Standard databehandleravtale fra Scania dersom slik person ikke er underlagt en egnet lovfestet taushetsplikt. Databehandler skal gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen med behandlingen av personopplysningene samt for å sikre at behandlingen oppfyller kravene i gjeldende personvernlovgivning, herunder kravene som følger av GDPR, og vern av den registrertes rettigheter. Databehandler skal bistå Behandlingsansvarlig med å oppfylle Behandlingsansvarliges plikt til å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter som den registrerte. Databehandler skal bistå Behandlingsansvarlig med å sikre overholdelse av forpliktelsene Behandlingsansvarlig har etter GDPR artikkel 32–36. Databehandleren skal omgående underrette Behandlingsansvarlige dersom Databehandleren mener at en instruks fra Behandlingsansvarlig er i strid med GDPR eller andre lovbestemmelser om vern av personopplysninger. Databehandler skal føre en protokoll over alle kategorier av behandlingsaktiviteter som er utført på vegne av Behandlingsansvarlig i henhold til GDPR art. 30 nr. 2. 5. BRUK AV UNDERLEVERANDØR Dersom Databehandler benytter seg av underleverandør eller andre som ikke normalt er ansatt hos Databehandleren, skal dette avtales skriftlig med Behandlingsansvarlige før behandlingen av personopplysninger starter. Leverandøren skal ikke engasjere en annen databehandler uten at det på forhånd er innhentet særlig eller generell skriftlig tillatelse til dette fra Kunden siden Kunden er behandlingsansvarlig for personopplysningene. Dersom det er innhentet en generell skriftlig tillatelse, skal Leverandøren underrette Kunden om eventuelle planer om å benytte andre databehandlere eller skifte ut databehandlere, og dermed gi Kunden muligheten til å motsette seg slike endringer. Samtlige som på vegne av Databehandleren utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med Databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse. 6. BEHANDLINGSANSVARLIGES RETTIGHETER OG PLIKTER Behandlingsansvarlig har rettigheter og plikter som gjeldende lov til enhver tid gir den behandlingsansvarlige for behandling av personopplysninger. Ved brudd på denne Databehandleravtalen eller personopplysningsloven kan Behandlingsansvarlig pålegge Databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning. 7. SIKKERHET Databehandleren skal oppfylle de krav til sikkerhetstiltak som stilles etter gjeldende personopplysningslovgivning. Databehandleren skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på forespørsel fra den Behandlingsansvarlige. En oversikt over Databehandlerens tekniske og organisatoriske sikkerhetstiltak følger av Vedlegg 1 punkt 2.3 og på www.scania.com ved å søke på «security». De tekniske og organisatoriske sikkerhetstiltak kan forbedres og videreutvikles i samsvar med den teknologiske utviklingen. I slike tilfeller har Databehandleren adgang til å implementere oppdaterte tekniske og organisatoriske sikkerhetstiltak, så lenge sikkerhetsnivået for de aktuelle sikkerhetstiltak forblir uendret eller endres til et høyere sikkerhetsnivå. Avviksmelding skal skje ved at Databehandleren melder avviket til Behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding sendes til Datatilsynet. 8. SIKKERHETSREVISJONER Behandlingsansvarlig skal avtale med Databehandler at det gjennomføres sikkerhetsrevisjoner jevnlig for systemer og lignende som omfattes av denne Databehandleravtalen. Databehandler skal på forespørsel muliggjøre og bidra til revisjoner, herunder inspeksjoner, som gjennomføres av Behandlingsansvarlig eller en annen inspektør på fullmakt fra Behandlingsansvarlige. Databehandler skal på forespørsel gjøre tilgjengelig for Behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i denne Databehandleravtalen er oppfylt. 9. AVTALENS VARIGHET Databehandleravtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig, og Databehandleravtalen følger samme regler for opphør som følger av Hovedavtalen. 10. VED OPPHØR Etter Behandlingsansvarliges valg, skal Databehandler slette eller tilbakelevere alle personopplysninger mottatt på vegne av Behandlingsansvarlig til Behandlingsansvarlig etter at tjenestene knyttet til behandlingen er levert (ved opphør av denne Databehandleravtalen). Det kan ved opphør av Databehandleravtalen avtales at Databehandler skal slette eller forsvarlig destruere alle dokumenter, data, mv., som inneholder opplysninger som omfattes av Databehandleravtalen. Dette gjelder også for eventuelle sikkerhetskopier. Databehandler skal sletter eksisterende kopier av slike personopplysninger, dokumenter og data, med mindre lovgivning krever at personopplysningene eller slike dokumenter/data lagres. Databehandleren skal skriftlig dokumentere at sletting og/eller destruksjon er foretatt i henhold til Databehandleravtalen innen rimelig tid etter Databehandleravtalens opphør. 11. MEDDELELSER Meddelelser etter denne Databehandleravtalen skal sendes skriftlig til Partenes oppgitte kontaktpersoner som angitt i Hovedavtalen mellom Partene. 12. TVISTELØSNING Databehandleravtalen skal tolkes og reguleres i henhold til norsk rett. Eventuelle tvister mellom Kunden og Leverandøren knyttet til Databehandleravtalen skal avgjøres på samme måte som angitt i Hovedavtalen. Dette gjelder også etter opphør av Databehandleravtalen. September, 2018
Download PDF file