Databehandleravtale

1. Begrepsforklaring

Databehandler: En databehandler er en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige.

Behandlingsansvarlig: Behandlingsansvarlig er en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett.

Personopplysning: Personopplysninger er alle opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Typiske personopplysninger er navn, adresse, telefonnummer, e-post og fødselsnummer. Et bilde regnes som en personopplysning dersom personer kan gjenkjennes, og lydopptak kan være personopplysninger selv om ingen navn blir nevnt i innspillingen. Biometri slik som fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) er også personopplysninger.

Kilde: Datatilsynet.

2. Avtalens hensikt

Avtalens hensikt er å regulere rettigheter og plikter etter artikkel 28 punkt 3 i Europaparlamentets- og Rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger. Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende. Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.

3. Formål

Formålet med denne avtalen er å regulere behandling og lagring av personopplysninger som Checkin lagrer på vegne av behandlingsansvarlig (Checkins kunde).

Checkin er et påmeldingssystem der det hentes inn personopplysninger i følge med påmeldinger og billettsalg.

• Med personopplysninger menes de data som til enhver tid hentes inn fra deltakere som registrerer seg / melder seg på noe via Checkin, enten direkte fra checkin.no eller via behandlingsansvarlig egne nettsider integrert mot Checkin.
• Checkin lagrer dataene på eksterne servere. Dette er spesifisert nærmere i vedlegg 1.
• Checkin kan på ingen måte bruke personopplysningene som lagres på vegne av behandlingsansvarlig, til andre formål
• Videre bruk av innsamlede data, for eksempel til markedsføringsformål, er underlagt de eventuelle samtykker behandlingsansvarlig har hentet inn fra deltakere når disse registrerte seg. Behandlingsansvarlig er selv ansvarlig for å hente inn slike samtykker, men Checkin skal legge til rette for at slike samtykker kan innhentes.

4. Behandlingsansvarliges rettigheter og plikter

• Den behandlingsansvarlige er ansvarlig for at personopplysninger blir behandlet i samsvar med personvernforordningen og personopplysningsloven (jf. artikkel 24).
• Den behandlingsansvarlige har både en rett og en forpliktelse til å bestemme hvilke formål, og hvilke hjelpemidler som kan brukes i behandlingen (jf. artikkel 4 nr. 7).
• Den behandlingsansvarlige har selv ansvaret for å avgjøre hvilke personopplysninger som hentes inn via Checkin, og at man har tillatelse til å hente inn disse
• Den behandlingsansvarlige er selv ansvarlig for hvordan personopplysningene benyttes videre, herunder til kommunikasjon, markedsføring og eventuelle eksporter ut til andre systemer. Innhenting av samtykker er behandlingsansvarlig sitt ansvar, mens Checkin har ansvar for å tilrettelegge teknisk til slik innhenting
• Den behandlingsansvarlige kan gi databehandler dokumenterte instrukser for hvordan personopplysninger skal behandles (jf. artikkel 28 nr. 3 bokstav a). Instruksene skal være en del av avtalen eller lagt ved som et vedlegg til avtalen. Det er opp til behandlingsansvarlig å avgjøre hvorvidt slike tilleggs instrukser skal gis.
• Den behandlingsansvarlige har rett til å si opp avtalen dersom databehandleren ikke lenger oppfyller lovens krav etter artikkel 28 nr. 1.

5. Databehandlers plikter

Bare behandle personopplysninger etter skriftlig instruks fra den behandlingsansvarlige

• Databehandleren skal kun skal behandle personopplysninger i henhold til denne avtalen eller etter dokumenterte instrukser fra den behandlingsansvarlige. Unntaket er dersom norsk lov pålegger databehandleren en konkret behandling av personopplysninger. I så fall skal databehandleren underrette den behandlingsansvarlige om dette før behandlingen iverksettes, med mindre loven forbyr slik underretning av hensyn til viktige samfunnsinteresser.
• Databehandleren må omgående underrette den behandlingsansvarlige dersom databehandleren mener en instruks er i strid med personvernforordningen eller andre bestemmelser om vern av personopplysninger eller nasjonal rett (jf. artikkel 28 bokstav 3 siste ledd).

Plikt til at autoriserte personer behandler personopplysningene fortrolig

• Databehandleren skal sikre at autoriserte personer er forpliktet til å behandle personopplysningene fortrolig, eller er underlagt lovfestet taushetsplikt.
• Databehandleren skal, etter anmodning fra den behandlingsansvarlige, kunne påvise at de autoriserte personene er underlagt fortrolighet eller taushetsplikt - for eksempel ved ved dokumentasjon (jf. artikkel nr. 23 bokstav b og h).
• Plikten til konfidensialitet gjelder også etter at databehandleroppdraget er fullført.
• Databehandleren skal sikre at kun autoriserte personer har tilgang til opplysningene, og at databehandleren fratar tilgangen dersom autorisasjonen utløper eller av andre grunner ikke lenger gjelder for personen.
• Checkin har egne rutiner for sine ansatte der taushetserklæring signeres ved ansettelse, og at tilgangen til systemet stenges når den ansatte slutter i selskapet. Liste over Checkin ansatte med tilgang, kan gis på oppfordring fra kunde i forbindelse med en eventuell sikkerhets revisjon.

Bistand til å svare på anmodninger som gjelder de registrertes rettigheter

• Databehandleren bistår den behandlingsansvarlige (ved hjelp av egnede tekniske og organisatoriske tiltak) å oppfylle plikten til å svare på anmodninger fra registrerte om utøvelse av deres rettigheter. Plikten gjelder så langt det er mulig, og det må tas hensyn til behandlingens art.
• Sletting, anonymisering og pseudonymisering kan utføres av behandlingsansvarlig selv, enten via CRM modulen i systemets «min side» eller direkte fra arrangementet i «min side»
• Sluttbruker kan se sine lagrede opplysninger via «min side» og kan også der anmode sletting, anonymisering eller pseudonymisering. En slik forespørsel sendes da til behandlingsansvarlig via e-post, som utfører dette i praksis via CRM modulen i systemet, eller direkte fra det aktuelle arrangementet.
• Checkin gjør oppmerksom på at transaksjonsdata som betalinger via kort, VIPPS, faktura/giro eller fremtidige betalingsmåter, ikke kan slettes i henhold til bokføringsloven. Disse vil kunne inneholde personopplysninger, men informasjonen kan da kun brukes av Checkin/kunden for formålene som er dekket av bokføringsloven.

Bistand til den behandlingsansvarlige

• Databehandleren har en plikt til å bistå den behandlingsansvarlige med å overholde de forpliktelsene etter artikkel 32-36 som er relevante i dette avtaleforholdet.
• Databehandleren må straks, innen 48 timer, underrette den behandlingsansvarlige dersom det har skjedd eller skjer et brudd på personopplysningssikkerheten (jf. artikkel 33 nr. 2).
• Dersom bruddet medfører en risiko for de registrertes rettigheter og friheter, må varselet til den behandlingsansvarlige inneholde den informasjonen som kreves for at den behandlingsansvarlige skal kunne gi en utførlig beskrivelse av bruddet til tilsynsmyndigheten (jf. artikkel 33 nr. 3).

Tilgjengeliggjøring av informasjon for den behandlingsansvarlige

• Den behandlingsansvarlige eller en representant for den behandlingsansvarlige, kan gjennomføre et fysisk tilsyn hos databehandler for å sikre at databehandleravtalen overholdes.
• Databehandler plikter å gjøre tilgjengelig alle data lagret på vegne av behandlingsansvarlig

6. Bruk av underleverandør

Databehandleren har den behandlingsansvarliges generelle godkjennelse til å bruke andre databehandlere ved aksept av denne avtalen. Databehandleren må likevel underrette den behandlingsansvarlige ved eventuelle planer om å skifte ut eller bruke nye databehandlere. Den behandlingsansvarlige må motta en slik underretning minimum 6 uker før endringen trer i kraft. Den behandlingsansvarlige skal ha mulighet til å motsette seg endringene, og skal meddele databehandleren om dette senest 1 uke etter underretningen er mottatt.

I tilfeller der behandlingsansvarlig ber databehandler om å integrere, eller på annen måte sende data inn i 3. parts systemer, har behandlingsansvarlig ansvaret for at det finnes databehandleravtaler mellom 3. part og behandlingsansvarlig. Det er også behandlingsansvarlig sitt ansvar å informere brukere om slike integrasjoner / overføringer i påmeldingen/ bestillingen.

Checkin vil gjøre behandlingsansvarlig klar over behovet for at det inngås egne databehandleravtaler ved integrasjoner mot 3. part, i den grad Checkin er klar over at slik integrasjon finner sted. Det vil gis automatiserte meldinger om dette, for eksempel når det gjøres en kobling mot en av de standardiserte 3. partsløsningene Checkin integrerer mot. Checkin har ikke et ansvar for at slike avtaler mot 3. part inngås.

7. Sikkerhet

Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter EU´s personvernforordning. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel.

Tekniske og organisatoriske tiltak skal som et minimum inkludere, men er ikke begrenses til, tiltak for å:

a) pseudonymisere og kryptere personopplysninger der det er relevant;

b) Sikre evnen til vedvarende fortrolighet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene;

c) Sikre evnen til ågjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse;

d) Ivareta en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er;

e) Forhindre at datasystemer som behandler personopplysninger blir brukt eller gir tilgang til personopplysninger til personer som ikke er autorisert, inkludert tilgang til å lese, kopiere, endre eller slette personopplysninger uten autorisasjon.

Behandlingsansvarlig er forpliktet til åiverksette ovennevnte tiltak, og om nødvendig oppdatere tiltak, slik at de tekniske og organisatoriske tiltakene til enhver tid er i henhold til Personvernregelverket, herunder slik de er oppstilt i GDPR artikler 28 og 32.

Avviksmelding skal skje ved at databehandler melder avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet.

8. Sikkerhetsrevisjoner

Behandlingsansvarlig kan avtale med databehandler at det gjennomføres sikkerhetsrevisjoner jevnlig for systemer som omfattes av denne avtalen.

9. Avtalens varighet

Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig. Ved brudd på denne avtale eller personopplysningsloven kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.

Avtalen kan sies opp av begge parter med en gjensidig frist på 1 måned jf. punkt 8 i denne avtalen.

10. Ved opphør

Ved opphør av denne avtalen plikter databehandler å tilbakelevere alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige og som omfattes av denne avtalen.

Ved opphør av avtale mellom databehandler og behandlingsansvarlig, vil databehandler slette alle persondata lagret hos Checkin. Kopi av databasen kan på forespørsel, oversendes behandlingsansvarlig i dertil egnet format.

Databehandler skal skriftlig dokumentere at sletting er foretatt i henhold til avtalen innen 3 måneder etter avtalens opphør.

11. Meddelelser

Meddelelser etter denne avtalen skal sendes skriftlig til:

Databehandler: support@checkin.no

Behandlingsansvarlig: Den til enhver tid registrerte e-postadresse i kundeopplysninger i Checkin

12. Lovvalg og verneting

Avtalen er underlagt norsk rett og partene vedtar Kristiansand Tingrett som verneting. Dette gjelder også etter opphør av avtalen.

Vedlegg 1

Eksterne servere

Checkin lagrer alle data på eksterne servere hos Amazon Webservices i Irland. Checkin er underlagt Amazons egne databehandleravtaler, og behandlingsansvarliges data er derfor sikret av disse. Se også: https://aws.amazon.com/compliance/gdpr-center/

Integrasjoner

Checkin videreformidler ikke på noen måte data videre til andre 3. parter, foruten når integrasjoner med andre systemer er avtalt med behandlingsansvarlig, eller at det på annen måte har blitt avtalt at data skal eksporteres ut av Checkin.