Databehandleravtale Skillhabit
Den engelske og tyske versjonen av dette dokumentet er juridisk bindende. Oversettelser til andre språk er kun tilgjengelig for enkelhets skyld.
1. Bakgrunn
1.1
Denne databehandlingsavtalen ("Databehandleravtale") inngås fra og med ikrafttredelsesdatoen for hovedavtalen (definert nedenfor) av og mellom TicTac Learn AB, org.nr. 556567-7266, Dockplatsen 1, 211 19 Malmö ("Databehandler") og Kunden (som definert i Hovedavtalen) som godtar hovedavtalen ("Behandlingsansvarlig").
1.2
Den behandlingsansvarlige og databehandleren (samlet kalt "Partene") har inngått en avtale om at databehandleren skal levere en skybasert plattform kalt Skillhabit ("Skillhabit") som brukes av den behandlingsansvarlige til å distribuere og følge opp kunnskap digitalt ("Hovedavtalen"). Innenfor rammen av hovedavtalen vil databehandleren behandle personopplysninger som den behandlingsansvarlige har ansvar for å behandle i henhold til lover og forskrifter om personvern ("Behandlingen").
1.3
Formålet med denne databehandleravtalen er å sikre at behandlingen skjer i samsvar med lover og forskrifter om personvern, instruksjoner gitt av den behandlingsansvarlige og det som ellers er avtalt mellom partene. Denne databehandleravtalen skal anses som en integrert del av hovedavtalen.
1.4
Ved eventuelle konflikter mellom bestemmelsene i denne databehandleravtalen og hovedavtalen, er det databehandleravtalen som gjelder.
2. Gjeldende lov og definisjoner
2.1
Behandlingen skal være underlagt gjeldende lover og forskrifter om personvern.
2.2
Med ”lover og forskrifter om personvern” menes alle gjeldende lover, forskrifter og regler som gjelder for behandling av personopplysninger, inkludert men ikke begrenset til EUs generelle personvernforordning 2016/679/EF samt eventuelle endringer, tillegg eller reguleringer som erstatter slike lover, forskrifter og regler.
2.3
Med mindre annet er angitt i denne databehandleravtalen, skal begreper brukt i databehandleravtalen ha samme betydning som i gjeldende lover og forskrifter om personvern.
3. Den behandlingsansvarliges ansvar
3.1
Når det gjelder registrerte personer, er det den behandlingsansvarliges ansvar å sikre at de juridiske kravene til behandlingen oppfyller gjeldende krav i lover og forskrifter om personvern.
3.2
Den behandlingsansvarlige skal bekrefte at behandlingen skjer i samsvar med de formålene som personopplysningene omfattet av behandlingen er samlet inn for.
3.3
Det er den behandlingsansvarliges ansvar å sørge for at databehandleren til enhver tid er informert om den behandlingsansvarliges gjeldende instruksjoner, f.eks. de som er gitt i bilag A og andre skriftlige instruksjoner fra den behandlingsansvarlige angående behandlingen. Dersom den behandlingsansvarlige gir nye instruksjoner angående behandlingen som avviker fra de som følger av tjenestene under hovedavtalen, og disse instruksjonene krever mer av databehandleren og går utover det som er foreskrevet av gjeldende lover og forskrifter om personvern eller den svenske Integritetsskyddsmyndighetens råd og uttalelser, skal databehandleren vurdere, men er ikke forpliktet til å akseptere, disse instruksjonene. Dersom slike tilleggsinstruksjoner i vesentlig grad endrer omfanget av tjenestene som databehandleren utfører ifølge hovedavtalen, skal saken primært behandles i henhold til hovedavtalen.
3.4
Alle instruksjoner fra den behandlingsansvarlige skal være skriftlige eller dokumentert på annen måte.
4. Databehandlerens ansvar
4.1
Behandlingen er nærmere beskrevet i bilag A. Databehandleren forplikter seg til å behandle personopplysninger kun på den måten og til de formålene som er nødvendige for å oppfylle sine forpliktelser i henhold til hovedavtalen, denne databehandleravtalen eller i samsvar med de dokumenterte instruksjonene som er gitt av den behandlingsansvarlige i bilag A og som er godkjent av databehandleren. Databehandleren kan også behandle personopplysninger for å tilby tilleggstjenester bestilt av den behandlingsansvarlige fra tid til annen.
4.2
Etter å ha mottatt skriftlige instruksjoner angående behandlingen fra den behandlingsansvarlige, f.eks. de som er gitt i bilag A, skal databehandleren innen rimelig tid treffe passende tiltak for å sikre at behandlingen tilpasses i samsvar med instruksjonene. For slike tiltak knyttet til behandlingen som ikke er uttrykkelig spesifisert av den behandlingsansvarlige på tidspunktet for inngåelsen av hovedavtalen og denne databehandleravtalen, har databehandleren rett til å kreve ekstra kompensasjon.
4.3
Databehandleren forplikter seg til å sørge for at enhver fysisk person som utfører arbeid på oppdrag fra databehandleren og har tilgang til personopplysninger, er informert om innholdet i denne databehandleravtalen og kun behandler personopplysningene i samsvar med databehandleravtalen og den behandlingsansvarliges dokumenterte instruksjoner.
4.4
Databehandleren skal med rimelighet bistå den behandlingsansvarlige i form av passende tekniske og organisatoriske tiltak i den grad det er nødvendig for at den behandlingsansvarlige skal kunne oppfylle sine forpliktelser når det gjelder å svare på forespørsler fra registrerte personer om innsyn i eller retting, begrensning eller sletting av personopplysninger.
4.5
Databehandleren skal informere den behandlingsansvarlige uten ugrunnet forsinkelse fra det tidspunktet da databehandleren har fått kjennskap til brudd på personopplysningssikkerheten. Databehandleren skal i rimelig grad bistå den behandlingsansvarlige med den informasjonen som den behandlingsansvarlige trenger for å oppfylle sine forpliktelser når det gjelder varsling av bruddet på personopplysningssikkerheten til gjeldende tilsynsmyndighet og, der det er aktuelt, gi informasjon til de registrerte personene om bruddet.
4.6
Databehandleren forplikter seg til å bistå den behandlingsansvarlige med å gjennomføre konsekvensvurderinger og forhåndskonsultasjoner for personvern samt å bistå i etterforskningen av brudd på personopplysningssikkerheten sammen med gjeldende tilsynsmyndighet.
4.7
Databehandleren skal ha rett til rimelig godtgjørelse for arbeid utført som følge av forpliktelsene angitt i punkt 4.4 og 4.6.
5. Overføring av personopplysninger
5.1 Overføring til land utenfor EU/EØS
5.1.1
Databehandleren forplikter seg til ikke å overføre personopplysninger til land utenfor EU/EØS uten skriftlig samtykke fra den behandlingsansvarlige.
5.1.2
Dersom overføring av personopplysninger til mottakere utenfor EU/EØS er tillatt ved lov når en særskilt avtale er inngått (eller andre tiltak er iverksatt) med det formål å opprettholde et tilstrekkelig beskyttelsesnivå og databehandleren kan påvise at en slik avtale eksisterer (eller at slike tiltak er iverksatt), har den behandlingsansvarlige ikke rett til å nekte slik overføring.
5.2 Overføring til tredjepart
5.2.1
Databehandleren kan ikke utlevere personopplysninger til tredjeparter uten skriftlig samtykke fra den behandlingsansvarlige med mindre slik utlevering er påkrevd i henhold til gjeldende lover eller myndighetsvedtak. Databehandleren har imidlertid alltid rett til å utlevere personopplysninger til underleverandører i henhold til avsnittet ”Bruk av underdatabehandlere” nedenfor og til parter som databehandleren distribuerer tjenester for.
5.2.2
Dersom databehandleren blir pålagt av en domstol eller myndighet å utlevere personopplysninger eller iverksette andre tiltak som følge av behandlingen, har databehandleren rett til rimelig kompensasjon for det utførte arbeidet. Databehandleren har også rett til rimelig godtgjørelse for utlevering av personopplysninger til andre enn den behandlingsansvarlige og for tiltak i forbindelse med slik utlevering.
6. Bruk av underdatabehandlere
6.1
Den behandlingsansvarlige erkjenner og godtar at databehandleren engasjerer underleverandører til utførelse av behandlingen ("Underbehandler"). Overføring av personopplysninger til en underdatabehandler skjer på databehandlerens risiko og medfører ingen endringer i ansvarsfordelingen som gjelder mellom databehandleren og den behandlingsansvarlige.
6.2
Databehandleren har plikt til å informere den behandlingsansvarlige skriftlig før det engasjeres en underdatabehandler. Den behandlingsansvarlige skal ha mulighet til å motsette seg databehandlerens valg av underdatabehandler innen fem (5) dager fra mottak av databehandlerens varsel om dette. Databehandleren kan ikke bruke den valgte underdatabehandleren dersom den behandlingsansvarlige har fremsatt rimelige innvendinger. Partene er enige om at den behandlingsansvarlige skal anses å ha blitt informert om at databehandleren har til hensikt å bruke underdatabehandleren som er oppført i bilag B.
6.3
Når databehandleren engasjerer en underdatabehandler til utførelse av behandlingen, forplikter databehandleren seg til å inngå en avtale om behandling av personopplysninger med underdatabehandleren, og dermed vil underdatabehandleren være underlagt de samme forpliktelsene som gjelder i denne databehandleravtalen.
7. Tekniske og organisatoriske sikkerhetstiltak
7.1
Databehandleren skal treffe de tekniske og organisatoriske tiltakene som kreves av lover og forskrifter om personvern for å sikre et sikkerhetsnivå som er tilpasset for risikoen, spesielt når det gjelder risiko knyttet til uautorisert tilgang samt sletting og endring av de personopplysningene som er omfattet av behandlingen. Databehandleren bestemmer hvordan slike tiltak skal gjennomføres for å oppnå det nødvendige beskyttelsesnivået.
7.2
Dersom den behandlingsansvarlige påviser at et nytt sikkerhetstiltak er påkrevd eller at eksisterende sikkerhetstiltak må tilpasses for å oppfylle lovkrav til hensiktsmessig sikkerhetsnivå eller for å overholde myndighetsvedtak, skal partene diskutere gjennomføringen av slike tiltak eller endring av eksisterende sikkerhetstiltak. Utvidede eller ekstra sikkerhetstiltak krever en skriftlig avtale mellom partene. I et slikt tilfelle skal databehandleren ha krav på særskilt kompensasjon for de sikkerhetstiltakene som iverksettes.
8. Konfidensialitet
8.1
Databehandleren forplikter seg til ikke å utlevere til tredjepart informasjon som databehandleren har mottatt fra den behandlingsansvarlige eller informasjon behandlet på annen måte av databehandleren for den behandlingsansvarlige. Databehandleren forplikter seg til å sikre at personer som arbeider hos databehandleren, har forpliktet seg til å opprettholde konfidensialitet i samsvar med dette avsnittet, kalt ”Konfidensialitet”. Konfidensialitetsplikten skal imidlertid ikke gjelde for:
i) informasjon som er offentlig kjent eller kommer til offentlig kjennskap på annen måte enn gjennom brudd på denne databehandleravtalen,
ii) informasjon som databehandleren kan påvise at databehandleren hadde i sin besittelse før den ble mottatt fra den behandlingsansvarlige i forbindelse med denne databehandleravtalen,
iii) informasjon som databehandleren rettmessig mottar fra tredjeparter utenfor dette kontraktsforholdet uten begrensning, eller
iv) informasjon som parten er juridisk forpliktet til å oppgi på grunn av obligatorisk lovgivning, rettskjennelser eller beslutninger fra andre myndigheter.
9. Revisjoner
9.1
Den behandlingsansvarlige har rett til å utføre revisjoner (inkludert inspeksjoner) for egen regning, på egen hånd eller gjennom en autorisert tredjepart ("Revisor") for å verifisere at databehandleren overholder denne databehandleravtalen. Det skal gis tretti (30) dagers varsel om en slik revisjon.
9.2
Ved oppnevnelse av en revisor skal den behandlingsansvarlige ta hensyn til konkurranseaspekter knyttet til forretningsforbindelser mellom databehandleren og den aktuelle revisoren. Revisoren må altså godkjennes av databehandleren. Databehandleren skal imidlertid ikke kunne nekte å gi en slik godkjenning på urimelig grunnlag.
9.3
Databehandleren forplikter seg til å gi den behandlingsansvarlige eller revisoren tilgang til den dokumentasjonen som er nødvendig for å vise at databehandleren har oppfylt sine forpliktelser i henhold til databehandleravtalen. Databehandleren skal også bistå den behandlingsansvarlige eller revisoren i gjennomføringen av revisjonen og inspeksjonen. Revisjoner og inspeksjoner kan gjennomføres i kontortiden, på hverdager mellom kl. 9 og 17.
9.4
Databehandleren kan gi revisoren begrenset tilgang til lokalene der behandlingen utføres. Når det utføres en inspeksjon på stedet, skal revisoren overholde databehandlerens rimelige arbeidsregler, sikkerhetskrav og andre forskrifter som gjelder på arbeidsplassen samt unngå å forstyrre databehandlerens daglige drift. Revisoren skal ikke ha tilgang til konfidensiell informasjon knyttet til databehandlerens øvrige kunder eller andre personopplysninger som ikke behandles som en del av denne databehandleravtalen.
10. Skader og ansvar overfor tredjeparter
10.1
Parten forplikter seg til å holde den andre parten skadesløs dersom den andre parten lider skade som følge av at den første parten behandler personopplysninger i strid med lover og forskrifter om personvern eller denne databehandleravtalen. Slik skade kan omfatte, men er ikke begrenset til, forpliktelse til å betale erstatning til en registrert person eller å betale administrative bøter som fastsettes av gjeldende tilsynsmyndighet.
10.2
En part skal ikke være forpliktet for å betale erstatning for indirekte skader som tap av fortjeneste i henhold til denne databehandleravtalen.
11. Avtaleperiode og tiltak ved oppsigelse av avtalen
11.1
Databehandleravtalen gjelder fra det tidspunktet da begge parter undertegner den og så lenge databehandleren behandler personopplysninger på vegne av den behandlingsansvarlige. Bestemmelser om oppsigelse finnes i hovedavtalen.
11.2
Med mindre den behandlingsansvarlige uttrykkelig instruerer databehandleren om at personopplysningene skal returneres, forplikter databehandleren seg til å slette alle personopplysninger som omfattes av behandlingen fra de systemene som brukes til behandlingen på det tidspunktet da denne databehandleravtalen opphører, så fremt en slik prosedyre ikke er uforenlig med gjeldende nasjonal lovgivning eller EU-lov. Et eventuelt krav om tilbakelevering av personopplysninger skal være skriftlig og sendes til databehandleren senest i forbindelse med oppsigelse av hovedavtalen.
11.3
Dersom hovedavtalen opphører og en ny slik avtale, som også omfatter behandling av personopplysninger, inngås uten at det er inngått en databehandleravtale, gjelder denne databehandleravtalen også for behandling av personopplysninger som utføres som en del av de tjenestene som leveres i henhold til den nye avtalen.
12. Lovvalg og tvisteløsning
12.1
Denne databehandleravtalen skal styres av og utformes i samsvar med materielle lover i Sverige.
12.2
Tvister i forbindelse med denne databehandleravtalen skal avgjøres endelig i en generell domstol med Malmö tingrett som første instans.
Bilag
BILAG A
Instruksjoner for utførelse av behandlingen
I tillegg til det som er angitt i databehandleravtalen, skal instruksjonene nedenfor gjelde og følges av databehandleren ved utførelse av behandlingen.
Formålet med behandlingen
Behandlingen skal kun utføres med det formål å yte de tjenestene som er angitt i hovedavtalen, dvs. hovedsakelig med det formål å tilby den skybaserte plattformen Skillhabit for digital distribusjon og oppfølging av kunnskap. Personopplysningene kan ikke behandles eller brukes av databehandleren til egne eller andre formål.
Typer behandling
Databehandleren kan utføre den typen behandling av personopplysninger som er nødvendig for å levere tjenestene som er angitt i hovedavtalen, inkludert registrering, organisering, lagring, endring, bruk og/eller sletting.
Typer personopplysninger
Databehandleren kan kun behandle følgende typer personopplysninger: personnummer, navn, adresse, telefonnummer, arbeidsgiver, utdanningshistorikk. Databehandleren kan også behandle andre personopplysninger dersom det er nødvendig for å yte de tjenestene som inngår i hovedavtalen.
Kategorier av registrerte personer
Behandlingen skal kun omfatte de kategoriene av registrerte personer som fra tid til annen oppgis av den behandlingsansvarlige innenfor rammen av Skillhabit, fortrinnsvis interne og eksterne brukere samt administratorer (som beskrevet i hovedavtalen).
Behandlingens varighet
Personopplysningene skal slettes av databehandleren ved databehandleravtalens utløp, slik det også er angitt i databehandleravtalen. Personopplysninger skal også slettes av databehandleren fra sak til sak i samsvar med skriftlige instruksjoner gitt av den behandlingsansvarlige.
Kontaktinformasjon for databehandlerens representant
E-post: gdpr@tictac.se
Telefonnummer: +46 40 631 88 30
BILAG B
Godkjente underdatabehandlere
Den behandlingsansvarlige erkjenner og godtar at databehandleren engasjerer følgende underleverandører i samsvar med andre ledd i avsnittet ”Bruk av underdatabehandlere” i denne databehandleravtalen:
- Selskaper som fra tid til annen er en del av det konsernet som databehandleren er medlem av, forutsatt at slikt konsernselskap er etablert innenfor EU/EØS.
- Plattformutvikleren Skillhabit AB (559287-8879) som eies av TicTac Group.
- GleSYS (556647-9241) som brukes som underleverandør for server, hosting og backup.