Databehandleravtale
Parter i denne avtalen Kunden (behandlingsansvarlig) og Cornice AS (databehandler).
Avtalen er inngått i henhold til personopplysningslovens § 13, jf. § 15 og personopplysningsforskriftens kapittel 2.
Avtalens hensikt er å regulere rettigheter og plikter etter Lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) og forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften).
Avtalen skal sikre at personopplysninger som er registrert ikke brukes urettmessig eller kommer uberettigede i hende. Avtalen regulerer databehandlers bruk og sikring av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av slike bruksmåter.
Formålet med systemet og Cornice AS’ behandling av personopplysningene er å sette Kunden i stand til å gjennomføre handlinger knyttet til ordrehåndtering.
Cornice AS skal legge til rette for at Kunden, som har bruksrett til systemet, selv skal kunne utføre databehandling ved hjelp av systemet. Cornice AS skal ikke utføre databehandling på eget initiativ ut over standard funksjonalitet som er bygget inn i systemet.
Systemet har funksjonalitet for lagring av følgende data:
-
Ordre – Informasjon om hvilken ansatt som har mottatt ordren, dato, pris, leveringsdato, kundeinformasjon og innramminger i ordren med materialbruk.
Kundeinformasjon består av: navn, telefon, firmanavn, adresse, postnummer, poststed, e-post, annet og om kunden ønsker nyhetsbrev.
-
Informasjon om rammelister, rekvisita og ansatte Kunden selv velger å legge inn i systemet.
-
Prisoppsett og standardvalg.
-
Kundens firmainformasjon, navn, firmanavn, postnummer, poststed, GPS koordinater, telefon, mobil, foretaksnummer, nettside og e-post.
I forbindelse med etablering og bruk av systemet, vil personopplysninger bli registrert i systemet. Med personopplysninger menes opplysninger og vurderinger som kan knyttes til en enkeltperson.
Kunden er etter levering ansvarlig for registrering av personopplysninger i systemet, og evt. uttak og benyttelse av lagret informasjon.
Cornice AS skal ikke behandle personopplysningene på annen måte enn det som følger av denne databehandleravtalen. Cornice AS er ansvarlig for at dataene lagres på en forsvarlig måte og senere slettes i tråd med det avtalte.
3.1 Databehandlers plikter
Cornice AS plikter å til enhver tid være kjent med og overholde de krav som følger av personopplysningsloven, se særlig § 13 jf. § 15, samt personopplysningsforskriften kapittel 2.
Cornice AS skal sørge for tilfredsstillende informasjonssikkerhet med hensyn til
-
Konfidensialitet, dvs. at opplysningene ikke blir tilgjengelige for personer som ikke har lovlig tilgang til opplysningene.
-
Integritet, dvs. at opplysningene ikke endres på uautorisert eller utilsiktet måte.
-
Tilgjengelighet, dvs. at opplysningene er tilgjengelige og operative for lovlig og autorisert bruk.
Cornice AS plikter på forespørsel å gi Kunden tilgang til sin sikkerhetsdokumentasjon, og bistå slik at Kunden kan ivareta sitt eget ansvar etter lov og forskrift.
Kunden har, med mindre annet er avtalt eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål.
Cornice AS plikter å gi nødvendig bistand til dette. Partene har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør.
Personopplysningene skal ikke utleveres til eksterne parter med mindre annet er skriftlig avtalt, jf. dog punkt 4 om Cornice AS’ bruk av underleverandører.
3.2 Kundens plikter
Kunden plikter å gjøre seg kjent med hvilke krav norsk lov stiller til behandling av personopplysninger. Kunden er forpliktet til kun å lagre og bruke opplysninger i den utstrekning og på slik måte som er overensstemmende med norsk lov. Brudd på disse pliktene anses som vesentlig mislighold og kan være grunnlag for erstatningsansvar dersom forholdet påfører Cornice AS økonomisk eller renommémessig tap.
Kunden er ansvarlig for at egendefinerte datafelter verken i seg selv eller med dets innhold bryter med de til enhver tid gjeldende lover og regler, herunder vedrørende personopplysninger. Det samme gjelder bruk av kombinasjoner av datafelter i for eksempel rapporter mv.
Der hvor systemet inneholder tekster, data eller annen informasjon mv. som eies/disponeres av Kunden, innestår Kunden for at han har full eiendoms- eller disposisjonsrett til slike tekster, data, informasjon mv. og at verken lagring eller den aktuelle bruken av dette materialet innebærer en krenkelse av tredjemanns rettigheter eller strider mot lov, forskrift eller andre rettsregler.
Kunden skal sørge for tilfredsstillende informasjonssikkerhet med hensyn til
-
Konfidensialitet, dvs. at opplysningene ikke blir tilgjengelige for personer som ikke har lovlig tilgang til opplysningene.
-
Integritet, dvs. at opplysningene ikke endres på uautorisert eller utilsiktet måte.
-
Tilgjengelighet, dvs. at opplysningene er tilgjengelige og operative for lovlig og autorisert bruk.
Bruker-id og passord for tilgang til systemet opprettes og administreres av administrator hos Kunden. Kunden plikter å påse at passord oppbevares og håndteres på en slik måte at bare personer med rett iht. avtalen med Cornice AS og som er autoriserte hos Kunden, har tilgang til systemet. Kunden er ansvarlig for at egne medarbeidere kun bruker personopplysningene i systemet for å utføre pålagte/tillatte oppgaver.
Kunden håndterer og behandler henvendelser fra de registrerte om innsyn, retting og sletting mv.
Cornice AS bruker underleverandører til å oppfylle deler av sine ulike forpliktelser, herunder til fysisk drift av systemet. Cornice AS er ansvarlig for utførelsen av underleverandørens oppgaver på samme måte som om Cornice AS selv sto for utførelsen. Cornice AS skal påse at underleverandøren oppfyller samtlige krav for behandling av personopplysninger, herunder kravene i personopplysningsloven med tilhørende forskrift og avtalte krav til informasjonssikkerhet.
Cornice AS plikter å ha egen databehandleravtale med alle sine underleverandører som sikrer oppfyllelse av vilkårene i denne avtalen.
Dersom Cornice AS bytter eller inkluderer nye underleverandører skal Kunden varsles om dette.
Ved bytte av underleverandør skal tidligere underleverandør skriftlig bekrefte overfor Cornice AS at alle personopplysninger er permanent slettet fra vedkommendes systemer i tråd med punkt 8
Cornice AS skal gjennom planlagte og systematiske tiltak løpende sørge for tilfredsstillende informasjonssikkerhet i tråd med kravene i personopplysningsloven og personopplysningsforskriften, samt eventuelle andre spesifikke sikkerhetskrav som er skriftlig avtalt med Kunden. Tiltakene fastsettes ut ifra en risikovurdering og skal stå i forhold til sannsynligheten for og konsekvensene av sikkerhetsbrudd. Cornice AS skal dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig på Kundens forespørsel.
Cornice AS skal ha rutiner for logging av feil og avvik i systemet. Avviksmelding etter personopplysningsforskriftens § 2-6 skal skje ved at Cornice AS melder avviket til Kunden. Kunden har ansvaret for at avviksmelding sendes Datatilsynet. Det skal iverksettes tiltak for å minimalisere mulig skade.
Cornice AS vil ikke levere ut identiteter til Kundens data uten at Kunden ber om dette skriftlig. Passordet til Kunden er lagret med irreversibel kryptering, og det er fysisk umulig for Cornice AS å utlevere passord i klartekst.
Cornice AS sørger for sikkerhetskopier av systemet.
Dersom personopplysninger skal oversendes elektronisk internt hos Kunden eller fra Kunden til Cornice AS, anbefaler Cornice AS at overføring skjer i kryptert form eller sikret på annen måte etter nærmere avtale med Cornice AS
Cornice AS skal jevnlig gjennomføre sikkerhetsrevisjoner av bruken av informasjonssystemet. Resultatet av sikkerhetsrevisjonen skal dokumenteres.
Databehandleravtalen gjelder så lenge Cornice AS behandler personopplysninger på vegne av Kunden. Ved brudd på avtalen kan Kunden pålegge Cornice AS å stoppe den videre behandlingen av personopplysningene med øyeblikkelig virkning. Cornice AS kan med samme begrunnelse stoppe all databehandling for Kunden med øyeblikkelig virkning.
Kunden kan i løpet av avtaletiden (inkludert i oppsigelsestiden) selv hente ut alle data som er Kundens eiendom fra systemet.
Etter avtalens utløp plikter Cornice AS å utlevere alle Kundens data som omfattes av denne databehandleravtalen, dersom Kunden ber om dette. Cornice AS plikter også etter avtalens utløp å destruere alle Kundens data som omfattes av denne databehandleravtalen, uavhengig av om Kunden ber om dette eller ikke.
Meddelelser etter denne avtalen skal sendes skriftlig til Kundens kontaktperson som oppgitt i avtalen.
Cornice AS kan justere innholdet i databehandleravtalen, med virkning fra førstkommende fornyelse av avtalen om bruksrett til systemet, jf. standard betingelsene punkt 10. Kunden skal i tilfelle varsles om endringer i rimelig tid før fristen for oppsigelse av avtalen om bruksrett til systemet utløper.
Norsk lov skal gjelde. Enhver tvist som måtte oppstå i forbindelse med avtalen skal søkes løst ved forhandlinger. Fører forhandling ikke frem, skal saken løses ved de ordinære domstoler med sete på det sted i Norge hvor Cornice AS har sitt hovedkontor.
Dersom noen bestemmelser i denne avtalen eller oppfyllelsen av den anses ugyldig i henhold til lovgivningen, skal dette ikke få noen betydning for gyldigheten av de øvrige bestemmelsene i avtalen.
OK