Mellom systemleverandør Audit AS og dennes kunder.
(avtalen er et vedlegg til kjøpekontrakt for bruksrettighet og
signeres der)
Formålet med denne avtalen er å klargjøre og regulere rettigheter
og plikter etter lov om personopplysninger som trådte i kraft
20.07.2018.
(https://lovdata.no/dokument/NL/lov/2018-06-15-38?q=personopplysninger)
Databehandleravtalen skal sikre at personopplysninger ikke
behandles i strid med regelverket, eller at personopplysninger
kommer på avveie.
Databehandleravtalen angir de vilkår som ligger til grunn
for den behandling av personopplysninger som databehandler
eventuelt utfører på vegne av behandlingsansvarlig.
Behandlingsansvarlig
Alle som behandler personopplysninger skal ha en grunn til å gjøre
det, og behandlingsansvarlig er den som bestemmer formålet med
behandlingen av personopplysninger og på hvilken måte det skal
gjøres, evt. hvilke underleverandører som skal benyttes. Det er
behandlingsansvarlig som skal sørge for at personopplysninger
behandles i tråd med gjeldende lovgivning.
All bruk og behandling av personopplysninger skal ha et formål.
I denne avtalen er det Audit AS sine revisjonskunder som er
behandlingsansvarlig.
Databehandler
Den som på vegne av behandlingsansvarlig behandler
personopplysninger kalles databehandler. Databehandleren kan ikke
behandle data for behandlingsansvarlig utover det som er avtalt.
Videre må den som opptrer som databehandler sørge for å ha
tilfredsstillende systemer for å sikre de personopplysninger som
behandles, slik at ikke data i form av personopplysninger kommer
på avveie. I denne avtalen er det Audit AS som ansees som
databehandler.
Som utgangspunkt vil ikke vi som leverandør av revisjonsverktøyet Audit behandle personopplysninger for våre kunder. Det kan imidlertid forekomme at vi feks. i forbindelse med teknisk support kommer over personopplysninger som er lastet inn i revisjonsverktøyet ved innlesning av data. Dette kan dreie seg om navn på ansatte, personnummer, telefonnummer, adresser osv. For det meste vil dette være ordinære personopplysninger, men det kan også forekomme sensitive personopplysninger i form av feks. oversikt over medlemskap i fagforeninger osv.
Audit AS kan aldri utlevere personopplysninger til tredjeparter uten at dette er skriftlig avtale med kunden, eller at det fremgår av denne databehandleravtalen. Vi kan kun behandle eventuelle personopplysninger med det formål som er nedfelt i denne avtalen. I utgangspunktet behandles alle data konfidensielt.
De personer hos databehandler som kan ha tilgang til personopplysninger, er gjort kjent med denne avtalen og må forholde seg til de avtalte forhold, og de må alle avgi en erklæring om fullstendig taushetsplikt som gjelder både under ansettelse og etter opphør av arbeidsforhold.
Audit AS skal ha nødvendig datasikkerhet for å oppfylle gjeldende lovgivning og avtalte betingelser med kunden.
Audit AS skal sørge for at det kun er de personer i virksomheten som har berettiget behov for tilgang til personopplysninger som faktisk får det.
Skulle mot formodning et sikkerhetsbrudd inntreffe slik at personopplysninger kommer på avveie, plikter Audit AS å varsle kunden som igjen da må varsle de personer det gjelder og evt. Datatilsynet.
Audit AS skal sørge for at system og rutiner gjennomgås årlig, og at sikkerhet kontrolleres.
Videre skal Audit AS sørge for at oppbevaring av data skjer innenfor EØS området, og at dette etterleves også ved evt. kjøp av lagringstjeneste fra underleverandører.
Audit AS må organisere lagring av data på en slik måte at sletting av personopplysninger for hver enkelt kunde enkelt kan utføres.
Denne databehandleravtalen gjelder så lenge Audit AS behandler personopplysninger på vegne av sin kunde.
Dersom kunden avdekker brudd på denne avtalen eller personopplysningsloven, kan de instruere Audit AS som databehandler å umiddelbart stoppe behandlingen av personopplysninger.
Ved avslutning av kundeforhold plikter Audit AS å slette alle personopplysninger som er mottatt og behandlet på vegne av den aktuelle kunden. Dette må gjøres i alle ledd, også sikkerhetskopi slettes. Det kan dog avtales at kunden skal ha mulighet til å lese sine data i systemet også etter avslutning av ordinær lisens. I slike tilfeller kan sletting av data i systemet utsettes til utløpet av den avtalte perioden.
Etter endelig opphør av kundeforhold, skal Audit AS bekrefte til sin kunde at sletting er utført.
Eventuelle data om kunden som kreves oppbevart en angitt periode etter annen lov må Audit AS fortsatt beholde, feks. etter bokføringsregelverket.
Innhold i denne avtalen er underlagt norsk lovverk.
Som verneting vedtar partene Fredrikstad tingrett som er i Audit AS sin kontorkommune.