Databehandleravtale
1. Avtalens hensikt
Dette bilaget inneholder Databehandleravtalen og utgjør en integrert del av Oppdragsavtalen.
Databehandleravtalens hensikt er å regulere partenes rettigheter og plikter vedrørende behandling av Personopplysninger etter personopplysningsloven.
Databehandleravtalen skal sikre at Personopplysninger om de Registrerte ikke brukes urettmessig eller kommer uberettigede i hende. Databehandleravtalen regulerer Databehandlerens behandling av Personopplysninger på vegne av Kunden. Med behandling menes enhver bruk av Personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring eller utlevering.
2. Definisjoner
| Behandlingsansvarlig | Kunden |
|---|---|
| Databehandler | Accountor, som behandler Personopplysninger på vegne av den Behandlingsansvarlige. Accountor inkluderer Accountor AS eller andre Accountor selskaper som helt eller delvis er eid av Accountor AS eller har en franchiseavtale med Accountor AS. |
| Personopplysninger | Opplysninger og vurderinger som kan kobles til et enkeltindivid. |
| Personvernlovgivning | Lov om behandling av personopplysninger av 15. Juni 2018 nr. 38, forskrift om behandling av personopplysninger av 15. juni 2018 nr. 876, forordning (EU) 2016/679, samt den til enhver tid gjeldende personvernlovgivning. |
| Registrerte | Personer som Personopplysninger kan kobles til. |
| Regulert Tjeneste | Tjenesten som leveres av Databehandleren i henhold til Oppdragsavtalen. |
| Sensitive personopplysninger | Opplysninger om blant annet: a) At en person har blitt mistenkt, anklaget, tiltalt eller dømt for en kriminell handling. b) En persons helse. c) En persons medlemskap i en fagforeninger |
3. Formål
Formålet med denne Databehandleravtalen er å regulere Databehandlerens behandling av Personopplysninger på vegne av Kunden. Formålet med behandlingen av Personopplysningene er å utføre regnskaps-, årsoppgjørs-, lønnstjenester og andre tilknyttede tjenester for Kunden som beskrevet i Oppdragsavtalen.
4. Kundens forpliktelser
Kunden er alene ansvarlig for å sikre at all behandling av Personopplysninger er forankret i et lovlig behandlingsgrunnlag og for å fastsette formålet og metoden for Databehandlerens behandling av Personopplysninger i henhold til Databehandleravtalen. Kunden er alene ansvarlig for å sikre at de ovenfor nevnte formål og metoder er presise og tilstrekkelige for Databehandlerens behandling av Personopplysningene.
5. Databehandlerens forpliktelser
Databehandler skal bare behandle Personopplysningene som de får tilgang til som ledd i oppfyllelse av sine kontraktsforpliktelser overfor Kunden. Databehandleren skal følge de instrukser som Kunden til enhver tid har fastsatt og er underlagt Kundens instruksmyndighet vedrørende lagring, behandling og utnyttelse av Personopplysninger, med mindre annet følger av lovgivning.
Databehandleren skal ikke ha rett til å dele Personopplysningene med andre parter, med unntak av godkjente underleverandører og i overenstemmelse med vedtak fra offentlige myndigheter eller andre lovmessige forpliktelser, jf. pkt. 6.
Databehandleren skal på forespørsel gi Kunden tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at begge kan ivareta sitt ansvar etter den til enhver tid gjeldende Personvernlovgivning.
Databehandler og dets underleverandører skal kun behandle Personopplysningene i Norge og EU, eller i et annet land der behandlingen er lovlig i henhold til gjeldende lover og som er meldt til Kunden.
Kunden skal ha tilgang til og innsyn i Personopplysningene som behandles og systemene som benyttes til dette formål.
Databehandleren skal bistå Kunden med å oppfylle Kundens plikt til å svare på forespørsler om utøvelse av de Registrertes rettigheter som er fastsatt i Personvernlovgivningen, herunder de Registrertes rett til (i) tilgang til Personopplysninger, (ii) rettelse av unøyaktige Personopplysninger; (iii) sletting av Personopplysninger (iv) begrensning av eller innvendinger mot behandling av Personopplysninger og (v) retten til å motta Personopplysninger i et strukturert, vanlig og maskinlesbart format (dataportabilitet). Databehandler skal kompenseres for slik assistanse etter Databehandlers nåværende satser, med mindre annet er avtalt.
Databehandleren plikter uten ugrunnet opphold å varsle Kunden dersom Databehandleren anser at Kundens angitte instrukser er i strid med Personvernlovgivningen. Databehandleren plikter å utøve sine plikter etter Databehandleravtalen til tross for sin oppfatning og er ikke juridisk ansvarlig for Kundens instrukser. Databehandleren kan kreve kompensasjon for rimelige og dokumenterbare utgifter som Databehandleren pådrar seg som følge av nye eller endrede instrukser fra Kunden.
Dersom Kunden er forpliktet til å utføre en konsekvensanalyse og/eller konsultere Datatilsynet i forbindelse med behandling av Personopplysninger i henhold til denne Databehandleravtalen, skal Databehandleren yte bistand til Kunden. Databehandler skal kompenseres for slik assistanse etter Databehandlers nåværende satser, med mindre annet er avtalt.
Databehandler har taushetsplikt om dokumentasjon og Personopplysninger som vedkommende får tilgang til, med mindre annet er avtalt eller følger av lovgivning. Denne bestemmelsen gjelder også etter Databehandleravtalens opphør.
6. Bruk av underleverandør
Kunden samtykker til at Personopplysninger og annen taushetsbelagt informasjon som Databehandler får overlevert i forbindelse med oppdragsutførelsen kan videreformidles og behandles av underleverandører og i deres system. Slik videreformidling fordrer at det foreligger en underdatabehandleravtale mellom Databehandleren og underleverandøren som tilfredsstiller vilkårene i personopplysningsloven.
Databehandler skal gi Kunden opplysninger om nye underleverandører minst tre måneder før den dato da en ny underleverandør skal påbegynne behandling av Personopplysninger på vegne av Kunden. Eventuelle innvendinger mot en ny underleverandør må sendes skriftlig til Databehandler innen to uker etter mottak av opplysninger om den nye underleverandøren. Ved en slik innsigelse fra Kunden kan Databehandler si opp Oppdragsavtalen og denne Databehandleravtalen med en måneds varsel.
Samtlige som på vegne av Databehandleren utfører oppdrag der bruk av Personopplysningene inngår, skal være kjent med Databehandlerens avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.
7. Sikkerhet
Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og dokumentere rutiner og andre tiltak som er implementert for å oppfylle disse kravene.
I tilfelle sikkerhetsavvik skal Databehandleren varsle Kunden uten grunnet opphold og Kunden og skal varsle Datatilsynet. Databehandlerens varsel skal inneholde informasjon som påkrevd etter GDPR artikkel 33 og Personvernlovgivningen.
8. Overføring til utlandet
Personopplysninger som behandles av Databehandler på vegne av Kunden kan bli overført til, lagret i og behandlet i de land hvor Databehandler, og underleverandør av den aktuelle Regulerte Tjenesten og dennes underleverandører driver sin virksomhet.
Kunden er kjent med og aksepterer at slik overføring av Personopplysninger vil kunne finne sted, og aksepterer at Personopplysninger vil kunne behandles i andre land i den grad behandlingen er nødvendig for Databehandlerens leveranse av den Regulerte Tjenesten.
I den grad det følger av Oppdragsavtalen mellom Partene at Personopplysninger vil overføres til eller behandles i land utenfor EU/EØS, vil Databehandleren påse at overføringen gjennomføres i tråd Personvernlovgivningen.
I den grad overføringsgrunnlaget er EUs standardavtale for overføring av Personopplysninger utenfor EU/EØS, gir Kunden ved dette fullmakt til Databehandleren til å inngå slik standardavtale (inkl. til underleverandører) på Kundens vegne, og skal informere Kunden om slik inngåelse. Kunden skal selv varsle Datatilsynet om overføringen.
Databehandler vil ellers på forespørsel opplyse om hvilke land Personopplysninger behandles i.
9. Sikkerhetsrevisjoner
Databehandleren skal jevnlig revidere systemene som brukes til å behandle Personopplysningene. Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller og andre egnede kontrolltiltak.
Kunden og Datatilsynet har rett til å utføre revisjoner, herunder inspeksjoner og evalueringer av Personopplysninger som behandles, systemene og utstyret som brukes til dette formål, implementerte tekniske og organisatoriske tiltak, herunder sikkerhetspolitikk og lignende, og underleverandører. Kunden skal gi Databehandler rimelig varsel om planlagte revisjoner og slike revisjoner skal utføres innenfor alminnelig arbeidstid. Kunden skal ikke få tilgang til opplysninger om Databehandlerens øvrige kunder og opplysninger underlagt taushetsplikt.
Kunden har rett til å utføre slike revisjoner en gang i året. Dersom Kunden utpeker en ekstern revisor for å utføre revisjonene, skal slik ekstern revisor være bundet av taushetsplikt.
Kunden skal kompensere Databehandler med nåværende priser for bistand i forbindelse med revisjoner initiert av Kunden eller i forbindelse med revisjon av Kunden, med mindre revisjon avdekker vesentlig manglende overholdelse av Databehandleravtalen eller personopplysningsloven.
10. Databehandleravtalens varighet og endringer
Databehandleravtalen gjelder så lenge Databehandleren behandler Personopplysninger på vegne av Kunden.
Ved brudd på denne Databehandleravtalen eller personopplysningsloven kan Kunden pålegge Databehandleren å stoppe behandlingen av Personopplysningene med øyeblikkelig virkning.
Databehandleravtalen kan endres ved behov og enighet mellom partene, herunder ved utvidelser av oppdraget. Bestemmelser om endringer fremgår av Standard leveransevilkår for regnskapsoppdrag punkt 7.
11. Ved opphør
Ved opphør plikter Databehandleren å tilbakelevere, slette eller destruere alle Personopplysninger som er mottatt på vegne av Kunden, inkl. eventuelle sikkerhetskopier, samt skriftlig bekrefte dette innen rimelig tid, med mindre annet er fastsatt i lovgivning.
Ved slik tilbakelevering opphører Databehandlerens eventuelle plikter til arkivering og oppbevaring som måtte følge av andre avtaler mellom Partene.
Uten hensyn til det ovenstående, når Personopplysningene behandles for regnskapsmessig bruk og er en del av regnskapsmaterialet, aksepterer Kunden at Databehandleren har rett til å behandle, dvs. lagre materiale som er opprettet av regnskapsførere i forbindelse med tjenesteleveransen (såkalte revisors arbeidsnotater) i tråd med gjeldende lover og tilhørende begrensninger.
12. Endringer
Eventuelle justeringer i Databehandleravtalen kan forekomme som følge av blant annet lovendringer, sikkerhetsmessige og praktiske forhold. Kunden vil i så tilfelle bli varslet på e-post. Endringer trer i kraft umiddelbart med mindre annet er angitt i varselet, og anses akseptert av Kunden dersom eventuell dialog vedrørende endringen ikke er initiert med Databehandler senest 14 dager fra varselets dato.
Siste versjon av databehandleravtalen vil ligge på Accountor sine nettsider www.accountor.no og/eller www.accountorgroup.com.
13. Meddelelser
Meddelelser etter denne Databehandleravtalen skal sendes skriftlig til de kontaktpersoner som er identifisert i Oppdragsavtalen som Partenes representanter.
14. Ansvarsbegrensning
Databehandleren skal ikke holdes ansvarlig for tapt fortjeneste eller andre indirekte tap, inkludert tap av data. Databehandleren kan kun holdes ansvarlig for tap som er et direkte resultat av feil behandling av Personopplysninger på vegne av Kunden, men slik at Databehandleren er uten ansvar om Databehandleren dokumenterer at Databehandlerens mislighold skyldes at den har handlet i overenstemmelse med instruks fra Kunden som er i strid med Personvernlovgivningen eller denne Databehandleravtalen.
Databehandlerens samlede ansvar etter denne Databehandleravtalen skal være begrenset til 12 måneders fakturering på løpende tjenesteleveranser, med mindre annet fremkommer av Oppdragsavtalen.
15. Lovvalg og verneting
Lovvalg og verneting er regulert i Standard leveransevilkår for regnskapsoppdrag
