For SM PRIVACY POLICY click here (in English).
For PERSONVERNERKLÆRING klikk her.

Denne Databehandleravtale er i henhold til personopplysningslovens § 13, jf. § 15, personopplysningsforskriftens kapittel 2 og EU-forordningen General Data Protection Regulation (2016/679, fra 25. mai 2018).

Avtalen sikrer at personopplysninger ikke kommer på avveie eller brukes urettmessig.

Databehandler er Steinkjer Mekaniske AS.
Behandlingsansvarlig er kunden.

Innhold

  1. Avtalens hensikt
  2. Formål
  3. Databehandlers plikter
  4. Behandlingsansvarliges (Kundens) plikter
  5. Databehandlers bruk av personopplysninger
  6. Sikkerhet
  7. Bruk av underleverandører
  8. Sikkerhetsrevisjoner
  9. Avtalens varighet og tidsavgrenset behandling
  10. Endringer
  11. Ved opphør
  12. Meddelelser
  13. Lovvalg og verneting
  14. Særskilte bestemmelser

1. Avtalens hensikt

Avtalens hensikt er å regulere rettigheter og plikter etter Lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven), forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften) og General Data Protection Regulation (forordning 2016/679, gjeldende fra 1. juli 2018). Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende.

Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse i forbindelse med leveranse av produkter og tjenester.

2. Behandlingsformål

Formålet med databehandlerens behandling av personopplysninger på vegne av behandlingsansvarlig, er kun å levere og administrere tjenester, herunder drift og administrasjon av nettside og e-post tjenester (heretter omtalt som SM-tjenester).

Personopplysninger som overføres til databehandler kan ikke benyttes til andre formål enn drift og administrasjon av SM-tjenester. Databehandler har ikke råderett over personopplysningene og kan ikke behandle disse til egne formål.

3. Databehandlers plikter

Databehandler forplikter seg til å følge de rutiner og skriftlige instrukser for behandlingen av personopplysninger som behandlingsansvarlig til enhver tid har bestemt skal gjelde. Databehandler kan ikke behandle personopplysninger på andre måter enn det som følger av behandlingsansvarliges skriftlige instrukser.

Databehandler bekrefter at personopplysninger som behandles i tjenesten skjer på vegne av behandlingsansvarlig.

Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift.

Det skal spesifiseres og gis en oversikt over hvilke personopplysninger som databehandler skal behandle på vegne av behandlingsansvarlig og hvem opplysningene gjelder. Behandlingsansvarlig har rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til å oppnå innsyn.

Databehandler garanterer at personopplysninger ikke blir brukt til markedsføring, men kun til administrasjon og levering av tjenesten.

Dersom databehandler ønsker å anvende opplysningene til andre formål enn det som opprinnelig er avtalt, må databehandler få tillatelse til dette fra behandlingsansvarlig.

Hvis databehandler skal utlevere personopplysninger til tredjeparter, for eksempel andre virksomheter eller myndighetsorganer, må tillatelse fra behandlingsansvarlig fremskaffes.

Databehandler forplikter seg til å ivareta rettighetene til dem opplysningene gjelder for, herunder den registrertes rett til informasjon om hvordan databehandler forvalter personopplysningene, retten til innsyn i egne personopplysninger og retten til å kreve retting eller sletting av egne opplysninger.

Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen og plikter å hindre at uautoriserte får tilgang til informasjonen. Denne bestemmelsen gjelder også etter avtalens opphør. Taushetsplikten omfatter alle ansatte hos databehandleren og tredjeparter som utfører vedlikehold eller lignende av systemer som databehandler benytter for drift eller administrasjon av ISP-tjenester, der de aktuelle personopplysninger inngår. Unntaket er om offentlig myndighet etterspør dette med hjemmel i norsk lov. Databehandler skal gi sine ansatte nødvendig opplæring i hvordan behandlingsansvarliges personopplysninger skal håndteres i henhold til punktene i denne databehandleravtalen.

Databehandler kan bli erstatningsansvarlig overfor den registrerte dersom databehandler eller databehandlers underleverandører til tjenesten behandler personopplysningene på ulovlige måter.

Den registrerte har i henhold til GDPR rett til å få utlevert sine opplysninger fra databehandleren i et format som gjør det enkelt å overføre opplysningene til en annen leverandør, såkalt dataportabilitet.

Databehandler plikter å redegjøre for lovlighetsgrunnlaget som benyttes dersom personopplysninger skal overføres til land utenfor EØS-området, for eksempel ved bruk av underleverandører eller datasentre i slike land. Overføringen av opplysninger kan baseres på EUs standardkontrakt for overføring av personopplysninger til tredjeland.

4. Behandlingsansvarliges (Kundens) plikter

Den behandlingsansvarlige, heretter Kunden, er den som bestemmer formålet med behandlingen av personopplysninger.

Kunden er ansvarlig for og forplikter seg til at det ivaretas et lovlig behandlingsgrunnlag for personopplysningene som behandles i databehandlers SM-tjenester, og at de aktuelle behandlingene er i overensstemmelse med gjeldende lovgivning.

Kunden har ansvar og muligheter for innsyn, retting og sletting av personopplysninger. Databehandler plikter å bistå Kunde ved behov.

Kunden har taushetsplikt for innsyn i sikkerhetsdokumentasjon som databehandler utleverer på forespørsel fra Kunden. Taushetsplikten gjelder også etter avtaleforholdets opphør.

Kunden holder Databehandler skadesløs for ethvert krav fra tredjemann som rettes mot Databehandler vedrørende påstått ulovlig innhold på Kundens serverplass.

5. Databehandlers bruk av personopplysninger

Hovedkategorier av personopplysninger som blir lagret hos databehandler ved bruk av tjenesten:

  1. Kontaktpersoner og kontaktopplysninger
  2. Abonnementdata og -historikk
  3. Bestillingsdata og -historikk
  4. Faktura- og betalingshistorikk
  5. Logger
  6. Innloggingsinformasjon til tjenester.
  7. Lagringsdata
  8. Cookies

5.1 Kontaktpersoner og kontaktopplysninger

Firmanavn, fornavn, etternavn, postadresse, postnummer, sted, telefonnummer og e-postadresse.

5.2 Abonnementdata og -historikk

Bestillingsdato, utløpsdato, historikk, pris.

5.3 Bestillingsdata og -historikk

Bestillingsdato og historikk.

5.4 Faktura- og betalingshistorikk

Fakturaer og kvitteringer i ordresystem.

5.5 Logger

Logg over systemmailer, SMS som sendes ut fra databehandler, innkommende og utgående e-postkorrespondanse, handlinger som er gjennomført i kontrollpanelet og CRM-systemet, med angivelser av tidspunkt og IP-adresser. Logg over autorisert og uautorisert pålogging til tjenestene, med tidspunkt og IP-adresser.

5.6 Innloggingsinformasjon til tjenester

Krypterte brukernavn og passord for innlogging til kundesystem.

5.7 Lagringsdata

Behandlingsansvarligs data som er lagret på databehandlers servere og i databaser.

5.9 Cookies

Informasjonskapsler ved besøk på steinkjer-mekaniske.as. Se SM Privacy Policy: …/sm-privacy-policy (in English).

6. Sikkerhet

Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningslovens §§ 13 – 15 med forskrifter, samt GDPR.

Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene, herunder sikringstiltak for å ivareta konfidensialitet, integritet og tilgjengelighet. Sikkerhetstiltakene omfatter både organisatoriske, fysiske og tekniske sikkerhetstiltak. Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel.

Databehandler skal kun gi tilgang til behandlingsansvarliges personopplysninger til ansatte som er underlagt taushetsplikt og som har tjenstlig behov for tilgang. Databehandler plikter å dokumentere sine rutiner og retningslinjer for tilgangsstyring på forespørsel fra behandlingsansvarlig.

Databehandler plikter å loggføre all autorisert og forsøk på uautorisert bruk av SM-tjenester som omfatter de aktuelle personopplysningene, jf. personopplysningsforskriften § 2-16. Databehandler skal oppbevare loggene i minimum 3 måneder. Behandlingsansvarlig skal på forespørsel gis tilgang til loggene.

Avviksmelding etter personopplysningsforskriftens § 2-6 og GDPR skal skje ved at databehandler melder avviket til behandlingsansvarlig, herunder uautorisert tilgang, spredning, endring, skade, ødeleggelse eller utilgjengelighet. Sikkerhetsbruddet skal dokumenteres og varslingen skal skje så raskt som praktisk mulig. Varslingen skal inneholde informasjon om hvem som er berørt av bruddet, hvilke typer personopplysninger som er berørt og hva databehandler gjør for å håndtere og utbedre situasjonen. Behandlingsansvarlig har ansvaret for at avviksmeldingen sendes Datatilsynet.

Databehandler skal holde personopplysninger fra behandlingsansvarlig forsvarlig adskilt fra personopplysninger tilhørende andre kunder. Databehandler plikter å dokumentere dette på forespørsel fra den behandlingsansvarlige.

7. Bruk av underleverandører

Databehandler skal behandle personopplysninger på vegne av den behandlingsansvarlige innenfor Norske landegrenser. Kundeopplysninger på internasjonale domener og betalingstransaksjoner vil befinne seg utenfor Norske landegrenser i den grad underleverandører ikke befinner seg i Norge.

Dersom databehandler benytter seg av underleverandør eller andre som ikke normalt er ansatt hos databehandler skal dette avtales skriftlig med behandlingsansvarlig før behandlingen av personopplysninger starter.

Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser som databehandler, og opptre i samsvar med disse. Underleverandør er bundet av de samme reglene som gjelder for databehandlers behandling av personopplysninger.

Databehandler er ansvarlig overfor behandlingsansvarlig for avtalebrudd som eventuelle underleverandører til tjeneste gjør seg skyldig i.

For en oversikt over underleverandører hvor dine personopplysninger er berørt, gjennom SM-tjenester, vennligst ta kontakt med vår kunderservice, og referer til dokument «SMOU-03072018».

8. Sikkerhetsrevisjoner

Databehandler skal jevnlig gjennomføre sikkerhetsrevisjoner for systemer og lignende som omfattes av denne avtalen, herunder sikring mot uautorisert tilgang, spredning, endring, skade, ødeleggelse eller utilgjengelighet. Behandlingsansvarlig skal gis tilgang til revisjonsrapportene.

Dersom en uavhengig tredjepart gjennomfører sikkerhetsrevisjon hos databehandleren, skal behandlingsansvarlig informeres om dette og ha tilgang til revisjonsrapportene. Behandlingsansvarlig kan også, etter avtale, gjennomføre revisjoner hos databehandleren.

9. Avtalens varighet og tidsavgrenset behandling

Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig, frem til den dato levering av tjenesten opphører eller databehandleravtalen sies opp.

Ved brudd på denne avtale, personopplysningsloven eller GDPR kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.

Avtalen kan sies opp av begge parter med en gjensidig frist på 3. mnd, jf. punkt 11 i denne avtalen.

10. Endringer

Behandlingsansvarlig og databehandler kan endre avtalen ved nødvendig behov. Endring av avtalen forutsetter skriftlig aksept fra begge parter.

Den behandlingsansvarlige har ansvar for å sørge for revisjon av avtalen dersom endringer i personopplysningsloven, GDPR eller andre forhold tilsier endring.

11. Ved opphør

Ved opphør av denne avtalen, eller hvis tjenesten opphører å eksistere, plikter databehandler å tilbakelevere alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige og som omfattes av denne avtalen. Behandlingsansvarlig bestemmer når og hvordan sletting eller tilbakelevering av opplysningene skal skje.

Databehandler skal slette eller forsvarlig destruere alle dokumenter, data, cd-er osv, som inneholder opplysninger som omfattes av avtalen. Sletteplikten gjelder også for eventuelle sikkerhetskopier.

Databehandler skal slette logger om brukers aktivitet, kundeforhold samt andre digitale spor etter de frister som pålegges av den behandlingsansvarlige.

Databehandler skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør. Kostnader for destruksjon og dokumentasjon skal dekkes av behandlingsansvarlig.

Data slettes iht. personvernloven og etter 5 år iht. regnskapsloven. Bestillingsdata tas vare på i 3 år for dokumentasjon av bestillinger.

12. Meddelelser

Meddelelser etter denne avtalen skal sendes skriftlig til kontaktpersonen som er oppgitt på kundeforholdet. Du kan når som helst endre kontaktopplysningene ved å kontakte kundeservice.

13. Lovvalg og verneting

Avtalen er underlagt norsk rett og partene vedtar Inntrøndelag tingrett som verneting. Dette gjelder også etter opphør av avtalen.

14. Særskilte bestemmelser

Databehandler forplikter seg til å bistå behandlingsansvarlig med å utrede konsekvensene ved bruk av tjenester/teknologier som representerer en særlig høy risiko for personvernet. Databehandler forplikter seg til å bistå i dialog med Datatilsynet der personvernrisikoen (avdekket gjennom konsekvensutredning) vanskelig lar seg håndtere på en hensiktsmessig måte. Det henvises til at Datatilsynet har en liste over tjenester/teknologier hvor det er nødvendig å utrede personvernkonsekvensene før de tas i bruk. Avtalebestemmelser om konsekvensutredning vil være aktuelle når tjenester/teknologier på Datatilsynets liste driftes av eksterne leverandører.

Om spørsmål eller lignende ift. vår DATABEHANDLERAVTALE (GDPR), vennligst ring 741 00 150.

For SM PRIVACY POLICY click here (in English).
For PERSONVERNERKLÆRING klikk her.