Databehandleravtale
Sist oppdatert 28.11.2023
- Overordnet
- Mellom Virksomheten («Behandlingsansvarlig») og Purpose («Databehandler») (i fellesskap omtalt som «Partene») er inngått avtale om behandling av personopplysninger («Avtalen») som Databehandler skal foreta for Behandlingsansvarlig som følge av at Partene har inngått en avtale («Hovedavtalen») om leveranse av det digitale verktøyet «dobee» som oppgitt i vedlegg 1.
- Avtalens formål
- Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig på den bakgrunn som følger av Hovedavtalen.
- Formålet med behandlingen, behandlingens art, de typer personopplysninger som skal behandles og kategorier av registrerte følger av vedlegg 1 til Avtalen.
- Avtalen skal sikre at personopplysninger behandles i samsvar med de til enhver gjeldende kravene til behandling av personopplysninger, herunder bl.a. Europaparlaments- og rådsforordning (EU) 2016/679 (personvernforordningen) som besluttet 27. april 2016, og norsk lov med tilhørende forskrifter som innføres som en følge av personvernforordningen, som bl.a. personopplysningsloven.
- Databehandler skal behandle personopplysningene på den måte som er beskrevet i Avtalen, samt på annen måte dersom dette er skriftlig avtalt mellom Databehandleren og Behandlingsansvarlig.
- Begreper og definisjoner benyttet i Avtalen skal forstås på samme måte som i personopplysningsloven.
- Databehandlers plikter
- Databehandleren bekrefter at denne vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at all behandling under denne Avtalen oppfyller kravene i personopplysningsloven og vern av den registrertes rettigheter, herunder innfrir alle kravene etter personvernforordningens artikkel 32. Se også ytterligere plikter i punkt 4.
- Databehandleren skal kun behandle personopplysningene basert på dokumenterte instrukser fra den Behandlingsansvarlige. Databehandleren skal til enhver tid kunne dokumentere slike instrukser. Databehandler skal ikke behandle personopplysninger Databehandleren får tilgang til på annen måte enn det som er nødvendig for å utføre de oppdrag som Databehandler har for den Behandlingsansvarlige. Databehandleren vil imidlertid benytte data fra løsningen skissert i Hovedavtalen for å lage statistikk, og vil selv være behandlingsansvarlig for denne behandlingen.
- Databehandleren skal bistå den Behandlingsansvarlige i å svare på anmodninger fra registrerte hensyntatt behandlingens art og i den grad det er mulig, bistår, ved hjelp av egnede tekniske og organisatoriske tiltak. Dette gjelder både anmodninger fra de registrerte om å utøve sine rettigheter etter personvernforordningens kapittel III samt bistå den Behandlingsansvarlige med å sikre overholdelse av forpliktelsene knyttet til personopplysningssikkerhet. Tilsvarende gjelder for bistand med vurdering av personvernkonsekvenser og forhåndsdrøftinger i personvernforordningens artikkel 32 til 36, hensyntatt behandlingens art og den informasjonen som er tilgjengelig for Databehandleren.
- Foreligger det godkjente adferdsnormer etter personvernforordningens artikkel 40 eller godkjent sertifiseringsordning etter artikkel 42, som Databehandleren har påtatt seg å overholde eller være sertifisert etter, plikter Databehandleren å etterkomme slike adferdsnormer eller sertifiseringskrav.
- Databehandleren skal føre protokoll (logg) over behandlingsaktiviteter denne utfører på vegne av den Behandlingsansvarlige, som skal inneholde minimum den informasjon som er pålagt etter personvernforordningen artikkel 30 nr. 2.
- Databehandleren skal gjøre tilgjengelig for den Behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i dette punkt 2 er oppfylt, samt muliggjøre og bidra til revisjoner, herunder inspeksjoner, som gjennomføres av den Behandlingsansvarlige eller en annen inspektør på fullmakt fra den Behandlingsansvarlige. Den Behandlingsansvarlige har selv det direkte ansvaret for kontakt og kommunikasjon med aktuelle tilsynsmyndigheter, herunder Datatilsynet.
- Databehandleren har taushetsplikt om personopplysninger som vedkommende får tilgang til som en følge av Avtalen og behandling av personopplysningene, og skal sikre at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til å behandle opplysningene fortrolig eller er underlagt en egnet lovfestet taushetsplikt. Denne bestemmelsen gjelder også etter Avtalens opphør.
- Databehandleren skal ikke utlevere opplysninger eller informasjon som denne behandler for den Behandlingsansvarlige til tredjepart uten eksplisitt pålegg fra den Behandlingsansvarlige. Henvendelser til Databehandleren skal Databehandleren videreformidle til Behandlingsansvarlige så raskt som mulig.
- Er Databehandleren av den oppfatning at en instruks fra den Behandlingsansvarlige er i strid med personvernforordningen, personopplysningsloven, eller annen regulering av behandling av personopplysninger, skal Databehandleren umiddelbart skriftlig underrette den Behandlingsansvarlige om Databehandlerens oppfatning.
- Bruk av underleverandør
- Databehandleren kan benytte underleverandører til behandling av personopplysninger (underdatabehandler).
- Underdatabehandlere ved Avtalens inngåelse er spesifisert i vedlegg 1 til Avtalen.
- I tilfelle Databehandleren har planer om å benytte andre underdatabehandlere eller skifte ut underdatabehandlere, skal Databehandleren i rimelig tid underrette den Behandlingsansvarlige om planene på sine nettsider, og dermed gi den Behandlingsansvarlige muligheten til å motsette seg slike endringer. Databehandleren legger ut oppdatert liste over underdatabehandlere to uker før de tas i bruk. Behandlingsansvarlig vil holde seg løpende oppdatert om hvilke databehandlere som til enhver tid er engasjert i behandlingen, og skal sende eventuelle motforestillinger til Databehandler.
- Underdatabehandler skal pålegges de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i Avtalen i bindende avtale hvor underdatabehandler skal gi tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller lovmessige krav. Dersom underdatabehandler ikke oppfyller sine forpliktelser med hensyn til vern av personopplysninger og kravene i Avtalen, skal Databehandleren overfor den Behandlingsansvarlige ha fullt ansvar for at underdatabehandler oppfyller sine forpliktelser.
- Sikkerhet og avvik
- Databehandleren skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og annen lovgivning, herunder forskrifter. Databehandleren skal kunne dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på den Behandlingsansvarliges forespørsel.
- I tilfelle sikkerhets- eller personvernbrudd, skal Databehandleren varsle den Behandlingsansvarlige uten ugrunnet opphold.
- Dersom ikke alle opplysninger kan gis i første melding, skal opplysningene gis suksessivt så snart de foreligger.
- Den Behandlingsansvarlige har ansvaret for å sende melding til tilsynsmyndighet, og Databehandler skal ikke sende slik melding eller kontakte tilsynsmyndighet uten at den Behandlingsansvarlige har gitt instruks om dette.
- Overføring til tredjeland
- Databehandler skal kun overføre personopplysningene innen EU/EØS eller til tredjestater som Europakommisjonen har godkjent (beslutning om tilstrekkelig beskyttelsesnivå).
- Dersom Databehandler likevel skal overføre personopplysning til tredjestater som ikke har fått beslutning om tilstrekkelig beskyttelsesnivå, skal Behandlingsansvarlig skriftlig godkjenne slik overføring på forhånd. Godkjente mottakere og overføringer til tredjestater fremkommer av bilag til Avtalen. Overføring til tredjeland forutsetter at de krav til sikkerhet og vern av de registrertes rettigheter som følger av personopplysningsloven og annet regelverk er ivaretatt.
- Avtalens varighet, pålegg om stans, plikter ved opphør/oppsigelse
- Avtalen gjelder så lenge Databehandleren behandler eller har tilgang til personopplysninger på vegne av Behandlingsansvarlige etter Hovedavtalen.
- Databehandleren skal, etter den Behandlingsansvarliges instruksjon, slette eller tilbakelevere alle personopplysninger til den Behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert, og sletter eksisterende kopier, med mindre det er et lovmessig krav om at personopplysningene skal fortsatt lagres. Dette gjelder også for eventuelle sikkerhetskopier, men hvor det er tilstrekkelig med å overskrive etter de etablerte rutiner for sikkerhetskopiering.
- Den Behandlingsansvarlige skal motta en skriftlig bekreftelse fra Databehandleren på at alle personopplysninger er returnert eller slettet i henhold til den Behandlingsansvarliges instruksjoner og at Databehandleren ikke har beholdt kopi, utskrifter eller andre former for personopplysninger i noen form.
- Øvrige plikter og rettigheter
- Øvrige plikter og rettigheter følger av Hovedavtalen som gjelder mellom Databehandleren og Behandlingsansvarlige om tjenestene som nødvendiggjør behandling av personopplysninger og denne Avtale.
- Denne Avtalen skal ikke utvide Behandlingsansvarliges sanksjonsmuligheter, herunder erstatningsansvar for Databehandleren, utover det som følger av Hovedavtalen.
- Lovvalg og verneting
- Avtalen er underlagt norsk rett. Dette gjelder også etter opphør av avtalen.
VEDLEGG 1 – BEHANDLING AV PERSONOPPLYSNINGER TIL DATABEHANDLERAVTALE
- Formålet med behandlingen er: Databehandler tilbyr et medarbeider-, mobiliserings- og samarbeid-SaaS-løsning, som lar virksomheter realisere de viktigste målene og initiativene som skaper resultater, omstilling og vekst for organisasjonen.
- Behandlingens art er: Software-as-a-Service-løsning, der informasjon fra ansatte mottas for å samarbeide og mobilisere ansatte.
- Databehandler vil drifte og vedlikeholde løsningen. Behandlingens tema er: Ansatte vil kunne lage en enkel brukerkonto. Behandlingsansvarlig vil ha adgang til en dashboard-løsning, som viser informasjon som legges inn i løsningen. Databehandleren skal motta og lagre personopplysninger, og tillater at personer legger ut og presenterer informasjon i en skyløsning.
- Typen personopplysninger: Epost, Fornavn, Etternavn, lyd- og billedmateriale fra filmopptak, og informasjon knyttet til mål, resultater og jobber som utføres.
- Kategorier av registrerte: Ansatte og evt. andre eksterne som er blitt invitert til å bidra til å oppnå et mål.
Hvilke systemer for behandling brukes?
- Type system for behandling GoogleCloud, Stripe, Active Campaign, Hubspot
- Angi om systemene er manuelt eller elektronisk Elektronisk
- Hvem har tilgang til systemet? Ansatte og innleide i Purpose AS
- Hvor lenge lagres data i systemet? Leverandører forbeholder seg retten til å lagre data så lenge Kundens abonnement er aktivt. Ved oppsigelse lagres data opp til tolv (12) måneder fra oppsigelsesdato. Statistikk som brukes for å gjøre dobee bedre slettes ikke, men alle personopplysninger blir fjernet.
Databehandler sine egne databehandlere for behandling av data i forbindelse med Avtalen
- Cefalo AS
- Formål Utvikling og drift av dobee.it
- Eksisterende kontraktsmessige grunnlag SSA-B kontrakt mellom Purpose AS og Cefalo. Aktør befinner seg i Norge.
- Google Ireland Limited, ActiveCampaign LLC og Stripe
- Formål Tilbyr Google Cloud som plattform og analyseverktøy.
- Eksisterende kontraktsmessige grunnlag Data befinner seg i EU/EØS.