Databehandleravtale

Databehandleravtale mellom Kunde (Behandlingsansvarlig) og Berg-Hansen Reisebureau AS (Databehandler).

1. Bakgrunn, formål og definisjoner
Partene til denne Databehandleravtalen har inngått en avtale («Avtalen») på bakgrunn av leveranse av reisebyråtjenester. Denne Databehandleravtalen regulerer partenes rettigheter og forpliktelser for å sikre at all Behandling av Personopplysninger skjer i henhold til gjeldende lovgivning om behandling av personopplysninger, herunder EUs personvernforordning 2016/679 («GDPR») og norsk lovgivning som gjennomfører denne.

Databehandler vil behandler personopplysninger i den utstrekning det er nødvendig for å oppfylle Avtalen, som spesifisert i Vedlegg 1. Bakgrunnen for, karakteren av, formålet med, kategorier av personopplysninger og kategorier av registrerte personer er spesifisert i Vedlegg 1.

Databehandler vil behandle personopplysninger for følgende formål:

• Bestillingstjeneste for reiselivstjenester
• Tilrettelegging av gruppereiser, møter- og events
• Distribusjon av relevant reiseinformasjon
• Behandle reiseregninger

Avtalen omfatter følgende kategorier av registrerte: f.eks. ansatte, innleide konsulenter, gjester, deltagere på gruppereiser, møte- og events.

Begrepene «personopplysning», «sensitive personopplysninger», «behandling», «Behandlingsansvarlig», «Databehandler», «Den registrerte», etc. brukt i denne Databehandleravtalen skal ha samme betydning som etter GDPR og gjeldende personvernlovgivning.

2. Behandlingsansvarliges plikter
Behandlingsansvarlig bekrefter at Behandlingsansvarlig:

• har tilstrekkelig hjemmelsgrunnlag for Behandling av Personopplysninger,
• har rett til å la Databehandler behandle Personopplysningene,
• har ansvaret for nøyaktigheten, integriteten, innholdet, pålitelighet og lovligheten av Personopplysningene,
• oppfyller gjeldende lovkrav om eventuell melding og konsesjon til aktuelle tilsynsmyndigheter,
• har informert den som personopplysningene gjelder i tråd med gjeldende lovgivning

Behandlingsansvarlig skal:

• svare på henvendelser fra de registrerte om Behandling av Personopplysninger i henhold til denne Databehandleravtalen,
• vurdere nødvendigheten av spesifikke tiltak som angitt i denne Databehandleravtalens pkt. 3.3.2 og 3.3.4, og bestille slike tiltak fra Databehandler.

Behandlingsansvarlig skal implementere tilstrekkelige tekniske og organisatoriske tiltak for å sikre og demonstrere overholdelse av EU-forordning 2016/679.

Behandlingsansvarlig har plikt til å melde avvik til aktuelle tilsynsmyndigheter og eventuelt til de registrerte uten ugrunnet opphold i henhold til gjeldende lovgivning.

3. Databehandlers forpliktelser
3.1. Overholdelse av gjeldende rett
Databehandler skal overholde alle bestemmelser for beskyttelse av Personopplysninger fastsatt i denne Databehandleravtalen. Databehandler skal overholde instrukser og rutiner fastsatt av Behandlingsansvarlig  for behandling av Personopplysninger. Databehandler skal umiddelbart informere Behandlingsansvarlig hvis en behandling av Personopplysninger er i strid med GDPR eller annen gjeldende personvernlovgivning.

Databehandler skal i rimelig utstrekning bistå Behandlingsansvarlig i å sikre og dokumentere overholdelse av den Behandlingsansvarliges plikter etter gjeldende lovgivning om Behandling av Personopplysninger.

3.2. Restriksjoner for behandling
Databehandler skal bare behandle Personopplysninger på, og i samsvar med instruks fra Behandlingsansvarlig, unntatt når:

i) Databehandler er forpliktet til å behandle Personopplysninger i henhold til preseptorisk lovgivning. I så fall skal Databehandler varsle Behandlingsansvarlig for behandlignen begynner, med mindre slik varsling er forbudt.
ii) Databehandler må behandle Personopplysninger for å oppfylle sine forpliktelser overfor Behandlingsansvarlig etter Avtalens opphør. I så fall skal denne Databehandleren gjelde inntil behandlingen opphører.

3.3. Informasjonssikkerhet
3.3.1. Plikt til å sikre informasjonssikkerhet
Databehandler skal ved planlagte, systematiske, organisatoriske og tekniske tiltak sikre tilstrekkelig informasjonssikkerhet med hensyn til konfidensialitet, integritet, og tilgjengelighet i forbindelse med Behandling av Personopplysninger i samsvar med GDPR artikkel 32.

Tiltakene og internkontrolldokumentasjonen gjøres tilgjengelig for Behandlingsansvarlig på forespørsel.

3.3.2. Vurdering av tiltak
I vurderingen av hvilke tekniske og organisatoriske tiltak som skal implementeres, skal Databehandler, i samråd med Behandlingsansvarlig om nødvendig, ta i betraktning:

• beste praksis,
• kostnaden ved implementering,
• karakteren og omfanget av behandlingen,
• konteksten og formålet med behandlingen,
• alvorlighet av den risiko Behandlingen av Personopplysninger medfører for den registrertes rettigheter.

Databehandler skal, i samråd med Behandlingsansvarlig om nødvendig, vurdere:

• Implementering av pseudonymisering og kryptering av Personopplysninger
• Evnen til å sikre løpende konfidensialitet, integritet, tilgjengelighet og robustheten til systemer for behandling og tjenester
• Evnen til å gjenopprette tilgjengelighet og tilgang til personopplysninger til rett tid i tilfelle fysiske eller tekniske hendelser
• En prosess for jevnlig testing, vurdering og evaluering av effektiviteten til tekniske og organisatoriske tiltak for sikkerheten til Behandlingen

Partene kan avtale spesifikke tekniske og organisatoriske sikkerhetstiltak i et vedlegg til denne databehandleravtalen.

3.3.3. Henvendelser fra de registrerte
Tatt i betraktning arten av Behandlingen, skal Databehandler implementere tekniske og organisatoriske tiltak for bistå Behandlingsansvarlig med å svare på henvendelser angående utøvelse av de registrertes rettigheter.

3.3.4. Bistand til Behandlingsansvarlig
Databehandler skal gi bistand slik at Behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift, herunder bistå Behandlingsansvarlig med å:

• Implementere tekniske og organisatoriske tiltak som nevnt over,
• overholde varslingsplikt til tilsynsmyndigheter og registrerte personer som følge av avvik,
• utføre vurdering av personvernkonsekvenser («data privacy impact assessments»),
• utføre forutgående drøftelser med tilsynsmyndigheter når en vurdering av personvernkonsekvenser gjør det nødvendig
• varsle Behandlingsansvarlig dersom Databehandler mener at en instruks fra Behandlingsansvarlig er i strid med gjeldende personvernregelverk.

Bistand som nevnt over, skal utføres i den utstrekning det er nødvendig ut fra Behandlingsansvarlig sitt behov, karakteren av behandlingen og informasjonen tilgjengelig for Databehandler.  

3.3.5. Kompensasjon
Bistand fra Databehandler i forbindelse med særskilte rutiner og instrukser pålagt av Behandlingsansvarlig (utover det lovpålagte), skal kompenseres av Behandlingsansvarlig i samsvar med Databehandlers vanlige betingelser og timesatser.

3.4. Avvik og avviksmeldinger
Enhver bruk av informasjonssystemene og Personopplysninger i strid med etablerte rutiner, instrukser fra Behandlingsansvarlig eller gjeldende lovgivning om behandling av personopplysninger, så vel som sikkerhetsbrudd, skal behandles som avvik.

Databehandler skal ha rutiner og systematiske prosesser for å følge opp avvik, som skal inkludere reetablering av normaltilstanden, eliminasjon av årsaken til avviket, og hindre gjentagelse.

Databehandler skal umiddelbart varsle Behandlingsansvarlig om

i) ethvert brudd på denne Avtalen;
ii) utilsiktet, ulovlig eller uautorisert tilgang, bruk eller utlevering av Personopplysninger;
iii) at Personopplysninger  kan ha blitt kompromittert;
iiii) brudd på Personopplysningenes integritet.

Databehandler skal gi Behandlingsansvarlig all informasjon nødvendig for å sette Behandlingsansvarlig i stand til å overholde gjeldende lovgivning om behandling av personopplysninger og sette Behandlingsansvarlig i stand til å besvare henvendelser fra datatilsynsmyndigheter. Det er Behandlingsansvarlig sitt ansvar å melde avvik til Datatilsynet i henhold til gjeldende lovgivning.

3.5. Konfidensialitet
Databehandler har taushetsplikt om personopplysninger og annen konfidensiell informasjon, herunder men ikke begrenset til, forretningshemmeligheter. Databehandler skal sikre at alle som utfører arbeid for Databehandler, enten ansatte eller innleide, som har tilgang til eller er involvert i Behandling av personopplysninger etter Avtalen (i) er underlagt taushetsplikt og er tilgjengelig kun på en «need-to-know» basis, og (ii) er informert om og overholder forpliktelsene etter denne Databehandleravtalen. Taushetsplikten gjelder også etter opphør av Avtalen.

3.6. Sikkerhetsrevisjoner
Databehandler vil jevnlig foreta sikkerhetsrevisjoner for systemer og lignende som er relevant for Behandlingen av Personopplysninger som omfattes av denne Databehandleravtalen. Behandlingsansvarlig skal ha tilgang til rapporter som dokumenterer sikkerhetsrevisjoner.

Behandlingsansvarlig har rett til å kreve sikkerhetsrevisjon utført av uavhengig tredjepart. Vedkommende tredjepart vil utarbeide en rapport som vil bli overlevert Behandlingsansvarlig på forespørsel. Behandlingsansvarlig er innforstått med at Databehandler kan beregne seg en særskilt godtgjørelse for gjennomføringen av revisjonen.

Behandlingsansvarlig kan vise slik rapport til tilsynsmyndigheter og andre som har krav på å kjenne innholdet.

3.7. Bruk av underleverandører
Enhver underleverandør skal godkjennes av Behandlingsansvarlig før underleverandøren kan behandle personopplysninger. Databehandler har rett til å benytte underleverandører og Behandlingsansvarlig aksepterer underleverandører som angitt i Vedlegg 2. Databehandler skal, i skriftlig avtale med enhver underleverandør, sikre at Behandling av Personopplysninger utført av underleverandører skal være underlagt de samme forpliktelser og begrensninger som de pålagt Databehandler i henhold til denne Databehandleravtalen. Databehandleren har i forhold til Behandlingsansvarlig fullt ansvar for underleverandørens utførelse av sine forpliktelser.

4. Overføring av personopplysninger til tredjeland
Dersom Databehandler benytter underleverandør(er) utenfor EU/EØS («Tredjeland») for behandling av personopplysninger, må Behandlingen skje i henhold til EUs standardavtaler for overføring til tredjeland eller annet akseptert og spesifikt angitt grunnlag for overføring til tredjeland. For å unngå tvil, gjelder det samme dersom opplysningene lagres i EU/EØS, men kan aksesseres av personell som er lokalisert utenfor EU/EØS.

Dersom Behandlingsansvarlig godkjenner slik overføring, skal Databehandler samarbeide med Behandlingsansvarlig om å sikre lovligheten av overføringene.

5. Ansvar, brudd
I tilfelle brudd på denne Databehandleravtalen, eller forpliktelser etter gjeldende lovgivning om Behandling av Personopplysninger, skal de relevante bestemmelser om brudd i Avtalen komme til anvendelse.

Krav fra en Part som følge av den andre Partens manglende oppfyllelse etter Databehandleravtalen skal være omfattet av de samme ansvarsbegrensninger som følger av Avtalen. Med hensyn til om begrensningen i Avtalen er nådd, skal krav under denne Databehandleravtalen og Avtalen sees i sammenheng, og begrensningen i Avtalen skal sees på som en samlet begrensning.

Databehandler skal varsle Behandlingsansvarlig uten ugrunnet opphold dersom Databehandler ikke vil være, eller har grunn til å tro at den ikke vil være, i stand til å overholde sine forpliktelser etter denne Databehandleravtalen.

6. Varighet, avslutning av databehandleravtalen, endringer
Denne Databehandleravtalen skal gjelde fra den dato den er signert av begge parter og inntil Avtalen utløper, eller inntil Databehandlers plikt til ytelse av tjenester i henhold til Avtalen opphører av annen grunn, med unntak av de bestemmelser i Avtalen og Databehandleravtalen som fortsetter å løpe etter avslutning.

Ved avslutning av denne Databehandleravtalen skal Databehandler slette alle Personopplysninger og annen data med mindre preseptorisk lovgivning forhindrer Databehandler fra slik sletting.

Databehandler og dennes underleverandører skal umiddelbart stanse behandling av personopplysningene fra dagen fastsatt av Behandlingsansvarlig.

Databehandler har ikke rett til å beholde kopi av Personopplysninger eller annen data gitt av Behandlingsansvarlig i forbindelse med Avtalen eller denne Databehandleravtalen i noe format, og all fysisk og logisk tilgang til slike Personopplysninger eller data skal slettes.

Databehandler skal gi Behandlingsansvarlig en skriftlig erklæring, hvoretter Databehandler garanterer at alle Personopplysninger har blitt returnert eller slettet i henhold til Behandlingsansvarliges instrukser, og at Databehandler ikke har beholdt noen kopi, utskrift eller beholdt dataene i annet medium.

Forpliktelsene etter pkt. 3.5 og 4 skal fortsette å gjelde etter avslutning. Videre skal bestemmelsene i Databehandleravtalen gjelde fullt ut for eventuelle Personopplysninger beholdt av Databehandler i strid med dette pkt. 5.

Partene skal revidere denne Databehandleravtalen i tilfelle relevante endringer i gjeldende lovgivning.

7. Tvister og jurisdiksjon
Denne Databehandleravtalen skal være underlagt og tolkes i samsvar med norsk rett. Verneting skal være Oslo tingrett.