Personvern

1. Innledning, Formål og Definisjoner 

Når oppfyllelse av «Avtalen» (se definisjon i punkt 1 i Leverandørens (dvs. Catacloud Services) brukervilkår) vil innebære behandling av personopplysninger, vil slik behandling være underlagt lovbestemmelser og forpliktelser i henhold til gjeldende personvernlovgivning. 

Leverandøren, heretter «Databehandler», og Kunden, heretter «Behandlingsansvarlig», har inngått denne Databehandleravtalen for å regulere Databehandlers rettigheter og plikter, med hensyn til all behandling av personopplysninger på vegne av Behandlingsansvarlig under Avtalen, inkludert under denne databehandlingsavtalen, for å sikre at all behandling av personopplysninger utføres i samsvar med gjeldende personvernregelverk. 

Denne Databehandleravtalen skal sikre at Behandlingsansvarliges personopplysninger behandles i samsvar med: 

• EU-forordningen 2016/679 («General Data Protection Regulation» eller «GDPR») som endret fra tid til annen og all relevant nasjonal lovgivning, inkludert nasjonale implementeringer av GDPR. 

Denne Databehandleravtalen er ment å oppfylle kravene i GDPR. Partene er enige om at hvis lover, forskrifter etter retningslinjer fra tilsynsmyndighetene endres i vesentlig grad, skal vilkårene i denne Databehandleravtalen revideres i god tro, med slik intensjon om at bestemmelsene og innholdet i Databehandleravtalen, løpende, skal oppfylle kravene som følger av personvernforordningen. 

Denne Databehandleravtalen gjelder i tillegg til Databehandlerens personvernerklæring. 

«Personopplysninger» skal bety enhver opplysning om en identifisert eller identifiserbar fysisk person, som nærmere definert i GDPR artikkel 4 (1). 

«Behandling av personopplysninger» skal bety enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, som nærmere definert i GDPR artikkel 4 (2). 

«Underdatabehandler» skal bety enhver annen databehandler eller tredjepart som behandler Personopplysninger på Databehandler sitt initiativ, vitende eller utilsiktet, for å utføre spesifikke behandlingsaktiviteter på vegne av Behandlingsansvarlig, inkludert programvareenheter og tilknyttede selskaper. 

Med «Tredjeland» menes land utenfor EU/EØS-området. 

Denne Avtalen inkluderer: 

• Vedlegg A: Informasjon om behandlingen 

• Vedlegg B: Autoriserte Underdatabehandlere 
   

Databehandleren og den Behandlingsansvarlige vil heretter samlet bli referert til som «Partene» eller hver for seg som en «Part». 

2. Den Behandlingsansvarliges Rettigheter og Plikter 

Behandlingsansvarlig er ansvarlig for å sikre at behandlingen av Personopplysninger skjer i samsvar med GDPR (jf. GDPR artikkel 24), inkludert gjeldende nasjonal personvernlovgivning og denne Databehandleravtalen. 

Den Behandlingsansvarlige har rett og plikt til å ta beslutninger om formål og midlene som skal benyttes ved behandling av Personopplysninger. 

Behandlingsansvarlig skal være ansvarlig for at Databehandler til enhver tid har tilstrekkelige instrukser og informasjon for å oppfylle sine plikter i henhold til Databehandleravtalen og personvernregelverket. 

Behandlingsansvarlig skal informere de aktuelle registrerte (datasubjektene) om behandlingsaktivitetene som Databehandler vil utføre på vegne av Behandlingsansvarlig under denne Databehandleravtalen. 

Behandlingsansvarlig skal iverksette tilstrekkelige tekniske og organisatoriske tiltak for å sikre og demonstrere samsvar med GDPR. 

Den Behandlingsansvarlige skal varsle eventuelle personvernbrudd til relevante myndigheter og om nødvendig de registrerte uten ugrunnet opphold i samsvar med gjeldende lov. 

3. Instrukser fra Behandlingsansvarlig 

Databehandleren skal kun behandle Personopplysninger i henhold til dokumenterte instrukser fra Behandlingsansvarlig, med mindre annet er påkrevd i EU- eller nasjonal lovgivning som Databehandleren er underlagt. Avtalen (jf. definisjon i punkt 1 i Leverandørens brukervilkår) utgjør instruksene på datoen for inngåelse av denne Databehandleravtalen. Instrukser kan også være gitt etter tidspunkt for avtaleinngåelse av Avtalen og Databehandleravtalen. Databehandler skal til enhver tid kunne dokumentere slike instrukser. 

Med mindre annet er spesifisert i Databehandleravtalen, kan Databehandler benytte alle relevante tekniske hjelpemidler (inkl. IT-systemer og programvare) for å oppfylle forpliktelsene som påhviler Databehandleren. 

Er Databehandler av den oppfatning at en instruks fra Behandlingsansvarlig er i strid med personvernregelverket, skal Databehandler umiddelbart underrette Behandlingsansvarlig om dennes oppfatning. 

4. Konfidensialitet 

Databehandleren skal sikre at ansatte og andre som har tilgang til Personopplysninger er autorisert til å behandle slike Personopplysninger på Databehandlerens vegne. Dersom slik autorisasjon utløper eller trekkes tilbake, skal tilgangen til Personopplysningene opphøre uten ugrunnet opphold. 

Databehandler skal sikre at personer som er autorisert til å behandle Personopplysningene, har forpliktet seg til å behandle opplysningene fortrolig eller er underlagt en egnet lovfestet taushetsplikt. Denne bestemmelsen gjelder også etter Databehandleravtalens opphør. Databehandleren skal på forespørsel fra Behandlingsansvarlig kunne dokumentere det samme. 

5. Sikkerhet ved Behandlingen 

Hensyntatt den tekniske utviklingen og gjennomføringskostnadene, behandlingens art, omfang, formål og i hvilken sammenheng den utføres, i tillegg til den varierende sannsynlighets- og alvorlighetsgraden for fysiske personers rettigheter og friheter, skal Behandlingsansvarlig og Databehandler vurdere å gjennomføre et eller flere av følgende tekniske og organisatoriske tiltak: 

• pseudonymisering og kryptering av Personopplysninger; 

• evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene; 

• evne til å gjenopprette tilgjengeligheten og tilgangen til Personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse; 

• en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er. 

 
I henhold til GDPR artikkel 32 skal Databehandleren også – uavhengig av Behandlingsansvarlig – vurdere risikoen for rettighetene og frihetene til fysiske personer i forbindelse med behandlingen, og iverksette tiltak for å redusere disse risikoene. For dette formål skal Behandlingsansvarlig gi Databehandleren all informasjon som er nødvendig for å identifisere og evaluere slike risikoer. 

Videre skal Databehandleren bistå Behandlingsansvarlig med å sikre overholdelse av Behandlingsansvarliges forpliktelser i henhold til GDPR artikkel 32, ved blant annet å gi Behandlingsansvarlig informasjon om de tekniske og organisatoriske tiltak som er implementert av Databehandleren i henhold til GDPR artikkel 32 sammen med annen informasjon som er nødvendig for Behandlingsansvarlig å ha tilgang til for å overholde Behandlingsansvarliges forpliktelse i henhold til GDPR artikkel 32. 

Ytterligere sikkerhetstiltak vil bli implementert av Databehandleren, i samsvar med Databehandlerens sikkerhetsretningslinjer. 

6. Bruk av Underdatabehandlere 

Databehandleren skal oppfylle kravene i GDPR artikkel 28 (2) og (4) for å engasjere en annen databehandler (en Underdatabehandler).  

Databehandler har ved tidspunkt for inngåelsen av Databehandleravtalen den Behandlingsansvarliges generelle autorisasjon til å engasjere Underbehandlere. Databehandleren skal skriftlig informere Behandlingsansvarlig om eventuelle tiltenkte endringer vedrørende tillegg eller utskifting av Underdatabehandlere minst fjorten (14) dager i forkant, og dermed gi Behandlingsansvarlig mulighet til å motsette seg slike endringer før den aktuelle Underdatabehandleren engasjeres. Godkjente Underdatabehandlere ved Databehandleravtalens inngåelse er spesifisert i vedlegg B til Databehandleravtalen. 

Underdatabehandlere skal være gjort kjent med Databehandlerens forpliktelser etter denne Databehandleravtalen og regelverket som regulerer behandling av Behandlingsansvarliges Personopplysninger, og skal pålegges de samme forpliktelsene med hensyn til vern av Personopplysninger som er fastsatt i denne Databehandleravtalen, hvor Underdatabehandler skal gi tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller lovmessige krav. Databehandleren skal forbli fullt ansvarlig overfor Behandlingsansvarlig for utførelsen av Underdatabehandlerens forpliktelser i henhold til dens kontrakt med Databehandleren. Databehandleren skal varsle Behandlingsansvarlig om eventuelle mangler ved Underdatabehandlerens oppfyllelse av dets kontraktsforpliktelser. 

Behandlingsansvarlig har også rett til, etter skriftlig forespørsel, å motta kopier av de relevante vilkårene i Databehandlerens avtale med Underdatabehandlere som skal behandle personopplysninger på vegne av Behandlingsansvarlig, med de begrensninger som eventuelt måtte følge av lov eller forskrift. Rent kommersielle vilkår kan uansett ikke kreves fremlagt. 

Databehandleren skal inngå en klausul om begunstigelse av tredjepart med Underdatabehandleren, slik at – i tilfelle Databehandleren faktisk er fjernet, opphørt å eksistere juridisk eller har blitt insolvent – Behandlingsansvarlig skal ha rett til å avslutte kontrakten med Underdatabehandleren og instruere Underdatabehandleren til å slette eller returnere Personopplysningene. 

7. Overføring av Personopplysninger til Tredjeland eller Internasjonale Organisasjoner 

Enhver overføring av Personopplysninger til Tredjeland eller Internasjonale Organisasjoner skal kun skje på grunnlag av dokumenterte instrukser fra Behandlingsansvarlig og skal alltid skje i samsvar med GDPR kapittel V.   

I tilfelle overføringer til Tredjeland eller Internasjonale Organisasjoner, som Databehandleren ikke har blitt instruert om å utføre av Behandlingsansvarlig, er påkrevd i henhold til EU- eller nasjonal lovgivning som Databehandleren er underlagt, skal Databehandleren informere Behandlingsansvarlig om det juridiske grunnlaget før overføringen finner sted, med mindre loven forbyr dette av viktige hensyn til allmenn interesse. 

Den Behandlingsansvarliges instrukser angående overføring av Personopplysninger til et Tredjeland inkludert, hvis aktuelt, overføringsgrunnlaget under GDPR kapittel V som overføringen er basert på, skal angis i vedlegg B.1. 

Denne Databehandleravtalen skal ikke forveksles med standard personvernbestemmelser i henhold til GDPR artikkel 46 (2) (c) og (d), og denne Databehandleravtalen kan ikke anses som et overføringsgrunnlag under GDPR kapittel V. 

8. Bistand til Behandlingsansvarlig 

Hensyntatt behandlingens art, skal Databehandler bistå Behandlingsansvarlig med passende tekniske og organisatoriske tiltak, så langt dette er mulig, med å oppfylle Behandlingsansvarliges forpliktelser til å svare på forespørsler om å utøve den registrertes rettigheter i henhold til GDPR kapittel III. 

Dette innebærer at Databehandler, så langt dette er mulig, skal bistå Behandlingsansvarlig i Behandlingsansvarliges etterlevelse av: 

• retten til å bli informert når Personopplysninger samles inn fra den registrerte 

• retten til å bli informert når Personopplysninger ikke er innhentet fra den registrerte 

• den registrertes rett til innsyn 

• rett til retting 

• rett til sletting («retten til å bli glemt») 

• rett til begrensning av behandling 

• underretningsplikt ifm. retting eller sletting av Personopplysninger eller begrensning av behandling 

• rett til dataportabilitet 

• rett til å protestere 

• rett til ikke å bli underlagt en avgjørelse som utelukkende er basert på automatisert behandling, herunder profilering 

I tillegg til Databehandlers plikt til å bistå den Behandlingsansvarlige etter pkt. 5, skal Databehandleren videre, hensyntatt behandlingens art og informasjonen som er tilgjengelig for Databehandleren, bistå Behandlingsansvarlig med å sikre overholdelse av: 

• Den Behandlingsansvarliges plikt til uten ugrunnet opphold og, der det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde bruddet til vedkommende tilsynsmyndighet, med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter; 

• Behandlingsansvarliges forpliktelse til uten ugrunnet opphold å informere om bruddet til den registrerte, når bruddet sannsynligvis vil resultere i en høy risiko for fysiske personers rettigheter og friheter; 

• Behandlingsansvarliges forpliktelse til å gjennomføre personvernkonsekvensvurderinger (Data Protection Impact Assessment); 

• Behandlingsansvarliges forpliktelse til å konsultere den kompetente tilsynsmyndigheten før behandling der en personvernkonsekvensvurdering indikerer at en behandling vil resultere i en høy risiko i fravær av tiltak fra Behandlingsansvarlig for å redusere den identifiserte risikoen. 

• Behandlingsansvarliges forpliktelse til å sikre at Personopplysningene er nøyaktige og oppdaterte, ved å informere Behandlingsansvarlig uten ugrunnet opphold dersom Databehandleren blir oppmerksom på at Personopplysningene som behandles er unøyaktige eller utgått. 

9. Melding om Personvernbrudd 

I tilfelle et personvernbrudd oppstår skal Databehandleren, uten unødig opphold etter å ha blitt kjent med det, varsle Behandlingsansvarlig om personvernbruddet.   

Databehandlerens varsling til Behandlingsansvarlig skal om mulig skje senest innen 48 timer etter at Databehandler har fått kjennskap til personvernbruddet for å tilrettelegge for at Behandlingsansvarlig kan overholde Behandlingsansvarliges plikt til å melde ifra om personvernbruddet til kompetent tilsynsmyndighet, jfr. GDPR artikkel 33. 

I samsvar med punkt 8 skal Databehandleren bistå Behandlingsansvarlig med å varsle om personvernbrudd til den kompetente tilsynsmyndigheten, det innebærer at Databehandleren er pålagt å bistå med å innhente informasjonen som beskrevet nedenfor, i henhold til artikkel GDPR 33 (3): 

• beskrivelse av arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt; 

• navnet på og kontaktopplysningene til personvernombudet eller et annet kontaktpunkt der mer informasjon kan innhentes; 

• beskrive de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten; 
• beskrive de tiltak som den behandlingsansvarlige har truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet. 

Dersom ikke alle opplysninger kan gis i første melding, skal opplysningene gis suksessivt så snart de foreligger uten unødig opphold. 

10. Sletting og Retur av Personopplysninger 

Partene er enige om at ved oppsigelse av Avtalen (jf. punkt 3 i Leverandørens brukervilkår), vil denne Databehandleravtalen også anses som opphørt. 

Ved oppsigelse av Avtalen er Databehandleren forpliktet til å returnere alle Personopplysningene til Behandlingsansvarlig og slette eksisterende kopier innen rimelig tid etter avtale med Behandlingsansvarlig opphører, med mindre Partene blir enige om noe annet, og med mindre EU- eller nasjonal lovgivning krever lagring av Personopplysningene. 

For å unngå tvil skal ingenting i denne Databehandleravtalen forplikte Databehandleren til å slette kopier av Personopplysninger som den har på egne vegne som Behandlingsansvarlig (hvis noen). Videre skal ingenting i denne Databehandleravtalen forplikte Databehandler til å slette data som ikke er Personopplysninger (verken direkte eller indirekte) slik som, men ikke begrenset til, tilstrekkelig aggregerte og/eller tilstrekkelig anonymiserte statistikkdata vedrørende Behandlingsansvarliges bruk og Behandlingsansvarliges sluttbrukeres bruk av det skybaserte regnskapssystemet Catacloud som tilbys under Avtalen. 

11. Revisjon og Inspeksjon 

Databehandleren skal gjøre tilgjengelig for Behandlingsansvarlig all informasjon som er nødvendig for å demonstrere overholdelse av forpliktelsene fastsatt i GDPR artikkel 28 og denne Databehandleravtalen, og bidra til revisjoner, inkludert inspeksjoner, utført av Behandlingsansvarlig selv eller av en revisor på oppdrag av den Behandlingsansvarlige med rimelige mellomrom eller hvis det er indikasjoner på manglende overholdelse. 

Databehandler er pålagt å gi tilsynsmyndighetene, som i henhold til gjeldende lovgivning har tilgang til Behandlingsansvarliges og Databehandlerens fasiliteter, eller representanter som opptrer på vegne av slike tilsynsmyndigheter, tilgang til Databehandlerens fysiske fasiliteter mot fremvisning av passende identifikasjon. 

12. Øvrige Plikter og Rettigheter 

Øvrige plikter og rettigheter mellom Partene er fastsatt i Avtalen (jf. definisjon i punkt 1, i Leverandørens brukervilkår). 

De samme kontaktpersonene under Avtalen vil være kontaktpersonene under denne Databehandleravtalen. 

Begge Parter erkjenner at denne Databehandleravtalen ikke skal utvide Behandlingsansvarliges sanksjonsmuligheter, inkludert erstatningsansvar for Databehandleren, utover det som følger av Avtalen (jf. punkt 13.3 i Leverandørens brukervilkår), eller GDPR. Partene erkjenner at noen av forpliktelsene og ansvarsområdene i henhold til GDPR er forskjellige fra sanksjonsmulighetene i Leverandørens bruksvilkår.  

Ved overføring av Avtalen til andre parter (jf. punkt 5 i Leverandørens brukervilkår), vil Databehandleravtalen anses som overført samtidig. 

13. Tvist og Jurisdiksjon 

Denne Databehandleravtalen skal tolkes i sin helhet i samsvar med norsk lov, med unntak av ufravikelige bestemmelser i gjeldende personvernlovgivning. 

Enhver tvist vedrørende Databehandleravtalen, eller tvist som oppstår som følge av denne Databehandleravtalen, skal i første omgang løses av Partene gjennom forhandlinger. 

Dersom en tvist ikke kan løses gjennom forhandlinger, skal en tvist være underlagt Oslo Tingrett, dersom ingen annen obligatorisk jurisdiksjon gjelder i gjeldende personvernlovgivning. 

Vedlegg A. Informasjon om behandlingen 

A.1. Formålet med Behandlerens behandling av Personopplysninger på vegne av Behandlingsansvarlig er: 

Databehandler vil få tilgang til og behandle Personopplysninger på vegne av Behandlingsansvarlig, for det formål å oppfylle sine forpliktelser i henhold til Avtalen (jf. definisjon i punkt 1 i Leverandørens brukervilkår) 

Databehandler vil ikke behandle eller lagre Personopplysninger i større grad enn det som er nødvendig for å kunne levere de avtalte tjenestene. 

A.2. Databehandlers behandling av Personopplysninger på vegne av Behandlingsansvarlig skal i hovedsak gjelde (behandlingens art): 

Behandlingens art vil kunne variere. Behandlingens art vil inkludere, men er ikke begrenset til, innsamling av Personopplysninger, strukturering av Personopplysninger, lagring av Personopplysninger, tilpasning eller endring av Personopplysninger, overføring av Personopplysninger, analysering av personopplysninger, eller kombinasjoner av disse. 

Andre behandlingsaktiviteter kan utføres av Databehandleren for det formål å oppfylle Databehandlerens forpliktelser i henhold til Avtalen (jf. definisjon i punkt 1 i Leverandørens brukervilkår). 
  

A.3. Behandlingen inkluderer følgende typer Personopplysninger om registrerte personer: 

• Kontaktinformasjon som navn, e-postadresser, telefonnumre og fysiske adresser. 

• Sluttbrukeres ansettelsesdetaljer / informasjon (og relatert informasjon til dette) som fødselsdato, personnummer / nasjonalt identifikasjonsnummer, nasjonalitet, kjønn, stillingstittel, avdeling, startdato, bankkontodetaljer for lønnsutbetalinger, grunnlønn, overtidstimer og satser, bonus- eller insentiv informasjon, fradrag og bidrag (skatter, forsikringspremier, pensjonsordninger), permisjonsforespørsler og -godkjenninger, oppmøteregistrering (arbeidstid, fravær, forsinkelser). 

• System- og bruksdata som IP-adresse, enhetsinformasjon, logger. 

• Dokumentmetadata som dokumenttitler, forfatterinformasjon, dato og klokkeslett for dokumentopprettelse eller endring, nøkkelord eller koder knyttet til dokumenter. 

• Finansiell informasjon i den grad det er nødvendig for å utføre compliance-prosesser som avslutning av regnskap, skattemelding og revisjon. 

I tilfelle det blir nødvendig å behandle flere Personopplysninger enn de som er oppført ovenfor, vil slik behandling skje i samsvar med instrukser fra Behandlingsansvarlig, og/eller fordi slik behandling er nødvendig for å oppfylle Databehandlerens forpliktelser i henhold til Avtalen (jf. definisjon i punkt 1 i Leverandørens brukervilkår). 

A.4. Behandling inkluderer følgende kategorier av registrerte: 

• Behandlingsansvarliges (Kundens) ansatte 

• Behandlingsansvarliges (Kundens) sluttbrukere 

• Alle andre personer / individer / brukere som samhandler med det skybaserte regnskapssystemet Catacloud, på instruks og autorisasjon av Behandlingsansvarlig, for å laste opp, få tilgang til og behandle dokumenter og data. Dette inkluderer for eksempel, men er ikke begrenset til Forhandlere som selger tilgang til systemet og løsningen Catacloud for egen regning og opptrer som en uavhengig forretningsdrivende overfor både Leverandøren og Forhandlerens sluttkunder. 
   

I tilfelle det blir nødvendig å behandle Personopplysninger om flere kategorier av registrerte personer enn de som er oppført ovenfor, vil slik behandling finne sted i samsvar med instrukser fra Behandlingsansvarlig, og/eller fordi slik behandling er nødvendig for å oppfylle Databehandlerens forpliktelser i henhold til Avtalen (jf. definisjon i punkt 1 i Leverandørens brukervilkår). 

A.5. Databehandlerens behandling av Personopplysninger på vegne av Behandlingsansvarlig igangsettes når denne avtalen trer i kraft. Behandlingen har følgende varighet: 

For hele varigheten/perioden til Avtalen (jf. punkt 3 i Leverandørens brukervilkår). 

Vedlegg B. Autoriserte underbehandlere. 

  B.1. Godkjente underbehandlere. 
 

Ved tidspunktet for inngåelsen av Avtalen (jf. definisjon i punkt 1 i Leverandørens brukervilkår) og denne Databehandleravtalen har Behandingsansvarlig godkjent bruken av følgende Underdatabehandlere: 

Den Behandlingsansvarlige har ved påbegynnelsen av Avtalen og denne Databehandleravtalen godkjent bruken av de ovennevnte Underbehandlerne for behandlingen som er beskrevet for den parten. 

B.2. Generell autorisasjon av Behandlingsansvarlig 

Med forbehold om begrensningene som eksplisitt er nevnt i denne Databehandleravtalen, og underlagt gjeldende begrensninger i henhold til GDPR, gir Behandlingsansvarlig et generelt samtykke til at Databehandler kan, i løpet av Avtalens løpetid (jf. punkt 3 i Leverandørens brukervilkår), bruke standardprogramvare(r) fra Amazon og de andre Underbehandlerne som er oppført under vedlegg B, punkt B.1, for å oppfylle Databehandlerens forpliktelser i henhold til Avtalen (jf. definisjon i punkt 1 i Leverandørens brukervilkår). Videre samtykker Behandlingsansvarlig til at slik behandling understøttes av servere i Tredjeland. 

De avtalte tidsperiodene for forhåndsvarsel for autorisasjon til å legge til og/eller endre Underbehandlere er minst fjorten (14) dager. Behandlingsansvarlige har mulighet til å motsette seg slike endringer innen nevnte frist. Dersom ingen innsigelse fra den Behandlingsansvarlige er mottatt senest innen fristen nevnt ovenfor, skal den aktuelle Underdatabehandleren anses som akseptert av den Behandlingsansvarlige.