Databehandleravtale
Databehandleravtale
Denne Databehandleravtalen (heretter kalt “Avtalen”) er inngått den (heretter kalt “Avtaledato”) mellom:
[åååå/mm/dd]
Automile AB, 556775-5698, Xxx 000, XX 000 00 Xxxxxxxxx, Xxxxxxx (“Automile”) og (“Behandlingsansvarlig”):
[Kunde] [Adresse]
Denne Avtalen er et tillegg til gjeldende tjenesteavtale mellom ovennevnte to parter, heretter kalt Tjenesteavtalen, som gir Personvernansvarlig tilgang til den tjeneste som stilles til rådighet av Automile, heretter kalt Tjenesten.
Partene har avtalt følgende:
1. Definisjoner
Om ikke annet er angitt i Tjenesteavtalen, skal følgende definisjoner ha nedenfor angitte betydning.
a. PERSONOPPLYSNINGER, samsvarer personlig informasjon (slik dette er definert i Personvernforordningen), og som behandles av Automile for Behandlingsansvarlig regning, i forbindelse med at Behandlingsansvarlig bruker Tjenesten.
b. PERSONVERNFORORDNINGEN referer til Europaparlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om vern for fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning).
c. BEHANDLING betyr her det samme som angitt i Personvernforordningen.
2. Behandling av personopplysninger
2.1 OMFANG OG ROLLER. Denne Avtalen skal kunne tilpasses Behandlingsansvarliges behov når Automile behandler personopplysninger på oppdrag fra Behandlingsansvarlig. Dermed kan Behandlingsansvarlig opptre som personvernansvarlig og Automile kan opptre som Databehandler eller Underleverandør (slik dette er definert i Personvernforordningen fra EU).
2.2 TILPASNING, LOV MM. Partene skal behandle alle personopplysninger i henhold til bestemmelsene i denne avtalen, og i henhold til lover, forordninger og forskrifter.
2.3 FORMÅLET MED BEHANDLINGEN AV PERSONOPPLYSNINGER. Så lenge Behandlingsansvarlig benytter Tjenesten, og som en direkte følge av dette, skal Automile behandle alle personopplysninger for Behandlingsansvarlig regning. Personopplysninger omfatter, men er ikke begrenset til, navn, adresse, kontaktinformasjon og posisjoneringsdata. Personopplysninger kan gis til Automiles ansatte og konsulenter som skal behandle slike data.
2.4 INSTRUKSJON FOR BEHANDLING AV PERSONOPPLYSNINGER. Automile skal behandle personopplysninger i henhold til Behandlingsansvarliges kravspesifikasjon dersom ikke annet følger av lov. Behandlingsansvarlig er ansvarlig for merkostnader dersom dets instruksjoner måtte gå lenger enn det som loven krever. Partene er enige i at det som denne Avtalen omhandler om er hvordan personopplysninger skal behandles, og er fullstendig og uttømmende beskrevet og dekker således Automiles krav til behandling av personopplysninger. Ytterligere instruksjoner fremgår i Bilag 1, som utgjør en del av denne Avtalen og som blant annet angir formål, varighet, art og mål, type Personopplysninger, samt kategorier av registranter som dekkes av Automiles Behandling av Personopplysninger. Automile skal under ingen omstendighet behandle Behandlingsansvarliges personopplysninger i strid med denne Avtalen, uten at det på forhånd foreligger skriftlig godkjenning av slike endringer, og om hvem som skal dekke mulige meromkostninger ved slike endringer i behandlingen av dataene. Dersom Automile vegrer seg for å utføre slike endringer i behandlingen av data som Behandlingsansvarlig instruerer, kan Automile kansellere Avtalen med umiddelbar virkning eller i henhold til tilleggsavtale. Automile skal umiddelbart informere databehandleren hvis Automile vurderer at en instruksjon strider mot EUs generelle databeskyttelsesforordning, GDPR, eller annen relevant databeskyttelsesforordning.
2.5 TILGANG OG ANVENDELSE AV DATA. Automile kommer ikke til å ha tilgang til eller anvende personopplysninger utover det som er nødvendig for at Tjenesten skal kunne gjennomføres, forbedres, oppdateres og brukes i henhold til Behandlingsansvarliges oppdrag. Automile skal til enhver tid behandle Kundens personopplysninger i henhold til norsk lov og Automiles integritetspolicy, se xxxx://xxx.xxxxxxxx.xx/xxxxxxx-xxxxxx.
Behandlingsansvarliges godkjenner at Automile samler in og anvender tekniske data, statistiske informasjoner og tilsvarende forhold for å kunne oppdatere, gi støtte og tilsvarende tjenester som har kobling til Tjenesten. Automile og dets leverandører kan overvåke, anvende og lagre slik informasjon for å forbedre Tjenesten og Behandlingsansvarliges løpende tilfredshet med Tjenesten.
2.6 SERVICE. Automile skal på anmodning fra personopplysningsansvarlige bistå den behandlingsansvarlige med å sikre overholdelse av forpliktelsene i henhold til artikkel 32-36 i Personvernforordningen, idet det tas hensyn til behandlingens art og den informasjonen som er tilgjengelig for databehandleren.
2.7 KONFIDENSIALITET. Automile vil ikke sende Behandlingsansvarliges data til noen myndighet, med mindre slik informasjon må gis under henvisning til lov, eller følger av rettskraftig dom eller en myndighetsbeslutning i henhold til lov. Om domstol eller annen myndighet som har jurisdiksjon, krever at Automile overlever Behandlingsansvarliges
personopplysninger, skal Automile først henvise slik myndighet til Behandlingsansvarlig. Som en mulighet kan Automile bli pålagt å gi Behandlingsansvarliges data til myndighetene. Dersom Automile tvinges til å gi myndigheter slik personopplysninger skal Automile, om ikke taushetsbeslutning pålegges, informere Behandlingsansvarlig og / eller hans fullmektig om slikt myndighets krav, slik at Behandlingsansvarlig eller dens fullmektig kan foreta nødvendige og relevante forholdsregler.
2.8 AUTOMILES ANSATTE. Ansatte hos Automile får ikke tilgang til Behandlingsansvarliges data uten at det foreligger intern tillatelse. Slik tillatelse vil normalt bare gis når den ansatte skal behandle Behandlingsansvarliges data. I Automiles ansettelsesavtale og i medarbeider håndbøker reguleres at de ansatte skal ivareta konfidensialitet, taushet og IT- sikkerhet når det gjelder bedriftens og Behandlingsansvarliges data.
2.9 REGIONER. Automile har rett til å overføre personopplysninger til land utenfor EU/ EØS. Enhver slik overføring skal skje i henhold til eksisterende lover og regler for håndtering av personopplysninger, f.eks. ved at det i en avtale inntas EU’s modellklausuler.
3. Sikkerhet
Automile skal iverksette slike tekniske og organisatoriske tiltak som loven krever for å sikre at personopplysninger ikke kommer på avveier, blir ødelagt eller endret eller at den blir gjenstand for spredning eller urettmessig tilgang. Automile skal gjennomføre og opprettholde et program for IT-sikkerhet (inklusive interne Polices og rutiner) som skal (a) hjelpe den ansvarlige for Behandlingsansvarlig personopplysninger å sikre personopplysningene mot ødeleggelse, endringer, spredning eller at uvedkommende får tilgang til dataene, b) identifisere skadelige og forutsigbare og interne trusler mot sikkerhet og risiko for utilbørlig adgang til Automiles nettverk og c) minimere sikkerhetsrisiko, inklusive risikovurderinger og regelmessige kontroller. Automile skal oppnevne en eller flere av de ansatte som skal være ansvarlige for IT-sikkerhet. Programmet for IT-sikkerhet skal inneholde regler om nettsikkerhet og om fysisk sikkerhet, og det skal jevnlig vurderes av Automile om programmet trenger ytterligere sikkerhetstiltak for å møte nye sikkerhetstrusler. Dersom Behandlingsansvarliges ønsker at Automile skal utføre ytterligere sikkerhetstiltak, så vil Automile etterkomme slike krav i rimelig grad mot at Behandlingsansvarlig dekker alle relaterte merkostnader.
4. Krav til behandlingsansvarlig
Det påligger Behandlingsansvarlig å granske og vurdere den informasjon om datasikkerhet som Automile har gitt Behandlingsansvarlig og å gjøre en uavhengig bedømmelse av om Tjenesten møter de sikkerhetskrav som Behandlingsansvarlig har satt, samt om Behandlingsansvarliges personale og konsulenter følger de guidelines som gjelder for dem med hensyn til datasikkerhet.
5. Tillsyn med tekniske og organisatoriske forhold
På begjæring fra Behandlingsansvarlige, og i normal kontortid, vil Automile holde åpent de lokaler der data behandles slik at Behandlingsansvarlig skal kunne utføre tilsyn av de prosesser og den behandling som finner sted under denne Avtale. Revisjonen skal utføres av den Behandlingsansvarlige og på dennes kostnad.
6. Sikkerhetsbrudd
6.1 DERSOMAUTOMILEFÅRKJENNSKAP om enten (a) en urettmessig tilgangtilpersoninformasjon som lagres på Automiles utrustning eller i Automiles lokaler, eller (b) urettmessig tilgang til slik utrustning eller til slike lokaler som kan lede til tap, endring eller tap av personinformasjon (hver for sig et sikkerhetsbrudd), skal Automile uten ugrunnet opphold a) underrette Behandlingsansvarlig om sikkerhetsbruddet og b) utføre umiddelbare tiltak for å minimisere etfekten og skaden som skyldes sikkerhetsbruddet.
6.2 PARTENE ER ENIGE OM: (i) Bare ett forsøk på sikkerhetsbrudd skal ikke håndteres under bestemmelsen i denne punkt 6. Ett forsøk på sikkerhetsbrudd er å anse som en hendelse når den ikke leder til urettmessig tilgang til personopplysninger eller til noen av Automiles utrustning og lokaler der personopplysning lagres. Dette kan være forhold som ping angrep, portskannning, mislykket innloggingsforsøk, DoS angrep, dokument snoking (eller annen urettmessig tilgang til trafikkdata og som ikke resulterer i tilgang til IP-adresser eller headers) og liknende forhold.
(ii) Automiles plikt til å rapportere eller svare for sikkerhetshendelser i henhold til dette punkt 6 skal ikke tolkes som om Automile har påtatt seg noe ansvar for slike forsøk på sikkerhetshendelser.
6.3 AUTOMILE SKAL INFORMERE en eller flere av de administrative Behandlingsansvarlige når det har inntrutfet en sikkerhetshendelse. Automile bestemmer selv på hvilken måte slik informasjon skal gis, inklusiv, men ikke begrenset til bruk av e-post. Behandlingsansvarlig skal se til at administrative Behandlingsansvarlige til enhver tid har oppdatert kontaktinformasjon som er registrert på Automiles håndteringskonsol.
7. UNDERLEVERANDØRER
7.1 BRUKEN AV UNDERLEVERANDØRER. Partene er enige i at Automile skal ha rett til å gjøre bruk av assistanse fra andre for å kunne oppfylle sine forpliktelser under denne Avtalen og for å utføre andre tjenester, f. eks. support og lignende forhold. Automile skal informere Behandlingsansvarlige om navnene på underleverandører som Automile til enhver tid bruker, eller planlegger å bruke, samt hvilken type tjenester underleverandørene utfører. De underleverandører som Automile benytter ved inngåelsen av denne Avtalen fremgår i Bilag 2. Den Behandlingsansvarlige har rett til å kreve at Automile unnlater å gjøre bruk av navngitt underleverandør eller konsulent med hensyn til tilgang på persondata.
7.2 UNDERLEVERANDØRENS FORHOLD. Dersom Automile bruker en underleverandør eller konsulent, skal følgende gjelde:
(i) Automile skal begrense underleverandørens tilgang til personopplysninger til det som utelukkende er nødvendig for å kunne oppfylle Tjenesten eller å utføre tjenester som er spesielt avtalt med Behandlingsansvarlige, og Automile skal påse at underleverandøren eller konsulenten ikke får tilgang til andre personopplysninger enn de som er nødvendige for å oppfylle oppdraget.
(ii) Automile skal inngå en skriftlig avtale med underleverandøren eller konsulenten der underleverandøren eller konsulenten påtar seg de samme forpliktelser som innehas av Automile med hensyn til sikkerhet, konfidensialitet, datasikkerhet, og rett til innsyn.
(iii) Automile har fullt ansvar for de underleverandører og konsulenter som anvendes overfor Personvernansvarlig.
8. Krav til informasjon
Dersom personopplysninger som Automile behandler på vegne av Behandlingsansvarlige kan bli gjenstand for konkursbeslag eller beslag i forbindelse med akkordforhandling eller av noe annen form for rettslig aksjon, skal Automile umiddelbart informere Behandlingsansvarlig om slik hendelse. Automile skal umiddelbart informere alle relevante parter (garantister, bobestyrer og eventuelt andre) om at personopplysninger som er beslaglagt tilhører den Behandlingsansvarlige med fulle eierrettigheter.
9. Xxxxxxxx og tilbakelevering av personopplysninger
Når Automile ikke lenger utfører Tjenesten for Behandlingsansvarlige, skal Automile, i henhold til instruksjon fra Behandlingsansvarlige enten tilbakelevere alle mottatte data eller sørge for å slette disse. Imidlertid har Automile rett til å beholde en kopi av personopplysningene for å dekke en fremtidig revisjon, eller for å kunne bruke disse i en rettstvist eller i henhold til lov.
10. Hemmelighold
Denne Avtale inneholder informasjon om Automile og som ikke er allment kjent og som er konfidensiell informasjon i henhold til konfidensialitetsbestemmelsene i denne Tjeneste-avtalen.
11. Avtalens rangering
Denne Avtalen skal ikke påvirke gyldigheten av Tjenesteavtalen som er inngått og er i kraft mellom partene. Om det skulle oppstå motstrid mellom denne Avtalen og Tjenesteavtalen, skal denne Avtalen ha prioritet og gjelde foran Tjenesteavtalens bestemmelser.
12. Tillämplig lag och tvistelösning
Denne Avtalen er etablert i henhold til norsk lov. Tvist om innholdet i denne Avtalen skal avgjøres ved Voldgift. Voldgiftssak skal føres for Stockholms Handelskammeres Skiljedoms-institutt. Voldgift skal bestå av en Voldgiftsdommer.
13. Signering av avtalen
Denne Avtalen kan undertegnes enten ved signering med blekk på Avtalen eller ved elektronisk signering, i et eller flere eksemplar(er), og hvert enkelt eksemplar skal anses som original, og skal utgjøre ett og samme Avtalen. En fax-kopi eller skannet kopi skal ha samme gyldighet som en fysisk original og en fax-kopi og skannet kopi skal anses å være en original med gyldig underskrift.
Sted, Dato
Kunde
Sted og dato:
Xxxxxxxx
Xxxxxx Xxxxxx, Commercial Director
BILAG 1
Personopplysningsansvarliges instruksjoner
Utover det som allerede er angitt i avtalen, skal Automile følge instruksjonene nedenfor:
FORMÅL
Personopplysningene vil bli behandlet av Automile for at Automile skal kunne tilby kontraktbaserte tjenester i samsvar med Tjenesteavtalen (inkludert elektronisk kjørebok og kjøretøysporing), samt for støtteformål, for teknisk vedlikehold og sikkerhetskopiering.
KATEGORIER AV OPPLYSNINGER
Personopplysninger som behandles av Automile i henhold for denne Avtalen skal bestå av:
– Brukernavn
– Telefonnummer
– E-post
– Lokaliseringsdata
KATEGORIER AV REGISTRANTER
Ansatte, konsulenterogandrepersonersomeraktiveiPersonopplysningsansvaret.
BEHANDLINGSAKTIVITETER
Automile vil håndtere og lagre personopplysninger.
STED FOR BEHANDLING AV PERSONOPPLYSNINGER
Automiles egne servere i Sverige, samt underleverandørenes servere i tredjeland.
LAGRINGSTID
Opplysningene lagres i 7 år, dog maksimalt under Tjenesteavtalens gyldighetstid.
BILAG 2
Liste over underleverandører ved inngåelse av avtalen
Intercom R&D Unlimited Company (USA)
Kundesupport
Zendesk, Inc (USA)
Kundesupport
Slack Technologies, Inc (USA)
Internkommunikasjon
Google, Inc (USA)
Dokumenthåndtering og e-mail
Front, Inc (USA)
Kundesupport
Øvrige selskap i Automilekonsernet (USA, Sverige)