Databehandleravtale

Denne Databehandleravtalen utgjør et vedlegg til Prisolves brukervilkår og omfatter all behandling av personopplysninger som Prisolve AS utfører på vegne av Kunden som databehandler, med mindre annet er avtalt skriftlig mellom partene.

1 Bakgrunn

Prisolve AS, org.nr. 999 240 763, Bjerkealleen 16, 0487 Oslo, (heretter kalt ”Databehandler”) utvikler, drifter og vedlikeholder tjenester til Kunden (heretter kalt ”Behandlingsansvarlig”) i henhold til Prisolves brukervilkår. Behandlingsansvarlig og Databehandler er i fellesskap benevnt ”Partene” og alene ”Parten”.

I forbindelse med ytelse av tjenestene vil Databehandleren behandle Personopplysninger om den Behandlingsansvarliges kunder, ansatte og andre personer. Formålet med denne Databehandleravtalen er å sikre at Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig er i overenstemmelse med gjeldende personvernlovgivning.

2 Definisjoner 

”Avtalen” betyr Prisolves avtalevilkår vedrørende levering av rapporteringstjenester der Databehandleren skal behandle Personopplysninger på vegne av Behandlingsansvarlig. Avtalen omfatter også nye tilleggstjenester og utviklede tjenester med henvisning til den Avtalen som denne Databehandleravtalen er en integrert del av.

”Personopplysninger” betyr opplysninger som kan knyttes til en identifisert eller identifiserbar fysisk person. En identifiserbar fysisk person er en som direkte eller indirekte kan identifiseres ved en identifikator, f.eks. et navn, et identifikasjonsnummer, en online identifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet.

Andre betegnelser som benyttes, men som ikke er definert i denne Databehandleravtalen skal ha den betydning som fremkommer av gjeldende personvernlovgivning. Alle andre betegnelser i Databehandleravtalen skal, der det måtte passe, ha den betydning som fremgår av Avtalen.

3 Behandlingens formål, karakter og omfang

 

Databehandleren behandler personopplysninger på vegne av den Behandlingsansvarlige for følgende formål:

• Ytelse av tjenester til Behandlingsansvarlig

• Teknisk Support, herunder feilretting i henhold til SLA (avtalt tjenestenivå)

• Vedlikehold og utvikling av applikasjon/produkt/tjeneste 

og følgende kategorier av individer:

• Den Behandlingsansvarliges ansatte og eventuelle andre representanter for den Behandlingsansvarlige som konsulenter m.m.

• Behandlingsansvarliges kunder

• Andre personer hvis personopplysninger den Behandlingsansvarlige har kontroll over i henhold til lov eller avtale

Partene er enige om at Personopplysninger i denne Databehandleravtalen kun gjelder opplysninger der Kunden anses som behandlingsansvarlig i henhold til gjeldende personvernlovgivning. 

4. Personvern

 

Vi henviser til vår databehandleravtale som regulerer behandling av personopplysninger som databehandler på vegne av våre kunder og sikrer at både dere og vi oppfyller kravene som GDPR stiller til bruk av databehandleravtaler.  Som det fremgår av vilkårene gjelder den nye databehandleravtalen med mindre annet er avtalt mellom partene. Bruk av Prisolve forutsetter oppfyllelse av vilkårene i databehandleravtalen.

 5 Behandlingsansvarliges plikter

 

5.1 Behandlingsansvarlige garanterer at behandlingen av Personopplysninger under Avtalen er lovlig i henhold til gjeldende rett.  

Behandlingsansvarlige garanterer særskilt at:

(i) Behandlingen av Personopplysninger er formålsbestemt og basert på et gyldig rettsgrunnlag;

(ii) de registrerte har mottatt nødvendig informasjon om behandlingen av personopplysningene;  

og

(iii) Behandlingsansvarlige har rett til å overføre Personopplysningene til Databehandleren for behandling.

5.2 Behandlingsansvarlig skal sørge for at Databehandler til enhver tid har tilstrekkelige instrukser for å oppfylle sine plikter i henhold til avtalen og gjeldende personvernlovgivning, herunder at behandlingen begrenses til det som er nødvendig for å oppfylle formålet med behandlingen av personopplysninger. Alle slike instrukser skal gis skriftlig.

5.3 Behandlingsansvarlige kan endre instruksene når det er nødvendig for å etterleve gjeldende personvernlovgivning. Krav til endring skal varsles til Databehandler på forhånd, og skal implementeres av Databehandler innen det Partene avtaler er rimelig tid. Databehandler kan kreve at Behandlingsansvarlig dekker rimelige kostnader påløpt i forbindelse med implementeringen av

slike endringer.

5.4 Behandlingsansvarlig skal gi all nødvendig informasjon og dokumentasjon til Databehandler slik at Databehandler kan oppfylle sine lovbestemte plikter i henhold til gjeldende rett. Behandlingsansvarlig skal gi all nødvendig informasjon og dokumentasjon til Databehandler slik at Databehandler kan oppfylle sine lovbestemte plikter i henhold til gjeldende rett.

 6 Databehandlers plikter 

6.1 Databehandler skal sørge for at behandlingen av personopplysninger er i samsvar med gjeldende lov, oppdragsavtalen, denne databehandleravtalen samt eventuelle instrukser som er gitt av Behandlingsansvarlig.  

I den utstrekning Databehandleren ikke kan etterkomme endringer i Behandlingsansvarliges instrukser uten å pådra seg tilleggskostnader, skal Databehandleren:

(i) uten ugrunnet oppholdet informere Behandlingsansvarlig om kostnadene; og/eller

(ii) stanse all behandling av relevante Personopplysninger (bortsett fra lagring) frem til man mottar reviderte instrukser.

6.2 Databehandleren skal informere Behandlingsansvarlig om eventuelle rettslige forpliktelser som hindrer Databehandleren i å oppfylle denne Databehandleravtalen, Avtalen eller dokumenterte instrukser uten ugrunnet opphold. Databehandleren skal i tillegg informere Behandlingsansvarlig hvis de finner at denne Databehandleravtalen, Avtalen eller dokumenterte instrukser gitt av Behandlingsansvarlig, er i strid med gjeldende personvernlovgivning.

6.3 Databehandleren skal påse at personer som er autorisert til å behandle Personopplysninger, er underlagt taushetsplikt gjennom avtale eller lov.

6.4 Databehandler skal gjennomføre egnede tekniske og organisatoriske tiltak for å verne Personopplysninger som behandles mot uautorisert eller urettmessig behandling, samt utilsiktet tap, ødeleggelse eller skade.

6.5 Databehandler skal i rimelig grad bistå Behandlingsansvarlig i å oppfylle Behandlingsansvarliges personvernforpliktelser i henhold til gjeldende rett, hensett til behandlingens art og omfang, samt hva som er kommersielt forsvarlig.

 

6.6 På forespørsel fra Behandlingsansvarlig skal Databehandleren bistå Behandlingsansvarlig med å oppfylle den Behandlingsansvarliges plikt til å besvare henvendelser vedrørende utøvelse av den registrertes rettigheter i henhold til Gjeldende Personvernlovgivning.

Databehandleren skal i henhold til Avtalen særlig påse at Tjenestene som ytes i medhold av Avtalen inneholder følgende muligheter med hensyn til den registrertes rettigheter:

• Rett til innsyn

• Rett til korrigering

• Rett til sletting (”rett til å bli glemt”)

• Rett til begrensning av behandling

6.7 Dersom Databehandler får rimelig grunn til å tro at det foreligger brudd på personvernsikkerheten, skal Behandlingsansvarlig varsles skriftlig uten ugrunnet opphold.

Databehandleren skal dokumentere de faktiske forhold rundt brudd på personvernsikkerheten i samsvar med gjeldende personvernlovgivning.

For ordens skyld erklærer Partene at brudd på personvernsikkerheten som sådan ikke automatisk betyr mislighold av denne Databehandleravtalen, Avtalen og/eller gjeldende rett, dersom man har fulgt de nødvendige prosedyrer som angitt i Gjeldende Personvernlovgivning.

6.8 Databehandler skal på forespørsel samarbeide med og bistå Behandlingsansvarlig med informasjon vedrørende egnede tekniske og organisatoriske tiltak for oppfyllelse av de registrertes rettigheter i henhold til gjeldende personvernlovgivning så langt dette er mulig og i den grad slike rettigheter vil gjelde med hensyn til Tjenestene.

6.9 I tilfelle en registrert, en tilsynsmyndighet (for eksempel Datatilsynet) eller en annen tredjepart krever tilgang til Personopplysninger som behandles under Avtalen, skal Databehandler henvise dem til Behandlingsansvarlig. Databehandler kan ikke utlevere Personopplysninger eller annen informasjon vedrørende behandlingen av Personopplysninger uten samtykke fra Behandlingsansvarlig, med mindre Databehandler i henhold til ufravikelig EU-lovgivning eller nasjonal lovgivning har plikt til å utlevere slik informasjon. I sistnevnte tilfelle skal Databehandler

varsle Behandlingsansvarlig om henvendelsen så langt dette er tillatt ved lov.

6.10 Databehandler skal gi alle nødvendige opplysninger, dokumentasjon og hjelp som er nødvendig for at Behandlingsansvarlig kan oppfylle kravene i gjeldende personvernlovgivning. Databehandler skal føre en hensiktsmessig protokoll over behandlingen slik det er påkrevd i gjeldende personvernlovgivning.

6.11 Behandlingsansvarlig har rett til å utføre revisjon på Databehandlers forretningssted for å verifisere Databehandlers etterlevelse av sine plikter i henhold til denne Databehandleravtalen eller gjeldende personvernlovgivning. Databehandler har ingen plikt til å gi tilgang til konfidensielle opplysninger og/eller Personopplysninger om tredjeparter eller opplysninger som Databehandler plikter å bevare taushet om i henhold til gjeldende lovgivning. Følgende regler

gjelder for gjennomføringen av slike revisjoner:

• Behandlingsansvarlig skal én gang i året, og etter rimelig forhåndsvarsel, ha rett til å utføre revisjon.

• Revisjon skal foregå innenfor normal arbeidstid, og skal ikke forstyrre Databehandlers virksomhet unødvendig.

• Revisjonen kan enten utføres av ansatte hos Behandlingsansvarlig eller av tredjepart som er godkjent av Partene og underlagt taushetsplikt.

• Behandlingsansvarlig skal dekke egne omkostninger for revisjoner (herunder tredjeparts kostnader). Dersom revisjonen avdekker vesentlig brudd på forpliktelsene etter denne databehandleravtalen, skal Databehandler likevel dekke rimelige kostnader ved revisjonen.

6.12 Databehandler skal tillate inspeksjoner som en offentlig myndighet har rett til å kreve etter gjeldende personvernlovgivning. Databehandler kan kreve at Behandlingsansvarlig dekker alle rimelige kostnader i forbindelse med gjennomføringen av en slik inspeksjon.

 7 Underleverandører

 

7.1 Databehandler bruker underleverandører som er kjent med, og påtar seg alle forpliktelser som følger av denne databehandleravtalen.

7.2 Behandlingsansvarlig gir herved en generell fullmakt til Databehandler å benytte

underleverandører for behandlingen av Personopplysninger etter Avtalen under forutsetning av at:

(i) Databehandler uten ugrunnet opphold informerer Behandlingsansvarlig om eventuelle endringer av underleverandører og

(ii) Behandlingsansvarlig har en mulighet til å motsette seg endringer i henhold til punkt (i), på bakgrunn av legitime personvernhensyn, for eksempel at underleverandøren ikke er i stand til å oppfylle lovpålagte personvernkrav.

7.3 I tilfeller der underleverandør ikke overholder gjeldende personvernlovgivning eller ikke oppfyller sine personvernplikter i avtalen med Databehandler, er Databehandler fullt ut ansvarlig overfor Behandlingsansvarlig for tredjepartens plikter i henhold til gjeldende personvernlovgivning.

 8 Opphør av behandling av Personopplysninger  

Ved utløp av avtalen skal Databehandler slette Personopplysninger som behandles i henhold til Avtalen, med mindre annet følger av gjeldende personvernlovgivning. Partene kan også avtale at Personopplysninger som behandles skal utleveres til Behandlingsansvarlig før sletting finner sted.

 9 Ansvar

  

En Part er ansvarlig for kostnader, utgifter, godtgjørelser, tap og skader som påføres den annen Part ved handlinger som er i strid med denne databehandleravtalen eller gjeldende personvernlovgivning i henhold til ansvarsreguleringen i Avtalen.

10 Varighet

Denne databehandleravtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av behandlingsansvarlig. Den kan sies opp av begge parter med en gjensidig frist på 3 måneder.

 11 Gjeldende rett og tvister 

Denne databehandleravtalen er underlagt norsk rett, og partene vedtar Oslo tingrett som verneting.

12 Motstrid, endringer m.m. 

Ved motstrid mellom bestemmelsene i denne databehandleravtalen og Avtalen, skal bestemmelsene i denne databehandleravtalen gå foran.

Eventuelle endringer i denne databehandleravtalen må være skriftlig avtalt mellom Partene og vedlegges denne databehandleravtalen.

Prøv Prisolve helt uforpliktende og gratis i 30 dager.

 

Denne Databehandleravtalen utgjør et vedlegg til Prisolves brukervilkår og omfatter all behandling av personopplysninger som Prisolve AS utfører på vegne av Kunden som databehandler, med mindre annet er avtalt skriftlig mellom partene.

JEG ØNSKER. BLI KONTAKTET!

Legger du i igjen din e-post i feltet under, vil vi ta kontakt med deg. Din epostadresse vil lagres i vårt system for salgs- og markedsaktiviteter.

LES MER OM:

Personvernerklæring
Databehandleravtale