DATABEHANDLERAVTALE
-
AVTALENS HENSIKT
Dette bilaget inneholder en databehandleravtale, og inngår som en del av vilkår for bruk av tjenesten Min By (Produktet). Tjenesten leveres av Fits Consulting AS (Tjenesteleverandøren). Databehandleravtalens hensikt er å regulere rettigheter og plikter etter lov av 14. april 2000 nr. 31. om behandling av personopplysninger (person-opplysningsloven).
Databehandleravtalen skal sikre at personopplysninger om de Registrerte ikke brukes urettmessig eller kommer uberettigede i hende.
Databehandleravtalen regulerer Tjenesteleverandørens, dvs. databehandlerens, behandling av personopplysninger på vegne av Sluttbrukeren dvs. den behandlingsansvarlige. Med behandling menes enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring eller utlevering.
-
DEFINISJONER
Personopplysninger: Opplysninger og vurderinger som kan knyttes til en enkeltperson. Sensitive personopplysninger: Opplysninger om - rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning,
- at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling,
- helseforhold
- seksuelle forhold
- medlemskap i fagforeninger
De registrerte: De personer som personopplysninger kan knyttes til -
FORMÅL
Formålet med denne databehandleravtalen er å regulere Tjenesteleverandørens behandling av personopplysninger på vegne av brukerne av Produktet.
Tjenesteleverandøren lagrer følgende personopplysninger for innloggede brukere:
Personopplysning Formål med opplysningen For- og etternavn Identifikasjon av Sluttbrukeren Postkode og by For å gi tilpasset informasjon til Sluttbrukeren Telefonnummer og e-postadresse For å kontakte Sluttbrukeren Kjønn og alder For å kunne tilpasse tilbud fra Innholdsleverandøren Hva slags nettleser, plattform, mobilenhet og versjonsinformasjon Benyttes som grunnlag for rapportering og analyse av bruk for å tilpasse brukeropplevelsen bedre Hvilke sider brukeren benytter, tidspunkt og tidsbruk Benyttes som grunnlag for rapportering og analyse av bruk for å tilpasse brukeropplevelsen bedre Når innlogging skjer og hva som legges til i favoritter Benyttes som grunnlag for rapportering og analyse av bruk for å tilpasse brukeropplevelsen bedre Handleturer der det lagres bonuspoeng under lojalitetsprogram Benyttes for å holde orden på Sluttbrukerens lojalitetspoeng. -
TJENESTELEVERANDØRENS PLIKTER
Tjenesteleverandøren skal bare behandle personopplysningen de får tilgang til som ledd i oppfyllelse av sine kontraktsforpliktelser overfor Kunden. Tjenesteleverandøren har ikke rett til å utlevere personopplysningene til andre, bortsett fra til godkjente underleverandører, jf. pkt. 5 og ved myndighetspålegg eller andre lovmessige plikter.
Tjenesteleverandøren skal på forespørsel gi Tjenesteleverandøren tilgang til sin sikkehetsdokumentasjon, og bistå, slik at begge kan ivareta sitt ansvar etter lov og forskrift.
Tjenesteleverandøren og sine underleverandører skal kun behandle personopplysningene i Norge og EU, eller i India så langt dette er avtalt og lovlig.
Innholdsleverandøren skal ha tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål.
Tjenesteleverandøren har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til med mindre annet er avtalt eller følger av lovgivning. Denne bestemmelsen gjelder også etter avtalens opphør.
-
BRUK AV UNDERLEVERANDØR
Innholdsleverandøren samtykker til at personopplysninger og annet taushetsbelagt informasjon som Tjenesteleverandøren før overlevert i forbindelse med bruken av Produktet kan videreformidles og behandles på system tilhørende underleverandører. Slik videreformidling fordrer at det foreligger en avtale mellom Tjenesteleverandøren og underleverandøren som tilfredsstiller vilkårene i personopplysningsloven.
Ved avtaleinngåelsen har Tjenesteleverandøren engasjert følgende underleverandør(er), der bruk av de aktuelle personopplysninger inngår:
Selskap i India Ikigai Technology LLP & Incrust Software Pvt Ltd.
Samtlige som på vegne av Tjenesteleverandøren utfører oppdrag der bruk av personopplysningene inngår, skal være kjent med databehandlerens avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse. -
SIKKERHET
Tjenesteleverandøren skal oppfylle de krav til sikkerhet som stilles etter personopplysningsloven og kunne dokumentere rutiner og andre tiltak for å oppfylle disse kravene.
Sikkerhet som er inkludert hos Tjenesteleverandøren inkluderer:
Målsetting Tiltak / Internkontroll Konfidensialitet
Sikre at kun autoriserte brukere har tilgang til systemet
Lite kontor med få ansatte der en har god kontroll på hvem som har tilgang til hva, og alle har undertegnet taushetserklæring.
Sikre tilgang gjennom rettighetsstyring og passordIntegritet
Sikre nøyaktighet og fullstendighet av kundedata, sikkerhet mot uautorisert endring og sporbarhet av endringer
Samme som over, med tillegg av at autorisert person har kontrollert fullstendigheten. God sikkerhet mot uautorisert tilgang til data. Tilgjengelighet
Sikre at innholdet i Min By er tilgjengelig for autoriserte personer ved behov
Har gode rutiner på systematisk lagring av materiell og data som enkelt kan hentes frem av autorisert personell. Dokumentasjonen skal være tilgjengelig på Innholdsleverandørens forespørsel.
Dersom det skjer sikkerhetsbrudd, skal Tjenesteleverandøren varsle Innholdsleverandøren, som igjen melder dette til Datatilsynet.
-
SIKKERHETSREVISJONER
Tjenesteleverandøren skal jevnlig revidere systemene som brukes til å behandle personopplysningene. Revisjonen skal omfatte gjennomgang av rutiner, stikkprøvekontroller og andre egnede kontrolltiltak.
-
DATABEHANDLERAVTALENS VARIGHET OG ENDRINGER
Databehandleravtalen gjelder så lenge Tjenesteleverandøren behandler personopplysninger på vegne av Innholdsleverandøren.
Ved brudd på denne databehandleravtalen eller personopplysningsloven kan Innholdsleverandøren pålegge og stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.
Databehandleravtalen kan endres ved behov og enighet mellom partene, herunder ved utvidelse av oppdraget.
-
VED OPPHØR
Ved opphør plikter Tjenesteleverandøren å tilbakelevere, slette eller destruere alle personopplysninger som er mottatt på vegne av Innholdsleverandøren, inkludert eventuelle sikkerhetskopier og innen rimelig tid bekrefte ovenfor Innholdsleverandøren at dette er gjort.
Det samme gjelder personopplysninger som er omfattet av denne databehandleravtalen og befinner seg hos underleverandør.
-
MEDDELELSER
Meddelelser etter denne databehandleravtalen skjer til Sluttbrukeren gjennom e-post eller pushmeldinger. Ved oppdaterte vilkår må Sluttbrukeren på nytt gi sitt samtykke.
- LOVVALG OG VERNETING
Denne avtales verneting er Sandefjord.