(i henhold til artikkel 28 nr. 3, i Europaparlamentets og Rådets forordning 2016/679 (personvernforordningen))
Mellom
Den behandlingsansvarlige: Richard Hagen Holding AS, Org.nr. 932411806
Databehandleren: [Fylles inn senere]
som hver for seg er en «part» og sammen utgjør «partene».
Disse vilkårene fastsetter den behandlingsansvarlige og databehandlerens rettigheter og plikter ved behandling av personopplysninger. Avtalen gjelder med henblikk på å overholde personvernforordningen og sikre beskyttelse av fysiske personers grunnleggende rettigheter og friheter.
Databehandleren utfører behandling av personopplysninger på vegne av den behandlingsansvarlige i forbindelse med levering av tjenesten.
Vilkårene har forrang fremfor eventuelle tilsvarende bestemmelser i andre avtaler mellom partene, og skal oppbevares skriftlig, herunder elektronisk.
Det er utarbeidet fire vedlegg til disse vilkårene, som utgjør en integrert del av avtalen.
Den behandlingsansvarlige er ansvarlig for at behandlingen av personopplysninger skjer i samsvar med personvernforordningen og gjeldende nasjonal lovgivning. Dette innebærer blant annet at:
Databehandleren skal kun behandle personopplysninger etter dokumenterte instrukser fra den behandlingsansvarlige, med mindre annet er påkrevd etter unionsrett eller nasjonal lovgivning. Endringer i instrukser skal dokumenteres skriftlig og oppbevares sammen med denne avtalen.
Databehandleren skal underrette den behandlingsansvarlige om en eventuell instruks etter eget skjønn vurderes å være i strid med gjeldende lovgivning.
Databehandleren skal kun gi tilgang til personopplysninger til personer som er underlagt taushetsplikt, enten gjennom kontrakt eller lov. Tilgangen skal jevnlig vurderes, og dersom en person ikke lenger har behov for tilgang, skal dette avsluttes.
Partene skal iverksette egnede tekniske og organisatoriske tiltak for å beskytte personopplysningene, slik det fremgår av personvernforordningen artikkel 32. Tiltakene skal tilpasses:
Det skal ikke lagres passorddetaljer eller andre sensitive opplysninger utover det som er nødvendig.
Databehandleren kan benytte underdatabehandlere dersom den behandlingsansvarlige har gitt skriftlig godkjennelse. I denne avtalen gjelder følgende:
Endringer i bruken av underdatabehandlere skal varsles med 4 uker slik at den behandlingsansvarlige har anledning til å motsette seg slike endringer.
Personopplysninger kan kun overføres til tredjeland eller internasjonale organisasjoner etter dokumentert instruks fra den behandlingsansvarlige og i henhold til kravene i personvernforordningens kapittel V.
I denne avtalen skjer all behandling innenfor EU/EØS, og det foretas ingen overføring til tredjeland.
Databehandleren skal bistå den behandlingsansvarlige med å ivareta registrertes rettigheter, herunder:
Databehandleren skal også bistå med informasjon om de tekniske og organisatoriske sikkerhetstiltak som er iverksatt.
Ved brudd på personopplysningssikkerheten skal databehandleren underrette den behandlingsansvarlige uten ugrunnet opphold, og om mulig innen 48 timer slik at den behandlingsansvarlige kan melde bruddet til den kompetente tilsynsmyndigheten.
Bistand skal gis for å fremskaffe nødvendig informasjon ved melding av bruddet.
Ved opphør av databehandlertjenestene skal databehandleren, med mindre lovpålagt oppbevaring krever noe annet, enten:
I denne avtalen slettes personopplysningene manuelt ved oppsigelse.
Databehandleren skal stille til disposisjon all nødvendig informasjon for å påvise etterlevelse av personvernforordningen artikkel 28 og denne avtalen. Det skal også muliggjøres revisjoner og inspeksjoner av den behandlingsansvarliges representant eller en autorisert revisor.
Eventuelle prosedyrer for revisjon og inspeksjon er nærmere beskrevet i Vedlegg C.
Partene kan avtale ytterligere bestemmelser som gjelder databehandlertjenestene, for eksempel erstatningsansvar. Slike bestemmelser skal ikke stride mot vilkårene i denne avtalen eller svekke beskyttelsen av registrertes rettigheter og friheter.
Vilkårene trer i kraft på datoen for begge parters underskrift.
Avtalen gjelder så lenge databehandlertjenestene leveres. Ved opphør, når personopplysningene er slettet eller returnert, kan avtalen sies opp med skriftlig varsel fra begge parter.
Begge parter kan kreve reforhandling dersom lovendringer eller andre forhold tilsier det.
Partene forplikter seg til å orientere hverandre om endringer i kontaktinformasjon.
| Navn | Stilling | Telefon | E-post |
|---|---|---|---|
| Richard Hagen | Daglig leder | +47 978 96 726 | richard@medweb.no |
| [Kontaktperson for databehandler] | [Stilling] | [Telefonnummer] | [E-postadresse] |
For den behandlingsansvarlige:
Navn: Richard Hagen
Stilling: Daglig leder
Telefon: +47 978 96 726
E-post: richard@example.com
Dato: ___________________
Underskrift: ______________
For databehandleren:
Navn: [Kontaktperson for databehandler]
Stilling: [Stilling]
Telefon: [Telefonnummer]
E-post: [E-postadresse]
Dato: ___________________
Underskrift: ______________
A.1. Formålet med databehandlerens behandling:
Oppbevare innloggingsdetaljer for å administrere nettsiden.
A.2. Behandlingens art:
Oppbevaring av innloggingsdetaljer og administrasjon av e-postvarsler.
A.3. Typer av personopplysninger:
Navn og e-postadresse.
A.4. Kategorier av registrerte:
Kunder og ansatte, inkludert e-postadresser.
A.5. Behandlingens varighet:
Personopplysningene oppbevares så lenge kundeforholdet består.
B.1. Godkjente underdatabehandlere:
Ved ikrafttredelse godkjenner den behandlingsansvarlige bruken av følgende underdatabehandlere:
| Navn | Org.nr. | Adresse | Beskrivelse av behandlingen |
|---|---|---|---|
| Resend | Brukes for e-postnotifikasjoner. |
B.2. Varsel for godkjennelse av underdatabehandlere:
[Eventuelt varslingsfrist ved godkjenning, hvis aktuelt]
C.1. Behandlingens gjenstand/instruks:
Databehandleren skal lagre innloggingsdetaljer for administrasjon av nettsiden og sende e-postvarsler ved hjelp av Resend.
C.2. Informasjonssikkerhet:
Sikkerhetsnivået skal tilpasses behandlingens art, omfang, formål og risiko. Det kreves standard sikkerhetstiltak, men ettersom det ikke lagres passorddetaljer eller sensitive opplysninger, benyttes ikke ekstra tiltak utover dette.
C.3. Bistand til den behandlingsansvarlige:
Databehandleren skal bistå den behandlingsansvarlige med håndtering av registrertes rettigheter, inkludert innsyn, retting, sletting og dataportabilitet, samt ved brudd på personopplysningssikkerheten.
C.4. Oppbevaringsperiode/sletteprosedyrer:
Personopplysningene oppbevares så lenge kundeforholdet består og slettes manuelt ved oppsigelse.
C.5. Lokasjon for behandling:
Behandlingen skjer innenfor EU/EØS.
C.6. Instruks for overføring av personopplysninger til tredjeland:
Ingen overføring til tredjeland foretas.
C.7. Prosedyrer for den behandlingsansvarliges revisjoner, herunder inspeksjoner:
Databehandleren skal stille til disposisjon all nødvendig informasjon for revisjon og inspeksjon, og gjennomføre avklarte prosedyrer i henhold til avtale.
C.8. Prosedyrer for revisjoner av underdatabehandler:
Epost blir sendt til kontakt 4 uker før endring.