Databehandleravtale

Denne databehandleravtalen regulerer Digiservs behandling av personopplysninger på vegne av Kunden, og inngås i henhold til personopplysningsloven og EUs personvernforordning (GDPR) nr. 2016/679. Avtalen er vedlegg til de alminnelige vilkårene.

1. Avtalens tema, behandlingens art, formål og varighet

1.1 Behandlingen består i at Digiserv stiller sin infrastruktur (lagringsplass, prosessorkraft og overføringskapasitet) til rådighet for behandlingsansvarliges data, inkludert personopplysninger. Formålet er å ivareta behandlingsansvarliges behov for infrastruktur til lagring, behandling og overføring av slike data.

1.2 Behandlingen er ikke tidsbegrenset og varer inntil avtalen sies opp av en av partene.

2. Kategorier av registrerte og personopplysninger

2.1 Kategorier av registrerte kan være ansatte, leverandører, kunder, klienter, medlemmer, brukere, besøkende eller andre grupper av fysiske personer, som definert av behandlingsansvarlig.

2.2 Personopplysningene som behandles kan være navn, fødselsdato, kontaktopplysninger, IP-adresser, brukernavn, passord, informasjonskapsler, kundenumre, opplysninger knyttet til ansettelses- eller kundeforhold, loggdata, brukeratferd og preferanser, posisjonsdata og andre opplysninger som definert av behandlingsansvarlig, og som alene eller sammen med andre opplysninger kan identifisere en fysisk person.

3. Behandlingsansvarliges plikter og rettigheter

3.1 Behandlingsansvarlig er ansvarlig for at personopplysninger behandles i samsvar med personopplysningsloven og personvernforordningen (jf. GDPR art. 24), og bestemmer formålet med og hjelpemidlene for behandlingen (jf. GDPR art. 4 nr. 7).

3.2 Behandlingsansvarlig gir med dette Digiserv dokumentert instruks om å behandle personopplysninger som lagres i Digiservs infrastruktur, på en måte som oppfyller formålet i punkt 1. Behandlingsansvarlig kan gi ytterligere skriftlige instrukser.

3.3 Behandlingsansvarlig er ansvarlig for å videreformidle varsler om sikkerhetsbrudd fra Digiserv til Datatilsynet, og har rett til å si opp avtalen dersom Digiserv ikke lenger oppfyller kravene etter GDPR art. 28 nr. 1.

4. Digiservs forpliktelser

4.1 Behandling kun etter instruks. Digiserv behandler kun personopplysninger etter dokumenterte instrukser fra behandlingsansvarlig, med mindre norsk lov pålegger annet. I så fall underretter Digiserv behandlingsansvarlig om dette før behandlingen, med mindre loven forbyr det. Digiserv underretter også behandlingsansvarlig dersom en instruks er i strid med personvernregelverket.

4.2 Konfidensialitet. Digiserv sikrer at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til konfidensialitet. Plikten gjelder også etter at oppdraget eller arbeidsforholdet er avsluttet. Kun ansatte som av nødvendige grunner trenger tilgang, gis tilgang.

4.3 Sikkerhetstiltak. Digiserv treffer alle tiltak som er nødvendige etter GDPR art. 32, og oppbevarer data på en hensiktsmessig sikret måte med nødvendige sikkerhetskopier for å gjenopprette tilgjengelighet og tilgang ved en fysisk eller teknisk hendelse. Digiserv arbeider kontinuerlig for å opprettholde et korrekt sikkerhetsnivå.

4.4 Bruk av underleverandører. Behandlingsansvarlig gir Digiserv generell godkjennelse til å bruke andre databehandlere (underleverandører). En oppdatert oversikt er tilgjengelig på listen over underleverandører. Nye underleverandører føres på listen minst 14 dager før de tas i bruk. Dersom behandlingsansvarlig motsetter seg en ny underleverandør, skal Digiserv varsles omgående; Digiserv vil da enten unnlate å bruke underleverandøren for behandlingsansvarliges personopplysninger, eller gi behandlingsansvarlig rett til å si opp den berørte tjenesten. Digiserv pålegger sine underleverandører de samme databeskyttelsesforpliktelsene som følger av denne avtalen, og er overfor behandlingsansvarlig ansvarlig for at underleverandøren oppfyller disse forpliktelsene (jf. personvernforordningen art. 28 nr. 4). Digiservs økonomiske ansvar etter denne avtalen er underlagt ansvarsbegrensningene i de alminnelige vilkårene, i den grad ufravikelig lov tillater det.

4.5 Bistand til registrertes rettigheter. Digiserv bistår behandlingsansvarlig med egnede tekniske og organisatoriske tiltak, så langt det er mulig, med å oppfylle plikten til å besvare anmodninger fra registrerte om utøvelse av deres rettigheter.

4.6 Bistand og bruddvarsling. Digiserv bistår behandlingsansvarlig med å overholde forpliktelsene etter GDPR art. 32–34. Digiserv underretter behandlingsansvarlig uten ugrunnet opphold etter å ha blitt kjent med et brudd på personopplysningssikkerheten, og gir den informasjonen behandlingsansvarlig trenger for å oppfylle sine plikter etter art. 33 og 34.

4.7 Avslutning av behandlingen. Ved opphør av avtaleforholdet skal Digiserv, etter behandlingsansvarliges valg, enten slette eller tilbakelevere alle personopplysninger som er behandlet på behandlingsansvarliges vegne, og deretter slette egne kopier. Dette skjer innen 60 dager etter opphør, med mindre lagring kreves etter lov. Velger behandlingsansvarlig ikke innen fristen, slettes opplysningene.

4.8 Tilgjengeliggjøring og revisjon. Digiserv gjør tilgjengelig for behandlingsansvarlig all informasjon som er nødvendig for å påvise at forpliktelsene i GDPR art. 28 er oppfylt, og gjennomfører en årlig intern gjennomgang av etterlevelsen som bekreftes på forespørsel. Behandlingsansvarlig kan gjennomføre revisjon, herunder inspeksjon, av Digiservs etterlevelse. Med mindre annet følger av ufravikelig lov eller pålegg fra tilsynsmyndighet, gjennomføres slik revisjon normalt ved gjennomgang av dokumentasjon. Fysisk inspeksjon kan gjennomføres inntil én gang per år, og ellers ved begrunnet mistanke om brudd, med minst 30 dagers varsel, i ordinær arbeidstid, uten unødig forstyrrelse av driften, omfattet av taushetsplikt og for behandlingsansvarliges kostnad.

5. Endring av avtalen

5.1 Digiserv kan endre denne avtalen med minst 1 måneds skriftlig varsel når endringen følger av endrede lovkrav, pålegg fra tilsynsmyndighet eller endringer i bruken av underleverandører. Andre endringer krever enighet mellom partene. Innebærer en endring en vesentlig svekkelse av behandlingsansvarliges vern, kan behandlingsansvarlig si opp avtalen kostnadsfritt med virkning fra endringen trer i kraft.

6. Informasjon og varsler

6.1 Varsler etter denne avtalen sendes skriftlig. Til Digiserv: databehandler@digiserv.no. Til behandlingsansvarlig: kontaktpersonen oppgitt i Avtale om tjenester / produkter.

7. Lovvalg og verneting

7.1 Tvister søkes løst ved forhandlinger. Avtalen er underlagt norsk rett, og partene vedtar Agder tingrett, rettssted Kristiansand, som verneting. Dette gjelder også etter avtalens opphør.

Tilbake til avtaler og dokumenter