plyo

Databehandleravtale

Gjeldende fra 1.1.2021

AVTALENS PARTER

  • Behandlingsansvarlig: Kunde
  • Databehandler: Plyo

Behandlingsansvarlig og Databehandler omtales i fellesskap som "Partene".  

AVTALENS BAKGRUNN OG FORMÅL

Kunden og Plyo har inngått avtale om å levere de tjenestene som beskrevet i kundevilkårene med tilhørende bilag ("Kundeavtalen"). Utføringen av dette arbeidet innebærer at Plyo vil behandle personopplysninger på vegne av Kunden. 

Kunden bestemmer formålet med og midlene for den behandlingen av personopplysninger som skjer i Plyos eller tredjeparters systemer i forbindelse med levering av nettside og web-tjenester og er derfor behandlingsansvarlig. Plyo opptrer som Kundens databehandler. Denne databehandleravtalen ("Databehandleravtalen") fastsetter rammene for Databehandlerens behandling av personopplysninger på vegne av den Behandlingsansvarlige. 

Formålet med denne Databehandleravtalen er å: 

  1. regulere Partenes rettigheter og plikter ved behandling av personopplysninger, 
  2. sikre at kravene i personopplysningslovgivningen og GDPR etterleves ved gjennomføringen av Kundeavtalen og
  3. sikre at personopplysningene ikke behandles urettmessig, kommer uberettigede i hende eller behandles til andre formål enn det som er fastsatt i denne Databehandleravtalen.

DEFINISJONER 

Følgende definisjoner gjelder for denne Databehandleravtalen:

"Personopplysning" betyr alle typer opplysninger eller informasjon som anses som personopplysninger etter Personvernlovgivningen og GDPR. Dette omfatter, men er ikke begrenset til, de opplysningene som fremgår av Vedlegg 1.  

"Behandling" (av Personopplysninger) betyr enhver bruk av Personopplysninger, for eksempel innsamling, lagring, organisering, endring eller tilpasning, utlevering og/eller overføring.  

"GDPR" betyr EU-forordning 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (slik denne blir/er implementert i norsk rett). 

"Personvernlovgivning" betyr lov om behandling av personopplysninger 20. juli 2018 nr. 38 med tilførende forskrift og all annen lovgivning som regulerer partenes behandling av personopplysninger. 

"Underdatabehandler" betyr andre databehandlere som Databehandleren bruker til å behandle Personopplysningene.

"De registrerte" betyr de personene som Personopplysningene knytter seg til.

BEHANDLINGSANSVARLIGES INSTRUKSJONSMYNDIGHET

Ved leveranse av tjenester for den Behandlingsansvarlige står Databehandleren under instruksjon fra den Behandlingsansvarlige. Databehandler skal til enhver tid behandle de personopplysninger som omfattes av denne avtalen (heretter personopplysninger) i samsvar med de instrukser, rutiner og pålegg som er gitt av Behandlingsansvarlig. 

Behandlingsansvarlig kan til enhver tid endre kravene til hvordan personopplysningene skal behandles etter avtalen. Dette under forutsetter at instruksene ikke strider med krav som følger av Personvernlovgivningen eller GDPR. 

Databehandleren skal umiddelbart varsle Behandlingsansvarlig dersom den ene parten mener at instrukser eller krav er i strid med Personvernlovgivningen eller GDPR.

Den behandlingsansvarlige plikter til å medvirke til at Databehandleren kan behandle opplysningene i samsvar med kravene i GDPR. 

BEHANDLINGSGRUNNLAG OG FORMÅLET MED BEHANDLINGEN

Partene skal behandle Personopplysningene i henhold til kravene i Personvernlovgivningen og GDPR. 

Databehandleren skal utelukkende samle inn, registrere, sammenstille, lagre og på andre måter behandle Personopplysninger i den utstrekning det er nødvendig for å oppfylle Kundeavtalen og Databehandleravtalen. 

Vedlegg 1 til Databehandleravtalen beskriver hvilke kategorier Personopplysninger Databehandleren kan behandle og formålet med behandlingen. Databehandler skal ikke behandle Personopplysninger til andre formål enn det som fremgår her. 

Behandlingsansvarlig skal utarbeide og vedlikeholde vedlegg 1. Databehandler plikter å bistå Behandlingsansvarlig med å utarbeide og vedlikeholde dette vedlegget. Vedlegget er et dynamisk dokument som skal oppdateres når det skjer endringer

Den Behandlingsansvarlige må sikre at det finnes et lovlig grunnlag for behandlingen av Personopplysningene. 

DATABEHANDLERENS PLIKTER  

Databehandleren skal: 

  1. utelukkende behandle Personopplysninger i den utstrekning det er nødvendig for å etterleve Kundeavtalen og Databehandleravtalen og ikke behandle Personopplysninger til andre formål; 
  2. påse at samtlige personer i virksomheten som har tilgang til Personopplysninger, er kjent med Databehandleravtalen og underlagt dens bestemmelser;
  3. sikre at de personene som er autorisert til å Behandle Personopplysningene er underlagt taushetsplikt; 
  4. oppfylle de krav til sikkerhet som følger av Personvernlovgivningen og GDPR, herunder gjennomføre egnede tekniske og organisatoriske sikkerhetstiltak som beskrevet i Vedlegg 2 for å oppnå et sikkerhetsnivå som er egnet i forbindelse med  risikoen; 
  5. bistå den Behandlingsansvarlige med å etterleve kravene til å etablere et egnet sikkerhetsnivå i henhold til GDPR artikkel 32-36, herunder gjennomføre nødvendige tiltak som å varsle om sikkerhetsbrudd, vurdere personvernkonsekvenser og gjennomføre forhåndsdrøftinger, og 
  6. etter den Behandlingsansvarliges valg, kostnadsfritt slette og/eller tilbakeføre Personopplysningene samt eventuelle kopier av Personopplysningene når i) Databehandleravtalen opphører etter punkt 13 eller ii) den Behandlingsansvarlige krever det (med mindre Personvernlovgivningen, GDPR eller annen lovgivning krever at Personopplysningene skal oppbevares). 

Med mindre noe annet er avtalt eller følger av lov, har den Behandlingsansvarlige rett til tilgang til og innsyn i de Personopplysningene Databehandleren behandler og de systemene Databehandleren bruker til dette formålet. Databehandler plikter å gi nødvendig bistand til dette.

DATABEHANDLERENS BRUK AV UNDERDATABEHANDLERE

Behandlingsansvarlig gir databehandler en generell skriftlig tillatelse til bruk av underdatabehandlere. 

De Underdatabehandlerne som Databehandleren benytter ved inngåelsen av Databehandleravtalen er beskrevet i Vedlegg 3. Den Behandlingsansvarlige er kjent med og aksepterer at Databehandler benytter disse Underdatabehandlerne.

Dersom Databehandler ønsker å benytte seg av nye Underdatabehandlere skal Databehandleren underrette Behandlingsansvarlige om navn og kontaktinformasjon på Underdatabehandlere i forkant. Behandlingsansvarlig har rett til å motsette seg Databehandlers bruk av Underdatabehandlere. Dersom Behandlingsansvarlig motsetter seg bruk av ny underleverandør, skal den Behandlingsansvarlige informere Databehandleren uten ugrunnet opphold.   

Databehandler sørger for at det inngås en separat databehandleravtale mellom Databehandler og Underdatabehandler som pålegger Underdatabehandler de samme forpliktelser som Databehandler med hensyn til vern av personopplysninger.

Databehandleren skal sikre at Underdatabehandler er kjent med Databehandlers avtalemessige og lovmessige forpliktelser og oppfyller disse kravene.  

DATABEHANDLERENS OVERFØRING AV PERSONOPPLYSNINGER TIL UTLANDET

Databehandleren kan overføre de Personopplysningene Databehandleren behandler på vegne av den Behandlingsansvarlige til de land, herunder tredjeland, der Databehandler og Underdatabehandlere driver sin virksomhet. Disse landene er angitt i Vedlegg 3. Den Behandlingsansvarlige er kjent med og godtar denne overføringen så langt den er nødvendig for å gjennomføre de avtalte leveransene.  

Databehandler skal ikke foreta nye overføringer av Personopplysninger til tredjeland eller internasjonale organisasjoner uten et forutgående skriftlig samtykke fra Behandlingsansvarlig.  Slik overføring skal alltid skje i overensstemmelse med personvernforordningen kapittel V.

SIKKERHET

Databehandler skal oppfylle de krav til sikkerhetstiltak som er nødvendige i henhold til GDPR art. 32 og for å oppnå et sikkerhetsnivå som er egnet i forbindelse med risikoen. Dette omfatter planlagte og systematiske tiltak som besørger tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandlingen av Personopplysninger på vegne av Behandlingsansvarlig. De konkrete tiltakene er beskrevet i Vedlegg 2.

Personopplysninger som omfattes av GDPR art. 9s angivelse av «særlige kategorier personopplysninger» må underlegges særlig beskyttelse og kan ikke formidles via ukryptert e-post. Det samme gjelder personnummer og opplysninger knyttet til straffbare forhold.  

Personopplysningene skal ikke lagres lengre enn nødvendig for å oppfylle formålet. Databehandler skal jevnlig kontrollere at den behandlingsansvarliges instruksjoner om sletting etterleves og at ikke kopier av opplysninger blir lagret i databehandlers systemer.   

Databehandler skal hvert andre år foreta risikovurdering for å oppfylle behandlingsansvarliges sikkerhetskrav.

PARTENES ANSVAR FOR AVVIKSHÅNDTERING OG VARSLING

Databehandler skal ha klare rutiner for logging av sikkerhetsbrudd og avvik i systemer som brukes til å behandle personopplysninger, og som er omfattet av denne Databehandleravtalen. 

Dersom det avdekkes avvik, skal Databehandler uten ugrunnet opphold varsle Behandlingsansvarlig om dette. Databehandler skal i slike tilfeller straks igangsette tiltak for å minimere mulig skade for Behandlingsansvarlig, samt tiltak for å unngå at lignende hendelser kan inntreffe på nytt.

Enhver bruk av informasjonssystemer i strid med Databehandlers fastlagte rutiner, den Behandlingsansvarliges instrukser, Personvernlovgivningen eller GDPR, samt ethvert annet sikkerhetsbrudd, skal håndteres som et avvik. 

Partene skal etablere og opprettholde rutiner og systematiske tiltak for oppfølging av avvik, herunder tiltak for gjenoppretting av normaltilstand, fjerning av årsaken til avviket og hindre gjentakelse. 

Partene skal, så snart de får kunnskap om et avvik, uten ugrunnet opphold informere hverandre om eventuelle sikkerhetsbrudd og umiddelbart iverksette alle nødvendige og hensiktsmessige tiltak for å gjenopprette normaltilstand

Den Behandlingsansvarlige er ansvarlig for å sende avviksmelding til Datatilsynet og De registrerte. Databehandleren skal, om nødvendig, bistå den Behandlingsansvarlige ved en slik varsling. 

REVISJONER 

Den Behandlingsansvarlige kan gjennomføre revisjon av de systemer, behandlinger mv. som omfattes av denne Databehandleravtalen enten selv eller ved hjelp av tredjepart for å påvise samsvar med forpliktelsene fastsatt i GDPR artikkel 28 og denne Databehandleravtalen. Databehandler skal tillate og medvirke til slike revisjoner.  

Revisjon skal varsles skriftlig innen rimelig tid og gjennomføres etter avtale med Databehandleren. Behandlingsansvarlig dekker alle kostnader ved slik revisjon.

Revisjonen kan omfatte stedlig inspeksjon eller at Databehandler oversender skriftlig dokumentasjon. Dersom behandlingsansvarlig ønsker å få gjennomført stedlig inspeksjon eller stikkprøvekontroll skal databehandler varsles forut for stedlig inspeksjon.

PARTENES ANSVAR FOR Å HÅNDTERE DE REGISTRERTES RETTIGHETER 

Den Behandlingsansvarlige skal være kontaktpunkt for De registrerte og gi nødvendig informasjon om behandlingen. 

Den Behandlingsansvarlige er ansvarlig for å håndtere krav om innsyn, retting, sletting, begrensning, dataportabilitet mv. samt sikre at slike krav imøtekommes. 

Databehandler skal medvirke til at den Behandlingsansvarlige kan oppfylle sine forpliktelser med hensyn til De registrertes rettigheter. Plikten til å medvirke gjelder så langt det er mulig, og det må tas hensyn til behandlingens art.

Ved forespørsel om medvirkning til å håndtere krav fra De registrerte, skal Databehandler etterkomme kravet (så langt det er mulig) innen fem virkedager, og deretter informere Behandlingsansvarlig om hvilke tiltak som er foretatt for å imøtekomme den aktuelle forespørselen, og til hvilket tidspunkt tiltaket vil bli gjennomført.

Ved krav til endring og/eller sletting av data vil Databehandler sørge for at nødvendig behandling forekommer i:

  • produksjonsdatabasen,
  • sikkerhetskopier av database og i
  • eventuelle relevante e-poster, både innkommende og utgående fra e-postservere.

TAUSHETSPLIKT

Databehandleren har taushetsplikt om de Personopplysninger og dokumentasjon som Databehandler får tilgang til gjennom Databehandleravtalen. 

Databehandleren skal innhente taushetserklæringer fra egne ansatte og andre som gis tilgang til opplysningene.

Databehandleren skal ikke levere ut eller gi tilgang til Personopplysningene til andre enn egne ansatte, egne databehandlere eller til ansatte hos Behandlingsansvarlig, uten at dette er avtalt skriftlig med Behandlingsansvarlig eller følger av lov, forskrift eller vedtak av offentlig myndighet. 

Taushetsplikten gjelder også etter Databehandleravtalens opphør.

AVTALENS VARIGHET

Avtalen gjelder så lenge Databehandleren behandler Personopplysninger på vegne av den Behandlingsansvarlige.

Ved brudd på denne Databehandleravtalen eller gjeldende personvernlovgivning kan Behandlingsansvarlig pålegge Databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.

VED OPPHØR

Ved opphør av denne avtalen plikter Databehandler etter Behandlingsansvarliges instruks å tilbakelevere og/eller slette alle Personopplysninger som omfattes av denne Databehandleravtalen. 

Der Behandlingsansvarlig krever sletting, skal dette skje ved at Databehandler destruerer alle Personopplysninger på en forsvarlig måte,  herunder fysiske dokumenter og lagringsmedier som inneholder informasjon. Dette gjelder også for eventuelle sikkerhetskopier. 

Databehandler skal skriftlig dokumentere at sletting og/eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør.

LOVVALG OG VERNETING

Avtalen er underlagt norsk rett. Partene vedtar Oslo tingrett som verneting.

Last ned avtalen som PDF (med vedlegg)

Plyo