1. Generelt
1.1 Kunden er behandlingsansvarlig for all behandling av personopplysninger som skjer ved hjelp av Tjenesten eller Programvaren, dersom ingenting annet er angitt i denne Avtalen. Innenfor rammen for Tjenesten kommer Leverandøren i egenskap av databehandler til å behandle personopplysninger på oppdrag av Kunden. Hensikten med behandlingen, behandlingens varighet, art og formål, typen av personopplysninger og kategorier av registrerte som berøres av behandlingen, blir beskrevet nærmere i Vedlegg – Beskrivelse av behandlingen av personopplysninger i Tjenesten. Kunden har ansvar for at all slik behandling av personopplysninger skjer i samsvar med den til enhver tid gjeldende personvern¬lovgivning, inklusive personvern¬forordningen (EU 2016/679) («Gjeldende lovgivning»).
1.2 Punkt 1.2 gjelder kun når Kundens virksomhet som har gitt opphav til behandling av person-opplys¬ningene, finner sted i Sverige. Når Kunden, ved å stille Leverandørens utstyr til rådighet på en arbeidsplass, oppfordrer underentreprenører til å bruke Leverandørens utstyr for å oppfylle plikten til å registrere seg i personalregisteret, er under¬entreprenøren behandlingsansvarlig for sitt Personales personopplysninger i Tjenesten. Kunden er databehandler for underentreprenørens behand¬ling av personopplysninger, og det skal derfor inngås en databehandleravtale mellom under¬entreprenøren og Kunden, med et innhold som tilsvarer denne databehandleravtalen. På tilsvarende måte er Kunden, dersom Kunden stiller til rådighet utstyr på oppdrag fra en byggherre, databehandler for bygg¬herrens behandling av personopplysninger, og må dermed inngå en databehandleravtale med bygg¬herren. Leverandøren har rollen som under¬data¬behandler i forhold til underentreprenøren og byggherren. Som underdatabehandler er Kunden ansvarlig for å innhente instruksjoner om Leveran¬dørens behandling av personopplysninger fra under-entreprenør og byggherre, og Kunden skal for øvrig fungere som kontaktpunkt ved oppfyllelse av Leveran¬dørens forpliktelser ifølge Gjeldende lovgiv¬ning overfor underentreprenør og byggherre. Det som følger av Avtalen vedrørende Leverandørens rolle som databehandler, skal også gjelde rollen som underdatabehandler.
2. Leverandørens generelle forpliktelser
2.1 Leverandøren skal i egenskap av databehandler bare behandle personopplysninger i tråd med Kundens skriftlige instruksjoner ifølge denne Avtalen, samt de ytterligere dokumenterte instruksjoner som Kunden til enhver tid gir. Ytterligere instruksjoner kan gis til Leverandøren på e-post eller på eget skjema. Instruksjonen bør inneholde informasjon tilsvarende den som fremgår av vedlegget til denne databehandleravtalen.
2.2 Dersom Leverandøren mangler instruksjoner som Leverandøren mener er nødvendige for å gjennomføre oppdraget, skal Leverandøren informere Kunden om dette umiddelbart og avvente ytterligere instruksjoner. Dersom Leverandøren mener at en instruksjon strider mot Gjeldende lovgivning, skal Leverandøren informere Kunden om dette uten urimelig forsinkelse. Hvis Kunden i et slikt tilfelle unnlater å gi Leverandøren ytterligere instruksjoner, skal Leverandøren se bort fra instruksjonen og varsle Kunden om dette. Dersom Kunden opprettholder den lovstridige instruksjonen, har Leverandøren rett til å si opp avtalen før tiden i tråd med det som fremgår av de Generelle vilkårene – Infobric Ease.
2.3 Uavhengig av det som er angitt i punkt 2.1 ovenfor, har Leverandøren rett til å behandle person¬opplysninger i den utstrekning det er påkrevet for at Leverandøren skal kunne oppfylle forpliktelser som påhviler Leverandøren ifølge den til enhver tid Gjeldende lovgivning, for eksempel å etterkomme pålegg fra myndighetene. Før slik behandling gjennomføres påhviler det imidlertid Leverandøren å informere Kunden om den rettslige forpliktelsen, dersom ikke tvingende lovgivning hindrer Leverandøren i å oppgi slik informasjon.
2.4 Dersom noen ber om informasjon fra Leverandøren som angår Kundens behandling av person¬opplysninger, skal Leverandøren henvise til Kunden ved å varsle Kundens Systemforvalter på e-post. Leverandøren kan ikke utlevere personopplysninger eller annen informasjon om behandlingen av personopplysninger uten skriftlig instruksjon fra Kunden. Leverandøren har ikke rett til å representere Kunden eller opptre på Kundens regning overfor noen tredjepart, inklusive tilsynsmyndigheten.
3. Tekniske og organisatoriske tiltak
3.1 Leverandøren skal iverksette de tekniske og organisatoriske tiltakene som kreves ifølge Gjeldende lovgivning for å beskytte personopplysningene som behandles i Tjenesten, og minst de tekniske og organisatoriske tiltakene som fremgår av sikkerhetsvedlegget til denne Avtalen. Det kreves forhåndsgodkjenning fra Kunden dersom Leveran¬døren vil gjennomføre endringer som gjelder de tekniske og organisatoriske tiltakene som er iverksatt, dersom disse vil innebære at sikkerhets¬nivået blir dårligere. Partene er enige om at de tekniske og organisatoriske tiltakene som iverksettes skal være gjenstand for regelmessig oppfølging for å sikre at tiltakene er egnet med hensyn til risikoen som er forbundet med behandlingen av person-opplysninger.
3.2 På Kundens oppfordring skal Leverandøren bistå Kunden med nødvendig informasjon som Leverandøren har tilgang til, for at Kunden, dersom det er aktuelt, skal kunne oppfylle sine forpliktelser til å gjennomføre konsekvensvurdering og forhånds¬samråd med berørte tilsynsmyndigheter vedrørende den behandlingen Leverandøren utfører for Kundens regning innenfor rammene for Tjenesten. Leveran¬døren har opprettet en konsekvensvurdering vedrørende behandlingen av personopplysninger som Leverandøren utfører på oppdrag av Kunden, som Kunden kan få del i på forespørsel.
3.3 Leverandøren skal, i den utstrekning det er mulig, bistå Kunden ved å iverksette egnede tekniske og organisatoriske tiltak for at Kunden skal kunne oppfylle sin plikt til å svare på en begjæring om håndheving av en rettighet som den registrerte har ifølge Gjeldende lovgivning. Tjenesten er utformet for å bistå Kunden i denne henseende, og gjennom særskilt funksjonalitet i Tjenesten kan Kunden selv håndtere forespørsler fra registrerte om å håndheve sine rettigheter ifølge Gjeldende lovgivning.
3.4 Leverandøren skal sørge for at tilgangen til personopplysninger er begrenset kun til personale hos Leverandøren som trenger tilgang for at Leveran¬døren skal kunne oppfylle sine forpliktelser overfor Kunden. Videre skal Leverandøren sørge for at slikt behørig personale iakttar konfidensialitet tilsvarende den konfidensialiteten som følger av punkt 8 under gjennom private konfidensialitetsavtaler.
4. Personopplysningshendelser
4.1 I tilfelle det inntreffer en personopplysningshendelse (ifølge definisjon i Gjeldende lovgivning), skal Leverandøren varsle Kunden skriftlig om dette gjennom Kundens Systemforvalter omgående etter at Leverandøren har fått kjennskap til hendelsen, og senest innen tjuefire (24) timer, i tråd med Leverandørens til enhver tid gjeldende rutiner. Varselet skal inneholde informasjon om hendelsens art, kategorier av og antall registrette og person-opplysningsposter som er berørt, de sannsynlige konsekvensene av hendelsen, samt en beskrivelse av hvilke tiltak Leverandøren (i påkommende tilfelle) har iverksatt for å begrense eventuelle negative konsekvenser av hendelsen, for å gjøre det mulig for Kunden å oppfylle sin eventuelle forpliktelse til å melde personopplysningshendelsen til den berørte tilsynsmyndigheten. Dersom det ikke er mulig, er det ikke nødvendig å oppgi all informasjon ved en og samme anledning, men Leverandøren skal da gi informasjonen til Kunden så snart den blir tilgjengelig for Leverandøren.
4.2 Dersom det er sannsynlig at en personopplysnings¬hendelse medfører risiko for de registrertes personvern, skal Leverandøren, i den grad det er mulig, umiddelbart etter at personopplysnings¬hendelsen har blitt kjent for Leverandøren, iverksette egnede avbøtende tiltak for å hindre eller begrense eventuelle negative konsekvenser av person¬opplysnings¬hendelsen.
5. Tilgang til informasjon m.m.
5.1 Leverandøren dokumenterer løpende hvilke tiltak Leverandøren har iverksatt for å oppfylle sine forpliktelser ifølge denne databehandleravtalen. Kunden har på forespørsel rett til å få tilgang til siste versjon av slik dokumentasjon. For informasjon om behandlingen av personopplysninger som skjer innenfor rammen for Tjenesten, se vedlegget til denne databehandleravtalen.
5.2 Videre skal Leverandøren muliggjøre og bidra til at Kunden, eller en tredjepart utpekt av Kunden, gjennomfører en gransking, innbefattet inspeksjon, av de tekniske og organisatoriske tiltakene Leverandøren iverksetter for å oppfylle sine forpliktelser ifølge denne databehandleravtalen. Leveran¬døren skal varsles skriftlig om en slik granskning minst tretti (30) dager på forhånd. Samtlige kostnader for granskningen skal bæres av Kunden, inklusive Leverandørens eventuelle kostnader for medvirkning i granskningen. Kunden skal forsikre seg om at en eventuell tredjepart som gjennomfører granskningen for Kundens regning skal iaktta en konfidensialitet som ikke er mindre restriktiv enn det som følger av punkt 8 nedenfor. Tilsvarende bestemmelser gjelder dersom Kunden begjærer granskning av en Underdatabehandler som Leverandøren har brukt i forbindelse med Tjenesten, se punkt 6 nedenfor.
6. Bruk av underdatabehandlere
6.1 Kunden godtar herved at underleverandører som benyttes av Leverandøren, som fremgår av Leverandørens til enhver tid gjeldende nettside, kan behandle personopplysninger for Kundens regning i forbindelse med Tjenesten («Underdatabehandlere»). Underdatabehandlere som Leverandøren bruker på tidspunktet for inngåelse av denne Avtalen, fremgår også av vedlegget til denne databehandleravtalen. Kunden gir videre Leverandøren en generell forhåndstillatelse til bruk av nye Underdata-behandlere, under forutsetning av at Leverandøren sørger for at Underdatabehandleren gir tilstrekkelige garantier for å gjennomføre egnede tekniske og organisatoriske tiltak for å sikre at behandlingen oppfyller kravene i Gjeldende lovgivning.
6.2 Leverandøren skal inngå en databehandleravtale med Underdatabehandleren. En slik databehandleravtale skal inneholde bestemmelser som tilsvarer det som følger av dette vedlegg og Gjeldende lovgivning.
6.3 Dersom Leverandøren har til hensikt å bruke en ny Underdatabehandler, skal Leverandøren informere Kunden om dette på e-post til Kundens Avtaleansvarlig. Leverandøren skal der oppgi informasjon om Underdatabehandlerens identitet (innbefattet fullstendig firma, organisasjonsnummer og adresse), på hvilket sted (geografisk) Underdatabehandleren kommer til å behandle person¬opplysninger, hvilken type tjeneste Underdata¬behandleren utfører, samt hvilke beskyttelsestiltak som vil bli iverksatt av Underdatabehandleren for å beskytte personopplysningene som behandles. Kunden har innen to (2) uker regnet fra varselet, rett til å komme med innvending mot at Leverandøren bruker Underdatabehandleren for å behandle person¬opplysninger på oppdrag av Kunden. Leverandøren og Kunden skal så fall i fellesskap prøve å finne en omforent løsning. Dersom dette ikke lykkes, kan Avtalen sies opp før tiden, ifølge det som fremgår av de Generelle vilkårene – Infobric Ease.
7. Overføring til og behandling av personopplysninger utenfor EU/EØS-området
7.1 Kunden godtar herved at Leverandøren i påkommende tilfelle overfører Kundens personopplysninger utenfor EU/EØS-området. Slik over¬føring kan imidlertid bare skje dersom (i) landet har et adekvat beskyttelsesnivå for person¬opplys¬ninger ifølge beslutning meddelt av EU-kommisjonen, som omfatter behandlingen av person¬opplysninger, (ii) Leverandøren sikrer at det er på plass egnede sikkerhetstiltak, for eksempel standardiserte datasikkerhetsbestemmelser, som er vedtatt av EU-kommisjonen, i lys av mottakerlandet lovgivning, eller (iii) noe annet unntak i Gjeldende lovgivning muliggjør overføringen.
7.2 Dersom Leverandøren overfører personopplysninger utenfor EU/EØS med støtte av standardiserte datasikkerhetsbestemmelser, gir Kunden herved Leverandøren fullmakt ti å inngå slike standardavtaleklausuler for den behandlings¬ansvarliges regning.
8. Taushetsplikt
8.1 Uten at det påvirker konfidensialitetsforpliktelsen i punkt 17 i Avtalen, skal følgende gjelde.
8.2 Leverandøren skal holde personopplysninger som behandles for Kundens regning, strengt konfidensielle. Leverandøren skal således ikke, verken direkte eller indirekte, utlevere noen personopplysninger til tredjepart dersom Kunden ikke har gitt skriftlig samtykke til dette, dersom ikke Leverandøren er forpliktet ifølge loven til å utlevere personopplysninger, eller dersom det er nødvendig for å oppfylle Avtalen. Leverandører godtar at denne konfidensialitetsforpliktelsen skal fortsette å gjelde også etter at Avtalen har opphørt.
8.3 Kunden forplikter seg til å holde all informasjon som Kunden mottar knyttet til Leverandørens sikkerhetstiltak, rutiner, IT-systemer eller som på annen måte er av konfidensiell karakter, strengt konfidensiell, og forplikter seg videre til ikke å avsløre konfidensiell informasjon som stammer fra Leverandøren eller dennes Underdatabehandlere, til noen utenforstående. Kunden har imidlertid rett til å avsløre slik informasjon som Kunden er forpliktet til å avsløre ifølge lov eller ifølge Avtalen. Kunden aksepterer at denne konfidensialitetsforpliktelsen skal fortsette å gjelde også etter Avtalens opphør.
9. Ansvar
9.1 Dersom Leverandøren påføres skade eller mottar krav som følge av Leverandørens behandling av personopplysninger i samsvar med Kundens instruksjoner, eller som en følge av at Kunden har brutt punkt 1.2, skal Kunden holde Leverandøren skadesløs for skaden som oppstår som følge av dette. Leverandøren er imidlertid ansvarlig for å oppfylle Underdatabehandlerens forpliktelser overfor Kunden dersom Underdatabehandleren ikke oppfyller sine forpliktelser. Det skal ikke praktiseres noen ansvarsbegrensning vedrørende Kundens ansvar i henhold til denne Avtalen, ifølge dette vedlegg.
9.2 Dersom Kundens ytterligere dokumenterte instruksjoner vedrørende behandlingen av person¬opplysninger ikke støttes av Tjenesten, eller følger av Leverandørens forpliktelser ifølge Avtalen for øvrig, og som Leverandøren ikke har hatt skjellig grunn til å regne med, og disse kravene medfører at Leverandøren påføres ekstra kostnader, har Leverandøren rett til å velge mellom å si opp avtalen med umiddelbar virkning, eller alternativt få erstatning fra Kunden for disse kostnadene.
10. Avtalens opphør
10.1 Ved Avtalens opphør skal Leverandøren, avhengig av hva Kunden velger, enten levere tilbake eller slette alle personopplysninger som Leverandøren har behandlet for Kundens regning. Hvis Kunden ikke kommer med en slik begjæring innen fjorten (14) dager fra behandlingen er avsluttet, skal Leverandøren slette personopplysningene på en sikker måte. Dersom Kunden har bedt om backup i henhold til punkt 18.5 i de Generelle vilkårene – Infobric Ease – skal imidlertid Leverandøren lagre backuper i den tiden som er angitt der, med iakttagelse av bestemmelsene i denne Avtalen. Når tidsfristen som er angitt i punkt 18.5 i de Generelle vilkårene – Infobric Ease - er utløpt, skal Leverandøren slette backupene på en sikker måte, dersom det ikke er avtalt noe annet med Kunden.