1. Behandlingsansvarlig
[Børsan AS], org.nr. [000 000 000], [Gateadresse, postnr sted], er behandlingsansvarlig for opplysningene beskrevet i punkt 3 og 4. Kontakt: personvern@signapi.no.
Når våre bedriftskunder bruker tjenesten til å sende ut og signere egne dokumenter, er kunden behandlingsansvarlig for personopplysningene i dokumentene og om signaturpartene, mens vi er databehandler. Denne behandlingen er regulert i vår databehandleravtale.
2. Hvilke roller har vi?
- Behandlingsansvarlig for: kontoopplysninger om brukere av tjenesten, fakturering, drift og sikkerhetslogger, samt besøk på nettsidene våre.
- Databehandler for: innholdet i dokumenter kundene sender til signering, opplysninger om signaturparter, og signaturbevis – på vegne av kunden som har opprettet avtalen.
3. Opplysninger vi behandler – og hvorfor
3.1 Brukere av tjenesten (våre kunder)
- Konto og team: navn, e-postadresse, teamtilhørighet og rolle. Grunnlag: avtale med deg (GDPR art. 6 nr. 1 b).
- Betaling: abonnementsplan og betalingsreferanser (kortdata lagres hos Stripe, aldri hos oss). Grunnlag: avtale og rettslig forpliktelse (bokføringsloven).
- Drift og sikkerhet: tekniske logger. Grunnlag: berettiget interesse i å drifte en sikker tjeneste (art. 6 nr. 1 f).
3.2 Signaturparter (deg som mottar et dokument til signering)
- Kontaktopplysninger: navn, e-postadresse og/eller telefonnummer, oppgitt av avsenderen, brukes til å sende deg signeringslenken og bekreftelser.
- Dokumentinnhold: opplysningene avsenderen har fylt inn i dokumentet (f.eks. lønn og stilling i en arbeidsavtale).
- Signaturbevis: ved signering lagrer vi signaturen (tegnet, skrevet eller BankID-bekreftet navn), tidspunkt, IP-adresse og nettleserinformasjon. Formålet er å kunne dokumentere at signeringen fant sted og av hvem. Grunnlag: avsenderens berettigede interesse i etterprøvbare avtaler og avtaleinngåelsen selv.
- BankID: velger du å signere med BankID, mottar vi bekreftet navn og en teknisk referanse fra Signicat. Fødselsnummer lagres ikke hos oss.
For disse opplysningene er det normalt avsenderen (f.eks. arbeidsgiveren eller selskapet du inngår avtale med) som er behandlingsansvarlig. Henvendelser om innsyn eller sletting kan rettes til avsenderen eller til oss – vi videreformidler ved behov.
3.3 Besøkende på nettsidene
Vi bruker kun strengt nødvendige informasjonskapsler (innloggingsøkt og sikkerhet). Vi bruker ikke analyse- eller markedsføringscookies, og viser derfor ikke cookie-banner. Endres dette, vil vi innhente samtykke først.
4. Hvem vi deler opplysninger med
Vi selger aldri personopplysninger. Opplysninger deles kun med underleverandører som er nødvendige for å levere tjenesten (databehandlere for oss, eller underdatabehandlere når vi opptrer som databehandler):
| Leverandør | Formål | Sted | Overføringsgrunnlag |
|---|---|---|---|
| Supabase Inc. | Database, autentisering og lagring av avtaler, maler og signaturer | EU (datasenter-region valgt ved oppsett) | EUs standardkontrakter (SCC) / EU-US Data Privacy Framework |
| Vercel Inc. | Drift og hosting av applikasjonen | USA/EU | EU-US Data Privacy Framework og SCC |
| Resend (Plus Five Five Inc.) | Utsendelse av e-post (signeringslenker, påminnelser, bekreftelser) | EU (Irland, eu-west-1) | EU-US Data Privacy Framework og SCC |
| Twilio Inc. | Utsendelse av SMS med signeringslenker (når aktivert) | USA | EU-US Data Privacy Framework og SCC |
| Stripe Inc. | Betalingsbehandling for abonnement (når aktivert) | USA/EU | EU-US Data Privacy Framework og SCC |
| Signicat AS | Identitetsbekreftelse og signering med BankID (når aktivert) | Norge/EU | Behandles innenfor EØS |
Ved overføring til land utenfor EØS benyttes EU-kommisjonens standardkontrakter (SCC) eller EU-US Data Privacy Framework.
5. Lagringstid
- Signerte dokumenter og signaturbevis lagres så lenge kunden (avsenderen) har et aktivt kundeforhold og bestemmer noe annet, siden bevisverdien er hele formålet med tjenesten.
- Kontoopplysninger slettes eller anonymiseres uten ugrunnet opphold etter at kundeforholdet avsluttes, med unntak av det bokføringsloven krever oppbevart (normalt 5 år).
- Tekniske logger slettes løpende, normalt innen 90 dager.
6. Dine rettigheter
Du har rett til innsyn, retting, sletting, begrensning, dataportabilitet og til å protestere mot behandling basert på berettiget interesse. Kontakt personvern@signapi.no, så svarer vi innen 30 dager. Du kan også klage til Datatilsynet.
7. Sikkerhet
Vi benytter blant annet: kryptert kommunikasjon (TLS), kryptering av data i hvile, radnivå-tilgangskontroll i databasen slik at hver kunde kun ser egne data, hemmelige og unike signeringslenker per part, tilgangsstyring og logging. Ved brudd på personopplysningssikkerheten varsler vi Datatilsynet innen 72 timer der det er krav om det, og berørte kunder uten ugrunnet opphold.
8. Endringer
Vi kan oppdatere denne erklæringen ved behov. Vesentlige endringer varsles i tjenesten eller på e-post. Datoen øverst viser siste versjon.
Spørsmål om dokumentet? Kontakt oss på personvern@signapi.no.