Databehandleravtale

SNORRE data har satt opp en databehandleravtale for å sikre at personopplysninger blir behandlet i samsvar med regelverket.

1. Avtalens bakgrunn og hensikt

Denne databehandleravtalen («Databehandleravtalen») er inngått mellom kunden («Behandlingsansvarlig») og Snorre Data AS, org nr. 964 431 299 med registrert adresse («Databehandleren»), i fellesskap omtalt som «Partene».

Den Behandlingsansvarlige bestemmer formålet med behandlingen av personopplysningene og hvilke midler som skal benyttes. Databehandleren har forpliktet seg til å levere de tjenestene som dekkes av avtalen med kunden

Databehandleravtalen er å anse som et vedlegg til Partenes avtale om leveranse av tjenester («Tjenesteavtalen»).

Formålet med denne Databehandleravtalen er å:

a) regulere Partenes roller og ansvar ved behandling av personopplysninger etter personopplysningslovgivningen og GDPR i forbindelse med gjennomføringen av Tjenesteavtalen og

b) sikre at personopplysninger om De registrerte ikke brukes urettmessig eller kommer uberettigede i hende.

2. Definisjoner

Følgende definisjoner gjelder for denne Databehandleravtalen:

«Databehandleravtalen» betyr de bestemmelser som fremgår av denne databehandleravtalen med vedlegg.

«Personopplysning» betyr alle typer opplysninger eller informasjon som anses som personopplysninger etter Personvernlovgivningen og GDPR. Dette omfatter, men er ikke begrenset til, de opplysningene som fremgår av Vedlegg 1.

«Behandling» (av Personopplysninger) betyr enhver bruk av Personopplysninger, for eksempel innsamling, lagring, organisering, endring eller tilpasning, utlevering og/eller overføring.

«GDPR» betyr EU-forordning 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (slik denne blir/er implementert i norsk rett).

«Personvernlovgivning» betyr lov om behandling av personopplysninger av 14. april 2000 nr. 31 med tilførende forskrift og annen lovgivning som implementerer Direktiv 1995/46/EF om behandling og utveksling av personopplysninger og all annen relevant.

«Underleverandør» betyr andre databehandlere som Databehandleren bruker til å behandle Personopplysningene.

«De registrerte» betyr de personene som Personopplysningene knytter seg til.

3. Generelt

Partene skal Behandle Personopplysninger i samsvar med Personvernlovgivningen, GDPR og denne Avtalen.

Databehandleren samler inn, registrerer, sammenstiller, lagrer og behandler Personopplysninger på andre måter på vegne av behandlingsansvarlig for å kunne levere de avtalte tjenestene.

Databehandler kan behandle de Personopplysningene som er nødvendige for å levere de avtalte tjenestene samt administrere avtaleforholdet.

Vedlegg 1 beskriver hvilke typer personopplysninger Databehandleren behandler og formålet med behandlingen. Databehandler skal ikke behandle personopplysninger for andre formål enn det som fremgår her.

4. Den Behandlingsansvarliges plikter

Den Behandlingsansvarlige er ansvarlig for at personopplysninger behandles i henhold til kravene i Personvernlovgivningen og GDPR. Den Behandlingsansvarlige må sikre at det finnes et lovlig grunnlag for behandlingen av Personopplysningene.

Med mindre noe annet er avtalt eller følger av lov har den Behandlingsansvarlige rett til tilgang til og innsyn i de Personopplysningene Databehandleren behandler og de systemene Databehandleren bruker til dette formålet. Databehandler plikter å gi nødvendig bistand til dette.

5. Databehandlerens plikter

Databehandleren skal:

a. kun Behandle Personopplysninger etter dokumenterte instrukser fra den Behandlingsansvarlige;

b. sikre at de personene som er autorisert til å Behandle Personopplysningene er underlagt taushetsplikt;

c. oppfylle de krav til sikkerhetstiltak som følger av Personvernlovgivningen og GDPR, herunder gjennomføre egnede tekniske og organisatoriske sikkerhetstiltak som beskrevet i Vedlegg 2 for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen;

d. bistå den Behandlingsansvarlige med å etterleve kravene til å etablere et egnet sikkerhetsnivå i henhold til GDPR artikkel 32-36, herunder gjennomføre nødvendige tiltak som å varsle om sikkerhetsbrudd, vurdere personvernkonsekvenser og gjennomføre forhåndsdrøftinger, og

e. etter den Behandlingsansvarliges valg, kostnadsfritt slette og/eller tilbakeføre Personopplysningene samt eventuelle kopier av Personopplysningene når i) Databehandleravtalen opphører etter punkt 13 eller ii) den Behandlingsansvarlige krever det (med mindre Personvernlovgivningen, GDPR eller annen lovgivning krever at Personopplysningene skal oppbevares).

Databehandler skal gi den Behandlingsansvarlige tilgang til informasjon som viser at Databehandleren oppfyller sine forpliktelser.

Partene skal umiddelbart varsle hverandre dersom den ene parten mener at instrukser eller krav fra den andre parten er i strid med Personvernlovgivningen eller GDPR.

6. Databehandlerens bruk av underleverandører

Enhver tredjepart som behandler Personopplysninger på vegne av Databehandleren regnes som en underleverandør. De Underleverandørene som Databehandleren benytter i forbindelse med Tjenesteavtalen er beskrevet i Vedlegg 3. Den Behandlingsansvarlige aksepterer at Databehandler benytter disse underleverandørene.

Databehandleren skal sikre at Underleverandørene er kjent med Databehandlers avtalemessige og lovmessige forpliktelser og oppfyller disse kravene.

Den Behandlingsansvarlige aksepterer at Databehandleren benytter andre underleverandører enn dem som er beskrevet i Vedlegg 3 forutsatt at Databehandleren underretter den Behandlingsansvarlige i før behandlingen tar til. Den behandlingsansvarlige har i så fall rett til å motsette seg slik bruk

7. Databehandlerens overføring av personopplysninger til utlandet

Databehandleren kan overføre de Personopplysningene Databehandleren behandler på vegne av den Behandlingsansvarlige til de land der Databehandleren og Underleverandørene driver sin virksomhet og lagre dem her.

Den Behandlingsansvarlige er kjent med dette og godtar denne overføringen så lenge den er nødvendig for å gjennomføre de avtalte leveransene.

Den Behandlingsansvarlige godtar at Personopplysningene behandles utenfor Norge. Databehandler skal likevel ikke overføre Personopplysninger til land ikke sikrer et tilstrekkelig beskyttelsesnivå etter GDPR artikkel 45 uten et forutgående skriftlig samtykke fra den Behandlingsansvarlige.

Dersom den Behandlingsansvarlige godtar overføring til andre tredjeland, skal Databehandleren sørge for at overføringen omfattes av nødvendige garantier etter GDPR artikkel 46 eller bindende virksomhetsregler etter GDPR artikkel 47.

8. Partenes ansvar for å håndtere De registrertes rettigheter

Den Behandlingsansvarlige skal være kontaktpunkt for De registrerte og gi nødvendig informasjon om behandlingen.

Den Behandlingsansvarlige er ansvarlig for å håndtere krav om innsyn, retting, sletting, begrensning, dataportabilitet mv. samt sikre at slike krav imøtekommes.

Databehandler skal medvirke til at den Behandlingsansvarlige kan oppfylle sine forpliktelser knyttet til De registrertes rettigheter.

9. Partenes ansvar for avvikshåndtering og varsling

Enhver bruk av informasjonssystemer i strid med Databehandlers fastlagte rutiner, den Behandlingsansvarliges instrukser, Personvernlovgivningen eller GDPR, samt ethvert annet sikkerhetsbrudd, skal håndteres som et avvik.

Partene skal etablere og opprettholde rutiner og systematiske tiltak for oppfølging av avvik, herunder tiltak for gjenoppretting av normaltilstand, fjerning av årsaken til avviket og hindre gjentakelse.

Partene skal, så snart de får kunnskap om et avvik, uten ugrunnet opphold informere hverandre om eventuelle sikkerhetsbrudd og umiddelbart iverksette alle nødvendige og hensiktsmessige tiltak for å gjenopprette normaltilstand.

Den Behandlingsansvarlige er ansvarlig for å sende avviksmelding til Datatilsynet og De registrerte. Databehandleren skal, om nødvendig, bistå den Behandlingsansvarlige ved en slik varsling.

10. Sikkerhetsrevisjoner

Den Behandlingsansvarlig har rett til å gjennomføre jevnlige sikkerhets¬revisjoner av de systemer mv. som omfattes av denne avtalen. Dette skal skje etter avtale med Databehandleren.

Databehandler skal gi nødvendig bistand i forbindelse med gjennomføringen.

11. Taushetsplikt

Databehandleren har taushetsplikt om de Personopplysninger og dokumentasjon som Databehandler får tilgang til gjennom Databehandleravtalen.

Databehandleren skal innhente taushetserklæring fra egne ansatte og andre som gis tilgang til opplysningene.

Databehandleren skal ikke levere ut eller gi tilgang til Personopplysningene til andre enn egne ansatte, egne databehandlere eller til ansatte hos Behandlingsansvarlig, uten at dette er avtalt skriftlig med Behandlingsansvarlig eller følger av lov, forskrift mv.

12. Avtalens varighet

Avtalen gjelder så lenge Databehandleren behandler Personopplysninger på vegne av den Behandlingsansvarlige.

13. Ved opphør

Når Databehandleravtalen opphører skal Databehandleren levere tilbake alle Personopplysninger som omfattes av Databehandleravtalen eller slette dem.

Personopplysningene skal kun slettes etter skriftlig instruks fra den Behandlings¬ansvarlige.

Partene avtaler nærmere hvordan overføring eller sletting konkret skal skje.

Databehandleren skal skriftlig dokumentere at sletting og/eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter Databehandleravtalen opphører.

14. Lovvalg og verneting

Avtalen er underlagt norsk rett. Partene vedtar Nedre Romerike Tingrett som verneting.

Vedlegg 1 – beskrivelse av personopplysningene og formålet med behandlingen

Personalia (navn, alder, stilling, kjønn mv.)

Kategorier av registrerte: Ansatte hos behandlingsansvarlig

Formålet med behandlingen: Kommunikasjon med og oppfølging av den Behandlingsansvarlige

Typer tjenester dette er relevant for: 1,2,3,4,5,6,7,8,9,10

Kontaktinformasjon (mobilnr. e-postadresse, adresse fastnr. adresse mv.)

Kategorier av registrerte: Ansatte hos behandlingsansvarlig

Formålet med behandlingen: Kommunikasjon med og oppfølging av den Behandlingsansvarlige

Typer tjenester dette er relevant for: 1,2,3,4,5,6,7,8,9,10

Metadata (IP-adresse, tidspunkt, lokasjon mv.)

Kategorier av registrerte: Ansatte hos behandlingsansvarlig

Formålet med behandlingen: Levere avtalte tjenester

Typer tjenester dette er relevant for: 1,2,3,9,10

Innhold kunden gir SNORRE Data tilgang til

Kategorier av registrerte: Ansatte hos Behandlingsansvarlig og andre personer den Behandlingsansvarlige har opplysninger om

Formålet med behandlingen: Utføre andre oppgaver på vegne av den Behandlingsansvarlige slik som gjenoppretting av filer, og levere avtalte tjenester

Typer tjenester dette er relevant for: 1,2,3,4,6,8

Loggdata og annen sikkerhetsrelatert data (brukernavn, passord mv.)

Kategorier av registrerte: Ansatte hos Behandlingsansvarlig og andre personer den Behandlingsansvarlige har opplysninger om

Formålet med behandlingen: Utføre andre oppgaver på vegne av den Behandlingsansvarlige slik som gjenoppretting av filer, og levere avtalte tjenester

Typer tjenester dette er relevant for: 1,2,3,4,6,8

Henvisning til nummererte tjenester: 

ASP/HOSTING: 1

Fjerndrift: 2

Vedlikehold: 3

Office 365: 4

Cylance Protect: 5

WEB hotell/domene håndtering; 6

Symantec: 7

Online Backup/BAAS/DRAAS: 8

Support: 9

WLAN drift/support: 10

Vedlegg 2 – tekniske og organisatoriske tiltak for å etablere informasjonssikkerhet

Fysisk adgangskontroll

SNORRE data skal implementere nødvendige tiltak, selv eller ved bruk av en tredjepart, for å forhindre uvedkommende fysisk tilgang til de personopplysningene som Databehandler behandler på vegne av Behandlingsansvarlig. Dette inkluderer, men er ikke begrenset til, tiltak som bruk av sikkerhetspersonell, og bruk av sikre bygninger og lokasjoner.

Systemadgangskontroll

SNORRE data skal implementere hensiktsmessige tiltak for å forhindre at personopplysninger behandles urettmessig. Disse tiltakene vil variere med behandlingen og inkluderer, men er ikke begrenset til, autentisering med brukernavn og passord, tofaktor autentisering, dokumenterte autorisasjonsprosesser, dokumenterte endringshåndteringsprosesser og logging på flere nivåer.

Overføringskontroll

SNORRE data skal, så langt det er praktisk gjennomførbart, implementere hensiktsmessige tiltak for å forsikre at det er mulig å overføre data til rette vedkommende uten at dataene kan leses, kopieres, endres eller slettes uautorisert under dataoverføringen.

Backup

Backup foretas i tråd med Tjenesteavtalen. For tjenester som ikke inkluderer backup står Kunden selv ansvarlig for å besørge hensiktsmessig backup.

Logisk separasjon

Data fra ulike Kunder er logisk separert i SNORRE Data sine systemer for å sikre at personopplysninger som registreres for ulike formål kan behandles hver for seg.

Vedlegg 3 – oversikt over databehandlerens underleverandører

SYSE AS

Org.nr: NO 981 535 286 MVA

Adresse: Møllegaten 12, 3111 Tønsberg, Norge

Kontaktinformasjon: Telefon: 33 34 97 00 / E-post: post@syste.no 

Type tjeneste: Web-hosting

Behandlings-/lagringssted (land): Norge

Microsoft

Org.nr: NO 957 485 030 MVA

Adresse: Lysaker torg 45, 1366 Lysaker, Norge

Kontaktinformasjon: Telefon: 23 50 05 00  

Type tjeneste: Office 365

Behandlings-/lagringssted (land): EU / EØS

Data Design AS

Org.nr: NO 911 197 146 MVA

Adresse: Fossveien 532, 2337 Tangen, Norge

Kontaktinformasjon: Telefon: 62 58 71 00 / E-post: info@webmercs.com 

Type tjeneste: Web shop

Behandlings-/lagringssted (land): EU / EØS