BILAG C – BEHANDLING AV PERSONOPPLYSNINGER
BILAG C – BEHANDLING AV PERSONOPPLYSNINGER
1Innledning
Dette bilaget angir hovedprinsippene for behandling av Personopplysninger under, og utgjør en integrert del av, Avtalen.
Punkt 2 angir hovedprinsippene for behandling av Personopplysninger. Punktene 3 – 18 utgjør Databehandleravtalen mellom partene.
2Hovedprinsipper for behandling av personopplysninger
2.1Beskyttelse av Personopplysninger
LINK (som Databehandler) tar beskyttelse og sikkerhet for Personopplysninger alvorlig, og vil behandle slike opplysninger i samsvar med gjeldende Personvernlovgivning og Avtalen. For å kunne yte Tjenesten, vil LINK behandle Personopplysninger om Xxxxxxx og andre som har tilgang til Tjenesten. LINK kan utlevere Personopplysninger i den grad Avtalen åpner for det.
2.2Personvernerklæring
For mer informasjon om hvordan Personopplysninger vil behandles i relasjon til Tjenesten, henvises det til personvernerklæringen som er tilgjengelig her: xxxxx://xxx.xxxxxxxxxxxx.xxx/xxxxxxx/.
3Formålet med Databehandleravtalen
Formålet med Databehandleravtalen er å regulere rettigheter og plikter i henhold til gjeldende Personvernlovgivning i forbindelse med LINKs behandling av Personopplysninger på vegne av Behandlingsansvarlig.
Databehandleravtalen skal sikre at Personopplysninger behandles i samsvar med Personvernlovgivning og ikke benyttes på en lovstridig måte eller at uautoriserte parter får tilgang til Personopplysningene. I tilfelle av konflikt mellom denne Databehandleravtalen og Avtalen, skal denne Databehandleravtalen gå foran, med mindre noe annet er avtalt.
4Omfanget av behandlingen
4.1Generelt
Behandlingsansvarlig bestemmer formålet med behandlingen og hvilke hjelpemidler som skal benyttes.
XXXX, dennes Underleverandører og andre som på vegne av XXXX utfører oppdrag og har tilgang til Personopplysningene, skal behandle Personopplysningene kun på vegne av Behandlingsansvarlig og i henhold til Avtalen og Behandlingsansvarliges skriftlige instrukser, samt i henhold til denne Databehandleravtalen, med mindre noe annet fremgår i gjeldende lovgivning.
XXXX skal omgående underrette Behandlingsansvarlig dersom XXXX mener at en instruks er i strid med Xxxxxxxxxxxxxxxxxxxxxx.
4.2Omfanget av behandlingen
Databehandleravtalen gjelder LINKs behandling av Personopplysninger på vegne av Behandlingsansvarlig i forbindelse med LINKs leveranse av Tjenesten som nærmere beskrevet i Bilag B.
4.3Formålet med behandlingen
Karakteren og formålet med behandlingen er knyttet til levering av Tjenesten, som nærmere beskrevet i Bilag B.
4.4Kategorier av Personopplysninger og Registrerte
Behandlingen innebærer behandling av Personopplysninger om Behandlingsansvarliges sluttbrukere, kunder eller ansatte, avhengig av den Behandlingsansvarliges bruk av Tjenesten.
Behandlingen omfatter følgende kategorier av Personopplysninger, avhengig av den Behandlingsansvarliges konkrete bruk av Tjenesten:
Alminnelige Personopplysninger, herunder navn, kontaktopplysninger slik som e-postadresse, telefonnummer etc.
Spesielle kategorier av Personopplysninger, herunder opplysninger som avslører rasemessig eller etnisk opprinnelse, politisk oppfatning, religiøs- eller filosofisk overbevisning, fagforeningsmedlemskap og helseopplysninger.
Lokasjonsdata, herunder GPS- og Wifi-lokasjonsdata, samt lokasjonsdata hentet fra LINKs nettverk (som ikke er trafikkdata, som definert under).
Trafikkdata, herunder Personopplysninger som behandles i relasjon til formidling av kommunikasjon på et elektronisk kommunikasjonsnettverk eller fakturering av slike tjenester.
Opplysninger relatert til innholdet i kommunikasjon, slik som e-post, telefonsvar, SMS/MMS, nettleserdata etc.
5Behandlingsansvarliges plikter
Den Behandlingsansvarlige innestår for at Personopplysningene behandles for legitime og objektive formål, samt at LINK ikke behandler Personopplysninger i større omfang enn det som er nødvendig for å oppnå formålet.
Behandlingsansvarlig er ansvarlig for at det foreligger et gyldig rettslig grunnlag for behandlingen på tidspunktet Personopplysningene overføres til LINK, herunder at ethvert samtykke er informert, og avgitt eksplisitt, utvetydig og frivillig. På forespørsel fra LINK skal Behandlingsansvarlig skriftlig redegjøre for og/eller dokumentere det rettslige grunnlaget for behandlingen.
Behandlingsansvarlig innestår for at de Registrerte har mottatt tilstrekkelig informasjon om behandlingen av deres Personopplysninger.
Instruksjoner for behandling av Personopplysninger under denne Databehandleravtalen skal som hovedregel gis til LINK. Dersom Behandlingsansvarlig instruerer en Underleverandør oppnevnt i tråd med punkt 12 direkte, skal Behandlingsansvarlig umiddelbart informere LINK om dette. LINK kan ikke holdes ansvarlig for behandling utført av en Underleverandør som et resultat av instrukser mottatt direkte fra Behandlingsansvarlig, og som medfører et brudd på denne Databehandleravtalen, Avtalen eller Personvernlovgivning.
6Taushetsplikt
Punkt 18 (Konfidensialitet) i Bilag A gjelder tilsvarende.
7Sikkerhet
Sikkerhetskravene som gjelder for LINKs behandling av Personopplysninger er regulert i Bilag D.
8Tilgang til Personopplysninger og oppfyllelse av de registrertes rettigheter
Med mindre annet er avtalt eller følger av gjeldende lovgivning, skal Behandlingsansvarlig ha rett til å kreve tilgang til Personopplysninger som behandles av XXXX på vegne av Behandlingsansvarlig.
Dersom LINK eller Underleverandør mottar en forespørsel fra en Registrert om behandlingen av Personopplysninger, skal LINK videresende forespørselen til Behandlingsansvarlig, med mindre LINK etter gjeldende lovgivning eller i tråd med Behandlingsansvarliges instrukser selv er berettiget til å håndtere forespørselen.
LINK skal bistå Behandlingsansvarlig med å oppfylle Behandlingsansvarliges plikt til å svare på anmodninger som de Registrerte inngir for å utøve sine rettigheter fastsatt i Personvernlovgivningen, herunder retten til (i) innsyn, (ii) korrigering og (iii) sletting, (iv) begrensning eller å motsette seg en behandling, samt (v) til å få utlevert egne Personopplysninger i et strukturert, alminnelig anvendt og maskinleselig format (dataportabilitet). LINK skal kompenseres for slik bistand i tråd med XXXXx gjeldende priser, med mindre noe annet er avtalt.
9Annen bistand til behandlingsansvarlig
Dersom LINK eller en Underleverandør mottar en forespørsel fra relevant tilsynsmyndighet for innsyn i, eller informasjon om, registrerte Personopplysninger eller behandlingsaktiviteter omfattet av denne Databehandleravtalen, skal LINK varsle Behandlingsansvarlig om forespørselen, med mindre LINK etter gjeldende lovgivning eller i tråd med Behandlingsansvarliges instrukser selv er berettiget til å håndtere forespørselen.
Dersom Behandlingsansvarlig er forpliktet til å gjennomføre en vurdering av personvernkonsekvenser og/eller gjennomføre forhåndsdrøftelser med relevant tilsynsmyndighet i forbindelse med behandlingen av Personopplysninger under denne Databehandleravtalen, skal LINK bistå Behandlingsansvarlig. Behandlingsansvarlig skal dekke kostnader påført LINK som følge av slik bistand.
10Melding om sikkerhetsbrudd
XXXX skal underrette Behandlingsansvarlig uten ugrunnet opphold etter å ha fått kjennskap til et brudd på sikkerheten ved behandlingen av Personopplysninger ("Sikkerhetsbrudd"). Behandlingsansvarlig er ansvarlig for å melde Sikkerhetsbrudd til relevant tilsynsmyndighet.
Underretningen til Behandlingsansvarlig skal som et minimum beskrive (i) arten av Sikkerhetsbruddet, herunder, når det er mulig, kategoriene av og omtrentlig antall Registrerte og Personopplysninger som er berørt, (ii) de sannsynlige konsekvensene av Sikkerhetsbruddet, (iii) de tiltak som LINK har truffet eller foreslår å treffe for å håndtere Sikkerhetsbruddet, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av Sikkerhetsbruddet.
Dersom Behandlingsansvarlig er forpliktet til å underrette de Registrerte om Sikkerhetsbrudd, skal LINK bistå Behandlingsansvarlig med dette, herunder skaffe til veie, hvis tilgjengelig, nødvendig kontaktinformasjon til de Registrerte som er berørt. Behandlingsansvarlig skal dekke kostnadene knyttet til slik kommunikasjon med de Registrerte, med mindre Sikkerhetsbruddet skyldes forhold som LINK er ansvarlig for.
11Overføring
Overføring til Tredjeland kan bare skje etter godkjenning fra Behandlingsansvarlig som beskrevet i punkt 13 nedenfor, og ved bruk av EUs standardvilkår, eller basert på annet rettslig grunnlag for slik overføring eller utlevering.
12Bruk av underleverandører
Behandlingsansvarlig godkjenner at LINK kan engasjere en annen Underleverandør for å bistå i å yte Tjenesten og behandle Personopplysninger, såfremt LINK sikrer at;
LINKs forpliktelser som er fastsatt i Databehandleravtalen og Personvernlovgivningen pålegges Underleverandører gjennom en skriftlige avtale; og at
enhver Underleverandør gir tilstrekkelige garantier for at det blir gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i Personvernlovgivningen og Databehandleravtalen, samt gir Behandlingsansvarlig og relevant tilsynsmyndighet den tilgang og informasjon som er nødvendig for å verifisere slike garantier.
XXXX skal være fullt ut ansvarlig overfor Behandlingsansvarlig for at Underleverandører oppfyller sine forpliktelser.
13Prosedyre for bruk av underleverandørerkerhetsbrudd
XXXX skal til enhver tid ha en oppdatert liste med oversikt over navn og kontaktinformasjon til alle Underleverandører og steder Underleverandører behandler Personopplysninger på vegne av Behandlingsansvarlig. Listen er tilgjengelig her: xxxxx://xxx.xxxxxxxxxxxx.xxx/xxxx/. XXXX skal oppdatere listen for å reflektere enhver tilføyelse eller utskiftning av Underleverandører og varsle Behandlingsansvarlig senest 3 måneder før den dag Underleverandøren skal påbegynne behandlingen av Personopplysninger. Enhver innvending mot slike endringer må fremsetter til LINK innen 3 uker fra epostvarsling mottas eller nettsiden med oversikt over Underleverandører oppdateres. Dersom Behandlingsansvarlig motsetter seg endringen eller utskiftningen av en Underleverandør, kan LINK terminere Avtalen og Databehandleravtalen med 1 måneds varsel.
Ved å inngå denne Databehandleravtalen, gir Behandlingsansvarlig fullmakt til LINK til å inngå EUs standardvilkår på vegne av Behandlingsansvarlig, eller til å sikre annet rettslig grunnlag for Overføring til et Tredjeland for Underleverandør som er godkjent i henhold til ovennevnte prosedyre. XXXX skal på forespørsel gi Behandlingsansvarlig en kopi av slike EU standardvilkår eller en beskrivelse av annet rettslig grunnlag for Overføringen.
LINK skal yte rimelig bistand og dokumentasjon til bruk i den Behandlingsansvarliges selvstendige risikovurdering av bruken av Underleverandører eller Overføringen av Personopplysninger til et Tredjeland.
14Revisjoner
Behandlingsansvarlig og relevant tilsynsmyndighet har rett til å utføre revisjoner i henhold til punkt 14.2 i Bilag A.
15Varighet og opphør
Databehandleravtalen gjelder så lenge LINK behandler Personopplysninger på vegne av Behandlingsansvarlig.
Dersom LINK bryter Databehandleravtalen, kan Behandlingsansvarlig (i) pålegge LINK å stanse videre behandling av Personopplysninger med øyeblikkelig virkning, og/eller (ii) terminere Databehandleravtalen med øyeblikkelig virkning.
16Konsekvenser ved opphør
Ved opphør av Databehandleravtalen skal LINK, i tråd med Behandlingsansvarliges instrukser, enten slette eller returnere alle Personopplysningene til Behandlingsansvarlig, inkludert kopier og back-up, med mindre annet er fastsatt i gjeldende lovgivning.
XXXX skal skriftlig dokumentere overfor Behandlingsansvarlig at sletting har funnet sted i samsvar med Databehandleravtalen.
17Varsler og endringer
Alle varsler knyttet til Databehandleravtalen skal sendes skriftlig til e-postadressen angitt på Forsiden.
I tilfelle endringer i Personvernlovgivningen, dersom dom eller uttalelse fra kompetent myndighet eller annen autoritativ kilde medfører en endret tolkning av Personvernlovgivningen, eller dersom det gjøres endringer i leveransen av Tjenesten som krever endringer i Databehandleravtalen, skal partene samarbeide for å oppdatere Databehandleravtalen tilsvarende.
18Lovvalg og verneting
Punkt 27 i Bilag A gjelder tilsvarende.
***