Databehandleravtale

1. Bakgrunn og Formål

Biztek AS, org.nr: 922 808 848, adresse Kari Gravroks Gate 40 7300 Orkanger, omtales heretter som Databehandler, hvorav kunde er Behandlingsansvarlig.

Partene har inngått avtale om Driftsavtale IT-tjenester hvoretter Databehandler skal yte visse tjenester («Tjenestene»).

Databehandler

Partene er enige om at Databehandlers ytelse av tjenestene vil kunne innebære behandling av personopplysninger på vegne av Behandlingsansvarlig. Derfor er Partene, i tråd med Europaparlamentets og Rådets Forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EC («GDPR») artikkel 28, enige om at Databehandlers plikter skal reguleres i denne Databehandleravtalen.

2. Omfanget av Databehandlingen

Denne Databehandleravtalen regulerer og definerer Databehandlers behandling av Personopplysninger på vegne av Behandlingsansvarlig,i tråd med gjeldende personvernlovgivning.

Databehandlers ytelse av Tjenestene vil kunne innebære behandling av personopplysninger vedrørende Behandlingsansvarliges ansatte, konsulenter, kunder og klienter, inkludert men ikke begrenset til navn, nasjonalitet, identitetsnummer/fødselsnummer, adresser, e-post adresser, IP-adresser, fødselsdato, telefonnummer, betalingsinformasjon, likningsopplysninger og kontoopplysninger.

Formålet med Databehandlers behandling av Personopplysninger på vegne av Databehandler er å yte Tjenestene.

Personopplysningene skal ikke behandles for andre formål eller på annen måte enn det som er nødvendig for å oppfylle Behandlingsansvarliges formål.

Vedlegg 1 til denne Databehandleravtalen inneholder nærmere informasjon vedrørende Databehandlers behandling av Personopplysninger. Behandlingsansvarlig kan fra tid til annen foreta rimelige endringer i Vedlegg 1, dersom Behandlingsansvarlig anser slike endringer rimelig og nødvendig. Vedlegg 1 gir ikke grunnlag for å pålegge partene andre plikter eller rettigheter enn det som følger av denne Databehandleravtalen.

3. Behandlingsansvarliges Plikter

Behandlingsansvarlig skal overholde sine plikter etter GDPR og annen gjeldende personvernlovgivning, og garanterer at virksomheten har nødvendig lovlig grunnlag for å innsamle, behandle og overføre Personopplysninger som skal behandles av Databehandler under denne Databehandleravtalen.

Behandlingsansvarlig innestår for og garanterer, idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene, behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter som behandlingen medfører, at de her avtalte sikkerhetsforanstaltninger oppfyller kravene til egnede sikkerhetsforanstaltninger i GDPR.

Behandlingsansvarlig og dennes ansatte og andre som behandlingsansvarlig svarer for, er underlagt taushetsplikt vedrørende all dokumentasjon og informasjon som Behandlingsansvarlig mottar fra Databehandler, inkludert men ikke begrenset til informasjon relatert til Databehandlers og underleverandørers tekniske og organisatoriske sikkerhetsforanstaltninger. Behandlingsansvarlig skal sørge for at slik informasjon kun meddeles ansatte og andre i den grad det er nødvendig for at vedkommende skal kunne utføre sine arbeidsoppgaver. Konfidensialitetsforpliktelsen skal fortsette å gjelde etter Databehandleravtalens opphør.

4. Databehandlers Plikter

Databehandler har det praktiske ansvaret for å sikre at tilfredsstillende informasjonssikkerhet etableres gjennom planlagte og systematiske tiltak, og skal regelmessig og minst en gang årlig gjennomføre sikkerhetsvurderinger av systemene som brukes til behandling av Personopplysninger under denne Databehandleravtalen.

Databehandler skal behandle Personopplysningene utelukkende på vegne av Behandlingsansvarlig og utelukkende i den utstrekning og for de formål som angitt i denne Databehandleravtalen eller senere skriftlige avtaler mellom Partene, eller i tråd med Behandlingsansvarliges skriftlig dokumenterte instrukser, med mindre annet følger av gjeldende preseptorisk lovgivning, jf. GDPR artikkel 28.

Det det tas hensyn til behandlingens art og den informasjonen som er tilgjengelig for Databehandler, skal Databehandler i rimelig og nødvendig utstrekning bistå Behandlingsansvarlig med å vurdere personvernkonsekvenser av behandlingen under Denne Databehandleravtalen, samt bistå ved eventuell forhåndsdrøftelse med Datatilsynet, som Behandlingsansvarlig anser nødvendig for å oppfylle kravene i GDPR artikkel 35 og 36.

Personopplysninger som behandles av Databehandler på vegne av Behandlingsansvarlig skal ikke på noen måte gjøres tilgjengelig for eller overføres til tredjeparter, uten forutgående skriftlig godkjenning fra Behandlingsansvarlig. Tilgjengeliggjøring eller overføring til land utenfor EU/EØS kan kun forekomme etter forutgående skriftlig godkjenning fra Behandlingsansvarlig og skal være underlagt EU’s standardkontrakter eller annet rettslig grunnlag for slik overføring.

Idet det tas hensyn til behandlingens art og i den grad det er mulig, skal Databehandler bistå Behandlingsansvarlig, ved hjelp av egnede tekniske og organisatoriske tiltak, med å oppfylle den Behandlingsansvarliges plikt til å svare på anmodninger fra den registrerte med henblikk på å utøve sine rettigheter fastsatt i GDPR kapittel 3.

Databehandler skal i tråd med GDPR artikkel 32, gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et egnet sikkerhetsnivå med hensyn til konfidensialitet, integritet og tilgjengelighet i forbindelse med databehandlingen, inkludert:

sikre at IT-systemer og andre systemer som benyttes ved behandling av Personopplysninger under denne Databehandleravtalen, og eventuelle koblinger mellom slike systemer er konfigurert på en måte som sikrer tilstrekkelig informasjonssikkerhet;

sørge for at ethvert lagringsmedium, datamedium og eller/ IT-utstyr som benyttes ved behandlingen av Personopplysningene er beskyttet mot ødeleggelse og mot uautorisert tilgang;

implementere tiltak for å beskytte mot destruktiv og eller/ skadelig programvare og eller/hacking av systemene som benyttes av Databehandleren ved behandling av Personopplysninger på vegne av Behandlingsansvarlig:

sørge for at Personopplysninger som behandles under denne Databehandleravtalen oppbevares adskilt fra Databehandlerens egne opplysninger/opplysninger fra en tredjepart og/eller annen informasjon.

sørge for at ingen uvedkommende gis tilgang til lokaler, filer eller systemer hvor Personopplysningene som Databehandler gis tilgang til under denne Databehandleravtalen, lagres, oppbevares eller behandles.

Databehandler har det praktiske ansvaret for å sikre at tilfredsstillende informasjonssikkerhet etableres gjennom planlagte og systematiske tiltak, og skal regelmessig og minst en gang årlig gjennomføre sikkerhetsvurderinger av systemene som brukes til behandling av Personopplysninger under denne Databehandleravtalen.
Databehandler skal føre dokumentasjon for tilfredsstillende sikkerhetsnivå. Dette innebærer at Databehandleren skal dokumentere systemer og rutiner som er relevante for oppfyllelsen av Databehandlers plikter under denne Databehandleravtalen. Dette inkluderer dokumentasjon av rutiner for autorisasjon og bruk, i tillegg til tekniske og organisatoriske sikkerhetsforanstaltninger. Dokumentasjonen skal utarbeides og lagres i et format som kan gjøres tilgjengelig for Behandlingsansvarlig og/eller Datatilsynet på forespørsel. På forespørsel skal Databehandler også gjøre sine lokaler/fasiliteter tilgjengelig for eventuelle revisjoner og tilsyn fra Behandlingsansvarlig og/eller Datatilsynet.
Behandlingsansvarlig skal etter skriftlig forhåndsvarsel ha rett til å gjennomføre årlig revisjon og/eller inspeksjon av Databehandlers fasiliteter for å verifisere/kontrollere om Databehandler overholder sine plikter under denne Databehandleravtalen. Slike revisjoner/inspeksjoner kan utføres av en tredjepart som skal inngå og være underlagt en konfidensialitetsavtale med Databehandler. Slik tredjepart skal utelukkende dele informasjon med Behandlingsansvarlig og utelukkende i den utstrekning det er nødvendig for å verifisere om Databehandler overholder sine plikter etter Databehandleravtalen.
Registrering av uautorisert tilgang/bruk av informasjonssystem, samt forsøk på uautorisert tilgang/bruk skal lagres i minst tre måneder. Dette gjelder også for alle registeringer og andre hendelser av betydning for sikkerhetsnivået.
Dersom sikkerhetsnivået ikke er tilstrekkelig, skal Databehandler, etter instruks fra Behandlingsansvarlig, gjennomføre nødvendige endringer av systemer og rutiner innen rimelig tid etter å ha mottatt slik instruks.
Bruk av informasjonssystemet i strid med bestemte rutiner samt sikkerhetsbrudd («brudd på personopplysningssikkerheten»), skal uten ugrunnet opphold rapporteres til Behandlingsansvarlig, som er ansvarlig for og skal beslutte om bruddet skal meldes til Datatilsynet i tråd med GDPR artikkel 33.
Dersom Behandlingsansvarlig har plikt til å underrette den registrerte om brudd på personopplysningssikkerheten, skal Databehandler bistå behandlingsansvarlig, herunder hvis mulig med å oppgi kontaktinformasjon til de registrerte som rammes av bruddet. Behandlingsansvarlig skal bære alle kostnader som Databehandler påføres i forbindelse med å yte slik bistand. Databehandler skal likevel bære kostnadene dersom bruddet på personopplysningssikkerheten skyldes forhold som Databehandler svarer for.
Dersom Behandlingsansvarliges instrukser vedrørende sikkerhetstiltak eller øvrige instrukser innebærer en endring av Tjenestene, skal slike instrukser behandles som en endringsordre.

5. Sletting av personopplysninger

Personopplysninger som behandles av Databehandler på vegne av Behandlingsansvarlig skal slettes av Databehandler når tilgang til personopplysningene ikke lenger er nødvendig for å oppfylle formålet med databehandlingen, jf. GDPR § 17 nr. 1 (a). Behandlingsansvarlig skal bestemme og definere rutinene for sletting, og Databehandler er ansvarlig for å gjennomføre slike rutiner.

6. Konfidensialitet

Databehandler er underlagt taushetsplikt vedrørende personopplysninger som Databehandler mottar fra Behandlingsansvarlig og skal:

Begrense tilgangen til Personopplysningene i sin organisasjon til personell som har behov for tilgang for å oppfylle Tjenestene, eller som ellers er nødvendig for behandling av Personopplysninger i henhold til denne Databehandleravtalen;
Sørge for at personell som gis tilgang anerkjenner at Personopplysninger skal behandles som konfidensiell informasjon før de gis tilgang og sikre at slikt personell er underlagt tilsvarende forpliktelser som følger av denne Databehandleravtalen vedrørende bruk og tilgang til Personopplysninger, samt instruere slikt personell om at Personopplysningene ikke skal behandles for andre formål enn for oppfyllelse av denne Databehandleravtalen og ikke utleveres til noen tredjepart uten skriftlig forhåndsgodkjennelse fra Behandlingsansvarlig;
Bestrebe seg på å sikre at personell som gis tilgang overholder slike forpliktelser som nevnt i punkt 2.

Dette punktet skal fortsette å gjelde etter Databehandleravtalens opphør.

7. Bruk av underleverandør

Databehandler skal varsle Behandlingsansvarlig dersom Databehandler ønsker å engasjere en annen databehandler (underleverandør) for å utføre spesifikke behandlingsaktiviteter på vegne av Databehandler. En oppdatert liste over disse skal til enhver tid foreligge i Vedlegg 2. Behandlingsansvarlig skal samtykke til slik bruk av underleverandør, med mindre det foreligger saklig grunnlag for å nekte samtykke. Ethvert samtykke til bruk av slik underleverandør forutsetter at underleverandøren pålegges de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i denne Databehandleravtalen.

For det tilfellet at bruk av underleverandør innebærer overføring av Personopplysninger til land utenfor EU/EØS, skal Databehandler sørge for at slik overføring skjer i samsvar med GDPR kapittel V.

Behandlingsansvarlig samtykker til at Databehandler kan benytte de underleverandører som er oppgitt i vedlegg 2.

Databehandling av underleverandører etter denne bestemmelsen inkluderer ikke støttefunksjoner som ytes av tredjeparter til Databehandler for å bistå i utførelsen av Databehandlers daglige drift av virksomheten slik som f.eks. telekommunikasjonstjenester, vedlikehold, brukerstøtte, revisjon etc.

8. Varighet og Oppsigelse

Denne Databehandleravtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig i forbindelse med utførelse av Tjenestene.

Ved opphør av denne Databehandleravtalen skal Databehandler avslutte all behandling av Personopplysninger på vegne av Behandlingsansvarlig. Etter skriftlig instruks fra Behandlingsansvarlig, skal Databehandler enten returnere eller slette alle Personopplysninger som er mottatt på vegne av den Behandlingsansvarlige og som omfattes av denne Databehandleravtalen.

Databehandler skal etter skriftlig forespørsel fra Behandlingsansvarlig utstede en skriftlig bekreftelse på at samtlige Personopplysninger som er mottatt på vegne av den Behandlingsansvarlige og som omfattes av denne Avtalen, er returnert til Behandlingsansvarlig eller slettet, samt at Databehandler ikke har beholdt noen kopier, transkripsjoner eller lignende av Personopplysningene i noen medium eller form.

9. Brudd på databehandleravtalen

Ethvert datasubjekt som måtte lide skade som følge av brudd på personvernlovgivningen, har rett til erstatning for den forvoldte skade fra Databehandleren og/eller den Behandlingsansvarlige, jf. GDPR art. 82, nr. 1. Hvis den Behandlingsansvarlige, på bakgrunn av en rettslig avgjørelse eller avtale med Databehandleren, har betalt full erstatning for den forvoldte skade til datasubjektet, har den Behandlingsansvarlige rett til å kreve den del av erstatningen, som svarer til Databehandlerens del av ansvaret tilbake fra Databehandleren. Tilsvarende rett har Databehandleren, hvis denne har betalt full erstatning for den forvoldte skade, og den Behandlingsansvarlige er helt eller delvis ansvarlig, jf. GDPR art. 82, nr.5

Partene har et selvstendig ansvar, og skal holdes selvstendig ansvarlige for å betale eventuelle administrative bøter, som ilegges den respektive part, jf. GDPR art. 83

For øvrig reguleres partenes ansvar for brudd på personvernlovgivningen eller denne Databehandleravtalen i henhold til tjenesteavtalens bestemmelser om ansvar og ansvarsbegrensninger.

10. Notifikasjoner, Endringer og Kontaktopplysninger

All kommunikasjon vedrørende Databehandleravtalen, inkludert instrukser fra Behandlingsansvarlig om databehandlingen, skal skje skriftlig til kontaktpersoner i databehandlers organisasjon.

Enhver tilpasning eller endring av Databehandleravtalen skal varsles skriftlig og er gjeldende fra det tidspunkt varsling er sendt.

11. Gjeldende lov og konfliktløsning

Denne Databehandleravtalen skal reguleres av og tolkes i samsvar med norsk lov.

Eventuelle uoverensstemmelser som måtte oppstå i forbindelse med denne Databehandleravtalen skal henvises til og løses av Norske domstoler, med Sør-Trøndelag tingrett som avtalt verneting.

1. Bakgrunn og Formål

Biztek AS, org.nr: 922 808 848, adresse Kari Gravroks Gate 40 7300 Orkanger, omtales heretter som Databehandler, hvorav kunde er Behandlingsansvarlig.

Partene har inngått avtale om Driftsavtale IT-tjenester hvoretter Databehandler skal yte visse tjenester («Tjenestene»).

Databehandler

2. Omfanget av Databehandlingen

Denne Databehandleravtalen regulerer og definerer Databehandlers behandling av Personopplysninger på vegne av Behandlingsansvarlig,i tråd med gjeldende personvernlovgivning.

Formålet med Databehandlers behandling av Personopplysninger på vegne av Databehandler er å yte Tjenestene.

Personopplysningene skal ikke behandles for andre formål eller på annen måte enn det som er nødvendig for å oppfylle Behandlingsansvarliges formål.

3. Behandlingsansvarliges Plikter

Behandlingsansvarlig skal overholde sine plikter etter GDPR og annen gjeldende personvernlovgivning, og garanterer at virksomheten har nødvendig lovlig grunnlag for å innsamle, behandle og overføre Personopplysninger som skal behandles av Databehandler under denne Databehandleravtalen.

4. Databehandlers Plikter

Databehandler skal i tråd med GDPR artikkel 32, gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et egnet sikkerhetsnivå med hensyn til konfidensialitet, integritet og tilgjengelighet i forbindelse med databehandlingen, inkludert:

Registrering av uautorisert tilgang/bruk av informasjonssystem, samt forsøk på uautorisert tilgang/bruk skal lagres i minst tre måneder. Dette gjelder også for alle registeringer og andre hendelser av betydning for sikkerhetsnivået.

Dersom sikkerhetsnivået ikke er tilstrekkelig, skal Databehandler, etter instruks fra Behandlingsansvarlig, gjennomføre nødvendige endringer av systemer og rutiner innen rimelig tid etter å ha mottatt slik instruks.

Bruk av informasjonssystemet i strid med bestemte rutiner samt sikkerhetsbrudd («brudd på personopplysningssikkerheten»), skal uten ugrunnet opphold rapporteres til Behandlingsansvarlig, som er ansvarlig for og skal beslutte om bruddet skal meldes til Datatilsynet i tråd med GDPR artikkel 33.

Dersom Behandlingsansvarliges instrukser vedrørende sikkerhetstiltak eller øvrige instrukser innebærer en endring av Tjenestene, skal slike instrukser behandles som en endringsordre.

5. Sletting av personopplysninger

6. Konfidensialitet

Databehandler er underlagt taushetsplikt vedrørende personopplysninger som Databehandler mottar fra Behandlingsansvarlig og skal:

Begrense tilgangen til Personopplysningene i sin organisasjon til personell som har behov for tilgang for å oppfylle Tjenestene, eller som ellers er nødvendig for behandling av Personopplysninger i henhold til denne Databehandleravtalen;

Bestrebe seg på å sikre at personell som gis tilgang overholder slike forpliktelser som nevnt i punkt 2.

Dette punktet skal fortsette å gjelde etter Databehandleravtalens opphør.

7. Bruk av underleverandør

For det tilfellet at bruk av underleverandør innebærer overføring av Personopplysninger til land utenfor EU/EØS, skal Databehandler sørge for at slik overføring skjer i samsvar med GDPR kapittel V.

Behandlingsansvarlig samtykker til at Databehandler kan benytte de underleverandører som er oppgitt i vedlegg 2.

8. Varighet og Oppsigelse

Denne Databehandleravtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig i forbindelse med utførelse av Tjenestene.

9. Brudd på databehandleravtalen

Partene har et selvstendig ansvar, og skal holdes selvstendig ansvarlige for å betale eventuelle administrative bøter, som ilegges den respektive part, jf. GDPR art. 83

For øvrig reguleres partenes ansvar for brudd på personvernlovgivningen eller denne Databehandleravtalen i henhold til tjenesteavtalens bestemmelser om ansvar og ansvarsbegrensninger.

10. Notifikasjoner, Endringer og Kontaktopplysninger

All kommunikasjon vedrørende Databehandleravtalen, inkludert instrukser fra Behandlingsansvarlig om databehandlingen, skal skje skriftlig til kontaktpersoner i databehandlers organisasjon.

Enhver tilpasning eller endring av Databehandleravtalen skal varsles skriftlig og er gjeldende fra det tidspunkt varsling er sendt.

11. Gjeldende lov og konfliktløsning

Denne Databehandleravtalen skal reguleres av og tolkes i samsvar med norsk lov.

Eventuelle uoverensstemmelser som måtte oppstå i forbindelse med denne Databehandleravtalen skal henvises til og løses av Norske domstoler, med Sør-Trøndelag tingrett som avtalt verneting.