Mimre

Sist oppdatert: 2025-12-31

Databehandleravtale (DPA)

Databehandleravtale for Mimre. Informasjon om hvordan vi behandler personopplysninger på vegne av våre kunder.

Databehandleravtale (DPA) – Mimre

Denne databehandleravtalen ("Avtalen") gjelder i den grad Mimre behandler personopplysninger på vegne av Kunde som databehandler, i forbindelse med levering av Mimre-tjenesten, jf. personvernforordningen (GDPR) artikkel 28.

Der Mimre behandler personopplysninger som behandlingsansvarlig, gjelder Mimres personvernerklæring.

1. Parter

Behandlingsansvarlig ("Kunde"): Den juridiske eller fysiske personen som bestemmer formål og midler for behandlingen av personopplysninger.

Databehandler: Mimre AS, org.nr. 936 745 792, Røråslia 18, 3720 Skien ("Mimre").

2. Formål og omfang

Mimre behandler personopplysninger på vegne av Kunde for å levere Mimre-tjenesten, herunder:

  • gjennomføring av intervjuopplevelse (tekst og/eller lyd)
  • behandling, strukturering og redigering til bokutkast
  • produksjon av trykkfil og levering av fysisk bok
  • nødvendig drift, sikkerhet og support knyttet til leveransen

Behandlingen skal kun skje i samsvar med Kundens dokumenterte instrukser og gjeldende rett.

3. Behandlingens art, kategorier og varighet

3.1 Art

Innsamling, registrering, lagring, organisering, strukturering, transkripsjon (der det brukes), generering av bokutkast, eksport og produksjon av trykkfil, samt overføring til trykk- og fraktpartner for levering.

3.2 Kategorier av registrerte

  • Forteller
  • Kunde/gavekjøper
  • Eventuelle mottakere ved levering (navn og adresse)

3.3 Kategorier av personopplysninger

  • Identitets- og kontaktopplysninger (navn, e-post, telefon, adresse)
  • Innholdsdata (tekst, lyd, bilder og vedlegg)
  • Tekniske data (logger, IP-adresse, sikkerhetshendelser)
  • Ordre- og transaksjonsreferanser

3.4 Særlige kategorier

Innholdet kan inneholde særlige kategorier personopplysninger. Slik behandling skjer kun i den grad det er nødvendig for tjenestens formål, og i samsvar med Kundens instrukser, gyldig behandlingsgrunnlag og gjeldende rett.

3.5 Varighet

Avtalen gjelder så lenge Mimre behandler personopplysninger på vegne av Kunde, og opphører når behandlingen avsluttes i henhold til Kundens instruks eller kundeforholdet opphører.

4. Dokumenterte instrukser

Mimre skal kun behandle personopplysninger etter Kundens dokumenterte instrukser, slik disse fremgår av:

  • denne Avtalen
  • vilkår, bestillingsflyt og konfigurasjoner i Mimre-tjenesten
  • eventuelle skriftlige tilleggsinstrukser

Mimre skal varsle Kunde dersom en instruks etter Mimres vurdering er i strid med gjeldende rett, og kan avvente gjennomføring inntil avklaring foreligger.

5. Mimres forpliktelser

Mimre skal:

  • behandle personopplysninger konfidensielt
  • sikre at personer med autorisert tilgang er underlagt taushetsplikt
  • iverksette egnede tekniske og organisatoriske sikkerhetstiltak
  • ikke behandle personopplysninger for egne formål
  • bistå Kunde med rimelige tiltak ved forespørsler fra registrerte (innsyn, retting, sletting mv.)
  • bistå Kunde ved vurderinger knyttet til informasjonssikkerhet og personvernkonsekvensvurdering (DPIA) der dette er relevant, i rimelig omfang
  • varsle Kunde uten ugrunnet opphold ved brudd på personopplysningssikkerheten

6. Sikkerhetstiltak (minimum)

Mimre skal som minimum opprettholde tiltak som:

  • tilgangsstyring basert på behov ("least privilege")
  • autentisering og logging av administrative handlinger
  • kryptering av data i transitt og, der det er relevant, i lagring
  • sikkerhetskopiering der det er relevant for leveransen
  • rutiner for sårbarhets- og hendelseshåndtering

Detaljer kan endres over tid, forutsatt at sikkerhetsnivået samlet sett er egnet.

7. Bruk av underdatabehandlere

Kunde gir Mimre generell forhåndsgodkjenning til å benytte underdatabehandlere når dette er nødvendig for levering av tjenesten (for eksempel hosting, lagring, AI-tjenester, betaling, trykk og frakt).

Mimre skal:

  • pålegge underdatabehandlere tilsvarende databehandlerforpliktelser
  • sikre at underdatabehandlere kun behandler opplysninger for angitte formål
  • gjøre en oppdatert oversikt over underdatabehandlere tilgjengelig for Kunde på forespørsel

Kunde kan motsette seg bruk av ny underdatabehandler på saklig grunnlag relatert til personvern eller sikkerhet. Dersom partene ikke finner en løsning, kan Kunde avslutte den berørte delen av tjenesten.

8. Overføring utenfor EØS

Dersom personopplysninger overføres eller gjøres tilgjengelig utenfor EØS, skal Mimre sikre gyldig overføringsgrunnlag i henhold til gjeldende rett (for eksempel EUs standardkontrakter), der dette kreves.

9. Bistand til Kunde og registrertes rettigheter

Mimre skal, i rimelig omfang og med hensyn til behandlingens art, bistå Kunde med:

  • håndtering av innsynskrav, retting, sletting, begrensning, dataportabilitet og innsigelser
  • dokumentasjon av relevante sikkerhetstiltak
  • nødvendig informasjon om behandlingsaktiviteter og underdatabehandlere

10. Avvik og brudd på sikkerheten

Ved brudd på personopplysningssikkerheten skal Mimre:

  • varsle Kunde uten ugrunnet opphold
  • beskrive bruddets art, sannsynlige konsekvenser og iverksatte eller foreslåtte tiltak
  • bistå Kunde med rimelige tiltak knyttet til varsling til tilsynsmyndigheter og/eller registrerte, der dette er nødvendig

11. Revisjon

Kunde kan be om dokumentasjon som med rimelighet viser at Mimre etterlever denne Avtalen. Revisjon på stedet kan gjennomføres dersom det foreligger saklig grunn, med rimelig varsel og på en måte som begrenser forstyrrelser og ivaretar konfidensialitet.

12. Sletting og tilbakelevering ved opphør

Ved opphør av tjenesten skal Mimre, etter Kundens valg:

  • slette personopplysninger behandlet på vegne av Kunde, eller
  • tilbakelevere relevante data i et alminnelig, maskinlesbart format før sletting

Mimre kan beholde enkelte opplysninger der dette kreves av lov (for eksempel regnskapsdokumentasjon), eller der det er nødvendig for å etablere, gjøre gjeldende eller forsvare rettskrav.

13. Ansvar

Hver part er ansvarlig for å oppfylle sine forpliktelser etter gjeldende personvernregelverk. Eventuelle ansvarsbegrensninger følger av vilkårene mellom partene, med mindre annet følger av ufravikelig rett.

14. Rang og motstrid

Ved motstrid mellom denne Avtalen og øvrige avtaler eller vilkår mellom partene, skal denne Avtalen ha forrang for spørsmål som gjelder behandling av personopplysninger der Mimre opptrer som databehandler.