Databehandleravtale mellom

Databehandleravtale Sist endret: 01.01.2023

Databehandleravtale mellom

"Brukeren" av "Tjenesten"

(Behandlingsansvarlig)

og Systemsmia DA (Databehandler)

i felleskap "Partene"

1. Avtalens hensikt

Partene har inngått en sluttbrukeravtale som gir Behandlingsansvarlig en bruksrett til "Tjenesten" levert av Databehandler. Denne avtalen er et vedlegg til sluttbrukeravtalen, og skal anses inngått på samme tidspunkt som sluttbrukeravtalen trer i kraft.

Avtalens hensikt er å regulere rettigheter og plikter om behandling av personopplysninger etter gjeldende lovgivning. Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende.

Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.

Behandlingsansvarlig har til enhver tid full råderett over personopplysninger som omfattes av avtalen.

2. Formål

Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig, og formålet er å levere og administrere Tjenesten. Personopplysninger som Databehandler behandler i Tjenesten, vil ikke bli brukt til andre formål enn dette.

Personopplysningene som behandles i henhold til denne avtalen har ikke Databehandler råderett over, og kan ikke behandle disse til egne formål, ansatte hos Databehandler som arbeider med utvikling, drift og brukerstøtte har tilgang til å se personopplysninger. Databehandler har taushetsplikt.

Databehandler kan ikke overføre personopplysninger til underleverandører eller andre tredjeparter uten at dette på forhånd er godkjent av Behandlingsansvarlig.

3. Behandlingsansvarliges plikter

Behandlingsansvarlig bærer den fulle risikoen og er ansvarlig for hvilken informasjon som legges inn og registreres i Tjenesten av Behandlingsansvarlig, og at denne informasjonen er adekvat, relevant og begrenset til det som er nødvendig for at Behandlingsansvarlig skal kunne oppnå formålet med bruk av Tjenesten.

Behandlingsansvarlig garanterer også for at alle personopplysninger som lagres, registreres og ellers behandles i Tjenesten til Databehandler har rettslig grunnlag, og skjer i samsvar med den til enhver tid gjeldende personopplysningslov, herunder at de grunnleggende prinsipper for behandling av personopplysninger overholdes.

Behandlingsansvarlig har før inngåelsen av sluttbrukeravtalen foretatt en vurdering av risikoen knyttet til bruken av Tjenestene og Databehandler, og funnet dette forsvarlig og i samsvar med personvernlovgivningen.

4. Databehandlers plikter

Databehandler skal følge de rutiner og instrukser for behandlingen som Behandlingsansvarlig til enhver tid har bestemt skal gjelde.

Databehandler plikter å gi Behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at Behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift.

Behandlingsansvarlig har, med mindre annet er avtalt eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette.

Databehandler og Databehandlers ansatte har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør.

Kostnader Databehandler pådrar seg i forbindelse med å bistå Behandlingsansvarlig med å oppfylle sin plikt til å svare på anmodninger som den registrerte inngir med hensyn til å utøve sine rettigheter, kan Databehandler fakturere Behandlingsansvarlig for.

5. Bruk av underleverandører

Databehandler har rett til å benytte underleverandører til Tjenesten så langt det er nødvendig for at Databehandler skal kunne utføre sine forpliktelser etter sluttbrukeravtalen.

Databehandler skal i skriftlig avtale med enhver underleverandør, sikre at behandling av personopplysninger utført av underleverandører skal være underlagt de samme forpliktelser og begrensninger som Databehandler er pålagt i henhold til denne avtalen.

Databehandleren plikter å underrette Behandlingsansvarlig om endringer i benyttede underleverandører. Nye underleverandører som blir lagt til i Tjenesten pliktes det ikke å varsles om.

Varsel om endring av underleverandører gis i rimelig tid før underleverandøren tas i bruk for å gi den Behandlingsansvarlige mulighet til å heve sluttbrukeravtalen om ønskelig før underleverandøren benyttes. Dersom Behandlingsansvarlig ikke sier opp avtalen, anses den nye underleverandøren akseptert.

Databehandler vil kun utlevere personopplysninger til eksterne leverandører dersom dette er nødvendig for at den aktuelle leverandøren skal kunne levere tilleggstjenesten den Behandlingsansvarlige har bestilt gjennom Tjenesten. Behandlingsansvarlig er ansvarlig for at bruken av den aktuelle underleverandør er i samsvar med personopplysningsloven.

En oversikt over de til enhver tid benyttede underleverandører er tilgjengelig på hjelpesiden til Tjenesten.

6. Sikkerhet

Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningslovens § 13 – 15 med forskrifter og de krav som fremgår av GDPR, se artikkel 32.

Databehandler skal implementere og iverksette tilstrekkelige tekniske og organisatoriske sikringstiltak for å beskytte personopplysninger som omfattes av denne avtalen mot tilfeldig eller ulovlig ødeleggelse eller tap, endring, uautorisert eksponering eller tilgang.

Databehandler plikter å underrette Behandlingsansvarlig skriftlig om brudd på personopplysningssikkerheten uten ugrunnet opphold etter å ha fått kunnskap om bruddet. Melding om brudd skal sendes til Behandlingsansvarliges registrerte e-postadresse.

Behandlingsansvarlig er ansvarlig for å sende avviksmelding til Datatilsynet. Databehandler plikter å bistå Behandlingsansvarlig med informasjon for å sikre at kravene til varsling til Datatilsynet og de berørte registrerte blir møtt.

Dersom Databehandler får kunnskap om et brudd på personopplysningssikkerheten som ikke bare påvirker Behandlingsansvarlig, men flere av Databehandlers brukere, kan Databehandler sende inn en egen avviksmelding til Datatilsynet på vegne av Databehandlers brukere, herunder Behandlingsansvarlig.

De overordnede sikkerhetsprinsipper er tilgjengelig på hjelpesiden til Tjenesten.

7. Avtalens varighet

Avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig.

Ved brudd på denne avtalen eller personopplysningsloven kan Behandlingsansvarlig pålegge Databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.

8. Meddelelser

Alle meddelelser fra Databehandler vil bli sendt til Behandlingsansvarliges registrerte e-postadresse i Tjenesten. Meddelelser fra Behandlingsansvarlig til Databehandler skal sendes skriftlig til xxxx@xxxxxxxxxx.xx

9. Ved opphør

Ved opphør av avtalen plikter Databehandler å slette alle registrerte opplysninger som er mottatt på vegne av Behandlingsansvarlig og som omfattes av denne avtalen, med mindre det

kreves i lov at opplysningene lagres.

Det er Behandlingsansvarlig sin plikt å laste ned kopi av opplysninger før Databehandler gjennomfører sletting.

All sletting av registrerte opplysninger skal være gjennomført innen 30 dager etter avtalens opphør. Dette gjelder også eventuelle sikkerhetskopier. Unntatt fra dette er Behandlingsansvarliges data som Databehandler er forpliktet til å oppbevare i henhold til gjeldende regelverk eller i kraft av sitt profesjonsansvar.

10. Lovvalg og verneting

Avtalen og enhver tvist forbundet med den, er underlagt norsk rett. Dersom det oppstår en tvist mellom Partene om gyldigheten, tolkningen eller gjennomføringen av avtalen, og tvisten ikke kan løses ved forhandlinger, skal tvisten bringes inn for de ordinære domstoler. Bergen tingrett vedtas som verneting.