GDPR-avtalen
Vedlegg 1 til Samarbeidsavtale
DATABEHANDLERAVTALE
I henhold til General Data Protection Regulation (GDPR) art. 28.
- Avtalens hensikt
Avtalens hensikt er å regulere rettigheter og plikter etter General Data Protection Regulation, heretter kalt «GDPR» eller «forordningen». Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende.
Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.
- Formål og opplysningskategorier
Formålet med databehandleravtalen er å presisere at Hermetikken kulturnæringshage AS som databehandler også kan behandle personopplysninger innenfor det som er avtalt mellom partene, herunder foreta de behandlinger som behandlingsansvarlig ber databehandler bistå med eller for å fullføre avtaleforhold.
Alle personopplysninger som ikke er sensitive personopplysninger som databehandler gis tilgang til eller på annen måte behandler gjennom avtaleforholdet med behandlingsansvarlig. Kategorier av registrerte er:
- Behandlingsansvarlig og deres samarbeidspartnere
- Kontakter tilhørende behandlingsansvarlig (personer tilknyttet, øvrige kontaktpersoner)
Personopplysninger som oftest behandles er navn, adresse, arbeidssted, epostadresse, mobilnummer og lignende som behandlingsansvarliges samarbeidspartnere deler av informasjon eller hva som innrapporteres i databehandlers verktøy og systemer.
Hvilke behandlinger som omfattes av databehandleravtalen:
De behandlinger som er nødvendige for at databehandler kan oppfylle sine forpliktelser mot behandlingsansvarlig gjennom etablert avtaleforhold og de gjeldende regelverk.
Hva er rammene for databehandlers håndtering av personopplysninger:
Databehandler kan håndtere personopplysninger i henhold til rammene gitt av behandlingsansvarlig i det gjeldene avtaleforhold mellom partene til enhver tid og for å oppfylle databehandlers ansvar som databehandler etter gjeldene regelverk.
- Databehandlers plikter
Databehandler skal følge de rutiner og instrukser for behandlingen som behandlingsansvarlig til enhver tid har bestemt skal gjelde. Databehandler skal bistå behandlingsansvarlig med å sikre at kravene i artikkel 32 til 36 i forordningen om informasjonssikkerhet og avvikshåndtering ivaretas.
Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift.
Behandlingsansvarlig har, med mindre annet er avtalt eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette.
Databehandler plikter, så langt det er mulig, å bistå behandlingsansvarlig i å oppfylle krav til innsyn mv. i kapittel III i forordningen.
Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør.
- Bruk av underleverandør
Behandlingsansvarlig gir databehandler fullmakt til å inngå avtale om bruk av underleverandører i den utstrekning det er hensiktsmessig og forsvarlig. Databehandler forplikter seg til å påse at underleverandører overholder samme avtalemessige og lovmessige forpliktelser som databehandler.
Dersom databehandler benytter seg av underleverandør eller andre som ikke normalt er ansatt hos databehandler skal dette informeres om skriftlig til behandlingsansvarlige før behandlingen av personopplysninger starter. Signering av denne avtalen er å betegne som skriftlig informasjon.
Dersom behandlingsansvarlig motsetter seg ny bruk eller bytte av underleverandør har partene rett til å si opp avtalen med virkning fra dato for oppstart av behandling hos underleverandøren.
List opp eventuelle underleverandører man benytter som via tilgangsstyring kan ha tilgang til personopplysninger som dine samarbeidspartnere har delt med din virksomhet.
- SIVA (Selskap for industrivekst), intranett– Sharepoint system som brukes i rapporteringssammenheng
- 24seven Office – regnskapssystem, fakturering, registering av timer og prosjekt
Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.
- Sikkerhet
Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter forordningen, jf. særlig forordningens artikkel 32 om informasjonssikkerhet. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel.
Avviksmelding etter forordningens artikler 33 og 34 skal skje ved at databehandler melder avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet og de berørte registrerte.
- Avtalens varighet
Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig i tråd med avtaleforholdet.
Ved brudd på denne avtale eller personopplysningsloven kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning
- Ved opphør
Ved opphør av denne avtalen plikter databehandler, på forespørsel, å tilbakelevere alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige og som omfattes av denne avtalen.
Ved opphør skal databehandler innen rimelig tid slette eller forsvarlig destruere alle dokumenter, data mv, som inneholder opplysninger som omfattes av avtalen, med mindre annet er avtalt.
- Meddelelser
Meddelelser etter denne avtalen skal sendes skriftlig til partenes oppgitte kontaktpersoner som angitt i avtaleforholdet mellom partene.
- Lovvalg og verneting
Avtalen er underlagt norsk rett og partene vedtar Øst-Finnmark domstol som verneting. Dette gjelder også etter opphør av avtalen.