
| Varighet | Så lenge Hovedavtalen løper; deretter punkt 11. |
| Kategorier registrerte | Kundens sluttkunder (de som bestiller time / betaler), Kundens ansatte/medarbeidere, og Kundens egne brukerkontoer. |
| Typer personopplysninger | Navn, telefonnummer, e-post, bestillingshistorikk, tildelt ansatt, fritekstnotater, kontoinformasjon (innlogging), og betalingsmetadata (beløp, valuta, Stripe betalings-ID, betalingsstatus, kobling til bestilling). |
| Særlige kategorier (art. 9) | Skal ikke behandles. Fritekst-notatfeltet (customers.notes) skal ikke brukes til helseopplysninger e.l. Kunden er ansvarlig for ikke å legge inn slike opplysninger. Ønsker Kunden å behandle særlige kategorier, må det avtales særskilt. |
Vedlegg B — Tekniske og organisatoriske sikkerhetstiltak
- Isolasjon per kunde: hver kunde har sin egen, separate database (eget
Supabase-prosjekt). Ingen delt fler-leietaker-database; ingen kryssing av kunders data.
- Tilgangskontroll i databasen: rad-nivå sikkerhet (RLS) som skiller admin,
ansatt og sluttkunde; sluttkunder ser kun egne bestillinger.
- Betalingsdata: fullstendige kortdata håndteres av Stripe og lagres ikke hos
Zellap. Zellap lagrer kun betalingsmetadata (beløp, betalings-ID, status).
- Kryptering under overføring: all trafikk over TLS/HTTPS.
- Kryptering i ro: levert av databasetilbyder (Supabase). ⟨bekreft⟩
- Datasenter / region: EØS som standard. Hver kundedatabase opprettes i
EØS-region (eu-west-1, Irland) — fast satt i provisjoneringskoden, ikke overstyrbar. (Zellaps sentrale database: ⟨bekreft region i dashboard⟩.)
- Tilgang for Zellap-personell: "need-to-know", begrenset, og logget.
Administrativ tilgang via tjenestenøkkel/intern-secret er ikke eksponert mot nettleseren. Plattformens Stripe-nøkkel ligger kun på zellap.no, aldri på kundens eget nettsted.
- Misbruksbeskyttelse: rate limiting og bot-beskyttelse (Turnstile) på
utsatte endepunkter.
- Avvikshåndtering: rutine for å oppdage, dokumentere og varsle brudd (jf.
punkt 9).
Vedlegg C — Underdatabehandlere
| Underdatabehandler | Funksjon | Lagringssted | Overføringsgrunnlag |
|---|---|---|---|
| Supabase | Database + autentisering | EØS (eu-west-1, Irland) for kundedatabaser | EØS |
| Vercel | Hosting, kjøring, logger | Global edge / USA | DPA + SCC |
| Stripe | Betaling (abonnement + Stripe Connect for Kundens egne salg) | EØS + USA | Stripe DPA + SCC. Stripe er selvstendig behandlingsansvarlig for kortdata; Kunden er selger (merchant of record) for egne salg via Connect. |
| Gandi | Domeneregistrar | EØS (Frankrike) | EØS |
| Cloudflare | Bot-/misbruksbeskyttelse (Turnstile) | Global edge | DPA + SCC |
| Upstash | Rate limiting (valgfri) | ⟨region — bekreft⟩ | SCC ved USA |
Listen oppdateres i takt med COMPLIANCE.md §5. Endringer varsles Kunden, jf. punkt 7 c).
Versjon v2 · utarbeidet 2026-06-16 · IKKE juridisk gjennomgått.