Databehandleravtale Versjon 1 - 17.04.2018

Databehandleravtale Versjon 1 - 17.04.2018

Bakgrunn og hensikt

Avtalen regulerer Easyfact (databehandler) sin behandling av personopplysninger på vegne av Xxxxxx (behandlingsansvarlig), herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse, og rettigheter og plikter etter Personopplysningsloven (lov av 14. april 2000 nr. 31 om behandling av personopplysninger), Personopplysningsforskriften (forskrift av 15. desember 2000 nr. 1265) og Personvernforordningen (Forordning 2016/679 – GDPR).

Avtalen skal sikre at personopplysninger ikke brukes urettmessig eller kommer uberettigede i hende.

Formål

Formålet med behandlingen er å levere tjenesten i tråd med Abonnementsvilkårene, og utføre kundeservice på forespørsel fra Kunden. Easyfact kan ikke behandle personopplysninger til andre formål enn dette.

Behandling av personopplysninger skal skje i tråd med gjeldende lover og forskrifter, denne avtalen og Personvernerklæringen.

Eierskap og behandlingsansvar

Kunden bestemmer selv hvilke data som lagres og behandles ved bruk av Easyfact sine tjenester og har selv eierskap til og ansvaret for disse.

Det er Kunden som bestemmer formålet med sin behandling av personopplysninger og hvilke hjelpemidler som skal brukes, og som har ansvaret for at personopplysninger behandles i henhold til de krav som lover, regler og forskrifter oppstiller.

Easyfact sine plikter

Easyfact skal kun behandle personopplysninger etter kundens instruksjoner.

Easyfact plikter å gi Kunden tilgang til dokumentasjon og bistå slik at Kunden kan ivareta sitt eget ansvar etter lov og forskrift. Kunden har, med mindre annet er avtalt eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles.

Easyfact plikter å bistå den behandlingsansvarlige med å etterleve kravene til å etablere et egnet sikkerhetsnivå, herunder gjennomføre nødvendige tiltak som å varsle om sikkerhetsbrudd, vurdere personvernkonsekvenser og gjennomføre forhåndsdrøftinger på Kundens forespørsel.

Easyfact plikter å utnevne et kontaktpunkt som har ansvar for å kontrollere og koordinere samsvar med denne avtalen i sin helhet, og påse at alle involverte er bevisst sitt ansvar for å beskytte personopplysninger i samsvar med lov og denne avtalen. Detaljer for kontaktpunktet skal til enhver tid være tilgjengelig i Personvernerklæringen.

Easyfact forbeholder seg retten til å nekte behandling av personopplysninger som bryter med gjeldende lover og bestemmelser.

Innsyn og taushetsplikt

Kunden aksepterer at Easyfact har innsyn i data som Kunden, Brukere og/eller Respondenter legger inn dersom formålet er brukerstøtte, driftsovervåkning, avvikshåndtering og/eller hindring av misbruk. Det er ikke tillatt for Easyfact å bruke eller videreformidle slike data for andre formål uten Kundens tillatelse.

Dette inkluderer også respondenters e-post-adresser.

Easyfact har taushetsplikt om dokumentasjon og personopplysninger og andre data som behandles ved hjelp av Easyfact sine tjenester. Denne bestemmelsen gjelder også etter avtalens opphør.

Bruk av underleverandører

Underleverandører er enhver tredjepart som behandler data på oppdrag fra Easyfact. Easyfact plikter å vedlikeholde en liste over navn og lokasjon for alle Underleverandører som er involvert ved behandlingen i Personvernerklæringen.

Det er kun tredjeparter på denne listen som er Underleverandører.

Kunden aksepterer at Easyfact kan benytte Underleverandører både ved levering av tjenesten og behandling av personopplysninger, forutsatt at de behandler personopplysninger i tråd med denne avtalen.

Easyfact er ansvarlig overfor Xxxxxx for enhver form for behandling Underleverandører utfører.

Easyfact plikter å oppdatere listen med Underleverandører senest 30 dager før en Underleverandør begynner behandlingen av personopplysninger.

I de tilfeller Xxxxxx motsetter seg bruk av en ny underleverandør skal Easyfact underrettes omgående og uten opphold. Easyfact vil enten (1) avvikle bruk av underleverandøren, (2) la være å benytte underleverandøren for Kunden sine personopplysninger, eller (3) avslutte avtaleforholdet. Ved (1) og (2) fortsetter avtalen å løpe uten endringer. Ved (3) har kunden rett på å meddele opphør umiddelbart, allerede innbetalte beløp for inneværende avtaleperiode(r) vil bli refundert.

Tjenestene Easyfact leverer tillater integrasjon mot tredjeparts tjenester, og kan inneholde integrasjoner og linker til integrasjoner med tredjeparts tjenester, og som ikke er underleverandører. All bruk av tredjeparts tjenester, som ikke tilhører Underleverandører, inkludert, men ikke begrenset til lagring, databehandling og datautveksling, er alene regulert av avtalebetingelsene og personvernbetingelsene til tredjepart. Easyfact kan ikke under noen omstendigheter holdes ansvarlig ved bruk av slike tjenester, og Kunden skal holde Easyfact skadesløs i ethvert forhold som måtte oppstå som følge av bruken.

Internasjonal dataeksport

Kunden aksepterer at Easyfact og Underleverandører kan behandle personopplysninger utenfor Norge og EU/EØS. Dette gjelder også hvor Xxxxxx har avtalt at datalagring skal finne sted i Norge eller EU/EØS, men bare dersom behandling utenfor EU er nødvendig for å utføre Kundeservice eller andre tjenester på forespørsel fra Kunden. Behandling av personopplysninger utenfor Norge eller EU/EØS, skal skje i tråd med gjeldende lover og forskrifter, Abonnementsvilkårene, Personvernerklæringen, og ellers som nødvendig for å levere tjenesten, og utføre kundeservice på forespørsel fra Kunden.

Kunden sine plikter

Det er Xxxxxx sitt ansvar å vedlikeholde en oversikt over hvilke personopplysninger Easyfact behandler på vegne av Xxxxxx.

Det er Xxxxxx sitt ansvar å avgi skriftlige instruksjoner om hvordan personopplysninger skal behandles. Nødvendige tilganger skal kun oppgis på forespørsel. Det er Kunden sitt ansvar å forvalte tilgangene som oppgis, og tilgangene skal straks fjernes når behovet ikke lenger er tilstede.

Kunden er innforstått med at tjenestene til Easyfact i utgangspunktet ikke inkluderer sikkerhetstiltak som er nødvendig for behandling av sensitive og konfidensielle personopplysninger, som for eksempel kryptering eller fysisk separasjon, med mindre dette fremgår eksplisitt. Det er Kunden sitt ansvar å implementere hensiktsmessige sikkerhetstiltak for personopplysninger som behandles ved hjelp av Easyfact sine tjenester.

Kunden garanterer at all behandling av personopplysninger som skjer i forbindelse med denne avtalen er, og fortsetter å være, i tråd med alle relevante personvernsbestemmelser, til enhver tid gjeldende lov- og forskriftsregulering, i henhold til eventuelle vedtak fattet av offentlige myndigheter i Norge og EU, og i tråd med denne avtalen.

Kunden plikter å informere sine brukere om bruken av databehandlere, inkludert Easyfact, og at personopplysninger kan bli behandlet utenfor Norge og EU/EØS.

Retur og destruksjon av personopplysninger

Kunden må selv eksportere data og personopplysninger ved opphør, og før siste avtaleperiode løper ut. Eksporten skal skje ved hjelp av grensesnittene som er tilgjengelig på Easyfact sine nettsider. Kunden plikter å gjøre seg kjent med disse grensesnittene. Easyfact plikter å bistå Kunden med denne eksporten på forespørsel.

Eksport av data utover det Easyfact sine grensesnitt muliggjør, inkludert men ikke begrenset til bruk av andre eksportformater eller eksportmetoder, skal skje for Kunden sin regning, og faktureres etter medgått tid og til gjeldende timepriser.

Kunden aksepterer at Easyfact sletter alle data ved opphør, inkludert eventuelle sikkerhetskopier, etter at siste avtaleperiode har løpt ut, og at data vil bli slettet etter de retningslinjer og prosedyrer som Easyfact til enhver tid fastsetter.

Easyfact vil ikke innestå for tap av data som skyldes at eksport av data ikke er gjennomført før utløpsdato for tjenesten(e).

Sikkerhet

Easyfact plikter å implementere og vedlikeholde nødvendige tekniske og organisatoriske tiltak som stilles etter til enhver tid gjeldende lover, regler og forskrifter, for å beskytte mot tap av personopplysninger som skyldes utilsiktet eller ulovlig destruksjon, utilsiktet tap eller endring, urettmessig formidling eller tilgang (avvik), så langt det er praktisk gjennomførbart og i Easyfact sin kontroll. Slike tiltak skal hensyna tilgjengelig teknologi, og kostnaden ved implementering for å oppnå et hensiktsmessig sikkerhetsnivå sett i forhold til behandlingen av personopplysningene, og naturen av dataene som er lagret.

Fysisk adgangskontroll

Easyfact skal implementere nødvendige tiltak, selv eller ved bruk av en tredjepart, for å forhindre fysisk tilgang. Dette inkluderer, men er ikke begrenset til bruk av sikkerhetspersonell, og bruk av sikre bygninger og lokasjoner, for å forhindre uvedkommende fra å få tilgang til personopplysninger.

Systemadgangskontroll

Easyfact skal implementere hensiktsmessige tiltak for å forhindre at personopplysninger behandles urettmessig. Disse tiltakene vil variere med behandlingen og kan inkludere, men er ikke begrenset til, autentisering med brukernavn og passord, tofaktor autentisering, dokumenterte autorisasjonsprosesser, dokumenterte endringshåndteringsprosesser og logging på flere nivåer.

Overføringskontroll

Easyfact skal så langt det er praktisk gjennomførbart implementere hensiktsmessige tiltak for å forsikre om at det er mulig å overføre data til rette vedkommende uten at dataene kan leses, kopieres, endres eller slettes uautorisert under dataoverføringen.

Backup

Backup foretas daglig til offsite lokasjon. Forøvrig er Xxxxxx selv ansvarlig for å besørge hensiktsmessig backup.