Standard databehandleravtale fra Scania 1. DEFINISJONER Leverandøren: Med Leverandøren menes den juridiske enheten som leverer ytelser til Kunden hvor Leverandøren på en eller annen måte behandler personopplysninger på vegne av Kunden. Leverandøren er avtalepart med Kunden i Hovedavtalen. For kunder i Norge er Leverandøren Norsk Scania AS med org.nr. 879263662. Databehandler: Leverandøren. Kunden: Med Kunden menes den juridiske enheten som kjøper ytelser fra Leverandøren hvor Leverandøren på en eller annen måte behandler personopplysninger på vegne av Kunden. Kunden er avtalepart med Leverandøren i Hovedavtalen. Behandlingsansvarlig: Kunden (det selskap som mottar ytelser fra Leverandøren som omfatter behandling av personopplysninger). Part: Kunden eller Leverandøren. Partene: Kunden og Leverandøren. Hovedavtalen: Gjeldende avtale med vedlegg mellom Kunden og Leverandøren som angir hva Leverandøren skal levere til Kunden på Leverandørens tilknyttede tjenester og kommersielle betingelser, herunder Generelle vilkår for abonnement på Scanias tilknyttede tjenester og Vedlegg 1 Behandling og vern av opplysninger. Denne Databehandleravtalen utgjør Vedlegg 2 til Hovedavtalen og medfører ingen endringer av de kommersielle betingelsene som følger av Hovedavtalen. Databehandleravtalen: Disse vilkårene med eventuelle bilag og eventuelle endringer og oppdateringer som er skriftlig avtalt mellom Partene (elektronisk likestilles med skriftlig). Databehandleravtalen er utarbeidet i henhold til personopplysningsloven av 15. juni 2018 nr. 38, veileder fra Datatilsynet og GDPR. Databehandleravtalen gjelder mellom Kunden som behandlingsansvarlig og Leverandøren som databehandler i personopplysningslovens forstand. Databehandleravtalen skal være skriftlig, herunder elektronisk. GDPR: EUs generelle personvernforordning General Data Protection Regulations (Europaparlaments- og Rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF). 2. DATABEHANDLERAVTALENS HENSIKT Databehandleravtalens hensikt er å regulere rettigheter og plikter etter gjeldende personopplysningslov i Norge med tilhørende regelverk. Databehandleravtalens oppfyller minstekrav i personopplysningsloven og GDPR. Databehandleravtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende. Databehandleravtalen regulerer Databehandlers bruk av personopplysninger på vegne av den Behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse. 3. DATABEHANDLERAVTALENS FORMÅL Formålet med Databehandleravtalen er å presisere at Leverandøren som Kundens databehandler også kan behandle personopplysninger innenfor det som er avtalt med Kunden, herunder foreta de behandlinger som følger av Hovedavtalen, for å foreta de behandlinger som Kunden ber Leverandøren bistå Kunden med eller for å fullføre Leverandørens avtaleforhold med Kunden slik det er til enhver tid. Partene er enige om at nye formål/behandlinger må dokumenteres (skriftlig på en eller annen måte – elektronisk aksepteres som skriftlig). Databehandleren og enhver person som handler for Databehandleren som har tilgang til personopplysninger, skal behandle nevnte opplysninger bare etter dokumentert instruks fra Behandlingsansvarlig. Partene er enige i at det som angis i Vedlegg 1 og i denne Databehandleravtalen skal anses som slike instrukser fra Behandlingsansvarlig. Hvilke personopplysninger som skal behandles: Alle personopplysninger som ikke er sensitive personopplysninger som Leverandøren gis tilgang til av Kunden eller på annen måte behandler gjennom avtaleforholdet med Kunden. Hvilke personopplysninger som behandles i henhold til denne Databehandleravtalen, er nærmere spesifisert i Vedlegg 1. Kategorier av registrerte: Kundens egne ansatte, Kundens innleide personer, Kundens sjåfører, Kundens eiere og ledelse, kontaktpersoner tilknyttet Kundens leverandører eller kunder, Kundens øvrige kontraktsparter som benytter løsningen fra Leverandøren etter Hovedavtalen samt og andre sluttbrukere Kunden tilknytter Leverandørens tilbudte produkter eller tjenester. Kategorier av registrerte er nærmere beskrevet i Vedlegg 1. Hvilke behandlinger som omfattes av Databehandleravtalen: De behandlinger som er nødvendige for at Leverandøren kan oppfylle sine forpliktelser som Leverandør til Kunden og som databehandler etter gjeldende regelverk samt den behandling som følger av Hovedavtalen og det løpende avtaleforholdet mellom Partene. Databehandler skal også ha rett til å behandle personopplysningene i den grad slik behandling er nødvendig som følge av det løpende avtaleforholdet mellom Partene etter Hovedavtalen, for statistikkformål og for å forbedre Databehandlerens tjenester, herunder for å kunne gi råd til Behandlingsansvarlig vedrørende type abonnement og annet som kan forbedre tjenestene som leveres etter Hovedavtalen. Behandlinger som omfattes av denne Databehandleravtalen, er nærmere beskrevet i Vedlegg 1 punkt 3. Hva som er rammene for Databehandlers håndtering av personopplysninger: Leverandøren kan håndtere personopplysninger i henhold til rammene gitt av Kunden i Hovedavtalen med Vedlegg 1 og i det løpende avtaleforhold mellom Partene til enhver tid og for å oppfylle Leverandørens ansvar som Databehandler etter gjeldende regelverk. 4. DATABEHANDLERS PLIKTER Databehandler skal følge de rutiner og instrukser for behandlingen som Behandlingsansvarlig til enhver tid har bestemt skal gjelde. Databehandleren plikter å gi Behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon og bistå slik at Behandlingsansvarlig kan ivareta sitt eget ansvar etter gjeldende lov og forskrift. Behandlingsansvarlig har, med mindre annet er avtalt eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandleren plikter å gi nødvendig bistand til dette. Databehandleren har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne Databehandleravtalen. Denne bestemmelsen gjelder også etter Databehandleravtalens opphør. Databehandleren skal sikre at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til å behandle opplysningene fortrolig ved taushetserklæring i ansettelsesavtale eller annen avtale med Databehandler
Download PDF file