Databehandleravtale
Databehandleravtale
i henhold til personvernlovgivningen i det landet den Behandlingsansvarlige er etablert slik det framgår under.
av og mellom
Behandlingsansvarlig: | |
Organisasjonsnummer: | |
Landet der virksomheten er etablert: (eller hvis etablert i et land utenfor EU, det EU/EØS landet hvor Behandlingsansvarlig skal gjøre bruk av utstyr/tjenester) | |
Behandlingsansvarliges kontakt for data forespørsler (navn eller rolle, kontaktinformasjon): | |
Behandlingsansvarliges kontakt for varsling om uautorisert databehandling (navn eller rolle, kontaktinformasjon): | |
og: | |
Databehandler: | Tripletex AS |
Organisasjonsnummer: | 914286018 MVA |
Databehandlers kontaktperson | Xxxx Xxxxxx |
Heretter kalt henholdsvis "Behandlingsansvarlig" og "Databehandler", eller "Part", og
kollektivt "Partene".
Innledning
Begge Parter bekrefter at den undertegnede har nødvendig fullmakt til å inngå denne Databehandleravtalen ("Avtalen"). Avtalen regulerer behandlingen av Personopplysninger i henhold til serviceavtaler ("Serviceavtaler") inngått mellom partene som nevnt under, og vil inngå som del av dette avtaleverket:
▪ Avtale om kjøp av Tripletex system
Avtalen regulerer Databehandlerens behandling av Personopplysninger på vegne av den Behandlingsansvarlige, og Databehandlerens plikt til å ha systemer og rutiner på plass for ivaretakelse av informasjonssikkerheten i henhold til lovkrav.
Avtalen har forrang i forhold til eventuelle avvikende eller uforenlige bestemmelser vedrørende behandling av Personopplysninger inntatt i Serviceavtaler mellom Partene. Avtalen forutsetter og er ikke gyldig uten å være tilknyttet en Serviceavtale.
Definisjoner
Personopplysninger: Informasjon som kan knyttes til en identifisert eller identifiserbar person (den registrerte)
Den Registrerte: En identifisert eller identifiserbar fysisk person. En identifiserbar person er en som kan identifiseres, direkte eller indirekte, særlig med tanke på et identifikasjonsnummer eller en eller flere faktorer som er spesifikke for personens fysiske, fysiologiske, mentale, økonomiske, kulturelle eller sosiale identitet.
Behandling av Personopplysninger: Enhver operasjon eller sett av operasjoner som utføres på Personopplysninger, uavhengig av hvorvidt dette skjer gjennom å bruke automatiske hjelpemidler, som innsamling, registrering, organisering, lagring, tilpasning eller endring, innhenting, konsultering, bruk, avsløring ved oversendelse, spredning eller på annen måte tilgjengeliggjort, tilpasset eller kombinert, blokkert, slettet eller ødelagt.
Behandlingsansvarlig: Den fysiske eller juridiske personen, offentlige myndigheten, virksomhet eller annen organisasjon som enten alene eller i fellesskap med andre bestemmer formålet og verktøyene som skal brukes ved behandlingen av Personopplysninger.
Databehandler: En fysisk eller juridisk person, offentlig myndighet, virksomhet eller annen organisasjon, som behandler Personopplysninger på vegne av den Behandlingsansvarlige.
Den Registrertes samtykke: Enhver frivillig, informert og spesifikk indikasjon fra den Registrerte som tilkjennegir vedkommendes samtykke til behandling av Personopplysninger.
Avtalens omfang
Denne Avtalen regulerer all behandling av Personopplysninger som utføres av Databehandler på vegne av den Behandlingsansvarlige i henhold til Serviceavtaler. Databehandler skal bare behandle de kategoriene av Personopplysninger som omfattes av Serviceavtalene, og bare til de formål og i den grad det er nødvendig for å oppfylle Serviceavtalene.
Databehandlerens forpliktelser
Databehandler skal bare behandle Personopplysninger på vegne av og i samsvar med den Behandlingsansvarliges instruksjoner, slik disse avtalte instruksjonene fremkommer av Serviceavtalene, forutsatt instruksjonene er basert på gjeldende personvernlovgivning.
Databehandler skal sikre et hensiktsmessig sikkerhetsnivå, herunder med tanke på konfidensialitet, integritet og tilgjengelighet til Personopplysninger. Dette skal sikres ved hjelp av systematiske, organisatoriske og tekniske forholdsregler og tiltak, som hensyntar egenarten og kostnadene ved implementering av tiltak målt opp mot risiko ved databehandlingen og typen data som skal beskyttes.
Databehandler er forpliktet til å gi Behandlingsansvarlig tilgang til informasjon om sikkerhetstiltak og andre mekanismer som er iverksatt av Databehandler for å beskytte Personopplysningene, samt for å sikre at personvernlovgivningen overholdes. Dersom den Behandlingsansvarlige krever informasjon om sikkerhetstiltak utover den standard informasjonen som Databehandler tilgjengeliggjør, kan Databehandler fakturere den Behandlingsansvarlige for slikt merarbeid og tilleggstjenester.
Databehandler med personell skal overholde sin taushetsplikt med hensyn til dokumentasjon og Personopplysninger som han/hun vil måtte få tilgang til som del av denne Avtalen. Denne bestemmelsen gjelder også etter at Avtalen opphører.
Databehandler vil, gjennom å varsle den Behandlingsansvarlige, medvirke til at den Behandlingsansvarlige oppfyller personvernlovgivningen med hensyn til sin lovpålagte plikt til å underrette myndigheter eller Registrerte om avvik.
Videre vil Databehandler så langt det er praktisk mulig og lovlig varsle den Behandlingsansvarlige om; i) mottatte forespørsler fra Registrerte om utlevering av Personopplysninger uten å etterkomme slike forespørsler, med mindre den Behandlingsansvarlige har gitt slik fullmakt, og ii) forespørsler fra myndigheter som politiet eller lignende om utlevering av Personopplysninger uten å etterkomme slike forespørsler, med mindre den Behandlingsansvarlige har gitt slik fullmakt. Databehandler kan imidlertid være avskåret fra å varsle den Behandlingsansvarlige om forespørsler fra myndigheter om utlevering, herunder dersom straff- eller prosesslovgivning forhindret dette av hensyn til konfidensialitet ved etterforskning. Databehandler vil ikke utlevere informasjon om denne Avtalen til myndigheter som politiet, herunder Personopplysninger, med mindre det er
påkrevd i henhold til lov, som f.eks ved rettslig kjennelse eller ransakelsesordre.
Hendelser vil bli rapportert til den Behandlingsansvarlige ved å bruke den kontaktinformasjonen som oppgitt på første side i denne Avtalen.
Databehandler vil kun behandle Personopplysninger til de formål som er beskrevet i Serviceavtalene, og vil ikke på annen måte behandle eller bruke Personopplysningene til andre formål enn de som framgår av denne Avtalen eller slik Behandlingsansvarlig instruerer. Databehandler vil ikke utlevere slike Personopplysninger til andre tredjeparter enn egne underleverandører (vennligst se under) med mindre det er påkrevd i henhold til lov.
Behandlingsansvarlig sine forpliktelser
Behandlingsansvarlig bekrefter ved å undertegne denne Avtalen at:
● Denne Avtalen oppfyller kravene til Behandlingsansvarlig om å ha på plass en databehandleravtale i tråd med personvernlovgivningen som gjelder i det landet den Behandlingsansvarlige er etablert.
● Behandlingsansvarlige skal, når han bruker tjenestene som ytes av Databehandler i henhold til Serviceavtalene, behandle Personopplysninger i samsvar med kravene i gjeldende personvernlovgivning.
● Behandlingsansvarlig har lovlig grunnlag til å behandle og utlevere de aktuelle Personopplysningene til Databehandler (inkludert til enhver underleverandører som Databehandler benytter).
● Behandlingsansvarlig har eneansvaret for nøyaktigheten, integriteten, innholdet, påliteligheten og lovligheten knyttet til Personopplysninger som utleveres til Databehandler.
● Behandlingsansvarlig har oppfylt alle obligatoriske krav og plikter om å melde til eller innhente tillatelse fra de relevante myndighetene med tanke på behandlingen av Personopplysninger.
● Behandlingsansvarlig har oppfylt sine plikter til å oppgi relevant informasjon til de Registrerte om behandlingen av Personopplysninger i samsvar med gjeldende personvernlovgivning.
● Behandlingsansvarlig skal, når han benytter tjenestene som ytes av Databehandler i henhold til Serviceavtalene, ikke kommunisere sensitive Personopplysninger til Databehandler, såfremt dette ikke er uttrykkelig avtalt i Vedlegg A til denne Avtalen.
Bruk av underleverandører og overføring av data
Som en del av tjenesteleveransen til Behandlingsansvarlig kan Databehandler bruke underleverandører. Databehandler skal sikre at underleverandører påtar seg tilsvarende forpliktelser som de som fremgår av denne Avtalen.
Databehandler kan overføre personopplysninger til land der underleverandør er lokalisert. Hvis en underleverandør er lokalisert utenfor EU/EØS, skal Databehandler på forespørsel fra den Behandlingsansvarlige, bistå den Behandlingsansvarlige med å oppfylle sine plikter til å sikre lovlig overføringsgrunnlag. Dette skjer ved hjelp av grunnlag for overføring som er godkjent av EU som f.eks EU standard kontrakter, Privacy Shield eller annet grunnlag godkjent av de aktuelle tilsynsmyndighetene.
Den Behandlingsansvarlige kan når som helst kreve å motta en komplett liste og informasjon om de underleverandørene som til enhver tid er involvert i leveransen av tjenestene til den Behandlingsansvarlige. Ved å undertegne denne Avtalen aksepterer den Behandlingsansvarlige Databehandlerens bruk av underleverandører som beskrevet over.
Sikkerhet
Generelt skal Databehandler oppfylle de kravene til sikkerhetstiltak som er fastsatt i gjeldende personvernlovgivning. Dokumentasjon i denne forbindelse skal gjøres tilgjengelig på forespørsel fra Behandlingsansvarlig, se over i punktet om Databehandlerens forpliktelser.
Videre har Tripletex utviklet et internt rammeverk for personvern som skal sikre konfidensialiteten, integriteten og tilgangen til Personopplysninger. Følgende hovedtiltak er særlig viktige i denne sammenhengen:
● Klassifisering av Personopplysninger for å sikre implementering av sikkerhetstiltak som tilsvarer risikovurderingene.
● Begrense tilgangen til Personopplysninger ved å forhindre at personell har tilgang, behandler og/eller bruker Personopplysninger uten fullmakt og til andre formål enn å levere tjenestene og oppfylle forpliktelsene i henhold til denne Avtalen.
● Implementere og administrere systemer som oppdager, forhindrer og rapporterer hendelser og avvik.
● Kartlegge komponenter som er inkludert i sikkerhetsarkitekturen til enhver tid.
● Kartlegge hvordan Personopplysninger blir overført mellom Partene (Behandlingsansvarlig og Databehandler med underleverandører) og komponenter/systemer som er involvert i behandlingen av Personopplysninger.
Rett til revisjon
Den Behandlingsansvarlige kan revidere Databehandlerens overholdelse av Serviceavtalene og denne Avtalen opptil en gang i året. Hvis lovgivning som gjelder for Behandlingsansvarlig krever det, kan Behandlingsansvarlig kreve slik revisjon på hyppigere basis. For å be om revisjon må Behandlingsansvarlig sende en detaljert revisjonsplan minst fire uker før den foreslåtte revisjonsdatoen til Databehandler, med beskrivelse av det foreslåtte omfanget, varigheten og startdatoen for revisjonen. Hvis en tredjepart skal gjennomføre revisjonen må dette som den klare hovedregel avtales gjensidig mellom Behandlingsansvarlig og Databehandler. Hvis miljøet for behandlingen av Personopplysninger imidlertider er et “multitenant” miljø eller ligende, kan Databehandleren ensidig bestemme (grunnet sikkerhet) at revisjon skal utføres av en lojal tredjepart som utpekes av Databehandler.
Hvis det forespurte revisjonsomfanget adresseres i en ISAE 3402, ISO eller lignende revisjonsrapport utført av en kvalifisert tredjeparts innenfor de foregående tolv månedene, og Databehandler bekrefter at det ikke foreligger noen vesentlige endringer i kontrollene som skal revideres, samtykker den Behandlingsansvarlige til å akseptere disse funnene i stedet for å kreve en revisjon av kontrollene som er dekket av rapporten.
Revisjonen må gjennomføres i vanlig arbeidstid i de aktuelle lokalene, underlagt Databehandlerens retningslinjer, og kan ikke forstyrre Databehandlerens virksomhet på en
urimelig måte.
Behandlingsansvarlig er ansvarlig for alle kostnader som måtte oppstå på grunnlag av krav om revisjon og Databehandlerens bistand i denne forbindelse.
Avtalens varighet
Denne Avtalen gjelder så lenge Databehandler behandler Personopplysninger på vegne av Behandlingsansvarlig i henhold til Serviceavtalene.
Opphør
Denne Avtalen opphører automatisk sammen med opphøret av Serviceavtalene. Ved opphør av denne Avtalen vil Databehandler slette eller returnere alle Personopplysninger som behandles på vegne av den Behandlingsansvarlige i henhold til nærmere avtale.
Databehandlers bistand med flytting, kopiering, sletting mv. vil bli fakturert etter særskilt avtale mellom partene.
Databehandler kan oppbevare en kopi av hele eller deler av Personopplysningene som er behandlet på vegne av Behandlingsansvarlig hvis han, i henhold til lovgivningen eller av andre forretningsmessig årsaker, må beholde slik data etter opphøret av Avtalen. Hvoretter slike data vil være gjenstand for de samme kravene med hensyn til konfidensialitet og sikkerhet som gjelder i henhold til denne Avtalen for øvrig.
Endringer og tillegg
I tilfelle av lovendringer, endringer med hensyn til sikkerhet eller dersom det oppstår behov for endringer grunnet andre praktiske forhold kan kan det foretas endringer i denne Avtalen.
Hvis noen bestemmelse i denne Avtalen blir uvirksom eller ugyldig skal ikke det påvirke de øvrige bestemmelsene. Partene skal erstatte de uvirksomme eller ugyldige bestemmelsene med lovlige bestemmelser som reflekterer formålet med den uvirksomme eller ugyldige bestemmelsen.
Erstatningsansvar
Erstatningsansvar for brudd på bestemmelsene i denne Avtalen skal reguleres av de erstatningsvilkårene som er fastsatt i Serviceavtalen inngått mellom Partene. Dette gjelder også i forhold til data som beholdes av Databehandler etter opphøret av Avtalen grunnet lovmessige eller andre forretningsmessige årsaker, samt i forhold til ethvert brudd forårsaket av Databehandlers underleverandører.
Gjeldende lov og verneting
Denne Avtalen er underlagt gjeldende lov og verneting slik det framgår av Serviceavtalen inngått mellom Partene.
***
Denne Avtalen er utferdiget i to (2) eksemplarer, der hver Part beholder hvert sitt eksemplar.
Behandlingsansvarlig:
Sted og dato:
Underskrevet av:
Underskrift:
Databehandler:
Sted og dato:
Underskrevet av:
Underskrift:
Vedlegg A
Behandling av sensitive Personopplysninger
Dette Vedlegget er bare relevant hvis Databehandler skal behandle sensitive Personopplysninger på vegne av Behandlingsansvarlig som en del av Serviceavtalen. For at Databehandler skal behandle slike data på vegne av den Behandlingsansvarlige må de aktuelle typene sensitive Personopplysninger angis under av den Behandlingsansvarlige.
Den Behandlingsansvarlige er også ansvarlig for å informere Databehandler om, og inkludere under, eventuelle ytterligere typer sensitive Personopplysninger i henhold til personvernlovgivningen som gjelder i det landet Behandlingsansvarlig er etablert.
Databehandler skal, på vegne av Behandlingsansvarlig, behandle informasjon som gjelder: | Ja | Nei |
rasemessig eller etnisk opphav, eller politisk overbevisning, filosofisk eller religiøs tro, | ||
at en person er mistenkt for, stevnet eller dømt i en kriminalsak, | ||
helsetilstand, | ||
seksuell orientering, | ||
fagforeningsmedlemskap |