Databehandleravtale
YOGO.DK ApS Njalsgade 21F, 6. sal 2300 København S
CVR: 39467542
1 Innhold
2 Bakgrunn for databehandleravtalen 3 Den behandlingsansvarliges forpliktelser og rettigheter 4 Databehandleren handler etter instruks 5 Konfidensialitet 6 Behandlingssikkerhet 7 Bruk av underdatabehandlere 8 Overføring av opplysninger til tredjeland eller internasjonale organisasjoner 9 Bistand til den behandlingsansvarlige 10 Varsling om brudd på personopplysningssikkerheten 11 Sletting og tilbakelevering av opplysninger 12 Tilsyn og revisjon 13 Ikrafttredelse og opphør 14 Kontaktpersoner/kontaktpunkter hos den behandlingsansvarlige og databehandleren
Vedlegg A: Opplysninger om behandlingen Vedlegg B: Betingelser for databehandlerens bruk av underdatabehandlere og liste over godkjente underdatabehandlere Vedlegg C: Instruks vedrørende behandling av personopplysninger
2 Bakgrunn for databehandleravtalen
Denne avtalen fastsetter de rettigheter og forpliktelser som gjelder når YOGO (databehandleren) foretar behandling av personopplysninger på vegne av en kunde (den behandlingsansvarlige).
Avtalen er utformet med henblikk på partenes etterlevelse av artikkel 28, nr. 3, i Europaparlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger og om oppheving av direktiv 95/46/EF (Personvernforordningen/GDPR), som stiller spesifikke krav til innholdet i en databehandleravtale.
Databehandlerens behandling av personopplysninger skjer i forbindelse med den behandlingsansvarliges bruk av YOGOs system, som er beskrevet i YOGOs kjøpsbetingelser.
Databehandleravtalen og YOGOs kjøpsbetingelser er gjensidig avhengige og kan ikke sies opp særskilt. Databehandleravtalen kan dog, uten at det påvirker YOGOs kjøpsbetingelser, erstattes av en annen gyldig databehandleravtale. Dersom databehandleravtalen endres, skal YOGO gi beskjed om dette til den behandlingsansvarlige og fremsende den nye databehandleravtalen.
Denne databehandleravtalen har forrang fremfor eventuelle tilsvarende bestemmelser i andre avtaler mellom partene, herunder i YOGOs kjøpsbetingelser.
Til denne avtalen hører tre vedlegg. Vedleggene fungerer som en integrert del av databehandleravtalen.
Databehandleravtalens Vedlegg A inneholder nærmere opplysninger om behandlingen, herunder om behandlingens formål og karakter, typen av personopplysninger, kategoriene av registrerte og varigheten av behandlingen.
Databehandleravtalens Vedlegg B inneholder den behandlingsansvarliges betingelser for at databehandleren kan gjøre bruk av eventuelle underdatabehandlere, samt en liste over de eventuelle underdatabehandlere som den behandlingsansvarlige har godkjent.
Databehandleravtalens Vedlegg C inneholder en nærmere instruks om hvilken behandling databehandleren skal foreta på vegne av den behandlingsansvarlige (behandlingens gjenstand), hvilke sikkerhetstiltak som minimum skal iakttas, samt hvordan det føres tilsyn med databehandleren og eventuelle underdatabehandlere.
Databehandleravtalen med tilhørende vedlegg fremsendes til den behandlingsansvarlige på anmodning samt alltid i forbindelse med den behandlingsansvarliges oppstart av et samarbeid.
Denne databehandleravtalen fritar ikke databehandleren for forpliktelser som etter Personvernforordningen eller enhver annen lovgivning direkte er pålagt databehandleren.
3 Rettigheter og forpliktelser
Den behandlingsansvarlige har overfor omverdenen (herunder den registrerte) som utgangspunkt ansvaret for at behandlingen av personopplysninger skjer innenfor rammene av Personvernforordningen og personopplysningsloven.
Databehandleren skal alltid uten unødig opphold etterkomme rimelige anmodninger fra den behandlingsansvarlige med henblikk på å etterleve Personvernforordningen og personopplysningsloven.
Den behandlingsansvarlige er blant annet ansvarlig for at det foreligger hjemmel for den behandlingen som databehandleren instrueres i å foreta.
4 Databehandleren handler etter instruks
Databehandleren må kun behandle personopplysninger etter dokumentert instruks fra den behandlingsansvarlige, med mindre det kreves i henhold til EU-rett eller nasjonal rett som databehandleren er underlagt. I så fall underretter databehandleren den behandlingsansvarlige om dette rettslige kravet før behandling, med mindre den aktuelle lovgivningen forbyr en slik underretning av hensyn til viktige samfunnsmessige interesser, jf. art. 28, nr. 3, bokstav a.
Databehandleren underretter umiddelbart den behandlingsansvarlige dersom en instruks etter databehandlerens oppfatning er i strid med Personvernforordningen eller personvernbestemmelser i annen EU-rett eller nasjonal rett.
5 Konfidensialitet
Databehandleren sikrer at kun personer som har behov for tilgang i forbindelse med utøvelse av sitt arbeid for YOGO, har tilgang til de personopplysningene som behandles på vegne av den behandlingsansvarlige. Tilgangen til opplysningene skal umiddelbart stenges dersom personen ikke lenger har behov for tilgangen eller ikke lenger er tilknyttet YOGO.
Det må kun autoriseres personer for hvem det er nødvendig å ha tilgang til personopplysningene for å kunne oppfylle databehandlerens forpliktelser overfor den behandlingsansvarlige.
Databehandleren sikrer at de personene som er autorisert til å behandle personopplysninger på vegne av den behandlingsansvarlige, har forpliktet seg til konfidensialitet.
Databehandleren skal etter anmodning fra den behandlingsansvarlige kunne påvise at de relevante medarbeiderne er underlagt ovennevnte taushetsplikt.
Den behandlingsansvarlige har selv mulighet til å opprette brukere i systemet som har tilgang til personopplysningene.
6 Behandlingssikkerhet
Databehandleren iverksetter alle tiltak som kreves i henhold til Personvernforordningens artikkel 32, hvorav det bl.a. fremgår at det under hensyntagen til det aktuelle nivået, implementeringskostnadene og den aktuelle behandlingens karakter, omfang, sammenheng og formål samt risikoene av varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal gjennomføres passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som passer til disse risikoene.
Ovennevnte forpliktelse innebærer at databehandleren skal foreta en risikovurdering og deretter gjennomføre tiltak for å imøtekomme identifiserte risikoer. Det kan herunder bl.a., alt etter hva som er relevant, være tale om følgende tiltak:
a. Pseudonymisering og kryptering av personopplysninger b. Evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet av behandlingssystemer og tjenester c. Evne til rettidig å gjenopprette tilgjengeligheten av og tilgangen til personopplysninger i tilfelle av en fysisk eller teknisk hendelse d. En prosedyre for regelmessig testing, vurdering og evaluering av effektiviteten av de tekniske og organisatoriske tiltakene til sikring av behandlingssikkerheten
Databehandleren skal i forbindelse med ovennevnte, i alle tilfeller, som minimum iverksette det sikkerhetsnivået og de tiltakene som er spesifisert nærmere i denne avtalens Vedlegg C.
Partenes eventuelle regulering/avtale om vederlag eller lignende i forbindelse med den behandlingsansvarliges eller databehandlerens etterfølgende krav om etablering av ytterligere sikkerhetstiltak vil fremgå av YOGOs kjøpsbetingelser.
7 Bruk av underdatabehandlere
Databehandleren skal oppfylle de betingelsene som er omhandlet i Personvernforordningens artikkel 28, nr. 2 og 4, for å gjøre bruk av en annen databehandler (underdatabehandler).
Databehandleren må således ikke gjøre bruk av en annen databehandler (underdatabehandler) til oppfyllelse av databehandleravtalen uten forutgående spesifikk eller generell skriftlig godkjennelse fra den behandlingsansvarlige.
I tilfelle av generell skriftlig godkjennelse skal databehandleren underrette den behandlingsansvarlige om eventuelle planlagte endringer vedrørende tilføyelse eller erstatning av andre databehandlere, og derved gi den behandlingsansvarlige mulighet til å gjøre innsigelse mot slike endringer.
Den behandlingsansvarliges nærmere betingelser for databehandlerens bruk av eventuelle underdatabehandlere fremgår av denne avtalens Vedlegg B.
Den behandlingsansvarliges eventuelle godkjennelse av spesifikke underdatabehandlere er anført i denne avtalens Vedlegg B.
Når databehandleren har den behandlingsansvarliges godkjennelse til å gjøre bruk av en underdatabehandler, sørger databehandleren for å pålegge underdatabehandleren de samme personvernforpliktelsene som dem som er fastsatt i denne databehandleravtalen, gjennom en kontrakt eller annet rettslig dokument i henhold til EU-retten eller nasjonal rett, hvorved det navnlig stilles de nødvendige garantier for at underdatabehandleren vil gjennomføre de passende tekniske og organisatoriske tiltakene på en slik måte at behandlingen oppfyller kravene i Personvernforordningen. Databehandleren er således ansvarlig for, gjennom inngåelsen av en underdatabehandleravtale, å pålegge en eventuell underdatabehandler minst de forpliktelsene som databehandleren selv er underlagt etter personvernreglene og denne databehandleravtalen med tilhørende vedlegg.
Underdatabehandleravtalen og eventuelle senere endringer av denne sendes, etter den behandlingsansvarliges anmodning, i kopi til den behandlingsansvarlige, som herved har mulighet til å forsikre seg om at det er inngått en gyldig avtale mellom databehandleren og underdatabehandleren. Eventuelle kommersielle vilkår, eksempelvis priser, som ikke påvirker det personvernrettslige innholdet i underdatabehandleravtalen, skal ikke sendes til den behandlingsansvarlige.
Dersom underdatabehandleren ikke oppfyller sine personvernforpliktelser, forblir databehandleren fullt ansvarlig overfor den behandlingsansvarlige for oppfyllelsen av underdatabehandlerens forpliktelser.
8 Overføring av opplysninger til tredjeland eller internasjonale organisasjoner
Databehandleren må kun behandle personopplysninger etter dokumentert instruks fra den behandlingsansvarlige, herunder for så vidt angår overføring (overlating, videregivelse samt intern bruk) av personopplysninger til tredjeland eller internasjonale organisasjoner, med mindre det kreves i henhold til EU-rett eller nasjonal rett som databehandleren er underlagt. I så fall underretter databehandleren den behandlingsansvarlige om dette rettslige kravet før behandling, med mindre den aktuelle lovgivningen forbyr en slik underretning av hensyn til viktige samfunnsmessige interesser, jf. art. 28, nr. 3, bokstav a.
Uten den behandlingsansvarliges instruks eller godkjennelse kan databehandleren, innenfor rammene av databehandleravtalen, derfor bl.a. ikke:
a. videreformidle personopplysningene til en behandlingsansvarlig i et tredjeland eller i en internasjonal organisasjon, b. overlate behandlingen av personopplysninger til en underdatabehandler i et tredjeland, c. la opplysningene behandle i en annen av databehandlerens avdelinger som er plassert i et tredjeland.
Den behandlingsansvarliges eventuelle instruks eller godkjennelse av at det foretas overføring av personopplysninger til et tredjeland, vil fremgå av denne avtalens Vedlegg C.
9 Bistand til den behandlingsansvarlige
Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt mulig den behandlingsansvarlige ved hjelp av passende tekniske og organisatoriske tiltak, med oppfyllelse av den behandlingsansvarliges forpliktelse til å besvare anmodninger om utøvelsen av de registrertes rettigheter som fastsatt i Personvernforordningens kapittel 3.
Dette innebærer at databehandleren så vidt mulig skal bistå den behandlingsansvarlige i forbindelse med at den behandlingsansvarlige skal sikre overholdelsen av:
a. opplysningsplikten ved innsamling av personopplysninger hos den registrerte b. opplysningsplikten dersom personopplysninger ikke er innsamlet hos den registrerte c. den registrertes innsynsrett d. retten til retting e. retten til sletting («retten til å bli glemt») f. retten til begrensning av behandling g. varslingsplikten i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandling h. retten til dataportabilitet i. retten til innsigelse j. retten til å gjøre innsigelse mot resultatet av automatiske individuelle avgjørelser, herunder profilering
Databehandleren bistår den behandlingsansvarlige med å sikre overholdelse av den behandlingsansvarliges forpliktelser i henhold til Personvernforordningens artikkel 32-36, under hensyntagen til behandlingens karakter og de opplysningene som er tilgjengelige for databehandleren, jf. art. 28, nr. 3, bokstav f.
Dette innebærer at databehandleren, under hensyntagen til behandlingens karakter, skal bistå den behandlingsansvarlige i forbindelse med at den behandlingsansvarlige skal sikre overholdelsen av:
a. forpliktelsen til å gjennomføre passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som passer til de risikoene som er forbundet med behandlingen b. forpliktelsen til å melde brudd på personopplysningssikkerheten til tilsynsmyndigheten (Datatilsynet) uten unødig forsinkelse og om mulig senest 72 timer etter at den behandlingsansvarlige er blitt kjent med bruddet, med mindre det er usannsynlig at bruddet på personopplysningssikkerheten innebærer en risiko for fysiske personers rettigheter eller friheter c. forpliktelsen til, uten unødig forsinkelse, å varsle den/de registrerte om brudd på personopplysningssikkerheten, når et slikt brudd sannsynligvis vil innebære en høy risiko for fysiske personers rettigheter og friheter d. forpliktelsen til å gjennomføre en konsekvensanalyse vedrørende personvern dersom en type behandling sannsynligvis vil innebære en høy risiko for fysiske personers rettigheter og friheter e. forpliktelsen til å konsultere tilsynsmyndigheten (Datatilsynet) før behandling, dersom en konsekvensanalyse vedrørende personvern viser at behandlingen vil føre til høy risiko i mangel av tiltak truffet av den behandlingsansvarlige for å begrense risikoen
Partenes eventuelle regulering/avtale om vederlag eller lignende i forbindelse med YOGOs bistand til den behandlingsansvarlige vil fremgå av YOGOs kjøpsbetingelser.
10 Varsling om brudd på personopplysningssikkerheten
Databehandleren varsler uten unødig forsinkelse den behandlingsansvarlige etter å ha blitt oppmerksom på at det har skjedd brudd på personopplysningssikkerheten hos databehandleren eller en eventuell underdatabehandler.
Databehandlerens varsling til den behandlingsansvarlige skal om mulig skje senest 36 timer etter at denne er blitt kjent med bruddet, slik at den behandlingsansvarlige har mulighet til å etterleve sin eventuelle forpliktelse til å melde bruddet til tilsynsmyndigheten innenfor 72 timer.
I overensstemmelse med denne avtalens avsnitt 9, bokstav b, skal databehandleren, under hensyntagen til behandlingens karakter og de opplysningene som er tilgjengelige for denne, bistå den behandlingsansvarlige med å foreta melding av bruddet til tilsynsmyndigheten.
Det kan bety at databehandleren bl.a. skal hjelpe med å tilveiebringe nedenstående opplysninger, som etter Personvernforordningens artikkel 33, nr. 3, skal fremgå av den behandlingsansvarliges melding til tilsynsmyndigheten:
a. Karakteren av bruddet på personopplysningssikkerheten, herunder, dersom det er mulig, kategoriene og det omtrentlige antallet berørte registrerte samt kategoriene og det omtrentlige antallet berørte registreringer av personopplysninger b. Sannsynlige konsekvenser av bruddet på personopplysningssikkerheten c. Tiltak som er truffet eller foreslås truffet for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å begrense dets mulige skadevirkninger
11 Sletting og tilbakelevering av opplysninger
Ved opphør av tjenestene vedrørende behandling forpliktes databehandleren til, etter den behandlingsansvarliges valg, å slette eller tilbakelevere alle personopplysninger til den behandlingsansvarlige, samt å slette eksisterende kopier, med mindre EU-retten eller nasjonal rett foreskriver oppbevaring av personopplysningene.
12 Tilsyn og revisjon
Databehandleren stiller alle opplysninger som er nødvendige for å påvise databehandlerens overholdelse av Personvernforordningens artikkel 28 og denne avtalen, til rådighet for den behandlingsansvarlige, og gir mulighet for og bidrar til revisjoner, herunder inspeksjoner, som foretas av den behandlingsansvarlige eller en annen revisor som er bemyndiget av den behandlingsansvarlige.
Den nærmere prosedyren for den behandlingsansvarliges tilsyn med databehandleren fremgår av denne avtalens Vedlegg C.
Den behandlingsansvarliges tilsyn med eventuelle underdatabehandlere skjer som utgangspunkt gjennom databehandleren. Den nærmere prosedyren for dette fremgår av denne avtalens Vedlegg C.
Databehandleren er forpliktet til å gi myndigheter som etter den til enhver tid gjeldende lovgivningen har adgang til den behandlingsansvarliges og databehandlerens fasiliteter, eller representanter som opptrer på myndighetens vegne, adgang til databehandlerens fysiske fasiliteter mot behørig legitimasjon.
13 Ikrafttredelse og opphør
Denne avtalen trer i kraft når den behandlingsansvarlige tar YOGOs system i bruk.
Avtalen kan av begge parter kreves reforhandlet dersom lovendringer eller uhensiktsmessigheter i avtalen gir grunn til dette.
Partenes eventuelle regulering/avtale om vederlag, betingelser eller lignende i forbindelse med endringer av denne avtalen vil fremgå av YOGOs kjøpsbetingelser.
Oppsigelse av databehandleravtalen kan skje i henhold til de oppsigelsesvilkårene, inkl. oppsigelsesvarsel, som fremgår av YOGOs kjøpsbetingelser.
Avtalen er gjeldende så lenge behandlingen består. Uavhengig av YOGOs kjøpsbetingelser og/eller databehandleravtalens oppsigelse, vil databehandleravtalen forbli i kraft frem til behandlingens opphør og opplysningenes sletting hos databehandleren og eventuelle underdatabehandlere.
14 Kontaktperson hos databehandleren
Henvendelser vedrørende persondata o.l. kan rettes til nedenstående kontaktpersoner.
Databehandleren er forpliktet til løpende å orientere den behandlingsansvarlige om endringer vedrørende kontaktpersoner.
Magnus H. Friis, Partner/utvikler E-post: magnus@yogo.dk
Anders H. Straarup, Partner/utvikler E-post: anders@yogo.dk
Vedlegg A: Opplysninger om behandlingen
Formålet med databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige er:
At den behandlingsansvarlige kan anvende systemet YOGO, som eies og administreres av databehandleren, til å innsamle og behandle opplysninger om den behandlingsansvarliges medlemmer.
Behandlingen omfatter følgende typer av personopplysninger om de registrerte:
Navn, e-postadresse, telefonnummer, adresse, fødselsdato, type medlemskap, påmelding til og fremmøte til den behandlingsansvarliges klasser.
Behandlingen omfatter følgende kategorier av registrerte:
Personer som har opprettet en profil hos den behandlingsansvarlige, ved hjelp av YOGO.
Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige kan påbegynnes etter denne avtalens ikrafttredelse. Behandlingen har følgende varighet:
Behandlingen er ikke tidsbegrenset og varer inntil avtalen sies opp eller heves av en av partene.
Vedlegg B: Betingelser for databehandlerens bruk av underdatabehandlere og liste over godkjente underdatabehandlere
B.1 Betingelser for databehandlerens bruk av eventuelle underdatabehandlere
Databehandleren har den behandlingsansvarliges generelle godkjennelse til å gjøre bruk av underdatabehandlere. Databehandleren skal dog underrette den behandlingsansvarlige om eventuelle planlagte endringer vedrørende tilføyelse eller erstatning av andre databehandlere, og derved gi den behandlingsansvarlige mulighet til å gjøre innsigelse mot slike endringer. En slik underretning skal være den behandlingsansvarlige i hende minimum 1 måned før bruken eller endringen skal tre i kraft. Dersom den behandlingsansvarlige har innsigelser mot endringene, skal den behandlingsansvarlige gi melding om dette til databehandleren innen 14 dager etter mottak av underretningen. Den behandlingsansvarlige kan kun gjøre innsigelse dersom den behandlingsansvarlige har rimelige, konkrete grunner til dette.
B.2 Godkjente underdatabehandlere
Den behandlingsansvarlige har ved databehandleravtalens ikrafttredelse godkjent bruken av følgende underdatabehandlere:
Navn Beskrivelse av behandling Gateway API Håndterer utsendelse av SMS-er fra systemet Mailgun Håndterer utsendelse av e-poster fra systemet Amazon Web Services Leverer IT-infrastruktur som systemet kjører på. Alle data oppbevares på servere i EU (Frankfurt, Tyskland).
Den behandlingsansvarlige har ved databehandleravtalens ikrafttredelse spesifikt godkjent bruken av ovennevnte underdatabehandlere til nettopp den behandlingen som er beskrevet ut for parten. Databehandleren kan ikke, uten den behandlingsansvarliges spesifikke og skriftlige godkjennelse, anvende den enkelte underdatabehandleren til en annen behandling enn avtalt, eller la en annen underdatabehandler foreta den beskrevne behandlingen.
Vedlegg C: Instruks vedrørende behandling av personopplysninger
C.1 Behandlingens gjenstand/instruks
Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige skjer ved at databehandleren utfører følgende:
Håndterer den behandlingsansvarliges kunders data i forbindelse med den behandlingsansvarliges bruk av YOGO til å administrere klasser, kurs, betalinger mv.
C.2 Behandlingssikkerhet
Sikkerhetsnivået skal gjenspeile:
At de behandlede dataene inkluderer stamdata om de registrerte samt opplysninger om deres kjøp og bruk av den behandlingsansvarliges produkter, men som hovedregel ikke «særlige kategorier av personopplysninger», som beskrevet i Personvernforordningens artikkel 9.
Databehandleren er heretter berettiget og forpliktet til å treffe beslutninger om hvilke tekniske og organisatoriske sikkerhetstiltak som skal anvendes for å skape det nødvendige (og avtalte) sikkerhetsnivået omkring opplysningene.
C.3 Oppbevaringsperiode/sletterutine
Personopplysningene oppbevares hos databehandleren inntil den behandlingsansvarlige anmoder om å få opplysningene slettet eller tilbakelevert. Når en enkelt bruker/kunde slettes i systemet, skjer det konkret ved at kunden markeres som «slettet» og alle direkte identifiserbare opplysninger blir fjernet. Dvs. at navn, adresse, e-post, fødselsdato og eventuell beskrivende kommentar fjernes. Tilbake er en anonym bruker, slik at den behandlingsansvarlige fortsatt kan ta ut rapporter mv.
C.4 Nærmere prosedyrer for den behandlingsansvarliges tilsyn med den behandlingen som foretas hos databehandleren
Den behandlingsansvarliges eventuelle utgifter i forbindelse med et fysisk tilsyn bæres av den behandlingsansvarlige selv. Databehandleren er dog forpliktet til å avsette de ressursene (hovedsakelig den tiden) som er nødvendig for at den behandlingsansvarlige kan gjennomføre sitt tilsyn.