Når oppfyllelse av «Avtalen» (se definisjon i punkt 1 i Leverandørens (dvs. Catacloud Services) brukervilkår) vil innebære behandling av personopplysninger, vil slik behandling være underlagt lovbestemmelser og forpliktelser i henhold til gjeldende personvernlovgivning.
Leverandøren, heretter «Databehandler», og Kunden, heretter «Behandlingsansvarlig», har inngått denne Databehandleravtalen for å regulere Databehandlers rettigheter og plikter, med hensyn til all behandling av personopplysninger på vegne av Behandlingsansvarlig under Avtalen, inkludert under denne databehandlingsavtalen, for å sikre at all behandling av personopplysninger utføres i samsvar med gjeldende personvernregelverk.
Denne Databehandleravtalen skal sikre at Behandlingsansvarliges personopplysninger behandles i samsvar med:
Denne Databehandleravtalen er ment å oppfylle kravene i GDPR. Partene er enige om at hvis lover, forskrifter etter retningslinjer fra tilsynsmyndighetene endres i vesentlig grad, skal vilkårene i denne Databehandleravtalen revideres i god tro, med slik intensjon om at bestemmelsene og innholdet i Databehandleravtalen, løpende, skal oppfylle kravene som følger av personvernforordningen.
Denne Databehandleravtalen gjelder i tillegg til Databehandlerens personvernerklæring.
«Personopplysninger» skal bety enhver opplysning om en identifisert eller identifiserbar fysisk person, som nærmere definert i GDPR artikkel 4 (1).
«Behandling av personopplysninger» skal bety enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, som nærmere definert i GDPR artikkel 4 (2).
«Underdatabehandler» skal bety enhver annen databehandler eller tredjepart som behandler Personopplysninger på Databehandler sitt initiativ, vitende eller utilsiktet, for å utføre spesifikke behandlingsaktiviteter på vegne av Behandlingsansvarlig, inkludert programvareenheter og tilknyttede selskaper.
Med «Tredjeland» menes land utenfor EU/EØS-området.
Denne Avtalen inkluderer:
Databehandleren og den Behandlingsansvarlige vil heretter samlet bli referert til som «Partene» eller hver for seg som en «Part».
Behandlingsansvarlig er ansvarlig for å sikre at behandlingen av Personopplysninger skjer i samsvar med GDPR (jf. GDPR artikkel 24), inkludert gjeldende nasjonal personvernlovgivning og denne Databehandleravtalen.
Den Behandlingsansvarlige har rett og plikt til å ta beslutninger om formål og midlene som skal benyttes ved behandling av Personopplysninger.
Behandlingsansvarlig skal være ansvarlig for at Databehandler til enhver tid har tilstrekkelige instrukser og informasjon for å oppfylle sine plikter i henhold til Databehandleravtalen og personvernregelverket.
Behandlingsansvarlig skal informere de aktuelle registrerte (datasubjektene) om behandlingsaktivitetene som Databehandler vil utføre på vegne av Behandlingsansvarlig under denne Databehandleravtalen.
Behandlingsansvarlig skal iverksette tilstrekkelige tekniske og organisatoriske tiltak for å sikre og demonstrere samsvar med GDPR.
Den Behandlingsansvarlige skal varsle eventuelle personvernbrudd til relevante myndigheter og om nødvendig de registrerte uten ugrunnet opphold i samsvar med gjeldende lov.
Databehandleren skal kun behandle Personopplysninger i henhold til dokumenterte instrukser fra Behandlingsansvarlig, med mindre annet er påkrevd i EU- eller nasjonal lovgivning som Databehandleren er underlagt. Avtalen (jf. definisjon i punkt 1 i Leverandørens brukervilkår) utgjør instruksene på datoen for inngåelse av denne Databehandleravtalen. Instrukser kan også være gitt etter tidspunkt for avtaleinngåelse av Avtalen og Databehandleravtalen. Databehandler skal til enhver tid kunne dokumentere slike instrukser.
Med mindre annet er spesifisert i Databehandleravtalen, kan Databehandler benytte alle relevante tekniske hjelpemidler (inkl. IT-systemer og programvare) for å oppfylle forpliktelsene som påhviler Databehandleren.
Er Databehandler av den oppfatning at en instruks fra Behandlingsansvarlig er i strid med personvernregelverket, skal Databehandler umiddelbart underrette Behandlingsansvarlig om dennes oppfatning.
Databehandleren skal sikre at ansatte og andre som har tilgang til Personopplysninger er autorisert til å behandle slike Personopplysninger på Databehandlerens vegne. Dersom slik autorisasjon utløper eller trekkes tilbake, skal tilgangen til Personopplysningene opphøre uten ugrunnet opphold.
Databehandler skal sikre at personer som er autorisert til å behandle Personopplysningene, har forpliktet seg til å behandle opplysningene fortrolig eller er underlagt en egnet lovfestet taushetsplikt. Denne bestemmelsen gjelder også etter Databehandleravtalens opphør. Databehandleren skal på forespørsel fra Behandlingsansvarlig kunne dokumentere det samme.
Hensyntatt den tekniske utviklingen og gjennomføringskostnadene, behandlingens art, omfang, formål og i hvilken sammenheng den utføres, i tillegg til den varierende sannsynlighets- og alvorlighetsgraden for fysiske personers rettigheter og friheter, skal Behandlingsansvarlig og Databehandler vurdere å gjennomføre et eller flere av følgende tekniske og organisatoriske tiltak:
I henhold til GDPR artikkel 32 skal Databehandleren også – uavhengig av Behandlingsansvarlig – vurdere risikoen for rettighetene og frihetene til fysiske personer i forbindelse med behandlingen, og iverksette tiltak for å redusere disse risikoene. For dette formål skal Behandlingsansvarlig gi Databehandleren all informasjon som er nødvendig for å identifisere og evaluere slike risikoer.
Videre skal Databehandleren bistå Behandlingsansvarlig med å sikre overholdelse av Behandlingsansvarliges forpliktelser i henhold til GDPR artikkel 32, ved blant annet å gi Behandlingsansvarlig informasjon om de tekniske og organisatoriske tiltak som er implementert av Databehandleren i henhold til GDPR artikkel 32 sammen med annen informasjon som er nødvendig for Behandlingsansvarlig å ha tilgang til for å overholde Behandlingsansvarliges forpliktelse i henhold til GDPR artikkel 32.
Ytterligere sikkerhetstiltak vil bli implementert av Databehandleren, i samsvar med Databehandlerens sikkerhetsretningslinjer.
Databehandleren skal oppfylle kravene i GDPR artikkel 28 (2) og (4) for å engasjere en annen databehandler (en Underdatabehandler).
Databehandler har ved tidspunkt for inngåelsen av Databehandleravtalen den Behandlingsansvarliges generelle autorisasjon til å engasjere Underbehandlere. Databehandleren skal skriftlig informere Behandlingsansvarlig om eventuelle tiltenkte endringer vedrørende tillegg eller utskifting av Underdatabehandlere minst fjorten (14) dager i forkant, og dermed gi Behandlingsansvarlig mulighet til å motsette seg slike endringer før den aktuelle Underdatabehandleren engasjeres. Godkjente Underdatabehandlere ved Databehandleravtalens inngåelse er spesifisert i vedlegg B til Databehandleravtalen.
Underdatabehandlere skal være gjort kjent med Databehandlerens forpliktelser etter denne Databehandleravtalen og regelverket som regulerer behandling av Behandlingsansvarliges Personopplysninger, og skal pålegges de samme forpliktelsene med hensyn til vern av Personopplysninger som er fastsatt i denne Databehandleravtalen, hvor Underdatabehandler skal gi tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller lovmessige krav. Databehandleren skal forbli fullt ansvarlig overfor Behandlingsansvarlig for utførelsen av Underdatabehandlerens forpliktelser i henhold til dens kontrakt med Databehandleren. Databehandleren skal varsle Behandlingsansvarlig om eventuelle mangler ved Underdatabehandlerens oppfyllelse av dets kontraktsforpliktelser.
Behandlingsansvarlig har også rett til, etter skriftlig forespørsel, å motta kopier av de relevante vilkårene i Databehandlerens avtale med Underdatabehandlere som skal behandle personopplysninger på vegne av Behandlingsansvarlig, med de begrensninger som eventuelt måtte følge av lov eller forskrift. Rent kommersielle vilkår kan uansett ikke kreves fremlagt.
Databehandleren skal inngå en klausul om begunstigelse av tredjepart med Underdatabehandleren, slik at – i tilfelle Databehandleren faktisk er fjernet, opphørt å eksistere juridisk eller har blitt insolvent – Behandlingsansvarlig skal ha rett til å avslutte kontrakten med Underdatabehandleren og instruere Underdatabehandleren til å slette eller returnere Personopplysningene.
Enhver overføring av Personopplysninger til Tredjeland eller Internasjonale Organisasjoner skal kun skje på grunnlag av dokumenterte instrukser fra Behandlingsansvarlig og skal alltid skje i samsvar med GDPR kapittel V.
I tilfelle overføringer til Tredjeland eller Internasjonale Organisasjoner, som Databehandleren ikke har blitt instruert om å utføre av Behandlingsansvarlig, er påkrevd i henhold til EU- eller nasjonal lovgivning som Databehandleren er underlagt, skal Databehandleren informere Behandlingsansvarlig om det juridiske grunnlaget før overføringen finner sted, med mindre loven forbyr dette av viktige hensyn til allmenn interesse.
Den Behandlingsansvarliges instrukser angående overføring av Personopplysninger til et Tredjeland inkludert, hvis aktuelt, overføringsgrunnlaget under GDPR kapittel V som overføringen er basert på, skal angis i vedlegg B.1.
Denne Databehandleravtalen skal ikke forveksles med standard personvernbestemmelser i henhold til GDPR artikkel 46 (2) (c) og (d), og denne Databehandleravtalen kan ikke anses som et overføringsgrunnlag under GDPR kapittel V.
Hensyntatt behandlingens art, skal Databehandler bistå Behandlingsansvarlig med passende tekniske og organisatoriske tiltak, så langt dette er mulig, med å oppfylle Behandlingsansvarliges forpliktelser til å svare på forespørsler om å utøve den registrertes rettigheter i henhold til GDPR kapittel III.
Dette innebærer at Databehandler, så langt dette er mulig, skal bistå Behandlingsansvarlig i Behandlingsansvarliges etterlevelse av:
I tillegg til Databehandlers plikt til å bistå den Behandlingsansvarlige etter pkt. 5, skal Databehandleren videre, hensyntatt behandlingens art og informasjonen som er tilgjengelig for Databehandleren, bistå Behandlingsansvarlig med å sikre overholdelse av:
I tilfelle et personvernbrudd oppstår skal Databehandleren, uten unødig opphold etter å ha blitt kjent med det, varsle Behandlingsansvarlig om personvernbruddet.
Databehandlerens varsling til Behandlingsansvarlig skal om mulig skje senest innen 48 timer etter at Databehandler har fått kjennskap til personvernbruddet for å tilrettelegge for at Behandlingsansvarlig kan overholde Behandlingsansvarliges plikt til å melde ifra om personvernbruddet til kompetent tilsynsmyndighet, jfr. GDPR artikkel 33.
I samsvar med punkt 8 skal Databehandleren bistå Behandlingsansvarlig med å varsle om personvernbrudd til den kompetente tilsynsmyndigheten, det innebærer at Databehandleren er pålagt å bistå med å innhente informasjonen som beskrevet nedenfor, i henhold til artikkel GDPR 33 (3):
Dersom ikke alle opplysninger kan gis i første melding, skal opplysningene gis suksessivt så snart de foreligger uten unødig opphold.
Partene er enige om at ved oppsigelse av Avtalen (jf. punkt 3 i Leverandørens brukervilkår), vil denne Databehandleravtalen også anses som opphørt.
Ved oppsigelse av Avtalen er Databehandleren forpliktet til å returnere alle Personopplysningene til Behandlingsansvarlig og slette eksisterende kopier innen rimelig tid etter avtale med Behandlingsansvarlig opphører, med mindre Partene blir enige om noe annet, og med mindre EU- eller nasjonal lovgivning krever lagring av Personopplysningene.
For å unngå tvil skal ingenting i denne Databehandleravtalen forplikte Databehandleren til å slette kopier av Personopplysninger som den har på egne vegne som Behandlingsansvarlig (hvis noen). Videre skal ingenting i denne Databehandleravtalen forplikte Databehandler til å slette data som ikke er Personopplysninger (verken direkte eller indirekte) slik som, men ikke begrenset til, tilstrekkelig aggregerte og/eller tilstrekkelig anonymiserte statistikkdata vedrørende Behandlingsansvarliges bruk og Behandlingsansvarliges sluttbrukeres bruk av det skybaserte regnskapssystemet Catacloud som tilbys under Avtalen.
Databehandleren skal gjøre tilgjengelig for Behandlingsansvarlig all informasjon som er nødvendig for å demonstrere overholdelse av forpliktelsene fastsatt i GDPR artikkel 28 og denne Databehandleravtalen, og bidra til revisjoner, inkludert inspeksjoner, utført av Behandlingsansvarlig selv eller av en revisor på oppdrag av den Behandlingsansvarlige med rimelige mellomrom eller hvis det er indikasjoner på manglende overholdelse.
Databehandler er pålagt å gi tilsynsmyndighetene, som i henhold til gjeldende lovgivning har tilgang til Behandlingsansvarliges og Databehandlerens fasiliteter, eller representanter som opptrer på vegne av slike tilsynsmyndigheter, tilgang til Databehandlerens fysiske fasiliteter mot fremvisning av passende identifikasjon.
Øvrige plikter og rettigheter mellom Partene er fastsatt i Avtalen (jf. definisjon i punkt 1, i Leverandørens brukervilkår).
De samme kontaktpersonene under Avtalen vil være kontaktpersonene under denne Databehandleravtalen.
Begge Parter erkjenner at denne Databehandleravtalen ikke skal utvide Behandlingsansvarliges sanksjonsmuligheter, inkludert erstatningsansvar for Databehandleren, utover det som følger av Avtalen (jf. punkt 13.3 i Leverandørens brukervilkår), eller GDPR. Partene erkjenner at noen av forpliktelsene og ansvarsområdene i henhold til GDPR er forskjellige fra sanksjonsmulighetene i Leverandørens bruksvilkår.
Ved overføring av Avtalen til andre parter (jf. punkt 5 i Leverandørens brukervilkår), vil Databehandleravtalen anses som overført samtidig.
Denne Databehandleravtalen skal tolkes i sin helhet i samsvar med norsk lov, med unntak av ufravikelige bestemmelser i gjeldende personvernlovgivning.
Enhver tvist vedrørende Databehandleravtalen, eller tvist som oppstår som følge av denne Databehandleravtalen, skal i første omgang løses av Partene gjennom forhandlinger.
Dersom en tvist ikke kan løses gjennom forhandlinger, skal en tvist være underlagt Oslo Tingrett, dersom ingen annen obligatorisk jurisdiksjon gjelder i gjeldende personvernlovgivning.
A.1. Formålet med Behandlerens behandling av Personopplysninger på vegne av Behandlingsansvarlig er:
Databehandler vil få tilgang til og behandle Personopplysninger på vegne av Behandlingsansvarlig, for det formål å oppfylle sine forpliktelser i henhold til Avtalen (jf. definisjon i punkt 1 i Leverandørens brukervilkår)
Databehandler vil ikke behandle eller lagre Personopplysninger i større grad enn det som er nødvendig for å kunne levere de avtalte tjenestene.
A.2. Databehandlers behandling av Personopplysninger på vegne av Behandlingsansvarlig skal i hovedsak gjelde (behandlingens art):
Behandlingens art vil kunne variere. Behandlingens art vil inkludere, men er ikke begrenset til, innsamling av Personopplysninger, strukturering av Personopplysninger, lagring av Personopplysninger, tilpasning eller endring av Personopplysninger, overføring av Personopplysninger, analysering av personopplysninger, eller kombinasjoner av disse.
Andre behandlingsaktiviteter kan utføres av Databehandleren for det formål å oppfylle Databehandlerens forpliktelser i henhold til Avtalen (jf. definisjon i punkt 1 i Leverandørens brukervilkår).
A.3. Behandlingen inkluderer følgende typer Personopplysninger om registrerte personer:
I tilfelle det blir nødvendig å behandle flere Personopplysninger enn de som er oppført ovenfor, vil slik behandling skje i samsvar med instrukser fra Behandlingsansvarlig, og/eller fordi slik behandling er nødvendig for å oppfylle Databehandlerens forpliktelser i henhold til Avtalen (jf. definisjon i punkt 1 i Leverandørens brukervilkår).
A.4. Behandling inkluderer følgende kategorier av registrerte:
I tilfelle det blir nødvendig å behandle Personopplysninger om flere kategorier av registrerte personer enn de som er oppført ovenfor, vil slik behandling finne sted i samsvar med instrukser fra Behandlingsansvarlig, og/eller fordi slik behandling er nødvendig for å oppfylle Databehandlerens forpliktelser i henhold til Avtalen (jf. definisjon i punkt 1 i Leverandørens brukervilkår).
A.5. Databehandlerens behandling av Personopplysninger på vegne av Behandlingsansvarlig igangsettes når denne avtalen trer i kraft. Behandlingen har følgende varighet:
For hele varigheten/perioden til Avtalen (jf. punkt 3 i Leverandørens brukervilkår).
Vedlegg B. Autoriserte underbehandlere.
B.1. Godkjente underbehandlere.
Ved tidspunktet for inngåelsen av Avtalen (jf. definisjon i punkt 1 i Leverandørens brukervilkår) og denne Databehandleravtalen har Behandingsansvarlig godkjent bruken av følgende Underdatabehandlere:
Navn på Underdatabehandler | Selskapsadresse | Lokasjon for databehandlingen | Beskrivelse av formål med behandlingen |
Catacloud | |
All behandling utføres innenfor EU/EØS |
Eier løsningen/regnskapssystemet som er tilgjengelig på app.catacloud.com og som benyttes av kunden. |
ZTL |
Kristian IVs gate 15, 0164 Oslo, Norway |
All behandling utføres innenfor EU/EØS |
Gjør det mulig for brukere å starte sikre og praktiske betalingstransaksjoner direkte fra kontoene sine. |
Nets (Master Card) |
Nets Branch Norway |
All behandling utføres innenfor EU/EØS |
Tilrettelegger for sikre og effektive betalingstransaksjoner mellom merchants, kortholdere og utstedende banker. |
ECIT Digital |
Stadionveien 4, 7898 Limingen, Norway |
All behandling utføres innenfor EU/EØS |
Administrere og organisere dokumenter i et digitalt format, noe som muliggjør enkel lagring, henting og sporing. |
Intect |
Hørkær 12A 2730 Herlev, Danmark |
All behandling utføres innenfor EU/EØS |
Administrasjon av vederlag – og lønnsutbetaling prosesser til ansatte på en nøyaktig og effektiv måte. |
Amazon Web Services |
One Burlington Plaza, Burlington Road, Dublin 4, Do4 Rh96, Ireland |
All behandling utføres innenfor EU/EØS |
Hosting og lagring av personopplysninger på en sikker og skalerbar måte. |
Den Behandlingsansvarlige har ved påbegynnelsen av Avtalen og denne Databehandleravtalen godkjent bruken av de ovennevnte Underbehandlerne for behandlingen som er beskrevet for den parten.
B.2. Generell autorisasjon av Behandlingsansvarlig
Med forbehold om begrensningene som eksplisitt er nevnt i denne Databehandleravtalen, og underlagt gjeldende begrensninger i henhold til GDPR, gir Behandlingsansvarlig et generelt samtykke til at Databehandler kan, i løpet av Avtalens løpetid (jf. punkt 3 i Leverandørens brukervilkår), bruke standardprogramvare(r) fra Amazon og de andre Underbehandlerne som er oppført under vedlegg B, punkt B.1, for å oppfylle Databehandlerens forpliktelser i henhold til Avtalen (jf. definisjon i punkt 1 i Leverandørens brukervilkår). Videre samtykker Behandlingsansvarlig til at slik behandling understøttes av servere i Tredjeland.
De avtalte tidsperiodene for forhåndsvarsel for autorisasjon til å legge til og/eller endre Underbehandlere er minst fjorten (14) dager. Behandlingsansvarlige har mulighet til å motsette seg slike endringer innen nevnte frist. Dersom ingen innsigelse fra den Behandlingsansvarlige er mottatt senest innen fristen nevnt ovenfor, skal den aktuelle Underdatabehandleren anses som akseptert av den Behandlingsansvarlige.