Databehandlingsavtale

Bakgrunn og introduksjon

Partene har inngått en avtale som inkluderer den eller de tjenestene som er spesifisert i partenes hovedavtale («Avtale»), der den databehandlingsansvarlige kjøper varer eller tjenester fra databehandleren for intern bruk eller for distribusjon til den databehandlingsansvarliges sluttbrukere. Denne databehandlingsavtalen inngås som et vedlegg til avtalen.

Databehandlingsavtalen etablerer rettighetene og forpliktelsene som gjelder når databehandleren behandler personopplysninger på vegne av den behandlingsansvarlige, og databehandlingsavtalen er utformet for partenes samsvar med artikkel 28 (3) i GDPR.

Det er to vedlegg til databehandlingsavtalen, som fungerer som integrerte deler av avtalen:

Vedlegg 3.3 inneholder den dataansvarliges instruksjoner til databehandleren om hvordan databehandleren kan behandle personopplysninger og hvilke typer personopplysninger som omfattes av denne behandlingen.

Vedlegg 8.2 inneholder en beskrivelse av databehandlerens sikkerhetstiltak.

1.     Varsler

1.1 Merknader gitt i henhold til databehandlingsavtalen må sendes skriftlig via e-post. Enhver avtale mellom partene som delvis eller i sin helhet erstatter vilkårene i denne databehandlingsavtalen må inngås skriftlig før en slik avtale er gyldig.

2.     Definisjoner og tolkning

2.1 Listen nedenfor definerer de listede ordene som brukes i databehandlingsavtalen. Uansett om en definisjon uttrykkes i entall, inkluderer definisjonen også flertall og omvendt. Henvisninger til vedlegg, ledd og underklausuler forstås som referanser til vedlegg, ledd og underklausuler i databehandlingsavtalen med mindre annet er uttrykkelig eller eksplisitt angitt i eller tolket fra sammenhengen.

Gjeldende lov

Betyr at alle følgende regelverk i den grad de er gjeldende for en part: enhver lov, forskrift, lovgivning, primær eller sekundær regulering, inkludert gjeldende norsk lov og eventuell nasjonal lovgivning som implementerer direktiv 95/46/EF fra 24. oktober 1995 også som gjeldende GDPR, enhver bindende rettskjennelse eller dom, enhver gjeldende handelspraksis, policy eller standard som kan håndheves ved lov, og gjeldende instruksjoner, policyer, krav, regler eller pålegg utstedt av en myndighet.

Databehandlingsansvarlig (Data controller)

Betyr den juridiske enheten som bestemmer formål og midler for behandling av personopplysninger.

Databehandler (Data Processor)

Betyr den juridiske enheten som behandler personopplysninger på vegne av den behandlingsansvarlige.

Registrert

Betyr den fysiske personen hvis personopplysninger blir behandlet.

GDPR

Betyr Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EC (General Data Protection Regulation).

Personlig informasjon

Betyr all informasjon knyttet til en identifisert eller identifiserbar fysisk person (den registrerte); en identifiserbar fysisk person er en som kan identifiseres, direkte eller indirekte, spesielt ved henvisning til en identifikator som definert i GDPR og samlet inn av den databehandlingsansvarlige, databehandleren eller andre grener, representanter eller lignende tilknyttet den databehandlingsansvarlige eller databehandleren.

Behandling

Betyr enhver aktivitet eller rekke aktiviteter som utføres basert på personopplysninger, enten med eller uten automatiserte metoder, og som kan omfatte overføring av personopplysninger til ethvert land i EU og innenfor EØS (European Economic Area), samt land som er vurdert til å ha et tilsvarende sikkerhetsnivå.

Sikkerhetsbrudd

Betyr brudd på sikkerheten som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av eller tilgang til personopplysninger som blir overført, lagret eller på annen måte behandlet.

Tjenester

Betyr tjenestene databehandleren må levere til den behandlingsansvarlige eller som underbehandleren må levere til databehandleren i samsvar med avtalen.

Underprosessor

Betyr en underleverandør utnevnt av databehandleren til å behandle personopplysninger på vegne av den behandlingsansvarlige under instruksjon fra databehandleren.

Tredjeland (land utenfor EU/EØS)

Betyr ethvert land utenfor omfanget av GDPR i Det europeiske økonomiske samarbeidsområdet (EØS), med unntak av godkjente land som EU-kommisjonen fra tid til annen anser for å ha et tilstrekkelig nivå av beskyttelse av personopplysninger.

2.2 Vedleggene til databehandlingsavtalen utgjør en integrert del av databehandlingsavtalen og må håndheves tilsvarende, og enhver henvisning til databehandlingsavtalen inkluderer vedleggene til dette.

2.3 En henvisning til «skrevet» eller «skriftlig» betyr e-post.

2.4 Overskriftene i databehandlingsavtalen brukes for klarhets skyld og for bruk som referanser. Overskrifter påvirker ikke betydningen eller tolkningen av databehandlingsavtalen.

3.     Utnevnelse av en databehandlingsansvarlig

3.1 Den Databehandlingsansvarlige utnevner Nortelecom som databehandler i forhold til databehandlingsavtalen.

3.2 I tilfelle en av partene blir utnevnt til databehandler av en tredjepart, må denne databehandlingsavtalen legges til grunn for at databehandleren blir utnevnt til underbehandler. I dette tilfellet blir tredjepart databehandlingsansvarlig, og databehandleravtalens databehandler vil bli databehandler og databehandlingsavtalens databehandler vil bli underbehandler.

3.3. Partene bekrefter og godtar at personopplysningene som behandles under databehandlingsavtalen er proporsjonal med partenes formål med behandlingen. Ytterligere informasjon, datakategorier og dataemner osv. Er oppført i vedlegg 3.3, som kan endres av partene ved skriftlig innlevering av oppdaterte lister.

4.     Forpliktelser angående behandling og beskyttelse av personopplysninger

4.1 Databehandleren er ansvarlig for å sikre riktig juridisk grunnlag for behandlingen av personopplysninger som databehandleren er bedt om å utføre.

4.2 Databehandleren behandler generelle personopplysninger, og databehandleren bekrefter at personopplysningene holdes konfidensielle. Databehandleren kan bare behandle personopplysninger for å tjene formålet som er beskrevet i avtalen og i samsvar med instruksjonene gitt i vedlegg 3.3. Databehandleren må sørge for at alle personer ansatt av databehandleren og som behandler personopplysninger er bundet av taushetsplikt eller er underlagt passende lovbestemte taushetsplikter.

4.3 Databehandleren er forpliktet til å alltid behandle personopplysninger i samsvar med gjeldende lov og andre personvern- eller databeskyttelsesbestemmelser og utelukkende for formålet og på den måten som den databehandlingsansvarlige har instruert databehandleren skriftlig. Databehandleren kan ikke behandle personopplysninger på annen måte eller til andre formål. Dette betyr at databehandleren ikke har noen innflytelse på formålet og vilkårene for behandlingen av personopplysninger, og databehandleren kan ikke ta avgjørelser om hvordan de personopplysningene databehandleren mottar, om personopplysningene skal overføres til tredjeparter, eller hvor lenge personopplysningene skal lagres.

4.4 Gjeldende lov forplikter den databehandlingsansvarlige til å sikre at databehandleren gir de nødvendige garantiene for at databehandleren har eller vil implementere passende tekniske og organisatoriske sikkerhetstiltak for å forhindre uautorisert eller ulovlig behandling, utilsiktet tap, ødeleggelse eller skade på personopplysninger, se Databehandlingsavtalens punkt 8, akkurat som gjeldende lov forplikter datakontrolløren til å sikre at disse tiltakene blir overholdt. Partene er enige om at beskyttelse av personvern og sikkerheten til personopplysninger som behandles er av stor betydning.

4.5 Når databehandlingsansvarlig ber om det, må databehandleren etter beste evne gi nødvendig informasjon til databehandlingsansvarlig slik at databehandlingsansvarlig kan avgjøre om egnede tekniske og organisatoriske sikkerhetstiltak er iverksatt, inkludert prosedyrer for håndtering av endringsforespørsler, forespørsler om tilleggsinformasjon som skal legges til personopplysninger, avhending eller beskyttelse av personopplysninger, prosedyrer for håndtering av sikkerhetsbrudd, implementering av konsekvensanalyser og fullførte endringer i personopplysninger som er gjort på grunn av legitime innvendinger. I tillegg må databehandleren tillate og bidra til tilsyn, inkludert inspeksjoner av behandlingsforholdene, sikkerhetstiltak og behandling, som beskrevet i databehandlingsavtalens punkt 9, uavhengig av om dette utføres av den behandlingsansvarlige eller en tredjepart utnevnt av datakontrolleren.

4.6 Når databehandleren mottar en forespørsel fra den registrerte, en autoritet eller en tredjepart angående behandling, må databehandleren varsle den databehandlingsansvarlige om forespørselen så snart som mulig etter mottakelse av forespørselen. I tillegg må databehandleren informere dataansvarlig om all relevant informasjon angående forespørselen. Databehandleren vil ikke svare på forespørsler uten å ha mottatt et skriftlig forhåndsgodkjenning fra den databehandlingsansvarlige, med mindre det er lovlig grunnlag for svaret, for eksempel en forespørsel fra myndighetene, for eksempel politiet.

4.7 Databehandleren må sørge for at tredjepart som leverer tjenester til databehandleren og som kommer i kontakt med personopplysninger, overholder de relevante vilkårene i denne databehandlingsavtalen, inkludert reglene for lagring av personopplysninger, bestemt av partene fra tid til tid og inkludert i instruksjonene i vedlegg 3.3. Slike avtaler med tredjeparter må være skriftlige.

5.     Hjelp til den behandlingsansvarlige

5.1 Tatt i betraktning behandlingens art, vil databehandleren i den grad det er mulig bistå den databehandlingsansvarlige ved å bruke passende tekniske og organisatoriske tiltak, se databehandlingsavtalens punkt 8, når det gjelder å følge databehandlerens forpliktelser til å svare på forespørsler fra den registrerte som utøver sine rettigheter i henhold til gjeldende lov.

5.2 Dette innebærer at databehandleren i den grad det er mulig å bistå den databehandlingsansvarlige med å overholde;

  1. Plikt til utlevering ved innsamling av personopplysninger med den registrerte;
  2. Plikt til utlevering når personopplysninger ikke samles inn med den registrerte;
  3. Den registrertes rett til innsyn;
  4. Rett til rettelse og sletting;
  5. Rett til begrensning av behandlingen;
  6. Meldeplikt i forbindelse med rettelse eller sletting av personopplysninger eller begrensning av behandling;
  7. Rett til dataportabilitet;
  8. Rett til å bestride

5.3 I tillegg vil databehandleren hjelpe databehandlingsansvarlig med å sikre overholdelse av den databehandlingsansvarliges forpliktelser til:

Gjennomføring av en konsekvensanalyse av databeskyttelse hvis en slags behandling sannsynligvis vil medføre høy risiko for personvernets rettigheter og friheter; og
1.     Rådfør deg med tilsynsmyndigheten (Datatilsynet) før behandlingen hvis en konsekvensanalyse avslører at behandlingen vil føre til høy risiko i fravær av tiltak som er tatt av den dataansvarlige for å begrense risikoen.

5.4 Enhver avtale mellom partene om godtgjørelse eller lignende i forbindelse med databehandlerens bistand til den behandlingsansvarlige vises i avtalen.

 6.     Tredjeland

6.1 Databehandleren behandler personopplysninger utenfor Det europeiske økonomiske samarbeidsområdet (EØS). En liste over underbehandlere i tredjeland er tilgjengelig på databehandlerens nettsted, se avsnitt 7.1. Databehandleren må informere databehandlingsansvarlig om ny innleide underbehandlere i tredjeland fra tid til annen ved å oppdatere listen som er tilgjengelig på databehandlerens nettsted og ved å videresende varsler om at det er gjort endringer i listen. Hvis en spesifikk behandling er påkrevd i henhold til EU-lovgivning, gjeldende lov eller nasjonal lovgivning i et medlemsland som databehandleren er underlagt, må databehandleren varsle den databehandlingsansvarlige om lovkravet før behandlingen påbegynnes med mindre slik varsel er forbudt av gjeldende Lov på grunn av viktige offentlige interesser.

6.2 Når databehandleren behandler personopplysninger utenfor det europeiske økonomiske samarbeidsområdet, må slik behandling være i samsvar med gjeldende lov og i samsvar med annen instruksjon gitt av den dataansvarlige angående behandlingen.

7.     Underbehandlere

7.1 Databehandleren har rett til å bruke underbehandlere. Underbehandlerne engasjert av databehandleren på tidspunktet for inngåelsen av databehandlingsavtalen er oppført her. Listen over underbehandlere er alltid tilgjengelig for den databehandlingsansvarlige. Når databehandleren engasjerer nye underbehandlere, oppdaterer databehandleren listen. Den siste oppdaterte listen over underbehandlere fungerer til enhver tid som integrerte deler av databehandlingsavtalen.

7.2 Databehandleren må sikre at enhver underbehandler skriftlig forplikter seg til å behandle personopplysninger som beskrevet i denne databehandlingsavtalen, noe som betyr at databehandleren, på anmodning fra den behandlingsansvarlige, må gi all informasjon som er nødvendig for den behandlingsansvarlige for å avgjøre om egnede tekniske og organisatoriske sikkerhetstiltak er tatt, inkludert prosedyrer for inspeksjon, prosedyrer for implementering av endringer og tillegg, fullføring av avhending eller beskyttelse av personopplysninger, samt informasjon om endringer gjort på grunn av legitime innvendinger.

8.     Sikkerhetstiltak

8.1 Databehandleren må innlemme alle egnede tekniske og organisatoriske tiltak for å beskytte personopplysninger mot utilsiktet tap og ulovlig behandling. Tatt i betraktning arten av disse tiltakene og kostnadene knyttet til gjennomføringen av dem, må tiltakene sikre et passende sikkerhetsnivå med tanke på risikoen forbundet med behandlingen av personopplysninger og deres art. Slike tiltak må alltid omfatte minst tiltak:

  1. Sikre en sikker overføring av personopplysninger mellom databehandleren og tredjeparter som fungerer som underbehandlere ved å bruke bare krypterte overføringsprotokoller som HTTPS eller SSL.
  2. Sikre at bare autorisert personell har tilgang til personopplysninger for de avtalte formålene, inkludert tiltak som begrenser tilgang til personopplysninger ved å lage en liste som spesifiserer hvilke forhåndsbestemte datamaskiner basert på IP-adresser som har tilgang til personopplysninger;
  3. Ved at databehandleren bare tillater sine ansatte tilgang til personopplysninger gjennom sporbare kontoer som kan spores etter navn og logges tilstrekkelig når de brukes;
  4. Sikre personopplysninger mot uautorisert og ulovlig lagring, behandling, tilgang eller utlevering;
  5. Systematisering av gjentatte og periodiske prosedyrer for skanning, identifisering og avhjelping av enestående sikkerhetsproblemer på servere, arbeidsstasjoner, nettverk, utstyr og applikasjoner;
  6. Hensikten er å identifisere svakheter i forbindelse med behandling av personopplysninger i systemene som brukes til å levere tjenesten til den behandlingsansvarlige.

8.2 En beskrivelse av databehandlerens tiltak er beskrevet i vedlegg 8.2.

8.3 Databehandleren må evaluere og forbedre de implementerte tekniske og organisatoriske tiltakene der kravene eller den teknologiske utviklingen krever det.

9.     Tilgang til revisjon

9.1 Når databehandleren fremsetter en begrunnet forespørsel, må databehandleren gi den databehandlingsansvarlige all nødvendig informasjon som gjør det mulig for databehandlingsansvarlig å vurdere om og hvordan databehandleren overholder databehandlingsavtalen. Dette inkluderer informasjon om sikkerhetstiltakene det er henvist til i databehandlingsavtalen punkt 8, informasjon om sikkerhetskopieringsprosedyrer, (forsøk eller mistanke om) hacking, etc.

9.2 Databehandleren eller databehandlerens representant kan utføre en årlig fysisk inspeksjon på databehandlerens forretningssted for å sikre databehandlerens overholdelse av denne databehandlingsavtalen

9.3 Eventuelle utgifter som påløper i forbindelse med fysisk inspeksjon ligger hos den databehandlingsansvarlige. Databehandleren vil bli godtgjort for tiden og ressursene databehandleren tildeler for å gjøre det mulig for den databehandlingsansvarlige å gjennomføre inspeksjonen.

9.4 I tillegg kan databehandleren eller en representant for databehandleren utføre en årlig fysisk inspeksjon med alle engasjerte underbehandlere angående underbehandleres overholdelse av denne databehandlingsavtalen. Denne inspeksjonen må utføres i henhold til forholdene nevnt ovenfor.

9.5 Databehandleren kan velge å starte og delta i en fysisk inspeksjon med en underbehandler hvis den behandlingsansvarlige finner det nødvendig. Dette kan være relevant hvis den behandlingsansvarlige finner at databehandlerens inspeksjon hos en underbehandler ikke har gitt den databehandlingsansvarlige tilstrekkelig sikkerhet for at behandlingen av personopplysninger som utføres av underbehandleren er i samsvar med databehandlingsavtalen.

9.6 Databehandlerens deltakelse i en inspeksjon med en underbehandler endrer ikke det faktum at databehandleren er eneansvarlig for underbehandlerens overholdelse av gjeldende lov og databehandlingsavtale. Databehandlerens ansvar kan ikke overstige et beløp som tilsvarer databehandlerens omsetning foregående kalenderår i henhold til avtalen, men beløpet er under alle omstendigheter underlagt et maksimalbeløp.

9.7 I tillegg til dette kan databehandlingsansvarlige utføre en revisjon av databehandlerens overholdelse av databehandlingsavtalen en gang per kalenderår. Hvis en tredjepart skal gjennomføre tilsynet, må den dataansvarlige utarbeide en skriftlig konfidensialitetsavtale med tredjeparten som skal godkjennes av databehandleren før revisjonen.

9.8 For å be om en revisjon, må den databehandlingsansvarlige sende en detaljert plan for den foreslåtte revisjonen innen fire (4) uker før de foreslåtte datoene for revisjon til databehandleren som beskriver forventet omfang, varighet og startdato for revisjonen. Databehandleren må deretter gjennomgå revisjonsplanen og varsle den databehandlingsansvarlige om eventuelle hensyn eller spørsmål, for eksempel hvis den databehandlingsansvarlige ber om informasjon som kan kompromittere databehandlerens virksomhet, sikkerhet, personvern, ansettelsesforhold eller andre relevante retningslinjer. Databehandleren og den databehandlingsansvarlige må i fellesskap avtale en endelig plan for tilsynet.

9.9 Hvis det blir bedt om tilsyn i et område adressert i en SSAE 16 / ISAE 3402 Type 2, ISO, NIST, PCI DSS, HIPAA eller lignende revisjonsrapport laget av en kvalifisert tredjepart innen de siste tolv (12) månedene, og dataehandleren bekrefter at den ikke har kunnskap om vesentlige endringer som kan påvirke utfallet av utført revisjon, den dataansvarlige samtykker i å godkjenne disse resultatene i stedet for å be om en revisjon av områdene som omfattes av rapporten.

9.10 Tilsynet må utføres innen normal åpningstid på det stedet som er behandlet av databehandlerens forpliktelser, og tilsynet må ikke forstyrre databehandlerens forretningsaktiviteter unødvendig.

9.11 Den databehandlingsansvarlige kan bare bruke revisjonsrapportene for å overholde sine juridiske forpliktelser angående revisjon eller for å bekrefte at kravene i databehandlingsavtalen er oppfylt.

9.12 Enhver revisjon utføres for den databehandlingsansvarliges regning. Hvis den databehandlingsansvarlige ber om hjelp fra databehandleren i forbindelse med en revisjon, betraktes assistansen som en egen tjeneste levert av databehandleren til den databehandlingsansvarlige hvis assistansen krever interne, eksterne eller andre spesielle ressurser. Databehandleren må innhente den databehandlingsansvarliges skriftlige godkjenning og inngå en avtale om betaling av eventuelle relaterte gebyrer før en revisjon gjennomføres.

10.  Sikkerhetsbrudd

10.1 I tilfelle det skjer et sikkerhetsbrudd, må databehandleren informere den databehandlingsansvarlige om dette uten unødig forsinkelse. Hvis det er mulig, må meldingen gis senest tjuefire (24) timer etter at sikkerhetsbruddet er oppdaget, slik at den databehandlingsansvarlige er i stand til å oppfylle sin forpliktelse til å rapportere sikkerhetsbruddet til den relevante tilsynsmyndigheten innen syttito (72) timer. Databehandleren må ikke rapportere om sikkerhetsbrudd knyttet til personopplysninger som behandles på vegne av den databehandlingsansvarlige.

10.2 Meldingen til den databehandlingsansvarlige må inneholde en beskrivelse av:

10.2.1 Sikkerhetsbruddets art og tiltakene som databehandleren foreslår å ta eller som databehandleren allerede har tatt for å begrense de negative konsekvensene av sikkerhetsbruddet,

10.2.2 Kategoriene av de registrerte, det omtrentlige antallet berørte registrerte og det omtrentlige antallet berørte registreringer av personopplysninger.

10.2.3 De oppdagede og sannsynlige konsekvensene av sikkerhetsbruddet for behandlingen av personopplysninger og tiltakene databehandleren har tatt eller foreslått å gjøre for å avhjelpe disse konsekvensene.

10.3 Så snart databehandleren oppdager et sikkerhetsbrudd, må databehandleren umiddelbart ta alle nødvendige tiltak for å begrense de negative konsekvensene av sikkerhetsbruddet og for å forhindre gjentakelse.

10.4 Databehandleren har en beredskapsplan som gjør at databehandleren kan informere den databehandlingsansvarlige om sikkerhetsbruddet og videre tillate partene å arbeide effektivt for å håndtere hendelsen.

10.5 Hvis databehandleren eller databehandlingsansvarlig oppdager et sikkerhetsbrudd, vil den ene parten varsle den andre parten, og begge parter vil utføre alle nødvendige tiltak i samsvar med gjeldende lov for å forhindre eller begrense ytterligere brudd eller sikkerhetsbrudd i forbindelse med behandling av personopplysninger og -data.

10.6 Hvis den behandlingsansvarlige er underlagt en plikt til å rapportere sikkerhetsbruddet, må databehandleren bistå og veilede den behandlingsansvarlige hvis den behandlingsansvarlige ber om det.

11.  Ansvar

11.1 Hvis databehandleren ikke overholder sine forpliktelser eller på annen måte bryter databehandlingsavtalen på grunn av databehandlerens handlinger eller unnlatelser, er databehandleren ansvarlig for eventuelle bøter og økonomiske tap som databehandlingsansvarlig pådrar seg.

11.2 Uansett punkt 11.11 i databehandlingsavtalen, er databehandleren ikke ansvarlig for databehandlingsansvarliges handlinger og unnlatelser. I tillegg er databehandleren ikke ansvarlig for sine egne handlinger og unnlatelser hvis de oppstår som et resultat av databehandlerens overholdelse av gjeldende lov.

11.3 I dette tilfellet har den databehandlingsansvarlige rett til å kreve erstatning og kompensasjon for kostnader som er påført som følge av manglende overholdelse, forutsatt at databehandlerens manglende overholdelse ikke skyldes databehandlingsansvarliges brudd på databehandlingsavtalen.

11.4 Databehandlerens ansvar er begrenset som beskrevet i avtalens punkt 13.

12.  Diverse

12.1 Databehandlingsavtalen forblir i kraft så lenge databehandleren leverer tjenestene som er beskrevet i avtalen til den databehandlingsansvarlige eller så lenge databehandleren behandler personopplysninger på vegne av den databehandlingsansvarlige.

12.2 Ved avslutning av databehandlingsavtalen, må databehandleren på anmodning lage en kopi av alle personopplysningene som databehandleren har behandlet på vegne av den databehandlingsansvarlige, tilgjengelig for den databehandlingsansvarlige og slette personopplysningene på forespørsel. Hvis databehandlingsansvarlig ikke ber om en kopi av personopplysningene som blir gjort tilgjengelig, vil alle personopplysningene bli slettet innen tre (3) måneder etter utløpet av avtalen.

12.3 punktene 12.1 og 12.2 for databehandlingsavtalen har forrang for tilsvarende bestemmelser i andre avtaler mellom partene, inkludert i avtalen.

12.4 Databehandlingsavtalen og avtalen er gjensidig avhengige og kan ikke sies opp separat. Imidlertid kan databehandlingsavtalen erstattes av en annen gyldig databehandlingsavtale uten å si opp avtalen. Uavhengig av oppsigelse av partenes avtaler, vil bestemmelsene i databehandlingsavtalen forbli i kraft inntil databehandleren har sluttet å behandle personopplysninger på vegne av den databehandlingsansvarlige og til databehandleren og eventuelle underbehandlere har slettet alt personlig data omfattet av databehandlingsavtalen.

13.  Konfidensialitet

13.1 Enhver person som er involvert i utførelsen av denne databehandlingsavtalen, og følgelig får tilgang til personopplysninger som omfattes av databehandlingsavtalen, og den konfidensielle art de kjenner til eller burde vite om, og som ikke allerede er underlagt taushetsplikt på grunn av individets stilling, yrke eller følgende lovbestemte regler, er forpliktet til å holde personopplysningene konfidensielle.

13.2 Databehandlingsavtalens punkt 13.1 gjelder ikke der det følger av gjeldende lov eller på annen måte som angitt i databehandlingsavtalens punkt 14.1 nedenfor om at den enkelte er forpliktet til å utlevere de aktuelle personopplysningene.

13.3 Taushetsplikten forblir i kraft etter oppsigelsen av databehandlingsavtalen.

14.  Lovpålagt opplysning

14.1 Med mindre annet kreves i henhold til gjeldende lov, må databehandleren umiddelbart varsle databehandlingsansvarlig om juridiske, administrative eller vilkårlige avgjørelser som er tatt av et styresett eller administrativt organ eller av en offentlig myndighet som databehandleren mottar og som gjelder personopplysningene som behandles av databehandleren på vegne av den databehandlingsansvarlige. Med forbehold om den behandlingsansvarliges forespørsel, må databehandleren gi all informasjon som databehandleren eier til den databehandlingsansvarlige som kan oppfylle tredjeparts krav og enhver rimelig anmodet hjelp som gjør det mulig for databehandlingsansvarlige å svare på et lignende krav innen en rimelig periode på tid. Den databehandlingsansvarlige erkjenner at databehandleren ikke er ansvarlig for å delta direkte mot enheten som fremsetter et slikt krav.

14.2 Partene er forpliktet til å holde hverandre skriftlig informert om eventuelle endringer i de oppgitte kontaktpersonene.

15.  Gjeldende lov og jurisdiksjon

15.1 Denne databehandlingsavtalen følger punktene som er angitt i avtalen angående gjeldende lov og jurisdiksjon.

Vedlegg 3.3

Instruksjon til databehandleren

Dette vedlegget utgjør den dataansvarliges instruksjon til databehandleren om behandling av personopplysninger på vegne av den databehandlingsansvarlige.

 

1.     BEHANDLING AV PERSONLIGE DATA

1.1.1 Innsamling av personopplysninger er nødvendig for at databehandleren skal oppfylle sine forpliktelser under innkjøpsordren den databehandlingsansvarlige har lagt inn hos databehandlerens selger eller plassert digitalt via databehandlerens nettbutikk eller via XML / EDI-integrasjon.

1.1.2 Innsamlede personopplysninger brukes også til å forbedre databehandlerens produkter og tjenester. Eksempler på slik bruk inkluderer brukervennligheten i nettbutikken, driftsprosesser vedrørende salg, anskaffelse, tilbud, mottak av ordrer, distribusjon, klager og kundeservice.

1.1.3 Innsamlede personopplysninger kan under spesielle omstendigheter deles med tredjeparter, det være seg systemleverandører for å administrere tjenestene angitt i punkt 1.1.1 og 1.1.2 og produsenter med det formål å forbedre databehandlerens produktspekter. En fullstendig liste over tredjeparter er tilgjengelig her.

1.2 De registrerte er:

1.     Personer over 18 år.
2.     Personer under 18 år.

2.     KATEGORIER AV PERSONLIGE DATA

2.1.1 Personer over 18 år

Generelle personopplysninger: Navn, adresse, e-post, telefonnummer, ansettelse, tittel og IP-adresse.

Sensitive personopplysninger: Ingen sensitive personopplysninger behandles om personer over 18 år.

2.1.2 Personer under 18 år

Generelle personopplysninger: Navn, adresse, e-post, telefonnummer, ansettelse, tittel og IP-adresse.

Sensitive personopplysninger: Ingen sensitive personopplysninger behandles om personer under 18 år.

 

3.     SIKKERHET FOR DATABEHANDLING

3.1 Sikkerhetsnivået til databehandleren må gjenspeile at databehandlingen involverer en normal mengde generelle personopplysninger, og det er grunnen til at et normalt sikkerhetsnivå må etableres.

3.2 Databehandleren er berettiget og forpliktet til å iverksette tiltak som kreves i samsvar med GDPR artikkel 32, der det blant annet fremgår at å ta hensyn til den nyeste teknikken, kostnadene ved implementering og art, omfang, kontekst og formål med behandlingen, samt risikoen for varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter, må passende tekniske og organisatoriske tiltak implementeres for å sikre et sikkerhetsnivå som er relevant for risikoen.

  1. Ovennevnte forpliktelse innebærer at databehandleren må foreta en risikovurdering og heretter iverksette tiltakene for å motarbeide de identifiserte risikoene. Dette kan omfatte følgende tiltak, avhengig av deres relevans: pseudonymisering og kryptering.
  2. Evnen til å sikre kontinuerlig konfidensialitet, integritet, tilgjengelighet og robusthet i prosesseringssystemene og tjenestene.
  3. Evnen til i god tid å gjenopprette tilgjengeligheten til og tilgangen til personopplysninger i tilfelle en fysisk eller teknisk hendelse.
  4. En prosedyre for periodisk testing, vurdering og evaluering av effektiviteten av de tekniske og organisatoriske tiltakene for å sikre sikkerheten i behandlingen. Databehandleren må i forhold til det ovennevnte, under alle omstendigheter som et minimum sette i gang sikkerhetsnivået og tiltakene som er spesifisert i databehandlingsavtalens vedlegg 8.2.

 4.     OPPBEVARINGSTID OG SLETTING

4.1 I henhold til gjeldende lov må ikke personopplysninger lagres over lengre tid enn det som er nødvendig for å oppfylle formålet med behandlingen. Derfor er partene enige om følgende:

4.2 Databehandleren må slette alle personopplysningene så snart en av følgende hendelser inntreffer:

  • tar hensyn til databehandlingsavtalen punkt 4.6, når den registrerte har bedt om sletting av personopplysninger, eller
  • hvis denne databehandlingsavtalen opphører uavhengig av hvilken grunn og slettingen ikke bryter gjeldende lov.

4.3 Personopplysninger lagres hos databehandleren til databehandlingsansvarlig ber om at de blir slettet eller returnert. Imidlertid vil personopplysninger slettes tre (3) måneder etter utløpet av avtalen hvis den behandlingsansvarlige ikke har bedt om utlevert personopplysningene.

5.     OVERFØRING AV PERSONOPPLYSNINGER TIL TREDJELAND

5.1 Personopplysninger som overføres til tredjeland. De engasjerte underbehandlerne i disse tredjelandene er tilgjengelige via lenken i databehandleravtalens punkt 7.1 og overholder retningslinjene som er angitt i databehandlingsavtalens punkt 6.

Vedlegg 8.2

Sikkerhetstiltak

Partene er enige om at sikkerhetsnivået gjenspeiler hvilke typer personopplysninger som behandles.

Databehandleren har rett og forpliktelse til å ta avgjørelser om hvilke tekniske og organisatoriske sikkerhetstiltak som skal brukes for å etablere det nødvendige (og avtalt) sikkerhetsnivået angående personopplysningene. Imidlertid må databehandleren uansett og som minimum iverksette følgende tiltak som avtalt med databehandleren:

  • Klassifisering av personopplysninger for å sikre at relevante sikkerhetstiltak implementeres i forhold til risikovurderinger.
  • Vurdering av pseudonymisering og kryptering som risikoreduserende faktorer.
  • Begrensning av tilgang til personopplysninger til relevante personer som kreves tilgang i henhold til denne databehandlingsavtalen eller under avtalen.
  • Operere og implementere systemer som kan oppdage, gjenopprette, motsette seg og rapportere hendelser i forhold til personopplysninger.
  • Kartlegg sikkerhetsstrukturen og hvordan personopplysninger overføres mellom partene.
  • Gjennomføre vurderinger av databehandlerens egne sikkerhetsnivåer for å sikre at gjeldende tekniske og organisatoriske tiltak er tilstrekkelig for å beskytte personopplysninger, i samsvar med GDPR artikkel 32 angående sikkerhetsbehandling og artikkel 25 angående databeskyttelse ved utvikling og som standard.