Databehandleravtale

Kontaktinformasjon Profråd AS
Navn: Christian Grytnes
Tittel: Daglig Leder
Adresse: Rambergveien 1. 3115 Tønsberg
Telefon: 41731010
E-post: support@profraad.no

1.INNLEDNING

Dette Bilaget angir hovedprinsippene for behandling av Personopplysninger under, og utgjør en integrert del av, den eksisterende tjenesteavtalen mellom partene ("Avtalen").

Avtaledokumentet utgjør Databehandleravtalen mellom partene, og vil i det følgende omtales som "Databehandleravtalen".

2 HOVEDPRINSIPPER FOR BEHANDLING AV PERSONOPPLYSNINGER

2.1 Beskyttelse av Personopplysninger
Profråd AS tar beskyttelse og sikkerhet for Personopplysninger alvorlig, og vil behandle slike opplysninger i samsvar med gjeldende Personvernlovgivning og Avtalen. For å kunne yte tjenesten under Avtalen, vil Profråd AS behandle Personopplysninger om brukere og andre som har tilgang til tjenesten.

2.2 Personvernerklæring
For mer informasjon om hvordan Profråd AS vil behandle Personopplysninger i relasjon til Tjenesten, henvises det til Profråd AS sin personvernerklæring, som er et vedlegg til dette dokument.

3 FORMÅLET MED DATABEHANDLERAVTALEN

Formålet med Databehandleravtalen er å regulere rettigheter og plikter i henhold til gjeldende Personvernlovgivning i forbindelse med Profråd AS behandling av Personopplysninger på vegne av Behandlingsansvarlig.

Med "Personvernlovgivning" siktes det til EU-foror3dning 2016/679 ("GDPR") når denne trer i kraft, og til enhver tid gjeldende nasjonal lovgivning relatert til personvern i det land Behandlingsansvarlig er etablert, herunder lovgivning som implementerer eller supplerer GDPR.

Med "Personopplysninger" menes enhver opplysning om en identifisert eller identifiserbar fysisk person (de "Registrerte").

Databehandleravtalen skal sikre at Personopplysninger behandles i samsvar med Personvernlovgivning og ikke benyttes på en lovstridig måte eller at uautoriserte parter får tilgang til Personopplysningene.

4 OMFANGET AV BEHANDLINGEN

4.1 Generelt
Behandlingsansvarlig bestemmer formålet med behandlingen og hvilke hjelpemidler som skal benyttes.

Profråd AS, dennes Underleverandører og andre som på vegne av Profråd AS utfører oppdrag og har tilgang til Personopplysningene, skal behandle Personopplysningene kun på vegne av Behandlingsansvarlig og i henhold til Avtalen og Behandlingsansvarliges skriftlige instrukser, samt i henhold til denne Databehandleravtalen, med mindre noe annet fremgår i gjeldende lovgivning.

Profråd AS skal omgående underrette Behandlingsansvarlig dersom Profråd AS mener at en instruks er i strid med Personvernlovgivningen.

4.2 Omfanget av behandlingen
Databehandleravtalen gjelder Profråd AS behandling av Personopplysninger på vegne av Behandlingsansvarlig i forbindelse med Profråd AS leveranse av tjenesten, som nærmere beskrevet i Avtalen.

4.3 Formålet med behandlingen
Karakteren og formålet med behandlingen er knyttet til levering av tjenesten, som nærmere beskrevet i Avtalen.

4.4 Kategorier av Personopplysninger og Registrerte
Behandlingen innebærer behandling av Personopplysninger om Behandlingsansvarliges sluttbrukere, kunder eller ansatte, avhengig av den Behandlingsansvarliges bruk av tjenesten.

Behandlingen omfatter følgende kategorier av Personopplysninger, avhengig av den Behandlingsansvarliges konkrete bruk av tjenesten:

Alminnelige Personopplysninger, herunder navn, kontaktopplysninger slik som e-postadresse, telefonnummer etc.
Trafikkdata, herunder Personopplysninger som behandles i relasjon til formidling av kommunikasjon på et elektronisk kommunikasjonsnettverk eller fakturering av slike tjenester.
Opplysninger relatert til innholdet i kommunikasjon, slik som e-post, telefonsvar, SMS/MMS, nettleserdata, økonomiske opplysninger, opplysninger om familieforhold, arbeidserfaring og skolegang.

Videre lagres sensitive personopplysninger som helseopplysninger.

Det blir tatt rullerende backup hver dag, og ukentlig rullerende backup hver søndag. Backup blir lagret på egen backupdisk montert på samme server. Det tars til enhver tid vare på 2 daglige backuper, og 1 ukentlig backup. Dvs at de eldste backupene slettes så fort en ny er tatt.

En backup inneholder kopi av all data i databasen, og samtlige filer på applikasjonen.

I praksis betyr det at det er tilgang på restore av inntil 14 dager gamle data og filer.

5 BEHANDLINGSANSVARLIGES PLIKTER

Behandlingsansvarlig innestår for at Personopplysningene behandles for legitime og objektive formål, samt at Profråd AS ikke behandler Personopplysninger i større omfang enn det som er nødvendig for å oppnå̊ formålet.

Behandlingsansvarlig er ansvarlig for at det foreligger et gyldig rettslig grunnlag for behandlingen på tidspunktet Personopplysningene overføres til Profråd AS, herunder at ethvert samtykke er informert, og avgitt eksplisitt, utvetydig og frivillig. På forespørsel fra Profråd AS skal Behandlingsansvarlig skriftlig gjøre rede for og/eller dokumentere det rettslige grunnlaget for behandlingen.

Behandlingsansvarlig innestår for at de Registrerte har mottatt tilstrekkelig informasjon om behandlingen av deres Personopplysninger.

Instruksjoner for behandling av Personopplysninger under denne Databehandleravtalen skal som hovedregel gis til Profråd AS. Dersom Behandlingsansvarlig instruerer en Underleverandør oppnevnt i tråd med punkt 12 direkte, skal Behandlingsansvarlig umiddelbart informere Profråd AS om dette. Profråd AS kan ikke holdes ansvarlig for behandling utført av en Underleverandør som et resultat av instrukser mottatt direkte fra Behandlingsansvarlig, og som medfører et brudd på denne Databehandleravtalen, Avtalen eller Personvernlovgivning.

6 TAUSHETSPLIKT

Profråd AS, dennes Underleverandører og andre som på vegne av Profråd AS utfører oppdrag og har tilgang til Personopplysningene, er underlagt taushetsplikt og skal etterleve taushetsplikten i forbindelse med behandling av Personopplysninger og sikkerhetsdokumentasjon i henhold til gjeldende Personvernlovgivning. Profråd AS har ansvaret for at Underleverandører og andre som opptrer på vegne av Profråd AS er underlagt slik taushetsplikt.

Behandlingsansvarlig er underlagt taushetsplikt når det gjelder dokumentasjon og informasjon mottatt av Profråd AS knyttet til Profråd AS og dennes Underleverandørers gjennomføring av tekniske og organisatoriske sikkerhetstiltak, og informasjon som Profråd AS ellers ønsker å bevare som konfidensiell. Behandlingsansvarlig kan imidlertid alltid dele slik informasjon med relevante tilsynsmyndigheter, så fremt dette er nødvendig for å overholde den Behandlingsansvarliges forpliktelser etter Personvernlovgivning eller andre lovpålagte plikter.

Taushetsplikten gjelder også etter Databehandleravtalens opphør.

7 TILGANG TIL PERSONOPPLYSNINGER OG OPPFYLLELSE AV DE REGISTRERTES RETTIGHETER

Med mindre annet er avtalt eller følger av gjeldende lovgivning, skal Behandlingsansvarlig ha rett til å kreve tilgang til Personopplysninger som behandles av Profråd AS på vegne av Behandlingsansvarlig.

Dersom Profråd AS eller Underleverandør mottar en forespørsel fra en Registrert om behandlingen av Personopplysninger, skal Profråd AS videresende forespørselen til Behandlingsansvarlig, med mindre Profråd AS etter gjeldende lovgivning eller i tråd med Behandlingsansvarliges instrukser selv er berettiget til å håndtere forespørselen.

Profråd AS skal bistå̊ Behandlingsansvarlig med å oppfylle Behandlingsansvarliges plikt til å svare på̊ anmodninger som de Registrerte inngir for å utøve sine rettigheter fastsatt i Personvernlovgivningen, herunder retten til (i) innsyn, (ii) korrigering og (iii) sletting, (iv) begrensning eller å motsette seg en behandling, samt (v) til å få utlevert egne Personopplysninger i et strukturert, alminnelig anvendt og maskinleselig format (dataportabilitet).

8 ANNEN BISTAND TIL BEHANDLINGSANSVARLIG

Dersom Profråd AS eller en Underleverandør mottar en forespørsel fra relevant tilsynsmyndighet for innsyn i eller informasjon om registrerte Personopplysninger eller behandlingsaktiviteter under denne Databehandleravtalen, skal Profråd AS varsle Behandlingsansvarlig om forespørselen, med mindre Profråd AS etter gjeldende lovgivning eller i tråd med Behandlingsansvarliges instrukser selv er berettiget til å håndtere forespørselen.

Dersom Behandlingsansvarlig er forpliktet til å gjennomføre en vurdering av personvernkonsekvenser og/eller gjennomføre forhåndsdrøftelser med relevant tilsynsmyndighet i forbindelse med behandlingen av Personopplysninger under denne Databehandleravtalen, skal Profråd AS bistå̊ Behandlingsansvarlig. Behandlingsansvarlig skal dekke kostnader påført Profråd AS som følge av slik bistand.

9 KRYPTERING

- Passord for tilgang til systemet er kryptert med SHA-256 algoritme og i tillegg saltet ved opprettelse. Dette sikrer at passord ikke er mulig å hente ut for noen (heller ikke bruker selv).

- All kommunikasjon fra klient til server er kryptert med SSL sertifikat fra Comodo. Også denne SHA-256 med RSA-2048 kryptering.

10 TILGJENGELIGHET

Det er satt opp automatiske backuprutiner til egen partisjon utenfor public access lokalt på server. Disse tar daglig rullerende komplett backup av systemfiler og database.

Backup slettes automatisk etter 3mnd, og er kun tilgjengelig i pakket systemformat for Intercode AS.

11 FORTROLIGHET (konfidensialitet)

Profråd Karriereverktøy har et rollestyrt tilgangssystem som sikrer at krav til fortrolighet og konfidensialitet overholdes.

Brukertilgang er styrt med passordinnlogging, og tilgangskontroll via brukertyper.

Veileder har kun tilgang til navn og kartleggingsresultater i perioden før data automatisk slettes. Lengden på denne perioden settes av veileder ved invitasjon, inntil 12 mnd.

En veisøker har ved pålogging kun tilgang til egne opplysninger, i det tidspunkt som er satt av veileder når invitasjon til kartlegging opprettes. Opplysningene slettes automatisk når tidspunkt er passert.

En veileder har ved pålogging kun tilgang til egne opplysninger og til opplysninger om veisøkere som vedkommende selv har iverksatt kartlegging av. Informasjonen om veisøker er kun tilgjengelig i den perioden veileder har satt opp ved invitasjon til å besvare kartlegging.

En administrator har ved pålogging tilgang til informasjon om alle veisøkeres og veilederes informasjon og kartleggingsresultater.

Kartleggingsresultater slettes på den enkelte bruker etter det antall uker som er oppgitt i databehandleravtalen med kunde. Hvor lenge opplysningene er tilgjengelig styres av hva veileder setter opp ved invitasjonen av en kartlegging.

Eks. Kartlegging skal slettes etter 12 uker. Tiden løper fra invitasjon er opprettet av veileder.

Dersom ikke veileder setter et tidspunkt for sletting, vil kartleggingen automatisk slettes etter 12 måneder.

Våre rutiner for drift og support av Profråd Karriereverktøy sikrer at administratortilgang gis kun til å autorisere personer som av tjenstlige grunner må ha tilgang.

Tilgangen blir fratatt dersom vedkommende straks vedkommende ikke lenger har tjenstlige behov for den.

Det er kun et strengt begrenset antall personer som har administratortilgang. Navneliste kan fås ved henvendelse til daglig leder Christian Grytnes sammen med signerte taushetserklæringer.

Personer som gis administratortilgang har forpliktet seg til å behandle opplysningene konfidensielt i henhold til selskapets taushetserklæring.

Opplæringen som gis til administratorer inneholder en gjennomgang av, og refleksjon over:

Selskapets rutiner for support og drift av Profråd Karriereverktøy med særlig vekt på konfidensialitet og taushetsplikt

Krav og forpliktelser som selskapet er underlagt gjennom databehandleravtaler
Etiske retningslinjer ved bruk av Profråd Karriereverktøy
Standard innhold i kundeavtaler og generelle retningslinjer for bruk av Profråd Karriereverktøy

Taushetsplikten gjelder også etter at databehandleravtalen har opphørt.

12 MELDING OM SIKKERHETSBRUDD

Profråd AS skal underrette Behandlingsansvarlig uten ugrunnet opphold etter å ha fått kjennskap til et brudd på sikkerheten ved behandlingen av Personopplysninger ("Sikkerhetsbrudd"). Behandlingsansvarlig er ansvarlig for å melde Sikkerhetsbrudd til relevant tilsynsmyndighet.

Underretningen til Behandlingsansvarlig skal som et minimum beskrive (i) arten av Sikkerhetsbruddet, herunder, når det er mulig, kategoriene av og omtrentlig antall Registrerte og Personopplysninger som er berørt, (ii) de sannsynlige konsekvensene av Sikkerhetsbruddet, (iii) de tiltak som Profråd AS har truffet eller foreslår å treffe for å håndtere Sikkerhetsbruddet, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av Sikkerhetsbruddet.

Dersom Behandlingsansvarlig er forpliktet til å underrette de Registrerte om Sikkerhetsbrudd, skal Profråd AS bistå Behandlingsansvarlig med dette, herunder skaffe til veie, hvis tilgjengelig, nødvendig kontaktinformasjon til de Registrerte som er berørt. Behandlingsansvarlig skal dekke kostnadene knyttet til slik kommunikasjon med de Registrerte, med mindre Sikkerhetsbruddet skyldes forhold som Profråd AS er ansvarlig for.

13 BRUK AV UNDERLEVERANDØRER

Behandlingsansvarlig godkjenner at Profråd AS kan engasjere en annen databehandler ("Underleverandør") for å bistå̊ i å yte tjenesten og behandle Personopplysninger under Avtalen, såfremt Profråd AS sikrer at;

Profråd AS forpliktelser som er fastsatt i Databehandleravtalen og Personvernlovgivningen pålegges Underleverandører gjennom skriftlig avtale; og at
enhver Underleverandør gir tilstrekkelige garantier for at det blir gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene I Personvernlovgivningen og Databehandleravtalen, samt gir Behandlingsansvarlig og relevant tilsynsmyndighet den tilgang og informasjon som er nødvendig for å verifisere slike garantier.

Profråd AS skal være fullt ut ansvarlig overfor Behandlingsansvarlig for at Underleverandører oppfyller sine forpliktelser.

Overføring av personopplysninger til land utenfor EØS-området

Personopplysninger kan bare overføres til et land utenfor EØS-området ('Tredjestat') eller til internasjonal organisasjon hvis Behandlingsansvarlig skriftlig har godkjent slik overføring og vilkårene er oppfylt. Som overføring regnes blant annet å:

behandle personopplysningene i datasentre o.l. som er lokalisert i Tredjestat eller av personell som er lokalisert i Tredjestat (ved fjerntilgang);
overlate behandlingen av personopplysninger til Underdatabehandler i Tredjestat; eller
utlevere personopplysningene til en Behandlingsansvarlig i Tredjestat eller i en internasjonal organisasjon.

Databehandler kan likevel overføre personopplysninger dersom det kreves i henhold til gjeldende rett i EØS-området. I slike tilfeller skal Databehandler underrette Behandlingsansvarlig så langt dette er tillat ved lov.

Overføring til Tredjestater eller internasjonale organisasjoner kan kun finne sted dersom det foreligger nødvendige garantier for et tilstrekkelig beskyttelsesnivå for personvern i henhold til Gjeldende personvernregler. Med mindre annet er avtalt mellom Partene kan slik overførsel kun finne sted med grunnlag i:

en av EU-kommisjonens beslutninger om tilstrekkelig beskyttelsesnivå i henhold til personvernforordningen artikkel 45; eller
en Databehandleravtale som inkorporerer standard personvernbestemmelser som angitt i personvernforordningen artikkel 46 (2) (c) eller (d) (EU Model clauses); eller
bindende virksomhetsregler (Binding Corporate Rules) i henhold til personvernforordningen artikkel 47.

Den Behandlingsansvarliges eventuelle godkjennelse av at personopplysninger overføres til en Tredjestat eller internasjonal organisasjon skal fremgå av Databehandleravtalen.

Databehandleren skal ikke engasjere en annen databehandler uten at det på forhånd er innhentet særlig eller generell skriftlig tillatelse til dette fra den behandlingsansvarlige. Dersom det er innhentet en generell skriftlig tillatelse, skal databehandleren underrette den behandlingsansvarlige om eventuelle planer om å benytte andre databehandlere eller skifte ut databehandlere, og dermed gi den behandlingsansvarlige muligheten til å motsette seg slike endringer

14 PROSEDYRE FOR BRUK AV UNDERLEVERANDØRER

Profråd AS skal til enhver tid ha en oppdatert liste med oversikt over navn og kontaktinformasjon til alle Underleverandører og steder Underleverandører behandler Personopplysninger på̊ vegne av Behandlingsansvarlig. Listen er tilgjengelig her: Intercode AS, Storgaten 25, 3126 Tønsberg. Kontaktperson Knut Olav Falkeng, 91929505 .

Profråd AS benytter noen produkter fra underleverandører til ulike funksjoner i vårt applikasjonen, disse er spesifisert her:
app.profraad.no

Liste over databehandlere

Selskapets navn og adresse	Behandlingssted	Beskrivelse av hvilken type behandling
Intercode AS Træleborgodden 6 3112 Tønsberg	Tønsberg, Norge	Systemutvikling, programmering, databasehåndtering og drift av Profråd server. Personopplysninger om deltager som behandles: Navn,epost, tlf, fødselsår, arbeidserfaring og utdannelse. Alle data og valg gjort ifm sertifisering eller veiledning.
Digital Garden AS Grev Wedels gate 1 3111 Tønsberg	Tønsberg, Norge. Datasenter lokalisert i Oslo, Norge	Serverhostng og datasenter. Support og administrasjon har ingen adgang til kundedata som lagres.
Link Mobility Group Universitetsgata 2 0164 Oslo	Oslo, Norge	Sender SMS til brukere og veisøkere via gateway API. Personopplysninger som behandles: Navn og tlf.

Profråd AS bruker et eksternt utviklerselskap (Intercode AS). De ansatte som jobber for Intercode AS er underlagt taushetsplikt rundt alle forhold de blir kjent med i arbeidet med Pro fråd AS. Intercode behandler data i Norge.

15 REVISJONER

Profråd AS er forpliktet til å gi Behandlingsansvarlig dokumentasjon på gjennomførte tekniske og organisatoriske tiltak for å sikre et egnet sikkerhetsnivå̊ samt annen informasjon som er nødvendig for å dokumentere at Profråd AS oppfyller sine forpliktelser etter denne Databehandleravtalen og Personvernlovgivningen.

Behandlingsansvarlig og relevant tilsynsmyndighet har rett til å gjennomføre revisjoner, herunder inspeksjoner og evaluering av Personopplysninger som behandles, systemene som benyttes til dette formål, gjennomførte tekniske og organisatoriske sikkerhetstiltak, inkludert sikkerhetsinstrukser etc., samt Underleverandører. Behandlingsansvarlig skal ikke gis tilgang til informasjon vedrørende Profråd AS andre kunder og informasjon som er underlagt konfidensialitetsforpliktelser.

Behandlingsansvarlig har rett til å gjennomføre slik revisjon en gang per år. Dersom Behandlingsansvarlig utpeker en ekstern revisor til å gjennomføre revisjonen, skal revisoren være bundet av en plikt til konfidensialitet.

Behandlingsansvarlig skal dekke kostnader knyttet til revisjoner som er initiert av Behandlingsansvarlig eller som påløper ved revisjon av Behandlingsansvarlig, inkludert kompensasjon til Profråd AS for rimelig medgått tid for Profråd AS og dennes ansatte for bistand under inspeksjonen. Profråd AS skal likevel dekke slike kostnader hvis en revisjon avdekker manglende oppfyllelse av forpliktelser etter Databehandleravtalen eller Personvernlovgivningen.

16 VARIGHET OG OPPHØR

Databehandleravtalen gjelder så lenge Profråd AS behandler Personopplysninger på vegne av Behandlingsansvarlig.

Dersom Profråd AS bryter Databehandleravtalen eller ikke oppfyller sine forpliktelser etter Personvernlovgivningen, kan Behandlingsansvarlig (i) pålegge Profråd AS å stanse videre behandling av Personopplysninger med øyeblikkelig virkning, og/eller (ii) avslutte Databehandleravtalen med øyeblikkelig virkning.

Ved opphør av denne avtalen plikter databehandler å tilbakelevere i ønsket filformat, alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige og som omfattes av denne avtalen. Det kan tilkomme kostnader i denne forbindelse.

Behandlingsansvarlige kan selv slette registrerte data på sin konto www.progråd.no. Data og brukere slettes 30 dager etter at abonnementet har opphøret. For å forhindre sletting av data må abonnementet fornyes senest innen disse 30 dagene. Om det er ønskelig at

Profråd AS skal forestå sletting av data før denne tiden må dette meldes til support@profraad.no Ved inaktivitet på behandleransvarlig sin konto, kan Profråd AS kontakte denne og si opp databehandleravtalen.

17 KONSEKVENSER VED OPPHØR

Ved opphør av Databehandleravtalen skal Profråd AS slette alle Personopplysningene til Behandlingsansvarlig, med mindre annet er fastsatt i gjeldende lovgivning.

Profråd AS skal skriftlig dokumentere overfor Behandlingsansvarlig at sletting har funnet sted i samsvar med Databehandleravtalen og som angitt av Behandlingsansvarlig.

18 ANSVARSBEGRENSNING

Ingen part skal overfor den annen part være ansvarlig for indirekte tap eller følgeskader av noen art (inkludert, men ikke begrenset til tap som følge av driftsavbrudd, tap av data, tapt fortjeneste eller lignende) uavhengig av ansvarsgrunnlag, hva enten i kontrakt, culpaansvar, produktansvar eller annet, selv om parten er underrettet om muligheten for slike skader (i fellesskap omtalt som "Indirekte Tap").

Ingen part skal være ansvarlig overfor den annen part for;

a) feil eller forsinkelser som ligger utenfor partens rimelige kontroll, herunder generelle internett eller linjeforsinkelser, strømbrudd eller feil på maskiner; eller
b) feil forårsaket av den annen parts systemer eller handlinger, uaktsomhet eller unnlatelser, som alene skal være den partens ansvar.

Det totale og maksimale ansvaret for hver tolv (12) måneders periode, for en part overfor den annen part under eller i medhold av denne Databehandleravtalen, skal under ingen omstendighet overstige et beløp tilsvarende det totalbeløp betalt for tjenesten under Avtalen i løpet av de tolv (12) siste månedene forut for den skadevoldende handlingen.

Ovennevnte begrensninger skal ikke gjelde for skader som skyldes svindel, grov uaktsomhet eller forsett.

19 VARSLER OG ENDRINGER

Alle varsler knyttet til Databehandleravtalen skal sendes skriftlig til e-postadressen angitt på første side av Databehandleravtalen.

I tilfelle endringer i Personvernlovgivningen, dersom dom eller uttalelse fra kompetent myndighet eller annen autoritativ kilde medfører en endret tolkning av Personvernlovgivningen, eller dersom det gjøres endringer i leveransen av tjenesten under Avtalen som krever endringer i Databehandleravtalen, skal partene samarbeide for å oppdatere Databehandleravtalen tilsvarende.

Enhver endring eller tillegg til denne Databehandleravtalen skal skje skriftlig og undertegnes av begge parter.

20 LOVVALG OG VERNETING

Lovvalg, verneting og tvisteløsningsmekanisme reguleres av Avtalen.

Det er den til enhver tid gjeldene databehandleravtale som gjelder. Databehandleravtalen finner dere på vår hjemmeside, www.profraad.no. Endringer oppdateres i avtalen som ligger tilgjengelig på nett. Vesentlige endringer varsles via e-post.