Contract
Databehandleravtale mellom Sivilingeniør Xxxxx og kunde gjeldende bruk av produktet «Berøringsfri besøksregistrering» fra Xxxxxxxx.xx
Denne databehandleravtalen («behandleravtalen») er inngått på siste signeringsdato mellom virksomhetene
Sivilingeniør Olsen (xxx.xx. 918802150), Vestre Rosten 7, 7072 Heimdal som DATABEHANDLER
og KUNDENAVN:
ORGNR:
ADRESSE:
EPOST:
som BEHANDLINGSANSVARLIG.
Følgende begreper har den betydning de har i Personvernforordningen:
• Databehandler
• Behandlingsansvarlig
• Den registrerte eller datasubjekt
• Personlige data
• Prosess og behandling
• Datainnbrudd (data breach)
Hensikten med avtalen er å regulere ansvarsforhold og arbeidsform ved databehandling av databehandleren på vegne av behandlingsansvarlig.
3 Personlige data, datasubjekter og prosesseringsoperasjoner
Databehandlere skal på vegne av behandlingsansvarlig behandle følgende kategorier av personlige data:
• Navn
• Epost
• Telefonnummer
• Opphold på lokasjon under kontroll av databehandleren
• Alle andre data som anses som personlige data under Personvernforordningen som datasubjektet velger å dele med behandleren som en del av bruken av programvare, nettsteder og annen elektronisk kommunikasjon
Datasubjekter er de som benytter registreringsapplikasjonen for å registrere besøk på lokasjonen, og kontaktinformasjon som er nødvendig for gjennomføring av tjenesten med behandlingsansvarlig virksomhet.
Behandlingen av data skal bestå av:
• Innsamling av data fra datasubjekter via en nettside
• Systematisk organisering av besøksdata i en webportal for behandlingsansvarlig
• Sikkerhetsrelatert behandling som logging, analyse og sikkerhetskopiering med den hensikt å ivareta informasjonssikkerheten til systemet og dataene som behandles
Databehandleren skal ikke behandle data på noen annen måte enn det som er avtalt i denne databehandleravtalen uten at det foreligger en skriftlig utvidelse av avtalen.
Denne avtalen løper så lenge det foreligger et kundeforhold, eller det er nødvendig for å ivareta personvernet til de registrerte datasubjektene.
5 Den behandlingsansvarliges plikter
Den behandlingsansvarlige skal:
• Gjennomføre vurderinger av konsekvens og risiko for personvern i henhold til krav i regelverket
• Bistå behandleren ved håndtering av eventuelle sikkerhetshendelser ved å rapportere inn slike hendelser eller mistanke om slike hendelser i eget lokale, som kan få betydning for databehandleren
Databehandleren skal:
• Kun behandle data innsamlet til det formålet som er avtalt og gjengitt til subjektene i personvernerklæringen
• Databehandleren skal holde skriftlig oversikt over alle kategorier av personlige data som behandles, samt operasjoner som gjennomføres på disse dataene. Denne dokumentasjonen kan foreligge i form av programkode.
• Overføring til tredjeland skal kun utføres der underleverandøren kan vise å ha tilstrekkelig gode systemer og rutiner for sikkerhet og personvern
• En generell beskrivelse av sikkerhetstiltak som er gjennomført skal gjøres tilgjengelig for behandlingsansvarlig på forespørsel
• Behandleren skal ikke overlevere personlige data fra datasubjekter til tredjepart uten at dette er skriftlig avtalt med behandlingsansvarlig, eller behandleren er pålagt dette etter norsk lov.
• Databehandleren skal påse at alle ansatte og kontraktører som kommer i befatning med programvaren, personlige data eller håndtering av infrastruktur som kan påvirke gjennomføring av behandlingen skal ha mottatt nødvendig opplæring i personvern og informasjonssikkerhet.
• Ved datainnbrudd som kan ha betydning for behandlingsansvarlig og de registrerte skal behandleren gi beskjed til behandlingsansvarlig innen 24 timer etter at et mulig sikkerhetsbrudd har blitt oppdaget.
Behandlingsansvarlig skal holde databehandleren fritatt fra alle økonomiske og juridiske krav, tap, skade og erstatning påført behandlingsansvarlig som følge av bruken av dette produktet. Databehandleren skal holde behandlingsansvarlig fritatt fra alle økonomiske og juridiske krav, tap, skade og erstatning påført databehandleren grunnet hendelser relatert til bruken av dette produktet.
Alle forespørsler angående denne avtalen til behandleren skal sendes til Xxxxx Xxxxx, Telefon 00000000, xxxxx@xxxxxxxx.xx.
Alle forespørsler angående denne avtalen til behandlingsansvarlig skal sendes til den epostadresse som er oppgitt i denne avtalen.
Ansvarlig tilsynsmyndighet er Datatilsynet i Norge, uavhengig av hvilket land produktet benyttes i av behandlingsansvarlig.
Tvister relatert til overholdelse av denne avtale skal søkes løst i minnelighet. Dersom tvisten ikke lar seg løse utenfor rettssystemet skal saken føres for Trondheim Tingrett.
DENNE AVTALEN GJELDER KUN VED ETABLERING AV KUNDEFORHOLD ETTER HUSSJEKKS GENERELLE VILKÅR.
Signaturer
For Sivilingeniør Xxxxx Xxxxx Xxxxx Dato: | For kunde: Navn: Dato: |