Databehandleravtale

etter personopplysningsloven i henhold til personvernforordningen (GDPR) art. 28   

  1. Hensikten med avtalen
  2. Formål og behandling av personopplysninger
  3. BEHANDLINGSANSVARLIG sine plikter 
  4. DATABEHANDLER sine plikter
  5. Bruk av underleverandør
  6. Sikkerhet 
  7. Sikkerhetsrevisjoner
  8. Avtalens varighet
  9. Ved opphør
  10. Meddelelser og eventuelle tillegg
  11. Lovvalg og verneting
  12. Definisjoner 

 

  1. Hensikten med avtalen

1.1.          Hensikten med avtalen er å regulere partenes rettigheter og plikter etter personopplysningsloven,
herunder kravene om databehandleravtale som følger av personvernforordningen (GDPR) art. 28.

1.2.          Denne avtalen regulerer DATABEHANDLER sin behandling av personopplysninger på vegne av BEHANDLINGSANSVARLIG, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.

1.3.          Avtalen er et vedlegg (bilag) til avtale om bruk av eDialog24 (Tjenestevilkår).

 

  1. Formål og behandling av personopplysninger

2.1.          DATABEHANDLER utvikler og leverer løsninger og programvare til sine kunder (BEHANDLINGSANSVARLIG).

DATABEHANDLER forplikter å utføre vedlikehold og support på programvaren i henhold til tjenestevilkårene. Dette inkluderer også behandling av opplysninger som innhentes og behandles av BEHANDLINGSANSVARLIG på systemet/programvaren som er levert av DATABEHANDLER.

2.2.          Formålet med avtalen er å fastsette vilkårene for DATABEHANDLER sin behandling av personopplysninger på vegne av BEHANDLINGSANSVARLIG, herunder å oppfylle personopplysningslovens krav til databehandleravtale.

2.3.          Avtalen omfatter all behandling av personopplysninger som DATABEHANDLER får tilgang til gjennom vedlikehold og support i henhold til lisensavtalen. Lisensavtalen medfører at DATABEHANDLER skal ha tilgang til den elektronisk lagret informasjon som innhentes, arkiveres og behandles av BEHANDLINGSANSVARLIG. Behandlingen hos DATABEHANDLER følger av inngått lisensavtale med BEHANDLINGSANSVARLIG eller etter instruks fra BEHANDLINGSANSVARLIG som ledd i oppfyllelsen av lisensavtalen.

2.4.          Grunnlaget for DATABEHANDLER sine plikter og rettigheter under denne databehandleravtalen gjelder for samme tidsperiode som lisensavtalen med BEHANDLINGSANSVARLIG.

2.5.          Personopplysninger som DATABEHANDLER behandler under lisensavtalen, er:

Valgfrie felter:

Fornavn

 

Etternavn

 

Epost adresse

 

Kundenummer

Organisasjonsnummer

Firmanavn

 

Besøks adresse

 

Post adresse

 

Postnummer

 

Poststed

 

IP – adresse

 

Notater

Telefon

Dialoginnhold

Epost

 

Obligatoriske felter:

Telefon

Telefonnummer

Epost

SMTP header/metadata informasjon

(slettes sammen med eposten)

I tillegg behandler DATABEHANDLER slike personopplysninger om ansatte som er lagt inn i programmet av BEHANDLINGSANSVARLIG:  

Fornavn, etternavn, telefonnummer, mobiltelefon nummer, e-postadresse, stilling, og profilbilde

 

DATABEHANDLER har også adgang til å behandle personopplysninger som kommer frem av dokumenter og notater som er lastet opp av ansatte hos BEHANDLINGSANSVARLIG i det programmet som er levert av DATABEHANDLER.

2.6.          For å oppfylle lisensavtalen har DATABEHANDLER adgang til å utføre følgende behandlingsaktiviteter av personopplysninger som er lagt inn i programmet av BEHANDLINGSANSVARLIG:  

               
Innsamling, registrering, sammenstilling, lagring, sletting, samt utlevering av personopplysninger eller kombinasjoner av disse, til eller på vegne av BEHANDLINGSANSVARLIG.

DATABEHANDLER skal behandle personopplysninger som er nødvendig for å utføre lovbestemte oppgaver og oppgaver som følger av avtaleforpliktelser under tjenestevilkårene, nødvendighetsgrunner eller i tilfeller der det er gitt samtykke fra personen. Behandlingen gjelder også personopplysninger som BEHANDLINGSANSVARLIG har instruert DATABEHANDLER om å behandle.

2.7.          DATABEHANDLER skal kun håndtere personopplysninger på tilsvarende måte som BEHANDLINGSANSVARLIG selv har adgang til.

2.8.          Dersom DATABEHANDLER bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes, utover det som følger av tjenestevilkårene, denne avtalen og eventuelle instrukser fra BEHANDLINGSANSVARLIG, anses DATABEHANDLER å være behandlingsansvarlig for slike behandlinger.

 

  1. BEHANDLINGSANSVARLIG sine plikter

3.1.          BEHANDLINGSANSVARLIG er den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Det er BEHANDLINGSANSVARLIG som har ansvaret for at opplysninger behandles i henhold til de krav som personopplysningsloven oppstiller.

3.2.          BEHANDLINGSANSVARLIG har ansvaret for å påse at berørte personer som det behandles personopplysninger om, blir informert om behandlingen i samsvar med de regler som til enhver tid følger av personopplysningsloven. 

 

  1. DATABEHANDLER sine plikter

4.1.          DATABEHANDLER skal bare behandle informasjon om registrerte i samsvar med det som kommer frem av avtale mellom partene, herunder BEHANDLINGSANSVARLIG ‘s dokumenterte instrukser. DATABEHANDLER har derfor adgang til å behandle personopplysninger om registrerte på den måten som følger av avtale eller som er nødvendig for å oppfylle lisensavtalen med BEHANDLINGSANSVARLIG.

4.2.          DATABEHANDLER er bare forpliktet til å etterkomme eventuelle instrukser fra BEHANDLINGSANSVARLIG for behandling av personopplysninger under denne databehandleravtalen og lisensavtalen.

4.3.          Enhver instruks fra BEHANDLINGSANSVARLIG utover det som følger av tjenestevilkårene og denne avtalen, skal bare utføres dersom DATABEHANDLER får kompensert merkostnaden ved utføring av oppgaven fra BEHANDLINGSANSVARLIG.

4.4.          DATABEHANDLER plikter å underrette BEHANDLINGSANSVARLIG omgående dersom DATABEHANDLER mener at instruks fra BEHANDLINGSANSVARLIG er i strid med regelverket.

4.5.          BEHANDLINGSANSVARLIG har, med mindre annet er avtalt eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles, og systemene som benyttes til dette formål. DATABEHANDLER plikter å gi nødvendig bistand til dette.

4.6.          DATABEHANDLER plikter å sikre at personer som er autorisert til å behandle personopplysningene har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. tjenestevilkårene og denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør.

4.7.          DATABEHANDLER har ansvar for at underleverandører engasjert av DATABEHANDLER oppfyller sine plikter tilsvarende det som gjelder for DATABEHANDLER etter denne avtalen.

4.8.          DATABEHANDLER plikter å gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen av personopplysningene oppfyller kravene som følger av regelverket. DATABEHANDLER skal gjøre tilgjengelig for BEHANDLINGSANSVARLIG all den informasjon som er nødvendig for å påvise at forpliktelsene som databehandler er oppfylt. 

4.9.          Ved anmodninger fra den registrerte om utøvelse av sine rettigheter som er fastsatt i personvernforordningens kapittel III, plikter DATABEHANDLER å bistå behandlingsansvarlig med å oppfylle deres plikter.

4.10.        DATABEHANDLER skal gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen. DATABEHANDLER plikter å bistå BEHANDLINGSANSVARLIG med å sikre overholdelse av forpliktelsene etter personvernforordningen art. 32 – 36, idet det tas hensyn til behandlingens art og den informasjonen som er tilgjengelig for databehandleren. DATABEHANDLER skal også bistå BEHANDLINGSANSVARLIG med å oppfylle BEHANDLINGSANSVARLIG sin plikt til å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter.

4.11.        DATABEHANDLER plikter å ikke overføre personopplysninger til en tredjestat uten at BEHANDLINGSANSVARLIG på forhånd er orientert og godkjent slik overføring.

 

  1. Bruk av underleverandør

 

5.1.          Dersom DATABEHANDLER benytter seg av underleverandør eller andre som ikke normalt er ansatt hos DATABEHANDLER avtales dette skriftlig i tjenestevilkårene med BEHANDLINGSANSVARLIG før behandlingen av personopplysninger starter.

5.2.          Samtlige som på vegne av DATABEHANDLER utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med DATABEHANDLER sine avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.

5.3.          DATABEHANDLER kan ikke engasjere eller skifte ut andre databehandlere enn hva som kommer frem av denne avtalen, uten at BEHANDLINGSANSVARLIG er informert og har adgang til å motsette seg slike endringer.

5.4.          DATABEHANDLER har følgende underleverandører som behandler personopplysninger på vegne av BEHANDLINGSANSVARLIG:  

DigitalOcean – Sky-basert datasenter (EU)
Youtello løsningen er lokalisert og driftet fra Nederland.
Persondata: Fornavn, etternavn, telefonnummer og e-post.
https://www.digitalocean.com/

Pro ISP – E-post kontoer (Norge)
E-post håndtering i Youtello går gjennom denne leverandøren.
Persondata: Fornavn, etternavn, e-post.
https://www.proisp.no/

Nordic Hosting – Web / E-post kontoer (Norge)
Webside og e-post håndtering i Youtello går gjennom denne leverandøren.
Persondata: Fornavn, etternavn, telefonnummer og e-post.
https://www.proisp.no/

Traq – Samtykkehåndtering (Norge)
Persondata: Fornavn, etternavn, telefonnummer og e-post.
https://no.traq.tech/

Front – Nummeroppslag (Norge)
Persondata: Telefonnummer.
https://fro.no/

1881 – Nummeroppslag (Norge)
Persondata: Telefonnummer.
https://www.1881.no/

Telia Norge AS / Phonero  (Norge)
Persondata: Telefonnummer (utveksles kun med en aktiv integrasjon).
https://www.telia.no, https://www.phonero.no

 

  1. Sikkerhet

6.1.          DATABEHANDLER skal oppfylle de krav til sikkerhetstiltak som er nødvendig etter personvernforordningen art. 32. DATABEHANDLER skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på BEHANDLINGSANSVARLIG ‘s forespørsel.

6.2.          Avviksmelding skal skje ved at DATABEHANDLER melder avviket til BEHANDLINGSANSVARLIG. BEHANDLINGSANSVARLIG har ansvaret for at avviksmelding sendes Datatilsynet når slik melding er nødvendig.

6.3.          DATABEHANDLER plikter å holde personopplysninger fra BEHANDLINGSANSVARLIG forsvarlig adskilt fra personopplysninger som tilhører DATABEHANDLER sine andre kunder.  

 

  1. Sikkerhetsrevisjoner

7.1.          BEHANDLINGSANSVARLIG kan avtale med DATABEHANDLER at det gjennomføres sikkerhetsrevisjoner jevnlig for systemer og lignende som omfattes av denne avtalen.

  1. Avtalens varighet

8.1.          Avtalen gjelder så lenge DATABEHANDLER behandler personopplysninger på vegne av BEHANDLINGSANSVARLIG.

8.2.          Ved brudd på denne avtalen eller personopplysningsloven kan BEHANDLINGSANSVARLIG pålegge DATABEHANDLER å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.

8.3.          Avtalen kan sies opp på de vilkår som følger av tjenestevilkårene.

 

  1. Ved opphør

9.1.          Ved opphør av denne avtalen plikter DATABEHANDLER å tilbakelevere alle personopplysninger som er mottatt på vegne av BEHANDLINGSANSVARLIG og som omfattes av denne avtalen, dersom BEHANDLINGSANSVARLIG ber om det. Tilbakeleveringen skal skje i XML eller annet åpent filformat.

9.2.          DATABEHANDLER skal slette eller forsvarlig destruere alle dokumenter, data mv, som inneholder opplysninger som omfattes av avtalen. Dette gjelder også for eventuelle sikkerhetskopier. Sletting og/eller destruksjon skal også omfatte alle kopier på e-post og andre oppbevaringssteder.

9.3.          Normalt slettes alle data (som nevnt i 9.2.) innen 3 måneder etter opphør, med mindre data ikke kan slettes som følge av krav etter lov eller forskrift. Sikkerhetskopier (backup) slettes senest innen 24 måneder fra lisensavtalen opphører.

9.4.          DATABEHANDLER skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til avtalen innen rimelig tid.

9.5.          DATABEHANDLER dekker alle kostnader i forbindelse med tilbakelevering eller sletting av personopplysninger.

 

  1. Meddelelser og eventuelle tillegg

10.1.        Partene er enige om at eventuelle behov for endringer i denne avtalen ved innføring av personvernforordningen, skal gjennomføres elektronisk.

10.2.        Partene er enige i at avtalen kan signeres
digitalt.

10.3.        Meddelelser etter denne avtalen skal sendes skriftlig til følgende personer:

 

For BEHANDLINGSANSVARLIG:

Virksomheten som benytter Youtello løsningen.

 

For DATABEHANDLER:

Stilling: IKT-ansvarlig
Telefon: 73 89 47 40
E-post: kundeservice@edialog24.no 

 

  1. Lovvalg og verneting

Avtalen er underlagt norsk rett og partene vedtar Behandlingsansvarliges hjemting som verneting. Dette gjelder også etter opphør av avtalen.

 

  1. Definisjoner

Avtalen: Databehandleravtalen slik den er beskrevet i dette dokument.

Behandling av personopplysninger: Enhver bruk av og tilknytning til personopplysninger, som f.eks. innsamling, registrering, lagring og utlevering eller en kombinasjon av disse.

Databehandler: eDialog24 AS som leverer produktet Youtello®.

Behandlingsansvarlig: Kunden og virksomheten som er bruker av Youtello® .

Programmet: Youtello® .

Personopplysninger: Opplysninger som kan knyttes til eller identifisere en person.

Support: Teknisk support

Tjenestevilkårene: Vilkårene for bruk av Youtello®.