Last updated 07.04.2022 - Version 1
Databehandler: En fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige.
Behandlingsansvarlig: En fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett.
Behandling: Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.
Personopplysninger: Enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet.
Behandling: Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.
Dette dokumentet er et vedlegg til våre kundevilkår (“Vilkårene”). Alle begrep skrevet med stor forbokstav i Vilkårene skal ha samme betydning i disse databehandlervilkårene (“Databehandlervilkårene”).
Databehandlervilkårene supplerer Vilkårene. Ved å akseptere Vilkårene godtar Kunden også disse Databehandlervilkårene.
Dersom Databehandlervilkårene strider mot Vilkårene, skal Databehandlervilkårene ha forrang over bestemmelsene i Vilkårene, med mindre annet er særskilt angitt eller vil gi et åpenbart urimelig resultat. Databehandlervilkårene gjelder så lenge Leverandøren (heretter omtalt som “Databehandleren”) yter Tjenesten eller på annen måte behandler personopplysninger på vegne av Kunden (heretter omtalt som den “Behandlingsansvarlige”).
Formålet med Databehandlervilkårene er å sikre de registrertes rettigheter og friheter under behandling av personopplysninger etter Generell personvernforordning (EU) 2016/679 (“Personvernforordningen”), artikkel 28 nr. 3.
Databehandlervilkårene regulerer Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlig. Behandlingsansvarlig skal gi skriftlige instrukser (“Behandlingsinstruksene”) til Databehandleren om hvordan behandlingen skal utføres. Disse instruksene fremgår av punkt 13.
Databehandleren kan bare behandle personopplysninger innenfor rammene av Behandlingsinstruksene, Vilkårene, Databehandlervilkårene og den til enhver tid gjeldende personvernlovgivningen.
A) Behandlingsansvarlig er ansvarlig for at det til enhver tid foreligger rettslig grunnlag for behandling av personopplysninger og å utferdige skriftlige Behandlingsinstrukser til Databehandleren slik at Databehandleren og eventuelle underdatabehandlere kan innfri sine forpliktelser i henhold til Databehandlervilkårene og Vilkårene. Databehandleren har utarbeidet en samtykkeløsning i Tjenesten som den Behandlingsansvarlige kan velge å benytte for å sørge for å få behandlingsgrunnlag for behandlingene som er nødvendige for å bruke Tjenesten. Bruken av denne samtykkeløsningen skjer på den Behandlingsansvarliges ansvar.
B) Behandlingsansvarlig skal uten ugrunnet opphold informere Databehandleren om endringer i behandling av personopplysninger som påvirker Behandlingsansvarliges plikter etter gjeldende personvernlovgivning.
C) Behandlingsansvarlig er ansvarlig for å ivareta de registrertes rettigheter i henhold til gjeldende personvernlovgivning og å iverksette alle tiltak som påligger Behandlingsansvarlig etter gjeldende personvernlovgivning. Behandlingsansvarlig skal også informere de registrerte om behandlingen av personopplysninger som vil skje i anledning leveranse av Tjenesten.
Databehandleren er forpliktet til:
A) bare å behandle personopplysninger i samsvar med Vilkårene, Databehandlervilkårene og Behandlingsinstruksene;
B) å iverksette egnede tiltak for å verne om sikkerheten til personopplysninger Databehandleren behandler på vegne av Behandlingsansvarlig og å forhindre at personopplysninger behandles i strid med Vilkårene, Databehandlervilkårene Behandlingsinstruksene og personvernlovgivningen;
C) å forsikre at alle fysiske personer under Databehandlerens ledelse opptrer innenfor Vilkårene, Databehandlervilkårene og Behandlingsinstruksene;
D) å bistå med å sikre at forpliktelsene etter gjeldende personvernlovgivning blir oppfylt på anmodning fra Behandlingsansvarlig, herunder Personvernforordningen artikkel 32-36;
E) å svare på forespørsler om håndheving av de registrertes rettigheter i tråd med kapittel III av Personvernforordningen;
F) å informere Behandlingsansvarlig dersom Behandlingsinstruksene er uklare, mangelfulle eller i strid med gjeldende personvernlovgivning. Det samme gjelder dersom Databehandleren finner at det er behov for utfyllende Behandlingsinstrukser for å innfri forpliktelsene i Vilkårene og/eller i Databehandlervilkårene. I tilfeller som nevnt i dette punkt 5 bokstav f) skal Databehandleren ha rett og plikt til å forholde seg til de forutgående Behandlingsinstruksene frem til nye Behandlingsinstrukser er gitt.
A) Databehandleren skal iverksette alle tekniske og organisatoriske sikkerhetstiltak som er nødvendige for å innfri kravene til informasjonssikkerhet i Personvernforordningen. Dette skal inkludere (men er ikke avgrenset til) at behandlingen gir et passende nivå av konfidensialitet, integritet, tilgjengelighet og robusthet.
B) Databehandleren skal sikre at det kun er behovsprøvet personell under dennes ledelse som får tilgang til personopplysninger under leveranse av Tjenesten. Databehandleren skal loggføre hvem som har tilgang til de ulike personopplysningene i den utstrekning Behandlingsinstruksene krever. Loggføringen skal underlegges nødvendige sikkerhetstiltak etter gjeldende personvernlovgivning, og Behandlingsinstruksene i den grad disse pålegger Databehandleren ytterligere forpliktelser.
A)Databehandleren garanterer at alle fysiske personer som behandler personopplysninger på vegne av Behandlingsansvarlig er underlagt avtalefestet eller lovpålagt taushetsplikt.
B) Databehandleren garanterer at underleverandører er underlagt taushetsplikt når de opptrer på vegne av Databehandleren etter avtale eller ved lovfestet taushetsplikt. Slik taushetsplikt skal også gjelde fysiske personer som opptrer på vegne av eventuelle underdatabehandlere.
C) Databehandleren skal informere Behandlingsansvarlig uten ugrunnet opphold om kommunikasjon med Datatilsynet og andre tilsynsmyndigheter angående Databehandlerens opptreden på vegne av Behandlingsansvarlig.
D) Dersom Databehandleren mottar anmodning om utlevering av eller innsyn i personopplysninger, som behandles på vegne av Behandlingsansvarlig, fra den registrerte, Datatilsynet eller andre tredjeparter, skal Databehandleren informere Behandlingsansvarlig om dette. Databehandleren skal ikke gi innsyn eller utlevere personopplysninger uten skriftlig samtykke fra Behandlingsansvarlig, med mindre loven uttrykkelig krever dette. Behandlingsansvarlig skal bistå Databehandleren å etterleve anmodningen når dette er nødvendig.
A) Databehandleren skal på anmodning fra Behandlingsansvarlig legge frem dokumentasjon av de tekniske og organisatoriske tiltak som er implementert etter skriftlig Behandlingsinstruks fra Behandlingsansvarlig. Det samme gjelder for å dokumentere implementerte tiltak for å innfri de krav i gjeldende personvernlovgivning i henhold til Personvernforordningen artikkel 28 nr. 3 bokstav h).
B) Databehandleren skal årlig foreta internkontroll av informasjonssikkerheten til personopplysningene som behandles i anledning leveranse av Tjenesten. Resultatet av internkontrollen kan meddeles Behandlingsansvarlig dersom Behandlingsansvarlig anmoder om dette.
C) Behandlingsansvarlig kan kontrollere at Databehandleren behandler personopplysninger i samsvar med kravene til informasjonssikkerhet etter Databehandlervilkårene, Vilkårene og gjeldende personvernlovgivning. Behandlingsansvarlig kan foreta kontrollen selv eller benytte en ekstern tredjepart som ikke opptrer i konkurranse med Databehandleren, til å foreta slik kontroll. Behandlingsansvarlig skal bære alle påløpte kostnader av slik kontroll uten hensyn til hvem som utfører kontrollen, og informere Databehandleren i rimelig tid før kontrollen gjennomføres.
D) Dersom Behandlingsansvarlig krever at det gjennomføres kontroll slik nevnt i punkt 8 bokstav c), skal Databehandleren gi innsyn i nødvendig dokumentasjon, adgang til lokaler og IT-systemer, samt bistå med andre nødvendige ressurser for å kontrollere etterlevelsen. Behandlingsansvarlig garanterer og bærer ansvaret for at personalet som gjennomfører kontrollen er pålagt taushet ved avtale eller etter lov. Vedkommende som utfører kontrollen plikter å gjennomføre kontrollen på en hensynsfull måte som hensyntar Databehandlerens øvrige virksomhet.
E) Databehandleren plikter å legge til rette for at Datatilsynet og andre tilsynsmyndigheter som har lovlig rett til det kan gjennomføre tilsyn etter gjeldende personvernlovgivning.
F) Databehandleren kan kreve vederlag for rimelig arbeid utført etter dette punkt 8.
A) Databehandleren påtar seg å bistå Behandlingsansvarlig med å oppfylle sine forpliktelser dersom det skjer brudd på personopplysningssikkerheten, innenfor det som må anses forholdsmessig tatt i betraktning behandlingens art og den informasjon som er tilgjengelig for Databehandleren.
B) Databehandleren skal skriftlig informere Behandlingsansvarlig ved eventuelle brudd på personopplysningssikkerheten. Meldingen skal sendes til Behandlingsansvarlig uten ugrunnet opphold etter at Databehandleren får kjennskap til at det foreligger brudd på personopplysningssikkerheten. Beskrivelsen skal inneholde informasjon om:
C) Dersom det ikke er mulig for Databehandleren å gi en dekkende beskrivelse i henhold til punkt 9 bokstav b) samtidig, skal informasjonen gis gradvis i takt med at de nødvendige opplysningene blir kjent for Databehandleren, uten ytterligere ugrunnet opphold.
A) Behandlingsansvarlig avgir ved avtaleinngåelse om leveranse av Tjenesten et generelt samtykke til at Databehandleren bruker underdatabehandlere. Underdatabehandlerene som benyttes på avtaletidspunktet fremgår av [link til oppdatert oversikt].
B) Databehandleren plikter å underrette Behandlingsansvarlig ved eventuelle planer om å skifte ut eller bruke nye underdatabehandlere. Behandlingsansvarlig skal motta slik underretning senest seks uker før endringen trer i kraft. Behandlingsansvarlig kan bare nekte slike endringer dersom innvendingen er begrunnet og saklig, og senest er kommet frem til Databehandleren en uke etter at Behandlingsansvarlig ble underrettet om endringen.
C) Databehandlerens underretning til Behandlingsansvarlig skal minimum opplyse om:
D) Databehandleren har rett til å avslutte engasjementer med sine underleverandører, såfremt det gis skriftlig melding om dette til Behandlingsansvarlig uten ugrunnet opphold.
E) Databehandleren kan bare engasjere underdatabehandlere dersom disse skriftlig underlegges de samme forpliktelsene som Databehandleren er underlagt etter Vilkårene, Databehandlervilkårene og gjeldende personvernlovgivning. Behandlingsansvarlig kan kreve at Databehandleren skriftlig dokumenterer dette.
A) Databehandleren overfører ikke personopplysninger til tredjestater utenfor EØS, og benytter ikke underdatabehandlere som anses som en overføring til tredjestater utenfor EØS.
B) I den grad det skulle bli aktuelt i fremtiden å overføre personopplysninger til tredjestater utenfor EØS, skal dette skje i tråd med GDPR kap. 5 og EDPB Recommendations 01/2020, som både krever et formelt overføringsgrunnlag og ytterligere beskyttelsestiltak.
Når avtaleforholdet mellom partene opphører, skal Databehandler etter Behandlingsansvarliges valg slette eller returnere personopplysningene.
Utover det som er angitt i Vilkårene og Databehandlervilkårene, gjelder instruksene nedenfor. Databehandleren plikter å følge Behandlingsinstruksene ved behandling av personopplysninger på vegne av Behandlingsansvarlig.
Formål: Behandling av personopplysninger skal bare utføres med formål om å oppfylle forpliktelsene i Vilkårene. Dette vil i hovedsak innebære å behandle personopplysninger om Kundens representant ved avtaleinngåelse og registrering av brukerkonto, samt videomateriale, kontaktinformasjon og lignende personopplysninger Brukerne oppgir ved registrering av brukerkonto og innsendte bidrag til Kundens prosjekter.
Typer av behandlinger: Databehandleren står fritt til å behandle personopplysninger på en slik måte som er nødvendig for å innfri forpliktelsene i Vilkårene og Databehandlervilkårene så lenge dette skjer i samsvar med Behandlingsinstruksene og den til enhver tid gjeldende personvernlovgivning. Dette inkluderer bl.a. bruk, registrering, lagring, overføring, modifisering og/eller sletting.
Typer av personopplysninger: Databehandleren vil behandle personopplysninger om de ansatte hos Behandlingsansvarlig. Dette avgrenses til det nødvendige for å innfri forpliktelsene etter Vilkårene. Dette inkluderer fullt navn, telefonnummer og e-postadresse.
Databehandleren kan bare behandle personopplysninger som blir hentet inn av eller genereres av at Behandlingsansvarlig tar i bruk Tjenesten og inviterer, oppfordrer til eller på annen måte får Brukerne til å registrere sitt telefonnummer, opprette brukerkonto og/eller bidra med video- og bildeinnhold.
Når Brukerne oppretter brukerkonto behandles fullt navn, telefonnummer, e-post, biotekst, profilbilde, tidspunktet for registrering og en unik bruker-ID. Video- og bildemateriale tagges med prosjekt-ID, bruker-ID og kunde-ID.
Kategorier registrerte: Databehandleren vil behandle personopplysninger om ansatte som opptrer på vegne av Behandlingsansvarlig, og Brukerne og leverandører som Behandlingsansvarlig har skaffet til veie gjennom eller i anledning Tjenesten.
Behandlingens varighet: Databehandleren skal slette og/eller overlevere personopplysninger som er behandlet for å levere Tjenesten, når avtaleforholdet mellom Kunden og Leverandøren opphører, i samsvar med skriftlig Behandlingsinstruks fra Behandlingsansvarlig.
Behandlingssted: Behandling av personopplysninger skal bare utføres i EU/EØS med en slik infrastruktur som Databehandleren har direkte eller indirekte kontroll over. Dette kan være f.eks. ved at underdatabehandleren er godkjent av Behandlingsansvarlig og har inngått underdatabehandleravtale med Databehandler som sikrer en instruksjonsmyndighet som oppfyller Vilkårene, Databehandlervilkårene og gjeldende personvernlovgivning.
Luups AS | 2024
Luups is developed by Luups AS in Volda, Norway.
Luups AS | 2024
Luups is developed by Luups AS in Volda, Norway.
Privacy and terms can be found at luups.no/info
Privacy and terms can be found at luups.no/info