Databehandleravtale (DPA)

Gjelder fra: 20. mai 2026

1. Avtalens parter og formål

1.1. Denne databehandleravtalen («Avtalen») regulerer behandlingen av personopplysninger som foretas av:

Databehandleren: Meisal Media ENK, organisasjonsnummer 928 659 984 MVA, med forretningsadresse Bernt Balchens vei 30, 1364 Fornebu, Norge (heretter «VowFolio» eller «Databehandleren»).

Behandlingsansvarlig: Den juridiske enheten, enkeltpersonforetaket eller den kommersielle aktøren som har opprettet en studio- eller brukerkonto i Tjenesten, og derved akseptert VowFolios gjeldende Brukervilkår (heretter «Kunden» eller «Behandlingsansvarlig»).

1.2. Avtalen skal sikre at behandlingen av personopplysninger oppfyller kravene i den til enhver tid gjeldende personvernlovgivning, herunder EU-forordning 2016/679 (Generell personvernforordning / GDPR) artikkel 28.

1.3. Avtalen utgjør et uatskillelig vedlegg til Hovedavtalen (Brukervilkårene) mellom partene. Ved eventuell motstrid mellom bestemmelsene i Hovedavtalen og denne Avtalen, skal bestemmelsene i denne Avtalen ha forrang når det gjelder behandlingen av personopplysninger.

2. Behandlingens karakter, formål og varighet

2.1. Formål: Databehandleren skal behandle personopplysninger utelukkende for å levere, drifte, sikre og vedlikeholde programvaretjenesten VowFolio i samsvar med de rammer og funksjoner som er definert i Hovedavtalen.

2.2. Karakter: Behandlingen omfatter digital innsamling, strukturering, lagring, visualisering, ruting, kryptering og sletting av data via skybasert infrastruktur og mobile applikasjoner.

2.3. Varighet: Avtalen gjelder så lenge Behandlingsansvarlig har en aktiv konto hos Databehandleren, pluss den tidsperiode som er nødvendig for sikker avvikling og permanent sletting av data i tråd med Avtalens punkt 8.

3. Kategorier av registrerte og typer personopplysninger

3.1. Kategorier av registrerte: Avtalen omfatter personopplysninger knyttet til Behandlingsansvarliges ansatte, innleide medarbeidere eller frilansere («Crew»), samt Behandlingsansvarliges sluttkunder («Klienter», «Brudepar») og tilknyttede tredjepersoner som inkluderes i prosjektene.

3.2. Typer personopplysninger: Behandlingen omfatter følgende kategorier av data:

Identifikasjons- og kontaktopplysninger (fulle navn, e-postadresser, telefonnumre, fysiske adresser).
Logistiske arrangementsdata (detaljerte tidsplaner, kjøreplaner, adresser for lokasjoner og arrangementsnotater).
Kontraktsdata (avtaler, IP-adresser ved signering, tidsstempler og kryptografiske sjekksummer/SHA-256 hasher).
Kommunikasjonsdata (meldinger, logger og e-posttråder rutet eller generert i Tjenesten).
Visuelle medier (bilder, referanselenker og grafisk innhold opplastet til prosjekter eller moodboards).
Geografiske lokasjonsdata (koordinater og reiseradius for registrerte Crew-medlemmer).

4. Databehandlerens plikter

Databehandleren forplikter seg til å:

4.1. Bare behandle personopplysninger basert på dokumenterte instrukser fra Behandlingsansvarlig, med mindre annet kreves i henhold til gjeldende lovgivning som Databehandleren er underlagt. Behandlingsansvarliges aksept av Hovedavtalen og løpende bruk av funksjonaliteten i Tjenesten utgjør den fullstendige og primære instruksen.

4.2. Sikre at alle personer som er autorisert til å behandle personopplysningene, har forpliktet seg til konfidensialitet eller er underlagt en egnet lovfestet taushetsplikt.

4.3. Implementere egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er tilpasset risikoen, i samsvar med GDPR artikkel 32. Dette inkluderer kryptering av datatrafikk i transitt (SSL/TLS), kryptering av data ved lagring (at rest), samt anvendelse av maskinvarestøttet kryptering (AES-GCM via CryptoKit) og sikker nøkkeloppbevaring (Keychain) for lokal datalagring på mobile enheter.

5. Bruk av underdatabehandlere

5.1. Behandlingsansvarlig gir Databehandleren en generell godkjennelse til å benytte underdatabehandlere for å kunne levere og drifte Tjenesten. Databehandleren benytter per dags dato følgende godkjente underdatabehandlere:

Supabase Inc.: Infrastruktur, databaselagring, fil- og bildehosting, samt brukerautentisering.
Stripe Inc. / Stripe Connect: Håndtering av transaksjoner, fakturering og utbetalinger.
Resend Inc.: Distribusjon av system-e-poster og transaksjonsmeldinger.
Cloudflare Inc.: E-postruting, nettverkssikkerhet (DDoS-beskyttelse) og CDN-tjenester.
Apple Inc.: Geokoding av adresser (MapKit) og distribusjon av push-varsler (APNs).
Weather API: Leveranse av meteorologiske data basert på geokoordinater.

5.2. Databehandleren skal informere Behandlingsansvarlig om eventuelle planer om å oppnevne eller bytte ut underdatabehandlere, og derved gi Behandlingsansvarlig mulighet til å gjøre innsigelser mot slike endringer minimum fjorten (14) dager før den nye underdatabehandleren tas i bruk.

5.3. Databehandleren er fullt ut ansvarlig overfor Behandlingsansvarlig for underdatabehandleres oppfyllelse av sine personvernmessige forpliktelser.

6. Bistand til den behandlingsansvarlige

Databehandleren skal, i den grad det er teknisk og praktisk mulig og under hensyntagen til behandlingens art, bistå Behandlingsansvarlig med å:

6.1. Svare på anmodninger fra de registrerte som vil utøve sine rettigheter etter GDPR kapittel III (herunder rett til innsyn, retting, sletting eller begrensning).

6.2. Sikre overholdelse av forpliktelsene i GDPR artikkel 32 til 36 (herunder datasikkerhet, melding om avvik til Datatilsynet, samt eventuelle vurderinger av personvernkonsekvenser).

7. Avvikshåndtering (Data Breach)

Ved brudd på personopplysningssikkerheten (avvik) hos Databehandleren eller dennes underdatabehandlere, skal Databehandleren varsle Behandlingsansvarlig uten ugrunnet opphold etter å ha blitt oppmerksom på bruddet. Varselet skal som et minimum beskrive avvikets natur, berørte kategorier av data, anslått antall registrerte, sannsynlige konsekvenser av avviket, samt iverksatte eller foreslåtte tiltak for å begrense eventuelle skadevirkninger.

8. Avslutning av behandlingen og sletting av data

8.1. Ved opphør av abonnementsforholdet eller Hovedavtalen, opphører Databehandlerens rett til å oppbevare dataene på vegne av Behandlingsansvarlig.

8.2. Dersom ingen spesifikke instrukser om eksport eller overføring foreligger fra Behandlingsansvarlig ved avtaletidens utløp, vil Databehandleren slette alle personopplysninger, kunderegistre, tidsplaner og tilknyttede mediefiler permanent og ugjenkallelig fra sine servere tretti (30) dager etter oppsigelsesdatoen.

8.3. Dersom Behandlingsansvarlig sletter enkeltmeldinger eller meldingstråder i Tjenestens brukergrensesnitt (soft delete), vil dataene beholdes i en isolert sikkerhetsbuffer i tretti (30) dager før de slettes permanent fra den underliggende databasen.

9. Revisjon

Databehandleren skal stille til rådighet for Behandlingsansvarlig all informasjon som er nødvendig for å påvise at forpliktelsene i GDPR artikkel 28 er oppfylt. Databehandleren skal muliggjøre og bidra til revisjoner eller inspeksjoner utført av Behandlingsansvarlig eller en uavhengig revisor godkjent av begge parter. Samtlige kostnader knyttet til en slik revisjon eller inspeksjon bæres i sin helhet av Behandlingsansvarlig.

10. Lovvalg og verneting

Denne avtalen er underlagt norsk rett. Enhver tvist knyttet til oppfyllelse, tolkning eller gyldighet av denne avtalen skal avgjøres ved Databehandlerens vedtatte verneting som spesifisert i Brukervilkårene.

Data Processing Agreement (DPA)

Effective from: 20 May 2026

1. Parties and Purpose

1.1. This Data Processing Agreement ("Agreement") governs the processing of personal data carried out by:

Data Processor: Meisal Media ENK, organisation number 928 659 984 MVA, with registered business address at Bernt Balchens vei 30, 1364 Fornebu, Norway (hereinafter "VowFolio" or "Data Processor").

Data Controller: The legal entity, sole trader, or commercial operator that has created a studio or user account in the Service and thereby accepted VowFolio's current Terms of Use (hereinafter "Customer" or "Data Controller").

1.2. This Agreement is intended to ensure that the processing of personal data complies with the requirements of the applicable data protection legislation, including EU Regulation 2016/679 (General Data Protection Regulation / GDPR) Article 28.

1.3. This Agreement constitutes an inseparable appendix to the Main Agreement (Terms of Use) between the parties. In the event of any conflict between the provisions of the Main Agreement and this Agreement, the provisions of this Agreement shall prevail with regard to the processing of personal data.

2. Nature, Purpose and Duration of Processing

2.1. Purpose: The Data Processor shall process personal data solely to deliver, operate, secure, and maintain the VowFolio software service in accordance with the scope and features defined in the Main Agreement.

2.2. Nature: The processing includes digital collection, structuring, storage, visualisation, routing, encryption, and deletion of data via cloud-based infrastructure and mobile applications.

2.3. Duration: This Agreement applies for as long as the Data Controller has an active account with the Data Processor, plus the period required for secure wind-down and permanent deletion of data in accordance with Section 8 of this Agreement.

3. Categories of Data Subjects and Types of Personal Data

3.1. Categories of data subjects: This Agreement covers personal data relating to the Data Controller's employees, hired staff, or freelancers ("Crew"), as well as the Data Controller's end clients ("Clients", "Wedding Couples") and associated third parties included in projects.

3.2. Types of personal data: The processing covers the following categories of data:

Identification and contact information (full names, email addresses, phone numbers, physical addresses).
Logistical event data (detailed timelines, run-of-show documents, venue addresses, and event notes).
Contract data (agreements, IP addresses at signing, timestamps, and cryptographic checksums/SHA-256 hashes).
Communication data (messages, logs, and email threads routed or generated in the Service).
Visual media (images, reference links, and graphic content uploaded to projects or moodboards).
Geographic location data (coordinates and travel radius for registered Crew members).

4. Obligations of the Data Processor

The Data Processor undertakes to:

4.1. Only process personal data based on documented instructions from the Data Controller, unless otherwise required under applicable law to which the Data Processor is subject. The Data Controller's acceptance of the Main Agreement and ongoing use of the Service's functionality constitutes the complete and primary instruction.

4.2. Ensure that all persons authorised to process the personal data have committed to confidentiality or are subject to an appropriate statutory duty of confidentiality.

4.3. Implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, in accordance with GDPR Article 32. This includes encryption of data in transit (SSL/TLS), encryption of data at rest, as well as hardware-backed encryption (AES-GCM via CryptoKit) and secure key storage (Keychain) for local data storage on mobile devices.

5. Use of Sub-processors

5.1. The Data Controller grants the Data Processor general authorisation to use sub-processors in order to deliver and operate the Service. The Data Processor currently uses the following approved sub-processors:

Supabase Inc.: Infrastructure, database storage, file and image hosting, and user authentication.
Stripe Inc. / Stripe Connect: Handling of transactions, billing, and payouts.
Resend Inc.: Distribution of system emails and transactional messages.
Cloudflare Inc.: Email routing, network security (DDoS protection), and CDN services.
Apple Inc.: Address geocoding (MapKit) and push notification delivery (APNs).
Weather API: Delivery of meteorological data based on geographic coordinates.

5.2. The Data Processor shall inform the Data Controller of any plans to appoint or replace sub-processors, thereby giving the Data Controller the opportunity to object to such changes at least fourteen (14) days before the new sub-processor is taken into use.

5.3. The Data Processor is fully liable to the Data Controller for sub-processors' fulfilment of their data protection obligations.

6. Assistance to the Data Controller

The Data Processor shall, to the extent technically and practically possible and taking into account the nature of the processing, assist the Data Controller in:

6.1. Responding to requests from data subjects wishing to exercise their rights under GDPR Chapter III (including the right of access, rectification, erasure, or restriction).

6.2. Ensuring compliance with the obligations in GDPR Articles 32 to 36 (including data security, notification of breaches to the supervisory authority, and any data protection impact assessments).

7. Data Breach Handling

In the event of a personal data breach at the Data Processor or its sub-processors, the Data Processor shall notify the Data Controller without undue delay after becoming aware of the breach. The notification shall as a minimum describe the nature of the breach, the categories of data affected, the estimated number of data subjects involved, the likely consequences of the breach, and the measures taken or proposed to mitigate any adverse effects.

8. Termination of Processing and Deletion of Data

8.1. Upon termination of the subscription relationship or the Main Agreement, the Data Processor's right to retain the data on behalf of the Data Controller ceases.

8.2. If no specific instructions regarding export or transfer are provided by the Data Controller upon expiry of the agreement, the Data Processor will permanently and irreversibly delete all personal data, client records, timelines, and associated media files from its servers thirty (30) days after the cancellation date.

8.3. If the Data Controller deletes individual messages or message threads in the Service's user interface (soft delete), the data will be retained in an isolated security buffer for thirty (30) days before being permanently deleted from the underlying database.

9. Audit

The Data Processor shall make available to the Data Controller all information necessary to demonstrate compliance with the obligations laid down in GDPR Article 28. The Data Processor shall enable and contribute to audits or inspections carried out by the Data Controller or an independent auditor approved by both parties. All costs associated with such an audit or inspection shall be borne in full by the Data Controller.

10. Governing Law and Jurisdiction

This Agreement is governed by Norwegian law. Any dispute relating to the performance, interpretation, or validity of this Agreement shall be resolved before the Data Processor's agreed jurisdiction as specified in the Terms of Use.