Databehandleravtale

Databehandleravtale (DPA) for Zonara AS sin behandling av personopplysninger på vegne av kunder.

Sist oppdatert: 9. mai 2026

Denne databehandleravtalen («DPA») regulerer Zonara AS' behandling av personopplysninger på vegne av Kunden, og inngås som vedlegg til hovedavtalen mellom Kunden og Zonara om bruk av Zonara-appen og produktene Fleet OS og Partner OS («Tjenesten»).

DPA er utformet i samsvar med personvernforordningen (GDPR) artikkel 28.

1. Parter

Behandlingsansvarlig («Kunden»)

Bedriften som har inngått avtale med Zonara om bruk av Tjenesten, som angitt i hovedavtalen.

Databehandler («Zonara»)

Juridisk navn: Zonara AS
Organisasjonsnummer: 933 342 522
Adresse: Olav Ingstads vei 14, 1351 Rud
Daglig leder: Anders Eidval
Telefon: +47 459 67 125
E-post personvern: personvern@zonara.no

2. Formål og varighet

2.1 Formål

Zonara behandler personopplysninger på vegne av Kunden for å levere Tjenesten i henhold til hovedavtalen, herunder fleet management, partneradministrasjon, kjøretøyreservasjon, kjøreloggføring, førerkortvalidering og tilhørende funksjonalitet.

2.2 Varighet

DPA gjelder så lenge Zonara behandler personopplysninger på vegne av Kunden, det vil si fra hovedavtalens ikrafttredelse til alle personopplysninger er slettet eller returnert i samsvar med punkt 11.

3. Behandlingens art

Element	Beskrivelse
Behandlingens art	Innsamling, registrering, lagring, tilgjengeliggjøring, bruk, sletting og strukturering av personopplysninger som ledd i levering av Tjenesten
Formål	Levering av fleet/partner management-tjenester til Kunden
Varighet	Hovedavtalens løpetid + sletteperiode etter opphør
Type personopplysninger	Se punkt 4
Kategorier registrerte	Se punkt 5

4. Kategorier av personopplysninger

Zonara behandler følgende kategorier personopplysninger på vegne av Kunden:

4.1 Identitets- og kontaktopplysninger

Navn
Fødselsnummer (kun for BankID-pålogging og førerkortvalidering)
Fødselsdato
E-postadresse
Telefonnummer
Adresse (ved behov)

4.2 Førerkortdata

Førerkortklasse
Førerkortets gyldighet
Resultat av validering mot Statens vegvesen

4.3 Organisasjonsdata

Tilhørighet til Kundens organisasjon
Rolle og tilganger
Avdeling/team

4.4 Posisjons- og kjøretøydata

GPS-posisjon på kjøretøy
Kjørelogg og kjøremønster
Distanse og tidspunkt
Reservasjoner og bookinger

4.5 Tekniske kjøretøydata

Drivstoff, batteri, kilometerstand og lignende data fra kjøretøyets fabrikant
Kjøretøyregisterdata fra Statens vegvesen

4.6 Tekniske data og logger

IP-adresse, enhets-ID, økt-ID
Innloggingstidspunkt
Aktivitetslogg (audit log)

4.7 Kommunikasjonsdata

Utgående SMS fra tjenesten
Utgående e-post fra tjenesten

5. Kategorier registrerte

Kundens ansatte og brukere som er gitt tilgang til Tjenesten
Eventuelle andre personer Kunden registrerer i Tjenesten innenfor Tjenestens funksjonalitet

6. Zonaras forpliktelser

Zonara skal:

Kun behandle personopplysninger etter Kundens dokumenterte instruks. Hovedavtalen og denne DPA utgjør Kundens grunnleggende instruks.
Sikre at personer med tilgang til personopplysninger har taushetsplikt eller er underlagt lovbestemt taushetsplikt.
Iverksette nødvendige tekniske og organisatoriske tiltak for å sikre tilstrekkelig sikkerhetsnivå, jf. GDPR art. 32. Se punkt 9.
Bistå Kunden med å oppfylle plikten til å besvare henvendelser fra registrerte om utøvelse av deres rettigheter.
Bistå Kunden med å oppfylle forpliktelsene etter GDPR art. 32–36 (sikkerhet, brudd, vurdering av konsekvenser).
Etter avsluttet behandling slette eller returnere alle personopplysninger til Kunden, jf. punkt 11.
Gjøre tilgjengelig all informasjon som er nødvendig for å vise overholdelse av forpliktelsene etter GDPR art. 28, og tillate revisjoner, jf. punkt 12.
Varsle Kunden umiddelbart dersom en instruks etter Zonaras vurdering er i strid med personvernlovgivningen.

7. Underleverandører

7.1 Generelt samtykke

Kunden gir Zonara generelt samtykke til å bruke underleverandører («databehandlere» etter GDPR) for behandling av personopplysninger som ledd i levering av Tjenesten.

7.2 Kategorier av underleverandører

Zonara benytter underleverandører innenfor følgende kategorier:

Kategori	Lokasjon	Overføringsgrunnlag
Hosting og infrastruktur	EU (Microsoft Azure West Europe)	DPA
Identitets- og påloggingstjenester (BankID-formidler)	Norge	DPA
Tilkoblede tjenester for kjøretøydata	EU/EØS	DPA
Kartdata	EU/EØS	DPA
E-postutsendelse	USA	DPA + SCC
SMS-utsendelse	Norge	DPA
Betalingsbehandling	EU (med konserntilknytning til USA)	DPA + SCC
Hosting av nettside	USA (med EU-edge)	DPA + SCC
Domeneregistrering	EU	DPA

Konkret og oppdatert liste over de enkelte underleverandørene innenfor hver kategori utgjør et separat vedlegg til denne DPA («Underleverandørvedlegg»), som Kunden mottar ved avtaleinngåelse og oppdateres ved endringer.

7.3 Endringer i underleverandører

Zonara skal varsle Kunden minst 30 dager før det inngås avtale med ny underleverandør, eller før eksisterende underleverandør gis utvidet rolle. Varsel sendes til Kundens registrerte kontaktperson og oppdateres i Underleverandørvedlegget.

Kunden kan innen 30 dager etter varsel skriftlig motsette seg endringen. Dersom partene ikke finner en løsning, kan Kunden si opp Avtalen uten kostnad.

7.4 Krav til underleverandører

Zonara skal pålegge underleverandører de samme forpliktelsene som følger av denne DPA gjennom skriftlig databehandleravtale. Zonara er ansvarlig overfor Kunden for underleverandørers utførelse av forpliktelsene.

8. Overføring til tredjeland

8.1 SaaS-tjenesten

Selve Tjenesten driftes innenfor EU/EØS på Microsoft Azure West Europe. Kundedata fra SaaS-tjenesten overføres ikke ut av EU/EØS.

8.2 Støttetjenester

Enkelte støttetjenester innebærer overføring til tredjeland (USA). For slik overføring benyttes EU-Kommisjonens standardkontrakter (Standard Contractual Clauses, SCC) som overføringsgrunnlag, jf. GDPR art. 46. Zonara har gjennomført vurdering av risiko ved overføring (TIA / Transfer Impact Assessment) og iverksatt nødvendige supplerende tiltak.

9. Sikkerhetstiltak

Zonara har iverksatt følgende tekniske og organisatoriske tiltak, jf. GDPR art. 32:

9.1 Tekniske tiltak

Kryptering at-rest: AES-256
Kundeadministrerte nøkler: Krypteringsnøkler administreres i et kundeadministrert nøkkellager
Kryptering i transit: TLS 1.2 eller nyere for all dataoverføring
Tilgangskontroll: Rollebasert tilgangskontroll (RBAC)
Tofaktorpålogging: MFA påkrevd for alle administratorer og brukere
Identitet: BankID for sluttbrukerinnlogging
Logging: Audit log over brukerhandlinger, sentralisert overvåking
Sikkerhetskopier: Regelmessige backups innenfor EU
Nettverkssikkerhet: Segmentering, brannmurer, DDoS-beskyttelse

9.2 Organisatoriske tiltak

Taushetsplikt for alle ansatte og underleverandører
Begrensning av tilgang etter «need to know»-prinsippet
Opplæring av ansatte i informasjonssikkerhet og personvern
Etablerte rutiner for håndtering av sikkerhetshendelser
Etablerte rutiner for håndtering av henvendelser om de registrertes rettigheter

10. Brudd på personopplysningssikkerheten

10.1 Varsling til Kunden

Ved brudd på personopplysningssikkerheten som berører Kundens data skal Zonara uten ugrunnet opphold, og senest innen 24 timer etter at bruddet ble oppdaget, varsle Kunden skriftlig.

Varselet skal inneholde:

Beskrivelse av bruddets art
Berørte kategorier og antall registrerte (omtrentlig)
Berørte kategorier og antall personopplysninger (omtrentlig)
Sannsynlige konsekvenser
Iverksatte og foreslåtte tiltak

Hvis fullstendig informasjon ikke er tilgjengelig på varslingstidspunktet, kan informasjonen gis etappevis.

10.2 Kundens varslingsplikt

Det er Kunden som behandlingsansvarlig som har ansvar for å varsle Datatilsynet og berørte registrerte i samsvar med GDPR art. 33–34. Zonara bistår Kunden med nødvendig informasjon.

11. Sletting og retur ved opphør

Ved hovedavtalens opphør skal Zonara, etter Kundens skriftlige valg:

Slette alle personopplysninger som behandles på Kundens vegne, eller
Returnere alle personopplysninger til Kunden i et alminnelig brukt og maskinlesbart format.

Sletting eller retur skal skje innen 90 dager etter opphør.

Zonara kan oppbevare personopplysninger lenger der dette kreves etter EU-rett eller nasjonal rett (f.eks. regnskapsloven). Slik oppbevaring er begrenset til det formålet loven krever.

Backups slettes i henhold til Zonaras ordinære slettesyklus, og er beskyttet av sikkerhetstiltakene i punkt 9 inntil sletting.

12. Revisjon og inspeksjon

12.1 Dokumentasjon

Zonara skal stille til rådighet all informasjon som er nødvendig for å vise at forpliktelsene etter denne DPA er oppfylt, herunder dokumentasjon på sikkerhetstiltak og underleverandørers samsvar.

12.2 Revisjon

Kunden kan med 30 dagers skriftlig varsel kreve revisjon av Zonaras behandling, en gang per kalenderår. Revisjon kan utføres av Kunden selv eller en uavhengig tredjepart godkjent av Zonara, mot signering av konfidensialitetserklæring.

Revisjonen skal gjennomføres på en måte som ikke unødig forstyrrer Zonaras drift, og kostnader bæres av Kunden, med mindre revisjonen avdekker vesentlig mislighold fra Zonaras side.

Som alternativ til revisjon kan Zonara fremlegge tredjeparts revisjonsrapporter (f.eks. ISO 27001, SOC 2, eller tilsvarende der dette foreligger).

13. Ansvar

Partenes ansvar etter denne DPA reguleres av hovedavtalens ansvarsbestemmelser. Eventuelt overtredelsesgebyr ilagt av tilsynsmyndighet og krav fra registrerte fordeles mellom partene i samsvar med hver parts ansvar etter GDPR art. 82.

14. Endringer i DPA

Endringer i DPA krever skriftlig avtale mellom partene. Zonara kan ensidig oppdatere DPA der det er nødvendig for å oppfylle endringer i regelverket eller anvisninger fra tilsynsmyndighet, med 30 dagers skriftlig varsel.

15. Forrang

Ved motstrid mellom denne DPA og hovedavtalen, går denne DPA foran for så vidt gjelder behandling av personopplysninger.

16. Lovvalg og verneting

DPA reguleres av norsk rett. Tvister behandles ved Asker og Bærum tingrett.

17. Kontakt

Henvendelser knyttet til denne DPA rettes til:

Zonara AS
Olav Ingstads vei 14, 1351 Rud
E-post: personvern@zonara.no
Telefon: +47 459 67 125