Databehandleravtale. Etter den nye personvernloven og EUs personvernforordning (GDPR) av 25. mai mellom. Arrangøren Behandlingsansvarlig

Like dokumenter
Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

DATABEHANDLERAVTALE. , org. nr. («Behandlingsansvarlig»)

Databehandleravtale for NLF-medlemmer

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Data be handleravtale. mellom. NNN ko m m u n e avd Oppvekst. 9sr Se%5»o. («Behandlingsansvarlig») IMAL Norge AS. Org.nr.

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale etter personopplysningsloven

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Databehandleravtale Kontorvarehuset Møre og Romsdal AS

Personvern - sjekkliste for databehandleravtale

Registrerte og personopplysninger som behandles

Databehandleravtaler

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Databehandleravtale. (versjon 1) mellom. behandlingsansvarlig. databehandler

Bilag 14 Databehandleravtale

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale etter personopplysningsloven

POWEL DATABEHANDLERAVTALE

Databehandleravtale etter personopplysningsloven

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. behandlingsansvarlig

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

KUNDEN, slik angitt i ordrebekreftelse fra, eller annen avtale med, ABAX (Behandlingsansvarlig, heretter "Kunden")

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandler. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Databehandleravtale etter personopplysningsloven

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Den Behandlingsansvarlige og Databehandleren benevnes heretter samlet som "Parter" og hver for seg som "Part".

Databehandleravtale. Skatteetaten. [leverandør] 1 av 8

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Wolters Kluwer Norge AS Østensjøveien Oslo

Databehandleravtale etter personopplysningsloven

DATABEHANDLERAVTALE. 1. Bakgrunn

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

DATABEHANDLERAVTALE. 1.3 Denne Databehandleravtalen erstatter alle tidligere avtaler og bestemmelser Partene imellom hva gjelder personvern.

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Kunden er behandlingsansvarlig Unifaun er databehandler

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

(1) [firma], et firma som er underlagt lovgivningen i [land], med organisasjonsnummer («Kunden» eller «Behandlingsansvarlig») og

Personvernforordningens krav til bruk av databehandlere

DATABEHANDLERAVTALE vedrørende nettjenesten

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom

Databehafiileravtale ' ---

DATABEHANDLERAVTALE Vedlegg til Avtale om Norlønn

Personopplysningsvern med ProFundo som databehandler

Personvernerklæring for Webstep AS

Når du skal handle noe fra nettbutikken, må du oppgi følgende opplysninger:

Databehandleravtale. Charlotte Lindberg Difi

AVTALE OM WEBSAK SYSTEM FOR ELEKTRONISK ADMINISTRATIV SAKSBEHANDLING OG ARKIV. Databehandleravtale. Arbeids-og velferdsdirektoratet

Databehandleravtale digitale arkiv og uttrekk for deponering

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom

DATABEHANDLERAVTALE. mellom. [Kunde] (heretter kalt "Behandlingsansvarlig") PayEx Norge AS, org nr (heretter kalt "Databehandler")

DATABEHANDLERAVTALE MELLOM., org.nr. «Behandlingsansvarlig» Info Vest Forlag, org.nr «Databehandler»

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).

Prosedyre for personvern

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

3 Omfattede typer av personopplysninger og kategorier av registrerte

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Databehandleravtale. mellom. Kunden (behandlingsansvarlig) Devinco AS (databehandler)

Databehandleravtale. mellom. Navn på skoleeier: Org. nr.: (behandlingsansvarlig)

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")

Bilag 1 Omforent spesifikasjon av SaaS-tjenestene med forutsetninger og vilkår

Personvernerklæring for Clemco Norge AS

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

DatabehandIeravtaIe MK i

Databehandleravtale etter personopplysningsloven m.m

Lagring av forskningsdata i Tjeneste for Sensitive Data

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Databehandleravtale. mellom. ..., org. nr... («Behandlingansvarlig») Logistra AS, org. nr («Databehandler»)

AVTALE OM [sett inn navn på oppdrag/tjeneste] Mal for Databehandleravtale. Arbeids- og velferdsetaten (NAV) [Virksomhetens navn]

PERSONVERNERKLÆRING. Adresse: IntegrasjonsPartner BITS AS. Hassingveien FREDRIKSTAD Organisasjonsnr:

Transkript:

Databehandleravtale Etter den nye personvernloven og EUs personvernforordning (GDPR) av 25. mai 2018 mellom Arrangøren Behandlingsansvarlig og Hoopla AS Databehandler

Definisjoner Den behandlingsansvarlige er den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Den behandlingsansvarlige har ansvaret for at opplysninger behandles i tråd med personopplysningslovens krav. En behandling av personopplysninger er enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter En databehandler er den som behandler personopplysninger på vegne av den behandlingsansvarlige. Databehandleren har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, og for å verne personopplysningene som behandles på vegne av behandlingsansvarlige. Databehandleren skal bare behandle personopplysninger i tråd med det som er avtalt med den behandlingsansvarlige. En deltaker er den som kjøper en billett til et arrangement, arrangert av den behandlingsansvarlige. 1. Avtalens hensikt Hensikten med denne avtalen er å regulere partenes rettigheter og plikter etter den nye personvernloven og GDPR av 25. mai 2018. Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende. Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner slike bruksmåter. 2. Formål Formålet med behandlingen av personopplysninger på vegne av den behandlingsansvarlige er å kunne utføre tjenestene som databehandler tilbyr et nettbasert billett- og betalingssystem, samt markedsføring og analyse/business intelligence. Databehandler samler inn to typer personopplysninger: De som er nødvendige å behandle for å kunne gjennomføre tjenestene De som er valgfrie for å få tilgang til utvidede tjenester innen markedsføring og analyse/business intelligence. Følgende personopplysninger behandles og omfattes av avtalen:

Den behandlingsansvarliges personopplysninger Personopplysning Behandling Nødvendig Valgfritt - Håndtere behandlingsansvarliges henvendelser før, under og etter et arrangement Navn - Tilrettelegge for utbetaling av arrangørinntekter og sikre økonomisk rapportering - Utsendelse av nyhetsbrev - Utsendelse av spørreundersøkelser E-postadresse - Godkjenne innlogging på arrangørkonto, app for innslipp og kassesystemet. - Håndtere behandlingsansvarliges henvendelser før, under og etter et arrangement. - Oppfølging i forbindelse med opprettelse av arrangørkonto - Utsendelse av nyhetsbrev Telefonnummer - Håndtere behandlingsansvarliges henvendelser før, under og etter et arrangement. - Oppfølging ved opprettelse av arrangørkonto Adresse og postnummer (Dersom personlig kontaktinformasjon oppgis) - Tilrettelegge for utbetaling av arrangørinntekter - Sikre økonomisk rapportering IP-adresse - Til bruk for feilsøking Innsamling av anonyme personopplysninger til analyseformål: For å kunne forbedre produktene og tjenestene våre gjennom analyse, samler databehandler inn og analyserer anonyme personopplysninger når enkeltbrukere hos den behandlingsansvarlige bruker tjenesten. Følgende anonymiserte opplysninger samles inn fra den enkeltes bruk av tjenesten: Nettsider (ofte kalt URL-er) den behandlingsansvarlige bruker i Hooplas arrangørløsning, samt tidspunkt for når disse sidene ble brukt. Nettsider den behandlingsansvarlige bruker på Hooplas nettside (hoopla.no), samt tidspunkt for når disse sidene ble brukt. Nettsiden den behandlingsansvarlige kom fra når vedkommende besøker en side i Hoopla arrangørløsning eller nettside, ofte kalt henvisningsside eller «referrer».

Den behandlingsansvarliges nettleser, operativsystem og type enhet, for eksempel iphone, PC, MAC brukt for å interagere med arrangørløsning eller nettside. Anonymisert ID fra informasjonskapsel i den behandlingsansvarliges nettleser, også kalt Segment anonymous ID: https://segment.com/docs/spec/identify/#anonymous-id) Ingen av disse opplysningene vil i utgangspunktet kunne identifisere den behandlingsansvarlige brukers identitet og vedkommende vil forbli anonym i databehandlerens analyser. For nærmere beskrivelse av hvordan dataene anonymiseres, ta kontakt med personvern@hoopla.no Deltakerens personopplysninger Personopplysning Behandling Nødvendig Valgfritt - Utsendelse av billett - Håndtere deltakerens henvendelser før, under og etter et arrangement - Utsendelse av kritisk info på E-post/SMS om selve arrangementet det er kjøpt billett til: Avlysning eller endringer av tid/sted - Opprettelse av deltakerliste med følgende bruksområder: Navn, e- postadresse og telefonnummer Support: Sende ut billetter på nytt, søke opp deltagere, sjekke refunderinger og innslippstatus på en billett. Betaling: Opprette og sende fakturaer på nytt og beregne utbetalingsgrunnlag for den behandlingsansvarlige. Bestilling av varer og tjenester på deltakerens vegne. For eksempel: Hotellrom i deltakerens navn i forbindelse med en konferanse, personlige sesongkort eller akkrediteringskort. Hvilket arrangement det er kjøpt billett til Personnummer ved betaling med faktura - Utsendelse av nyhetsbrev - Utsendelse av tilbud på SMS - Sende billett på nytt ved tap av billett - Markedsføring - Gjennomføre kredittsjekk hos tredjepart Svea

Skjemasvar f. eks adresse og fødselsdato ved bruk av påmeldingsskjema. - Formidle skjemasvar til arrangøren - Markedsføring IP-adresse - Til bruk for feilsøking Innsamling av anonyme personopplysninger til analyseformål: For å kunne forbedre produktene og tjenestene våre samler vi inn anonymiserte personopplysninger når en potensiell deltaker besøker sider på hoopla.no eller gjennomfører et billettkjøp på hoopla.no. Ved besøk på hoopla.no samles og analyseres følgende anonymiserte personopplysninger Nettsider (ofte kalt URL) den potensielle deltakeren besøker på hoopla.no, samt tidspunkt for når disse sidene ble besøkt Nettsiden (ofte kalt URL) den potensielle deltakeren kom fra når du besøker en side på hoopla.no (ofte kalt henvisningsside eller referrer) Den potensielle deltakerens nettleser, operativsystem og type enhet, for eksempel iphone, PC, MAC o.l. brukt ved besøk på hoopla.no Anonymisert ID fra informasjonskapsel i den potensielle deltakerens nettleser (Segment anonymous ID: https://segment.com/docs/spec/identify/#anonymous-id) Ved kjøp av billetter på hoopla.no samles og analyseres følgende anonymiserte personopplysninger: Opplysninger deltakeren legger inn som del av billettkjøpet sitt, som er påkrevd for at vi skal kunne levere billetten til billettkjøper: Fornavn, Etternavn, E-post og Telefonnummer Opplysninger deltakeren legger inn som del av billettkjøpet sitt, som den behandlingsansvarlige innhenter gjennom egendefinerte skjema i kjøpsprosessen. Disse varierer fra arrangør til arrangør, men kan eksempelvis være valg av hotellrom. Type billett deltakeren kjøpte Hvilken betalingsmåte deltakeren brukte (kort eller faktura) Deltakers nettleser, operativsystem og type enhet (eks iphone, PC, MAC etc.) Anonymisert ID fra informasjonskapsel i deltakers nettleser (Segment anonymous ID: https://segment.com/docs/spec/identify/#anonymous-id) I tillegg til anonymiserte personopplysninger vi samler om deg når du besøker hoopla.no eller ved billettkjøp, vil vi også kunne benytte opplysninger hentet fra tredjeparter gjennom kobling til dine anonymiserte opplysninger. Ingen av disse opplysningene vil kunne identifisere deltakeren som person og vedkommende vil alltid forbli anonym i våre eller våre kunders analyser.

3. Den behandlingsansvarliges plikter og rettigheter Den behandlingsansvarlige er ansvarlig for at personopplysninger blir behandlet i samsvar med personvernforordningen, og personopplysningsloven (jf. Artikkel 24) Spesielt om skjemabyggeren Den behandlingsansvarlige kan bygge et skjema som inneholder enten valgfrie og/eller obligatoriske felter på salgssiden. Den behandlingsansvarlige plikter å kun gjøre felter obligatoriske der innsamlingen av personopplysningene er helt nødvendig for å gjennomføre en avtale med deltakeren. Innsamling av sensitive personopplysninger er ikke tillatt. Den behandlingsansvarlige har både rett og en forpliktelse til å bestemme hvilke formål, og hvilke hjelpemidler som skal brukes i behandlingen. Den behandlingsansvarlige skal gi databehandler dokumenterte instrukser for hvordan personopplysninger skal behandles (jf. Artikkel 28 nr. 3 bokstav a) Den behandlingsansvarlige har rett til å si opp avtalen dersom databehandleren ikke oppfyller lovens krav etter artikkel 28 nr. 1. 4. Databehandlers forpliktelser 4.1 Bare behandle personopplysninger etter skriftlig instruks fra den behandlingsansvarlige Databehandleren skal kun behandle personopplysninger etter dokumenterte instrukser fra den behandlingsansvarlige, og forholder seg i utgangspunktet til de dokumenterte instruksene beskrevet i dette dokumentet. Unntaket er dersom norsk lov pålegger databehandleren en konkret behandling av personopplysninger. I så fall skal databehandleren underrette den behandlingsansvarlige om dette før behandlingen iverksettes, med mindre loven forbyr slik underretning av hensyn til viktige samfunnsinteresser. Databehandleren må omgående underrette den behandlingsansvarlige dersom databehandleren mener en instruks er i strid med personvernforordningen eller andre bestemmelser om vern av personopplysninger eller nasjonal rett (jf. Artikkel 28 bokstav 3 siste ledd.) 4.2 Plikt til at autoriserte personer behandler personopplysningene fortrolig Databehandleren skal sikre at autoriserte personer er forpliktet til å behandle personopplysningene fortrolig, eller er underlagt en lovfestet taushetsplikt.

Databehandleren skal, etter anmodning fra den behandlingsansvarlige kunne påvise at de autoriserte personene er underlagt fortrolighet eller taushetsplikt for eksempel ved dokumentasjon (jf. Artikkel nr. 23 bokstav b og h) Plikten til konfidensialitet gjelder også etter at databehandleroppdraget er fullført. Databehandleren skal sikre at kun autoriserte personer har tilgang til opplysningene og at databehandleren fratar tilgangen dersom autorisasjonen utløper eller av andre grunner ikke lenger gjelder for den personen. Databehandleren skal kun autorisere personer som av nødvendige grunner må ha tilgang til personopplysningene. 4.3 Plikt til å ha tilfredsstillende sikkerhetstiltak Databehandleren treffer alle tiltak som er nødvendige etter personopplysningsloven artikkel 32. Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift. For beskrivelse av minimumskrav til sikkerhetstiltak se: Vedlegg A 5. Bruk av underleverandør Databehandleren har den behandlingsansvarliges generelle godkjennelse til å bruke andre databehandlere. Databehandleren må likevel underrette den behandlingsansvarlige ved eventuelle planer om å skifte ut eller bruke nye databehandlere. Den behandlingsansvarlige må motta en slik underretning minimum 3 uker før endringen trer i kraft. Den behandlingsansvarlige skal ha mulighet til å motsette seg endringene, og meddele databehandleren om dette senest 1 uke etter at underretningen er mottatt. Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, er pålagt de samme forpliktelsene som er fastsatt i denne databehandleravtalen gjennom en skriftlig databehandleravtale med underleverandøren. En oversikt over databehandlerens underleverandører oppgis på forespørsel. Hvis underleverandøren ikke oppfyller sine forpliktelser med hensyn til vern av personopplysninger, har databehandleren det fulle ansvaret overfor den behandlingsansvarlige.

6. Bistand til å svare på anmodninger som gjelder den registrertes rettigheter Databehandleren bistår den behandlingsansvarlige ved hjelp av egnede tekniske og organisatoriske tiltak å oppfylle plikten til å svare på anmodninger fra registrerte om utøvelse av deres rettigheter. Plikten gjelder så langt det er mulig, og det må tas hensyn til behandlingens art: o Ved krav om sletting skal databehandleren innen 5 dager informere den behandlingsansvarlige om at det har kommet et krav om sletting fra en registrert. o Ved krav om innsyn må databehandler bistå ved å samle opplysningene som er lagret om den registrerte. Databehandler må gjøre opplysningene tilgjengelig for den behandlingsansvarlige for at den behandlingsansvarlige kan vurdere innsynskravet. 7. Bistand til den behandlingsansvarlige Databehandleren har en plikt til å bistå den behandlingsansvarlige med å overholde de forpliktelsene etter artikkel 32-36 som er relevante i det konkrete avtaleforholdet. Databehandleren må straks underrette den behandlingsansvarlige dersom det har skjedd, eller skjer et brudd på personopplysningssikkerheten (Jf. artikkel 33 nr. 2). Dersom bruddet medfører en risiko for de registrertes rettigheter og friheter, må varslet til den behandlingsansvarlige inneholde den informasjonen som kreves for at den behandlingsansvarlige skal kunne gi en utførlig beskrivelse av bruddet til tilsynsmyndigheten (jf. artikkel 33 nr. 3). Dersom bruddet medfører at den behandlingsansvarlige må varsle de registrerte (jf. Artikkel 34) må databehandleren gi den informasjonen som kreves for at den behandlingsansvarlige kan ivareta plikten til å gi slik underretning på en tydelig måte, og i tråd med artikkel 33 nr. 3 bokstav b), c) og d). Dersom den behandlingsansvarlige skal foreta en vurdering av personvernkonsekvenser og eventuelt forhåndsdrøftinger etter artikkel 35 og 36 skal databehandleren bidra til å vurdere sikkerhetstiltak som kan bidra til å håndtere risikoen behandlingen medfører for den registrerte. 8. Avtalens varighet Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av den behandlingsansvarlige. Ved brudd på denne avtale eller GDPR kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.

Avtalen kan sies opp av begge parter med en gjensidig frist i henhold til gjeldende avtale mellom partene. Avtalen skal sies opp skriftlig. 9. Avslutning av avtalen Ved opphør av tjenestene som gjelder behandling av personopplysninger, er databehandleren forpliktet til å slette eller tilbakelevere personopplysningene på den behandlingsansvarliges forespørsel, så fremt ikke dette kommer databehandlerens hjemmel for behandling av personopplysninger i annet lovverk. Databehandleren skal påvise at opplysningene faktisk er slettet når databehandleroppdraget avsluttes. Enten ved at databehandleren kan dokumentere dette, eller ved inspeksjon fra den behandlingsansvarlige (jf. Artikkel 28 nr. 3 bokstav g og h) Sletting skal skje ved at personopplysningene anonymiseres. 10. Tilgjengeliggjøring av informasjon for den behandlingsansvarlige Databehandleren må kunne gjøre tilgjengelig all informasjon som er nødvendig for å påvise at forpliktelsene i artikkel 28 er oppfylt for den behandlingsansvarlige. Databehandleren må muliggjøre og bidra til revisjoner slik som inspeksjoner som gjennomføres av den behandlingsansvarlige eller en annen inspektør, på fullmakt fra den behandlingsansvarlige. Prosedyre for den behandlingsansvarliges tilsyn med databehandleren er beskrevet i vedlegg B 11. Sikkerhet Både behandlingsansvarlig og databehandler plikter å melde avvik. Databehandleren skal umiddelbart skal varsle behandlingsansvarlige dersom de oppdager et avvik. Den behandlingsansvarlige får frist på å melde fra om sikkerhetsbrudd innen 72 timer etter at den har fått kjennskap til bruddet. Ut over dette skal både databehandler og behandlingsansvarlig oppfylle gjeldende krav til avvikshåndtering og informasjon til de berørte. 12. Meddelelser Meddelelser etter denne avtalen skal sendes skriftlig til personvern@hoopla.no

13. Lovvalg og verneting Avtalen er underlagt norsk rett og partene vedtar Trondheim tingrett som verneting. Dette gjelder også etter opphør av avtalen. ***

Vedlegg A Databehandleren har en selvstendig plikt til å gjennomføre egnede sikkerhetstiltak etter artikkel 32, men må som et minimum gjennomføre følgende tiltak, som er avtalt med den behandlingsansvarlige. Tekniske og organisatoriske tiltak for å beskytte personopplysninger ved overføring/utlevering. Databehandler overfører personopplysninger til følgende målgrupper: Den behandlingsansvarlige Deltakere Overføring og utlevering av personopplysninger skjer via våre underleverandører oppgitt i pkt. 5. For alle underleverandører inngås det en skriftlig databehandleravtale. Dersom personopplysningene overføres til underleverandører i USA, overføres de kun mottakervirksomheter som har sertifisert seg etter Privacy Shield-avtalen. For å sikre personopplysningene ved overføring/utlevering i henhold til våre retningslinjer for personvern. Personopplysninger der Datatilsynet mener at det er nødvendig med konfidensialitet krypteres i henhold til beskrivelsen i neste punkt. Anonymisering og kryptering Anonymisering Databehandleren har implementert rutiner og metoder for anonymisering av personopplysninger for alle personopplysninger som benyttes til analyseformål. Disse rutinene og metodene er: Adskillelse av applikasjonsmiljø og analysemiljø, hvor personer som utvikler og drifter applikasjonsmiljø ikke har tilgang til analysemiljø, og vice versa. Personidentifiserbar informasjon som navn, telefonnummer etc. overføres ikke til analysemiljøet. Erstatning av naturlige primærnøkler med en surrogatnøkkel i databehandlers analysemiljø. Surrogatnøkkel i analysemiljø har ingen identifiseringsverdi og kan ikke brukes til å identifisere individer i analyser, gjennom kobling med data i applikasjonsmiljø eller andre interne administrasjonsverktøy. Kryptering Databehandler krypterer følgende personopplysninger: Sensitive personopplysninger Fødselsnummer Personopplysninger om mange (deltakerlister)

Personopplysninger som behandlingsansvarlig har klassifisert som beskyttelsesverdig Personopplysningene krypteres i følgende tilfeller: Ved bruk av datakommunikasjon o mellom databehandler og behandlingsansvarlig o mellom databehandler og databehandlerens underleverandører, eller o mellom databehandlerens datasentre Ved overføring av e-post Overføring av enkeltfiler Kryptering av passord Sikring av personopplysninger der disse lagres Databehandleren sikrer personopplysninger med brukernavn og krypterte passord, og 2FA der det er mulig. Vedlegg B Den behandlingsansvarlige, eller en representant for den behandlingsansvarlige kan ved behov gjennomføre et fysisk tilsyn hos databehandler for å sikre at databehandleravtalen overholdes. Ta kontakt på personvern@hoopla.no for å avtale tidspunkt. Vennligst oppgi arrangørkontoen det gjelder. Henvendelsen må sendes fra en administrator av arrangørkontoen, eller med en skriftlig bekreftelse fra administratoren vedlagt dersom henvendelsen kommer fra en representant for den behandlingsansvarlige.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding