Skuls logo

Databehandleravtale

Denne databehandleravtalen skal sørge for at både behandlingsansvarlig (kunde) og databehandler (Skuls AS med organisasjonsnummer 916 815 476 MVA) forstår sine forpliktelser og sitt ansvar ved behandling av personopplysninger.

Databehandleravtalen vil utgjøre en del av og regulere all behandling av personopplysninger i til avtalevilkårene mellom partene.

1. Definisjoner

Personopplysninger: Enhver opplysning om en identifisert eller identifiserbar fysisk person.

Behandling: Aktivitet/er som gjøres med personopplysninger. Eksempler på aktiviteter kan være; innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, bruk, tilgjengeliggjøring, utlevering, overføring, spredning, sammenstilling eller samkjøring, begrensning og/eller sletting.

Registrert: En fysisk person hvor personopplysninger behandles. Eksempler kan være en eier av personlig selskap, ansatt, kontaktperson og lignende.

Behandlingsansvarlig: Heretter kalt kunde. Person eller virksomhet som bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes.

Databehandler: Heretter kalt Skuls. Virksomhet som har fått i oppgave å behandle personopplysninger på vegne av kunde.

Behandlingsgrunnlag: En grunnleggende forutsetning for at behandling av personopplysninger skal være lovlig, er at den bygger på et behandlingsgrunnlag. Dette kan etter personvernforordningen artikkel 6 være annet blant ulike nødvendighetsgrunner, herunder at behandlingen er nødvendig for å overholde lover og regler, gjennomføre en avtale den registrerte er del i, eller at behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av kunde eller en tredjepart.

Det er kunde selv som må vurdere om det har behandlingsgrunnlag i hvert enkelt tilfelle, f.eks. om man omfattes av lover og regler som gjør det nødvendig å behandle personopplysninger.

2. Bakgrunn

Skuls behandler personopplysninger på vegne av kunde på bakgrunn som følger ovenfor.

Avtalens hensikt er å regulere rettigheter og plikter etter Lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) og forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften). I tillegg regulerer avtalen Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av opplysninger, samt om oppheving av direktiv 95/46/EF (i det følgende samlet omtalt som “personvernlovgivningen”).

Skuls skal behandle personopplysninger på den måten som er beskrevet i denne avtalen, samt på annen måte dersom dette er skriftlig avtale mellom Skuls og kunde.

Begreper og definisjoner benyttet i avtalen skal forstås på samme måte som i personvernlovgivningen.

3. Formål, behandlingens kunst og typer personopplysninger som behandles

Skuls er databehandler og leverer inkassotjenester der virksomheter og kontaktpersoner må registrere personopplysninger. Skuls sin behandling av personopplysninger er gjort/gjøres for å kunne akseptere bestillings- og kjøpsvilkårene som er ved bestilling.

Hvilke opplysninger som registreres og behandles kan ses her og her.

Personopplysninger som kan/må registreres ved bestilling består blant annet av personnummer, navn, adresse, e-postadresse, legitimasjon og foto.

4. Kunde sine rettigheter og plikter

Kunde er ansvarlig for at personopplysninger blir behandlet i samsvar med personvernforordningen og personopplysningsloven (jf. artikkel 24).

Kunde har både rett og forpliktelse til å bestemme hvilke formål, og hvilke hjelpemidler som kan brukes i behandlingen (jf. artikkel 4 nr. 7).

Kunde gir gjennom denne avtalen og avtalevilkårene Skuls dokumenterte instrukser for hvordan personopplysninger skal behandles (jf. artikkel 28 nr. 3 bokstav a).

Kunde har rett til å si opp avtalen dersom Skuls ikke lenger lovens krav etter artikkel 28 nr. 1.

5. Skuls sine plikter

Skuls bekrefter at det vil gjennomføres tekniske og organisatoriske tiltak som sørger for at all behandling under denne avtalenr kravene i personvernlovgivning og vern av registrerte rettigheter, herunder innfrir alle kravene etter personvernforordningens artikkel 32.

Skuls skal bare behandle personopplysningene basert på dokumenterte instrukser fra kunde. Skuls skal til enhver tid kunne dokumentere slike instrukser. Skuls skal ikke behandle personopplysninger som det er tilgang til på annen måte enn det som er nødvendig for å utføre de oppdrag som Skuls har for kunde.

Avhengig av anmodningens innhold og informasjonen som er tilgjengelig for Skuls, skal Skuls bistå med å svare på forespørsler fra den registrerte. Dette gjelder både forespørsler fra de registrerte om å utøve sine rettigheter samt bistå kunde med å sikre overholdelse av forpliktelser knyttet til personopplysningssikkerhet. Tilsvarende gjelder ved vurdering av personvernkonsekvenser og forhåndsdrøftinger i personvernforordningens artikkel 32 til 36, hensyntatt den informasjonen som er tilgjengelig for Skuls.

Skuls skal føre protokoll (logg) over behandlingsaktiviteter som utføres på vegne av kunde, som skal inneholde minimum informasjon som er pålagt etter personvernforordningen artikkel 30. kunde kan til enhver tid kreve oversendt kopi av slik protokoll.

Skuls skal tilgjengeliggjøre for kunde all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i punkt 3 er oppfylt, samt muliggjøre og bidra til revisjoner, herunder inspeksjoner, som gjennomføres av kunde. Dette omfatter også tilgang til sikkerhetsdokumentasjon. Kunde har selv ansvar overfor tilsynsmyndigheter.

Skuls, dens ansatte og underleverandører har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør.

Skuls skal ikke utlevere opplysninger eller informasjon som behandles for kunde til tredjepart uten eksplisitt pålegg fra kunde.

Er Skuls av den oppfatning at en instruks fra kunde er i strid med personvernlovgivningen eller annen lovgivning, skal Skuls umiddelbart underrette kunde om sin oppfatning av dette.

6. Sikkerhet og avvik

Databehandler skal kunne vise rutiner for å stille krav til sikkerhetstiltak som etter personopplysningslovgivningen. Dokumentasjonen skal tilgjengeliggjøres etter kunde sin forespørsel.

Dersom det oppdages sikkerhets- eller personvernbrudd, skal Skuls varsle kunde uten ugrunnet opphold.

Det er kunde som er ansvarlig for at avviksmelding sendes til Datatilsynet.

7. Overføring til utlandet

Personopplysninger skal kunne overføres til land utenfor EU/EØS (tredjeland) etter skriftlig instruks fra kunde. Skuls skal ikke overføre eller personer i tredjeland på noen måte få tilgang til personopplysninger uten å kunne ha eksplisitt godkjent denne skriftlige og gitte instruks om overføring eller tilgang på forhånd. Samtykke og instruks må dekke hvilke land opplysningene skal overføres til. Overføring til tredjeland forutsetter, selv med samtykke og instruks, at de krav til sikkerhet og vern av de registrerte rettigheter som følger av personvernlovgivningen er ivaretatt.

8. Avtalens varighet

Behandlingen som er gjeldende i denne avtalen er ikke tidsbegrenset og varer inntil hovedavtalen skriftlig sies opp av en av partene, eller ved brudd på til enhver tid gjeldende lov.

Ved brudd på avtalen eller gjeldende lover kan man stoppe den videre behandlingen av personopplysningene med umiddelbar virkning.

Ved opphør av avtalen må kunde spesifikt gi beskjed om at data skal hentes/overføres eller slettes før avtalen termineres. Data lagres da hos kunde, som selv påtar seg det totale ansvaret for datasikkerheten.

Ved opphør av avtalevilkårene og databehandleravtalen plikter Skuls etter kunde sin skriftlige instruksjon å slette alle personopplysninger som er registrert og også eventuelle sikkerhetskopier, med mindre det er et lovmessig krav om at personopplysningene fortsatt skal lagres. Kunde har det fulle ansvaret for å være om sletting og bekreftelse på at sletting er utført.

Ved oppsigelse gjelder hovedavtalen som en generell avtale for bruk av tjenestene.

9. Lovvalg og verneting

Tvister om denne avtalen, samt tvister som angår de omtalte og derav følgende forhold, hører inn under de ordinære domstoler, med Skuls til tids gjeldende forretningsadresse som rett valg av verneting.

10. Personvernerklæring

Skuls AS er forpliktet til å behandle personopplysninger på en forsvarlig måte og i henhold til Datatilsynet og GDPR.

Les personvernerklæringen.

11. Kommunikasjon

Kunde og Skuls er eneste om at kommunikasjon og utleveringer i denne avtalen gjøres elektronisk på e-post. Hvis det gjelder data for Jobbkort se mer på HMS kort.