AVUR Databehandleravtale
I henhold til personopplysningslovens § 13, jf. § 15 og personopplysningsfoskriftens kapittel 2.
Ved bruk av AVURs tjenester er det inngått avtale om databehandleravtale.
1. Avtalens hensikt
Avtalens hensikt er å regulere rettigheter og plikter etter Lov av 14. april 2000 nr. 31om behandling av personopplysninger (personopplysningsloven) og forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften). Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende. Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.
2. Formål
Avtalens hensikt er å regulere rettigheter og plikter i henhold til Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, samt om oppheving av direktiv 95/46/EF. Avtalen skal sikre at personopplysninger ikke brukes ulovlig, urettmessig eller at opplysningene behandles på måter som fører til uautorisert tilgang, endring, sletting, skade, tap eller utilgjengelighet. Avtalen regulerer databehandlers forvaltning av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse, i forbindelse med bruk av tjenesten som leveres. Ved motstrid skal vilkårene i denne avtalen gå foran databehandlers personvernerklæring eller vilkår i andre avtaler inngått mellom behandlingsansvarlig og databehandler i forbindelse med bruk av (navn på tjenesten).
3. Databehandlers plikter
Databehandler skal følge de rutiner og instrukser for behandlingen som behandlingsansvarlig til enhver tid har bestemt skal gjelde. Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift. Behandlingsansvarlig har, med mindre annet er avtale eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette. Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør.
4. Bruk av underleverandør
Dersom databehandler benytter seg av underleverandør eller andre som ikke normalt er ansatt hos databehandler skal dette avtales skriftlig med behandlingsansvarlige før behandlingen av personopplysninger starter. Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.
5. Sikkerhet
Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningslovens §§ 13 – 15 med forskrifter. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel.
Avviksmelding etter personopplysningsforskriftens § 2-6 skal skje ved at databehandler melder avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet.
6. Sikkerhetsrevisjoner
Behandlingsansvarlig kan avtale med databehandler at det gjennomføres sikkerhetsrevisjoner jevnlig for systemer og lignende som omfattes av denne avtalen.
7. Avtalens varighet
Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig.
Ved brudd på denne avtale eller personopplysningsloven kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning
Avtalen kan sies opp av begge parter med en gjensidig frist på 3 måneder, jf. punkt 8 i denne avtalen. Databehandleravtalen er separat fra tjenesteavtalen og oppsigelse av databehandleravtalen gir ikke rett til oppsigelse av tjenesteavtaler.
8. Ved opphør
Ved opphør av denne avtalen plikter databehandler å tilbakelevere alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige og som omfattes av denne avtalen. Kostnader ved dette dekkes av behandlingsansvarlig. Databehandler vil slette kundedata lagret hos databehandler etter opphørt avtale. Sikkerhetskopier blir slettet etter utløp. Databehandler skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør.
9. Meddelelser
Meddelelser etter denne avtalen skal sendes skriftlig til: support@avur.no
10. Lovvalg og verneting
Avtalen er underlagt norsk rett og partene vedtar Bergen tingrett som verneting. Dette gjelder også etter opphør av avtalen.