Databehandleravtale
Denne Databehandleravtalen er inngått mellom EasyLMS B.V. («Behandler») og dets kunder (kunden er «Kontrolløren») som den behandler personopplysninger for som databehandler;
Heretter hver en "Part" og samlet "Parter";
Mens:
A. Denne Databehandleravtalen utgjør en integrert del av Easy LMS sine Vilkår og Betingelser ("Vilkår og Betingelser") samt avtalen mellom Behandler og Kontrollør, med hensyn til det elektroniske læringsplattformen som Behandler tilbyr Kontrolløren ( "Tjenesten(e)");
B. For at Kontrolløren og dens deltakere skal kunne benytte seg av Tjenestene, må Behandler behandle personopplysningene (“Personopplysninger”) til Kontrollørens ansatte og/eller andre Deltakere (i fellesskap: “Datasubjekter”) som bruker Innholdet som er opprettet av Kontrolløren i Tjenesten(e);
C. Kategoriene av Personopplysninger så vel som andre detaljer med hensyn til behandlingen av Personopplysningene er beskrevet i vedlegg 1 til denne Databehandleravtalen;
D. Den generelle databeskyttelsesforordningen (REGULATION (EU) 2016/679 FRA EUROPAPARLAMENTET OG RÅDET av 27. april 2016 om beskyttelse av fysiske personer med hensyn til behandling av personopplysninger og om fri flyt av slike data, og oppheving av direktiv 95/46/EC), ("GDPR") gjelder for behandlingen av Personopplysningene;
E. På grunnlag av GDPR er partene pålagt å inngå denne Databehandleravtalen.
1. Definisjoner
1.1. I tillegg til de definerte termene med stor bokstav ovenfor, skal følgende termer med stor bokstav ha følgende betydning:
1.2. "DPA": en kompetent databeskyttelsesmyndighet.
1.3. «EØS»: Det europeiske økonomiske samarbeidsområdet.
1.4. "Personlig databrudd": et sikkerhetsbrudd som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av eller tilgang til Personopplysningene.
1.5. "Behandling": de behandlingshandlingene som utføres med Personopplysningene som definert i GDPR, inkludert, uten begrensning, lagring, visning, porsjonering, sletting, endring, videresending.
1.6. "Tidsplan": en tidsplan for denne databehandleravtalen.
1.7. «Tjenesteavtale»: avtalen som Tjenestene leveres på grunnlag av, som kan bestå av Vilkårene og/eller en annen type avtale.
1.8. "Underbehandler": en tredjepart som Behandler gir underleverandør av Behandlingen av Personopplysningene til, enten det er helt eller delvis.
2. Generelle forpliktelser
2.1. Når det gjelder Personopplysningene, tar Behandler passende tekniske og organisatoriske tiltak for å sikre overholdelse av GDPR og beskyttelse av rettighetene til de registrerte.
2.2. Kontrolløren erklærer at den overholder GDPR med hensyn til Personopplysningene som Behandles av Behandler. Det er Kontrolløren sitt ansvar å overholde gjeldende personopplysningslovgivning med hensyn til Personopplysningene som er opprettet i eller lastet opp til Tjenesten. Dette inkluderer uten begrensning å ha et juridisk grunnlag for Behandlingen (f.eks. gyldig samtykke hvis det kreves) av Personopplysningene, informere de registrerte om Behandlingen av deres Personopplysninger og sørge for at de registrerte har den lovlige alderen for å sende inn deres Personopplysninger, hvis aktuelt.
3. Behandler utelukkende på kontrollørens instruksjoner
3.1. Formålet med Behandlingen av Behandleren er å gjøre det mulig for Behandleren å levere Tjenestene.
3.2. Behandler vil kun behandle Personopplysningene på Kontrollørens skriftlige instruksjoner, som er behandlingsaktivitetene som er angitt i vedlegg 1, eller de rimelige instruksjonene ellers gitt av Kontrolløren skriftlig (som kan inkludere via e-post). Behandler skal kun behandle Personopplysningene utenfor Kontrollørens instruksjoner hvis det kreves for å overholde en gjeldende juridisk forpliktelse. I dette tilfellet gjelder artikkel 3.3 nedenfor.
3.3. I tilfelle Behandler blir juridisk forpliktet i henhold til europeisk lov til å avsløre noen av Personopplysningene, skal Behandler gi Kontrolløren umiddelbar varsel og varsle det relevante juridiske kravet, med mindre lovkravet forbyr Behandler fra slik varsling på grunn av viktige allmenne interesser. Hvis Behandler ikke har forbud mot å varsle Kontrolløren, vil Behandler avstå fra å avsløre noen Personopplysninger før Kontrolløren har tatt skritt for å få en beskyttende ordre eller annen passende rettssak. Hvis en slik beskyttelsesordre ikke innhentes, skal Behandleren kun gi slike Personopplysninger som den er informert om er påkrevd ved rettidig skriftlig melding fra Kontrolløren, eller, i mangel av slik rettidig varsel, vil Behandleren levere slike Personopplysninger den anser er nødvendig i henhold til lovkravet.
3.4. Behandler skal varsle Kontrolløren dersom en instruksjon gitt av Kontrolløren etter sin mening bryter med GDPR, i så fall vil Behandler ikke måtte følge instruksen.
4. Assistere kontrolløren
4.1. Behandler skal yte bistanden som den Kontrolløren med rimelighet ber om for å:
(i) under hensyntagen til Behandlingens art, bistå Kontrolløren med passende tekniske og organisatoriske tiltak, så langt dette er mulig, for oppfyllelse av Kontrollørens forpliktelser til å svare på de registrertes forespørsler om å utøve sine rettigheter, i den grad som Behandler kan faktisk gjøre det i lys av Tjenestene. I tilfelle Behandler mottar en forespørsel fra et Datasubjekt, vil den videresende en slik forespørsel til Kontrolløren og Kontrolløren vil videre behandle forespørselen;
(ii) å ta hensyn til Behandlingens art og informasjonen som er tilgjengelig for Behandleren, bistå Kontrolløren med å overholde Kontrollørens forpliktelser knyttet til sikkerhet, varsle om brudd på Personopplysninger (se artikkel 5.4), undersøkelser av databeskyttelsesmyndigheter, konsekvensvurderinger for databeskyttelse og konsultasjon på forhånd dersom det er nødvendig.
5. Sikkerhetstiltak og brudd på personopplysninger
5.1. Under hensyntagen til den nyeste teknologien, kostnadene ved implementering og arten, omfanget, konteksten og formålene med Behandlingen, samt risikoen for varierende sannsynlighet og alvorlighetsgrad for rettigheter og friheter til fysiske personer, implementerer prosessor passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er passende for risikoen forbundet med Behandlingen.
5.2. Kontrolløren garanterer at den ikke vil be registrerte om å sende inn Personopplysninger til Tjenesten som anses som en spesiell kategori eller sensitive Personopplysninger i henhold til gjeldende lover. Dette gjelder for eksempel: data relatert til helse, religiøs tro, politiske meninger, rase, etnisk bakgrunn, seksuell preferanse eller atferd, fagforeningsmedlemskap, kriminelle poster, biometriske data for identifiseringsformål, genetiske data. Tjenestenes sikkerhetstiltak er ikke egnet for denne typen Personopplysninger.
5.3. Behandler har iverksatt hensiktsmessige tekniske og organisatoriske tiltak for å sikre at Personopplysningene kun kan nås av de personene i organisasjonen som er pålagt å få tilgang til dem med det formål å levere Tjenestene, f.eks. ved å begrense antallet personer med tilgangsrettigheter.
5.4. På sin nettside gjør Behandler tilgjengelig informasjon om sine sikkerhetstiltak. I tillegg, på Kontrollørens forespørsel, vil Behandler sende inn en oversikt over sikkerhetstiltakene som er på plass på tidspunktet for forespørselen. Kontrolløren kan sende inn en slik forespørsel en gang hvert kalenderår, med mindre det er en velbegrunnet grunn til å sende inn forespørselen oftere, for eksempel i tilfelle et brudd på Personopplysninger.
5.5. Behandler skal varsle Kontrolløren uten unødig forsinkelse etter å ha blitt oppmerksom på et brudd på Personopplysninger. Slik melding skal:
(i) inneholde tilgjengelig informasjon med hensyn til bruddet på Personopplysninger, inkludert, uten begrensning, en beskrivelse av bruddet på personopplysninger, årsaken til dette; kategoriene, arten og (estimert) mengden av berørte Personopplysninger og Datasubjekter og omfanget av Personopplysningsbruddet;
(ii) forklare effekten av Personopplysningsbruddet på Kontrolløren og de relevante Datasubjektene;
(iii) forklare de korrigerende tiltakene som behandles eller skal iverksettes av Behandler, Kontrollør og/eller datasubjektene og tidsskalaen for gjennomføring av slik handling.
5.6. Behandler vil gi det samarbeidet som Kontrolløren med rimelighet ber om, og sende inn informasjonen som er under dens kontroll, i forhold til å varsle Personopplysningsbruddet til DPA, og, hvis aktuelt, til de registrerte.
5.7. Behandler kan ikke kreves å varsle om et brudd på Personopplysninger til noen DPA, og heller ikke til Datasubjektene, med mindre Behandler uttrykkelig samtykker i å gjøre det skriftlig i tilfelle et spesifikt brudd på Personopplysninger.
5.8. For å bruke Tjenestene må Kontrolløren bruke påloggingsdetaljer for å få tilgang til kontoen sin. Kontrolløren må holde disse påloggingsopplysningene sikre og konfidensielle, da de gir tilgang til Personopplysningene. Det er også Kontrollørens ansvar å sørge for at Datasubjektene som bruker Tjenestene holder sin egen påloggingsinformasjon sikker og konfidensiell ettersom den gir tilgang til deres egne Personopplysninger.
6. Konfidensialitet
6.1. Behandler skal ta hensyn til konfidensialitet med hensyn til Personopplysningene.
6.2. Med hensyn til det foregående, skal Behandler:
(i) ikke avsløre Personopplysningene til noen tredjepart, med mindre dette er eksplisitt tillatt i denne Databehandleravtalen;
(ii) ha iverksatt passende tekniske og organisatoriske tiltak for å sikre at enhver person som har tilgang til Personopplysningene skal informeres om og være bundet av konfidensialitet.
7. Underbehandlere
7.1. Behandler bruker Underbehandlere som Behandler Personopplysningene. På Kontrollørens forespørsel vil behandler sende inn Underbehandlernes navn og plassering. Hvis Behandler har til hensikt å ansette en annen eller ytterligere Underbehandler for å Behandle Personopplysningene, skal den varsle Kontrolløren om dette på forhånd, inkludert startdatoen for Underbehandlerens Behandlingsaktiviteter. Kontrolløren kan protestere mot endringen eller tillegget innen syv (7) virkedager etter varselet. Hvis Behandlingen av Personopplysningene ikke påvirkes negativt av en slik endring eller tillegg, vil Kontrolløren ikke med rimelighet motsette seg slik at Behandler kan fortsette å tilby Tjenestene. I tilfelle Kontrolløren gjør innsigelser i tide og Behandler ikke kan endre Tjenestene for å imøtekomme Kontrollørens innsigelse innen fjorten (14) dager etter slik innsigelse, kan Kontrolløren og/eller Behandler si opp Tjenestene og Tjenesteavtalen og Behandler skal refundere gebyrene som Kontrolløren har betalt inn, inkludert forskudd, hvis noen, for den gjenværende abonnementsperioden der Tjenesten avvikles. I henhold til startdatoen for den nye Underbehandlerens Behandlingsaktiviteter, vil skjema 2 bli oppdatert (eller anses som oppdatert) med den varslede informasjonen om den nye Underbehandleren; hvis dette er en Underbehandler som Behandler Personopplysninger utenfor EØS, gjelder også artikkel 8.
7.2. Behandler sikrer at Underbehandlere:
(i) erklærer å ha implementert passende tekniske og organisatoriske tiltak for å sikre samsvar med GDPR og beskyttelse av rettighetene til de registrerte;
(ii) er skriftlig bundet til å overholde de samme forpliktelsene som er angitt i denne Databehandleravtalen, som er relevante i forhold til Underbehandlerens Behandlingsaktiviteter.
7.3. For å unngå tvil: hvis Kontrolløren bruker funksjonalitet gjennom Tjenestene der det opprettes en forbindelse med Tjenester som tilbys Kontrolløren av tredjeparter, er slike tredjeparter ikke Behandlers Underbehandlere; Kontrolløren har et direkte juridisk forhold til slike tredjeparter. Disse tredjepartene kan for eksempel være sosiale medieplattformer, e-postleverandører og kontrollørens tjenesteleverandører der Kontrolløren har sin egen konto som mottar data ved hjelp av integrasjoner i plattformen.
8. Dataeksport (overføringer utenfor EØS)
8.1. Behandler overfører Personopplysninger til landet eller landene (hvis noen) som er oppført i vedlegg 2.
8.2. Behandler sikrer at landene eller partene som Personopplysningene overføres til, tilbyr et tilstrekkelig beskyttelsesnivå. I fravær av dette, hvis Kontrollørens samarbeid er nødvendig, samtykker Kontrolløren i å yte samarbeidet som Behandler ber om for å sørge for en av overføringsmekanismene angitt i GDPR for overføring til et slikt land uten et tilstrekkelig beskyttelsesnivå, der saksbehandler og/eller Underbehandler, om nødvendig, iverksetter supplerende tiltak for å ivareta Personopplysningene.
9. Rapportering, revisjonsrett
9.1. Behandler vil gi Kontrolløren, i henhold til Vilkårene angitt i denne artikkelen, tilgang til administrasjonen for at Kontrolløren skal kunne revidere Behandlers overholdelse av Vilkårene og Betingelsene i denne Databehandleravtalen. Behandler tillater ikke Kontrolløren tilgang til Personopplysninger til andre registrerte enn de registrerte.
9.2. Kontrolløren kan oppnevne en tredjepart til å utføre revisjonen. Kontrolløren vil i så fall sørge for at tredjeparten er forpliktet til å holde Behandlers informasjon som tredjeparten har tilgang til i forhold til revisjon konfidensiell og ikke avsløre denne til noen tredjepart.
9.3. Kontrolløren skal ikke gjøre bruk av sine revisjonsrettigheter i henhold til denne klausulen mer enn én gang per kalenderår. Kontrolløren vil varsle Behandler minst to uker i forkant av revisjonen slik at Behandler kan forberede seg på den.
9.4. Hvis revisjonen beviser at Behandler ikke overholder sine forpliktelser i henhold til denne Databehandleravtalen, vil Behandler iverksette de tiltakene som den Kontrolløren med rimelighet har bedt om for å overholde disse forpliktelsene.
10. Varighet og oppsigelse
10.1. Denne Databehandleravtalen skal ha samme gyldighetstid som Tenesteavtalen. Denne Databehandleravtalen skal derfor opphøre når Tjenesteavtalen opphører.
10.2. Dersom Tjenesteavtalen ikke sørger for oppsigelse av denne – og dermed i etterkant av denne Databehandleravtalen – gjelder følgende oppsigelsesgrunner: Hver Part har rett til å si opp denne Databehandleravtalen for fremtiden, uten forpliktelse til å betale erstatning, i tilfelle:
(i) Den andre Parten søker om konkursbeskyttelse, eller dette blir bedt om av en tredjepart;
(ii) Den andre Parten søker om eller får betalingsstans;
(iii) Den andre Parten søker om insolvens eller lignende saksbehandlinger i henhold til gjeldende lov, eller en mottaker er oppnevnt for det;
(iv) Den andre parten slutter å drive sin virksomhet.
10.3. Partene kan når som helst i fellesskap beslutte å si opp denne Databehandleravtalen ved skriftlig avtale.
11. Utgangshjelp
11.1. Behandler vil behandle Personopplysningene under Kontrollørens bruk av Tjenestene.
11.2. Kontrolløren må sørge for at den har trukket ut og slettet Personopplysningene fra kontoen sin før Tjenesteavtalen avsluttes. Hvis Behandler sperrer Kontrollørens konto på grunn av manglende overholdelse av Tjenesteavtalen, vil Behandler, på Kontrollørens forespørsel, som skal gjøres innen en ti (10) dagers periode etter at kontoen ble sperret, og ved betaling av eventuelle gebyrer som fortsatt skal betales, under Tjenesteavtalen, overlevere til Kontrolløren Personopplysningene eller, etter Behandlers skjønn, gi Kontrolløren tilgang til sin konto i løpet av en tre (3) dagers periode utelukkende for å trekke ut og slette Personopplysningene. Hvis Kontrolløren etter disse periodene ikke har slettet Personopplysningene, forbeholder Behandler seg retten til å gjøre det ensidig, og vil slette Personopplysningene etter to (2) år, med mindre Behandler er pålagt av gjeldende lover å beholde visse Personopplysninger. I sistnevnte tilfelle vil Behandler slette Personopplysningene etter at den juridiske oppbevaringsperioden er utløpt.
12. Diverse
12.1. Bestemmelsene i Tjenesteavtalen gjelder for behandling av Personopplysningene og skal ha forrang med hensyn til de klausuler som ikke gjelder databeskyttelse, for eksempel ansvar. Hvis Tjenesteavtalen inneholder bestemmelser om databeskyttelse, går denne Databehandleravtalen foran slike bestemmelser.
12.2. I tilfelle Behandlers aktiviteter i forhold til denne Databehandleravtalen overstiger Behandlers normale aktiviteter for Tjenestene, har Behandler rett til en rimelig kompensasjon basert på Behandlers ordinære honorar på det tidspunktet. Behandler vil gi en spesifikasjon av den fakturerte kompensasjonen.
12.3. Denne Databehandleravtalen kan endres eller modifiseres av Behandler i henhold til bestemmelsene i Tjenesteavtalen.
12.4. Hvis en bestemmelse i denne Databehandleravtalen blir holdt ugyldig eller ikke håndhevbar av en domstol med kompetent jurisdiksjon, skal en slik avgjørelse på ingen måte påvirke gyldigheten eller håndhevbarheten av noen annen bestemmelse heri, og denne Databehandleravtalen skal tolkes som om et slikt ilkår eller bestemmelse var ikke inkludert i den.
12.5. Hensynene under «mens», samt planene utgjør en integrert del av denne Databehandleravtalen.
13. Gjeldende lov, tvisteløsning
13.1. Denne Databehandleravtalen styres utelukkende av lovene i Nederland, unntatt dens konfliktlover.
13.2. Tvisteløsningsklausulen i Tjenesteavtalen gjelder for alle tvister som oppstår mellom partene.
SKJEMA 1 – Informasjon om behandlingen
1. Beskrivelse av Tjenestene og behandlingsaktivitetene:
Type tjeneste: Digital læringsplattform (læringsstyringsystem).
Behandlingsaktiviteter: lagring, tilgang, endring og sletting etter forespørsel fra Kontrolløren.
2. Kategorier av Personopplysninger:
Kontrolløren kan velge typene Personopplysninger som etterspørres fra de registrerte, for eksempel:
- Navn
- telefonnummer
- jobbtittel
- kjønn
- fødselsdato
- gatenavn
- postnummer
- by eller by
- land
- Ansatt ID
- Datasubjektets svar på fritekstspørsmål
- Datasubjektets svar på rullegardinspørsmål
Datasubjektene kan også selv opprette Personopplysninger som et resultat av tilgang til og bruk av innholdet opprettet av Kontrolløren i Easy LMS-systemet, for eksempel:
- testresultater
- eksamensresultater
- kommentarer lagt til systemet
- sertifiseringsdokumenter
Kontrolløren må ikke be Datasubjekter om å sende inn spesielle kategorier av Personopplysninger, eller laste opp slike Personopplysninger, som gjelder: data relatert til helse, religiøs tro, politiske meninger, rase, etnisk bakgrunn, seksuell preferanse eller atferd, fagforeningsmedlemskap, strafferegistre, biometriske data for identifikasjonsformål, genetiske data.
SKJEMA 2 – Underbehandlere
Personopplysningene overføres til følgende Underbehandlere:
|
Underbehandlere |
|
|
|
|
Underbehandler |
Land |
Land utenfor EØS uten tilstrekkelig beskyttelsesnivå?: |
Overføringsmekanisme / passende sikkerhetstiltak: |
|
Amazon Web Services (AWS) (hosting og e-posttjenester) |
Tyskland |
Nei, EØS-land |
Ikke aktuelt |
|
Intercom (support chat) |
Irland |
Nei, EØS-land |
Ikke aktuelt |
Dette skjemaet anses å ha blitt oppdatert etter varsel om endringene i henhold til artikkel 7.1.