Databehandleravtale
I henhold til personopplysningslovens §13, jfr. §15 og personopplysningsforskriftens
kapittel 2 inngås er denne avtale
Inngått mellom
[Kunde], org nr. [org.nr.] som behandlingsansvarlig
OG
Våge Multimedia AS, org nr. 913223195 som databehandler,
sammen kalt partene
1. Avtalens hensikt
Avtalens hensikt er å regulere rettigheter og plikter etter Lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven), og forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften). Avtalen skal sikre at personopplysninger om de registrerte brukere ikke brukes urettmessig eller kommer uberettigede i hende.
Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den
behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse, i forbindelse med tjenester angitt i vedlegg 1.
2. Formål
Formålet med databehandlerens behandling av personopplysninger på vegne av
behandlingsansvarlig, er kun å levere og administrere tjenester som angitt i vedlegg 1, og personopplysninger som overføres til databehandler kan ikke brukes til andre formål.
Databehandler kan ikke overføre personopplysninger til underleverandører eller andre tredjeparter uten at dette på forhånd er godkjent av behandlingsansvarlig, jfr. også punkt 4 i denne avtalen.
Hvilke typer personopplysninger databehandleren behandler, samt hvilke opplysninger som blir lagret i forbindelse med levering og administrasjon av tjenestene er angitt i vedlegg 1.
3. Databehandlers plikter
Databehandler skal følge de rutiner og instrukser for behandling av personopplysninger som behandlingsansvarlig til enhver tid har bestemt skal gjelde. Vilkårene i denne avtalen går foran databehandlerens personvernerklæring eller vilkår i andre avtaler inngått mellom behandlingsansvarlig og databehandleren i forbindelse med bruk av tjenestene definert i vedlegg 1.
Databehandler plikter å bistå behandlingsansvarlig ved ivaretakelse av den registrertes rettigheter, jf. personopplysningsloven kapittel III og IV.
Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon. Databehandleren plikter også å bistå den behandlingsansvarlige slik at denne kan ivareta sitt eget ansvar etter lov og forskrift.
Behandlingsansvarlig har, med mindre annet er avtalt eller følger av lov, rett til innsyn i de personopplysninger som databehandleren håndterer og de systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette.
Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til i henhold til denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør. Taushetsplikten omfatter også ansatte hos tredjeparter som utfører vedlikehold (eller liknende oppgaver) av systemer som databehandleren anvender for å levere eller administrere tjenestene.
Databehandler plikter å loggføre all autorisert og forsøk på uautorisert bruk av tjenestene, jfr. personopplysningsforskriften §2-16. Loggene skal oppbevares av databehandleren i minimum 3 måneder. Behandlingsansvarlig skal på forespørsel gis tilgang til loggene.
Eventuell bistand i henhold til dette punkt 3 belastes etter databehandlers ordinære satser.
4. Bruk av underleverandører
Databehandler skal etablere egne avtaler med eventuelle underleverandører før behandlingen av personopplysninger starter. I avtalene skal databehandler sørge for at underleverandører er pålagt å ivareta alle plikter som databehandleren selv er forpliktet å ivareta i henhold til denne avtalen. Databehandler plikter å forelegge alle avtaler med underleverandører for den behandlingsansvarlige på forespørsel.
Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle
personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.
Databehandler kan ikke overføre personopplysninger til underleverandører utenfor EU/EØS-området, med mindre underleverandørene behandler personopplysningene i andre land som er godkjent av EU (http://ec.europa.eu/justice/data-protection/internationaltransfers/adequacy/index_en.htm). Denne bestemmelsen gjelder også sikkerhetskopier av personopplysninger som databehandleren behandler på vegne av behandlingsansvarlig.
Eventuelle underleverandører er angitt i vedlegg 1.
5. Sikkerhet
Databehandler skal implementere og iverksette tilstrekkelige tekniske og organisatoriske sikringstiltak for å beskytte personopplysninger som omfattes av denne avtalen mot tilfeldig eller ulovlig ødeleggelse eller tap, endring, uautorisert eksponering eller tilgang.
Databehandler skal oppfylle de krav til sikringstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningslovens §13 – 15 med forskrifter. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene.
Dokumentasjonen skal være tilgjengelig på forespørsel fra behandlingsansvarlig.
Avviksmelding etter personopplysningsforskriftens §2-6 skal skje ved at databehandler melder avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet.
Databehandler plikter å holde personopplysninger fra behandlingsansvarlig forsvarlig adskilt fra personopplysninger tilhørende andre kunder. Databehandler plikter å dokumentere dette på forespørsel fra behandlingsansvarlig.
6. Sikkerhetsrevisjoner
Databehandler skal gjennomføre sikkerhetsrevisjoner av tjenestene som omfattes av denne avtalen. Behandlingsansvarlig skal på forespørsel gis tilgang til revisjonsrapportene.
Dersom en uavhengig tredjepart gjennomfører sikkerhetsrevisjoner hos databehandleren, skal behandlingsansvarlig på forespørsel ha tilgang til oppsummeringer av revisjonsrapportene.
Eventuell bistand fra databehandler i henhold til dette punkt 6 belastes etter databehandlers ordinære satser.
7. Varighet
Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig.
Ved brudd på denne avtale eller personopplysningsloven kan behandlingsansvarlig pålegge Databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.
Avtalen kan sies opp av begge parter med en gjensidig frist på 2 måneder, jf. Punkt 8 i denne avtalen.
8. Ved opphør
Ved opphør av denne avtalen plikter databehandler å tilbakelevere alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige og som omfattes av denne avtalen. Behandlingsansvarlig bestemmer når og hvordan sletting eller tilbakelevering av opplysningene skal skje, herunder hvilket format som skal benyttes, dog slik at databehandler har minimum 60 dager til å gjennomføre sletting og tilbakelevering.
Databehandler skal slette eller forsvarlig destruere alle dokumenter, data, disker mv, som inneholder opplysninger som omfattes av avtalen. Dette gjelder også for eventuelle sikkerhetskopier.
Sletting skal skje ved at databehandler skriver over personopplysninger på disker og andre fysiske lagringsmedier. Databehandler skal skriftlig dokumentere at sletting eller destruksjon er foretatt i henhold til avtalen på forespørsel fra behandlingsansvarlig.
Dataansvarlig dekker alle kostnader i forbindelse med tilbakelevering eller sletting av personopplysninger.
9. Lovvalg og verneting
Avtalen skal i alle henseender reguleres av norsk lovgivning, og rettstvister vedrørende avtalen skal løses etter norske rettergangsregler. Tvist mellom partene skal søkes løst gjennom forhandlinger. Oppnås ikke en løsning, skal saken henvises til ordinær domstolsbehandling. Rett verneting er databehandlers verneting.
Vedlegg 1 til databehandleravtalen
Tjenester
Følgende tjenester inngår i denne avtalen:
Navn |
Kommentar |
|
misjonsløp.no/misjonslop.no sponsorløp.no aksjonslop.no |
Administrasjon av deltagere og sponsorer ifm. innsamlingsløp. |
Personopplysninger
Følgende type personopplysninger inngår i denne avtalen:
Datatype |
Kommentar |
|
Deltakere: Navn Mobilnummer E-postadresse Fødselsår IP-adresse og tidspunkt for registrering |
Deltakeren registrerer seg selv en gang. De kan ikke redigere informasjonen i ettertid, det kan bare gjøres av databehandler. | |
Sponsorer: Navn Hvem de har sponset Mobilnummer E-postadresse Beløp IP-adresse og tidspunkt for registrering |
Sponsorer blir registrert av deltakere eller sponsoren selv. Den registrerte informasjonen er synlig for løpsadministrator og databehandler. Informasjonen kan bare redigeres av databehandler. Løpsadministrator kan slette sponsorer. | |
| Informasjonskapsler | Ifm. innlogging og statistikk benyttes det informasjonskapsler som lagres på brukerens datamaskin/enhet og våre servere. |
Sletting
Data slettes etter følgende plan:
Tidsplan |
Handling |
|
3 mnd etter utsendt SMS med betalingsinformasjon |
Løpet deaktiveres | |
6 mnd etter SMS med betalingsinformasjon |
Alle data slettes | |
| 30 dager etter sletting | Siste rest av data forsvinner ut av sikkerhetskopier |
Underleverandører
Følgende underleverandører benyttes i forbindelsemed denne avtalen:
Leverandør |
Databehandleravtale sist inngått |
|
|---|---|---|
| ProISP AS, orgnr. 896907662 | 21.6.2018 |
|
| Onlinecity.IO ApS | 21.8.2023 | |
| Nordic Hosting AS | 16.5.2024 |