Databehandleravtale

mellom

Behandlingsansvarlig
(heretter kalt «kunden»)

 og

Databehandler: You Learn AS org xxx xxx xxx
(heretter kalt «You Learn AS»)

Heretter kalt «partene»

Denne avtalen skal sørge for at partene forstår og er innforstått med sine forpliktelser og ansvar ved behandling av personopplysninger.

1.      Avtalens hensikt

Avtalens hensikt er å regulere rettigheter og plikter i henhold til Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, samt om oppheving av direktiv 95/46/EF.

Avtalen skal sikre at personopplysninger ikke brukes ulovlig, urettmessig eller at opplysningene behandles på måter som fører til uautorisert tilgang, endring, sletting, skade, tap eller utilgjengelighet.

Avtalen regulerer databehandlers forvaltning av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse, i forbindelse med bistand til søknad, bestilling og fornyelse av HMS-kort.

2.      Instrukser

Databehandler skal følge de skriftlige instrukser for forvaltning av personopplysninger som er innhentet i forbindelse med bistand til søknad, bestilling og fornyelse av HMS-kort som behandlingsansvarlig har bestemt skal gjelde i henhold til produkt- og tjenestebeskrivelse.

You Learn AS forplikter seg til å overholde alle plikter i henhold til Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 som gjelder ved bruk av bistand til søknad, bestilling og fornyelse av HMS-kort til behandling av personopplysninger.

Databehandler forplikter seg til å varsle behandlingsansvarlig dersom databehandler mottar instrukser fra behandlingsansvarlig som er i strid med bestemmelsene i Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016.

3.      Formål

Formålet med databehandlers forvaltning av personopplysninger på vegne av behandlingsansvarlig, er å levere og administrere bistand til søknad, bestilling og fornyelse av HMS-kort.

Personopplysninger som databehandler forvalter på vegne av behandlingsansvarlig kan ikke brukes til andre formål enn levering og administrasjon av bistand til søknad, bestilling og fornyelse av HMS-kort uten at dette på forhånd er godkjent av behandlingsansvarlig.

Databehandler kan ikke overføre personopplysninger som omfattes av denne avtalen til samarbeidspartnere eller andre tredjeparter uten at dette på forhånd er godkjent av behandlingsansvarlig, jf. punkt 10 i denne avtalen.

4.      Hvilke personopplysninger behandles

Databehandleren forvalter følgende personopplysninger på vegne av behandlingsansvarlig i forbindelse med levering og administrasjon av bistand til søknad, bestilling og fornyelse av HMS-kort:

  • You Learn AS vil på vegne av kunden innhente og forvalte personopplysninger om:
    • Foretaksnavn og organisasjonsnummer
    • Kontaktperson
    • E-post og telefonnummer.
    • Personnummer og/eller D-nummer.
    • Bilder av legitimasjon, herunder bankkort, førerkort og pass.
    • Signatur og fullmakt

Personopplysningene gjelder følgende registrerte:

  • Kunden og/eller kundens ansatte.

5.      Kundens rettigheter og plikter

  • Rettigheter:
    • Databehandler plikter å bistå behandlingsansvarlig ved ivaretakelse av den registrertes rettigheter, jf. Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016, kapittel III.
    • Den registrertes rettigheter inkluderer retten til informasjon om hvordan hans eller hennes personopplysninger behandles, retten til å kreve innsyn i egne personopplysninger, retten til å kreve retting eller sletting av egne personopplysninger og retten til å kreve at behandlingen av egne personopplysninger begrenses.
  • Plikter:
    • Kunden er ansvarlig for at personopplysninger blir behandlet i samsvar med personvernforordningen og personopplysningsloven (jf. artikkel 24).
    • Kunden har både rett og forpliktelse til å bestemme hvilke formål, og hvilke hjelpemidler som kan brukes i behandlingen (jf. artikkel 4 nr. 7).
    • Kunde gir gjennom denne avtalen og no/avtaleYou Learn AS dokumenterte instrukser for hvordan personopplysninger skal behandles (jf. artikkel 28 nr. 3 bokstav a).
    • Kunde har rett til å si opp avtalen dersom You Learn AS ikke lenger oppfyller lovens krav etter artikkel 28 nr. 1.

6.      You Learn AS sine plikter

You Learn AS bekrefter at det vil gjennomføres tekniske og organisatoriske tiltak som sikrer at all behandling under denne avtalen oppfyller kravene i personvernlovgivningen og vern av den registrertes rettigheter, herunder innfrir alle kravene etter personvernforordningens artikkel 32.

Avhengig av anmodningens innhold og den informasjonen som er tilgjengelig for You Learn AS, skal You Learn AS bistå med å svare på anmodninger fra den registrerte. Dette gjelder både anmodninger fra de registrerte om å utøve sine rettigheter samt bistå kunde med å sikre overholdelse av forpliktelsene knyttet til personopplysningssikkerhet. Tilsvarende gjelder ved vurdering av personvernkonsekvenser og forhåndsdrøftinger i personvernforordningens artikkel 32 til 36, hensyntatt den informasjonen som er tilgjengelig for You Learn AS.

You Learn AS skal føre protokoll (logg) over behandlingsaktiviteter som utføres på vegne av kunde, som skal inneholde minimum den informasjon som er pålagt etter personvernforordningen artikkel 30. kunde kan til enhver tid kreve oversendt kopi av slik protokoll.

7.      Tilfredsstillende informasjonssikkerhet

Databehandler skal iverksette tilfredsstillende tekniske, fysiske og organisatoriske sikringstiltak for å beskytte personopplysninger som omfattes av denne avtalen mot uautorisert eller ulovlig tilgang, endring, sletting, skade, tap eller utilgjengelighet.

Databehandler skal dokumentere egen sikkerhetsorganisering, retningslinjer og rutiner for sikkerhetsarbeidet, risikovurderinger og etablerte tekniske, fysiske eller organisatoriske sikringstiltak. Dokumentasjonen skal være tilgjengelig for behandlingsansvarlig.

Databehandler skal etablere kontinuitets- og beredskapsplaner for effektiv håndtering av alvorlige sikkerhetshendelser. Dokumentasjonen skal være tilgjengelig for behandlingsansvarlig.

Databehandler skal gi egne ansatte tilstrekkelig informasjon om og opplæring i informasjonssikkerhet slik at sikkerheten til personopplysninger som behandles på vegne av behandlingsansvarlig blir ivaretatt.

  • All informasjon registrert og innhentet av kunde sendes over sikkerhetskryptert tilkobling.
  • All informasjon lagres på Norske servere hos leverandør: Servebolt AS org.nr: 914823900, nettside: servebolt.no
  • Alle personopplysninger oppbevares i sikre systemer på nett og er sertifisert etter EU-U.S. PRIVACY SHIELD FRAMEWORK og i henhold til gjeldende GDPR regelverk.

8.      Taushetsplikt

Kun ansatte hos databehandler som har tjenstlige behov for tilgang til personopplysninger som forvaltes på vegne av behandlingsansvarlig, skal gis slik tilgang.

Ansatte hos databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til i henhold til denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør. Taushetsplikten omfatter ansatte hos tredjeparter som utfører vedlikehold og/eller oppdateringer av systemer, utstyr, nettverk eller bygninger som databehandler anvender for å levere eller administrere bistand til søknad, bestilling og fornyelse av HMS-kort.

9.      Tilgang til sikkerhetsdokumentasjon

Databehandler plikter å gi behandlingsansvarlig tilgang til all sikkerhetsdokumentasjon som er nødvendig for at behandlingsansvarlig skal kunne ivareta sine forpliktelser i henhold til Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016, Artikkel 5 nr.1 bokstav f og Artikkel 32-36.

Databehandler plikter å gi behandlingsansvarlig tilgang til annen relevant dokumentasjon som gjør det mulig for behandlingsansvarlig å vurdere om databehandler overholder vilkårene i denne avtalen.

Ansatte hos behandlingsansvarlig har taushetsplikt for konfidensiell sikkerhetsdokumentasjon som databehandler gjør tilgjengelig for behandlingsansvarlig.

10.   Underleverandører

Databehandler plikter å inngå egne avtaler med underleverandører i tilknytning til bistand til søknad, bestilling og fornyelse av HMS-kort som regulerer underleverandørenes forvaltning av personopplysninger i forbindelse med levering og administrasjon av bistand til søknad, bestilling og fornyelse av HMS-kort.

I avtaler mellom databehandler og underleverandører skal underleverandørene pålegges å ivareta alle plikter som databehandleren selv er underlagt i henhold til denne avtalen. Databehandler plikter å forelegge avtalene for behandlingsansvarlig etter forespørsel.

Databehandler skal kontrollere at underleverandører til bistand til søknad, bestilling og fornyelse av HMS-kort overholder sine avtalemessige plikter, spesielt at informasjonssikkerheten er tilfredsstillende og at ansatte hos underleverandører er kjent med sine forpliktelser og oppfyller disse.

For å kunne bistå kunden med søknad, bestilling og fornyelse av HMS-kort. Benytter You Learn AS seg av underleverandør:

  • Oberthur Technologies Norway AS (produsent)
  • Arbeidstilsynet (organisator)

11.   Overføring til land utenfor EU/EØS

Personopplysninger som databehandler forvalter i henhold til denne avtalen, vil bli overført til følgende mottakerland utenfor EU/EØS: USA.

Det rettslige grunnlaget for overføring av personopplysninger til de nevnte mottakerland utenfor EU/EØS er:

  • Sikker og trygg lagring av informasjon, samt mulig gjøring for at You Learn AS på best mulig måte kan gjennomføre og levere bestilt tjeneste/produkt.

12.   Mislighold

Ved mislighold av vilkårene i denne avtalen som skyldes feil eller forsømmelser fra databehandlers side, kan behandlingsansvarlig si opp avtalen med øyeblikkelig virkning. Databehandler vil fortsatt være pliktig til å slette personopplysninger som forvaltes på vegne av behandlingsansvarlig i henhold til bestemmelsene i punkt 13 ovenfor.

13.   Avtalens varighet

Denne avtalen gjelder så lenge databehandler forvalter personopplysninger på vegne av behandlingsansvarlig.

Avtalen kan sies opp av begge parter med en gjensidig frist på en måned.

14.   Lovvalg og verneting

Avtalen er underlagt norsk rett og partene vedtar Tønsberg som verneting. Dette gjelder også etter opphør av avtalen.

>