Copyright © Pholio AS

Databehandleravtale (DPA) Eiendomsmegler

Oppdatert 22.06.2026

1 - Parter

Behandlingsansvarlig

Eiendomsmeglerforetak eller eiendomsmegler som benytter tjenester levert av Pholio AS, enten direkte eller indirekte via fotograf eller annet mellomledd («Behandlingsansvarlig»).

og

Databehandler

Pholio AS
Organisasjonsnummer: 925 532 444
Adresse: Mellomila 85B, 7018 Trondheim
E-post: privacy@pholio.no

Pholio AS omtales i det følgende som «Databehandler».

2 - Formål og bakgrunn

Formålet med denne Avtalen er å regulere Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig i forbindelse med bruk av Pholio-plattformen og tilknyttede tjenester.

Avtalen skal sikre at personopplysninger behandles i samsvar med:

  • personvernforordningen (GDPR)
  • personopplysningsloven
  • annen relevant personvernlovgivning

Avtalen skal sikre at personopplysninger behandles:

  • konfidensielt
  • sikkert
  • i samsvar med gjeldende regelverk

Databehandler behandler kun personopplysninger på vegne av Behandlingsansvarlig innenfor rammen av tjenestene som leveres av Pholio. Avtalen omfatter ikke behandling Behandlingsansvarlig utfører i egne systemer, egne arkiver eller hos andre leverandører.

3 - Definisjoner

Begreper brukt i denne Avtalen skal forstås i samsvar med definisjonene i GDPR.

Dette inkluderer blant annet:

  • personopplysninger
  • behandling
  • registrert
  • behandlingsansvarlig
  • databehandler
  • underdatabehandler
  • brudd på personopplysningssikkerheten

4 - Behandlingens formål og karakter

Databehandler behandler personopplysninger for å levere digitale tjenester knyttet til:

  • ordre- og oppdragsadministrasjon
  • koordinering mellom eiendomsmegler, fotograf og andre samarbeidspartnere
  • kundedialog og varslinger
  • levering, lagring og tilgjengeliggjøring av bilder, mediefiler og annet oppdragsmateriale
  • fakturagrunnlag og rapportering
  • drift, vedlikehold, feilretting og support
  • sikkerhet, logging og misbruksforebygging

Behandlingen kan blant annet omfatte innsamling, registrering, strukturering, lagring, tilgjengeliggjøring, bruk, overføring, sletting og annen behandling som er nødvendig for å levere tjenestene.

Databehandler skal kun behandle personopplysninger etter dokumenterte instrukser fra Behandlingsansvarlig, med mindre annet følger av gjeldende lovgivning.

5 - Kategorier av registrerte og personopplysninger

Registrerte

Behandlingen kan omfatte personopplysninger om:

  • ansatte og brukere hos Behandlingsansvarlig
  • boligselgere
  • fotografer og andre samarbeidspartnere
  • andre personer som inngår i oppdrag administrert gjennom Pholio-plattformen

Personopplysninger

Behandlingen kan omfatte:

  • navn
  • adresse og eiendomsinformasjon
  • telefonnummer
  • e-postadresse
  • oppdragsinformasjon
  • brukerkontoinformasjon
  • kommunikasjon mellom involverte parter i oppdraget
  • bilder, mediefiler, kommentarer og filvedlegg
  • fakturainformasjon og betalingsgrunnlag
  • metadata knyttet til bilder, leveranser og oppdrag
  • logger, teknisk informasjon og supporthistorikk

Behandlingsansvarlig skal ikke laste opp eller overføre særlige kategorier personopplysninger, personopplysninger om straffedommer eller lovovertredelser, eller andre unødvendige sensitive opplysninger, med mindre dette er særskilt avtalt og nødvendig for tjenesten.

6 - Behandlingsansvarliges ansvar

Behandlingsansvarlig er ansvarlig for å sikre at:

  • behandlingen har gyldig behandlingsgrunnlag
  • registrerte er informert i henhold til lovverket
  • personopplysningene behandles lovlig
  • personopplysningene som legges inn i Pholio er relevante og nødvendige
  • instrukser til Databehandler er lovlige

Dersom Behandlingsansvarlig bruker Pholio via fotograf eller annen tredjepart, er Behandlingsansvarlig fortsatt ansvarlig for egne behandlingsgrunnlag, informasjon til registrerte og lovlige instrukser.

7 - Databehandlers forpliktelser

Databehandler skal:

  • kun behandle personopplysninger etter dokumenterte instrukser fra Behandlingsansvarlig
  • sikre konfidensialitet
  • implementere passende tekniske og organisatoriske sikkerhetstiltak
  • bistå Behandlingsansvarlig ved behov
  • varsle ved sikkerhetshendelser
  • sikre at personer med tilgang er underlagt taushetsplikt
  • føre oversikt over behandlinger utført på vegne av Behandlingsansvarlig der lovgivningen krever dette

Databehandler skal ikke benytte personopplysninger til egne formål.

8 - Konfidensialitet

Databehandler skal sikre at:

  • personopplysninger behandles konfidensielt
  • tilgang begrenses til personer med tjenstlig behov
  • ansatte, innleide og relevante samarbeidspartnere er underlagt taushetsplikt eller tilsvarende lovpålagt konfidensialitet

Konfidensialitetsforpliktelsen gjelder også etter Avtalens opphør.

9 - Informasjonssikkerhet

Databehandler skal etablere og vedlikeholde egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er tilpasset risikoen ved behandlingen, jf. GDPR artikkel 32.

Tiltakene skal bidra til å sikre:

  • konfidensialitet
  • integritet
  • tilgjengelighet
  • robusthet i systemer og tjenester
  • evne til å gjenopprette tilgjengelighet ved hendelser

Tiltak kan blant annet inkludere tilgangsstyring, rollebasert tilgang, autentiseringsmekanismer, multifaktorautentisering for administrative tilganger der relevant, logging, backup-rutiner, sikkerhetsoppfølging av leverandører, rutiner for håndtering av sikkerhetshendelser og intern opplæring.

Nærmere beskrivelse av tekniske og organisatoriske tiltak fremgår av vedlegg.

10 - Sikkerhetshendelser

Databehandler skal varsle Behandlingsansvarlig uten ugrunnet opphold dersom Databehandler blir kjent med brudd på personopplysningssikkerheten.

Varslingen skal, så langt det er mulig, inneholde:

  • beskrivelse av hendelsen
  • berørte kategorier av personopplysninger
  • omfang
  • sannsynlige konsekvenser
  • iverksatte eller planlagte tiltak

Databehandler skal bistå Behandlingsansvarlig med nødvendig informasjon for å vurdere eventuell varsling til Datatilsynet eller registrerte.

11 - Registrertes rettigheter

Databehandler skal, så langt det er mulig og relevant, bistå Behandlingsansvarlig ved håndtering av:

  • innsyn
  • retting
  • sletting
  • begrensning av behandling
  • dataportabilitet
  • innsigelser
  • andre rettigheter etter GDPR

Dersom Databehandler mottar forespørsler direkte fra registrerte, skal disse normalt videresendes til Behandlingsansvarlig uten ugrunnet opphold.

12 - Bistand og samarbeid

Databehandler skal gi rimelig bistand til Behandlingsansvarlig ved oppfyllelse av plikter etter GDPR, herunder ved:

  • konsekvensvurderinger (DPIA)
  • forhåndsdrøftelser med tilsynsmyndigheter
  • håndtering av registrertes rettigheter
  • dokumentasjon av etterlevelse

Bistand som går ut over det som er nødvendig for ordinær drift og support, kan faktureres etter gjeldende avtale eller etter nærmere avtale mellom partene.

13 - Underdatabehandlere

Behandlingsansvarlig gir generell forhåndsgodkjenning til bruk av underdatabehandlere.

Databehandler skal:

  • inngå nødvendige avtaler med underdatabehandlere
  • sikre at underdatabehandlere pålegges personvernforpliktelser som i det vesentlige tilsvarer denne Avtalen
  • føre oppdatert oversikt over sentrale underdatabehandlere

Oppdatert oversikt over sentrale underdatabehandlere gjøres tilgjengelig via Pholios nettsider eller annen egnet kanal.

Se vår oversikt over sentrale underdatabehandlere og tredjepartsleverandører.

14 - Overføring til tredjeland

Ved overføring av personopplysninger utenfor EU/EØS skal Databehandler sikre gyldig overføringsgrunnlag.

Dette kan omfatte:

  • EUs standard personvernbestemmelser (SCC)
  • EU-U.S. Data Privacy Framework der relevant
  • andre gyldige mekanismer etter gjeldende regelverk

15 - AI og bruk av data

Personopplysninger som behandles på vegne av Behandlingsansvarlig skal ikke brukes til trening, forbedring eller utvikling av generelle kunstig intelligens-modeller uten uttrykkelig skriftlig samtykke fra Behandlingsansvarlig.

Databehandler kan benytte automatiserte verktøy, herunder AI-baserte funksjoner, som en del av tjenesteleveransen når dette skjer innenfor rammen av dokumenterte instrukser fra Behandlingsansvarlig, gjeldende avtaleverk og relevant personvernlovgivning.

Ved bruk av tredjeparts AI-tjenester skal Databehandler arbeide for å sikre passende sikkerhet, relevant avtaleverk, nødvendige overføringsgrunnlag og begrensning av tilgang til personopplysninger.

16 - Revisjon og dokumentasjon

Databehandler skal på forespørsel gjøre tilgjengelig rimelig dokumentasjon som er nødvendig for å vise etterlevelse av denne Avtalen.

Behandlingsansvarlig kan be om revisjon av Databehandlers relevante behandlinger og sikkerhetstiltak. Revisjoner skal varsles i rimelig tid og gjennomføres på en måte som ikke urimelig påvirker Databehandlers drift, sikkerhet eller øvrige kunder.

Databehandler kan kreve at revisjoner gjennomføres av en uavhengig tredjepart underlagt konfidensialitet.

17 - Sletting og tilbakelevering

Ved opphør av tjenesten skal personopplysninger slettes eller returneres etter Behandlingsansvarliges instruks innen rimelig tid, med mindre videre lagring følger av:

  • lovkrav
  • dokumenterte sikkerhetsbehov
  • etablerte backup- og gjenopprettingsrutiner

Der videre lagring er avtalt mellom partene, skal denne Avtalen fortsette å gjelde for de aktuelle personopplysningene så lenge de oppbevares av Databehandler.

Anonymiserte data kan beholdes til statistiske, sikkerhetsmessige, produktforbedrende og driftsmessige formål.

18 - Varighet

Avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig.

19 - Endringer

Databehandler kan oppdatere Avtalen ved endringer i lovverk, tjenester, behandlingsaktiviteter, sikkerhetstiltak eller underdatabehandlere.

Vesentlige endringer varsles på forhånd via egnet kanal.

20 - Ansvarsbegrensning

Databehandler er ikke ansvarlig for behandling som skjer utenfor Databehandlers kontroll, herunder Behandlingsansvarliges egne systemer, rutiner eller instrukser.

Ingen av partene skal være ansvarlig for indirekte tap med mindre annet følger av ufravikelig lovgivning.

Ansvarsbegrensninger gjelder ikke ved forsett, grov uaktsomhet eller brudd på ufravikelige personvernforpliktelser.

21 - Lovvalg og verneting

Avtalen reguleres av norsk rett.

Tvister skal søkes løst gjennom dialog. Dersom løsning ikke oppnås, kan tvisten bringes inn for ordinære norske domstoler med Trondheim tingrett som verneting.

22 - Kontaktinformasjon

Personvernrelaterte henvendelser kan rettes til:
privacy@pholio.no

Generelle henvendelser kan rettes til:
post@pholio.no

23 - Vedlegg

Følgende vedlegg inngår som en del av Avtalen:


Vedleggene kan oppdateres løpende når dette er nødvendig som følge av endringer i tjenesten, leverandører, sikkerhetstiltak eller gjeldende regelverk.

24 - Signatur og aksept

Ved bruk av tjenestene aksepterer Behandlingsansvarlig denne Avtalen.