Databehandleravtale
Denne databehandleravtalen skal sørge for at både behandlingsansvarlig (kunde) og databehandler (Jobbkort AS med organisasjonsnummer 915 376 215 MVA) forstår sine forpliktelser og sitt ansvar ved behandling av personopplysninger.
Databehandleravtalen vil utgjøre en del av og regulere all behandling av personopplysninger i tilknytning til avtalevilkårene mellom partene.
1. Definisjoner
Personopplysninger: Enhver opplysning om en identifisert eller identifiserbar fysisk person.
Behandling: Aktivitet/er som gjøres med personopplysninger. Eksempler på aktiviteter kan være; innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, bruk, tilgjenliggjøring, utlevering, overføring, spredning, sammenstilling eller samkjøring, begrensning og/eller sletting.
Registrert: En fysisk person hvor personopplysninger behandles. Eksempler kan være en innehaver av personlig selskap, ansatt, kontaktperson og lignende.
Behandlingsansvarlig: Heretter kalt kunde. Person eller virksomhet som bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes.
Databehandler: Heretter kalt Jobbkort. Virksomhet som har fått i oppgave å behandle personopplysninger på vegne av kunde.
Behandlingsgrunnlag: En grunnleggende forutsetning for at behandling av personopplysninger skal være lovlig, er at den bygger på et behandlingsgrunnlag. Dette kan etter personvernforordningen artikkel 6 være blant annet ulike nødvendighetsgrunner, herunder at behandlingen er nødvendig for å overholde lover og regler, gjennomføre en avtale den registrerte er part i, eller at behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av kunde eller en tredjepart.
Det er kunde selv som må vurdere om den har behandlingsgrunnlag i hvert enkelt tilfelle, f.eks. om man omfattes av lover og regler som gjør det nødvendig å behandle personopplysninger.
2. Bakgrunn
Jobbkort behandler personopplysninger på vegne av kunde på bakgrunn som følger ovenfor.
Avtalens hensikt er å regulere rettigheter og plikter etter Lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) og forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften). I tillegg regulerer avtalen Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, samt om oppheving av direktiv 95/46/EF (i det følgende samlet omtalt som «personvernlovgivningen»).
Jobbkort skal behandle personopplysninger på den måten som er beskrevet i denne avtalen, samt på annen måte dersom dette er skriftlig avtalt mellom Jobbkort og kunde.
Begreper og definisjoner benyttet i avtalen skal forstås på samme måte som i personvernlovgivningen.
3. Formål, behandlingens art og typer personopplysninger som behandles
Jobbkort er databehandler og leverer konsulenttjenester for bistand med bestilling og fornyelse av HMS-kort der virksomheter og kontaktpersoner må registrere personopplysninger. Jobbkort sin behandling av personopplysninger er gjort/gjøres for å kunne oppfylle bestillings- og kjøpsvilkårene som aksepteres ved bestilling.
Hvilke opplysninger som registreres og behandles kan ses her og her.
Personopplysninger som kunde kan/må registrere ved bestilling består blant annet av personnummer, navn, adresse, e-postadresse, legitimasjon og foto.
4. Kunde sine rettigheter og plikter
Kunde er ansvarlig for at personopplysninger blir behandlet i samsvar med personvernforordningen og personopplysningsloven (jf. artikkel 24).
Kunde har både rett og forpliktelse til å bestemme hvilke formål, og hvilke hjelpemidler som kan brukes i behandlingen (jf. artikkel 4 nr. 7).
Kunde gir gjennom denne avtalen og avtalevilkårene Jobbkort dokumenterte instrukser for hvordan personopplysninger skal behandles (jf. artikkel 28 nr. 3 bokstav a).
Kunde har rett til å si opp avtalen dersom Jobbkort ikke lenger oppfyller lovens krav etter artikkel 28 nr. 1.
5. Jobbkort sine plikter
Jobbkort bekrefter at det vil gjennomføres tekniske og organisatoriske tiltak som sikrer at all behandling under denne avtalen oppfyller kravene i personvernlovgivningen og vern av den registrertes rettigheter, herunder innfrir alle kravene etter personvernforordningens artikkel 32.
Jobbkort skal bare behandle personopplysningene basert på dokumenterte instrukser fra kunde. Jobbkort skal til enhver tid kunne dokumentere slike instrukser. Jobbkort skal ikke behandle personopplysninger som det er tilgang til på annen måte enn det som er nødvendig for å utføre de oppdrag som Jobbkort har for kunde.
Avhengig av anmodningens innhold og den informasjonen som er tilgjengelig for Jobbkort, skal Jobbkort bistå med å svare på anmodninger fra den registrerte. Dette gjelder både anmodninger fra de registrerte om å utøve sine rettigheter samt bistå kunde med å sikre overholdelse av forpliktelsene knyttet til personopplysningssikkerhet. Tilsvarende gjelder ved vurdering av personvernkonsekvenser og forhåndsdrøftinger i personvernforordningens artikkel 32 til 36, hensyntatt den informasjonen som er tilgjengelig for Jobbkort.
Jobbkort skal føre protokoll (logg) over behandlingsaktiviteter som utføres på vegne av kunde, som skal inneholde minimum den informasjon som er pålagt etter personvernforordningen artikkel 30. kunde kan til enhver tid kreve oversendt kopi av slik protokoll.
Jobbkort skal tilgjengeliggjøre for kunde all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i punkt 3 er oppfylt, samt muliggjøre og bidra til revisjoner, herunder inspeksjoner, som gjennomføres av kunde. Dette omfatter også å gi tilgang til sikkerhetsdokumentasjon. Kunde har selv ansvar overfor tilsynsmyndigheter.
Jobbkort, dens ansatte og underleverandører har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør.
Jobbkort skal ikke utlevere opplysninger eller informasjon som behandles for kunde til tredjepart uten eksplisitt pålegg fra kunde.
Er Jobbkort av den oppfatning at en instruks fra kunde er i strid med personvernlovgivningen eller annen lovgivning, skal Jobbkort umiddelbart underrette kunde om sin oppfatning av dette.
6. Sikkerhet og avvik
Databehandler skal kunne vise til rutiner og andre tiltak for å oppfylle krav til sikkerhetstiltak som stilles etter personopplysningslovgivningen. Dokumentasjonen skal tilgjengeliggjøres etter kunde sin forespørsel.
Dersom det oppdages sikkerhets- eller personvernbrudd, skal Jobbkort varsle kunde uten ugrunnet opphold.
Det er kunde som er ansvarlig for at avviksmelding sendes til Datatilsynet.
7. Overføring til utlandet
Personopplysninger skal kun overføres til land utenfor EU/EØS (tredjeland) etter skriftlig instruks fra kunde. Jobbkort skal ikke overføre eller la personer i tredjeland på noen måte få tilgang til personopplysninger uten at kunde har eksplisitt godkjent dette skriftlig og gitt instruks om overføring eller tilgang på forhånd. Samtykke og instruks må dekke hvilke land opplysningene skal kunne overføres til. Overføring til tredjeland forutsetter, selv med samtykke og instruks, at de krav til sikkerhet og vern av de registrertes rettigheter som følger av personvernlovgivningen er ivaretatt.
8. Avtalens varighet
Behandlingen som er gjeldende i denne avtalen er ikke tidsbegrenset og varer inntil hovedavtalen skriftlig sies opp av en av partene, eller ved brudd på til enhver tid gjeldende lov.
Ved brudd på avtalen eller gjeldende lover kan kunde stoppe den videre behandlingen av personopplysningene med umiddelbar virkning.
Ved opphør av avtalen må kunde spesifikt gi beskjed om at data skal hentes/overføres eller slettes før avtalen termineres. Data lagres da hos kunde, som selv påtar seg det totale ansvar for datasikkerheten.
Ved opphør av avtalevilkårene og databehandleravtalen plikter Jobbkort etter kunde sin skriftlige instruksjon å slette alle personopplysninger som er registrert og også eventuelle sikkerhetskopier, med mindre det er et lovmessig krav om at personopplysningene fortsatt skal lagres. Kunde har det fulle ansvaret for å be om sletting og bekreftelse på at sletting er gjennomført.
Ved oppsigelse gjelder hovedavtalen som en generell avtale for bruk av tjenestene.
9. Lovvalg og verneting
Tvister om denne avtalen, samt tvister som angår de omtalte og derav følgende rettsforhold, hører inn under de ordinære domstoler, med Jobbkort til enhver tids gjeldende forretningsadresse som avgjørende for valg av verneting.
10. Personvernerklæring
Jobbkort AS er forpliktet til å behandle personopplysninger på en forsvarlig måte og i henhold til Datatilsynet og GDPR.
11. Kommunikasjon
Kunde og Jobbkort er enige om at kommunikasjon og utleveringer iht denne avtale gjøres elektronisk på e-post.