Menu

Databehandleravtale

Standardavtalevilkår

i henhold til artikkel 28 nummer 3, i Europaparlamentets og Rådets forordning 2016/679 (personvernforordningen) med henblikk på databehandlerens behandling av personopplysninger

mellom selskaper registrert i tjenesten «SafeSpot» via nettstedet www.safespot.no

heretter «den behandlingsansvarlige»

og

ME Data AS

Org.nr. 922142009

Jonsvannsveien 140

7050 Trondheim

Norge

heretter «databehandleren»

som hver for seg er en «part» og sammen utgjør «partene»

Har avtalt følgende standardavtalevilkår (Vilkårene) med henblikk på å overholde personvernforordningen og sikre beskyttelse av fysiske personers grunnleggende rettigheter og friheter

Innhold

1. Innledning

2. Den behandlingsansvarliges rettigheter og plikter

3. Databehandleren handler etter instrukser

4. Konfidensialitet

5. Sikkerhet ved behandlingen.

6. Bruk av underdatabehandlere.

7. Overføring til tredjeland eller internasjonale organisasjoner

8. Bistand til den behandlingsansvarlige.

9. Underretning om brudd på personopplysningssikkerheten.

10. Sletting og returnering av opplysninger

11. Revisjon, herunder inspeksjon.

12. Partenes avtale om andre forhold.

13. Ikrafttredelse og opphør

14. Kontaktpersoner hos den behandlingsansvarlige og databehandleren.

Vedlegg A     Opplysninger om behandlingen.

Vedlegg B     Underdatabehandlere.

Vedlegg C     Instruks for behandling av personopplysninger

Vedlegg D     Partenes regulering av andre forhold.

1. Innledning

  1. Disse Vilkårene fastsetter den behandlingsansvarlige og databehandlerens rettigheter og plikter når databehandleren utfører behandling av personopplysninger på vegne av den behandlingsansvarlige.
  1. Vilkårene med tilhørende vedlegg skal oppbevares skriftlig, herunder elektronisk, av begge parter.
  1. Disse Vilkårene fritar ikke databehandleren fra plikter som databehandleren er pålagt etter personvernforordningen eller annen lovgivning.

2. Den behandlingsansvarliges rettigheter og plikter

  1. Den behandlingsansvarlige er ansvarlig for å sikre at behandlingen av personopplysninger skjer i overensstemmelse med personvernforordningen (se personvernforordningen artikkel 24), gjeldende personopplysningsvern bestemmelser i unionsretten eller medlemsstatenes[1] nasjonale rett og disse Vilkårene.

  2. Den behandlingsansvarlige har rett og plikt til å bestemme formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes.

  3. Den behandlingsansvarlige er ansvarlig for, blant annet, å sikre at det foreligger et behandlingsgrunnlag for behandlingen av personopplysninger som databehandleren instrueres om å gjøre.

3. Databehandleren handler etter instrukser

  1. Databehandleren skal bare behandle personopplysninger etter dokumenterte instrukser fra den behandlingsansvarlige, med mindre noe annet kreves av unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt. Disse instruksene skal være spesifisert i vedlegg A og C. Etterfølgende instrukser kan også gis av den behandlingsansvarlige mens det skjer behandling av personopplysninger, men instruksene skal alltid være dokumenterte og oppbevares skriftlig, herunder elektronisk, sammen med disse Vilkårene.

4. Konfidensialitet

  1. Databehandleren kan bare gi tilgang til personopplysninger som behandles på den behandlingsansvarliges vegne til personer underlagt databehandlerens instruksjonsmyndighet som har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt, og bare i det nødvendige omfang. Listen av personer som har fått tilgang skal gjennomgås fortløpende. På bakgrunn av en slik gjennomgang kan tilgangen til personopplysninger stenges, dersom den ikke lenger er nødvendig, og personopplysningene skal deretter ikke lenger være tilgjengelig for disse personene.

5. Sikkerhet ved behandlingen

  1. Personvernforordningen artikkel 32 fastslår at, idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen.

Den behandlingsansvarlige skal vurdere risikoene for fysiske personers rettigheter og friheter som behandlingen utgjør og gjennomføre tiltak for å imøtegå disse risikoene. Avhengig av relevans kan tiltakene omfatte:

  1. pseudonymisering og kryptering av personopplysninger

Hvis imøtegåelse av de identifiserte risikoene – etter den behandlingsansvarliges vurdering – krever at det gjennomføres ytterligere tiltak enn det databehandleren allerede har gjennomført, skal den behandlingsansvarlige angi disse tiltakene i vedlegg C.

6. Bruk av underdatabehandlere

  1. Databehandleren skal oppfylle betingelsene som er fastsatt i personvernforordningen artikkel 28 nummer 2 og nummer 4 for å gjøre bruk av en annen databehandler (en underdatabehandler).
  2. Databehandleren har den behandlingsansvarliges generelle godkjennelse til å benytte underdatabehandlere. Databehandleren skal skriftlig underrette den behandlingsansvarlige om eventuelle planlagte endringer som gjelder tilføyelse eller utskiftning av underdatabehandlere med minst 1 uke varsel og dermed gi den behandlingsansvarlige mulighet til å motsette seg slike endringer før den eller de beskrevne underdatabehandler(e) engasjeres.
  3. Når databehandleren engasjerer en underdatabehandler for å utføre spesifikke behandlingsaktiviteter på vegne av den behandlingsansvarlige, skal underleverandøren pålegges de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i disse Vilkårene, ved hjelp av en avtale eller et annet rettslig dokument i henhold til unionsretten eller medlemsstatenes nasjonale rett, der det særlig gis tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning.

Databehandleren er derfor ansvarlig for å kreve at underdatabehandleren som minimum overholder databehandlerens forpliktelser etter disse Vilkårene og personvernforordningen.

7. Overføring til tredjeland eller internasjonale organisasjoner

  1. Databehandleren kan kun overføre personopplysninger til tredjeland eller internasjonale organisasjoner etter dokumentert instruks fra den behandlingsansvarlige, og slik overføring skal alltid skje i overensstemmelse med personvernforordningen kapittel V.
  1. overføre personopplysninger til en behandlingsansvarlig eller databehandler i et tredjeland eller en internasjonal organisasjon
    1. overlate behandling av personopplysninger til en underdatabehandler i et tredjeland
    1. behandle personopplysningene i et tredjeland

8. Bistand til den behandlingsansvarlige

  1. Databehandleren bistår, idet det tas hensyn til behandlingens art og i den grad det er mulig, ved hjelp av egnede tekniske og organisatoriske tiltak, den behandlingsansvarlige med å oppfylle vedkommendes plikt til å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i personvernforordningen kapittel III.

Dette innebærer at databehandleren så langt det er mulig skal bistå den behandlingsansvarlige i den behandlingsansvarlige oppfyllelse av:

  1. opplysningsplikten ved innsamling av personopplysninger fra den registrerte
    1. opplysningsplikten dersom personopplysninger ikke er blitt samlet inn fra den registrerte
    1. den registrertes rett til innsyn
    1. retten til retting
    1. retten til sletting («retten til å bli glemt»)
    1. retten til begrensning av behandling
    1. underretningsplikten i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandling
    1. retten til dataportabilitet
    1. retten til å protestere
    1. retten til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisk behandling, herunder profilering
  1. den behandlingsansvarliges forpliktelse ved brudd på personopplysningssikkerheten til uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde bruddet på personopplysningssikkerheten til den kompetente tilsynsmyndigheten, Det Norske datatilsynet, med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter

9. Underretning om brudd på personopplysningssikkerheten

  1. Ved brudd på personopplysningssikkerheten skal databehandleren underrette den behandlingsansvarlige om bruddet uten ugrunnet opphold etter å ha fått kjennskap til det.
  1. arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt

10. Sletting og returnering av opplysninger

  1. Ved opphør av databehandlertjenestene skal databehandleren slette alle personopplysninger som er blitt behandlet på vegne av den behandlingsansvarlige og bekrefte overfor den behandlingsansvarlige at opplysningene er slettet med mindre unionsretten eller medlemsstatenes nasjonale rett krever oppbevaring av personopplysningene.
  1. Forskrift om smitteverntiltak mv. tilknyttet koronautbruddet (covid-19 forskriften) §13 krever at registrerte opplysninger oppbevares i en angitt tidsperiode.
    1. Andre lokale forskrifter kan kreve at registrerte opplysninger lagres i lengre perioder

Databehandleren forplikter seg til å utelukkende behandle personopplysningene til de(t) formål, med den varlighet og under de betingelsene som disse reglene fastsetter.

11. Revisjon og inspeksjon

  1. Databehandleren skal stille til den behandlingsansvarliges disposisjon all informasjon som er nødvendig for å påvise etterlevelse av forpliktelsene etter personvernforordningen artikkel 28 og disse Vilkårene. Videre skal databehandleren muliggjøre og bidra til revisjoner, herunder inspeksjoner, som utføres av den behandlingsansvarlige eller en annen revisor som er bemyndiget av den behandlingsansvarlige.

12. Partenes avtale om andre forhold

  1. Partene kan avtale andre bestemmelser som gjelder databehandlertjenestene, f.eks. erstatningsansvar, så lenge disse andre bestemmelsene ikke direkte eller indirekte strider mot disse Vilkårene eller er til skade for den registrertes grunnleggende rettigheter og friheter og beskyttelsen som følger av personvernforordningen.

13. Ikrafttredelse og opphør

  1. Vilkårene trer i kraft i det den behandlingsansvarlige starter å benytte seg av databehandlers tjenester tilknyttet denne avtalen.

14. Kontaktpersoner hos den behandlingsansvarlige og databehandleren

  1. Databehandler skal til enhver tid sørge for oppdatert kontaktinformasjon tilknyttet deres profil i tjenesten.
  2. Databehandlers kontaktpersoner:

Navn                Louise Helliksen

Stilling              Daglig leder

Telefonnr          +47 91 79 39 35

E-postadresse  louise.helliksen@ensureyourdata.com

Navn                Jan Sandtrø

Stilling              Ansvarlig advokat

Mail                  Jan@sandtro.no

Vedlegg A      Opplysninger om behandlingen

A.1. Formålet med databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige er:

Formålet med behandlingen er til enhver tid beskrevet i tjenestens betingelser som til enhver tid ligger tilgjengelig på www.safespot.no

A.2. Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige skal primært dreier seg om (behandlingens art):

Databehandlerens behandling av personopplysninger på vegne av behandlingsansvarlig er til enhver tid beskrevet i tjenestens betingelser som til enhver tid ligger tilgjengelig på www.safespot.no

A.3. Behandlingen omfatter følgende typer av personopplysninger om de registrerte:

Hvilke personopplysninger som kan behandles i tjenesten er til enhver tid beskrevet i tjenestens betingelser som til enhver tid ligger tilgjengelig på www.safespot.no

A.4. Behandlingen omfatter følgende kategorier av registrerte:

Kategorier av registrerte personopplysninger som kan behandles i tjenesten er til enhver tid beskrevet i tjenestens betingelser som til enhver tid ligger tilgjengelig på www.safespot.no

A.5. Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige kan begynne etter at Vilkårene har trådt i kraft. Behandlingen har følgende varighet:

Behandlingen av personopplysningen trer i kraft på det tidspunktet tjenesten tas i bruk av den behandlingsansvarlige og varer til kundeforholdet sies opp.

Vedlegg B      Underdatabehandlere

B.1. Godkjente underdatabehandlere

Ved Vilkårenes ikrafttredelse godkjenner den behandlingsansvarlige bruken av følgende underdatabehandlere:

NAVNBESKRIVELSE AV BEHANDLINGEN
MicrosoftLagring og prosessering av personopplysninger for utførelse av avtalen med behandlingsansvarlig.
SendgridUtsending av mail med informasjon til de registrerte i tjenesten.
TwilioUtsending og eventuelt av sms med informasjon til og autentisering av de registrerte i tjenesten.
MailchimpUtsending av nyhetsbrev og informasjon til de registrerte i tjenesten

Ved Vilkårenes ikrafttredelse har den behandlingsansvarlige godkjent bruken av ovennevnte underdatabehandlere for den behandlingsaktiviteten som er beskrevet for vedkommende. Databehandleren kan ikke – uten den behandlingsansvarliges eksplisitte skriftlige godkjennelse – benytte en underdatabehandler til en annen behandlingsaktivitet enn den som er avtalt for vedkommende eller bruke en annen underdatabehandler til den beskrevne behandlingsaktiviteten.

Vedlegg C      Instruks for behandling av personopplysninger

C.1. Behandlingens gjenstand/instruks for behandlingen

Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige skjer ved at databehandleren utfører følgende:

Ikke ytterligere en hva som fremgår av databehandleravtalen.

C.2. Informasjonssikkerhet

Følger delvis av vilkårene for tjenesten og av databehandlers interne rutiner for informasjonssikkerhet, som kan gjøres tilgjengelig på forespørsel.

C.3 Bistand til den behandlingsansvarlige

Databehandleren skal i den grad det er mulig bistå den behandlingsansvarlige i samsvar med Vilkårene 9.1 og 9.2 ved å gjennomføre eventuelle tekniske og organisatoriske tiltak, samt det som følger av denne databehandleravtalen.

C.4 Oppbevaringsperiode/sletteprosedyrer

Følger delvis av vilkårene for tjenesten og/eller behandlingsansvarliges instruks for bruk av tjenesten, samt eventuelle lover og/eller regelverk.

C.5 Lokasjon for behandling

Følger av vilkårene for tjenesten.

C.6 Instruks for overføring av personopplysninger til tredjeland

Hvis ikke den behandlingsansvarlige i Vilkårene eller etterfølgende gir en dokumentert instruks som gjelder overføring av personopplysninger til et tredjeland eller internasjonal organisasjon, kan ikke databehandleren, innen rammene av Vilkårene, gjennomføre slike overføringer.

C.7 Prosedyrer for den behandlingsansvarliges revisjoner, herunder inspeksjoner, av behandlingen av personopplysninger som er overlatt til databehandleren

Databehandleren skal for den behandlingsansvarliges regning innhente en inspeksjonsrapport fra en uavhengig tredjepart som gjelder databehandlerens overholdelse av personvernforordningen, gjeldende bestemmelse om ven av personopplysninger i unionsretten eller medlemsstatens nasjonale rett og vilkårene i tjenesten, dersom behandlingsansvarlige vet om konkrete forhold som tilsier brudd på personvernforordningen.

Partene er enige i at følgende type inspeksjonsrapport kan benyttes i samsvar med vilkårene:

Inspeksjonsrapporten skal oversendes uten ugrunnet opphold til den behandlingsansvarlige til orientering.

Vedlegg D      Partenes regulering av andre forhold


[1] Henvisninger til «medlemsstater» i disse Vilkårene skal forstås som en henvisning til stater som er del av det europeiske økonomiske samarbeidsområdet (EØS-stater).