Mellom SuperOffice AS (“Databehandler”) og Kunden (“Behandlingsansvarlig”)
Denne avtalen er gyldig fra 01.05.2023. Du kan se den tidligere versjonen her.
Du kan sammenligne den gamle og den nye avtalen med en oversikt over endringer her. (In English only)
1. Formål og definisjoner
Formålet med denne Databehandleravtalen er å regulere Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig, ved leveringen av SuperOffice CRM Online Service («Tjenesten») som beskrevet nærmere i SuperOffice CRM Online Master Subscription Agreement («MSA»).
Databehandleravtalen regulerer Databehandlers rettigheter og forpliktelser for å sikre at all Behandling av Personopplysninger skjer i henhold til gjeldende lovgivning om behandling av personopplysninger.
Behandling av Personopplysninger (som definert under) er underlagt krav og forpliktelser med hjemmel i lov. Når Behandlingsansvarlig er en virksomhet etablert i Det Europeiske Økonomiske Samarbeidsområdet (EØS), vil relevant lovgivning om behandling av personopplysninger være EU-forordning 2016/679 datert 27. april 2016, og all relevant nasjonal lovgivning. Partene er enige om å revidere denne databehandleravtalen i den grad det er nødvendig i henhold til obligatoriske nye krav som følge av EU-forordning 2016/679, revidert kommunikasjonsvernforordning («ePrivacy») og den norske implementeringen av disse.
«Personopplysning» skal bety opplysninger og vurderinger som kan knyttes til en enkeltperson, som definert i til enhver tid gjeldende lovgivning og EU- forordning 2016/679.
«Behandling» av Personopplysninger, skal bety enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter, som definert i til enhver tid gjeldende lovgivning og EU- forordning 2016/679.
«Tredjeland» skal bety land utenfor EU/EØS som ikke er ansett å sikre tilstrekkelig beskyttelsesnivå for Personopplysninger.
2. Behandlingsansvarliges plikter
For å få tilgang til Tjenesten, må Behandlingsansvarlig gi visse opplysninger til Databehandler, inkludert riktig navn, kontaktopplysninger og e-postadresse til alle brukerne. Videre må brukerne av Tjenesten tillate Databehandler å lagre og hente informasjon ved bruk av «informasjonskapsler» som er nødvendig for å aktivere prosedyrer ved innlogging / utlogging som brukes ved Tjenesten, og for å sikre at uautoriserte personer ikke får tilgang til Tjenesten.
Behandlingsansvarlig bekrefter og aksepterer at alle Personopplysninger som Behandlingsansvarlig laster opp i Tjenesten, for eksempel opplastede Personopplysninger relatert til Behandlingsansvarliges egne kunder, kan overføres til tredjeparter (underdatabehandler), basert i Det Europeiske Økonomiske Samarbeidsområdet (EØS), som vil tjene som vert av Tjenesten, inkludert levering av all maskinvare, infrastruktur, datalagring og kommunikasjonslinjer. Forpliktelsene til tredjeparten med hensyn til Personopplysninger fremgår av en separat databehandleravtale mellom Databehandler og tredjeparten og innenfor rammen av denne Databehandleravtalen. Alle opplysninger i tilknytning til Tjenesten er lagret på servere i Europa.
Behandlingsansvarlig bekrefter at Behandlingsansvarlig:
- Har tilstrekkelig hjemmelsgrunnlag for Behandling av Personopplysninger,
- Har rett til å la Databehandler behandle Personopplysningene,
- Har ansvaret for nøyaktigheten, integriteten, innholdet, pålitelighet og lovligheten av Personopplysningene,
- Oppfyller gjeldende lovkrav om eventuell melding og konsesjon til aktuelle tilsynsmyndigheter,
- Har informert den som personopplysningene gjelder i tråd med gjeldende lovgivning
Behandlingsansvarlig skal:
- Svare på henvendelser fra de registrerte om Behandling av Personopplysninger i henhold til denne Databehandleravtalen,
- Vurdere nødvendigheten av spesifikke tiltak som angitt i denne Databehandleravtalens pkt. 3.3.2 og 3.3.4, og bestille slike tiltak fra Databehandler.
Behandlingsansvarlig skal implementere tilstrekkelige tekniske og organisatoriske tiltak for å sikre og demonstrere overholdelse av EU-forordning 2016/679 fra det tidspunkt den trer i kraft i Norge.
Behandlingsansvarlig har plikt til å melde avvik til aktuelle tilsynsmyndigheter og eventuelt til de registrerte uten ugrunnet opphold i henhold til gjeldende lovgivning.
3. Databehandlers forpliktelser
3.1 Overholdelse av gjeldende rett
Databehandler skal overholde alle bestemmelser for beskyttelse av Personopplysninger fastsatt i denne Databehandleravtalen, og i gjeldende personvernlovgivning som er relevant for Behandling av Personopplysninger. Databehandler skal bistå Behandlingssansvarlig i å sikre og dokumentere at Behandlingsansvarlig overholder sine forpliktelser under gjeldende lovgivning om Behandling av Personopplysninger.
Databehandler skal overholde instrukser og rutiner gitt av Behandlingsansvarlig med hensyn til Behandling av Personopplysninger.
3.2 Restriksjoner for behandling
Databehandler skal bare behandle Personopplysninger på, og i samsvar med instruks fra Behandlingsansvarlig. Databehandler skal ikke uten forutgående skriftlig avtale med Behandlingsansvarlig eller skriftlige instrukser fra Behandlingsansvarlig behandle Personopplysninger utover det som er nødvendig for å overholde forpliktelser overfor Behandlingsansvarlig etter Avtalen.
3.3 Informasjonssikkerhet
3.3.1 Plikt til å sikre informasjonssikkerhet
Databehandler skal ved planlagte, systematiske, organisatoriske og tekniske tiltak sikre tilstrekkelig informasjonssikkerhet med hensyn til konfidensialitet, integritet, og tilgjengelighet i forbindelse med Behandling av Personopplysninger i samsvar med bestemmelser om informasjonssikkerhet i gjeldende lovgivning om Behandling av Personopplysninger.
Tiltakene og dokumentene om internkontroll skal på forespørsel gjøres tilgjengelig for behandlingsansvarlig.
3.3.2 Vurdering av tiltak
I vurderingen av hvilke tekniske og organisatoriske tiltak som skal implementeres, skal Databehandler i samråd med Behandlingsansvarlig ta i betraktning:
- Beste praksis,
- Kostnaden ved implementering,
- Karakteren og omfanget av behandlingen,
- Konteksten og formålet med behandlingen,
- Alvorlighet av den risiko Behandlingen av Personopplysninger medfører for den registrertes rettigheter og friheter.
Databehandler skal i samråd med Behandlingsansvarlig vurdere:
- Implementering av pseudonymisering og kryptering av Personopplysninger
- Evnen til å sikre løpende konfidensialitet, integritet, tilgjengelighet og robustheten til systemer for behandling og tjenester
- Evnen til å gjenopprette tilgjengelighet og tilgang til Personopplysninger til rett tid i tilfelle fysiske eller tekniske hendelser
- En prosess for jevnlig testing, vurdering og evaluering av effektiviteten til tekniske og organisatoriske tiltak for sikkerheten til Behandlingen
3.3.3 Henvendelser fra de registrerte
Tatt i betraktning arten av Behandlingen, skal Databehandler implementere tekniske og organisatoriske tiltak for bistå Behandlingsansvarlig med å svare på henvendelser angående utøvelse av de registrertes rettigheter.
3.3.4 Bistand til Behandlingsansvarlig
Databehandler skal gi bistand slik at Behandlingsansvarlig kan ivareta sitt eget ansvar etter gjeldende lov og forskrift, herunder bistå Behandlingsansvarlig med å:
- Implementere tekniske og organisatoriske tiltak som nevnt over,
- Overholde varslingsplikt til tilsynsmyndigheter og registrerte personer som følge av avvik,
- Utføre vurdering av personvernkonsekvenser («data privacy impact assessments»),
- Utføre forutgående drøftelser med tilsynsmyndigheter når en vurdering av personvernkonsekvenser gjør det nødvendig
- Varsle Behandlingsansvarlig dersom Databehandler mener at en instruks fra Behandlingsansvarlig er i strid med gjeldende personvernregelverk.
Bistand som nevnt over, skal utføres i den utstrekning det er nødvendig ut fra Behandlingsansvarliges behov, karakteren av behandlingen og informasjonen tilgjengelig for Databehandler.
3.3.5 Kompensasjon
Bistand fra Databehandler som fastsatt i denne Databehandleravtalen, samt bistand i forbindelse med særskilte rutiner og instrukser pålagt av Behandlingsansvarlig, skal kompenseres av Behandlingsansvarlig i samsvar med Databehandlers vanlige betingelser og timesatser.
3.4 Avvik og avviksmeldinger
Enhver bruk av informasjonssystemene og Personopplysninger i strid med etablerte rutiner, instrukser fra Behandlingsansvarlig eller gjeldende lovgivning om behandling av Personopplysninger, så vel som sikkerhetsbrudd, skal behandles som avvik.
Databehandler skal ha rutiner og systematiske prosesser for å følge opp avvik, som skal inkludere reetablering av normaltilstanden, eliminasjon av årsaken til avviket, og hindre gjentagelse.
Databehandler skal umiddelbart varsle Behandlingsansvarlig om ethvert brudd på denne Databehandleravtalen eller utilsiktet, ulovlig eller uautorisert tilgang, bruk eller utlevering av Personopplysninger, eller at Personopplysninger kan ha blitt kompromittert eller brudd på Personopplysningenes integritet. Databehandler skal gi Behandlingsansvarlig all informasjon nødvendig for å sette Behandlingsansvarlig i stand til å overholde gjeldende lovgivning om behandling av personopplysninger og sette Behandlingsansvarlig i stand til å besvare henvendelser fra datatilsynsmyndigheter. Det er Behandlingsansvarlig sitt ansvar å melde avvik til Datatilsynet i henhold til gjeldende lovgivning.
3.5 Konfidensialitet
Databehandler har taushetsplikt om Personopplysninger og annen konfidensiell informasjon. Databehandler skal sikre at alle medlemmer som utfører arbeid for Databehandler, enten ansatte eller innleide, som har tilgang til eller er involvert i Behandling av Personopplysninger etter MSA (i) er underlagt taushetsplikt og (ii) er informert om og overholder forpliktelsene etter denne Databehandleravtalen. Taushetsplikten gjelder også etter opphør av MSA eller denne Databehandleravtalen.
3.6 Sikkerhetsrevisjoner
Databehandler skal jevnlig foreta sikkerhetsrevisjoner for systemer og lignende som er relevant for Behandlingen av Personopplysninger som omfattes av denne Databehandleravtalen. Behandlingsansvarlig skal ha tilgang til rapporter som dokumenterer sikkerhetsrevisjoner.
Behandlingsansvarlig har rett til å kreve sikkerhetsrevisjon utført av uavhengig tredjepart valgt av Databehandler. Vedkommende tredjepart vil utarbeide en rapport som vil bli overlevert Behandlingsansvarlig på forespørsel. Behandlingsansvarlig er innforstått med at Databehandler kan beregne seg en særskilt godtgjørelse for gjennomføringen av revisjonen.
3.7 Bruk av underleverandør (underdatabehandler)
Databehandler har rett til å benytte underleverandører og Behandlingsansvarlig aksepterer bruk av underleverandører. En liste med forhåndsgodkjente underleverandører er tilgjengelig i SuperOffice Trust Center. Databehandler skal, i skriftlig avtale med enhver underleverandør, sikre at Behandling av Personopplysninger utført av underleverandører skal være underlagt de samme forpliktelser og begrensninger som de pålagt Databehandler i henhold til denne Databehandleravtalen.
Dersom Databehandler planlegger å skifte ut eller benytte ny underleverandør, skal Databehandler skriftlig varsle Behandlingsansvarlig 4 måneder før ny underleverandør starter Behandling av Personopplysninger, og Behandlingsansvarlig kan innen 1 måned varsle om at han motsetter seg endringen. Dersom Behandlingsansvarlig motsetter seg endringen, kan Behandlingsansvarlig si opp avtalen med 3 måneders oppsigelsestid. Dersom Behandlingsansvarlig ikke sier opp avtalen, anses den nye underleverandøren akseptert.
3.8 Overføring av personopplysninger til Tredjeland
Dersom Databehandler benytter underleverandører utenfor EU/EØS for Behandling av Personopplysninger, må slik Behandling skje i henhold til EUs standardavtaler for overføring til tredjeland eller annet akseptert og spesifikt angitt grunnlag for overføring til tredjeland. For å unngå tvil, gjelder det samme dersom opplysningene lagres i EU/EØS, men kan aksesseres fra lokasjoner utenfor EU/EØS.
Dersom Behandlingsansvarlig godkjenner slik overføring av Personopplysninger, skal Databehandler samarbeide med Behandlingsansvarlig om å sikre lovligheten av overføringene. Hvis grunnlaget for overføringen er EUs standard contrual clauses ("SCC") for databehandlere, gir behandlingsansvarlig herved databehandleren tillatelse til å inngå slike SCCer med underleverandører på vegne av den behandlingsansvarlige.
4. Ansvar, brudd
I tilfelle brudd på denne Databehandleravtalen, eller forpliktelser etter gjeldende lovgivning om Behandling av Personopplysninger, skal de relevante bestemmelser om brudd i MSA komme til anvendelse.
Krav fra en part som følge av den andre partens manglende oppfyllelse etter Databehandleravtalen skal være omfattet av de samme ansvarsbegrensninger som følger av MSA. Med hensyn til om begrensningen i MSA er nådd, skal krav under denne Databehandleravtalen og MSA sees i sammenheng, og begrensningen i MSA skal sees på som en samlet begrensning.
Databehandler skal varsle Behandlingsansvarlig uten ugrunnet opphold dersom Databehandler ikke vil være, eller har grunn til å tro at den ikke vil være, i stand til å overholde sine forpliktelser etter denne Databehandleravtalen.
5. Varighet og avslutning av Databehandleravtalen, endringer
Denne Databehandleravtalen skal gjelde fra den dato den er signert av begge parter og inntil Databehandlers plikt til ytelse av tjenester i henhold til MSA opphører, med unntak av de bestemmelser i MSA og Databehandleravtalen som fortsetter å løpe etter avslutning.
Ved avslutning av denne Databehandleravtalen skal Personopplysninger/opplysninger returneres i standardisert format og medium sammen med nødvendige instruksjoner for å legge til rette for Behandlingsansvarliges videre bruk av Personopplysningene/ opplysningene. Databehandler skal først returnere og deretter slette alle Personopplysninger og andre opplysninger. Databehandler (og dennes underleverandører) skal umiddelbart stanse Behandling av Personopplysningene fra dagen fastsatt av Behandlingsansvarlig.
Som et alternativ til å returnere Personopplysninger (eller andre data) kan Behandlingsansvarlig, etter egen vurdering, skriftlig instruere Databehandler om at alt eller deler av Personopplysningene (eller andre data) skal slettes av Databehandler, med mindre preseptorisk lovgivning forhindrer Databehandler fra slik sletting.
Databehandler har ikke rett til å beholde kopi av noen opplysninger gitt av Behandlingsansvarlig i forbindelse med MSA eller denne Databehandleravtalen i noe format, og all fysisk og logisk tilgang til slike Personopplysninger eller data skal slettes.
Databehandler skal gi Behandlingsansvarlig en skriftlig erklæring, hvoretter Databehandler garanterer at alle Personopplysninger eller andre opplysninger nevnt ovenfor har blitt returnert eller slettet i henhold til Behandlingsansvarliges instrukser, og at Databehandler ikke har beholdt noen kopi, utskrift eller beholdt dataene i annet medium.
Forpliktelsene etter pkt. 3.5 og 4 skal fortsette å gjelde etter avslutning. Videre skal bestemmelsene i Databehandleravtalen gjelde fullt ut for eventuelle Personopplysninger beholdt av Databehandler i strid med dette pkt. 5.
Partene skal revidere denne Databehandleravtalen i tilfelle relevante endringer i gjeldende lovgivning.
6. Tvister og jurisdiksjon
Denne Databehandleravtalen skal være underlagt gjeldende rett i henhold til den enheten i Super-Office kunden har kontakt med:
Hvis du er bosatt i : |
Kunden har avtale med: |
Varsel bør sendes til: |
Gjeldende lov er: |
Domstolene som har eksklusiv jurisdiksjon er: |
Danmark |
SuperOffice Danmark A/S |
Islands Brygge 41, 3.sal, DK-2300 København, Danmark |
Dansk |
København, Danmark |
Finland og Svergie |
SuperOffice Sweden AB |
Sveavägen 159, SE-113 46 Stockholm, Sverige |
Svensk |
Stockholm, Sverige |
Norge |
SuperOffice Norge AS |
Wergelandsveien 27 |
Norsk |
Oslo, Norge |
Tyskland |
SuperOffice GmbH |
Phoenixseestrasse 17, D-44263 Dortmund, Germany |
Tysk |
Dortmund, Tyskland |
Storbritannia og Irland |
SuperOffice Norge AS |
Wergelandsveien 27, 0167 Oslo, Norge |
Britisk |
Milton Keynes, Storbritannia |
Sveits |
SuperOffice AG |
Uferstrasse 90, 4057 Basel, Switzerland |
Sveitsisk |
Basel, Sveits |
Nederland, Belgia og Luxembourg |
SuperOffice Benelux B.V. |
Emmasingel 29.41, 5611 AZ Netherlands |
Tysk |
Oost-Brabant, locatie Eindhoven, Niederlande |
Den gjeldende loven(e) som angitt i tabellen over, er ikke, og er ikke ment å utgjøre, unntak fra reglene om territorialt anvendelsesområde i GDPR art. 3 eller annen gjeldende lovgivning.
Liste over forhåndsgodkjente underleverandører (underdatabehandler)
I henhold til punkt 3.7 i denne avtalen vil SuperOffice opprettholde en liste over forhåndsgodkjente underleverandører. Denne listen er tilgjengelig i SuperOffice Trust Center.