DATABEHANDLERAVTALE
DATABEHANDLERAVTALE
1. BAKGRUNN
Den 01.08.2021 ble det inngått en "Oppdragsavtale for Regnskapsoppdrag" ("Avtalen") mellom ACCOUNT REGNSKAP AS ("Regnskapsforetaket") og Heatex Norway AS ("Kunden") (hver en "Part", i fellesskap "Partene").
Gjennomføring av oppdraget innebærer at Regnskapsforetaket Behandler Personopplysninger på vegne av Xxxxxx. Regnskapsforetaket opptrer derved som Databehandler for den Behandlingsansvarlige Kunden.
Denne databehandleravtalen har til hensikt å regulere Regnskapsforetakets Behandling av Personopplysninger på vegne av Kunden, og derved sikre at Behandlingen skjer i samsvar med personopplysningsloven (LOV-2018-06-15-38), herunder EUs personvernforordning (EU/2016/679), og senere lovgivning som erstatter eller supplere disse ("Personopplysningsregelverket").
Definisjonene i personvernforordningen artikkel 4 gjelder for tilsvarende for begreper brukt i denne databehandleravtalen.
2. BEHANDLINGENS FORMÅL OG ART
Formålet med Regnskapsforetakets Behandling av Personopplysninger er å gjennomføre regnskapsoppdraget i samsvar med Avtalen, herunder Regnskap Norges standard leveransevilkår for regnskapsoppdrag ("Standardvilkårene").
I Vedlegg 1 i dette dokumentet beskrives de konkrete formålene med Behandlingene, samt de kategorier Personopplysninger og Registrerte som omfattes.
Databehandleravtalen gjelder ikke for Behandling av Personopplysninger som utføres for Regnskapsforetakets egne formål. Dette omfatter også Behandlinger som er nødvendige for å oppfylle plikter som Regnskapsforetaket er pålagt gjennom lov. For slike Behandlinger er Regnskapsforetaket selv Behandlingsansvarlig.
3. REGNSKAPSFORETAKETS PLIKTER
3.1 Rådighetsforbud og varslingsplikt
Regnskapsforetaket skal bare Behandle Personopplysninger i tråd med dokumenterte instrukser fra Kunden, herunder i Avtalen og i denne databehandleravtalens Vedlegg 1 i dette dokumentet.
Dersom Regnskapsforetaket mener at en instruks fra Kunden, jf. første avsnitt, er i strid med Personopplysningsregelverket skal Kunden varsles om dette.
Regnskapsforetaket må uten ugrunnet opphold varsle Kunden dersom Regnskapsforetaket ikke vil være i stand til å overholde sine forpliktelser etter denne databehandleravtalen.
3.2 Utlevering og taushetsplikt
Regnskapsforetaket skal ikke levere ut Personopplysninger til Tredjeparter, med mindre Kunden på forhånd har samtykket skriftlig til slik utlevering, eller det foreligger en lovpålagt plikt for Regnskapsforetaket til å utlevere Personopplysningene. Utlevering til andre Databehandlere skal skje i samsvar med vilkårene i denne databehandleravtalen pkt. 4
av
6
Bestemmelsen om taushetsplikt i Standardvilkårene pkt. 1.6 gjelder også for Personopplysninger som Behandles i medhold av Avtalen.
3.3 Informasjonssikkerhet og avviksmeldinger
Regnskapsforetaket skal treffe alle tiltak som er nødvendige for å etablere et egnet sikkerhetsnivå ved Behandlingen i samsvar med kravene i personvernforordningen artikkel 32. Tiltakene skal dokumenteres.
Regnskapsforetaket skal uten ugrunnet opphold varsle Kunden om ethvert Brudd på personopplysningssikkerheten som har medført en hendelig eller ulovlig tilintetgjørelse, tap, endring, uautorisert utlevering av eller tilgang til Personopplysningene som Behandles i medhold av denne databehandleravtalen. Varselet skal inneholde de opplysninger som kreves etter personvernforordningen artikkel 33 nr. 3.
Regnskapsforetaket skal straks iverksette tiltak for å hindre eller begrense konsekvensene av sikkerhetsbruddet.
3.4 Bistandsplikt
Regnskapsforetaket skal gi Kunden bistand med å etterleve kravene i personvernforordningen artikkel 32 til 36 om informasjonssikkerhet.
Regnskapsforetaket skal også bistå Kunden med å oppfylle Kundens plikt til å svare på henvendelser fra Registrerte som ønsker å utøve sine rettigheter etter Forordningen. Regnskapsforetaket skal ikke selv besvare slike henvendelser, men uten ugrunnet opphold videresende henvendelsen til Xxxxxx eller henvise den Registrerte til selv å kontakte Xxxxxx direkte.
3.5 Tilgang til informasjon og sikkerhetsrevisjoner
Regnskapsforetaket skal på forespørsel gi Kunden tilgang til all informasjon og dokumentasjon som er nødvendig for å påvise at Behandlingen skjer i samsvar med denne databehandleravtalen og Kundens instrukser.
Xxxxxx Xxxxxx avdekker avvik skal Regnskapsforetaket uten ugrunnet opphold iverksette korrigerende tiltak.
4. VILKÅR FOR BRUK AV ANDRE DATABEHANDLERE
Kunden samtykker til at Regnskapsforetaket overlater Personopplysningene som behandles i medhold av Avtalen til andre Databehandlere (underleverandører) som er angitt i Vedlegg 2 i dette dokumentet.
Før nye Databehandlere engasjeres i Behandlingen skal Kunden gis et skriftlig varsel, senest to uker før Personopplysningene overlates til den nye Databehandleren. Varselet skal inneholde opplysninger om hvor Behandlingen vil finne sted, jf. denne databehandleravtalens pkt. 5.
Kunden skal kunne protestere mot at Personopplysningene overlates til nye Databehandlere. I så fall skal Xxxxxxx lojalt forsøke å enes om en løsning som er akseptabel for begge Parter. Dersom dette ikke fører frem kan Avtalen sies opp av begge Parter, i samsvar med Standardvilkårene pkt. 12.
Regnskapsforetaket skal inngå en skriftlig avtale med sine Databehandlere, som pålegger Databehandlerne de samme forpliktelsene som Regnskapsforetaket selv har i medhold av denne databehandleravtalen. Regnskapsforetaket er fullt ut ansvarlig overfor Xxxxxx, for den Behandlingen som Databehandleren gjør.
5. VILKÅR FOR OVERFØRING UT AV EU/EØS-OMRÅDET
Personopplysninger kan bare overføres til land utenfor EU/EØS-området, dersom Kunden har gitt et forhåndssamtykke til det.
av
6
Kunden samtykker til overføring ut av EU/EØS-området som skjer i forbindelse med at Personopplysningene overlates til eksisterende Databehandlere, på de vilkår som er angitt i Vedlegg 2 i dette dokumentet.
Som forhåndssamtykke etter denne bestemmelsen regnes også manglende innsigelser mot at Behandlingen overlates til en Databehandler som Behandler Personopplysningene utenfor EU/EØS- området, jf. denne databehandleravtalen pkt. 4.
6. SLETTING OG TILBAKEFØRING AV PERSONOPPLYSNINGER
Ved Avtalens opphør plikter Regnskapsforetaket å tilbakelevere, slette eller anonymisere alle Personopplysninger i samsvar med Xxxxxxx nærmere instrukser på opphørstidspunktet. Partene skal lojalt enes om den praktiske gjennomføringen av denne plikten som ivaretar begge Parters behov for å oppfylle lovpålagte krav og sikre daglig drift.
Sletteplikten gjelder uansett ikke Personopplysninger som inngår i Regnskapsførerforetakets egen oppdragsdokumentasjon, jf. denne databehandleravtalens pkt. 2 tredje avsnitt.
7. DATABEHANDLERAVTALENS VARIGHET OG ENDRINGER
Databehandleravtalen gjelder så lenge Regnskapsforetaket behandler personopplysninger på vegne av Kunden. Taushetsplikten gjelder på ubestemt tid.
Databehandleravtalen kan endres ved behov og enighet mellom partene i samsvar med Standardvilkårene pkt. 7.
8. MEDDELELSER OG ANNEN KOMMUNIKASJON
Meddelelser og annen kommunikasjon etter denne databehandleravtalen skal skje i samsvar med Standardvilkårene pkt. 1.4.
9. LOVVALG OG VERNETING
Lovvalg og verneting er regulert i Standardvilkårene pkt. 15.
Vikersund, 01.08.2021
for ACCOUNT REGNSKAP AS
Drammen, 01.08.2021 for Heatex Norway AS
av
6
Xxxxxxxx Xxxxxxxx Xxxxxxx Xxxxxx leder
Xxxxx Xxxxxxx Xxxxxx leder
av
6
Vedlegg 1 Kategorier Personopplysninger og behandlingsformål
Personopplysning | Formål med opplysningen |
For- og etternavn | Identifikasjon for korrekt utbetaling av lønn og godtgjørelser herunder reiseregninger og utlegg. Identifikasjon for hendelser relatert til arbeidsforholdet og identifikasjon ved annen pliktig offentlig innrapportering. |
Adresse privat | Kommunikasjon. |
Adresse arbeidssted | Offentlig og intern rapportering. |
Statsborgerskap | A-melding og sikre korrekte ytelser og trekk. |
Bostedsland | A-melding og sikre korrekte ytelser og trekk. |
Telefonnummer (fast) | Kommunikasjon. |
Telefonnummer (mobil) | Kommunikasjon. |
E-postadresse | Kommunikasjon. |
Fødselsdato / nummer | Identifikasjon for utbetaling av lønn og godtgjørelser herunder reiseregninger og utlegg, arbeidsforhold, annen pliktig offentlig innrapportering. |
Kjønn | Statistikkformål for styrets årsberetning, intern rapportering mv. |
Ansattnummer / ArbeidsforholdsID | A-melding. Intern identifikasjon og kategorisering for tilordning i avdeligsregnskap mv. |
Kontonummer i bank | Sikre korrekt utbetaling av lønn og andre ytelser. |
Sivilstatus | Sikre korrekte ytelser og trekk som påvirkes av sivilstatus. |
Ektefelle, herunder navn og fødselsnummer | Sikre korrekt skattemessig innrapportering av lønnsforhold, formuesforhold mv. |
Pårørendeinformasjon | Kommunikasjon med pårørende om særskilte forhold ved akutt sykdom, dødsfall mv. |
Stillingsbetegnelse / yrkeskode | A-melding og sikre korrekt utbetaling lønn. |
Stillingsnivå, herunder stillingsprosent og timer pr uke. Dato for siste endring. | A-melding og sikre korrekt utbetaling lønn. |
Arbeidstidsordning | A-melding og sikre korrekt utbetaling lønn. |
Yrkesopplysninger av betydning for lønns og arbeidsvilkår | A-melding og sikre korrekt utbetaling lønn. |
Utdannelse og praksis, herunder lønnsansiennitet. | A-melding og sikre korrekte ytelser og trekk. |
Medlemskap i fagforeninger og andre yrkesrelaterte foreninger. | Sikre korrekte ytelser og trekk. |
Dekket av tariffavtale, herunder lønnstrinn | Sikre korrekte ytelser og trekk. |
Lønns- og provisjonsopplysninger, herunder avlønningstype og siste dato for avlønning. | A-melding og sikre korrekt utbetaling lønn. |
Pensjonsopplysninger | Sikre korrekt pensjonsinnbetaling og pensjonsytelse. |
Skattetrekksopplysninger | Sikre korrekt skattetrekk. |
Forsikringsforhold, herunder dekningsomfang og nødvendige helseopplysninger (egenerklæringer mv) | Sikre korrekt forsikringsdekning etter avtale mellom arbeidsgiver og forsikringsselskap. |
Personopplysning | Formål med opplysningen |
Fravær og permisjoner, herunder type og varighet. | Sikre korrekte ytelser og trekk. Offentlig innrapportering av sykepenger, permisjonsgodtgjørelse mv. |
Ansettelses- og sluttdato, herunder start- og sluttdatoer ved fusjon og fisjon. | A-meldingen, lønnsberegninger og forsikringsordninger. Følge opp jubileum mv. |
Sluttårsak, herunder oppsigelse og dødsfall. | Sikre korrekte ytelser og trekk. Statistiske formål. |
Firmabil og andre naturalytelser | Sikre korrekt regnskapsrapportering og innberetning av fordel. Forsikringsdekningsformål. |
Eierandeler i selskap | Aksjonærregstermeldinger |
Rolle i selskap | Sikre korrekte ytelser og trekk. Interne rapporteringsformål. A-melding. Sikre korrekte opplysninger i årsregnskapet. |
Vilkår i aksjonæravtaler | Sikre korrekt behandling aksjonærer i mellom. |
Eiendeler i samboerskap | Sikre korrekt innberetning av skattemessige formål. |
Xxxxx / fordringer overfor arbeidsgiver, herunder vilkår for mellomregningen. | Sikre korrekt inn- og utbetaling samt avregning av renter og gebyrer. |
Informasjon i regnskapsdokumentasjon om ansattes atferdsmønster, herunder kjøp av varer og tjenester og bevegelsesmønster | Godtgjørelse av utlegg pådratt i næringsvirksomhet eller føring av private utgifter på privatkonto. |
Kategorier av registrerte vil kunne inkludere:
• Ansatte, vikarer eller midlertidig ansatte hos Kunden
• Personlige kunder hos Kunden
• Eiere av Kundens virksomhet
av
6
• Styremedlemmer hos Xxxxxx
Vedlegg 2 Oversikt over Databehandlere (underleverandører)
Databehandlers navn og kontaktinformasjon | Behandlingssted (land) | Eventuelt overføringsgrunnlag ved overføring ut av EU/EØS |
Norge | Landet er godkjent av EU | |
Presto IT-Support DA, 40 01 20 | Norge | Landet er godkjent av EU |
Visma Software AS, 46 40 40 | Norge | Landet er godkjent av EU |
Aktuelle overføringsgrunnlag etter denne databehandleravtalen er:
1) Landet er godkjent av EU
2) Inngåelse av EUs standardkontrakter
3) Mottaker er Privacy Shield sertifisert (kun USA)
av
6
6
Electronically signedD/aStaäbhkeöhisaensdtilearllaevktirajoleite|ttuR/eEglnesktkroanpisNktosriggene2ra0t1s8/-E2lektronisk signert / Elektronisk underskrevet
Side 6
BRUK AV IT-SYSTEMER I FELLESSKAP
1. FORUTSETNINGER FOR BILAGET
Dette bilaget er aktuelt når:
• Kunden benytter IT-system hvor Regnskapsforetaket er lisenshaver og/eller
• Regnskapsforetaket benytter IT-system hvor Kunden er lisenshaver
2. PARTENES AVTALERETTSLIGE FORHOLD TIL SYSTEMLEVERANDØR/IT- SYSTEM OG TILGANGSRETTIGHETER
Denne avtale omfatter følgende IT-system, med angivelse av lisenshaver:
Systemleverandør | IT-system | Lisenshaver (sett kryss) | |
Kunden | Regnskaps- foretaket | ||
Uni Micro | x | ||
Presto IT-Support DA, 40 01 20 | Server | x | |
Den av Partene som er lisenshaver har fulle rettigheter i IT-systemet.
2.1 Kunden er lisenshaver
Der Kunden er lisenshaver skal Regnskapsforetaket sikres de tilganger som er nødvendige for å utføre oppdraget i henhold til oppdragsavtalen. Dette inkluderer:
administratorrettighet slik at Regnskapsforetaket kan åpne og lukke nødvendige tilganger til egne medarbeidere.
ikke administratorrettighet. For åpning og lukking av tilganger, skal Kunden kontaktes.
2.2 Regnskapsforetaket er lisenshaver
Der Regnskapsforetaket er lisenshaver skal Kunden sikres tilgang til de deler av IT-systemet som Kunden etter oppdragsavtalen helt eller delvis skal ivareta selv. Regnskapsforetaket er gjennom God regnskapsføringsskikk pålagt å begrense Kundens tilgang til det som følger av oppdragsavtalen.
3. ANSVARSFORDELING OG KRAV TIL IT-SYSTEMET
Den av Partene, enten Kunde eller Regnskapsforetaket, som er lisenshaver etter punkt 2 skal sørge for at benyttet IT-system har:
• nødvendig funksjonalitet for å oppfylle de krav som lov og forskrifter stiller til registrering, dokumentasjon og rapportering av regnskapsopplysninger mv.
• spesifisert i avtalen med Systemleverandøren hvor fysiske oppbevaringsmedier befinner seg
• minst en sikkerhetskopi av oppbevaringspliktig dokumentasjon og regnskapsopplysninger som er adskilt fra originalen. Adskillelsen skal være i tråd med Norsk Bokføringsstandard NBS 1 om sikring av regnskapsmateriale
• driftsmiljø, gjennom avtaleverket, som bidrar til å sikre tilgjengelighet, integritet og konfidensialitet av dokumentasjon og registrerte opplysninger
• unike påloggingsidentiteter og loggfunksjonalitet slik at det det er mulig å identifisere hvem som har registrert, endret eller slettet registrerte opplysninger i systemet
av
2
• tilgjengelig driftsmeldinger for Partene fra Systemleverandør om vedlikehold, oppdatering og feil ved IT-systemet
Der hvor Kunden er lisenshaver skal i tillegg avtalevilkår, herunder Brukervilkår, som gjelder forhold mellom Kunden og Systemleverandør til enhver tid kunne gjøres tilgjengelig for Regnskapsforetaket.
Partene kan ikke holdes ansvarlig for økonomiske tap eller ødeleggelser som følge av feil eller mangler ved Systemleverandørs program- og maskinvare, kommunikasjon, datasikkerhet, manglende vedlikehold av programvare eller andre forhold og underleverandører som denne må svare for.
4. FULLMAKT OM TILGANG TIL OPPDRAGSDOKUMENTASJON
Dersom oppdraget utføres i et IT-system, hvor Xxxxxx har avtale med lisensgiver/tjenesteleverandør og således er lisenshaver/tjenestemottaker, skal Regnskapsforetaket ha ugjenkallelig fullmakt til å få utlevert i Norge oppbevaringspliktig oppdragsdokumentasjon som er lagret i systemene. Den samme ugjenkallelige fullmakten skal gjelde dersom kunden på et senere tidspunkt blir lisenshaver eller oppdraget termineres.
Fullmakten gjelder i hele oppdragsperioden og i fem år etter oppdragets avslutning.
Dersom Kunden skal slette eller makulere materiale før fem år er gått, skal Kunden overlevere oppdragsdokumentasjon til Regnskapsforetaket på forhånd. Det samme gjelder ved opphør av lisens-
/tjenesteavtalen.
Som Regnskapsforetakets oppbevaringspliktige oppdragsdokumentasjon kan regnes blant annet, men ikke begrenset til:
• Avstemminger av eiendeler, herunder nødvendige spesifikasjoner til disse
• Avstemminger av gjeld, herunder nødvendige spesifikasjoner til disse
• Avstemminger av resultatkontoer
• Årsregnskap med lovbestemte beretninger og Skattemelding for formues- og inntektsskatt herunder sporbarhetsspesifikasjoner til årsregnskap og næringsoppgave
• Pliktige spesifikasjoner
• Budsjetter og periodiske regnskapsrapporter
• Revisors korrespondanse
Selv om denne fullmakten også gjelder etter oppdragets avslutning, er opplysningene som skal kunne kreves utlevert begrenset til å gjelde relevant oppdragsinformasjon for oppdragsperioden mellom Partene.
Regnskapsforetaket er ansvarlig for å betale Systemleverandørens eventuelle vederlag for å få slike data utlevert.
Dato og signatur fra Kunde:
av
2
_