Databehandleravtale
Denne databehandleravtalen skal sørge for at både behandlingsansvarlig (Bruker) og databehandler (Conta AS med organisasjonsnummer 998 807 867 MVA) forstår sine forpliktelser og sitt ansvar ved behandling av personopplysninger.
Denne databehandleravtalen skal sørge for at både behandlingsansvarlig (Bruker) og databehandler (Conta AS med organisasjonsnummer 998 807 867 MVA) forstår sine forpliktelser og sitt ansvar ved behandling av personopplysninger.
Databehandleravtalen vil utgjøre en del av og regulere all behandling av personopplysninger i tilknytning til den generelle brukeravtale for Conta-tjenestene mellom partene.
1. Bakgrunn
Databehandler behandler personopplysninger på vegne av behandlingsansvarlig på bakgrunn som følger ovenfor.
Avtalens hensikt er å regulere rettigheter og plikter etter Lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) og forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften). I tillegg regulerer avtalen Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, samt om oppheving av direktiv 95/46/EF (i det følgende samlet omtalt som «personvernlovgivningen»).
Databehandler skal behandle personopplysninger på den måten som er beskrevet i denne avtalen, samt på annen måte dersom dette er skriftlig avtalt mellom databehandler og behandlingsansvarlig.
Begreper og definisjoner benyttet i avtalen skal forstås på samme måte som i personvernlovgivningen.
2. Formål, behandlingens art og typer opplysninger som behandles
Conta AS er databehandler og leverer nettbaserte tjenester der brukere kan registrere personopplysninger. Hvilke opplysninger som registreres i tjenestene er overlatt til behandlingsansvarlig i den grad det er tilrettelagt for å registrere opplysningene i tjenesten. Noen felt er påkrevd for å kunne bruke tjenesten.
Databehandler stiller tjenestene på https://app.conta.no til rådighet for at behandlingsansvarlig skal kunne lagre personopplysninger om sine kunder inne i tjenestene.
Personopplysninger som behandlingsansvarlig kan registrere inne i tjenesten består blant annet av navn, adresse, kontonummer, personnummer, e-postadresse og telefonnummer på privatkundene. Det er også felt for e-postadresse som eventuelt kan knyttes til en enkeltperson for bedriftskunder eller enkeltpersonforetak.
3. Behandlingsansvarliges rettigheter og plikter
Den behandlingsansvarlige er ansvarlig for at personopplysninger blir behandlet i samsvar med personvernforordningen og personopplysningsloven (jf. artikkel 24).
Den behandlingsansvarlige har både en rett og en forpliktelse til å bestemme hvilke formål, og hvilke hjelpemidler som kan brukes i behandlingen (jf. artikkel 4 nr. 7).
Den behandlingsansvarlige gir gjennom denne avtalen og hovedavtalen databehandler dokumenterte instrukser for hvordan personopplysninger skal behandles (jf. artikkel 28 nr. 3 bokstav a).
Den behandlingsansvarlige har rett til å si opp avtalen dersom databehandleren ikke lenger oppfyller lovens krav etter artikkel 28 nr. 1.
4. Databehandlers plikter
Databehandler bekrefter at det vil gjennomføres tekniske og organisatoriske tiltak som sikrer at all behandling under denne Avtalen oppfyller kravene i personvernlovgivningen og vern av den registrertes rettigheter, herunder innfrir alle kravene etter personvernforordningens artikkel 32.
Databehandleren skal bare behandle personopplysningene basert på dokumenterte instrukser fra den behandlingsansvarlige. Databehandleren skal til enhver tid kunne dokumentere slike instrukser. Databehandleren skal ikke behandle personopplysninger som det er tilgang til på annen måte enn det som er nødvendig for å utføre de oppdrag som Databehandleren har for den Behandlingsansvarlige.
Databehandler skal bistå i å svare på anmodninger fra registrerte hensyntatt behandlingens art, og i den grad det er mulig, bistå ved hjelp av egnede tekniske og organisatoriske tiltak. Dette gjelder både anmodninger fra de registrerte om å utøve sine rettigheter samt bistå den behandlingsansvarlige med å sikre overholdelse av forpliktelsene knyttet til personopplysningssikkerhet. Tilsvarende gjelder ved vurdering av personvernkonsekvenser og forhåndsdrøftinger i personvernforordningens artikkel 32 til 36, hensyntatt den informasjonen som er tilgjengelig for databehandler.
Databehandler skal føre protokoll (logg) over behandlingsaktiviteter denne utfører på vegne av den behandlingsansvarlige, som skal inneholde minimum den informasjon som er pålagt etter personvernforordningen artikkel 30. Den behandlingsansvarlige kan til enhver tid kreve oversendt kopi av slik protokoll.
Databehandleren skal gjøre tilgjengelig for den behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i punkt 3 er oppfylt, samt muliggjøre og bidra til revisjoner, herunder inspeksjoner, som gjennomføres av den behandlingsansvarlige. Dette omfatter også å gi tilgang til sikkerhetsdokumentasjon. Den behandlingsansvarlige har selv det direkte ansvaret overfor aktuelle tilsynsmyndigheter.
Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør.
Databehandleren skal ikke utlevere opplysninger eller informasjon som behandles for den behandlingsansvarlige til tredjepart uten eksplisitt pålegg fra den behandlingsansvarlige.
Er Databehandleren av den oppfatning at en instruks fra den Behandlingsansvarlige er i strid med personvernlovgivningen eller annen lovgivning, skal Databehandleren umiddelbart underrette den Behandlingsansvarlige om dennes oppfatning.
5. Sikkerhet og avvik
Databehandler skal kunne vise til rutiner og andre tiltak for å oppfylle krav til sikkerhetstiltak som stilles etter personopplysningslovgivningen. Dokumentasjonen skal være tilgjengelig på den behandlingsansvarliges forespørsel.
Dersom det oppdages sikkerhets- eller personvernbrudd, skal databehandleren varsle den behandlingsansvarlige uten ugrunnet opphold.
Det er behandlingsansvarlig som er ansvarlig for at avviksmelding sendes til Datatilsynet.
6. Overføring til utlandet
Personopplysninger skal kun overføres til land utenfor EU/EØS (tredjeland) etter instruks fra den behandlingsansvarlige. Databehandleren skal altså ikke overføre eller la personer i tredjeland på noen måte få tilgang til personopplysninger uten at behandlingsansvarlig har eksplisitt godkjent dette skriftlig og gitt instruks om overføring eller tilgang på forhånd. Samtykke og instruks må dekke hvilke land opplysningene skal kunne overføres til. Overføring til tredjeland forutsetter, selv med samtykke og instruks, at de krav til sikkerhet og vern av de registrertes rettigheter som følger av personvernlovgivningen er ivaretatt.
7. Avtalens varighet
Behandlingen som er gjeldende i denne avtalen er ikke tidsbegrenset og varer inntil hovedavtalen sies opp av en av partene, eller ved brudd på til enhver tid gjeldende lov.
Ved brudd på avtalen eller gjeldende lover kan behandlingsansvarlig stoppe den videre behandlingen av personopplysningene med umiddelbar virkning.
Ved opphør av avtalen må behandlingsansvarlige selv hente ut nødvendige data for dokumentasjon før avtalen termineres. Data lagres da hos behandlingsansvarlige, som selv påtar seg det totale ansvar for datasikkerheten.
Ved opphør av den generelle brukeravtale og databehandleravtalen plikter databehandler etter den behandlingsansvarliges instruksjon å slette alle personopplysninger som er registrert i https://app.conta.no og også eventuelle sikkerhetskopier, med mindre det er et lovmesssig krav om at personopplysningene fortsatt skal lagres. Behandlingsansvarlig har det fulle ansvaret for å be om sletting og bekreftelse på at sletting er gjennomført.
Ved oppsigelse gjelder hovedavtalen som en generell avtale for bruk av tjenestene.
8. Lovvalg og verneting
Tvister om denne avtalen, samt tvister som angår de omtalte og derav følgende rettsforhold, hører inn under de ordinære domstoler, med databehandler til enhver tids gjeldende forretningsadresse som avgjørende for valg av verneting.
9. Personvernerklæring
Conta AS forpliktet til å behandle personopplysninger på en forsvarlig måte og i henhold til Datatilsynet og GDPR.
Her kan du lese personvernerklæringen.
10. Kommunikasjon
Behandlingsansvarlig og databehandler er enige om at kommunikasjon og utleveringer iht denne avtale gjøres elektronisk.