GDPR Databehandleravtale for StrandaData, StrandaKurssenter og NorgesKursSenter
1. Begrepsforklaring
Databehandler: En databehandler er en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige.
Behandlingsansvarlig: Behandlingsansvarlig er en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett.
Personopplysning: Personopplysninger er alle opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Typiske personopplysninger er navn, adresse, telefonnummer, e-post og fødselsnummer. Et bilde regnes som en personopplysning dersom personer kan gjenkjennes, og lydopptak kan være personopplysninger selv om ingen navn blir nevnt i innspillingen. Biometri slik som fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) er også personopplysninger.
Kilde: Datatilsynet.
2. Avtalens hensikt
Avtalens hensikt er å regulere rettigheter og plikter etter artikkel 28 punkt 3 i Europaparlamentets- og Rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger. Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende. Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.
3. Formål
Formålet med denne avtalen er å regulere behandling og lagring av personopplysninger som StrandaData/StrandaKurssenter lagrer på vegne av behandlingsansvarlig (StrandaData/StrandaKurssenters kunde).
StrandaData/StrandaKurssenter er et påmeldingssystem der det hentes inn personopplysninger i følge med påmeldinger og billettsalg.
Med personopplysninger menes de data som til enhver tid hentes inn fra deltakere som registrerer seg / melder seg på noe via StrandaData/StrandaKurssenter, enten direkte fra StrandaData/StrandaKurssenter.no eller via behandlingsansvarlig egne nettsider integrert mot StrandaData/StrandaKurssenter.
StrandaData/StrandaKurssenter lagrer dataene på eksterne servere. Dette er spesifisert nærmere i vedlegg 1.
StrandaData/StrandaKurssenter kan på ingen måte bruke personopplysningene som lagres på vegne av behandlingsansvarlig, til andre formål
Videre bruk av innsamlede data, for eksempel til markedsføringsformål, er underlagt de eventuelle samtykker behandlingsansvarlig har hentet inn fra deltakere når disse registrerte seg. Behandlingsansvarlig er selv ansvarlig for å hente inn slike samtykker, men StrandaData/StrandaKurssenter skal legge til rette for at slike samtykker kan innhentes.
4. Behandlingsansvarliges rettigheter og plikter
Den behandlingsansvarlige er ansvarlig for at personopplysninger blir behandlet i samsvar med personvernforordningen og personopplysningsloven (jf. artikkel 24).
Den behandlingsansvarlige har både en rett og en forpliktelse til å bestemme hvilke formål, og hvilke hjelpemidler som kan brukes i behandlingen (jf. artikkel 4 nr. 7).
Den behandlingsansvarlige har selv ansvaret for å avgjøre hvilke personopplysninger som hentes inn via StrandaData/StrandaKurssenter, og at man har tillatelse til å hente inn disse
Den behandlingsansvarlige er selv ansvarlig for hvordan personopplysningene benyttes videre, herunder til kommunikasjon, markedsføring og eventuelle eksporter ut til andre systemer. Innhenting av samtykker er behandlingsansvarlig sitt ansvar, mens StrandaData/StrandaKurssenter har ansvar for å tilrettelegge teknisk til slik innhenting
Den behandlingsansvarlige kan gi databehandler dokumenterte instrukser for hvordan personopplysninger skal behandles (jf. artikkel 28 nr. 3 bokstav a). Instruksene skal være en del av avtalen eller lagt ved som et vedlegg til avtalen. Det er opp til behandlingsansvarlig å avgjøre hvorvidt slike tilleggs instrukser skal gis.
Den behandlingsansvarlige har rett til å si opp avtalen dersom databehandleren ikke lenger oppfyller lovens krav etter artikkel 28 nr. 1.
5. Databehandlers plikter
Bare behandle personopplysninger etter skriftlig instruks fra den behandlingsansvarlige
Databehandleren skal kun behandle personopplysninger i henhold til denne avtalen eller etter dokumenterte instrukser fra den behandlingsansvarlige. Unntaket er dersom norsk lov pålegger databehandleren en konkret behandling av personopplysninger. I så fall skal databehandleren underrette den behandlingsansvarlige om dette før behandlingen iverksettes, med mindre loven forbyr slik underretning av hensyn til viktige samfunnsinteresser.
Databehandleren må omgående underrette den behandlingsansvarlige dersom databehandleren mener en instruks er i strid med personvernforordningen eller andre bestemmelser om vern av personopplysninger eller nasjonal rett (jf. artikkel 28 bokstav 3 siste ledd).
Plikt til at autoriserte personer behandler personopplysningene fortrolig
Databehandleren skal sikre at autoriserte personer er forpliktet til å behandle personopplysningene fortrolig, eller er underlagt lovfestet taushetsplikt.
Databehandleren skal, etter anmodning fra den behandlingsansvarlige, kunne påvise at de autoriserte personene er underlagt fortrolighet eller taushetsplikt - for eksempel ved ved dokumentasjon (jf. artikkel nr. 23 bokstav b og h).
Plikten til konfidensialitet gjelder også etter at databehandleroppdraget er fullført.
Databehandleren skal sikre at kun autoriserte personer har tilgang til opplysningene, og at databehandleren fratar tilgangen dersom autorisasjonen utløper eller av andre grunner ikke lenger gjelder for personen.
StrandaData/StrandaKurssenter har egne rutiner for sine ansatte der taushetserklæring signeres ved ansettelse, og at tilgangen til systemet stenges når den ansatte slutter i selskapet. Liste over StrandaData/StrandaKurssenter ansatte med tilgang, kan gis på oppfordring fra kunde i forbindelse med en eventuell sikkerhets revisjon.
Bistand til å svare på anmodninger som gjelder de registrertes rettigheter
Databehandleren bistår den behandlingsansvarlige (ved hjelp av egnede tekniske og organisatoriske tiltak) å oppfylle plikten til å svare på anmodninger fra registrerte om utøvelse av deres rettigheter. Plikten gjelder så langt det er mulig, og det må tas hensyn til behandlingens art.
Sletting, anonymisering og pseudonymisering kan utføres av behandlingsansvarlig selv, enten via CRM modulen i systemets «min side» eller direkte fra arrangementet i «min side»
Sluttbruker kan se sine lagrede opplysninger via «min side» og kan også der anmode sletting, anonymisering eller pseudonymisering. En slik forespørsel sendes da til behandlingsansvarlig via e-post, som utfører dette i praksis via CRM modulen i systemet, eller direkte fra det aktuelle arrangementet.
StrandaData/StrandaKurssenter gjør oppmerksom på at transaksjonsdata som betalinger via kort, VIPPS, faktura/giro eller fremtidige betalingsmåter, ikke kan slettes i henhold til bokføringsloven. Disse vil kunne inneholde personopplysninger, men informasjonen kan da kun brukes av StrandaData/StrandaKurssenter/kunden for formålene som er dekket av bokføringsloven.
Bistand til den behandlingsansvarlige
Databehandleren har en plikt til å bistå den behandlingsansvarlige med å overholde de forpliktelsene etter artikkel 32-36 som er relevante i dette avtaleforholdet.
Databehandleren må straks, innen 48 timer, underrette den behandlingsansvarlige dersom det har skjedd eller skjer et brudd på personopplysningssikkerheten (jf. artikkel 33 nr. 2).
Dersom bruddet medfører en risiko for de registrertes rettigheter og friheter, må varselet til den behandlingsansvarlige inneholde den informasjonen som kreves for at den behandlingsansvarlige skal kunne gi en utførlig beskrivelse av bruddet til tilsynsmyndigheten (jf. artikkel 33 nr. 3).
Tilgjengeliggjøring av informasjon for den behandlingsansvarlige
Den behandlingsansvarlige eller en representant for den behandlingsansvarlige, kan gjennomføre et fysisk tilsyn hos databehandler for å sikre at databehandleravtalen overholdes.
Databehandler plikter å gjøre tilgjengelig alle data lagret på vegne av behandlingsansvarlig
6. Bruk av underleverandør
Databehandleren har den behandlingsansvarliges generelle godkjennelse til å bruke andre databehandlere ved aksept av denne avtalen. Databehandleren må likevel underrette den behandlingsansvarlige ved eventuelle planer om å skifte ut eller bruke nye databehandlere. Den behandlingsansvarlige må motta en slik underretning minimum 6 uker før endringen trer i kraft. Den behandlingsansvarlige skal ha mulighet til å motsette seg endringene, og skal meddele databehandleren om dette senest 1 uke etter underretningen er mottatt.
I tilfeller der behandlingsansvarlig ber databehandler om å integrere, eller på annen måte sende data inn i 3. parts systemer, har behandlingsansvarlig ansvaret for at det finnes databehandleravtaler mellom 3. part og behandlingsansvarlig. Det er også behandlingsansvarlig sitt ansvar å informere brukere om slike integrasjoner / overføringer i påmeldingen/ bestillingen.
StrandaData/StrandaKurssenter vil gjøre behandlingsansvarlig klar over behovet for at det inngås egne databehandleravtaler ved integrasjoner mot 3. part, i den grad StrandaData/StrandaKurssenter er klar over at slik integrasjon finner sted. Det vil gis automatiserte meldinger om dette, for eksempel når det gjøres en kobling mot en av de standardiserte 3. partsløsningene StrandaData/StrandaKurssenter integrerer mot. StrandaData/StrandaKurssenter har ikke et ansvar for at slike avtaler mot 3. part inngås.
7. Sikkerhet
Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter EU´s personvernforordning. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel.
Tekniske og organisatoriske tiltak skal som et minimum inkludere, men er ikke begrenses til, tiltak for å:
-
Pseudonymere og kryptere personopplysninger der det er relevant;
-
Sikre evnen til vedvarende fortrolighet, integritet, tilgjengelighet og robusthet i behandlingssystemene og –tjenestene;
-
Sikre evnen til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller tekniskhendelse;
-
Ivareta en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er;
-
Forhindre at datasystemer som behandler personopplysninger blir brukt eller gir tilgang til personopplysninger til personer som ikke er autorisert, inkludert tilgang til å lese, kopiere, endre eller slette personopplysninger uten autorisasjon.
Behandlingsansvarlig er forpliktet til å iverksette ovennevnte tiltak, og om nødvendig oppdatere tiltak, slik at de tekniske og organisatoriske tiltakene til enhver tid er i henhold til Personvernregelverket, herunder slik de er oppstilt i GDPR artikler 28 og 32.
Avviksmelding skal skje ved at databehandler melder avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet.
8. Sikkerhetsrevisjoner
Behandlingsansvarlig kan avtale med databehandler at det gjennomføres sikkerhetsrevisjoner jevnlig for systemer som omfattes av denne avtalen.
9. Avtalens varighet
Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig. Ved brudd på denne avtale eller personopplysningsloven kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.
Avtalen kan sies opp av begge parter med en gjensidig frist på 1 måned jf. punkt 8 i denne avtalen.
10. Ved opphør
Ved opphør av denne avtalen plikter databehandler å tilbakelevere alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige og som omfattes av denne avtalen.
Ved opphør av avtale mellom databehandler og behandlingsansvarlig, vil databehandler slette alle persondata lagret hos StrandaData/StrandaKurssenter. Kopi av databasen kan på forespørsel, oversendes behandlingsansvarlig i dertil egnet format.
Databehandler skal skriftlig dokumentere at sletting er foretatt i henhold til avtalen innen 3 måneder etter avtalens opphør.
Avtalen skal alltid følge siste oppdaterte regelverk knyttet til GDPR. Det er siste oppdateringer sentralt med GDPR som er gjeldende.
11. Meddelelser
Meddelelser etter denne avtalen skal sendes skriftlig til:
Databehandler og behandlingsansvarlig: Lars-Thørner Woie, woie@strandadata.no
12. Lovvalg og verneting
Avtalen er underlagt norsk rett og partene vedtar Kristiansand Tingrett som verneting. Dette gjelder også etter opphør av avtalen.
Vedlegg 1
Eksterne servere
StrandaData/StrandaKurssenter lagrer alle data på eksterne servere hos WIX.com. StrandaData/StrandaKurssenter er underlagt WIX.com egne databehandleravtaler, og behandlingsansvarliges data er derfor sikret av disse. Se også: https://support.wix.com/en/article/general-data-protection-regulation-gdpr
StrandaData benytter seg av betalings og påmeldingsløsninger fra Checkin.no. For mer informasjon om deres håndtering av GDPR, gå til www.checkin.no
StrandaData benytter seg av Domeneshop for leveranse av domene og e-post. For ytterligere informasjon om deres håndtering av GDPR, gå til www.domeneshop.no
StrandaData benytter seg av Zoom som plattform for digitale kurs. For mer info om Zoom, gå til www.zoom.com
Integrasjoner
StrandaData/StrandaKurssenter videreformidler ikke på noen måte data videre til andre 3. parter, foruten når integrasjoner med andre systemer er avtalt med behandlingsansvarlig, eller at det på annen måte har blitt avtalt at data skal eksporteres ut av StrandaData/StrandaKurssenter.