Databehandler-
avtale
Mellom
Behandlingsansvarlig:
Kundenavn:
Org nr.:
Adresse:
Og
Databehandler:
Experience.live AS
Org nr: 925 977 659
Lørenveien 68, Oslo, Norge
Bakgrunn for avtalen
Denne avtalen beskriver rettighetene og forpliktelsene som gjelder når databehandler håndterer personopplysninger på vegne av behandlingsansvarlig.
Avtalen er utformet for å sikre overholdelse av artikkel 28 (2) og (3) i Europaparlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av enkeltpersoner i forbindelse med behandling av personopplysninger og om fri bevegelse av slike opplysninger og oppheving av direktiv 95/46/EF (personvernforordningen), som fastsetter spesifikke krav til innholdet i en databehandleravtale.
Behandlingen av personopplysninger av databehandler er for å utføre pågående oppgaver for vedlikehold og utvikling av Behandlingsansvarliges løsning og applikasjonen selv.
Databehandleravtalen og avtalen om å utføre pågående vedlikeholds- og utviklingsoppgaver på Behandlingsansvarliges løsning/applikasjon er avhengige av hverandre og kan ikke sies opp separat.
Databehandlerens Vedlegg A inkluderer detaljer om behandlingen, inkludert formålet og arten av behandlingen, typene personopplysninger, kategoriene av de registrerte, og varigheten av behandlingen.
Databehandlerens Vedlegg B inneholder databehandlerens vilkår for bruk av underleverandører, samt en liste over underleverandører godkjent av behandlingsansvarlig.
Databehandlerens Vedlegg C inneholder detaljerte instruksjoner for behandlingen utført av databehandler på vegne av behandlingsansvarlig (emnet for behandlingen), de minimale sikkerhetstiltakene som skal overholdes, og hvordan databehandler og eventuelle underleverandører vil bli overvåket.
Databehandleravtalen og dens vedlegg skal oppbevares skriftlig og/eller elektronisk av begge parter.
Denne databehandleravtalen fritar ikke databehandler fra forpliktelser som pålegges databehandler direkte av personvernloven eller annen lovgivning.
Databehandlers Forpliktelser og Rettigheter
Behandlingsansvarlig er ansvarlig for behandlingen av personopplysninger innenfor rammen av personvernloven.
Derfor har behandlingsansvarlig både rettigheter og plikter til å ta beslutninger om formålene og midlene for behandlingen som kreves.
Behandlingsansvarlig er blant annet ansvarlig for at det finnes et rettslig grunnlag for databehandlingen instruert av databehandler.
Databehandler Handler i Henhold til Instruksjoner
Databehandler kan kun behandle personopplysninger i henhold til dokumenterte instruksjoner fra behandlingsansvarlig, med mindre det kreves av EU-direktiver eller nasjonal lovgivning i medlemslandene som databehandler er underlagt; i så fall skal databehandler informere behandlingsansvarlig om dette lovkravet før behandlingen, med mindre slik melding er forbudt av viktige samfunnsinteresser, i henhold til artikkel 28 (2)(3)(a).
Databehandler skal umiddelbart informere behandlingsansvarlig hvis en instruksjon, etter databehandlerens mening, er i strid med personvernforordningen eller andre personvernregler i EU-lovgivningen eller nasjonal lovgivning.
Konfidensialitet
Databehandler sikrer at kun autoriserte personer har tilgang til personopplysningene som behandles på vegne av behandlingsansvarlig. Tilgangen til dataene må derfor umiddelbart lukkes hvis autorisasjonen tilbakekalles eller utløper.
Kun personer som er autorisert til å få tilgang til personopplysningene kan autoriseres til å oppfylle databehandlers forpliktelser overfor behandlingsansvarlig.
Databehandler sikrer at personer som er autorisert til å behandle personopplysninger på vegne av behandlingsansvarlig har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt.
På forespørsel fra behandlingsansvarlig kan databehandler dokumentere at de relevante ansatte er underlagt den nevnte taushetsplikten.
Behandlingssikkerhet
Behandlingsansvarlig skal, i samråd med databehandler, sikre at de nødvendige tiltakene som kreves under artikkel 32 blir implementert. Dette inkluderer at behandlingsansvarlig, i samråd med databehandler, må gjennomføre en risikovurdering og deretter iverksette tiltak for å håndtere identifiserte risikoer.
Disse tiltakene kan inkludere, blant annet:
Pseudonymisering og kryptering av personopplysninger
Evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet av behandlingssystemer og tjenester
Evne til å gjenopprette tilgjengelighet og tilgang til personopplysninger i rett tid i tilfelle en fysisk eller teknisk hendelse
En prosedyre for regelmessig testing, vurdering og evaluering av effektiviteten av tekniske og organisatoriske tiltak for å sikre sikkerheten til behandlingen
Pseudonymisering og kryptering av personopplysninger
Basert på det ovennevnte, må databehandler - i alle tilfeller - implementere sikkerhetsnivået og tiltakene spesifisert i Vedlegg C til denne avtalen.
Bruk av Underleverandører
Databehandler skal overholde betingelsene fastsatt i artikkel 28 (1)(2) og (4).
Databehandler kan ikke bruke en annen databehandler (underleverandører) for å oppfylle databehandleravtalen uten forhåndsgodkjenning fra behandlingsansvarlig.
Databehandler skal varsle behandlingsansvarlig om planlagte endringer angående tillegg eller utskifting av underleverandører, og dermed gi behandlingsansvarlig muligheten til å motsette seg slike endringer.
Databehandlers vilkår for bruk av underleverandører finnes i Vedlegg B til denne avtalen.
Databehandlers godkjente underleverandører er oppført i Vedlegg B til denne avtalen.
Når databehandler har autorisasjon til å bruke en underleverandør, skal databehandler sikre at underleverandøren utfører de nødvendige tekniske og organisatoriske tiltakene på en slik måte at behandlingen oppfyller kravene i personvernforordningen.
Databehandler skal pålegge enhver underleverandør de forpliktelsene som databehandler er underlagt i henhold til personvernreglene og denne databehandleravtalen med vedleggene.
Leverandør, skal databehandler sikre at underleverandøren utfører de nødvendige tekniske og organisatoriske tiltakene på en slik måte at behandlingen oppfyller kravene i personvernforordningen.
Databehandler skal pålegge enhver underleverandør de forpliktelsene som databehandler er underlagt i henhold til personvernreglene og denne databehandleravtalen med vedleggene.
Behandlingen har følgende varighet:
Databehandlers behandling av personopplysninger på vegne av behandlingsansvarlig kan starte etter avtalens ikrafttredelse. Behandlingen er ikke tidsbegrenset og varer til avtalen avsluttes av en av partene.
Vedlegg B:
Vilkår for Databehandlers Bruk av Underleverandører og Liste over Underleverandører
Vilkår for Databehandlers Bruk av Underleverandører:
Databehandler kan kun bruke en underleverandør etter forhåndsgodkjenning fra behandlingsansvarlig. Databehandlers forespørsel må gis til behandlingsansvarlig minst 1 uke før søknaden eller endringen trer i kraft. Behandlingsansvarlig kan kun nekte godkjenning hvis behandlingsansvarlig har rimelige, konkrete grunner for dette.
Godkjente Underleverandører:
Ved ikrafttredelse av databehandleravtalen har behandlingsansvarlig godkjent bruk av følgende underleverandører for spesifikke oppgaver:
| Navn |
Beskrivelse |
Ansvarlig |
| Teletopia |
SMS-utsendelser |
Experience.live |
| Mailgun |
E-postutsendelser |
Experience.live |
| Google Cloud |
Serveroppsett |
Experience.live |
| Firebase |
Push-varsler |
Experience.live |
| Google Bigquery |
Statistikk |
Experience.live |
| Google Analytics |
Analyse |
Experience.live |
| Datadog |
Serverovervåking, optimalisering |
Experience.live |
| Grafana |
Serverovervåking |
Experience.live |
| Google |
Autentisering |
Experience.live |
| NetsEasy |
Betalingsløsning |
Experience.live / Kunde |
| Mnemonic |
Sikkerhetstester |
Experience.live / Kunde |
| Apple |
App-distributør, autentisering og testflight |
Experience.live |
| Google Play Store |
App-distributør |
Experience.live |
| Facebook |
Autentisering |
Experience.live |
| |
|
|
| |
|
|
Vedlegg C:
Instruksjoner for Behandling av Personopplysninger
Element av Behandling / Instruksjon:
Databehandlers behandling av personopplysninger på vegne av behandlingsansvarlig utføres ved at databehandler utfører følgende:
-
Sørge for brukerregistrering i appen
-
Verifisere at brukeren tilhører riktig billett- og medlemskategori
-
Sørge for at brukeren kan logge inn på sin personlige konto
-
Gi en personlig og skreddersydd brukeropplevelse, basert på brukerpreferanser, navigering og datainnsamling
-
Sørge for at brukeren kan bestille/kjøpe tilgang til fasilitetene
-
Sørge for at brukeren får riktig størrelse på utstyr
Behandlingssikkerhet:
Databehandler er berettiget og forpliktet til å ta beslutninger om de tekniske og organisatoriske sikkerhetstiltakene som skal brukes for å skape det nødvendige (og avtalte) sikkerhetsnivået rundt informasjonen.
Lagringsperiode / Slettingsrutine:
Personopplysninger lagres hos databehandler til behandlingsansvarlig ber om at dataene slettes eller returneres.
Sted for Behandling:
Behandling av personopplysninger i avtalen kan ikke gjøres uten behandlingsansvarliges forhåndsskrevne samtykke på andre steder enn følgende:
- Google Cloud - Saint-Ghislain, Belgia 50°28′09.6″N 3°51′55.7″E
Sist redigert: 10. mai 2024
|
