DATABEHANDLERAVTALE

1. BAKGRUNN

Gjennomføring av oppdraget innebærer at Virksomheten Behandler Personopplysninger på vegne av Kunden. Virksomheten opptrer derved som Databehandler for den Behandlingsansvarlige Kunden.

Denne databehandleravtalen har til hensikt å regulere Virksomhetens Behandling av Personopplysninger på vegne av Kunden, og derved sikre at Behandlingen skjer i samsvar med personopplysningsloven (LOV-2018-06-15-38), herunder EUs personvernforordning (EU/2016/679), og senere lovgivning som erstatter eller supplere disse («Personopplysningsregelverket«).

Definisjonene i personvernforordningen artikkel 4 gjelder for tilsvarende for begreper brukt i denne databehandleravtalen.

2. BEHNADLINGENS FORMÅL OG ART

Formålet med Virksomhetens Behandling av Personopplysninger er å gjennomføre oppdraget i samsvar med Avtalen.

I Vedlegg 1 i dette dokumentet beskrives de konkrete formålene med Behandlingene, samt de kategorier Personopplysninger og Registrerte som omfattes.

Databehandleravtalen gjelder ikke for Behandling av Personopplysninger som utføres for Virksomhetens egne formål. Dette omfatter også Behandlinger som er nødvendige for å oppfylle plikter som Virksomheten er pålagt gjennom lov. For slike Behandlinger er Virksomheten selv Behandlingsansvarlig.

3 VIRKSOMHETENS PLIKTER

3.1 RÅDIGHETSFPRBUD OG VARSLINGSPLIKT

Virksomheten skal bare Behandle Personopplysninger i tråd med dokumenterte instrukser fra Kunden, herunder i Avtalen og i denne databehandleravtalens Vedlegg 1 i dette dokumentet.

Dersom Virksomheten mener at en instruks fra Kunden, jf. første avsnitt, er i strid med Personopplysningsregelverket skal Kunden varsles om dette.

Virksomheten må uten ugrunnet opphold varsle Kunden dersom Virksomheten ikke vil være i stand til å overholde sine forpliktelser etter denne databehandleravtalen.

3.2 UTLEVERING OG TAUSHETSPLIKT

Virksomheten skal ikke levere ut Personopplysninger til Tredjeparter, med mindre Kunden på forhånd har samtykket skriftlig til slik utlevering, eller det foreligger en lovpålagt plikt for Virksomheten til å utlevere Personopplysningene. Utlevering til andre Databehandlere skal skje i samsvar med vilkårene i denne databehandleravtalen pkt. 4. Utlevering av personopplysninger til underleverandører og IT leverandører skjer i det omfang som er nødvendig for å ivareta oppdragsleveransen. Alle underleverandører som behandler personinformasjon har databehandleravtale.

Bestemmelsen om taushetsplikt i Standardvilkårene pkt. 1.6 gjelder også for Personopplysninger som Behandles i medhold av Avtalen.

3.3 INFORMASJONSSIKKERHET OG AVVIKSMELDINGER

Virksomheten skal treffe alle tiltak som er nødvendige for å etablere et egnet sikkerhetsnivå ved Behandlingen i samsvar med kravene i personvernforordningen artikkel 32. Tiltakene skal dokumenteres.

Virksomheten skal uten ugrunnet opphold varsle Kunden om ethvert Brudd på personopplysningssikkerheten som har medført en hendelig eller ulovlig tilintetgjørelse, tap, endring, uautorisert utlevering av eller tilgang til Personopplysningene som Behandles i medhold av denne databehandleravtalen.

Virksomheten skal straks iverksette tiltak for å hindre eller begrense konsekvensene av sikkerhetsbruddet.

3.4 BISTANDSPLIKT

Virksomheten skal gi Kunden bistand med å etterleve kravene i personvernforordningen artikkel 32 til 36 om informasjonssikkerhet.

Virksomheten skal også bistå Kunden med å oppfylle Kundens plikt til å svare på henvendelser fra Registrerte som ønsker å utøve sine rettigheter etter Forordningen. Virksomheten skal ikke selv besvare slike henvendelser, men uten ugrunnet opphold videresende henvendelsen til Kunden eller henvise den Registrerte til selv å kontakte Kunden direkte.

3.5 TILGANG TIL INFORMASJON OG SIKKERHETSKOPIER

Virksomheten skal på forespørsel gi Kunden tilgang til all informasjon og dokumentasjon som er nødvendig for å påvise at Behandlingen skjer i samsvar med denne databehandleravtalen og Kundens instrukser.

Dersom Kunden avdekker avvik skal Virksomheten uten ugrunnet opphold iverksette korrigerende tiltak.

4 VILKÅR FOR BRUK AV ANDRE DATABEHANDLERE

Kunden samtykker til at Virksomheten overlater Personopplysningene som behandles i medhold av Avtalen til andre Databehandlere (underleverandører).

Som en del av oppdragsleveransen står Virksomheten fritt til å inngå avtaler med underleverandører og ta i bruk IT systemer uten å varsle Kunden.

Virksomheten skal inngå en skriftlig avtale med sine Databehandlere. Virksomheten er fullt ut ansvarlig overfor Kunden, for den Behandlingen som Databehandleren gjør.

5 VILKÅR FOR OVERFØRING UT AV EU/EØS – OMRÅDET

Personopplysninger kan bare overføres til land utenfor EU/EØS-området, dersom Kunden har gitt et forhåndssamtykke til det. Dette gjelder ikke dersom Virksomhetens underleverandører eller IT systemer oppbevarer data i land utenfor EU/EØS.

Kunden samtykker til overføring ut av EU/EØS-området som skjer i forbindelse med at Personopplysningene overlates til eksisterende Databehandlere.

Som forhåndssamtykke etter denne bestemmelsen regnes også manglende innsigelser mot at Behandlingen overlates til en Databehandler som Behandler Personopplysningene utenfor EU/EØS-området.

6 SLETTING OG TILBAKEFØRING AV PERSONOPPLYSNINGER

Ved Avtalens opphør plikter Virksomheten å tilbakelevere, slette eller anonymisere alle Personopplysninger i samsvar med Kundens nærmere instrukser på opphørstidspunktet. Partene skal lojalt enes om den praktiske gjennomføringen av denne plikten som ivaretar begge Parters behov for å oppfylle lovpålagte krav og sikre daglig drift.

Sletteplikten gjelder uansett ikke Personopplysninger som inngår i Virksomhetens egen oppdragsdokumentasjon eller pliktig oppbevaring av regnskapsmateriale.

7 DATABEHANDLERAVTALENS VARIGHET OG ENDRINGER

Databehandleravtalen gjelder så lenge Virksomheten behandler personopplysninger på vegne av Kunden. Taushetsplikten gjelder på ubestemt tid.

Databehandleravtalen kan endres ved behov og enighet mellom partene.

8 MEDDELELSER OG ANNEN KOMMUNIKASJON

Meddelelser og annen kommunikasjon etter denne databehandleravtalen skal skje kundekontakt som igjen involverer Virksomhetens Drifts- og sikkerhetsansvarlig.

9 LOVVALG OG VERNETING

Databehandleravtalen skal tolkes og reguleres i henhold til norsk rett. Eventuelle tvister mellom Kunden og Leverandøren knyttet til Databehandleravtalen skal avgjøres ved alminnelige norske domstoler. Søksmål skal i slike tvister reises for Oslo tingrett som Partene vedtar som rett verneting. Dette gjelder også etter opphør av Databehandleravtalen.

Vedlegg 1 – Kategorier Personopplysninger og behandlingsformål

Personopplysning	Formål med opplysningen
For- og etternavn	Identifikasjon for korrekt utbetaling av lønn og godtgjørelser herunder reiseregninger og utlegg. Identifikasjon for hendelser relatert til arbeidsforholdet og identifikasjon ved annen pliktig offentlig innrapportering.
Adresse privat	Kommunikasjon.
Adresse arbeidssted	Offentlig og intern rapportering.
Statsborgerskap	A-melding og sikre korrekte ytelser og trekk.
Bostedsland	A-melding og sikre korrekte ytelser og trekk.
Telefonnummer (fast)	Kommunikasjon.
Telefonnummer (mobil)	Kommunikasjon.
E-postadresse	Kommunikasjon.
Fødselsdato / nummer	Identifikasjon for utbetaling av lønn og godtgjørelser herunder reiseregninger og utlegg, arbeidsforhold, annen pliktig offentlig innrapportering.
Kjønn	Statistikkformål for styrets årsberetning, intern rapportering mv.
Ansattnummer / ArbeidsforholdsID	A-melding. Intern identifikasjon og kategorisering for tilordning i avdeligsregnskap mv.
Kontonummer i bank	Sikre korrekt utbetaling av lønn og andre ytelser.
Sivilstatus	Sikre korrekte ytelser og trekk som påvirkes av sivilstatus.
Ektefelle, herunder navn og fødselsnummer	Sikre korrekt skattemessig innrapportering av lønnsforhold, formuesforhold mv.
Pårørendeinformasjon	Kommunikasjon med pårørende om særskilte forhold ved akutt sykdom, dødsfall mv.
Stillingsbetegnelse / yrkeskode	A-melding og sikre korrekt utbetaling lønn.
Stillingsnivå, herunder stillingsprosent og timer pr uke. Dato for siste endring.	A-melding og sikre korrekt utbetaling lønn.
Arbeidstidsordning	A-melding og sikre korrekt utbetaling lønn.
Yrkesopplysninger av betydning for lønns og arbeidsvilkår	A-melding og sikre korrekt utbetaling lønn.
Utdannelse og praksis, herunder lønnsansiennitet.	A-melding og sikre korrekte ytelser og trekk.
Medlemskap i fagforeninger og andre yrkesrelaterte foreninger.	Sikre korrekte ytelser og trekk.
Dekket av tariffavtale, herunder lønnstrinn	Sikre korrekte ytelser og trekk.
Lønns- og provisjonsopplysninger, herunder avlønningstype og siste dato for avlønning.	A-melding og sikre korrekt utbetaling lønn.
Pensjonsopplysninger	Sikre korrekt pensjonsinnbetaling og pensjonsytelse.
Skattetrekksopplysninger	Sikre korrekt skattetrekk.
Forsikringsforhold, herunder dekningsomfang og nødvendige helseopplysninger (egenerklæringer mv)	Sikre korrekt forsikringsdekning etter avtale mellom arbeidsgiver og forsikringsselskap.
Fravær og permisjoner, herunder type og varighet.	Sikre korrekte ytelser og trekk. Offentlig innrapportering av sykepenger, permisjonsgodtgjørelse mv.
Ansettelses- og sluttdato, herunder start- og sluttdatoer ved fusjon og fisjon.	A-meldingen, lønnsberegninger og forsikringsordninger. Følge opp jubileum mv.
Sluttårsak, herunder oppsigelse og dødsfall.	Sikre korrekte ytelser og trekk. Statistiske formål.
Firmabil og andre naturalytelser	Sikre korrekt regnskapsrapportering og innberetning av fordel. Forsikringsdekningsformål.
Eierandeler i selskap	Aksjonærregstermeldinger
Rolle i selskap	Sikre korrekte ytelser og trekk. Interne rapporteringsformål. A-melding. Sikre korrekte opplysninger i årsregnskapet.
Vilkår i aksjonæravtaler	Sikre korrekt behandling aksjonærer i mellom.
Eiendeler i samboerskap	Sikre korrekt innberetning av skattemessige formål.
Gjeld / fordringer overfor arbeidsgiver, herunder vilkår for mellomregningen.	Sikre korrekt inn- og utbetaling samt avregning av renter og gebyrer.
Informasjon i regnskapsdokumentasjon om ansattes atferdsmønster, herunder kjøp av varer og tjenester og bevegelsesmønster	Godtgjørelse av utlegg pådratt i næringsvirksomhet eller føring av private utgifter på privatkonto.