Databehandleravtale

Som en integrert del av Avtalen inngår følgende databehandleravtale («Databehandleravtalen«) der Kunden er «Behandlingsansvarlig» og Northwall AS er «Databehandler«:

bakgrunn
1. Partene har inngått avtale om leveranse av IT-tjenester («Tjenestene») fra Databehandler til Behandlingsansvarlig. I forbindelse med Tjenestene vil Databehandler kunne få tilgang til Behandlingsansvarliges personopplysninger. Opplysningenes art og kategorier av registrerte beror på hvilke personopplysninger Behandlingsansvarlig lagrer i sine IT-systemer. Behandlingens formål og art er leveranse av Tjenestene.
2. Denne Databehandleravtalen regulerer Databehandlers behandling av personopplysninger på vegne av den Behandlingsansvarlige i forbindelse med Tjenestene, og angir partenes rollefordeling, rettigheter og plikter ved behandlingen.
3. Databehandleravtalens hensikt er å regulere rettigheter og plikter for partene etter den til enhver tid gjeldende personvernlovgivning, inkludert EUs personvernforordningen (EU 2016/679) («Personvernforordningen»).
DEFINISJONER
1. I tillegg til de definerte begreper som fremkommer av Databehandleravtalen, skal definisjonene som fremgår av Personvernforordningens artikkel 4 gjelde.
DEN BEHANDLINGSANSVARLIGES ROLLE
1. Behandlingsansvarlig bestemmer over bruken av personopplysningene som omfattes av denne avtale.
2. Behandlingsansvarlig er overordnet ansvarlig for at den aktuelle behandlingen av personopplysningene er i overensstemmelse med gjeldende lovgivning, og skal ha full rettslig råderett over personopplysningene.
3. Alle henvendelser fra den registrerte med hensyn til behandlingen av vedkommendes personopplysninger, skal henvises til og behandles av Behandlingsansvarlig.
DATABEHANDLERens ROLLE
1. Databehandler skal behandle personopplysninger på vegne av Behandlingsansvarlig.
2. Personopplysningene kan utelukkende behandles i den utstrekning det er nødvendig for å levere Tjenestene som avtalt, og etter skriftlig instruks fra Behandlingsansvarlig. Databehandler kan ikke behandle personopplysningene til egne eller andre formål.
3. Databehandler skal ivareta nødvendig systemsikkerhet, administrere tilganger og påse at ingen får uberettiget tilgang til personopplysningene, slik dette er nærmere definert i punkt 7 nedenfor.
4. Databehandler har taushetsplikt om personopplysninger som vedkommende får tilgang til som en følge av Databehandleravtalen og behandling av personopplysningene, og skal sikre at personer som er autorisert til å behandle personopplysningene har forpliktet seg til å behandle opplysningene fortrolig eller er underlagt en egnet lovfestet taushetsplikt. Denne bestemmelsen gjelder også etter Databehandleravtalens opphør.
5. Databehandler plikter å påse at de personer som gis tilgang til personopplysningene er kjent med de relevante deler av Databehandleravtalen, deriblant kravene til informasjonssikkerhet.
6. Databehandler kan ikke overføre personopplysninger til en tredjepart uten at slik utlevering (i) er nødvendig for å levere Tjenestene som forutsatt mellom Partene, (ii) er uttrykkelig godkjent av Behandlingsansvarlig eller (iii) følger av lov.
7. Den registrerte har etter personvernreglene rett til innsyn i det som er registrert, samt rett til retting, begrensning, dataportabilitet og sletting. Henvendelser om dette skal rettes til Behandlingsansvarlig. Databehandler skal ikke innfri den registrertes krav på egen hånd. Databehandleren skal etter avtale bistå Behandlingsansvarlig med å oppfylle kravene fra de registrerte der Behandlingsansvarlig har besluttet å etterkomme kravene.
BRUK AV UNDERLEVERANDØR
1. Databehandler benytter underleverandører («Underdatabehandlere») for leveranse av Tjenestene. Underdatabehandlere som benyttes ved avtaleinngåelsen fremgår her www.northwall.no/underdatabehandlere, og anses godkjent av Behandlingsansvarlig når Tjenestene tas i bruk.
2. I tråd personvernforordningen gir Behandlingsansvarlig Databehandleren en generell godkjennelse til å benytte nye Underdatabehandlere. Databehandler skal varsle om nye Underdatabehandlere på en slik måte at Behandlingsansvarlig gis mulighet til å avslutte bruk av Tjenestene før den nye Underdatabehandleren tas i bruk, dersom han ikke ønsker å samtykke til den nye Underdatabehandleren.
3. Databehandler er ansvarlig for at egen bruk av Underdatabehandlere skjer i samsvar med gjeldende personvernregler, herunder at det er inngått tilfredsstillende databehandleravtale. Databehandler skal sikre at Underdatabehandlerne er kjent med Databehandlerens avtalemessige og lovmessige forpliktelser, og Underdatabehandlerne skal være forpliktet til å oppfylle disse på samme måte som Databehandleren. Databehandleren er ansvarlig for at Underdatabehandlerne avgir tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller lovmessige krav.
4. Databehandler har fullt ansvar overfor Behandlingsansvarlig for at Databehandlerens Underdatabehandlere oppfyller sine forpliktelser.
OVERFØRING TIL tredjeland
1. Dersom Databehandlerens godkjente underleverandører befinner seg utenfor EU/EØS, skal Databehandleren sørge for at det inngås gyldige overføringsmekanismer med disse ved å benytte ordninger godkjent av EU- kommisjonen, herunder EU Model Clauses.
2. Databehandler vil før øvrig ikke overføre personopplysningene til land utenfor EU/EØS (tredjeland) uten at Behandlingsansvarlig uttrykkelig har godkjent dette skriftlig. Overføring til tredjeland forutsetter at de krav til sikkerhet og vern av de registrertes rettigheter som følger av Personvernforordningen og annet regelverk er ivaretatt.
SIKKERHET
1. Databehandleren skal administrere tilganger, og må sørge for å ha forsvarlig sikring av servere, databaser og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til personopplysningene.
2. Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter gjeldende personvernregler, herunder Personvernforordningen artikkel 32. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på Behandlingsansvarliges forespørsel.
3. Databehandler skal, idet det tas hensyn til behandlingens art og den informasjon som er tilgjengelig for Databehandleren, bistå Behandlingsansvarlig med å sikre overholdelse av forpliktelsene etter Personvernforordningen artikkel 32 – 36. Dette gjelder også eventuell plikt til å utrede personvernkonsekvenser og iverksette tiltak.
4. Dersom ikke alle opplysninger kan gis i første melding, skal opplysningene gis suksessivt så snart de foreligger.
5. Den Behandlingsansvarlige har ansvaret for å sende melding til Datatilsynet, og Databehandler skal ikke sende slik melding eller kontakte tilsynsmyndighet, med mindre den Behandlingsansvarlige har gitt uttrykkelig instruks om dette.
6. I tilfelle sikkerhets- eller personvernbrudd, skal Databehandleren varsle den Behandlingsansvarlige uten ugrunnet opphold og senest 48 timer etter at avviket ble oppdaget. Melding om brudd til Behandlingsansvarlig skal minimum inneholde:

a. Beskrivelse av arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall personopplysningsposter som er berørt,

b. Navnet på og kontaktopplysningene til personvernrådgiveren eller et annet kontaktpunkt hos Databehandler der mer informasjon kan innhentes,

c .Beskrivelse av de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten,

d. Beskrivelse av de tiltak som er truffet eller foreslås truffet for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.

SIKKERHETSREVISJONER
1. Databehandleren skal gjøre tilgjengelig for den Behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i punkt 7 er oppfylt, samt muliggjøre og bidra til revisjoner, herunder inspeksjoner, som gjennomføres av den Behandlingsansvarlige eller en annen inspektør på fullmakt fra den Behandlingsansvarlige.
AVTALENS VARIGHET
1. Databehandleravtalen løper så lenge Behandlingsansvarlig benytter Tjenestene og Databehandler som følge av dette behandler personopplysninger på vegne av Behandlingsansvarlig.
2. Ved brudd på denne Databehandleravtalen eller den til enhver tid gjeldende personvernlovgivningen kan Behandlingsansvarlige pålegge Databehandleren å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.
plikter VED OPPHØR
1. Ved Databehandleravtalens opphør skal Databehandleren overføre alle personopplysninger som omfattes av denne Databehandleravtalen i et egnet format til Behandlingsansvarlig, med mindre annet avtales skriftlig med Behandlingsansvarlig.
2. Etter å ha håndtert opplysningene som beskrevet i punkt 10.1, plikter Databehandler å slette eller forsvarlig destruere alle gjenstående kopier, herunder sikkerhetskopier, dokumenter, data, lagringsmedier mv., som inneholder opplysninger eller data som omfattes av Databehandleravtalen og som Databehandleren ikke med hjemmel i annen lov er pålagt å oppbevare, slik at det ikke er mulig å rekonstruere data.

Databehandleravtale

bakgrunn

Denne Databehandleravtalen regulerer Databehandlers behandling av personopplysninger på vegne av den Behandlingsansvarlige i forbindelse med Tjenestene, og angir partenes rollefordeling, rettigheter og plikter ved behandlingen.

Databehandleravtalens hensikt er å regulere rettigheter og plikter for partene etter den til enhver tid gjeldende personvernlovgivning, inkludert EUs personvernforordningen (EU 2016/679) («Personvernforordningen»).

DEFINISJONER

I tillegg til de definerte begreper som fremkommer av Databehandleravtalen, skal definisjonene som fremgår av Personvernforordningens artikkel 4 gjelde.

DEN BEHANDLINGSANSVARLIGES ROLLE

Behandlingsansvarlig bestemmer over bruken av personopplysningene som omfattes av denne avtale.

Behandlingsansvarlig er overordnet ansvarlig for at den aktuelle behandlingen av personopplysningene er i overensstemmelse med gjeldende lovgivning, og skal ha full rettslig råderett over personopplysningene.

Alle henvendelser fra den registrerte med hensyn til behandlingen av vedkommendes personopplysninger, skal henvises til og behandles av Behandlingsansvarlig.

DATABEHANDLERens ROLLE

Databehandler skal behandle personopplysninger på vegne av Behandlingsansvarlig.

Personopplysningene kan utelukkende behandles i den utstrekning det er nødvendig for å levere Tjenestene som avtalt, og etter skriftlig instruks fra Behandlingsansvarlig. Databehandler kan ikke behandle personopplysningene til egne eller andre formål.

Databehandler skal ivareta nødvendig systemsikkerhet, administrere tilganger og påse at ingen får uberettiget tilgang til personopplysningene, slik dette er nærmere definert i punkt 7 nedenfor.

Databehandler plikter å påse at de personer som gis tilgang til personopplysningene er kjent med de relevante deler av Databehandleravtalen, deriblant kravene til informasjonssikkerhet.

Databehandler kan ikke overføre personopplysninger til en tredjepart uten at slik utlevering (i) er nødvendig for å levere Tjenestene som forutsatt mellom Partene, (ii) er uttrykkelig godkjent av Behandlingsansvarlig eller (iii) følger av lov.

BRUK AV UNDERLEVERANDØR

Databehandler benytter underleverandører («Underdatabehandlere») for leveranse av Tjenestene. Underdatabehandlere som benyttes ved avtaleinngåelsen fremgår her www.northwall.no/underdatabehandlere, og anses godkjent av Behandlingsansvarlig når Tjenestene tas i bruk.

Databehandler har fullt ansvar overfor Behandlingsansvarlig for at Databehandlerens Underdatabehandlere oppfyller sine forpliktelser.

OVERFØRING TIL tredjeland

Dersom Databehandlerens godkjente underleverandører befinner seg utenfor EU/EØS, skal Databehandleren sørge for at det inngås gyldige overføringsmekanismer med disse ved å benytte ordninger godkjent av EU- kommisjonen, herunder EU Model Clauses.

SIKKERHET

Databehandleren skal administrere tilganger, og må sørge for å ha forsvarlig sikring av servere, databaser og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til personopplysningene.

I tilfelle sikkerhets- eller personvernbrudd, skal Databehandleren varsle den Behandlingsansvarlige uten ugrunnet opphold og senest 48 timer etter at avviket ble oppdaget. Melding om brudd til Behandlingsansvarlig skal minimum inneholde:

SIKKERHETSREVISJONER

AVTALENS VARIGHET

Databehandleravtalen løper så lenge Behandlingsansvarlig benytter Tjenestene og Databehandler som følge av dette behandler personopplysninger på vegne av Behandlingsansvarlig.

Ved brudd på denne Databehandleravtalen eller den til enhver tid gjeldende personvernlovgivningen kan Behandlingsansvarlige pålegge Databehandleren å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.

plikter VED OPPHØR

Ved Databehandleravtalens opphør skal Databehandleren overføre alle personopplysninger som omfattes av denne Databehandleravtalen i et egnet format til Behandlingsansvarlig, med mindre annet avtales skriftlig med Behandlingsansvarlig.

Hva er informasjonskapsler?

Bruk av cookies

For å forvalte vårt forhold til deg som kunde.

Funksjonelle cookies

Analytisk / Statistisk informasjonskapsler

Markedsføring/sporing informasjonskapsler

Sosial informasjonskapsler

Konfigurere informasjonskapsler