Trenger du flere lisenser?
Har du allerede lisens? Logg inn
1. BAKGRUNN, FORMÅL OG DEFINISJONER
I forbindelse med registrering og gjennomføring av kurset vil Databehandler behandle personopplysninger på vegne av og opptre som databehandler for Behandlingsansvarlig.
Denne databehandleravtalen regulerer partenes rettigheter og forpliktelser for å sikre at all behandling av personopplysninger skjer i henhold til gjeldende lovgivning om behandling av personopplysninger, herunder EUs personvernforordning 2016/679 («GDPR») og i gjeldende personvernlovgivning som gjennomfører denne.
Databehandler vil behandle personopplysninger i den utstrekning det er nødvendig for å oppfylle Avtalen, som spesifisert i vedlegg 1. Bakgrunnen for, karakteren av, formålet med, kategorier av personopplysninger og kategorier av registrerte personer er spesifisert i vedlegg 1.
Begrepene «personopplysning», «sensitive personopplysninger», «behandling», «behandlingsansvarlig», «databehandler», «den registrerte», etc. brukt i denne databehandleravtalen skal ha samme betydning som etter GDPR og gjeldende personvernlovgivning.
2. DEN BEHANDLINGSANSVARLIGES FORPLIKTELSER
Behandlingsansvarlig bekrefter at Behandlingsansvarlig:
3. DATABEHANDLERS FORPLIKTELSER
3.1. Overholdelse av gjeldende rett
Databehandler skal overholde alle bestemmelser for beskyttelse av Personopplysninger fastsatt i denne Databehandleravtalen og i gjeldende personvernlovgivning.
Databehandler skal overholde instrukser og rutiner gitt av Behandlingsansvarlig med hensyn til behandling av personopplysninger. Databehandler skal umiddelbart gi beskjed til Behandlingsansvarlig dersom Databehandler er av den oppfatning at en instruks fra Behandlingsansvarlig er i strid med gjeldende personvernlovgivning.
Databehandler skal bistå Behandlingsansvarlig i å sikre og dokumentere at Behandlingsansvarlig overholder sine forpliktelser under gjeldende personvernlovgivning.
3.2. Restriksjoner for behandling
Databehandler skal bare behandle personopplysninger på, og i samsvar med instruks fra Behandlingsansvarlig, unntatt når:
3.3. Informasjonssikkerhet
3.3.1. Plikt til å sikre informasjonssikkerhet
Databehandler skal ved planlagte, systematiske, organisatoriske og tekniske tiltak sikre tilstrekkelig informasjonssikkerhet med hensyn til konfidensialitet, integritet, og tilgjengelighet i forbindelse med behandling av personopplysninger i samsvar med bestemmelser om informasjonssikkerhet i gjeldende personvernlovgivning.
3.3.2. Vurdering av tiltak
I vurderingen av hvilke tekniske og organisatoriske tiltak som skal implementeres, skal Databehandler i samråd med Behandlingsansvarlig ta i betraktning:
Databehandler skal, i samråd med Behandlingsansvarlig, vurdere:
3.3.3. Forespørsler fra den registrerte
Tatt i betraktning arten av behandlingen skal Databehandler implementere tilstrekkelige tekniske og organisatoriske tiltak for å støtte den Behandlingsansvarliges plikt til å svare på spørsmål om utøvelse av den registrertes rettigheter i henhold til GDPR kapittel 3.
3.3.4. Bistand til Behandlingsansvarlig
Databehandler skal gi bistand slik at Behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift, herunder bistå Behandlingsansvarlig med å:
Bistand som nevnt over skal utføres i den utstrekning det er nødvendig ut ifra Behandlingsansvarlig sitt behov, karakteren av behandlingen og informasjonen tilgjengelig for Databehandler.
3.4. Avvik og avviksmeldinger
Enhver bruk av informasjonssystemene og Personopplysninger i strid med etablerte rutiner, instrukser fra Behandlingsansvarlig eller gjeldende personvernlovgivning, så vel som sikkerhetsbrudd, skal behandles som avvik.
Databehandler skal ha rutiner og systematiske prosesser for å følge opp avvik, som skal inkludere reetablering av normaltilstanden, eliminasjon av årsaken til avviket, og hindre gjentagelse.
Databehandler skal umiddelbart varsle Behandlingsansvarlig om:
Databehandler skal gi Behandlingsansvarlig all informasjon nødvendig for å sette Behandlingsansvarlig i stand til å overholde gjeldende lovgivning om behandling av personopplysninger og sette Behandlingsansvarlig i stand til å besvare henvendelser fra datatilsynsmyndigheter. Det er Behandlingsansvarlig sitt ansvar å melde avvik til Datatilsynet i henhold til gjeldende lovgivning.
3.5. Konfidensialitet
Databehandler har taushetsplikt om personopplysninger og annen konfidensiell informasjon, herunder forretningshemmeligheter. Databehandler skal sikre at alle som utfører arbeid for Databehandler, enten ansatte eller innleide, som har tilgang til eller er involvert i behandling av personopplysninger etter Avtalen, (i) er underlagt taushetsplikt, og (ii) er informert om og overholder forpliktelsene etter denne databehandleravtalen. Taushetsplikten gjelder også etter opphør av Avtalen og databehandleravtalen.
3.6. Sikkerhetsrevisjoner
Databehandler skal jevnlig foreta sikkerhetsrevisjoner for systemer og lignende som er relevant for behandlingen av personopplysninger som omfattes av denne Databehandleravtalen.
Behandlingsansvarlig skal ha tilgang til rapporter som dokumenterer sikkerhetsrevisjoner.
Behandlingsansvarlig har rett til å kreve sikkerhetsrevisjon utført av uavhengig tredjepart. Vedkommende tredjepart vil utarbeide en rapport som vil bli overlevert Behandlingsansvarlig på forespørsel. Behandlingsansvarlig er innforstått med at Databehandler kan beregne seg en særskilt godtgjørelse for gjennomføringen av revisjonen i henhold til gjeldende timepriser.
Behandlingsansvarlig kan vise slik rapport til tilsynsmyndigheter og andre som har krav på å kjenne innholdet.
3.7. Bruk av underleverandører
Enhver underleverandør skal godkjennes skriftlig av Behandlingsansvarlig før underleverandøren kan behandle personopplysninger. Databehandler har rett til å benytte underleverandører, og Behandlingsansvarlig aksepterer underleverandører som angitt i Bilag 1. Databehandler skal, i skriftlig avtale med enhver underleverandør, sikre at behandling av personopplysninger utført av
underleverandører skal være underlagt de samme forpliktelser og begrensninger som de pålagt Databehandler i henhold til denne databehandleravtalen.
3.8. Overføring av personopplysninger til tredjeland
Dersom Databehandler benytter underleverandør(er) utenfor EØS («Tredjeland») for behandling av personopplysninger, må behandlingen skje i henhold til EUs standardavtaler for overføring til tredjeland eller annet akseptert og spesifikt angitt grunnlag for overføring til tredjeland. For å unngå tvil gjelder det samme dersom opplysningene lagres i EØS, men kan aksesseres av personell som er lokalisert utenfor EØS.
Dersom Behandlingsansvarlig godkjenner slik overføring, skal Databehandler samarbeide med Behandlingsansvarlig om å sikre lovligheten av overføringene.
4. ANSVAR, BRUDD
4.1. Prosedyre
I tilfelle brudd på denne databehandleravtalen eller forpliktelser etter gjeldende lovgivning om behandling av personopplysninger, skal de relevante bestemmelser i Avtalen om prosedyre for håndtering av brudd/mislighold komme til anvendelse.
Databehandler skal varsle Behandlingsansvarlig uten ugrunnet opphold dersom Databehandler ikke vil være, eller har grunn til å tro at denne ikke vil være, i stand til å overholde sine forpliktelser etter denne databehandleravtalen.
4.2. Ansvar og ansvarsbegrensning
Databehandler er erstatningsansvarlig for direkte økonomisk tap, herunder administrative sanksjoner og gebyrer, og erstatningskrav som rettes mot Behandlingsansvarlig, som en følge av Databehandlers brudd på noen av dennes forpliktelser i henhold til denne databehandleravtalen.
Samlet erstatning pr. kalenderår etter dette punkt 4.2 er begrenset til et beløp som tilsvarer NOK 500 000.
Har Databehandler eller noen denne svarer for utvist grov uaktsomhet eller forsett, gjelder ikke de nevnte erstatningsbegrensningene.
5. VARIGHET, AVSLUTNING AV DATABEHANDLERAVTALEN, ENDRINGER
Denne Databehandleravtalen skal gjelde fra den dato den er signert av begge parter og inntil Avtalen utløper, eller inntil Databehandlers plikt til ytelse av tjenester i henhold til Avtalen opphører av annen grunn, med unntak av de bestemmelser i Avtalen og databehandleravtalen som fortsetter å løpe etter avslutning.
Ved avslutning av denne databehandleravtalen skal Personopplysninger returneres i standardisert format på et egnet medium sammen med nødvendige instruksjoner for å legge til rette for den Behandlingsansvarliges videre bruk av personopplysningene. Databehandler skal først returnere og deretter slette alle Personopplysninger, med mindre preseptorisk lovgivning forhindrer Databehandler fra slik sletting.
Som alternativ til å returnere Personopplysningene kan Behandlingsansvarlig, etter egen vurdering, skriftlig instruere Databehandler om at alle eller deler av Personopplysningene skal slettes uten returnering.
Forpliktelsene etter pkt. 3.5 og pkt. 4 skal fortsette å gjelde etter databehandleravtalens avslutning. Videre skal bestemmelsene i databehandleravtalen gjelde fullt ut for eventuelle personopplysninger beholdt av Databehandler i strid med dette pkt. 5.
6. TVISTER OG JURISDIKSJON
Denne databehandleravtalen skal være underlagt og tolkes i samsvar med norsk rett. Avtalt verneting er Oslo tingrett.
VEDLEGG 1 – SPESIFISERING AV BEHANDLINGSAKTIVITETER
1. KATEGORIER AV DATASUBJEKTER
Personopplysningene som blir behandlet i henhold til databehandleravtalen gjelder følgende kategorier av datasubjekter:
2. OPPLYSNINGSKATEGORIER
Kategoriene av personopplysninger som blir behandlet i henhold til databehandleravtalen er:
3. SENSITIVE PERSONOPPLYSNINGER (OM AKTUELT)
4. FORMÅL MED BEHANDLINGEN
Formålet med behandlingen er å utføre tjenestene i samsvar med Avtalen, det vil si å lage innhold og utvikle, tilby og vedlikeholde systemer og applikasjoner for digitale kurs og gi den Behandlingsansvarliges brukere tilgang til disse systemene og applikasjonene samt deres innhold og resultater. Opplysningene vil også i anonymisert form behandles for at Databehandler skal kunne føre statistikk på hvilke bedrifter de når ut til over tid og se holdningstendenser i bedriftene.
5. HVOR LENGE LAGRES INFORMASJONEN?
E-poster til behandlingsansvarlig kan når som helst fjernes av databehandler, men pågående kurs krever at det eksisterer en kontaktperson fra bedriften, så i realiteten må e-posten erstattes med en annen.
Opplysningene slettes automatisk 6 måneder etter at kurset er gjennomført eller arkivert.
1. BACKGROUND, PURPOSE AND DEFINITIONS
The parties of this data processor agreement have entered into an agreement (the «Agreement») regarding access to services that the data processor offers to the data controller in order to be used by the data controller’s personnel.
In connection with these services, the data processor will process personal data on behalf of and act as data processor for the data controller.
This data processing agreement regulates the rights and obligations of the parties to ensure that all processing of personal data takes place in accordance with current legislation on the processing of personal data, including the EU’s data protection regulation 2016/679 («GDPR») and in the current data protection legislation that implements this.
The data processor will process personal data to the extent necessary to fulfill the Agreement, as specified in Appendix 1. The background for, the nature of, the purpose of, categories of personal data and categories of registered persons are specified in Appendix 1.
The terms «personal data», «sensitive personal data», «processing», «controller», «data processor», «the data subject», etc. used in this data processor agreement shall have the same meaning as according to the GDPR and applicable privacy legislation.
2. OBLIGATIONS OF THE PROCESSOR
The data processor confirms that he/she:
3. DATA PROCESSOR’S OBLIGATIONS
3.1. Compliance with applicable law
The data processor must comply with all provisions for the protection of personal data laid down in this data processor agreement and in applicable privacy legislation.
The data processor must comply with the instructions and routines given by the data controller with regard to the processing of personal data. The data processor must immediately notify the data controller if the data processor is of the opinion that an instruction from the data controller is contrary to the applicable privacy legislation.
The data processor must assist the data controller in ensuring and documenting that the data controller complies with its obligations under the applicable data protection legislation.
3.2. Restrictions on processing
The data processor must only process personal data on, and in accordance with, instructions from the cata controller, except when:
3.3. Information security
3.3.1. Duty to ensure information security
The data processor shall, by means of planned, systematic, organizational, and technical measures, ensure sufficient information security with regard to confidentiality, integrity and availability in connection with the processing of personal data in accordance with the provisions on information security in the current privacy legislation.
3.3.2. Assessment of measures
In assessing which technical and organizational measures are to be implemented, the Data Processor, in consultation with the Data Controller, shall take into account:
3.3.3. Requests from the data subject
Taking into account the nature of the processing, the Data Processor must implement sufficient technical and organizational measures to support the Data Controller’s duty to answer questions about the exercise of the data subject’s rights in accordance with GDPR chapter 3.
3.3.4. Assistance to the Data Controller
The data processor must provide assistance so that the data controller can take care of his own responsibilities according to law and regulations, including assisting the Data Controller to:
Assistance as mentioned above must be carried out to the extent necessary based on the Data Controller’s needs, the nature of the processing and the information available to the Data Processor.
3.4. Deviations and notification of deviations
Any use of the information systems and personal data contrary to established routines, instructions from the Data Controller or applicable privacy legislation, as well as security breaches, shall be treated as deviations.
The data processor must have routines and systematic processes for following up on deviations, which must include re-establishing the normal state, eliminating the cause of the deviation, and preventing repetition.
The data processor must immediately notify the Data Controller of:
The data processor shall provide the data controller with all information necessary to enable the Data Controller to comply with the applicable legislation on the processing of personal data and to enable the data controller to respond to inquiries from data supervisory authorities. It is the data controller’s responsibility to report deviations to the Norwegian data protection authority in accordance with current legislation.
3.5. Confidentiality
The data processor has a duty of confidentiality regarding personal data and other confidential information, including trade secrets. The data processor must ensure that everyone who performs work for the data processor, whether employees or contractors, who has access to or is involved in the processing of personal data according to the
Agreement, (i) is subject to a duty of confidentiality, and (ii) is informed of and complies with the obligations under this Data Processor Agreement. The confidentiality obligation also applies after termination of the Agreement and the data processing agreement.
3.6. Security audits
The data processor must regularly carry out security audits for systems and the like that are relevant to the processing of personal data covered by this Data Processor Agreement. The controller must have access to reports documenting security audits.
The controller has the right to demand a security audit carried out by an independent third party. The relevant third party will prepare a report which will be handed over to the Data Controller on request. The data controller agrees that the data processor can calculate a special remuneration for carrying out the audit according to the current hourly rates.
The data controller can show such a report to supervisory authorities and others who have a right to know the content.
4. LIABILITY, BREACH
4.1. Procedure
In the event of a breach of this data processor agreement or obligations under current legislation on the processing of personal data, the relevant provisions in the Agreement on procedure for handling breaches/defaults shall apply.
The data processor must notify the data controller without undue delay if the Data Processor will not be, or has reason to believe that it will not be, able to comply with its obligations under this data processor agreement.
4.2. Liability and limitation of liability
The data processor is responsible for compensation for direct financial loss, including administrative sanctions and fees, and compensation claims directed against the data controller, as a result of the Data Processor’s breach of any of its obligations under this data processing agreement.
Total compensation per calendar year after this point 4.2 is limited to an amount equivalent to NOK 500,000.
If the data processor or anyone responsible for gross negligence or intent, the aforementioned compensation limitations do not apply.
5. DURATION, TERMINATION OF THE DATA PROCESSING AGREEMENT, CHANGES
This Data Processor Agreement shall apply from the date it is signed by both parties and until the Agreement expires, or until the Data Processor’s obligation to provide services in accordance with the Agreement ceases for any other reason, with the exception of the provisions in the Agreement and the data processor agreement that continue to run after termination .
At the conclusion of this data processor agreement, personal data must be returned in a standardized format on a suitable medium together with the necessary instructions to facilitate the Data controller’s further use of the personal data. The Data Processor must first return and then delete all personal data, unless prescriptive legislation prevents the data processor from such deletion.
As an alternative to returning the personal information, the data controller may, at its own discretion, instruct the Data Processor in writing that all or parts of the Personal Information shall be deleted without return.
The obligations according to section 3.5 and section 4 shall continue to apply after the conclusion of the data processing agreement. Furthermore, the provisions in the data processor agreement shall apply in full to any personal data retained by the data processor in violation of this section 5.
6. DISPUTES AND JURISDICTION
This data processor agreement shall be subject to and interpreted in accordance with Norwegian law.
The agreed venue is the Oslo district court.
APPENDIX 1 – SPECIFICATION OF PROCESSING ACTIVITIES
1. CATEGORIES OF DATA SUBJECTS
The personal data that is processed in accordance with the data processing agreement concerns the following categories of data subjects:
2. INFORMATION CATEGORIES
The categories of personal data that are processed in accordance with the data processing agreement are:
3. SENSITIVE PERSONAL INFORMATION (IF APPLICABLE)
4. PURPOSE OF THE PROCESSING
The purpose of the processing is to perform the services in accordance with the Agreement,
i.e. to create content and develop, offer and maintain systems and applications for digital courses and to give the data controller’s users access to these systems and applications as well as their content and results. The information will also be processed in anonymized form so that the Data Processor can keep statistics on which companies they reach out to over time and see attitude trends in the companies.
5. HOW LONG IS THE INFORMATION STORED?
E-mails to the data controller can be removed by the data processor at any time, but current courses require the existence of a contact person from the company, so in reality the e-mail must be replaced with another one.
All information is automatically deleted 6 months after the course has been completed or archived.