Databehandleravtale

Kontaktinformasjon Profråd AS
Navn: Christian Grytnes
Tittel: Daglig Leder
Adresse: Rambergveien 1. 3115 Tønsberg
Telefon: 41731010
E-post: support@profraad.no

1 INNLEDNING

Dette Bilaget angir hovedprinsippene for behandling av Personopplysninger under, og utgjør en integrert del av, den eksisterende tjenesteavtalen mellom partene ("Avtalen").

Avtaledokumentet utgjør Databehandleravtalen mellom partene, og vil i det følgende omtales som "Databehandleravtalen".

2 HOVEDPRINSIPPER FOR BEHANDLING AV PERSONOPPLYSNINGER

2.1 Beskyttelse av Personopplysninger
Profråd AS tar beskyttelse og sikkerhet for Personopplysninger alvorlig, og vil behandle slike opplysninger i samsvar med gjeldende Personvernlovgivning og Avtalen. For å kunne yte tjenesten under Avtalen, vil Profråd AS behandle Personopplysninger om brukere og andre som har tilgang til tjenesten.

2.2 Personvernerklæring
For mer informasjon om hvordan Profråd AS vil behandle Personopplysninger i relasjon til Tjenesten, henvises det til Profråd AS sin personvernerklæring, som er et vedlegg til dette dokument.

3 FORMÅLET MED DATABEHANDLERAVTALEN

Formålet med Databehandleravtalen er å regulere rettigheter og plikter i henhold til gjeldende Personvernlovgivning i forbindelse med Profråd AS behandling av Personopplysninger på vegne av Behandlingsansvarlig.

Med "Personvernlovgivning" siktes det til EU-foror3dning 2016/679 ("GDPR") når denne trer i kraft, og til enhver tid gjeldende nasjonal lovgivning relatert til personvern i det land Behandlingsansvarlig er etablert, herunder lovgivning som implementerer eller supplerer GDPR.

Med "Personopplysninger" menes enhver opplysning om en identifisert eller identifiserbar fysisk person (de "Registrerte").

Databehandleravtalen skal sikre at Personopplysninger behandles i samsvar med Personvernlovgivning og ikke benyttes på en lovstridig måte eller at uautoriserte parter får tilgang til Personopplysningene.

4 OMFANGET AV BEHANDLINGEN

4.1 Generelt
Behandlingsansvarlig bestemmer formålet med behandlingen og hvilke hjelpemidler som skal benyttes.

Profråd AS, dennes Underleverandører og andre som på vegne av Profråd AS utfører oppdrag og har tilgang til Personopplysningene, skal behandle Personopplysningene kun på vegne av Behandlingsansvarlig og i henhold til Avtalen og Behandlingsansvarliges skriftlige instrukser, samt i henhold til denne Databehandleravtalen, med mindre noe annet fremgår i gjeldende lovgivning.

Profråd AS skal omgående underrette Behandlingsansvarlig dersom Profråd AS mener at en instruks er i strid med Personvernlovgivningen.

4.2 Omfanget av behandlingen
Databehandleravtalen gjelder Profråd AS behandling av Personopplysninger på vegne av Behandlingsansvarlig i forbindelse med Profråd AS leveranse av tjenesten, som nærmere beskrevet i Avtalen.

4.3 Formålet med behandlingen
Karakteren og formålet med behandlingen er knyttet til levering av tjenesten, som nærmere beskrevet i Avtalen.

4.4 Kategorier av Personopplysninger og Registrerte
Behandlingen innebærer behandling av Personopplysninger om Behandlingsansvarliges sluttbrukere, kunder eller ansatte, avhengig av den Behandlingsansvarliges bruk av tjenesten.

Behandlingen omfatter følgende kategorier av Personopplysninger, avhengig av den Behandlingsansvarliges konkrete bruk av tjenesten:

Alminnelige Personopplysninger, herunder navn, kontaktopplysninger slik som e-postadresse, telefonnummer etc.
Trafikkdata, herunder Personopplysninger som behandles i relasjon til formidling av kommunikasjon på et elektronisk kommunikasjonsnettverk eller fakturering av slike tjenester.
Opplysninger relatert til innholdet i kommunikasjon, slik som e-post, telefonsvar, SMS/MMS, nettleserdata, økonomiske opplysninger, opplysninger om familieforhold, arbeidserfaring og skolegang.

Videre lagres sensitive personopplysninger som helseopplysninger.

5 BEHANDLINGSANSVARLIGES PLIKTER

Behandlingsansvarlig innestår for at Personopplysningene behandles for legitime og objektive formål, samt at Profråd AS ikke behandler Personopplysninger i større omfang enn det som er nødvendig for å oppnå̊ formålet.

Behandlingsansvarlig er ansvarlig for at det foreligger et gyldig rettslig grunnlag for behandlingen på tidspunktet Personopplysningene overføres til Profråd AS, herunder at ethvert samtykke er informert, og avgitt eksplisitt, utvetydig og frivillig. På forespørsel fra Profråd AS skal Behandlingsansvarlig skriftlig gjøre rede for og/eller dokumentere det rettslige grunnlaget for behandlingen.

Behandlingsansvarlig innestår for at de Registrerte har mottatt tilstrekkelig informasjon om behandlingen av deres Personopplysninger.

Instruksjoner for behandling av Personopplysninger under denne Databehandleravtalen skal som hovedregel gis til Profråd AS. Dersom Behandlingsansvarlig instruerer en Underleverandør oppnevnt i tråd med punkt 12 direkte, skal Behandlingsansvarlig umiddelbart informere Profråd AS om dette. Profråd AS kan ikke holdes ansvarlig for behandling utført av en Underleverandør som et resultat av instrukser mottatt direkte fra Behandlingsansvarlig, og som medfører et brudd på denne Databehandleravtalen, Avtalen eller Personvernlovgivning.

6 TAUSHETSPLIKT

Profråd AS, dennes Underleverandører og andre som på vegne av Profråd AS utfører oppdrag og har tilgang til Personopplysningene, er underlagt taushetsplikt og skal etterleve taushetsplikten i forbindelse med behandling av Personopplysninger og sikkerhetsdokumentasjon i henhold til gjeldende Personvernlovgivning. Profråd AS har ansvaret for at Underleverandører og andre som opptrer på vegne av Profråd AS er underlagt slik taushetsplikt.

Behandlingsansvarlig er underlagt taushetsplikt når det gjelder dokumentasjon og informasjon mottatt av Profråd AS knyttet til Profråd AS og dennes Underleverandørers gjennomføring av tekniske og organisatoriske sikkerhetstiltak, og informasjon som Profråd AS ellers ønsker å bevare som konfidensiell. Behandlingsansvarlig kan imidlertid alltid dele slik informasjon med relevante tilsynsmyndigheter, så fremt dette er nødvendig for å overholde den Behandlingsansvarliges forpliktelser etter Personvernlovgivning eller andre lovpålagte plikter.

Taushetsplikten gjelder også etter Databehandleravtalens opphør.

7 TILGANG TIL PERSONOPPLYSNINGER OG OPPFYLLELSE AV DE REGISTRERTES RETTIGHETER

Med mindre annet er avtalt eller følger av gjeldende lovgivning, skal Behandlingsansvarlig ha rett til å kreve tilgang til Personopplysninger som behandles av Profråd AS på vegne av Behandlingsansvarlig.

Dersom Profråd AS eller Underleverandør mottar en forespørsel fra en Registrert om behandlingen av Personopplysninger, skal Profråd AS videresende forespørselen til Behandlingsansvarlig, med mindre Profråd AS etter gjeldende lovgivning eller i tråd med Behandlingsansvarliges instrukser selv er berettiget til å håndtere forespørselen.

Profråd AS skal bistå Behandlingsansvarlig med å oppfylle Behandlingsansvarliges plikt til å svare på̊ anmodninger som de Registrerte inngir for å utøve sine rettigheter fastsatt i Personvernlovgivningen, herunder retten til (i) innsyn, (ii) korrigering og (iii) sletting, (iv) begrensning eller å motsette seg en behandling, samt (v) til å få utlevert egne Personopplysninger i et strukturert, alminnelig anvendt og maskinleselig format (dataportabilitet).

8 ANNEN BISTAND TIL BEHANDLINGSANSVARLIG

Dersom Profråd AS eller en Underleverandør mottar en forespørsel fra relevant tilsynsmyndighet for innsyn i eller informasjon om registrerte Personopplysninger eller behandlingsaktiviteter under denne Databehandleravtalen, skal Profråd AS varsle Behandlingsansvarlig om forespørselen, med mindre Profråd AS etter gjeldende lovgivning eller i tråd med Behandlingsansvarliges instrukser selv er berettiget til å håndtere forespørselen.

Dersom Behandlingsansvarlig er forpliktet til å gjennomføre en vurdering av personvernkonsekvenser og/eller gjennomføre forhåndsdrøftelser med relevant tilsynsmyndighet i forbindelse med behandlingen av Personopplysninger under denne Databehandleravtalen, skal Profråd AS bistå̊ Behandlingsansvarlig. Behandlingsansvarlig skal dekke kostnader påført Profråd AS som følge av slik bistand.

9 KRYPTERING

- Passord for tilgang til systemet er kryptert med SHA-256 algoritme og i tillegg saltet ved opprettelse. Dette sikrer at passord ikke er mulig å hente ut for noen (heller ikke bruker selv).

- All kommunikasjon fra klient til server er kryptert med SSL sertifikat fra Comodo. Også denne SHA-256 med RSA-2048 kryptering.

10 BACKUP / TILGJENGELIGHET

Det tas 1 daglig, og 2 månedlige rullerende backups. Eldste backup slettes så fort den nyeste er fullført.

Backupfiler lagres på egen partisjon på samme server, men utenfor ordinær eksponering på web. Man kan kun hente ut backupfiler fra denne partisjonen med gyldige passordbeskyttede SSH nøkler. Det er satt opp automatiske backuprutiner til egen partisjon utenfor public access lokalt på server. Disse tar daglig rullerende komplett backup av systemfiler og database. Backup er kun tilgjengelig i pakket systemformat for Intercode AS.

11 FORTROLIGHET (konfidensialitet)

Profråd Karriereverktøy har et rollestyrt tilgangssystem som sikrer at krav til fortrolighet og konfidensialitet overholdes.

Brukertilgang er styrt med passordinnlogging, og tilgangskontroll via brukertyper. I dette systemet er en «standard bruker» definert som en veisøkerrolle, uten tilgang som veileder eller administrator.

En veisøker har ved pålogging kun tilgang til egne opplysninger, og kun i den perioden som er angitt for oppbevaring av data.
Opplysninger slettes automatisk eller manuelt etter regler/kriterier som er beskrevet nedenfor.

En veileder har ved pålogging kun tilgang til egne opplysninger, og til opplysninger om veisøkere og kartlegginger som de selv har registrert. Opplysninger om veisøkere med tilhørende kartlegging er tilgjengelig kun i den perioden som er angitt for oppbevaring av data. Perioden kan ikke forlenges.

Sletting av kartleggingsresultater: Kartleggingsresultater slettes automatisk på slettefristen som veileder setter ved opprettelse av en kartlegging, men kan også slettes manuelt før fristen for automatisk sletting. Dersom veileder ikke angir slettefrist, slettes kartleggingen automatisk etter 12 måneder. Veileder kan kun slette kartlegginger som de selv har opprettet.

Sletting av inaktive veisøkere:
Inaktive veisøkere slettes automatisk fra databasen etter følgende kriterier:
- Veisøker har ingen aktive invitasjoner/kartlegginger tilknyttet sin bruker ID.
- Veisøker må ha teknisk status som brukertype «standard».
- Bruker har ikke vært innlogget de siste 4 ukene.

En administrator har ved pålogging tilgang til all informasjon om veisøkere og veiledere, inkludert kartleggingsresultater, inntil disse er slettet fra databasen, enten automatisk eller manuelt.

Administratortilgang er strengt begrenset og gis kun til personer som av tjenstlige grunner må ha slik tilgang. Personer som gis administratortilgang har forpliktet seg til å behandle opplysningene konfidensielt i henhold til selskapets taushetserklæring. Tilgangen fratas umiddelbart når tjenstlige behov ikke lenger foreligger. En oppdatert navneliste over personer med administratortilgang kan fås ved henvendelse til daglig leder Christian Grytnes, sammen med signerte taushetserklæringer.

Opplæringen som gis til administratorer inneholder opplæring i:

  • Selskapets rutiner for support og drift av Profråd Karriereverktøy med særlig vekt på konfidensialitet og taushetsplikt
  • Krav og forpliktelser som selskapet er underlagt gjennom databehandleravtaler
  • Etiske retningslinjer ved bruk av Profråd Karriereverktøy
  • Standard innhold i kundeavtaler og generelle retningslinjer for bruk av Profråd Karriereverktøy

Taushetsplikten gjelder også etter at databehandleravtalen har opphørt.

12 MELDING OM SIKKERHETSBRUDD

Profråd AS skal underrette Behandlingsansvarlig uten ugrunnet opphold etter å ha fått kjennskap til et brudd på sikkerheten ved behandlingen av Personopplysninger ("Sikkerhetsbrudd"). Behandlingsansvarlig er ansvarlig for å melde Sikkerhetsbrudd til relevant tilsynsmyndighet.

Underretningen til Behandlingsansvarlig skal som et minimum beskrive (i) arten av Sikkerhetsbruddet, herunder, når det er mulig, kategoriene av og omtrentlig antall Registrerte og Personopplysninger som er berørt, (ii) de sannsynlige konsekvensene av Sikkerhetsbruddet, (iii) de tiltak som Profråd AS har truffet eller foreslår å treffe for å håndtere Sikkerhetsbruddet, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av Sikkerhetsbruddet.

Dersom Behandlingsansvarlig er forpliktet til å underrette de Registrerte om Sikkerhetsbrudd, skal Profråd AS bistå Behandlingsansvarlig med dette, herunder skaffe til veie, hvis tilgjengelig, nødvendig kontaktinformasjon til de Registrerte som er berørt. Behandlingsansvarlig skal dekke kostnadene knyttet til slik kommunikasjon med de Registrerte, med mindre Sikkerhetsbruddet skyldes forhold som Profråd AS er ansvarlig for.

13 BRUK AV UNDERLEVERANDØRER

Behandlingsansvarlig godkjenner at Profråd AS kan engasjere en annen databehandler ("Underleverandør") for å bistå̊ i å yte tjenesten og behandle Personopplysninger under Avtalen, såfremt Profråd AS sikrer at;

  1. Profråd AS forpliktelser som er fastsatt i Databehandleravtalen og Personvernlovgivningen pålegges Underleverandører gjennom skriftlig avtale; og at
  2. enhver Underleverandør gir tilstrekkelige garantier for at det blir gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene I Personvernlovgivningen og Databehandleravtalen, samt gir Behandlingsansvarlig og relevant tilsynsmyndighet den tilgang og informasjon som er nødvendig for å verifisere slike garantier.

Profråd AS skal være fullt ut ansvarlig overfor Behandlingsansvarlig for at Underleverandører oppfyller sine forpliktelser.

Overføring av personopplysninger til land utenfor EØS-området

Personopplysninger kan bare overføres til et land utenfor EØS-området ('Tredjestat') eller til internasjonal organisasjon hvis Behandlingsansvarlig skriftlig har godkjent slik overføring og vilkårene er oppfylt. Som overføring regnes blant annet å:

  1. behandle personopplysningene i datasentre o.l. som er lokalisert i Tredjestat eller av personell som er lokalisert i Tredjestat (ved fjerntilgang);
  2. overlate behandlingen av personopplysninger til Underdatabehandler i Tredjestat; eller
  3. utlevere personopplysningene til en Behandlingsansvarlig i Tredjestat eller i en internasjonal organisasjon.

Databehandler kan likevel overføre personopplysninger dersom det kreves i henhold til gjeldende rett i EØS-området. I slike tilfeller skal Databehandler underrette Behandlingsansvarlig så langt dette er tillat ved lov.

Overføring til Tredjestater eller internasjonale organisasjoner kan kun finne sted dersom det foreligger nødvendige garantier for et tilstrekkelig beskyttelsesnivå for personvern i henhold til Gjeldende personvernregler. Med mindre annet er avtalt mellom Partene kan slik overførsel kun finne sted med grunnlag i:

  1. en av EU-kommisjonens beslutninger om tilstrekkelig beskyttelsesnivå i henhold til personvernforordningen artikkel 45; eller
  2. en Databehandleravtale som inkorporerer standard personvernbestemmelser som angitt i personvernforordningen artikkel 46 (2) (c) eller (d) (EU Model clauses); eller
  3. bindende virksomhetsregler (Binding Corporate Rules) i henhold til personvernforordningen artikkel 47.

Den Behandlingsansvarliges eventuelle godkjennelse av at personopplysninger overføres til en Tredjestat eller internasjonal organisasjon skal fremgå av Databehandleravtalen.

Databehandleren skal ikke engasjere en annen databehandler uten at det på forhånd er innhentet særlig eller generell skriftlig tillatelse til dette fra den behandlingsansvarlige. Dersom det er innhentet en generell skriftlig tillatelse, skal databehandleren underrette den behandlingsansvarlige om eventuelle planer om å benytte andre databehandlere eller skifte ut databehandlere, og dermed gi den behandlingsansvarlige muligheten til å motsette seg slike endringer

14 PROSEDYRE FOR BRUK AV UNDERLEVERANDØRER

Profråd AS skal til enhver tid ha en oppdatert liste med oversikt over navn og kontaktinformasjon til alle Underleverandører og steder Underleverandører behandler Personopplysninger på̊ vegne av Behandlingsansvarlig. Listen er tilgjengelig her: Intercode AS, Storgaten 25, 3126 Tønsberg. Kontaktperson Knut Olav Falkeng, 91929505 .

Profråd AS benytter noen produkter fra underleverandører til ulike funksjoner i vårt applikasjonen, disse er spesifisert her:
app.profraad.no

Liste over databehandlere

Selskapets navn og adresse Behandlingssted Beskrivelse av hvilken type
behandling
Intercode AS
Træleborgodden 6
3112 Tønsberg		 Tønsberg, Norge Systemutvikling, programmering, databasehåndtering og drift av Profråd server. Personopplysninger om deltager som behandles: Navn,epost, tlf, fødselsår, arbeidserfaring og utdannelse.
Alle data og valg gjort ifm sertifisering eller veiledning.
Digital Garden AS
Grev Wedels gate 1
3111 Tønsberg		 Tønsberg, Norge. Datasenter lokalisert i Oslo, Norge Serverhostng og datasenter. Support og administrasjon har ingen adgang til kundedata som lagres.
Link Mobility Group
Universitetsgata 2
0164 Oslo		 Oslo, Norge Sender SMS til brukere og veisøkere via gateway API. Personopplysninger som behandles: Navn og tlf.

Profråd AS bruker et eksternt utviklerselskap (Intercode AS). De ansatte som jobber for Intercode AS er underlagt taushetsplikt rundt alle forhold de blir kjent med i arbeidet med Pro fråd AS. Intercode behandler data i Norge.

15 REVISJONER

Profråd AS er forpliktet til å gi Behandlingsansvarlig dokumentasjon på gjennomførte tekniske og organisatoriske tiltak for å sikre et egnet sikkerhetsnivå̊ samt annen informasjon som er nødvendig for å dokumentere at Profråd AS oppfyller sine forpliktelser etter denne Databehandleravtalen og Personvernlovgivningen.

Behandlingsansvarlig og relevant tilsynsmyndighet har rett til å gjennomføre revisjoner, herunder inspeksjoner og evaluering av Personopplysninger som behandles, systemene som benyttes til dette formål, gjennomførte tekniske og organisatoriske sikkerhetstiltak, inkludert sikkerhetsinstrukser etc., samt Underleverandører. Behandlingsansvarlig skal ikke gis tilgang til informasjon vedrørende Profråd AS andre kunder og informasjon som er underlagt konfidensialitetsforpliktelser.

Behandlingsansvarlig har rett til å gjennomføre slik revisjon en gang per år. Dersom Behandlingsansvarlig utpeker en ekstern revisor til å gjennomføre revisjonen, skal revisoren være bundet av en plikt til konfidensialitet.

Behandlingsansvarlig skal dekke kostnader knyttet til revisjoner som er initiert av Behandlingsansvarlig eller som påløper ved revisjon av Behandlingsansvarlig, inkludert kompensasjon til Profråd AS for rimelig medgått tid for Profråd AS og dennes ansatte for bistand under inspeksjonen. Profråd AS skal likevel dekke slike kostnader hvis en revisjon avdekker manglende oppfyllelse av forpliktelser etter Databehandleravtalen eller Personvernlovgivningen.

16 VARIGHET OG OPPHØR

Databehandleravtalen gjelder så lenge Profråd AS behandler Personopplysninger på vegne av Behandlingsansvarlig.

Dersom Profråd AS bryter Databehandleravtalen eller ikke oppfyller sine forpliktelser etter Personvernlovgivningen, kan Behandlingsansvarlig (i) pålegge Profråd AS å stanse videre behandling av Personopplysninger med øyeblikkelig virkning, og/eller (ii) avslutte Databehandleravtalen med øyeblikkelig virkning.

Ved opphør av denne avtalen plikter databehandler å tilbakelevere i ønsket filformat, alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige og som omfattes av denne avtalen. Det kan tilkomme kostnader i denne forbindelse.

Behandlingsansvarlige kan selv slette registrerte data på sin konto www.progråd.no. Data og brukere slettes 30 dager etter at abonnementet har opphøret. For å forhindre sletting av data må abonnementet fornyes senest innen disse 30 dagene. Om det er ønskelig at

Profråd AS skal forestå sletting av data før denne tiden må dette meldes til support@profraad.no Ved inaktivitet på behandleransvarlig sin konto, kan Profråd AS kontakte denne og si opp databehandleravtalen.

17 KONSEKVENSER VED OPPHØR

Ved opphør av Databehandleravtalen skal Profråd AS slette alle Personopplysningene til Behandlingsansvarlig, med mindre annet er fastsatt i gjeldende lovgivning.

Profråd AS skal skriftlig dokumentere overfor Behandlingsansvarlig at sletting har funnet sted i samsvar med Databehandleravtalen og som angitt av Behandlingsansvarlig.

18 ANSVARSBEGRENSNING

Ingen part skal overfor den annen part være ansvarlig for indirekte tap eller følgeskader av noen art (inkludert, men ikke begrenset til tap som følge av driftsavbrudd, tap av data, tapt fortjeneste eller lignende) uavhengig av ansvarsgrunnlag, hva enten i kontrakt, culpaansvar, produktansvar eller annet, selv om parten er underrettet om muligheten for slike skader (i fellesskap omtalt som "Indirekte Tap").

Ingen part skal være ansvarlig overfor den annen part for;

  1. a)  feil eller forsinkelser som ligger utenfor partens rimelige kontroll, herunder generelle internett eller linjeforsinkelser, strømbrudd eller feil på maskiner; eller
  2. b)  feil forårsaket av den annen parts systemer eller handlinger, uaktsomhet eller unnlatelser, som alene skal være den partens ansvar.

Det totale og maksimale ansvaret for hver tolv (12) måneders periode, for en part overfor den annen part under eller i medhold av denne Databehandleravtalen, skal under ingen omstendighet overstige et beløp tilsvarende det totalbeløp betalt for tjenesten under Avtalen i løpet av de tolv (12) siste månedene forut for den skadevoldende handlingen.

Ovennevnte begrensninger skal ikke gjelde for skader som skyldes svindel, grov uaktsomhet eller forsett.

19 VARSLER OG ENDRINGER

Alle varsler knyttet til Databehandleravtalen skal sendes skriftlig til e-postadressen angitt på første side av Databehandleravtalen.

I tilfelle endringer i Personvernlovgivningen, dersom dom eller uttalelse fra kompetent myndighet eller annen autoritativ kilde medfører en endret tolkning av Personvernlovgivningen, eller dersom det gjøres endringer i leveransen av tjenesten under Avtalen som krever endringer i Databehandleravtalen, skal partene samarbeide for å oppdatere Databehandleravtalen tilsvarende.

Enhver endring eller tillegg til denne Databehandleravtalen skal skje skriftlig og undertegnes av begge parter.

20 LOVVALG OG VERNETING

Lovvalg, verneting og tvisteløsningsmekanisme reguleres av Avtalen.

Det er den til enhver tid gjeldene databehandleravtale som gjelder. Databehandleravtalen finner dere på vår hjemmeside, www.profraad.no. Endringer oppdateres i avtalen som ligger tilgjengelig på nett. Vesentlige endringer varsles via e-post.