compliance

Databehandleravtale

For personopplysninger. Forklarer hvordan Safespring håndterer data på kundens vegne, hvilke instruksjoner som gjelder, og hvilke underbehandlere som kan være involvert.

Denne tekst er automatisk oversat for din bekvemmelighed. Du kan læse teksten på:

Engelsk (original) Giv feedback
.

Behandler vil behandle personopplysninger på vegne av kontrolløren når leverer tjenesten.

Denne databehandlingsavtalen («DPA») mellom kunden (nedenfor «kontrolløren») og Safespring AB (559075-0245) (nedenfor «behandleren») utgjør en del av avtalen, under hvilken prosessoren vil behandle personopplysninger på vegne av behandlingsansvarlig ved levering av tjenesten. Den behandlingsansvarlige er behandlingsansvarlig i forhold til behandlingen av personopplysningene. Behandleren er databehandler.

1. Dokumenter

1.1 Denne DPA består av dette hoveddokumentet og vedlegg 1, Instruksjoner og underprosessorer.

2. Definisjoner og tolkning

2.1 I denne DPA skal termer med store bokstaver ha betydningen som er angitt nedenfor eller hvis det ikke er definert her, betydningene angitt i gjeldende lovgivning eller avtalen.

GJELDENDE LOVGIVNING betyr

  1. GDPR og
  2. enhver gjeldende tilleggslovgivning til GDPR.

GDPR betyr forordning (EU) 2016/679 fra Europaparlamentet og rådet som endret, supplert og/eller variert fra tid til annen.

PERSONOPPLYSNINGER betyr personopplysningene (som definert i Gjeldende Lovgivning), spesifisert i vedlegg 1 til dette.

3. Instruksjoner

3.1 Behandleren skal behandle personopplysningene i samsvar med artikkel 28(3) og behandlingsansvarligs skriftlige instruksjoner angitt i vedlegg 1.

3.2 Behandleren kan ikke behandle personopplysningene for andre formål eller på annen måte enn det som er instruert av behandlingsansvarlig fra tid til annen. Partene skal oppdatere vedlegg 1 ved nye eller endrede instrukser.

3.3 Uavhengig av det ovennevnte kan Behandleren påta seg rimelige daglige handlinger med personopplysningene uten å ha mottatt spesifikke skriftlige instruksjoner fra behandlingsansvarlig, forutsatt at databehandleren handler for og innenfor rammen av formålene angitt i vedlegg 1.

3.4 I tilfelle prosessoren anser at noen instruks bryter gjeldende lovgivning, skal Databehandleren avstå fra å handle på slike instruksjoner og skal umiddelbart varsle den behandlingsansvarlige og avvente endrede instruksjoner.

4. Den behandlingsansvarliges plikt til å behandle data lovlig

4.1 Den behandlingsansvarlige skal sikre at en juridisk grunn anerkjent iht Gjeldende lovgivning gjelder for behandling av personopplysningene. Den behandlingsansvarlige skal videre oppfylle alle andre forpliktelser til en behandlingsansvarlig i henhold til gjeldende lovgivning.

4.2 Behandlingsansvarligs instruksjoner for behandling av Personlig Data skal være i samsvar med gjeldende lovgivning. Den behandlingsansvarlige skal ha eneansvar for nøyaktigheten, kvaliteten og lovligheten til personopplysningene og måten den ervervet personopplysningene på.

5. Sikkerhetstiltak

5.1 Behandleren skal opprettholde passende tekniske og organisatoriske tiltak i samsvar med artikkel 32 i GDPR for å sikre at personopplysningene er beskyttet mot ødeleggelse, modifikasjon og spredning. Behandler skal videre sørge for at personopplysninger er beskyttet mot uautorisert tilgang og at tilgangshendelser er loggført og sporbare.

5.2 Behandleren skal sørge for

  1. at kun autoriserte ansatte har tilgang til personopplysningene,
  2. at de autoriserte ansatte behandler personopplysningene kun i i samsvar med denne DPA og kontrollørens instruksjoner og
  3. at hver autorisert medarbeider er bundet av en taushetsplikt forpliktelse overfor Behandler i forhold til personopplysningene.

5.3 Behandleren skal varsle behandlingsansvarlig uten ugrunnet opphold og, der det er mulig, innen 48 timer etter at du ble oppmerksom på et brudd på personopplysninger. Slik melding skal, der det er mulig, minst inneholde informasjonen beskrevet i artikkel 33.3 i GDPR.

5.4 Behandleren skal opprettholde en informasjonssikkerhetsstyring system tilpasset ISO 27001 eller tilsvarende standard.

6. Behandlerens plikter til å bistå

6.1 Behandleren skal bistå den behandlingsansvarlige med oppfyllelsen av den behandlingsansvarliges plikt til å sikre at de registrerte kan utøve sine rettigheter i henhold til gjeldende lovgivning ved å sikre hensiktsmessige tekniske og organisatoriske tiltak. Databehandleren skal uten ugrunnet opphold og under hensyntagen til behandlingens art videre bistå behandlingsansvarlig i forhold til behandlingsansvarligs forpliktelser i henhold til artikkel 32-36 i GDPR.

7. Underbehandlere

7.1 Behandleren kan engasjere tredjeparter til å behandle det personlige Data eller deler derav på dens vegne (“underbehandler”). Der prosessoren har til hensikt å engasjere en ny underprosessor, må behandlingsansvarlig informeres skriftlig om dette. Den nye underprosessoren kan behandle

Personopplysninger dersom behandlingsansvarlig ikke har protestert skriftlig 30 dager etter at slik informasjon ble gitt. Underprosessorer er oppført i vedlegg 1, som skal oppdateres ved endringer i underprosessorene.

7.2 Behandleren skal inngå en skriftlig avtale med hver Underbehandler, der hver underbehandler påtar seg forpliktelser som i det minste gjenspeiler de påtatt av Behandleren under denne DPA. Behandleren er ansvarlig overfor den behandlingsansvarlige for sine underbehandleres handlinger og unnlatelser som for sine egne.

7.3 I tilfelle kontrolløren protesterer mot enhver ny underprosessor i i samsvar med avsnitt 7.1, skal prosessoren avstå fra å bruke slik underprosessor. Hvis dette ikke er praktisk eller kommersielt rimelig i henhold til Behandleren, skal Behandleren etter eget skjønn ha rett til enten

8. Overføringer til tredjeland

8.1 Behandleren har rett til å overføre personopplysninger utenfor EU/EØS, eller engasjere en underbehandler for å behandle personopplysninger utenfor EU/EØS, kan Behandleren overføre personopplysninger utenfor EU/EØS der passende sikkerhetstiltak er på plass i samsvar med gjeldende lovgivning og at Behandleren har et gjeldende juridisk grunnlag for slik overføring. Databehandleren skal på behandlingsansvarligs anmodning fremlegge dokumentert bevis som viser det gjeldende rettslige grunnlaget for overføringen.

8.2 Partene erkjenner at lover, praksis og annet relevant omstendigheter i tredjeland, inkludert forespørsler fra offentlige myndigheter, kan endres i løpet av denne avtalens løpetid. Der slike endringer skjer, skal tilstrekkeligheten av de tekniske og organisatoriske tiltakene som er på plass vurderes på nytt for å sikre at personopplysninger fortsatt beskyttes i samsvar med EUs databeskyttelsesstandarder.

9. Revisjon

9.1 På behandlingsansvarligs forespørsel vil prosessoren gi til Behandlingsansvarlig informasjon som er nødvendig for å demonstrere prosessorens overholdelse av sine forpliktelser i henhold til gjeldende lovgivning og denne DPA.

9.2 Hvis kontrolleren, til tross for at han har mottatt informasjonen angitt i Avsnitt 9.1 ovenfor, har en legitim grunn til å mistenke at Databehandleren ikke oppfyller sine forpliktelser i henhold til gjeldende lovgivning og denne DPA, skal behandlingsansvarlig ha rett til med 30 dagers skriftlig varsel å foreta en revisjon av Databehandlerens behandling av personopplysningene og informasjon som er relevant i den forbindelse. Revisjon skal begrenses til én gang per år og skal ikke forstyrre prosessorens drift. Databehandleren skal bistå behandlingsansvarlig og offentliggjøre all informasjon som er nødvendig for at behandlingsansvarlig skal kunne gjennomføre slik revisjon. Den behandlingsansvarlige skal bære kostnadene for slik revisjon.

9.3 Hvis en datatilsynsmyndighet utfører en revisjon av Behandler som kan innebære behandling av personopplysninger, skal Behandleren umiddelbart varsle behandlingsansvarlig om dette.

10. Kostnader

10.1 Behandleren skal ha rett til godtgjørelse til enhver tid brukt for å overholde seksjon 6 i samsvar med tjenesteavgiften for profesjonelle tjenester som angitt i tjenesteordren eller på annen måte som angitt i databehandlerens generelle prisliste for konsulenttjenester. Den behandlingsansvarlige skal videre bære alle kostnader som påløper av databehandleren på grunn av eventuelle endrede eller tilleggsinstruksjoner gitt av behandlingsansvarlig angående behandlingen av personopplysningene.

11. Ansvarsbegrensning

11.1 Behandlerens ansvar som oppstår fra eller relatert til denne DPA er underlagt bestemmelsene om ansvarsbegrensning angitt i Avtalen.

12. Konfidensialitet

12.1 Behandleren forplikter seg til ikke å avsløre eller gi noen Personopplysninger, eller annen informasjon relatert til personopplysningene, til en tredjepart. For å unngå tvil skal ingen underbehandler anses som en tredjepart for formålene i denne seksjon 12. Denne konfidensialitetsforpliktelsen vil fortsette å gjelde også etter oppsigelsen av denne DPA uten tidsbegrensning.

12.2 Uavhengig av avsnitt 12.1 ovenfor, kan prosessoren avsløre slik informasjon dersom Databehandleren er forpliktet til dette ved lov, dom fra domstol eller ved avgjørelse fra en kompetent myndighet. Når en slik forpliktelse oppstår, skal Databehandleren umiddelbart varsle den behandlingsansvarlige skriftlig før offentliggjøring, med mindre det er begrenset til å gjøre det i henhold til gjeldende lovgivning.

12.3 Behandleren skal gjøre tilgjengelig et kontaktpunkt for databeskyttelse og sikkerhetsspørsmål.

gdpr@safespring.com

13. Retur og sletting av data

13.1 Behandlingsansvarlig skal ved oppsigelse av Avtalen eller dette DPA instruerer prosessoren skriftlig om de skal overføre personopplysningene til behandlingsansvarlig (slik overføring skal gjøres i et vanlig maskinlesbart format). Behandleren vil slette personopplysningene fra sine systemer tidligst 30 dager og senest 40 dager etter ikrafttredelsesdatoen for oppsigelse av avtalen. Behandler skal bekrefte sletting skriftlig på forespørsel.

14. Termin

14.1 Denne databeskyttelsesmyndigheten skal, til tross for avtalens vilkår, trer i kraft når Databehandleren begynner å behandle personopplysninger på vegne av behandlingsansvarlig og skal avsluttes når databehandleren har slettet personopplysningene i samsvar med punkt 13 ovenfor.

Innhold

Innhold

Safespring er en rask og fleksibel sky- og IT-infrastrukturtjeneste.

Som en nordisk løsning gjør Safespring det enklere for deg å oppfylle lover og regler, som GDPR.

Lær mer om

Se demo

La en av våre Cloud Architects vise deg vår plattform.

Se demo
×
Safespring Linkedin Safespring X Safespring GitHub Safespring YouTube Safespring Facebook

Velg språk

Norsk (Bokmål) flag English flag Svenska flag Dansk flag

Sertifiseringer

ISO 27001 FR2000

© Safespring AS (918 269 649) 2017-2026