NLP DATABEHANDLERBETINGELSER
NLP DATABEHANDLERBETINGELSER
1. Bakgrunn.
Norsk Lastbærer Pool AS (heretter NLP) er etablert av bransjeorganisasjonene DLF og DMF for på en mest mulig kostnadseffektiv og miljøvennlig måte å utvikle og administrere retursystemer for gjenbruks lastbærere for norsk dagligvarebransje. Ved å undertegne avtaleskjema for tilslutning til NLPs leie og returordninger har NLPs avtalepartner, kunden, godtatt at nærværende databehandlerbetingelser (heretter DB) utgjør en bindende del av avtaleforholdet.
2. Definisjoner.
«NLP» er leverandør av tjenester/varer i henhold til det undertegnede standard avtaleskjema, og er i henhold til disse databehandlingsbetingelser, Databehandler.
«Kunde(n)» er den som er kunde etter det undertegnede avtaleskjema, og er i henhold til disse databehandlingsbetingelser, Behandlingsansvarlig.
«Part» viser til NLP/Databehandler eller Kunden/Behandlingsansvarlig hver for seg, og «Partene» til disse sammen.
«DB» viser til nærværende databehandlerbetingelser som er en bindende del av Hovedavtalen, jf. nedenfor, som er inngått mellom Partene, hvor NLP skal behandle personopplysninger på̊ vegne av Behandlingsansvarlig. DB omfatter også̊ nye tjenester, tilleggstjenester og evt. moduler som innlemmes i NLPs programvare og/eller database.
«Hovedavtale(n)» viser til avtalen som er inngått mellom NLP og Kunden vedrørende levering av tjenester. Avtaleforholdet består av et standard Avtaleskjema, Avtalebetingelser, NLP-reglene og nærværende DB (om behandling av personopplysninger som NLP skal foreta for Behandlingsansvarlig som følge av den kundeavtale som er inngått med NLP som leverandør og Behandlingsansvarlige som Kunde) med NLP Samtykkeerklæring, samlet kalt (i disse databehandlingsbetingelser) for Hovedavtalen.
"Personopplysninger" omfatter enhver opplysning om en identifisert eller identifiserbar fysisk person. Eksempler: f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet.
"Grenseoverskridende behandling" betyr overføring av personopplysninger til mottakere utenfor EU eller EØS-området ("tredjeland") som angitt i gjeldende personvernlovgivning.
Andre betegnelser som benyttes, men som ikke er definert i DB skal forstås likt med det som fremkommer av til enhver tid gjeldende personopplysningslovgivning. Alle andre betegnelser i DB skal, der det måtte passe, ha den betydning som fremgår av DB.
3. DBs formål
I forbindelse med ytelse av de tjenester, som skal leveres i henhold til Hovedavtalen, vil NLP behandle personopplysninger om den Behandlingsansvarliges kunder, ansatte og andre personer hvor personopplysninger er oppgitt. Hovedformålet med DB er å sikre at NLPs behandling av personopplysninger på̊ vegne av Behandlingsansvarlig er i overenstemmelse til enhver tid gjeldende
personopplysningslovgivning. Med personopplysningslovgivningen menes det i DB all lovgivning som har å gjøre med personvern.
Formålet med behandlingen, varigheten av behandlingen, behandlingens art, de typer personopplysninger som skal behandles og kategorier av registrerte følger av Hovedavtalen.
DB skal sikre at personopplysninger behandles i samsvar med de til enhver gjeldende krav i personopplysningslovgivningen.
NLP skal behandle personopplysningene på den måte som er beskrevet i DB. Annen behandlingsmåte skal avtales skriftlig mellom Partene.
Begreper og definisjoner benyttet i DB skal forstås på samme måte som i personopplysningslovgivningen.
4. Partenes rettigheter og plikter.
4.1 Generelt – Hovedavtalen.
Partenes rettigheter og plikter er regulert i Hovedavtalen. DB bygger på ovennevnte Hovedavtale hva gjelder behandlingen av personopplysninger gitt av Kunden og dens representanter.
I korte trekk innebærer Hovedavtalen at Kunden bestiller vareleveranser av og gjennom NLP. Kundeforholdet innebærer at Kunden registrerer en eller flere kundeprofiler i NLPs programvare og database for å forvalte avtaleforholdet i Hovedavtalen. Dette medfører registrering av selskapet som Kunde i NLPS register, med etterfølgende registrering av Xxxxxxxx representer ved navn, telefonnummer, e-postadresse og tilknytning til selskap/arbeidsgiver i databasen.
4.2 Rekkevidden av ansvar - behandlingen av personopplysninger
NLPs database i denne programvaren er tilgjengelig for samtlige av NLPs øvrige kunder og kundenes utvalgte representanter, slik at kunder i databasen kan kontakte hverandre og avtale øvrige leveranser mellom partene. Personopplysningene er også tilgjengelig for NLPs medarbeidere.
Behandlingsansvarlig, dvs. Kunden, er ansvarlig for å inneha det rettslige grunnlaget for å innhente, behandle, lagre, oppgi og videresende personopplysningene, herunder for at samtykke foreligger både internt og eksternt hvor de ansatte og andre hvor personopplysninger er oppgitt, aksepterer behandling av personopplysninger hos NLP. I tillegg skal Behandlingsansvarlig ha ansvaret for å holde personopplysninger og kundeprofiler oppdatert til enhver tid – herunder aktivere, oppdatere og deaktivere brukere etter hvert som disse avslutter ansettelsesforholdet, evt. ikke skal ha en kundeprofil i NLPs register av andre grunner.
Behandlingsansvarlig skal umiddelbart gi tilbakemelding om endringer i kundeprofiler. Behandlingsansvarlig skal varsle NLP dersom det foreligger mistanke om, eller det har blitt avdekket, et brudd på ovennevnte plikter eller personopplysningslovgivningen.
Behandlingsansvarlig skal dekke alle kostnader som NLP får på grunn av mislighold dersom misligholdet beror på forhold på Behandlingsansvarliges side.
4.3 Øvrige rettigheter og plikter – tiltak, innsyn, tilsyn m.m.
4.3.1 Tekniske og organisatoriske tiltak
NLP bekrefter at NLP vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at all behandling av personopplysninger oppfyller kravene i personopplysningslovgivningen og vern av den registrertes rettigheter, herunder innfrir alle kravene etter personvernforordningens artikkel 32. Se også ytterligere plikter i punkt 4.
NLP skal bistå Behandlingsansvarlig i å svare på anmodninger fra registrerte hensyntatt behandlingens art og i den grad det er mulig, bistå, ved hjelp av egnede tekniske og organisatoriske tiltak.
Dette gjelder både anmodninger fra de registrerte om å utøve sine rettigheter etter personvernforordningens kapittel III samt bistå Behandlingsansvarlig med å sikre overholdelse av forpliktelsene knyttet til personopplysningssikkerhet.
Tilsvarende gjelder for bistand med vurdering av personvernkonsekvenser og forhåndsdrøftinger i personvernforordningens artikkel 32 til 36, hensyntatt behandlingens art og den informasjonen som er tilgjengelig for NLP.
Foreligger det godkjente adferdsnormer etter personvernforordningens artikkel 40 eller godkjent sertifiseringsordning etter artikkel 42, som NLP har påtatt seg å overholde eller være sertifisert etter, plikter NLP å etterkomme slike adferdsnormer eller sertifiseringskrav.
4.3.2 Rettslig grunnlag for å behandle personopplysninger
NLP skal bare behandle personopplysningene i tråd med avtaleforholdet mellom Partene og dets formål. NLP skal til enhver tid kunne dokumentere avtaleforholdet.
NLP skal ikke behandle personopplysninger NLP får tilgang til på annen måte enn det som er nødvendig for å utføre de oppdrag som NLP har for Behandlingsansvarlig.
4.3.3 Protokoll/loggføring
NLP skal føre protokoll(er) (logg) over behandlingsaktiviteter NLP utfører på vegne av den Behandlingsansvarlige, som skal inneholde minimum den informasjon som er pålagt etter personvernforordningen artikkel 30. Behandlingsansvarlig kan til enhver tid kreve innsyn i protokoll(er).
NLP skal gjøre tilgjengelig for Behandlingsansvarlig all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i DB er oppfylt, samt muliggjøre og bidra til revisjoner, herunder inspeksjoner, som gjennomføres av Behandlingsansvarlig eller en annen inspektør med fullmakt fra Behandlingsansvarlig. Dette omfatter også å gi tilgang til sikkerhetsdokumentasjon. Behandlingsansvarlig har selv det direkte ansvar overfor aktuelle tilsynsmyndigheter.
4.3.4 Taushetsplikt
NLP har taushetsplikt om personopplysninger som NLP får tilgang til som en følge av Hovedavtalen og behandling av personopplysningene. NLP skal sikre at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til å behandle opplysningene fortrolig eller er underlagt en egnet lovfestet taushetsplikt. Denne bestemmelsen gjelder også etter Hovedavtalens opphør.
Personopplysninger deles som nevnt i punkt 2.2 internt mellom NLPs kunder i databasen. NLP skal imidlertid ikke utlevere opplysninger eller informasjon som NLP behandler for Behandlingsansvarlig til
andre tredjeparter uten eksplisitt pålegg fra Behandlingsansvarlig. Henvendelser til NLP skal NLP videreformidle til Behandlingsansvarlig så raskt som mulig.
Er NLP av den oppfatning at en instruks fra Behandlingsansvarlig er i strid med personopplysningslovgivningen eller annen lovgivning, skal NLP umiddelbart underrette Behandlingsansvarlig om sin oppfatning.
5 Bruk av underdatabehandler (hvis relevant)
NLP skal kun benytte underleverandører (underdatabehandler) til behandling av personopplysninger i Hovedavtalen, som har bekreftet å gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at all behandling oppfyller kravene i personopplysningslovgivningen og vern av de registrertes rettigheter.
Behandlingsansvarlig gir NLP generell tillatelse til bruk av underdatabehandler for behandling av personopplysninger etter DB. I tilfelle NLP har planer om å benytte andre underdatabehandlere eller skifte ut underdatabehandlere, skal NLP underrette Behandlingsansvarlig om planene.
Underdatabehandler skal pålegges de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i DB hvor underdatabehandler skal gi tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller lovmessige krav. NLP har overfor Behandlingsansvarlig fullt ansvar for at underdatabehandler oppfyller sine forpliktelser med hensyn til vern av personopplysninger og kravene i DB.
6 Sikkerhet og avvik
NLP skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningslovgivningen. NLP skal kunne dokumentere rutiner og andre tiltak for å oppfylle disse kravene.
Dokumentasjonen skal være tilgjengelig på Behandlingsansvarliges forespørsel.
Det skal gjennomføres sikkerhetsrevisjoner jevnlig, og revisjoner kan omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak. Det skal avtales Behandlingsansvarliges plikt til å dekke eventuelle ressursforbruk forbundet med utøvelse av slik revisjon.
I tilfelle sikkerhets- eller personvernbrudd, skal NLP varsle Behandlingsansvarlige uten ugrunnet opphold. Melding om brudd skal minimum inneholde:
I. Beskrivelse av arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall personopplysningsposter som er berørt,
II. Navnet på og kontaktopplysningene til personvernrådgiveren eller et annet kontaktpunkt der mer informasjon kan innhentes,
III. Beskrivelse av de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten,
IV. Beskrivelse av de tiltak som er truffet eller foreslås truffet, for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.
Dersom ikke alle opplysninger kan gis i første melding, skal opplysningene gis suksessivt så snart de foreligger.
7 Overføring til utlandet - grenseoverskridende behandling (hvis relevant)
NLP skal ikke overføre til land utenfor EU/EØS (tredjeland) eller la personer i tredjeland, på noen måte få tilgang til personopplysninger uten at Behandlingsansvarlig har eksplisitt på forhånd godkjent dette skriftlig og gitt instruks om overføring eller tilgang.
Samtykke og instruks må dekke hvilke(t) land opplysningene skal kunne overføres til. Overføring til tredjeland forutsetter, selv med samtykke og instruks, at de krav til sikkerhet og vern av de registrertes rettigheter som følger av personvernlovgivningen, er ivaretatt.
8 Avtalens varighet, pålegg om stans, plikter ved opphør/oppsigelse
DB gjelder så lenge Hovedavtalen gjelder mellom Partene, dvs. så lenge NLP behandler eller har tilgang til personopplysninger på vegne av Behandlingsansvarlig.
Dersom Hovedavtalen bringes til opphør, kan Behandlingsansvarlig pålegge NLP å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.
NLP skal, etter Behandlingsansvarliges instruksjon, slette eller tilbakelevere alle personopplysninger til Behandlingsansvarlig etter at tjenestene knyttet til behandlingen er levert, og slette eksisterende kopier, med mindre det er et lovmessig krav om at personopplysningene skal fortsatt lagres. Dette gjelder også for eventuelle sikkerhetskopier, men hvor det er tilstrekkelig med å overskrive etter de etablerte rutiner for sikkerhetskopiering.
Behandlingsansvarlig skal motta en skriftlig bekreftelse fra NLP på at alle personopplysninger er returnert eller slettet i henhold til Behandlingsansvarliges instruksjoner og at NLP ikke har beholdt kopi, utskrifter eller andre former for personopplysninger i noen form.
9 Øvrige plikter og rettigheter
DB skal ikke utvide Behandlingsansvarliges sanksjonsmuligheter, herunder erstatningsansvar for NLP, utover det som ellers følger av Hovedavtalen.
Ved eventuell overdragelse av Hovedavtalen til andre parter, skal DB løpende inngå uforandret.
10 Lovvalg, tvisteløsning og verneting
Avtalen er underlagt norsk rett. Partene skal forsøke å løse tvister ved forhandlinger. Dersom minnelig løsning er utelukket vedtar partene NLPs verneting som verneting.
11 Motstrid, endringer m.m.
Ved motstrid mellom bestemmelsene i DB og Hovedavtalen for øvrig, skal bestemmelsene i DB gå foran hva gjelder behandling av personopplysninger. Eventuelle endringer i DB varsles Behandlingsansvarlig overensstemmene med de regler som er inntatt i punkt 7 i Avtalebetingelsene som inngår som en del i Hovedavtalen.
***