Databehandleravtale

2.1 Databehandleren leverer programvaretjenester til den Behandlingsansvarlige i henhold til en særskilt serviceavtale (“Serviceavtalen”). Som ledd i leveringen av disse tjenestene behandler Databehandleren personopplysninger på vegne av den Behandlingsansvarlige.

2.2 Denne DBA regulerer Databehandlerens behandling av personopplysninger på vegne av den Behandlingsansvarlige og er en integrert del av Serviceavtalen.

4.1 Databehandleren skal kun behandle Opplysningene i samsvar med dokumenterte instruksjoner fra den Behandlingsansvarlige, herunder med hensyn til overføring av Opplysningene til et tredjeland eller en internasjonal organisasjon, med mindre det kreves i henhold til Gjeldende personvernlovgivning.

4.2 Databehandleren underretter umiddelbart den Behandlingsansvarlige dersom en instruks etter Databehandlerens oppfatning strider mot Gjeldende personvernlovgivning.

4.3 Databehandleren behandler Opplysningene i samsvar med denne DBA og vedlegg A, og kan ikke behandle Opplysningene til andre formål enn de som er angitt.

6.1 Den Behandlingsansvarlige er ansvarlig for å sikre at behandlingen av Opplysningene har et rettslig grunnlag i henhold til Gjeldende personvernlovgivning, og at de registrerte er informert om behandlingen.

6.2 Den Behandlingsansvarlige er ansvarlig for å gi Databehandleren de instruksjonene som er nødvendige for at Databehandleren skal kunne overholde sine forpliktelser.

7.1 Databehandleren behandler utelukkende Opplysningene på den Behandlingsansvarliges vegne og i samsvar med dokumenterte instruksjoner, med mindre Databehandleren er forpliktet til annet i henhold til Gjeldende personvernlovgivning.

7.2 Databehandleren bistår den Behandlingsansvarlige med å oppfylle sine forpliktelser, herunder vedrørende sikkerhet, varsling av brudd, konsekvensutredninger og forhåndskonsultasjon.

7.3 Databehandleren gir den Behandlingsansvarlige alle opplysninger som er nødvendige for å påvise overholdelse av forpliktelsene i artikkel 28 i personvernforordningen.

8.1 Databehandleren gjennomfører og opprettholder passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som tilsvarer risikoen ved behandlingen, herunder:

• Kryptering av Opplysningene under overføring med TLS 1.2 eller høyere
• Kryptering av Opplysningene i hvile med AES-256
• Kundeisolasjon: hvert kundemiljø kjøres på en fullt isolert database
• Tilgangskontroll basert på prinsippet om minste privilegium
• Løpende overvåking og logging av sikkerhetshendelser
• Regelmessig testing og evaluering av tiltakenes effektivitet

8.2 Databehandleren sikrer at de gjennomførte tiltakene til enhver tid oppfyller kravene i artikkel 32 i personvernforordningen.

9.1 Opplysningene lagres og behandles som utgangspunkt innenfor EU/EØS. Databehandleren overfører ikke Opplysningene til tredjeland uten den Behandlingsansvarliges forhåndsgodkjenning.

9.2 Dersom overføring til tredjeland blir nødvendig, sørger Databehandleren for at overføringen er tillatt i henhold til Gjeldende personvernlovgivning og inngår om nødvendig standardkontraktsbestemmelser i samsvar med Kommisjonens gjennomføringsbeslutning (EU) 2021/914.

9.3 Securapilots arkitektur støtter konfigurerbart valg av KI-modell per kunde. Den Behandlingsansvarlige kan velge sverigebaserte KI-tjenester (f.eks. Berget AI) for å sikre full nordisk datasuverenitet. Ingen personopplysninger sendes til KI-leverandører med mindre den Behandlingsansvarlige uttrykkelig aktiverer KI-funksjoner.

10.2 Databehandleren forplikter seg til å informere den Behandlingsansvarlige om eventuelle planer om å engasjere nye underdatabehandlere minst førtifem (45) dager før slike planer gjennomføres. Den Behandlingsansvarlige har rett til å protestere mot forslaget. Uten tilbakemelding innen 45 dager anses den Behandlingsansvarlige å ha akseptert planen.

10.3 Dersom den Behandlingsansvarlige protesterer mot en ny underdatabehandler og ingen løsning oppnås, har den Behandlingsansvarlige rett til å si opp den aktuelle tjenesten.

10.4 Avtaler med underdatabehandlere skal være skriftlige og pålegge underdatabehandleren tilsvarende forpliktelser som denne DBA pålegger Databehandleren. Databehandleren er ansvarlig dersom underdatabehandlere ikke oppfyller sine forpliktelser.

10.5 Dersom behandling av Opplysningene planlegges utført av en underdatabehandler i et tredjeland, gjelder punkt 9 tilsvarende.

11.1 Databehandleren sikrer at berørt personale overholder denne DBA og instruksjonene fra den Behandlingsansvarlige, og er informert om bestemmelsene i Gjeldende personvernlovgivning.

11.2 Tilgang til Opplysningene begrenses til de personene som trenger dem for å utføre sine arbeidsoppgaver, og som har påtatt seg taushetsplikt eller er underlagt lovbestemt taushetsplikt.

12.2 Den Behandlingsansvarlige kan eksportere og slette brukerdata direkte via plattformens administrasjonsgrensesnitt. For forespørsler som krever ytterligere bistand svarer Databehandleren innen ti (10) arbeidsdager.

12.3 Dersom en registrert person, Datatilsynet eller tredjepart kontakter Databehandleren med forespørsler vedrørende behandlingen, skal Databehandleren henvise til den Behandlingsansvarlige.

13.1 Ved brudd på personopplysningssikkerheten varsler Databehandleren den Behandlingsansvarlige senest fireogtyve (24) timer etter at Databehandleren har oppdaget bruddet.

13.2 Varselet skal inneholde opplysninger om:

1. Hendelsens art samt kategorier og omtrentlig antall registrerte og personopplysningsposter som er berørt
2. Kontaktopplysninger til personvernombudet eller annen kontaktperson hos Databehandleren
3. Sannsynlige konsekvenser av hendelsen
4. Tiltak som Databehandleren allerede har truffet eller planlegger å treffe
5. Øvrige opplysninger den Behandlingsansvarlige trenger for å oppfylle varslingsplikten overfor Datatilsynet (72-timersfristen i GDPR art. 33) og de registrerte

13.3 Databehandleren bistår den Behandlingsansvarlige med å oppfylle varslingsplikten overfor Datatilsynet og de registrerte.

15.1 Databehandleren lagrer ikke Opplysningene lenger enn nødvendig for oppfyllelsen av formålet eller hva som ellers følger av Gjeldende personvernlovgivning, denne DBA eller den Behandlingsansvarliges instruksjoner.

15.2 Ved avtalens opphør gjelder følgende:

• Den Behandlingsansvarlige kan eksportere alle data via plattformens eksportfunksjon i en overgangsperiode på tretti (30) dager
• Etter overgangsperioden slettes alle den Behandlingsansvarliges data — herunder databaseinnhold, opplastede filer og vektorinndelinger — permanent fra alle systemer, inkludert sikkerhetskopier, innen tretti (30) dager
• Databehandleren stiller skriftlig bekreftelse på slettingen til rådighet på forespørsel

15.3 Dersom sletting ikke er teknisk mulig, garanterer Databehandleren at Opplysningene anonymiseres på en måte som umuliggjør gjenidentifisering.

16.1 Den Behandlingsansvarlige har rett til selv eller gjennom et uavhengig tredjepartsrevisjonsselskap å gjennomgå Databehandlerens overholdelse av denne DBA og Gjeldende personvernlovgivning. Revisjoner gjennomføres med rimelig forhåndsvarsel og under iaktakelse av konfidensialitetsforpliktelser.

16.2 Databehandleren samarbeider ved revisjoner og gir tilgang til relevant dokumentasjon, systemer og personale. Databehandleren kan imøtekomme revisjonsforespørsler ved å stille uavhengige tredjepartsrevisjonsrapporter eller sertifiseringer til rådighet.

16.3 Inspeksjoner skal legges opp slik at de medfører minst mulig innvirkning på Partenes ordinære virksomhet.

16.4 Dersom den Behandlingsansvarlige ved gjennomgang konstaterer at Databehandleren behandler Opplysningene i strid med denne DBA, er Databehandleren forpliktet til umiddelbart å følge opp den Behandlingsansvarliges påpekning. Dersom retting ikke skjer i tide, har den Behandlingsansvarlige rett til å si opp DBA og Serviceavtalen med øyeblikkelig virkning.

16.5 Med mindre annet er skriftlig avtalt, bærer hver Part sine egne kostnader ved gjennomgang.

17.1 Databehandleren kan ikke utlevere Opplysningene eller andre opplysninger om behandlingen til tredjepart uten uttrykkelig instruks eller forhåndsgodkjenning fra den Behandlingsansvarlige, med mindre utleveringen følger av en lovmessig forpliktelse.

17.2 Partene forplikter seg til ikke å avsløre konfidensiell informasjon som de direkte eller indirekte har fått kjennskap til under samarbeidet, til tredjepart.

17.3 Partene overholder de til enhver tid gjeldende regler om forretningshemmeligheter.

17.4 Databehandleren sikrer at personer med tilgang til Opplysningene har påtatt seg taushetsplikt eller er underlagt lovbestemt taushetsplikt. Underdatabehandlere skal ha tilsvarende konfidensialitetsforpliktelser.

17.5 Konfidensialitetsforpliktelsene i dette punktet består etter DBA-ens opphør.

19.1 Dersom en Part handler i strid med denne DBA eller Gjeldende personvernlovgivning, holder denne Part den andre Part skadesløs for skade som slik handling har forårsaket, med mindre den skadevoldende Part kan godtgjøre at den på ingen måte er ansvarlig.

19.2 Under ingen omstendigheter er en Part ansvarlig for indirekte skader, slik som tapt fortjeneste, inntektstap, tap av data eller andre følgeskader. Denne begrensningen gjelder ikke ved grov uaktsomhet eller forsett.

19.3 Partenes ansvar overfor tredjepart reguleres i samsvar med artikkel 82 i personvernforordningen. Den Part som har betalt full erstatning for skade voldt tredjepart, har rett til å kreve tilbake den del av erstatningen som tilsvarer den andre Partens andel av ansvaret.

19.4 Ansvar for brudd på denne DBA reguleres for øvrig av vilkårene i Serviceavtalen.

20.1 Den Behandlingsansvarlige kan endre innholdet i denne DBA i den grad det er nødvendig for å imøtekomme krav som følger av Gjeldende personvernlovgivning. En slik endring trer i kraft tretti (30) dager etter at melding om endringen er kommet Databehandleren i hende. Dersom Databehandleren ikke aksepterer endringen, har den Behandlingsansvarlige rett til å si opp Serviceavtalen med øyeblikkelig virkning.

20.2 Øvrige endringer av og tillegg til denne DBA må for å være bindende utarbeides skriftlig og godkjennes av begge Parter.

21.1 DBA-en gjelder fra den inngås og så lenge Databehandleren behandler Opplysningene på vegne av den Behandlingsansvarlige.

21.2 Ved DBA-ens opphør skal Databehandleren og eventuelle underdatabehandlere enten tilbakelevere alle Opplysningene og kopier av disse til den Behandlingsansvarlige eller slette alle Opplysningene og bekrefte at dette er gjort, i samsvar med punkt 15.

21.3 Konfidensialitetsbestemmelsene i punkt 17 består etter DBA-ens opphør.

23.1 Alle meldinger og annen kommunikasjon i henhold til denne DBA skal utarbeides skriftlig og sendes via e-post, bud eller rekommandert brev til Partenes kontaktpersoner.

23.2 En melding anses mottatt: ved e-post på avsendingstidspunktet (forutsatt at ingen feilmelding mottas), ved bud på leveringstidspunktet, og ved rekommandert brev den tredje (3.) virkedagen etter innlevering til post.

24.1 Svensk rett gjelder for denne DBA, herunder all behandling av Opplysningene under DBA-en.

24.2 Tvister som oppstår i anledning av denne DBA løses i samsvar med tvisteløsningsmekanismen angitt i Serviceavtalen.