Parter og formål

Denne databehandleravtalen (DPA) regulerer behandlingen av personopplysninger mellom FRAMTID TECH AS (org.nr. 837 596 092), Luhrtoppen 2, 1470 LØRENSKOG («Behandlingsansvarlig») og de underleverandørene som er listet i punkt 4.

Avtalen inngås i henhold til EUs personvernforordning (GDPR) artikkel 28, og regulerer hva underleverandørene kan gjøre med personopplysninger de mottar på vegne av FRAMTID TECH AS.

Hvilke personopplysninger behandles?

Tjenesten Somify behandler følgende kategorier av personopplysninger:

Identitetsdata: Navn, e-postadresse, bedriftsnavn
Betalingsdata: Abonnementsstatus, faktureringsperiode (kortnummer lagres ikke hos oss)
Innholdsdata: Tekst og bilder som brukere genererer eller laster opp
Tilgangsdata: Tilkoblinger til sosiale medier (Instagram, Facebook, Threads, LinkedIn, X, TikTok, YouTube, Pinterest, Bluesky og andre plattformer levert via vår underdatabehandler bundle.social). For kontoer levert via bundle.social oppbevares OAuth-tokens hos bundle.social — ikke hos FRAMTID TECH AS.
Bruksdata: Innloggingstidspunkt, publiseringshistorikk, AI-genereringslogg
Tekniske data: IP-adresse, nettlesertype

Formål med behandlingen

Autentisering og brukerkontoforvaltning
AI-generering av innhold til sosiale medier
Automatisk publisering til tilkoblede plattformer
Betaling og abonnementhåndtering
Feilovervåkning og driftsikkerhet
Transaksjonsbasert e-postkommunikasjon

Underleverandører (underdatabehandlere)

FRAMTID TECH AS benytter følgende underleverandører. Alle er GDPR-kompatible og har egne DPA-er:

Leverandør	Formål	Land	DPA
Supabase Inc.	Database, autentisering, fillagring	USA (AWS eu-west-2)	supabase.com/legal/dpa
OpenAI LLC	AI-innholdsgenerering	USA	openai.com/enterprise-privacy
Stripe Inc.	Betalingsbehandling	USA (EU-server)	stripe.com/legal/dpa
Resend Inc.	Transaksjonsbasert e-post	USA	resend.com/legal/dpa
Vercel Inc.	Hosting og deployment	USA (EU edge)	vercel.com/legal/dpa
bundle.social	Publisering til sosiale medier, henting av statistikk og kommentarer, lagring av OAuth-tokens på vegne av kunden	Polen (selskap) / Tyskland (databasehosting) — innen EØS	bundle.social (DPA inngått direkte)

Internasjonal overføring:

Overføring til USA (Supabase, OpenAI, Stripe, Resend, Vercel) skjer med grunnlag i EUs standardkontraktklausuler (SCC) og/eller EU-US Data Privacy Framework der aktuelt.
bundle.social behandler data innen EØS (selskap i Polen, databasehosting i Tyskland). Ingen overføring til tredjeland kreves.
Når innlegg publiseres til sosiale medier (Meta, LinkedIn, X, TikTok, YouTube m.fl.) overføres innholdet til den aktuelle plattformen i samsvar med dens egne vilkår — denne overføringen skjer på din uttrykkelige instruks.

Behandlingsansvarliges instrukser

Underleverandørene skal:

Kun behandle personopplysninger etter skriftlig instruks fra FRAMTID TECH AS
Iverksette egnede tekniske og organisatoriske sikkerhetstiltak (GDPR artikkel 32)
Ikke benytte personopplysningene til egne formål (f.eks. treningsdata) uten samtykke
Varsle FRAMTID TECH AS uten ugrunnet opphold ved mistanke om sikkerhetsbrudd
Slette eller returnere alle personopplysninger ved avslutning av avtalen
Gi FRAMTID TECH AS tilgang til dokumentasjon og revisjoner

Lagringstid

Vi følger prinsippet om dataminimering — data oppbevares ikke lenger enn nødvendig for formålet. Konkret retensjon per datakategori:

Datakategori	Lagringstid	Begrunnelse
Aktiv konto	Så lenge kontoen er aktiv	Nødvendig for å levere tjenesten
Slettet konto — alle data	Slettes umiddelbart ved kontosletting; gjenværende rester i sikkerhetskopier ryddes innen 90 dager	Sikkerhetskopier rulleres rullerende — kontoen er funksjonelt borte med en gang
Innholdsdata (innlegg, idéer, statistikk)	Hele kontolevetiden + 90 dager	Brukeren forventer tilgang til egen historikk
Publiseringshistorikk for analyse	Inntil 2 år (eller hele kontolevetiden)	Tjenesten leverer historisk statistikk og rapporter
Logger (innlogging, AI-bruk, system)	12 måneder	Sikkerhet og feilsøking
Regnskapsdata (faktura, betaling)	5 år	Lovpålagt — norsk bokføringslov
Cookie-/personvernsamtykker	5 år	Dokumentasjonsplikt for lovlig grunnlag
Data hos bundle.social	Statistikk 30 dager · webhook-events 7 dager · slettede uploads 7 dager	Bundle.social sin egen retensjon — vi synkroniserer inn i vår database for lengre historikk
OAuth-tokens hos bundle.social	Til kunden kobler fra plattformen	Slettes umiddelbart ved frakobling eller kontosletting

Brukeren kan på eget initiativ be om sletting av personopplysninger før de utløpte fristene, med unntak av regnskapsdata som vi er lovpålagt å oppbevare.

Den registrertes rettigheter

Brukere av Somify har følgende rettigheter i henhold til GDPR:

Innsyn: Rett til å få vite hvilke opplysninger vi har om deg
Retting: Rett til å korrigere feilaktige opplysninger
Sletting: Rett til å få slettet opplysninger («rett til å bli glemt»)
Begrensning: Rett til å begrense behandlingen
Dataportabilitet: Rett til å motta data i maskinlesbart format
Innsigelse: Rett til å protestere mot behandlingen

Send forespørsler til: hei@framtidtech.no

Du kan også klage til Datatilsynet.

Kontakt

FRAMTID TECH AS

Org.nr. 837 596 092

Luhrtoppen 2, 1470 LØRENSKOG

E-post: hei@framtidtech.no

Databehandleravtale