Databehandleravtale

Databehandler tilbyr adgangslogg som funksjonalitet for næringsbygg. Behandlingsansvarlig kan be om å sette funksjonaliteten i drift og tar selv ansvar for å sette seg inn i gjeldende lovverk ved bruk av slik logg.

---

DATABEHANDLERAVTALE


1.   Bakgrunn og Formålet med Databehandleravtalen

Partene har inngått en tjenesteavtale av ("Avtalen"). For å kunne yte tjenestene under Avtalen, vil Databehandler behandle Personopplysninger på vegne av Behandlingsansvarlig.

 

Formålet med Databehandleravtalen er å regulere partenes rettigheter og plikter i henhold til gjeldende Personvernlovgivning i forbindelse med Databehandlers behandling av Personopplysninger på vegne av Behandlingsansvarlig. Databehandleravtalen gjelder kun for behandling av Personopplysninger som skjer på Behandlingsansvarliges vegne.

 

Ved uoverensstemmelser mellom Avtalen og Databehandleravtalen når det gjelder forhold spesifikt knyttet til personvern, skal Databehandleravtalen gis forrang.

 

2. Definisjoner

Med "Databehandleravtalen" menes denne avtalen.

 

Med "GDPR" menes Europaparlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av Personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (personvernforordningen).

 

Med "Personvernlovgivning" menes til enhver tid gjeldende norsk lovgivning relatert til personvern, herunder lovgivning som implementerer eller supplerer GDPR.

 

Med "Personopplysningene" menes enhver opplysning om en identifisert eller identifiserbar fysisk person (den " Registrerte").

 

Med "Tredjeland" menes land utenfor EU/EØS.

 

Med "Underleverandører" menes underleverandører som behandler Personopplysninger på vegne av Databehandler.

 

3. Behandlingsansvarliges rettigheter og plikter

Den Behandlingsansvarlige er ansvarlig for å sikre at behandlingen av Personopplysninger skjer i overensstemmelse med Personvernlovgivningen.

 

Den Behandlingsansvarlige har rett og plikt til å bestemme formålet med behandlingen av Personopplysninger og hvilke midler som skal benyttes.

 

Den Behandlingsansvarlige er ansvarlig for, blant annet, å sikre at det foreligger et behandlingsgrunnlag for behandlingen av Personopplysninger som Databehandleren instrueres om å gjøre.

 

4. Omfanget av behandlingen

Databehandler skal behandle Personopplysningene kun på vegne av Behandlingsansvarlig i henhold til Avtalen, denne Databehandleravtalen og Behandlingsansvarliges dokumenterte instrukser, med mindre noe annet kreves av gjeldende lovgivning.

 

Databehandler skal omgående underrette Behandlingsansvarlig dersom Databehandler er pålagt av lov, forskrift eller myndighetspålegg å behandle Personopplysningene i strid med Behandlingsansvarliges instruksjoner, eller dersom Databehandler mener at en instruks er i strid med Personvernlovgivningen.

 

Nærmere informasjon om behandlingen av Personopplysninger, herunder om behandlingens formål og art, typen av Personopplysninger og kategoriene av Registrerte er inntatt i vedlegg 1.

 

5. Taushetsplikt

Databehandler, dennes Underleverandører og andre som på vegne av Databehandler utfører oppdrag og har tilgang til Personopplysningene, er underlagt taushetsplikt og skal etterleve taushetsplikten i forbindelse med behandling av Personopplysninger i henhold til Avtalen, denne Databehandleravtalen og gjeldende Personvernlovgivning. Databehandler har ansvaret for at de som opptrer på vegne av Databehandler er underlagt slik taushetsplikt. Databehandleren skal etter anmodning fra Behandlingsansvarlig kunne påvise at de aktuelle personene underlagt Databehandlerens instruksjonsmyndighet er underlagt ovennevnte taushetsplikt.

 

Behandlingsansvarlig er underlagt taushetsplikt når det gjelder dokumentasjon og informasjon knyttet til Databehandlerens og dennes Underleverandørers gjennomføring av tekniske og organisatoriske sikkerhetstiltak, og informasjon som Databehandler ellers ønsker å bevare som konfidensiell. Behandlingsansvarlig kan imidlertid alltid dele slik informasjon med relevante tilsynsmyndigheter i den utstrekning dette er nødvendig for å overholde Behandlingsansvarliges forpliktelser etter Personvernlovgivning eller andre lovpålagte plikter.


Taushetsplikten gjelder også etter Databehandleravtalens opphør.

 

6. Sikkerhet ved behandlingen

Databehandler skal treffe alle tiltak som er nødvendig for å oppfylle GDPR artikkel 32, herunder gjennomføre egnede tekniske og organisatoriske sikkerhetstiltak med formål å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen. Dette vil blant annet omfatte tiltak for å sikre at Personopplysningene er tilgjengelig, hindre tap eller skade av Personopplysninger, samt hindre utilsiktet tilgang til Personopplysninger, samt at Databehandler skal sikre at bare personell med tjenstlig behov har tilgang til Personopplysningene.

 

Databehandleren skal også bistå Behandlingsansvarlig med å overholde den Behandlingsansvarliges plikter etter GDPR artikkel 32, idet det tas hensyn til behandlingens art og den informasjonen som er tilgjengelig for Databehandleren.

 

7.   Tilgang til Personopplysninger og oppfyllelse av de registrertes rettigheter

Med mindre annet er avtalt eller følger av gjeldende lovgivning, skal Behandlingsansvarlig ha tilgang til alle Personopplysninger som behandles av Databehandler på vegne av Behandlingsansvarlig.

 

Dersom Databehandler eller Underleverandør mottar en forespørsel fra Registrerte om behandlingen av Personopplysninger, skal Databehandler videresende forespørselen til Behandlingsansvarlig, med mindre Databehandler selv er berettiget til å håndtere forespørselen.

 

Idet det tas hensyn til behandlingens art og i den grad det er mulig, skal Databehandleren bistå Behandlingsansvarlig, ved hjelp av egnede tekniske og organisatoriske tiltak, med å oppfylle Behandlingsansvarliges plikt til å svare på anmodninger som de Registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i Personvernlovgivningen. Dette omfatter blant annet de registrertes rett til innsyn, retting, sletting, begrensning, protest og dataportabilitet.

 

8. Brudd på personopplysningssikkerheten

Databehandler skal underrette Behandlingsansvarlig uten ugrunnet opphold og senest innen 36 timer etter å ha fått kjennskap til et brudd på personopplysnings sikkerheten. Behandlingsansvarlig er ansvarlig for å melde brudd på personopplysnings sikkerheten til relevant tilsynsmyndighet.

 

Underretningen til Behandlingsansvarlig skal inneholde informasjon som setter den Behandlingsansvarlige i stand til å oppfylle sine forpliktelser etter GDPR artikkel 33 og 34, herunder (i) arten av brudd på personopplysnings sikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall Registrerte som er berørt, og kategoriene av og omtrentlig antall poster av Personopplysninger som er berørt, (ii) de sannsynlige konsekvensene av brudd på personopplysnings sikkerheten, (iii) de tiltak som Databehandler har truffet eller foreslår å treffe for å håndtere bruddet på personopplysnings sikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.

 

Om det ikke er mulig for Databehandler å gi all relevant informasjon innen fristen, kan informasjonen gis gradvis uten ugrunnet opphold.

 

Dersom Behandlingsansvarlig er forpliktet til å underrette de Registrerte om brudd på personopplysnings sikkerheten etter Personopplysnings Lovgivningen, skal Databehandler bistå Behandlingsansvarlig med dette.

 

9. Annen bistand til Behandlingsansvarlig

Dersom Databehandler eller en Underleverandør mottar en forespørsel fra relevant tilsynsmyndighet for innsyn i eller informasjon om Personopplysninger eller behandling aktiviteter omfattet av denne Databehandleravtalen, skal Databehandler varsle Behandlingsansvarlig om forespørselen, med mindre Databehandler etter gjeldende lovgivning eller i tråd med Behandlingsansvarliges instrukser selv er berettiget til å håndtere forespørselen.

 

Dersom Behandlingsansvarlig er forpliktet til å gjennomføre en vurdering av personvernkonsekvenser og/eller gjennomføre forhånd drøftelser med relevant tilsynsmyndighet i forbindelse med behandlingen av Personopplysninger under denne Databehandleravtalen, skal Databehandler bistå Behandlingsansvarlig med dette.

 

10. Bruk av Underleverandører

Behandlingsansvarlig godkjenner at Databehandler kan benytte Underleverandører for å bistå i å yte tjenesten og behandle Personopplysninger under Avtalen, såfremt Databehandler sikrer at;

 

1. Behandlingsansvarlig gis rett til å motsette seg tilføyelser eller utskiftning av Underleverandører i henhold til prosedyren nedenfor i dette punkt 10;

2.   Databehandlers forpliktelser med hensyn til vern av Personopplysninger som er fastsatt i Databehandleravtalen og i Personvernlovgivningen pålegges eventuelle Underleverandører gjennom skriftlig avtale; og at


3.   enhver Underleverandør gir tilstrekkelige garantier for at det blir gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i Personvernlovgivningen og Databehandleravtalen, samt gir Behandlingsansvarlig og relevant tilsynsmyndighet den tilgang og informasjon som er nødvendig for å verifisere slike garantier.

 

Databehandler skal være fullt ut ansvarlig overfor Behandlingsansvarlig for at Underleverandører oppfyller sine forpliktelser. Listen over Underleverandører som den Behandlingsansvarlige har godkjent fremgår av vedlegg 2.

Databehandler skal varsle Behandlingsansvarlig om enhver tilføyelse eller utskiftning av Underleverandører senest to måneder før den dag Underleverandøren skal påbegynne behandlingen av Personopplysninger.

 

Behandlingsansvarlig har rett til å motsette seg slike endringer. Enhver innvending mot endring av Underleverandører skal fremsettes til Databehandler innen tre uker fra varselet om endringen mottas. Dersom Behandlingsansvarlig motsetter seg endringen eller utskiftningen av en Underleverandør, kan Databehandler terminere Avtalen og Databehandleravtalen med én måneds varsel.

 

Databehandler skal til enhver tid ha en oppdatert liste med oversikt over godkjente Underleverandører, inkludert navn og kontaktinformasjon til alle Underleverandører og lokasjon hvor Personopplysningene behandles. Databehandleren skal utlevere listen til Behandlingsansvarlig på forespørsel.

 

11.   Overføring til tredjeland

Overføring av Personopplysninger til Tredjeland kan bare skje etter skriftlig forhåndsgodkjenning fra Behandlingsansvarlig. En overføring til Tredjeland forutsetter at vilkårene i GDPR kapittel 5 er oppfylt, herunder at det foreligger et gyldig overføring grunnlag, og eventuelle tilleggskrav dersom dette etter Behandlingsansvarliges skjønn er nødvendig i henhold til EU-domstolens avgjørelse i sak C-311/18 eller etterfølgende lovgivning eller anbefalinger/retningslinjer fra det europeiske personvern rådet eller nasjonale data tilsynsmyndighet ("Tilleggskrav").

 

Dersom Behandlingsansvarlig har skriftlig forhåndsgodkjent en overføring kan Behandlingsansvarlig gi Databehandler fullmakt til å inngå EUs standardvilkår på vegne av Behandlingsansvarlig eller annet rettslig grunnlag for overføring til et Tredjeland, i tillegg til eventuelle Tilleggskrav, i tråd med Behandlingsansvarliges instruks. Databehandler skal uten ugrunnet opphold gi Behandlingsansvarlig en kopi av slike EU standardvilkår eller en beskrivelse av annet rettslig grunnlag for overføringen, i tillegg til eventuelle Tilleggskrav.

 

Databehandler skal yte rimelig bistand og dokumentasjon til bruk i Behandlingsansvarliges selvstendige risikovurdering av bruken av Underleverandører og/eller overføringen av Personopplysninger til et Tredjeland.

 

12. Revisjoner

Databehandler er forpliktet til å gi Behandlingsansvarlig dokumentasjon på gjennomførte tekniske og organisatoriske tiltak for å sikre et egnet sikkerhetsnivå, samt annen informasjon som er nødvendig for å dokumentere at Databehandler oppfyller sine forpliktelser etter denne Databehandleravtalen og Personvernlovgivningen.

 

Behandlingsansvarlig og relevant tilsynsmyndighet har rett til å gjennomføre revisjoner, herunder inspeksjoner og evaluering av Personopplysninger som behandles, systemene som benyttes til dette formål, gjennomførte tekniske og organisatoriske sikkerhetstiltak, inkludert sikkerhetsinstrukser etc., samt Underleverandører.

 

Databehandleren skal ikke gi tilgang til informasjon om Databehandlerens andre kunder.

 

Dersom Behandlingsansvarlig utpeker en ekstern revisor til å gjennomføre revisjonen, skal revisoren være bundet av en plikt til konfidensialitet. Databehandleren har rett til å motsette seg at en konkurrent av Databehandleren oppnevnes som revisor.

 

Hver av partene dekker sine egne kostnader forbundet med en revisjon. Hvis en revisjon avdekker ikke-uvesentlige avvik fra Databehandlerens forpliktelser, skal Behandlingsansvarlig få sine rimelige kostnader forbundet med revisjonen dekket av Databehandleren.

 

13. Varighet og opphør

Databehandleravtalen gjelder så lenge Databehandler behandler Personopplysninger på vegne av Behandlingsansvarlig.

 

Dersom Databehandler bryter Databehandleravtalen eller andre dokumenterte instrukser fra Behandlingsansvarlig, eller ikke oppfyller sine forpliktelser etter Personvernlovgivningen, kan Behandlingsansvarlig pålegge Databehandleren å stanse videre behandling av Personopplysninger med øyeblikkelig virkning og avslutte Databehandleravtalen med øyeblikkelig virkning.

 

Ved opphør av Databehandleravtalen skal Databehandler, som instruert av Behandlingsansvarlig, enten slette eller returnere alle Personopplysningene til Behandlingsansvarlig, inkludert kopier og back-up, med mindre annet er fastsatt i gjeldende lovgivning.


Databehandler skal skriftlig dokumentere overfor Behandlingsansvarlig at sletting har funnet sted i samsvar med Databehandleravtalen og som angitt av Behandlingsansvarlig.

 

14. Ansvar

Partenes erstatningsansvar for skade som rammer den Registrerte eller andre fysiske personer og som skyldes overtredelse av Personvernlovgivningen, følger bestemmelsene i GDPR artikkel 82. En eventuell ansvarsbegrensning i erstatningsansvar i Avtalen kommer ikke til anvendelse for ansvar som følger av personvernforordningen artikkel 82.

 

Partene er hver for seg ansvarlige for overtredelsesgebyr ilagt i henhold til GDPR art. 83. For øvrig gjelder Avtalens ansvarsreguleringer og -begrensinger.

 

15. Varsler og endringer

Alle varsler mv. knyttet til Databehandleravtalen skal sendes skriftlig til e-postadressen angitt på første side av Databehandleravtalen.

 

I tilfelle endringer i Personvernlovgivningen, dersom dom eller uttalelse fra kompetent myndighet eller annen autoritativ kilde medfører en endret tolkning av Personvernlovgivningen, eller dersom det gjøres endringer i leveransen av tjenesten under Avtalen som krever endringer i Databehandleravtalen, skal partene samarbeide for å oppdatere Databehandleravtalen tilsvarende.

 

Enhver endring eller tillegg til denne Databehandleravtalen skal skje skriftlig og undertegnes av begge parter.

 

 

16. Lovvalg og verneting

Databehandleravtalen er underlagt norsk rett og partene vedtar Oslo tingrett som verneting.

 

Vedlegg 1 PDF (1 side, vedlagt nedenfor)

Last ned 24DF7B4E80875618CA8D61CE81B39CD11EAB936453BD9D5814721D38464FD8DE 

Vedlegg 2 PDF (1 side, vedlagt nedenfor)

Last ned 138ED1198C0D45566680CF8B4648887BDF7036D1389D2597CCF6BF79A503CFEC


Kontaktinformasjon Databehandler

Navn: Herman Sannerholt

Tittel: CFO

Adresse: Bogstadveien 27B 0355 Oslo

 Telefon: +47 90367534

E-post: herman@getdefigo.com

Vedlegg 1 – Behandlingens omfang

 

Behandlingens art og formål

 

●  For å yte tjenesten i tjenesteavtalen. Tjenesten brukes av de registrerte for å kunne åpne dører i byggene systemet er installert eller for å ta imot besøkende med porttelefon. Videre brukes tjenesten av byggets administratorer for å administrere de registrertes adganger i bygget og til porttelefonen.

 

Typen Personopplysninger

 

●  Navn

●  Telefonnummer

●  E-postadresse

●  Gateadresse og leilighet

 

Kategorier av Registrerte

 ●  Beboere i borettslaget/sameiet

 ●  Ansatte og oppdragstakere hos kunden eller kundens leietakere


Vedlegg 2 – Underleverandører

 

Datalagring

Amazon Web Services EMEA SARL

Lokasjon

Amazon Web Services EMEA SARL

38 Avenue John F. Kennedy, L-1855, Luxemburg


Kunde & sluttbruker support

Atender AS

Lokasjon

Alameda de Colón, 34, 29001 Málaga, Spania

Nødvendige garantier ved overføring til Tredjeland (overføringsgrunnlag og

eventuelle tilleggskrav)