DATABEHANDLERAVTALE
DATABEHANDLERAVTALE
Mellom
Firma: Infotech AS
Org. nr: 922 276 137
(«Databehandler») og
Navn:
Org. nr:
(«Behandlingsansvarlig»)
er det inngått avtale om behandling av personopplysninger («Avtalen») som Databehandler skal foreta for Behandlingsansvarlig som følge av leveranse av følgende produkter: (stryk det som ikke passer)
• Byggekortleser, Adgangskontroll og/eller ChkBox App for registrering av elektroniske mannskapslister/oversiktslister, heretter kalt Mannskapslister.
• ITBASE
• VBIT
1. AVTALENS FORMÅL
Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig på den bakgrunn som følger ovenfor.
Formålet med behandlingen, varigheten av behandlingen, behandlingens art, de typer personopplysninger som skal behandles og kategorier av registrerte følger av vedlegg til Avtalen.
Avtalen skal sikre at personopplysninger behandles i samsvar med de til enhver gjeldende kravene til behandling av personopplysninger, herunder Lov av 15.06.2018 om behandling av personopplysninger (personopplysningsloven) og Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger.
Databehandler skal behandle personopplysningene på den måte som er beskrevet i Avtalen, samt på annen måte dersom dette er skriftlig avtalt mellom Databehandleren og Behandlingsansvarlig.
Begreper og definisjoner benyttet i Avtalen skal forstås på samme måte som i personopplysningsloven.
2. BEHANDLINGSANSVARLIGES RETTIGHETER OG PLIKTER. DATABEHANDLERS PLIKTER
Databehandleren bekrefter at denne vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at all behandling under denne Avtalen oppfyller kravene i personopplysningsloven og vern av den registrertes rettigheter, herunder innfrir alle kravene etter personvernforordningens artikkel 32. Se også ytterligere plikter i punkt 4. Den behandlingsansvarlig skal til enhver tid ha full rettslig rådighet over personopplysningene.
Databehandleren skal bare behandle personopplysningene basert på dokumenterte instrukser fra den Behandlingsansvarlige. Databehandleren skal til enhver tid kunne dokumentere slike instrukser. Databehandler skal ikke behandle personopplysninger Databehandleren får tilgang til på annen måte enn det som er nødvendig for å utføre de oppdrag som Databehandler har for den Behandlingsansvarlige.
Databehandleren skal bistå den Behandlingsansvarlige i å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter etter personvernforordningens kapittel III hensyntatt behandlingens art og i den grad det er mulig, bistår, ved hjelp av egnede tekniske og organisatoriske tiltak, samt bistå den Behandlingsansvarlige med å sikre overholdelse av forpliktelsene knyttet til personopplysningssikkerhet og vurdering av personvernkonsekvenser og forhåndsdrøftinger i personvernforordningens artikkel 32 til 36, hensyntatt behandlingens art og den informasjonen som er tilgjengelig for Databehandleren. Foreligger det godkjente adferdsnormer etter personvernforordningens artikkel 40 eller godkjent sertifiseringsordning etter artikkel 42, som Databehandleren har påtatt seg å overholde eller være sertifisert etter, plikter Databehandleren å etterkomme slike adferdsnormer eller sertifiseringskrav.
Databehandleren skal føre protokoll (logg) over behandlingsaktiviteter denne utfører på vegne av den Behandlingsansvarlige, som skal inneholde minimum den informasjon som er pålagt etter personvernforordningen artikkel 30. Den Behandlingsansvarlige kan til enhver tid kreve oversendt kopi av slik protokoll.
Databehandleren skal gjøre tilgjengelig for den Behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i dette punkt 2 er oppfylt, samt muliggjøre og bidra til revisjoner, herunder inspeksjoner, som gjennomføres av den Behandlingsansvarlige eller en annen inspektør på fullmakt fra den Behandlingsansvarlige. Dette omfatter også å gi tilgang til sikkerhetsdokumentasjon. Den Behandlingsansvarlig har selv det direkte ansvaret overfor aktuelle tilsynsmyndigheter.
Databehandleren har taushetsplikt om personopplysninger som vedkommende får tilgang til som en følge av Avtalen og behandling av personopplysningene, og skal sikre at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til å behandle opplysningene fortrolig eller er underlagt en egnet lovfestet taushetsplikt. Denne bestemmelsen gjelder også etter Avtalens opphør.
Databehandleren skal ikke utlevere opplysninger eller informasjon som denne behandler for den Behandlingsansvarlige til tredjepart uten eksplisitt pålegg fra den Behandlingsansvarlige. Henvendelser til Databehandleren skal Databehandleren videreformidle til Behandlingsansvarlige så raskt som mulig.
Er Databehandleren av den oppfatning at en instruks fra den Behandlingsansvarlige er i strid med personvernforordningen, personopplysningsloven, eller annen regulering av behandling av
personopplysninger, skal Databehandleren umiddelbart underrette den Behandlingsansvarlige om dennes oppfatning. Databehandleren plikter å utøve sine plikter etter Avtalen til tross for sin oppfatning.
3. BRUK AV UNDERLEVERANDØR
Databehandleren skal kun benytte underleverandører til behandling av personopplysninger (underdatabehandler) som er skriftlig godkjent av den Behandlingsansvarlige og som har bekreftet å gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at all behandling under denne Avtalen oppfyller kravene i personopplysningsloven og vern av den registrertes rettigheter.
Godkjente underdatabehandlere ved Avtalens inngåelse er spesifisert i vedlegg til Avtalen.
Behandlingsansvarlig gir Databehandleren generell tillatelse til bruk av underdatabehandler for behandling av personopplysninger etter Avtalen. I tilfelle har planer om å benytte andre underdatabehandlere eller skifte ut underdatabehandlere, skal Databehandleren underrette den Behandlingsansvarlige om planene og dermed gi den Behandlingsansvarlige muligheten til å motsette seg slike endringer.
Underdatabehandler skal være gjort kjent med Databehandlerens forpliktelser etter denne Avtalen og regelverket som regulerer behandling av Behandlingsansvarliges personopplysninger, og skal pålegges de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i Avtalen i bindende avtale hvor underdatabehandler skal gi tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller lovmessige krav. Dersom underdatabehandler ikke oppfyller sine forpliktelser med hensyn til vern av personopplysninger og kravene i Avtalen, skal Databehandleren overfor den Behandlingsansvarlige ha fullt ansvar for at underdatabehandler oppfyller sine forpliktelser.
4. SIKKERHET OG AVVIK
Databehandleren skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven med forskrifter. Databehandleren skal kunne dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på den Behandlingsansvarliges forespørsel.
Det skal gjennomføres sikkerhetsrevisjoner jevnlig, og partene skal avtale seg imellom tidspunkter for sikkerhetsrevisjoner. Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak. Det skal avtales den Behandlingsansvarliges plikt til å dekke eventuelle ressursforbruk forbundet med utøvelse av slik revisjon.
I tilfelle sikkerhets- eller personvernbrudd, skal Databehandleren varsle den Behandlingsansvarlige uten ugrunnet opphold. Melding om brudd skal minimum inneholde:
1. Beskrivelse av arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall personopplysningsposter som er berørt,
2. navnet på og kontaktopplysningene til personvernrådgiveren eller et annet kontaktpunkt der mer informasjon kan innhentes,
3. beskrivelse av de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten,
4. beskrivelse av de tiltak som er truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.
Dersom ikke alle opplysninger kan gis i første melding, skal opplysningene gis suksessivt så snart de foreligger.
Den Behandlingsansvarlige har ansvaret for å sende melding til tilsynsmyndighet, og Databehandler skal ikke sende slik melding eller kontakte tilsynsmyndighet uten at den Behandlingsansvarlige har gitt instruks om dette.
5. OVERFØRING TIL UTLANDET
Personopplysninger skal kun overføres til land utenfor EU/EØS (tredjeland) etter instruks fra den Behandlingsansvarlige. Databehandleren skal altså ikke overføre eller la personer i tredjeland på noen måte få tilgang til personopplysninger uten at Behandlingsansvarlig har eksplisitt godkjent dette skriftlig og gitt instruks om overføring eller tilgang på forhånd. Samtykke og instruks må dekke hvilke land opplysningene skal kunne overføres til. Overføring til tredjeland forutsetter, selv med samtykke og instruks, at de krav til sikkerhet og vern av de registrertes rettigheter som følger av personopplysningsloven og annet regelverk er ivaretatt.
6. AVTALENS VARIGHET, PÅLEGG OM STANS, PLIKTER VED OPPHØR/- OPPSIGELSE
Avtalen gjelder så lenge Databehandleren behandler eller har tilgang til personopplysninger på vegne av Behandlingsansvarlige som følge av leveranse av Mannskapsliste, ITBASE eller VBIT.
Ved brudd på denne Avtalen, personopplysningsloven eller annet relevant regelverk, kan Behandlingsansvarlige pålegge Databehandleren å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.
Databehandleren skal, etter den Behandlingsansvarliges instruksjon, slette eller tilbakelevere alle personopplysninger til den Behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert, og sletter eksisterende kopier, med mindre det er et lovmessig krav om at personopplysningene skal fortsatt lagres. Dette gjelder også for eventuelle sikkerhetskopier, men hvor det er tilstrekkelig med å overskrive etter de etablerte rutiner for sikkerhetskopiering.
Den Behandlingsansvarlige skal motta en skriftlig bekreftelse fra Databehandleren på at alle personopplysninger er slettet i henhold til den Behandlingsansvarliges instruksjoner og at Databehandleren ikke har beholdt kopi, utskrifter eller andre former for personopplysninger i noen form.
7. KONTAKTPERSONER
Partene kan kontakte hverandre via nedenstående kontaktpersoner: Hos den behandlingsansvarlige:
Navn:
Stilling:
Telefonnummer:
E-postadresse:
Navn:
Stilling:
Telefonnummer:
E-postadresse:
Hos databehandleren:
Navn: Xxxxx Xxx
Stilling: Daglig leder
Telefonnummer : 000 00 000
E-postadresse: xxxxx@xxxxxxxx.xx
Navn: Xxx Xxxxxx Xxxxxxxxx
Stilling: Kontorsjef
Telefonnummer: 000 00 000
E-postadresse: xxx@xxxxxxxx.xx
8. ØVRIGE PLIKTER OG RETTIGHETER
Øvrige plikter og rettigheter følger av Infotechs standard leveringsvilkår og avtalen om levering av Mannskapslister, ITBASE eller VBIT som gjelder mellom Databehandleren og Behandlingsansvarlige om tjenestene som nødvendiggjør behandling av personopplysninger og denne Avtale.
Denne Avtalen skal ikke utvide Behandlingsansvarliges sanksjonsmuligheter, herunder erstatningsansvar for Databehandleren.
25. mars 2021
Databehandler Behandlingsansvarlig
Xxxxx Xxx [TA INN NAVN]
Avtalen er utstedt i to originale eksemplarer, hvor partene har mottatt hvert sitt.
9. VEDLEGG
9.1 Formålet med behandlingen
9.1.1 Mannskapslister
Formålet med behandlingen av personopplysningene er å føre elektronisk oversiktsliste over alle som utfører arbeid på bygge- eller anleggsplass i henhold til byggherreforskriften § 15.
Den behandlingsansvarlige kan også velge å få tilgang til timelister og oversikt over tidspunkter for inn- og ut-registreringer på bygge- eller anleggsplassen.
Ved bruk av Adgangskontroll brukes det også til å styre hvilke personer som skal ha tilgang til bygge- eller anleggsplassen, eventuelt nærmere spesifiserte steder innenfor denne, og når disse skal ha tilgang.
Det er også nødvendig med noe persondata for å styre hvem som skal ha tilgang til å se og administrere mannskapslistene.
9.1.2 ITBASE og VBIT
ITBASE og VBIT er verktøy for å håndtere prosjekter, primært innenfor (men ikke begrenset til) bygg og anlegg. Personopplysninger om brukere av systemet er nødvendig for systemets funksjonalitet og sikkerhet, f.eks. styring av hvem som skal ha tilgang til ulik informasjon, dokumenter o.l. som ligger i systemet, muliggjøring av kommunikasjonsflyt mellom deltakere i prosjektet og logging av hvem som har utført handlinger og lagt til eller endret informasjon i systemet.
9.2 Varigheten av behandlingen
Ved opphør av denne avtalen kan Behandlingsansvarlig hente ut de data de behøver fra systemet før Databehandler sletter dataene fra server. Dersom Behandlingsansvarlig ønsker å hente ut data før sletting må dette varsles i forbindelse med oppsigelse av avtalen.
9.2.1 Mannskapslister
Oversiktslistene lagres i seks måneder etter at bygge- eller anleggsprosjektet er avsluttet, jf. Byggherreforskriften § 15. Etter dette slettes data automatisk om ingenting annet er avtalt.
9.2.2 ITBASE og VBIT
Prosjektdata lagres inntil den behandlingsansvarlige avslutter prosjektet. Bruker lagres i brukerdatabase og vil være tilgjengelig i basen inntil det er gått mer enn ett år siden siste innlogging. Dersom det er inngått særskilt avtale om dette vil brukerID beholdes så lenge det anses som formålstjenlig for bruker å kunne aksessere data.
9.3 Behandlingens art
9.3.1 Mannskapslister
Databehandleren skal primært lagre informasjon om hvilke personer som har vært på bygge- eller anleggsplassen og når de har vært der, og tilgjengeliggjøre denne informasjonen til de som den behandlingsansvarlige har angitt at skal ha slik tilgang, samt for arbeidsgiver, verneombud, Arbeidstilsynet og skattemyndighetene, jf. Byggherreforskriften § 15.
Kortnummer fra HMS-kort sammenlignes med kort som registreres på fysiske enheter for Adgangskontroll for å styre og logge tilgang til bygge- og anleggsplassen.
Databehandler gjør oppslag mot kortets gyldighet hos Evry som leverer sine tjenester på vegne av Arbeidstilsynet i Norge.
Informasjonen kan også benyttes i forbindelse med kundestøtte og feilsøking.
Informasjon om personer som er satt til å administrere systemet, men ikke informasjon om personer som kun er registrert fordi de har vært innom en bygge- eller anleggsplass, kan benyttes til kundeoppfølging.
Informasjonen kan på bestilling fra behandlingsansvarlig integreres med andre webbaserte HMS- systemer, herunder HmsReg, Kvalitetskontroll og SmartDok. Informasjonen er også gjort tilgjengelig for behandlingsansvarlig gjennom et API.
9.3.2 ITBASE og VBIT
Databehandleren lagrer personopplysninger for behandlingsansvarlige for å oppfylle formålene angitt over.
I tillegg til å vise informasjonen for innloggede brukere på nettsidene til ITBASE/VBIT er den også tilgjengelig for behandlingsansvarlig gjennom et API.
Informasjonen om personer kan også benyttes i forbindelse med kundestøtte, feilsøking og kundeoppfølging.
9.4 Typer personopplysninger som skal behandles
Følgende personopplysninger skal behandles under Avtalen:
9.4.1 Mannskapslister
Opplysningene som lagres inkluderer navn, fødselsdato, kjønn, arbeidsgiver og eventuelt registreringstidspunkter inn og ut. Brukere kan i tillegg manuelt legge inn kontaktinformasjon som telefon og mobilnummer, e-post, bilde og tittel, samt registrere sertifikater og kurs, fagområde, lærlingstatus og språk. HMS-rapport kobler navn til fødselsdato og firma med mulighet for registrering av fullførte HMS-prosedyrer som inntakskontroll. Personopplysningene knyttes til et prosjektnavn med adresse.
9.4.2 ITBASE og VBIT
Det lagres informasjon om f.eks. brukers navn, arbeidsgiver, tittel, epostadresse, telefonnummer og kontoradresse. Det er også mulig å registrere bl.a. HMS-kortnummer og bilde.
Det blir logget hva man gjør i systemet, spesielt når man endrer informasjon i systemet, men også i noen tilfeller når man ser informasjon.
9.5 Kategorier av registrerte
9.5.1 Mannskapslister
• Personer som har full tilgang til å se og administrere oversiktslistene
• Personer som har tilgang til å se oversiktslistene
• Personer som har tilgang til å se oversiktslister for ansatte i eget firma
• Personer som er registrert fordi de har vært på en bygge- eller anleggsplass
9.5.2 ITBASE og VBIT
• Personer som kan se all informasjon og administrere systemet
• Personer som kan logge inn i systemet og er gitt tilgang fra en administrator til å se eller redigere ulike deler av systemet
• Personer som har mulighet for å sende informasjon inn til systemet, f.eks. Observasjoner.
9.6 Underdatabehandlere ved inngåelse av Avtalen
Ved Vilkårenes ikrafttredelse godkjenner den behandlingsansvarlige bruken av følgende underdatabehandlere:
NAVN | ORG. NR. | ADRESSE | BESKRIVELSE AV BEHANDLINGEN |
LocalHost AS | 000 000 000 | Gate 1, nr. 101 6799 Måløy Norge | Datalagring og serverdrift. Datasenter i Norge |
Microsoft Azure med datasentre i EU/EEA | N/A | Microsoft Corporation 0 Xxxxxxxxx Xxx Xxxxxxx, XX 00000 XXX | Skyleverander for webtjenester, datalagring og serverdrift. Infotech benytter i den grad det er mulig datasentre i Norge, og ellers alltid innenfor EU/EØS. |
LinkMobility | 992 434 643 | Langkaia 1 0150 Oslo Norge | Utsendelse av SMS for varsling m.m. Data lagres i anerkjente sky-tjenester innenfor EU. |
Ved Vilkårenes ikrafttredelse har den behandlingsansvarlige godkjent bruken av ovennevnte underdatabehandlere for den behandlingsaktiviteten som er beskrevet for vedkommende.