DATABEHANDLERAVTALE
Avtalens parter
1.1 Behandlingsansvarlig:
Kunden som har inngått Tjenesteavtalen. Den personen som har inngått Tjenesteneavtalen på vegne av Kunden anses som kontaktperson.
1.2 Databehandler:
Installer.com AS,
Adresse: Sverdrups gate 27 4007 Stavanger Norge,
Organisasjonsnummer: 928 748 774
Kontaktperson: Kristoffer Gjerde,
Tittel: Produktsjef,
Telefon: +47 938 37 580,
Epost: kristoffer.gjerde@installer.com
Behandlingsansvarlig og Databehandler omtales enkeltvis som “Part” og i fellesskap som “Partene”.
2. Avtalens bakgrunn og formål
Databehandler har forpliktet seg til å levere tjenestene beskrevet i Generelle vilkår (“Tjenesteavtalen”). Utføringen av dette arbeidet innebærer at Databehandler vil Behandle Personopplysninger på vegne av Behandlingsansvarlig.
Som kunde bestemmer Behandlingsansvarlig formålet med Behandlingen av Personopplysningene og hvilke midler som skal benyttes.
Denne databehandleravtalen (“Databehandleravtalen”) fastsetter rammene for Databehandlers Behandling av Personopplysninger på vegne av Behandlingsansvarlig.
Formålet med denne Databehandleravtalen er å:
regulere Partenes rettigheter og plikter ved Behandling av Personopplysninger,
sikre at kravene i Personopplysningslovgivningen og GDPR etterleves ved gjennomføringen av Tjenesteavtalen, og
sikre at Personopplysninger ikke Behandles urettmessig, kommer uberettigede i hende eller Behandles til andre formål enn det som er fastsatt i denne Databehandleravtalen.
Ved motstrid mellom bestemmelsene i denne Databehandleravtaler og andre avtaler mellom Partene, herunder Tjenesteavtalen, skal bestemmelsene i Databehandleravtalen gå foran.
3. Definisjoner
Følgende definisjoner gjelder for denne Databehandleravtalen:
“Databehandleravtalen” betyr de bestemmelser som fremgår av denne avtalen med vedlegg.
“Personopplysning” betyr alle typer opplysninger eller informasjon som anses som personopplysninger etter personvernlovgivningen og GDPR. Dette omfatter, men er ikke begrenset til, de opplysningene som fremgår av Vedlegg 1.
“Behandling” (av Personopplysninger) betyr enhver bruk av Personopplysninger, for eksempel innsamling, lagring, organisering, endring eller tilpasning, utlevering og/eller overføring.
“GDPR” betyr EU-forordning 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (slik den er implementert i norsk rett).
“Personvernlovgivning” betyr lov om behandling av personopplysninger av 15. juni 2018 nr. 38 med tilhørende forskrift som implementerer GDPR, samt annen relevant lovgivning som regulerer Partenes behandling av Personopplysninger.
“Lov” betyr enhver annen gjeldende lovgivning som Partene er underlagt.
“Underdatabehandler” betyr andre databehandlere som Databehandleren bruker til å behandle Personopplysningene.
“De registrerte” betyr enhver identifisert eller identifiserbar person som Personopplysningene knytter seg til.
4. Generelt
Partene skal behandle Personopplysninger i samsvar med personvernlovgivningen, GDPR og denne Databehandleravtalen.
Databehandler skal utelukkende samle inn, registrere, sammenstille, lagre og på andre måter behandle Personopplysninger i den utstrekning det er nødvendig for å oppfylle Tjenesteavtalen og Databehandleravtalen.
Behandlingsansvarlig må sikre at det finnes et lovlig grunnlag for behandlingen av Personopplysningene.
5. Behandlingsansvarliges instruksjonsmyndighet
Databehandler skal kun behandle Personopplysninger etter dokumenterte instrukser fra Behandlingsansvarlig.
Databehandler kan også behandle Personopplysninger dersom dette kreves i henhold til Lov som Databehandler er underlagt. I slike tilfeller skal Databehandler varsle Behandlingsansvarlig om den rettslige forpliktelsen i forkant, med mindre Loven forbyr slik informasjon av hensyn til allmenn interesse.
Behandlingsansvarliges instrukser til Databehandler er fastsatt i denne avtalen med vedlegg.
Vedlegg 1 beskriver hvilke kategorier Personopplysninger Databehandler kan behandle og formålet med behandlingen. Databehandler skal ikke behandle Personopplysninger til andre formål enn det som fremgår der.
Behandlingsansvarlig kan gi Databehandler etterfølgende instrukser så lenge Databehandler behandler Personopplysninger på vegne av Behandlingsansvarlig. Slike instrukser skal gis skriftlig og være dokumenterte.
Partene skal umiddelbart varsle hverandre dersom en Part mener at instrukser eller krav fra den andre Parten er i strid med personvernlovgivningen eller GDPR.
6. Databehandlers plikt til å bistå Behandlingsansvarlig
Idet det tas hensyn til behandlingens art og den informasjonen som er tilgjengelig for Databehandler, skal Databehandler bistå Behandlingsansvarlig med å sikre overholdelse av Behandlingsansvarliges forpliktelser i henhold til GDPR artikkel 32–36.
Dette innebærer blant annet bistand ved vurdering av personvernkonsekvenser og forhåndsdrøftelser.
7. Personopplysningssikkerhet
Databehandler skal oppfylle kravene til informasjonssikkerhet som følger av personvernlovgivningen og GDPR, og iverksette egnede tekniske og organisatoriske sikkerhetstiltak for å sikre et sikkerhetsnivå som er egnet i forhold til risikoen, jf. GDPR artikkel 32.
De tekniske og organisatoriske tiltakene som skal gjennomføres er beskrevet i Vedlegg 2.
Databehandler skal også bistå Behandlingsansvarlig med å sikre overholdelse av Behandlingsansvarliges forpliktelser etter GDPR artikkel 32.
8. Databehandlers bruk av underdatabehandlere
Dersom Databehandler engasjerer en underdatabehandler til å utføre spesifikke behandlingsaktiviteter på vegne av Behandlingsansvarlig, skal den aktuelle underdatabehandleren pålegges de samme forpliktelsene som fastsatt i denne avtalen, gjennom avtale eller annet rettslig dokument.
Databehandler skal sikre at underdatabehandler er kjent med og oppfyller Databehandlers avtalemessige og lovmessige forpliktelser.
Databehandler skal være fullt ansvarlig overfor Behandlingsansvarlig for at underdatabehandler oppfyller sine forpliktelser.
De underdatabehandlerne som Databehandler benytter i forbindelse med Tjenesteavtalen fremgår av Vedlegg 3. Behandlingsansvarlig aksepterer bruken av disse.
Behandlingsansvarlig aksepterer også at Databehandler kan benytte andre underdatabehandlere. Dersom Databehandler ønsker å benytte nye underdatabehandlere, skal Databehandler varsle Behandlingsansvarlig om navn og kontaktinformasjon i forkant. Behandlingsansvarlig kan motsette seg bruken, og skal i så fall informere Databehandler uten ugrunnet opphold.
9. Overføring av personopplysninger til utlandet
Databehandler kan overføre Personopplysninger som behandles på vegne av Behandlingsansvarlig til de land der Databehandler eller underdatabehandlere driver virksomhet, og lagre opplysningene der. Disse landene fremgår av Vedlegg 3.
Behandlingsansvarlig aksepterer at opplysningene behandles utenfor Norge. Databehandler skal likevel ikke overføre Personopplysninger til land utenfor EU/EØS eller til en internasjonal organisasjon uten skriftlig forhåndssamtykke fra Behandlingsansvarlig, med mindre EU-kommisjonen har konkludert med at landet/organisasjonen har tilstrekkelig beskyttelsesnivå.
Dersom Behandlingsansvarlig samtykker til slik overføring, skal Databehandler sørge for at dette skjer i tråd med GDPR kapittel V.
Databehandler skal også vurdere beskyttelsesnivået i tredjelandet og iverksette supplerende tiltak (tekniske, organisatoriske eller kontraktsmessige) for å sikre et tilsvarende beskyttelsesnivå som i EU/EØS.
10. Håndtering av de registrertes rettigheter
Behandlingsansvarlig skal være kontaktpunkt for de registrerte og gi nødvendig informasjon om behandlingen.
Behandlingsansvarlig er ansvarlig for håndtering av anmodninger om innsyn, retting, sletting, begrensning, dataportabilitet mv., og for å sikre at slike anmodninger etterkommes.
Databehandler skal, idet det tas hensyn til behandlingens art og i den grad det er mulig, bistå Behandlingsansvarlig med å svare på slike anmodninger i samsvar med GDPR kapittel III.
Dersom Databehandler mottar en forespørsel fra en registrert, skal Behandlingsansvarlig varsles snarest.
11. Avvikshåndtering og varsling
Enhver bruk av informasjonssystemer i strid med Databehandlers rutiner, Behandlingsansvarliges instrukser, personvernlovgivningen eller GDPR, samt ethvert sikkerhetsbrudd, skal håndteres som avvik.
Partene skal etablere rutiner og tiltak for håndtering av avvik, inkludert gjenoppretting, fjerning av årsak og forebygging av gjentakelse.
Partene skal, så snart de får kunnskap om et avvik, uten ugrunnet opphold og senest innen 36 timer, informere hverandre og iverksette nødvendige tiltak for å gjenopprette normaltilstand.
Behandlingsansvarlig er ansvarlig for melding til Datatilsynet og de registrerte i henhold til GDPR artikkel 33 og 34. Databehandler skal, om nødvendig, bistå.
12. Revisjon og inspeksjon
Databehandler skal gjøre tilgjengelig for Behandlingsansvarlig all informasjon som er nødvendig for å påvise overholdelse av forpliktelser etter personvernlovgivningen, GDPR og denne avtalen.
Databehandler skal muliggjøre og bidra til revisjoner og inspeksjoner utført av Behandlingsansvarlig eller en tredjepart utpekt av Behandlingsansvarlig.
Behandlingsansvarlig har rett til å gjennomføre slike revisjoner for egen regning, maksimalt én gang per år, med fire ukers skriftlig varsel.
13. Konfidensialitet og taushetsplikt
Databehandler har taushetsplikt om Personopplysninger og dokumentasjon den får tilgang til gjennom avtalen. Taushetsplikten gjelder også etter avtalens opphør.
Databehandler skal ikke gi tilgang til Personopplysninger til andre enn egne ansatte, underdatabehandlere eller ansatte hos Behandlingsansvarlig, uten skriftlig avtale eller lovpålagt plikt.
Databehandler skal sikre at personer som behandler Personopplysningene har forpliktet seg til konfidensialitet eller er underlagt lovbestemt taushetsplikt.
14. Varighet
Avtalen gjelder så lenge Databehandler behandler Personopplysninger på vegne av Behandlingsansvarlig.
15. Opphør
Når avtalen opphører, skal Databehandler levere tilbake alle Personopplysninger i et egnet format for videre behandling hos Behandlingsansvarlig eller en tredjepart utpekt av denne.
Behandlingsansvarlig kan alternativt kreve sletting og/eller destruksjon i henhold til skriftlige instrukser.
Databehandler skal skriftlig bekrefte at sletting og/eller destruksjon er gjennomført innen rimelig tid etter opphør.
Unntak gjelder dersom personvernlovgivningen, GDPR eller Lov krever videre oppbevaring.
16. Lovvalg og verneting
Avtalen er underlagt norsk rett. Oslo tingrett er verneting.
Vedlegg
Vedlegg 1: Beskrivelse av personopplysningene og formålet med behandlingen
Type persondata:
Navn
Kontaktinformasjon (som e-postadresse, telefonnummer, fysisk adresse)
Brukergenererte data (notater, statuser og interaksjonslogger)
Tekniske data (cookies, logger og back-up-data)
Kategori av registrerte:
Kunder og potensielle kunder: Privatpersoner og selskaper som Behandlingsansvarlig har en relasjon til eller vurderer å inngå en relasjon med.
Ansatte og samarbeidspartnere: Personer som jobber direkte eller indirekte med salg, support eller tjenesteleveranse.
Tredjeparter: Leverandører og andre samarbeidspartnere som er involvert i tjenesteleveranser eller administrasjon.
Formålet med behandlingen:
Administrasjon og behandling av kundeinformasjon for å levere tjenester, inkludert håndtering av forespørsler og oppfølging.
Analysering og forbedring av tjenestekvalitet, kundeopplevelse og interne prosesser.
Tilrettelegging for samarbeid mellom Behandlingsansvarlig og relevante parter, som leverandører og kunder.
Ivareta krav til sikkerhet, oppbevaring og tilgjengelighet av informasjon i henhold til relevante lover og reguleringer.
Vedlegg 2: Beskrivelse av tekniske og organisatoriske sikkerhetstiltak
Hovedelementer og tiltak:
Kryptering og pseudonymisering: Personopplysninger skal krypteres både ved lagring og overføring. Pseudonymisering skal brukes der det er hensiktsmessig.
Tilgangskontroll: Rollebasert tilgang sikrer at kun autoriserte personer får tilgang til data.
Logging og revisjon: All tilgang, endring og overføring av data skal loggføres og gjennomgås regelmessig.
Sikring av lagring: Data lagres i sikre datasentre med regelmessige sikkerhetskopier og strenge tilgangsbegrensninger.
Overføring: Overføring av data skal skje via sikre protokoller som HTTPS eller SFTP.
Opplæring og beredskap: Ansatte skal få opplæring i sikkerhet, og det skal finnes beredskapsplaner for håndtering av sikkerhetsbrudd.
Vedlegg 3: Oversikt over Databehandlers underdatabehandlere
Microsoft Azure – Skytjenester for lagring og behandling av data
Databricks – Plattform for dataanalyse
Twilio – Kommunikasjonstjenester for SMS, taletjenester og meldinger
Mapbox – Karttjenester og geografiske informasjonssystemer
Installer enables the industry leaders working with installers
