TILLEGG – Databehandleravtale

UTNEVNELSE AV DATAKONTROLLER

Brukeren (heretter kalt «eier» eller «kunde» eller «datakontroller»), ved uttrykkelig aksept av vilkårene og betingelsene til Rykteflom (heretter kalt «leverandør» eller «databehandler»), aksepterer dette tillegget om behandling av personopplysninger, som utgjør en integrert del av forholdet mellom partene.

Dette tillegget er signert i henhold til artikkel 28 i forordning 679/2016 og styrer måten Databehandler vil behandle personopplysninger på vegne av Datakontroller. Datakontroller og Databehandler kan også omtales individuelt som «Part» og samlet som «Parties».

ETTERSOM

  • behandlingsoperasjonene av personopplysninger utført av Datakontroller er oppført i registeret over behandlingsoperasjoner holdt av Datakontroller;
  • for noen behandlingsoperasjoner bruker Datakontrolleren samarbeidet til Leverandøren;
  • Leverandøren, som en del av tjenestene som tilbys til Datakontrolleren, som nærmere beskrevet i den spesifikke kontrakten som er på plass, kan utføre databehandling av personopplysninger på vegne av Datakontrolleren;
  • Datakontrolleren og Leverandøren har signert en avtale om levering av en integrert web- og tablettjeneste for opprettelse, administrasjon og sending av anmeldelsesanmodninger («Tjeneste»), der dette dokumentet er en integrert del av;
  • med referanse til Tjenesten som tilbys av Leverandøren, kan sistnevnte behandle personopplysninger som eies av Kontrolleren, og mer spesifikt vanlige data (fornavn, etternavn, kontaktinformasjon) til Eierens sluttbrukere;
  • formålet med behandlingen er å tilby en teknologisk løsning som lar Eieren dra nytte av Tjenesten;
  • i henhold til artikkel 28.1 i forordning (EU) 2016/679, Generell databeskyttelsesforordning (heretter «GDPR»), «hvor en behandling skal utføres på vegne av Kontrolleren av behandlingen, skal sistnevnte kun bruke databehandlere.»
  • Datakontrolleren har verifisert at Leverandøren, igjen i henhold til artikkel 28.1 i GDPR, presenterer «tilstrekkelige garantier for å sette på plass passende tekniske og organisatoriske tiltak slik at behandlingen oppfyller kravene i forordningen og sikrer beskyttelse av rettighetene til den registrerte».

Datakontrolleren utpeker leverandøren som «ANSVARLIG FOR BEHANDLING AV PERSONOPPLYSNINGER» (heretter også «Behandler» eller «Tjenestetilbyder»), med hensyn til de personopplysningene som leverandøren kan behandle i forbindelse med sin virksomhet og de som kan bli betrodd leverandøren i fremtiden.

I samsvar med GDPR vil aktiviteten utført av Behandleren bli regulert som følger:

1. VARIGHET.

Dette utpekningsforholdet skal være gjeldende for varigheten av Behandlerens forhold til Kontrolleren og skal anses som automatisk opphevet i tilfelle opphør av samme.

2. FORMÅL MED BEHANDLINGEN.

Dataene som betros til Behandleren som en del av de oppgavene som er betrodd ham for bruk av tjenesten, kan bare behandles for formålene som er angitt i oppdraget som er betrodd og/eller i kontrakten inngått med Eieren. Spesielt vil dataene behandles av Tjenestetilbyderen kun med det formålet å kunne garantere tilbydelsen av tjenesten til Eieren, som uansett vil være den eneste enheten som er forpliktet til å måtte kommunisere formålene og innhente samtykke til behandlingen, samt kommunikasjonen av data til tredjeparter.

3. BEHANDLINGSMETODER.

Dataene kan behandles på papir eller digitale medier, avhengig av de utførte aktivitetene, forutsatt at verktøyene er riktig identifisert og inventarisert av Behandleren og systematisk kommunisert til Eieren for hans godkjennelse. Spesielt vil dataene behandles ved hjelp av Rykteflom programvareplattform.

4. OPPGAVER OG PLIKTER TIL DEN ANSVARLIGE FOR BEHANDLING AV PERSONOPPLYSNINGER. Databehandleren, som fastsatt i artikkel 28 i GDPR, forplikter seg til å:

(a) behandle de betrodde personopplysningene kun i henhold til dokumentert instruks fra behandlingsansvarlig, også ved overføring av personopplysninger til tredjeland, med mindre annet er fastsatt i lov. I dette tilfellet er den ansvarlige likevel forpliktet til å informere behandlingsansvarlig;

(b) sørge for at de autoriserte personene som utfører behandlingen, har forpliktet seg til konfidensialitet eller har en passende lovpålagt taushetsplikt. For dette formålet skal den ansvarlige periodisk verifisere at de ansvarlige: (i) utfører behandlingen på en lovlig og korrekt måte, utelukkende for å tilby tjenestene som er omfattet av kontraktsforholdet mellom partene; (ii) behandler personopplysninger kun for formål som er knyttet til de tildelte oppgavene; (iii) ikke kommuniserer eller sprer personopplysninger uten forhåndsgodkjennelse fra behandlingsansvarlig; (iv) verifiserer, i tilfelle midlertidig arbeidsavbrudd, at behandlede personopplysninger ikke er tilgjengelige for uautoriserte tredjeparter; (v) vokter og holder autentiseringsreferanser strengt konfidensielle; (vi) overholder sikkerhetstiltakene som kreves av behandlingsansvarlig og/eller databehandleren;

(c) sikre tilstrekkelig og dokumentert opplæring for autoriserte personer som utfører behandlingen, i samsvar med artikkel 29 i GDPR;

(d) Treffe alle egnede tekniske og organisatoriske tiltak i henhold til artikkel 32 i GDPR for å sikre et passende sikkerhetsnivå i forhold til risikoen, med tanke på den teknologiske utviklingen, kostnadene for gjennomføringen, arten, omfanget, sammenhengen og formålet med behandlingen, samt risikoen for ulike sannsynligheter og alvorlighetsgrader for rettighetene og frihetene til fysiske personer, for å begrense risikoen for ødeleggelse eller tap, inkludert tilfeldig tap av dataene selv, uautorisert tilgang eller behandling som ikke er tillatt eller ikke i samsvar med formålet med innsamlingen.

(e) Informere Data Controlleren, i samsvar med artikkel 28 i GDPR, dersom det er nødvendig å bruke en annen Data Processor.

(f) Hjelpe Controlleren med å overholde de lovpålagte forpliktelsene i henhold til artikkel 32 (sikkerhet for behandling), 33 (Varsling av personvernbrudd til tilsynsmyndigheten), 34 (Varsling av personvernbrudd til den registrerte), 35 (Data Protection Impact Assessment), 36 (Forespørsel om forhåndsdrøfting), med tanke på naturen av behandlingen og informasjonen som er tilgjengelig for Controlleren.

(g) Sørge for oppdatering, endring, retting av personopplysninger hvis dette er nødvendig i forhold til formålet med behandlingen, og slette eller returnere umiddelbart, på anmodning fra Controlleren, alle personopplysninger og eksisterende kopier som Responsible har i besittelse uten å kunne beholde noen kopier, med mindre annet er uttrykkelig avtalt eller fastsatt ved lov. I alle tilfeller, slette og/eller ødelegge, som påkrevd ved lov (som «wiping» for digitale data), personopplysninger når formålene med innsamlingen og behandlingen er oppnådd i fravær av en juridisk forpliktelse eller behovet for ytterligere oppbevaring.

(h) Tillate at kontrolleren kan utøve kontrollbeføyelsene i henhold til artikkel 28 GDPR: I denne sammenhengen skal den ansvarlige stille til rådighet all nødvendig informasjon for å demonstrere overholdelse av forpliktelsene i dette tillegget og for å demonstrere overholdelse av juridiske forpliktelser og tillate verifiseringsaktiviteter (revisjon) utført av kontrolleren eller av tredjeparter som er oppnevnt av kontrolleren, for å fastslå overholdelsen av disse databehandlingsmetodene og overholdelse av juridiske krav. Datakontrolleren har rett til å verifisere, med minst 20 (tjue) arbeidsdagers varsel, også på datakontrollerens lokaler, overholdelsen av prosedyrene vedtatt av sistnevnte i samsvar med det som er angitt i dette tillegget eller som kreves i henhold til loven;

(i) Påta seg å overholde den generelle bestemmelsen fra garanteren for beskyttelse av personopplysninger av 27. november 2008 «Tiltak og forholdsregler foreskrevet for databehandlingsansvarlige utført med elektroniske instrumenter i forhold til tilordningene av funksjonene til systemadministrator» som endret av garantiens ordre av 25. juni 2009 «Endringer i ordren av 27. november 2008 om forskrifter til databehandlingsansvarlige utført med elektroniske verktøy med hensyn til oppgavene til systemadministrator og forlengelse av tidsfristene for deres oppfyllelse», som kan endres eller erstattes av samme garanti, og til enhver annen relevant tiltak fra myndighetene;

(j) samarbeide for formålet med nøyaktig anvendelse av loven, inkludert gjennom periodiske møter og handle innenfor rammen og grensene for sine plikter, autonomt, men alltid i samsvar med direktivene fastsatt av kontrolleren.

5. TILSYN.

Datakontrolleren kan føre tilsyn med den punktlige overholdelsen av instruksjonene gitt her til databehandleren og vil verifisere videreføringen av kravene til erfaring, kapasitet og pålitelighet som påvirket utnevnelsen av databehandleren.

6. BRUDD.

Databehandleren gjøres hermed oppmerksom på at hvis han eller hun bryter bestemmelsene i loven ved å selv bestemme formålene og midlene for behandlingen, eller ved å ignorere instruksjonene mottatt fra kontrolleren, vil han eller hun bli ansett som kontrolleren av behandlingen i spørsmålet.

7. HJELP TIL KONTROLLEREN I TILFELLE ET BRUDD

I tilfelle brudd på personopplysninger, samtykker Leverandøren i å informere Kontrolleren uten unødig forsinkelse fra det tidspunktet det har kunnskap om bruddet. Leverandøren skal assistere Holderen ved å starte en foreløpig analyse som tar sikte på å samle data om anomalien og utarbeide et hendelsesark, som inneholder all informasjon som er samlet inn og tilgjengelig på det tidspunktet, som for eksempel, men ikke begrenset til:

  • Dato for hendelsen, også antatt dato for forekomst av bruddet (i så fall skal det spesifiseres)
  • Dato og tidspunkt da kunnskap om bruddet ble oppnådd;
  • Rapporteringskilde;
  • Type brudd og involvert informasjon;
  • Beskrivelse av unormal hendelse;
  • Antall berørte registrerte personer;
  • Antall personopplysninger som angivelig er brutt;
  • Angivelse av datoen, inkludert påstått dato, for bruddet og når det ble kjent;
  • Angivelse av stedet der bruddet på personopplysninger skjedde, og spesifisere om det skjedde som følge av tap av enheter eller bærbare medier;
  • Kort beskrivelse av data-behandling eller lagringssystemene som er involvert, med angivelse av deres plassering.

8. KONFIDENSIALITET

Prosessoren samtykker i å holde strengt konfidensielt og å bruke kun til utførelse av forpliktelsene i henhold til kontrakten, all informasjon knyttet til den andre parten og/eller de involverte i behandlingen av personopplysninger og/eller produkter, tjenester, organisasjon, forretningsstrategi eller teknisk strategi mottatt fra den andre parten eller som kommer til deres kunnskap under utførelsen av kontrakten knyttet til tjenesten (heretter referert til som «Konfidensiell Informasjon»). Den ansvarlige parten forplikter seg til ikke å bruke Konfidensiell Informasjon utenfor formålene som er forutsatt i denne avtalen, eller å avsløre det til parter som ikke er forutsatt i denne avtalen, uten den skriftlige godkjenningen fra Eieren. Prosessoren skal treffe alle nødvendige tiltak for å ikke avsløre eller gjøre tilgjengelig på noen måte Eierens og/eller interessenters Konfidensielle Informasjon til tredjeparter, og skal uansett holdes direkte ansvarlig overfor Eieren for enhver overtredelse av konfidensialitetsforpliktelsene som er fastsatt i denne artikkelen av dets ansatte og/eller underleverandører. Bestemmelsene i denne artikkelen gjelder ikke, eller skal opphøre å gjelde for de individuelle informasjonsbrikkene som Datakontrolleren kan bevise: (i) allerede er offentlig kjent av andre grunner enn brudd av Datakontrolleren selv; (ii) var allerede kjent før de ble mottatt av Datakontrolleren; (iii) ble avslørt eller offentliggjort i samsvar med en lovlig ordre fra en myndighet eller som følge av en rettslig plikt. Avslørt Konfidensiell Informasjon skal forbli Eierens eiendom. På skriftlig forespørsel fra Eieren skal slik informasjon returneres eller ødelegges av den Ansvarlige parten.

9. ENDRINGER OG TILLEGG

Partene har rett til å gjøre endringer og tilpasninger til denne avtalen som kan være nødvendig når som helst, også for å overholde eventuelle reguleringsoppdateringer. Varsel om eventuelle endringsforespørsler vil bli gitt til Behandleren ved registrert brev med returbekreftelse eller sertifisert e-post. Etter nevnte endringsforespørsel vil Behandleren ha 60 dager på å trekke seg fra avtalen. Etter denne perioden vil endringene anses som akseptert av Behandleren. For alt som ikke uttrykkelig er fastsatt i denne avtalen, henvises det til gjeldende generelle bestemmelser om vern av personopplysninger.

10. GJELDENDE LOVER

I tilfelle tvist angående gyldigheten, tolkningen, utførelsen og oppsigelse av denne Tilleggsavtalen, er Partene enige om å søke en rettferdig og fredelig løsning mellom seg. Hvis tvisten ikke kan løses på en fredelig måte, skal den anses å falle under jurisdiksjonen til Nedre Buskerud politidistrikt. For løsning av enhver tvist angående gyldigheten, tolkningen, utførelsen og oppsigelse av denne avtalen, vil norsk lov gjelde.

Det forstås at denne utnevnelsen ikke innebærer noen rett til leverandøren til noen spesifikk kompensasjon og/eller erstatning og/eller refusjon som oppstår fra denne utnevnelsen, utover det som allerede er angitt i vilkårene og betingelsene.

Lanseringstilbud:
Få Rykteflom til Halv Pris!

Vi feirer lanseringen av Rykteflom, din nøkkel til et bedre online omdømme. Meld deg på en gratis demoperiode på 14 dager innen 31. oktober og få 50% rabatt på ditt abonnement.

Bruk koden Flom50Evig for livsvarig rabatt!

Ikke gå glipp av denne unike muligheten!

rykteflom favicon