DATABEHANDLERAVTALE. mellom. [kunde] ("Behandlingsansvarlig") LINK Moblity ("Databehandler")

Transkript

1 DATABEHANDLERAVTALE mellom [kunde] ("Behandlingsansvarlig") og LINK Moblity ("Databehandler") Kontaktinformasjon Behandlingsansvarlig Navn: Tittel: Adresse: Telefon: E-post: Kontaktinformasjon Databehandler Navn: Tittel: Adresse: Telefon: E-post:

2 1 INNLEDNING Dette Bilaget angir hovedprinsippene for behandling av Personopplysninger under, og utgjør en integrert del av, den eksisterende avtalen for Tjenester mellom partene ("Avtalen"). Bilaget utgjør databehandleravtalen mellom partene, og vil i det følgende omtales som "Databehandleravtalen". 2 HOVEDPRINSIPPER FOR BEHANDLING AV PERSONOPPLYSNINGER 2.1 Beskyttelse av Personopplysninger Databehandler tar beskyttelse og sikkerhet for Personopplysninger alvorlig, og vil behandle slike opplysninger i samsvar med gjeldende Personvernlovgivning og Avtalen. For å kunne yte Tjenesten, vil Databehandler behandle Personopplysninger om brukere og andre som har tilgang til Tjenesten. Databehandler kan utlevere Personopplysninger i den grad Avtalen åpner for det. 2.2 Personvernerklæring For mer informasjon om hvordan Personopplysninger vil behandles i relasjon til Tjenesten, henvises det til personvernerklæringen tilgjengelig her: 3 FORMÅLET MED DATABEHANDLERAVTALEN Formålet med Databehandleravtalen er å regulere rettigheter og plikter i henhold til gjeldende Personvernlovgivning i forbindelse med Databehandlers behandling av Personopplysninger på vegne av Behandlingsansvarlig. Med "Personvernlovgivning" siktes det til EU-forordning 2016/679 ("GDPR") når denne trer i kraft, og til enhver tid gjeldende nasjonal lovgivning relatert til personvern i det land Behandlingsansvarlig er etablert, herunder lovgivning som implementerer eller supplerer GDPR. Med "Personopplysninger" menes enhver opplysning om en identifisert eller identifiserbar fysisk person (den "Registrerte"). Databehandleravtalen skal sikre at Personopplysninger behandles i samsvar med Personvernlovgivning og ikke benyttes på en lovstridig måte eller havner i besittelsen til uautoriserte parter. 4 OMFANGET AV BEHANDLINGEN 4.1 Generelt Behandlingsansvarlig bestemmer formålet med behandlingen og hvilke hjelpemidler som skal benyttes. Databehandler, dennes Underleverandører og andre som på vegne av Databehandler utfører oppdrag og har tilgang til Personopplysningene, skal behandle Personopplysningene kun på vegne av Behandlingsansvarlig og i henhold til Avtalen og Behandlingsansvarliges skriftlige instrukser, samt i henhold til denne Databehandleravtalen, med mindre noe annet fremgår i gjeldende lovgivning. Databehandler skal omgående underrette Behandlingsansvarlig dersom Databehandler mener at en instruks er i strid med Personvernlovgivningen. 2/11

3 4.2 Formålet med behandlingen Databehandleravtalen gjelder Databehandlers behandling av Personopplysninger på vegne av Behandlingsansvarlig i forbindelse med Databehandlers leveranse av "Tjenesten" som nærmere beskrevet i Avtalen. 4.3 Omfanget av behandlingen Omfanget av og formålet med behandlingen er knyttet til levering av Tjenesten, som nærmere beskrevet i Avtalen. 4.4 Kategorier av Personopplysninger og Registrerte Behandlingen innebærer behandling av Personopplysninger om Behandlingsansvarliges sluttbrukere, kunder eller ansatte, avhengig av den Behandlingsansvarliges bruk av Tjenesten. Behandlingen omfatter følgende kategorier av Personopplysninger, avhengig av den Behandlingsansvarliges konkrete bruk av Tjenesten: Alminnelige Personopplysninger, herunder navn, kontaktopplysninger slik som e-postadresse, telefonnummer etc. Spesielle kategorier av Personopplysninger, herunder opplysninger som avslører rasemessig eller etnisk opprinnelse, politisk oppfatning, religiøs- eller filosofisk overbevisning, fagforeningsmedlemskap og helseopplysninger. Lokasjonsdata, herunder GPS- og Wifi-lokasjonsdata, samt lokasjonsdata hentet fra Databehandlers nettverk (som ikke er trafikkdata, som definert under). Trafikkdata, herunder Personopplysninger som behandles i relasjon til formidling av kommunikasjon på et elektronisk kommunikasjonsnettverk eller fakturering av slike tjenester. Opplysninger relatert til innholdet i kommunikasjon, slik som e-post, telefonsvar, SMS/MMS, nettleserdata etc. 5 BEHANDLINGSANSVARLIGES PLIKTER Behandlingsansvarlig innestår for at Personopplysningene behandles for legitime og objektive formål, samt at Databehandler ikke behandler Personopplysninger i større omfang enn det som er nødvendig for å oppnå formålet. Behandlingsansvarlig er ansvarlig for at det foreligger et gyldig rettslig grunnlag for behandlingen på tidspunktet Personopplysningene overføres til Databehandler, herunder at ethvert samtykke er informert, og avgitt eksplisitt, utvetydig og frivillig. På forespørsel fra Databehandler skal Behandlingsansvarlig skriftlig gjøre rede for og/eller dokumentere det rettslige grunnlaget for behandlingen. Behandlingsansvarlig innestår for at de Registrerte har mottatt tilstrekkelig informasjon om behandlingen av deres Personopplysninger. Instruksjoner for behandling av Personopplysninger under denne Databehandleravtalen skal som hovedregel gis til Databehandler. Dersom Behandlingsansvarlig instruerer en Underleverandør oppnevnt i tråd med punkt 11 direkte, skal Behandlingsansvarlig umiddelbart informere Databehandler om dette. Databehandler kan ikke holdes ansvarlig for behandling utført av en Underleverandør som et resultat av instrukser mottatt direkte fra 3/11

4 Behandlingsansvarlig, og som medfører et brudd på denne Databehandleravtalen, Avtalen eller Personvernlovgivning. 6 TAUSHETSPLIKT Databehandler, dennes Underleverandører og andre som på vegne av Databehandler utfører oppdrag og har tilgang til Personopplysningene, er underlagt taushetsplikt og skal etterleve taushetsplikten i forbindelse med behandling av Personopplysninger og sikkerhetsdokumentasjon i henhold til gjeldende Personvernlovgivning. Databehandler har ansvaret for at de som opptrer på vegne av Databehandler er underlagt slik taushetsplikt. Behandlingsansvarlig er underlagt taushetsplikt når det gjelder dokumentasjon og informasjon mottatt av Databehandler knyttet til Databehandlerens og dennes Underleverandørers gjennomføring av tekniske og organisatoriske sikkerhetstiltak, og informasjon som Databehandler ellers ønsker å bevare som konfidensiell. Taushetsplikten gjelder også etter Databehandleravtalens opphør. 7 SIKKERHET Sikkerhetskravene som gjelder for Databehandlers behandling av Personopplysninger, er regulert i Bilag 1 til denne Databehandleravtalen. 8 TILGANG TIL PERSONOPPLYSNINGER OG OPPFYLLELSE AV DE REGISTRERTES RETTIGHETER Med mindre annet er avtalt eller følger av gjeldende lovgivning, skal Behandlingsansvarlig ha rett til å kreve tilgang til Personopplysninger som behandles av Databehandler på vegne av Behandlingsansvarlig. Dersom Databehandler eller Underleverandør mottar en forespørsel fra en Registrert om behandlingen av Personopplysninger, skal Databehandler videresende forespørselen til Behandlingsansvarlig, med mindre Databehandler etter gjeldende lovgivning eller i tråd med Behandlingsansvarliges instruksjoner selv er berettiget til å håndtere forespørselen. Databehandler skal bistå Behandlingsansvarlig med å oppfylle Behandlingsansvarliges plikt til å svare på anmodninger som de Registrerte inngir for å utøve sine rettigheter fastsatt i Personvernlovgivningen, herunder retten til (i) innsyn, (ii) korrigering og (iii) sletting, (iv) begrensning eller å motsette seg en behandling, samt (v) til å få utlevert egne Personopplysninger i et strukturert, alminnelig anvendt og maskinleselig format (dataportabilitet). Databehandler skal kompenseres for slik bistand i tråd med Databehandlers gjeldende priser, med mindre noe annet er avtalt. 9 ANNEN BISTAND TIL BEHANDLINGSANSVARLIG Dersom Databehandler eller en Underleverandør mottar en forespørsel fra relevant tilsynsmyndighet for innsyn i eller informasjon om registrerte Personopplysninger eller behandlingsaktiviteter under denne Databehandleravtalen, skal Databehandler varsle Behandlingsansvarlig om forespørselen, med mindre Databehandler etter gjeldende lovgivning eller i tråd med Behandlingsansvarliges instruksjoner selv er berettiget til å håndtere forespørselen. Dersom Behandlingsansvarlig er forpliktet til å gjennomføre en vurdering av personvernkonsekvenser og/eller gjennomføre forhåndsdrøftelser med relevant tilsynsmyndighet i forbindelse med behandlingen av 4/11

5 Personopplysninger under denne Databehandleravtalen, skal Databehandler bistå Behandlingsansvarlig. Behandlingsansvarlig skal dekke kostnader påført Databehandler som følge av slik bistand. 10 MELDING OM SIKKERHETSBRUDD Databehandler skal underrette Behandlingsansvarlig uten ugrunnet opphold etter å ha fått kjennskap til et brudd på sikkerheten ved behandlingen av Personopplysninger ("Sikkerhetsbrudd"). Behandlingsansvarlig er ansvarlig for å melde Sikkerhetsbrudd til relevant tilsynsmyndighet. Underretningen til Behandlingsansvarlig skal som et minimum beskrive (i) arten av Sikkerhetsbruddet, herunder, når det er mulig, kategoriene av og omtrentlig antall Registrerte og Personopplysninger som er berørt, (ii) de sannsynlige konsekvensene av Sikkerhetsbruddet, (iii) de tiltak som Databehandler har truffet eller foreslår å treffe for å håndtere Sikkerhetsbruddet, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet. Dersom Behandlingsansvarlig er forpliktet til å underrette de Registrerte om Sikkerhetsbrudd, skal Databehandler bistå Behandlingsansvarlig med dette, herunder skaffe til veie, hvis tilgjengelig, nødvendig kontaktinformasjon til de Registrerte som er berørt. Behandlingsansvarlig skal dekke kostnadene knyttet til slik kommunikasjon med de Registrerte, med mindre Sikkerhetsbruddet skyldes forhold som Databehandler er ansvarlig for. 11 BRUK AV UNDERLEVERANDØRER Databehandler skal ikke engasjere en annen databehandler ("Underleverandør") i forbindelse med behandlingen av Personopplysninger uten at det på forhånd er innhentet skriftlig tillatelse til dette fra Behandlingsansvarlig. Databehandler skal informere Behandlingsansvarlig om endringer eller suppleringer av Underleverandører, og Behandlingsansvarlig har rett til å motsette seg slike endringer. Databehandler skal sikre at Databehandlers forpliktelser med hensyn til vern av Personopplysninger som er fastsatt i Databehandleravtalen og i Personvernlovgivningen, pålegges eventuelle Underleverandører ved å inngå skriftlige avtaler. Underleverandører skal særlig gi tilstrekkelige garantier for at det blir gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i Personvernlovgivningen, samt gi Behandlingsansvarlig og relevant tilsynsmyndighet den tilgang og informasjon som er nødvendig for å verifisere slike garantier. Databehandler skal ha fullt ansvar overfor Behandlingsansvarlig for at Underleverandører oppfyller sine forpliktelser. Listen over Underleverandører er tilgjengelig her: 12 OVERFØRING Utlevering, overføring eller tilgang til Personopplysninger fra land utenfor EU/EØS ("Tredjeland") kan bare skje etter skriftlig forhåndsgodkjenning fra Behandlingsansvarlig og ved bruk av EUs standardvilkår, eller basert på annet rettslig grunnlag for slik overføring eller utlevering. Databehandler skal yte rimelig bistand og dokumentasjon til bruk i den Behandlingsansvarliges selvstendige risikovurdering av overføringen av Personopplysninger til et Tredjeland. 5/11

6 13 REVISJONER Databehandler er forpliktet til å gi Behandlingsansvarlig dokumentasjon på gjennomførte tekniske og organisatoriske tiltak for å sikre et egnet sikkerhetsnivå samt annen informasjon som er nødvendig for å dokumentere at Databehandler oppfyller sine forpliktelser etter denne Databehandleravtalen og Personvernlovgivningen. Behandlingsansvarlig og relevant tilsynsmyndighet har rett til å gjennomføre revisjoner, herunder inspeksjoner og evaluering av Personopplysninger som behandles, systemene som benyttes til dette formål, gjennomførte tekniske og organisatoriske sikkerhetstiltak, inkludert sikkerhetsinstrukser etc., samt Underleverandører. Behandlingsansvarlig skal ikke gis tilgang til informasjon vedrørende Databehandlers andre kunder og informasjon som er underlagt konfidensialitetsforpliktelser. Behandlingsansvarlig har rett til å gjennomføre slik revisjon en gang per år. Dersom Behandlingsansvarlig utpeker en ekstern revisor til å gjennomføre revisjonen, skal revisoren være bundet av en plikt til konfidensialitet. Behandlingsansvarlig skal dekke kostnader knyttet til revisjoner som er initiert av Behandlingsansvarlig eller som påløper ved revisjon av Behandlingsansvarlig, inkludert kompensasjon til Databehandler for rimelig medgått tid for Databehandler og dennes ansatte for bistand under inspeksjonen. Databehandler skal likevel dekke slike kostnader hvis en revisjon avdekker manglende oppfyllelse av forpliktelser etter Databehandleravtalen eller Personvernlovgivningen. 14 VARIGHET OG OPPHØR Databehandleravtalen gjelder så lenge Databehandler behandler Personopplysninger på vegne av Behandlingsansvarlig. Dersom Databehandler bryter Databehandleravtalen eller ikke oppfyller sine forpliktelser etter Personvernlovgivningen, kan Behandlingsansvarlig (i) pålegge Databehandleren å stanse videre behandling av Personopplysninger med øyeblikkelig virkning, og/eller (ii) avslutte Databehandleravtalen med øyeblikkelig virkning. 15 KONSEKVENSER VED OPPHØR Ved opphør av Databehandleravtalen skal Databehandler, som angitt av Behandlingsansvarlig, enten slette eller returnere alle Personopplysningene til Behandlingsansvarlig, inkludert kopier og back-up, med mindre annet er fastsatt i gjeldende lovgivning. Databehandler skal skriftlig dokumentere overfor Behandlingsansvarlig at sletting har funnet sted i samsvar med Databehandleravtalen og som angitt av Behandlingsansvarlig. 16 ANSVARSBEGRENSNING Ingen part skal overfor den annen part være ansvarlig for indirekte tap eller følgeskader av noen art (inkludert, men ikke begrenset til tap som følge av driftsavbrudd, tap av data, tapt fortjeneste eller lignende) uavhengig av ansvarsgrunnlag, hva enten i kontrakt, culpaansvar, produktansvar eller annet, selv om parten er underrettet om muligheten for slike skader (i fellesskap omtalt som "Indirekte Tap"). 6/11

7 Ingen part skal være ansvarlig overfor den annen part for; a) feil eller forsinkelser som ligger utenfor partens rimelige kontroll, herunder generelle internett eller linjeforsinkelser, strømbrudd eller feil på maskiner; eller b) feil forårsaket av den annen parts systemer eller handlinger, uaktsomhet eller unnlatelser, som alene skal være den partens ansvar. Det totale og maksimale ansvaret for hver tolv (12) måneders periode, for en part overfor den annen part under eller i medhold av denne Databehandleravtalen, skal under ingen omstendighet overstige et beløp tilsvarende det totalbeløp betalt for Tjenesten under Avtalen i løpet av de tolv (12) siste månedene forut for den skadevoldende handlingen. Ovennevnte begrensninger skal ikke gjelde for skader som skyldes svindel, grov uaktsomhet eller forsett. 17 VARSLER OG ENDRINGER Alle varsler knyttet til Databehandleravtalen skal sendes skriftlig til e-postadressen angitt på første side av Databehandleravtalen. I tilfelle endringer i Personvernlovgivningen, dersom dom eller uttalelse fra kompetent myndighet eller annen autoritativ kilde medfører en endret tolkning av Personvernlovgivningen, eller dersom det gjøres endringer i leveransen av Tjenesten som krever endringer i Databehandleravtalen, skal partene samarbeide for å oppdatere Databehandleravtalen tilsvarende. Enhver endring eller tillegg til denne Databehandleravtalen skal skje skriftlig og undertegnes av begge parter. 18 LOVVALG OG VERNETING Lovvalg, verneting og tvisteløsningsmekanisme reguleres av Avtalen. 7/11

8 Databehandleravtalen er underskrevet i to eksemplarer, hvorav partene beholder hvert sitt eksemplar. *** [sted, dato] [kunde] [leverandør] [Click and type name] [Click and type title] [Click and type name] [Click and type title] 8/11

9 Vedlegg 1 Sikkerhet 1 KRAV TIL INFORMASJONSSIKKERHET Databehandler, som i henhold til Databehandleravtalen behandler Personopplysninger på vegne av Behandlingsansvarlig, skal gjennomføre hensiktsmessige tekniske og organisatoriske tiltak som er fastsatt i Personvernlovgivning og/eller tiltak pålagt av relevant tilsynsmyndighet i henhold til gjeldende lovgivning for å oppnå et egnet sikkerhetsnivå. Databehandler skal vurdere egnet sikkerhetsnivå og ta hensyn til risikoene forbundet med behandlingen, herunder risiko for utilsiktet eller ulovlig tilintetgjøring, tap, endring eller ikke-autorisert utlevering eller tilgang til Personopplysninger som er overført, lagret eller på annen måte behandlet. All overføring av Personopplysninger mellom Databehandler og Behandlingsansvarlig eller mellom Databehandler og en tredjepart skal gjøres ved bruk av tilstrekkelige sikkerhetstiltak, eller som avtalt mellom partene. Dette Vedlegg 1 inneholder en generell beskrivelse av de tekniske og organisatoriske tiltak som skal iverksettes av Databehandler for å sikre et tilstrekkelig nivå av sikkerhet for Personopplysninger. I den grad Databehandler har tilgang til slik informasjon, skal Databehandler gjøre tilgjengelig for Behandlingsansvarlig generelle beskrivelser av Underleverandørers tekniske og organisatoriske tiltak som er implementert for å sikre et tilstrekkelig nivå av sikkerhet. 2 TEKNISKE OG ORGANISATORISKE TILTAK 2.1 Fysisk tilgangskontroll Databehandler skal iverksette forholdsmessige tiltak for å hindre uautorisert fysisk tilgang til Databehandlers eiendom og lokaler hvor det oppbevares eller behandles Personopplysninger. Tiltakene skal inkludere: Prosedyrer og/eller fysiske systemer for tilgangskontroll, herunder vakthold Automatisk dørlåsing eller andre tiltak for elektroniske tilgangskontroll Alarmsystem, videoovervåkning eller lignende tiltak Loggføring av besøkende i lokalet ID, nøkkel eller andre krav for adgang til lokalene 2.2 Tilgangsstyring for systemer Prosedyrer for passordbeskyttelse (herunder f.eks. krav til lengde og bruk av spesialtegn, regelmessig endring av passord etc.) Tilgang til systemer kreve godkjenning fra HR eller IT-administratorer Gjestebrukere og anonyme brukere nektes adgang til systemer Sentral administrasjon av systemtilgang Rutiner for manuell låsing av PC når man forlater arbeidsstasjon, og automatisk låsing etter maksimalt 5 minutter Restriksjoner på bruk av utskiftbare medier, som f.eks. minnepinner, CD/DVD eller flyttbare harddisker, samt krav til kryptering 9/11

10 2.3 Tilgangsstyring for Personopplysninger Databehandler skal iverksette forholdsmessige tiltak for å hindre i utgangspunktet autoriserte brukere tilgang til Personopplysninger som ligger det utenfor deres autorisasjon å behandle, for å hindre uautorisert tilgang, fjerning, modifikasjon eller utlevering av Personopplysninger. Tiltakene skal inkludere: Differensierte tilgangsrettigheter definert basert på arbeidsoppgaver Automatisk loggføring av brukertilgang i IT-systemer 2.4 Kontroll over oppføring, endring etc. av Personopplysninger Databehandler skal iverksette forholdsmessige tiltak for å kontrollere og stadfeste hvorvidt og av hvem Personopplysninger har blitt ført inn i systemet, modifisert eller fjernet. Tiltakene skal inkludere: Differensierte tilgangsrettigheter definert basert på arbeidsoppgaver Automatisk loggføring av brukertilgang i IT-systemer, og regelmessig gjennomgang av sikkerhetslogger for å avdekke og følge opp potensielle sikkerhetshendelser Sikre at det er mulig å verifisere og stadfeste til hvilke tredjeparter Personopplysninger kan ha, eller har blitt, utlevert ved bruk av elektronisk kommunikasjonsutstyr Sikre at det er mulig å verifisere og stadfeste hvilke Personopplysninger som har blitt oppført i systemet, endret eller slettet, samt når og av hvem 2.5 Kontroll over utlevering av personopplysninger Databehandler skal iverksette forholdsmessige tiltak for å hindre uautorisert tilgang, modifisering eller fjerning av Personopplysninger ved overføring. Tiltakene skal inkludere: Bruk av "state of the art" kryptering på all elektronisk overføring av Personopplysninger Kryptering ved bruk av VPN eller HTTPS for fjerntilgang, transport og kommunikasjon av Personopplysninger Lage revisjonsspor for all utlevering av Personopplysninger Obligatorisk bruk av heleid, privat nettverk for overføring av Personopplysninger 2.6 Tilgjengelighetskontroll Databehandler skal iverksette forholdsmessige tiltak for å sikre at Personopplysninger er beskyttet mot tilfeldig ødeleggelse eller tap. Tiltakene skal inkludere: Regelmessig back-up av Personopplysninger Fjernlagring Bruk av virus-beskyttelse/brannvegg Overvåkning av systemer for å avdekke virus etc. Sikre at funksjonsfeil/maskinfeil ikke kan medføre at lagrede Personopplysninger ødelegges Sikre at installerte systemer kan gjenopprettes i tilfelle av forstyrrelser Avbruddsfri strømtilførsel Prosedyrer for å sikre virksomhetskontinuitet (Business Continuity) 2.7 Kontroll med at personopplysninger holdes atskilt Databehandler skal iverksette forholdsmessige tiltak for å sikre at Personopplysninger som er samlet inn for forskjellige formål, også behandles atskilt. Tiltakene skal inkludere: 10/11

11 Differensierte tilgangsrettigheter definert basert på arbeidsoppgaver Atskilte IT-systemer 2.8 Kontroll over underleverandører Databehandler skal i tilfelle av bruk av andre til å behandle Personopplysninger iverksette forholdsmessige tiltak for å sikre at Personopplysningene behandles i tråd med den Behandlingsansvarliges instruksjoner. Tiltakene skal inkludere: Entydig og klar ordlyd i avtaler og andre skriftlige instruksjoner Overvåkning av kontraktsutførelse 2.9 Trening og bevissthet Databehandler skal iverksette tiltak for å sikre at alle ansatte er klar over rutiner for sikkerhet og konfidensialitet, gjennom: Entydig og klar regulering i arbeidsavtaler på konfidensialitet, sikkerhet og krav til etterlevelse av interne rutiner Interne rutiner og kursing i krav til behandling av Personopplysninger for å skape bevissthet blant ansatte 11/11