Databehandleravtale
Denne avtalen regulerer behandlingen av personopplysninger fra We Are Media (databehandler) på vegne av kunder (behandlere), inkludert innsamling, registrering, kompilering, lagring, utlevering eller en kombinasjon av disse, og dens rettigheter og forpliktelser under følgende omstendigheter:
Sist oppdatert: 03.03.2021
Lov av 14.april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven);
Forskrift av 13.desember 2000 nr. 1265 om behandling av personopplysninger (personopplysningsforskriften);
EU forordning 2016/679/EC av 27.april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (General Data Protection Regulation) (heretter omtalt som “personvernforordningen”);
Lov om helseregistre og behandling av helseregistre av 18.mai 2001 nr.24 (helseregisterloven);
Lov om behandling av helseopplysninger ved ytelse av helsehjelp av 20.juni 2014 nr. 42 (pasientjournalloven); og
Enhver lov, forskrift eller annet regelverk som erstatter disse.
Hvis det er en konflikt mellom bestemmelsene i denne avtalen og rammene fulgt av personopplysningsloven eller andre relevante lover og forskrifter, vil bestemmelsene i denne avtalen vike.
Hvis det er en konflikt mellom regelverket i denne avtalen og rammene fulgt av personopplysningsregler eller andre relevante forskrifter, vil reglene i denne avtalen vike.
Avtalen skal sikre at personopplysninger ikke blir brukt ulovlig eller gitt til urimelige personer.
Denne avtalen dekker alle personopplysninger som behandles ved hjelp av We are Medias tjenester (inkludert underleverandører).
Formål
Formålet med behandlingen er å levere tjenester i samsvar med tjenesteavtalen og å utføre kundeservice som svar på kundens krav. We Are Media kan ikke behandle personopplysninger til andre formål.
Behandlingen av personopplysninger skal utføres i samsvar med gjeldende lover og forskrifter, denne avtalen og personvernerklæringen.
Eierskap og håndteringsansvar
Kunden er ansvarlig for å bruke We Are Media tjenester til å behandle lagrede og behandlede data, og eier og er ansvarlig for dataene. Under ingen omstendigheter kan We Are Media tildeles rollen som behandlingsansvarlig for disse dataene.
Kunden bestemmer formålet med behandling av personopplysninger og tilleggsverktøyene som brukes, og er ansvarlig for at personopplysningene behandles i samsvar med kravene i lover, forskrifter og regler.
We Are Media sine plikter
We Are Media skal bare behandle personlig informasjon i samsvar med kundens skriftlige instruksjoner.
We Are Media er forpliktet til å gi kundene tilgang til dokumenter og yte hjelp slik at kundene kan oppfylle sitt ansvar i samsvar med lover og regler. Med mindre annet er avtalt eller kreves i henhold til lov, har kunden rett til å få tilgang til og få tilgang til de behandlede personopplysningene og systemet som brukes til dette formålet. We Are Media er forpliktet til å yte nødvendig hjelp til dette formålet.
We Are Media er forpliktet til å bistå databehandlere med å oppfylle kravene for å etablere et passende sikkerhetsnivå, inkludert å iverksette nødvendige tiltak, som å varsle sikkerhetsbrudd, evaluere personvernkonsekvenser og gjennomføre tidligere diskusjoner på kundens forespørsel.
We Are Media er forpliktet til å utnevne en personvernsansvarlig eller et annet kontaktpunkt. Dets ansvar er å fungere som kundens kontaktpunkt, kontrollere og koordinere samsvaret med hele avtalen, og sørge for at alle relevante ansatte og tredjeparter forstår ansvaret for å beskytte personlig data i samsvar med loven og denne avtalen.
Kontaktinformasjonens detaljer må alltid oppgis i personvernerklæringen
We Are Media forbeholder seg retten til å nekte å behandle personopplysninger som bryter loven og er forpliktet til å varsle kunder om denne saken.
Taushetsplikt
We Are Media er ansvarlig for konfidensialiteten til dokumenter og personlig informasjon og andre data som behandles ved hjelp av We Are Medias tjenester. Denne klausulen gjelder også etter opphør av avtalen.
Bruk av underleverandører
En underleverandør er en tredjepart som behandler data på vegne av We Are Media. We Are Media er forpliktet til å føre en liste over navn og steder for alle underleverandører som er involvert i behandlingen av personopplysninger.
Bare tredjeparter på denne listen er underleverandører.
Kunder godtar at We Are Media kan bruke underleverandører når de leverer tjenester og behandler personopplysninger, forutsatt at de må behandle personopplysninger i samsvar med denne avtalen.
We Are Media er ansvarlig overfor kunden for enhver form for behandling utført av underleverandøren.
We Are Media er forpliktet til å oppdatere listen over underleverandører minst 30 dager før underleverandørene begynner å behandle personopplysninger.
I tilfelle kunden motsetter seg bruken av den nye underleverandøren, skal We Are Media varsles umiddelbart og umiddelbart. We Are Media vil (1) avslutte bruken av underleverandører, (2) unngå å bruke underleverandører for å innhente personlig informasjon om kunder, eller (3) si opp avtaleforholdet. I (1) og (2) fortsetter protokollen å kjøre uten endringer. Gjennom (3) har kunden rett til umiddelbart å varsle oppsigelsen, og beløpet som er betalt innen gjeldende avtaleperiode vil bli refundert.
Tjenestene som leveres av We Are Media tillater integrering med tredjeparts tjenester, og kan omfatte integrering og lenker til tredjeparts tjenester som ikke er underleverandører. Bruk av alle tredjeparts tjenester som ikke er underleverandører, inkludert, men ikke begrenset til lagring, databehandling og datautveksling, er bare underlagt vilkårene i tredjepartsavtalen. Under ingen omstendigheter vil We Are Media påta seg noe ansvar for bruken av slike tjenester, og i tilfelle bruk skal kunden kompensere We Are Media under noen omstendigheter.
Internasjonal dataeksport
Kunden godtar at We Are Media og underleverandører kan behandle personopplysninger utenfor Norge, EU og Sveits. Dette gjelder også hvis kunden har godtatt datalagring i Norge, EU eller Sveits, men bare hvis behandlingen må gjøres utenfor EU for å utføre kundeservice eller andre tjenester på kundens forespørsel. Behandlingen av personopplysninger utenfor Norge, EU eller Sveits skal utføres i samsvar med gjeldende lover og forskrifter, serviceavtaler, personvernerklæringer og andre metoder som er nødvendige for levering av tjenester og for kundeservice på anmodning fra kunde.
Kundens plikter
Kunden er ansvarlig for å opprettholde en oversikt over personopplysningene som We Are Media behandler på vegne av kunden.
Kunden er ansvarlig for å gi skriftlige instruksjoner om hvordan man behandler personopplysninger. De nødvendige tilgangsrettighetene kan bare gis på forespørsel. Kunden er ansvarlig for å administrere tilgangsrettighetene og må straks slette disse rettighetene når de ikke lenger er nødvendige.
Kunden er enig i at We Are Medias tjenester i prinsippet ikke inkluderer sikkerhetstiltakene som er nødvendige for å behandle personopplysninger om barn og sensitive og konfidensielle personopplysninger (som kryptering eller fysisk isolasjon), med mindre det er uttrykkelig angitt i produktbeskrivelsen og / eller kontrakten. . Kunder er ansvarlige for å treffe passende sikkerhetstiltak for personopplysninger som behandles ved hjelp av We Are Media -tjenester.
Kunden garanterer at lover og forskrifter i henhold til enhver avgjørelse fra den offentlige myndighet er til enhver tid gjeldende, og at all behandling av personopplysninger knyttet til denne avtalen vil fortsette å overholde alle relevante personvernbestemmelser. I Norge og EU, og overholde denne avtalen.
Kunder er forpliktet til å informere brukerne om bruk av databehandlere (inkludert We Are Media) og kan behandle personopplysninger utenfor Norge, EU eller Sveits.
Kunden må umiddelbart sende inn en forespørsel som involverer behandling av personopplysninger før behandlingen, og må svare på We Are Media henvendelser umiddelbart.
Behandlingen av personopplysninger i henhold til kundens personvernsertifisering kan bare gjøres gjennom en spesiell avtale.
Returner og ødelegg personlig informasjon
Kunden må eksportere data og personlig informasjon på tidspunktet for oppsigelsen og før utløpet av den endelige avtaleperioden. Eksporten vil gjøres ved hjelp av grensesnittet tilgjengelig på nettstedet We Are Media. Kunder må være kjent med disse grensesnittene. We Are Media er forpliktet til å bistå kunder i denne eksporten på forespørsel.
Dataeksport utenfor omfanget av We Are Media -grensesnittstøtte (inkludert men ikke begrenset til bruk av andre eksportformater eller eksportmetoder) bør bæres av kunden, og fakturaer bør utstedes basert på forløpt tid og gjeldende timepris.
Kunden godtar at We Are Media vil slette alle data, inkludert alle sikkerhetskopier, etter oppsigelse etter at den endelige avtalsperioden utløper, og dataene vil når som helst bli slettet i samsvar med retningslinjene og prosedyrene satt av We Are Media.
We Are Media garanterer ikke tap av data fordi dataeksporten ikke er fullført før datoen for tjenestens avslutning.
Sikkerhet
We Are Media er forpliktet til å implementere og vedlikeholde de nødvendige tekniske og organisatoriske tiltakene formulert i samsvar med gjeldende lover, forskrifter og regler til enhver tid for å forhindre tap av personopplysninger på grunn av utilsiktet eller ulovlig ødeleggelse, utilsiktet tap eller endring, i den grad gjennomførbar Ulovlig overføring eller tilgang (avvik) innenfor og kontrollert av We Are Media. Slike tiltak bør ta hensyn til tilgjengelig teknologi og implementeringskostnader for å oppnå et passende sikkerhetsnivå når det gjelder behandlingen av personopplysninger og lagrede data.
We Are Media er forpliktet til å bistå kunder i regelmessige sikkerhetskontroller. Kunder er forpliktet til å varsle We Are Media om sikkerhetsrevisjoner og systemtester (inkludert men ikke begrenset til automatisk gjenkjenning, penetrasjonstesting og portskanning) i tide. Uanmeldt systemtesting vil føre til brudd på AUP.
Fysisk tilgangskontroll
We Are Media skal treffe nødvendige tiltak alene eller gjennom bruk av tredjeparter for å forhindre fysisk kontakt. Dette inkluderer, men er ikke begrenset til, bruk av sikkerhetspersonell og bruk av trygge bygninger og steder for å forhindre uautorisert tilgang til personlig informasjon.
Systemtilgangskontroll
We Are Media skal treffe passende tiltak for å forhindre urettferdig behandling av personopplysninger. Disse tiltakene vil variere med behandlingen, inkludert men ikke begrenset til autentisering av brukernavn og passord, tofaktorautentisering, dokumentert autorisasjonsprosess, dokumentert endringsadministrasjonsprosess og loggføring på flere nivåer.
Overføringskontroll
We Are Media skal ta passende tiltak i den grad det er praktisk mulig for å sikre at det er mulig å overføre dataene til riktig person uten uautorisert lesing, kopiering, endring eller sletting av dataene under dataoverføringsprosessen.
Backup
Sikkerhetskopien utføres i samsvar med serviceavtalen. For tjenester som eksplisitt ikke inkluderer sikkerhetskopier, er kunden ansvarlig for å gi passende sikkerhetskopier.
Logisk separasjon
I We Are Medias system skilles data fra forskjellige kunder logisk for å sikre at personopplysninger registrert for forskjellige formål kan behandles separat.
Avvik
Bruk av informasjonssystem som bryter med We Are Medias praksis og AUP, kundens beskrivelse, personvernloven eller GDPR skal behandles som avvik. We Are Media vil varsle kunden så snart den er klar over avviket, og samarbeide med kunden for å korrigere avviket når det er nødvendig. Kunden er ansvarlig for å sende avviksrapporten til Datatilsynet.
Merknaden til kunden skal i det minste inneholde en beskrivelse av avvikets art, kontaktinformasjon til We Are Media kontaktpunkt, en beskrivelse av mulige konsekvenser, og det implementerte eller planlagte løsningsavviket og begrense konsekvensene.