Databehandleravtale

Mellom
Medlemmer og brukere av Arkitektbedriftene i Norge sine tjenester («Behandlingsansvarlig»)

og
Arkitektbedriftene i Norge («Databehandler»)

er det inngått avtale om behandling av personopplysninger («Avtalen») som Databehandler skal foreta for Behandlingsansvarlig som følge av medlemskap og/eller bruk av Arkitektbedriftene i Norge sine tjenester.

1. Avtalens formål

Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig på det grunnlaget som er angitt ovenfor.

Formålet med behandlingen, varigheten av behandlingen, behandlingens art, de typer personopplysninger som skal behandles og kategorier av registrerte, er for å kunne:

  1. identifisere brukere og gi pålogging til løsninger og tjenester utviklet av Arkitektbedriftene
  2. utvikle statistikker for bransjen
  3. behandle kundeforhold mot vår partner på forsikring
  4. gi relevant informasjon til ansatte

Avtalen skal sikre at personopplysninger behandles i samsvar med gjeldende krav, herunder:

  • Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 («personvernforordningen»)
  • Norsk lovgivning, herunder personopplysningsloven med tilhørende forskrifter

Databehandler skal behandle personopplysningene på den måten som er beskrevet i Avtalen, eller på annen måte dersom dette er skriftlig avtalt med Behandlingsansvarlig.

Begreper og definisjoner benyttet i Avtalen skal forstås på samme måte som i personopplysningsloven.

2. Databehandlers plikter

Databehandler forplikter seg til å:

  • Gjennomføre egnede tekniske og organisatoriske tiltak for å sikre at all behandling under Avtalen oppfyller kravene i personopplysningsloven og personvernforordningen, særlig artikkel 32.
  • Kun behandle personopplysninger basert på dokumenterte instrukser fra Behandlingsansvarlig, og til enhver tid kunne dokumentere disse.
  • Ikke behandle personopplysninger utover det som er nødvendig for å utføre oppdragene for Behandlingsansvarlig.
  • Bistå Behandlingsansvarlig med å besvare anmodninger fra registrerte om å utøve sine rettigheter etter personvernforordningen kapittel III.
  • Bistå med vurderinger av personvernkonsekvenser (DPIA) og forhåndsdrøftinger etter artikkel 32–36.
  • Overholde eventuelle godkjente adferdsnormer (art. 40) eller sertifiseringsordninger (art. 42) som Databehandler har påtatt seg.
  • Føre protokoll over behandlingsaktiviteter i henhold til artikkel 30 nr. 2.
  • Gjøre tilgjengelig nødvendig informasjon som dokumenterer etterlevelse, samt bidra til revisjoner og inspeksjoner initiert av Behandlingsansvarlig.

Taushetsplikt
Databehandler har taushetsplikt om alle personopplysninger vedkommende får tilgang til under Avtalen. Personer som autoriseres til å behandle opplysninger, skal være bundet av fortrolighet eller lovfestet taushetsplikt. Taushetsplikten gjelder også etter Avtalens opphør.

Begrensninger

  • Databehandler skal ikke utlevere opplysninger til tredjepart uten eksplisitt avtale eller pålegg fra Behandlingsansvarlig.
  • Alle henvendelser om opplysningene skal videresendes til Behandlingsansvarlig så raskt som mulig.
  • Dersom Databehandler mener en instruks er i strid med lov eller forskrift, skal Behandlingsansvarlig varsles umiddelbart.

3. Behandlingsansvarliges plikter og rettigheter

Behandlingsansvarlig er ansvarlig for at personopplysninger behandles i samsvar med personvernforordningen og personopplysningsloven.

Behandlingsansvarlig har rett og plikt til å bestemme:

  • hvilke formål som gjelder for behandlingen
  • hvilke hjelpemidler som kan benyttes i behandlingen

Behandlingsansvarlig skal gi Databehandler dokumenterte instrukser for hvordan opplysningene skal behandles. Disse kan:

  • fremgå direkte av Avtalen
  • ligge som vedlegg
  • gis i etterkant av inngått avtale

Behandlingsansvarlig har rett til å si opp Avtalen dersom Databehandler ikke lenger oppfyller kravene i personvernforordningen artikkel 28 nr. 1.

4. Sikkerhet og kontroll

Databehandler skal gjennomføre nødvendige tekniske og organisatoriske sikkerhetstiltak for å sikre at personopplysningene er beskyttet mot:

  • uautorisert tilgang
  • endring
  • sletting
  • tap eller ødeleggelse

Tiltakene skal være i samsvar med risikoen for de registrertes rettigheter og friheter.

Databehandler skal uten ugrunnet opphold varsle Behandlingsansvarlig dersom det oppstår brudd på personopplysningssikkerheten, herunder gi opplysninger om:

  • arten av bruddet
  • konsekvenser av bruddet
  • hvilke tiltak som er iverksatt eller foreslått for å begrense konsekvensene

5. Bruk av underleverandører

Databehandler kan benytte underleverandører («underbehandlere») til å utføre deler av behandlingen. Dette forutsetter at:

  • Behandlingsansvarlig er informert og har godkjent bruk av underleverandøren
  • Underleverandøren pålegges de samme plikter og sikkerhetskrav som Databehandler etter denne Avtalen

Databehandler er fullt ansvarlig overfor Behandlingsansvarlig for underleverandørens oppfyllelse av sine forpliktelser.

6. Varighet og opphør

Avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig.

Ved opphør av Avtalen skal Databehandler:

  • returnere eller slette alle personopplysninger som er behandlet på vegne av Behandlingsansvarlig, med mindre lagring er påkrevd ved lov
  • dokumentere at sletting/tilbakelevering er gjennomført

7. Lovvalg og verneting

Avtalen reguleres av norsk rett. Eventuelle tvister skal avgjøres av norske domstoler, med Oslo tingrett som verneting.