Databehandleravtale Controlling on-Demand

Parter og Avtalens hensikt
1. Econ Nordic AS omtales her som «Databehandler» og Kunden (som definert i Kontrakten) omtales som «Behandlingsansvarlig».
2. Avtalens hensikt er å regulere partenes rettigheter og plikter etter gjeldende personvernregelverk, herunder personopplysningsloven av 2018 som inkorporerer EUs Personvernforordning 2016/679 (GDPR) (heretter samlet benevnt som «personvernregelverket»).
Generelt
1. Formålet med denne Avtalen er å regulere Databehandlers bruk av personopplysninger på vegne av Behandlingsansvarlig som Databehandler får tilgang til i forbindelse med kontrakt for leveranse av controller-tjenester («Kontrakten»), i samsvar med GDPR artikkel 28.
2. Vedlegg A og B til denne Databehandleravtalen utgjør en integrert del av avtalen, og inneholder henholdsvis nærmere opplysninger om behandlingen av personopplysninger og liste over godkjente underdatabehandlere
3. Avtalen har forrang i relasjon til eventuelle tilsvarende personvernrettslige bestemmelser i andre avtaler mellom partene, herunder i Kontrakten.
4. Denne Avtalen fritar ikke Databehandleren fra plikter som Databehandleren er pålagt etter personvernregelverket eller annen lovgivning.
Den behandlingsansvarliges rettigheter og plikter
1. Den Behandlingsansvarlige er ansvarlig for å sikre at behandlingen av personopplysninger skjer i overensstemmelse med personvernregelverket.
2. Den Behandlingsansvarlige har rett og plikt til å bestemme formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes. Den Behandlingsansvarlige er videre ansvarlig for å sikre at det foreligger et behandlingsgrunnlag for behandlingen av personopplysninger som Databehandler er instruert om å gjøre.
Databehandlerens plikter
1. Instrukser: Databehandler skal bare behandle personopplysninger etter dokumenterte instrukser fra den Behandlingsansvarlige, med mindre noe annet kreves av nasjonal eller europeisk rett. Databehandler skal omgående underrette den Behandlingsansvarlige dersom Databehandler er av den oppfatning at en instruks er i strid med personvernregelverket.
2. Konfidensialitet: Databehandler kan bare gi tilgang til personopplysninger som behandles på vegne av den Behandlingsansvarlige til personer som er underlagt Databehandlers instruksjonsmyndighet og som har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt, og kun i nødvendig omfang. Databehandleren skal etter anmodning fra den Behandlingsansvarlige kunne påvise at de aktuelle personene underlagt Databehandlerens instruksjonsmyndighet er underlagt ovennevnte taushetsplikt.
3. Sikkerhet: Databehandler skal gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. GDPR artikkel 32. Databehandler skal også bistå den Behandlingsansvarlige med å overholde den Behandlingsansvarliges plikter etter GDPR artikkel 32, blant annet ved å stille nødvendig informasjon til rådighet for den Behandlingsansvarlige. Den Behandlingsansvarlige skal på samme måte stille nødvendig informasjon til rådighet for Databehandleren som gjør vedkommende i stand til å identifisere og vurdere risikoer i samsvar med GDPR artikkel 32.
Underdatabehandlere
1. Databehandler skal oppfylle kravene som følger av GDPR artikkel 28 nummer 2 og 4 i tilfeller hvor Databehandler benytter en annen databehandler (en «underdatabehandler»).
2. Databehandler har den Behandlingsansvarliges generelle godkjennelse til å benytte underdatabehandlere. Databehandler skal skriftlig underrette den Behandlingsansvarlige om eventuelle planlagte endringer som gjelder tilføyelse eller utskiftning av underdatabehandlere med rimelig varsel og dermed gi den Behandlingsansvarlige en mulighet til å si opp Kontrakten dersom Behandlingsansvarlig motsetter seg slike endringer før den eller de beskrevne underdatabehandler(e) engasjeres. Listen over underdatabehandlere som den Behandlingsansvarlige allerede har godkjent fremgår av vedlegg B.
3. Ved engasjering av underdatabehandlere skal underdatabehandleren som et minimum pålegges tilsvarende forpliktelser med hensyn til vern av personopplysninger som er fastsatt i denne Avtalen. En kopi av underdatabehandleravtale og eventuelle etterfølgende endringer skal – ved den Behandlingsansvarliges anmodning – sendes til den Behandlingsansvarlige, som på denne måten har mulighet til å sørge for at underdatabehandleren er pålagt de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i denne Avtalen. Kommersielle bestemmelser som ikke påvirker det personopplysningsvernrettslige innholdet av underdatabehandleravtalen, er ikke underlagt kravet om kopi til den Behandlingsansvarlige.
4. Databehandler skal være fullt ut ansvarlig for underdatabehandlerens eventuelle manglende oppfyllelse av sine personvernrettslige forpliktelser.
Overføring til tredjeland eller internasjonale organisasjoner
1. Databehandler kan kun overføre personopplysninger til tredjeland eller internasjonale organisasjoner etter dokumenterte instrukser fra den Behandlingsansvarlige, med mindre overføring kreves i henhold til nasjonal eller europeisk rett. I så fall skal den Behandlingsansvarlige underrettes om nevnte rettslige krav med mindre allmenne interesser er til hinder for dette. For å unngå tvil, vil en overføring til tredjeland i forbindelse med bruken av godkjente underleverandører, iht. punkt 5 over, alltid regnes som en overføring etter dokumentert instruks fra den Behandlingsansvarlige. Enhver overføring skal alltid skje i overensstemmelse med GDPR kapittel V, herunder være underlagt et lovlig overføringsgrunnlag.
2. Denne Avtalen skal ikke forveksles med standard personvernbestemmelser som omhandlet i GDPR artikkel 46 nummer 2 bokstav c og d, og denne Avtalen kan ikke utgjøre et grunnlag for overføring av personopplysninger under GDPR kapittel V.
Bistand til den behandlingsansvarlige
1. I den grad det er mulig, skal Databehandler bistå den Behandlingsansvarlige med å besvare anmodninger fra registrerte om oppfyllelse av deres rettigheter, bistå med informasjon og varsling i tilfeller av kvalifiserte brudd på personopplysningssikkerheten, bistå med vurdering av personvernkonsekvenser samt bistå i forbindelse med forhåndsdrøftelser med Datatilsynet.
2. Ved brudd på personopplysningssikkerheten skal Databehandleren underrette den Behandlingsansvarlige om bruddet uten ugrunnet opphold etter å ha fått kjennskap til det, slik at den Behandlingsansvarlige kan overholde sin forpliktelse til å melde bruddet til den kompetente tilsynsmyndigheten (i Norge: Datatilsynet), jf. GDPR artikkel 33.
Ansvar
1. Hver part er ansvarlig for ethvert økonomisk tap den påfører den andre parten ved mislighold av denne Avtalen. Ansvarsbegrensningene i Kontrakten gjelder også her.
2. Hver part er ansvarlig overfor den registrerte som har lidd materiell eller ikke-materiell skade hvis skaden er forårsaket av at parten har opptrådt utenfor eller i strid med denne Avtalen eller personvernregelverket, jf. GDPR artikkel 82 nummer 1.
Sletting og returnering av Personopplysninger
1. Ved opphør av databehandlertjenestene skal Databehandler, etter den Behandlingsansvarliges valg, slette alle personopplysninger som er blitt behandlet på vegne av den Behandlingsansvarlige eller levere tilbake alle personopplysninger og slette eksisterende kopier, med mindre nasjonal eller europeisk rett er til hinder for dette, eller annet er avtalt i Kontrakten. Databehandleren forplikter seg til å utelukkende behandle personopplysningene til de(t) formål, med den varighet og under de betingelsene som disse reglene fastsetter.
Revisjoner, herunder inspeksjoner
1. Databehandler skal stille til den Behandlingsansvarliges disposisjon all informasjon som er nødvendig for å påvise etterlevelse av forpliktelsene etter personvernregelverket og denne Avtalen. Videre skal Databehandler muliggjøre og bidra til revisjoner, herunder inspeksjoner, som utføres av den Behandlingsansvarlige eller en annen revisor som er bemyndiget av den Behandlingsansvarlige.
Ikrafttredelse og opphør
1. Avtalen trer i kraft på samme dato som Kontrakten.
2. Avtalen gjelder så lenge databehandlertjenestene varer og kan da ikke sies opp, med mindre partene avtaler andre vilkår som regulerer levering av databehandlertjenestene i samsvar med gjeldende personvernregelverk.
3. Dersom Kontrakten eller leveringen av databehandlertjenestene opphører, og personopplysningene er slettet eller returnert til den Behandlingsansvarlige i overensstemmelse med punkt 9.1 over, opphører denne Avtalen.

Parter og Avtalens hensikt
1. Econ Nordic AS omtales her som «Databehandler» og Kunden (som definert i Kontrakten) omtales som «Behandlingsansvarlig».
2. Avtalens hensikt er å regulere partenes rettigheter og plikter etter gjeldende personvernregelverk, herunder personopplysningsloven av 2018 som inkorporerer EUs Personvernforordning 2016/679 (GDPR) (heretter samlet benevnt som «personvernregelverket»).
Generelt
1. Formålet med denne Avtalen er å regulere Databehandlers bruk av personopplysninger på vegne av Behandlingsansvarlig som Databehandler får tilgang til i forbindelse med kontrakt for leveranse av controller-tjenester («Kontrakten»), i samsvar med GDPR artikkel 28.
2. Vedlegg A og B til denne Databehandleravtalen utgjør en integrert del av avtalen, og inneholder henholdsvis nærmere opplysninger om behandlingen av personopplysninger og liste over godkjente underdatabehandlere
3. Avtalen har forrang i relasjon til eventuelle tilsvarende personvernrettslige bestemmelser i andre avtaler mellom partene, herunder i Kontrakten.
4. Denne Avtalen fritar ikke Databehandleren fra plikter som Databehandleren er pålagt etter personvernregelverket eller annen lovgivning.
Den behandlingsansvarliges rettigheter og plikter
1. Den Behandlingsansvarlige er ansvarlig for å sikre at behandlingen av personopplysninger skjer i overensstemmelse med personvernregelverket.
2. Den Behandlingsansvarlige har rett og plikt til å bestemme formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes. Den Behandlingsansvarlige er videre ansvarlig for å sikre at det foreligger et behandlingsgrunnlag for behandlingen av personopplysninger som Databehandler er instruert om å gjøre.
Databehandlerens plikter
1. Instrukser: Databehandler skal bare behandle personopplysninger etter dokumenterte instrukser fra den Behandlingsansvarlige, med mindre noe annet kreves av nasjonal eller europeisk rett. Databehandler skal omgående underrette den Behandlingsansvarlige dersom Databehandler er av den oppfatning at en instruks er i strid med personvernregelverket.
2. Konfidensialitet: Databehandler kan bare gi tilgang til personopplysninger som behandles på vegne av den Behandlingsansvarlige til personer som er underlagt Databehandlers instruksjonsmyndighet og som har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt, og kun i nødvendig omfang. Databehandleren skal etter anmodning fra den Behandlingsansvarlige kunne påvise at de aktuelle personene underlagt Databehandlerens instruksjonsmyndighet er underlagt ovennevnte taushetsplikt.
3. Sikkerhet: Databehandler skal gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. GDPR artikkel 32. Databehandler skal også bistå den Behandlingsansvarlige med å overholde den Behandlingsansvarliges plikter etter GDPR artikkel 32, blant annet ved å stille nødvendig informasjon til rådighet for den Behandlingsansvarlige. Den Behandlingsansvarlige skal på samme måte stille nødvendig informasjon til rådighet for Databehandleren som gjør vedkommende i stand til å identifisere og vurdere risikoer i samsvar med GDPR artikkel 32.
Underdatabehandlere
1. Databehandler skal oppfylle kravene som følger av GDPR artikkel 28 nummer 2 og 4 i tilfeller hvor Databehandler benytter en annen databehandler (en «underdatabehandler»).
2. Databehandler har den Behandlingsansvarliges generelle godkjennelse til å benytte underdatabehandlere. Databehandler skal skriftlig underrette den Behandlingsansvarlige om eventuelle planlagte endringer som gjelder tilføyelse eller utskiftning av underdatabehandlere med rimelig varsel og dermed gi den Behandlingsansvarlige en mulighet til å si opp Kontrakten dersom Behandlingsansvarlig motsetter seg slike endringer før den eller de beskrevne underdatabehandler(e) engasjeres. Listen over underdatabehandlere som den Behandlingsansvarlige allerede har godkjent fremgår av vedlegg B.
3. Ved engasjering av underdatabehandlere skal underdatabehandleren som et minimum pålegges tilsvarende forpliktelser med hensyn til vern av personopplysninger som er fastsatt i denne Avtalen. En kopi av underdatabehandleravtale og eventuelle etterfølgende endringer skal – ved den Behandlingsansvarliges anmodning – sendes til den Behandlingsansvarlige, som på denne måten har mulighet til å sørge for at underdatabehandleren er pålagt de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i denne Avtalen. Kommersielle bestemmelser som ikke påvirker det personopplysningsvernrettslige innholdet av underdatabehandleravtalen, er ikke underlagt kravet om kopi til den Behandlingsansvarlige.
4. Databehandler skal være fullt ut ansvarlig for underdatabehandlerens eventuelle manglende oppfyllelse av sine personvernrettslige forpliktelser.
Overføring til tredjeland eller internasjonale organisasjoner
1. Databehandler kan kun overføre personopplysninger til tredjeland eller internasjonale organisasjoner etter dokumenterte instrukser fra den Behandlingsansvarlige, med mindre overføring kreves i henhold til nasjonal eller europeisk rett. I så fall skal den Behandlingsansvarlige underrettes om nevnte rettslige krav med mindre allmenne interesser er til hinder for dette. For å unngå tvil, vil en overføring til tredjeland i forbindelse med bruken av godkjente underleverandører, iht. punkt 5 over, alltid regnes som en overføring etter dokumentert instruks fra den Behandlingsansvarlige. Enhver overføring skal alltid skje i overensstemmelse med GDPR kapittel V, herunder være underlagt et lovlig overføringsgrunnlag.
2. Denne Avtalen skal ikke forveksles med standard personvernbestemmelser som omhandlet i GDPR artikkel 46 nummer 2 bokstav c og d, og denne Avtalen kan ikke utgjøre et grunnlag for overføring av personopplysninger under GDPR kapittel V.
Bistand til den behandlingsansvarlige
1. I den grad det er mulig, skal Databehandler bistå den Behandlingsansvarlige med å besvare anmodninger fra registrerte om oppfyllelse av deres rettigheter, bistå med informasjon og varsling i tilfeller av kvalifiserte brudd på personopplysningssikkerheten, bistå med vurdering av personvernkonsekvenser samt bistå i forbindelse med forhåndsdrøftelser med Datatilsynet.
2. Ved brudd på personopplysningssikkerheten skal Databehandleren underrette den Behandlingsansvarlige om bruddet uten ugrunnet opphold etter å ha fått kjennskap til det, slik at den Behandlingsansvarlige kan overholde sin forpliktelse til å melde bruddet til den kompetente tilsynsmyndigheten (i Norge: Datatilsynet), jf. GDPR artikkel 33.
Ansvar
1. Hver part er ansvarlig for ethvert økonomisk tap den påfører den andre parten ved mislighold av denne Avtalen. Ansvarsbegrensningene i Kontrakten gjelder også her.
2. Hver part er ansvarlig overfor den registrerte som har lidd materiell eller ikke-materiell skade hvis skaden er forårsaket av at parten har opptrådt utenfor eller i strid med denne Avtalen eller personvernregelverket, jf. GDPR artikkel 82 nummer 1.
Sletting og returnering av Personopplysninger
1. Ved opphør av databehandlertjenestene skal Databehandler, etter den Behandlingsansvarliges valg, slette alle personopplysninger som er blitt behandlet på vegne av den Behandlingsansvarlige eller levere tilbake alle personopplysninger og slette eksisterende kopier, med mindre nasjonal eller europeisk rett er til hinder for dette, eller annet er avtalt i Kontrakten. Databehandleren forplikter seg til å utelukkende behandle personopplysningene til de(t) formål, med den varighet og under de betingelsene som disse reglene fastsetter.
Revisjoner, herunder inspeksjoner
1. Databehandler skal stille til den Behandlingsansvarliges disposisjon all informasjon som er nødvendig for å påvise etterlevelse av forpliktelsene etter personvernregelverket og denne Avtalen. Videre skal Databehandler muliggjøre og bidra til revisjoner, herunder inspeksjoner, som utføres av den Behandlingsansvarlige eller en annen revisor som er bemyndiget av den Behandlingsansvarlige.
Ikrafttredelse og opphør
1. Avtalen trer i kraft på samme dato som Kontrakten.
2. Avtalen gjelder så lenge databehandlertjenestene varer og kan da ikke sies opp, med mindre partene avtaler andre vilkår som regulerer levering av databehandlertjenestene i samsvar med gjeldende personvernregelverk.
3. Dersom Kontrakten eller leveringen av databehandlertjenestene opphører, og personopplysningene er slettet eller returnert til den Behandlingsansvarlige i overensstemmelse med punkt 9.1 over, opphører denne Avtalen.

Databehandleravtale: Controlling on-Demand

Databehandleravtale: Controlling on-Demand