Databehandleravtale

Denne databehandleravtalen ("Avtalen") er inngått mellom: LOID AS 929346645. ("Databehandler") og Kunde ("Kunde") (kollektivt referert til som "Partene" og individuelt som "Part").  

1. Innledning

1.1. Databehandler tilbyr en programvare som en tjeneste (SaaS-tjeneste) som gir Kunde muligheten til å behandle personopplysninger i henhold til Kundes behov.  

1.2. Kunde ønsker å benytte seg av Databehandlers SaaS-tjeneste og dermed overføre personopplysninger til Databehandler for behandling. 1.3. Databehandler samtykker i å behandle personopplysninger på vegne av Kunde, i samsvar med denne Avtalen.

2. Definisjoner

I denne avtalen skal følgende termer ha følgende betydning:  

2.1. "Personopplysninger" betyr all informasjon som gjelder en identifisert eller identifiserbar fysisk person, som definert i gjeldende personvernlovgivning.  

2.2. "Behandling" betyr enhver operasjon eller sett av operasjoner som utføres på personopplysninger, som innsamling, registrering, organisering, lagring, tilpasning, endring, gjenfinning, konsultering, bruk, utlevering, spredning, sletting eller destruksjon, uavhengig av om den utføres manuelt eller automatisk.  

2.3. "Databehandler" betyr den juridiske eller fysiske personen som behandler personopplysninger på vegne av Kunde, i henhold til instruksjoner fra Kunde og i samsvar med vilkårene i denne Avtalen.  

2.4. "SaaS-tjeneste" betyr den programvaren som tilbys av Databehandler som en tjeneste til Kunde, i henhold til avtalen mellom Partene.  

3. Omfang og formål

3.1. Databehandleren samtykker i å behandle personopplysninger på vegne av Kunde, kun i henhold til dokumenterte instruksjoner fra Kunde, med mindre annet er pålagt ved lov.  

3.2. Databehandleren skal behandle personopplysninger utelukkende for å utføre tjenestene som er angitt i SaaS-avtalen mellom Partene.  

3.3. Databehandleren skal ikke beholde, bruke, avsløre eller på annen måte behandle personopplysninger for andre formål enn de som er angitt i denne Avtalen, med mindre annet er avtalt skriftlig med Kunde.  

4. Behandling av personopplysninger

4.1. Databehandleren skal behandle personopplysninger i samsvar med gjeldende personvernlovgivning og i tråd med Kundes instruksjoner.  

4.2. Databehandleren skal implementere egnede tekniske og organisatoriske tiltak for å sikre et tilstrekkelig sikkerhetsnivå for personopplysningene, inkludert beskyttelse mot uautorisert eller ulovlig behandling og utilsiktet tap, ødeleggelse eller skade.  

4.3. Databehandleren skal begrense tilgangen til personopplysningene til de ansatte eller underleverandører som trenger tilgangen for å utføre tjenestene i henhold til avtalen mellom Partene, og som er underlagt taushetsplikt.  

4.4. Databehandleren skal informere Kunde uten unødig opphold hvis det oppstår en sikkerhetsbrudd som kan føre til uautorisert eller ulovlig behandling av personopplysninger. Databehandleren skal også samarbeide med Kunde for å håndtere og begrense konsekvensene av sikkerhetsbruddet.  

5. Underbehandlere

5.1. Databehandleren kan engasjere underbehandlere for å utføre spesifikke tjenester i henhold til avtalen mellom Partene.  

5.2. Databehandleren skal inngå skriftlige avtaler med underbehandlerne som legger de samme forpliktelsene på underbehandlerne som er angitt i denne Avtalen.

5.3. Databehandleren skal informere Kunde om eventuelle endringer i underbehandlere og gi Kunde en mulighet til å protestere på slike endringer innen rimelig tid. Hvis Kunde protesterer på en slik endring, skal Partene samarbeide for å finne en løsning.  

6. Overføring av personopplysninger

6.1. Databehandleren kan overføre personopplysninger til land utenfor det europeiske økonomiske samarbeidsområdet (EØS) bare hvis tilstrekkelige sikkerhetstiltak er på plass, for eksempel ved bruk av standard databeskyttelsesklausuler vedtatt av Europakommisjonen.  

6.2. Kunde gir herved Databehandler tillatelse til å overføre personopplysninger til slike land, forutsatt at de nødvendige sikkerhetstiltakene er implementert.  

7. Rettigheter til personopplysninger

7.1. Alle immaterielle rettigheter til personopplysninger som behandles av Databehandleren på vegne av Kunde, tilhører fortsatt Kunde.  

7.2. Databehandleren skal ikke utnytte personopplysningene til kommersielle formål eller for å utvikle eller forbedre egne tjenester, med mindre det er avtalt skriftlig med Kunde.  

8. Sikkerhetskrav

8.1. Databehandleren skal implementere egnede tekniske og organisatoriske tiltak for å sikre at behandlingen av personopplysninger oppfyller kravene til konfidensialitet, integritet og tilgjengelighet.  

8.2. Databehandleren skal opprettholde en sikkerhetspolicy og rutiner for å håndtere sikkerhetshendelser og risikostyring.  

8.3. Databehandleren skal gjennomføre nødvendige sikkerhetstiltak for å beskytte personopplysningene mot tap, tyveri eller uautorisert tilgang, inkludert passende kryptering, brannmur, sikkerhetssertifikater og tilgangskontroller.  

9. Rettigheter til innsyn, korrigering og sletting

9.1. Databehandleren skal bistå Kunde med å oppfylle Kundeforespørsler om innsyn, korrigering eller sletting av personopplysninger, i henhold til gjeldende personvernlovgivning.  

9.2. Databehandleren skal informere Kunde uten unødig opphold hvis det mottas en forespørsel fra en registrert person angående innsyn, korrigering eller sletting av personopplysninger. Databehandleren skal samarbeide med Kunde for å håndtere slike forespørsler på en rimelig og effektiv måte.

10. Varighet og avslutning av avtalen

10.1. Denne Avtalen trer i kraft på dato for signering og gjelder til avtalen mellom Partene utløper eller avsluttes.  

10.2. Ved avslutning eller utløp av avtalen skal Databehandleren, etter valg fra Kunde, enten slette eller returnere alle personopplysninger som er behandlet på vegne av Kunde, med mindre annet er pålagt ved lov.

11. Lovvalg og tvisteløsning

11.1. Denne Avtalen skal tolkes i samsvar med lovene i Norge, uten hensyn til lovkonflikter.  

11.2. Eventuelle tvister som oppstår i forbindelse med denne Avtalen, skal forsøkes løst ved forhandlinger mellom Partene. Dersom forhandlinger ikke fører til en løsning, skal tvisten bringes inn for domstolene i Oslo.  

‍

Vedlegg 1  

Beskrivelse av de forskjellige typene personopplysninger som skal behandles i henhold til denne avtalen  

a) Vanlige typer personopplysninger som:Kunde-, faktura- og betalingsinformasjon.

b) Sensitive personopplysninger (om noen): Med mindre angitt her av Databehandleren, skal ingen sensitive personopplysninger behandles. Behandlingsansvarlig skal sikre at det ikke blir mottatt sensitive personopplysninger ved instruksjoner til sine kunder.

Under-underdatabehandlere (Underdatabehandlerens underleverandører)  

• Google Inc, 1600 Amphitheatre Pkwy, Mountain View, CA 94043, United States  

Beskrivelse av Underdatabehandler behandling knyttet til personopplysninger‍

Følgende behandlingsaktiviteter dekkes av denne Avtalen:  

• Lesing, lagring og overføring av økonomiske data til Partners-systemet.  
• Lesing, lagring og overføring av data fra LOID til GCP.  

Begrensninger:  

Data skal kun brukes til overføring til partners systemer og relaterte nødvendige formål.  

Hvis Kunde krever et høyere sikkerhetsnivå i løsninger eller tiltak enn spesifisert av Databehandler, blir det underlagt forhandlinger mellom partene, og er underlagt endelig aksept av Databehandler og ekstra gebyrer.

Adgangskontroll og tilstrekkelige kontrollmekanismer

Databehandler skal utføre adekvate tekniske, fysiske og organisatoriske sikkerhetstiltak for å beskytte data regulert av denne Avtalen mot uautorisert tilgang, endring, sletting, skade, tap eller utilgjengelighet.  

Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene, og dokumentasjonen skal være tilgjengelig på forespørsel fra Kunde.  

Hvor ofte skal det gjøres en intern sikkerhetsrevisjon av Databehandlerens tjenester?

‍Databehandler utfører en årlig sikkerhetsrevisjon knyttet til sine tjenester.

‍Sted for lagring av personopplysninger‍

Databehandler lagrer personopplysninger på følgende sted: Google Cloud Platform (GCP)

‍

‍