Databehandleravtale

Avtalens parter

1.1 Parter

Avtalen inngås mellom:

Teaching FUNtastic, Org.nr 915760198 (heretter kalt behandlingsansvarlig)

 

og databehandler: ______________________ (Org.nr_____________) (heretter kalt databehandler)

 

1.2 Kontaktpersoner

Kontaktperson hos behandlingsansvarlig: Eirin Kvade Rannekleiv, daglig leder

Kontaktperson hos databehandler: ______________________________

Avtalens hensikt

Avtalens hensikt er å regulere rettigheter og plikter etter Lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) og forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften). Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende. Avtalen inngås i henhold til personopplysningsloven § 13, jf. § 15, og personopplysningsloven kapittel 2.

Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.

Formålet med avtalen

Formålet med avtalen er å regulere behandlingen av personopplysninger som databehandleren gjør på vegne av den behandlingsansvarlige i forbindelse med brukerkonto, kjøp og abonnement.

Databehandleren kan kun behandle personopplysninger gjort tilgjengelig av behandleransvarlig i henhold til denne avtale.

Det skal fremgå klart av denne avtalen dersom databehandleren kan overlate personopplysninger til andre for oppbevaring, bearbeiding eller annen behandling, og underleverandør skal angis i avtalens punkt 6.

Behandlingens formål kan ikke endres av noen av partene uten at ny avtale er signert.

 

3.1. Beskrivelse av formålet med bruken av databehandler

Databehandleren kan bare behandle personopplysningene i henhold til de formål som er bestemt av behandlingsansvarlig og i samsvar med de vilkår som fremgår av denne avtalen:

Dataene brukes til e-postutsendelse om tilbud, salg og oppdateringer. Brukerne kan selv velge å melde seg på og av nyhetsbrev. Betalingssystemet lagrer også data knyttet til kjøp av produkter og tjenester.

Ingen persondata vil bli utlevert til tredjepart fra Teaching FUNtastic.

 

3.2. Spesifisering av aktuelle data

Data som behandles er navn og betalingsinformasjon i sammenheng med kjøp. Ellers er det kun e-postadresse som behandles av oss.

Varighet og oppsigelse

Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig iht. formålet angitt i avtalens pkt. 3 og pkt. 4.

Ved brudd på denne avtale eller personopplysningsloven kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.

Partenes ansvar under personopplysningsloven

5.1 Behandlingsansvarliges plikter

Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes, jf. lov om behandling av personopplysninger (heretter personopplysningsloven), § 2 nr. 4.

Den behandlingsansvarlige har ansvar for å påse at krav til informasjonssikkerhet, herunder krav om konfidensialitet, integritet og tilgjengelighet, som stilles i personopplysningsloven med forskrifter, er oppfylt.

Dette innebærer blant annet også at behandlingsansvarlig har ansvaret for å påse at kravene er oppfylt i forbindelse med oppbevaring og bruk av personopplysningene hos databehandleren, jf. loven § 15 og personopplysningsforskriften § 2-15.

5.2 Databehandlers plikter

Databehandler er den som behandler personopplysninger på vegne av den behandlingsansvarlige, jf. personopplysningsloven § 2 nr. 5.

Databehandler kan kun behandle personopplysninger tilgjengeliggjort av behandlingsansvarlig i henhold til denne avtale, jf. personopplysningsloven § 15. Eventuell annen bruk av personopplysningene skal i forkant avtales særskilt og skriftlig med behandlingsansvarlig.

Databehandler skal følge de rutiner og instrukser for behandlingen som behandlingsansvarlig til enhver tid har bestemt skal gjelde.

Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift.

Behandlingsansvarlig har, med mindre annet er avtale eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette.

Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør.

Bruk av underleverandører

Dersom en av partene engasjerer underleverandører til å utføre ytelser som følger av denne avtalen, er parten fullt ansvarlig for utførelsen av disse ytelsene på samme måte som han selv stod for utførelsen. Databehandleren skal sørge for at underleverandør undertegner og forplikter seg til å følge behandlingsansvarliges databehandleravtale.

Nettbrygga AS har support for nettsideløsning og dermed tilgang til brukerdata knyttet til brukerkontoer.

E-postutsendelse leveres av nyhetsbrev håndteres av Mailchimp og Kajabi. Disse to leverandørene har tilgang til brukerdata knyttet til nyhetsbrev.

Krav til informasjonssikkerhet

Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningsloven §§ 13-15 med forskrifter.

Databehandler skal kunne dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på forespørsel fra behandlingsansvarlige.

Databehandler skal på forespørsel fra behandlingsansvarlige bistå og stille seg til disposisjon for at behandlingsansvarlig skal kunne foreta sikkerhetsrevisjoner for systemer og rutiner, og andre kontrolltiltak relevant for oppfyllelsen av partenes rettslige plikter i henhold til denne avtale. 

Avviksmelding

Bruk som er i strid med fastlagte rutiner, og sikkerhetsbrudd, anses som avvik, jf. personopplysningsforskriftens § 2-6. Databehandler skal melde avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding, der uautorisert utlevering av personopplysninger har skjedd, sendes til Datatilsynet.

Ved opphør

Ved avtalens utløp skal databehandleren påse at alle personopplysninger som er tilgjengeliggjort av behandlingsansvarlig slettes på forsvarlig måte.

Signering

Denne avtale er undertegnet i 2 – to – eksemplarer, hvorav hver part beholder 1 – ett – eksemplar.

 

 

Arendal, den ______________________                       __________________, den ____________

 

Navn: Eirin Kvade Rannekleiv.                                                  Navn: _____________________________

(med trykte bokstaver)                                                                (med trykte bokstaver)

 

Stilling: Daglig leder                                                                      Stilling: ___________________________

 

___________________________                                    _________________________________

Teaching FUNtastic,                                                                     Databehandler (signatur)

Behandlingsansvarlig (signatur)