1. GENERELT
1.1 Kunden er behandlingsansvarlig for all behandling av personopplysninger som skjer ved hjelp av Tjenesten, med mindre annet er angitt i denne Avtalen. Leverandøren vil innenfor rammen av Tjenesten behandle person-opplysninger på vegne av Kunden i egenskap av databehandler. Formålet med behandlingen, behandlingens varighet, art og formål, typen av personopplysninger og kategorier av registrerte som berøres av behandlingen beskrives nærmere i Vedlegg – Beskrivelse av behandlingen av personopplysninger i Tjenesten. Kunden er ansvarlig for at all slik behandling av personopplysninger skjer i samsvar med til enhver tid gjeldende personvernlovgivning, herunder personvern-forordningen (EU 2016/679) (“Gjeldende lovgivning”).
2. LEVERANDØRENS GENERELLE PLIKTER
2.1 Leverandøren skal i egenskap av databehandler kun behandle personopplysninger i samsvar med Kundens skriftlige instruksjoner i henhold til denne Avtalen, samt de ytterligere dokumenterte instruksjoner som Kunden fra tid til annen gir. Ytterligere instruksjoner kan gis til Leverandøren via e-post eller på særskilt skjema. Instruksen bør inneholde tilsvarende informasjon som fremgår av vedlegget til denne databehandleravtalen.
2.2 Dersom Leverandøren mangler instruksjoner som Leverandøren anser som nødvendige for å gjennomføre sitt oppdrag, skal Leverandøren uten opphold informere Kunden og avvente ytterligere instruksjoner. Dersom Leverandøren finner at en instruks strider mot Gjeldende lovgivning, skal Leverandøren informere Kunden om dette uten ugrunnet opphold. Dersom Kunden i et slikt tilfelle unnlater å gi ytterligere instruksjoner til Leverandøren, skal Leverandøren se bort fra instruksen og meddele dette til Kunden. Dersom Kunden fastholder den lovstridige instruksen, har Leverandøren rett til å si opp Avtalen med umiddelbar virkning i henhold til det som fremgår av de Alminnelige vilkårene.
2.3 Uavhengig av hva som er angitt i punkt 2.1 ovenfor, har Leverandøren rett til å behandle person-opplysninger i den utstrekning det er nødvendig for at Leverandøren skal kunne oppfylle plikter som påhviler Leverandøren i henhold til enhver tid gjeldende lovgivning, som for eksempel å etterkomme pålegg fra myndigheter. Leverandøren skal imidlertid, før slik behandling gjennomføres, informere Kunden om den rettslige plikten, med mindre tvingende lovgivning hindrer Leverandøren i å gi slik informasjon.
2.4 Dersom noen ber om informasjon fra Leverandøren som gjelder Kundens behandling av personopplysninger, skal Leverandøren henvise til Kunden ved å underrette Kundens Avtaleansvarlige via e-post. Leverandøren kan ikke utlevere personopplysninger eller annen informasjon om behandlingen av personopplysninger uten skriftlig instruks fra Kunden. Leverandøren har ikke rett til å representere Kunden eller opptre på Kundens vegne overfor noen tredjepart, inkludert tilsyns-myndigheten.
3. TEKNISKE OG ORGANISATORISKE TILTAK
3.1 Leverandøren skal iverksette de tekniske og organisatoriske tiltak som kreves i henhold til Gjeldende lovgivning for å beskytte de personopplysninger som behandles i Tjenesten, og minst de tekniske og organisatoriske tiltak som fremgår av sikkerhetsvedlegget til denne Avtalen. Kundens forhåndsgodkjenning kreves dersom Leverandøren ønsker å gjennomføre endringer i de tekniske og organisatoriske tiltakene som vil innebære en reduksjon i sikkerhetsnivået. Partene er enige om at de tekniske og organisatoriske tiltakene som iverksettes, skal være gjenstand for regelmessig oppfølging for å sikre at tiltakene er hensiktsmessige sett i lys av risikoene ved behandlingen av personopplysninger.
3.2 Leverandøren skal på Kundens forespørsel bistå Kunden med nødvendig informasjon som Leverandøren har tilgang til, slik at Kunden, dersom aktuelt, kan oppfylle sine plikter til å gjennomføre en konsekvensvurdering og forhåndsdrøfting med relevante tilsynsmyndigheter vedrørende den behandlingen som Leverandøren utfører på vegne av Kunden innenfor rammen av Tjenesten. Leverandøren har utarbeidet en konsekvens-vurdering av behandlingen av personopplysninger som Leverandøren utfører på oppdrag fra Kunden, og som Kunden kan få tilgang til på forespørsel.
3.3 Leverandøren skal, så langt det er mulig, bistå Kunden ved å iverksette egnede tekniske og organisatoriske tiltak slik at Kunden kan oppfylle sin plikt til å svare på en forespørsel om utøvelse av en registrerts rettighet som tilkommer den registrerte i henhold til Gjeldende lovgivning. Dersom Kunden mottar en forespørsel om utøvelse av en registrerts rettighet som omfatter personopplysninger som Leverandøren behandler på vegne av Kunden, og Kunden ønsker at Leverandøren skal bistå med forespørselen i henhold til dette punkt 3.3, skal Kunden skriftlig meddele dette til Leverandøren.
3.4 Leverandøren skal sikre at tilgangen til personopplysninger er begrenset til kun ansatte hos Leverandøren som trenger tilgang for at Leveran-døren skal kunne oppfylle sine forpliktelser overfor Kunden. Videre skal Leverandøren sørge for at slikt autorisert personell overholder taushetsplikt tilsvarende den som følger av punkt 8 nedenfor, gjennom individuelle taushetserklæringer.
4. BRUDD PÅ PERSONOPPLYSNINGS-SIKKERHETEN
4.1 Dersom det oppstår et brudd på person-opplysningssikkerheten (som definert i gjeldende lovgivning), skal Leverandøren uten ugrunnet opphold og senest innen tjuefire (24) timer etter at Leverandøren fikk kjennskap til bruddet, skriftlig varsle Kunden ved Kundens avtalte kontaktperson, i samsvar med Leverandørens til enhver tid gjeldende rutiner. Varslet skal inneholde opplysninger om bruddets art, kategoriene og antallet registrerte og personopplysningsposter som er berørt, de sannsynlige konsekvensene av bruddet, samt en beskrivelse av hvilke tiltak Leverandøren eventuelt har iverksatt for å begrense mulige negative effekter. Formålet er å sette Kunden i stand til å oppfylle en eventuell plikt til å varsle Datatilsynet om bruddet. Dersom det ikke er mulig å gi all informasjon samtidig, skal Leverandøren oversende den tilgjengelige informasjonen så snart den foreligger.
4.2 Dersom det er sannsynlig at et brudd på personopplysningssikkerheten medfører risiko for de registrertes personvern, skal Leverandøren, så langt det er mulig, umiddelbart etter at bruddet er blitt kjent, iverksette egnede avhjelpende tiltak for å forhindre eller begrense bruddets eventuelle negative konsekvenser.
5. TILGANG TIL INFORMASJON M.M.
5.1 Leverandøren skal løpende dokumentere hvilke tiltak som er iverksatt for å oppfylle sine forpliktelser etter denne databehandleravtalen. Kunden har, på forespørsel, rett til å få tilgang til den nyeste versjonen av slik dokumentasjon. For informasjon om behandlingen av personopplysninger som skjer innenfor rammen av Tjenesten, vises det til vedlegget til denne databehandleravtalen.
5.2 Leverandøren skal videre legge til rette for og bidra til at Kunden, eller en tredjepart utpekt av Kunden, kan gjennomføre en revisjon, herunder inspeksjon, av de tekniske og organisatoriske tiltak som Leverandøren har iverksatt for å oppfylle sine forpliktelser etter denne databehandleravtalen. Leverandøren skal skriftlig varsles om en slik revisjon minst tretti (30) dager i forveien. Alle kostnader knyttet til revisjonen bæres av Kunden, inkludert Leverandørens eventuelle kostnader ved å delta i revisjonen. Kunden skal sørge for at en eventuell tredjepart som utfører revisjonen på Kundens vegne, er underlagt en taushetsplikt som ikke er mindre streng enn den som følger av punkt 8 nedenfor. Tilsvarende bestemmelser gjelder dersom Kunden ber om revisjon av en underleverandør (underdatabehandler) som Leverandøren har engasjert i forbindelse med Tjenesten, jf. punkt 6 nedenfor.
6. BRUK AV UNDERDATABEHANDLERE
6.1 Kunden godkjenner herved at de underleverandører som Leverandøren til enhver tid angir på sin nettside, kan behandle personopplysninger på vegne av Kunden i forbindelse med Tjenesten («underdatabehandlere»). De underdatabehandlere som Leverandøren benytter på tidspunktet for inngåelsen av denne avtalen, fremgår også av vedlegget til denne databehandleravtalen. Kunden gir videre et generelt forhåndssamtykke til at Leverandøren kan benytte nye underdatabehandlere, forutsatt at Leverandøren sikrer at under-databehandleren gir tilstrekkelige garantier for å gjennomføre egnede tekniske og organisatoriske tiltak slik at behandlingen oppfyller kravene i gjeldende lovgivning.
6.2 Leverandøren skal inngå en databehandleravtale med underdatabehandleren. En slik avtale skal inneholde bestemmelser som tilsvarer dette databehandleravtalen og kravene i gjeldende lovgivning.
6.3 Dersom Leverandøren har til hensikt å benytte en ny underdatabehandler, skal Leverandøren informere Kunden om dette via e-post til Kundens avtalte kontaktperson. I den forbindelse skal Leverandøren opplyse om underdatabehandlerens identitet (herunder fullt firmanavn, organisasjonsnummer og adresse), på hvilket sted (geografisk) under-databehandleren vil behandle personopplysninger, hvilken type tjeneste underdatabehandleren skal utføre, samt hvilke sikkerhetstiltak som vil bli iverksatt for å beskytte personopplysningene som behandles. Kunden har rett til, innen én (1) uke fra mottatt varsel, å protestere mot at Leverandøren benytter underdatabehandleren til behandling av personopplysninger på vegne av Kunden. I så fall skal Leverandøren og Kunden søke å komme frem til en minnelig løsning, og dersom dette ikke lykkes, kan Avtalen sies opp før utløp i henhold til de Alminnelige vilkår.
7. OVERFØRING OG BEHANDLING AV PERSONOPPLYSNINGER UTENFOR EU/EØS-OMRÅDET
7.1 Kunden samtykker herved til at Leverandøren, dersom det er relevant, kan overføre Kundens personopplysninger utenfor EU/EØS-området. Slik overføring kan imidlertid kun skje dersom (i) landet har et tilstrekkelig beskyttelsesnivå for personopplysninger i henhold til en beslutning truffet av EU-kommisjonen som omfatter den aktuelle behandlingen, (ii) Leverandøren sikrer at det foreligger egnede garantier, for eksempel standard personvernbestemmelser vedtatt av EU-kommisjonen, vurdert opp mot mottakerlandets lovgivning, eller (iii) et annet unntak i gjeldende lovgivning åpner for overføringen.
7.2 Dersom Leverandøren overfører personopplysninger utenfor EU/EØS med grunnlag i standard personvern-bestemmelser, gir Kunden herved fullmakt til at Leverandøren kan inngå slike standardavtalevilkår på vegne av den behandlings-ansvarlige.
8. TAUSHETSPLIKT
8.1 Uten at dette begrenser taushetsplikten som følger av Avtalen, skal også følgende gjelde:
8.2 Leverandøren skal behandle personopplysninger som behandles på vegne av Kunden som strengt konfidensielle. Leverandøren skal derfor ikke, verken direkte eller indirekte, utlevere personopplysninger til tredjepart uten at Kunden har gitt skriftlig samtykke til dette, med mindre Leverandøren er rettslig forpliktet til å utlevere opplysningene eller dette er nødvendig for å oppfylle Avtalen. Leverandøren aksepterer at denne taushetsplikten skal gjelde også etter at Avtalen er opphørt.
8.3 Kunden forplikter seg til å behandle all informasjon mottatt om Leverandørens sikkerhetstiltak, rutiner, IT-systemer eller annen informasjon av konfidensiell karakter, som strengt konfidensiell. Kunden forplikter seg videre til ikke å utlevere konfidensiell informasjon som stammer fra Leverandøren eller dennes underdatabehandlere til utenforstående. Kunden har likevel rett til å utlevere slik informasjon dersom dette følger av lov eller av Avtalen. Kunden aksepterer at denne taushetsplikten skal gjelde også etter at Avtalen er opphørt.
9. ANSVAR
9.1 Dersom Leverandøren påføres skade eller mottar krav som følge av Leverandørens behandling av personopplysninger i samsvar med Kundens instruksjoner, skal Kunden holde Leverandøren skadesløs for den skade som oppstår som følge av dette. Leverandøren er likevel ansvarlig overfor Kunden for oppfyllelsen av underdatabehandleres forpliktelser dersom underdatabehandleren ikke oppfyller sine forpliktelser. Eventuelle ansvars-begrensninger i denne Avtalen skal ikke gjelde for Kundens ansvar etter denne databehandler-avtalen.
9.2 Dersom Kundens ytterligere dokumenterte instruksjoner om behandlingen av personopplys-ninger ikke støttes av Tjenesten eller følger av Leverandørens øvrige forpliktelser etter Avtalen, og som Leverandøren med rimelighet ikke kunne forutse, og disse kravene medfører at Leverandøren påføres ekstra kostnader, har Leverandøren rett til å velge mellom å si opp Avtalen med umiddelbar virkning eller kreve kompensasjon fra Kunden for disse kostnadene.
10. AVTALENS OPPHØR
10.1 Etter at Avtalen har opphørt, skal Leverandøren, etter Kundens valg, enten tilbakelevere eller på en sikker måte slette alle personopplysninger som Leverandøren har behandlet på vegne av Kunden. Dersom Kunden ikke fremsetter en slik anmodning innen fjorten (14) dager fra oppsigelsen, skal Leverandøren på en sikker måte slette de personopplysninger som Leverandøren behandler på vegne av Kunden.
