Databehandler vilkår

Bakgrunn

Dette er våre vilkår for behandling av personopplysninger innenfor rammen av tjenestene våre. Dette dokumentet er et vedlegg til våre generelle vilkår, som er tilgjengelige på https://inyett.no/generelle-vilkar. Ved å akseptere de generelle vilkårene godtar du også disse databehandler-vilkårene for hvordan vi behandler personopplysninger. Formålet med vilkårene er å sikre den Registrertes rettigheter og friheter under behandlingen i samsvar med bestemmelsene i Generell personvernforordning (EU) 2016/679 («personvernforordningen»), art. 28.3.

Definisjoner

Avtalen: Tilbudet eller dokumentet som er signert av begge parter, og som viser partenes samtykke, sammen med vedleggene de henviser til, herunder de generelle vilkårene og disse databehandler-vilkårene for behandling av personopplysninger.

Behandling: Et tiltak eller en kombinasjon av tiltak for personopplysninger eller utvalg av personopplysninger, enten de er automatiserte eller ikke, for eksempel innsamling, registrering, lagring eller endring, lesing, bruk, utlevering, videreformidling, sletting eller ødeleggelse.

Personvernlovgivning: Omfatter all lovgivning om personvern og personopplysninger så vel som all annen lovgivning (herunder forordninger) som gjelder behandling av personopplysninger i henhold til denne Avtalen, både nasjonal lovgivning og EU-lovgivning.

Instruks: De skriftlige instruksene som angir gjenstander, varighet, art og formål, type personopplysninger, kategorier av Registrerte og spesielle behov som påvirkes av Behandlingen. De første instruksene er angitt under punktet «Behandlingsinstrukser».

Loggføring: Loggføring er en kontinuerlig innsamling av opplysninger om den behandlingen av personopplysninger som utføres innenfor rammen av Avtalen, og som kan knyttes til en bestemt fysisk person.

Behandlingsansvarlig: Fysisk eller juridisk person, offentlig myndighet, institusjon eller annet organ som alene eller sammen med andre bestemmer formålene og virkemidlene for behandling av Personopplysninger.

Databehandler: Fysisk eller juridisk person, offentlig myndighet, institusjon eller annet organ som behandler Personopplysninger på vegne av Behandlingsansvarlige.

Brudd på personopplysningssikkerheten: En sikkerhetshendelse som fører til utilsiktet eller ulovlig bruk, tap eller endring eller til uautorisert tilgjengeliggjøring av eller uautorisert tilgang til de Personopplysningene som er overført, lagret eller på annen måte behandlet.

Registrert: Fysisk person hvis personopplysninger blir behandlet.

Tredjestat: En stat som ikke er en del av Den europeiske union (EU) eller Det europeiske økonomiske samarbeidsområde (EØS).

Underbehandler: Fysisk eller juridisk person, offentlig myndighet, institusjon eller annet organ som i egenskap av underleverandør til Databehandleren behandler Personopplysninger på vegne av Behandlingsansvarlige.

  1. Behandling av personopplysninger
    1. Innenfor rammen for oppfyllelse av Avtalen kan Leverandøren komme til å behandle personopplysninger på vegne av og på instruks fra Kunden. Ved slik behandling skal Leverandøren regnes som databehandler, mens Kunden skal regnes som behandlingsansvarlig. Disse datebehandler-vilkårene regulerer databehandlerens håndtering av personopplysninger på vegne av behandlingsansvarlige. I tilfelle en bestemmelse i disse databehandler-vilkårene er i strid med resten av Avtalen, skal Avtalen for øvrig ha prioritet over bestemmelsen i disse databehandler-vilkårene med mindre det er angitt noe annet i bestemmelsen, og med mindre dette vil gi et åpenbart urimelig resultat.
    2. Informasjon i form av bestemmelser og andre opplysninger i vilkårene som påvirker anvendelsen av dem, og vilkårenes henvisning til slik informasjon, f.eks. lovgivning (herunder forskrifter og forordninger), gjelder til enhver tid slik informasjon.
    3. Behandlingsansvarlige skal gi skriftlige Instrukser til Databehandleren om hvordan Behandlingen skal utføres. De første Instruksene er tilgjengelige under punktet «Behandlingsinstrukser».
    4. Databehandleren kan bare utføre Behandlingen i samsvar med Avtalen, Personvernlovgivningen og de Instruksene som til enhver tid gjelder.
  2. Behandlingsansvarliges ansvar
    1. Behandlingsansvarlige er ansvarlig for å sikre at det til enhver tid foreligger et juridisk grunnlag for Behandlingen og for å utforme korrekte Instrukser, slik at Databehandleren og Underbehandleren kan utføre sine oppgaver i tråd med disse databehandler-vilkårene og Avtalen for øvrig.
    2. Behandlingsansvarlige skal uten ugrunnet opphold informere Databehandleren om endringer i Behandlingen som påvirker Behandlingsansvarliges plikter etter Personvernlovgivningen.
    3. Den Behandlingsansvarlige plikter å informere den Registrerte om Behandlingen og er ansvarlig for å ivareta den Registrertes rettigheter i henhold til Personvernlovgivningen, og for å iverksette alle andre tiltak som påligger Behandlingsansvarlige i henhold til Personvernlovgivningen.
  3. Databehandlerens plikter
    1. Databehandleren forplikter seg til:
      • bare å utføre Behandlingen i samsvar med Avtalen og Instruksene og å følge Personvernlovgivningen;
      • å holde seg orientert om gjeldende rett på området; • å iverksette tiltak for å beskytte Personopplysningene mot alle typer Behandling som er uforenlige med Avtalen, Instruksene og Personvernlovgivningen;
      •å sikre at alle fysiske personer som arbeider under dens ledelse, følger Avtalen og Instruksene, og at de fysiske personene blir informert om relevant lovgivning;
      • på anmodning fra Behandlingsansvarlige hjelpe denne med å sikre at forpliktelsene i personvernforordningen art. 32–36 blir oppfylt, og svare på forespørsler om håndheving av den Registrertes rettigheter i tråd med personvernforordningen kp. III angående type Behandling og den informasjonen som er tilgjengelig for Databehandleren;
      • i tilfelle Databehandleren finner at Instruksene er uklare, i strid med Personvernlovgivningen eller mangelfulle, og dersom Databehandleren mener at han trenger nye eller utfyllende Instrukser for å utføre sine forpliktelser, skal Databehandleren straks informere Behandlingsansvarlige, midlertidig avslutte Behandlingen og avvente nye Instrukser;
      • i tilfelle Behandlingsansvarlige gir Databehandleren nye eller endrede Instrukser, skal Databehandleren etter mottak av dette uten ugrunnet opphold informere Behandlingsansvarlige om hvordan gjennomføringen av de nye Instruksene vil medføre en kostnadsendring for Databehandleren.
  4. Sikkerhetstiltak 
    1. Databehandleren skal iverksette alle tekniske og organisatoriske sikkerhetstiltak som er nødvendige for å forhindre brudd på personopplysningssikkerheten ved å sikre at Behandlingen oppfyller kravene i personvernforordningen, og at den Registrertes rettigheter ivaretas.
    2. Databehandleren skal løpende sikre at den tekniske og organisatoriske sikkerheten knyttet til Behandlingen gir et passende nivå av konfidensialitet, integritet, tilgjengelighet og robusthet.
    3. Eventuelle nye eller endrede krav til sikkerhetstiltak fra Behandlingsansvarlige som kommer etter at partene har inngått Avtalen, skal betraktes som nye Instrukser for behandling av personopplysninger.
    4. Databehandleren skal bare benytte tilgangskontrollsystemet til å gi tilgang til Personopplysninger til de fysiske personene som jobber under ledelse av Databehandleren, og som trenger slik tilgang for å kunne utføre oppgavene sine.
    5. Databehandleren forplikter seg til kontinuerlig å loggføre tilgangen til personopplysninger i henhold til Avtalen i den utstrekning Instruksen krever det. Logger kan først sorteres fem (5) år etter logghendelsen, med mindre det er spesifisert noe annet i Instruksen. Logger skal være underlagt nødvendige sikkerhetstiltak i tråd med Personvernlovgivningen.
    6. Databehandleren skal systematisk teste, undersøke og evaluere effektiviteten til de tekniske og organisatoriske tiltakene som skal håndtere Behandlingens sikkerhet.
  5. Taushetsplikt 
    1. Under Behandlingen skal Databehandleren og alle fysiske personer som jobber under dennes ledelse, overholde taushetsplikten. Personopplysningene må ikke benyttes eller formidles til andre formål, verken direkte eller indirekte, med mindre det er inngått avtale om noe annet.
    2. Databehandleren skal sørge for at alle fysiske personer som jobber under seg, og som deltar i Behandlingen, er bundet av taushetsplikt i forbindelse med Behandlingen. Dette er imidlertid ikke nødvendig hvis disse personene allerede er underlagt en straffesanksjonert taushetsplikt under loven. Databehandleren plikter også å sørge for at det finnes en avtale om taushetsplikt med Underbehandleren og tilsvarende avtaler mellom Underbehandleren og alle fysiske personer som jobber under dens ledelse, og som deltar i Behandlingen.
    3. Databehandleren skal så snart som mulig informere Behandlingsansvarlige om eventuell kommunikasjon med personvernmyndighetene (Datatilsynet) angående Behandlingen.
    4. Databehandleren har ikke rett til å representere Behandlingsansvarlige eller opptre på dennes vegne overfor personvernmyndighetene i saker som angår Behandlingen.
    5. Hvis den Registrerte, personvernmyndigheten eller en tredjepart ber om informasjon fra Databehandleren som angår Behandlingen, skal Databehandleren informere Behandlingsansvarlige om saken. Informasjon om Behandlingen må ikke utleveres til den Registrerte, personvernmyndigheten eller en tredjepart uten skriftlig samtykke fra Behandlingsansvarlige med mindre loven uttrykkelig krever det. Behandlingsansvarlige skal bistå i formidling av informasjonen som omfattes av et samtykke eller et lovkrav.
  6. Revisjon, tilsyn og inspeksjon
    1. Databehandleren skal på anmodning fra Behandlingsansvarlige uten ugrunnet opphold tilveiebringe informasjon om de tekniske og organisatoriske sikkerhetstiltakene som Behandlingsansvarlige trenger for å fastslå at Databehandleren oppfyller sine forpliktelser i henhold til Avtalen og personvernforordningen, art. 28.3 h.
    2. Databehandleren forplikter seg til minst én (1) gang per år å revidere sikkerheten rundt Behandlingen med en egenkontroll for å sikre at Behandlingen skjer i overensstemmelse med Avtalen. Resultatet av en slik egenkontroll skal formidles til Behandlingsansvarlige på anmodning.
    3. Behandlingsansvarlige har rett til, enten selv eller gjennom en tredjepart han utpeker (men som ikke er konkurrent til Databehandleren), å etterse at Databehandleren oppfyller kravene i Avtalen, Instruksene og Personvernlovgivningen. Ved en slik gjennomgang skal Databehandleren bistå Behandlingsansvarlige, eller vedkommende som utfører revisjonen på Behandlingsansvarliges vegne, med dokumentasjon, tilgang til lokaler, IT-systemer og andre ressurser som trengs for å kunne granske Databehandlerens etterlevelse. Behandlingsansvarlige skal se til at personalet som utfører revisjonen, er underlagt taushetsplikt i henhold til lov eller avtale.
    4. Som et alternativ til det som er fastsatt i punkt 6.2–6.3 har Databehandleren rett til å tilby andre fremgangsmåter for gjennomgang av prosessen, for eksempel en revisjon utført av en uavhengig tredjepart. I et slikt tilfelle skal Behandlingsansvarlige ha rett, men ikke plikt til å bruke den alternative fremgangsmåten under revisjonen. Ved en slik revisjon skal Databehandleren gi Behandlingsansvarlige eller en tredjepart den hjelpen som er nødvendig for å utføre revisjonen.
    5. Databehandleren skal legge til rette for at personvernmyndigheten, eller annen myndighet som har lovlig rett til det, kan gjennomføre tilsyn på begjæring fra myndigheten i samsvar med gjeldende lovgivning, selv om et slikt tilsyn under andre omstendigheter vil være i strid med bestemmelsene i Avtalen.
    6. Databehandleren skal garantere Behandlingsansvarlige rettigheter overfor Underbehandleren som tilsvarer samtlige av Behandlingsansvarliges rettigheter overfor Databehandleren i henhold til kp. 6 i databehandler-vilkårene.
  7. Håndtering av retting og sletting m.m.
    1. I tilfelle Behandlingsansvarlige har bedt om retting eller sletting på bakgrunn av en behandlingsfeil fra Databehandlerens side, skal Databehandleren iverksette passende tiltak uten ugrunnet opphold og senest tretti (30) dager etter at Behandlingsansvarlige har mottatt den nødvendige informasjonen fra Behandlingsansvarlige. Når Behandlingsansvarlige har bedt om sletting, kan Databehandleren bare Behandle den aktuelle personopplysningen som et ledd i sletteprosedyren.
    2. Dersom Databehandleren treffer tekniske og organisatoriske tiltak (f.eks. oppgraderinger eller feilsøking) under Behandlingen som kan forventes å påvirke Behandlingen, skal Databehandleren informere Behandlingsansvarlige skriftlig om dette i samsvar med det som er fastsatt om kommunikasjon/meldinger i Avtalen. Informasjonen må gis i god tid før tiltakene iverksettes.
  8. Brudd på personopplysningssikkerheten
    1. Databehandleren må kunne gjenopprette tilgang til personopplysningene innen rimelig tid etter en fysisk eller teknisk hendelse, i samsvar med personvernforordningen, art. 32.1 c.
    2. Databehandleren påtar seg, i betraktning av Behandlingens art og den informasjonen som er tilgjengelig for Databehandleren, å bistå Behandlingsansvarlige med å oppfylle sine forpliktelser hvis det inntreffer et brudd på personopplysningssikkerheten i forbindelse med Behandlingen. Databehandleren skal også, på Behandlingsansvarliges anmodning, bistå med å undersøke mistanker om uautorisert Behandling og/eller tilgang til personopplysningene.
    3. Dersom Databehandleren får kjennskap til et brudd på personopplysningssikkerheten, skal Databehandleren uten ugrunnet opphold informere Behandlingsansvarlige skriftlig om hendelsen. Avhengig av den typen Behandling og informasjon som er tilgjengelig for Databehandleren, skal Databehandleren gi Behandlingsansvarlige en skriftlig beskrivelse av bruddet på personopplysningssikkerheten.
      Beskrivelsen skal gjøre rede for følgende forhold:
      1. arten av bruddet på personopplysningssikkerheten og, når det er mulig, kategoriene av og antall Registrerte som er berørt, og kategoriene av og antall registreringer av personopplysninger som er berørt,
      2. de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten og
      3. de tiltak som er truffet eller foreslått, og tiltak for å redusere eventuelle skadevirkninger som følge av bruddet på personopplysningssikkerheten
    4. Dersom det ikke er mulig for Databehandleren å tilveiebringe hele beskrivelsen samtidig i henhold til punkt 8.3 i Avtalen, kan den gis trinnvis uten ytterligere ugrunnet opphold.
  9. Underbehandlere
    1. Databehandleren er fullt ansvarlig for Underbehandlerens Behandling overfor Behandlingsansvarlige.
    2. Databehandleren har rett til å engasjere en ny Underbehandler. Når Databehandleren har tenkt å engasjere en ny Underbehandler, skal Databehandleren informere Behandlingsansvarlige skriftlig om dette og forsikre seg om at Underbehandleren har kapasitet og mulighet til å oppfylle sine forpliktelser i henhold til Personvernlovgivningen. Databehandleren må informere Behandlingsansvarlige skriftlig om:
      - Underbehandlerens navn, organisasjonsnummer og tilholdssted (adresse og land)
      - hva slags opplysninger og kategorier av Registrerte som blir behandlet
      - hvor Personopplysningene skal behandles
    3. Databehandleren har rett til å avslutte et engasjement med en Underbehandler. Når Databehandleren slutter å bruke Underbehandleren, skal Databehandleren informere Behandlingsansvarlige skriftlig om dette.
    4. Databehandleren forplikter seg til å inngå en skriftlig avtale om behandling av personopplysninger med den nye Underbehandleren og sørge for at den nye Underbehandleren er underlagt de samme forpliktelser som Databehandleren under denne Avtalen.
    5. Databehandleren skal på anmodning fra Behandlingsansvarlige sende en kopi av avtalen om behandling av personopplysninger som Databehandleren har inngått med Underbehandleren.
    6. Behandlingsansvarlige har rett til å protestere mot at Databehandleren engasjerer en Underbehandler innen fem dager etter at Behandlingsansvarlige har mottatt melding om dette. Databehandleren kan ikke bruke den valgte Underbehandleren dersom Behandlingsansvarlige har lagt frem en rimelig innvending mot dette.
    7. Partene er enige om at Behandlingsansvarlige ved å signere denne Avtalen kan anses for å ha gjort seg kjent med og godtatt at Databehandleren har til hensikt å engasjere de Underbehandlerne som er oppført under punktet «Underbehandlere som er godkjent av Behandlingsansvarlige».
  10. Lokalisering og overføring av personopplysninger til tredjestat
    1. Databehandleren skal sørge for at Personopplysningene blir håndtert og lagret i EU/EØS av en fysisk eller juridisk person som har tilholdssted i EU/EØS, med mindre avtalepartene blir enige om noe annet.
    2. Databehandleren har bare rett til å overføre Personopplysninger til en tredjestat for Behandling (f.eks. service, support, vedlikehold, utvikling, drift eller lignende håndtering) dersom Behandlingsansvarlige har godkjent en slik overføring på forhånd og utarbeidet Instrukser for dette formålet.
    3. En overføring til en tredjestat for Behandling i henhold til pkt. 10.2 kan bare finne sted hvis Behandlingen finner sted i overensstemmelse med Personvernlovgivningen og oppfyller de kravene til Behandling som er angitt i Avtalen og Instruksene.
  11. Ansvar for skade i forbindelse med behandling
    1. Ved en skadeserstatning i forbindelse med Behandling som etter en rettskraftig dom eller et forlik skal utbetales til den Registrerte etter brudd på bestemmelsene i Avtalen, Instruksene og/eller en relevant bestemmelse i Personvernlovgivningen, skal man anvende artikkel 82 i personvernforordningen.
    2. Overtredelsesgebyrer i henhold til personvernforordningen, art. 83 eller den svenske loven «Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning», kp. 6. § 2, skal dekkes av den Avtaleparten som er ilagt et slikt gebyr.
    3. Hvis en av Partene får kjennskap til en omstendighet som kan føre til skade for Motparten, skal Parten straks informere Motparten om forholdet og aktivt samarbeide med denne for å forhindre og minimere en slik skade.
    4. Uavhengig av det som for øvrig fremgår av Avtalen skal punkt 11.1 og 11.2 ha prioritet over andre regler om fordeling av krav Partene imellom hva gjelder Behandlingen.
  12. Gyldighetstid
    1. Ddatabehandler-vilkårene gjelder fra det tidspunkt Avtalen er signert av begge Parter og inntil videre, så lenge Databehandleren behandler personopplysninger på vegne av Behandlingsansvarlige.
  13. Endringer m.m.
    1. Hver av Avtalepartene har rett til å kreve reforhandling av disse databehandler-vilkårene dersom Motpartens eierforhold blir vesentlig endret, eller dersom gjeldende lovverk eller tolkingen av den blir endret på en måte som er avgjørende for Behandlingen. En begjæring om reforhandling i samsvar med første setning betyr ikke at Avtalen i noen grad vil opphøre, bare at det skal settes i gang en reforhandling av databehandler-vilkårene.
    2. Når en Part får kjennskap til at Motparten opptrer i strid med databehandler-vilkårene, Instruksene og/eller Personvernlovgivningen, skal Parten umiddelbart varsle Motparten om forholdet.
  14. Tiltak ved opphør av Avtalen
    1. Ved opphør av Avtalen skal Behandlingsansvarlige uten ugrunnet opphold be om at Databehandleren overleverer samtlige Personopplysninger til Behandlingsansvarlige eller sletter dem, alt etter hva sistnevnte krever. Dersom Personopplysningene blir overlevert, skal det skje i et åpent og standardisert format. Med samtlige Personopplysninger menes alle Personopplysninger som er omfattet av Behandlingen, og tilhørende informasjon, for eksempel Logger, Instrukser, systemløsninger, beskrivelser og andre dokumenter som Databehandleren har mottatt ved informasjonsutveksling i samsvar med Avtalen.
    2. Overlevering og sletting i henhold til pkt. 14.1 skal skje senest tretti (30) dager fra det tidspunktet da Avtalen opphører, i samsvar med pkt. 12.1.
    3. Behandling som utføres av Databehandleren etter det tidspunktet som er angitt i punkt 14.2, skal betraktes som ikke tillatt.
    4. Bestemmelser om taushetsplikt i Avtalen skal fortsette å gjelde selv om Avtalen for øvrig opphører.
  15. Kontaktpersoner og meldinger
    1. Partene skal utpeke hver sin kontaktperson for Avtalen.
    2. Meldinger om Avtalen og administrasjon av den skal sendes til den respektive Partens kontaktperson.
    3. Meldinger innenfor rammen av Avtalen og Instruksene skal sendes skriftlig. En melding skal regnes for å være mottakeren i hende senest én (1) virkedag etter at den er sendt.
    4. Hver Part er ansvarlig for at opplysningene som angis i Tilbudet og i Vedleggene, alltid er oppdatert. Endringer i opplysningene skal meddeles skriftlig i samsvar med punkt 15.3.
  16. Instrukser for behandling
    I tillegg til det som er angitt i Avtalen, gjelder Instruksene nedenfor, og de må følges av Databehandleren når denne utfører Behandlingen.


    FormålBehandlingen kan bare utføres med det formål å levere de tjenestene som fremgår av Hovedavtalen, dvs. hovedsakelig med det formål å behandle Personopplysninger for å identifisere selskaper og enkeltpersoner på en sikker måte, slik at man kan avdekke dobbeltbetalinger, betalinger til bedragerske selskaper, betalinger til selskaper som ikke betaler selskapsskatt (i Sverige: «F-skatt»), betalinger til selskaper som har gjeld til offentlige skattemyndigheter, avvikende betalingsmønstre og betalinger som overskrider den angitte grensen. Databehandleren kan ikke benytte Personopplysningene til sine egne eller noen andre formål
    Typer behandlingerDatabehandleren kan benytte slike typer behandling av personopplysninger som er nødvendige for å tilveiebringe de tjenestene som fremgår av Hovedavtalen, herunder registrering, organisering, lagring, modifisering, bruk og/eller sletting.
    Typer personopplysningerDatabehandleren kan bare behandle følgende typer personopplysninger: for- og etternavn, kundenummer, personnummer, adresse, telefonnummer, e-postadresse. Databehandleren kan også behandle andre personopplysninger når det er nødvendig for å tilveiebringe de tjenestene som fremgår av Hovedavtalen.
    Kategorier av registrerteBehandlingen skal bare omfatte ansatte, kunder og leverandører som Behandlingsansvarlige har skaffet til veie.
    Behandlingens varighetDatabehandleren skal slette Personopplysningene ved opphør av Avtalen i samsvar med det som fremgår av Avtalen. Videre skal Personopplysninger slettes av Databehandleren fra sak til sak i samsvar med de skriftlige Instruksene fra Behandlingsansvarlige.
    BehandlingsstedBehandlingen kan bare utføres i EU og med en slik infrastruktur som Databehandleren har direkte eller indirekte kontroll over (f.eks. gjennom godkjente Underbehandlere).
  17. Underbehandlere som er godkjent av Behandlingsansvarlige
    Databehandleren skal godkjenne og er informert om at Databehandleren bruker følgende Underbehandlere i samsvar med pkt. 9.7 i databehandler-vilkårene.

    IT Gården AB; SE-556571-3806, Landskrona, Sverige
    Tilbyr og drifter Inyetts servermiljø, databaser, applikasjoner og andre tilleggstjenester.

    SMS Teknik AB; SE-556644-7784, Munkedal, Sverige
    Brukes som underbehandler for sikker sending av passord via sms til brukerne av tjenesten.

    ZignSec; SE-559016-5261, Solna, Sverige
    Brukes som underbehandler for å gjøre det mulig for brukere å velge innlogging via BankID / Mobil BankID