DATABEHANDLERAVTALE
mellom | KUNDEN (som definert i punkt 0 xxxxxxxx) |
(xxx "Xxxxxxxxxxxxxxxxxxxxx") | |
og | TECHEM NORGE AS Organisasjonsnummer: 992 327 669 Dicks vei 10b 1366 Lysaker ("Databehandleren") |
Den Behandlingsansvarlige og Databehandleren benevnes heretter samlet som "Parter" og hver for seg som "Part". |
BILAG:
Bilag 1 Kategorisering av ulike typer personopplysninger og behandlingsaktiviteter
Bilag 2 Liste over underdatabehandlere og steder/plattformer for oppbevaring av personopplysninger
Techem Norge AS ∙ Dicks vei 10b ∙ 1366 Lysaker
Tlf.: 00 00 00 00 ∙ xxxx@xxxxxx.xx
Oslo – Porsgrunn – Tønsberg - xxx.xxxxxx.xx
INDHOLDSFORTEGNELSE
3. BEHANDLING AV PERSONOPPLYSNINGER 4
4. BEHANDLING UTEN INSTRUKSJON 4
7. OVERFØRSEL AV PERSONOPPLYSNINGER TIL TREDJESTATER ELLER EN INTERNASJONAL ORGANISASJON 5
8. DATABEHANDLERENS GENERELLE FORPLIKTELSER 5
BILAG 1 – KATEGORIER AV REGISTRERTE PERSONOPPLYSNINGER OG BEHANDLINGSAKTIVITETER 7
BILAG 2 – LISTE OVER UNDERDATABEHANDLERE OG BEHANDLINGSSTED - PERSONOPPLYSNINGER 8
1. BAKGRUNN
1.1 Databehandleren har inngått en Avtale (som definert nedenfor) med den Behandlingsansvarlige om levering av tjenester. I forbindelse med Avtalen håndterer Databehandleren personopplysninger på vegne av den Behandlingsansvarlige.
1.2 Med bakgrunn i dette har Partene inngått en Databehandleravtale (som definert herunder), som regulerer Databehandlerens behandling av personopplysninger på vegne av den Behandlingsansvarlige. Personvernlovgivningen (som definert herunder) krever at det mellom Behandlingsansvarlige og Databehandler, inngås en skriftlig kontrakt som fastlegger omfanget av og kravene til behandling av personopplysninger.
1.3 Databehandleravtalen er integrert i den Avtalen som er inngått mellom Databehandleren og den Behandlingsansvarlige om levering av tjenester.
2. DEFINISJONER
2.1 Med mindre annet fremgår gjelder følgende definisjoner for nedenstående termer:
1. "Avtale" referer til den avtalen som er inngått mellom Behandlingsansvarlige og Databehandleren om levering av tjenester.
2. "Behandlingsansvarlige" referer til Kunden, som Databehandleren leverer tjenester til i henhold til Avtalen.
3. "Databehandleravtale" refererer til denne avtalen om behandling av personopplysninger, inklusive bilag.
4. "Personvernlovgivning" refererer til alle gjeldende lover og regler for behandling og beskyttelse av personopplysninger overalt i det Europeiske Økonomiske Samarbeidsområdet (EØS) med de til enhver tid gjeldende endringer og/eller tilføyelser, herunder direktiv 95/46/EF fra 24. oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, Personopplysningsloven (som definert nedenfor), Personvernforordningen (som definert nedenfor) og, hvor relevant, de retningslinjer og regler som er fastsatt av Datatilsynet eller andre kompetente tilsynsmyndigheter i EØS (herunder det nasjonale datatilsynet).
5. "Personvernforordningen" henviser til "Europa-Parlamentets og Rådets forordning (EU) nr. 2016/679 fra
27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger, fri utveksling av slike opplysninger og oppheving av direktiv 95/46/EF (generell Personvernforordningen)" med de til enhver tid gjeldende endringer og/eller tillegg.
6. "Kunden" betyr den kunde, som Databehandleren leverer tjenester til i henhold til Avtalen.
7. "Personopplysningsloven" betyr lov av 14. april 2000 nr. 31om behandling av personopplysninger med de til enhver tid gjeldende endringer og/eller tilføyelser, og ny lovgivning som senere erstatter denne.
8. "Tjenestene" refererer til de tjenester og leveranser, som Databehandleren som leverandør leverer til den Behandlingsansvarlige som Kunde i henhold til Avtalen, hvilket blant annet omfatter administrasjon og levering av avregning og/eller målerdata i nærmere bestemte boliger.
2.2 Begrepene "personopplysninger", "særlige kategorier av personopplysninger", "behandling", "behandlingsansvarlig", "databehandler", "registrerte", "tilsynsmyndighet", "pseudonymisering", "tekniske og organisatoriske tiltak" og "brudd på personopplysningssikkerheten" skal i denne Databehandleravtalen forstås i overensstemmelse med Personvernlovgivningen herunder Xxxxxxxxxxxxxxxxxxxxxx.
0. BEHANDLING AV PERSONOPPLYSNINGER
3.1 Databehandleren skal behandle personopplysninger på vegne av den Behandlingsansvarlige i overensstemmelse med Personvernlovgivningen.
3.2 De personopplysninger som behandles av Databehandleren, samt registreringskategorier er beskrevet i bilag 1 til denne Databehandleravtalen.
3.4 Databehandleren skal sikre, at de personer, som er involvert i behandlingen av personopplysninger, har forpliktet seg til konfidensialitet eller er underlagt en behørig lovbestemt taushetsplikt.
3.6 Databehandleren skal på den Behandlingsansvarliges anmodning gi den Behandlingsansvarlige tilstrekkelige opplysninger slik at de kan påse, at kravene i Personvernlovgivningen overholdes. Videre skal Databehandleren gi tillatelse og bidra til eventuelle revisjoner, herunder inspeksjoner, som foretas av den Behandlingsansvarlige eller en revisor som er bemyndiget av den Behandlingsansvarlige.
3.7 Databehandleren skal straks underrette den Behandlingsansvarlige, hvis Databehandleren oppfatter at instruksen fra den Behandlingsansvarlige strider mot Personvernlovgivningen.
4. BEHANDLING UTEN INSTRUKSJON
4.1 Uavhengig av bestemmelsene i denne Databehandleravtalen, har Databehandleren rett til å behandle personopplysninger uten instruks fra den Behandlingsansvarlige, såfremt og i det omfang det er påkrevd gjennom EU-lovgivningen og/eller medlemsstatenes nasjonale rett.
5. SIKKERHETSTILTAK
5.1 Databehandleren forplikter seg til å implementere de nødvendige tekniske og organisatoriske tiltak som skal til for at sikkerheten ivaretas. Dette må gjøres med hensyn til det aktuelle tekniske nivået, implementeringskostnadene og databehandlingens karakter, omfang, sammenheng og formål, samt ta høyde for risikokalkulering av varierende grad og konsekvens for fysiske personers rettigheter.
5.2 Databehandleren skal også oppfylle eventuelle sikkerhetskrav formulert i Personvernlovgivningen, herunder sikkerhetskrav i det land, hvor Databehandleren er etablert.
5.3 Partene kan i løpet av Databehandleravtalen avtale endringer til allerede implementerte sikkerhetstiltak.
5.4 Databehandleren skal ved hjelp av passende tekniske og organisatoriske tiltak bistå den Behandlingsansvarlige slik at de oppfyller sine forpliktelser og kan besvare henvendelser om behandling av data i henhold til Personvernlovgivningen.
5.5 Databehandleren skal så raskt det er mulig underrette den Behandlingsansvarlige hvis de oppdager brudd på personopplysningssikkerheten. Videre skal Databehandleren bistå den Behandlingsansvarlige med å sikre overholdelse av den Behandlingsansvarliges forpliktelser til å (i) dokumentere alle brudd på personopplysningssikkerheten, (ii) melde eventuelle brudd på personopplysningssikkerheten til de(n) kompetente tilsynsmyndighetene(er) og (iii) underrette de registrerte om slike brudd på personopplysningssikkerheten, det hele i overensstemmelse med artikkel 33 og 34 i Xxxxxxxxxxxxxxxxxxxxxx.
0. UNDERDATABEHANDLING
6.1 Den Behandlingsansvarlige aksepterer, at Databehandleren benytter underleverandører som en del av tjenesteleveransen til den Behandlingsansvarlige i henhold til Avtalen. Listen over underleverandører, som p.t. beskjeftiger seg med behandling av personopplysninger (underdatabehandlere) skal oversendes på forespørsel. Oversikt over de land hvor personopplysningene behandles er vedlagt som bilag 2. Eventuelle tillegg og/eller endringer til underdatabehandlere vil fremgå av listen, som kan rekvireres hos Databehandler.
6.2 Hvis Databehandleren inngår samarbeid med andre leverandører vil Databehandleren være ansvarlig for sikkerheten. Det skal inngås en skriftlig underdatabehandleravtale mellom underdatabehandler og Databehandler, slik at underdatabehandler pålegges de samme forpliktelsene med hensyn til vern av personopplysninger som Databehandler. Gjennom avtalen garanterer underdatabehandler for at de vil kunne levere tilstrekkelig ekspertise, pålitelighet og ressurser til å implementere tekniske og organisatoriske tiltak som vil sikre at underdatabehandlerens behandling oppfyller kravene i Personvernforordningen og sikrer beskyttelse av den registrertes (kundens) rettigheter.
6.3 Databehandleren skal sikre, at gjeldende underdatabehandling av data er lovlig, og at alle underdatabehandlere er underlagt samme vilkår og forpliktelser, som Databehandleren er underlagt i henhold til denne Databehandleravtalen.
6.4 Databehandleren innestår for lovligheten av sine underdatabehandleres behandling av personopplysninger. Databehandleren bærer ansvaret for alle sine underdatabehandleres handlinger og unnlatelser, dette omfatter også de personer, som er ansatt eller hyret inn av underdatabehandlerne. Databehandleren har samme grad av ansvar for underdatabehandlerens handlinger og unnlatelser som for sine egne.
7. OVERFØRSEL AV PERSONOPPLYSNINGER TIL TREDJESTATER ELLER EN INTERNASJONAL ORGANISASJON
7.1 Den Behandlingsansvarlige aksepterer at Databehandleren som en del av tjenesteleveransen til den Behandlingsansvarlige kan overføre personopplysninger til tredjestater, dvs. stater utenfor EØS. Databehandleren er forpliktet til å sikre at en slik overførsel til enhver tid er lovlig, nærmere bestemt at overførselen av personopplysninger er tilstrekkelig beskyttet og i henhold til eksisterende lovgivning. Det kan skje f.eks. ved inngåelse av EU Kommisjonens standardkontraktbestemmelser om overførsel av personopplysninger til databehandlere, som er etablert i land utenfor EØS. Disse kontraktbestemmelser inngås mellom Databehandleren og eventuelle underdatabehandlere.
8. DATABEHANDLERENS GENERELLE FORPLIKTELSER
8.1 Databehandleren skal aktivt implementere og overholde Personvernlovgivningen og skal påse at tjenestene leveres i henhold til Avtalen, slik at den Behandlingsansvarlige til enhver tid overholder sine forpliktelser i henhold til Xxxxxxxxxxxxxxxxxxxxxx.
8.2 Databehandleren skal bistå den Behandlingsansvarlige med å overholde den Behandlingsansvarliges forpliktelser i henhold til Personvernlovgivningen, herunder eventuelle forpliktelser i henhold til for eksempel artikkel 35 (vurdering av personvernkonsekvenser) og artikkel 36 (forhåndsdrøftinger) i Xxxxxxxxxxxxxxxxxxxxxx.
0. ENDRINGER
9.1 Anmoder den Behandlingsansvarlige om endringer til Databehandleravtalen og/eller om implementering av nye sikkerhetstiltak enn de som ble beskrevet i opprinnelig Databehandleravtale, og hvis anmodningen ikke skyldes forhold som Databehandleren tidligere har forpliktet seg til å ta høyde for, eller som på annen måte kan tillegges Databehandleren, skal den Behandlingsansvarlige bekoste enhver ytterligere utgift, som Databehandleren blir pålagt som en konsekvens av disse endringene.
10. ANSVAR
10.1 Databehandleren er ansvarlig i tilfeller hvor deres behandling av data har forårsaket skade, videre skal Databehandleren også holdes ansvarlig for å følge Personvernlovgivningen som er rettet spesifikt mot databehandlere, eller hvis Databehandleren har unnlatt å følge eller har handlet i strid med den Behandlingsansvarliges lovpålagte instrukser.
11. OPPHØR
11.1 Denne Databehandleravtalen opphører automatisk ved Avtalens opphør eller på den Behandlingsansvarliges anmodning.
11.2 Partene er enige om, at Databehandleren ved Avtalens opphør eller at den har utløpt enten skal (i) anonymisere alle data, som er behandlet i henhold til Avtalen, samt eventuelle kopier herav, og/eller (ii) slette alle data, som er behandlet i henhold til Avtalen, og dokumentere overfor den Behandlingsansvarlige, at dette er utført. Dette spesifiseres for å unngå enhver tvil om hvilke data som skal slettes fra PC, server og/eller annen lagringsenhet eller medium, unntak oppstår i tilfeller hvor EU-retten og/eller medlemsstatenes nasjonale rett krever oppbevaring av slike data.
12. LOVVALG OG VERNETING
12.1 Denne Databehandleravtalen er underlagt norsk rett. Enhver tvist som måtte oppstå som følge av eller i forbindelse med bestemmelsene i denne Databehandleravtalen, skal i første instans bringes inn for tingretten i Oslo.
BILAG 1 – KATEGORIER AV REGISTRERTE PERSONOPPLYSNINGER OG BEHANDLINGSAKTIVITETER
1. KATEGORIER AV REGISTRERTE PERSONOPPLYSNINGER
Databehandleren behandler følgende kategorier:
Nåværende og fraflyttede beboere i de selskaper (boliger) som er omfattet av Avtalen mellom Databehandleren og den Behandlingsansvarlige.
2. TYPE PERSONOPPLYSNINGER
Databehandlerens behandling relaterer seg til følgende typer personopplysninger:
Beboerens navn, adresse, telefonnummer, beboeridentifikasjonsnummer, avregningsperiode og opplysninger om flytting, ny adresse, beboerens vann- og energiforbruk, forbruksmønster, e-mailadresse, registrering av persontilstedeværelse eller manglende tilstedeværelse i boligen i forbindelse med avlesning.
3. BEHANDLINGSAKITIVITETER
Personopplysningene behandles på følgende måte:
Innsamling av målerdata, registrering, organisering, systematisering, oppbevaring, bruk, lagring, oppdatering, tilgjengeliggjøring, sammenstilling av forbruksdata (målerdata), begrensning og sletting.
BILAG 2 – LISTE OVER UNDERDATABEHANDLERE OG BEHANDLINGSSTED - PERSONOPPLYSNINGER
1. UNDERDATABEHANDLER(E)
Oversikt over underdatabehandlere kan produseres ved forespørsel.
2. STED FOR BEHANDLING AV PERSONOPPLYSNINGER
Databehandlingen skjer i følgende land: Norge, Danmark, Tyskland og Frankrike.