Databehandleravtale

Versjon 1.0, 24. mai 2018

1 Bakgrunn, formål og definisjoner

Databehandler leverer nyhetsbrevtjenesten MailMojo til Behandlingsansvarlig. Tjenesten reguleres av en egen avtale (heretter «Avtalen») ved bestilling av abonnement på tjenesten. Behandlingsansvarlig fastsetter formål og hjelpemidler for Behandling i henhold til gjeldende lovgivning om behandling av personopplysninger. Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig.

Denne Databehandleravtalen regulerer Databehandlers rettigheter og forpliktelser for å sikre at all Behandling av Personopplysninger skjer i henhold til gjeldende lovgivning om behandling av personopplysninger.

Databehandler leverer en teknologiplattform for e-postmarkedsføring. Behandlingsansvarlig benytter seg av denne plattformen for å sende nyhetsbrev og annen e-postmarkedsføring til sine egne e-postlister som lagres i plattformen, og for å kunne måle responsen og resultatene av denne markedsføringen.

Databehandler vil behandle Personopplysninger for å kunne gjennomføre utsendelsen av e-postmarkedsføringen og for å analysere og presentere tilhørende respons på dette til Behandlingsansvarlig. Personopplysningene kan også behandles dersom Behandlingsansvarlig etterspør hjelp til håndtering av e-postlister eller annen kundeservice som krever at Databehandler behandler Personopplysningene.

Databehandler kan etter forespørsel fra Behandlingsansvarlig også få tilgang til Personopplysninger fra andre tjenester som Behandlingsansvarlig benytter (eksempelvis nettbutikkløsning). Dette brukes av Databehandler for å gi Behandlingsansvarlig bedre segmentering av e-postlister, automatisere utsendelse av nyhetsbrev og presentere bedre statistikk over respons.

Databehandler har også tilgang til anonym brukerdata og -statistikk for feilsøking i egen plattform, for å kontinuerlig kunne forbedre datasikkerhet og tjenestene som Databehandler leverer, og for å analysere generelle trender/respons for å kunne yte bedre service og rådgivning.

Databehandler vil kunne ha tilgang til følgende Personopplysninger:

Behandling av Personopplysninger (som definert under) er underlagt krav og forpliktelser med hjemmel i lov. Når Behandlingsansvarlig er en virksomhet etablert i Det Europeiske Økonomiske Samarbeidsområdet (EØS), vil relevant lovgivning om behandling av personopplysninger være EU-Direktiv 95/46/EC («Direktivet») og all relevant nasjonal lovgivning. Databehandleravtalen oppfyller kravene etter den norske personopplysningslovgivningen og foreliggende EU-forordning 2016/679 datert 27.4.2016. Partene er enige om å revidere denne databehandleravtalen i den grad det er nødvendig i henhold til obligatoriske nye krav som følge av EU-forordning 2016/679, revidert kommunikasjonsvernforordning («ePrivacy») og den norske implementeringen av disse.

«Personopplysning» skal bety opplysninger og vurderinger som kan knyttes til en enkeltperson, som definert i til enhver tid gjeldende lovgivning.

«Behandling» av Personopplysninger, skal bety enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter, som definert i til enhver tid gjeldende lovgivning.

«Tredjeland» skal bety land utenfor EU/EØS som ikke er ansett å sikre tilstrekkelig beskyttelsesnivå for Personopplysninger.

2 Databehandlers forpliktelser

2.1 Overholdelse av gjeldende rett

Databehandler skal overholde alle bestemmelser for beskyttelse av Personopplysninger fastsatt i denne Databehandleravtalen og i gjeldende lovgivning som er relevant for Behandling av Personopplysninger. Databehandler skal bistå Behandlingsansvarlig i å sikre og dokumentere at Behandlingsansvarlig overholder sine forpliktelser under gjeldende lovgivning om Behandling av Personopplysninger.

Databehandler skal overholde instrukser og rutiner gitt av Behandlingsansvarlig med hensyn til Behandling av Personopplysninger.

2.2 Restriksjoner for behandling

Databehandler skal bare behandle Personopplysninger på, og i samsvar med instruks fra Behandlingsansvarlig. Databehandler skal ikke uten forutgående skriftlig avtale med Behandlingsansvarlig eller etter skriftlige instrukser fra Behandlingsansvarlig behandle Personopplysninger utover det som er nødvendig for å overholde forpliktelser overfor Behandlingsansvarlig etter Avtalen.

2.3 Informasjonssikkerhet

2.3.1 Plikt til å sikre informasjonssikkerhet

Databehandler skal ved planlagte, systematiske, organisatoriske og tekniske tiltak sikre tilstrekkelig informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet i forbindelse med Behandling av Personopplysninger i samsvar med bestemmelser om informasjonssikkerhet i gjeldende lovgivning om Behandling av Personopplysninger.

Tiltakene og dokumentasjon for internkontroll gjøres tilgjengelig for Behandlingsansvarlig på forespørsel.

2.3.2 Vurdering av tiltak

I vurderingen av hvilke tekniske og organisatoriske tiltak som skal implementeres, skal Databehandler i samråd med Behandlingsansvarlig ta i betraktning:

Databehandler skal, i samråd med Behandlingsansvarlig, vurdere:

2.3.3 Henvendelser fra de registrerte

Tatt i betraktning arten av Behandlingen, skal Databehandler implementere tekniske og organisatoriske tiltak for å bistå Behandlingsansvarlig med å svare på henvendelser angående utøvelse av de registrertes rettigheter.

2.3.4 Bistand til Behandlingsansvarlig

Databehandler skal gi bistand slik at Behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift, herunder bistå Behandlingsansvarlig med å:

Bistand som nevnt over, skal utføres i den utstrekning det er nødvendig ut fra Behandlingsansvarlig sitt behov, karakteren av behandlingen og informasjonen tilgjengelig for Databehandler.

2.3.5 Kompensasjon

Bistand fra Databehandler som fastsatt i denne Databehandleravtalen, samt bistand i forbindelse med særskilte rutiner og instrukser pålagt av Behandlingsansvarlig, skal kompenseres av Behandlingsansvarlig til en timepris á kr 1.100 eks. mva., med betalingsfrist 10 dager netto.

2.4 Avvik og avviksmeldinger

Enhver bruk av informasjonssystemene og Personopplysninger i strid med etablerte rutiner, instrukser fra Behandlingsansvarlig eller gjeldende lovgivning om behandling av personopplysninger, så vel som sikkerhetsbrudd, skal behandles som avvik.

Databehandler skal ha rutiner og systematiske prosesser for å følge opp avvik, som skal inkludere reetablering av normaltilstanden, eliminasjon av årsaken til avviket og hindre gjentagelse.

Databehandler skal umiddelbart varsle Behandlingsansvarlig om ethvert brudd på denne Avtalen eller utilsiktet, ulovlig eller uautorisert tilgang, bruk eller utlevering av Personopplysninger, eller at Personopplysninger kan ha blitt kompromittert eller brudd på Personopplysningenes integritet. Databehandler skal gi Behandlingsansvarlig all informasjon nødvendig for å sette Behandlingsansvarlig i stand til å overholde gjeldende lovgivning om behandling av personopplysninger og sette Behandlingsansvarlig i stand til å besvare henvendelser fra datatilsynsmyndigheter. Det er Behandlingsansvarlig sitt ansvar å melde avvik til Datatilsynet i henhold til gjeldende lovgivning.

2.5 Konfidensialitet

Databehandler har taushetsplikt om personopplysninger og annen konfidensiell informasjon, herunder, men ikke begrenset til, forretningshemmeligheter. Databehandler skal sikre at alle som utfører arbeid for Databehandler, enten ansatte eller innleide, som har tilgang til eller er involvert i Behandling av personopplysninger etter Avtalen (i) er underlagt taushetsplikt og (ii) er informert om og overholder forpliktelsene etter denne Databehandleravtalen. Taushetsplikten gjelder også etter at Avtalen opphører.

2.6 Sikkerhetsrevisjoner

Databehandler vil jevnlig foreta sikkerhetsrevisjoner for systemer og lignende som er relevant for Behandlingen av Personopplysninger som omfattes av denne Databehandleravtalen. Behandlingsansvarlig skal ha tilgang til rapporter som dokumenterer sikkerhetsrevisjoner.

Behandlingsansvarlig har rett til å kreve sikkerhetsrevisjon utført av uavhengig tredjepart. Vedkommende tredjepart vil utarbeide en rapport som vil bli overlevert Behandlingsansvarlig på forespørsel. Behandlingsansvarlig er innforstått med at Databehandler kan kreve en særskilt godtgjørelse for gjennomføringen av revisjonen.

Behandlingsansvarlig kan vise en slik rapport til tilsynsmyndigheter og andre som har krav på å kjenne innholdet.

2.7 Bruk av underleverandører

Enhver underleverandør skal godkjennes skriftlig av Behandlingsansvarlig før underleverandøren kan behandle personopplysninger. Databehandler har rett til å benytte underleverandører og Behandlingsansvarlig aksepterer underleverandører som angitt i Bilag 1. Databehandler skal, i skriftlig avtale med enhver underleverandør, sikre at Behandling av Personopplysninger utført av underleverandører skal være underlagt de samme forpliktelser og begrensninger som er pålagt Databehandler i henhold til denne Databehandleravtalen.

Dersom Databehandler planlegger å skifte ut eller benytte ny underleverandør, skal Databehandler skriftlig varsle Behandlingsansvarlig 2 måneder før ny underleverandør starter Behandling av Personopplysninger, og Behandlingsansvarlig kan innen 1 måned varsle om at han motsetter seg endringen. Dersom Behandlingsansvarlig motsetter seg endringen, kan Behandlingsansvarlig si opp avtalen med umiddelbar virkning. Tjenester som allerede er fakturert på tidspunktet for oppsigelse (herunder abonnement på MailMojo) refunderes ikke ved en slik oppsigelse. Dersom Behandlingsansvarlig ikke sier opp avtalen, anses den nye underleverandøren som akseptert.

2.8 Overføring av personopplysninger til tredjeland

Dersom Databehandler benytter underleverandør(er) utenfor EU/EØS («Tredjeland») for behandling av personopplysninger, må Behandlingen skje i henhold til EUs Privacy Shield Framework, EUs standardavtaler for overføring til tredjeland eller annet akseptert og spesifikt angitt grunnlag for overføring til tredjeland. For å unngå tvil, gjelder det samme dersom opplysningene lagres i EU/EØS, men der personell som er lokalisert utenfor EU/EØS har tilgang.

Databehandler skal samarbeide med Behandlingsansvarlig om å sikre lovligheten av overføringene, herunder ved å inngå EUs standardavtaler for overføring til tredjeland på vegne av Behandlingsansvarlig der dette er nødvendig for å sikre lovlig overføring. Behandlingsansvarlig gir Databehandler fullmakt til å inngå EUs standardavtaler for overføring til tredjeland på vegne av Behandlingsansvarlig.

3 Behandlingsansvarliges plikter

Behandlingsansvarlig bekrefter at Behandlingsansvarlig:

Behandlingsansvarlig skal:

Behandlingsansvarlig skal implementere tilstrekkelige tekniske og organisatoriske tiltak for å sikre og demonstrere overholdelse av EU-forordning 2016/679 fra det tidspunkt den trer i kraft i Norge.

Behandlingsansvarlig har plikt til å melde avvik til aktuelle tilsynsmyndigheter og eventuelt til de registrerte uten ugrunnet opphold i henhold til gjeldende lovgivning.

4 Ansvar, brudd

I tilfelle brudd på denne Databehandleravtalen, eller forpliktelser etter gjeldende lovgivning om Behandling av Personopplysninger, gjelder de relevante bestemmelser om brudd i Avtalen.

I tilfelle uaktsomme brudd på denne Databehandleravtalen, eller forpliktelser etter gjeldende lovgivning om Behandling av Personopplysninger, kan Partene kreve erstatning for sitt direkte økonomiske tap (f.eks. merarbeid, bistand fra kompetent rådgiver m.m.) som følge av bruddet.

Partene kan ikke kreve erstatning for indirekte tap; eksempelvis tapt fortjeneste, tap som følge av driftsavbrudd, krav fra tredjeparter eller de registrerte eller myndighetspålagte sanksjoner.

Partenes samlede erstatningsansvar for brudd på denne Databehandleravtalen i løpet av et kalenderår er begrenset til kr 25 000.

Begrensninger i forrige avsnitt gjelder ikke ved forsettlige eller grovt uaktsomme brudd.

Databehandler skal varsle Behandlingsansvarlig uten ugrunnet opphold dersom Databehandler ikke vil være, eller har grunn til å tro at han ikke vil være, i stand til å overholde sine forpliktelser etter denne Databehandleravtalen.

5 Varighet, avslutning av databehandleravtalen, endringer

Denne Databehandleravtalen skal gjelde fra den dato den er signert av begge parter og inntil Avtalen utløper, eller inntil Databehandlers plikt til ytelse av tjenester i henhold til Avtalen opphører av annen grunn, med unntak av de bestemmelser i Avtalen og Databehandleravtalen som fortsetter å løpe etter avslutning.

Ved avslutning av denne Databehandleravtalen kan Behandlingsansvarlig eksportere og/eller slette Personopplysninger fra plattformen på eget initiativ. Databehandler sletter alle Personopplysningene etter 12 måneder fra siste gang plattformen ble benyttet av Behandlingsansvarlig, med mindre ufravikelig lovgivning forhindrer Databehandler fra slik sletting.

Databehandler skal gi Behandlingsansvarlig en skriftlig erklæring, hvoretter Databehandler garanterer at alle Personopplysninger eller data nevnt ovenfor har blitt slettet, og at Databehandler ikke har beholdt noen kopi, utskrift eller beholdt dataene i annet medium.

Forpliktelsene etter pkt. 2.5 og 4 skal fortsette å gjelde etter avslutning. Videre skal bestemmelsene i Databehandleravtalen gjelde fullt ut for eventuelle Personopplysninger beholdt av Databehandler i strid med dette pkt. 5.

Partene skal revidere denne Databehandleravtalen dersom det kommer relevante endringer i gjeldende lovgivning.

6 Tvister og jurisdiksjon

Denne Databehandleravtalen skal være underlagt og tolkes i samsvar med norsk rett. Verneting skal være Oslo tingrett.

Bilag 1

Underleverandører som har tilgang til Personopplysninger:

Underleverandør Tjeneste Formål
SendGrid, Inc. SendGrid Infrastruktur for utsendelse av hver enkelt e-post i nyhetsbrevene som sendes.
Amazon Web Services, Inc. Amazon S3 Lagring av backup.

Underleverandører som kun har tilgang til anonym brukerstatistikk:

Underleverandør Tjeneste Formål
Functional Software, Inc. Sentry Overvåkning av unntakstilstander og feilsøking av teknisk plattform.