Skip to content
Norsk
Kontakt oss

Databehandleravtale - ONwork

ONwork symbol

Denne avtalen med underliggende avtaler (bruksavtalen og personvernerklæringen) er bindende inngått ved aksept av tilbud fra leverandør. ONwork kan endre avtaleteksten dersom dette skulle være nødvendig. Ved eventuell endring plikter ONwork å varsle dere tre måneder før endring trer i kraft. Aksepterer dere ikke endringen står dere fritt til å varsle ONwork for deretter å bli fristilt fra avtalen.

 

Avtalen er bevisst utformet på et enkelt og forståelig språk.

Dersom noe fortsatt skulle være uklart, hører vi gjerne fra deg på info@onwork.no

 

Hva er en databehandleravtale?

Den norske personopplysningsloven og EU-forordning 2016/679 ("GDPR") (samlet omtalt som "personvernlovgivningen") inneholder krav til reguleringen av forholdet mellom databehandler og behandlingsansvarlig, og til de sikkerhetsmessige og organisatoriske tiltakene som må implementeres for å sørge for lovlig og sikker behandling av personopplysninger. Denne databehandleravtalen er inngått for å sikre at personopplysninger kun behandles i henhold til gjeldende lover og regler.

Følgende personopplysninger vil kunne behandles i Løsningen:
- Navn, telefonnummer og e-post for registrerte kontakter.

Formål med behandlingen av alle data, inkludert personopplysninger, er å kunne tilby en IT-plattform som gjør samhandling og kontroll bedre og enklere over tid.

Behandlingsansvarliges plikter og rettigheter

Behandlingsansvarlig bekrefter at:
  • Det foreligger tilstrekkelig behandlingsgrunnlag for behandlingen av personopplysninger.
  • Behandlingsansvarlig har ansvaret for nøyaktigheten, integriteten, innholdet, påliteligheten og lovligheten av personopplysningene som behandles.
  • Behandlingsansvarlig har informert de registrerte i henhold til de til enhver tid gjeldende lovkrav.

  • Behandlingsansvarlig skal sørge for at personopplysninger behandles i henhold til personvernlovgivningen, svare på henvendelser fra de registrerte og sørge for å implementere tilstrekkelige tekniske og organisatoriske tiltak for å sikre personopplysningene som behandles, jfr. GDPR artikkel 32.

  • Behandlingsansvarlig er ansvarlig for å melde brudd på personopplysningssikkerheten til Datatilsynet og eventuelt til de registrerte uten ugrunnet opphold i henhold til gjeldende lovgivning.
  • Behandlingsansvarlig skal ikke registrere eller lagre personopplysninger utover det som er nødvendig for formålet med behandlingen.

Databehandlers plikter og rettigheter

  • Databehandler har ikke eierskap over personopplysninger som behandles på vegne av behandlingsansvarlig, men skal kun behandle disse på vegne av behandlingsansvarlig og i henhold til behandlingsansvarliges instruksjoner som regulert i denne databehandleravtalen.
  • Databehandler skal omgående underrette den behandlingsansvarlige dersom databehandler mener at en instruks fra behandlingsansvarlig er i strid med personvernlovgivningen.
  • Databehandler skal sikre adekvat beskyttelse av personopplysninger gjennom både tekniske og organisatoriske tiltak i samsvar med GDPR artikkel 32. Dette gjøres blant annet gjennom en risiko- og sårbarhetsanalyse som gir grunnlag for organisatoriske rutiner og tekniske tiltak.
  • Databehandleren skal opprettholde et sikkerhetsnivå for behandlingen av personopplysningene som er tilstrekkelig i forhold til risikoen ved behandlingen. Databehandleren skal beskytte personopplysningene fra ødeleggelse, endring, ikke-autorisert utlevering, eller ikke-autorisert tilgang.
  • Databehandler bekrefter at alle personer som er autorisert til å behandle personopplysningene, har forpliktet seg til å behandle opplysningene fortrolig.
  • Databehandler skal ved forespørsel bistå behandlingsansvarlig med hensyn til arbeid med å oppfylle sistnevntes plikter etter personvernlovgivningen, for eksempel etter GDPR kapittel III og artikkel 32-36. Arbeidet faktureres i henhold til medgått tid og gjeldende timepriser.
  • Databehandler skal uten unødig opphold varsle behandlingsansvarlig dersom det er konstatert, eller det er mistanke om, et brudd på personopplysningssikkerheten.
  • Databehandler kan generere aggregert og anonymisert statistikk og analyser av bruksmønster i Løsningen som ledd i oppfyllelsen av Bruksavtalen, og for å effektivisere behandlingsansvarliges valgalternativer og bruk av Løsningen.
  • For å kunne følge opp kundeforholdet med behandlingsansvarlig (som å fakturere eller kontakte), kan databehandler få tilgang til og benytte registrerte personopplysninger som bruker- og foretaksnavn, adresse, e-post og telefonnummer.
  • Databehandler kan få tilgang til registrerte personopplysninger ved mistanke om feil i eller misbruk av Løsningen.

Revisjoner

Databehandler skal bistå behandlingsansvarlig ved å gjøre dokumentasjon tilgjengelig i den grad det er nødvendig for behandlingsansvarlig for å kunne påvise at databehandlers forpliktelser etter databehandleravtalen og personvernlovgivningen er oppfylt. All slik bistand fra databehandler til behandlingsansvarlig gjøres på skriftlig anmodning og faktureres etter medgått tid.

Behandlingsansvarlig og relevant tilsynsmyndighet har rett til å gjennomføre revisjoner, herunder inspeksjoner, av personopplysninger som behandles, gjennomførte tekniske og organisatoriske sikkerhetstiltak. Behandlingsansvarlig skal ikke gis tilgang til informasjon vedrørende databehandlers andre kunder og informasjon som er underlagt konfidensialitetsforpliktelser. Behandlingsansvarlig skal dekke kostnader knyttet til revisjoner som er initiert av behandlingsansvarlig eller som påløper ved revisjon av behandlingsansvarlig, med mindre revisjonen avdekker manglende oppfyllelse av forpliktelser etter databehandleravtalen eller personvernlovgivningen.

Taushetsplikt

Databehandler, dennes underleverandører og andre som på vegne av databehandler har tilgang til personopplysningene, er underlagt taushetsplikt og skal etterleve taushetsplikten i forbindelse med behandling av personopplysninger i henhold til personvernlovgivningen. Databehandler har ansvaret for at underleverandører og andre som opptrer på vegne av databehandler er underlagt slik taushetsplikt.

Behandlingsansvarlig er underlagt taushetsplikt når det gjelder dokumentasjon og informasjon knyttet til databehandlers og dennes underleverandørers gjennomføring av tekniske og organisatoriske sikkerhetstiltak, og informasjon som databehandler ellers ønsker å bevare som konfidensiell. Behandlingsansvarlig kan imidlertid alltid dele slik informasjon med relevante tilsynsmyndigheter, såfremt dette er nødvendig for å overholde den behandlingsansvarliges forpliktelser etter personvernlovgivningen eller andre lovpålagte plikter.

Taushetsplikten gjelder også etter databehandleravtalens opphør.

Generelt

Overføring ut av EU/EØS

Overføring av personopplysninger til land utenfor EU/EØS kan bare skje etter godkjenning fra behandlingsansvarlig som beskrevet i punktet "Bruk av underleverandører" ovenfor, og ved bruk av EUs standardvilkår, eller basert på annet rettslig grunnlag for slik overføring i henhold til gjeldende lovgivning.

Ved å inngå denne databehandleravtalen, gir behandlingsansvarlig fullmakt til databehandler til å inngå EUs standardvilkår på vegne av behandlingsansvarlig, eller til å sikre annet rettslig grunnlag for overføring av personopplysninger ut av EU/EØS til underleverandør som er godkjent i henhold til prosedyren i punktet "Bruk av underleverandører" over.

Databehandler skal på forespørsel gi behandlingsansvarlig en kopi av slike EU standardvilkår eller en beskrivelse av annet rettslig grunnlag for overføringen, og yte rimelig bistand og dokumentasjon til bruk i den behandlingsansvarliges risikovurdering av underleverandører eller overføringer av personopplysninger ut av EU/EØS.

Avtalens varighet

Databehandleravtalen er et vedlegg til Kundeavtalen og varer så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig.

Ved databehandleravtalens opphør, skal databehandler etter den behandlingsansvarliges valg, slette eller tilbakelevere alle personopplysninger og slette eksisterende kopier. Slik sletting/tilbakelevering skal gjennomføres innen 90 dager etter databehandleravtalens opphør. Behandlingsansvarlig vil ha anledning til å hente ut tidligere registrerte data i 90 dager etter Kundeavtalen opphør. Behandlingsansvarlig vil faktureres basert på medgått tid for arbeidsoperasjoner som ikke er inkludert i den automatiserte løsningen.

Sletting av og tilgang til personopplysninger

Behandlingsansvarlig er ansvarlig for å fastsette oppbevaringstiden for personopplysningene, slik at personopplysninger ikke oppbevares lenger enn det som er nødvendig for formålet de ble samlet inn for.

Behandlingsansvarlig kan velge å slette all eller deler av informasjonen i Løsningen. Ved sletting av informasjon vil også alle tilknyttede data, herunder personopplysninger bli slettet.

Tilgang til og endring av personopplysninger

Fremhenting av informasjon på forespørsel lagret i Løsningen som ikke er inkludert i den automatiserte løsningen, men som krever egne arbeidsoperasjoner av databehandler vil faktureres behandlingsansvarlig.

I tilfeller der det ikke finnes funksjonalitet for å endre personopplysninger i Løsningen kan en skriftlig henvendelse sendes til databehandler. Endring av personopplysninger vil kun utføres dersom det ikke er i strid med gjeldende lovgivning. Databehandler vil fakturere behandlingsansvarlig for medgått tid for arbeid i forbindelse med endring av personopplysninger.

Ved endringer vil gamle verdier finnes som backup i inntil 3  måneder. Denne tidsperioden er satt for å hindre inkonsistens i registrerte personopplysninger ved uforutsette hendelser.

Leverandør

Navn:                          ONwork AS 

Org.nr.:                        824948232 

Adresse:                     Nordre gate 8, 7011 TRONDHEIM 

Kontaktperson:           Anne Hegle Jespersen 

E-post:                        anne@onwork.no 

Bruk av underleverandører

Behandlingsansvarlig godkjenner at databehandler kan engasjere underleverandører for å bistå i å yte tjenesten og behandle personopplysninger under bruksavtalen, såfremt databehandler etterlever prosedyren for å engasjere nye/skifte ut underleverandører som beskrevet nedenfor, og databehandler sikrer at databehandlers forpliktelser som er fastsatt i databehandler-avtalen og personvernlovgivningen pålegges underleverandører gjennom skriftlig avtale.

Databehandler skal ha en liste med oversikt over identiteten til alle underleverandører og steder underleverandører behandler personopplysninger på vegne av behandlingsansvarlig. 

Databehandler skal oppdatere listen for å reflektere enhver tilføyelse eller utskiftning av underleverandører og varsle behandlingsansvarlig senest to måneder før underleverandøren skal påbegynne behandlingen av personopplysninger. Enhver innvending mot slike endringer må fremsettes til databehandler innen to uker fra slik varsling mottas.

Databehandler skal være fullt ut ansvarlig overfor behandlingsansvarlig for at underleverandører oppfyller sine forpliktelser.

Source AS

IT-leverandør som utfører den tekniske utviklingen av ONwork. Source AS er underlagt en databehandleravtale. Vi forsøker å begrense deres tilgang til data til et minimum, men de trenger tilgang for å kunne rette feil og forbedre løsningen.

Norge

TomorrowNext AS

Noen av våre tekniske prosjektledere  er engasjert gjennom selskapet TomorrowNext AS, og er underlagt en databehandleravtale.

Norge

Microsoft Inc.

ONwork driftes på Microsoft sine servere innenfor EU/EØS

Norge, Nederland og/eller Irland (EU/EØS)