Denne databehandleravtalen er inngått mellom EasyLMS B.V. ("Databehandler") og dets kunder (kunden er "Behandlingsansvarlig") som EasyLMS behandler personopplysninger for som databehandler;
I det følgende kalt "Partene" og samlet "Partene";
Mens..:
A. Denne Databehandleravtalen utgjør en integrert del av Easy LMS Vilkår og Betingelser ("Vilkår og Betingelser"), samt avtalen mellom Databehandler og Behandlingsansvarlig, med hensyn til den nettbaserte læringsplattformen som tilbys av Databehandler til Behandlingsansvarlig ("Tjenesten(e)");
B. For at Behandlingsansvarlig og dennes deltakere skal kunne benytte seg av Tjenestene, må Databehandler behandle personopplysningene ("Personopplysninger") til Behandlingsansvarliges ansatte og/eller andre deltakere (samlet: "Registrerte") som bruker innholdet som er opprettet av Behandlingsansvarlig i Tjenestene;
C. Kategoriene av personopplysninger samt andre detaljer med hensyn til behandlingen av personopplysningene er beskrevet i Vedlegg 1 til denne databehandleravtalen;
D. Personvernforordningen (EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger og om oppheving av direktiv 95/46/EF), ("GDPR") gjelder for behandlingen av Personopplysningene;
E. På grunnlag av GDPR er Partene forpliktet til å inngå denne Databehandleravtalen;
1. Definisjoner
1.1. I tillegg til de definerte begrepene med stor forbokstav ovenfor, skal følgende begreper med stor forbokstav ha følgende betydninger:
1.2. "DPA": en kompetent databeskyttelsesmyndighet.
1.3. "EØS": Det europeiske økonomiske samarbeidsområde.
1.4. "Brudd på personopplysningssikkerheten": et sikkerhetsbrudd som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av eller tilgang til Personopplysningene.
1.5. "Behandling": de behandlingshandlingene som utføres med personopplysningene slik de er definert i GDPR, inkludert, men ikke begrenset til, lagring, visning, oppdeling, sletting, endring og videresending.
1.6. "Bilag": et bilag til denne Databehandleravtalen.
1.7. "Tjenesteavtale": den avtalen som ligger til grunn for leveringen av Tjenestene, som kan bestå av Vilkårene og/eller en annen type avtale.
1.8. "Underdatabehandler": en tredjepart som Databehandler helt eller delvis overlater Behandlingen av Personopplysningene til.
2. Generelle forpliktelser
2.1. Når det gjelder Personopplysningene, treffer Databehandler egnede tekniske og organisatoriske tiltak for å sikre overholdelse av GDPR og beskyttelse av de registrertes rettigheter.
2.2. Behandlingsansvarlig erklærer at den overholder GDPR med hensyn til Personopplysningene som behandles av Databehandleren. Det er Behandlingsansvarliges ansvar å overholde gjeldende personopplysningslovgivning med hensyn til Personopplysningene som opprettes i eller lastes opp til Tjenesten. Dette inkluderer, uten begrensning, å ha et rettslig grunnlag for Behandlingen (f.eks. gyldig samtykke hvis det kreves) av Personopplysningene, informere de Registrerte om Behandlingen av deres Personopplysninger og sørge for at de Registrerte har den lovlige alderen for innlevering av Personopplysningene sine, hvis det er aktuelt.
3. Behandling utelukkende på instruks fra Behandlingsansvarlig
3.1. Formålet med Databehandlerens Behandling er å gjøre det mulig for Databehandleren å levere Tjenestene.
3.2. Databehandler skal kun Behandle Personopplysningene etter skriftlig instruks fra Behandlingsansvarlig, som er de Behandlingsaktiviteter som er angitt i Vedlegg 1, eller de rimelige instrukser som på annen måte er gitt skriftlig av Behandlingsansvarlig (som kan inkludere e-post). Databehandler skal kun Behandle Personopplysningene utenfor den Behandlingsansvarliges instrukser dersom dette er nødvendig for å overholde en gjeldende rettslig forpliktelse. I dette tilfellet gjelder artikkel 3.3 nedenfor.
3.3. Dersom Databehandler blir rettslig forpliktet i henhold til europeisk lov til å utlevere noen av Personopplysningene, skal Databehandler straks varsle Behandlingsansvarlig og varsle om det relevante rettslige kravet, med mindre det rettslige kravet forbyr Databehandler å varsle om dette av viktige hensyn til allmennhetens interesser. Dersom Databehandler ikke er forhindret fra å varsle Behandlingsansvarlig, skal Databehandler avstå fra å utlevere Personopplysninger inntil Behandlingsansvarlig har iverksatt tiltak for å oppnå en beskyttelsesordre eller annen passende utbedring. Hvis en slik beskyttelsesordre ikke oppnås, skal Databehandleren kun utlevere de Personopplysningene som Databehandleren er informert om at er påkrevd etter rettidig skriftlig varsel fra Behandlingsansvarlig, eller, i mangel av et slikt rettidig varsel, skal Databehandleren utlevere de Personopplysningene som den anser som påkrevd i henhold til lovkravet.
3.4. Databehandler skal varsle Behandlingsansvarlig dersom en instruks gitt av Behandlingsansvarlig etter Databehandlers oppfatning er i strid med GDPR, og Databehandler vil i så fall ikke være forpliktet til å følge instruksen.
4. Assistere kontrolløren
4.1. Databehandler skal yte den assistanse som Behandlingsansvarlig med rimelighet ber om for å:
(i) med hensyn til Behandlingens art, bistå den Behandlingsansvarlige med egnede tekniske og organisatoriske tiltak, i den grad dette er mulig, for å oppfylle den Behandlingsansvarliges forpliktelser til å svare på den Registrertes anmodninger om å utøve sine rettigheter, i den grad Databehandler faktisk kan gjøre det i lys av Tjenestene. Dersom Databehandler mottar en forespørsel fra en Registrert, vil Databehandler videresende forespørselen til Behandlingsansvarlig, og Behandlingsansvarlig vil håndtere forespørselen videre;
(ii) med hensyn til behandlingens art og den informasjonen som er tilgjengelig for Databehandler, bistå Behandlingsansvarlig med å overholde Behandlingsansvarliges forpliktelser knyttet til sikkerhet, varsling av brudd på personopplysningssikkerheten (se artikkel 5.4), undersøkelser utført av Datatilsynet, konsekvensutredninger av personvernkonsekvenser og forutgående konsultasjon dersom dette er påkrevd.
5. Sikkerhetstiltak og brudd på personopplysningssikkerheten
5.1. Databehandleren iverksetter egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er passende i forhold til risikoen forbundet med Behandlingen, idet det tas hensyn til det aktuelle tekniske nivået, gjennomføringskostnadene og Behandlingens art, omfang, sammenheng og formål, samt risikoen av varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter.
5.2. Behandlingsansvarlig garanterer at den ikke vil be Registrerte om å sende inn Personopplysninger til Tjenesten som anses som en spesiell kategori eller sensitive personopplysninger i henhold til gjeldende lover. Dette gjelder for eksempel: opplysninger om helse, religiøs overbevisning, politiske meninger, rase, etnisk bakgrunn, seksuelle preferanser eller atferd, fagforeningsmedlemskap, strafferegister, biometriske data for identifikasjonsformål, genetiske data. Tjenestenes sikkerhetstiltak er ikke egnet for denne typen personopplysninger.
5.3. Databehandleren har iverksatt egnede tekniske og organisatoriske tiltak for å sikre at Personopplysningene kun er tilgjengelige for de personene i Databehandlerens organisasjon som må ha tilgang til dem for å kunne levere Tjenestene, f.eks. ved å begrense antall personer med tilgangsrettigheter.
5.4. Databehandler gjør informasjon om sine sikkerhetstiltak tilgjengelig på sine nettsider. I tillegg vil Databehandler på Behandlingsansvarliges forespørsel sende en oversikt over sikkerhetstiltakene som er iverksatt på tidspunktet for forespørselen. Behandlingsansvarlig kan sende inn en slik forespørsel én gang per kalenderår, med mindre det foreligger en velbegrunnet grunn til å sende inn forespørselen oftere, for eksempel i tilfelle et brudd på personopplysningssikkerheten.
5.5. Databehandler skal varsle Behandlingsansvarlig uten ugrunnet opphold etter å ha blitt oppmerksom på et Brudd på Personopplysningssikkerheten. Et slikt varsel skal:
(i) inneholde tilgjengelig informasjon om bruddet på personopplysningssikkerheten, inkludert, men ikke begrenset til, en beskrivelse av bruddet på personopplysningssikkerheten, årsaken til det, kategoriene, arten og (estimert) mengde berørte personopplysninger og registrerte og omfanget av bruddet på personopplysningssikkerheten;
(ii) forklare effekten av bruddet på personopplysningssikkerheten på Behandlingsansvarlig og de relevante Registrerte;
(iii) forklare de korrigerende tiltakene som Databehandler, Behandlingsansvarlig og/eller de Registrerte har iverksatt eller skal iverksette, og tidsrammen for gjennomføring av slike tiltak.
5.6. Databehandleren skal samarbeide med den Behandlingsansvarlige på dennes rimelige anmodning, og fremlegge den informasjonen som er under Databehandlerens kontroll, i forbindelse med varsling av bruddet på personopplysningssikkerheten til Datatilsynet og, hvis relevant, til de Registrerte.
5.7. Databehandler kan ikke pålegges å varsle om et brudd på personopplysningssikkerheten til noen Datatilsynsmyndighet, og heller ikke til de Registrerte, med mindre Databehandler uttrykkelig samtykker skriftlig i å gjøre det i tilfelle et spesifikt brudd på personopplysningssikkerheten.
5.8. For å kunne bruke Tjenestene må Behandlingsansvarlig bruke innloggingsdetaljer for å få tilgang til kontoen sin. Den Behandlingsansvarlige må holde disse innloggingsopplysningene sikre og konfidensielle, ettersom de gir tilgang til Personopplysningene. Det er også den Behandlingsansvarliges ansvar å sørge for at de Registrerte som bruker Tjenestene, holder sin egen innloggingsinformasjon sikker og konfidensiell, ettersom den gir tilgang til deres egne Personopplysninger.
6. Konfidensialitet
6.1. Databehandler skal ta hensyn til konfidensialitet med hensyn til Personopplysningene.
6.2. Med hensyn til det foregående skal Databehandler:
(i) skal ikke utlevere Personopplysningene til noen tredjepart, med mindre dette er uttrykkelig tillatt i denne Databehandleravtalen;
(ii) har iverksatt egnede tekniske og organisatoriske tiltak for å sikre at enhver person som har tilgang til Personopplysningene, skal informeres om og være bundet av konfidensialitet;
7. Underleverandører
7.1. Databehandler bruker Underdatabehandlere som behandler Personopplysningene. På forespørsel fra Behandlingsansvarlig skal Databehandler oppgi navn og lokasjon på Underdatabehandlerne. Hvis Databehandler har til hensikt å ansette en annen eller flere Underdatabehandlere til å Behandle Personopplysningene, skal Databehandler varsle Behandlingsansvarlig om dette på forhånd, inkludert startdatoen for Underdatabehandlerens Behandlingsaktiviteter. Behandlingsansvarlig kan motsette seg endringen eller tilføyelsen innen syv (7) virkedager etter varselet. Hvis Behandlingen av Personopplysningene ikke påvirkes negativt av en slik endring eller tilføyelse, vil Behandlingsansvarlig ikke med rimelighet motsette seg dette, slik at Databehandler kan fortsette å tilby Tjenestene. Dersom Behandlingsansvarlig protesterer i tide og Databehandler ikke kan endre Tjenestene for å imøtekomme Behandlingsansvarliges innvending innen fjorten (14) dager etter en slik innvending, kan Behandlingsansvarlig og/eller Databehandler si opp Tjenestene og Tjenesteavtalen, og Databehandler skal refundere de eventuelle gebyrene som Behandlingsansvarlig har betalt på forhånd for den gjenværende abonnementsperioden der Tjenesten opphører. Per startdatoen for den nye Underdatabehandlerens Behandlingsaktiviteter vil Vedlegg 2 oppdateres (eller anses oppdatert) med den varslede informasjonen om den nye Underdatabehandleren; hvis dette er en Underdatabehandler som behandler Personopplysninger utenfor EØS, gjelder også artikkel 8;
7.2. Prosessoren sørger for at underprosessorer:
(i) erklærer å ha iverksatt egnede tekniske og organisatoriske tiltak for å sikre overholdelse av GDPR og beskyttelse av de registrertes rettigheter;
(ii) er skriftlig forpliktet til å overholde de samme forpliktelsene som er fastsatt i denne databehandleravtalen, og som er relevante i forhold til underdatabehandlerens behandlingsaktiviteter.
7.3. For å unngå tvil: Hvis Behandlingsansvarlig bruker funksjonalitet gjennom Tjenestene der det opprettes en forbindelse med tjenester som tilbys til Behandlingsansvarlig av tredjeparter, er slike tredjeparter ikke Databehandlerens Underdatabehandlere; Behandlingsansvarlig har et direkte rettsforhold med slike tredjeparter. Disse tredjepartene kan for eksempel være plattformer for sosiale medier, e-postleverandører og den Behandlingsansvarliges tjenesteleverandører der den Behandlingsansvarlige har en egen konto som mottar data ved hjelp av integrasjoner i plattformen.
8. Dataeksport (overføringer utenfor EØS)
8.1. Databehandler overfører Personopplysninger til det eller de landene (hvis noen) som er oppført i Vedlegg 2.
8.2. Databehandler sikrer at landene eller partene som Personopplysningene overføres til, tilbyr et tilstrekkelig beskyttelsesnivå. I mangel av dette, og dersom den Behandlingsansvarliges samarbeid er påkrevd, samtykker den Behandlingsansvarlige i å samarbeide med Databehandleren for å arrangere en av overføringsmekanismene som er fastsatt i GDPR for overføring til et slikt land uten et tilstrekkelig beskyttelsesnivå, og i så fall vil Databehandleren og/eller Underdatabehandleren, om nødvendig, iverksette ytterligere tiltak for å beskytte Personopplysningene.
9. Rapportering, revisjonsrettigheter
9.1. Databehandler vil gi den Behandlingsansvarlige, på de vilkår og betingelser som er angitt i denne artikkelen, tilgang til sin administrasjon for at den Behandlingsansvarlige skal kunne kontrollere at Databehandler overholder vilkårene og betingelsene i denne Databehandleravtalen. Databehandler gir ikke Behandlingsansvarlig tilgang til personopplysninger om andre registrerte enn de Registrerte;
9.2. Behandlingsansvarlig kan utpeke en tredjepart til å utføre revisjonen. Behandlingsansvarlig skal i så fall sørge for at tredjeparten er forpliktet til å behandle Databehandlerens informasjon som tredjeparten har tilgang til i forbindelse med revisjonen, konfidensielt og ikke utlevere denne til noen tredjepart.
9.3. Behandlingsansvarlig skal ikke benytte seg av sin revisjonsrett etter dette punkt mer enn én gang per kalenderår. Behandlingsansvarlig skal varsle Databehandler minst to uker i forkant av revisjonen for å gi Databehandler mulighet til å forberede seg.
9.4. Dersom revisjonen viser at Databehandler ikke overholder sine forpliktelser i henhold til denne Databehandleravtalen, skal Databehandler iverksette de tiltak som med rimelighet kan kreves av Behandlingsansvarlig for å overholde disse forpliktelsene.
10. Varighet og oppsigelse
10.1. Denne Databehandleravtalen skal ha samme løpetid som Tjenesteavtalen. Denne Databehandleravtalen skal derfor opphøre når Tjenesteavtalen opphører.
10.2. Dersom Tjenesteavtalen ikke åpner for oppsigelse av denne - og dermed også av denne Databehandleravtalen - gjelder følgende oppsigelsesgrunnlag: Hver av Partene har rett til å si opp denne Databehandleravtalen for fremtiden, uten plikt til å betale erstatning, i tilfelle:
(i) Den andre Parten søker om konkursbeskyttelse, eller dette kreves av en tredjepart;
(ii) Den andre Parten søker om eller innvilges betalingsutsettelse;
(iii) Den annen Part begjærer insolvensbehandling eller lignende behandling i henhold til gjeldende lov, eller det oppnevnes en bobestyrer for Parten;
(iv) Den andre Parten opphører å drive sin virksomhet.
10.3. Partene kan når som helst i fellesskap beslutte å si opp denne Databehandleravtalen ved skriftlig avtale.
11. Assistanse ved utreise
11.1. Databehandler vil Behandle Personopplysningene under den Behandlingsansvarliges bruk av Tjenestene.
11.2. Behandlingsansvarlig må sørge for å ha hentet ut og slettet Personopplysningene fra sin konto før Tjenesteavtalen avsluttes. Dersom Databehandler sperrer den Behandlingsansvarliges konto på grunn av manglende overholdelse av Tjenesteavtalen, vil Databehandler på den Behandlingsansvarliges anmodning, som skal fremsettes innen ti (10) dager etter at kontoen ble sperret, og etter betaling av eventuelle avgifter som fortsatt forfaller i henhold til Tjenesteavtalen, utlevere Personopplysningene til den Behandlingsansvarlige eller, etter Databehandlers valg, gi den Behandlingsansvarlige tilgang til sin konto i en periode på tre (3) dager utelukkende for å hente ut og slette Personopplysningene. Hvis Behandlingsansvarlig ikke har slettet Personopplysningene etter disse periodene, forbeholder Databehandler seg retten til å gjøre dette ensidig, og vil slette Personopplysningene etter to (2) år, med mindre Databehandler er pålagt å oppbevare visse Personopplysninger i henhold til gjeldende lovgivning. I sistnevnte tilfelle vil Databehandler slette Personopplysningene etter at den lovbestemte oppbevaringsperioden er utløpt;
12. Diverse
12.1. Bestemmelsene i Tjenesteavtalen gjelder for Behandlingen av Personopplysningene og skal ha forrang med hensyn til klausuler som ikke gjelder personvern, for eksempel ansvar. Hvis Tjenesteavtalen inneholder bestemmelser om personvern, har denne Databehandleravtalen forrang fremfor slike bestemmelser.
12.2. Dersom Databehandlers aktiviteter i forbindelse med denne Databehandleravtalen overstiger Databehandlers normale aktiviteter for Tjenestene, har Databehandler rett til en rimelig kompensasjon basert på Databehandlers ordinære honorar på det aktuelle tidspunktet. Databehandler vil gi en spesifikasjon av den fakturerte kompensasjonen.
12.3. Denne Databehandleravtalen kan endres eller modifiseres av Databehandler i henhold til bestemmelsene i Tjenesteavtalen;
12.4. Hvis en bestemmelse i denne databehandleravtalen kjennes ugyldig eller ikke kan håndheves av en domstol med kompetent jurisdiksjon, skal en slik avgjørelse ikke på noen måte påvirke gyldigheten eller håndhevbarheten av andre bestemmelser i denne avtalen, og denne databehandleravtalen skal tolkes som om slike vilkår eller bestemmelser ikke var inkludert i den.
12.5. Betraktningene under "mens", samt Bilagene utgjør en integrert del av denne Databehandleravtalen.
13. Gjeldende rett, tvisteløsning
13.1. Denne databehandleravtalen er utelukkende underlagt nederlandsk lov, med unntak av landets konfliktlovgivning.
13.2. Tvisteløsningsklausulen i Tjenesteavtalen gjelder for eventuelle tvister som oppstår mellom Partene.
SKJEMA 1 - Informasjon om behandlingen
1. Beskrivelse av tjenestene og behandlingsaktivitetene:
Type tjeneste: nettbasert læringsplattform.
Behandlingsaktiviteter: lagring, tilgang, endring og sletting på forespørsel fra behandlingsansvarlig.
2. Kategorier av personopplysninger:
Den Behandlingsansvarlige kan velge hvilke typer personopplysninger som skal innhentes fra de Registrerte, for eksempel:
De Registrerte kan også selv opprette personopplysninger som følge av at de får tilgang til og bruker innholdet som er opprettet av Behandlingsansvarlig i Easy LMS-systemet, som f.eks:
Den behandlingsansvarlige må ikke be den registrerte om å oppgi spesielle kategorier av personopplysninger, eller laste opp slike personopplysninger, som gjelder helseopplysninger, religiøs overbevisning, politiske meninger, rase, etnisk bakgrunn, seksuelle preferanser eller atferd, fagforeningsmedlemskap, strafferegister, biometriske data for identifikasjonsformål, genetiske data.
SKJEMA 2 - Underdatabehandlere
De personopplysningene overføres til følgende underbehandlere:
Underprosessor 1
Amazon Web Services (AWS)
Hosting- og e-posttjenester
Lokalisert på tysk
Underprosessor 2
Intercom
Supportchat
Beliggende i Irland
Underprosessor 3
MailerSend
Backup e-posttjenester
Beligger i Belgia
Underprosessor 4
Verifalia
E-postbekreftelse
Beliggende i Nederland
Denne vedleggstabellen anses som oppdatert etter varsling om endringer i henhold til artikkel 7.1.