Databehandleravtale

Kunden som samtykker til disse vilkårene (“Kunden” eller “Behandlingsansvarlig”) og enheten som er ansvarlig for å levere Klikk i ditt område eller land (eller enhver enhet eid av The IT Company AS) (“Klikk” eller “Databehandler”) har inngått denne databehandleravtalen (“Avtalen”). Denne avtalen erstatter enhver tidligere gjeldende databehandleravtale eller andre vilkår som tidligere var gjeldende for personvern, databehandling og/eller datasikkerhet.

Personvernerklæring – https://klikk.com/privacy-policy/
Sikkerhetspolicy – https://klikk.com/security-policy/

1. Bakgrunn
Denne avtalen skal regulere behandlingen av personopplysninger i samsvar med regelverket under EF-direktiv 95/46/EF fra Europaparlamentet og Rådet av 24. oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, implementert i norsk lovgivning gjennom personopplysningsloven av 14. april 2000 nr. 31 med tilhørende forskrifter. Videre skal avtalen være i samsvar med EU-forordning 2016/679 fra Europaparlamentet og Rådet av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri flyt av slike opplysninger, og om oppheving av direktiv 95/46/EF (generell personvernforordning, GDPR), samt enhver ny norsk lovgivning som erstatter personopplysningsloven med forskrifter som implementerer GDPR (samlet omtalt som “personvernregelverket” i det følgende).

2. Formålet med denne avtalen
Denne avtalen regulerer databehandlers behandling av personopplysninger på vegne av den behandlingsansvarlige for å utføre sine tjenester i henhold til tjenesteavtalen. Databehandler skal kun behandle personopplysningene for det godkjente formålet og i samsvar med gjeldende lovgivning, denne avtalen og funksjonaliteten i de leverte tjenestene. Formålet med behandlingen, varigheten av behandlingen, typen behandling og typer personopplysninger som skal behandles, er dekket i denne avtalen og sikrer at personopplysningene behandles i samsvar med kravene i personvernforordningen. Databehandler skal behandle personopplysninger på den måten som er beskrevet i denne avtalen.

3. Personopplysninger som skal behandles
Hvis ikke annet er avtalt, vil databehandler behandle personopplysninger slik det er beskrevet i personvernerklæringen og sikkerhetspolicyen.

4. Databehandlers rettigheter og plikter
Databehandler bekrefter at den vil iverksette egnede tekniske og organisatoriske tiltak som sikrer at all behandling i henhold til denne avtalen oppfyller kravene i personvernregelverket, og ivaretar de registrertes rettigheter. Databehandler skal kun behandle personopplysningene i samsvar med instruksjoner gitt av behandlingsansvarlig. Databehandler skal kunne dokumentere slike instruksjoner dersom det blir etterspurt. Databehandler skal ikke behandle personopplysningene på annen måte enn det som er instruert eller nødvendig for å levere tjenestene eller utføre de forpliktelsene som behandlingsansvarlig krever.

Tilgang til personopplysninger
Databehandler vil ikke få tilgang til andre personopplysninger enn det som er nødvendig for å utføre sine oppgaver som databehandler. Databehandler kan gi egne ansatte begrenset tilgang til data for støtteformål, men ikke uten samtykke. Databehandler skal ikke bruke personopplysninger til andre formål enn de som er beskrevet i personvernerklæringen.

Taushetsplikt
Databehandler og dets underleverandører har taushetsplikt med hensyn til personopplysninger som vedkommende får tilgang til som følge av avtalen og behandlingen, og skal sikre at personer som er autorisert til å behandle personopplysninger har forpliktet seg til konfidensialitet eller er underlagt en lovpålagt taushetsplikt. Denne bestemmelsen gjelder også i ett (1) år etter avtalens opphør, dersom informasjonens innhold ikke har blitt offentlig kjent i løpet av denne perioden. Behandlingsansvarlig er ansvarlig for å oppdatere og korrigere personopplysninger som er registrert feilaktig. Databehandler skal ikke videreformidle informasjon eller data som behandles til tredjepart uten å informere behandlingsansvarlig. Henvendelser om slik informasjon til databehandler skal videreformidles til behandlingsansvarlig så snart som mulig. Alle forespørsler fra tredjepart eller registrerte vedrørende personopplysninger eller behandlingen skal, med mindre annet er avtalt i denne avtalen eller etter instruks fra behandlingsansvarlig, videresendes til behandlingsansvarlig uten ugrunnet opphold. Dersom databehandler mener at en instruks fra behandlingsansvarlig er i strid med personvernregelverket, skal databehandler umiddelbart informere behandlingsansvarlig. Databehandler er likevel forpliktet til å utføre sine plikter i henhold til denne avtalen og instruksene fra behandlingsansvarlig, uavhengig av sin oppfatning om eventuelt brudd på regelverket.

5. Behandlingsansvarliges rettigheter og plikter
Behandlingsansvarlig fastsetter formålene med behandlingen av personopplysninger og har de rettighetene som er beskrevet i personvernerklæringen. Behandlingsansvarlig beholder den formelle kontrollen over, samt alt eierskap og alle rettigheter til personopplysningene. Databehandler har ingen rettigheter til personopplysningene utover en ikke-eksklusiv, tilbakekallelig og tidsbegrenset rett til å behandle personopplysningene for det godkjente formålet. Behandlingsansvarlig kan etter eget skjønn trekke tilbake samtykke(r) som er gitt i forbindelse med bruk av tjenesten. I et slikt tilfelle skal behandlingsansvarlig gi en forklaring til databehandler som redegjør for årsaken til tilbaketrekkingen. Databehandler kan ikke garantere at databehandlers tjeneste vil fungere uten disse godkjenningene. Eventuelle feil i databehandlers tjeneste som følge av tilbaketrukket godkjenning påvirker ikke avtalens varighet.

6. Bruk av API og tredjepartsaktører
Databehandler er ikke ansvarlig for personopplysninger som behandles av tredjepartsaktører gjennom databehandlers API. Det er behandlingsansvarliges plikt å lese og akseptere eventuelle vilkår eller samtykker gjort tilgjengelig av tredjepart.

7. Sikkerhet og varslinger
Databehandler skal iverksette og benytte tekniske og organisatoriske sikkerhetstiltak på en slik måte at behandlingen oppfyller kravene i personvernregelverket, og er hensiktsmessig for å forhindre skade som kan oppstå som følge av uautorisert eller ulovlig behandling, tap, ødeleggelse, skade, endring eller utlevering av personopplysninger, tatt i betraktning personopplysningenes art. Databehandler skal etterleve kravene til informasjonssikkerhet som fremgår av personvernregelverket. Databehandler skal på forespørsel fra behandlingsansvarlig fremlegge dokumentasjon på tekniske og organisatoriske tiltak som er iverksatt for å sikre personopplysningene. Revisjoner kan omfatte gjennomgang av rutiner og prosesser, inspeksjoner, tester, mer omfattende kontroller og andre relevante kontrollaktiviteter.

Varsling om brudd på personopplysningssikkerheten

Dersom databehandler blir kjent med et brudd på personopplysningssikkerheten, skal databehandler uten ugrunnet opphold varsle behandlingsansvarlig og samarbeide fullt ut for å avhjelpe situasjonen så raskt som rimelig praktisk mulig. Varslet skal som minimum inneholde følgende informasjon:

• beskrivelse av bruddet på personopplysningssikkerheten, inkludert sammendrag av hendelsen som forårsaket bruddet, og der det er mulig, hvilke kategorier og omtrent antall registrerte og personopplysninger som er berørt;

– beskrivelse av omstendighetene rundt bruddet (f.eks. tap, tyveri, kopiering);

– beskrivelse av sannsynlige konsekvenser og mulig risiko for de berørte registrerte;

– beskrivelse av tiltak som er foreslått eller iverksatt av databehandler og/eller underleverandør for å håndtere bruddet;

• eventuell tilleggsinformasjon som kan være relevant i forbindelse med bruddet eller for å begrense skade, spesielt informasjon som behandlingsansvarlig tidligere har identifisert som relevant.

Dersom ikke all informasjon kan gis i første varsel, skal manglende informasjon gis så snart som mulig.

Varsling vil skje via informasjonskanalen i databehandlers tjeneste, eller via e-post eller telefon dersom bruddet kun påvirker individuelle behandlingsansvarlige. Databehandlers tekniske kundeservice skal være tilgjengelig for rask bistand og for å svare på eventuelle oppfølgingsspørsmål fra behandlingsansvarlig.

Avhengig av bruddets art, kan behandlingsansvarlig være forpliktet til å varsle Datatilsynet i sitt jurisdiksjonsområde. Databehandler er ikke forpliktet til å varsle Datatilsynet, med mindre det eksplisitt kreves av gjeldende lovgivning eller behandlingsansvarlig har godkjent eller instruert databehandler til å gjøre dette. Databehandler skal uten ugrunnet opphold varsle behandlingsansvarlig dersom det mottar en forespørsel fra en datatilsynsmyndighet eller annen offentlig myndighet om å gi tilgang til personopplysninger, enten for seg selv eller en underleverandør. Et slikt varsel skal, så langt det er tillatt etter gjeldende lovgivning, og der det er mulig, gis før eventuell utlevering finner sted. Databehandler skal umiddelbart informere behandlingsansvarlig dersom databehandler mener at en instruks strider mot gjeldende lovgivning.

8. Lagring og overføring
Personopplysninger som omfattes av denne avtalen vil kun lagres på steder som er oppført i personvernerklæringen. Hvor lenge data lagres og vilkårene for sletting av data er beskrevet i personvernerklæringen. Personopplysninger skal kun overføres til tredjeland, det vil si land utenfor EU/EØS som sikrer et tilstrekkelig beskyttelsesnivå, etter eksplisitt avtale eller instruks fra behandlingsansvarlig. Databehandler skal ikke overføre eller gi tilgang til personopplysninger til personer i tredjeland uten eksplisitt godkjenning fra behandlingsansvarlig. Samtykket eller instruksen fra behandlingsansvarlig må dekke det landet som personopplysningene skal overføres til eller det gis tilgang fra. Ved overføring til eller tilgang fra tredjeland kreves det at egnede garantier, inkludert hensyn til de registrertes rettigheter, overholdes.

9. Underdatabehandlere
Databehandler er herved autorisert av behandlingsansvarlig til å benytte enhver relevant godkjent underdatabehandler på vegne av behandlingsansvarlig for det ovennevnte formål og innenfor ethvert relevant godkjent territorium. Behandlingen av personopplysninger skal kun finne sted i teknologiske miljøer kontrollert av databehandler og godkjente underleverandører innenfor det godkjente territoriet. Databehandler skal sikre at enhver behandling av personopplysninger utført av en underleverandør er i samsvar med kravene fastsatt i denne avtalen. Dette inkluderer å verifisere at sikkerhetstiltakene iverksatt av underleverandøren sikrer et minst like høyt beskyttelsesnivå som det som kreves av databehandler etter denne avtalen. Enhver underdatabehandler skal informeres om databehandlers forpliktelser i henhold til denne avtalen og personvernregelverket, og underdatabehandleren skal pålegges de samme forpliktelsene som databehandler har etter avtalen gjennom en skriftlig, bindende avtale. Denne avtalen skal særlig sikre at underdatabehandleren gir tilstrekkelige garantier for å iverksette egnede tekniske og organisatoriske tiltak på en måte som sikrer at behandlingen skjer i samsvar med kravene i personvernregelverket. For detaljer om godkjent territorium, se personvernerklæringen.

Følgende underdatabehandlere benyttes:

PwC accounting
RSM Norge
Talkmore
Link mobility
Uninett Norid
• Cogent Communications
• Telia
• Universitetet i Oslo (NIX)
• Blix solutions
• IP Group
• Broadnet
• Braathe Gruppen
• Forskningsparken
• Nextron
• OpenPEPPOL AISBL
• Apix
• Nominet
• Domeneshop
• Eurodns
• Dansk Internet Forum
• Government of Anguilla
• Christmas Island Domain Administration Limited
• Government of the Kingdom of Tonga
• Government of Norway, Direktoratet for forvaltning og IKT

Underleverandørene i fet skrift benyttes direkte til å håndtere dekryptert data og er ansvarlige for å overholde de samme vilkårene som fremgår i denne avtalen. De øvrige underleverandørene er ikke autorisert til direkte datatilgang.

10. Varighet og oppsigelse
Denne avtalen trer i kraft og forblir gjeldende så lenge databehandler (og dets tillatte underdatabehandlere) behandler personopplysninger på vegne av behandlingsansvarlig. Ved brudd på denne avtalen kan behandlingsansvarlig instruere databehandler til umiddelbart å stanse videre behandling av opplysningene. Ved opphør av denne avtalen, uavhengig av årsak, skal databehandler, etter behandlingsansvarliges valg, slette eller returnere alle personopplysninger til behandlingsansvarlig etter at tilknyttede tjenester er levert, og slette eksisterende kopier – med mindre det foreligger et rettslig krav om fortsatt lagring av personopplysningene.

Stavanger, den __________________

Data Processor
The IT Company AS
Organisasjonsnummer 928272087
Gosenstien 17B
4041 HAFRSFJORD
Norge

Databehandleravtale signeres ved forespørsel.