Databehandleravtale

Standard avtalevilkår

i henhold til artikkel 28 nummer 3, i Europaparlamentets og Rådets forordning 2016/679 (personvernforordningen) med henblikk på databehandlerens behandling av personopplysninger

mellom

Sky Group AS

Org.nr. 922 660 182

GRANITTVEGEN 4

7509 STJØRDAL

NORGE

heretter «den behandlingsansvarlige»

og

Org.nr. [ORGANISASJONSNUMMER]

heretter «databehandleren»

som hver for seg er en «part» og sammen utgjør «partene»

HAR AVTALT følgende standardavtalevilkår (Vilkårene) med henblikk på å overholde personvernforordningen og sikre beskyttelse av fysiske personers grunnleggende rettigheter og friheter

  1. Innhold

2. Innledning. 3

3. Den behandlingsansvarliges rettigheter og plikter 3

4. Databehandleren handler etter instrukser 4

5. Konfidensialitet 4

6. Sikkerhet ved behandlingen. 4

7. Bruk av underdatabehandlere. 5

8. Overføring til tredjeland eller internasjonale organisasjoner 6

9. Bistand til den behandlingsansvarlige. 7

10. Underretning om brudd på personopplysningssikkerheten. 8

11. Sletting og returnering av opplysninger 9

12. Revisjon, herunder inspeksjon. 9

13. Partenes avtale om andre forhold. 10

14. Ikrafttredelse og opphør 10

15. Kontaktpersoner hos den behandlingsansvarlige og databehandleren. 10

Vedlegg A     Opplysninger om behandlingen. 12

Vedlegg B     Underdatabehandlere. 13

Vedlegg C     Instruks for behandling av personopplysninger 14

Vedlegg D     Partenes regulering av andre forhold. 23

1. Innledning

  1. Disse Vilkårene fastsetter den behandlingsansvarlige og databehandlerens rettigheter og plikter når databehandleren utfører behandling av personopplysninger på vegne av den behandlingsansvarlige.
  2. Disse Vilkårene er utformet med for å sikre partenes etterlevelse av artikkel 28 nummer 3 i Europaparlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (personvernforordningen).
  3. I forbindelse med leveringen av tjenesten Snapper behandler databehandleren personopplysninger på vegne av den behandlingsansvarlige i overensstemmelse med disse Vilkårene.
  4. Vilkårene har forrang i forhold til eventuelle tilsvarende bestemmelser i andre avtaler mellom partene.
  5. Det er fire vedlegg til disse Vilkårene, og vedleggene utgjør en integrert del av Vilkårene.
  6. Vedlegg A inneholder nærmere opplysninger om behandlingen av personopplysninger, herunder om behandlingens formål og art, typen av personopplysninger, kategoriene av registrerte og behandlingens varighet.
  7. Vedlegg B inneholder den behandlingsansvarliges betingelser for databehandlerens bruk av underdatabehandlere og en liste over underdatabehandlere som den behandlingsansvarlige har godkjent.
  8. Vedlegg C inneholder den behandlingsansvarliges instruks når det gjelder databehandlerens behandling av personopplysninger, en beskrivelse av de sikkerhetstiltakene som databehandleren som minimum skal gjennomføre, og hvordan revisjoner av databehandleren og eventuelle underdatabehandlere skal utføres.
  9. Vedlegg D inneholder bestemmelser om andre aktiviteter som ikke er omfattet av Vilkårene.
  10. Vilkårene med tilhørende vedlegg skal oppbevares skriftlig, herunder elektronisk, av begge parter.
  11. Disse Vilkårene fritar ikke databehandleren fra plikter som databehandleren er pålagt etter personvernforordningen eller annen lovgivning.

2. Den behandlingsansvarliges rettigheter og plikter

  1. Den behandlingsansvarlige er ansvarlig for å sikre at behandlingen av personopplysninger skjer i overensstemmelse med personvernforordningen (se personvernforordningen artikkel 24), gjeldende personopplysningsvernbestemmelser i unionsretten eller medlemsstatenes[1] nasjonale rett og disse Vilkårene.

  2. Den behandlingsansvarlige har rett og plikt til å bestemme formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes.

  3. Den behandlingsansvarlige er ansvarlig for, blant annet, å sikre at det foreligger et behandlingsgrunnlag for behandlingen av personopplysninger som databehandleren instrueres om å gjøre.

3. Databehandleren handler etter instrukser

  1. Databehandleren skal bare behandle personopplysninger etter dokumenterte instrukser fra den behandlingsansvarlige, med mindre noe annet kreves av unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt. Disse instruksene skal være spesifisert i vedlegg A og C. Etterfølgende instrukser kan også gis av den behandlingsansvarlige mens det skjer behandling av personopplysninger, men instruksene skal alltid være dokumenterte og oppbevares skriftlig, herunder elektronisk, sammen med disse Vilkårene.
  2. Databehandleren skal omgående underrette den behandlingsansvarlige dersom en instruks fra den behandlingsansvarlige, etter databehandlerens mening, er i strid med personvernforordningen eller gjeldende personopplysningsvernbestemmelser i unionsretten eller medlemsstatenes nasjonale rett.

4. Konfidensialitet

  1. Databehandleren kan bare gi tilgang til personopplysninger som behandles på den behandlingsansvarliges vegne til personer underlagt databehandlerens instruksjonsmyndighet som har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt, og bare i det nødvendige omfang. Listen av personer som har fått tilgang skal gjennomgås fortløpende. På bakgrunn av en slik gjennomgang kan tilgangen til personopplysninger stenges, dersom den ikke lenger er nødvendig, og personopplysningene skal deretter ikke lenger være tilgjengelig for disse personene.
  2. Databehandleren skal etter anmodning fra den behandlingsansvarlige kunne påvise at de aktuelle personene underlagt databehandlerens instruksjonsmyndighet er underlagt ovennevnte taushetsplikt.

5. Sikkerhet ved behandlingen

  1. Personvernforordningen artikkel 32 fastslår at, idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen. Den behandlingsansvarlige skal vurdere risikoene for fysiske personers rettigheter og friheter som behandlingen utgjør og gjennomføre tiltak for å imøtegå disse risikoene. Avhengig av relevans kan tiltakene omfatte:

a, pseudonymisering og kryptering av personopplysninger

b, evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene

c, evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse

d, en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er.

2. Ifølge personvernforordningen artikkel 32 skal databehandleren – uavhengig av den behandlingsansvarlige – også vurdere risikoene for fysiske personers rettigheter og friheter som behandlingen utgjør, og gjennomføre tiltak for å imøtegå risikoene. Med henblikk på denne vurderingen skal den behandlingsansvarlige stille den nødvendige informasjonen til rådighet for databehandleren som gjør vedkommende i stand til å identifisere og vurdere slike risikoer.

3. Databehandleren skal også bistå den behandlingsansvarlige med å overholde den behandlingsansvarliges plikter etter personvernforordningen artikkel 32, ved blant annet å stille til den behandlingsansvarliges rådighet nødvendig informasjon om de tekniske og organisatoriske sikkerhetstiltakene som databehandleren allerede har gjennomført i henhold til personvernforordningen artikkel 32, samt all annen informasjon som er nødvendig for at den behandlingsansvarlige skal kunne overholde sine plikter etter personvernforordningen artikkel 32.

Hvis imøtegåelse av de identifiserte risikoene – etter den behandlingsansvarliges vurdering – krever at det gjennomføres ytterligere tiltak enn det databehandleren allerede har gjennomført, skal den behandlingsansvarlige angi disse tiltakene i vedlegg C.

6. Bruk av underdatabehandlere

  1. Databehandleren skal oppfylle betingelsene som er fastsatt i personvernforordningen artikkel 28 nummer 2 og nummer 4 for å gjøre bruk av en annen databehandler (en underdatabehandler).
  2. Databehandleren må således ikke bruke en underdatabehandler for å oppfylle Vilkårene uten på forhånd å ha innhentet en generell skriftlig godkjennelse fra den behandlingsansvarlige.
  3. Databehandleren har den behandlingsansvarliges generelle godkjennelse til å benytte underdatabehandlere. Databehandleren skal skriftlig underrette den behandlingsansvarlige om eventuelle planlagte endringer som gjelder tilføyelse eller utskiftning av underdatabehandlere med minst 30 dagers varsel og dermed gi den behandlingsansvarlige mulighet til å motsette seg slike endringer før den eller de beskrevne underdatabehandler(e) engasjeres. Lengre varslingsfrister for spesifikke underdatabehandlertjenester kan angis i vedlegg B. Listen over underdatabehandlere som den behandlingsansvarlige allerede har godkjent fremgår av vedlegg B.
  4. Når databehandleren engasjerer en underdatabehandler for å utføre spesifikke behandlingsaktiviteter på vegne av den behandlingsansvarlige, skal underleverandøren pålegges de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i disse Vilkårene, ved hjelp av en avtale eller et annet rettslig dokument i henhold til unionsretten eller medlemsstatenes nasjonale rett, der det særlig gis tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning. Databehandleren er derfor ansvarlig for å kreve at underdatabehandleren som minimum overholder databehandlerens forpliktelser etter disse Vilkårene og personvernforordninge
  5. En kopi av slik underdatabehandleravtale og eventuelle etterfølgende endringer skal – ved den behandlingsansvarliges anmodning – sendes til den behandlingsansvarlige, som på denne måten har mulighet for å sørge for at underdatabehandleren er pålagt de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i disse Vilkårene. Kommersielle bestemmelser som ikke påvirker det personopplysningsvernrettslige innholdet av underdatabehandleravtalen, er ikke underlagt kravet om kopi til den behandlingsansvarlige.
  6. Databehandleren skal i underdatabehandleravtalen inkludere den behandlingsansvarlige som begunstiget tredjepart i tilfelle databehandleren går konkurs, slik at den behandlingsansvarlige kan tre inn i databehandlerens rettigheter og gjøre dem gjeldende overfor underdatabehandler, hvilket for eksempel setter den behandlingsansvarlige i stand til å instruere underdatabehandleren om å slette eller tilbakeføre personopplysningene.
  7. Hvis databehandleren ikke oppfyller sine personopplysningsvernforpliktelser blir databehandleren fullt ut ansvarlig overfor den behandlingsansvarlige når det gjelder oppfyllelse av underdatabehandlerens forpliktelser. Dette påvirker ikke de registrertes rettigheter etter personvernforordningen – særlig de nedfestet i personvernforordningen artikkel 79 og 82 – overfor den behandlingsansvarlige og databehandleren, herunder underdatabehandleren.

7. Overføring til tredjeland eller internasjonale organisasjoner

  1. Databehandleren kan kun overføre personopplysninger til tredjeland eller internasjonale organisasjoner etter dokumentert instruks fra den behandlingsansvarlige, og slik overføring skal alltid skje i overensstemmelse med personvernforordningen kapittel V.
  2. Hvis overføring av personopplysninger til tredjeland eller internasjonale organisasjoner, som databehandleren ikke er blitt instruert av den behandlingsansvarlige om å gjennomføre, kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt, skal databehandleren underrette den behandlingsansvarlige om nevnte rettslige krav før behandlingen, med mindre denne rett av hensyn til viktige allmenne interesser forbyr en slik underretning.
  3. Uten dokumentert instruks fra den behandlingsansvarlige kan databehandleren innenfor rammene av disse Vilkårene således ikke:

a, overføre personopplysninger til en behandlingsansvarlig eller databehandler i et tredjeland eller en internasjonal organisasjon

b, overlate behandling av personopplysninger til en underdatabehandler i et tredjeland

c, behandle personopplysningene i et tredjeland

4. Den behandlingsansvarliges instruks når det gjelder overføring av personopplysninger til et tredjeland, herunder det eventuelle overføringsgrunnlaget i personvernforordningen kapittel V som overføringen er basert på, skal angis i vedlegg C.6.

5. Disse Vilkårene skal ikke forveksles med standard personvernbestemmelser som omhandlet i personvernforordningen artikkel 46 nummer 2 bokstav c og d, og disse Vilkårene kan ikke utgjøre et grunnlag for overføring av personopplysninger under personvernforordningen kapittel V.

8. Bistand til den behandlingsansvarlige

  1. Databehandleren bistår, idet det tas hensyn til behandlingens art og i den grad det er mulig, ved hjelp av egnede tekniske og organisatoriske tiltak, den behandlingsansvarlige med å oppfylle vedkommendes plikt til å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i personvernforordningen kapittel III.

Dette innebærer at databehandleren så langt det er mulig skal bistå den behandlingsansvarlige i den behandlingsansvarlige oppfyllelse av:

  • opplysningsplikten ved innsamling av personopplysninger fra den registrerte
  • opplysningsplikten dersom personopplysninger ikke er blitt samlet inn fra den registrerte
    den registrertes rett til innsyn
  • retten til retting
  • retten til sletting («retten til å bli glemt»)
  • retten til begrensning av behandling
  • underretningsplikten i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandling
  • retten til dataportabilitet
  • retten til å protestere
  • retten til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisk behandling, herunder profilering

2. I tillegg til databehandlerens forpliktelse til å bistå den behandlingsansvarlige i henhold til Vilkårene 6.3., bistår databehandleren også, idet det tas hensyn til behandlingens art og den informasjonen som er tilgjengelig for databehandleren, den behandlingsansvarlige med:

a, den behandlingsansvarliges forpliktelse ved brudd på personopplysningssikkerheten til uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde bruddet på personopplysningssikkerheten til den kompetente tilsynsmyndigheten, datatilsynet, med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter

b, den behandlingsansvarliges forpliktelse til uten ugrunnet opphold å underrette den registrerte om bruddet på personopplysningssikkerheten når det er sannsynlig at bruddet vil medføre en høy risiko for fysiske personers rettigheter og friheter

c, den behandlingsansvarliges forpliktelse til før behandlingen å foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet (vurdering av personvernkonsekvenser)

d, den behandlingsansvarliges forpliktelse til å rådføre seg med den kompetente tilsynsmyndigheten, datatilsynet, før behandlingen dersom en vurdering av personvernkonsekvenser tilsier at behandlingen vil medføre en høy risiko dersom den behandlingsansvarlige ikke treffer tiltak for å redusere risikoen.

3. Partene skal i vedlegg C oppgi de egnede tekniske og organisatoriske tiltakene gjennom hvilke databehandleren skal bistå den behandlingsansvarlige, samt omfanget og utstrekningen av den påkrevde bistanden. Dette gjelder for forpliktelsene som følger av Vilkårene 9.1. og 9.2.

9. Underretning om brudd på personopplysningssikkerheten

  1. Ved brudd på personopplysningssikkerheten skal databehandleren underrette den behandlingsansvarlige om bruddet uten ugrunnet opphold etter å ha fått kjennskap til det.
  2. Databehandlerens underretning til den behandlingsansvarlige skal om mulig skje innen 72 timer etter at databehandleren har fått kjennskap til bruddet på personopplysningssikkerheten, slik at den behandlingsansvarlige kan overholde sin forpliktelse til å melde bruddet til den kompetente tilsynsmyndigheten, jf. personvernforordningen artikkel 33.
  3. I overensstemmelse med Vilkår 9 nummer 2 bokstav a skal databehandleren bistå den behandlingsansvarlige med å melde bruddet til den kompetente tilsynsmyndigheten. Det innebærer at databehandleren skal bistå med å fremskaffe informasjon listet opp nedenfor, som ifølge personvernforordningen artikkel 33 nummer 3 skal fremgå av den behandlingsansvarliges melding av bruddet til den kompetente tilsynsmyndigheten:

a, arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt

b, de sannsynlige konsekvenser av bruddet på personopplysningssikkerheten

c, de tiltak som den behandlingsansvarlige har truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.

4. Partene skal i vedlegg C oppgi all informasjon som databehandleren skal fremskaffe når vedkommende bistår den behandlingsansvarlige med å melde brudd på personopplysningssikkerheten til den kompetente tilsynsmyndigheten.

10. Sletting og returnering av opplysninger

  1. Ved opphør av databehandlertjenestene skal databehandleren slette alle personopplysninger som er blitt behandlet på vegne av den behandlingsansvarlige og bekrefte overfor den behandlingsansvarlige at opplysningene er slettet, med mindre unionsretten eller medlemsstatenes nasjonale rett krever oppbevaring av personopplysningene.

11. Revisjon, herunder inspeksjon

  1. Databehandleren skal stille til den behandlingsansvarliges disposisjon all informasjon som er nødvendig for å påvise etterlevelse av forpliktelsene etter personvernforordningen artikkel 28 og disse Vilkårene. Videre skal databehandleren muliggjøre og bidra til revisjoner, herunder inspeksjoner, som utføres av den behandlingsansvarlige eller en annen revisor som er bemyndiget av den behandlingsansvarlige.
  2. Prosedyrene for den behandlingsansvarliges revisjoner, herunder inspeksjoner, av databehandleren og underdatabehandlere er spesifisert i vedlegg C.7 og C.8.
  3. Databehandleren forplikter seg til å gi tilsynsmyndighetene, som etter gjeldende lovgivning har tilgang til den behandlingsansvarliges eller databehandlerens lokaler, eller representanter som opptrer på slike tilsynsmyndigheters vegne, adgang til databehandlerens fysiske lokaler ved presentasjon av behørig legitimasjon.

12. Partenes avtale om andre forhold

  1. Partene kan avtale andre bestemmelser som gjelder databehandlertjenestene, f.eks. erstatningsansvar, så lenge disse andre bestemmelsene ikke direkte eller indirekte strider mot disse Vilkårene eller er til skade for den registrertes grunnleggende rettigheter og friheter og beskyttelsen som følger av personvernforordningen.

13. Ikrafttredelse og opphør

  1. Vilkårene trer i kraft på datoen for begge partenes underskrift.
  2. Begge partene kan kreve Vilkårene reforhandlet dersom lovendringer eller uhensiktsmessigheter i Vilkårene gir grunn til dette.
  3. Vilkårene gjelder så lenge databehandlertjenestene varer. I denne perioden kan Vilkårene ikke sies opp, med mindre partene avtaler andre vilkår som regulerer levering av databehandlertjenestene.
  4. Hvis leveringen av databehandlertjenestene opphører, og personopplysningene er slettet eller returnert til den behandlingsansvarlige i overensstemmelse med Vilkårene 11.1 og vedlegg C.4, kan Vilkårene sies opp med skriftlig varsel av begge partene.
  5. Underskrift

På vegne av den behandlingsansvarlige

Navn                   

Stilling                

Telefonnummer

E-postadresse   

Dato                    

Underskrift         

På vegne av databehandleren

Navn                   

Stilling                

Telefonnummer

E-postadresse   

Dato                    

Underskrift 

        

14. Kontaktpersoner hos den behandlingsansvarlige og databehandleren

  1. Partene kan kontakte hverandre via nedenstående kontaktpersoner.
  2. Partene forplikter seg til å orientere hverandre løpende om endringer som gjelder kontaktpersoner.

Navn                   

Stilling                

Telefonnummer

E-postadresse   

Navn                    HEIDI ALICE VENNEVIK

Stilling                 PERSONVERNOMBUD

Telefonnummer 0047 466 966 98

E-postadresse    alice@skygroup.no

Vedlegg A     

Opplysninger om behandlingen

A.1. Formålet med databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige er:

Formålet med behandlingen er å benytte Snapper som tjeneste for å finne aktuelle kandidater til ansettelse i ledig stilling. Databehandler logger inn på Snapper sin tjeneste og får tilgang til innsyn i jobb-kandidatenes informasjon som kandidaten selv har lagt ut med formål om å motta jobbtilbud. Databehandler benytter tjenesten for å få tilgang på jobbprofiler som databehandler igjen kan ta kontakt med for å sette i gang en rekrutteringsprosess.

På det tidspunktet som denne avtalen signeres er Tjenesten under utvikling av Sky Group. Sky Group vil utvikle Tjenesten og vurdere etter eget skjønn hvorvidt og hvordan Tjenesten vil bli tilbudt i fremtiden, og denne avtalen gir ingen garanti eller rett for Behandlingsansvarlig med hensyn til tilgang til Tjenesten i fremtiden. Sky Group kan avslutte Tjenesten på kort varsel. Ettersom personopplysninger vil bli behandlet er partene enige om at det er på krevd og nødvendig å inngå en databehandleravtale også i denne fasen. Hensikten er å sikre tilfredsstillende beskyttelse av de registrertes personvern og grunnleggende rettigheter og friheter.

A.2. Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige skal primært dreier seg om (behandlingens art):

. Databehandler skal kun benytte dataen med formål om å finne jobbsøkere som er aktuelle for ledige stillinger enten internt hos databehandler eller dersom et rekruttering/bemanningsselskap hos sine kunder.

A.3. Behandlingen omfatter følgende typer av personopplysninger om de registrerte:

Navn, e-postadresse, telefonnummer, adresse, fødselsnummer, videopresentasjon, bilde, CV, attester og sertifikater

A.4. Behandlingen omfatter følgende kategorier av registrerte:

Personoppysninger ingen særskilt kategori

A.5. Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige kan begynne etter at Vilkårene har trådt i kraft. Behandlingen har følgende varighet:

Databehandler signerer en løpende avtale som gir tilgang på data i Snapper inntil avtalen avsluttes fra en av partene ved skriftlig oppsigelse. Databehandler vil miste tilgang på data hos kandidater som av ulike årsaker velger å slette sin profil på Snapper.

Vedlegg B     

Underdatabehandlere

B.1. Godkjente underdatabehandlere

Kunde bekrefter ved å signere denne databehandleravtalen at kunde er pliktig til å informere Sky Group om underleverandører dersom aktuelt. Skjema med underleverandører oversendes Sky Group umiddelbart når kunde tar i bruk underleverandør eller ved signering av denne avtalen. Epost som skal benytts for rapportering: kontakt@skygroup.no

Ved Vilkårenes ikrafttredelse godkjenner den behandlingsansvarlige bruken av følgende underdatabehandlere:

NAVNORG. NR.ADRESSEBESKRIVELSE AV BEHANDLINGEN
    
    
    
    

Ved Vilkårenes ikrafttredelse har den behandlingsansvarlige godkjent bruken av ovennevnte underdatabehandlere for den behandlingsaktiviteten som er beskrevet for vedkommende. Databehandleren kan ikke – uten den behandlingsansvarliges eksplisitte skriftlige godkjennelse – benytte en underdatabehandler til en annen behandlingsaktivitet enn den som er avtalt for vedkommende eller bruke en annen underdatabehandler til den beskrevne behandlingsaktiviteten.

B.2. Varsel for godkjennelse av underdatabehandlere

Databehandler kan kun benytte underleverandører til deler av behandlingen i henhold til artikkel 28 avsnitt 2 og 4 i GDPR. Forhåndsgodkjente underleverandører er beskrevet i vedlegg B. Databehandler kan legge til, fjerne eller erstatte underleverandører, men skal informere Behandlingsansvarlig om slike endringer minst 14 dager før endringen er planlagt å tre i kraft. Dersom Behandlingsansvarlig er uenig i endringen kan Behandlingsansvarlig si opp databehandleravtalen fra den datoen endringen er planlagt å tre i kraft. Informasjon om en slik uenighet og oppsigelse skal gis innen 7 dager etter mottak av beskjed om endring.

Vedlegg C     

Instruks for behandling av personopplysninger

C.1. Behandlingens gjenstand/instruks for behandlingen

Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige skjer ved at databehandleren utfører følgende:

Databehandler vil på eget initiativ søke igjennom registrerte kandidater inne i Snapper. Behandlingen skjer ved at man gjør søk inne i Snapper på ulike taxonomier og får innsyn i jobbprofiler. Ved mach mellom kandidat og ledig stilling vil databehandler kunne ta direkte kontakt med kandidater som har en åpen jobbprofil i Snapper. Kandidater som har registrert seg med en anonym jobbprofil må først bli spurt, for så å akseptere databehandlers ønske om innsyn i egen jobbprofil.

Databehandler skal implementere og vedlikeholde tilfredsstillende tekniske og organisatoriske sikkerhetstiltak for å beskytte personopplysninger mot utilsiktet eller ulovlig ødeleggelse eller utilsiktet tap, endring, uautorisert publisering eller tilgang. Disse tiltakene skal sørge for en grad av sikkerhet som er egnet i forhold til risikoene behandlingen medfører, og i forhold til hva slags personopplysninger som skal beskyttes, hensyntatt også den tekniske utviklingen og gjennomføringskostnadene.

Tilgang til personopplysningene skal begrenses, og databehandler skal sørge for at medarbeiderne som har tilgang til personopplysninger har forpliktet seg til å behandle opplysningene konMidensielt. KonMidensialitetsforpliktelsene skal fortsette å gjelde også etter at medarbeiderens ansettelse/engasjement er avsluttet, og etter at denne Databehandleravtalen er avsluttet.

Databehandler skal kontrollere sine sikkerhetsrutiner regelmessig. Behandlingsansvarlig kan kreve tilgang til dokumentasjon om resultatene av slike kontroller en gang hver 12. måned.

C.2. Informasjonssikkerhet

Behandlingen omfatter ikke data som er omfattet av personvernforordningen artikkel 9 om særlig kategorier av personopplysninger». Derav er de ikke etablert tiltak for «høyt» sikkerhetsnivå.

Databehandleren har heretter rett og plikt til å treffe beslutninger om hvilke tekniske og organisatoriske sikkerhetstiltak som skal gjennomføres for å etablere det nødvendige (og avtalte) sikkerhetsnivået.

Databehandleren skal likevel – under enhver omstendighet og som minimum – gjennomføre følgende tiltak, som er avtalt med den behandlingsansvarlige:

Krav til pseudonymisering og kryptering:

Snapper har ingen pseudonymisering eller kryptering av personopplysninger utenom innloggingsdetaljer. Som bruker av Snapper blir man tildelt roller. Hva hver enkelt har tilgang til i Snapper er avhengig av vedkommende sin tildelte rolle. Disse rollene er vedlagt en bruker, og innloggingsdetaljer til brukeren er delvis kryptert. Databehandler plikter å ikke gi tilgang til roller til andre enn de som er tiltenkt brukertilgang og som er omfattet av denne databehandleravtalen. Brukere av Snapper sine roller er nedfelt i egen avtale mellom databehandler og behandlingsansvarlig. En avtale som også inkluderer gjeldende vilkår for bruk av tjenesten.

Krav til sikring av konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemer og -tjenester:

All kommunikasjon utført via tilkobling til Snapper er fra databehandlers side sikret med SSL (TLS 1.3, X25519, AES 256 GCM). Innloggingsdetaljer utenom brukernavn er kryptert med Salt+Hash+MD5. Engangshandlinger er utført med NONCES (Engangskode) for å beskytte mot Cross-Site Request Forgeries (CSRFs) angrep.

Databehandler skal implementere og vedlikeholde tilfredsstillende tekniske og organisatoriske sikkerhetstiltak for å beskytte personopplysninger mot utilsiktet eller ulovlig ødeleggelse eller utilsiktet tap, endring, uautorisert publisering eller tilgang. Disse tiltakene skal sørge for en grad av sikkerhet som er egnet i forhold til risikoene behandlingen medfører, og i forhold til hva slags personopplysninger som skal beskyttes, hensyntatt også den tekniske utviklingen og gjennomføringskostnadene. Tilgang til personopplysningene skal begrenses, og databehandler skal sørge for at medarbeiderne som har tilgang til personopplysninger har forpliktet seg til å behandle opplysningene konfidensielt. Konfidensialitetsforpliktelsene skal fortsette å gjelde også etter at medarbeiderens ansettelse/engasjement er avsluttet, og etter at denne Databehandleravtalen er avsluttet.

Databehandler skal kontrollere sine sikkerhetsrutiner regelmessig. Behandlingsansvarlig kan kreve tilgang til dokumentasjon om resultatene av slike kontroller en gang hver 12. måned.

Dersom Databehandler eller underleverandører behandler personopplysninger i strid med denne Avtalen eller gjeldende personopplysningslov, slik at det fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet (et “brudd på personopplysningssikkerheten”), skal Behandlingsansvarlig få skriftlig varsel om det.

C.3 Bistand til den behandlingsansvarlige

Databehandleren skal i den grad det er mulig – i det nedenfor beskrevne omfang og utstrekning – bistå den behandlingsansvarlige i samsvar med Vilkårene 9.1 og 9.2 ved å gjennomføre følgende tekniske og organisatoriske tiltak:

Behandlingsansvarlig er ansvarlig for å varsle relevante tilsynsmyndigheter om brudd på personopplysningssikkerheten dersom det er påkrevet.

Databehandler skal varsle Behandlingsansvarlig om forespørsler fra en tilsynsmyndighet som ber om informasjon om personopplysninger omfattet av denne Databehandleravtalen så fremt det ikke er forbudt, slik som lovpålagt forbud for å holde en etterforskning konfidensiell.

C.4 Oppbevaringsperiode/sletteprosedyrer

Ved avtalens opphør kan Behandlingsansvarlig be om at Databehandler og enhver underleverandør returnerer eller tilintetgjør alle personopplysninger mottatt eller innsamlet i forbindelse med denne avtalen, og be Databehandler bekrefte ovenfor Behandlingsansvarlig at det er gjort, med mindre Databehandler eller underleverandører er hindret fra å slette opplysningene på grunnlag av lovkrav. I så tilfelle skal Databehandler oppbevare personopplysningene sikkert, og ikke aktivt behandle personopplysningene videre. Alle personopplysninger vil bli slettet etter 12 måneder fra avtale er inngå tt, om kontoen ikke har vært aktiv. For å unngå tvil, opphør av denne databehandleravtalen hindrer ikke Databehandler og enhver underleverandør i å fortsette å benytte anonymiserte data til analyse, statistikk eller andre formål.

C.5 Lokasjon for behandling

Behandling av personopplysninger som omfattes av Vilkårene kan ikke, uten den behandlingsansvarliges skriftlige forhåndsgodkjennelse, finne sted på andre lokasjoner enn hva som er avtalt i denne avtalen eller i andre avtaler mellom databehandler og behandlingsansvarlig.

C.6 Instruks for overføring av personopplysninger til tredjeland

Hvis ikke den behandlingsansvarlige i Vilkårene eller etterfølgende gir en dokumentert instruks som gjelder overføring av personopplysninger til et tredjeland eller internasjonal organisasjon, kan ikke databehandleren, innen rammene av Vilkårene, gjennomføre slike overføringer.

Enhver overføring av personopplysninger som Databehandler gjør fra et EØS-land til et land utenfor EØS skal oppfylle kravene i gjeldende personopplysningslov. Dersom en underleverandør er etablert eller på annen måte behandler personopplysninger utenfor EØS og det er nødvendig å sikre overføringsgrunnlag ved bruk av Standard kontraktsklausuler, gir Behandlingsansvarlig Databehandler myndighet til å inngå Standard kontraktsklausuler med en slik underleverandør i navnet til, og på vegne av, Behandlingsansvarlig, så fremt en slik avtale inneholder klausulene i uendret form. Behandlingsansvarlig skal, hvis påkrevd, være ansvarlig for å varsle, eller innhente godkjenning fra, tilsynsmyndigheter angående bruk av slike klausuler.

C.7 Prosedyrer for den behandlingsansvarliges revisjoner, herunder inspeksjoner, av behandlingen av personopplysninger som er overlatt til databehandleren

Behandlingsansvarlig kan be Databehandleren ved behov om en årlig revisjonsrapport for behandlingsansvarliges egen regning. Revisjonsrapport gjøres i så fall av en uavhengig tredjepart og gjelder databehandlerens overholdelse av personvernforordningen, gjeldende bestemmelser om vern av personopplysninger i unionsretten eller medlemsstatenes nasjonale rett og vilkårene.

Revisjonsrapport oversendes uten ugrunnet opphold til den behandlingsansvarlige til orientering. Den behandlingsansvarlige kan bestride omfanget av og/eller metoden i rapporten og kan i slike tilfeller kreve en ny revisjon/inspeksjon med annet omfang og/eller med en annen metode.

Basert på resultatene av revisjonen/inspeksjonen kan den behandlingsansvarlige kreve at det gjennomføres ytterligere tiltak for å sikre at personvernforordningen, gjeldende bestemmelser om vern av personopplysninger i unionsretten eller medlemsstatenes nasjonale rett og Vilkårene blir overholdt.

Den behandlingsansvarlige eller den behandlingsansvarliges representant skal ha adgang til å inspisere, herunder inspisere fysisk, stedene hvor databehandleren foretar behandling av personopplysninger, herunder fysiske lokaler samt systemer som benyttes til og relatert til behandlingen. Slike inspeksjoner kan gjennomføres når den behandlingsansvarlige finner det nødvendig.»

Vedlegg D     

Partenes regulering av andre forhold

[1] Henvisninger til «medlemsstater» i disse Vilkårene skal forstås som en henvisning til stater som er del av det europeiske økonomiske samarbeidsområdet (EØS-stater).