DATABEHANDLERAVTALE
DATABEHANDLERAVTALE
1.AVTALENS HENSIKT
Dette bilaget inneholder en databehandleravtale, og inngår som en del av Oppdragsavtalen. Databehandleravtalens hensikt er å regulere rettigheter og plikter etter den enhver tid gjeldende lov om behandling av personopplysninger (personopplysningsloven).
Databehandleravtalen skal sikre at personopplysninger om de Registrerte ikke brukes urettmessig eller kommer uberettigede i hende.
Databehandleravtalen regulerer Regnskapsforetakets, dvs. databehandlerens, behandling av personopplysninger på vegne av Kunden, dvs. den behandlingsansvarlige Med behandling menes enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring eller utlevering.
2.DEFINISJONER
Personopplysninger: |
En personopplysning er enhver opplysning om en identifisert eller identifiserbar fysisk person (den registrerte). For at det skal være en personopplysning er det en forutsetning at det er en kobling mellom opplysningen og personen.
|
Særlige kategorier personopplysninger: |
Opplysning om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.
|
De registrerte: |
De personer som personopplysningene kan knyttes til.
|
3.FORMÅL
Formålet med denne databehandleravtalen er å regulere Regnskapsforetakets behandling av personopplysninger på vegne av sine Kunder.
Regnskapsforetaket kan gjennom sitt arbeid bl.a. komme i kontakt med og behandle følgende kategorier personopplysninger:
Personopplysning |
Formål med opplysningen |
For- og etternavn |
Identifikasjon for korrekt utbetaling av lønn og godtgjørelser herunder reiseregninger og utlegg. Identifikasjon for hendelser relatert til arbeidsforholdet og identifikasjon ved annen pliktig offentlig innrapportering. |
Adresse privat |
Kommunikasjon. |
Adresse arbeidssted |
Offentlig og intern rapportering. |
Statsborgerskap |
A-melding og sikre korrekte ytelser og trekk. |
Bostedsland |
A-melding og sikre korrekte ytelser og trekk. |
Telefonnummer (fast) |
Kommunikasjon. |
Telefonnummer (mobil) |
Kommunikasjon. |
E-postadresse |
Kommunikasjon. |
Fødselsdato / nummer |
Identifikasjon for utbetaling av lønn og godtgjørelser herunder reiseregninger og utlegg, arbeidsforhold, annen pliktig offentlig innrapportering. |
Kjønn |
Statistikkformål for styrets årsberetning, intern rapportering mv. |
Ansattnummer / ArbeidsforholdsID |
A-melding. Intern identifikasjon og kategorisering for tilordning i avdeligsregnskap mv. |
Kontonummer i bank |
Sikre korrekt utbetaling av lønn og andre ytelser. |
Sivilstatus |
Sikre korrekte ytelser og trekk som påvirkes av sivilstatus. |
Ektefelle, herunder navn og fødselsnummer |
Sikre korrekt skattemessig innrapportering av lønnsforhold, formuesforhold mv. |
Pårørendeinformasjon |
Kommunikasjon med pårørende om særskilte forhold ved akutt sykdom, dødsfall mv. |
Stillingsbetegnelse / yrkeskode |
A-melding og sikre korrekt utbetaling lønn. |
Stillingsnivå, herunder stillingsprosent og timer pr uke. Dato for siste endring. |
A-melding og sikre korrekt utbetaling lønn. |
Arbeidstidsordning |
A-melding og sikre korrekt utbetaling lønn. |
Yrkesopplysninger av betydning for lønns og arbeidsvilkår |
A-melding og sikre korrekt utbetaling lønn. |
Utdannelse og praksis, herunder lønnsansiennitet. |
A-melding og sikre korrekte ytelser og trekk. |
Medlemskap i fagforeninger og andre yrkesrelaterte foreninger. |
Sikre korrekte ytelser og trekk. |
Dekket av tariffavtale, herunder lønnstrinn |
Sikre korrekte ytelser og trekk. |
Lønns- og provisjonsopplysninger, herunder avlønningstype og siste dato for avlønning. |
A-melding og sikre korrekt utbetaling lønn. |
Pensjonsopplysninger |
Sikre korrekt pensjonsinnbetaling og pensjonsytelse. |
Skattetrekksopplysninger |
Sikre korrekt skattetrekk. |
Forsikringsforhold, herunder dekningsomfang og nødvendige helseopplysninger (egenerklæringer mv) |
Sikre korrekt forsikringsdekning etter avtale mellom arbeidsgiver og forsikringsselskap. |
Fravær og permisjoner, herunder type og varighet. |
Sikre korrekte ytelser og trekk. Offentlig innrapportering av sykepenger, permisjonsgodtgjørelse mv. |
Ansettelses- og sluttdato, herunder start- og sluttdatoer ved fusjon og fisjon. |
A-meldingen, lønnsberegninger og forsikringsordninger. Følge opp jubileum mv. |
Sluttårsak, herunder oppsigelse og dødsfall. |
Sikre korrekte ytelser og trekk. Statistiske formål. |
Firmabil og andre naturalytelser |
Sikre korrekt regnskapsrapportering og innberetning av fordel. Forsikringsdekningsformål. |
Eierandeler i selskap |
Aksjonærregstermeldinger |
Rolle i selskap |
Sikre korrekte ytelser og trekk. Interne rapporteringsformål. A-melding. Sikre korrekte opplysninger i årsregnskapet. |
Vilkår i aksjonæravtaler |
Sikre korrekt behandling aksjonærer i mellom. |
Eiendeler i samboerskap |
Sikre korrekt innberetning av skattemessige formål. |
Xxxxx / fordringer overfor arbeidsgiver, herunder vilkår for mellomregningen. |
Sikre korrekt inn- og utbetaling samt avregning av renter og gebyrer. |
Informasjon i regnskapsdokumentasjon om ansattes atferdsmønster, herunder kjøp av varer og tjenester og bevegelsesmønster |
Godtgjørelse av utlegg pådratt i næringsvirksomhet eller føring av private utgifter på privatkonto. |
[…] |
|
Kategorier av registrerte vil kunne inkludere:
Ansatte, vikarer eller midlertidig ansatte hos Kunden
Personlige kunder hos Xxxxxx
Eiere av Kundens virksomhet
Styremedlemmer hos Xxxxxx
[…]
4.REGNSKAPSFORETAKETS PLIKTER
Regnskapsforetaket skal bare behandle personopplysningene de får tilgang til som ledd i oppfyllelse av sine kontraktsforpliktelser overfor Xxxxxx. Regnskapsforetaket har ikke rett til å utlevere personopplysningene til andre, bortsett fra til godkjente underleverandører, jf. pkt. 5 og ved myndighetspålegg eller andre lovmessige plikter.
Regnskapsforetaket skal på forespørsel gi Kunden tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at begge kan ivareta sitt ansvar etter lov og forskrift.
Regnskapsforetaket og dets underleverandører skal kun behandle personopplysningene i Norge og EU, eller i et annet land så langt dette er avtalt og lovlig.
Kunden skal ha tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål.
Regnskapsforetaket har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang med mindre annet er avtalt eller følger av lovgivning. Denne bestemmelsen gjelder også etter avtalens opphør.
5.BRUK AV UNDERLEVERANDØR
Kunden samtykker til at personopplysninger og annen taushetsbelagt informasjon som Regnskapsforetaket får overlevert i forbindelse med oppdragsutførelsen kan videreformidles og behandles på system tilhørende underleverandører. Slik videreformidling fordrer at det foreligger en avtale mellom Regnskapsforetaket og underleverandøren som tilfredsstiller vilkårene i Personopplysningsloven.
Ved avtaleinngåelse har Regnskapsforetaket engasjert følgende underleverandør(er), der bruk av de aktuelle personopplysningene inngår:
[sett inn navn]
[sett inn navn]
Samtlige som på vegne av Regnskapsforetaket utfører oppdrag der bruk av personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.
6.SIKKERHET
Regnskapsforetaket skal oppfylle de krav til sikkerhet som stilles etter personopplysningsloven og kunne dokumentere rutiner og andre tiltak for å oppfylle disse kravene.
Sikkerhetstiltak som er etablert hos Regnskapsforetaket inkluderer:
Målsetting |
Overordnede tiltak / Intern kontroll |
Konfidensialitet Sikre at kun autoriserte brukere har tilgang til regnskapsmaterialet.
|
[Eksempelvis: Tilgangskontroller, kryptering av databaser, sikker kommunikasjon av data.] |
Integritet Sikre nøyaktighet og fullstendighet av regnskapsmaterialet, sikkerhet mot uautorisert endring og sporbarhet av endringer.
|
[Eksempelvis: Tilgangskontroller, kryptering av databaser, sikker kommunikasjon av data.] |
Tilgjengelighet Sikre at regnskapsmaterialet er tilgjengelig for autoriserte personer ved behov.
|
[Eksempelvis: Beredskapsplan, sikkerhetskopier] |
Dokumentasjonen skal være tilgjengelig på Kundens forespørsel.
Dersom det skjer sikkerhetsbrudd, skal Regnskapsforetaket varsle Kunden, og Kunden melde dette til Datatilsynet.
7.SIKKERHETSREVISJONER
Regnskapsforetaket skal jevnlig revidere systemene som brukes til å behandle personopplysningene. Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller og andre egnede kontrolltiltak.
8.DATABEHANDLERAVTALENS VARIGHET OG ENDRINGER
Databehandleravtalen gjelder så lenge Regnskapsforetaket behandler personopplysninger på vegne av Kunden.
Ved brudd på denne databehandleravtale eller personopplysningsloven kan Kunden pålegge Regnskapsforetaket å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.
Databehandleravtalen kan endres ved behov og enighet mellom partene, herunder ved utvidelser av oppdraget. Bestemmelser om endringer fremgår av Standard leveransevilkår for regnskapsoppdrag punkt 7.
9.VED OPPHØR
Ved opphør plikter Regnskapsforetaket å tilbakelevere, slette eller destruere alle personopplysninger, som ikke inngår i regnskapsførerforetakets oppdragsdokumentasjon. Dersom Kunden ønsker det må regnskapsforetaket skriftlig bekrefte dette innen rimelig tid.
10.MEDDELELSER
Meddelelser etter denne databehandleravtalen skal sendes skriftlig til de kontaktpersoner som er identifisert i Oppdragsavtalen som partenes representanter.
11.LOVVALG OG VERNETING
Lovvalg og verneting er regulert i Standard leveransevilkår for regnskapsoppdrag.
Dato og signatur fra Kunde:
______________________
Databehandleravtale | Regnskap Norge 2018-1 Side 5 av 5