Hopp til hovedinnholdet
Dansk Deutsch English (GB) Suomi Français Polski svenska

Databehandleravtale

Maria Brevik Sotberg
  • Oppdatert

Standard avtalevilkår

I henhold til artikkel 28 nummer 3, i Europaparlamentets og Rådets forordning 2016/679 (personvernforordningen) med henblikk på databehandlerens behandling av personopplysninger

Mellom

Kunde («Behandlingsansvarlig») med signert IWMAC abonnementsavtale ("Avtalen")

Og

Kiona Holding AS- ("Databehandler") Org.nr: 983190510

HAR AVTALT følgende standardavtalevilkår (Vilkårene) med henblikk på å overholde personvernforordningen og sikre beskyttelse av fysiske personers grunnleggende rettigheter og friheter

 

1. INNLEDNING

Dette dokumentet angir hovedprinsippene for behandling av Personopplysninger under, og utgjør en integrert del av, den eksisterende tjenesteavtalen mellom partene ("Avtalen"). Dette dokumentet utgjør Databehandleravtalen mellom partene, og vil i det følgende omtales som "Databehandleravtalen".

 Når det i dette dokumentet refereres til IWMAC, omfatter det IWMAC AS og alle dets datterselskaper

 

2. HOVEDPRINSIPPER FOR BEHANDLING AV PERSONOPPLYSNINGER

2.1        Beskyttelse av Personopplysninger

Databehandler tar beskyttelse og sikkerhet av Personopplysninger alvorlig, og vil behandle slike opplysninger i samsvar med gjeldende Personvernlovgivning og Avtalen. For å kunne yte tjenesten under Avtalen, vil Databehandler behandle Personopplysninger om brukere og andre som har tilgang til tjenesten. Databehandler kan utlevere Personopplysninger i den grad Avtalen åpner for det.

2.2        Personvernerklæring

For mer informasjon om hvordan Databehandler vil behandle Personopplysninger i relasjon til Tjenesten, henvises det til vår personvernerklæring, som er tilgjengelig her:

https://kiona.com/no/om-oss/privacy-policy

 

3. FORMÅLET MED DATABEHANDLERAVTALEN

Formålet med Databehandleravtalen er å regulere rettigheter og plikter i henhold til gjeldende Personvernlovgivning i forbindelse med Databehandlers behandling av Personopplysninger på vegne av Behandlingsansvarlig.

 Med "Personvernlovgivning" siktes det til etterlevelse av artikkel 28 nummer 3 i Europaparlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 og til enhver tid gjeldende nasjonal lovgivning relatert til personvern i det land Behandlingsansvarlig er etablert, herunder lovgivning som implementerer eller supplerer GDPR.

Med "Personopplysninger" menes enhver opplysning om en identifisert eller identifiserbar fysisk person (de "Registrerte"). Databehandleravtalen skal sikre at Personopplysninger behandles i samsvar med Personvernlovgivning og ikke benyttes på en lovstridig måte eller at uautoriserte parter får tilgang til Personopplysningene.

 

4. OMFANGET AV BEHANDLINGEN

4.1        Generelt

Vilkårene i databehandler avtalen har forrang i forhold til eventuelle tilsvarende bestemmelser i andre avtaler mellom partene.

Behandlingsansvarlig bestemmer formålet med behandlingen og hvilke hjelpemidler som skal benyttes. Databehandler, med Underleverandører og andre som på vegne av Databehandler utfører oppdrag og har tilgang til Personopplysningene, skal behandle Personopplysningene kun på vegne av Behandlingsansvarlig og i henhold til Avtalen og Behandlingsansvarliges skriftlige instrukser, samt i henhold til denne Databehandleravtalen, med mindre noe annet fremgår i gjeldende lovgivning. 

Databehandler skal omgående underrette Behandlingsansvarlig dersom Databehandler mener at en instruks er i strid med Personvernlovgivningen.

4.2        Omfanget av behandlingen

Databehandleravtalen gjelder Databehandlers behandling av Personopplysninger på vegne av Behandlingsansvarlig i forbindelse med Databehandlers leveranse av tjenesten, som er nærmere beskrevet i Avtalen.

 4.3        Formålet med behandlingen

Karakteren og formålet med behandlingen er knyttet til levering av tjenesten, som nærmere beskrevet i Avtalen.

4.4        Kategorier av Personopplysninger og Registrerte

Behandlingen innebærer behandling av Personopplysninger om Behandlingsansvarliges sluttbrukere, kunder, leverandører, partnere eller ansatte, avhengig av den Behandlingsansvarliges bruk av tjenesten. Behandlingen omfatter følgende kategorier av Personopplysninger, avhengig av den Behandlingsansvarliges konkrete bruk av tjenesten:

  • Alminnelige Personopplysninger, herunder navn, postadresse, e-post, telefonnummer, firma, stilling/rolle, avdeling, kostnadssted.
  • Lokasjonsdata, herunder GPS- og Wifi-lokasjonsdata, samt lokasjonsdata hentet fra Databehandlers/kundens nettverk.
  • Trafikkdata, herunder Personopplysninger som behandles i relasjon til formidling av kommunikasjon på et elektronisk kommunikasjonsnettverk eller fakturering av slike tjenester.
  • Opplysninger relatert til innholdet i kommunikasjon, slik som e-post, telefonsvar, SMS/MMS, nettleserdata, synspunkter på våre produkter/tjenester i form av svar på kundeundersøkelser samt møtereferater.

 

5. BEHANDLINGSANSVARLIGES PLIKTER

Behandlingsansvarlig er ansvarlig for å sikre at behandlingen av personopplysninger skjer i overensstemmelse med personvernforordningen (se personvernforordningen artikkel 24), gjeldende personopplysningsvernbestemmelser i unionsretten eller medlemsstatenes nasjonalrett og disse Vilkårene. Samt at Databehandler ikke behandler Personopplysninger i større omfang enn det som er nødvendig for å oppnå formålet.

Behandlingsansvarlig er ansvarlig for at det foreligger et gyldig rettslig grunnlag for behandlingen på tidspunktet Personopplysningene overføres til Databehandler, herunder at ethvert samtykke er informert, og avgitt eksplisitt, utvetydig og frivillig. På forespørsel fra Databehandler skal Behandlingsansvarlig skriftlig gjøre rede for og/eller dokumentere det rettslige grunnlaget for behandlingen.

Behandlingsansvarlig innestår for at de Registrerte har mottatt tilstrekkelig informasjon om behandlingen av deres Personopplysninger. Instruksjoner for behandling av Personopplysninger under denne Databehandleravtalen skal som hovedregel gis til Databehandler. Dersom Behandlingsansvarlig instruerer en Underleverandør oppnevnt i tråd med punkt 12 direkte, skal Behandlingsansvarlig umiddelbart informere Databehandler om dette. Databehandler kan ikke holdes ansvarlig for behandling utført av en Underleverandør som et resultat av instrukser mottatt direkte fra Behandlingsansvarlig, og som medfører et brudd på denne Databehandleravtalen, Avtalen eller Personvernlovgivning.

 

6. TAUSHETSPLIKT

Databehandler, dennes Underleverandører og andre som på vegne av Databehandler utfører oppdrag og har tilgang til Personopplysningene, er underlagt taushetsplikt og skal etterleve taushetsplikten i forbindelse med behandling av Personopplysninger og sikkerhetsdokumentasjon i henhold til gjeldende Personvernlovgivning. Databehandler har ansvaret for at Underleverandører og andre som opptrer på vegne av Databehandler er underlagt slik taushetsplikt.

Behandlingsansvarlig er underlagt taushetsplikt når det gjelder dokumentasjon og informasjon mottatt av Databehandler knyttet til Databehandlers og dennes Underleverandørers gjennomføring av tekniske og organisatoriske sikkerhetstiltak, og informasjon som Databehandler ellers ønsker å bevare som konfidensiell. Behandlingsansvarlig kan imidlertid alltid dele slik informasjon med relevante tilsynsmyndigheter, såfremt dette er nødvendig for å overholde den Behandlingsansvarliges forpliktelser etter Personvernlovgivning eller andre lovpålagte plikter. Ved krav om utlevering av slik informasjon til relevante tilsynsmyndigheter skal partene gjensidig informere hverandre.  Taushetsplikten gjelder også etter Databehandleravtalens opphør.

 

7. SIKKERHET

Sikkerhetskravene som gjelder for Databehandlers behandling av Personopplysninger, er regulert gjennom interne prosedyrer.

Personvernforordningen artikkel 32 fastslår at, idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen.

Den behandlingsansvarlige skal vurdere risikoene for fysiske personers rettigheter og friheter som behandlingen utgjør og gjennomføre tiltak for å imøtegå disse risikoene. Avhengig av relevans kan tiltakene omfatte:

  • pseudonymisering og kryptering av personopplysninger
  • evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene
  • evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse
  • en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er.

Ifølge personvernforordningen artikkel 32 skal databehandleren – uavhengig av den behandlingsansvarlige – også vurdere risikoene for fysiske personers rettigheter og friheter som behandlingen utgjør, og gjennomføre tiltak for å imøtegå risikoene. Med henblikk på denne vurderingen skal den behandlingsansvarlige stille den nødvendige informasjonen til rådighet for databehandleren som gjør vedkommende i stand til å identifisere og vurdere slike risikoer.

Databehandleren skal også bistå den behandlingsansvarlige med å overholde den behandlingsansvarliges plikter etter personvernforordningen artikkel 32, ved blant annet å stille til den behandlingsansvarliges rådighet nødvendig informasjon om de tekniske og organisatoriske sikkerhetstiltakene som databehandleren allerede har gjennomført i henhold til personvernforordningen artikkel 32, samt all annen informasjon som er nødvendig for at den behandlingsansvarlige skal kunne overholde sine plikter etter personvernforordningen artikkel 32.

 

8.  TILGANG TIL PERSONOPPLYSNINGER OG OPPFYLLELSE AV DE REGISTRERTES RETTIGHETER

Med mindre annet er avtalt eller følger av gjeldende lovgivning, skal Behandlingsansvarlig ha rett til å kreve tilgang til Personopplysninger som behandles av Databehandler på vegne av Behandlingsansvarlig.

Dersom Databehandler eller Underleverandør mottar en forespørsel fra en Registrert om behandlingen av Personopplysninger, skal Databehandler videresende forespørselen til Behandlingsansvarlig, med mindre Databehandler etter gjeldende lovgivning eller i tråd med Behandlingsansvarliges instrukser selv er berettiget til å håndtere forespørselen.

Databehandler skal bistå Behandlingsansvarlig med å oppfylle Behandlingsansvarliges plikt til å svare på anmodninger som de Registrerte inngir for å utøve sine rettigheter fastsatt i Personvernlovgivningen, herunder retten til:

  1. innsyn,
  2. korrigering,
  3. sletting/anonymisering,
  4. begrensning eller å motsette seg en behandling,
  5. få utlevert egne Personopplysninger i et strukturert, alminnelig anvendt og maskinleselig format (dataportabilitet).

Databehandler skal kompenseres for slik bistand i tråd med Databehandlers gjeldende priser, med mindre noe annet er avtalt.

 

9. ANNEN BISTAND TIL BEHANDLINGSANSVARLIG

Dersom Databehandler eller en Underleverandør mottar en forespørsel fra relevant tilsynsmyndighet for innsyn i eller informasjon om registrerte Personopplysninger eller behandlingsaktiviteter under denne Databehandleravtalen, skal Databehandler varsle Behandlingsansvarlig om forespørselen, med mindre Databehandler etter gjeldende lovgivning eller i tråd med Behandlingsansvarliges instrukser selv er berettiget til å håndtere forespørselen.

Dersom Behandlingsansvarlig er forpliktet til å gjennomføre en vurdering av personvernkonsekvenser og/eller gjennomføre forhåndsdrøftelser med relevant tilsynsmyndighet i forbindelse med behandlingen av Personopplysninger under denne Databehandleravtalen, skal Databehandler bistå Behandlingsansvarlig. Behandlingsansvarlig skal dekke kostnader påført Databehandler som følge av slik bistand.

 

10. MELDING OM SIKKERHETSBRUDD

Databehandler skal underrette Behandlingsansvarlig uten ugrunnet opphold etter å ha fått kjennskap til et brudd på sikkerheten ved behandlingen av Personopplysninger ("Sikkerhetsbrudd").

Behandlingsansvarlig er ansvarlig for å melde Sikkerhetsbrudd til relevant tilsynsmyndighet. Underretningen til Behandlingsansvarlig skal som et minimum beskrive:

  • Arten av Sikkerhetsbruddet, herunder, når det er mulig, kategoriene av og omtrentlig antall Registrerte og Personopplysninger som er berørt.
  • Sannsynlige konsekvenser av Sikkerhetsbruddet.
  • Tiltak som Databehandler har truffet eller foreslår å treffe for å håndtere Sikkerhetsbruddet, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av Sikkerhetsbruddet.

Dersom Behandlingsansvarlig er forpliktet til å underrette de Registrerte om Sikkerhetsbrudd, skal Databehandler bistå Behandlingsansvarlig med dette, herunder skaffe til veie, hvis tilgjengelig, nødvendig kontaktinformasjon til de Registrerte som er berørt. Behandlingsansvarlig skal dekke kostnadene knyttet til slik kommunikasjon med de Registrerte, med mindre Sikkerhetsbruddet skyldes forhold som Databehandler er ansvarlig for.

 

11. OVERFØRING

Utlevering, overføring eller tilgang til Personopplysninger ("Overføring") fra land utenfor EU/EØS ("Tredjeland") kan bare skje etter dokumentert godkjenning fra Behandlingsansvarlig som beskrevet i punkt 13 nedenfor, og ved bruk av EUs standardvilkår, eller basert på annet rettslig grunnlag for slik Overføring.

 

12. BRUK AV UNDERLEVERANDØRER

Behandlingsansvarlig godkjenner at Databehandler kan engasjere en annen databehandler ("Underleverandør") for å bistå i å yte tjenesten og behandle Personopplysninger under Avtalen, såfremt Databehandler sikrer at:

  • Databehandlers forpliktelser som er fastsatt i Databehandleravtalen og Personvernlovgivningen pålegges Underleverandører gjennom skriftlig avtale.
  • Underleverandør gir tilstrekkelige garantier for at det blir gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i Personvernlovgivningen og Databehandleravtalen, samt gir Behandlingsansvarlig og relevant tilsynsmyndighet den tilgang og informasjon som er nødvendig for å verifisere slike garantier.

Databehandler skal være fullt ut ansvarlig overfor Behandlingsansvarlig for at Underleverandører oppfyller sine forpliktelser.  

 

13. PROSEDYRE FOR BRUK AV UNDERLEVERANDØRER

Databehandler skal til enhver tid ha en oppdatert liste med oversikt over navn og kontaktinformasjon til alle Underleverandører og steder Underleverandører behandler Personopplysninger på vegne av Behandlingsansvarlig. Listen er tilgjengelig på forespørsel.  Databehandler skal oppdatere listen for å reflektere enhver tilføyelse eller utskiftning av Underleverandører og varsle Behandlingsansvarlig senest 2 måned før den dag Underleverandøren skal påbegynne behandlingen av Personopplysninger. Enhver innvending mot slike endringer må fremsettes til Databehandler innen 14 dager fra e-postvarsling mottas. Dersom Behandlingsansvarlig motsetter seg endringen eller utskiftningen av en Underleverandør, kan Databehandler terminere Avtalen og Databehandleravtalen med 1 måneds varsel.

Ved å inngå denne Databehandleravtalen, gir Behandlingsansvarlig fullmakt til Databehandler til å inngå EUs standardvilkår på vegne av Behandlingsansvarlig, eller til å sikre annet rettslig grunnlag for Overføring til et Tredjeland for Underleverandør som er godkjent i henhold til ovennevnte prosedyre. Databehandler skal på forespørsel gi Behandlingsansvarlig en kopi av slike EU standardvilkår eller en beskrivelse av annet rettslig grunnlag for Overføringen.

Databehandler skal yte rimelig bistand og dokumentasjon til bruk i den Behandlingsansvarliges selvstendige risikovurdering av bruken av Underleverandører eller Overføringen av Personopplysninger til et Tredjeland

 

14. REVISJONER

Databehandler er forpliktet til å gi Behandlingsansvarlig dokumentasjon på gjennomførte tekniske og organisatoriske tiltak for å sikre et egnet sikkerhetsnivå samt annen informasjon som er nødvendig for å dokumentere at Databehandler oppfyller sine forpliktelser etter denne Databehandleravtalen og Personvernlovgivningen.

Behandlingsansvarlig og relevant tilsynsmyndighet har rett til å gjennomføre revisjoner, herunder inspeksjoner og evaluering av Personopplysninger som behandles, systemene som benyttes til dette formål, gjennomførte tekniske og organisatoriske sikkerhetstiltak, inkludert sikkerhetsinstrukser etc., samt Underleverandører. Behandlingsansvarlig skal ikke gis tilgang til informasjon vedrørende Databehandlers andre kunder og informasjon som er underlagt konfidensialitetsforpliktelser.

Behandlingsansvarlig har rett til å gjennomføre slike revisjoner en gang per år. Dersom Behandlingsansvarlig utpeker en ekstern revisor til å gjennomføre revisjonen, skal revisoren være bundet av en plikt til konfidensialitet.  Behandlingsansvarlig skal dekke kostnader knyttet til revisjoner som er initiert av Behandlingsansvarlig eller som påløper ved revisjon av Behandlingsansvarlig, inkludert kompensasjon til Databehandler for rimelig medgått tid for Databehandler og dennes ansatte for bistand under inspeksjonen

 

15. VARIGHET OG OPPHØR

Databehandleravtalen gjelder ved inngåelse av avtalen og så lenge Databehandler behandler Personopplysninger på vegne av Behandlingsansvarlig.

Begge partene kan kreve Vilkårene reforhandlet dersom lovendringer eller uhensiktsmessigheter i Vilkårene gir grunn til dette.

Dersom Databehandler bryter Databehandleravtalen eller ikke oppfyller sine forpliktelser etter Personvernlovgivningen, kan Behandlingsansvarlig:

  • pålegge Databehandler å iverksette nødvendige tiltak/utbedringer for videre behandling av Personopplysninger, og/eller
  • pålegge Databehandler å stanse videre behandling av Personopplysninger med øyeblikkelig virkning.

16. KONSEKVENSER VED OPPHØR

Ved opphør av Databehandleravtalen skal Databehandler, i tråd med Behandlingsansvarliges instrukser, enten slette/anonymisere eller returnere alle Personopplysningene til Behandlingsansvarlig, inkludert kopier og back-up, med mindre annet er fastsatt i gjeldende lovgivning. 

Databehandler skal skriftlig dokumentere overfor Behandlingsansvarlig at sletting har funnet sted i samsvar med Databehandleravtalen og som angitt av Behandlingsansvarlig.  

 

17.        ANSVARSBEGRENSNING

Ingen part skal overfor den annen part være ansvarlig for indirekte tap eller følgeskader av noen art (inkludert, men ikke begrenset til tap som følge av driftsavbrudd, tap av data, tapt fortjeneste eller lignende) uavhengig av ansvarsgrunnlag, hva enten i kontrakt, culpaansvar, produktansvar eller annet, selv om parten er underrettet om muligheten for slike skader (i fellesskap omtalt som "Indirekte Tap"). Ingen part skal være ansvarlig overfor den annen part for;

  1. feil eller forsinkelser som ligger utenfor partens rimelige kontroll, herunder generelle internett eller linjeforsinkelser, strømbrudd eller feil på maskiner; eller
  2. feil forårsaket av den annen parts systemer eller handlinger, uaktsomhet eller unnlatelser, som alene skal være den partens ansvar.

Det totale og maksimale ansvaret for hver tolv (12) måneders periode, for en part overfor den annen part under eller i medhold av denne Databehandleravtalen, skal under ingen omstendighet overstige et beløp tilsvarende det totalbeløp betalt for tjenesten under Avtalen i løpet av de tolv (12) siste månedene forut for den skadevoldende handlingen. Ovennevnte begrensninger skal ikke gjelde for skader som skyldes svindel, grov uaktsomhet eller forsett.

 

18. VARSLER OG ENDRINGER

Alle varsler knyttet til Databehandleravtalen skal for skriftlige varsler til Databehandler sendes til support@kiona.com, skriftlige varsler til Behandlingsansvarlig sendes e-postadressen angitt i Avtalen. I tilfelle endringer i Personvernlovgivningen, dersom dom eller uttalelse fra kompetent myndighet eller annen autoritativ kilde medfører en endret tolkning av Personvernlovgivningen, eller dersom det gjøres endringer i leveransen av tjenesten under Avtalen som krever endringer i Databehandleravtalen, skal partene samarbeide for å oppdatere Databehandleravtalen tilsvarende. Enhver endring eller tillegg til denne Databehandleravtalen skal skje skriftlig og undertegnes av begge parter.

 

19.        LOVVALG OG VERNETING

Lovvalg, verneting og tvisteløsningsmekanisme reguleres av Avtalen.

 

20.        SIGNERING AV DATABEHANDLERAVTALEN

Ved signering av IWMAC Avtalen så vil Databehandleravtalen også være akseptert og signert, med mindre det er inngått en separat Databehandleravtale.

 

Kommentarer

0 kommentarer

Artikkelen er stengt for kommentarer.

Kontakt support

Send oss en henvendelse
Telefon: +47 982 50 007

Kontakt support

Send oss en henvendelse

Nyhetsbrev - Web Port

Utgivelser og patcher

Kontakt oss

Send ​​en melding
+46 300 745 40