BILAG 2 – DATABEHANDLERAVTALE AVTALENS PARTER
Behandlingsansvarlig | Kamperhaug Boligutvikling AS | Org. nr: | 898 130 282 |
Adresse: | Xxxxxxxxxx 00, 0000 Xxxxxxxxxxxxxxx | ||
BILAG 2 – DATABEHANDLERAVTALE AVTALENS PARTER
Databehandler | Kamperhaug Utvikling AS | Org. nr: | 986 294 619 |
Adresse: | Xxxxxxxxxx 00, 0000 Xxxxxxxxxxxxxxx | ||
Behandlingsansvarlig og Databehandler omtales i fellesskap omtalt som "Partene".
Avtalens bakgrunn og hensikt
Som kunde bestemmer den Behandlingsansvarlige formålet med behandlingen av personopplysningene og hvilke midler som skal benyttes.
Databehandleren har forpliktet seg til å levere prosjektstyringsverktøy som beskrevet i [navn på hovedavtale] ("Tjenesteavtalen").
Formålet med denne Databehandleravtalen er å:
a) regulere Partenes roller og ansvar ved behandling av personopplysninger etter personopplysningslovgivningen og GDPR (som definert nedenfor) i forbindelse med gjennomføringen av Tjenesteavtalen og
b) sikre at personopplysninger om De registrerte ikke behandles urettmessig eller kommer uberettigede i hende.
DEFINISJONER
Følgende definisjoner gjelder for denne Databehandleravtalen:
"Databehandleravtalen" betyr de bestemmelser som fremgår av denne databehandleravtalen med vedlegg.
"Personopplysning" betyr alle typer opplysninger eller informasjon som anses som personopplysninger etter Personvernlovgivningen og GDPR. Dette omfatter, men er ikke begrenset til, de opplysningene som fremgår av Vedlegg 1.
"Behandling" (av Personopplysninger) betyr enhver bruk av Personopplysninger, for eksempel innsamling, lagring, organisering, endring eller tilpasning, utlevering og/eller overføring. "GDPR" betyr EU-forordning 2016/679 av 27. april 2016 om vern av fysiske personer i
forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (slik denne blir/er implementert i norsk rett).
"Personvernlovgivning" betyr lov om behandling av personopplysninger av 14. april 2000 nr. 31 med tilførende forskrift som implementerer Direktiv 1995/46/EF om behandling og utveksling av personopplysninger og tilsvarende lovgivning som implementerer GDPR.
"Underleverandør" betyr andre databehandlere som Databehandleren bruker til å behandle Personopplysningene.
"De registrerte" betyr de personene som Personopplysningene knytter seg til.
Generelt
Partene skal Behandle Personopplysninger i samsvar med Personvernlovgivningen, GDPR og denne Avtalen.
Databehandleren samler inn, registrerer, sammenstiller, lagrer og behandler Personopplysninger på andre måter på vegne av behandlingsansvarlig for å kunne levere de avtalte tjenestene.
Databehandler kan behandle de Personopplysningene som er nødvendige for å levere de avtalte tjenestene samt administrere avtaleforholdet.
Vedlegg 1 beskriver hvilke typer personopplysninger Databehandleren behandler og formålet med behandlingen. Databehandler skal ikke behandle personopplysninger for andre formål enn det som fremgår her.
Den Behandlingsansvarliges plikter
Den Behandlingsansvarlige er ansvarlig for at personopplysninger behandles i henhold til kravene i Personvernlovgivningen og GDPR. Den Behandlingsansvarlige må sikre at det finnes et lovlig grunnlag for behandlingen av Personopplysningene.
Med mindre noe annet er avtalt eller følger av lov, har den Behandlingsansvarlige rett til tilgang til og innsyn i de Personopplysningene Databehandleren behandler og de systemene Databehandleren bruker til dette formålet. Databehandler plikter å gi nødvendig bistand til dette.
Databehandlerens plikter
Databehandleren skal:
a) kun Behandle Personopplysninger etter dokumenterte instrukser fra den Behandlingsansvarlige;
b) sikre at de personene som er autorisert til å Behandle Personopplysningene er underlagt taushetsplikt;
c) oppfylle de krav til sikkerhetstiltak som følger av Personvernlovgivningen og GDPR, herunder gjennomføre egnede tekniske og organisatoriske sikkerhetstiltak som beskrevet i Vedlegg 2 for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen;
d) bistå den Behandlingsansvarlige med å etterleve kravene til å etablere et egnet sikkerhetsnivå i henhold til GDPR artikkel 32-36, herunder gjennomføre nødvendige tiltak som å varsle om sikkerhetsbrudd, vurdere personvernkonsekvenser og gjennomføre forhåndsdrøftinger, og
e) etter den Behandlingsansvarliges valg, kostnadsfritt slette og/eller tilbakeføre Personopplysningene samt eventuelle kopier av Personopplysningene når i) Databehandleravtalen opphører etter punkt 13 eller ii) den Behandlingsansvarlige krever det (med mindre Personvernlovgivningen, GDPR eller annen lovgivning krever at Personopplysningene skal oppbevares).
Databehandler skal gi den Behandlingsansvarlige tilgang til informasjon som viser at Databehandleren oppfyller sine forpliktelser.
Partene skal umiddelbart varsle hverandre dersom den ene parten mener at instrukser eller krav fra den andre parten er i strid med Personvernlovgivningen eller GDPR.
Databehandlerens bruk av underleverandører
De Underleverandørene som Databehandleren benytter i forbindelse med Tjenesteavtalen er beskrevet i Vedlegg 3. Den Behandlingsansvarlige aksepterer at Databehandler benytter disse underleverandørene.
Databehandleren skal sikre at Underleverandørene er kjent med Databehandlers avtalemessige og lovmessige forpliktelser og oppfyller disse kravene.
Databehandler kan ikke bruke andre Underleverandører enn dem som fremgår av Vedlegg 3 uten den Behandlingsansvarliges skriftlig forhåndssamtykke. Dersom Behandlingsansvarlig motsetter seg bruk av ny underleverandør, skal den Behandlingsansvarlige informere Databehandleren uten innen ugrunnet opphold.
Databehandlerens overføring av personopplysninger til utlandet
Databehandleren kan overføre de Personopplysningene Databehandleren behandler på vegne av den Behandlingsansvarlige til de land der Databehandleren og Underleverandørene driver sin virksomhet og lagre dem her.
Den Behandlingsansvarlige er kjent med dette og godtar denne overføringen så lenge den er nødvendig for å gjennomføre de avtalte leveransene.
Den Behandlingsansvarlige godtar at Personopplysningene behandles utenfor Norge. Databehandler skal likevel ikke overføre Personopplysninger til land utenfor EU/EØS-området uten et forutgående skriftlig samtykke fra den Behandlingsansvarlige.
Dersom den Behandlingsansvarlige godtar en slik overføring, skal Databehandleren sørge for at overføring skjer basert på godkjente overføringsgrunnlag, jfr. GDPR artikkel 44-46.
Partenes ansvar for å håndtere De registrertes rettigheter
Den Behandlingsansvarlige skal være kontaktpunkt for De registrerte og gi nødvendig informasjon om behandlingen.
Den Behandlingsansvarlige er ansvarlig for å håndtere krav om innsyn, retting, sletting, begrensning, dataportabilitet mv. samt sikre at slike krav imøtekommes.
Databehandler skal medvirke til at den Behandlingsansvarlige kan oppfylle sine forpliktelser knyttet til De registrertes rettigheter.
Partenes ansvar for avvikshåndtering og varsling
Enhver bruk av informasjonssystemer i strid med Databehandlers fastlagte rutiner, den Behandlingsansvarliges instrukser, Personvernlovgivningen eller GDPR, samt ethvert annet sikkerhetsbrudd, skal håndteres som et avvik.
Partene skal etablere og opprettholde rutiner og systematiske tiltak for oppfølging av avvik, herunder tiltak for gjenoppretting av normaltilstand, fjerning av årsaken til avviket og hindre gjentakelse.
Partene skal, så snart de får kunnskap om et avvik, uten ugrunnet opphold informere hverandre om eventuelle sikkerhetsbrudd og umiddelbart iverksette alle nødvendige og hensiktsmessige tiltak for å gjenopprette normaltilstand.
Den Behandlingsansvarlige er ansvarlig for å sende avviksmelding til Datatilsynet og De registrerte. Databehandleren skal, om nødvendig, bistå den Behandlingsansvarlige ved en slik varsling.
Sikkerhetsrevisjoner
Den Behandlingsansvarlig har rett til å gjennomføre jevnlige sikkerhetsrevisjoner av de systemer mv. som omfattes av denne avtalen. Dette skal skje etter avtale med Databehandleren. Databehandler skal gi nødvendig bistand i forbindelse med gjennomføringen.
Taushetsplikt
Databehandleren har taushetsplikt om de Personopplysninger og dokumentasjon som Databehandler får tilgang til gjennom Databehandleravtalen.
Databehandleren skal innhente taushetserklæringer fra egne ansatte og andre som gis tilgang til opplysningene.
Databehandleren skal ikke levere ut eller gi tilgang til Personopplysningene til andre enn egne ansatte, egne databehandlere eller til ansatte hos Behandlingsansvarlig, uten at dette er avtalt skriftlig med Behandlingsansvarlig eller følger av lov, forskrift eller vedtak av offentlig myndighet.
Avtalens varighet
Avtalen gjelder så lenge Databehandleren behandler Personopplysninger på vegne av den Behandlingsansvarlige.
Ved opphør
Når Databehandleravtalen opphører skal Databehandleren levere tilbake alle Personopplysninger som omfattes av Databehandleravtalen i et format som er egnet for videre behandling hos den Behandlingsansvarlige eller en tredjepart som Behandlingsansvarlig utpeker.
Behandlingsansvarlig kan alternativt kreve at Personopplysningene slettes og/eller destrueres i samsvar med Behandlingsansvarliges skriftlig instruks.
Partene avtaler nærmere hvordan overføring, eller sletting og/eller destruering konkret skal skje.
Databehandleren skal skriftlig dokumentere at sletting og/eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter Databehandleravtalen opphører.
Lovvalg og verneting
Avtalen er underlagt norsk rett. Partene vedtar Sarpsborg Tingrett som verneting.
Vedlegg til avtalen
Vedlegg 1 Beskrivelse av personopplysningene og formålet med behandlingen Vedlegg 2 Tekniske og organisatoriske tiltak for informasjonssikkerhet Vedlegg 3 Oversikt over databehandlerens underleverandører
Vedlegg 1 Beskrivelse av personopplysningene og formålet med behandlingen
Kategorier av personopplysninger | Kategorier av registrerte | Formålet med behandlingen |
Personalia, slik som: Navn, kjønn, alder, personnummer, BankID mv. | Behandlingsansvarlig sine kunder | Gjennomføre salgsprosesser, herunder support |
Kontaktinformasjon, slik som: Telefonnummer, e- postadresse, adresse mv. | Behandlingsansvarlig sine kunder | Gjennomføre salgsprosesser, herunder support |
Kunderelaterte opplysninger, slik som: kopi av legitimasjon inkludert bilde, boliginformasjon, avtaledokumenter mv. | Behandlingsansvarlig sine kunder | Gjennomføre salgsprosesser, herunder support |
Personalia, slik som: Navn, stillingsbeskrivelse mv. | Ansatte hos Behandlingsansvarlig | Gjennomføre avtaleforholdet med databehandler |
Kontaktinformasjon, slik som: Telefonnummer, e- postadresse, adresse mv. | Ansatte hos Behandlingsansvarlig | Gjennomføre avtaleforholdet med databehandler |
Vedlegg 2 Beskrivelse av tekniske og organisatoriske sikkerhetstiltak
Fysisk adgangskontroll
Databehandler data skal implementere nødvendige tiltak, selv eller ved bruk av en tredjepart, for å forhindre fysisk tilgang. Dette inkluderer, men er ikke begrenset til bruk av sikkerhetspersonell, og bruk av sikre bygninger og lokasjoner, for å forhindre uvedkommende fra å få tilgang til personopplysninger.
Systemadgangskontroll
Databehandler skal implementere hensiktsmessige tiltak for å forhindre at personopplysninger behandles urettmessig. Disse tiltakene vil variere med behandlingen og inkluderer, men er ikke begrenset til, autentisering med brukernavn og passord, tofaktor autentisering, dokumenterte autorisasjonsprosesser, dokumenterte endringshåndteringsprosesser og logging på flere nivåer.
Overføringskontroll
Databehandler skal så langt det er praktisk gjennomførbart implementere hensiktsmessige tiltak for å forsikre om at det er mulig å overføre data til rette vedkommende uten at dataene kan leses, kopieres, endres eller slettes uautorisert under dataoverføringen.
Backup
Backup foretas i tråd med Tjenesteavtalen. For tjenester som ikke inkluderer backup står Xxxxxx selv ansvarlig for å besørge hensiktsmessig backup].
Logisk seperasjon
Data fra ulike registrerte er logisk separert i Databehandler sine systemer for å sikre at personopplysninger som registreres for ulike formål kan behandles hver for seg].
Vedlegg 3 Oversikt over databehandlerens underleverandører
Selskap | Adresse | Kontaktopplysning er | Behandlin gs-/lagrin gssted |
Amazon Web Services, Inc. | Seattle USA | EU/EØS | |
Tidio ltd | 000X Xxxxxx Xxxx X00 0XX, Xxxxxx | EU/EØS | |
Idfy Norge AS | Drammensveien 167 N-0277 Oslo | EU/EØS |