EVRY


Databehandleravtale


EVRY Norge AS, xxx.xx. 933 012 867 («Databehandler» eller «EVRY»)
og
(fyll ut med firmanavn) , xxx.xx. (legg inn organisasjonsnr) («Databehandlingsansvarlig» eller «Kunde»)
Datert: 07 september 2018

EVRY Norge AS	Fyll ut kundenavn
____________________________________ Xxxx Xxxxx	____________________________________ NAVN
Avtalen signeres i to eksemplarer, ett til hver av partene. Avtalen signeres og returneres til EVRY på følgende e-post adresse: xxx-xxxxx@xxxx.xxx

0.XXXXXXXX AV AVTALEN

Kunden og EVRY har inngått en avtale, angående levering av eC Trade og EDI tjenester.

I forbindelse med levering av tjenester i henhold til Hovedavtalen, må EVRY behandle personopplysninger på vegne av Xxxxxx eller Xxxxxxx kunder. For å sikre at alle personlige data til enhver tid behandles i samsvar med gjeldende lov, er partene enige om å inngå denne Databehandleravtalen (DBA).

I tilfelle konflikt mellom DBA og hovedavtale, skal DBA gjelde.

Når det henvises til EVRY i denne DBA, skal dette også gjelde for EVRYs samarbeidspartnere samt enhver annen underbehandler som er tillatt i denne DBA. Når det henvises til Xxxxxx i denne DBA, skal dette også gjelde for Kundens kunder og andre databehandlingsansvarlige.

2.DEFINISJONER

«Datterselskap» til en part: alle juridiske personer som (i) direkte eller indirekte eier eller kontrollerer parten, (ii) har samme direkte eller indirekte eierforhold eller kontroll som parten, eller (iii) direkte eller indirekte styres av parten så lenge som slike eierforhold eller kontrollforhold varer. Eierskap eller kontroll skal foreligge gjennom direkte eller indirekte eierskap på femti prosent (50 %) eller mer av den nominelle verdien av den utstedte eierandelskapitalen eller på femti prosent (50 %) eller mer av aksjene som gir innehaveren rett til å stemme ved valg av styremedlemmer eller personer som utfører lignende funksjoner.

«Gjeldende lov»: lovverk og råd fra tilsynsmyndigheter, som er i kraft eller anvendelig for EVRY fra tid til annen (for eksempel direktiv 95/46/EC og fra og med 25. mai 2018 EUs nye personvernforordning (GDPR), gjeldende personopplysningslov, personopplysningsforskriften, personopplysningsforordningen og generelle råd).

«Behandlingsansvarlig»: en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett.

«Personopplysninger»: enhver opplysning om en identifisert eller identifiserbar fysisk person; en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet.

«Sensitive Personopplysninger»: personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.

«Brudd på personopplysningssikkerheten»: et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.

«Databehandler»: en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige.

«Behandling» eller «(å) behandle»: enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.

«Underleverandør»: en hvilken som helst underleverandør som behandler personopplysninger på vegne av EVRY eller en hvilken som helst annen underleverandør.

3.EVRYS FORPLIKTELSER

3.1.Generelt

EVRY forplikter seg til å behandle personopplysninger kun i samsvar med gjeldende lov, denne DBA, Hovedavtalen og Kundens dokumenterte instruksjoner.

EVRY kan ikke:

samle inn eller offentliggjøre personopplysninger fra eller til en tredjepart (unntatt i henhold til det som beskrives i denne DBA)
xxxxx xxxxxxxxxxxxxxxx
kopiere eller reprodusere personopplysninger
kompilere eller sortere personopplysninger
på annen måte behandle personopplysninger for andre formål enn de som er angitt i vedlegg 1, hovedavtalen og denne DBA

EVRY har utpekt en personvernansvarlig for å overholde rutiner for å ivareta at personopplysninger behandles i samsvar med EVRYs interne rutiner og Xxxxxxx instruksjoner.

EVRY skal utføre kontroll av alle kategorier av behandlingsaktiviteter utført på vegne av Kunden, som inneholder: a) navn og kontaktinformasjon til EVRY og personvernansvarlig; b) kategorier av behandling utført på vegne av Kunden; c) eventuell overføring av personopplysninger til et tredje land, inkludert identifikasjon av det tredje land, og eventuelt registrering av egnede beskyttelsestiltak; og d) der det er mulig; en generell beskrivelse av de tekniske og organisasjonsmessige sikkerhetstiltakene.

EVRY skal etter nærmere avtale bistå Xxxxxx med å utføre en personvernkonsekvensvurdering (også kjent som Data Protection Impact Assessment) om ønskelig. EVRY skal på samme måte etter anmodning bistå med å sikre at krav til innebygd personvern i EVRYs løsninger innfris. Dette inkluderer å bygge inn funksjonalitet for å oppfylle personvernprinsipper samt funksjonalitet for å sikre den registrertes rettigheter (så langt det med rimelighet kan forventes med hensyn til formålet med løsningen).

3.2.Tekniske, organisatoriske og sikkerhetsmessige tiltak

Idet det tas hensyn til tilgjengelig teknologi, kostnader for gjennomføring samt art, omfang, kontekst og formålet med behandlingen så vel som risikoen for varierende sannsynlighet og alvorlighetsgrad for rettigheter og friheter hos fysiske personer, skal EVRY iverksette hensiktsmessige tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som passer til risikofaktoren i henhold til hovedavtalen. Slike tiltak kan blant annet omfatte: a) pseudonymisering og kryptering av personopplysninger; b) muligheten til å sikre løpende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemer og -tjenester; c) evne til å gjenopprette tilgjengelighet og tilgang til personopplysninger så raskt som mulig i tilfelle fysiske eller tekniske hendelser; og d) en fremgangsmåte for regelmessig testing, vurdering og evaluering av effektiviteten til tekniske og organisasjonsmessige tiltak for å sikre at sikkerheten ivaretas under behandlingen.

Ved vurderingen av riktig nivå av sikkerhet skal det tas spesielt hensyn til risikoen knyttet til avtalte tjenester om behandling, spesielt i forbindelse med utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.

Ved behandling ved hjelp av ny teknologi skal det tas spesielt hensyn til art, omfang, kontekst og formål da det trolig vil resultere i en høy risiko for de rettigheter og friheter som fysiske personer har. I slike tilfeller skal EVRY, hvis instruert av Xxxxxx, bistå med sin vurdering av virkningen av den planlagte behandlingen på beskyttelse av personopplysninger.

EVRY forplikter seg til å sikre at involvert personell hos EVRY blir gjort oppmerksom på og følger XXXXx forpliktelser i henhold til denne DBA.

3.3.Kontroll og gjennomgang

Kunden kan kreve en årlig kontroll og gjennomgang. Kontroll og gjennomgang kan også kreves gjennomført av en relevant myndighet på grunn av juridiske krav eller på annen måte som en del av EVRYs interne forretningsrutiner. Kunden kan når som helst, etter varsel gitt i rimelig tid, selv granske EVRYs samsvar med vilkårene i denne DBA. I forbindelse med en slik revisjon skal Kunden gis tilgang til EVRYs lokaler, datautstyr, sikkerhetspolicyer og lignende i den grad det er nødvendig for å utføre kontroll og gjennomgang (men det skal ikke gis tilgang til informasjon om EVRYs øvrige kunder og annen informasjon underlagt taushetsplikt). En kundeinitiert kontroll og gjennomgang, skal faktureres i henhold til medgått tid og faktiske kostnader. Ved anmodning fra en av partene skal personer/parter som får tilgang til informasjon av EVRY, undertegne en taushetserklæring som omfatter kontrollen og gjennomgangen.

3.4.Hendelseshåndtering og varsling ved brudd på personopplysningssikkerhet

EVRY skal, idet det tas hensyn til behandlingsarten og tilgjengelig informasjon, bistå Kunden i å sikre etterlevelse av forpliktelsene vedrørende sikkerheten ved behandling av personopplysninger.

I tilfelle brudd på personopplysningssikkerheten skal EVRY uten ugrunnet opphold og senest innen seksti (60) timer etter å ha blitt klar over det, varsle Kunden om bruddet på personopplysningssikkerheten, med mindre det er helt usannsynlig at det resulterer i en risiko for fysiske personers rettigheter og friheter. Varsel om brudd på personopplysningssikkerheten skal som minimum: a) beskrive omfanget av bruddet på personopplysningssikkerheten inkludert, der hvor det er mulig, kategorier og omtrentlig antall registrerte som er berørt, samt kategorier og omtrentlig antall berørte personlige dataposter; b) kommunisere navnet og kontaktinformasjon til personvernansvarlig eller annet kontaktpunkt hvor mer informasjon kan hentes; c) beskrive de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten; d) beskrive de tiltakene som iverksettes eller foreslås iverksatt for å håndtere bruddet på personopplysningssikkerheten, blant annet, når det er hensiktsmessig, tiltak for å redusere mulige uønskede bivirkninger; og e) enhver annen nødvendig og rimelig tilgjengelig informasjon som Kunden trenger for å være i stand til å treffe hensiktsmessige tiltak og oppfylle sine forpliktelser for varsling om bruddet på personopplysningssikkerheten til relevante tilsynsmyndigheter.

EVRY skal dokumentere bruddet på personopplysningssikkerheten, inkludert en redegjørelse for de faktiske forhold knyttet til bruddet, dets virkninger og eventuelle iverksatte utbedringstiltak.

3.5.Støtte og informasjon til registrerte enkeltpersoner og tilsynsmyndigheter

I tilfeller der en registrert person, en tilsynsmyndighet eller tredjepart ber om informasjon relatert til personopplysninger fra EVRY, skal EVRY uten ugrunnet opphold henvise til Kunden. EVRY forplikter seg til å hjelpe Xxxxxx, basert på tid og materiell, med det som er nødvendig for å møte forespørsler fra tilsynsmyndigheter og for å oppfylle Kundens forpliktelser vedrørende individets rettigheter, inkludert, men ikke begrenset til, rett til korrigering og sletting, rett til dataportabilitet, innsigelsesrett og rett til begrensning av behandling.

3.6.Underleverandører

EVRY kan ikke legge deler av behandlingen til en underleverandør uten skriftlig forhåndssamtykke fra Kunden. Slikt samtykke kan ikke holdes tilbake uten saklig grunn. EVRY skal holde en oppdatert liste over identiteten og plasseringen av underleverandører, og den skal være tilgjengelig for Kunden og relevante tilsynsmyndigheter. Endringer skal gjøres tilgjengelig for Kunden i henhold til avtalte prosedyrer. EVRY vil til enhver tid være fullt ut ansvarlig for underleverandørenes etterlevelse av bestemmelsene i denne DBA.

3.7.Overføring av personopplysninger

EVRY kan overføre Kundens personopplysninger til EVRYs samarbeidspartnere og underleverandører i utlandet i henhold til følgende prosess:

3.7.1.Norden (Norge, Sverige, Finland og Danmark)

Overføring av personopplysninger til samarbeidspartnere og underleverandører kan skje uten ytterligere bekreftelse fra Kunden når formålet er å oppfylle forpliktelser, samarbeide eller ivareta rettigheter spesifisert i avtalen, eller når Kunden spesifikt har godkjent underleverandøren.

3.7.2.Innenfor EU/EØS

For overføring av personopplysninger til samarbeidspartnere og underleverandører hvor behandlingen utføres utenfor Norden, men innenfor EU/EØS, er EVRY pålagt å gi nødvendig dokumentasjon om sikkerhet, samsvar og risiko knyttet til aktuelt selskap og plassering. Basert på slik dokumentasjon og slike beskrivelser skal Kunden utarbeide en særskilt risikovurdering som skal brukes som beslutningsgrunnlag. Kunden kan ikke nekte samtykke til den aktuelle overføringen uten gyldig grunnlag basert på spesifikke risikoer som følger av Kundens risikovurdering.

3.7.3.Utenfor EU/EØS

For å overholde kravene i relevant personopplysningslov for overføring av personopplysninger til samarbeidspartnere og underleverandører hvor behandlingen utføres utenfor EU/EØS, skal EUs standardkontrakter eller annet gyldig rettsgrunnlag som beskriver omfanget av engasjementet, være inngått mellom Kunden og det aktuelle selskapet på stedet.

EVRY skal gi nødvendig dokumentasjon om sikkerhet, samsvar og risiko knyttet til aktuelt selskap og plassering. Basert på tilgjengelig dokumentasjon og beskrivelser skal Kunden utarbeide en særskilt risikovurdering som skal brukes som beslutningsgrunnlag. Samtykke til og/eller inngåelse av dataoverføringsavtale skal ikke tilbakeholdes uten gyldig grunnlag basert på spesifikke risikoer som følger av Kundens risikovurdering.

3.8.Ansvar

Ansvar i forbindelse med manglende overholdelse av EVRYs forpliktelser ifølge gjeldende lov som er spesifikt rettet mot behandlere, eller hvor behandleren har handlet utenfor eller i strid med lovlige instrukser fra behandlingsansvarlig, styres av hovedavtalen, og hvis ikke, av EVRYs generelle betingelser. EVRY skal være fritatt for ansvar i den grad EVRY ikke er ansvarlig for, eller årsaken til, hendelsen eller omstendigheten som gir opphav til skaden.

3.9.Taushetsplikt

EVRY skal behandle og lagre personopplysninger konfidensielt. Personopplysninger kan bare nås og administreres av personell hos EVRY som trenger tilgang til opplysningene for å oppfylle EVRYs forpliktelser i henhold til avtalen og denne DBA, og som har bekreftet å bevare taushet gjennom en skriftlig avtale, og bare i den grad det er nødvendig for å oppfylle EVRYs forpliktelser i henhold til avtalen og denne DBA. I tillegg skal bestemmelsene om taushetsplikt fastsatt i avtalen også gjelde for denne DBA og enhver behandling.

3.10.Returnering og sletting av personopplysninger

Etter avsluttet behandling skal EVRY returnere eller, etter eget valg, slette og ødelegge alle personopplysninger vedrørende Kunden. Personopplysninger som kreves lagret ved lov eller for dokumenteringsformål, vil bli slettet når slikt formål er oppfylt.

4.Betingelser og endringer i DBA

Denne DBA gjelder fra signering og så lenge EVRY behandler personopplysninger som Xxxxxx har ansvar for. I tilfelle endringer i Xxxxxxxxx lov, endelig dom gir en annen tolkning av Xxxxxxxxx lov, eller tjenestene i avtalen krever endringer av denne DBA, skal partene samarbeide i god tro for å oppdatere DBA tilsvarende.

5.Tvister og gjeldende lovverk

Partenes rettigheter og plikter reguleres av norsk rett. Alle tvister, konflikter eller krav som oppstår på grunn av eller i forbindelse med denne DBA, eller ved brudd, oppsigelse eller ugyldighet av nevnte regler og vilkår, skal avgjøres ved voldgift i samsvar med reglene i norsk voldgiftslov av 2004. Alle deler av saksbehandlingen i slike voldgiftssaker skal være konfidensielle, inkludert dommen. Oslo avtales som verneting.

Vedlegg 1: Personopplysninger

Hensikten er at dataene nedenfor danner grunnlaget for de protokoller over behandling som både behandler og behandlingsansvarlig er bundet til å opprette og holde oversikt over.

Kunde EVRY

Navn på behandlingsansvarlig/behandler(e)	Navn på behandler/underleverandør
[Skriv inn navn]	EVRY Norge AS
Kontaktopplysninger til behandlingsansvarlig/behandler(e)	Kontaktopplysninger til behandlingsansvarlig(e)/behandler(e)(er)
[Skriv inn all kontaktinformasjon]	Xxxx Xxxxx


Navn på personvernansvarlig (hos behandlingsansvarlig/behandler):	Navn på personvernansvarlig (hos behandler/underleverandør):
[Skriv inn navn og all kontaktinformasjon]	Xxxxx Xxxxxxxxx xxxxxxx@xxxx.xxx

Personopplysningene som behandles gjelder følgende kategorier av registrerte data tilknyttet Kunden (vennligst angi):

☒Ansatte og kontraktører

☐Sluttkunder

☐Leverandører

☐Nettstedsbesøkende

☐Fysiske besøkere

☐Xxxxx xxxxxxxxxxxx (vennligst spesifiser):

…………………………………………………………………………………………………………………………………………….

Kategorier av Personopplysninger: Personopplysninger som behandles, omfatter følgende kategorier (spesifiser):

☒Personlig kontaktinformasjon – navn, telefonnummer, e-postadresse, fysisk adresse osv.

☐Begrenset kontaktinformasjon – personnummer/fødselsnummer, hemmelig adresse osv.

☒Arbeidsrelatert informasjon – stilling/rolle, organisasjon, bedrift, telefonnummer / e-post / fysisk adresse for arbeid, arbeidshistorikk (tidligere stillinger) osv.

☐Enhetsinformasjon – merke og modell, IP-adresse, MAC-adresse, serienummer, posisjonsdata osv.

☒Kommunikasjon av data – start-/slutt-tid for kommunikasjon (økt), størrelsen på meldingen, kontekst osv.

☐Overvåking/overvåkningsdata – adgangskontroll-logger (fysiske/logiske), CCTV-opptak, kjøreovervåkningsdata osv.

☒Transkripsjoner/ kundeinteraksjoner – kundesamtaler (tale eller transkribert), supportsaker, e-postmarkedsføring, annen kundekorrespondanse osv.

☐Profileringsdata – analyser og rapporter om registrerte personer, for eksempel i markedsføringsøyemed

☐Betalingsinformasjon – finansielle transaksjoner, mottaker, kontonummer, beløp, dato / tid / sted for kjøp osv.

☐Betalingskortinformasjon– kredittkortnummer, utløpsdato, CVV-nummer, annen kortholderinformasjon osv.

☐Xxxxx (vennligst spesifiser):

…………………………………………………………………………………………………………………………………………….

Sensitive personopplysninger: Personopplysninger som overføres, omfatter følgende spesialkategorier (spesifiser):

Personopplysninger som avslører noe av det følgende (ansett som sensitivt):

☐Rasemessig eller etnisk opprinnelse

☐Politiske meninger

☐Religiøs eller filosofisk overbevisning

☐Fagforeningsmedlemskap

☐Genetiske data med det formål entydig å identifisere en fysisk person

☐Biometriske data med det formål entydig å identifisere en fysisk person

☐Helseopplysninger

☐Opplysninger om en fysisk persons seksuelle forhold eller legning

Spesielle sikkerhetsbehov: Avkryssing på noen av de følgende spørsmålene, vil innebære at det må inngås en avtale om økt sikkerhet mot særskilt vederlag.

Merk: Behandling av Sensitive Personopplysninger vil resultere i spesielle behov for sikkerhet på minst ett av områdene under. Må gjenspeiles i hovedavtalen.

☐Særlige behov for konfidensialitet

☐Særlige behov for integritet

☐Særlige behov for tilgjengelighet

☐Særlige behov for personvernfremmende teknologier (f.eks. Innebygd personvern)

Beskriv eventuelle spesialbehov utover det som er definert i hovedavtalen og iverksatt. Det vil kunne påløpe tilleggskostnader for Xxxxxx relatert til dette: …………………………………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………………………………….

Formål med behandlingen: Personopplysningene behandles for følgende formål (vennligst spesifiser):

☐Personaladministrasjon

☐Kundebehandling (inkludert markedsføring)

☐Leverandørhåndtering

☐Intern prosesstøtte

☒Xxxxx (vennligst spesifiser):

Meldingsformidling etter avtale med kunde. …………………………………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………………………………….

Kategorier behandlingsaktiviteter: Personopplysningene vil være underlagt følgende behandlingsaktiviteter (vennligst spesifiser relevante tjenester; skriv inn avtale- og tjenestespesifikasjon):

Ingen behandlingsaktivitet utføres på personopplysningene. …………………………………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………………………………….

Underleverandører som behandler personopplysninger (alle juridiske enheter, inkludert de i tredjeland eller internasjonale organisasjoner, som kan ha tilgang til og/eller på annen måte behandler personopplysninger):

Kunden samtykker i at EVRY kan bruke programvareleverandører, infrastrukturleverandører, driftsleverandører og konsulenter som er nødvendig for å gjennomføre de avtalte tjenester på like strenge vilkår og krav til sikkerhet som EVRY. Detaljer vil være tilgjengelig for Kunden og relevante tilsynsmyndigheter.

I tillegg gis det samtykke til følgende underleverandører som vil levere en vesentlig del av tjenestene:

IT-driftsselskaper

EVRY-Datterselskaper

Eksterne distribusjonsselskaper

…………………………………………………………………………………………………………………………………………….

Overføring av personopplysninger til tredjeland eller til internasjonale organisasjoner:

Vær oppmerksom på at behandling utelukkende i Norden og/eller innenfor EU/EØS vil påvirke prisene.

☐Alle behandlingsaktiviteter utføres av personell i Norden.

☒Alle behandlingsaktiviteter utføres av personell i EU/EØS.

☐Behandlingsaktiviteter kan utføres av personell utenfor EU/EØS. Kunden må inkludere slike behandlingsaktiviteter i EUs standardkontrakter, jf. vedlegg 3.

Passende sikkerhet for overføring til tredjeland eller internasjonal organisasjon:

På vegne av Xxxxxx bekrefter jeg at EUs standardkontrakter er undertegnet av kompetent person og vedlagt til denne avtalen.

Oppbevaringsperioder for de forskjellige kategorier av personopplysninger (eller kriterier for å bestemme slike oppbevaringsperioder):

…………………………………………………………………………………………………………………………………………….

Hvis ikke annet er avtalt, vil EVRY oppbevare Kundens personopplysninger i perioden angitt i hovedavtalen.

Sensitivity: Internal

30 januar 2018

11 / 11

Document Metadata

Table of Contents

EVRY

Document Metadata