Databehandleravtale
Visma Draftit AS er Databehandler og avtalepart for Avtalen er behandlingsansvarlig, heretter betegnet som henholdsvis Databehandler, Behandlingsansvarlig eller Part, i fellesskap som Partene.
1. Innledning
1.1 Partene bekrefter herved at de har nødvendige fullmakter til å inngå denne databehandleravtalen (Databehandleravtalen). Databehandleravtalen vil utgjøre en del av og regulere all behandling av personopplysninger i tilknytning til avtaler om levering av tjenester (Avtalen) mellom partene:
- Visma Draftits Bruksvilkår.
2. Definisjoner
2.1 Definisjonene av personopplysning, særlige kategorier av personopplysning, behandling av personopplysning, den registrerte, behandlingsansvarlig og databehandler skal forstås slik de brukes og tolkes i henhold til gjeldende personvernlovgivning, inkludert lov om behandling av personopplysninger av 15. juni 2018 nr. 38 og personvernforordningen Europaparlaments- og rådsforordning (EU) 2016/679 (GDPR) av 27. april 2016.
3. Formål
3.1 Databehandleravtalen regulerer Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlig, og beskriver hvordan Databehandleren gjennom tekniske og organisatoriske virkemidler skal bidra til å sikre den registrertes rettigheter på vegne av Behandlingsansvarlig.
3.2 Formålet med Databehandlerens behandling av personopplysninger er å oppfylle formålet listet i Vedlegg A.
3.3 Ved eventuell motstrid mellom bestemmelser om behandling av personopplysninger har Databehandleravtalen forrang over Avtalen eller tidligere avtaler eller skriftlig kommunikasjon mellom Partene. Databehandleravtalen er gjeldende for partene frem til avtaleforholdet opphører i samsvar med Visma Draftits Bruksvilkår.
4. Databehandlerens rettigheter og plikter
4.1 Databehandler skal bare behandle personopplysninger på vegne av og i henhold til skriftlige instruksjoner fra Behandlingsansvarlig. Ved å inngå denne Databehandleravtalen instruerer Behandlingsansvarlig Databehandler om å behandle personopplysninger på følgende måte: i) bare i henhold til gjeldende lovgivning, ii) for å oppfylle alle plikter i henhold til Avtalen, iii) som instruert via Behandlingsansvarlig sin bruk av Databehandlers ordinære tjenester og iv) som spesifisert i denne Databehandleravtalen.
4.2 Databehandleren har ved avtaleinngåelsen ingen grunn til å anta at det foreligger regulatoriske hindringer mot å følge instruksjonene fra Behandlingsansvarlig. Dersom Databehandleren ved et senere tidspunkt blir klar over at Behandlingsansvarliges instruksjoner eller behandling av personopplysninger strider mot gjeldende personvernlovgivning, skal Databehandleren melde dette til Behandlingsansvarlig.
4.3 Typen personopplysninger og kategorier av registrerte som er gjenstand for behandling under denne Databehandleravtalen er angitt i Vedlegg A.
4.4 Databehandleren skal sikre konfidensialitet, integritet og tilgjengelighet til personopplysningene i henhold til de regulatoriske krav som gjelder for Databehandleren. Dette inkluderer å implementere systematiske, organisatoriske og tekniske sikkerhetstiltak for å sikre et tilstrekkelig nivå for sikkerhet. Ved avgjørelsen av hva som er et tilstrekkelig nivå skal hensyn til den teknologiske utviklingen og kostnaden ved implementering av tiltak veies mot risikoen ved behandlingen og typen personopplysninger som behandles.
4.5 Databehandleren skal ved tekniske og organisatoriske sikkerhetstiltak bistå Behandlingsansvarlig med å ivareta Behandlingsansvarliges plikter under GDPR artikkel 32 til 36, samt bistå i arbeidet med å behandle forespørsler fra registrerte i henhold til GDPR kapittel III. Pliktens omfang avgrenses av formen for behandling av personopplysninger og hvilken informasjon som er tilgjengelig for Databehandleren.
4.6 Behandlingsansvarlig kan kreve informasjon om sikkerhetstiltak, dokumentasjon og annen informasjon om hvordan Databehandleren behandler personopplysninger. Dersom Behandlingsansvarlig ber om mer informasjon eller assistanse enn det som Databehandleren tilgjengeliggjør for å oppfylle kravene til rollen som Databehandler i henhold til gjeldende personvernlovgivning, kan Databehandleren kreve betaling for slike eventuelle tilleggstjenester.
4.7 Databehandleren og dens ansatte skal sørge for konfidensialitet ved behandling av personopplysninger som behandles i henhold til denne databehandleravtalen. Denne plikten gjelder også etter at avtalen opphører.
4.8 Databehandler skal sikre at ansatte som skal behandle personopplysninger på vegne av den Behandlingsansvarlige har forpliktet seg til konfidensialitet eller er underlagt en lovbestemt taushetsplikt.
4.9 Databehandleren vil gjennom å varsle Behandlingsansvarlig uten ugrunnet opphold om brudd på personopplysningssikkerheten, muliggjøre etterlevelse av gjeldende personvernlovgivning vedrørende varsling av tilsynsmyndigheter og registrerte.
Videre vil Databehandleren, i den utstrekning det er praktisk mulig og lovlig, varsle Behandlingsansvarlig om;
i) innsynsbegjæringer fra registrerte,
ii) innsynsbegjæringer fra offentlige myndigheter
4.10 Databehandleren vil kun besvare forespørsler fra registrerte i den grad Behandlingsansvarlig har gitt tillatelse til det. Databehandleren vil kun varsle Behandlingsansvarlig om innsynsbegjæringer fra offentlige myndigheter i den grad slikt varsel er lovlig, samt kun utlevere informasjon til offentlige myndigheter dersom rettslig pålegg foreligger.
4.11 Databehandleren har ikke eierskap til eller kontroll med hvorvidt og hvordan Behandlingsansvarlig velger å benytte seg av eventuelle tredjeparts integrasjoner via Databehandlers API, via direkte databasekobling eller lignende. Ansvaret for slike integrasjoner med tredjepart påhviler utelukkende Behandlingsansvarlig.
4.12 Databehandler kan behandle personopplysninger om brukere og Behandlingsansvarliges bruk av Tjenesten for å innhente tilbakemeldinger og forbedre tjenesten. Behandlingsansvarlig gir Databehandler rett til å bruke og analysere aggregert aktivitetsdata knyttet til bruken av Tjenesten for formål som optimalisering og forbedring av hvordan Databehandler leverer sine tjenester, samt for å muliggjøre utvikling av nye funksjoner og funksjonalitet knyttet til tjenestene. Visma skal anses som Behandlingsansvarlig for denne behandlingen, og behandlingen er derfor ikke underlagt denne Databehandleravtalen.
4.13 Ved å bruke tjenesten vil Behandlingsansvarlig laste opp data i tjenesten (“Kundedata”). Behandlingsansvarlig er kjent med og motsetter seg ikke at Databehandler kan bruke Kundedata i et aggregert og anonymisert format for å forbedre tjenestene som leveres til kunder, research, opplæring og/eller statistiske formål.
5. Behandlingsansvarliges rettigheter og plikter
5.1 Ved å akseptere Databehandleravtalen bekrefter Behandlingsansvarlig at:
- Behandlingsansvarlig har rett til å behandle personopplysninger og til å gi Databehandleren og dens underdatabehandlere adgang til å behandle personopplysninger.
- Behandlingsansvarlig er ansvarlig for at personopplysningene som overlates til Databehandleren er lovlig innsamlet, korrekte og tilstrekkelige.
- Behandlingsansvarlig er ansvarlig for å gi relevant informasjon til registrerte eller myndigheter vedrørende behandlingen av personopplysninger.
6. Bruk av underdatabehandlere og overføring av personopplysninger
6.1 Som en del av leveransen under Avtalen vil Databehandleren bruke underdatabehandlere og Behandlingsansvarlig gir sitt generelle samtykke til dette. Slike underdatabehandlere kan være andre selskaper i Visma-konsernet eller eksterne tredjeparter. Databehandleren har plikt til å påse at underdatabehandlere påtar seg tilsvarende forpliktelser som de som følger av denne Databehandleravtalen.
6.2 Oversikt over eksterne underdatabehandlere finnes på: https://www.visma.no/gdpr-losninger/underdatabehandlere/
Databehandleren kan også engasjere andre selskaper i Visma-konsernet lokalisert innenfor EU/EØS som underdatabehandlere uten at selskapet inkluderes i listen over og uten forvarsel til Behandlingsansvarlig. Selskaper i Visma-konsernet som blir engasjert som underdatabehandlere har som regel formål som utvikling, support, drift etc. Behandlingsansvarlig kan ta kontakt med Databehandler for mer detaljert informasjon om underdatabehandlere.
6.3 Dersom underdatabehandleren er lokalisert utenfor EU/EØS gir Behandlingsansvarlig fullmakt til Databehandleren til å sikre lovlig overføringsgrunnlag for overføringen av personopplysninger ut av EU/EØS på vegne av Behandlingsansvarlig, herunder ved å gjøre bruk av EU standard kontraktsbestemmelser (SCC) .
6.4 Behandlingsansvarlig vil bli varslet før Databehandleren endrer underdatabehandler. Dersom Behandlingsansvarlig kommer med innsigelser mot en underdatabehandler innen 30 dager etter å ha blitt varslet, skal partene tilgjengeliggjøre og gjennomgå informasjon og dokumentasjon om underdatabehandleren som påviser dens etterlevelse av personvernlovgivningen. Dersom Behandlingsansvarlig fremdeles motsetter seg underdatabehandleren og har rimelig grunn til dette, vil ikke Behandlingsansvarlig kunne reservere seg mot bruk av underdatabehandleren (grunnet at tjenesten som leveres er et nettbasert standard software produkt). I slike tilfeller vil Behandlingsansvarlig ha mulighet til å si opp Avtalen.
7. Sikkerhet
7.1 Databehandler skal sørge for et høyt sikkerhetsnivå i sine produkter og tjenester. Dette skal skje ved organisatoriske, tekniske og fysiske sikkerhetstiltak, i henhold kravene til informasjonssikkerhet som fremgår av GDPR artikkel 32.
7.2 Behandlingsansvarlig skal være ansvarlig for hensiktsmessig og tilstrekkelig sikkerhet for utstyret og IT-miljøet som er under den Behandlingsansvarliges ansvar. På Visma Draftit sine nettsider https://www.visma.no/gdpr-losninger/informasjonssikkerhet/ er ytterligere beskrivelse av tiltak eller andre datasikkerhetsprosedyrer som Databehandleren implementerer i behandlingen av personopplysningene tilgjengelig.
8. Rett til revisjon
8.1 Behandlingsansvarlig kan revidere Databehandler sin etterlevelse av denne Databehandleravtalen inntil en gang i året. Hvis lovgivning som Behandlingsansvarlig er underlagt krever det, kan Behandlingsansvarlig kreve flere revisjoner. For å be om revisjon må Behandlingsansvarlig sende en detaljert revisjonsplan minimum 4 uker i forkant av ønsket revisjonsdato, med oversikt over forslagets omfang, varighet og oppstart. Hvis tredjeparter skal gjennomføre revisjonen, skal dette som hovedregel avtales mellom Partene. Hvis behandling av personopplysninger skjer i et “multitenant” miljø eller lignende, aksepterer Behandlingsansvarlig likevel at revisjonen gjennomføres av en tredjepart utpekt av Databehandler.
8.2 Hvis revisjonensomfang er behandlet i ISAE, ISO eller lignende rapport av kvalifisert tredjepart i løpet av de siste 12 månedene, og Databehandler bekrefter at det ikke finnes kjente endringer fra dette, skal Behandlingsansvarlig akseptere disse rapportene i stedet for å forespørre ny revisjon.
8.3 I alle tilfeller skal revisjon utføres i samråd med virksomhetens ordinære åpningstider, i henhold til virksomhetens retningslinjer og ikke forstyrre den ordinære virksomheten.
8.4 Behandlingsansvarlig er ansvarlig for kostnader forårsaket av sin revisjon. Dersom Behandlingsansvarlige ber om mer assistanse enn den som tilbys av Databehandleren for å oppfylle gjeldende personvernlovgivning, kan Databehandleren kreve betaling for denne tilleggstjenesten.
9. Varighet
9.1 Databehandleravtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig i henhold til Avtalen.
9.2 Databehandleravtalen opphører i forbindelse med avslutning av Avtalen. Ved opphør av Databehandleravtalen, skal Databehandler slette eller returnere personopplysninger som er behandlet på vegne av Behandlingsansvarlig i tråd med Avtalen. En slik sletting vil skje så snart det er praktisk mulig, med mindre EU lovgivning eller annen lokal lovgivning krever lengre lagringstid. Med mindre annet er avtalt mellom Partene, skal arbeidet forbundet med dette kompenseres basert på; i) kompleksiteten ved forespørselen og ii) betaling for medgått tid.
10. Endringer og ugyldighet
10.1 Endringer i Databehandleravtalen følger endringsbestemmelsen i Avtalen.
10.2 Hvis bestemmelser i Databehandleravtalen kjennes ugyldig, skal ikke dette påvirke de øvrige bestemmelsene i Databehandleravtalen. Partene skal erstatte den ugyldige bestemmelsen med en gyldig bestemmelse som reflekterer intensjonen til Partene bak bestemmelsen.
11. Mislighold
11.1 Begge parter har et individuelt ansvar etter gjeldende personvernlovgivning i forhold til de personopplysningene de behandler og skal holdes selvstendig ansvarlig for å betale alle bøter og erstatning direkte til registrerte som ilegges den respektive part av myndigheter eller domstoler i henhold til personvernlovgivningen. Ansvaret mellom partene reguleres av Avtalen.
12. Gjeldende rett og verneting
12.1 Databehandleravtalen er underlagt norsk rett ved norske domstoler med Oslo tingrett som avtalt verneting.
Vedlegg A - Kategorier av registrerte, Kategorier av personopplysninger, Formål, Behandlingens art, Varighet
A.1 Kategorier av registrerte
Ansatte hos Behandlingsansvarlig som benytter tjenesten
A.2 Kategorier av personopplysninger
Kontaktinformasjon som fornavn, etternavn, telefon, e-postadresse etc.
Jobbrelatert informasjon som organisasjon, avdeling, land etc.
IP-adresse og brukerkonto (loggføres, logg lagres i 3 måneder)
A.3 Særlige kategorier av personopplysninger (sensitive personopplysninger)
Databehandleren behandler ingen særlige kategorier av personopplysninger (sensitive personopplysninger) for å levere Tjenesten.
A.4 Behandlingens formål og art
Formålet med Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlig er levering av programvare over Internett som tillater Behandlingsansvarlig å etablere og holde vedlike en oversikt over sin behandling av personopplysninger i henhold til Avtalen. Tjenesten leveres som Software as a Service. Databehandler skal bare Behandle Personopplysninger for det formål å gjennomføre tjenesten.
A.5 Behandlingens varighet
Varighet for behandlingen av personopplysninger er så lenge som Avtalen er gjeldende.