Flat Preloader Icon

Databehandleravtale

  1. Avtalens hensikt 

Avtalens hensikt er å regulere rettigheter og plikter etter Lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) og forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften). Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende. 

Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.  

  

  1. Tjenester/ Formål
  1. Avtalen omfatter følgende tjenester 
  • Drift av servere 
  • Fillagring 
  • Backup-tjenester 
  • Support drift av software 
  • Microsoft 365 produkter: e-post, Word Excel med mer. 
  • Nettside og hosting av nettside 

  

Personlig informasjon som blir behandlet: 

  • Navn 
  • Adresse 
  • Telefonnummer 
  • E-postadresse 
  • Fødselsdato og fødselsnummer 
  • ID bilde 

  

  

  1. Databehandlers plikter

  

Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør. 

 Databehandler har ikke råderett over personopplysningene, og kan dermed heller ikke behandle disse til egne formål. 

  

  1. Bruk av underleverandør

Ved bruk av underleverandører så skal KUNDENAVN godkjenne dette. 

  

  1. Sikkerhet

Databehandler oppfyller de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningslovens §§ 13 – 15 med forskrifter.  

Avviksmelding etter personopplysningsforskriftens § 2-6 skjer ved at databehandler melder avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet. 

  

  1. Sikkerhetsrevisjoner

Det gjennomføres sikkerhetsrevisjoner løpende for systemer og lignende som omfattes av denne avtalen. Det er kvartalsvis gjennomgang av sikkerhetsrutiner, samt evaluering av eksisterende rutiner. 

 

Revisjon og tilsyn 

Behandlingsansvarlig har rett til å kreve dokumentasjon for databehandlers etterlevelse av sine forpliktelser etter denne avtalen og gjeldende personvernlovgivning. 

Behandlingsansvarlig kan, enten selv eller ved bruk av en uavhengig tredjepart, gjennomføre revisjon eller inspeksjon av databehandlers behandling av personopplysninger. Slike revisjoner skal varsles med minimum 10 virkedager og gjennomføres innen normal arbeidstid. Databehandler plikter å gi nødvendig tilgang til systemer, rutiner og dokumentasjon. 

Databehandler plikter å samarbeide og stille til rådighet all nødvendig informasjon for å muliggjøre revisjoner. 

  

  1. Avtalens varighet

Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig. 

Ved brudd på denne avtale eller personopplysningsloven kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning 

Avtalen kan sies opp av begge parter med en gjensidig frist på 3, jf. punkt 8 i denne avtalen.  

  

  1. Ved opphør

Ved opphør av denne avtalen plikter databehandler å tilbakelevere alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige og som omfattes av denne avtalen.  

  

Dersom ønskelig kan utskrift og kopi av alt innhold i databaser og lignende gis. Kostnader ved dette er i henhold til avtalt timespris 

Databehandler skal slette eller forsvarlig destruere alle dokumenter, data, disketter, cd-er mv, som inneholder opplysninger som omfattes av avtalen. Dette gjelder også for eventuelle sikkerhetskopier. 

  

Databehandler skal skriftlig dokumentere at sletting og/eller destruksjon er foretatt i henhold til avtalen innen 1 måned etter avtalens opphør. 

  

  1. Meddelelser

  

Meddelelser etter denne avtalen skal sendes skriftlig til: support@kamy.no 

  

  1. Lovvalg og verneting

  

Avtalen er underlagt norsk rett og partene vedtar Oslo tingrett som verneting. Dette gjelder også etter opphør av avtalen. 

  

  1. Overføring til tredjeland

Databehandler kan ikke overføre personopplysninger til land utenfor EU/EØS (tredjeland) eller til internasjonale organisasjoner, med mindre dette er godkjent skriftlig av behandlingsansvarlig. 

Dersom slik overføring er nødvendig og det foreligger gyldig behandlingsgrunnlag etter personvernforordningens kapittel V, skal databehandler sikre at overføringen skjer med tilstrekkelige garantier, for eksempel gjennom bruk av EU-kommisjonens standardavtaler (SCC), bindende virksomhetsregler (BCR), eller overføring til land som er godkjent av EU-kommisjonen som trygge tredjeland. 

Databehandler skal dokumentere overføringsgrunnlaget og gi behandlingsansvarlig tilgang til nødvendig dokumentasjon ved forespørsel.