Databehandleravtale
Denne databehandleravtalen skal sørge for at både behandlingsansvarlig (Kunde/Kunden) og databehandler (Jobbkort AS med organisasjonsnummer 915 376 215 MVA) forstår sine forpliktelser og sitt ansvar ved behandling av personopplysninger.
Databehandleravtalen vil utgjøre en del av og regulere all behandling av personopplysninger i tilknytning til bestillings- og avtalevilkår gjeldende for levering av Jobbkorts tjenester til Kunden.
Jobbkort forbeholder seg retten til å oppdatere og endre denne databehandleravtalen når som helst. Den gjeldende versjonen vil til enhver tid være tilgjengelig på Jobbkorts nettside, med en oversikt over tidligere endringer. Ved endringer i databehandleravtalen som medfører en vesentlig endring i Kundens personvernrutiner, skal Kunden varsles per e-post senest 30 dager før endringene trer i kraft.
Gyldig fra 20.12.2023
Årsak til endring: Omstrukturering og endring for å kunne gjelde flere tjenester.
1. Definisjoner
Personopplysninger: Enhver opplysning om en identifisert eller identifiserbar fysisk person.
Behandling: Aktivitet(er) som gjøres med personopplysninger. Eksempler på aktiviteter kan være; innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, bruk, tilgjengeliggjøring, utlevering, overføring, spredning, sammenstilling eller samkjøring, begrensning og/eller sletting.
Registrert: En fysisk person hvis personopplysninger behandles. Eksempler kan være en innehaver av personlig selskap, ansatt, kontaktperson og lignende.
Behandlingsansvarlig: Heretter kalt Kunde/Kunden. Person eller virksomhet som bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes.
Databehandler: Heretter kalt Jobbkort. Virksomhet som har fått i oppgave å behandle personopplysninger på vegne av Kunden.
Behandlingsgrunnlag: En grunnleggende forutsetning for at behandling av personopplysninger skal være lovlig, er at den bygger på et behandlingsgrunnlag. Behandlingen kan etter personvernforordningen artikkel 6 blant annet utføres på bakgrunn av ulike nødvendighetsgrunner, herunder at behandlingen er nødvendig for å overholde lover og regler, gjennomføre en avtale den registrerte er part i, eller at behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av Kunden eller en tredjepart.
Det er Kunden selv som må vurdere om og dokumentere at det foreligger et gyldig behandlingsgrunnlag i hvert enkelt tilfelle, f.eks. om man omfattes av lover og regler som gjør det nødvendig å behandle personopplysninger.
Underleverandør: En tredjepart engasjert av Jobbkort til å utføre behandlingsaktiviteter på vegne av Jobbkort som innebærer behandling av Kundens personopplysninger.
2. Bakgrunn
Jobbkort behandler personopplysninger på vegne av Kunden på bakgrunn av levering av de tjenester som er fastsatt i gjeldende avtalevilkår mellom Kunde og Jobbkort.
Databehandleravtalens hensikt er å regulere rettigheter og plikter etter Lov av 15.juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven) og Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, samt om oppheving av direktiv 95/46/EF (personvernforordningen), samlet omtalt som «personvernregelverket».
Jobbkort skal behandle personopplysninger på den måten som er beskrevet i denne databehandleravtalen, samt på annen måte dersom dette er skriftlig avtalt mellom Jobbkort og Kunden.
Begreper og definisjoner benyttet i avtalen skal forstås på samme måte som i personvernregelverket.
3. Formål, behandlingens art og typer personopplysninger som behandles
I forbindelse med levering av alle tjenester vil Jobbkort behandle navn og kontaktinfo til kontaktperson, samt fakturaopplysninger. Jobbkort sin behandling av personopplysninger utføres for å kunne oppfylle bestillings- og kjøpsvilkårene som aksepteres ved bestilling av Jobbkorts tjenester.
Jobbkort er databehandler og leverer nettjenester og/eller konsulenttjenester ved bestilling og/eller bruk av Jobbkorts tjenester. Hvilke personopplysninger Jobbkort behandler på vegne av Kunden vil variere ut ifra hvilke tjenester Jobbkort skal levere. I forbindelse med levering av de ulike tjenestene vil Jobbkort behandle bl.a. personnummer/D-nummer, passbilder, samt øvrige personopplysninger som legges inn i den løsningen Jobbkort leverer til Kunden. Omfanget av og hvilke personopplysninger Jobbkort behandler på vegne av Kunden vil variere i henhold til valgte spesifikasjoner i Jobbkorts løsninger, og i henhold til hvordan og i hvor stort omfang løsningene brukes.
Jobbkort sin behandling av personopplysninger utføres for å kunne oppfylle de til enhver tid gjeldende bestillings- og avtalevilkår som Kunden aksepterer ved bestilling av Jobbkorts tjenester.
4. Kundens rettigheter og plikter
Kunden er ansvarlig for at personopplysninger blir behandlet i samsvar med personvernregelverket (jf. Personvernforordningens art. 24). Kunden skal i den forbindelse særskilt sørge for at:
- Behandlingen har et fastsatt formål, og er basert på et gyldig behandlingsgrunnlag.
- De registrerte har mottatt nødvendig informasjon om behandlingen av deres personopplysninger
- At de er gjennomført tilstrekkelige risikovurderinger
Kunden gir Jobbkort gjennom denne databehandleravtalen og aksepterte bestillings- og avtalevilkår for valgt tjeneste dokumenterte instrukser for hvordan personopplysninger skal behandles (jf. Personvernforordningens art. 28 nr. 3 bokstav a).
Kunden har rett til å si opp avtalen dersom det kan dokumenteres at Jobbkort ikke lenger oppfyller lovens krav etter Personvernforordningens art. 28 nr. 1.
5. Jobbkort sine plikter
Jobbkort bekrefter at det vil gjennomføres tekniske og organisatoriske tiltak som sikrer at all behandling under denne avtalen oppfyller kravene i personvernregelverket og vern av den registrertes rettigheter, herunder innfrir alle kravene etter personvernforordningens art. 32.
Jobbkort skal bare behandle personopplysningene basert på dokumenterte instrukser fra Kunden. Jobbkort skal til enhver tid kunne dokumentere slike instrukser. Jobbkort skal ikke behandle personopplysninger på annen måte enn det som er nødvendig for å utføre de oppdrag som Jobbkort har for Kunden.
Avhengig av anmodningens innhold og den informasjonen som er tilgjengelig for Jobbkort på det tidspunkt anmodningen mottas, skal Jobbkort bistå med å svare på anmodninger fra den registrerte. Dette gjelder både anmodninger fra de registrerte om å utøve sine rettigheter, samt anmodninger fra Kunden om å sikre overholdelse av forpliktelsene knyttet til personopplysningssikkerhet. Tilsvarende gjelder ved bistand i forbindelse med gjennomføring av personvernkonsekvensvurderinger (DPIA) og bistand ved varsling til Datatilsynet etter personvernforordningens art. 32 til 36, hensyntatt den informasjonen som er tilgjengelig for Jobbkort på tidspunkt for anmodningen.
Jobbkort skal føre protokoll over behandlingsaktiviteter som utføres på vegne av Kunden, som skal inneholde minimum den informasjon som er pålagt etter personvernforordningen art. 30. Kunden kan til enhver tid kreve oversendt kopi av slik protokoll.
Jobbkort skal tilgjengeliggjøre for Kunden all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i denne databehandleravtale er oppfylt, samt muliggjøre og bidra til revisjoner, herunder inspeksjoner, som gjennomføres av Kunden eller av tredjepart engasjert av Kunden. Dette omfatter også å gi tilgang til sikkerhetsdokumentasjon. I den grad det er nødvendig for å beskytte forretningshemmeligheter eller annen konfidensiell informasjon, inkludert personopplysninger, kan
Jobbkort sladde tekst i etterspurt dokumentasjon før kopien deles. Kunden har selv ansvar overfor relevante tilsynsmyndigheter.
Jobbkort, dens ansatte og underleverandører har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til gjennom denne avtalen. Denne bestemmelsen gjelder også̊ etter avtalens opphør.
Jobbkort skal ikke utlevere opplysninger eller informasjon som behandles for Kunden til tredjepart uten eksplisitt pålegg fra Kunden.
Er Jobbkort av den oppfatning at en instruks fra Kunden er i strid med personvernregelverket eller annen lovgivning, skal Jobbkort umiddelbart underrette Kunden om sin oppfatning av dette.
6. Sikkerhet og avvik
Jobbkort skal kunne vise til rutiner og andre tiltak som ligger til grunn for oppfyllelse av krav til sikkerhetstiltak som stilles etter personopplysningslovgivningen. Dokumentasjonen skal tilgjengeliggjøres på bakgrunn av forespørsel fra Kunden. I den grad det er nødvendig for å beskytte forretningshemmeligheter eller annen konfidensiell informasjon, inkludert personopplysninger, kan
Jobbkort sladde tekst i etterspurt dokumentasjon før kopien deles.
Dersom det oppdages sikkerhets- eller personvernbrudd som kan ha påvirket Jobbkorts behandling av personopplysninger på vegne av Kunden, skal Jobbkort varsle Kunden uten ugrunnet opphold.
Det er Kunden som er ansvarlig for oversendelse av eventuelle avviksmeldinger til Datatilsynet etter Personvernforordningens art. 33.
7. Bruk av underleverandører
Kunden erkjenner og samtykker i at Jobbkort kan engasjere de autoriserte underleverandører som er oppført i listen over godkjente underleverandører.
Jobbkort skal oppfylle kravene som er spesifisert i personvernforordningens art. 28 nr. 2 og 4 ved engasjering av underleverandører. Jobbkort har Kundens generelle godkjenning for å engasjere nye underleverandører som de anser som nødvendige for å kunne levere tjenestene. Listen over underleverandører (se lenke over) kan oppdateres av Jobbkort fra tid til annen. Det er Kundens ansvar å sjekke listen for oppdateringer.
Minst ti (10) dager før nye underleverandører engasjeres, vil den nye underleverandøren bli lagt til listen over underleverandører. Kunden kan motsette seg engasjering av nye underleverandører ved å informere Jobbkort innen utløpet av denne ti (10) dagers perioden, forutsatt at innvendingen er skriftlig og basert på rimelige grunner med hensyn til personvern. Dersom Kunden ikke protesterer skriftlig innen periodens utløp, anses Kunden å ha akseptert endringene.
Jobbkort skal sørge for at alle underleverandører er bundet av de samme forpliktelser som angitt i denne databehandleravtalen. Jobbkort skal derfor sikre at underleverandører bare behandler personopplysninger i samsvar med vilkårene i denne databehandleravtale og behandler data i større grad enn nødvendig for å oppfylle tjenesten overfor databehandler.
Dersom Jobbkorts bruk av underleverandører medfører at personopplysninger overføres til land eller internasjonale organisasjoner utenfor EU/EØS skal overføringen være i tråd med de krav som stilles av personvernforordningens kap. V (artikkel 44 flg.). Overføring omfatter også det å gi tilgang til personopplysninger.
Jobbkort er fullt ansvarlig overfor Kunden for eventuelle brudd fra underleverandører på kravene i denne databehandleravtalen. Kunden kan pålegge Jobbkort å umiddelbart stoppe bruken av en underleverandør som kan påvises å ha handlet i strid med sine kontraktsmessige forpliktelser og/eller gjeldende personvernlovgivning.
Ved avslutning av denne databehandleravtalen skal Jobbkort sørge for at underleverandører oppfyller, på samme måte som Jobbkort, forpliktelsen til å slette eller forsvarlig ødelegge alle personopplysninger, inkludert sikkerhetskopier, som angitt i punkt 9.
8. Overføring til utlandet
Personopplysninger skal kun overføres til land utenfor EU/EØS (tredjeland) etter skriftlig instruks fra Kunden. Jobbkort skal ikke overføre eller la personer i tredjeland på noen måte få tilgang til personopplysninger uten at Kunden har eksplisitt godkjent dette skriftlig og gitt instruks om overføring eller tilgang på forhånd. Samtykke og instruks må dekke hvilke land opplysningene skal kunne overføres til. Overføring til tredjeland forutsetter, selv med samtykke og instruks, at de krav til sikkerhet og vern av de registrertes rettigheter som følger av personvernregelverket er ivaretatt, herunder at det foreligger gyldig overføringsgrunnlag etter personvernforordningens kap. V.
9. Avtalens varighet
Behandlingen som denne databehandleravtalen regulerer er ikke tidsbegrenset og behandlingen varer inntil bestillings- og avtalevilkårene skriftlig sies opp av en av partene, Jobbkort ikke lenger leverer tjenestene under bestillings- og avtalevilkårene til Kunden, eller ved påvist brudd på det til enhver tid gjeldende personvernregelverk.
Ved mistanke om brudd på avtalen eller gjeldende personvernregelverk kan Kunden be om å få stanset den videre behandlingen av personopplysningene med umiddelbar virkning.
Før opphør av avtalen må Kunden spesifikt gi beskjed dersom data skal hentes/overføres eller slettes før avtalen termineres. Data som overføres før avtalens opphør lagres da hos kunde, som selv påtar seg det fulle ansvar for sikkerheten.
Ved opphør av bestillings- og avtalevilkår for Kundens valgte tjenester og medfølgende databehandleravtale plikter Jobbkort etter Kundens skriftlige instruksjon å slette alle personopplysninger som er registrert, inkludert eventuelle sikkerhetskopier, med mindre Jobbkort er underlagt lovmessige krav om at personopplysningene fortsatt skal lagres. I slike tilfeller er Jobbkort å regne som behandlingsansvarlig. Kunden har det fulle ansvaret for å be om sletting og bekreftelse på at sletting er gjennomført.
Ved oppsigelse gjelder bestillings- og avtalevilkårene mellom Jobbkort og Kunden som en generell avtale for bruk av tjenestene.
10. Lovvalg og verneting
Denne avtalen er underlagt norsk rett. Tvister om denne avtalen, samt tvister som angår de omtalte og derav følgende rettsforhold, hører inn under de ordinære domstoler, med Jobbkort til enhver tids gjeldende forretningsadresse som avgjørende for valg av verneting.
11. Personvernerklæring
Jobbkort er forpliktet til å behandle personopplysninger på en forsvarlig måte og i henhold til enhver tid gjeldende personvernregelverk. Du kan lese mer om hvordan Jobbkort behandler personopplysninger som behandlingsansvarlig i personvernerklæringen:
12. Kommunikasjon
Kunden og Jobbkort er enige om at kommunikasjon og utleveringer iht. denne avtale gjøres elektronisk per e-post.