Databehandleravtale

Denne databehandleravtalen («Avtalen») inngås mellom Kunden («Behandlingsansvarlig») og DIGITECH AS, org.nr. 920 560 210 («Databehandler»), og regulerer Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig i forbindelse med bruk av Tjenestene. Avtalen er en del av brukervilkårene og godtas ved bruk av Tjenestene.

1. Formål og omfang

Databehandler behandler personopplysninger utelukkende på vegne av og etter dokumentert instruks fra Behandlingsansvarlig, for å levere Tjenestene. Behandlingens art, formål, varighet og kategorier av opplysninger og registrerte fremgår av Vedlegg A.

2. Behandlingsansvarliges plikter

Behandlingsansvarlig er ansvarlig for at det foreligger rettslig grunnlag for behandlingen, at opplysningene som legges inn er korrekte, og at instruksene er i samsvar med personvernregelverket.

3. Databehandlers plikter

Databehandler skal:

• kun behandle opplysningene etter dokumentert instruks fra Behandlingsansvarlig,
• sikre at personer med tilgang er underlagt taushetsplikt,
• gjennomføre egnede tekniske og organisatoriske sikkerhetstiltak, jf. punkt 5,
• bistå Behandlingsansvarlig med å oppfylle plikter overfor de registrerte og tilsynsmyndigheter, jf. punkt 6 og 7,
• ikke overføre opplysninger til tredjeland uten gyldig overføringsgrunnlag, jf. punkt 8.

4. Underdatabehandlere

Behandlingsansvarlig gir generelt samtykke til at Databehandler bruker underdatabehandlere. Gjeldende liste fremgår av Vedlegg B. Databehandler skal pålegge underdatabehandlere tilsvarende forpliktelser som i denne Avtalen, og forblir ansvarlig for deres behandling. Ved planlagte endringer i listen varsles Behandlingsansvarlig, som kan protestere innen 30 dager.

5. Sikkerhet

Databehandler skal gjennomføre egnede tekniske og organisatoriske tiltak etter GDPR art. 32, herunder kryptert overføring (TLS), tilgangsstyring, drift og lagring i EU hos anerkjente leverandører, og rutiner for testing og evaluering av sikkerheten.

6. Avvik og brudd

Ved brudd på personopplysningssikkerheten skal Databehandler varsle Behandlingsansvarlig uten ugrunnet opphold etter at bruddet er oppdaget, og bistå med nødvendig informasjon for Behandlingsansvarliges eventuelle melding til Datatilsynet og de registrerte.

7. Bistand til de registrertes rettigheter

Databehandler skal, så langt det er mulig, bistå Behandlingsansvarlig med å besvare henvendelser fra registrerte om innsyn, retting, sletting, begrensning, dataportabilitet og innsigelser.

8. Overføring til tredjeland

Overføring til land utenfor EØS skjer kun der det foreligger gyldig overføringsgrunnlag (f.eks. EU-kommisjonens standard personvernbestemmelser, SCC). Underdatabehandlere i USA er angitt i Vedlegg B.

9. Sletting og retur ved opphør

Ved opphør av kundeforholdet skal Databehandler, etter Behandlingsansvarliges valg, slette eller returnere alle personopplysninger uten ugrunnet opphold, med mindre lagring er pålagt etter lov.

10. Revisjon

Databehandler skal gjøre tilgjengelig informasjon som er nødvendig for å dokumentere at pliktene i Avtalen overholdes, og muliggjøre og bidra til revisjoner i samsvar med GDPR art. 28 nr. 3 bokstav h.

11. Varighet

Avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig.

Vedlegg A – Behandlingens innhold

• Formål: Levering av Digitechs tjenester for tilbud og prosjektstyring.
• Behandlingens art: Innsamling, lagring, strukturering, visning, utsending (e-post/SMS) og sletting.
• Varighet: Så lenge kundeforholdet består, jf. punkt 9.
• Kategorier registrerte: Kundens egne kunder (sluttkunder), kontaktpersoner og Kundens ansatte.
• Kategorier personopplysninger: Navn, e-post, telefon, adresse, organisasjonsnummer, tilbuds- og prosjektopplysninger, bilder og vedlegg, signaturer, timeføring og opplysninger om pårørende/nødkontakter.
• Særlige kategorier: Behandles som hovedregel ikke.

Vedlegg B – Underdatabehandlere

Se den til enhver tid gjeldende listen i personvernerklæringen punkt 5. Per nå: