Databehandleravtale
Consio Smittesporing

Versjon 12.10.2020

Denne Databehandleravtalen er inngått mellom Bruker/Organisasjon som benytter tjenesten Consio Smittesporing, heretter kalt Behandlingsansvarlig, og Team Data System AS (Team Data) med org. nr. NO 975 950 476 MVA, heretter kalt Databehandler, og gjelder for behandling avpersonopplysninger som følge av Brukeravtalen for Consio Smittesporing.Databehandleravtalen utgjør en del av og regulerer behandling av personopplysninger i tilknytning til den generelle Brukeravtalen mellom partene.

1.     Avtalens bakgrunn og hensikt
Behandlingsansvarlig har inngåtten avtale (heretter kalt Brukeravtale) med Databehandler som innebærer behandling av personopplysninger på vegne av Behandlingsansvarlig. Databehandleravtalens hensikt er å regulere rettigheter og plikter som følger av Personopplysningsloven og Personvernforordningen,General Data Protection Regulation (GDPR). Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende.Avtalen regulerer Databehandlers bruk av personopplysninger på vegne av den Behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering ellerkombinasjoner av disse.

2.     Generelt
Ved å akseptere Brukeravtalen elektronisk og bekrefte e-postadressen aksepteres også denne Databehandleravtalen. Det kan gjøres endringer til Databehandleravtalen. Endringer i gjeldende Databehandleravtale som vil få større konsekvenser for deg som Behandlingsansvarlig vil bli kunngjort på e-post. Den til enhver tid gjeldende versjonen av Databehandleravtalenkan leses på www.consio.no.

3.     Formål, behandlingens art og typer opplysninger som behandles
Databehandler leverer nettbaserte tjenester der brukere kan registrere personopplysninger. Hvilke opplysninger som registreres i tjenestene er overlatt til Behandlingsansvarlig i den grad det er tilrettelagt for å registrere opplysningene i tjenesten. Noen felt er påkrevd for å benytte tjenesten. Formålet med behandlingen er å kunne tilby Organisasjonen tjenester knyttet til lovpålagt registrering av publikum, deltakere og arrangører i forbindelse med arrangementer i henhold til Brukeravtalen inngått mellom Team Data og Organisasjon. Behandlingen vil kunne omfatte opplysninger om organisasjonens medlemmer, kunder, leverandører, tillitsvalgte, frivillige og ansatte samt eksternt publikum og andre deltakere. Informasjon som registreres i forbindelse med arrangement vil normalt omfatte minimum følgende:
• Fornavn
• Etternavn
• Hjemkommune
• Mobiltelefonnummer

For de tilfeller der Bruker/Organisasjon også gjør seg nytte av tjenester som omfatter betalingstransaksjoner vil også følgende minimum bli registrert:
• Person ID
• Epost
• Adresse 

Databehandler skal bare behandle personopplysninger for de formålene som er angitt med mindre annet er skriftlig instruert av Behandlingsansvarlig. Ved motstrid mellom denne Databehandleravtalen og Brukeravtalen skal denne Databehandleravtalen leggestil grunn.

4.     Behandlingsansvarligesplikter
Behandlingsansvarlig er ansvarlig for at det foreligger et juridisk grunnlag for behandlingen av personopplysninger som utføres av Databehandleren i henhold til Brukeravtalen og i henhold til denne Databehandlingsavtalen. Den behandlingsansvarlige 
• er ansvarlig for at personopplysninger blir behandlet i samsvar med personvernforordningen og personopplysningsloven (jf. artikkel 24).
• har både en rett og en forpliktelse til å bestemme hvilke formål,og hvilke hjelpemidler som kan brukes i behandlingen (jf. artikkel 4 nr. 7).
• gir gjennom denne avtalen og Brukeravtalen Databehandler dokumenterte instrukser for hvordan personopplysninger skal behandles (jf. artikkel 28 nr. 3bokstav a).
• har rett til å si opp avtalen dersom Databehandleren ikke lengeroppfyller lovens krav etter artikkel 28 nr. 1. 

Hvor Behandlingsansvarlig består av flere selvstendige juridiske enheter evt underenheter, er Behandlingsansvarlig ansvarlig for at det foreligger et internt grunnlag (f.eks internavtale, delegering av ansvareteller lignende) for å benytte løsningen levert av Databehandler. Dette ansvaret gjelder også i tilfeller hvor det foreligger flere selvstendige hovedavtaler mellom Behandlingsansvarlig og Databehandler innenfor samme organisasjon.

5.     Databehandlers plikter
Databehandleren skal bare behandlepersonopplysningene basert på dokumenterte instrukser fra den Behandlingsansvarlige, og bare i den grad det er nødvendig for å oppfylle Brukeravtalen. Databehandler skal bistå Behandlingsansvarlig med oppfyllelse av kravene i gjeldende personverns regelverk, herunder GDPR Artikkel 32-36. Databehandler skal på bakgrunn av den behandling av personopplysninger som gjøres, bistå Behandlingsansvarlig til åoppfylle pliktene som følger av GDPR kapittel III vedrørende rettigheter til de registrerte. Databehandler skal sørge for at personopplysninger ikke blir offentliggjort til noen tredjepart, med mindre det er pålagt å gjøre det av Behandlingsansvarlig eller som følge av lovkrav. Databehandler erverver ingen rettigheter i personopplysningene som følge av Brukeravtalen eller denne Databehandleravtalen. Databehandler skal sikre at personer som får tilgang til personopplysningene har forpliktet seg tilkonfidensialitet.

6.     Bruk av underleverandør
Behandlingsansvarlig samtykker i Databehandlers bruk av underleverandører for å oppfylle Brukeravtalen, herunder de mestsentrale:
• Visolit AS, Norge
• PC Support AS, Norge
• Smtp2go
• Eurobate

7.     Sikkerhet
Databehandler skal ved hjelp av planlagte, organisatoriske og tekniske tiltak sikre et sikkerhetsnivå som samsvarer med risikoen knyttet til behandling av personopplysninger. Databehandlers sikkerhetstiltakskal spesielt forhindre at personopplysningene behandles:
(i)  ulovlig eller ved uhell ødelegges, slettes eller endres;
(ii)  gjøres tilgjengelig uten tillatelse eller
(iii) på annen måte behandles i strid med gjeldende personvernregelverk.

På forespørsel fra Behandlingsansvarlig skal Databehandler tilgjengeliggjøre nødvendig informasjon for å vise etterlevelse av denne Databehandlingsavtalen. Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til i henholdtil denne avtalen, og denne bestemmelsen gjelder også etter avtalens opphør.

8.     Brudd på personopplysningssikkerheten
Databehandler skal ha rutiner og systematiske prosesser for å følge opp brudd på personopplysningssikkerheten, som skal inkludere gjenopprettelse av normaltilstanden, eliminere årsaken til bruddet og forhindre gjentagelse. Etter å ha fått kjennskap til et brudd på personopplysningssikkerheten skal Databehandleren uten ugrunnetopphold underrette den Behandlingsansvarlige. Ved brudd på personopplysningssikkerheten skal Databehandler, så langt det er nødvendig, bistå Behandlingsansvarlig til å sikre oppfyllelse av kravene til rapportering til tilsynsmyndigheten i GDPR artikkel 33.

9.     Varighet og oppsigelse
Avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig etter Brukeravtalen. Ved brudd på denne avtalen eller gjeldende personvernsregelverk kan Behandlingsansvarlig pålegge Databehandler å stoppe den videre behandlingen av personopplysningene og ved vesentlig mislighold, si opp avtalen. Ved opphør av denne avtalen plikter Databehandler å slette eller i samsvar med Brukeravtalen, å tilbakeleverealle personopplysninger som er mottatt på vegne av den Behandlingsansvarlige og som omfattes av denne avtalen. Det skal avtales at Databehandler skal slette eller forsvarlig destruere alle dokumenter, data, disketter, cd-er mv, som inneholder opplysninger som omfattes av avtalen. Databehandler skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør.

10.          Lovvalg og verneting
Avtalen er underlagt norsk rett og partene vedtar Oslo tingrett som verneting. Dette gjelder også etter opphør av avtalen.