Avtale om databehandling

INNLEDNING

Behandlingsansvarlig og Databehandler har inngått en rammeavtale om bruk av EcoMobility Vehicle Intelligence-løsninger, EcoMobility Route-løsninger og/eller EcoMobility Education-tjenester, alt etter hva som er aktuelt (heretter kalt «Tjenestene» og «Rammeavtalen for Tjenester»).

Behandlingsansvarlig instruerer Databehandler til å behandle personopplysninger på vegne av Behandlingsansvarlig som en del av leveringen av Tjenestene under Rammeavtalen for Tjenester.

Behandlingsansvarlig har engasjert Databehandler for å levere Tjenestene og har fastsatt formål og vesentlige midler for den databehandlingen Databehandler skal utføre på vegne av Behandlingsansvarlig.

Partene inngår denne avtalen for å fastsette sine respektive rettigheter og plikter i forbindelse med Databehandlers behandling av personopplysninger i samsvar med artikkel 28 i forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri bevegelighet for slike opplysninger (heretter «GDPR», personvernforordningen).

Artikkel 1 – Avtalens gjenstand og definisjoner

1.1 Denne avtalen fastsetter partenes rettigheter og plikter vedrørende behandling av personopplysninger som Databehandler utfører på vegne av Behandlingsansvarlig.

1.2 Med mindre annet uttrykkelig er avtalt eller sammenhengen tilsier noe annet, skal begrepene i denne avtalen ha den betydningen som følger av GDPR.

Artikkel 2 – Beskrivelse av behandling utført av databehandler

2.1 Databehandler instrueres av Behandlingsansvarlig til å behandle personopplysninger som ledd i de Tjenester Databehandler leverer etter Rammeavtalen for Tjenester.
Kategorier av personopplysninger og registrerte som inngår i behandlingen fremgår av Vedlegg 1.

2.2 Databehandler skal kun behandle personopplysninger i samsvar med Behandlingsansvarliges instrukser. Instruksene gis som del av den kontraktsmessige avtalen mellom partene.

2.3 Behandlingsansvarlig forplikter seg til skriftlig å bekrefte alle instrukser til Databehandler om behandling av personopplysninger – herunder via bestillingsskjema for Tjenestene og innstillinger i relevant løsning eller system – og til å dokumentere disse instruksene.

2.4 Databehandler forplikter seg til kun å behandle personopplysninger i tråd med Behandlingsansvarliges instrukser som del av leveringen av Tjenestene. Under enhver omstendighet skal Databehandler ikke behandle personopplysninger til andre formål enn leveringen av Tjenestene for Behandlingsansvarlig og oppfyllelse av egne rettslige plikter.

Artikkel 3 – Partenes plikter

3.1 Behandlingsansvarlig har fastsatt formål(ene) med behandlingen før Tjenestene bestilles fra Databehandler. Behandlingens art og formål er beskrevet i Vedlegg 1.

3.2 Behandlingsansvarlig har også fastsatt de vesentlige midlene for behandlingen, herunder hvilke personopplysninger som samles inn ved å angi kjøretøy som skal overvåkes, identitet på personer som får tilgang til personopplysninger i systemet, deres tilgangsrettigheter, samt lagringsperiode for personopplysningene. Instruks er gitt til Databehandler ved signering av Rammeavtalen for Tjenester. De vesentlige midlene fastsettes av Behandlingsansvarlig og kan når som helst endres ved skriftlig henvendelse til Databehandler eller ved å endre relevante innstillinger i den aktuelle løsningen eller systemet.

3.3 Når det gjelder formål(ene) med behandlingen, bekrefter og garanterer Behandlingsansvarlig at bruk og behandling av personopplysninger samt instruks til Databehandler ikke er i strid med GDPR eller annen gjeldende rett.

3.4 Databehandler vil innen rimelighetens grenser informere Behandlingsansvarlig dersom Databehandler etter sin vurdering mener at Behandlingsansvarliges instrukser er i strid med GDPR, basert på informasjonen Behandlingsansvarlig har gitt. Dersom instruksen anses ulovlig, kan Databehandler suspendere gjennomføringen inntil lovligheten er verifisert og skriftlig bekreftet av Behandlingsansvarlig og – på Databehandlers anmodning – av Behandlingsansvarliges eksterne rådgiver. Behandlingsansvarlig er likevel ansvarlig for å verifisere og sikre behandlingens lovlighet.

3.5 Tatt i betraktning teknikkens tilstand, implementeringskostnader, behandlingens art og risikoer samt relevante bransjestandarder forplikter Databehandler seg til å iverksette egnede tekniske og organisatoriske tiltak for å sikre vern av personopplysninger og behandlingen av dem. Partene er enige om implementeringen av tiltakene angitt i Vedlegg 2.

3.6 Behandlingsansvarlig forplikter seg til uttrykkelig og skriftlig å varsle Databehandler dersom behandlingen av personopplysninger i tilknytning til Tjenestene innebærer særlig høy risiko – for eksempel på grunn av høy verdi på varer som transporteres av kjøretøy overvåket via geolokasjon. Slikt varsel skal gis i tide før behandlingen starter. I slike tilfeller skal Behandlingsansvarlig begrense brukeres tilgang i løsningen/systemet etter et «need-to-know»-prinsipp, og kan be Databehandler skjerpe interne tilgangsbegrensninger for utvalgte ansatte.

3.7 Under avtalens gjennomføring kan Behandlingsansvarlig be Databehandler om et tilbud på ytterligere tekniske eller organisatoriske tiltak. Databehandler opplyser om tiltakene er teknisk/organisatorisk gjennomførbare og – dersom ja – hvilke kostnader som påløper. Aksepterer Behandlingsansvarlig, implementerer Databehandler tiltakene på avtalte vilkår.

3.8 For å sikre best mulig vern av personopplysninger kan Databehandler – etter eget skjønn og i tråd med artikkel 12.2 – tilpasse og endre Vedlegg 2 for å innføre ytterligere tiltak eller endre eksisterende tiltak i avtaleperioden. Databehandler skal da opprettholde et passende sikkerhetsnivå. Vesentlige endringer dokumenteres og meddeles Behandlingsansvarlig i samsvar med artikkel 12.2.

3.9 Databehandler forplikter seg til jevnlig å vurdere om tiltakene gir et tilstrekkelig vern.

3.10 Databehandler skal ikke behandle personopplysninger knyttet til Behandlingsansvarlig for andre formål enn leveringen av Tjenestene og kun i samsvar med Behandlingsansvarliges instrukser, med mindre Databehandler er rettslig forpliktet til det eller i forbindelse med mulig tvist, for eksempel vedrørende leveringen av Tjenestene.

Artikkel 4 – Registrertes rettigheter

4.1 Behandlingsansvarlig forplikter seg til å informere de registrerte om behandlingen og oppfylle øvrige lovlige krav knyttet til registrertes rettigheter etter GDPR.

4.2 Dersom en registrert fremmer en anmodning til Databehandler om å utøve sine rettigheter, skal Databehandler videresende anmodningen til Behandlingsansvarlig innen rimelig tid, og senest innen syv (7) arbeidsdager.

Artikkel 5 – Brudd på personopplysningssikkerheten

5.1 Databehandler forplikter seg til å varsle Behandlingsansvarlig om brudd på personopplysningssikkerheten i GDPRs forstand når Databehandler blir kjent med bruddet.

5.2 I varselet til Behandlingsansvarlig skal Databehandler gi følgende informasjon:

• beskrivelse av bruddets karakter, herunder om mulig kategorier og omtrentlig antall berørte registrerte, berørte datakategorier og omtrentlig antall berørte poster

• beskrivelse av sannsynlige konsekvenser av bruddet

• beskrivelse av tiltak som er iverksatt eller foreslått for å avhjelpe bruddet og, hvis relevant, tiltak for å begrense mulige negative virkninger

• kontaktopplysninger til personvernombud (DPO) eller annen kontaktperson

Dersom all informasjon ikke kan gis samtidig, skal den gis uten ugrunnet opphold og senest 24 timer etter at bruddet ble oppdaget.

5.3 Behandlingsansvarlig forplikter seg til å melde bruddet til relevant tilsynsmyndighet og – når påkrevd – til berørte registrerte i samsvar med GDPR eller annen lovgivning. Behandlingsansvarlig informerer Databehandler før innsending og tar i størst mulig grad hensyn til Databehandlers innspill til utkastet.

5.4 Etter skriftlig instruks fra Behandlingsansvarlig kan Databehandler påta seg å sende melding til tilsynsmyndigheten og – hvis relevant – til registrerte på vegne av Behandlingsansvarlig. Roller og ansvar for DPO, IT, juridisk og kommunikasjon ved håndtering av brudd følger Behandlingsansvarliges interne «Data Breach Response Plan».

Artikkel 6 – Bistand og kontroll

6.1 Databehandler vil innen rimelighetens grenser bistå Behandlingsansvarlig med å oppfylle plikter vedrørende personvernkonsekvensvurderinger (DPIA) og eventuell forhåndsdrøfting med tilsynsmyndigheten.

6.2 Databehandler skal stille til rådighet nødvendig informasjon og dokumentasjon for å påvise etterlevelse av denne avtalen og GDPR. Dette omfatter å føre en hendelseslogg («Breach Register») over alle brudd – uavhengig av om de meldes til myndigheten – som oppbevares i minimum fem (5) år. Behandlingsansvarlig kan gjennomføre kontroll av den behandlingen Databehandler utfører på Behandlingsansvarliges vegne.

Partene avtaler skriftlig rimelige vilkår for slik kontroll. Kontrollen skal oppfylle Databehandlers rimelige krav til sikkerhet, konfidensialitet og vern av forretningshemmeligheter. Dersom en tredjepart utfører kontrollen for Behandlingsansvarlig, kan denne ikke være konkurrent til Databehandler og skal signere en konfidensialitetsavtale, i tillegg til øvrige rimelige vilkår fra Databehandler.

Kontrollen må ikke unødig forstyrre Databehandlers ordinære drift. Behandlingsansvarlig varsler som hovedregel skriftlig minst to uker i forkant.

Kontrollresultatene vurderes og drøftes mellom partene. Eventuelle ytterligere tiltak som avtales, iverksettes så snart som mulig av relevant part.

6.3 Ved behov, og dersom Behandlingsansvarlig ikke har direkte tilgang til relevante opplysninger, vil Databehandler søke å bistå Behandlingsansvarlig med å svare på legitime anmodninger fra registrerte om deres rettigheter etter GDPR.

6.4 Kostnader til kontroll og øvrig bistand fra Databehandler bæres av Behandlingsansvarlig.

6.5 I den utstrekning loven tillater det, forplikter Behandlingsansvarlig seg til straks å varsle Databehandler om tilsyn, inspeksjoner eller andre tiltak fra datatilsynsmyndighet eller annen kompetent myndighet knyttet til behandling omfattet av denne avtalen. Varslet skal være vederlagsfritt og inneholde de vesentlige elementene i myndighetens tiltak. Partene skal samarbeide om å besvare slike henvendelser.

Artikkel 7 – Overføring av personopplysninger utenfor EU

7.1 Med mindre Behandlingsansvarlig uttrykkelig instruerer skriftlig om det, eller det er rettslig pålagt, skal Databehandler ikke overføre personopplysninger utenfor Den europeiske union («EU»).

7.2 Dersom Behandlingsansvarlig instruerer Databehandler om å overføre personopplysninger utenfor EU, skal Behandlingsansvarlig skriftlig bekrefte at overføringen er i samsvar med begrensningene i GDPR og vedlegge relevant dokumentasjon for lovligheten før overføringen skjer.

7.3 Dersom Databehandler er rettslig forpliktet til å overføre personopplysninger utenfor EU, vil Databehandler søke å informere Behandlingsansvarlig før overføringen, med mindre slikt varsel er forbudt ved lov.

Artikkel 8 – Erklæringer, garantier og ansvar

8.1 Partene bekrefter og garanterer i sitt kontraktsforhold at de vil overholde sine respektive plikter etter GDPR.

8.2 Databehandler er alene ansvarlig for å sikre best mulig behandling av personopplysninger i samsvar med denne avtalen. Databehandler kan ikke garantere at tekniske og organisatoriske tiltak er effektive under alle omstendigheter, men vil gjøre sitt ytterste for å sikre et passende beskyttelsesnivå i henhold til artikkel 3.

8.3 Behandlingsansvarlig er ansvarlig for at den behandlingen Databehandler utfører etter instruks, er lovlig og forholdsmessig. Behandlingsansvarlig bekrefter og garanterer at planlagt behandling er lovlig, ikke strider mot gjeldende rett og ikke krenker tredjeparts rettigheter (inkludert immaterielle rettigheter). Særlig er overføring utenfor EU etter instruks i henhold til artikkel 7.1 og 7.2 utelukkende Behandlingsansvarliges ansvar. Databehandler er heller ikke ansvarlig for behandling Behandlingsansvarlig selv utfører, eller for behandling utført av tredjeparter etter Behandlingsansvarliges instruks.

Artikkel 9 – Bruk av underdatabehandlere

9.1 Behandlingsansvarlig gir herved generell fullmakt til at Databehandler kan sette bort enkelte behandlingsaktiviteter til underdatabehandlere («Underdatabehandlere»). Forutgående uttrykkelig godkjenning er ikke påkrevd i slike tilfeller.

9.2 Ved bruk av underdatabehandler gjelder: Databehandler skal skriftlig informere Behandlingsansvarlig minst tretti (30) dager før planlagt utnevnelse eller bytte. Forhåndsvarselet skal beskrive arten av de berørte behandlingsaktivitetene og identifisere underdatabehandleren. Behandlingsansvarlig kan, innen femten (15) dager og av saklige personvernmessige grunner, protestere mot utnevnelsen.

9.3 Databehandler forplikter seg til å pålegge underdatabehandleren databeskyttelsesforpliktelser i en skriftlig, bindende avtale som i det vesentlige tilsvarer denne avtalen. Særlig skal underdatabehandleren pålegges egnede tekniske og organisatoriske tiltak som i det vesentlige svarer til Vedlegg 2, hensyntatt de konkrete behandlingsaktivitetene.

9.4 Behandlingsansvarlig er informert om at underdatabehandlerne oppført i Vedlegg 3 behandler personopplysninger som ledd i leveringen av Tjenestene.

9.5 Partene er enige om at «underdatabehandler» kun omfatter leverandører som leverer databehandlingstjenester i egenskap av databehandler. Begrepet omfatter ikke leverandører som leverer tilleggstjenester i egenskap av behandlingsansvarlig (f.eks. telekommunikasjon, post, vedlikehold mv.) som Databehandler kan benytte ved levering av Tjenestene.

9.6 Databehandler skal på anmodning gi Behandlingsansvarlig kopi av slik underdatabehandleravtale og senere endringer. I den grad det er nødvendig for å verne forretningshemmeligheter eller annen konfidensiell informasjon, herunder personopplysninger, kan Databehandler sladde deler av avtaleteksten før oversendelse.

9.7 Databehandler er fullt ut ansvarlig overfor Behandlingsansvarlig for at underdatabehandler oppfyller sine forpliktelser, og vil varsle Behandlingsansvarlig dersom underdatabehandler misligholder.

Artikkel 10 – Konfidensialitet

10.1 Databehandler bekrefter at alle ansatte som behandler personopplysninger, er underlagt konfidensialitetsplikt og er informert om GDPRs prinsipper. Databehandler sikrer også at alle ansatte årlig får opplæring i personvern og håndtering av brudd, i tråd med Behandlingsansvarliges «Data Breach Response Plan».

10.2 Partene forplikter seg til å bevare konfidensialiteten om denne avtalen. Hver part begrenser intern deling til ledere og/eller ansatte med et berettiget informasjonsbehov, og skal ikke utlevere avtalen til tredjeparter uten den andre partens skriftlige forhåndssamtykke. Partene kan utlevere avtalen til kompetent myndighet dersom loven krever det, eller ved rettstvist. Behandlingsansvarlig bekrefter betydningen av å opprettholde konfidensialiteten i informasjonen, særlig i Vedlegg 2 og Vedlegg 3, og forplikter seg til å iverksette egnede tiltak. Konfidensialitetsplikten gjelder også etter avtalens opphør.

Artikkel 11 – Varighet og opphør

11.1 Denne avtalen gjelder i Rammeavtalens løpetid. Dersom varighet ikke er angitt, gjelder avtalen så lenge det består et forretningsforhold mellom partene.

11.2 Dersom Databehandler ikke oppfyller sine forpliktelser etter avtalen, kan Behandlingsansvarlig – uten at det berører GDPR – instruere Databehandler om å suspendere behandlingen inntil etterlevelse er gjenopprettet. Databehandler skal umiddelbart informere Behandlingsansvarlig dersom etterlevelse ikke er mulig.

11.3 Behandlingsansvarlig kan si opp databehandleravtalen dersom:

• behandlingen er suspendert etter artikkel 11.2 og etterlevelse ikke er gjenopprettet innen rimelig tid, og senest innen tre (3) måneder etter suspensjon,

• Databehandler vesentlig eller gjentatte ganger bryter avtalen eller ikke oppfyller sine plikter etter GDPR,

• Databehandler ikke etterkommer en bindende avgjørelse fra kompetent domstol eller tilsynsmyndighet vedrørende denne avtalen eller GDPR.

11.4 Databehandler kan si opp databehandleravtalen dersom Behandlingsansvarlig fastholder instruks etter at Databehandler har gjort oppmerksom på at den strider mot gjeldende rett.

11.5 Etter avsluttet levering av Tjenestene knyttet til behandling av personopplysninger, er partene enige om at Databehandler som hovedregel skal slette personopplysninger behandlet på vegne av Behandlingsansvarlig så snart som mulig. Alternativt kan Behandlingsansvarlig be om kopi mot betaling av gebyrer fastsatt av Databehandler etter særskilt skriftlig avtale.
Uansett er Databehandler berettiget til å beholde en kopi så lenge det er nødvendig av bevismessige eller lovpålagte hensyn.

Artikkel 12 – Diverse

12.1 Denne avtalen med vedlegg erstatter alle tidligere muntlige og skriftlige avtaler mellom partene om det aktuelle temaet og utgjør den fullstendige avtalen mellom partene. Databehandlers generelle vilkår om personvern og datalagring erstattes av denne avtalen med vedlegg.

12.2 Avtalen kan kun endres skriftlig med uttrykkelig henvisning til denne avtalen. Databehandler kan endre avtalen med tretti (30) dagers skriftlig varsel. Særlig kan Vedlegg 2 og Vedlegg 3 endres etter Databehandlers skjønn fra tid til annen, med 30 dagers skriftlig varsel og på følgende vilkår:

• Vedlegg 2 kan ikke endres på en måte som vesentlig og bevisst forringer sikkerhetsnivået som de tekniske og organisatoriske tiltakene ga ved avtalens ikrafttredelse.

• Vedlegg 3 kan endres i samsvar med artikkel 9.2.

12.3 Partene skal gi hverandre alle meldinger og kommunikasjon skriftlig.

12.4 Avtalens gyldighet, tolkning og oppfyllelse er underlagt norsk rett, uavhengig av lovvalgsregler som kan peke på et annet lands materielle rett.

12.5 Eksklusivt verneting for krav, prosesser eller tvister som springer ut av eller i forbindelse med denne avtalen, er de kompetente domstoler i Norge.