Databehandleravtale – Påmeldinger.no

Databehandleravtale – Xxxxxxxxxxx.xx

1 Formålet med denne Databehandleravtalen

1.1 Denne avtalen ("Databehandleravtalen») fastsetter XXXXXXXXXXX.XX AS, xxx.xx. 821 190 932 som Databehandleren sine rettigheter og plikter når Databehandleren behandler personopplysninger på vegne av Organisasjonen som Behandlingsansvarlige, som del av leveransene under Hovedavtalen. Databehandleravtalen har som formål å sikre at partene etterlever Xxxxxxxxx personvernregler.

1.2 Ved motstrid mellom Hovedavtalen og Databehandleravtalen, har Databehandleravtalen forrang når det gjelder forhold spesifikt knyttet til behandling av personopplysninger.

1.3 Databehandlerens Personvernsnerklæring inneholder nærmere beskrivelse av behandlingen som skal foretas. Herunder om behandlingsformål, kategorier av personopplysninger og registrerte, regler for sletting og tilbakelevering, samt Databehandlerens kontaktperson. Den til enhver tid gjeldende versjon av Databehandlerens Personvernserklæring er å finne på xxxxx://xxxxxxxxxxx.xx/xxxxxxxxxx.

2 Definisjoner

Gjeldende personvernregler: Den til enhver tid gjeldende versjon av EUs personvernforordning (2016/679) ("personvernforordningen"), samt lov om behandling av personopplysninger av 15.06. 2018 (personopplysningsloven) med tilhørende forskrifter mv., samt eventuell annen relevant lovgivning som gjelder behandling og vern av personopplysninger.

V2 – 20.08.2021 - Databehandleravtale

Hovedavtalen: Avtalen mellom Behandlingsansvarlig og Databehandler om levering av tjenester som innebærer behandling av personopplysninger.

Disse er: Vilkår for arrangører, hvis gjeldende utgave til enhver tid er å finne på: xxxxx://xxxxxxxxxxx.xx/xxxxxx-xxx-xxxxxxxx. Databehandleravtalen kan gjelde flere underliggende avtaler.

Underdatabehandler: Annen virksomhet som benyttes av Databehandler som underleverandør til behandling av personopplysninger under Hovedavtalen.

Organisasjonen: Den juristiske enheten som bruker Xxxxxxxxxxx.xx, eller på annen måte inngår er kundeforhold med Databehandleren.

1 av 6

Xxxxxxxxxxx.xx

Xxxxxxxxxxx.xx: Xxxxxxxxxxx.xx er et påmeldingssystem for konferanser, kurs, konserter og events. Systemet skal brukes til å registrere deltakere, behandler betalinger og verifisere deltakere.

For personvernbegreper som ikke er definert i denne Databehandleravtalen gjelder definisjonene i personvernforordningen artikkel 4.

3 Behandlingsansvarliges plikter og rettigheter

Behandlingsansvarlige har ansvaret for at behandlingen av personopplysninger skjer i samsvar med Gjeldende personvernregler. Behandlingsansvarlige skal i den forbindelse særskilt sørge for at:

i. behandlingen av personopplysninger er formålsbestemt og basert på et gyldig rettsgrunnlag;

ii. de registrerte har mottatt nødvendig informasjon om behandlingen av personopplysningene;

iii. Behandlingsansvarlig har gjennomført tilstrekkelige risikovurderinger; og

iv. Databehandler til enhver tid har tilstrekkelige instrukser og informasjon for å oppfylle sine plikter i henhold til Databehandleravtalen og Gjeldende personvernregler.

4 Behandlingsansvarliges instrukser til Databehandleren

4.1 Databehandleren skal behandle personopplysningene i samsvar med Gjeldende personvernregler og den Behandlingsansvarliges dokumenterte instrukser, jf. punkt

V2 – 20.08.2021 - Databehandleravtale

4.2. Hvis annen behandling er nødvendig for å oppfylle forpliktelser som Databehandler er underlagt i henhold til gjeldende rett, skal Databehandleren underrette den Behandlingsansvarlige så langt dette er tillat ved lov, jf. personvernforordningen artikkel 28 (3) (a).

4.2 Behandlingsansvarliges instrukser fremgår av Hovedavtalen og Databehandleravtalen. Databehandler skal omgående underrette den Behandlingsansvarlige, dersom vedkommende mener at instruksene er i strid med Xxxxxxxxx personvernregler, jf. personvernforordningen artikkel 28 (3) (h).

2 av 6

Xxxxxxxxxxx.xx

5 Konfidensialitet og taushetsplikt

5.1 Databehandleren skal sikre at ansatte og andre som har tilgang til personopplysninger er autorisert til å behandle slike personopplysninger på Databehandlers vegne. Dersom slik autorisasjon utløper eller trekkes tilbake, skal tilgangen til personopplysningene opphøre uten ugrunnet opphold.

5.2 Databehandleren skal kun autorisere personer som trenger tilgang til personopplysningene i forbindelse med arbeid for å kunne oppfylle Hovedavtalen, Databehandleravtalen og eventuelt annen behandling som er nødvendig for å oppfylle forpliktelser som Databehandler er underlagt i henhold til gjeldende rett.

5.3 Databehandleren skal sikre at personer som er autorisert til å behandle personopplysninger på vegne av den Behandlingsansvarlige er underlagt taushetsplikt gjennom avtale eller lov. Taushetsplikten skal bestå også etter avtalens og/eller ansettelsesforholdets opphør.

5.4 Databehandleren skal kunne dokumentere at de relevante personer er underlagt ovennevnte taushetsplikt på forespørsel fra den Behandlingsansvarlige.

5.5 Ved opphør av Databehandleravtalen plikter Databehandleren å avvikle alle tilganger til personopplysninger som behandles under avtalen.

6 Sikkerhet ved behandlingen

V2 – 20.08.2021 - Databehandleravtale

6.1 Databehandler skal iverksette egnede tekniske og organisatoriske tiltak for å oppnå et tilfredsstillende sikkerhetsnivå sett hen til behandlingens karakter og omfang, den tekniske utviklingen, implementeringskostnader og aktuelle risikoer for fysiske personers rettigheter og friheter.

6.2 Databehandleren skal foreta risikovurderinger for å sikre at et egnet sikkerhetsnivå opprettholdes til enhver tid. Databehandleren skal herunder sørge for jevnlig testing, analyse og vurdering av sikkerhetstiltakene, særlig med hensyn til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemer og - tjenester, samt evne til raskt å gjenopprette tilgjengeligheten av personopplysningene ved hendelser.

3 av 6

Xxxxxxxxxxx.xx

7 Melding om brudd på personopplysningssikkerheten

7.1 Databehandler skal uten ugrunnet opphold skriftlig underrette den Behandlingsansvarlige om eventuelle brudd på personopplysningssikkerheten, samt for øvrig gi slik bistand og informasjon som er nødvendig for at den Behandlingsansvarlige skal kunne melde bruddet til tilsynsmyndigheter i tråd med Gjeldende personvernregelverk.

7.2 Underretning etter punkt 7.1 skal meddeles Behandlingsansvarlig i henhold og skal:

a. beskrive arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt,

b. inneholde navnet på og kontaktopplysningene til personvernombudet eller et annet kontaktpunkt der mer informasjon kan innhentes,

c. beskrive de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten, og

d. beskrive de tiltak som Databehandleren har truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.

Informasjonen kan i den grad det det er nødvendig gis trinnvis uten ytterligere ugrunnet opphold.

7.3 Databehandler plikter å gjennomføre alle de tiltak som med rimelighet kan kreves for å utbedre og unngå tilsvarende brudd på personopplysningssikkerheten. Databehandler skal, så langt det er mulig, rådføre seg med Behandlingsansvarlig om de tiltak som skal gjennomføres, herunder vurdere Behandlingsansvarliges eventuelle forslag til tiltak.

V2 – 20.08.2021 - Databehandleravtale

7.4 Behandlingsansvarlig er ansvarlig for å underrette Datatilsynet og de berørte registrerte om brudd på personopplysningssikkerheten. Databehandler skal ikke informere tredjeparter om brudd på personopplysningssikkerheten med mindre noe annet er påkrevd etter gjeldende rett eller det følger av uttrykkelig skriftlig instruks fra Behandlingsansvarlig.

8 Bruk av Underdatabehandler

8.1 Databehandleren har den Behandlingsansvarliges generelle godkjennelse til å bruke andre databehandlere ved aksept av denne avtalen.

4 av 6

Xxxxxxxxxxx.xx

8.2 Databehandler skal kun engasjere Underdatabehandlere som gjennomfører egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene etter Gjeldende personvernregler. Databehandler skal gjennomføre kontroller av Underdatabehandlere for å verifisere at tilfredsstillende tiltak er iverksatt.

8.3 Dersom Underdatabehandleren ikke oppfyller sine forpliktelser med hensyn til vern av personopplysninger, skal Databehandleren overfor den Behandlingsansvarlige ha fullt ansvar på samme måte som om Databehandler selv sto for behandlingen.

9 Generelt om revisjon

9.1 Databehandler skal på forespørsel gjøre tilgjengelig for den Behandlingsansvarlige, all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i personvernforordningen artikkel 28 og denne Databehandleravtalen er oppfylt.

9.2 Databehandler skal muliggjøre og bidra ved inspeksjoner og revisjoner som gjennomføres av eller på oppdrag fra Behandlingsansvarlig. Databehandler skal også muliggjøre og bidra ved inspeksjoner fra aktuelle tilsynsmyndigheter. Den Behandlingsansvarliges tilsyn med eventuelle Underdatabehandler skal skje gjennom Databehandleren med mindre annet er særskilt avtalt.

9.3 Dersom en revisjon avdekker avvik fra forpliktelsene i Gjeldende personvernregler eller Databehandleravtalen, skal Databehandler så snart som mulig utbedre avviket. Behandlingsansvarlig kan kreve at Databehandleren midlertidig stopper hele eller deler av behandlingsaktivitetene frem til utbedringen er godkjent av Behandlingsansvarlig.

9.4 Hver av Partene dekker sine egne kostnader forbundet med revisjoner.

V2 – 20.08.2021 - Databehandleravtale

10 Sletting og tilbakelevering av opplysninger

10.1 Ved opphør av denne Databehandleravtalen plikter Databehandler å slette alle personopplysninger som behandles på vegne av Behandlingsansvarlig under Databehandleravtalen.

10.2 Hvis det benyttes delt infrastruktur eller backup der direkte sletting ikke er teknisk mulig, skal Databehandler sørge for at personopplysningene gjøres utilgjengelige inntil de er overskrevet.

5 av 6

Xxxxxxxxxxx.xx

11 Mislighold og pålegg om stans

11.1 Ved brudd på Databehandleravtalen og/eller Gjeldende personvernregler, kan Behandlingsansvarlig og aktuelle tilsynsmyndigheter pålegge Databehandler å stoppe hele eller deler av behandlingen av opplysningene med øyeblikkelig virkning.

11.2 Dersom Databehandler ikke overholder sine plikter i henhold til denne Databehandleravtale og/eller Gjeldende personvernregler, vil dette anses som mislighold av Hovedavtalen.

12 Varighet og opphør

12.1 Databehandleravtalen gjelder fra den er godtatt av kunden under opprettelsen av Organisasjonen.

12.2 Databehandleravtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig. Den gjelder også for eventuelle personopplysninger som måtte finnes hos Databehandler eller noen av dennes Underdatabehandler etter Hovedavtalens opphør.

12.3 Reglene om oppsigelse i Hovedavtalen gjelder tilsvarende for Databehandleravtalen, så langt det passer. Databehandleravtalen kan ikke sies opp så lenge Hovedavtalen består med mindre den avløses av en ny databehandleravtale.

13 Lovvalg og verneting

V2 – 20.08.2021 - Databehandleravtale

Avtalen er underlagt norsk rett. Tvister løses i samsvar med Hovedavtalens bestemmelser, herunder eventuelle bestemmelser om verneting.

***

6 av 6

Xxxxxxxxxxx.xx