Prøv gratis

Databehandleravtale

Sist revidert 10. januar 2024.

1. Formål

Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig på den bakgrunn av gjeldende driftsavtale og i denne forbindelse vil utvikle, drifte og vedlikeholde tjenester for behandlingsansvarlig, herunder yte tjenester som innebærer behandling av personopplysninger i forbindelse med salg av produkter og tjenester, kundeoppfølging og markedsføring. Databehandler vil kunne samle, lagre og overføre personopplysninger på vegne av behandlingsansvarlig. I tillegg gir databehandler behandlingsansvarlig verktøy for sikker tilgang og uthenting av nevnte data, og/eller bistå med nevnte uthenting.

2. Databehandlers plikter

På forespørsel fra behandlingsansvarlig skal databehandler gi en spesifisert oversikt over hvilke personopplysninger databehandler skal behandle og hvem opplysningene gjelder.

Den Behandlingsansvarlige er ansvarlig for at personopplysningene blir behandlet i samsvar med
personvernforordningen og personopplysningsloven. Den behandlingsansvarlige har både en
rett og en plikt til å bestemme formålet med behandlingen og hvilke midler som skal benyttes.

Databehandler skal orientere behandlingsansvarlig dersom databehandleren mener en instruks er i strid med norsk lov.

3. Behandlingsansvarliges plikter

Behandlingsansvarlig har taushetsplikt for den informasjon og dokumentasjon som databehandler utleverer på forespørsel.

4. Behandling av personvernopplysninger

Databehandler lagrer følgende personopplysninger ved bruk av våre tjenester:

  • 1. Kontaktpersoner og kontaktopplysninger
  • 2. Abonnementdata
  • 3. Bestillingsdata
  • 4. Faktura- og betalingshistorikk
  • 5. Logger
  • 6. Innloggingsinformasjon til tjenester
  • 7. Lagringsdata
  • 8. Ressursbruk og lagringsmengde

4.1 Kontaktpersoner og kontaktopplysninger

Bedriftsnavn, navn på kontaktperson, adresse, telefonnummer og e-postadresse.

4.2 Abonnementdata

Bestillingsdato, utløpsdato og pris, også historikk.

4.3 Bestillingsdata

Tilbud, signerte tilbud, bestillinger, utløpsdato, pris, også historiske data.

4.4 Faktura- og betalingshistorikk

Fakturaer og kvitteringer i regnskapssystem.

4.5 Logger

  • 1. E-postvarsler fra servertjenester.
  • 2. Inngående og utgående e-postkorrespodanse.
  • 3. Logg over pålogging til tjenestene, med tidspunkt og IP-adresser.

4.6 Lagringsdata

Behandlingsansvarligs data som er lagret på databehandlers servere og i databaser.

5. Sikkerhet

Dokumentasjon på tekniske og organisatoriske sikkerhetstiltak skal være tilgjengelig på behandlingsansvarliges forespørsel.

Databehandleren skal oppfylle de krav til sikkerhetstiltak som stilles etter personvernforordningen
artikkel 32. Databehandleren skal kunne dokumentere rutiner og andre tiltak for å oppfylle disse
kravene. Dokumentasjonen skal være tilgjengelig på den Behandlingsansvarliges forespørsel.
I tilfelle sikkerhets- eller personvernbrudd, skal Databehandleren varsle den Behandlingsansvarlige
uten ugrunnet opphold.

Melding om brudd skal minimum inneholde:

  • 1. Beskrivelse av arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall personopplysningsposter som er berørt,
  • 2. navnet på og kontaktopplysningene til personvernrådgiveren eller et annet kontaktpunkt der mer informasjon kan innhentes,
  • 3. beskrivelse av de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten,
  • 4. beskrivelse av de tiltak som er truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.

Dersom ikke alle opplysninger kan gis i første melding, skal opplysningene gis suksessivt så snart de foreligger.

Den Behandlingsansvarlige har ansvaret for å sende melding til tilsynsmyndighet, og Databehandler
skal ikke sende slik melding eller kontakte tilsynsmyndighet uten at den Behandlingsansvarlige
har gitt instruks om dette.

6. Underleverandører

Databehandler benytter følgende underleverandører:

ITSjefen AS

Leverandør av servertjenester som benyttes av databehandler, herunder webhotell og virtuelle servere, samt utgående e-post fra disse tjenestene.

ITSjefen AS står for backup av disse tjenestene.

Fiken AS

Leverandør av regnskapssystem. Oppbevarer informasjon om kunder og leverandører, ordrer, faktura og innbetalinger. Oppbevares i 5 år i henhold til regnskapslovens krav til oppbevaringstid. Etter 5 år slettes data på forespørsel.

Teletopia Interactive AS

Benyttes til utsendelse av SMS fra våre tjenester og kunders tjenester (som en abonnementstjeneste).

Microsoft Ireland Operation

Leverandør av e-posttjeneste, herunder all inngående og utgående e-post knyttet til domenet unibook.no.

7. Endringer

Databehandleravtalen kan endres ved nødvendige behov, for eksempel ved endringer i lovverk eller endringer i tjenesteleveransen.

8. Opphør

Avtalen gjelder så lenge Databehandleren behandler eller har tilgang til personopplysninger på vegne av Behandlingsansvarlige etter driftsavtalen.

Ved opphør av avtalen, eller hvis tjenesten opphører å eksistere, plikter databehandler å tilbakelevere alle personopplysninger som er mottatt på vegne av behandlingsansvarlige.

Databehandleren skal, etter den Behandlingsansvarliges instruksjon, slette alle personopplysninger til den Behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert, og sletter eksisterende kopier, med mindre det er et lovmessig krav om at personopplysningene skal fortsatt lagres. Dette gjelder også for eventuelle sikkerhetskopier, men hvor det er tilstrekkelig med å overskrive etter de etablerte rutiner for sikkerhetskopiering. Den Behandlingsansvarlige skal motta en skriftlig bekreftelse fra Databehandleren på at alle personopplysninger er returnert eller slettet i henhold til den Behandlingsansvarliges instruksjoner og at Databehandleren ikke har behold kopi, utskrifter eller andre former for personopplysninger i noen form.

9. Overføring til tredjeland

Databehandler skal til enhver tid kunne dokumentere hvor personopplysninger som behandles
i medhold av denne Avtalen blir lagret. Personopplysninger skal ikke overføres til land utenfor
EU/EØS-området uten at det foreligger nødvendige garantier for overføringen i tråd med
personvernforordningen.

10. Lovvalg og verneting

Avtalen er underlagt norsk rett og partene vedtar Sør-Trøndelag tingrett som verneting.