Juridisk

Databehandleravtale

Denne DPA-en beskriver hvordan ZORC AB behandler personopplysninger på dine vegne når du bruker sSystm. Den gjenspeiler BYOC-arkitekturen: for forretningsdataene dine er du behandlingsansvarlig og dataene forblir i din egen sky.

Sist oppdatert:

01Roller og BYOC-modellen

Denne databehandleravtalen ("DPA") er en del av vilkårene for bruk mellom deg ("Behandlingsansvarlig") og ZORC AB, org.nr 559481-8857, Sverige ("Databehandler"), og gjelder i den grad databehandleren behandler personopplysninger på den behandlingsansvarliges vegne etter GDPR artikkel 28.

I motsetning til en typisk SaaS-DPA lagrer ikke sSystm forretningsdataene dine i en sentral database. Workspace-dataene dine ligger i en dedikert database på ditt eget Cloudflare-konto. Du er behandlingsansvarlig og infrastrukturinnehaver; sSystm behandler disse dataene kun gjennom begrenset, tilbakekallelig, OAuth-avgrenset tilgang. Cloudflare er underleverandør / infrastrukturleverandør.

02Omfang, art og formål

  • Gjenstand: levering av sSystm-plattformen og modulene du aktiverer.
  • Varighet: så lenge sSystm har tilgang til Cloudflare-kontoen din, til du tilbakekaller OAuth eller sier opp.
  • Art og formål: hosting, strukturering, henting og drift av workspace-data etter dine instruksjoner, inkludert AI-assisterte handlinger du initierer eller godkjenner.
  • Typer personopplysninger: det du velger å lagre — typisk forretningskontaktdetaljer, prosjekt- og dokumentdata og kalenderinformasjon.
  • Registrerte: dine kunder, kontakter, ansatte og andre hvis data du legger inn.

03Behandling etter instruksjon

Databehandleren behandler personopplysninger kun etter den behandlingsansvarliges dokumenterte instruksjoner — inkludert instruksjonene i plattformens funksjoner og handlingene du utfører — med mindre loven krever annet, i hvilket tilfelle den informerer deg med mindre det er lovforbudt. Personell med behandlingstillatelse er bundet av taushetsplikt.

04BYOC som dataminimering

BYOC-arkitekturen er i seg selv et personvernvern. Fordi forretningsdataene dine fysisk ligger på ditt eget Cloudflare-konto og ikke i et sentralt sSystm-lager, minimeres databehandlerens eksponering for dataene dine by design, og du beholder direkte, uavhengig kontroll over den underliggende infrastrukturen og muligheten til å kutte tilgang når som helst.

05Sikkerhetstiltak

Databehandleren implementerer passende tekniske og organisatoriske tiltak, inkludert:

  • Minste privilegium — tilgang via finmaskede Cloudflare OAuth-scopes, hver risikomerket.
  • Krypterte legitimasjoner — Cloudflare-tilgangstoken kryptert i hvile med AES-256-GCM og tilfeldig IV per token.
  • Tenant-isolasjon — hver organisasjons data i egen database på eget konto; spørringer og navnerom isolert per organisasjon.
  • Passordløs autentisering — innlogging kun via Cloudflare OAuth.
  • EU-jurisdiksjonsalternativ — du kan feste databasen til EU-jurisdiksjon via Cloudflares D1-garanti.
  • Menneske i kontroll — AI-foreslåtte infrastrukturhandlinger som ikke er beviselig skrivebeskyttede, venter til menneskelig godkjenning.

06Underleverandører

Den behandlingsansvarlige godkjenner at databehandleren engasjerer underleverandørene listet på vår side om underleverandører — for tiden Cloudflare (infrastruktur/hosting/AI), Resend (e-post) og Anthropic (Claude-modellene bak den innebygde AI-en, via Cloudflares AI Gateway). Databehandleren pålegger hver underleverandør databeskyttelsesforpliktelser minst like beskyttende som denne DPA-en, med rimelig varsel ved tillegg eller erstatning.

07Internasjonale overføringer

Når personopplysninger overføres utenfor EØS, støtter partene seg på passende garantier etter GDPR kapittel V, inkludert standard kontraktsklausuler (SCC) fra EU-kommisjonen. Å velge EU-jurisdiksjon ved innlogging holder databasen din innen EU-infrastruktur.

08Varsling om brudd

Databehandleren varsler den behandlingsansvarlige uten unødig opphold etter å ha fått kjennskap til et personvernbrudd som påvirker data den behandler på den behandlingsansvarliges vegne, med informasjon som rimelig trengs for artikkel 33–34 GDPR. På grunn av tenant-isolasjon er en hendelse begrenset til én tenant by construction.

09Bistand og revisjon

Med hensyn til behandlingens art bistår databehandleren den behandlingsansvarlige med forespørsler fra registrerte og forpliktelser etter artikkel 32–36 GDPR. Den gir informasjon som rimelig trengs for å vise etterlevelse av artikkel 28 og tillater revisjoner med rimelig varsel og under taushetsplikt.

10Tilbakelevering og sletting

Fordi forretningsdataene dine ligger på ditt eget Cloudflare-konto, krever ikke avslutning at databehandleren «leverer tilbake» dataene — de forlot aldri kontoen din. Å tilbakekalle OAuth låser ut databehandleren; databasen og innholdet forblir hos deg.

Ved oppsigelse sletter eller returnerer databehandleren begrensede sentrale data den holder (identitet, medlemskap, metadata) i tråd med personvernerklæringen, unntatt der lov krever oppbevaring.

11Varighet og forrang

Denne DPA-en gjelder så lenge vilkårene er i kraft og databehandleren har tilgang til kontoen din. Ved konflikt om databeskyttelse har denne DPA-en forrang foran vilkårene. For motundertegnet DPA eller SCC som separat instrument, kontakt support@ssystm.com.