Contract
1. Innledning
Denne Databehandleravtalen utgjør et vedlegg til inngått tjenesteavtale, og omfatter all behandling av personopplysninger som Leverandøren utfører på vegne av Kunden som databehandler, med mindre annet er avtalt skriftlig mellom partene.
Avtalens parter er Kunde (Behandlingsansvarlig) og Leverandør (Databehandler) som nærmere angitt i tilbud/ordrebekreftelse for bedriftstjenester og - produkter («Bestillingen»).
Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten". I forbindelse med ytelse av tjenestene vil Databehandleren behandle personopplysninger om den Behandlingsansvarliges kunder, ansatte og andre personer. Formålet med denne Databehandleravtalen er å sikre at Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig er i overenstemmelse med gjeldende personvernlovgivning.
En nærmere beskrivelse av behandlingen av personopplysningene er gitt i Vedlegg A.
Disse Vilkårene fastsetter den behandlingsansvarlige og databehandlerens rettigheter og plikter og har forrang i forhold til eventuelle tilsvarende bestemmelser i andre avtaler mellom partene. Disse Vilkårene fritar ikke databehandleren fra plikter som databehandleren er pålagt etter personvernforordningen eller annen lovgivning.
2. Den behandlingsansvarliges rettigheter og plikter
Den behandlingsansvarlige er ansvarlig for å sikre at behandlingen av personopplysninger skjer i overensstemmelse med gjeldende lovverk.
Den behandlingsansvarlige har rett og plikt til å bestemme formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes.
Den behandlingsansvarlige er ansvarlig for, blant annet, å sikre at det foreligger et behandlingsgrunnlag for behandlingen av personopplysninger som databehandleren instrueres om å gjøre.
3. Databehandleren handler etter instrukser
Databehandler skal ikke behandle personopplysninger på annen måte enn det som følger av Avtalen eller annen skriftlig avtale/instruks mellom Partene, med mindre det kreves i henhold til gjeldende lovgivning.
Databehandleren skal omgående underrette den behandlingsansvarlige dersom en instruks fra den behandlingsansvarlige, etter databehandlerens mening, er i strid med gjeldende personvernlovgiving.
4. Konfidensialitet
Databehandleren kan bare gi tilgang til personopplysninger som behandles på den behandlingsansvarliges vegne til personer underlagt databehandlerens instruksjonsmyndighet som har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt, og bare i nødvendig omfang.
Databehandleren skal etter anmodning fra den behandlingsansvarlige kunne påvise at de aktuelle personene underlagt databehandlerens instruksjonsmyndighet er underlagt ovennevnte taushetsplikt.
5. Sikkerhet ved behandlingen
Personvernforordningen artikkel 32 fastslår at, idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen.
Den behandlingsansvarlige skal vurdere risikoene for fysiske personers rettigheter og friheter som behandlingen utgjør og gjennomføre tiltak for å imøtegå disse risikoene. Avhengig av relevans kan tiltakene omfatte:
• pseudonymisering og kryptering av personopplysninger
• evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene
• evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse
• en prosess for regelmessig testing, analysering og vurdering av hvor effektiv behandlingens tekniske og organisatoriske sikkerhetstiltak er.
Ifølge personvernforordningen artikkel 32 skal databehandleren – uavhengig av den behandlingsansvarlige – også vurdere risikoene for fysiske personers rettigheter og friheter som behandlingen utgjør, og gjennomføre tiltak for å imøtegå risikoene. Med henblikk på denne vurderingen skal den behandlingsansvarlige stille den nødvendige informasjonen til rådighet for databehandleren som gjør vedkommende i stand til å identifisere og vurdere slike risikoer.
Databehandleren skal også bistå den behandlingsansvarlige med å overholde den behandlingsansvarliges plikter etter personvernforordningen artikkel 32, ved blant annet å stille til den behandlingsansvarliges rådighet nødvendig informasjon om de tekniske og organisatoriske sikkerhetstiltakene som databehandleren allerede har gjennomført i henhold til personvernforordningen artikkel 32, samt all annen informasjon som er nødvendig for at den behandlingsansvarlige skal kunne overholde sine plikter etter personvernforordningen artikkel 32.
6. Bruk av underdatabehandlere
Databehandleren skal oppfylle betingelsene som er fastsatt i personvernforordningen artikkel 28 nummer 2 og nummer 4 for å gjøre bruk av en annen databehandler (en underdatabehandler). Databehandler kan i henhold til dette ikke benytte underleverandører i sin behandling av personopplysninger etter Avtalen uten at dette på forhånd er skriftlig avtalt med Behandlingsansvarlig.
Behandlingsansvarlig gir Databehandler avtalefullmakt til å inngå godkjent avtaleverk når dette er nødvendig for bruk av underleverandører der behandling av personopplysninger skjer i tredjeland.
En kopi av underdatabehandleravtale og eventuelle etterfølgende endringer skal – ved den behandlingsansvarliges anmodning – sendes til den behandlingsansvarlige, som på denne måten har mulighet for å sørge for at underdatabehandleren er pålagt de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i disse Vilkårene. Kommersielle bestemmelser som ikke påvirker det personopplysningsvernrettslige innholdet av underdatabehandleravtalen, er ikke underlagt kravet om kopi til den behandlingsansvarlige.
I tilfeller der underleverandør ikke overholder gjeldende personvernlovgivning eller ikke oppfyller sine personvernplikter i avtalen med Databehandler, er Databehandler fullt ut ansvarlig overfor Behandlingsansvarlig.
En angivelse av godkjente underleverandører er angitt i Vedlegg B.
Rett til å motsette seg bruk av underdatabehandler
Dersom Behandlingsansvarlig motsetter seg bruk av en spesifikk underleverandør skal Partene i god tro forhandle og enes om en rimelig løsning på hvordan videre levering av Tjenesten skal gjennomføres, herunder fordeling av eventuelle kostnader mellom Partene.
Dersom Partene ikke blir enige om en løsning innen én (1) måned etter den dato da Behandlingsansvarlig sendte melding til Databehandler om at samtykke ikke gis, skal Databehandler ha rett til å terminere ytelsen av tjenester berørt.
7. Overføring til tredjeland eller internasjonale organisasjoner
Overføring av personopplysninger til tredjeland utenfor EU/EØS eller internasjonale organisasjoner kan kun skje etter godkjenning fra den Behandlingsansvarlige.
Databehandler skal i slike tilfeller bistå slik at den Behandlingsansvarlige kan oppfylle sitt ansvar etter den til enhver tid gjeldende personvernlovgivning.
8. Bistand til den behandlingsansvarlige
Databehandler skal bistå den Behandlingsansvarlige med å oppfylle vedkommendes plikt til å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i personvernforordningen kapittel III.
Dette innebærer at databehandleren så langt det er mulig skal bistå den behandlingsansvarlige i den behandlingsansvarlige oppfyllelse av:
• opplysningsplikten ved innsamling av personopplysninger fra den registrerte
• opplysningsplikten dersom personopplysninger ikke er blitt samlet inn fra den registrerte
• den registrertes rett til innsyn
• retten til retting
• retten til sletting («retten til å bli glemt»)
• retten til begrensning av behandling
• underretningsplikten i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandling
• retten til dataportabilitet
• retten til å protestere
• retten til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisk behandling, herunder profilering
Databehandleren skal også bistå den behandlingsansvarlige i forbindelse med eventuell underretning til den registrerte eller til Datatilsynet ved brudd på personopplysningssikkerheten, ved vurdering av personvernkonsekvenser og eventuelle forhåndsdrøftinger med Datatilsynet
9. Underretning om brudd på personopplysningssikkerheten
Ved brudd på personopplysningssikkerheten («Personvernbrudd») hos Databehandler eller dennes eventuelle underdatabehandlere skal Databehandler uten ugrunnet opphold melde bruddet til Behandlingsansvarlig. Informasjon skal gis til den/de kontaktpersonen(er) som Partner oppgir til Databehandler. Informasjonen som gis skal omfatte omstendighetene som har ført til personvernbruddet samt annen tilknyttet informasjon, herunder:
1 | En beskrivelse av Personvernbruddet, herunder så mye informasjon som mulig om • Hvem og hvor mange er de berørte • Hvilke kategorier personopplysninger er det snakk om • Omtrentlig antall personopplysningsposter berørt |
2 | En beskrivelse av de sannsynlige konsekvensene av bruddet |
3 | En beskrivelse av tiltak som er truffet eller som man foreslår å treffe for å håndtere Personvernbruddet og redusere eventuelle skadevirkninger som følge av bruddet. |
10. Xxxxxxxx og returnering av opplysninger
Ved opphør av databehandlertjenestene skal databehandleren slette alle personopplysninger som er blitt behandlet på vegne av den behandlingsansvarlige og bekrefte overfor den behandlingsansvarlige at opplysningene er slettet med mindre unionsretten eller medlemsstatenes nasjonale rett krever oppbevaring av personopplysningene.
Databehandleren forplikter seg til å utelukkende behandle personopplysningene til de(t) formål, med den varlighet og under de betingelsene som disse reglene fastsetter.
11. Revisjon, herunder inspeksjon
Databehandler skal opprettholde nødvendige registre og på forespørsel gjøre tilgjengelig all informasjon som er nødvendig for å påvise at forpliktelsene i personvernforordningens Artikkel 28 og denne databehandleravtalen overholdes. Videre skal Databehandler muliggjøre og bidra til revisjoner, herunder inspeksjoner, som gjennomføres av den Behandlingsansvarlige eller en annen inspektør på fullmakt fra den Behandlingsansvarlige. Alle kostnader knyttet til slik revisjon skal dekkes av den behandlingsansvarlige.
Databehandleren forplikter seg til å gi tilsynsmyndighetene, som etter gjeldende lovgivning har tilgang til den behandlingsansvarliges eller databehandlerens lokaler, eller representanter som opptrer på slike tilsynsmyndigheters vegne, adgang til databehandlerens fysiske lokaler ved presentasjon av behørig legitimasjon.
12. Ikrafttredelse og opphør
Vilkårene trer i kraft ved inngåelse av tjenesteavtale og gjelder så lenge databehandlertjenestene varer. I denne perioden kan Vilkårene ikke sies opp, med mindre partene avtaler andre vilkår som regulerer levering av databehandlertjenestene.
TJENESTE: Altibox Bedrift Premium – Bredbånd, Managed Wifi og sikkerhetspakke
Altibox Bedrift Premium er en pakkeløsning for trådløst nett i bedrifter og borettslag. Løsningen kan benyttes både til å tilby sikkert trådløst nett til ansatte og andre godkjente brukere, og til å tilby et offentlig tilgjengelig nett for besøkende
Behandlingsansvarlig har tilgang til å personopplysningene som behandles via Dashboard i løsningen og kan gjøre endringer i oppsett av tjenesten her. Behandlingen beskrevet her er standard oppsett fra leverandørens side.
A.1. Formålet med databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige er:
Formålet med behandlingen av personopplysninger er å levere en sikker og stabil wifi- tjeneste.
Identifisering av wifi-brukere brukes til kun for driftsformål - for å forebygge og eventuelt oppklare sikkerhetshendelser og uønsket bruk.
A.2. Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige skal primært dreier seg om (behandlingens art):
Innsamling av opplysninger i forbindelse med logger som kan benyttes til å forebygge eller oppklare uønskede hendelser. Sletting av opplysninger i henhold til fastsatte slettefrister. Ytterligere beskrivelse av tjenesten finnes i egen tjenestebeskrivelse.
A.3. Behandlingen omfatter følgende kategorier av personopplysninger om de registrerte:
PÅ INTERNT NETT
Trafikkanalyse
• Trafikk-kategorier (applikasjon hvis kategorisert)
• Ved blokkerte nettsider vil domenenavn og enhetsinfo logges i Event-logg slik at man kan se hvilken klient som prøvde å aksessere noe som er blokkert
PÅ GJESTENETT
Brannmuren logger følgende for alle klienter:
• MAC-adresse
• Enhetsnavn (det navnet du har gitt enheten din eller MAC-adresse dersom ukjent)
• DeviceType og OS (eks. Android)
• Mengde data som lastes opp og ned
• Båndbreddebruk over tid (siste måned)
• IP-adresse
• Tilkoblingsinfo siste måned: tidspunkt for tilkobling, signalstyrke, tid det tok før tilkobling ble fullført, wifi-kanal og antall tilkoblinger siste måned
Om Administratorbrukere
• Påloggingsinformasjon
• Endringslogg i systemet
A.4. Behandlingen omfatter følgende kategorier av registrerte:
• Ansatte og gjestebrukere hos Behandlingsansvarlige som benytter wifi-løsningen
• Administrator-brukere hos Behandlingsansvarlig(?)
Leverandører som benyttes innen systemstøtte.
Dette er leverandører av systemer og løsninger hvor leverandøren bidrar med drift eller problemløsning.
NAVN | LOKASJON | BESKRIVELSE AV BEHANDLINGEN |
Cisco Meraki | EU/EØS | Administrasjonsverktøy for wifi-løsningen der all konfigurasjon settes og lagres. Lagring og behandling av opplysningene som samles inn |
Altibox AS | Norge | System for kundeinformasjon som danner grunnlag for support og fakturering. Lagrer informasjon om bedriftens navn, kontaktinformasjon, og kontaktperson. |