Datasikkerhet og databehandling
BAKGRUNN
I samsvar med Friios Personvernerklæring inngår Friio databehandleravtaler med våre underleverandører og samarbeidspartnere der dette er påkrevet for å oppfylle GDPR/personvernlovgivningen. Ved inngåelsen av slike databehandleravtaler tar vi utgangspunkt i vår standard databehandleravtale, som du finner nedenfor til orientering.
§1 AVTALENS BAKGRUNN OG HENSIKT
Denne databehandleravtalen ("Databehandleravtalen") er inngått mellom Frii Group AS (org. nr. 827 033 642) ("Behandlingsansvarlig") og [Xalle Friio datebehandlereX] ("Databehandleren") - i fellesskap omtalt som "Partene". Med Databehandleravtalen menes denne generelle avtaleteksten med alle vedlegg.
Behandlingsansvarlig er Frii Group, som tilbyr og forvalter en digital plattform for kjøp/salg/administrasjon av varer/tjenester: Friio.no med alle dets tilhørende applikasjoner. Som eier av Friio.no bestemmer den Behandlingsansvarlige formålet med behandlingen av personopplysningene og hvilke midler som skal benyttes.
Databehandleren samler inn, registrerer, lagrer eller på andre måter behandler personopplysninger/data på vegne av Behandlingsansvarlig for å levere tjenestene beskrevet i vår avtale ("Hovedavtalen").
Formålet med denne Databehandleravtalen er å:
regulere Partenes roller og ansvar ved behandling av personopplysninger etter personopplysningslovgivningen og GDPR artikkel 28 (3) i forbindelse med gjennomføringen av Hovedavtalen og
sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende.
Bestemmelsene i denne Databehandleravtalen skal ved motstrid gå foran tilsvarende bestemmelser i andre avtaler mellom Partene, herunder i Hovedavtalen.
§2 DATASIKKERHET
Alle data/dataressurser er sikret av OpenId-protokollen implementert i skyen (Microsoft Azure Active Directory-autorisering og autentisering). All datakommunikasjon er sikret ved hjelp av TLS 1.2-protokollen med sikre sertifikater, administrert av Microsoft Azure.
§3 DEFINISJONER
Følgende definisjoner gjelder for denne Databehandleravtalen:
"Databehandleravtalen" betyr de bestemmelser som fremgår av denne databehandleravtalen med eventuelle vedlegg.
"Personopplysning" betyr enhver opplysning eller informasjon om De registrerte. Dette omfatter, men er ikke begrenset til, de opplysningene som fremgår av eventuelle vedlegg.
"Behandling" (av Personopplysninger) betyr enhver bruk av Personopplysninger, for eksempel innsamling, lagring, organisering, endring eller tilpasning, utlevering og/eller overføring.
"GDPR" betyr EU-forordning 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (slik denne er implementert i norsk rett).
"Personvernlovgivning" betyr lov om behandling av personopplysninger av 15. juni 2016 nr. 38 med tilførende forskrift og annen lovgivning som implementerer GDPR.
"Lov" betyr enhver annen gjeldende lovgivning som Partene er underlagt.
"Underleverandør" betyr andre databehandlere som Databehandleren bruker til å behandle Personopplysningene.
"De registrerte" betyr enhver identifisert eller identifiserbar fysisk person.
§4 GENERELT
Partene skal Behandle Personopplysninger i samsvar med Personvernlovgivningen, GDPR og denne Databehandleravtalen.
Partene skal umiddelbart underrette hverandre hvis en av Partene mener at instruksene eller kravene fra den andre Part utgjør et brudd på Personvernlovgivningen eller GDPR.
Databehandler kan behandle de Personopplysningene som er nødvendige for å oppfylle sine plikter i henhold til Hovedavtalen, samt administrere avtaleforholdet.
Vedlegg 1 til databehandleravtalen beskriver hvilke typer personopplysninger Databehandleren behandler og formålet med behandlingen. Databehandler skal ikke behandle personopplysninger for andre formål enn det som fremgår her.
§5 DEN BEHANDLINGSANSVARLIGES RETTIGHETER OG PLIKTER
Den Behandlingsansvarlige skal fastsette formålene og midlene med behandlingen av Personopplysninger.
Den Behandlingsansvarlige er ansvarlig for at personopplysninger behandles i henhold til kravene i Personvernlovgivningen og GDPR.
Den Behandlingsansvarlige må blant annet sikre at det finnes et rettslig grunnlag for behandlingen av Personopplysningene.
Den Behandlingsansvarlige har rett til å si opp denne Databehandleravtalen dersom Databehandleren ikke handler i tråd med Personvernlovgivningen eller GDPR.
Med mindre noe annet er avtalt eller følger av Lov, har den Behandlingsansvarlige rett til tilgang til og innsyn i de Personopplysningene Databehandleren behandler og de systemene Databehandleren bruker til dette formålet. Databehandler skal gi nødvendig bistand til dette.
§6 INSTRUKSER TIL DATABEHANDLEREN
Databehandleren skal kun behandle Personopplysninger etter dokumenterte instrukser fra den Behandlingsansvarlige. Unntak gjelder kun der den Behandlingsansvarlige er pålagt å behandle Personopplysninger i henhold til Lov som Databehandleren er underlagt. I et slikt tilfelle skal Databehandleren varsle den Behandlingsansvarlige om den rettslige plikten før behandlingen.
Den Behandlingsansvarliges instrukser til Databehandleren er beskrevet i denne Databehandleravtalen med vedlegg. Den Behandlingsansvarlige kan gi Databehandleren etterfølgende instrukser så lenge Databehandleren behandler Personopplysninger på vegne av den Behandlingsansvarlige. Slike etterfølgende instrukser skal alltid gis Databehandleren skriftlig og må være dokumentert.
§7 KONFIDENSIALITET
Databehandleren skal holde alle Personopplysninger konfidensielle.
Databehandleren skal bare gi tilgang til Personopplysninger som behandles på vegne av den Behandlingsansvarlige til personer under Databehandlerens myndighet som har behov for innsyn i Personopplysningene, og som er forpliktet til konfidensialitet i form av en konfidensialitetsavtale eller er pålagt lovbestemt konfidensialitet.
Databehandleren skal ha oversikt over hvilke personer som har fått tilgang til Personopplysningene og oppdatere oversikten jevnlig. På bakgrunn av disse gjennomgangene kan tilgangen til personopplysninger trekkes tilbake, dersom tilgang ikke lenger er nødvendig. Personopplysningene vil ikke lenger være tilgjengelig for disse personene.
§8 PERSONSIKKERHET VED BEHANDLING AV PERSONOPPLYSNINGER
Idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den Behandlingsansvarlige og Databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen i tråd med GDPR artikkel 32, herunder blant annet, alt etter hva som er egnet:
pseudonymisering og kryptering av personopplysninger;
evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og –tjenestene;
evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse;
en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er.
Tekniske og organisatoriske tiltak som er egnet for å oppnå et forsvarlig sikkerhetsnivå sett i sammenheng med risikoen er beskrevet i § 2.
Databehandleren skal gjøre rimelige anstrengelser for å hjelpe den Behandlingsansvarlige med å sikre at kravene til å etablere et egnet sikkerhetsnivå er i samsvar med GDPR artikkel 35-36.
§9 DATABEHANDLERENS BRUK AV UNDERBEHANDLERE
Databehandleren skal oppfylle de kravene som er spesifisert i GDPR artikkel 28 nr. 2 og 4 når de engasjerer en annen databehandler.
De Underleverandørene som Databehandleren benytter i forbindelse med Hovedavtalen er beskrevet i vedlegg. Behandlingsansvarlige aksepterer at Databehandler benytter disse underleverandørene.
Databehandleren skal sikre at Underleverandørene er kjent med Databehandlers avtalemessige og lovmessige forpliktelser og oppfyller disse kravene og sikre at Underleverandøren pålegges de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i denne Databehandleravtalen gjennom en avtale eller et annet rettslig dokument.
Den Behandlingsansvarlige aksepterer at Databehandleren benytter andre Underleverandører enn dem som er beskrevet i Vedlegg 2, forutsatt at Databehandleren underretter den Behandlingsansvarlige senest to uker før den/de aktuelle databehandleren/databehandlerne engasjeres, slik at den Behandlingsansvarlige har mulighet til å motsette seg slike endringer.
Eventuelle lengre frister for forhåndsvarsling for særskilte kategorier databehandlere gis i særskilte vedlegg.
§10 DATABEHANDLERS OVERFØRING AV PERSONOPPLYSNINGER TIL TREDJESTATER OG INTERNASJONALE ORGANISASJONER
Databehandleren kan overføre de Personopplysningene Databehandleren behandler på vegne av den Behandlingsansvarlige til de land der Databehandleren og Underleverandørene driver sin virksomhet og lagre dem der.
Den Behandlingsansvarlige godtar denne overføringen og lagringen så lenge den er nødvendig for å gjennomføre de avtalte leveransene.
Databehandler skal ikke overføre Personopplysninger til land utenfor EØS eller internasjonale organisasjoner uten et forutgående skriftlig samtykke fra den Behandlingsansvarlige, med mindre EU-kommisjonen har fastslått at tredjestaten, territoriet eller en eller flere spesifiserte sektorer i tredjestaten eller den aktuelle internasjonale organisasjonen, sikrer et tilstrekkelig beskyttelsesnivå, jf. GDPR artikkel 45.
Dersom den Behandlingsansvarlige godtar en slik overføring av Personopplysninger til en tredjestat utenfor EØS eller en internasjonal organisasjon, skal Databehandleren sørge for at kravene for overføring av Personopplysninger til tredjestater eller internasjonale organisasjoner som følger av GDPR kapittel V blir fulgt.
§11 BISTAND TIL DEN BEHANDLINGSANSVARLIGE
Den Behandlingsansvarlige skal fungere som De registrertes kontaktpunkt og gi all nødvendig informasjon om behandlingen av Personopplysninger.
Den Behandlingsansvarlige er ansvarlig for håndteringen av De registrertes anmodninger om innsyn, retting, sletting, begrensning, dataportabilitet etc., samt sikre at slike forespørsler imøtekommes.
Under hensyntagen til behandlingens art, skal Databehandleren hjelpe den Behandlingsansvarlige med passende tekniske og organisatoriske tiltak, i den grad dette er nødvendig og rimelig for oppfyllelse av den Behandlingsansvarliges forpliktelser til å svare på forespørsler knyttet til De registrertes rettigheter som følger av GDPR kapittel III.
Dersom Databehandleren mottar en forespørsel fra en Registrert, skal den snarest mulig varsle den Behandlingsansvarlige.
§12 PARTENES ANSVAR FOR AVVIKSHÅNDTERING OG VARSLING
Enhver uautorisert behandling av Personopplysninger i strid med GDPR artikkel 32, de fastlagte rutinene for Databehandleren, den Behandlingsansvarliges instrukser eller Personvernlovgivningen, skal håndteres som et avvik.
Partene skal etablere og opprettholde rutiner og systematiske tiltak for oppfølging av avvik, herunder tiltak for gjenoppretting av normaltilstand, fjerning av årsaken til avviket og hindre gjentakelse.
Partene skal, så snart de får kunnskap om et avvik, uten ugrunnet opphold informere hverandre og umiddelbart iverksette alle nødvendige og hensiktsmessige tiltak for å gjenopprette normaltilstand.
Den Behandlingsansvarlige er ansvarlig for å sende avviksmelding til Datatilsynet og/eller De registrerte i samsvar med GDPR artikkel 33 og 34.
Databehandleren skal bistå den Behandlingsansvarlige med å sikre at GDPR artikkel 33 og 34 overholdes.
For at den Behandlingsansvarlige skal kunne varsle Datatilsynet og/eller De registrerte i samsvar med GDPR artikkel 33 og 34, er Databehandleren pålagt å hjelpe den Behandlingsansvarlige med å innhente all nødvendig informasjon for å informere Datatilsynet og/eller De registrerte i tråd med kravene under GDPR artikkel 33 og 34.
§13 REVISJON OG INSPEKSJON
Databehandleren skal gjøre tilgjengelig for den Behandlingsansvarlige all informasjon som er nødvendig for å påvise overholdelse av Databehandlerens forpliktelser i henhold til Personvernlovgivningen, GDPR og denne Databehandleravtalen.
Databehandleren skal jevnlig revidere systemene som brukes for å behandle Personopplysninger. Revisjonen kan omfatte gjennomgang av rutiner, tilfeldige kontroller og andre passende tiltak.
Dersom den Behandlingsansvarlige ber om det, skal Databehandleren, muliggjøre og gjøre rimelige anstrengelser for å bistå til revisjoner av Behandlingsansvarlig eller av en uavhengig revisor med fullmakt fra den Behandlingsansvarlige.
Databehandleren skal muliggjøre og bidra til revisjoner, herunder inspeksjoner, som gjennomføres av den Behandlingsansvarlige eller en annen inspektør på fullmakt fra den Behandlingsansvarlige av Databehandlerens overholdelse av GDPR, gjeldende EU- eller medlemslands Personvernlovgivning og denne Databehandleravtalen. Den Behandlingsansvarlige har selv det direkte ansvaret for kontakt og kommunikasjon med aktuelle tilsynsmyndigheter, herunder Datatilsynet.
Den Behandlingsansvarlige skal dekke kostnadene ved slike revisjoner.
§14 DATABEHANDLERAVTALENS VARIGHET
Databehandleravtalen gjelder så lenge Databehandleren behandler Personopplysninger på vegne av den Behandlingsansvarlige.
§15 OPPHØR
Når denne Databehandleravtalen opphører, skal Databehandleren slette alle Personopplysninger som omfattes av Databehandleravtalen, med mindre gjeldende lover krever at Personopplysningene lagres.
Personopplysningene skal kun slettes etter skriftlig instruks fra den Behandlingsansvarlige.
Partene avtaler nærmere hvordan overføring eller sletting konkret skal skje.
Databehandleren skal skriftlig dokumentere at sletting er foretatt innen rimelig tid etter at Databehandleravtalen opphører.
§16 LOVVALG OG VERNETING
Databehandleravtalen er underlagt norsk rett. Partene vedtar Oslo tingrett som rett verneting for enhver tvist om denne Databehandleravtalen.
§17 SIST OPPDATERT
Databehandleravtalen er sist oppdatert den 29. juni 2023.