GDPR-dokumentasjon
Sist oppdatert: 24. mars 2026 (v2.0)
Denne siden inneholder viktige dokumenter vedrørende personvern i Resovu-systemet i samsvar med EU-forordning 2016/679 (GDPR), som gjelder i hele EU og EØS, inkludert relevante nasjonale personvernlover.
Resovu overholder nasjonale personvernforskrifter i alle land der det opererer: lov nr. 110/2019 Sb. (Tsjekkia), lov nr. 18/2018 Z.z. (Slovakia), Bundesdatenschutzgesetz — BDSG (Tyskland), lov om beskyttelse av personopplysninger (Polen), lov om informasjonsmessig selvbestemmelse — GDPR-tilpasning (Ungarn), Ley Orgánica de Protección de Datos — LOPDGDD (Spania), Personopplysningsloven (Norge), Loi Informatique et Libertés (Frankrike).
1. Databehandleravtale (DPA)
1.1 Avtaleparter
Denne databehandleravtalen (heretter "DPA") er inngått mellom operatøren av bedriften som bruker Resovu-systemet (heretter "Behandlingsansvarlig") og Lubomír Unar, ID 05000386 (heretter "Databehandler"). DPA er en integrert del av vilkårene for bruk av Resovu-tjenesten.
1.2 Gjenstand og varighet for behandling
Databehandleren behandler personopplysninger om den Behandlingsansvarliges kunder for å levere bestillingssystemet. Behandlingen pågår i avtalens varighet. Kategorier av registrerte: den Behandlingsansvarliges kunder som foretar bestillinger. Kategorier av opplysninger: navn, etternavn, e-post, telefon, bestillingsdata, valgfrie egendefinerte felt.
1.3 Databehandlerens forpliktelser
Databehandleren forplikter seg til: å behandle personopplysninger kun på grunnlag av dokumenterte instrukser fra Behandlingsansvarlig; å sikre at personer med tilgang til behandling er forpliktet til konfidensialitet; å gjennomføre alle tiltak påkrevet av art. 32 GDPR; å overholde vilkårene for bruk av underleverandører; å bistå Behandlingsansvarlig med oppfyllelse av forpliktelser etter art. 32 til 36 GDPR; å slette eller returnere alle personopplysninger etter avtalens opphør; å gi Behandlingsansvarlig all informasjon som er nødvendig for å dokumentere overholdelse.
1.4 Behandlingsansvarliges instrukser
Behandlingsansvarlig gir Databehandleren en generell instruks om å behandle personopplysninger i den utstrekning som er nødvendig for å levere Resovu-tjenesten. Behandlingsansvarlig kan gi ytterligere instrukser gjennom innstillinger i systemadministrasjonen. Databehandleren informerer umiddelbart Behandlingsansvarlig dersom en instruks anses å bryte GDPR.
1.5 Underleverandører
Behandlingsansvarlig gir Databehandleren generelt samtykke til å bruke underleverandører oppført i seksjonen Liste over underleverandører. Databehandleren informerer Behandlingsansvarlig om alle planlagte endringer vedrørende tillegg eller erstatning av underleverandører. Behandlingsansvarlig har mulighet til å gjøre innsigelse mot endringer innen 30 dager.
1.6 Sikkerhetstiltak
Databehandleren implementerer passende tekniske og organisatoriske tiltak: AES-256-GCM-kryptering for sensitive felt; HTTPS/TLS for all dataoverføring; dataisolasjon for leietakere ved bruk av Row Level Security; rollebasert tilgangskontroll (RBAC); hashing av IP-adresser; automatisk sletting av personopplysninger etter utløp av lagringsperioden; sikkerhetsheadere (CSP, HSTS, X-Frame-Options); hastighetsbegrensning for beskyttelse mot misbruk.
1.7 Varsel om sikkerhetsbrudd
Databehandleren varsler Behandlingsansvarlig om ethvert brudd på personopplysningssikkerheten uten ugrunnet opphold etter å ha blitt oppmerksom på det, og senest innen 48 timer. Varselet inneholder: beskrivelse av bruddets art, kategorier og omtrentlig antall berørte registrerte, sannsynlige konsekvenser og iverksatte tiltak.
1.8 Bistand ved utøvelse av registrertes rettigheter
Databehandleren bistår Behandlingsansvarlig med å oppfylle plikten til å besvare forespørsler fra registrerte om utøvelse av deres rettigheter etter kapittel III GDPR. Systemet muliggjør: eksport av kundedata (art. 20), anonymisering/sletting av data (art. 17), oversikt over behandlede opplysninger (art. 15).
1.9 Revisjon
Databehandleren tillater Behandlingsansvarlig eller en revisor utnevnt av denne å gjennomføre revisjoner og inspeksjoner og bidra til dem. Databehandleren gir Behandlingsansvarlig all nødvendig informasjon for å dokumentere overholdelse av forpliktelsene i art. 28 GDPR. Revisjon kan gjennomføres en gang årlig med 30 dagers varsel.
1.10 Behandlingsperiode og sletting
Etter opphør av tjenestene vil Databehandleren slette alle personopplysninger innen 30 dager, med mindre EU-rett eller nasjonal rett krever lagring. Behandlingsansvarlig kan eksportere alle data via GDPR-eksportfunksjonen i systemadministrasjonen før avslutning.
2. Behandlingsprotokoll (ROPA)
Protokoll i henhold til art. 30 GDPR over behandlingsaktiviteter utført gjennom Resovu-systemet.
| Behandlingsformål | Rettslig grunnlag | Kategorier av opplysninger | Kategorier av registrerte | Lagringstid |
|---|---|---|---|---|
| Administrasjon av bestillinger | Art. 6(1)(b) — oppfyllelse av avtale | Navn, e-post, telefon, bestillingsdato, merknad | Kunder som foretar bestillinger | Konfigurerbar (standard 365 dager) |
| Kommunikasjon (bekreftelser, påminnelser) | Art. 6(1)(b) — oppfyllelse av avtale | Navn, e-post, telefon, bestillingsdetaljer | Kunder med aktiv bestilling | Iht. lagringstid for bestillinger |
| Betalingsbehandling | Art. 6(1)(b) — oppfyllelse av avtale | Betalingsopplysninger (behandles av Stripe, lagres aldri i Resovu) | Kunder som foretar online betaling | Iht. Stripes vilkår |
| Markedsføring (med samtykke) | Art. 6(1)(a) — samtykke | Navn, e-post | Kunder som har gitt markedsføringssamtykke | Til samtykket trekkes tilbake |
| Sikkerhet og beskyttelse mot misbruk | Art. 6(1)(f) — berettiget interesse | IP-adresse, user-agent (midlertidig for rate limiting) | Alle brukere av systemet | Iht. lagringstid for revisjonslogg |
| Regnskap og fakturering | Art. 6(1)(c) — rettslig forpliktelse | Firmanavn, org.nr., mva-nr., e-post, adresse | Operatører (leietakere) av systemet | 5 år (regnskapsloven) |
3. Prosedyre ved brudd på personopplysningssikkerheten
3.1 Deteksjon og rapportering
Resovu implementerer overvåkingssystemer for deteksjon av sikkerhetshendelser. Alle ansatte og samarbeidspartnere er forpliktet til umiddelbart å rapportere enhver mistanke om sikkerhetsbrudd til ledelsen.
3.2 Vurdering av alvorlighetsgrad
Etter oppdagelse av en hendelse vurderer ansvarlig person umiddelbart: omfanget av berørte data, antall berørte registrerte, sannsynlig innvirkning på registrertes rettigheter og friheter, hvorvidt dataene var kryptert, om det er mulig å begrense konsekvensene.
3.3 Varsling av tilsynsmyndighet
Dersom sikkerhetsbruddet sannsynligvis utgjør en risiko for fysiske personers rettigheter og friheter, varsler Resovu den relevante tilsynsmyndigheten innen 72 timer etter oppdagelse. Varselet inneholder: beskrivelse av bruddets art, kontaktinformasjon for DPO, beskrivelse av sannsynlige konsekvenser, beskrivelse av iverksatte tiltak. Tilsynsmyndigheter: ÚOOÚ — www.uoou.cz (Tsjekkia), ÚOOU SR — www.dataprotection.gov.sk (Slovakia), BfDI — www.bfdi.bund.de (Tyskland), UODO — www.uodo.gov.pl (Polen), NAIH — www.naih.hu (Ungarn), AEPD — www.aepd.es (Spania), Datatilsynet — www.datatilsynet.no (Norge); CNIL — www.cnil.fr (Frankrike).
3.4 Varsling av registrerte
Dersom bruddet sannsynligvis utgjør høy risiko for fysiske personers rettigheter og friheter, informerer Resovu de berørte registrerte uten ugrunnet opphold. Varselet gis på et forståelig språk og inneholder anbefalinger for å begrense konsekvensene.
3.5 Dokumentasjon
Alle sikkerhetshendelser registreres i et internt register, inkludert: oppdagelsesdato, beskrivelse av hendelsen, berørte data og registrerte, iverksatte tiltak, beslutning om varsling av tilsynsmyndighet og registrerte, resultater av etterforskning.
3.6 Kontakt for rapportering av hendelser
Sikkerhetshendelser rapporteres til: security@resovu.com. Oppgi "Sikkerhetshendelse" i emnefeltet. Gi så mye informasjon som mulig om hendelsens art og omfang.
4. Liste over underleverandører
| Leverandør | Tjeneste | Dataplassering | Garantier |
|---|---|---|---|
| Supabase (AWS) | Database, autentisering, lagring | EU (Frankfurt, eu-central-1) | DPA, SOC 2 Type II |
| Stripe | Betalingsbehandling | EU (Irland) + US | DPA, SCC, PCI DSS Level 1 |
| Vercel | Hosting, Edge Network, serverless | Globalt CDN (edge i EU) | DPA, SOC 2 Type II |
| Resend | Transaksjonelle e-poster | US | DPA, SCC |
| Infobip | SMS-påminnelser | EU (Frankfurt) + globalt | DPA, SCC, ISO 27001 |
| Kalendersynkronisering (valgfritt) | US | DPA, SCC | |
| Sentry (Functional Software Inc.) | Feilovervåking | US | DPA, SCC, SOC 2 |
| Upstash | Rate limiting (Redis) | EU (Frankfurt) | DPA, SOC 2 |