Databehandleravtale mellom [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» og Xledger AS org.nr. 987290986, Østensjøveien 32 0667 OSLO heretter «Underdatabehandler» 1/5
1 Avtalens formål Denne databehandleravtalens formål er å regulere partenes rettigheter og plikter i forbindelse med at Underdatabehandler behandler personopplysninger på vegne av Databehandler («Databehandleravtalen»). Databehandler i denne avtalen er en partner/forhandler av Underdatabehandler. Databehandler på sin side behandler personopplysninger på vegne av Behandlingsansvarlig, som i denne sammenheng er kunder av Databehandler. Databehandleravtalens hensikt er å oppfylle personopplysningslovens (LOV-2000-04-14-31) krav til databehandleravtale, jf. personopplysningsloven 15. Databehandleravtalen tar også sikte på å oppfylle kravene i Personvernforordningen (Regulation (EU) 2016/679 General Data Protection Regulation), den tar også sikte på å oppfylle lovkravene etter at personvernforordningen er implementert i norsk lov. 2 Om behandlingen av personopplysninger Underdatabehandler behandler opplysninger på vegne av Databehandler i forbindelse med at Databehandler har inngått avtale om bruk av Xledger. Xledger er et ekte webbasert ERP-system og leveres som en internettjeneste (Software as a Service). Xledger er et standardsystem med funksjonalitet for økonomi, regnskap, lønn, XRM, kunde og leverandøroppfølging. Underdatabehandler behandler følgende personopplysninger som følge av Databehandlers bruk av Xledger: - Personopplysninger knyttet til Databehandlers bruk av Xledger slik som navn, adresse, bankkontoinformasjon, telefon, epost, personnummer, lønnsinformasjon o.l. Personopplysningene er tilknyttet følgende kategorier av registrerte: - Kunder, ansatte, leverandører, medlemmer, givere, firmakontakter, pårørende, prospects, leads hos Behandlingsansvarlig Underdatabehandler skal kun behandle personopplysningene for følgende formål: - Formålet med behandlingen er å kunne tilby et skybasert ERP-system, hvor kunden selv legger inn, vedlikeholder og behandler data. Xledger utfører drift av system og lagring av data, samt tilrettelegger funksjonalitet for kundens databehandling. Herunder oppbevaring av persondata på vegne av Databehandler og Databehandlers kunder, (leie ut programvare for behandling av personopplysninger). Behandlingen innebærer at Xledger oppbevarer personopplysninger på vegne av Databehandler og gjør tilgjengelig programvare slik at Databehandler kan behandle personopplysninger. Underdatabehandler skal ikke behandle personopplysningene på annen måte enn det som er avtalt i denne Databehandleravtalen, herunder til andre formål enn de beskrevet over. Dette inkluderer at Underdatabehandler ikke har anledning til å behandle opplysningene for egne formål og heller ikke utlevere opplysningene til andre. 3 Underdatabehandlers plikter Underdatabehandler skal følge de instrukser og rutiner som er beskrevet i kundeavtalen. Underdatabehandler plikter å gi Databehandler tilgang til sikkerhetsdokumentasjon, slik tilgang vil bli gitt i applikasjonen. Databehandler har, med mindre annet er avtalt eller følger av lov, gjennom Xledger applikasjonen tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. 2/5
Underdatabehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til etter denne Databehandleravtalen. Databehandler har taushetsplikt om alle forhold Databehandler får kjennskap til i forbindelse med utøvelse av noen av sine rettigheter etter Databehandleravtalen. Denne bestemmelsen gjelder også etter avtalens opphør. Underdatabehandler plikter å sikre at personer som behandler dataene hos Underdatabehandler har underskrevet erklæring om taushetsplikt, og skal på forespørsel fremlegge disse for Databehandler eller myndighetene. 4 Underdatabehandlers anledning til å bruke underleverandør Underdatabehandler bruker pr inngåelse av denne avtalen ingen underleverandører. Underdatabehandler har også rett til å benytte nye underleverandører og gjøre endringer i sine underleverandører, men har plikt til å informere Databehandler ved bruk av nye underleverandører eller ved endring av underleverandør, slik at Databehandler har anledning til å protestere. De(n) som på vegne av Underdatabehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med Underdatabehandlers avtale og/eller lovfestede forpliktelser og oppfylle vilkårene etter disse. Underdatabehandler plikter å inngå skriftlig avtale med eventuelle underleverandører, og skal kunne fremlegge avtalen(e) for Databehandler ved forespørsel. Underdatabehandler har uansett ansvaret overfor Databehandler for sine underleverandørers brudd på disse avtale og/eller lovfestede forpliktelsene. 5 Overføring av personopplysninger utenfor EU/EØS Underdatabehandler er et konsern, hvor et fåtall konsernansatte arbeider utenfor EU/EØS, disse ansatte har visse administrasjonstilganger, men selve oppbevaringen og all annen behandling av personopplysningene skjer derimot innenfor EU/EØS. Dersom overføring til et land utenfor EU/EØS eller til en internasjonal organisasjon er påkrevet etter nasjonal lovgivning i EU/EØS som Underdatabehandleren er underlagt eller EUs lovgivning, skal Underdatabehandler informere Databehandler om slikt krav før behandlingen, med mindre loven forbyr at slik informasjon gis. Underdatabehandler har besørget tilstrekkelig overføringsgrunnlag for etablering av overføringsgrunnlag i samsvar med lovens krav. Varslingsplikten i punkt 4 gjelder tilsvarende. Dersom overføring til et land utenfor EU/EØS eller til en internasjonal organisasjon er påkrevet etter nasjonal lovgivning i EU/EØS som Underdatabehandleren er underlagt eller EUs lovgivning, skal Underdatabehandler informere Databehandler om slikt krav før behandlingen, med mindre loven forbyr at slik informasjon gis. 6 Sikkerhet Underdatabehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningslovens 13 15 med forskrifter, samt personvernforordningen artikkel 32 om Security of processing. Underdatabehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. 3/5
Avviksmelding etter personopplysningsforskriftens 2-6 og personvernforordningen skal skje ved at Underdatabehandler melder avviket til Databehandler. Databehandler har ansvaret for at avviksmelding sendes Datatilsynet. Avvik etter personvernforordningen skal meldes Databehandler uten ugrunnet opphold etter at Underdatabehandler blir kjent med avviket, og inneholde tilstrekkelig informasjon til at Databehandler kan vurdere hvorvidt avviket må meldes myndighetene eller den registrerte innen forordningens tidsgrenser, dersom slik informasjon er tilgjengelig. Nærmere informasjon om avviket kan også gis fortløpende etter første melding, dersom ikke all informasjon foreligger når avviket først varsles Databehandler. Underdatabehandlers plikter til å bistå Databehandler i å oppfylle forpliktelsene i personvernforordningen artikkel 32 til 36, anses oppfylt gjennom Underdatabehandlers forpliktelser etter Databehandleravtalen hvor man har hensyntatt behandlingens art og den informasjonen som er tilgjengelig for Underdatabehandleren. Dersom Databehandler skulle ønske ytterligere bistand eller tiltak, kan Underdatabehandleren tilby dette som en separat tjeneste med eget vederlag. Underdatabehandler kan avslå et slikt ønske, med mindre Underdatabehandlers bistand er nødvendig for at Databehandler skal være i stand til å oppfylle sine forpliktelser. 7 Dokumentasjon og sikkerhetsrevisjoner Underdatabehandler skal kunne dokumentere at Underdatabehandleren opptrer i samsvar med dens forpliktelser etter Databehandleravtalen og personvernforordningen artikkel 28, og den dokumentasjon som er nødvendig for at Databehandler overholder sine forpliktelser etter personvernforordningen skal være tilgjengelig for fremleggelse for Databehandler på forespørsel. Videre skal Underdatabehandler være behjelpelig ved eventuelle systemrevisjoner som foretas av den Databehandlers revisor. Underdatabehandlers system er multitenant, slik at en revisjon vil være gyldig for alle kunder. Hvis revisjonens omfang er behandlet i ISAE, ISO eller lignende rapport av kvalifisert tredjepart i løpet av de siste 12 månedene, og Underdatabehandleren bekrefter at det ikke finnes kjente endringer fra dette, skal Databehandler akseptere disse rapportene i stedet for å forespørre ny revisjon. I den utstrekning den foreliggende tredjepartsrevisjonen ikke dekker behovet kan det avtales egen revisjon. I de tilfeller skal revisjon utføres etter avtale med Underdatabehandler og i Underdatabehandlers ordinære åpningstider, i henhold til Underdatabehandler retningslinjer og ikke forstyrre den ordinære virksomheten. Databehandler er ansvarlig for kostnader forårsaket av sitt tilsyn. Dersom Databehandler ber om mer assistanse enn den som tilbys av Underdatabehandleren for å oppfylle gjeldende personvernlovgivning, kan Underdatabehandleren kreve betaling for denne tilleggstjenesten. 8 Oppfyllelse av de registrertes rettigheter Underdatabehandlers behandling av personopplysninger på vegne av Databehandler er ikke av en slik art at det er naturlig og rimelig at Underdatabehandler skal oppfylle eller bistå Databehandler i å oppfylle Databehandler sine forpliktelser overfor de registrerte. Dersom Databehandler skulle ønske bistand fra Underdatabehandlere, kan Underdatabehandleren tilby dette som en separat tjeneste med eget vederlag. Underdatabehandler kan avslå et slikt ønske, med mindre det vil være umulig for Databehandler å oppfylle sine forpliktelser uten Underdatabehandlers bistand. 9 Avtalens varighet Avtalen gjelder så lenge Underdatabehandler behandler personopplysninger på vegne av Databehandler i henhold til den overordnede avtalen mellom partene. 4/5
Ved Underdatabehandlers brudd på Databehandleravtalen, personopplysningsloven eller personvernforordningen kan Databehandler pålegge Underdatabehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning. 10 Oppsigelse Avtalen kan sies opp i henhold til den overordnede avtalen mellom partene. Oppsigelse av den overordnede avtalen mellom partene innebærer oppsigelse av Databehandleravtalen. 11 Tilbakelevering, sletting og/eller destruering ved avtalens opphør Ved opphør av Databehandleravtalen plikter Underdatabehandler å tilbakelevere alle personopplysninger som er mottatt på vegne av Databehandler og som omfattes av Databehandleravtalen. Eventuelle kopier skal slettes. Databehandler kan kreve at Underdatabehandler i stedet for tilbakelevering sletter eller destruerer alle personopplysningene som behandles etter Databehandleravtalen (uavhengig av hvor og hvordan de er lagret). Underdatabehandler plikter i så tilfelle å slette personopplysningene innen rimelig tid, men senest innen 30 dager. Databehandler kan be Underdatabehandler skriftlig (herunder elektronisk) bekrefte til Databehandler at sletting er gjennomført. Dersom Databehandler ikke fremsetter krav om tilbakelevering eller sletting i samsvar med ovenstående avsnitt, skal Underdatabehandler slette alle personopplysninger regulert av Databehandleravtalen innen 30 dager etter Databehandleravtalens opphør, med mindre Underdatabehandler har annet behandlingsgrunnlag som tilsier videre lagring, herunder lovforpliktelse. Sletting etter ovenstående avsnitt innebærer at personopplysningene slettes permanent fra alle systemer. 12 Lovvalg og verneting Avtalen er underlagt norsk rett og partene vedtar Oslo tingrett som verneting. 13 Signatur Avtalen signeres i to eksemplarer, ett til hver av partene. [Sted og dato] [Sted og dato] Databehandler Underdatabehandler [NAVN, STILLING] [NAVN, STILLING] 5/5