Data processor

Data processor

Plaii Data processor


Last updated 16.04.2023

Databehandleravtale mellom Plaii AS og kundene

Bakgrunn

Denne databehandleravtalen ("avtalen") er inngått mellom Plaii AS, organisasjonsnummer 929705920 ("databehandleren") og kunden ("behandlingsansvarlig"). Avtalen regulerer databehandlerens behandling av personopplysninger på vegne av behandlingsansvarlig i forbindelse med levering av tjenester fra Plaii AS.

Definisjoner

I denne avtalen har følgende begreper følgende betydning:

a) "Personopplysninger": All informasjon som kan knyttes til en identifisert eller identifiserbar fysisk person, som navn, adresse, telefonnummer, e-postadresse, IP-adresse, personnummer, helseopplysninger og lignende.

b) "Behandling": Enhver operasjon eller rekke av operasjoner som utføres på personopplysninger, enten automatisk eller manuelt, inkludert innsamling, registrering, lagring, tilpasning, endring, gjenfinning, bruk, overføring og sletting av personopplysninger.

c) "Databehandler": En tredjepart som behandler personopplysninger på vegne av en behandlingsansvarlig.

d) "Behandlingsansvarlig": En fysisk eller juridisk person som bestemmer formålet med behandlingen av personopplysninger og hvilke metoder som skal brukes.

Formål

Databehandleren skal behandle personopplysninger på vegne av behandlingsansvarlig for å utføre avtalt tjeneste, som for eksempel levere en nettskytjeneste eller annen programvare.

Behandling av personopplysninger

a) Databehandleren skal behandle personopplysninger i henhold til behandlingsansvarligs instruksjoner og kun i den grad som er nødvendig for å utføre avtalt tjeneste.

b) Databehandleren skal sørge for tilstrekkelige tekniske og organisatoriske tiltak for å sikre at personopplysninger behandles sikkert og beskyttes mot uautorisert tilgang eller bruk.

c) Databehandleren skal ikke overføre personopplysninger til tredjeparter uten behandlingsansvarligs forhåndssamtykke, med mindre det er pålagt ved lov.

d) Databehandleren skal ikke bruke personopplysninger til andre formål enn det som er avtalt med behandlingsansvarlig.

e) Databehandleren skal umiddelbart varsle behandlingsansvarlig dersom de mottar en forespørsel om tilgang til eller retting av personopplysninger fra en registrert person.

f) Databehandleren skal sørge for at alle ansatte eller underdatabehandlere som behandler personopplysninger i forbindelse med tjenesten, er pålagt å opprettholde taushetsplikt og har tilstrekkelig opplæring om personvern.

Sikkerhetstiltak

Databehandleren skal implementere passende tekniske og organisatoriske tiltak for å sikre en tilstrekkelig beskyttelse av personopplysningene i samsvar med personvernreguleringene. Dette inkluderer, men er ikke begrenset til:

a) Tilgangskontroll: Databehandleren skal sørge for at det er begrensede og kontrollerte tilganger til personopplysninger, og at tilgangene er begrenset til ansatte eller underdatabehandlere som trenger tilgang for å utføre sine oppgaver.

b) Kryptering: Databehandleren skal kryptere kritiske personopplysninger under overføring og lagring, med mindre annet er avtalt med behandlingsansvarlig.

c) Sletting: Databehandleren skal slette personopplysningene når de ikke lenger er nødvendige for å utføre avtalt tjeneste eller når avtalen er avsluttet.

d) Logging og overvåking: Databehandleren skal føre en logg over all behandling av personopplysninger og overvåke at de tekniske og organisatoriske tiltakene fungerer som forutsatt.

e) Risikovurderinger: Databehandleren skal utføre risikovurderinger med jevne mellomrom for å identifisere potensielle risikoer for personopplysningene og iverksette tiltak for å redusere risikoen.

Underdatabehandlere

Databehandleren kan benytte seg av underdatabehandlere til å behandle personopplysninger på vegne av behandlingsansvarlig. Databehandleren skal inngå en avtale med underdatabehandlerne som er i tråd med kravene i personvernreguleringene, og skal sørge for at underdatabehandlerne overholder databehandlerens instruksjoner og sikkerhetskravene i denne avtalen.

Varsling

Dersom databehandleren blir klar over en sikkerhetsbrist som kan føre til uautorisert tilgang til eller ødeleggelse, tap eller endring av personopplysninger, skal databehandleren varsle behandlingsansvarlig om dette så snart som mulig og senest innen 48 timer etter at sikkerhetsbristen ble oppdaget.

Behandlingsansvarligs plikter

a) Behandlingsansvarlig skal påse at personopplysningene som overføres til databehandleren er i samsvar med personvernreguleringene.

b) Behandlingsansvarlig skal gi databehandleren alle nødvendige opplysninger og instruksjoner som er nødvendige for å utføre tjenesten.

c) Behandlingsansvarlig skal overholde alle sine forpliktelser i henhold til personvernreguleringene.

Oppsigelse og sletting av personopplysninger

a) Behandlingsansvarlig kan når som helst si opp avtalen dersom databehandleren bryter avtalen eller overtrer personvernreguleringene.

b) Ved avslutning av avtalen skal databehandleren slette eller returnere alle personopplysningene til behandlingsansvarlig, med mindre det er lovpålagt å beholde dem.

c) Databehandleren skal bekrefte skriftlig at personopplysningene er slettet, med mindre dette er umulig eller krever uforholdsmessig mye arbeid.

Endringer i avtalen

Endringer i avtalen må skje skriftlig og signeres av begge parter.

Lovvalg og verneting

Avtalen skal tolkes og håndheves i samsvar med norsk rett. Enhver tvist mellom behandlingsansvarlig og databehandleren skal søkes løst i minnelighet. Hvis partene ikke lykkes med å løse tvisten på denne måten, skal tvisten bringes inn for Oslo tingrett som eneforhandler med verneting i Oslo.

Fortrolighet

Databehandleren og eventuelle underdatabehandlere skal behandle all informasjon som er mottatt fra behandlingsansvarlig konfidensielt og ikke utlevere slik informasjon til tredjeparter uten behandlingsansvarligs skriftlige samtykke, med mindre dette kreves ved lov.

Ansvar

Databehandleren skal holde behandlingsansvarlig skadesløs og dekke eventuelle krav, kostnader og erstatninger som måtte oppstå som følge av databehandlerens brudd på avtalen eller personvernreguleringene.

Varighet

Avtalen gjelder så lenge databehandleren behandler personopplysninger på vegne av behandlingsansvarlig, og oppsigelsesfristen er 30 dager.