Databehandleravtale ved bruk av Tavler

Dette vedlegget beskriver hvordan Tavler behandler personopplysninger på vegne av kunder som har inngått lisensavtale med Tavler.

Bakgrunn for avtale

I forbindelse med bruk av Tavler, vil Tavler behandle personopplysninger på vegne av Behandlingsansvarlig.

Denne Avtalen regulerer rettigheter og plikter i forbindelse med Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlig. Avtalen skal sikre at personopplysningene behandles i samsvar med gjeldende personvernlovgivning (Personvernregelverket), herunder Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 (Personvernforordningen). 

Begreper benyttet i Avtalen skal forstås på samme måte som i personvernregelverket.

Behandlingsansvarliges plikter og rettigheter

Den behandlingsansvarlige har ansvaret for at behandlingen av personopplysninger skjer i samsvar med gjeldende personvernregler. Behandlingsansvarlige skal i den forbindelse særskilt sørge for at:

  1. behandlingen av personopplysninger er formålsbestemt og basert på et gyldig rettsgrunnlag;

  2. de registrerte har mottatt nødvendig informasjon om behandlingen av personopplysningene;

  3. Behandlingsansvarlig har gjennomført tilstrekkelige risikovurderinger; og

  4. Databehandler til enhver tid har tilstrekkelige instrukser og informasjon for å oppfylle sine plikter i henhold til Databehandleravtalen og gjeldende personvernregler.

Behandlingens formål og rammer

Behandlingens formål er å sikre kontraktsmessig leveranse av Tavler. Tavler skal kun behandle personopplysningene i den grad og så lenge det er nødvendig for å oppfylle Formålet.

  1. Tjenesten som leveres av Tavler: System for etterlevelse av lover og forskrifter

  2. Formål med behandlingen: Sikre involvering og gjennomføring av oppgaver knyttet til etterlevelse av lover og forskrifter.

  3. Kategorier av registrerte: Interessenter, deltakere.

  4. Kategorier av personopplysninger: Navn, ansvarsområder, oppgaver.

  5. Varighet til oppdraget: Ubestemt tid

Tavler skal kun behandle personopplysningene i henhold til dokumenterte instrukser fra Behandlingsansvarlige og for øvrig i tråd med denne Avtalen. Bestemmelsene i denne Avtale er å anse som instrukser til Tavler. Eventuelle tilleggsinstrukser skal skje skriftlig. Dersom Tavler er rettslig forpliktet til å behandle personopplysningene på annen måte, for eksempel ved at han plikter å utlevere opplysningene til andre, skal Tavler varsle Behandlingsansvarlig før slik behandling foretas, med mindre viktige samfunnsinteresser tilsier at slikt varsel ikke kan finne sted.

Tavler plikter å overholde adferdsnormer og sertifiseringsordninger etter Personvernforordningens Artikkel 40 og 42, dersom Tavler er underlagt slike.

Tavler skal føre protokoll over de behandlingsaktiviteter han utfører på vegne av Behandlingsansvarlig i henhold til Personvernforordningens Artikkel 30. Behandlingsansvarlig kan til enhver tid be om kopi av protokollen.

Tavler skal straks underrette Behandlingsansvarlig dersom Tavlern mener en instruks fra Behandlingsansvarlig er i strid med Personvernregelverket.

Geografisk område

Tavler benytter underleverandører som befinner seg utenfor EU / EØS og forplikter seg i de tilfellene å sikre et gyldig overførignsgrunnlag.

Vurdering av personvernkonsekvenser

Tavler skal bistå Behandlingsansvarlig med å vurdere personvernkonsekvenser av den behandlingen Tavler skal foreta, og med eventuelle forhåndsdrøftinger med Datatilsynet, jf. Personvernforordningens Artikkel 35 og 36.

Personopplysningssikkerhet

Tavler skal vurdere risikoen for fysiske personers rettigheter og friheter som følger av behandlingen og gjennomføre slike tekniske og organisatoriske tiltak som er nødvendig for å oppnå et forsvarlig sikkerhetsnivå i tråd med Personvernregelverket, herunder særlig Personvernforordningens Artikkel 32. Tavler skal også bistå Behandlingsansvarlig med å gjennomføre slike tiltak. Databehandleren skal dokumentere sine tiltak, og dokumentasjonen skal være tilgjengelig på Behandlingsansvarliges forespørsel.

Det skal foretas jevnlige sikkerhetsrevisjoner, i henhold til nærmere avtale mellom partene. Revisjonene skal omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak. Herunder skal databehandleren sørge for jevnlig testing, analyse og vurdering av sikkerhetstiltakene, særlig med hensyn til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemer og -tjenester, samt evne til raskt å gjenopprette tilgjengeligheten av personopplysningene ved hendelser.

Tavler skal sørge for at det kun er personer med tjenstlig behov som har tilgang til personopplysningene som behandles på vegne av Behandlingsansvarlig, og skal føre en liste over hvem som har fått tilgang. Listen skal oppdateres jevnlig og på forespørsel gjøres tilgjengelig for Behandlingsansvarlig. Det samme gjelder dokumentasjon på taushetsplikten, jf. punkt om Taushetsplikt.

Brudd på personopplysningssikkerheten

Dersom Tavler får kjennskap til et brudd på personopplysningssikkerheten, skal han uten ugrunnet opphold og senest innen 48 timer varsle den Behandlingsansvarlige.

Varselet skal overholde de krav som kommer frem av Personvernforordningens Artikkel 33 nr. 2 og 3, og skal inneholde all relevant informasjon knyttet til bruddet som Tavler har kjennskap til. Dersom Tavler senere blir kjent med ytterligere forhold knyttet til bruddet, skal han uten ugrunnet opphold ettersende informasjon om dette til Behandlingsansvarlig.

Tavler skal bistå Behandlingsansvarlig med å oppfylle de krav som stilles til Behandlingsansvarliges håndtering av brudd på personvernsikkerheten som følger av Artikkel 32 - 36.

Behandlingsansvarlig er ansvarlig for å underrette Datatilsynet og de berørte registrerte om brudd på personopplysningssikkerheten. Tavler skal ikke informere tredjeparter om brudd på personopplysningssikkerheten med mindre noe annet er påkrevd etter gjeldende rett eller det følger av uttrykkelig skriftlig instruks fra Behandlingsansvarlig.

Henvendelser fra de registrerte

Tavler skal uten ugrunnet opphold varsle Behandlingsansvarlig om eventuelle henvendelser fra de registrerte.

Tavler skal bistå Behandlingsansvarlig med å besvare henvendelser som gjelder de registrertes rettigheter etter Personvernforordningens kapittel III.  Tavler skal ikke selv besvare henvendelser direkte, med mindre dette er spesifikt avtalt med Behandlingsansvarlig.

Bruk av underleverandør

Tavler kan bare benytte underleverandør uten skriftlig forhåndsgodkjent av Behandlingsansvarlig. Oversikt over godkjente underdatabehandlere fremgår deles på forespørsel fra Behandlingsansvarlig.

Tavler skal inngå egne skriftlige databehandleravtaler med sine underleverandører som pålegger underleverandøren de samme avtale- og lovmessige forpliktelsene som Tavler er underlagt i henhold til denne Avtalen. Behandlingsansvarlig har rett til innsyn i disse avtalene.

Tavler er ansvarlig for at underleverandøren oppfyller sine forpliktelser knyttet til behandlingen av Behandlingsansvarliges personopplysninger.

Revisjon

Tavler skal gi Behandlingsansvarlig tilgang til slik dokumentasjon og informasjon som er nødvendig for å påvise etterlevelse av forpliktelsene fastsatt i denne Avtalen, og for at Behandlingsansvarlig skal kunne gjennomføre revisjoner. Revisjoner kan blant annet omfatte stedlig inspeksjon og evaluering av systemer, organisering og sikkerhetstiltak, samt bruk av underleverandører. Revisjoner kan utføres av Behandlingsansvarlig selv eller av den han bemyndiger.

Hver part bærer sine egne kostnader knyttet til revisjonen.

Taushetsplikt

Partene har taushetsplikt om informasjon knyttet til den annen Part som mottas i forbindelse med gjennomføringen av denne Avtalen og levering av Tjenestene, herunder Behandlingsansvarliges personopplysninger. Taushetsplikten gjelder også etter Avtalens opphør.

Partene skal påse at ansatte og underleverandører som er involvert i gjennomføringen av denne Avtalen er underlagt tilsvarende taushetsplikt gjennom avtale eller lov. 

Erstatningsansvar

Tavler er ansvarlig for skade som skyldes at Tavler har unnlatt å oppfylle sine forpliktelser etter Avtalen eller Personvernregelverket, eller har opptrådt utenfor eller i strid med lovlige instrukser fra Behandlingsansvarlig.

Dersom Behandlingsansvarlig har vært direkte involvert i den skadevoldende behandlingen har Tavler rett til å kreve tilbake en forholdsmessig andel av en eventuell erstatningsutbetaling, jf. Personvernforordningens Artikkel 82.

Avtalens varighet

Denne Avtalen trer i kraft på dato for signering av lisensavtale, og gjelder inntil leveransen av Tjenestene opphører, med mindre Partene er enige om å avslutte Avtalen tidligere. Ved brudd på Avtalen eller Personvernregelverket kan Behandlingsansvarlig si opp Avtalen og pålegge Tavler å stoppe den videre behandlingen av personopplysninger.

Personopplysninger knyttet til Tavlene beholdes etter avtalens opphør, med mindre sletting etterspørres, eller at videre behandling er lovpålagt. Tavler skal innen rimelig tid skriftlig dokumentere at eventuell sletting/destruksjon er foretatt i henhold til Behandlingsansvarliges instruks.

Partene dekker egne kostnader forbundet med oppfyllelse av dette punktet.

Endringer

Partene skal revidere Avtalen ved behov for tilpasninger til preseptorisk lovgivning og tolkninger av Personvernforordningen.

Verneting

Denne Avtalen er underlagt norsk rett og Partene vedtar Oslo Tingrett som verneting. Dette gjelder også etter Avtalens opphør.