Logg Inn
Vilkår og persondatahåndtering

1. BAKGRUNN, FORMÅL OG DEFINISJONER

I forbindelse med registrering og gjennomføring av kurset vil Databehandler behandle personopplysninger på vegne av og opptre som databehandler for Behandlingsansvarlig.

Denne databehandleravtalen regulerer partenes rettigheter og forpliktelser for å sikre at all behandling av personopplysninger skjer i henhold til gjeldende lovgivning om behandling av personopplysninger, herunder EUs personvernforordning 2016/679 («GDPR») og i gjeldende personvernlovgivning som gjennomfører denne.

Databehandler vil behandle personopplysninger i den utstrekning det er nødvendig for å oppfylle Avtalen, som spesifisert i vedlegg 1. Bakgrunnen for, karakteren av, formålet med, kategorier av personopplysninger og kategorier av registrerte personer er spesifisert i vedlegg 1.

Begrepene «personopplysning», «sensitive personopplysninger», «behandling», «behandlingsansvarlig», «databehandler», «den registrerte», etc. brukt i denne databehandleravtalen skal ha samme betydning som etter GDPR og gjeldende personvernlovgivning.

 

2. DEN BEHANDLINGSANSVARLIGES FORPLIKTELSER

Behandlingsansvarlig bekrefter at Behandlingsansvarlig:

  • har tilstrekkelig hjemmelsgrunnlag for behandling av personopplysninger,
  • har rett til å la Databehandler behandle Personopplysningene,
  • skal implementere tilstrekkelige tekniske og organisatoriske tiltak for å sikre og dokumentere overholdelse av gjeldende lovgivning.

 

3. DATABEHANDLERS FORPLIKTELSER

 

3.1. Overholdelse av gjeldende rett

Databehandler skal overholde alle bestemmelser for beskyttelse av Personopplysninger fastsatt i denne Databehandleravtalen og i gjeldende personvernlovgivning.

Databehandler skal overholde instrukser og rutiner gitt av Behandlingsansvarlig med hensyn til behandling av personopplysninger. Databehandler skal umiddelbart gi beskjed til Behandlingsansvarlig dersom Databehandler er av den oppfatning at en instruks fra Behandlingsansvarlig er i strid med gjeldende personvernlovgivning.

Databehandler skal bistå Behandlingsansvarlig i å sikre og dokumentere at Behandlingsansvarlig overholder sine forpliktelser under gjeldende personvernlovgivning.

 

3.2. Restriksjoner for behandling

Databehandler skal bare behandle personopplysninger på, og i samsvar med instruks fra Behandlingsansvarlig, unntatt når:

  1. Databehandler er forpliktet til å behandle personopplysninger i henhold til preseptorisk lovgivning. I så fall skal Databehandler varsle Behandlingsansvarlig før behandlingen begynner, med mindre slik varsling er forbudt.
  2. Databehandler må behandle personopplysninger for å oppfylle sine forpliktelser overfor Behandlingsansvarlig etter Avtalens opphør. I så fall skal denne databehandleravtalen gjelde inntil behandlingen opphører.

3.3. Informasjonssikkerhet

 

3.3.1. Plikt til å sikre informasjonssikkerhet

Databehandler skal ved planlagte, systematiske, organisatoriske og tekniske tiltak sikre tilstrekkelig informasjonssikkerhet med hensyn til konfidensialitet, integritet, og tilgjengelighet i forbindelse med behandling av personopplysninger i samsvar med bestemmelser om informasjonssikkerhet i gjeldende personvernlovgivning.

 

3.3.2. Vurdering av tiltak

I vurderingen av hvilke tekniske og organisatoriske tiltak som skal implementeres, skal Databehandler i samråd med Behandlingsansvarlig ta i betraktning:

  • beste praksis,
  • kostnaden ved implementering,
  • karakteren og omfanget av behandlingen,
  • konteksten og formålet med behandlingen,
  • alvorlighet av den risiko behandlingen av personopplysninger medfører for den registrertes rettigheter.

Databehandler skal, i samråd med Behandlingsansvarlig, vurdere:

  • Implementering av pseudonymisering og kryptering av personopplysninger
  • Evnen til å sikre løpende konfidensialitet, integritet, tilgjengelighet og robustheten til systemer for behandling og tjenester
  • Evnen til å gjenopprette tilgjengelighet og tilgang til personopplysninger til rett tid i tilfelle fysiske eller tekniske hendelser
  • En prosess for jevnlig testing, vurdering og evaluering av effektiviteten til tekniske og organisatoriske tiltak for sikkerheten til behandlingen

 

3.3.3. Forespørsler fra den registrerte

Tatt i betraktning arten av behandlingen skal Databehandler implementere tilstrekkelige tekniske og organisatoriske tiltak for å støtte den Behandlingsansvarliges plikt til å svare på spørsmål om utøvelse av den registrertes rettigheter i henhold til GDPR kapittel 3.

 

3.3.4. Bistand til Behandlingsansvarlig

Databehandler skal gi bistand slik at Behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift, herunder bistå Behandlingsansvarlig med å:

  • Implementere tekniske og organisatoriske tiltak som nevnt over,
  • overholde varslingsplikt til tilsynsmyndigheter og registrerte personer som følge av avvik,
  • utføre vurdering av personvernkonsekvenser («data privacy impact assessments»),
  • utføre forutgående drøftelser med tilsynsmyndigheter når en vurdering av personvernkonsekvenser gjør det nødvendig
  • varsle Behandlingsansvarlig dersom Databehandler mener at en instruks fra Behandlingsansvarlig er i strid med gjeldende personvernregelverk.

Bistand som nevnt over skal utføres i den utstrekning det er nødvendig ut ifra Behandlingsansvarlig sitt behov, karakteren av behandlingen og informasjonen tilgjengelig for Databehandler.

 

3.4. Avvik og avviksmeldinger

Enhver bruk av informasjonssystemene og Personopplysninger i strid med etablerte rutiner, instrukser fra Behandlingsansvarlig eller gjeldende personvernlovgivning, så vel som sikkerhetsbrudd, skal behandles som avvik.

Databehandler skal ha rutiner og systematiske prosesser for å følge opp avvik, som skal inkludere reetablering av normaltilstanden, eliminasjon av årsaken til avviket, og hindre gjentagelse.

Databehandler skal umiddelbart varsle Behandlingsansvarlig om:

  1. ethvert brudd på denne databehandleravtalen
  2. utilsiktet, ulovlig eller uautorisert tilgang, bruk eller utlevering av Personopplysninger, eller at Personopplysninger kan ha blitt kompromittert, eller
  3. brudd på personopplysningenes integritet

 

Databehandler skal gi Behandlingsansvarlig all informasjon nødvendig for å sette Behandlingsansvarlig i stand til å overholde gjeldende lovgivning om behandling av personopplysninger og sette Behandlingsansvarlig i stand til å besvare henvendelser fra datatilsynsmyndigheter. Det er Behandlingsansvarlig sitt ansvar å melde avvik til Datatilsynet i henhold til gjeldende lovgivning.

 

3.5. Konfidensialitet

Databehandler har taushetsplikt om personopplysninger og annen konfidensiell informasjon, herunder forretningshemmeligheter. Databehandler skal sikre at alle som utfører arbeid for Databehandler, enten ansatte eller innleide, som har tilgang til eller er involvert i behandling av personopplysninger etter Avtalen, (i) er underlagt taushetsplikt, og (ii) er informert om og overholder forpliktelsene etter denne databehandleravtalen. Taushetsplikten gjelder også etter opphør av Avtalen og databehandleravtalen.

 

3.6. Sikkerhetsrevisjoner

Databehandler skal jevnlig foreta sikkerhetsrevisjoner for systemer og lignende som er relevant for behandlingen av personopplysninger som omfattes av denne Databehandleravtalen.

Behandlingsansvarlig skal ha tilgang til rapporter som dokumenterer sikkerhetsrevisjoner.

Behandlingsansvarlig har rett til å kreve sikkerhetsrevisjon utført av uavhengig tredjepart. Vedkommende tredjepart vil utarbeide en rapport som vil bli overlevert Behandlingsansvarlig på forespørsel. Behandlingsansvarlig er innforstått med at Databehandler kan beregne seg en særskilt godtgjørelse for gjennomføringen av revisjonen i henhold til gjeldende timepriser.

Behandlingsansvarlig kan vise slik rapport til tilsynsmyndigheter og andre som har krav på å kjenne innholdet.

 

3.7. Bruk av underleverandører

Enhver underleverandør skal godkjennes skriftlig av Behandlingsansvarlig før underleverandøren kan behandle personopplysninger. Databehandler har rett til å benytte underleverandører, og Behandlingsansvarlig aksepterer underleverandører som angitt i Bilag 1. Databehandler skal, i skriftlig avtale med enhver underleverandør, sikre at behandling av personopplysninger utført av

underleverandører skal være underlagt de samme forpliktelser og begrensninger som de pålagt Databehandler i henhold til denne databehandleravtalen.

 

3.8. Overføring av personopplysninger til tredjeland

Dersom Databehandler benytter underleverandør(er) utenfor EØS («Tredjeland») for behandling av personopplysninger, må behandlingen skje i henhold til EUs standardavtaler for overføring til tredjeland eller annet akseptert og spesifikt angitt grunnlag for overføring til tredjeland. For å unngå tvil gjelder det samme dersom opplysningene lagres i EØS, men kan aksesseres av personell som er lokalisert utenfor EØS.

Dersom Behandlingsansvarlig godkjenner slik overføring, skal Databehandler samarbeide med Behandlingsansvarlig om å sikre lovligheten av overføringene.

 

4. ANSVAR, BRUDD

 

4.1. Prosedyre

I tilfelle brudd på denne databehandleravtalen eller forpliktelser etter gjeldende lovgivning om behandling av personopplysninger, skal de relevante bestemmelser i Avtalen om prosedyre for håndtering av brudd/mislighold komme til anvendelse.

Databehandler skal varsle Behandlingsansvarlig uten ugrunnet opphold dersom Databehandler ikke vil være, eller har grunn til å tro at denne ikke vil være, i stand til å overholde sine forpliktelser etter denne databehandleravtalen.

 

4.2. Ansvar og ansvarsbegrensning

Databehandler er erstatningsansvarlig for direkte økonomisk tap, herunder administrative sanksjoner og gebyrer, og erstatningskrav som rettes mot Behandlingsansvarlig, som en følge av Databehandlers brudd på noen av dennes forpliktelser i henhold til denne databehandleravtalen.

Samlet erstatning pr. kalenderår etter dette punkt 4.2 er begrenset til et beløp som tilsvarer NOK 500 000.

Har Databehandler eller noen denne svarer for utvist grov uaktsomhet eller forsett, gjelder ikke de nevnte erstatningsbegrensningene.

 

5. VARIGHET, AVSLUTNING AV DATABEHANDLERAVTALEN, ENDRINGER

Denne Databehandleravtalen skal gjelde fra den dato den er signert av begge parter og inntil Avtalen utløper, eller inntil Databehandlers plikt til ytelse av tjenester i henhold til Avtalen opphører av annen grunn, med unntak av de bestemmelser i Avtalen og databehandleravtalen som fortsetter å løpe etter avslutning.

Ved avslutning av denne databehandleravtalen skal Personopplysninger returneres i standardisert format på et egnet medium sammen med nødvendige instruksjoner for å legge til rette for den Behandlingsansvarliges videre bruk av personopplysningene. Databehandler skal først returnere og deretter slette alle Personopplysninger, med mindre preseptorisk lovgivning forhindrer Databehandler fra slik sletting.

Som alternativ til å returnere Personopplysningene kan Behandlingsansvarlig, etter egen vurdering, skriftlig instruere Databehandler om at alle eller deler av Personopplysningene skal slettes uten returnering.

Forpliktelsene etter pkt. 3.5 og pkt. 4 skal fortsette å gjelde etter databehandleravtalens avslutning. Videre skal bestemmelsene i databehandleravtalen gjelde fullt ut for eventuelle personopplysninger beholdt av Databehandler i strid med dette pkt. 5.

 

6. TVISTER OG JURISDIKSJON

Denne databehandleravtalen skal være underlagt og tolkes i samsvar med norsk rett. Avtalt verneting er Oslo tingrett.

 

 

VEDLEGG 1 – SPESIFISERING AV BEHANDLINGSAKTIVITETER

 

1. KATEGORIER AV DATASUBJEKTER

Personopplysningene som blir behandlet i henhold til databehandleravtalen gjelder følgende kategorier av datasubjekter:

  • Ansatte, konsulenter og andre personer som jobber for Behandlingsansvarlig
  • Kontaktpersoner hos den Behandlingsansvarliges leverandører, kunder og andre forretningspartnere

 

2. OPPLYSNINGSKATEGORIER

Kategoriene av personopplysninger som blir behandlet i henhold til databehandleravtalen er:

  • Kontaktinformasjon, slik som navn, alder, kjønn, arbeidssted, rolle, stilling, telefonnummer, epost, størrelse på bedrift og hvor mange personer deltaker er leder for.
  • Når kurs påbegynnes og avsluttes.
  • Deltakelse på, svar, resultater og annet innhold i forbindelse med kurs, treninger, spill og andre applikasjoner tilbudt Behandlingsansvarlig som en del av Databehandlers tjenester

 

3. SENSITIVE PERSONOPPLYSNINGER (OM AKTUELT)

  • Ingen

 

4. FORMÅL MED BEHANDLINGEN

Formålet med behandlingen er å utføre tjenestene i samsvar med Avtalen, det vil si å lage innhold og utvikle, tilby og vedlikeholde systemer og applikasjoner for digitale kurs og gi den Behandlingsansvarliges brukere tilgang til disse systemene og applikasjonene samt deres innhold og resultater. Opplysningene vil også i anonymisert form behandles for at Databehandler skal kunne føre statistikk på hvilke bedrifter de når ut til over tid og se holdningstendenser i bedriftene.

 

5. HVOR LENGE LAGRES INFORMASJONEN?

E-poster til behandlingsansvarlig kan når som helst fjernes av databehandler, men pågående kurs krever at det eksisterer en kontaktperson fra bedriften, så i realiteten må e-posten erstattes med en annen.

Opplysningene slettes automatisk 6 måneder etter at kurset er gjennomført eller arkivert.