Hoppa till huvudinnehåll
Hoppa över innehållsförteckningen

Databehandleravtale (Norge)

1 Formålet med denne Databehandleraftalen

                       

2 Definitioner

Gjeldende personvernregler: Den till enhver tid gjeldende versjon av EUs personvernforordning (2016/679) ("personvernforordningen"), samt lov om behandling av personopplysninger av 15.06. 2018 (personopplysningsloven) med tilhørende forskrifter mv., samt eventuell annen relevant lovgivning som gjelder behandling og vern av personopplysninger og som er angitt i Bilag C, punkt C.7.

 

Huvudavtalet: En eller flera avtaler mellom Behandlingsansvarlig og Databehandler om levering av tjenester som innebærer behandling av personopplysninger, som nærmere angitt i Bilag A. Databehandleravtalen kan gjelde flere underliggende avtaler.

 

Underdatabehandler: Annen virksomhet som benyttes av Databehandler som underleverandør til behandling av personopplysninger under Hovedavtalen.

 

För personvernbegreper som inte är definierade i denna Databehandleravtalen gäller definisjonene i personvernforordningen artikkel 4.

3 Behandlingsansvariga plikter och rättigheter

Behandlingsansvarlige har ansvaret för att behandlingen av personopplysninger skjer i samsvar med Gjeldende personvernregler. Behandlingsansvarlige ska i den forbindelse særskilt sørge for at:

  1. behandlingen av personuppgifter är formålsbestemt och baserad på ett giltigt rättsunderlag;

  2. de registrerade har mottagit nödvändig information om behandlingen av personupplysningarna;

  3. Behandlingsansvarig har genomfört tilstrekkelige risikovurderinger; och

  4. Databehandler til enhver tid har tilstrekkelige instrukser og informasjon for å oppfylle sine plikter i henhold til Databehandleravtalen og Gjeldende personvernregler.

 

4 Behandlingsansvarigs instruktioner till Databehandlaren

4.1 Databehandlaren ska behandla personupplysningarna i enlighet med Gjeldende personvernregler och den Behandlingsansvarliges dokumenterade instrukser, jf. punkt 4.2. Om annan behandling är nödvändig för att uppfylla förpliktelser som Databehandlaren är underkastad i henhold til gjeldende rett, skal Databehandleren underrette den Behandlingsansvarlige så langt dette er tillat ved lov, jf. personvernforordningen artikkel 28 (3) (a).

 

4.2 Behandlingsansvariges instruktioner framgår av Huvudavtalet och Databehandleravtalen med bilagor. Databehandlaren ska omgående underrette den Behandlingsansvarlige, dersom vedkommende mener at instruksene er i strid med Gjeldende personvernregler, jf. personvernforordningen artikkel 28 (3) (h).

 

4.3 Eventuella ändringar i instrukser ska varslas till Databehandler genom uppdatering av Bilaga D, och ska implementeras av Databehandler innen det tidspunkt Partene avtaler eller, om ingen konkret frist er avtalt, innen rimelig tid. Databehandler kan kräva at Behandlingsansvarlig dekker dokumenterte kostnader som påløper i forbindelse med implementeringen av slike endringer eller forholdsmessig justering av vederlaget under Hovedavtalen dersom den endrede instruksen innebærer løpende ekstra kostnader for Databehandleren. Det samma gäller merkostnader som følge av endring av Gjeldende personvernregler som gjelder den Behandlingsansvarliges virksomhet.

5 Konfidensialitet och taushetsplikt

5.1 Databehandlaren ska säkerställa att anställda och andra som har tillgång till personuppgifter är auktoriserade för att behandla sådana personuppgifter på Databehandlarens vägnar. Dersom slik autorisasjon utløper eller trekkes tilbake, skal tilgangen til personopplysningene opphøre uten ugrunnet opphold.

 

5.2 Databehandlaren ska endast auktorisera personer som behöver tillgång till personupplysningar i samband med arbete för att kunna uppfylla Huvudavtalet, Databehandleravtalet och eventuell annan behandling som är nödvändig för att uppfylla åtaganden som Databehandler är underlagt i henhold til gjeldende rett, se punkt 4.1 siste setning.

 

5.3 Databehandlaren ska säkerställa att personer som är behöriga att behandla personuppgifter på vegne av den Behandlingsansvarlige är underlagt taushetsplikt gjennom avtale eller lov. Taushetsplikten ska bestå også etter avtalens og/eller ansettelsesforholdets opphør.

 

5.4 Databehandlaren ska kunna dokumentera att de relevanta personerna är underställda ovennevnte taushetsplikt på forespørsel fra den Behandlingsansvarlige.

 

5.5 Vid opphør av Databehandleravtalen plikter Databehandleren å avvikle alle tilganger til personopplysninger som behandles under avtalen.

6 Bistånd till Behandlingsansvarig

6.1 Databehandlaren ska på begäran bistå Behandlingsansvarlig med oppfyllelse av de registrertes rettigheter etter personvernforordningens kapittel III gjennom egnede tekniske eller organisatoriske tiltak. Plikten til å bistå gjelder likevel bare i den utstrekning dette er mulig og hensiktsmessig sett hen til karakteren og omfanget av behandlingen av personopplysninger under Hovedavtalen.

 

6.2 Databehandler skal uten ugrunnet opphold videresende alle henvendelser som Databehandler eventuelt mottar fra den registrerte vedrørende den registrertes rettigheter i henhold til Gjeldende personvernregler til Behandlingsansvarlig. Slike henvendelser kan kun besvares av Databehandler når dette er skriftlig godkjent av Behandlingsansvarlig.

 

6.3 Databehandlaren ska bistå den Behandlingsansvarlige med att iaktta kraven på personuppgiftsansvar i personvernforordningen artikkel 32-36, herunder yte bistand ved personvernkonsekvensvurdering og forhåndsdrøftinger med Datatilsynet, sett hen til karakteren og omfanget av behandlingen av personopplysninger under Hovedavtalen.

 

6.4 Om Databehandler på Behandlingsansvarliges forespørsel yter bistand som nevnt i punkt 6.1 eller 6.3, og bistanden går ut over det som er nødvendig for at Databehandleren skal oppfylle sine egne forpliktelser etter Gjeldende personvernregler, kan Databehandler kreve dekket sine dokumenterte kostnader knyttet til bistanden. Arbeid dekkes i henhold til prisbestemmelsene i Hovedavtalen.

7 Säkerhet vid behandling

7.1 Databehandlaren ska iverksette egnede tekniske og organisatoriske tiltak for å oppnå et tilfredsstillende sikkerhetsnivå sett hen til behandlingens karakter og omfang, den tekniske utviklingen, implementeringskostnader og aktuelle risikoer for fysiske personers rettigheter og friheter. Databehandlaren ska som minimum iverksette de tiltak som er spesifisert i Databehandleravtalens Bilag C.

 

7.2 Databehandlaren ska göra riskbedömningar för att säkerställa att ett lämpligt säkerhetsnivå upprätthålls till varje tid. Databehandlaren ska herunder sørge for jevnlig testing, analyse og vurdering av sikkerhetstiltakene, særlig med hensyn til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemer og -tjenester, samt evne til raskt å gjenopprette tilgjengeligheten av personopplysningene ved hendelser.

g)                        

7.3 Databehandlaren ska dokumentera riskbedömningar och säkerhetsåtgärder och göra dem tillgängliga för Behandlingsansvarlige på förfrågan, samt ge adgang til slik revisjon som er avtalt mellom partene, jf. Databehandleravtalens punkt 11.

8 Anmälan om brott mot personuppgiftsskyldigheten

8.1 Databehandlare ska uten ugrunnet opphold skriftlig underrette den Behandlingsansvarlige om eventuelle brudd på personopplysningssikkerheten, samt for øvrig gi slik bistand og informasjon som er nødvendig for at den Behandlingsansvarlige skal kunne melde bruddet til tilsynsmyndigheter i tråd med Gjeldende personvernregelverk.

 

8.2 Underretning efter punkt 8.1 ska meddelas kontaktpunktet for Behandlingsansvarlig i henhold til Bilag C punkt C.9, og skal:

 

a. beskrive arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt,

b. inneholde navnet på og kontaktopplysningene til personvernombudet eller et annet kontaktpunkt der mer informasjon kan innhentes,

c. beskriva de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten, og

d. beskrive de tiltak som Databehandleren har truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følger av bruddet.

Informasjonen kan i den grad det det är nödvändigt gis trinnvis uten ytterligere ugrunnet opphold.

8.3 Databehandler plikter å gjennomføre alle de tiltak som med rimelighet kan kreves for å utbedre og unngå tilsvarende brudd på personopplysningssikkerheten. Databehandler skal, så langt det er muligt, rådføre seg med Behandlingsansvarlig om de tiltak som skal gjennomføres, herunder vurdere Behandlingsansvarliges eventuelle forslag til tiltak.

h)                       

8.4 Behandlingsansvarlig er ansvarlig for å underrette Datatilsynet og de berørte registrerte om brudd på personopplysningssikkerheten. Databehandler skal ikke informere tredjeparter om brudd på personopplysningssikkerheten med mindre noe annet er påkrevd etter gjeldende rett eller det følger av uttrykkeligkkelig skriftlig instruks fra Behandlingsansvarlig.

9 Bruk av Underdatabehandlare

9.1 Databehandlaren kan endast använda Underdatabehandlaren efter föregående generell eller specifik skriftlig tillåtelse från Behandlingsansvarig i överensstämmelse med Databehandleravtalens Bilaga B. Oversikt over godkjente Underdatabehandlere fremgår av Databehandleravtalens Bilag B.

 

9.2 Dersom en Databehandler engasjerer en Underdatabehandler for å utføre spesifikke behandlingsaktiviteter på vegne av den Behandlingsansvarlige, plikter Databehandler å inngå skriftlig avtale med Underdatabehandleren som pålegger disse tilsvarende forpliktelser med hensyn til vern av personopplysninger som Databehandleren selv er underlagt etter dette Databehandleravtalen. Se punkt 9.7 med hänsyn till användning av standard tredjepartstjänster.

 

9.3 Databehandlaren ska endast engagera Underleverantörer som genomför lämpliga tekniska och organisatoriska åtgärder som säkerställer att behandlingen uppfyller kraven enligt Gjeldende personvernregler. Databehandler skal gennemføre kontroller av Underdatabehandlere for å verifisere at tilfredsstillende tiltak er iverksatt. Databehandler skal kunne fremlegge rapporter fra slike kontroller for Behandlingsansvarlig på forespørsel.

 

9.4 Dersom Behandlingsansvarlig motsetter seg endringer i bruken av Underdatabehandlere etter Databehandleravtalens Bilag B punkt B.1 skal Partene i god tro forhandle med sikte på å enes om en rimelig løsning på hvordan videre levering av tjenestene under Hovedavtalen skal gjennomføres, herunder om fordeling av eventuelle kostnader mellom Partene. Endringen i bruk av Underdatabehandlere kan ikke gjennomføres før Partene har kommet til enighet.

 

9.5 Om Underdatabehandlaren inte uppfyller sina skyldigheter med hänsyn till vern av personuppgifter, ska Databehandlaren gentemot den Behandlingsansvarlige ha fullt ansvar på samma sätt som om Databehandlaren själv sto for behandlingen.

 

9.6 Databehandler plikter å forelegge avtaler med Underdatabehandlere for Behandlingsansvarlig på forespørsel. Dette gjelder likevel bare de delene av avtalen som er relevante for behandlingen av personopplysningene og med de begrensninger som eventuelt måtte følge av lov eller forskrift. Rent kommersiella villkor kan uansett ikke kreves fremlagt.

 

9.7 I den utstreckning Databehandleren benytter underleverandør som leverer standardiserte tredjepartstjenester som Behandlingsansvarlig uttrykkelig har akseptert at leveres på underleverandørens standardvilkår i henhold til Hovedavtalen, og som Databehandleren følger opp på Behandlingsansvarliges vegne, kan parterna bli enige om at underleverandørens standard databehandleravtale legges til grunn og gjøres gjeldende direkte overfor Behandlingsansvarlig som et direkte databehandlerforhold (altså ikke som Underdatabehandler) forutsatt at den oppfyller kravene i Gjeldende personvernregler. Databehandlaren ska följa opp databehandleravtalen med underleverandøren på vegne av Behandlingsansvarlig med mindre annet er avtalt i det enkelte tilfellet.

10 Överföring av personuppgifter till land utanför EES-området

10.1 Personopplysninger kan bare overføres til et land utenfor EØS-området ("Tredjestat") eller til internasjonal organisasjon hvis Behandlingsansvarlig skriftlig har godkjent slik overføring og vilkårene i punkt 10.3 er oppfylt. Som överföring regnes blant annet å:

i) behandla personupplysningar i datasentre o.l. som är lokaliserade i Tredjestat eller av personell som är lokaliserade i Tredjestat (ved fjerntilgang);

j) överlappa behandlingen av personuppgifter till Underdatabehandler i Tredjestat; eller

k) utlevere personopplysningene til en Behandlingsansvarlig i Tredjestat eller i en internasjonal organisasjon.

 

10.2 Databehandlaren kan ändå överföra personuppgifter om det krävs i enlighet med gällande rätt i EES-området. I sådana fall ska Databehandler underrette Behandlingsansvarlig så langt dette er tillat ved lov.

 

10.3 Overføring til Tredjestater eller internasjonale organisasjoner kan kun finne sted dersom det foreligger nødvendige garantier for et tilstrekkelig beskyttelsesnivå for personvern i henhold til Gjeldende personvernregler. Med mindre annet er avtalt mellom Partene kan slik overføring kun finne sted med grunnlag i:

a) en av EU-kommisjonens beslut om tillräcklig skyddsnivå i enlighet med artikel 45 i personvernforordningen, eller

b) ett databehandlingsavtal som innehåller standardbestämmelser om skydd av personuppgifter som anges i förordningen om skydd av personuppgifter artikel 46.2 c eller d (EU:s modellklausuler), eller

c) bindande virksomhetsregler (Binding Corporate Rules) i enlighet med personvernforordningen artikel 47.

 

10.4 Den Behandlingsansvariges eventuella godkännande av att personuppgifter överförs till en Tredjestat eller internationell organisation ska framgå av Databehandleravtalens Bilaga B.

11 Allmänt om revision

11.1 Databehandlaren ska på begäran göra tillgänglig för Behandlingsansvarlige all information som är nödvändig för att granska de åtaganden som fastställts i personvernforordningen artikkel 28 och detta Databehandleravtal är uppfyllda.

 

11.2 Databehandlare ska muliggjøre og bidra ved inspeksjoner og revisjoner som gjennomføres av eller på oppdrag fra Behandlingsansvarlig. Databehandlare ska också muliggjøre og bidra ved inspeksjoner fra aktuelle tilsynsmyndigheter. Den Behandlingsansvarliges tilsyn med eventuelle Underdatabehandler skal skje gjennom Databehandleren med mindre annet er særskilt avtalt. Nærmere rutiner for gjennomføring av revisjoner fremgår av bilag C punkt C.5.

 

11.3 Dersom en revisjon avdekker avvikelse fra forpliktelsene i Gjeldende personvernregler eller Databehandleravtalen, skal Databehandler så snart som mulig utbedre avviket. Behandlingsansvarlig kan kreve at Databehandleren midlertidig stopper hele eller deler av behandlingsaktivitetene frem til utbedringen er godkjent av Behandlingsansvarlig.

 

11.4 Var och en av Parterna täcker sina egna kostnader i samband med en årlig revision. Hvis en revision avdekker vesentlige brudd på forpliktelsene etter Gjeldende personvernregler eller Databehandleravtalen, skal Databehandleren likevel dekke Behandlingsansvarliges rimelige kostnader forbundet med revisjonen.

12 Sletting och tilbakelevering av uppgifter

12.1 Vid opphør av denne Databehandleravtalen plikter Databehandler å tilbakelevere og slette alle personopplysninger som behandles på vegne av Behandlingsansvarlig under Databehandleravtalen i samsvar med bestemmelsene i Bilag C punkt C.6. Detta gäller även eventuella säkerhetskopior.

 

12.2 Behandlingsansvarig bestämmer hur en eventuell tilbakelevering av personuppgifter ska ske. Behandlingsansvarig kan kräva tilbakelevering skjer på et strukturert og alminnelig anvendt maskinlesbart format. Behandlingsansvarlig skal dekke Databehandlerens dokumenterte kostnader til tilbakelevering med mindre dette er inkludert i vederlaget under Hovedavtalen.

 

12.3 Om det benyttes delt infrastruktur eller backup der direkte sletting ikke er teknisk mulig, skal Databehandler sørge for at personopplysningene gjøres utilgjengelige inntil de er overskrevet.

 

12.4 Databehandlaren ska bekräfta skriftligt overfor Behandlingsansvarlig at sletting eller utilgjengeliggjøring er foretatt og skal på forespørsel dokumentere hvordan det er gjennomført.

 

12.5 Nærmere bestemmelser om sletting og tilbakeleveringer fremgår av bilag C.

13 Mislighåll och pålegg om stans

13.1 Vid brott mot Databehandleraftalen og/eller Gjeldende personvernregler, kan Behandlingsansvarlig og aktuelle tilsynsmyndigheter pålegge Databehandler å stoppe hele eller deler av behandlingen av opplysningene med øyeblikkelig virkning.

 

13.2 Dersom Databehandler ikke overholder sine plikter i henhold til denne Databehandleravtale og/eller Gjeldende personvernregler, vil dette anses som mislighold av Hovedavtalen, og de plikter, frister, sanksjoner og ansvarsbegrensninger som følger av Hovedavtalens regulering av Leverandørens mislighold kommer til anvendelse, med mindre annet er uttrykkeligkkelig avtalt mellom partene i Bilag D.

14 Varaktighet och fördröjning

14.1 Databehandleraftalen gjelder fra den er signert av begge Parter. Databehandleravtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig. Den gäller också för eventuella personuppgifter som måste finnas hos Databehandler eller någon av dennes Underdatabehandler efter Hovedavtalens opphør.

 

14.2 Reglene om oppsigelse i Hovedavtalen gjelder tilsvarende for Databehandleravtalen, så langt det passer. Databehandleravtalen kan ikke sies opp så lenge Hovedavtalen består med mindre den avløses av en ny databehandleravtale.

15 Lovvalg og verneting

l) Avtalen är underlagt norsk rett. Tvister löses i samsvar med Hovedavtalens bestemmelser, herunder eventuelle bestemmelser om verneting.

JavaScript-fel har upptäckts

Observera att dessa fel kan bero på din webbläsares inställningar.

Om problemet kvarstår, vänligen kontakta vår support.

Kontakta support Nära