Databehandleravtale mellom SmartBob AS, org.nr. 920 411 584 (databehandler) og Kunde (behandlingsansvarlig)

Definisjoner:

Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Behandlingsansvarlig har ansvaret for at opplysninger behandles i henhold til personlovgivningen.

En behandling av personopplysninger er enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av slike bruksmåter.

Databehandler er den som behandler personopplysninger på vegne av den behandlingsansvarlig. Databehandleren har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av behandlingsansvarlig. Databehandleren skal bare behandle data i tråd med det som er avtalt med behandlingsansvarlig.

Hensikt med avtalen:

Databehandleravtalens hensikt er å regulere rettigheter og plikter etter personopplysningsloven.

Databehandleravtalen skal sikre at personopplysninger ikke behandles urettmessig eller kommer uberettigede i hende.

Databehandleravtalen fastsetter vilkår for den behandling av personopplysninger som databehandler utfører på vegne av behandlingsansvarlig.

Personopplysninger som behandles av SmartBob AS:

SmartBob og Prisolve er et sky- og landbasert rapporterings- og analyseverktøy for brukere av økonomiske data.

SmartBob AS behandler personopplysninger om ansatte¹ i form av navn, stilling, lønn, reiseregning og eventuelle andre lønnsrelaterte ting. Formålet for behandlingen er å utarbeide rapporter og analyser på vegne av Kunde, herunder verifisering av rapporter, samt å håndtere supporthenvendelser.

Databehandlers forpliktelser:

SmartBob AS har ikke råderett over personopplysningene, og kan ikke benytte disse til formål ut over det som er avtalt.

SmartBob AS kan ikke utlevere personopplysninger til andre eksterne parter uten at dette fremgår klart av databehandleravtalen eller annen skriftlig avtale med Kunde.

SmartBob AS plikter ved inngåelse av avtale med sine kunder å underrette kunden at ved avslutning av kundeforholdet, så må kunden selv stenge tilgangen til SmartBob AS mot sitt økonomisystem.

Videre plikter SmartBob AS å påse at samtlige personer i virksomheten som har tilgang til personopplysninger, er kjent med denne avtalen og er underlagt avtalens bestemmelser.

SmartBob AS sine ansatte har i forbindelse med ansettelsen signert en taushetserklæring, som gjelder så vel i ansettelsesperioden som etter avsluttet arbeidsforhold.

SmartBob AS plikter å bistå kunden med å overholde forpliktelsene etter GDPR artikkel 32-36. Kostnader forbundet med utøvelse av bistand, herunder interne arbeidstimer i SmartBob, skal dekkes av Kunde.

Bruk av underleverandører:

Kunde gir SmartBob AS en generell skriftlig tillatelse til å bruk av underleverandører.  Kunde har ikke rett til å motsette seg SmartBob AS’ bruk av underleverandør, med mindre det foreligger saklig grunn. Dersom SmartBob AS benytter seg av underleverandører, skal det inngås skriftlig avtale med underleverandør som pålegge underleverandør de samme forpliktelser som databehandler med hensyn til vern av personopplysninger. Samtlige som på vegne av SmartBob AS utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med SmartBob AS’ avtalemessige og lovmessige forpliktelser. Tilsvarende forpliktelser skal pålegges vedkommende.

SmartBob AS er ansvarlig overfor kunde for ethvert lov- og eller forskriftsbrudd, eller brudd på forpliktelsene etter denne avtalen som underleverandør til SmartBob gjør seg skyldig i, som om handlingen var utført av ham selv.

SmartBob AS benytter Amazon Web Services (AWS) som underleverandør.

Sikkerhet:

SmartBob AS skal oppfylle de krav til sikkerhetstiltak som er nødvendige i henhold til personvernlovgivningen og for å oppfylle Kundens sikkerhetskrav.

Alle kundedata skal behandles konfidensielt, og tilgang til systemet hvor kundedata (herunder eventuelle personopplysninger) lagres, skal bare gis ved forespørsel legitimert av gjeldende personvernlovgivning. Tilgang til SmartBob og Prisolve skjer via kryptert løsning.

Dersom det skjer sikkerhetsbrudd som kan ha personvernkonsekvenser skal SmartBob AS varsle Kunden umiddelbart etter at dette er oppdaget, og kunden kan ved behov melde dette til Datatilsynet.

Det skal gjennomføres stikkprøver og revisjon av rutiner og systemets sikkerhet minimum 1 gang per år.

Kunde har adgang til å gjennomføre stikkprøvekontroller av SmartBob AS’  informasjonssikkerhet og internkontroll, men kun begrenset til å gjelde behandling av de personopplysninger som behandles på vegne av Kunde. Dersom Kunde ønsker å få gjennomført stedlig inspeksjon eller stikkprøvekontroll, skal SmartBob AS varsles skriftlig og senest 14 dager forut for stedlig inspeksjon. Kostnader knyttet til gjennomføring av stikkprøvekontroll eller stedlig inspeksjon, herunder interne arbeidstimer i SmartBob AS, skal dekkes fullt ut av Kunde.

Behandling av personopplysninger utenfor EU/EØS

All behandling av personopplysninger underlagt denne databehandleravtalen vil foregå innenfor EU/EØS.

SmartBob AS benytter servere som er lokalisert i Irland.

Varighet og brudd av bestemmelser:

Databehandleravtalen gjelder så lenge SmartBob AS behandler personopplysninger på vegne av Kunden.

Ved brudd på denne avtalen eller personopplysningsloven, kan Kunden pålegge SmartBob AS å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.

Opphør av avtale med Kunde:

Kunden har løpende kontroll over sletting av personopplysninger i SmartBob og Prisolve, og det påhviler Kunden å slette personopplysninger i løsningen. Ved opphør plikter SmartBob AS å bekrefte innen rimelig tid overfor Kunden at alle personopplysninger er slettet. SmartBob AS skal ved avslutning av kundeforhold opplyse kunde om å slette koden som knytter SmartBob AS til kundens økonomisystem.

Lovvalg og verneting:

Denne avtalen er underlagt norsk rett. Som verneting vedtar partene Oslo tingrett.

1^ Med ansatte menes nåværende eller tidligere ansatte, representanter og innleid arbeidskraft i de virksomheter som benytter løsningen.