Databehandler­avtale

Databehandleravtalen skal sikre at personopplysninger ikke kommer på avveie eller brukes urettmessig. Databehandler er Upnode AS (org.nr. 819789932 ), heretter omtalt som “Leverandør” eller “Leverandøren”. Behandlingsansvarlig er kunden, heretter omtalt som “Kunde” eller “Kunden”.

1. Databehandleravtalens hensikt

Databehandleravtalen skal sikre at personopplysninger ikke brukes urettmessig eller tilkommer uberettigede. Avtalen regulerer Leverandørs bruk av personopplysninger på vegne Kunde i forbindelse med tjenesteleveranse.

2. Instrukser

Leverandør forplikter seg til å overholde de plikter og lover i henhold til rettsgrunnlaget som gjelder ved bruk av Leverandørs tjenester ved behandling av personopplysninger.

3. Formålsbegrensning

Formålet med Leverandørs forvaltning av personopplysninger på vegne av Kunde, er å levere og administrere Leverandørs tjenester til Kunde, begrenset av de avtaler som gjøres med Kunde. Leverandør kan kun behandle Kundens personopplysninger i den utstrekning det er strengt nødvendig for å gjennomføre og imøtekomme kravene i henhold til avtale inngått med Kunde. Leverandør har ikke selvstendig råderett til personopplysningene, og kan ikke behandle disse til egne formål. Leverandør kan kun overføre personopplysninger som omfattes av denne avtalen til samarbeidspartnere eller relevante tredjeparter i den grad dette er nødvendig for å utføre tjenesteleveransen på vegne av Kunden.

4. Opplysningstyper og registrerte

Det er Kunden sitt ansvar å vedlikeholde en oversikt over hvilke personopplysninger Leverandør behandler på vegne av Kunde, samt registrerte berørte. Personopplysninger som behandles på vegne av Kunde i forbindelse med leveranse innenfor et av Leverandørens tjenesteområder kan være navn, fødselsdato, adresser, telefonnumre, epostadresser, IP-adresser, brukernavn, passord, informasjonskapsler, loggfiler eller enhver annen opplysning, som definert av Kunde, kan bli brukt alene eller sammen med annen opplysning til å identifisere personer.

5. De registrertes rettigheter

Leverandør plikter å bistå Kunde ved ivaretakelse av den registrertes rettigheter, jf. Rettsgrunnlaget. Den registrertes rettigheter inkluderer retten til informasjon om hvordan hans eller hennes personopplysninger behandles, retten til å kreve innsyn i egne personopplysninger, retten til å kreve retting eller sletting av egne personopplysninger og retten til å kreve at behandlingen av egne personopplysninger begrenses. I den grad det er relevant, skal Leverandør bistå Kunde med å ivareta de registrertes rett til dataportabilitet og retten til å motsette seg automatiske avgjørelser, inkludert profilering. Dersom det påløper Leverandør gebyrer fra tredjepart i forbindelse med ivaretakelsen av rettighetene kan Leverandør viderefakturere Kunde disse gebyrene forutsatt at Leverandør informerer om gebyrene på forhånd.

6. Tilfredsstillende informasjonssikkerhet

Leverandør skal iverksette tilfredsstillende tekniske, fysiske og organisatoriske sikringstiltak for å beskytte personopplysninger som omfattes av denne avtalen mot uautorisert eller ulovlig tilgang, endring, sletting, skade, tap eller utilgjengelighet. Leverandør skal dokumentere egen sikkerhetsorganisering, retningslinjer og rutiner for sikkerhetsarbeidet, risikovurderinger og etablerte tekniske, fysiske eller organisatoriske sikringstiltak. De tekniske og organisatoriske tiltakene kan endres av Leverandør som følge av teknologisk utvikling. Sikkerhetsnivået i de spesifiserte tiltakene kan ikke reduseres som følge av dette. Betydelige endringer må dokumenteres.

7. Sikkerhetstiltak og interne prosedyrer

Der hvor Leverandør leverer de tekniske systemene, har det blitt iverksatt en rekke sikkerhetstiltak, både tekniske og organisatoriske, for å beskytte integriteten og konfidensialiteten til våre kunders data. Der hvor Kunde selv er ansvarlig for de tekniske løsningene, er det Kunde som er ansvarlig for at persondata håndteres i henhold til gjeldende lovgivning. Leverandør ønsker å understreke at persondata ikke deles uhensiktsmessig med Leverandør eller andre leverandører/aktører, da dette kan føre til brudd på loven, dersom dette ikke gjøres i henhold til korrekte prosedyrer. Kun ansatte og innleid personell hos Leverandør som har tjenstlige behov for tilgang til personopplysninger som forvaltes på vegne av Kunde, kan gis tilgang til disse.

8. Varslingsplikt ved sikkerhetsbrudd

Leverandør skal uten ubegrunnet opphold varsle Kunde dersom personopplysninger som forvaltes på vegne av Kunde utsettes for sikkerhetsbrudd som innebærer risiko for krenkelser av de registrertes personvern. Varslet til Kunde skal som minimum inneholde informasjon som beskriver sikkerhetsbruddet, hvilke registrerte som er berørt av sikkerhetsbruddet, hvilke personopplysninger som er berørt av sikkerhetsbruddet, hvilke strakstiltak som er iverksatt for å håndtere sikkerhetsbruddet og hvilke forebyggende tiltak som eventuelt er etablert for å unngå liknende hendelser i fremtiden. Kunde er ansvarlig for at varsler om sikkerhetsbrudd fra Leverandør blir videreformidlet til Datatilsynet, med mindre Leverandør anser det som hensiktsmessig at Leverandør varsler Datatilsynet.

9. Underleverandører

En underleverandør betegnes i denne avtalen som en part som utfører behandling av personopplysninger direkte relatert til denne avtalen. Kunde aksepterer at Leverandør kan benytte underleverandører ved levering av tjenestene og behandling av personopplysninger, forutsatt at de behandler personopplysninger i tråd med denne avtalen.

10. Ved opphør

Ved opphør av avtale er Leverandør pliktet til å tilbakelevere alle personopplysninger som er mottatt på vegne av den Kunde ved forespørsel. Kunde aksepterer at Leverandør sletter alle data ved opphør, inkludert eventuelle sikkerhetskopier, etter at siste avtaleperiode har løpt ut, og at data vil bli slettet etter de retningslinjer og prosedyrer som Leverandør til enhver tid fastsetter.

11. Avtalens varighet

Avtalen gjelder så lenge Kunde har et kundeforhold med Leverandør, og gjelder så lenge Leverandør behandler personopplysninger på vegne av Kunde for gjeldende avtale.