Avtalens parter

Denne avtalen kommer i tillegg til Abonnementsavtalen for Improver. Databehandleravtalen inngås mellom Behandlingsansvarlig; kunde på Improver (heretter "Behandlingsansvarlig") og Databehandler; 4human HRM AS (heretter "Databehandler "), sammen benevnt "Partene".

Kontaktpunkt

Kontaktpunkt hos Databehandler:
Leder for leveranse og support, post@4human.no, sentralbord 33 39 80 00 

Bakgrunn og formål 

Som ledd i Databehandlers oppfyllelse av sine forpliktelser overfor Behandlingsansvarlig i henhold til standardvilkårene for Improver vil Databehandler behandle personopplysninger på vegne av Behandlingsansvarlig.

Avtalen regulerer Behandlingsansvarlig og Databehandlers rettigheter og plikter etter den til enhver tid gjeldende lov om behandling av personopplysninger. Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende. 

Avtalen regulerer Databehandlers behandling av personopplysninger på vegne av den Behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse. 

Følgende personopplysninger kan bli behandlet:

Personopplysninger som er en naturlig del av administrasjonen av arbeidsforholdet mellom den Behandlingsansvarlige og dennes arbeidstakere (den registrerte). Dette omfatter, men er ikke begrenset til, den registrertes navn, ansattnummer, fødselsnummer, adresse, kontaktinformasjon, arbeidstid, lønnsopplysninger, fravær, CV og andre personopplysninger som er relevant for de HR-tjenestene Behandlingsansvarlig kjøper av Databehandler.

Avhengig av hvilke moduler i systemet den Behandlingsansvarlige abonnerer på, vil det også kunne bli aktuelt å behandle særlig kategori (sensitive personopplysninger) av personopplysninger som er en naturlig del av administrasjonen av arbeidsforholdet mellom den Behandlingsansvarlige og dennes arbeidstakere. Som eksempel kan det nevnes den registrertes tarifftilknytning og sykefravær. 

Avtalen omfatter følgende behandlinger:

✔Innsamling av personaldata før oppstart, dette utføres av Behandlingsansvarlig
✔Overføring av personaldata til Databehandler, dette utføres av Behandlingsansvarlig
✔Opplasting av personaldata i skytjenesten, dette utføres av Databehandler
✔Lagring i database i skytjenesten, dette utføres av Databehandler
✔Sikkerhetskopiering av databasen, dette utføres av  Databehandler
✔Tilgangskontroll for brukere, dette utføres av Behandlingsansvarlig
✔Sletting av data for sluttede ansatte, dette utføres av Behandlingsansvarlig
✔Brukerstøtte med aksess til personaldata, dette utføres av Databehandler
✔Utlevering av personaldata – kun til Behandlingsansvarlig, dette utføres av Databehandler
✔Sletting av personopplysninger etter avsluttet leiekontrakt, dette utføres av Databehandler

Databehandleren kan kun behandle personopplysninger på instruks fra Behandlingsansvarlig. 

Partenes ansvarsområde under personopplysningsloven

Kunden i henhold til den til enhver tid gjeldende personopplysningslov å anse som Behandlingsansvarlig. Behandlingsansvarlig har ansvar for å påse at krav, herunder krav til sikkerhet, som stilles i personopplysningsloven er oppfylt. Dette innebærer blant annet også at Behandlingsansvarlig har ansvaret for å påse at kravene er oppfylt i forbindelse med oppbevaring og bruk av personopplysningene hos Databehandler.

Behandlingsansvarlig har, med mindre annet er avtalt eller følger av lov, rett til tilgang til, retting av, sletting av og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette.

Behandlingsansvarlig skal utarbeide retningslinjer og rutiner for oppbevaring og sletting av personopplysninger. Personopplysninger som det ikke lenger er behandlingsgrunnlag for å behandle etter personopplysningsloven, skal slettes umiddelbart. Det er den Behandlingsansvarliges ansvar å påse at slike personopplysninger blir slettet.

4human HRM er å anse som Databehandler etter personopplysningsloven og kan kun behandle personopplysninger tilgjengeliggjort av Behandlingsansvarlig i henhold til abonnementsavtalen.. 

Databehandler skal følge de dokumenterte rutiner og instrukser for behandlingen av personopplysninger som Behandlingsansvarlig til enhver tid har bestemt skal gjelde. 

Databehandler skal gjennom egnede tekniske og organisatoriske tiltak bistå den Behandlingsansvarlige med å svare på henvendelser fra de registrerte, herunder sørge for løsninger i forbindelse med krav om innsyn i egne personopplysninger og krav om utlevering/overføring av personopplysninger (dataportabilitet). 

På forespørsel fra Behandlingsansvarlig, skal Databehandler gi nødvendig dokumentasjon til Behandlingsansvarlig for at sistnevnte kan dokumentere at Avtalen oppfyller kravene til en databehandleravtale, slik disse fremgår av personopplysningslovens artikkel 28. Databehandler har en selvstendig plikt til å sørge for at databehandleravtalen oppfyller slike krav.

Bruk av underleverandør

Databehandler benytter underleverandører.Databehandlers bruk av Underdatabehandlere er nærmere beskrevet i Vedlegg 1, Underdatabehandler. Dersom Databehandler ønsker å benytte en ny Underdatabehandler, skal Behandlingsansvarlig gis varsel om dette før ny Underdatabehandler behandler personopplysninger.

Behandlingsansvarlig kan motsette seg bruk av ny Underdatabehandler med fem (5) dagers skriftlig melding etter mottak av varsel fra Databehandler. 

Databehandler skal sørge for å holde listen over Underdatabehandlere oppdatert.

Databehandler skal sørge for at Underdatabehandler forplikter seg til å følge de samme prinsipper for behandling som følger av denne avtalen før behandlingen starter. Databehandler er fullt ut ansvarlig for at Underdatabehandleren oppfyller sine forpliktelser overfor den Behandlingsansvarlige.

Krav til informasjonssikkerhet mv.

Databehandler skal passe på å treffe de tiltak som er nødvendig for å sikre informasjonssikkerheten i henhold til personopplysningslovens artikkel 32. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på Behandlingsansvarliges forespørsel, slik at Behandlingsansvarlig kan ivareta sitt ansvar som Behandlingsansvarlig etter personopplysningsloven.

Avviksmelding skal skje ved at Databehandler melder avviket til Behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet senest 72 timer etter at avviket ble oppdaget. 

Databehandler skal ikke overføre personopplysninger til stater utenfor EU/EØS.

Sikkerhetsrevisjoner

Databehandler er forpliktet til å gi Behandlingsansvarlig tilgang til informasjon og dokumentasjon som er nødvendig for å påvise etterlevelse etter forpliktelsene i Databehandleravtalen og til å kunne gjennomføre sikkerhetsrevisjoner. 

En revisjon kan for eksempel omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak. 

Alt materiale som Behandlingsansvarlig får tilgang til som følge av sikkerhetsrevisjonen skal betraktes som konfidensiell informasjon og skal ikke under noen omstendighet deles med tredjeparter eller benyttes på andre måter enn det som er nødvendig for å gjennomføre revisjonen. 

Behandlingsansvarlig er ansvarlig for alle kostnader knyttet til sikkerhetsrevisjoner, inkludert alle kostnader som blir påført Databehandler i denne forbindelse. Medgått tid for Databehandler faktureres med standard timesats for konsulenter. 

Taushetsplikt

Partene skal bevare taushet om alle konfidensielle opplysninger (herunder personopplysninger), noens personlige forholdsikkerhetsmessige og forretningsmessige forhold, opplysninger som kan skade en av Partene eller som kan utnyttes av utenforstående.

Taushetsplikten gjelder Partenes ansatte og andre som handler på Partenes vegne i forbindelse med gjennomføringen av kontrakten. Alle ansatte, underleverandører, eller andre med tilgang til behandlingsansvarliges konfidensielle opplysninger skal ha undertegnet taushetserklæring.

Partene plikter å ta de forholdsregler som er nødvendig for å sikre at materiale eller opplysninger ikke blir gjort kjent for andre i strid med dette punkt.

Ansatte og andre som fratrer sin tjeneste hos Databehandler skal pålegges taushet også etter fratredelse om forhold som nevnt over. Det samme gjelder også for Underdatabehandler og dennes ansatte.

Denne bestemmelsen gjelder også etter Avtalens opphør.

Avtalens varighet

Avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig etter abonnementsavtalen.

Ved brudd på denne databehandleravtale eller den til enhver tid gjeldende personopplysningslovgivning kan Behandlingsansvarlig pålegge Databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning. 

Forpliktelser ved opphør

Ved opphør av denne avtalen plikter Databehandler å slette personopplysningene som omfattes av denne Avtalen.

Ovennevnte gjelder også for eventuelle sikkerhetskopier, likevel slik at disse først skal slettes når det er påkrevd å slette slike sikkerhetskopier etter norsk rett. 

Databehandler skal skriftlig dokumentere at sletting er foretatt i henhold til Avtalen innen rimelig tid etter Avtalens opphør. Dokumentasjon på at sletting er gjennomført skal sendes behandlingsansvarlig.

Personopplysninger skal lagres så lenge Behandlingsansvarlig finner det nødvendig, og ikke utover den periode som er avtalt mellom Partene. Når Behandlingsansvarlig ikke lenger finner lagring nødvendig etter Personopplysningsloven, skal Behandlingsansvarlig slette personopplysningene i brukergrensesnittet til Databehandler. 

Vedlegg 1 - Underdatabehandlere

Ved avtaletidspunktet benytter Databehandler følgende underdatabehandlere/underleverandører:
-Amazon Web Services, Irland (database, backup)
-4human IT, Tønsberg (database, driftstjenester, backup)
-PGS Software, Gdansk, Polen (utviklingstjenester, applikasjonsforvaltning, support)











    

Fant du svaret?