Databehandleravtale

Sist oppdatert: 2. juni 2026

Denne databehandleravtalen (DPA) regulerer behandlingen av personopplysninger som Timelista utfører på vegne av Kunder som benytter tjenesten Timelista. Den utgjør en integrert del av Brukervilkårene og gjelder alltid når Timelista opptrer som databehandler.

1. Parter

  • Behandlingsansvarlig: Kunden – fysisk eller juridisk person som benytter tjenesten Timelista.
  • Databehandler: ALEKSANDER MARIANSKI (tjenesten Timelista / Timelista.no), org.nr. 926 341 979, Hanaveien 12A, 4327 SANDNES, Norge – e-post: kontakt@timelista.no.

2. Formålet med behandlingen

Timelista behandler personopplysninger utelukkende for å levere og forbedre tjenesten Timelista, aldri til egne, uavhengige formål. Typiske formål omfatter:

  • registrering og forvaltning av arbeidstid (timeregistrering);
  • føring av personalliste i samsvar med lovpålagte krav;
  • håndtering av ferie, fravær og vaktplaner;
  • fakturering og administrasjon av abonnement på tjenesten;
  • brukerstøtte og service knyttet til tjenesten.

3. Kategorier av opplysninger og registrerte

Registrerte: Kunden og dennes personell som benytter tjenesten, Kundens ansatte, samt eiere og administratorer i Kundens virksomhet.

Opplysninger: fornavn, etternavn, e-post, telefon, fødselsnummer / D-nummer, organisasjonsnummer, bedriftstilknytning, registrerte arbeidstimer, pauser, fravær og ferie, inn- og utsjekkingstidspunkter i personallisten, systemmetadata og innloggingsdata.

Behandling av fødselsnummer og andre entydige identifikatorer skjer i samsvar med personopplysningsloven §12 – kun når det foreligger et saklig behov for sikker identifisering, herunder lovpålagt føring av personalliste. Timelista er som hovedregel ikke ment for behandling av særlige kategorier av personopplysninger (personvernforordningen art. 9).

4. Underdatabehandlere

For å sikre en trygg og skalerbar plattform benytter Timelista pålitelige underdatabehandlere som behandler personopplysninger utelukkende på vegne av Timelista og i samsvar med denne Avtalen:

  • Leverandør av skyinfrastruktur (EØS): hosting av applikasjon, databaser og lagring. Dataene oppbevares innenfor EØS, krypteres i hvile og under overføring.
  • Leverandør av transaksjonsbasert e-posttjeneste: utsendelse av varsler, påminnelser og kontorelaterte e-poster til brukerne.
  • Betalingsleverandør: håndtering av betalinger og abonnement.
  • Leverandør av sikkerhetskopiering og overvåking (EØS): sikkerhetskopiering, overvåking av tilgjengelighet og applikasjonsfeil.

Alle underdatabehandlere er bundet av avtaler som sikrer minst samme nivå av personvern som denne Avtalen. Oppdatert liste med nøyaktige navn og adresser kan fås ved henvendelse til kontakt@timelista.no.

5. Behandlingssted og overføringer

Timelista sørger for at all behandling som hovedregel skjer innenfor EU/EØS. Dersom opplysninger i unntakstilfeller overføres til tredjeland, benyttes rettslig bindende overføringsmekanismer, som EUs standard personvernbestemmelser (SCC) eller beslutninger om tilstrekkelig beskyttelsesnivå.

6. Tekniske og organisatoriske tiltak

Timelista implementerer tekniske og organisatoriske tiltak som beskytter konfidensialiteten, integriteten og tilgjengeligheten av opplysningene, herunder:

  • kryptert dataoverføring (TLS) og kryptering av lagrede data og sikkerhetskopier;
  • hashing av brukerpassord;
  • regelmessige sikkerhetskopier og rutiner for gjenoppretting etter hendelser;
  • tilgangsstyring, hendelsesovervåking, logging og sikkerhetsvarsler;
  • taushetsplikt for alt personell;
  • regelmessige sikkerhetsoppdateringer og systemgjennomganger;
  • fysisk sikring av datasentre levert av infrastrukturleverandørene.

7. Brudd på personopplysningssikkerheten

Ved brudd på personopplysningssikkerheten vil Timelista varsle Kunden uten ugrunnet opphold, senest innen 48 timer etter at bruddet er avdekket, med opplysninger om bruddets art, mulige konsekvenser og iverksatte tiltak. Plikten til å melde bruddet til Datatilsynet og til de registrerte påhviler Kunden som Behandlingsansvarlig.

8. Bistand til Kunden

Timelista bistår Kunden, så langt det er mulig og hensett til tjenestens art, med å oppfylle de registrertes rettigheter (personvernforordningen art. 15–22) og forpliktelsene etter personvernforordningen art. 32–36 – gjennom funksjoner i tjenesten som muliggjør innsyn, eksport, endring og sletting av opplysninger.

9. Revisjon

Kunden har rett til å verifisere at Timelista overholder forpliktelsene etter denne Avtalen. Timelista skal stille nødvendig dokumentasjon og informasjon til rådighet. Revisjoner kan gjennomføres etter avtale og med rimelig varsel, på en måte som ikke forstyrrer Timelistas ordinære virksomhet. Kunden bærer alle kostnader forbundet med gjennomføringen av revisjonen, herunder kostnader til eksterne revisorer, organisatoriske kostnader samt enhver kostnad Timelista pådrar seg i forbindelse med forberedelse og deltakelse. På anmodning fra Timelista skal Kunden refundere alle rimelige kostnader Timelista har pådratt seg, før revisjonen påbegynnes.

10. Lagring og sletting av opplysninger

Timelista lagrer personopplysninger så lenge det er nødvendig for å oppfylle de avtalte formålene, eller så lenge Kunden har en aktiv konto. Etter Avtalens opphør slettes eller tilbakeleveres opplysningene til Kunden, med unntak av i den utstrekning videre lagring er pålagt etter norsk rett (bl.a. bokføringsforskriften for personalliste og lovpålagt oppbevaringsplikt, inntil fem år).

11. Ansvar og lovvalg

Partene er ansvarlige for skade i samsvar med personvernforordningen art. 82. Timelistas ansvar er begrenset til vederlaget betalt i 12-månedersperioden forut for hendelsen. Avtalen er underlagt norsk rett, særlig personopplysningsloven; tvister avgjøres av verneting der Timelista har sitt forretningssted.

12. Oppdateringer

Timelista kan oppdatere denne Avtalen. Den til enhver tid gjeldende versjon er tilgjengelig på timelista.no.