Dersom ikke noe annet er spesifikt avtalt mellom partene legges denne Databehandleravtalen til grunn for behandling av personopplysninger i tilknytning til den generelle Hovedavtalen mellom partene.
1. Avtalens bakgrunn og hensikt
Behandlingsansvarlig har inngått en avtale (heretter kalt Hovedavtale) med Databehandler som innebærer behandling av personopplysninger på vegne av Behandlingsansvarlig.
Databehandleravtalens hensikt er å regulere rettigheter og plikter som følger av Personopplysningsloven og Personvernforordningen, General Data Protection Regulation (GDPR).
Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende.
Avtalen regulerer Databehandlers bruk av personopplysninger på vegne av den Behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.
2. Generelt
Det kan gjøres endringer til Databehandleravtalen. Endringer i gjeldende Databehandleravtale som vil få større konsekvenser for den Behandlingsansvarlige vil bli kunngjort per e-post.
3. Formål, behandlingens art og typer opplysninger som behandles
Databehandler leverer nettbaserte tjenester der brukere kan registrere personopplysninger. Hvilke opplysninger som registreres i tjenestene er overlatt til Behandlingsansvarlig i den grad det er tilrettelagt for å registrere opplysningene i tjenesten. Noen felt er påkrevd for å benytte tjenesten.
Formålet med behandlingen er å kunne tilby den Behandlingsansvarlige tjenester knyttet til medlemsadministrasjon og drift av sin organisasjonen i henhold til Hovedavtalen inngått mellom Databehandler og Behandlingsansvarlig.
Behandlingen vil kunne omfatte opplysninger om organisasjonens medlemmer, tillitsvalgte, frivillige, ansatte, kunder og leverandører. Databehandler skal bare behandle personopplysninger for de formålene som er angitt og skriftlig instruert av Behandlingsansvarlig.
4. Behandlingsansvarliges plikter
Behandlingsansvarlig er ansvarlig for at det foreligger et juridisk grunnlag for behandlingen av personopplysninger som utføres av Databehandleren i henhold til Hovedavtalen og i henhold til denne Databehandlingsavtalen.
Den behandlingsansvarlige
• er ansvarlig for at personopplysninger blir behandlet i samsvar med personvernforordningen og personopplysningsloven (jf. artikkel 24).
• har både en rett og en forpliktelse til å bestemme hvilke formål, og hvilke hjelpemidler som kan brukes i behandlingen (jf. artikkel 4 nr. 7).
• gir gjennom denne avtalen og hovedavtalen databehandler dokumenterte instrukser for hvordan personopplysninger skal behandles (jf. artikkel 28 nr. 3 bokstav a).
• har rett til å si opp avtalen dersom databehandleren ikke lenger oppfyller lovens krav etter artikkel 28 nr. 1.
Hvor Behandlingsansvarlig består av flere selvstendige juridiske enheter evt underenheter, er Behandlingsansvarlig ansvarlig for at det foreligger et internt grunnlag (f.eks internavtale, delegering av ansvaret eller lignende) for å benytte løsningen levert av Databehandler. Dette ansvaret gjelder også i tilfeller hvor det foreligger flere selvstendige hovedavtaler mellom Behandlingsansvarlig og Databehandler innenfor samme organisasjon.
5. Databehandlers plikter
Databehandleren skal bare behandle personopplysningene basert på dokumenterte instrukser fra den Behandlingsansvarlige, og bare i den grad det er nødvendig for å oppfylle Brukeravtalen.
Databehandler skal bistå Behandlingsansvarlig med oppfyllelse av kravene i gjeldende personvernsregelverk, herunder GDPR Artikkel 32-36.
Databehandler skal på bakgrunn av den behandling av personopplysninger som gjøres, bistå Behandlingsansvarlig til å oppfylle pliktene som følger av GDPR kapittel III vedrørende rettigheter til de registrerte.
Databehandler skal sørge for at personopplysninger ikke blir offentliggjort til noen tredjepart, med mindre det er pålagt å gjøre det av Behandlingsansvarlig eller som følge av lovkrav.
Databehandler erverver ingen rettigheter i personopplysningene som følge av Hovedavtalen eller denne Databehandleravtalen.
Databehandler skal sikre at personer som får tilgang til personopplysningene har forpliktet seg til konfidensialitet.
6. Bruk av underleverandør
Behandlingsansvarlig samtykker i Databehandlers bruk av underleverandører for å oppfylle Hovedavtalen. Underleverandører som benyttes er oppgitt i Løsningssenteret.
7. Sikkerhet
Databehandler skal ved hjelp av planlagte, organisatoriske og tekniske tiltak sikre et sikkerhetsnivå som samsvarer med risikoen knyttet til behandling av personopplysninger.
Databehandlers sikkerhetstiltak skal spesielt forhindre at personopplysningene behandles:
(i) ulovlig eller ved uhell ødelegges, slettes eller endres;
(ii) gjøres tilgjengelig uten tillatelse eller
(iii) på annen måte behandles i strid med gjeldende personvernregelverk.
På forespørsel fra Behandlingsansvarlig skal Databehandler tilgjengeliggjøre nødvendig informasjon for å vise etterlevelse av denne Databehandlingsavtalen.
Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til i henhold til denne avtalen, og denne bestemmelsen gjelder også etter avtalens opphør.
8. Brudd på personopplysningssikkerheten
Databehandler skal ha rutiner og systematiske prosesser for å følge opp brudd på personopplysningssikkerheten, som skal inkludere gjenopprettelse av normaltilstanden, eliminere årsaken til bruddet og forhindre gjentagelse.
Etter å ha fått kjennskap til et brudd på personopplysningssikkerheten skal Databehandleren uten ugrunnet opphold underrette den Behandlingsansvarlige.
Ved brudd på personopplysningssikkerheten skal Databehandler, så langt det er nødvendig, bistå Behandlingsansvarlig til å sikre oppfyllelse av kravene til rapportering til tilsynsmyndigheten i GDPR artikkel 33.
9. Varighet og oppsigelse
Avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig etter Hovedavtalen.
Ved brudd på denne avtalen eller gjeldende personvernsregelverk kan Behandlingsansvarlig pålegge Databehandler å stoppe den videre behandlingen av personopplysningene og ved vesentlig mislighold, si opp avtalen.
Ved opphør av denne avtalen plikter Databehandler å slette eller i samsvar med Hovedavtalen, å tilbakelevere alle personopplysninger som er mottatt på vegne av den Behandlingsansvarlige og som omfattes av denne avtalen.
Det skal avtales at Databehandler skal slette eller forsvarlig destruere alle dokumenter, data, disketter, cd-er mv, som inneholder opplysninger som omfattes av avtalen.
Databehandler skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør.
10. Lovvalg og verneting
Avtalen er underlagt norsk rett og partene vedtar Oslotingrett som verneting. Dette gjelder også etter opphør av avtalen.