DATABEHANDLERAVTALE

Back

  1. AVTALENS HENSIKT

    Dette bilaget inneholder en databehandleravtale, og inngår som en del av vilkår for bruk av tjenesten Min By (Produktet). Tjenesten leveres av Fits Consulting AS (Tjenesteleverandøren). Databehandleravtalens hensikt er å regulere rettigheter og plikter etter lov av 14. april 2000 nr. 31. om behandling av personopplysninger (person-opplysningsloven).

    Databehandleravtalen skal sikre at personopplysninger om de Registrerte ikke brukes urettmessig eller kommer uberettigede i hende.

    Databehandleravtalen regulerer Tjenesteleverandørens, dvs. databehandlerens, behandling av personopplysninger på vegne av Sluttbrukeren dvs. den behandlingsansvarlige. Med behandling menes enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring eller utlevering.

  2. DEFINISJONER
    Personopplysninger: Opplysninger og vurderinger som kan knyttes til en enkeltperson.
    Sensitive personopplysninger: Opplysninger om

    1. rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning,
    2. at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling,
    3. helseforhold
    4. seksuelle forhold
    5. medlemskap i fagforeninger
    De registrerte: De personer som personopplysninger kan knyttes til
  3. FORMÅL

    Formålet med denne databehandleravtalen er å regulere Tjenesteleverandørens behandling av personopplysninger på vegne av brukerne av Produktet.

    Tjenesteleverandøren lagrer følgende personopplysninger for innloggede brukere:

    Personopplysning Formål med opplysningen
    For- og etternavn Identifikasjon av Sluttbrukeren
    Postkode og by For å gi tilpasset informasjon til Sluttbrukeren
    Telefonnummer og e-postadresse For å kontakte Sluttbrukeren
    Kjønn og alder For å kunne tilpasse tilbud fra Innholdsleverandøren
    Hva slags nettleser, plattform, mobilenhet og versjonsinformasjon Benyttes som grunnlag for rapportering og analyse av bruk for å tilpasse brukeropplevelsen bedre
    Hvilke sider brukeren benytter, tidspunkt og tidsbruk Benyttes som grunnlag for rapportering og analyse av bruk for å tilpasse brukeropplevelsen bedre
    Når innlogging skjer og hva som legges til i favoritter Benyttes som grunnlag for rapportering og analyse av bruk for å tilpasse brukeropplevelsen bedre
    Handleturer der det lagres bonuspoeng under lojalitetsprogram Benyttes for å holde orden på Sluttbrukerens lojalitetspoeng.
  4. TJENESTELEVERANDØRENS PLIKTER

    Tjenesteleverandøren skal bare behandle personopplysningen de får tilgang til som ledd i oppfyllelse av sine kontraktsforpliktelser overfor Kunden. Tjenesteleverandøren har ikke rett til å utlevere personopplysningene til andre, bortsett fra til godkjente underleverandører, jf. pkt. 5 og ved myndighetspålegg eller andre lovmessige plikter.

    Tjenesteleverandøren skal på forespørsel gi Tjenesteleverandøren tilgang til sin sikkehetsdokumentasjon, og bistå, slik at begge kan ivareta sitt ansvar etter lov og forskrift.

    Tjenesteleverandøren og sine underleverandører skal kun behandle personopplysningene i Norge og EU, eller i India så langt dette er avtalt og lovlig.

    Innholdsleverandøren skal ha tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål.

    Tjenesteleverandøren har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til med mindre annet er avtalt eller følger av lovgivning. Denne bestemmelsen gjelder også etter avtalens opphør.

  5. BRUK AV UNDERLEVERANDØR

    Innholdsleverandøren samtykker til at personopplysninger og annet taushetsbelagt informasjon som Tjenesteleverandøren før overlevert i forbindelse med bruken av Produktet kan videreformidles og behandles på system tilhørende underleverandører. Slik videreformidling fordrer at det foreligger en avtale mellom Tjenesteleverandøren og underleverandøren som tilfredsstiller vilkårene i personopplysningsloven.

    Ved avtaleinngåelsen har Tjenesteleverandøren engasjert følgende underleverandør(er), der bruk av de aktuelle personopplysninger inngår:

    Selskap i India Ikigai Technology LLP & Incrust Software Pvt Ltd.
    Samtlige som på vegne av Tjenesteleverandøren utfører oppdrag der bruk av personopplysningene inngår, skal være kjent med databehandlerens avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.

  6. SIKKERHET

    Tjenesteleverandøren skal oppfylle de krav til sikkerhet som stilles etter personopplysningsloven og kunne dokumentere rutiner og andre tiltak for å oppfylle disse kravene.

    Sikkerhet som er inkludert hos Tjenesteleverandøren inkluderer:

    Målsetting Tiltak / Internkontroll
    Konfidensialitet

    Sikre at kun autoriserte brukere har tilgang til systemet

    		Lite kontor med få ansatte der en har god kontroll på hvem som har tilgang til hva, og alle har undertegnet taushetserklæring.
    Sikre tilgang gjennom rettighetsstyring og passord
    Integritet

    Sikre nøyaktighet og fullstendighet av kundedata, sikkerhet mot uautorisert endring og sporbarhet av endringer

    		Samme som over, med tillegg av at autorisert person har kontrollert fullstendigheten. God sikkerhet mot uautorisert tilgang til data.
    Tilgjengelighet

    Sikre at innholdet i Min By er tilgjengelig for autoriserte personer ved behov

    		Har gode rutiner på systematisk lagring av materiell og data som enkelt kan hentes frem av autorisert personell.

    Dokumentasjonen skal være tilgjengelig på Innholdsleverandørens forespørsel.

    Dersom det skjer sikkerhetsbrudd, skal Tjenesteleverandøren varsle Innholdsleverandøren, som igjen melder dette til Datatilsynet.

  7. SIKKERHETSREVISJONER

    Tjenesteleverandøren skal jevnlig revidere systemene som brukes til å behandle personopplysningene. Revisjonen skal omfatte gjennomgang av rutiner, stikkprøvekontroller og andre egnede kontrolltiltak.

  8. DATABEHANDLERAVTALENS VARIGHET OG ENDRINGER

    Databehandleravtalen gjelder så lenge Tjenesteleverandøren behandler personopplysninger på vegne av Innholdsleverandøren.

    Ved brudd på denne databehandleravtalen eller personopplysningsloven kan Innholdsleverandøren pålegge og stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.

    Databehandleravtalen kan endres ved behov og enighet mellom partene, herunder ved utvidelse av oppdraget.

  9. VED OPPHØR

    Ved opphør plikter Tjenesteleverandøren å tilbakelevere, slette eller destruere alle personopplysninger som er mottatt på vegne av Innholdsleverandøren, inkludert eventuelle sikkerhetskopier og innen rimelig tid bekrefte ovenfor Innholdsleverandøren at dette er gjort.

    Det samme gjelder personopplysninger som er omfattet av denne databehandleravtalen og befinner seg hos underleverandør.

  10. MEDDELELSER

    Meddelelser etter denne databehandleravtalen skjer til Sluttbrukeren gjennom e-post eller pushmeldinger. Ved oppdaterte vilkår må Sluttbrukeren på nytt gi sitt samtykke.

  11. LOVVALG OG VERNETING
    Denne avtales verneting er Sandefjord.

Back