Databehandleravtale

1. Bakgrunn og parter

Det er inngått databehandleravtale mellom Orgbrain Solutions AS («Databehandler») og Kunden («Behandlingsansvarlig») i tilknytning til partenes brukervilkår, inklusive vedlegg til denne (samlet benevnt som «Avtalen»).

Denne Databehandleravtale omfatter alle ytelser som leveres til Behandlingsansvarlig iht. Avtalen. Denne Databehandleravtale inngår som et vedlegg til Avtalen. Databehandleravtalen regulerer og presisere forhold relatert til informasjonssikkerhet og behandling av personopplysninger og kommer i tillegg til øvrig regulering i Avtalen.

Dersom det er motstrid mellom denne Databehandleravtale og Avtalen, skal Databehandleravtalen gå foran for forhold som gjelder behandling av personopplysninger.

2. Formål

I forbindelse med levering av ulike ytelser for å oppfylle Avtalen, vil Databehandler behandle personopplysninger på vegne av Behandlingsansvarlig.

Databehandleravtalen skal sikre at personopplysninger ikke brukes urettmessig eller kommer uberettigede i hende, sikre personopplysningenes integritet, konfidensialitet og tilgjengelighet og at de for øvrig behandles i samsvar med krav i lover og regler, herunder gjeldende personopplysningslov som har inkorporert EUs Personvernforordning 2016/679, eventuelle forskrifter og godkjente adferdsnormer. Samlet betegnet som «Regelverket»).

2.1 Behandlingens formål og omfang

Databehandler kan ikke behandle personopplysninger på annen måte enn det som er nødvendig for å levere de avtalte ytelser til Behandlingsansvarlig, slik de er nærmere beskrevet i Avtalen. Databehandler forplikter seg til ikke å behandle personopplysninger til andre formål.

3. Eierskap og behandlingsansvar

Kunden er behandlingsansvarlig for data som lagres, og behandles, ved bruk av Databehandler sine tjenester, og har selv eierskap til og ansvaret for disse. Databehandler kan ikke under noen omstendigheter tilordnes rollen som behandlingsansvarlig for disse dataene.

Det er Kunden som bestemmer formålet med sin behandling av personopplysninger og hvilke hjelpemidler som skal brukes, og som har ansvaret for at personopplysninger behandles i henhold til de krav som lover, regler og forskrifter oppstiller.

4. Databehandler sine plikter

Databehandler skal følge det til enhver tid gjeldende Regelverket, samt de dokumenterte instrukser for behandling av personopplysninger som Behandlingsansvarlig har bestemt skal gjelde gjennom denne Databehandleravtale og Avtalen.

Behandlingsansvarlig kan gi ytterligere instruksjoner til Databehandler. Dersom instrukser fra Behandlingsansvarlig medfører at Databehandler må gjennomføre tiltak som ikke fremgår av Databehandleravtalen, følger av Regelverket eller for øvrig av Avtalen, skal Databehandler kompenseres for slikt arbeid i henhold til avtalte timepriser.

Databehandler har rett og plikt til å motsette seg å behandle personopplysninger på en måte som strider mot regelverket.

Databehandler plikter på forespørsel å gi Behandlingsansvarlig og relevante tilsynsmyndigheter tilgang til all informasjon, herunder sikkerhetsdokumentasjon, som er nødvendig for at Behandlingsansvarlig kan ivareta sitt ansvar som Behandlingsansvarlig etter Regelverket.

Databehandler plikter å sikre personopplysningers integritet, tilgjengelighet og konfidensialitet, blant annet ved at personopplysninger holdes logisk adskilt fra egne og andre opplysninger og tjenester. Databehandler skal sikre tilgangskontroll til systemer og/eller områder som inneholder personopplysninger og øvrig konfidensiell informasjon. Tilganger skal begrenses til ressurser som har tjenstlig behov og det skal foreligge nødvendig logging av tilganger og bruk. Behandlingsansvarlig har til enhver tid full eiendomsrett og rådighet over personopplysninger og øvrig data.

Databehandler, databehandlers ansatte, underleverandører og øvrige tredjeparter som er engasjert av Databehandler, har taushetsplikt om personopplysninger som vedkommende får tilgang til i henhold til denne Databehandleravtale og avtaleforholdet for øvrig. Databehandler plikter å sikre at alle som gis tilgang til personopplysninger som behandles av Behandlingsansvarlig, er kjent med og etterlever de forpliktelser som følger av denne Databehandleravtalen og har undertegnet en taushetserklæring som oppfyller kravene til konfidensialitet i Regelverket. Taushetsplikten gjelder også etter avtaleforholdets opphør.

Databehandler plikter å bistå Behandlingsansvarlig med å oppfylle sine plikter overfor den registrerte ved å gi tilgang til dokumentasjon, slik at Behandlingsansvarlig kan ivareta sitt eget ansvar etter Regelverket.

Dersom Databehandler mottar henvendelser fra den registrerte og/eller andre parter relatert til rettigheter etter Regelverket, skal Databehandler uten ugrunnet opphold videresende henvendelsen til Behandlingsansvarlig.

5. Bruk av underleverandører

Behandlingsansvarlig gir ved signatur på denne Databehandleravtale Databehandler en generell godkjennelse, innenfor Regelverkets rammer, til å benytte underleverandører. Databehandler skal underrette Behandlingsansvarlig om planer om å bruke en annen underleverandør eller skifte ut underleverandører og gi Behandlingsansvarlig mulighet til å motsette seg slike endringer. Behandlingsansvarlig må motta en slik underretning minimum 2 uker før endringer trer i kraft. Den behandlingsansvarlige skal ha mulighet til å motsette seg endringene, og skal meddele Databehandler om dette senest 7 dager etter underretningen er mottatt.

Underleverandører som på vegne av Databehandler utfører oppgaver i forbindelse med ytelser til Behandlingsansvarlig, herunder oppdrag der overføring og/eller behandling av personopplysningene inngår, skal være gjort kjent med og avtalemessig forpliktet seg til Databehandlers avtalemessige og lovmessige forpliktelser og skal opptre i samsvar med disse. Databehandler er ansvarlig for å ha en oversikt over hvilke underleverandører det er anledning til å benytte i forbindelse med sin leveranse av ytelser til Behandlingsansvarlig.

Oversikten skal inneholde angivelse av lokasjon/driftssted for utførelsen, angi hvilke tjenester/oppgaver som utføres og angi om det overføres personopplysninger eller taushetsbelagte opplysninger til underleverandøren.

Databehandler er ansvarlig for underleverandørens utførelse av oppgaver for Behandlingsansvarlig, på samme måte som om Databehandler sto for utførelsen selv.

I de tilfeller Behandlingsansvarlig motsetter seg bruk av en ny underleverandør skal Databehandler underrettes omgående og uten opphold. Databehandler vil enten (1) avvikle bruk av underleverandøren, (2) la være å benytte underleverandøren for Behandlingsansvarlig sine personopplysninger, eller (3) avslutte avtaleforholdet. Ved (1) og (2) fortsetter avtalen å løpe uten endringer. Ved (3) har Behandlingsansvarlig rett på å meddele opphør av kundeforholdet i henhold til gjeldende avtalevilkår.

Tjenestene Databehandler leverer tillater integrasjon mot tredjeparts tjenester, og kan inneholde integrasjoner og lenker til integrasjoner med tredjeparts tjenester, og som ikke er underleverandører. All bruk av tredjeparts tjenester, som ikke tilhører underleverandører, inkludert, men ikke begrenset til lagring, databehandling og datautveksling, er alene regulert av avtalebetingelsene og personvernbetingelsene til tredjepart. Databehandler kan ikke under noen omstendigheter holdes ansvarlig ved bruk av slike tjenester, og Behandlingsansvarlig skal holde Databehandler skadesløs i ethvert forhold som måtte oppstå som følge av bruken.

6. Behandlingsansvarliges plikter

Det er Behandlingsansvarlig eget ansvar å vedlikeholde en oversikt over hvilke personopplysninger Databehandler behandler på vegne av Behandlingsansvarlig.

Det er Behandlingsansvarlig eget ansvar å avgi skriftlige instruksjoner om hvordan personopplysninger skal behandles. Nødvendige passord for lagring av dokumenter på plattform hos Databehandler skal kun oppgis på forespørsel. Det er Behandlingsansvarlig eget ansvar å styre tilgang til plattformen og sørge for at det kun er de med berettiget interesse som har tilgang på Behandlingansvarliges side. Det er Behandlingsansvarlig som må sørge for å fjerne tilgang for personer hos Behandlingsansvarlig som ikke lenger har behov/berettiget interesse for tilgang.

Behandlingsansvarlig er innforstått med at tjenestene fra Databehandler i utgangspunktet ikke inkluderer sikkerhetstiltak som er nødvendig for behandling av personopplysninger om barn, og sensitive og konfidensielle personopplysninger, som for eksempel kryptering eller fysisk separasjon, med mindre dette fremgår eksplisitt av produktbeskrivelse og/eller kontrakt. Det er Behandlingsansvarlig sitt ansvar å implementere hensiktsmessige sikkerhetstiltak for personopplysninger som behandles ved hjelp av Databehandler sine tjenester.

7. Sikkerhet

Databehandler har et selvstendig ansvar for og skal oppfylle krav til tekniske og organisatoriske sikkerhetstiltak som stilles etter denne Databehandleravtale, Regelverket og Avtalen for å oppnå egnet personopplysningssikkerhet.

Databehandler skal kunne dokumentere rutiner og andre tiltak for å oppfylle kravene til personopplysningssikkerhet, herunder rutiner for å følge opp og rette avvik. Eventuelle avvik skal skriftlig meldes til Behandlingsansvarlig uten ugrunnet opphold og senest innen 36 timer etter at Databehandler fikk mistanke om avviket. Enhver bruk av informasjonssystemer i strid med Databehandler sine rutiner, Behandlingsansvarliges instrukser eller Regelverket skal håndteres som et avvik. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet.

Varselet til Behandlingsansvarlig skal som minimum inneholde en beskrivelse av avvikets natur, kontaktinformasjon til kontaktpunkt hos Databehandler, en beskrivelse av mulige konsekvenser, og en beskrivelse av tiltak som er iverksatt, eller planlagt iverksatt, for å lukke avviket og begrense konsekvensene.

8. Avtalens varighet, pålegg om stans, oppsigelse

Denne Databehandleravtale følger varigheten til Avtalen den er tilknyttet. Databehandleravtalen gjelder imidlertid så lenge Databehandler behandler eller har tilgang til personopplysninger på vegne av Behandlingsansvarlig.

Ved brudd på denne Databehandleravtalen, relevant regulering i Avtalen og/eller Regelverket, kan Behandlingsansvarlig pålegge Databehandler å stoppe den videre behandlingen av personopplysningene med øyeblikkelig virkning.

Ved opphør av Avtalen mellom partene, plikter Databehandler etter Behandlingsansvarliges nærmere instruksjon å tilbakelevere, overføre eller slette alle personopplysninger som er behandlet på vegne av den Behandlingsansvarlige og som omfattes av Avtalen og denne Databehandleravtalen. Dette omfatter også sletting av logger, sikkerhetskopier og lignende som Databehandler ikke selv har behandlingsgrunnlag for å oppbevare.

9. Lovvalg og verneting

Denne Databehandleravtale er underlagt norsk rett, med Oslo tingrett som vedtatt verneting.

Endringer til denne Databehandleravtale skal inngås skriftlig, i tråd med Avtalens regulering.

VEDLEGG

Vedlegg 1: Informasjon om behandling av personopplysninger
Vedlegg 2: Oversikt over underleverandører