DATABEHANDLER AVTALE

DATABEHANDLER AVTALE

1. Avtalens parter

1.1 Parter

Avtalen inngås mellom:

Intopro AS Xxx.xx 918 354 182 (heretter kalt databehandler)

og databehandler: KUNDE, Xxx.xx 000 000 000 (heretter kalt behandlingsansvarlig)

1.2 Kontaktpersoner

Kontaktperson hos databehandler: Xxxx Xxxx Xxxxxx, daglig leder, xxxxxxxx@xxxxxxx.xx, mob 911 27 268

Kontaktperson hos behandlingsansvarlig: Navn, telefon, epost

2. Avtalens hensikt

Avtalens hensikt er å regulere rettigheter og plikter etter Lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) og forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften). Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende. Avtalen inngås i henhold til personopplysningsloven § 13, jf. § 15, og personopplysningsloven kapittel 2.

Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.

3. Formålet med avtalen

Formålet med avtalen er å regulere behandlingen av personopplysninger som databehandleren gjør på vegne av den behandlingsansvarlige i forbindelse med administrasjon og gjennomføring av Intopro’s tjenester relatert til e-læringskurs

Databehandleren kan kun behandle personopplysninger gjort tilgjengelig av behandleransvarlig i henhold til denne avtale.

Det skal fremgå klart av denne avtalen dersom databehandleren kan overlate personopplysninger til andre for oppbevaring, bearbeiding eller annen behandling, og underleverandør skal angis i avtalens punkt 6.

Behandlingens formål kan ikke endres av noen av partene uten at ny avtale er signert.

3.1. Beskrivelse av formålet med bruken av databehandler

Databehandleren kan bare behandle personopplysningene i henhold til de formål som er bestemt av behandlingsansvarlig og i samsvar med de vilkår som fremgår av denne avtalen:

Behandling av data i forbindelse med leveranse av e-læringskurs i henhold til avtale mellom Intopro AS og Xxxx kunde signert XX.XX.2021. Data som behandles er Navn og Epostadresse til kursbrukere. Hofseth International AS registrerer brukere og brukerinformasjon (navn og ep-ost) inn i Intopro’s opplæringsplatform. Brukerinformasjonen brukes til å opprette en brukerprofil for opprettelse av innlogging og tildeling av kurs til hver bruker.

3.2. Spesifisering av aktuelle data

Navn på bruker (fornavn, etternavn)

E-postadresse til bruker

4. Varighet og oppsigelse

Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig ihht. formålet angitt i avtalens pkt. 3 og pkt. 4.

Ved brudd på denne avtale eller personopplysningsloven kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning

Avtalen kan sies opp av begge parter med en gjensidig frist på 45 dager, jf. Avtale datert XX/XX-2021.

Ved brudd på denne avtale eller personopplysningsloven kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.

5. Partenes ansvar under personopplysningsloven

5.1 Behandlingsansvarliges plikter

Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes, jf. lov om behandling av personopplysninger (heretter personopplysningsloven), § 2 nr. 4.

Den behandlingsansvarlige har ansvar for å påse at krav til informasjonssikkerhet, herunder krav om konfidensialitet, integritet og tilgjengelighet, som stilles i personopplysningsloven med forskrifter, er oppfylt.

Dette innebærer blant annet også at behandlingsansvarlig har ansvaret for å påse at kravene er oppfylt i forbindelse med oppbevaring og bruk av personopplysningene hos databehandleren, jf. loven § 15 og personopplysningsforskriften § 2-15.

5.2 Databehandlers plikter

Databehandler er den som behandler personopplysninger på vegne av den behandlingsansvarlige, jf. personopplysningsloven § 2 nr. 5.

Databehandler kan kun behandle personopplysninger tilgjengeliggjort av behandlingsansvarlig i henhold til denne avtale, jf. personopplysningsloven § 15. Eventuell annen bruk av personopplysningene skal i forkant avtales særskilt og skriftlig med behandlingsansvarlig.

Databehandler skal følge de rutiner og instrukser for behandlingen som behandlingsansvarlig til enhver tid har bestemt skal gjelde.

Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift.

Behandlingsansvarlig har, med mindre annet er avtale eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette.

Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør.

6. Bruk av underleverandører

Dersom en av partene engasjerer utenforstående (underleverandører) til å utføre ytelser som følger av denne avtalen, er parten fullt ansvarlig for utførelsen av disse ytelsene på samme måte som han selv stod for utførelsen. Databehandleren skal sørge for at underleverandør undertegner og forplikter seg til å følge behandlingsansvarliges databehandleravtale.

Dersom underleverandør anvendes skal denne/disse angis her, eller som et tillegg til avtalen:

Supernode AS, org nr: 818 843 232 – Administrasjon, vedlikehold og support av Intopro AS elæringsplattform

Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.

7. Krav til informasjonssikkerhet

Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningsloven §§ 13-15 med forskrifter.

Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel.

Databehandler skal på forespørsel fra behandlingsansvarlig bistå og stille seg til disposisjon for at behandlingsansvarlig skal kunne foreta sikkerhetsrevisjoner for systemer og rutiner, og andre kontrolltiltak relevant for oppfyllelsen av partenes rettslige plikter i henhold til denne avtale, hos databehandler.

8. Avviksmelding

Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, anses som avvik, jf. personopplysningsforskriftens § 2-6. Databehandler skal melde avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding, der uautorisert utlevering av personopplysninger har skjedd, sendes til Datatilsynet.

(Merk at fra mai 2018 er det en varslingsplikt innen 72 timer)

9. Taushetsplikt

Partene skal bevare taushet om alle konfidensielle opplysninger, noens personlige forhold, sikkerhetsmessige og forretningsmessige forhold, opplysninger som kan skade en av partene eller som kan utnyttes av utenforstående.

Taushetsplikten gjelder partenes ansatte og evt. underleverandører som handler på partenes vegne i forbindelse med gjennomføringen av kontrakten. Alle ansatte skal ha undertegnet taushetserklæring.

Partene plikter å ta de forholdsregler som er nødvendige for å sikre at materiale eller opplysninger ikke blir gjort kjent for andre i strid med dette punktet. Ansatte og andre som fratrer sin tjeneste hos en av databehandlerne skal pålegges taushet også etter fratredelse om forhold som nevnt over.

Denne bestemmelsen gjelder også etter avtalens opphør.

10. Mislighold

Mislighold foreligger dersom en av partene ikke oppfyller sine plikter etter denne avtalen og dette ikke skyldes forhold som den andre parten har ansvaret for eller risikoen for.

Dersom en av partene ønsker å påberope seg mislighold, skal dette meddeles den andre parten skriftlig uten ugrunnet opphold.

Ved mislighold kan den krenkede part holde tilbake sin motytelse, men ikke åpenbart mer enn det som synes påkrevd for å avhjelpe virkningene av misligholdet, og bare inntil forholdet er brakt i overensstemmelse med avtalen.

Hvis det foreligger vesentlig mislighold kan den andre parten – etter å ha gitt skriftlig varsel og rimelig frist til å bringe forholdet i orden – heve hele eller deler av avtalen med øyeblikkelig virkning og kreve erstatning for eventuelle tap dette har medført.

11. Ved opphør

Ved avtalens utløp skal databehandleren påse at alle personopplysninger som er tilgjengeliggjort av behandlingsansvarlig makuleres / slettes på forsvarlig måte. Dette gjelder også sikkerhetskopier.

I stedet for makulering kan behandlingsansvarlig kreve alt utlevert / tilsendt materiale som omfatter personopplysninger, tilbake til behandlingsansvarlig i form av utskrift eller kopi.

Databehandler skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør.

12. Rettsvalg og verneting

Partenes rettigheter og plikter etter denne avtalen bestemmes i sin helhet av norsk rett.

Eventuelle tvister som springer ut av denne avtalen skal behandles ved de ordinære domstoler.

Nordmøre tingrett vedtas som verneting.

13. Signering

Denne avtale er undertegnet i 2 – to – eksemplarer, hvorav hver part beholder 1 – ett – eksemplar.

Sted, dato Sted Dato

Navn: XXXX XXXX XXXXXX Navn:

(med trykte bokstaver) (med trykte bokstaver)

Stilling: Daglig leder Intopro AS Stilling:

…………………………………………………… …………………………………………………………

Databehandler (signatur) Behandlingsansvarlig (signatur)