Databehandleravtale (DPA)
Sist oppdatert: 15. juni 2026
1. Bakgrunn og formål
Behandlingsansvarlig bruker Nova til å levere trening og oppfølging til sine kunder. Databehandler behandler personopplysninger om Behandlingsansvarliges kunder utelukkende for å levere denne tjenesten, og kun etter Behandlingsansvarliges dokumenterte instrukser, som blant annet gis gjennom bruken av Nova sine funksjoner.
2. Behandlingens art, omfang og varighet
Behandlingen omfatter innsamling, lagring, organisering, visning, overføring og sletting av personopplysninger som er nødvendig for å levere treningsprogrammer, kommunikasjon, fremgangssporing, kosthold og betalinger. Behandlingen pågår så lenge Behandlingsansvarlig har en aktiv konto, eller til personopplysningene slettes etter punkt 8.
3. Kategorier av registrerte
Behandlingsansvarliges kunder og potensielle kunder (leads) som Behandlingsansvarlig legger inn i eller mottar gjennom Nova.
4. Typer personopplysninger
Identitets- og kontaktopplysninger (navn, e-post), treningsdata (programmer, logger, fremgang), meldinger, samt opplysninger som kunden selv deler. Behandlingen kan omfatte helseopplysninger (f.eks. vekt, puls, søvn, skritt, mål og kostholdsdata), som er særlige kategorier av personopplysninger etter GDPR artikkel 9. Behandlingsansvarlig er ansvarlig for å ha gyldig behandlingsgrunnlag, og om nødvendig uttrykkelig samtykke, for slike opplysninger.
5. Behandlingsansvarliges plikter
Behandlingsansvarlig skal ha et lovlig behandlingsgrunnlag, gi lovlige instrukser, og sikre nødvendig informasjon og eventuelt samtykke fra sine kunder. Behandlingsansvarlig bekrefter at instruksene som gis gjennom bruk av Nova er i samsvar med personvernregelverket.
6. Databehandlers plikter (art. 28 nr. 3)
Databehandler skal:
- bare behandle personopplysninger etter dokumenterte instrukser fra Behandlingsansvarlig;
- sikre at personer med tilgang til opplysningene har taushetsplikt;
- iverksette egnede tekniske og organisatoriske sikkerhetstiltak (se punkt 7);
- overholde vilkårene for bruk av underdatabehandlere (se punkt 9);
- så langt det er mulig, bistå Behandlingsansvarlig med å svare på henvendelser om registrertes rettigheter;
- bistå Behandlingsansvarlig med å oppfylle pliktene etter art. 32–36 (sikkerhet, avviksvarsling og vurderinger);
- slette eller tilbakelevere personopplysningene ved opphør (se punkt 8);
- gjøre tilgjengelig informasjon som er nødvendig for å vise at pliktene overholdes, og muliggjøre revisjon.
7. Sikkerhetstiltak (art. 32)
Databehandler benytter blant annet: kryptering under overføring (TLS 1.2+) og i ro, kryptering på applikasjonsnivå av særlig sensitive felter (notater, chat og inntaksskjema), tilgangsstyring og autentisering, lagring innenfor EU (Google Cloud, europe-west1), logging og sikkerhetskopier. Tiltakene vurderes og oppdateres løpende.
8. Sletting og tilbakelevering
Ved opphør av tjenesten sletter eller tilbakeleverer Databehandler personopplysningene etter Behandlingsansvarliges valg, med mindre lagring er lovpålagt (f.eks. regnskapsdata). Sletting kan også utløses av kunden selv eller Behandlingsansvarlig gjennom Nova.
9. Underdatabehandlere
Behandlingsansvarlig gir generell forhåndsgodkjenning til at Databehandler benytter underdatabehandlerne under. Databehandler vil varsle ved endringer slik at Behandlingsansvarlig kan protestere.
| Underdatabehandler | Formål | Lokasjon |
|---|---|---|
| Google Ireland Ltd. (Firebase / Google Cloud) | Autentisering, database, fillagring og serverfunksjoner | EU (europe-west1) |
| Stripe Payments Europe, Ltd. | Betalingsbehandling og utbetaling til trener | EU / EØS |
| Mailjet (Sinch / Mailjet SAS) | Utsending av transaksjonelle e-poster (varsler, bekreftelser, kvitteringer) | EU |
| Polar Electro Oy | Pulsdata, kun når kunden selv kobler til Polar | EU |
| Apple / Google (Helse på enheten) | Helse-integrasjon på kundens egen enhet, kun ved samtykke | På enheten |
10. Overføring utenfor EØS
Personopplysninger lagres som hovedregel innenfor EU/EØS. Ved en eventuell overføring til land utenfor EØS benyttes et gyldig overføringsgrunnlag, for eksempel EU-kommisjonens standard personvernbestemmelser (SCC).
11. Brudd på personopplysningssikkerheten
Databehandler varsler Behandlingsansvarlig uten ugrunnet opphold etter å ha blitt kjent med et brudd på personopplysningssikkerheten, og bistår med nødvendig informasjon.
12. Varighet, lovvalg og aksept
Avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig. Avtalen reguleres av norsk rett, med Salten og Lofoten tingrett som verneting. Avtalen anses inngått når du oppretter eller bruker en trenerkonto i Nova, som en del av Nova sine vilkår.
© 2026 Nova Fitness · Gruvman PT & Coaching (org.nr 915 079 954) · Bodø