DATABEHANDLERAVTALE Kunden er behandlingsansvarlig Unifaun er databehandler 1 FORMÅL OG GYLDIGHETSPERIODE 1.1 Denne databehandleravtalen er en integrert del av den avtalen, som når det er aktuelt, er komplettert med Unifauns generelle vilkår, («tjenesteavtale») som ble inngått mellom Unifaun AB, svensk organisasjonsnummer 556546-3717, eller noen av dets datterselskaper Unifaun Oy, finsk organisasjonsnummer 2304024-0, Unifaun ApS, dansk organisasjonsnummer 34708584, Unifaun AS, norsk organisasjonsnummer 816269032, eller Unifaun Sp.z.o.o, polsk organisasjonsnummer 7010419247 («Unifaun») på den ene siden og på den andre siden en part («kunde») som har kjøpt eller bestilt eller forventes å kjøpe eller bestille transportadministrative tjenester, nettbaserte tjenester, programvare, hjelpefunksjoner eller veiledninger som er utviklet og/eller levert av Unifaun («tjeneste»). 1.2 Hvis tjenesteavtalen opphører å gjelde, opphører også denne databehandleravtalen uten særskilt oppsigelse. 1.3 Begrepene «behandlingsansvarlig», «databehandler», «registrert», «behandling», «personopplysninger», «tilsynsmyndighet» og «brudd på personopplysningssikkerheten» har i denne databehandleravtalen samme definisjon som i Europaparlaments- og rådsforordning (EU) 2016/679 om vern av personopplysninger («GDPR»). 1.4 Ved yting av tjenesten kan Unifaun komme til å behandle informasjon for kundens regning som direkte eller indirekte kan knyttes til en fysisk person. Slik informasjon skal betraktes som personopplysninger og nyter særskilt lovfestet vern. Det er kunden som bestemmer formålet med og hvilke midler som skal benyttes til behandlingen av personopplysninger. I denne sammenhengen får kunden rollen som behandlingsansvarlig og Unifaun rollen som databehandler. Gjeldende lovgivning stiller krav om at det skal opprettes en skriftlig avtale når databehandleren skal behandle personopplysninger for en behandlingsansvarligs regning. Dette er bakgrunnen for at partene har blitt enige om å inngå denne databehandleravtalen. 2 BEHANDLINGENS ART OG FORMÅL 2.1 For å kunne yte tjenesten og opprettholde det servicenivået som er bestemt i tjenesteavtalen, må visse personopplysninger overføres til Unifaun, og Unifaun skal behandle opplysningene i samsvar med denne databehandleravtalen. For å kunne utføre tjenesten kan det bli nødvendig for Unifaun å overføre personopplysninger til tredjeparter (blant annet transportører). 2.2 Hvis kunden ikke oppgir noe annet i en særskilt skriftlig instruks til Unifaun, skal Unifaun i forbindelse med denne databehandleravtalen behandle følgende kategorier av registrerte personer og personopplysninger med det formålet som er oppgitt nedenfor. 2.2.1 Registrerte: brukere, avsendere, mottakere, notifiseringspart i en sending, transportpersonale og administrativt personale hos kunder og leverandører. 2.2.2 Personopplysninger: navn, adresse, telefonnummer, e-postadresse, personnummer (om det er særlig behov for det). 2.2.3 Formål: å yte tjenesten til kunden.
3 UNIFAUNS RETT TIL Å ENGASJERE UNDERLEVERANDØR FOR DATABEHANDLING 3.1 Kunden gir med dette Unifaun rett til å engasjere en annen databehandler («underleverandør») til å behandle personopplysninger som Unifaun får tilgang til for å kunne utføre tjenesten. I så fall skal Unifaun ved hjelp av en skriftlig avtale («underleverandøravtale») med underleverandøren sørge for at de pliktene som er pålagt Unifaun i henhold til denne databehandleravtalen, også blir pålagt underleverandøren. Unifaun skal overfor kunden være fullt ut ansvarlig for at underleverandøren behandler personopplysninger i samsvar med underleverandøravtalen. 3.2 Før Unifaun engasjerer en underleverandør, skal kunden få skriftlig informasjon om at det kan bli aktuelt. Dersom kunden motsetter seg at underleverandøren blir brukt, skal kunden gi Unifaun skriftlig melding om det i løpet av tjue (20) arbeidsdager. I de tilfeller da kunden har innsigelser mot en underleverandør, skal partene samarbeide for om mulig å finne en løsning på de omstendighetene som forårsaket innsigelsene. Dersom det ikke fremsettes slik innsigelse, kan Unifaun engasjere underleverandør uten ytterligere godkjenning fra kunden. 3.3 Dersom kunden avdekker mangler i behandlingen av personopplysninger hos underleverandøren, eller denne på andre måter ikke lever opp til forpliktelsene i underleverandøravtalen, har kunden rett til skriftlig å kreve at Unifaun umiddelbart og for egen kostnad sier opp underleverandøravtalen og sørger for at underleverandøren ikke lenger har tilgang til personopplysningene. Dersom Unifaun ikke deler oppfatningen om at det foreligger en mangel, skal partene samarbeide om snarest å rådspørre tilsynsmyndigheten. Underleverandøravtalen skal fortsette å gjelde minst til at tilsynsmyndigheten har avgitt sin uttalelse. Den oppfatningen som fremgår av tilsynsmyndighetens uttalelse, skal være veiledende for partenes videre behandling av spørsmålet. 4 UNIFAUNS RETTIGHETER OG PLIKTER SOM DATABEHANDLER 4.1 Unifaun påtar seg å holde seg informert om og følge den lovgivningen, de forordningene og de forskriftene som til enhver tid gjelder i det landet som det avtaleinngående Unifaun-selskapet er etablert i, herunder forskrifter som kunngjøres av berørte tilsynsmyndigheter, for beskyttelse av fysiske personers grunnleggende rettigheter og friheter og særskilte rett til beskyttelse av personopplysninger ved behandling av personopplysninger, og som kommer til anvendelse på behandlingsansvarlige og databehandlere, herunder lovgivning, forordninger og forskrifter som gjennomfører direktiv 95/46/EF og fra og med 25. mai 2018 GDPR. 4.2 Unifaun og den eller de personene som arbeider under Unifauns ledelse, kan kun behandle personopplysningene i samsvar med de instruksene som gis av kunden i kundens rolle som behandlingsansvarlig. 4.2.1 Forutsatt at de registrertes integritet ikke blir svekket, og at Unifaun ikke fastsetter nye formål med eller midler for behandlingen, skal Unifaun ha rett til å utvikle og forbedre tjenestene sine uten at det skal regnes for å være i strid med kundens instrukser. Unifaun skal alltid og uten kundens samtykke ha rett til å utvikle og forbedre tjenestene sine ved hjelp av anonymiserte opplysninger. 4.2.2 Dersom Unifaun mener at en instruks fra kunden er i strid med GDPR, annen EØS-rett eller en medlemsstats nasjonale rett, skal Unifaun uten forsinkelse informere kunden om at så er tilfelle. Hvis noen av partene ber om det, skal partene samarbeide om snarest å rådspørre tilsynsmyndigheten om instruksen. Den oppfatningen som fremgår av tilsynsmyndighetens uttalelse, skal være veiledende for partenes videre behandling av spørsmålet. Unifaun har rett til å avvente behandlingen i påvente av tilsynsmyndighetens uttalelse. 4.2.3 Dersom Unifaun på grunn av tvingende lovgivning er pålagt å behandle kundens personopplysninger på en annen måte enn det kunden har gitt instruks om, skal Unifaun informere kunden om dette pålegget før behandlingen finner sted. 4.3 Partene skal være bundet av taushetsplikt i samsvar med avsnitt 7 når det gjelder personopplysninger som Unifaun får tilgang til gjennom utføring av tjenesten og Unifauns behandling av slike personopplysninger.
4.4 Unifaun påtar seg å treffe nødvendige sikkerhetstiltak i samsvar med artikkel 32 i GDPR og personopplysningsloven med forskrifter. Unifaun skal kunne dokumentere rutiner og andre tiltak for å oppfylle kravene til sikkerhet, herunder skal partene avtale seg imellom tidspunketet for sikkerhetsrevisjoner. Unifaun skal treffe slike tekniske og organisatoriske tiltak for å beskytte personopplysningene mot uvedkommendes tilgang, ødeleggelse og endringer, som er nødvendig i forhold til artikkel 28 nr. 3 i GDPR. Hvis kunden ber om det, skal Unifaun gjøre tilgjengelig for kunden informasjon om hvilke tekniske og organisatoriske tiltak som er gjennomført. 4.5 I tillegg til det som ellers er oppgitt i denne databehandleravtalen, og med hensyn til behandlingens art, påtar Unifaun seg i den grad det er mulig å hjelpe kunden ved hjelp av egnede tekniske og organisatoriske tiltak slik at kunden kan oppfylle sin plikt om å svare på anmodninger om utøvelse av den registrertes rettigheter i samsvar med kapittel III i GDPR. Kunden skal betale Unifaun for denne typen arbeid i samsvar med Unifauns til enhver tid gjeldende prisliste. 4.6 Hvis kunden ber om det, og med hensyn til behandlingens art og den informasjonen som er tilgjengelig for Unifaun, skal Unifaun påta seg å bistå kunden med å oppfylle de forpliktelsene som er pålagt kunden i henhold til artikkel 32 36 i GDPR. Kunden skal betale Unifaun for denne typen arbeid i samsvar med Unifauns til enhver tid gjeldende prisliste. 4.7 Avhengig av hva kunden velger, påtar Unifaun seg å slette eller levere tilbake alle personopplysninger til kunden innen 90 dager etter at ytingen av behandlingstjenester er avsluttet, og slette eksisterende kopier forutsatt at ikke EU-retten eller medlemsstatens nasjonale rett krever at personopplysningene skal lagres. Hvis det er umulig, kostbart eller upraktisk å levere tilbake personopplysningene, skal informasjonen i stedet slettes innenfor samme tidsfrist. 4.8 Unifaun skal gjøre tilgjengelig for kunden all informasjon som kreves for å vise at de forpliktelsene er oppfylt som er fastsatt i artikkel 28 i GDPR, og bidra til revisjoner, herunder inspeksjoner, som blir gjennomført av kunden eller en annen inspektør på fullmakt fra kunden. 4.9 Unifaun skal ved behov bistå kunden med å få frem informasjon som tilsynsmyndigheten, annen myndighet eller den registrerte har bedt om fra kunden. Kunden skal betale Unifaun for denne typen arbeid i samsvar med Unifauns til enhver tid gjeldende prisliste. 4.10 Unifaun påtar seg å underrette kunden om alle forespørsler eller pålegg om behandling av personopplysninger som kommer fra tilsynsmyndigheten, med unntak av tilfeller der slik underrettelse er uttrykkelig forbudt ved lov, for eksempel på grunn av taushetsbelagte forundersøkelser i en pågående etterforskning. Dersom den registrerte, tilsynsmyndigheten eller en tredjepart ber om informasjon fra Unifaun som berører behandlingen av kundens personopplysninger, skal Unifaun skriftlig underrette kunden om anmodningen. 4.11 Unifaun skal uten ugrunnet opphold og og senest 24 timer etter at et eventuelt brudd på personopplysningssikkerheten blir oppdaget, informere kunden om bruddet. I forbindelse med at kunden blir informert, skal Unifaun gjøre tilgjengelig for kunden all nødvendig informasjon som kunden trenger for å rapportere bruddet til tilsynsmyndigheten. Unifaun skal også være behjelpelig med å utrede bruddet i den grad kunden med rimelighet kan kreve det, og i samråd med kunden treffe rimelige tiltak for å forebygge ytterligere brudd. 4.12 For egen kostnad har kunden rett til selv eller ved hjelp av tredjepart å kontrollere at Unifaun overholder denne databehandleravtalen. Slike kontroller skal utføres på en slik måte og på et slikt tidspunkt at det ikke forstyrrer Unifauns øvrige virksomhet mer enn nødvendig. Unifaun har rett til å kreve at revisjoner blir utført av forhåndsvarslede, navngitte personer, og at disse har nødvendig kompetanse til å gjennomføre revisjonen og benytte seg av resultatet på en meningsfull måte. Unifaun har rett til å motsette seg at revisjoner blir utført av tredjepart dersom det kan føre til at forretningshemmeligheter blir avslørt, eller dersom tredjeparten av andre rimelige grunner kan regnes som uegnet. Dersom kunden oppdager vesentlige mangler i den behandlingen av personopplysninger som Unifaun utfører for kundens regning, og det ikke blir foretatt rettelser innen 30 dager fra en skriftlig anmodning, har kunden rett til å si opp tjenesteavtalen og denne databehandleravtalen med umiddelbar virkning. Hvis en gjennomført revisjon ikke viser annet enn mindre mangler i Unifauns oppfyllelse av forpliktelsene i
henhold til denne databehandleravtalen, har Unifaun rett til rimelig erstatning for påløpte kostnader som følge av revisjonen. 4.13 Unifaun skal erstatte kunden for skader eller kostnader som skyldes behandlingen og kan knyttes til Unifaun eller en underleverandør som er engasjert av Unifaun. De ansvarsbegrensningene som følger av tjenesteavtalen og Unifauns generelle vilkår, skal ha anvendelse også på denne databehandleravtalen. 4.14 Unifaun har ikke plikt til for kundens regning å behandle sensitive personopplysninger om rasemessig eller etnisk opprinnelse, politiske oppfatninger, religion, overbevisning eller fagforeningsmedlemskap, ei heller genetiske opplysninger, biometriske opplysninger for entydig å identifisere en fysisk person, opplysninger om helse eller opplysninger om en fysisk persons seksualliv eller seksuelle orientering. 5 KUNDENS ANSVAR SOM BEHANDLINGSANSVARLIG 5.1 Kunden påtar seg å holde seg informert om og til enhver tid følge gjeldende personvernlovgivning i det landet det avtaletilknyttede Unifaun-selskapet er etablert, og å holde seg informert om oppdateringer av lovgivningen. 5.2 Kunden har ansvar blant annet for å informere de registrerte om den behandlingen Unifaun utfører for kundens regning; for om nødvendig å innhente samtykke fra de registrerte; for å vurdere om det foreligger rettslig grunnlag for behandlingen og om behandlingen er tillatt; og for at behandlingen blir rapportert til tilsynsmyndigheten når det er aktuelt. 5.3 Kunden skal uten forsinkelser informere Unifaun om endringer i behandlingen som påvirker Unifauns forpliktelser og rettigheter i henhold til denne databehandleravtalen. Kunden skal på samme måte informere Unifaun om tredjeparts, herunder tilsynsmyndighetens og den registrertes, tiltak i forbindelse med behandlingen. 5.4 Når det gjelder slike endringer som er omtalt i avsnitt 5.3, har kunden rett til å oppdatere denne databehandleravtalen i den grad det er nødvendig. Dersom det gjøres endringer, og endringene innebærer økte kostnader for Unifaun, skal kunden kompensere Unifaun for kostnadsøkningen. 5.5 Kunden skal holde Unifaun skadesløs for skader og kostnader i forbindelse med behandlingen som kan knyttes til kunden eller andre på kundens side. 6 OVERFØRING TIL TREDJELAND 6.1 Dersom Unifauns behandling av kundens personopplysninger i henhold til denne avtalen innebærer at Unifaun er forpliktet til å overføre kundens personopplysninger til et tredjeland (utenfor EU/EØS) som ikke er omfattet av en beslutning om tilstrekkelig beskyttelsesnivå, er det kundens ansvar ved hver slik overføring å sørge for å treffe egnede beskyttelsestiltak i samsvar med artikkel 46 i GDPR. Unifaun er aldri forpliktet til å overføre kundens personopplysninger til tredjeland dersom det ikke er truffet egnede sikkerhetstiltak for overføringen. 7 TAUSHETSPLIKT 7.1 Unifaun forplikter seg til ikke å levere ut personopplysninger til tredjepart eller på annen måte uten godkjenning røpe informasjon om den behandlingen av personopplysninger som denne databehandleravtalen omfatter. 7.2 Unifaun skal sikre at de personene som har tillatelse til å behandle personopplysninger, har påtatt seg å overholde den samme taushetsplikten som er pålagt Unifaun i henhold til denne databehandleravtalen.
7.3 Unifauns taushetsplikt i henhold til dette avsnitt 7 gjelder ikke informasjon som Unifaun leverer ut i samsvar med pålegg fra tilsynsmyndigheten eller annen myndighet eller domstol, eller informasjon om en registrert som den registrerte har gitt Unifaun tillatelse til å levere ut. 7.4 Taushetsplikten gjelder også etter at denne databehandleravtalen har sluttet å gjelde.