Hopp til hovedinnholdet

Databehandleravtale borettslag og sameier

  • Oppdatert

1. Innledning

Denne databehandleravtalen ("Avtalen") regulerer forholdet mellom Behandlingsansvarlig og Databehandler ved behandling av personopplysninger i henhold til Europaparlaments- og rådsforordning (EU) 2016/679 ("GDPR") og norsk personopplysningslov.

Avtalen fastsetter Databehandlers rettigheter og plikter når denne behandler personopplysninger på vegne av Behandlingsansvarlig.

 

2. Roller og ansvar

  • Behandlingsansvarlig:
    Bestemmer formål og midler for behandlingen av personopplysninger.

  • Databehandler:
    Behandler personopplysninger kun på dokumentert instruks fra Behandlingsansvarlig og i samsvar med denne Avtalen.

 

3. Formål og behandlingsaktiviteter

Databehandler skal kun behandle personopplysninger for følgende formål:

  • Tilrettelegging, drift og support av tjenester levert av Databehandler.

  • Varsling, administrasjon og teknisk drift av de aktuelle systemene.

  • Oppfyllelse av Behandlingsansvarligs avtaler og krav til lovpålagt informasjonssikkerhet.

 

4. Typer personopplysninger og registrerte

Personopplysninger:

  • Navn

  • Adresse

  • Telefonnummer

  • E-postadresse

  • Rolle eller tilknytning til Behandlingsansvarlig (for eksempel beboer eller styremedlem)

Registrerte:

  • Beboere

  • Brukere av systemene

  • Styremedlemmer

  • Andre relevante kontaktpersoner

Sensitive personopplysninger (særlige kategorier) behandles ikke, med mindre dette uttrykkelig avtales skriftlig.

 

5. Bruk av underdatabehandlere

Databehandler kan benytte underdatabehandlere for teknisk drift, varslingstjenester og alarmoverføring.

  • En oppdatert liste over underdatabehandlere gjøres tilgjengelig på forespørsel eller via offentlig tilgjengelig URL.

  • Behandlingsansvarlig vil bli varslet om endringer før nye underdatabehandlere tas i bruk.

  • Databehandler er ansvarlig for at underdatabehandlere oppfyller kravene i denne Avtalen.

 

6. Tekniske og organisatoriske sikkerhetstiltak

Databehandler skal iverksette hensiktsmessige tekniske og organisatoriske tiltak for å sikre:

  • Konfidensialitet, integritet, tilgjengelighet og robusthet av personopplysninger.

  • Beskyttelse mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade.

Tiltak inkluderer, men er ikke begrenset til:

  • Kryptering av data

  • Tilgangskontroll og autentisering

  • Sikkerhetskopiering og redundans

  • Overvåkning og logging av sikkerhetshendelser

 

7. Håndtering av sikkerhetsbrudd

Ved et brudd på personopplysningssikkerheten forplikter Databehandler seg til:

  • Å varsle Behandlingsansvarlig uten ugrunnet opphold, og senest innen 48 timer etter oppdagelse.

  • Å beskrive arten av bruddet, antall berørte personer, typer data involvert og foreslåtte avbøtende tiltak.

  • Å bistå Behandlingsansvarlig med eventuelle varslinger til tilsynsmyndigheter og/eller berørte registrerte.

 

8. Bistand til Behandlingsansvarlig

Databehandler skal, så langt det er mulig, bistå Behandlingsansvarlig med:

  • Håndtering av forespørsler om innsyn, retting, sletting og dataportabilitet.

  • Vurderinger av personvernkonsekvenser (DPIA) der dette er påkrevd.

  • Tilsyn fra tilsynsmyndigheter.

 

9. Oppbevaring og sletting av personopplysninger

Ved opphør av tjenester eller på instruks fra Behandlingsansvarlig skal Databehandler:

  • Slette eller anonymisere alle personopplysninger innen 90 dager, med mindre videre lagring er pålagt ved lov.

  • Dokumentere og bekrefte sletting overfor Behandlingsansvarlig på forespørsel.

 

10. Dokumentasjon og revisjon

  • Databehandler skal på forespørsel fra Behandlingsansvarlig fremlegge nødvendig dokumentasjon for å demonstrere samsvar med denne Avtalen.

  • Behandlingsansvarlig kan gjennomføre eller bestille revisjon, etter rimelig varsel og avtale.

 

11. Endringer i Avtalen

  • Databehandler kan oppdatere denne Avtalen for å reflektere endringer i gjeldende lovgivning eller i leveransen.

  • Vesentlige endringer varsles til Behandlingsansvarlig minst 30 dager før ikrafttredelse.

  • Ved fortsatt bruk av tjenestene etter endringer anses Avtalen som akseptert.

 

12. Varighet og opphør

Denne Avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig.

Ved opphør av tjenester opphører denne Avtalen samtidig.

 

13. Lovvalg og verneting

Denne Avtalen er underlagt og skal tolkes i samsvar med norsk rett.
Eventuelle tvister skal bringes inn for Oslo tingrett som verneting.

Relaterte artikler

Kommentarer

0 kommentarer

Logg på hvis du vil legge inn en kommentar.