1. Parter og formål

Denne databehandleravtalen (DPA) regulerer behandlingen av personopplysninger mellom Framtidmedia AS (org.nr. 930 324 787), Møllergata 6, 0179 Oslo («Behandlingsansvarlig») og de underleverandørene som er listet i punkt 4.

Avtalen inngås i henhold til EUs personvernforordning (GDPR) artikkel 28, og regulerer hva underleverandørene kan gjøre med personopplysninger de mottar på vegne av Framtidmedia AS.

2. Hvilke personopplysninger behandles?

Tjenesten Framtidmedia Sosial behandler følgende kategorier av personopplysninger:

Identitetsdata: Navn, e-postadresse, bedriftsnavn
Betalingsdata: Abonnementsstatus, faktureringsperiode (kortnummer lagres ikke hos oss)
Innholdsdata: Tekst og bilder som brukere genererer eller laster opp
Tilgangsdata: OAuth-tokens for sosiale medier (Instagram, LinkedIn, Facebook)
Bruksdata: Innloggingstidspunkt, publiseringshistorikk, AI-genereringslogg
Tekniske data: IP-adresse, nettlesertype (via Sentry ved feil)

3. Formål med behandlingen

Autentisering og brukerkontoforvaltning
AI-generering av innhold til sosiale medier
Automatisk publisering til tilkoblede plattformer
Betaling og abonnementhåndtering
Feilovervåkning og driftsikkerhet
Transaksjonsbasert e-postkommunikasjon

4. Underleverandører (underdatabehandlere)

Framtidmedia AS benytter følgende underleverandører. Alle er GDPR-kompatible og har egne DPA-er:

Leverandør	Formål	Land	DPA
Supabase Inc.	Database, autentisering, fillagring	USA (AWS eu-west-2)	supabase.com/legal/dpa
OpenAI LLC	AI-innholdsgenerering	USA	openai.com/enterprise-privacy
Stripe Inc.	Betalingsbehandling	USA (EU-server)	stripe.com/legal/dpa
Resend Inc.	Transaksjonsbasert e-post	USA	resend.com/legal/dpa
Vercel Inc.	Hosting og deployment	USA (EU edge)	vercel.com/legal/dpa
Sentry (Functional Software)	Feilovervåkning	USA	sentry.io/legal/dpa

Overføring til tredjeland (USA) skjer med grunnlag i EUs standardkontraktklausuler (SCC) og/eller EU-US Data Privacy Framework der aktuelt.

5. Behandlingsansvarliges instrukser

Underleverandørene skal:

Kun behandle personopplysninger etter skriftlig instruks fra Framtidmedia AS
Iverksette egnede tekniske og organisatoriske sikkerhetstiltak (GDPR artikkel 32)
Ikke benytte personopplysningene til egne formål (f.eks. treningsdata) uten samtykke
Varsle Framtidmedia AS uten ugrunnet opphold ved mistanke om sikkerhetsbrudd
Slette eller returnere alle personopplysninger ved avslutning av avtalen
Gi Framtidmedia AS tilgang til dokumentasjon og revisjoner

6. Lagringstid

Kontodata: Slettes innen 30 dager etter kontosletting
Innholdsdata: Slettes ved kontosletting eller på brukerens forespørsel
Betalingslogg: Oppbevares i 5 år i henhold til norsk regnskapslovgivning
Feillogger (Sentry): Slettes automatisk etter 90 dager

7. Den registrertes rettigheter

Brukere av Framtidmedia Sosial har følgende rettigheter i henhold til GDPR:

Innsyn: Rett til å få vite hvilke opplysninger vi har om deg
Retting: Rett til å korrigere feilaktige opplysninger
Sletting: Rett til å få slettet opplysninger («rett til å bli glemt»)
Begrensning: Rett til å begrense behandlingen
Dataportabilitet: Rett til å motta data i maskinlesbart format
Innsigelse: Rett til å protestere mot behandlingen

Send forespørsler til: hei@framtidmedia.no

Du kan også klage til Datatilsynet.

8. Kontakt

Framtidmedia AS

Org.nr. 930 324 787

Møllergata 6, 0179 Oslo

E-post: hei@framtidmedia.no

Databehandleravtale (DPA)