Databehandleravtalen
Denne avtalen (“Databehandleravtalen“) inngås som et tillegg til andre avtaler mellom Vigor Industrier AS og tredjepart, og gjelder mellom tredjepart (“Behandlingsansvarlig“) og Vigor Industrier AS (“Databehandler“) i henhold til gjeldende norsk personopplysningslovgivning, herunder EUs personvernforordningen – GDPR (EU 2016/679) (“Personvernregelverket“).
Avtalens hensikt
Databehandleravtalen regulerer Vigor Industrier AS forvaltning av personopplysninger på vegne av den Behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse, i forbindelse med utførelse av avtalte tjenester mellom partene.
Databehandleravtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller at opplysningene behandles på måter som fører til uautorisert tilgang eller tap.
Personopplysninger som Vigor Industrier AS forvalter på vegne av Behandlingsansvarlig skal ikke brukes til andre formål enn levering og administrasjon av tjenestene uten at dette på forhånd er godkjent av Behandlingsansvarlig.
Behandlingsansvarliges rolle
Behandlingsansvarlig bestemmer over bruken av personopplysningene som omfattes av denne Databehandleravtalen, og er ansvarlig for at det foreligger et lovlig behandlingsgrunnlag for personopplysningene som blir gitt Vigor Industrier AS, herunder samtykke, og at den aktuelle behandling er i overensstemmelse med Personvernregelverket.
Behandlingsansvarlig skal vurdere krav om innsyn i, retting eller sletting av personopplysninger fra den registrerte i tråd med gjeldende regler for dette.
Behandlingsansvarlig skal uten ugrunnet opphold varsle Vigor Industrier AS om forhold Behandlingsansvarlig forstår eller bør forstå kan få betydning for oppdragets/tjenestens gjennomføring.
Databehandlerens rolle
Vigor Industrier AS (Databehandler) skal behandle personopplysninger på vegne av Behandlingsansvarlig i henhold til denne Databehandleravtalen, Personvernregelverket og skriftlige instrukser fra Behandlingsansvarlig.
Vigor Industrier AS forplikter seg til å varsle Behandlingsansvarlig dersom Databehandler mottar instrukser fra Behandlingsansvarlig som er i strid med bestemmelsene i Personvernregelverket.
Vigor Industrier AS er ansvarlig for å ivareta nødvendig informasjonssikkerhet. Det innebærer å påse at ingen får uberettiget tilgang til personopplysninger, at opplysningene ikke endres utilsiktet eller at opplysningene blir utilgjengelige, slik dette er nærmere definert nedenfor i denne avtalen.
Vigor Industrier AS skal uten ugrunnet opphold videresende enhver forespørsel fra tredjeparter om innsyn i eller tilgang til personopplysningene til Behandlingsansvarlig.
Vigor Industrier AS plikter å gi Behandlingsansvarlig bistand til oppfyllelse av forpliktelser etter Personvernregelverket og tilgang til nødvendig dokumentasjon.
Disse opplysningene behandles
Formålet med behandlingen av personopplysningene er å tilgjengeliggjøre tjenestene (funksjonaliteten) som inngår i tjenestene for brukerne hos Behandlingsansvarlig.
Følgende personopplysninger behandles i forbindelse med dialog med Vigor Industrier AS:
- Navn
- Adresse
- E-postadresse
- Mobiltelefonnummer
- Personlig dokumentasjon (CV el.l)
Hva omfattes av avtalen
Personopplysningene brukes til korrespondanse, utarbeidelse av tilbud, produksjonsplaner o.l. og kun øvrig nødvendig bruk for leveranse ihht inngåtte avtaler mellom behandlingsansvarlig og databehandler.
Taushetsplikt
Det er kun autoriserte fast ansatte underlagt taushetserklæringer som håndterer personopplysninger i Vigor Industrier AS. Alle personopplysninger behandles som konfidensiell informasjon og benyttes ikke til Vigor Industrier AS egne formål, med de unntak som er nevnt over. Vigor Industrier AS plikter å dokumentere retningslinjer og rutiner for tilgangsstyring, herunder sørge for at egne ansatte undertegner en taushetserklæring. Dokumentasjonen skal være tilgjengelig for Behandlingsansvarlig på forespørsel. Ansattes taushetsplikt om personopplysninger som vedkommende får tilgang til i henhold til denne avtalen gjelder også etter avtalens og arbeidsforholdets opphør.
Beskyttelse av personopplysninger
Databehandler plikter å arbeide systematisk med informasjonssikkerhet for å sikre konfidensialitet, integritet og tilgjengelighet knyttet til Kundens data, herunder personopplysninger.
Data på Vigor Industrier AS driftsmaskiner lagres hos sertifiserte norske underleverandører som oppfyller kravene til GDPR. Dokumenter og e-poster lagres i Microsofts Office365-skyløsning.
Vigor Industrier AS skal oppfylle de krav til sikkerhet ved behandlingen som stilles etter Personvernforordningen artikkel 32. Vigor Industrier AS skal etablere og holde ved like slike sikkerhetstiltak som risikovurderinger har avdekket behov for, og skal dokumentere rutiner, opplæring og andre tiltak for å oppfylle disse kravene. Vigor Industrier AS skal også bistå Behandlingsansvarlig med å sikre overholdelse av forpliktelsene etter Personvernforordningen artikkel 32 – 36.
Vigor Industrier AS skal jevnlig gjennomføre og dokumentere sikkerhetsrevisjoner av informasjonssikkerheten for systemer som omfattes av denne Databehandleravtalen.
Vigor Industrier AS skal uten ugrunnet opphold varsle Behandlingsansvarlig dersom personopplysninger som forvaltes på vegne av Behandlingsansvarlig utsettes for sikkerhetsbrudd som innebærer risiko for krenkelser av de registrertes personvern. Varsel skal beskrive omfang av sikkerhetsbrudd, berørte registrerte og tiltak. Behandlingsansvarlig er ansvarlig for at varsler om sikkerhetsbrudd fra Vigor Industrier AS blir videreformidlet til Datatilsynet og eventuelle berørte registrerte.
Overføring av personvernopplysninger
Det utleveres ingen strukturerte personopplysninger/registre fra MALEJO AS AS til eksterne parter.
Tilbakeføring og sletting av personvernopplysninger
Ved opphør av denne avtalen plikter Vigor Industrier AS å tilbakelevere alle Kundes data, herunder personopplysninger, som forvaltes på vegne av Behandlingsansvarlig. Alle data overføres til Behandlingsansvarlig i et egnet format mot avtalt godtgjørelse eller slettes.
Andre punkter
Databehandleravtalen gjelder så lenge Vigor Industrier AS behandler personopplysninger på vegne av Behandlingsansvarlig.
Ved brudd på denne avtale eller personopplysningsloven kan Behandlingsansvarlig pålegge Vigor Industrier AS å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning. Vigor Industrier AS er kun erstatningsansvarlig overfor Behandlingsansvarlig for direkte økonomiske tap som skyldes Vigor Industrier AS mislighold av vilkårene i denne avtalen, oppad begrenset til det enkelte oppdrags verdi.
Vigor Industrier AS forbeholder seg retten til å oppdatere og endre Databehandleravtalen ved publisering på våre nettsider. Kunden skal varsles om vesentlige endringer senest 30 dager før de trer i kraft.
All bistand til Behandlingsansvarlig fra Vigor Industrier AS utført i forbindelse med denne avtalen belastes Behandlingsansvarlig i henhold til Databehandlers ordinære betingelser, uavhengig av hvem som har bedt om bistand. Det samme gjelder kostnader og utlegg som er pådratt i forbindelse med utførelse av bistanden.
Alle henvendelser vedrørende denne avtalen skal sendes skriftlig til:
Behandlingsansvarlig:
Daglig leder eller administrator/personvernansvarlig særskilt utpekt av tredjepart
Databehandler:
Daglig leder i Vigor Industrier AS
Databehandleravtalen er underlagt norsk rett og partene vedtar Trondheim tingrett som verneting.
Ved spørsmål:
Rune Staveli Kvernland // Daglig leder // + 47 920 80 555// rsk@vigorindustrier.no