top of page

Hugo People

Databehandleravtale Hugo People

1. Parter

Denne databehandleravtalen («Avtalen») inngås mellom:

Behandlingsansvarlig: Virksomheten som benytter Hugo People («Kunden») og

Databehandler: Hugo AS, org.nr. 934 055 659, heretter «Hugo People»

Avtalen regulerer Hugo AS sin behandling av personopplysninger på vegne av Kunden i henhold til personvernforordningen (GDPR) artikkel 28, og utgjør en integrert del av tjenesteavtalen mellom partene.

2. Formål med behandlingen

Databehandler behandler personopplysninger utelukkende for å levere tjenesten Hugo People, herunder:

  • kandidatdialog og AI-assistert screening

  • referanseinnhenting og -analyse

  • strukturering og oppsummering av informasjon fra samtaler

  • administrasjon av rekrutteringsprosesser

  • beslutningsstøtte til rekrutterer

 

Behandlingen skjer kun etter dokumenterte instruksjoner fra Kunden. Hugo People tar ingen automatiserte ansettelsesbeslutninger. AI-funksjonalitet brukes utelukkende som beslutningsstøtte, og endelige vurderinger og beslutninger gjøres alltid av mennesker, i tråd med kravene i EUs AI Act for høyrisiko-applikasjoner.

3. Kategorier av registrerte og personopplysninger

Behandlingen kan omfatte følgende opplysninger:

 

Kandidater:

  • navn og kontaktinformasjon

  • CV, søknadsinformasjon og arbeidshistorikk

  • informasjon delt i AI-samtaler

  • sammendrag og vurderinger generert av systemet

 

Referanser:

  • navn og kontaktinformasjon

  • relasjon til kandidaten

  • svar og vurderinger gitt i referansesamtaler

 

Brukere hos Kunden:

  • navn og e-postadresse

  • rolle og tilgangsnivå i systemet

 

Behandlingen omfatter ikke særlige kategorier av personopplysninger etter GDPR artikkel 9, med mindre Kunden eksplisitt instruerer om dette og sikrer nødvendig behandlingsgrunnlag.

4. Roller og ansvar

Kunden er behandlingsansvarlig og har ansvar for:

  • å sikre gyldig behandlingsgrunnlag for alle personopplysninger som legges inn i systemet

  • å informere registrerte om behandlingen i tråd med GDPR artikkel 13 og 14

  • å sikre at bruk av Hugo People er i samsvar med gjeldende regelverk, herunder GDPR og EUs AI Act

 

Hugo AS er databehandler og handler kun etter instruks fra Kunden, med unntak av der lovpålagte forpliktelser krever annen behandling.

5. Databehandlers plikter

Hugo AS forplikter seg til å:

  • behandle personopplysninger kun etter dokumenterte instruksjoner fra Kunden

  • sikre at alle med tilgang til personopplysningene er underlagt taushetsplikt

  • implementere egnede tekniske og organisatoriske sikkerhetstiltak i tråd med GDPR artikkel 32

  • bistå Kunden med å oppfylle registrertes rettigheter (innsyn, retting, sletting, dataportabilitet, begrensning)

  • bistå Kunden med gjennomføring av personvernkonsekvensvurderinger (DPIA) der det er relevant

  • varsle Kunden uten ugrunnet opphold, og senest innen 48 timer, etter å ha blitt kjent med et mistenkt eller bekreftet brudd på personopplysningssikkerheten, jf. GDPR artikkel 33(2)

  • på forespørsel gjøre tilgjengelig all informasjon som er nødvendig for å dokumentere etterlevelse av denne avtalen

  • ved avtalens opphør slette eller tilbakelevere alle personopplysninger etter Kundens valg, med mindre annet følger av lov

 

6. Internasjonale overføringer

All datalagring og applikasjonsdrift skjer innenfor EU/EØS på Microsoft Azure i Norge og Sverige.

AI-prosessering skjer via OpenAI på Microsoft Azure i USA. Overføringen er regulert gjennom Standard Contractual Clauses (SCCs) i henhold til GDPR artikkel 46(2)(c). Data som behandles gjennom AI-funksjonalitet brukes ikke til trening av OpenAIs eller Microsofts modeller.

7. Underdatabehandlere og sikkerhetstiltak

Hugo AS implementerer egnede tekniske og organisatoriske tiltak for å beskytte personopplysninger mot uautorisert tilgang, tap, endring og ulovlig behandling, jf. GDPR artikkel 32.

Teknisk arkitektur, sikkerhetstiltak og oppdatert liste over underdatabehandlere finnes her:
https://www.hugopeople.no/teknologi-og-sikkerhet

8. Lagring og sletting

Samtalesammendrag lagres i utgangspunktet i tre måneder fra gjennomført samtale. Lagringstiden kan justeres i dialog med Kunden basert på deres behov og krav. Øvrige personopplysninger behandles så lenge det er nødvendig for å levere tjenesten, eller i henhold til Kundens instruksjon.

Ved oppsigelse av tjenesteavtalen slettes alle personopplysninger innen 30 dager, med mindre Kunden ber om eksport før slettefristen. Eksport eller sletting kan initieres ved henvendelse til support@hugopeople.no.

9. Revisjon og kontroll

Kunden har rett til å gjennomføre, eller la en uavhengig tredjepart gjennomføre, revisjoner og sikkerhetsgjennomganger for å verifisere Hugo AS sin etterlevelse av denne avtalen.

Slike revisjoner skal gjennomføres under følgende betingelser:

  • skriftlig varsel med minimum 30 dagers frist

  • omfang og metode avtales på forhånd

  • gjennomføringen skal ikke kompromittere sikkerhet, tilgjengelighet eller andre kunders konfidensialitet

  • resultatene behandles som konfidensielle av begge parter

  • maksimalt én revisjon per 12 måneder, med mindre særlige hendelser tilsier noe annet

 

Oppsummering av penetrasjonstestresultater kan deles med Kunden under forutsetning av konfidensialitetsavtale.

10. Varighet og opphør

Denne databehandleravtalen gjelder så lenge Hugo AS behandler personopplysninger på vegne av Kunden, og opphører automatisk ved avslutning av tjenesteavtalen.Øvrige kommersielle vilkår, herunder lovvalg og tvister, følger av tjenesteavtalen mellom partene.

Sist oppdatert: 22.05.2026

bottom of page