Databehandleravtale
Sist oppdatert: 16. juli 2026
Denne databehandleravtalen («avtalen») inngås mellom kunden som behandlingsansvarlig og Eksire AS, org.nr 821 482 372, som databehandler, og utgjør en integrert del av vilkårene for bruk. Den regulerer Myntos behandling av personopplysninger på vegne av kunden etter personvernforordningen (GDPR) artikkel 28.
1. Roller og formål
Kunden er behandlingsansvarlig for personopplysninger som legges inn i eller hentes til tjenesten på kundens vegne. Mynto behandler opplysningene kun for å levere regnskapstjenesten slik den er beskrevet i vilkårene: bokføring, fakturering, lønnskjøring, rapportering og innsending til offentlige myndigheter etter kundens godkjenning.
2. Behandlingens art og kategorier
Behandlingen omfatter lagring, strukturering, analyse og overføring av regnskapsdata. Registrerte er kundens ansatte, kunder, leverandører og kontaktpersoner. Opplysningskategorier omfatter navn og kontaktinformasjon, fødselsnummer (for ansatte i lønnsmodulen), lønns- og skatteopplysninger, arbeidsforhold, bankkontonumre og transaksjonsdata samt opplysninger i bilag og fakturaer.
3. Instrukser
Mynto behandler personopplysninger kun etter dokumenterte instrukser fra kunden — vilkårene, denne avtalen og handlingene kunden utfører i tjenesten utgjør instruksene. Mynto varsler kunden hvis en instruks etter Myntos syn er i strid med personvernregelverket.
4. Konfidensialitet og sikkerhet
Mynto sikrer at personer med tilgang til opplysningene er underlagt taushetsplikt, og gjennomfører tekniske og organisatoriske tiltak etter GDPR artikkel 32, herunder kryptering under overføring og lagring, tilgangsstyring, sporbar endringslogg og sletteforbud på bokført materiale.
5. Underdatabehandlere
Kunden gir generell forhåndsgodkjenning til at Mynto bruker underdatabehandlere for drift av tjenesten. En oppdatert liste med navn, formål, lokasjon og overføringsgrunnlag for hver underdatabehandler er til enhver tid tilgjengelig på mynto.no/underdatabehandlere. Mynto velger kun underdatabehandlere som kan dokumentere tekniske og organisatoriske tiltak minst på nivå med denne avtalen, lagring innenfor EØS eller gyldig overføringsgrunnlag etter GDPR kapittel V, og skriftlige forpliktelser som svarer til Myntos egne. Ved tillegg eller utskifting av underdatabehandler varsler Mynto kunden minst 30 dager før endringen trer i kraft. Kunden kan innen fristen motsette seg endringen skriftlig til personvern@mynto.no. Blir parten ikke enige innen 30 dager etter innsigelsen, kan kunden si opp den berørte delen av tjenesten vederlagsfritt med virkning fra endringstidspunktet. Innsigelse mottas ikke innen fristen regnes som godkjenning. Mynto pålegger underdatabehandlere de samme forpliktelsene som i denne avtalen og er fullt ansvarlig for deres behandling.
6. Bistand
Mynto bistår kunden, i den grad det er mulig, med å besvare henvendelser fra registrerte om innsyn, retting, sletting og portabilitet, og med kundens forpliktelser knyttet til sikkerhet, brudd på personopplysningssikkerheten, konsekvensvurderinger og forhåndsdrøfting. Mynto varsler kunden uten ugrunnet opphold etter å ha fått kjennskap til brudd på personopplysningssikkerheten.
7. Overføring til tredjeland
Personopplysninger lagres i EU/EØS. Eventuell overføring til land utenfor EØS skjer kun med gyldig overføringsgrunnlag etter GDPR kapittel V, for eksempel EU-kommisjonens standardpersonvernbestemmelser (SCC) eller en adekvansbeslutning.
8. Sletting og tilbakelevering
Ved avslutning av kundeforholdet kan kunden eksportere et komplett arkiv (SAF-T og alle bilag) fra tjenesten i 90 dager. Deretter sletter Mynto alle personopplysninger som behandles på kundens vegne, med mindre lovgivning pålegger Mynto videre lagring.
9. Revisjon og varighet
Mynto stiller til rådighet informasjonen som er nødvendig for å påvise at forpliktelsene i denne avtalen overholdes, og muliggjør revisjoner gjennomført av kunden eller en uavhengig tredjepart, mot rimelig varsel og uten unødig forstyrrelse av driften. Avtalen gjelder så lenge Mynto behandler personopplysninger på kundens vegne.
10. Endringer i avtalen
Denne avtalen er kundens instruks til Mynto. Mynto kan derfor ikke ensidig endre hva behandlingen omfatter: endringer i formål, kategorier personopplysninger eller registrerte, overføringsgrunnlag ut av EØS, sletteregler eller kundens revisjonsrett krever kundens uttrykkelige godkjenning, og tas i bruk først når den er gitt. Endringer som ikke berører instruksen — presiseringer, oppdatert kontaktinformasjon, oppdaterte lovhenvisninger og sikkerhetstiltak som styrkes — kan Mynto gjennomføre med varsel. Hver utgave av avtalen har et versjonsnummer, og Mynto registrerer hvilken versjon kunden har godtatt, av hvem og når. Endring av underdatabehandlere følger § 5.