Databehandleravtale (DPA)

Dette er Omnifais standard databehandleravtale (DPA) iht. GDPR Art. 28. Den regulerer hvordan A-JOB AS (Omnifai) som databehandler behandler personopplysninger på vegne av deg som kunde (behandlingsansvarlig).

Avtalen trer i kraft automatisk når du tar i bruk Omnifai med en betalt plan, og er en integrert del av tjenesteavtalen. Du kan be om en signert papirversjon ved å kontakte oss på kontakt@omnifai.no.

Databehandler: A-JOB AS (heretter «Omnifai»), org.nr. 836 280 652, registrert i Norge.

Behandlingsansvarlig: Kunden, definert som det rettssubjektet som har inngått tjenesteavtale med A-JOB AS om bruk av Omnifai (heretter «Kunden»).

Kunden bruker Omnifai for å aggregere data fra annonseplattformer, generere rapporter, og administrere kampanjer for sine egne kunder. I forbindelse med dette behandler Omnifai personopplysninger som tilhører Kundens kunder, kontaktpersoner og potensielt sluttkunder (ved CRM-integrasjoner).

Denne avtalen oppfyller kravene i personopplysningsloven og GDPR Art. 28 nr. 3.

Kategorier av registrerte: Kundens ansatte med brukerkontoer i Omnifai, Kundens kontakter (sluttkunde-kontakter som brukes i kundeportaler/rapport-mottakere), og potensielt sluttkunder i den grad slike data tilflyter Omnifai gjennom CRM- og annonseplattform-integrasjoner.

Kategorier av personopplysninger:

• Identifikasjonsdata: navn, e-postadresse, telefonnummer
• Påloggingsdata: passord (hashet), IP-adresse, sesjonsinformasjon
• Bruksdata: handlinger i applikasjonen, audit-logger
• Kampanje- og markedsføringsdata: kampanjenavn, annonsetekster, målgrupper (anonyme aggregater fra annonseplattformer)
• CRM-data (når aktivt koblet): kontakt-navn, deal-statuser, ved integrasjoner mot HubSpot, Salesforce og lignende

Formål: levering av Omnifai-tjenesten — aggregering, analyse, rapportering, kampanjestyring og deling av rapporter med Kundens egne kunder.

Varighet: avtaleperioden + sletting/anonymisering innen 30 dager etter avtalens opphør (med unntak av lovpålagt lagring som regnskapsdata).

Omnifai skal:

• Kun behandle personopplysninger etter dokumenterte instruksjoner fra Kunden, slik disse fremgår av tjenesteavtalen, Kundens konfigurasjon av tjenesten, og denne avtalen.
• Sørge for at personer med tilgang til personopplysningene har forpliktet seg til konfidensialitet eller er underlagt taushetsplikt.
• Iverksette egnede tekniske og organisatoriske tiltak iht. Annex II nedenfor (Art. 32).
• Innhente skriftlig samtykke fra Kunden før det benyttes nye underdatabehandlere. Liste over godkjente underdatabehandlere er tilgjengelig på /databehandlere.
• Bistå Kunden, så langt det er mulig, med å besvare henvendelser fra registrerte (Art. 12-22 GDPR), inkludert ved tilrettelegging av eksport- og slettefunksjonalitet i applikasjonen.
• Varsle Kunden uten ugrunnet opphold, og senest innen 48 timer, ved kjennskap til brudd på personopplysningssikkerheten som angår Kundens data (Art. 33 nr. 2).
• Tilbakelevere eller slette alle personopplysninger etter Kundens valg ved avtalens opphør, innen 30 dager, med mindre unionsrett/EØS-rett krever fortsatt lagring.
• Gjøre tilgjengelig for Kunden all informasjon som er nødvendig for å påvise at forpliktelsene i Art. 28 oppfylles, og legge til rette for revisjoner som beskrevet i punkt 9.

Kunden er ansvarlig for å:

• Sikre at det foreligger et lovlig grunnlag for behandlingen (Art. 6 og evt. Art. 9 GDPR) før personopplysninger lastes inn i Omnifai.
• Informere registrerte om behandlingen iht. Art. 13/14, herunder om bruk av Omnifai som databehandler.
• Sikre at OAuth-tilkoblinger og API-integrasjoner mot tredjeparts annonse- og CRM-plattformer er gyldig autorisert av riktig rettssubjekt.
• Holde sine egne pålogginger og PIN-er sikre.
• Varsle Omnifai dersom Kunden mottar henvendelser fra registrerte som krever bistand fra Omnifai (eks. eksport- eller sletteforespørsler).

Kunden gir generelt samtykke til bruk av underdatabehandlere oppført på /databehandlere. Listen vedlikeholdes av Omnifai og oppdateres ved endringer.

Omnifai skal varsle Kunden minst 30 dager før nye underdatabehandlere tas i bruk, eller eksisterende skiftes ut. Kunden kan innen 30 dager skriftlig protestere — i så fall har partene rett til å si opp tjenesteavtalen uten kostnad.

Omnifai inngår skriftlige databehandleravtaler med alle underdatabehandlere med tilsvarende forpliktelser som i denne avtalen.

Primær lagring (database, filer) skjer innenfor EU/EØS hos Neon (Frankfurt) og Cloudflare R2 (EU).

Enkelte underdatabehandlere er etablert i USA (Vercel, Railway, Anthropic, OpenAI, Stripe, Firecrawl, Higgsfield). Overføring til USA skjer på grunnlag av EU-US Data Privacy Framework eller EU Standard Contractual Clauses (SCC, Modul 2 — overføring fra databehandler til underdatabehandler), avhengig av underdatabehandlerens sertifisering.

Annonseplattformer (Google, Meta, LinkedIn m.fl.) opptrer som selvstendige behandlingsansvarlige for sine egne tjenester når Kunden gir OAuth-autorisasjon.

Omnifai implementerer som minimum følgende tekniske og organisatoriske tiltak:

• Kryptering i transport: TLS 1.2+ på alle eksterne endepunkter.
• Kryptering i ro: database og objektlagring (R2) er kryptert på lagringsnivå. OAuth-tokens, MFA-hemmeligheter og BYO-API-nøkler krypteres applikasjonsnivå med Fernet (AES-128).
• Passord: bcrypt (cost-faktor 12+), minimum 10 tegn med blandet store/små bokstaver og siffer. To-faktor (TOTP) tilgjengelig per bruker.
• Tilgangskontroll: rollebaserte rettigheter, tenant-isolering på databasenivå, IDOR-beskyttelse via join-baserte spørringer.
• Audit-logger: alle sikkerhetshendelser (innlogging, MFA-feil, portal-tilgang, rolleendringer) logges strukturert med 18 måneders oppbevaring.
• Sikker utvikling: CSRF-beskyttelse (double-submit token), CSP-header, HSTS, sikre HttpOnly-cookies, magic-byte- validering av opplastede filer, SSRF-beskyttelse mot interne tjenester.
• AI-bruk: klientnavn pseudonymiseres før forespørsler mot Anthropic/OpenAI; prompt-injection-beskyttelse med innpakkede brukerdata.
• Tilgangsstyring internt: kun navngitte administratorer hos A-JOB AS har produksjonsadgang. All superadmin-aktivitet, herunder impersonation, audit-logges.
• Backup: Neon utfører kontinuerlig snapshot/WAL-backup med kryptering i ro.
• Avhengighetsoppdateringer: CVE-skanning av Python- og Node-avhengigheter ved hver build.

Kunden har rett til å verifisere at Omnifai etterlever sine forpliktelser, ved:

• Skriftlig forespørsel om dokumentasjon på sikkerhetstiltak, audit- rapporter og prosesser. Omnifai skal svare innen 30 dager.
• Inspeksjon på stedet hos Omnifai med 30 dagers skriftlig varsel, inntil én gang per kalenderår, eller oftere ved konkret mistanke om brudd. Inspeksjonen utføres innenfor normal arbeidstid og må ikke forstyrre driften urimelig.

Omnifai kan i stedet velge å fremlegge en uavhengig tredjeparts-revisjonsrapport (eks. SOC 2 Type II, ISO 27001) der slik foreligger.

Ved kjennskap til brudd på personopplysningssikkerheten som angår Kundens data skal Omnifai uten ugrunnet opphold, og senest innen 48 timer, varsle Kunden med følgende informasjon (Art. 33 nr. 3):

• Bruddets art, omfang og kategorier av berørte data
• Sannsynlige konsekvenser
• Tiltak som er iverksatt eller foreslås iverksatt
• Kontaktpunkt hos Omnifai for ytterligere informasjon

Avtalen gjelder så lenge tjenesteavtalen mellom A-JOB AS og Kunden består.

Ved opphør skal Omnifai innen 30 dager, etter Kundens valg:

• Tilbakelevere alle personopplysninger i et maskinlesbart format, OG/ELLER
• Slette/anonymisere alle personopplysninger

Audit-logger og pseudonymiserte sikkerhetshendelser kan beholdes i opp til 18 måneder etter opphør for forensisk integritet.

Hver part er ansvarlig for skade som påføres som følge av sin egen manglende oppfyllelse av forpliktelsene i denne avtalen eller i gjeldende personvernlovgivning, jf. GDPR Art. 82. Ansvarsbegrensninger i tjenesteavtalen mellom A-JOB AS og Kunden gjelder i den utstrekning de ikke strider med tvingende lov.

Avtalen reguleres av norsk rett. Tvister skal forsøkes løst i minnelighet. Dersom dette ikke lykkes, vedtas Oslo tingrett som rett verneting.

Omnifai kan oppdatere denne DPA-en ved varsling minst 30 dager før ikrafttredelse. Vesentlige endringer som svekker Kundens rettigheter krever Kundens skriftlige aksept.