Databehandleravtale
mellom
organisasjonen med administrative rettigheter
(Behandlingsansvarlig)
og
Bloc As
(Databehandler)
i fellesskap ”Partene”
1. Avtalens bakgrunn og hensikt
1.1 Partene har inngått en sluttbrukeravtale («Hovedavtalen») som gir Behandlingsansvarlig en bruksrett til tjenester levert av Databehandler gjennom nettsiden på SalongenOnline. Denne avtalen er et vedlegg til Hovedavtalen, og skal anses inngått på samme tidspunkt som Hovedavtalen trer i kraft.
1.2 Som ledd i oppfyllelsen av pliktene etter Hovedavtalen, skal Databehandler behandle personopplysninger på vegne av Behandlingsansvarlig. Avtalens hensikt er derfor å regulere Partenes rettigheter og plikter etter den til enhver tid gjeldende personopplysningslov, herunder rammene for Databehandlers behandling av personopplysninger. Avtalen skal sikre at databehandlingen er i samsvar med gjeldende personopplysningslov og at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende.
1.3 Ved å godta Hovedavtalen, herunder denne avtalen, bekrefter Partene at Databehandler har avgitt tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at databehandlingen oppfyller kravene i den til enhver tid gjeldende personvernlovgivning, herunder vern av de registrertes rettigheter.
2. Formålet med databehandlingen
2.1 Databehandler skal i henhold til avtalen tilby en nettløsning gjennom SalongenOnline som tilrettelegger for Behandlingsansvarliges medlemmer. Databehandler vil også yte supporttjenester til Behandlingsansvarlig (samlet benevnt «Tjenestene»).
2.2 Databehandlers Tjenester gjør det mulig for Behandlingsansvarlig å administrere sine medlemmer, holde oversikt over sine medlemmer og aktivitet. Tjenestene forenkler også påmelding og administrering av arrangementer i regi av Behandlingsansvarlig.
2.3 Behandlingsansvarlig vil i forbindelse med bruk av Tjenestene registrere personopplysninger i egen brukerprofil i Databehandlers nettløsning. For at Databehandler skal kunne levere Tjenestene til Behandlingsansvarlig og oppfylle sine forpliktelser etter avtalen, vil Databehandler få tilgang til og behandle personopplysninger lagret i Behandlingsansvarliges personlige profil, på vegne av Behandlingsansvarlig. Databehandler vil videre behandle personopplysninger lagret i nettjenesten SalongenOnline, for å administrere kundeforholdet med Behandlingsansvarlig og sikre optimal drift av Tjenestene, herunder forbedre, effektivisere og vedlikeholde Tjenestene levert i henhold til Hovedavtalen.
2.4 Dersom Behandlingsansvarlig har inngått avtale om tilleggstjenester, vil Databehandler også behandle personopplysninger mottatt fra samarbeidspartnere for å sikre at Tjenestene fungerer sammen med valgt(e) tilleggstjeneste(r).
2.5 Databehandler vil bruke anonymiserte personopplysninger til å generere statistikk og for å utvikle nye tjenester og produkter.
2.6 Med behandling menes enhver operasjon foretatt av Databehandler, enten automatisert eller ikke, for eksempel innsamling, registrering, organisering, strukturering, lagring, tilpasning, endring, bruk, utlevering, overføring, sammenstilling og sletting.
2.7 Databehandler vil behandle opplysninger om Behandlingsansvarliges kontaktperson, medlemmer og deltagere av eventuelle arrangement. De registrerte kan være for eksempel Behandlingsansvarliges ansatte, medlemmer, kurs- eller arrangement deltager eller lignende. De registrerte kan også være mindreårige. Alle de registrerte vil ha en form for avtaleforhold med Behandlingsansvarlig.
2.8 Databehandler vil behandle opplysninger som navn, telefonnummer, e-postadresse, adresse, IP-adresse, aktivitetshistorikk og annen informasjon den Behandlingsansvarlige finner nødvendig å registrere i nettløsningen for å gjennomføre korrekt fakturering, fullstendig påmelding til arrangementer og oppfølging av kundeforhold.
2.9 Eksempler på historikk er informasjon om treningsøkter, handlede produkter og tjenester, innbetaling av avgifter og medlemskontingenter, beløp, dato, kontonummer og andre opplysninger som normalt fremgår av en faktura.
3. Behandlingsansvarliges plikter
3.1 Behandlingsansvarlig er ansvarlig for hvilken informasjon som legges inn og registreres i nettløsningen, herunder Behandlingsansvarliges personlige profil og at denne informasjonen er adekvat, relevant og begrenset til det som er nødvendig for at Behandlingsansvarlig skal kunne oppnå formålet med bruk av Tjenestene.
3.2 Behandlingsansvarlig garanterer for at alle personopplysninger som lagres, registreres og ellers behandles i nettløsningen til Databehandler har rettslig grunnlag, herunder at det foreligger særskilt rettslig grunnlag ved behandling av sensitive personopplysninger. Med sensitive personopplysninger menes informasjon om rasemessig eller etnisk opprinnelse, politisk oppfatning (for eksempel deltakelse i politiske organisasjoner eller partier), religion, overbevisning eller fagforeningsmedlemskap, helseopplysninger (som for eksempel allergier) eller seksuelle forhold eller legning.
3.3 Dersom Behandlingsansvarlig oppretter egendefinerte felt i forbindelse med for eksempel utsendelse av faktura eller opprettelse av et arrangement eller kontaktskjema, er Behandlingsansvarlig forpliktet til å utvise særlig varsomhet da egendefinerte felt gir Behandlingsansvarliges medlemmer mulighet til å legge inn informasjon som Behandlingsansvarlig ikke har full kontroll over. Behandlingsansvarlig bærer den fulle risikoen for at personopplysninger registrert i Behandlingsansvarliges egendefinerte felt har rettslig grunnlag og ellers er adekvat, relevant og begrenset til det som er nødvendig for at Behandlingsansvarlig skal kunne oppnå formålet med sin behandling.
3.4 For behandling av personopplysninger om mindreårige, det vil si personer under 16 år, er Behandlingsansvarlig ansvarlig for å innhente gyldig samtykke fra den som har foreldreansvaret for barnet.
3.5 Behandlingsansvarlig har ansvar for at behandling av personopplysninger i forbindelse med bruk av Tjenestene skjer i samsvar med den til enhver tid gjeldende personopplysningslov, herunder at de grunnleggende prinsipper for behandling av personopplysninger overholdes. Dette innebærer at Behandlingsansvarlig blant annet er forpliktet til å oppfylle personopplysningslovens krav til å informere de registrerte, det vil si de fysiske personene opplysningene kan knyttes til, om databehandlingen og de registrertes rettigheter.
3.6 Brukeren er ansvarlig for å svare på anmodninger som Brukerens medlemmer inngir med hensyn til å utøve sine rettigheter etter den til enhver til gjeldende personvernlovgivning.
3.7 Behandlingsansvarlig har før inngåelsen av Hovedavtalen foretatt en vurdering av risikoen knyttet til bruken av Tjenestene og Databehandler, og funnet dette forsvarlig og i samsvar med personvernlovgivningen.
4. Databehandlers plikter
4.1 Databehandler skal følge de rutiner og instrukser for behandlingen som behandlingsansvarlig til enhver tid har bestemt skal gjelde.Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift.Behandlingsansvarlig har, med mindre annet er avtalt eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette.
Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. Avtalen og Databehandleravtalen. Denne bestemmelsen gjelder også etter Avtalens opphør.
5. Utlevering av personopplysninger til tredjeparter
5.1 Behandlingsansvarlig kan bestille tilleggstjenester fra andre leverandører som innebærer at Bloc må utlevere personopplysninger til disse tredjepartene. Ved bestilling av tilleggstjenester må Behandlingsansvarlig akseptere den aktuelle leverandørens vilkår, og det opprettes en separat avtale mellom Behandlingsansvarlig og den eksterne leverandøren som er uavhengig av avtalen.
5.2 Databehandler vil kun utlevere personopplysninger til eksterne leverandører dersom dette er nødvendig for at den aktuelle leverandøren skal kunne levere tilleggstjenesten den Behandlingsansvarlige har bestilt gjennom Tjenesten. Ved utlevering i henhold til dette punkt 5 handler Databehandler etter instruks og på vegne av Behandlingsansvarlig. Behandlingsansvarlig er ansvarlig for at bruken av den aktuelle eksterne leverandør er i samsvar med personopplysningsloven.
6. Bruk av underleverandør
6.1 Databehandler har rett til å benytte underleverandører til behandlingen så langt det er nødvendig for at Databehandler skal kunne utføre sine forpliktelser etter Hovedavtalen. Dette vil for eksempel være tredjeparter eller andre foretak innenfor Bloc-gruppen som leverer tjenester innen drift, vedlikehold, servere for lagring eller andre tekniske løsninger til SalongenOnline.
6.2 Databehandleren underretter den Behandlingsansvarlige om endringer i benyttede underleverandører ved å publisere informasjon om endringene på den Behandlingsansvarliges personlige profil på SalongenOnline. Varsel om endring av underleverandører gis i rimelig tid før underleverandøren tas i bruk for å gi den Behandlingsansvarlige mulighet til å heve avtalen om ønskelig før underleverandøren benyttes.
6.3 Databehandler er ansvarlig for at bruken av underleverandører skjer i samsvar med lov og evt. forskrift, herunder at det er inngått tilfredsstillende databehandleravtale. Databehandler skal sikre at underleverandørene er kjent med Databehandlers avtalemessige og lovmessige forpliktelser, og underleverandørene skal være forpliktet til å oppfylle vilkårene etter disse på samme måte som databehandler.
7. Sikkerhet
7.1 Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningslovens §§ 13 – 15 med forskrifter. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel. Avviksmelding etter personopplysningsforskriftens § 2-6 skal skje ved at databehandler melder avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet.
8. Avtalens varighet
8.1 Denne avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig etter avtalen.
9. Ved opphør
9.1 Ved opphør av Databehandleravtalen plikter databehandler å slette eller returnere alle personopplysninger som databehandleren har behandlet på vegne av datahåndteringen i henhold til avtalen. Databehandler skal ikke slette data hvor det eksisterer andre avtaler direkte med medlem, medlemmet har funksjoner i andre idrettslag, forbund eller organisasjoner, eller det er opplysninger som skal være lagret etter gjeldende lov. I disse tilfeller skal ikke data slettes med mindre disse avtalene også opphører.
10. Meddelelser
10.1 Alle meddelelser og/eller varsler fra Databehandler vil bli sendt til Behandlingsansvarliges registrerte e-postadresse på SalongenOnline.
10.2 Alle meddelelser og/eller instrukser relatert til behandling av personopplysninger fra Behandlingsansvarlig til Databehandler skal bli sendt til support@SalongenOnline.no
10.3 Databehandleren skal omgående underrette den Behandlingsansvarlige dersom Databehandleren mener at en instruks er i strid med lov.
11. Lovvalg og verneting
11.1 Avtalen er underlagt norsk rett og Partene vedtar Oslo tingrett som verneting. Dette gjelder også etter opphør av avtalen.