Databehandleravtale for Pendel
Databehandleravtale for Pendel
(Versjon 0.1 – Sist rev. 27.05.2020)
mellom
Org. nr. ("Behandlingsansvarlig")
og
BS Undervisning AS
Xxx.xx. 989639722
("Databehandler")
1. Avtalens hensikt
Denne avtalen ("Databehandleravtalen") gjelder for bruken av Pendel, og inngår som et vedlegg til avtalen mellom Behandlingsansvarlig og Databehandler om innkjøp av læremidler ("Hovedavtalen").
Databehandleravtalen regulerer partenes rettigheter og plikter knyttet til Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig i forbindelse med bruken av Pendel.
Databehandleravtalen skal sikre at personopplysninger behandles i samsvar med de til enhver tid gjeldende krav til behandling av personopplysninger i henhold til personopplysningsloven, inkludert Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personvernforordningen), samt lovens forskrifter.
Begreper og definisjoner benyttet i Databehandleravtalen skal forstås på samme måte som i personopplysningsloven, jf. personvernforordningen artikkel 4.
Vilkårene i denne avtalen går foran vilkår i andre avtaler inngått mellom Behandlingsansvarlig og Databehandler knyttet til Pendel.
Det inngås egne databehandleravtaler mellom Behandlingsansvarlig og innholdsprodusenter for produkter kjøpt via Pendel.
2. Formål og formålsbegrensning
Formålet med Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig, er å levere og administrere Pendel.
Nærmere angivelse av formålet med behandlingen, varigheten av behandlingen, behandlingens art, de typer personopplysninger som skal behandles og kategorier av registrerte følger av vedlegg 1 til Databehandleravtalen.
Personopplysninger som Databehandler behandler i Pendel vil ikke bli brukt til andre formål enn dette.
3. Behandlingsansvarliges rolle og ansvar
Den Behandlingsansvarlige har det overordnede, formelle ansvaret for at behandlingen av personopplysninger skjer i samsvar med gjeldende personvernregler. Behandlingsansvarlige skal i den forbindelse særskilt sørge for at:
i. Behandlingen av personopplysninger er formålsbestemt og basert på et tilstrekkelig rettslig grunnlag;
ii. De registrerte har mottatt nødvendig informasjon om behandlingen av personopplysningene;
iii. Behandlingsansvarlig har rett til å overføre personopplysningene til Databehandleren for behandling; og
iv. Databehandler til enhver tid har tilstrekkelige instrukser og informasjon for å oppfylle sine plikter i henhold til Databehandleravtalen og gjeldende personvernregler.
v. Eventuelle avvik meldes til Datatilsynet eller de registrerte i den grad det er påkrevd etter gjeldende regelverk.
vi. Besvare henvendelser fra de registrerte med hensyn til de registrertes rettigheter etter personvernforordningen
4. Databehandlers rolle
4.1. Databehandlers behandling av personopplysningene
Databehandleren skal kun behandle personopplysningene i den utstrekning det er nødvendig for å oppfylle Hovedavtalen, en forpliktelse pålagt etter lov eller dom/kjennelse eller en skriftlig instruks fra Behandlingsansvarlig.
4.2. Bistand til oppfyllelse av den Behandlingsansvarliges plikter
Databehandleren skal på forespørsel bistå Behandlingsansvarlig med oppfyllelse av de registrertes rettigheter etter personvernforordningens kapittel III gjennom egnede tekniske eller organisatoriske tiltak. Plikten til å bistå gjelder likevel bare i den utstrekning dette er mulig og hensiktsmessig sett hen til karakteren og omfanget av behandlingen av personopplysninger under Hovedavtalen.
Databehandler skal uten ugrunnet opphold videresende til Behandlingsansvarlig forespørsler som Databehandler mottar fra den registrerte som gjelder den registrertes rettigheter etter personopplysningsloven (så som krav om innsyn, retting, utlevering, klager mv.). Slike henvendelser kan kun besvares av Databehandler når dette er skriftlig godkjent av Behandlingsansvarlig.
Databehandleren skal bistå den Behandlingsansvarlige med å overholde kravene til personopplysningssikkerhet i personvernforordningens artikkel 32-36, herunder yte bistand ved personvernkonsekvensvurdering og rådførsel med Datatilsynet, sett hen til karakteren og omfanget av behandlingen av personopplysninger under Hovedavtalen.
Er Databehandleren av den oppfatning at en instruks fra den Behandlingsansvarlige er i strid med personvernforordningen, personopplysningsloven, eller annen regulering av behandling av personopplysninger, skal Databehandleren umiddelbart underrette den Behandlingsansvarlige om Databehandlerens oppfatning.
Hvis Databehandler på Behandlingsansvarliges forespørsel yter bistand som nevnt i dette punkt 4.2, og bistanden går ut over det som er strengt nødvendig for at partene skal oppfylle sine egne forpliktelser etter gjeldende personvernregler, kan Databehandler kreve betaling for rimelige kostnader i henhold til Databehandlers avtalte timepriser. Er det ikke avtalt timepriser, skal Databehandlers standard timepriser legges til grunn.
4.3. Protokollering
Databehandleren skal føre protokoll (logg) over behandlingsaktiviteter denne utfører på vegne av den Behandlingsansvarlige, som skal inneholde minimum den informasjon som er pålagt etter personvernforordningen artikkel 30 nr. 2.
4.4. Kontroll og revisjon
Databehandleren skal på forespørsel fra Behandlingsansvarlig, gjøre tilgjengelig for den Behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i
denne dette punkt 4 er oppfylt, samt muliggjøre og bidra til revisjoner, herunder inspeksjoner, som gjennomføres av Behandlingsansvarlig, revisor eller annen tredjepart på fullmakt fra den Behandlingsansvarlige. Behandlingsansvarlig skal selv dekke kostnadene ved slik revisjon/inspeksjon, og sørge for at vedkommende som utfører inspeksjonen har signert taushetserklæring eller er underlagt lovbestemt taushetsplikt. Sikkerhetsrevisjoner gjennomføres som beskrevet i punkt 6.
4.5. Taushetsplikt
Databehandleren har taushetsplikt om personopplysninger som vedkommende får tilgang til som en følge av Databehandleravtalen og behandling av personopplysningene, og skal sikre at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til å behandle opplysningene fortrolig eller er underlagt en egnet lovfestet taushetsplikt. Denne bestemmelsen gjelder også etter Databehandleravtalens opphør.
4.6. Utlevering av personopplysninger til tredjepart
De registrerte vil kunne ha tilgang til egne personopplysninger gjennom egen brukerkonto. Databehandleren skal ikke uten eksplisitt pålegg fra den Behandlingsansvarlige utlevere opplysninger eller informasjon som denne behandler for den Behandlingsansvarlige til tredjepart, med unntak for godkjente underleverandører.
5. Bruk av underleverandør
Databehandler benytter underleverandører for oppfyllelse av Hovedavtalen og denne Databehandleravtalen. Underleverandører som benyttes ved avtaleinngåelsen, er listet opp i Vedlegg 2 til Databehandleravtalen, og anses godkjent av Behandlingsansvarlig ved signering av Databehandleravtalen.
Vedlegg 2 skal oppdateres dersom det gjøres endringer i bruk av underleverandører, og være tilgjengelig for Behandlingsansvarlig i løsningen.
Hovedavtalen gir tilgang til en nettbasert innkjøpsløsning. Det er et stort antall kunder/brukere på samme plattform. Det betyr at den enkelte behandlingsansvarlige ikke kan underkjenne bruk av underleverandører. Det kan heller ikke legges opp til at de respektive behandlingsansvarlige må godkjenne enhver ny underleverandør som Databehandler benytter i avtaleperioden.
Behandlingsansvarlig gir derfor i tråd personvernforordningen Databehandleren en generell godkjennelse til å benytte nye underleverandører.
I de tilfeller Databehandleren har planer om å benytte nye underdatabehandlere, skal Databehandleren i god tid før planene gjennomføres underrette den Behandlingsansvarlige om planene og dermed gi den Behandlingsansvarlige muligheten, i tilfelle det ikke er ønskelig at den nye underleverandøren skal behandle Behandlingsansvarliges personopplysninger, til å kunne si opp Hovedavtalen før den aktuelle underdatabehandler benyttes. Slik oppsigelse må skje i tråd med Hovedavtalens vilkår for oppsigelse.
Databehandler er ansvarlig for at egen bruk av underleverandører skjer i samsvar med gjeldende personvernregler, herunder at det er inngått tilfredsstillende databehandleravtale.
Underleverandøren skal sikre at underleverandørene er kjent med Databehandlerens avtalemessige og lovmessige forpliktelser, og underleverandørene skal være forpliktet til å oppfylle vilkårene etter disse på samme måte som Databehandleren. Databehandleren er ansvarlig for at underleverandørene avgir tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller lovmessige krav.
Databehandler har fullt ansvar overfor Behandlingsansvarlig for at Databehandlerens underleverandører oppfyller sine forpliktelser.
6. Sikkerhet og avvik
Databehandleren bekrefter å ha gjennomført egnede tekniske og organisatoriske tiltak som sikrer at all behandling under denne Databehandleravtalen oppfyller kravene i personopplysningsloven og vern av den registrertes rettigheter, herunder innfrir alle kravene etter personvernforordningens artikkel 32.
Databehandler gjør jevnlig risikovurderinger av sikkerheten ved behandlingen av personopplysninger i Pendel. Databehandler vil dokumentere arbeidet med informasjonssikkerhet etter forespørsel fra Behandlingsansvarlig.
Databehandler vil holde personopplysninger fra ulike behandlingsansvarlige forsvarlig adskilt fra hverandre. Databehandler vil dokumentere dette på forespørsel fra Behandlingsansvarlig.
Databehandler vil loggføre all autorisert og forsøk på uautorisert bruk av personopplysninger i Pendel. Loggene oppbevares i 3 måneder, med mindre det er rettslig grunnlag for lengre oppbevaring. Behandlingsansvarlig vil på forespørsel få tilgang til loggene.
Kun ansatte hos Databehandler som har tjenstlige behov for tilgang til personopplysningene i Pendel, har slik tilgang. Databehandler vil dokumentere rutiner og retningslinjer for tilgangsstyring på forespørsel fra behandlingsansvarlig.
Databehandler vil jevnlig gjennomføre sikkerhetsrevisjoner av behandlingen av personopplysninger i Pendel. Behandlingsansvarlig vil på forespørsel kunne gis tilgang til oppsummeringer av revisjonsrapportene.
Behandlingsansvarlig kan én gang per år, og med minimum 30 dagers forhåndsvarsel, foreta sikkerhetsrevisjon hos Databehandler, ved bruk av uavhengig tredjepart underlagt taushetsplikt. Databehandler skal legge til rette for at slike sikkerhetsrevisjoner kan gjennomføres, ved å gjøre nødvendig dokumentasjon og fysiske lokaler tilgjengelig for. Slik revisjon kan inkludere, men er ikke begrenset til, gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak. Behandlingsansvarlig er ansvarlig for å dekke kostnadene til den som gjennomfører revisjonen, samt Databehandlers nødvendige kostnader og rimelige honorar for tilrettelegging og gjennomføring av slike sikkerhetsrevisjoner.
I tilfelle sikkerhets- eller personvernbrudd ("avvik"), skal Databehandleren varsle den Behandlingsansvarlige uten ugrunnet opphold. Melding om slikt avvik skal minimum inneholde:
i. Beskrivelse av arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall personopplysningsposter som er berørt,
ii. navnet på og kontaktopplysningene til personvernrådgiveren eller et annet kontaktpunkt der mer informasjon kan innhentes,
iii. beskrivelse av de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten,
iv. beskrivelse av de tiltak som er truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.
Dersom ikke alle opplysninger kan gis i første melding, skal opplysningene gis suksessivt så snart de foreligger.
Den Behandlingsansvarlige har som nevnt i punkt 2 ansvaret for å sende melding til tilsynsmyndighet, og Databehandler skal ikke sende slik melding eller kontakte tilsynsmyndighet uten at den Behandlingsansvarlige har gitt instruks om dette.
7. Overføring til tredjeland
Personopplysninger lagres i Norge og skal kun overføres til land utenfor EU/EØS ("tredjeland") etter instruks eller skriftlig godkjennelse fra den Behandlingsansvarlige. Samtykke og instruks må dekke hvilke land opplysningene skal kunne overføres til.
Overføring til tredjeland forutsetter, selv med samtykke og instruks, at de krav til sikkerhet og vern av de registrertes rettigheter som følger av personopplysningsloven og annet regelverk er ivaretatt.
8. Mislighold og sanksjoner
Dersom en part ikke overholder sine plikter i henhold til Databehandleravtalen, vil dette anses som mislighold som definert i Hovedavtalen med de plikter, frister og sanksjoner som følger av Hovedavtalens regulering av mislighold.
Ved Databehandlerens brudd på denne Databehandleravtalen, kan Behandlingsansvarlige pålegge Databehandleren å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.
9. Avtalens varighet og plikter ved opphør
Databehandleravtalen gjelder så lenge Databehandleren behandler eller har tilgang til personopplysninger på vegne av Behandlingsansvarlige etter Hovedavtalen.
Med mindre Behandlingsansvarlig gir skriftlig instruks om å slette personopplysningene tidligere, skal Databehandleren ved opphør av Databehandleravtalen beholde personopplysningene i inntil 30 dager. Dette for å gi Behandlingsansvarlig, eller de enkelte registrerte, anledning gjennom sin konto til å kunne eksportere personopplysningene. Databehandler skal ved Behandlingsansvarliges forespørsel være behjelpelig med å eksportere opplysningene mot ordinære satser. Etter at Behandlingsansvarlig har skriftlig bekreftet at opplysningene er eksportert og at de kan slettes, eller det har gått 30 dager siden Databehandleravtalens opphør, plikter Databehandleravtalens opphør å slette alle personopplysningene tilhørende Behandlingsansvarlige, inkludert alle eksisterende kopier, med mindre det er et lovmessig krav om at personopplysningene skal fortsatt lagres. Dette gjelder også for eventuelle sikkerhetskopier, men hvor det er tilstrekkelig med å overskrive etter de etablerte rutiner for sikkerhetskopiering.
Databehandler skal på forespørsel fra Behandlingsansvarlig skriftlig bekrefte og eventuelt dokumentere at sletting er foretatt i tråd med denne Databehandleravtalen.
10. Signering
Denne er avtalen er signert og utvekslet per epost mellom partene.
Dato og sted: | BS Undervisning AS Dato og sted: |
Sign: Navn: Stilling: | Navn: Stilling: |
Vedlegg 1: Formål med behandlingen, varighet og kategorier av personopplysninger og registrerte Vedlegg 2: Underdatabehandlere
Formålet med behandlingen
For å levere de tjenester som følger av Hovedavtalen om bruk av Pendel, og sikre at behandlingen av personopplysninger knyttet til ansatte, studenter, elever og andre ivaretas i tråd med gjeldende personvernregler.
Varigheten av behandlingen
Behandlingen gjelder fra Hovedavtalens inngåelse og varer inntil opplysningene slettes ved Hovedavtalens opphør som beskrevet i Databehandleravtalen.
Behandlingens art
Innsamling, lagring, rapportering og annet som er nødvendig for at tjenesten Pendel skal fungere optimalt og i tråd med Hovedavtalen.
Typer personopplysninger som skal behandles
• Navn og telefonnummer
• Brukernavn og e-postadresse
• Bruker-ID
• Produkt-, leverings- og betalingsopplysninger
• Organisasjonstilhørighet
• Utvidet personinformasjon, for eksempel telefonnummer og organisasjonsrolle (ansatt, student, elev, osv.)
• Gruppetilhørighet (emner, fag, studieretning, kull, klasse, faglærer)
• Hvilke nettjenester sluttbrukerne (de registrerte) har anvendt.
.
Kategorier av registrerte
Nåværende og tidligere ansatte, i tillegg til nåværende og tidligere elever/studenter på undervisningssteder underlagt Behandlingsansvarlig.
VEDLEGG 2
Underdatabehandlere ved inngåelse av Databehandleravtalen
Navn | Behandlingens type | Sted |
Convert Group AS | IT-drift av Pendel | Norge |