Databehandleravtale
Databehandleravtale
I henhold til Lov av 15. juni 2018 nr. 38 om behandling av personopplysninger,
Europaparlaments- og rådsforordning (EU) 2016/679
mellom
BEDRIFTSNAVN
(Tittel og navn på den som skriver under) (NO + ORG. NR.)
behandlingsansvarlig
og
Tempolex AS
(NO 995 415 011 MVA)
databehandler
1. Avtalens hensikt
Avtalens hensikt er å regulere rettigheter og plikter etter Lov av 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven) og forskrift av 15. juni 2018 nr. 976 (personopplysningsforskriften), herunder Europaparlaments- og rådsforordning (EU) 2016/679. Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende.
Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.
2. Formål
Formålet med behandlingen er leveranse av nettapplikasjonene på xxx.xxxxxxxx.xx. Tempolex leverer gjennom denne nettapplikasjonen øvingsløsninger for øving på grunnleggende ferdigheter i fagene norsk, matematikk og fremmedspråk. Systemene i nettapplikasjonen lagrer ikke informasjon om brukernes diagnoser eller læreforutsetninger, men registrering av øvingsresultater og bruken av applikasjonene i seg selv antyder lærevansker hos personer, som i all hovedsak er mindreårige. Applikasjonene registrer ikke ferdigheter sammenlignet med en norm, men fremgang hos personen sammenlignet med seg selv.
I tillegg til opplysninger som lagres for drift av servere og sikkerhetssystemer, lagres det navn på elever og lærere, skoletilhørighet, øvingsresultater og informasjon som er nødvendig for administrasjon av kontoer og kundeforhold.
Behandlingsansvarlig er ansvarlig for at det finnes behandlingsgrunnlag for opplysningene.
Databehandler skal ikke utføre annen behandling av dataene enn det som er nødvendig for formålet beskrevet her.
Dersom behandlingsansvarlig tar i bruk ny funksjonalitet i løsningen som medfører endring i registrerte og behandlede personopplysninger må en revidering av denne databehandleravtalen i henhold til dette vurderes.
3. Databehandlers plikter
Databehandler skal følge de rutiner og instrukser for behandlingen som behandlingsansvarlig til enhver tid har bestemt skal gjelde. Databehandler skal gis rimelig med tid til å rette seg etter endret instruks. Kostnader forbundet med endringer i rutiner eller instruks bæres av behandlingsansvarlig.
Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift.
Databehandler skal særlig bistå den behandlingsansvarlige med å ivareta den registrertes rettigheter etter personvernforordningen kapittel III.
Behandlingsansvarlig har, med mindre annet er avtale eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Dog ikke på en måte som kan utsette andre kunder av databehandler for risiko eller redusere databehandlers mulighet til å oppfylle sine forpliktelser ovenfor behandlingsansvarlig eller
andre. Databehandler plikter å gi nødvendig bistand til dette. Behandlingsansvarlig dekker kostnadene til dette dersom bistanden går utover de plikter Databehandler har etter personlovgivningen.
Databehandler plikter å lagre data omfattet av denne avtalen utelukkende på servere i Norge. Databehandler kan ikke overføre personopplysninger til land utenfor, uten skriftlig godkjennelse fra Behandlingsansvarlig (med unntak for Eu-godkjente mottakerland utenfor EØS-området). Ved inngåelse av avtale om slik overføring skal Behandlingsansvarliges «Eu Model Clause» benyttes. Begrepet overføring omfatter tilsvarende tilgang til/aksessering til personopplysninger av personer/systemer fra land uten for EØS og overføring av drift operasjoner som kan muliggjøre tilgang til personopplysninger.
Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Taushetsplikten omfatter også ansatte hos tredjeparter som bistår databehandler med å ivareta drift og vedlikehold. Bestemmelsen om taushetsplikt gjelder også etter avtalens opphør.
Databehandler skal bistå behandlingsansvarlig i oppfyllelse av innsynskrav. Databehandler skal varsle behandlingsansvarlig dersom databehandler oppfatter at en behandlingsinstruks er ulovlig.
Utlevering til tredjeparter, inkludert myndigheter, skal ikke skje uten dom eller lovlig krav fra kompetent myndighet.
4. Bruk av underleverandør
Databehandler benytter følgende underleverandører:
Feide, Uninett AS (org. nr.: 968 100 211), Xxxxxxx xxxx 0, 0000 Xxxx, som leverandør av autentiseringsløsninger.
Copyleft Solutions AS (org. nr.: 982 116 252), Xxxxxxxxxxxxxxxx 00X, 0000 Xxxx, til drift og utvikling av nettapplikasjonene på xxx.xxx.xxxxxxxx.xx.
Dersom underleverandørene ikke oppfyller sine forpliktelser med hensyn til vern av personopplysninger, skal den opprinnelige databehandleren overfor behandlingsansvarlig ha fullt ansvar for at nevnte underleverandør oppfyller sine forpliktelser.
All annen bruk av underleverandør skal skriftlig godkjennes av behandlingsansvarlig.
Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.
5. Sikkerhet
Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningslovens og særlig etter personvernforordningen artikkel 32. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel.
Databehandler skal kontinuerlig registrere og rapportere brudd på personopplysningssikkerheten i henhold til gjeldende personopplysningslovgivning.
Databehandler skal ha på plass rutiner og systematiske tiltak for å avdekke og følge opp avvik/brudd, herunder tiltak for å gjenopprette normaltilstand, fjerne årsaken til avviket/bruddet og forhindre gjentagelse.
Avviksmelding skal skje ved at databehandler, uten ugrunnet opphold, melder avviket til behandlingsansvarlig i samsvar med kravene til innhold i avviksmelding etter personvernforordningen artikkel 33. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet.
Databehandler plikter å slette personopplysninger etter skriftlig avtale med den Behandlingsansvarlige og etter avtalte rutiner.
6. Sikkerhetsrevisjoner
Databehandler skal jevnlig, minimum årlig, gjennomføre sikkerhetsrevisjoner som en bit av behandlingen. Kostnadene bæres av databehandler. Rapporter skal være tilgjengelig for behandlingsansvarlig.
I tillegg kan behandlingsansvarlig kreve gjennomføring av utvidede sikkerhetsrevisjoner, gjennomføre stedlig kontroll, gjennomføre stikkprøvekontroll av backup og sikkerhetsrutiner. Ved benyttelse av tredjeparter til kontroll og sikkerhetsrevisjon skal partene i fellesskap bli enige om tredjepart og denne skal underlegges fortrolighetsavtaler. Alle kostnader forbundet med Behandlingsansvarliges revisjon eller kontroll bæres av behandlingsansvarlig.
Databehandler skal varsles i rimelig tid om kontrolltiltak.
7. Avtalens varighet
Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig.
Ved brudd på denne avtale eller personopplysningsloven kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning. Avtalen kan sies opp av begge parter med en gjensidig frist på 3 måneder, jf. punkt 8 under.
Partenes erstatningsansvar for skade som rammer den registrerte eller andre fysiske personer og som skyldes overtredelse av personvernforordningen (forordning 2016/697), personopplysningsloven med forskrifter eller annet regelverk som gjennomfører personvernforordningen, følger av bestemmelsene i personvernforordningen artikkel 82.
Partene er hver for seg ansvarlig for overtredelsesgebyr ilagt i henhold til personvernforordningens (forordning 2016/679) art. 83.
8. Ved opphør
Ved opphør av denne avtalen plikter databehandler å tilbakelevere og slette alle data mottatt fra behandlingsansvarlig, jf. GDPR artikkel 28 punkt 3 bokstav g. Sletting kan skje ved overskriving av partisjoner, og destruering av krypteringsnøkler. Databehandler skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør. Sletting gjelder også eventuelle sikkerhetskopier.
9. Meddelelser
Meddelelser etter denne avtalen skal sendes skriftlig til: DATABEHANDLERS KONTAKTPERSON og xxxx@xxxxxxxx.xx
10. Lovvalg og verneting
Avtalen er underlagt norsk rett og partene vedtar Oslo tingrett som verneting. Dette gjelder også etter opphør av avtalen.
***
Denne avtale er i 2 – to eksemplarer, hvorav partene har hvert sitt. Sted og dato ……………………………………………………….
Behandlingsansvarlig Databehandler
………………..………………………... ………...………………………………… (underskrift)