Databehandleravtale
Sist oppdatert: 8. mai 2026
Denne avtalen inngås automatisk mellom Roden og kunden ved opprettelse av konto, jf. GDPR art. 28. Den regulerer Rodens behandling av personopplysninger på vegne av kunden.
1. Parter
Behandlingsansvarlig: Kunden — organisasjonen som oppretter og administrerer en Roden-konto.
Databehandler: Ola Svartaas, hei@roden.no, leverandør av Roden-tjenesten.
2. Behandlingens formål og karakter
Databehandleren behandler personopplysninger utelukkende for å levere og drifte Roden til Behandlingsansvarlig. Behandlingen omfatter lagring, visning og teknisk prosessering av opplysninger Behandlingsansvarlig legger inn i tjenesten.
3. Personopplysninger og registrerte
| Kategori | Type opplysninger | Registrerte |
|---|---|---|
| Medarbeiderdata | Navn, e-post, telefon, GPS-posisjoner (under arbeid), oppgavebilder og kommentarer | Behandlingsansvarliges ansatte og innleide sjåfører |
| Kundeopplysninger | Navn, adresse, telefon, e-post | Behandlingsansvarliges kunder (eiendomseiere) |
4. Behandlingsansvarliges plikter
Behandlingsansvarlig er ansvarlig for:
- at det foreligger rettslig grunnlag for behandling av egne ansattes og kunders personopplysninger
- å informere egne ansatte (sjåfører) om at GPS-sporing benyttes i tjenesten, jf. arbeidsmiljøloven § 9-2 og Datatilsynets retningslinjer for kontrolltiltak
- å gi Databehandleren nødvendige instruksjoner for behandlingen
5. Databehandlerens forpliktelser
a) Instruksjonsplikt
Databehandleren behandler personopplysninger kun i henhold til Behandlingsansvarliges dokumenterte instruksjoner og formålene i punkt 2.
b) Konfidensialitet
Databehandleren sikrer at autorisert personell er underlagt taushetsplikt.
c) Sikkerhet
Databehandleren iverksetter egnede tekniske og organisatoriske tiltak for risikoen, jf. GDPR art. 32, herunder tilgangskontroll, kryptering under overføring (HTTPS/TLS) og bruk av etablert skyplattform.
d) Underbehandlere
Databehandleren benytter kun godkjente underbehandlere (se punkt 6). Behandlingsansvarlig gir generell forhåndsgodkjennelse til eksisterende underbehandlere. Endringer varsles med 30 dagers frist.
e) Bistand ved rettighetsutøvelse
Databehandleren bistår Behandlingsansvarlig med å oppfylle de registrertes rettigheter (innsyn, retting, sletting, dataportabilitet m.m.).
f) Brudd på personopplysningssikkerheten
Databehandleren varsler Behandlingsansvarlig uten unødig opphold ved kjennskap til brudd på personopplysningssikkerheten.
g) Sletting
Ved opphør av avtalen sletter Databehandleren alle personopplysninger behandlet på vegne av Behandlingsansvarlig innen 30 dager, med mindre norsk lov krever lengre oppbevaring (f.eks. bokføringsloven § 13).
h) Dokumentasjon
Databehandleren stiller på forespørsel til rådighet informasjon for å påvise etterlevelse av denne avtalen.
6. Underbehandlere
| Leverandør | Formål | Land | Overføringsgrunnlag |
|---|---|---|---|
| Supabase Inc. | Database, autentisering, fillagring | USA | Standard Contractual Clauses (modul 2) |
7. Varighet og opphør
Avtalen gjelder så lenge Behandlingsansvarlig har aktivt abonnement på Roden. Forpliktelsene om sletting og konfidensialitet gjelder også etter opphør.
8. Lovvalg
Avtalen reguleres av norsk rett og GDPR slik den er gjennomført i personopplysningsloven.
Spørsmål: hei@roden.no
Se også personvernerklæringen og vilkårene for bruk.