1. Partene
Denne avtalen er inngått mellom Den juridiske enhet som benytter programmet ("behandlingsansvarlig") og Aritme Software AS ("databehandler").
2. Formålet med avtalen
Formålet med avtalen er å regulere behandling av personopplysninger som databehandler utfører på vegne av behandlingsansvarlig i forbindelse med levering av et skybasert ERP-program, i henhold til personopplysningsloven og GDPR.
3. Behandling av personopplysninger
Databehandler skal kun behandle personopplysninger i samsvar med denne avtalen, og i henhold til skriftlige instrukser fra behandlingsansvarlig.
4. Sikkerhet
Databehandler skal iverksette passende tekniske og organisatoriske tiltak for å sikre at behandlingen oppfyller kravene i personopplysningsloven og GDPR, og sikrer den registrertes rettigheter.
5. Bruk av underleverandører (Underdatabehandlere)
Databehandler har rett til å engasjere underdatabehandlere uten forutgående skriftlig samtykke fra behandlingsansvarlig. Databehandler skal sikre at det inngås avtale med underdatabehandler som oppfyller kravene i personopplysningsloven og GDPR. Databehandler skal informere behandlingsansvarlig om eventuelle planlagte endringer som gjelder tillegg til eller erstatning av underdatabehandlere.
6. Databehandler skal ikke overføre personopplysninger til tredjeland (land utenfor EU/EØS) uten forutgående skriftlig samtykke fra behandlingsansvarlig.
Dersom overføring til tredjeland er nødvendig og godkjent av behandlingsansvarlig, skal databehandler sikre at det foreligger tilstrekkelige garantier for beskyttelse av personopplysningene i samsvar med GDPR. Dette kan for eksempel være ved bruk av standard kontraktsbestemmelser godkjent av EU-kommisjonen, eller at mottakerlandet er anerkjent av EU-kommisjonen som et land med tilstrekkelig personvernbeskyttelse.
7. Taushetsplikt
Databehandler og personell som behandler personopplysninger under denne avtalen skal ha taushetsplikt om de registrertes personopplysninger.
8. Assistanser
Databehandler skal bistå behandlingsansvarlig med å oppfylle behandlingsansvarliges forpliktelser i henhold til kapittel III i GDPR, herunder retten til innsyn, retting, sletting, begrensning av behandling, dataportabilitet og rett til å protestere.
9. Informasjonssikkerhetsbrudd
Databehandler skal uten ugrunnet opphold, og senest innen 72 timer, varsle behandlingsansvarlig om eventuelle brudd på informasjonssikkerheten som kan medføre høy risiko for de registrertes rettigheter og friheter.
10. Behandlingsansvarlig skal:
- Sikre at behandlingen av personopplysninger er i samsvar med gjeldende personvernlovgivning, inkludert GDPR.
- Gi databehandler skriftlige instruksjoner for behandling av personopplysninger. Databehandler har ikke rett til å behandle personopplysninger utenfor rammen av disse instruksjonene.
- Sikre at databehandler har iverksatt tilstrekkelige sikkerhetstiltak for å beskytte personopplysningene som behandles.
- Samhandle med databehandler for å håndtere forespørsler fra registrerte i henhold til deres rettigheter under GDPR.
- Samhandle med databehandler ved eventuelle brudd på informasjonssikkerheten.
- Utføre regelmessige vurderinger av databehandlers overholdelse av denne avtalen og gjeldende personvernlovgivning.
- Informere databehandler uten ugrunnet opphold om eventuelle endringer som kan påvirke databehandlers behandling av personopplysninger.
11. Avslutning av avtalen
Ved avslutning av avtalen skal databehandler, etter valg av behandlingsansvarlig, slette eller returnere alle personopplysninger til behandlingsansvarlig, og slette eksisterende kopier med mindre det er krav om lagring av personopplysningene i henhold til EU-rett eller nasjonal rett. Ved avslutning av avtalen skal databehandler også sikre at underdatabehandlere sletter eller returnerer alle personopplysninger.
12. Tvister og lovvalg
Denne avtalen skal være underlagt norsk rett. Eventuelle tvister mellom partene skal søkes løst ved forhandlinger. Hvis forhandlingene ikke fører frem, kan tvisten bringes inn for de ordinære domstoler med [Sted] tingrett som verneting.
Ved å ta programmet i bruk, anses avtalen som akseptert.