top of page

DATABEHANDLERAVTALE

Denne databehandleravtalen er gyldig fra: 30.8.2024

​1 Definisjoner

 

"Databehandleravtalen" betyr de bestemmelser som fremgår av denne avtalen.

"GDPR" betyr EUs personvernforordning, «Forordning 2016/679 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF». Den ble vedtatt av Europaparlamentet og Rådet for Den europeiske union den 14. april 2016 og omtales også som General Data Protection Regulation.

«Systemet» betyr programvaren Compleasy® med tilhørende moduler samt alt av tilhørende og tilknyttet dokumentasjon. Systemet omfatter, men er ikke begrenset til, innhold, design, funksjonalitet og dokumenter eller komponenter av dette.

«Vilkår» betyr vilkår og bestemmelser for bruk av Systemet.

"Personvernlovgivning" betyr alle gjeldende lover og forskrifter om databeskyttelse og personvern, inkludert GDPR og den norske Personopplysningsloven.

"Personopplysning" betyr enhver opplysning om en identifisert eller identifiserbar fysisk person. En identifiserbar person er en som kan identifiseres, direkte eller indirekte, særlig med henvisning til en identifikator, slik som et navn, et identifikasjonsnummer, posisjonsdata, en elektronisk identifikator eller til en eller flere faktorer som er spesifikke for den fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sosiale identiteten til den fysiske personen.

"Den Registrerte"/ «De Registrerte» betyr en eller flere fysisk(e) person(er) som et sett med personopplysninger er registrert på i Systemet.

"Behandling" betyr enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, for eksempel innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.

"Behandlingsansvarlig" betyr den fysiske eller juridiske person, offentlig myndighet, byrå eller annet organ som, alene eller i fellesskap med andre, bestemmer formålet med og midlene for behandling av personopplysninger. I denne Databehandleravtalen skal Behandlingsansvarlig henvise til Kunden.

"Databehandler" betyr en fysisk eller juridisk person, offentlig myndighet, et byrå eller et annet organ som behandler personopplysninger på vegne av Behandlingsansvarlig. I denne Databehandleravtalen skal Databehandler referere til Compleasy AS.

"Partene" betyr Behandlingsansvarlig og Databehandler når disse omtales i fellesskap. Hver for seg omtalt som «Part».

"Underdatabehandlere" betyr andre databehandlere som Domeneshop bruker til å behandle personopplysningene.

«Personvernerklæring» betyr Databehandlerens gjeldene Personvernerklæring

"Tilsynsmyndighet" betyr en uavhengig offentlig myndighet som er opprettet av en EU/EØS-stat i henhold til GDPR artikkel 51.

 

2 Generelt

 

Denne Databehandleravtalen er inngått mellom Behandlingsansvarlig og Databehandleren og regulerer forholdet mellom Partene.

Databehandleravtalen godkjennes elektronisk sammen med Vilkår ved registrering i Systemet. Behandlingsansvarlig bekrefter ved godkjenning å være bundet av de plikter som følger av Databehandleravtalen. Dersom ikke denne godtas, vil ikke tilgang til Systemet gis.

  2.1 Varighet og endringer

 

Denne avtalen er gjeldende så lenge Databehandleren behandler Personopplysninger på vegne av den Behandlingsansvarlige.

 

Databehandleren kan oppdatere og revidere Databehandleravtalen ved behov. Kunden vil varsles om endringene minimum tre måneder før endringene trer i kraft.

 

Ved å fortsette å bruke Systemet etter ikrafttredelsen av oppdatert Databehandleravtale anses den nye versjonen Databehandleravtale som godkjent av Kunden.

 

3 Bakgrunn og formål med Behandlingen

 

Databehandleren skal behandle Personopplysningene på vegne av Behandlingsansvarlig.

Formålet, varigheten og grunnlaget for Behandlingen, type personopplysninger som skal Behandles og datasubjektene som Personopplysningene er knyttet til, er som følger:

  • Registrere unike Brukere og kontaktpersoner sikkert i systemet med det formål at Databehandleren kan gjøre compliance enklere for Kunden. Compliance innebærer i denne sammenheng å sikre at en virksomhet følger alle relevante lover, forskrifter, standarder og etiske retningslinjer som gjelder for dens virksomhet.

  • Personopplysningene som behandles er en del av opplysningene som skal gi Behandlingsansvarlig enklere oversikt og styringsgrunnlag knyttet til compliance.

 

Databehandleravtalen skal sørge for at Behandlingen foregår i samsvar med GDPR og gjeldende Personvernlovgivning, samt andre regulatoriske krav som følger av den Behandlingsansvarlige sin virksomhet, med de krav til behandling av Personopplysninger som det innebærer.

 

Databehandleren skal kun forestå Behandling på den måten beskrevet i Vilkår, Databehandleravtalen, Personvernerklæring, som skriftlig er avtalt med eller instruert av Behandlingsansvarlig, og i alle tilfeller i henhold til lovverket som regulerer Behandlingen.

 

4 Personopplysninger som Behandles

 

Følgende Personopplysninger vil kunne Behandles i Systemet:

  • For kontaktpersoner hos Kunden

    • Navn, e-post og telefonnummer

  • For registrerte Brukere

    • Navn, e-post og telefonnummer

    • Brukernavn og passord

  • For Kundens kunder og leverandører

    • Navn, e-post og telefonnummer

    • Adresse, Postnummer, Poststed og Landtilhørighet

  4.1 Brukerregistrerte Personopplysninger

 

Dersom Brukere registrerer Personopplysninger i Systemet, er Kunden ansvarlig for å sikre at disse Personopplysningene behandles i samsvar med gjeldende lovverk. Leverandøren fraskriver seg ethvert ansvar knyttet til behandling av slike Personopplysninger i disse tilfellene.

 

5 Behandlingsansvarliges rettigheter og plikter

 

Den Behandlingsansvarlige har følgende plikter og ansvar:

  • Det fulle ansvaret for korrespondansen med Tilsynsmyndigheter.

  • At det foreligger tilstrekkelig behandlingsgrunnlag for Behandlingen og at overføring av Personopplysninger til Databehandler er lovlig.

  • Sikre påliteligheten, nøyaktigheten, lovligheten, innholdet i og integriteten til Personopplysningene.

  • Informere De Registrerte i henhold til de til enhver tid gjeldende lovkrav, samt svare på henvendelser.

  • At Personopplysninger behandles i henhold til GDPR.

  • Implementere tilstrekkelige tekniske og organisatoriske tiltak for å sikre Personopplysningene som Behandles, jfr. GDPR artikkel 32.

  • Uten ugrunnet opphold, melde avvik til Tilsynsmyndigheter og eventuelt til De Registrerte i henhold til gjeldende lovgivning.

  • Umiddelbart varsle Databehandler dersom Behandlingsansvarlig mener instrukser eller krav fra Databehandler er i strid med Personvernlovgivningen.

  • Ikke registrere eller lagre Personopplysninger utover det som dekkes av formålet. Spesielt skal Behandlingsansvarlig ikke lagre det GDPR kaller særlige kategorier av Personopplysninger i Systemet (som for eksempel vurderinger knyttet til en ansatts helsetilstand, religiøs eller politisk tilhørighet osv.).

  • Dersom krav i Artikkel 30, punkt 5 i GDPR tilsier det skal den Behandlingsansvarlige føre protokoll over behandlingsaktiviteter som utføres under deres ansvar. Protokollen skal minimum inneholde informasjonen som kreves i henhold til artikkel 30 i GDPR. Den Behandlingsansvarlige, eller deres representant, skal på anmodning gjøre protokollen tilgjengelig for Tilsynsmyndigheten.

  • Innhente samtykke dersom opplysninger om mindreårige legges inn i løsningen. Dette vil særlig gjelde ved ansettelsesforhold ved personer under 16 år.

 

6 Databehandlerens rettigheter og plikter

 

Databehandleren har ikke eierskap over Personopplysninger, men behandler disse kun på vegne av Behandlingsansvarlig som regulert i denne Databehandleravtalen.

 

Databehandleren har følgende plikter:

  • Implementere hensiktsmessige og egnede tekniske og organisatoriske tiltak slik at Behandlingen vil oppfylle kravene i personopplysningsforordningen og sikre beskyttelse av rettighetene til datasubjektene. Dette inkluderer kravene som fremkommer i artikkel 32 i GDPR.

  • Skal på forespørsel gjøre tilgjengelig dokumentasjon med hensyn til informasjonssikkerhet for Behandlingsansvarlig.

  • Skal sikre at Behandling skjer kun etter Behandlingsansvarliges dokumenterte instruksjoner, med mindre noe annet kreves av gjeldende rett. I så tilfelle skal Behandlingsansvarlig varsles om den rettslige forpliktelsen i forkant av Behandlingen, med mindre den aktuelle loven forbyr at slik informasjon gis av hensyn til allmenn interesse.

  • Skal bistå Behandlingsansvarlig med hensiktsmessige tiltak, så langt dette er praktisk mulig, for oppfyllelse av den Behandlingsansvarlige sin plikt til å dokumentere at datasubjektenes rettigheter overholdes.

  • Bistå Behandlingsansvarlig med å sikre overholdelse av forpliktelsene i henhold til artikkel 32 til 36 i GDPR.

  • Dersom krav i Artikkel 30, punkt 5 i GDPR tilsier det skal Databehandleren føre protokoll over behandlingsaktiviteter som utføres for Behandlingsansvarlig. Protokollen skal minimum inneholde informasjonen som kreves i henhold til artikkel 30 i GDPR. Den Behandlingsansvarlige kan når som helst be om den oppgitte journalen. Databehandleren, eller deres representant, skal på anmodning gjøre protokollen tilgjengelig for Tilsynsmyndigheten.

  • Ved tilsyn eller revisjoner, gjøre tilgjengelig for Behandlingsansvarlig all informasjon som er nødvendig for å dokumentere overholdelse av forpliktelsene fastsatt i denne Databehandleravtalen. Dette innebærer å tillate og bidra til revisjoner og inspeksjoner utført av den Behandlingsansvarlige, eller en annen revisor som handler på vegne av Behandlingsansvarlig. All slik bistand fra Databehandler til Behandlingsansvarlig gjøres etter skriftlig anmodning og faktureres etter medgått tid.

  • Databehandler har taushetsplikt med hensyn til Personopplysninger og annen informasjon som Databehandler mottar og har tilgang til.

  • Dersom Databehandler vurderer at en instruks fra Behandlingsansvarlig er i strid med personopplysningsforordningen eller annen lov skal Databehandler umiddelbart informere Behandlingsansvarlig om dette.

 

Databehandler har rett til å kjøre anonymiserte analyser på statistikk fra Systemet som et ledd i arbeidet med å forbedre brukeropplevelsen i Systemet. Databehandler kan videre aksessere og benytte registrerte personopplysninger som brukernavn, foretaksnavn, adresse, e-post og telefonnummer for administrative formål som eksempelvis, men ikke begrenset til, fakturering og utsendelse av viktig informasjon.

 

7 Bruk av tredjepart som Underdatabehandler

 

Ved godkjenning av Vilkår og Databehandleravtale gir Behandlingsansvarlig generell tillatelse til at Databehandler engasjerer Underdatabehandlere.

Databehandleren benytter Underdatabehandlere som i visse tilfeller kan behandle personopplysninger registrert i Systemet. I all behandling av data sikrer Databehandleren, for å beskytte personvernet, at det utveksles minimalt med informasjon til Underdatabehandlerne.

 

Databehandleren benytter også Underdatabehandlere for nødvendig og ikke-valgfri funksjonalitet, som for eksempel loggtjenester. Disse tjenestene kan implementeres uten eksplisitt samtykke fra Behandlingsansvarlig. Databehandleren har inngått egne databehandleravtaler med alle Underdatabehandlere.

 

Databehandleren skal underrette den Behandlingsansvarlige dersom andre databehandlere eller underdatabehandlere benyttes. Den Behandlingsansvarlige har muligheten til å motsette seg slike endringer, men vil ved avslag på slik endring ikke kunne benytte Systemet videre.

 

  7.1 Underdatabehandlere utenfor EU/ EØS

 

Dersom Underdatabehandlere befinner seg i tredjeland utenfor EU/EØS, sikrer Databehandleren at det benyttes gyldige overføringsgrunnlag som EU-standardkontrakter for dataoverføring eller andre godkjente mekanismer.

 

8 Forholdet til tredjeparts samarbeidspartnere

 

Databehandleren kan foreslå tredjepartsprodukter som kan utgjøre nyttig tilbud til Behandlingsansvarlig, basert på registrerte opplysninger i Systemet. Ved aksept av slikt tilbud er det Behandlingsansvarlig sitt ansvar å etablere en databehandleravtale med den relevante samarbeidspartneren. Databehandleren vil ikke utveksle informasjon med tredjepart før den aktuelle modulen er aktivert.

 

I enkelte situasjoner kan det være nødvendig for Databehandleren å gi tredjeparter tilgang til Behandlingsansvarlige sine opplysninger. Dette kan skje under følgende omstendigheter:

  • Hvis en bruker har mistet tilgang til tjenesten.

  • Ved salg eller overdragelse av en Kundes virksomhet.

  • Ved rettslige pålegg eller andre forhold som er hjemlet i lovverk eller rettspraksis, for eksempel i tilfelle av mistanke om straffbare forhold.

 

9 Behandlingssikkerhet og varsling av brudd

 

Databehandler skal overholde kravene knyttet til sikkerhet gitt i Personvernlovgivningen.

 

Ved brudd knyttet til Behandling skal Databehandler uten ugrunnet opphold varsle Behandlingsansvarlig i henhold til Artikkel 33 i GDPR. Slik melding skal minst inneholde:

  1. beskrivelse av arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall Registrerte som er berørt, og kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt,

  2. navnet på og kontaktopplysningene til personvernombudet eller et annet kontaktpunkt der mer informasjon kan innhentes,

  3. beskrivelse av de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten,

  4. beskrivelse av de tiltak som den behandlingsansvarlige har truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet. Dersom all informasjon ovenfor ikke er gitt ved første varsel, skal informasjonen oversendes så snart som mulig.

 

Behandlingsansvarlig har det fulle ansvaret for å varsle relevante tilsynsmyndigheter. Databehandler skal ikke kontakte eller varsle tilsynsmyndighetene uten godkjennelse fra Behandlingsansvarlig.

 

10 Stopp i behandling, sletting og endring av data

 

Behandlingsansvarlig kan skriftlig instruere Databehandler om å stanse Behandlingen med umiddelbar virkning. Tilgangen til Systemet vil fra samme tid opphøre og Vilkårenes bestemmelser om oppsigelse vil tre i kraft.

For å ivareta krav til sikkerhet, konsistens vil vi oppbevare en backup av data i inntil 3 måneder. Dersom særlige grunner skulle tilsi at Personopplysninger skal slettes raskere kan Databehandleren kontaktes skriftlig.

Ved Kundens oppsigelse, uansett grunn, skal Databehandleren slette eller returnere alle Personopplysninger knyttet til behandlingen. Dette innebærer også at kopier av Personopplysningene skal slettes.

Behandlingsansvarlig kan på forespørsel motta en skriftlig bekreftelse fra Databehandler om at Personopplysninger knyttet til behandlingen er returnert eller slettet i henhold til den Behandlingsansvarlige sine instruksjoner, samt at Databehandler ikke har oppbevart kopier, utskrift eller annen representasjon av slike data.

 

  10.1 Endring av Personopplysninger

 

Dersom Personopplysninger ikke kan endres i Systemet kan en skriftlig henvendelse gjøres til Databehandleren. Endring av Personopplysninger vil kun utføres dersom det ikke bryter med krav til lovverk.

 

11 Lovvalg og verneting

 

Denne Databehandleravtalen er underlagt norsk rett. Partene vedtar Oslo tingrett som verneting.

bottom of page