Databehandleravtale

I denne databehandleravtalen skal foelgende termer ha foelgende betydninger:

"Personvernlovgivning": Refererer til (i) personvernforordningen og dens erstattende lover; (ii) gjeldende norsk personvernlovgivning; og (iii) de ovennevnte forskriftene og retningslinjene utstedt av Tilsynsmyndigheten og som gjelder for Partens virksomhet.

"Tilsynsmyndighet": Datatilsynet i det respektive landet og der det er aktuelt, annen kompetent tilsynsmyndighet som foerer tilsyn med Partens virksomhet i henhold til lov.

2.1. Vedlegg 1 til denne Avtalen angir hvilke personopplysninger som behandles, kategorier av registrerte og formaalet med behandlingen. Underdatabehandlere som er godkjent og som har tilgang til Kundens personopplysninger listes loepende paa www.tagd.ai.

3.1. Leverandoeren, i egenskap av databehandler, forplikter seg til aa behandle personopplysninger i samsvar med Personvernlovgivningen, denne Databehandleravtalen, Avtalen og Kundens dokumenterte instruksjoner til enhver tid. All behandling av personopplysninger som ikke er noedvendig for aa oppfylle Leverandoerens forpliktelser i henhold til Avtalen, inkludert at Leverandoeren utfoerer behandling for egne formaal, er ikke tillatt.

3.2. Kunden har rett til loepende aa gi Leverandoeren skriftlige instruksjoner angaaende Leverandoerens behandling av personopplysninger som behandles innenfor rammen av denne avtalen.

3.3. Databehandleren skal informere den behandlingsansvarlige dersom databehandleren blir oppmerksom paa at personopplysninger har blitt behandlet i strid med den behandlingsansvarliges instruksjoner, denne Databehandleravtalen eller gjeldende lov.

4.1. Gjennom denne Databehandleravtalen garanterer Leverandoeren at tekniske og organisatoriske sikkerhetstiltak som oppfyller kravene i gjeldende Personvernlovgivning, saerlig artikkel 32 i Personvernforordningen, er gjennomfoert og dermed sikrer at de registrertes rettigheter beskyttes. Slike tiltak innebaearer blant annet at Leverandoeren beskytter personopplysninger mot utilsiktet eller ulovlig oedeleggelse, tap eller endring, samt mot uautorisert utlevering og uautorisert tilgang. Kunden har rett til aa bli informert om iverksatte tiltak paa foresoersel.

4.2. Leverandoeren skal muliggoere de inspeksjoner som Tilsynsmyndigheten kan kreve for aa sikre at personopplysninger behandles i samsvar med gjeldende lov og denne Avtalen. Leverandoeren skal foelge Tilsynsmyndighetens beslutninger om tiltak for aa oppfylle sikkerhetskravene i samsvar med gjeldende Personvernlovgivning.

4.3. Leverandoeren garanterer videre at denne har kompetansen og ressursene til aa gjennomfoere de tekniske og organisatoriske tiltakene som oppfyller kravene i Personvernlovgivningen.

5.1. Leverandoeren faar ikke uten Kundens skriftlige samtykke overfoere personopplysninger som omfattes av denne avtalen utenfor EU/EOES-omraadet. Dette innebaearer blant annet at Leverandoeren ikke faar behandle personopplysninger med utstyr eller ressurser som befinner seg utenfor EU/EOES-omraadet. Dersom Partene blir enige om at personopplysninger skal overfoeres til et sted utenfor EU/EOES-omraadet, skal Partene sikre at overforingen er tillatt i henhold til Personvernlovgivningen og ved behov undertegne noedvendige standardavtaleklarusuler eller iverksette andre noedvendige tiltak.

6.1. Leverandoeren forplikter seg til aa informere Kunden skriftlig uten ugrunnet opphold om personopplysningsbruddet fra det tidspunkt det ble oppdaget av Leverandoeren. Informasjonen skal inneholde all noedvendig informasjon som kreves for at Kunden, der det er aktuelt, skal kunne oppfylle sin rapporterings- og/eller informasjonsplikt overfor Tilsynsmyndigheten og/eller de registrerte.

6.2. Leverandoeren skal for oevrig bistaa Kunden paa dennes foresoersel for aa sikre at Kunden kan oppfylle sine forpliktelser i henhold til Personvernlovgivningen. Dette kan for eksempel innebaearer at Leverandoeren bistaar Kunden; (i) ved oppfyllelsen av sine rapporterings-/informasjonsforpliktelser overfor Tilsynsmyndigheten og/eller de registrerte; (ii) ved aa gi Kunden all informasjon som rimelig kreves for aa bekrefte at Leverandoerens forpliktelser som databehandler i henhold til Personvernlovgivningen er oppfylt; (iii) ved oppfyllelsen av Kundens forpliktelser med hensyn til de registrertes rettigheter; (iv) ved gjennomfoeringen av risikoanalyser og konsekvensutredninger for personvern; og (v) ved forhaanskonsultasjon med Tilsynsmyndigheten.

7.1. Dersom en registrert, Tilsynsmyndighet eller annen tredjepart ber om informasjon fra Leverandoeren angaaende behandlingen av personopplysninger som behandles i henhold til denne Avtalen, skal Leverandoeren umiddelbart henvise slik foresoersel til Kunden og avvente dennes instruksjoner.

7.2. Leverandoeren skal uten ugrunnet opphold informere Kunden om all kontakt med registrerte, tilsynsmyndigheter eller andre tredjeparter som gjelder Leverandoerens behandling av personopplysningene. Leverandoeren har ikke rett til aa representere Kunden eller paa annen maate handle paa Kundens vegne i forhold til registrerte, tilsynsmyndigheter eller andre tredjeparter.

8.1. Kunden godkjenner herved bruken av de underdatabehandlerne som Leverandoeren allerede har engasjert og informert Kunden om paa sin nettside www.tagd.ai.

8.2. Leverandoeren forplikter seg til aa informere Kunden om eventuelle planer om aa engasjere nye underdatabehandlere og/eller erstatte eksisterende underdatabehandlere minst tretti (30) dager foer slike planer gjennomfoeres, med rett for Kunden til aa si opp Avtalen inkludert denne Databehandleravtalen dersom Kunden har rimelige grunner til ikke aa akseptere Leverandoerens engasjement av en ny underdatabehandler. Dersom Kunden ikke svarer Leverandoeren innen tretti (30) dager, anses Kunden aa ha godkjent Leverandoerens plan om aa engasjere/erstatte de underdatabehandlerne som Leverandoeren har informert om.

8.3. Kundens godkjenning i henhold til punktene 9.1 og 9.2 ovenfor skal betraktes som en saerlig tillatelse for Leverandoeren til aa inngaa en databehandleravtale paa Kundens vegne med underdatabehandlere som vil behandle personopplysninger. En slik databehandleravtale mellom Leverandoeren og en underdatabehandler maa vaeree en skriftlig avtale der underdatabehandleren paalegges de samme forpliktelsene som denne Databehandleravtalen paalegger Leverandoeren.

8.4. Leverandoeren er ansvarlig for at gjeldende regler i Personvernlovgivningen overholdes ved engasjement av underdatabehandlere. Leverandoeren skal iverksette alle noedvendige tiltak for aa sikre at underdatabehandleren behandler personopplysningene i samsvar med Databehandleravtalen og sikre at disse gir tilstrekkelige garantier for aa gjennomfoere egnede tekniske og organisatoriske tiltak.

9.1. Leverandoeren skal, paa Kundens foresoersel, for aa sikre at behandlingen skjer i samsvar med denne Avtalen, muliggoere og i rimelig utstrekning bidra til revisjoner, inkludert inspeksjoner og tilgang til Leverandoerens lokaler, som utfoeres av Kunden eller av en annen tredjepart paa vegne av Kunden.

9.2. Dersom Kunden engasjerer en tredjepart for aa utfoere en revisjon av Leverandoerens behandling av personopplysninger paa vegne av Kunden, skal Kunden sikre at en slik tredjepart undertegner en passende taushetserklaeaering for ikke aa utlevere informasjon til tredjeparter foer noen inspeksjon.

9.3. Transparens for revisjon, utlevering av informasjon og lignende skal skje paa det tidspunkt Kunden eller Tilsynsmyndigheten foresoeker, noe som saa langt som mulig skal planlegges paa tidspunkter og paa en maate som medforer minst mulig paavirkning paa Partenes respektive ordinaere virksomhet. Leverandoerens revisjon skal utfoeres i samsvar med de sikkerhetstiltakene som Leverandoeren fastsetter, forutsatt at tiltakene ikke forhindrer eller medfoerer betydelige vanskeligheter ved gjennomfoeringen av revisjonen. Med mindre annet er fastsatt i en separat skriftlig avtale, skal hver Part baeere sine egne kostnader i forbindelse med slik revisjon og for tilgjengeliggjoeringen av informasjon.

10.1. I tillegg til taushetsplikten som foelger av Avtalen, forplikter Leverandoeren seg til ikke aa utlevere personopplysninger eller annen informasjon om behandlingen av personopplysninger til tredjeparter uten uttrykkelige instruksjoner fra Kunden. Leverandoeren skal sikre at enhver person som gis tilgang til behandlingen av personopplysninger har forpliktet seg til aa overholde taushetsplikten eller er underlagt en passende lovbestemt taushetsplikt i samsvar med kravene i Personvernlovgivningen. Denne taushetsplikten gjelder ikke overfor underdatabehandlere som det finnes underdatabehandleravtale med. En slik underdatabehandleravtale maa imidlertid inneholde en tilsvarende taushetsplikt for underdatabehandleren.

11.1 Med mindre annet er angitt her, har Leverandoeren ikke rett til noen kompensasjon for behandlingen av personopplysninger eller for paa annen maate aa oppfylle sine forpliktelser i henhold til Databehandleravtalen.

11.2 Ved endrede instruksjoner skal Kunden kompensere Leverandoeren for rimelige og dokumenterte oekte kostnader som foelge av de endrede instruksjonene, forutsatt at (i) de endrede instruksjonene er spesifikke for Kunden og ikke foelger av generelle krav til tjenestene som Leverandoeren leverer i henhold til Avtalen, slik som endret lovgivning eller markedspraksis, og (ii) Leverandoeren skriftlig varsler Kunden om kostnadsoekningen senest tre maaneder etter at Kunden har utstedt de endrede instruksjonene.

12.1. Ved erstatning for skade i forbindelse med behandling som gjennom en rettskraftig dom eller forlik skal betales til den registrerte paa grunn av brudd paa en bestemmelse i Databehandleravtalen og/eller den gjeldende bestemmelsen i Personvernlovgivningen, skal artikkel 82 i Personvernforordningen gjelde.

12.2. Overtredelsesgebyr i henhold til artikkel 83 i Personvernforordningen eller relevante bestemmelser i nasjonal personvernlovgivning skal baeeres av den parten som er ilagt et slikt gebyr.

12.3. Dersom noen av Partene blir oppmerksom paa en omstendighet som kan foere til skade for den andre parten, skal parten umiddelbart informere den andre parten om omstendigheten og aktivt samarbeide med den andre parten for aa forebygge og minimere slik skade. Videre skal hver Part vaeere ansvarlig overfor de registrerte for eventuell skade som den foraarsaker ved aa bryte sine forpliktelser i henhold til Personvernlovgivningen eller denne Databehandleravtalen. En Part som er gjenstand for et erstatningskrav fra registrerte og der det er sannsynlig at slik skade ble foraarsaket av den andre Parten, skal, for aa ha rett til aa overfoere noen del av skaden til den andre Parten, uten ugrunnet opphold skriftlig varsle den andre Parten om kravet og tillate den andre Parten aa paa egen bekostning delta i forsvaret mot kravet.

12.4. Det er saerlig avtalt at eventuelle ansvarsbegrensninger som ellers er avtalt mellom Kunden og Leverandoeren ogsaa skal gjelde for denne Databehandleravtalen.

Ved opphoer av Leverandoerens behandling av personopplysninger, uavhengig av aarsak, skal Leverandoeren, i samsvar med Kundens instruksjoner, enten (i) overfoere alle personopplysninger til Kunden paa den maaten, paa det mediet og i det formatet som er i samsvar med Kundens rimelige instruksjoner; eller (ii) permanent slette og oedelegge personopplysningene samt fjerne eksisterende kopier. Ved overfoering eller sletting i henhold til dette punktet skal Leverandoeren sikre at opplysningene ikke kan gjenskapes.

Denne Databehandleravtalen gjelder fra undertegning og saa lenge Leverandoeren behandler personopplysninger.

Ingen part har rett til aa overdra noen forpliktelser eller rettigheter i henhold til denne Databehandleravtalen til en tredjepart, verken helt eller delvis.

Denne Databehandleravtalen og all behandling av personopplysninger i henhold til avtalen reguleres av svensk lov, med unntak av gjeldende lovvalgsregler. Eventuell tvist angaaende tolkningen eller anvendelsen av denne Databehandleravtalen skal avgoeres i samsvar med Avtalens tvisteloesningsbestemmelser.