Datahandleravtale mellom
Datahandleravtale mellom
<kundenavn> | og | Sodvin AS |
<org nr> | Xxx.xx: 983 474 594 | |
<kundeadresse> | Xxxxxxxxxxxxxxx 0X | |
0000 Xxxxxxxxxxxx | ||
heretter benevnt, Behandlingsansvarlige | heretter benevnt, Databehandler |
1. Avtalens hensikt
Avtalens hensikt er å definere under hvilke omstendigheter Databehandler påtar seg å utføre behandlingsoperasjoner som berører Personopplysninger slik definert nedenfor, på vegene av Behandlingsansvarlige.
Som del av partenes avtalefestede forhold, skal partene påse at de hver for seg opererer i samsvar med den til enhver tid gjeldende norske Personopplysningslov herunder EU’s Personvernforordning, «Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016», heretter benevnt PVF, som trer i kraft 25 Mai 2018.
2. Definisjoner
Begreper som er eksplisitt definert i denne avtalen skal ha den betydning som er definert.
2.1 PVF
Personvernforordningen; «Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016», også benevnt «General Data Protection Regulation» og «GDPR»
2.2 Personopplysninger
All informasjon knyttet direkte eller indirekte til en identifisert eller identifiserbar fysisk person.
2.3 Behandling
Enhver behandling eller sett av instruksjoner og funksjoner som utføres på Personopplysninger eller på samlinger av Personopplysninger.
2.4 Behandlingsansvarlig
Den fysiske eller juridiske person, offentlige autoritet, byrå eller annen organisasjon som alene eller i samarbeid med andre, bestemmer formålet med behandlingen av Personopplysninger.
2.5 Databehandler
Den fysiske eller juridiske person, offentlige autoritet, byrå eller annen organisasjon som behandler Personopplysninger på vegene av Behandlingsansvarlige.
2.6 Den Registrerte
Den fysiske personen som er identifisert eller kan identifiseres ved bruk av de registrerte Personopplysningene som behandles.
3 Beskrivelse av de avtalte Personopplysningsbehandlinger
3.1 Autorisasjon
Databehandler autoriseres på vegene av Behandlingsansvarlige til å behandle Personopplysninger i den grad det er nødvendig for å utføre avtalte tjenester ifølge de til enhver tid gjeldende tjenesteavtaler mellom Behandlingsansvarlige som kunde og Databehandler som leverandør.
3.2 Oppgavebeskrivelse
Teknisk drift og vedlikehold av server- og lagringssystemer og tilknyttet infrastruktur slik beskrevet i de enkelte tjenesteavtaler og tilhørende vedlegg.
Tilgangskontroll for tjenestebrukere slik spesifisert av Behandlingsansvarlige ved etablering av avtalte tjenester og gjennom den løpende avtaleperioden.
Ivaretagelse av nødvendig datasikkerhet for å beskytte systemer og data mot tap, tyveri og uautorisert tilgang.
3.3 Databehandlingens hensikt
Databehandlingens hensikt er så langt det er relevant for de enkelte, avtalte, tjenester, å ivareta tilgjengelighet, teknisk integritet, fysisk og logisk sikring mot tap, overordnet tilgangskontroll og beskyttelse mot tyveri og tap av data. Databehandler skal ikke foreta noen operasjoner som direkte berører personopplysninger registrert av behandlingsansvarlige gjennom de avtalte tjenester med mindre dette er eksplisitt utrykket i denne avtalen eller gjennom spesifikke oppdrag.
3.4 Omfang av Personopplysninger
Databehandler autoriseres til direkte å registrere og bruke Navn, e-post adresse, mobiltelefon og stilling/rolle i sine egne støttesystemer i den grad det er nødvendig for å utføre / levere de avtalte tjenester, for behandlingsansvarliges ansatte, kontaktpersoner og øvrige personer behandlingsansvarlige oppgir som brukere eller kontaktpersoner i tilknytning til de avtalte tjenestene.
3.5 Kategorier av personer
Følgende kategorier personer knyttet til Behandlingsansvarlige kan berøres direkte av denne avtalen:
Kundekontakter evt. personkunder
Leverandørkontakter
Egne ansatte og andre tilknyttede kontaktpersoner
3.6 Nødvendige opplysninger
For alle navngitte tjenestebrukere under Behandlingsansvarliges kontroll skal Behandlingsansvarlige oppgi følgende Personopplysninger:
Fullt navn
Personlig e-post adresse (benyttes til identifisering av sluttbruker)
Telefonnummer, mobiltelefon (benyttes til verifisering av identitet m.m.)
Stilling eller rolle dersom denne er relevant for tjenesteadministrasjon eller tjenesteleveranse.
For andre registreringer forplikter Behandlingsansvarlige seg til å deklarere omfang og karakter av de typer registrering og behandling av personopplysninger som gjøres gjennom system og tjenester levert gjennom avtaler knyttet til denne databehandleravtalen. Deklareringen gjøres etter egne retningslinjer gitt av databehandler.
4 Avtalens varighet
Avtalens varighet er fra signaturdato og frem til faktisk opphørsdato for alle tilknyttede tjenesteavtaler. Behandlingsansvarlige skal bekrefte opphørsdato skriftlig og entydig. Bekreftet opphørsdato forstås slik at all tilgang til og bruk av de avtalte tjenestene er opphørt.
Databehandleravtalen kan kun avsluttes separat dersom all behandling av Personopplysninger via tilknyttede tjenesteavtaler er opphørt, og alle Personopplysninger er slettet eller anonymisert slik at de ikke lenger er tilgjengelige via de avtalte tjenestene.
5 Databehandlers plikter overfor Behandlingsansvarlige
Databehandler skal påse at de:
utelukkende behandler de aktuelle Personopplysningene i tråd med formålene i denne avtalen
behandler Personopplysningen i tråd med de dokumentere instruksene gitt av Behandlingsansvarlige og vedlagt denne avtalen. Dersom Databehandler anser at instruksen er i strid med PVF eller noen annen gjeldende lov som berører personvern, skal de uten opphold melde dette til Behandlingsansvarlige. Videre, dersom Databehandler er pålagt å overføre Personopplysninger til et tredjeland eller en internasjonal organisasjon som følge av EU/EØS lov eller nasjonal lovgivning under hvilken Databehandler er underlagt, skal Databehandler informere Behandlingsansvarlig om slike lovpålagte krav før behandlingen starter med mindre loven forbyr at slik informasjon gis av hensyn til samfunnets interesser.
garantere at Personopplysningene behandles konfidensielt
sørge for at de personer som autoriseres til å behandle Personopplysningene:
o har forpliktet seg gjennom taushetserklæring til å overholde konfidensialitet/taushet eller er underlagt en tilsvarende, lovbestemt taushetsplikt
o har fått nødvendig opplæring i personvern og vern av Personopplysninger
ta i betraktning prinsippene for innebygget personvern i valg av verktøy, produkter, tjenester og systemer
5.1 Bruk av underleverandør
Databehandler har anledning til å sette bort spesifiserte deler av de avtalte behandlingsaktivitetene til en annen Databehandler (heretter benevnt Underleverandør). Databehandler skal informere Behandlingsansvarlige skriftlig om enhver planlagt endring som berører tillegg elle utskifting av
Underleverandører. Det må fremgå tydelig av informasjonen hvilke behandlingsaktiviteter som blir bortsatt, navn og kontaktinformasjon til Underleverandør og dato for Databehandlers Databehandleravtale med Underleverandør. Behandlingsansvarlige har en tidsfrist på 14 dager fra den dato slik informasjon mottas til å fremsette innsigelser. Slik bruk av Underleverandør er kun mulig dersom Behandlingsansvarlige ikke har motsatt seg dette innen den avtalte tidsfristen
5.2 Den Registrertes rett til å bli informert
Det er den Behandlingsansvarliges ansvar å informere Den Registrerte på det tidspunkt de berørte Personopplysningene ble samlet inn.
5.3 Håndheving av Den Registrertes rettigheter
Databehandler skal bistå Behandlingsansvarlige, så langt det er mulig, i etterlevelse av dennes plikt til å besvare forespørsler angående den Registrertes rettigheter: rett til å se sine opplysninger, rett til korrigering, rett til sletting, rett til å klage, rett til å begrense behandlingen, rett til overføring av data, rett til ikke å bli underlagt automatisk beslutningsprosessering inkludert profilering. Dersom Den Registrerte retter forespørsel om håndhevelse av slike rettigheter til Databehandler, skal Databehandler videresende forespørselen via e-post umiddelbart til Behandlingsansvarliges Personvernansvarlige.
5.4 Avvik i behandling av Personopplysninger
Ved tap, skade, tyveri el.l. av Personopplysninger underlagt denne avtalen, skal avvik meldes til Behandlingsansvarlige så snart som mulig og senest innen 24 timer etter at avviket er blitt gjort kjent for Databehandler. Avvik skal meldes Behandlingsansvarliges kontaktperson slik oppgitt av Behandlingsansvarlige (ref. punkt 6.2).
Informasjon om avviket skal vedlegges all dokumentasjon som er nødvendig for at Behandlingsansvarlig skal kunne melde dette videre til Datatilsynet.
Avviksmeldingen skal minimum:
Beskrive avvikets karakter og om mulig, hvilke kategorier og anslagsvis antall Registrerte som berøres samt hvilke kategorier og antall registreringer av Personopplysninger avviket omfatter
Navn og kontaktinformasjon for Databehandlers Personvernombud eller annet kontaktpunkt for innhenting av ytterligere informasjon
Beskrive sannsynlige konsekvenser av avviket
Beskrive gjennomførte tiltak eller foreslå tiltak for Behandlingsansvarlige knyttet til avviket og der det er mulig, tiltak for å begrense avvikets skadeomfang samt forebyggende tiltak.
Dersom det ikke er mulig å fremskaffe all informasjon samtidig, kan informasjonen sendes oppstykket uten ytterligere forsinkelser.
5.5 Bistand fra Databehandler til Behandlingsansvarlige knyttet til Behandlingsansvarliges samsvar med PVF
Databehandler skal bistå Behandlingsansvarlige i gjennomføring av personvern risiko og konsekvensanalyse. Databehandler skal bistå Behandlingsansvarlige i forhåndsdrøftinger med Datatilsynet.
5.6 Sikkerhetstiltak
Databehandler skal besørge følgende sikkerhetstiltak:
Sikre kontinuerlig konfidensialitet, integritet, tilgjengelighet og stabilitet i behandlingssystemer og tjenester.
Rutiner og systemer for å gjenopprette tilgjengelighet og tilgang til Personopplysninger innen rimelig tid i tilfelle av fysisk eller teknisk avbruddshendelse
Rutiner for jevnlig testing, fastsetting og vurdering av effektiviteten til tekniske og organisatoriske tiltak rettet mot sikring av behandlingsprosesser.
5.7 Etterbehandling av Personopplysninger
Ved utløpet av denne avtalen skal Databehandler slette eller anonymisere alle Personopplysninger mottatt av Behandlingsansvarlige innen 3 måneder regnet fra bekreftet opphørsdato.
5.8 Personvernombud
Databehandler skal informere Behandlingsansvarlige om navn og kontaktinformasjon til deres Personvernombud dersom et slikt er oppnevnt.
5.9 Dokumentering av behandlingsaktiviteter
Databehandler vedlikeholder ikke egen dokumentasjon over behandlingsaktiviteter knyttet til denne avtalen så lenge dette ikke er et grunngitt krav fra Behandlingsansvarlige.
5.10 Annen dokumentasjon
Databehandler skal forsyne Behandlingsansvarlige med informasjon nødvendig for å kunne dokumentere samsvar med deres forpliktelser. Databehandler skal også tillate Behandlingsansvarlige eller annen instans de har autorisert for formålet, å gjennomføre kontroller knyttet til Databehandlers systemer og løsninger og skal bistå med slike kontroller.
6 Behandlingsansvarliges plikter overfor Databehandler
6.1 Behandlingsansvarliges plikter
Behandlingsansvarlige plikter å;
forsyne Databehandler med data nevnt i kapittel 3 i denne avtalen
dokumentere skriftlig alle instrukser knyttet til Databehandlers behandling av Personopplysninger
forsikre seg om at Databehandler både før behandlingsaktiviteten starter og så lenge den pågår, opererer i samsvar med krav og bestemmelser slik det fremgår av PVF
overvåke behandlingsaktivitetene inkludert gjennomføring av nødvendige og/eller pålagte kontroller og inspeksjoner hos Databehandler
6.2 Behandlingsansvarliges kontaktinformasjon i personvernsaker
Behandlingsansvarlige plikter å oppgi kontaktinformasjon for
Personvernombud dersom slikt er oppnevnt
Personvernansvarlig leder dersom Personvernombud ikke er oppnevnt
Kontaktinformasjon skal omfatte fullt navn, mobiltelefon, direktetelefon og e-postadresse. Ved mangelfull informasjon eller manglende kontakt med oppgitt person, vil virksomhetens leder slik registrert i Brønnøysund ansees som korrekt kontaktperson.
7 Meddelelser
Meddelelser knyttet til oppgaver og annet innhold i denne avtalen, skal sendes skriftlig til motparts Personvernombud, eller motparts personvernansvarlige leder dersom etablering av Personvernombud ikke er pålagt eller valgt.
8 Lovvalg og verneting
Lovvalg og verneting følger tilknyttede tjenesteavtalers bestemmelser
Denne avtalen er tilgjengelig for nedlastning, og signeres elektronisk i Sodvin selvbetjeningsportal xxxxx://xxxxxxx.xxxxxxxxx.xx.
For Behandlingsansvarlig for Databehandler
(angis ved signer i selvbetjeningsportal) Xxx Xxxx Xxxxxxx
(sign.) (Direktør Bedriftsmarked - sign.)
Vedlegg:
1. Oversikt over databehandlers underleverandører ved signaturdato
Vedlegg 1 – Underleverandører
Sodvin AS benytter en rekke eksterne tjenester og underleverandører for å sikre best mulig sikkerhet og tilgjengelighet for våre tjenesteleveranser. Nedenstående oversikt viser hvilke underleverandører som benyttes, hvilke funksjoner disse ivaretar, hvilke tjenestetyper de benyttes i, og hvor man kan finne de respektive leverandørenes egen informasjon om personvern og datasikkerhet. Vennligst se de spesifikke avtaledokumentene og produktarkene for utfyllende tjenestebeskrivelser.
Leverandør | Tjenestebeskrivelse | Hvor benyttet | Kontaktinfo. / sikkerhetsinfo. |
Citrix | Citrix Sharefile – Sikker fildelingstjeneste for profesjonelle brukere. Benytter Citrix egen autentiseringsløsning, mulighet for 2-faktor autentisering. Valgfri lagringsløsning (skytjeneste eller privat lagringsserver) | Frittstående tjeneste som kan kombineres med andre tjenester som privat eller delt filområde | xxxxxxx@xxxxxxxxx.xxx tel: 0-000-000-0000 addr.: ShareFile, 120 S. West St., Raleigh, NC 27603, USA Privacy policy: xxxxx://xxxxxx.xxxxxxxxx.xx/_Xxxx/ PrivacyPolicy/en.html |
Microsoft | Azure AD – Katalogtjeneste for sikker identifisering av tjenestebrukere og ressurser | Standard autentiseringsmetode for alle tjenester der dette er støttet | xxxxx://xxx.xxxxxxxxx.xxx/xx- us/TrustCenter/ |
Microsoft | Office 365 – Applikasjons- og tjenesteportefølje for kontorautomasjon. Knyttet til sluttbruker gjennom Azure AD identifisering | Standard lisensieringsvalg for Microsoft Office applikasjoner, både for lokal PC installasjon og bruk på delt server | xxxxx://xxx.xxxxxxxxx.xxx/xx- us/TrustCenter/ |
Proofpoint | Mailvaskeri med forhåndsscan av all mailtrafikk sendt til Sodvin mailservere. Skanner for virus/malware, omfatter avansert spam-filter, brukerinteraktiv tjeneste, brukeridentifikasjon koblet mot Azure AD, mulighet for utvidet tjeneste som sikkerhet mot brudd i standard mailtjenester | Alle mailtjenester levert av Sodvin AS | xxxxx://xxx.xxxxxxxxxx.xxx/xx/x rivacy-policy |
Trend Micro | End point security anti-malware løsning for PC/Server. Ingen sluttbrukeridentifisering eller interaksjon | Alle relevante serverressurser i bruk hos Sodvin. For øvrig tilvalgstjeneste for sluttkunder. Aktiveres av sluttkunde selv ved nedlastning og installasjon på utvalgte enheter | xxxxx://xxx.xxxxxxxxxx.xxx/xx_ us/about/legal.html |
Green Mountain | Sikkert datasenter | Installasjon og drift av egen serverpark | xxxxx://xxxxxxxxxxxxx.xx/xxxxx- to-customers/uptime-institute-tier- iii-cerifications/ |