Databehandleravtale for Stillastorget AS

(Vedlegg til brukeravtalen)

Hva er en databehandleravtale?

Denne databehandleravtalen er et vedlegg til brukeravtalen som definerer hvordan Stillastorget AS ("Stillastorget") behandler og sikrer personopplysninger i systemet for kunden. Avtalen er utformet i samsvar med den norske personopplysningsloven og GDPR for å sikre at personopplysninger håndteres lovlig og sikkert.

I denne avtalen er den "registrerte" personen som opplysningene gjelder. "Behandlingsansvarlig" er kunden, som er ansvarlig for personopplysningene. "Databehandler" er Stillastorget, som håndterer opplysningene på vegne av kunden. Databehandleravtalen regulerer forholdet mellom kunden og Stillastorget i denne sammenhengen.

Formål

Formålet med behandling av all data og personopplysninger er å kunne levere systemet til kunden og hver bruker på en tilfredsstillende måte.

Innsamling av informasjon

Stillastorget kan samle inn følgende typer personopplysninger:

  • Navn
  • E-post
  • Telefonnummer
  • Informasjon om arbeidsforhold
  • Annen informasjon kunden selv laster opp i systemet
  • IP-adresse

Behandlingsansvarliges plikter og rettigheter

Behandlingsansvarlig bekrefter følgende:

  1. Behandlingsansvarlig har grunnlag for å behandle personopplysninger.
  2. Behandlingsansvarlig er ansvarlig for lovligheten av overføring og innhold av personopplysningene.
  3. Behandlingsansvarlig har informert de registrerte i samsvar med loven.
  4. Behandlingsansvarlig skal overholde GDPR, inkludert sikring av data og besvarelse av henvendelser.
  5. Behandlingsansvarlig vil melde avvik til Datatilsynet ved behov.
  6. Behandlingsansvarlig skal ikke lagre data utover formålet eller data som faller inn under sensitive personopplysninger.
  7. Behandlingsansvarlig skal innhente samtykke ved registrering av mindreårige, spesielt de under 16 år.

Databehandlers plikter og rettigheter

Databehandler bekrefter følgende:

  1. Databehandler eier ikke personopplysninger, men behandler dem på vegne av behandlingsansvarlig som angitt i denne avtalen.
  2. Databehandler skal beskytte personopplysninger i samsvar med GDPR ved å implementere tekniske og organisatoriske tiltak i tråd med bransjestandarder, basert på risikoanalyse.
  3. Databehandler skal sikre at alle autoriserte personer behandler opplysningene konfidensielt.
  4. Databehandler skal bistå behandlingsansvarlig ved forespørsel om GDPR-overholdelse og gi nødvendig dokumentasjon, inkludert for revisjoner. Bistanden faktureres etter medgått tid.
  5. Databehandler skal raskt varsle behandlingsansvarlig hvis det oppstår mistanke om datatap.
  6. Databehandler kan bruke anonymiserte data for analyse og forbedring av systemet.
  7. Databehandler har tilgang til grunnleggende kundeinformasjon for formål som naturlig hører til drift av systemet, inkludert kundestøtte, administrasjon og fakturering.
  8. Databehandler kan sjekke data ved mistanke om systemmisbruk.
  9. Databehandler skal varsle behandlingsansvarlig hvis en instruks fra behandlingsansvarlig bryter med GDPR eller personvernregler.

Utlevering av personopplysninger

Ved å akseptere databehandleravtalen gir behandlingsansvarlig tillatelse til at Stillastorget kan benytte andre databehandlere. Et eksempel på en slik databehandler kan være en underleverandør som er nødvendig for å levere systemet.

Stillastorget bruker databehandlere som av og til behandler personopplysninger. I slike tilfeller vil Stillastorget begrense mengden data som deles og sørge for at den behandles i samsvar med gjeldende lovverk og bransjestandarder.

Stillastorget bruker også faste underleverandører for ekstra funksjonalitet, slik som loggetjenester eller backuptjenester. Disse brukes uten eksplisitt samtykke fra kunden. Stillastorget har avtaler med disse underleverandørene. For de utenfor EU/EØS følger vi bransjestandarder.

Stillastorget kan foreslå tredjepartsprodukter til kunden basert på kundens bruksmønster. Hvis kunden ønsker å benytte seg av et slikt tilbud, må de selv inngå en databehandleravtale med den aktuelle partneren. Et eksempel på et slikt forslag kan være integrasjoner med Microsoft, CV-løsninger eller lignende.

I visse tilfeller kan Stillastorget gi tredjepart tilgang til kundens data, for eksempel ved tap av tilgang, salg av virksomheten, rettslige krav eller forespørsler fra personer med signaturrett for kunden. Slik tilgang vil skje i samsvar med gjeldende lover og regler.

Sletting av personopplysninger

  1. En bruker kan slettes når tilknyttede foretak er slettet, med fysisk sletting etter 12 måneder.
  2. Stillastorget oppbevarer sikkerhetskopier i opptil 3 måneder etter sletting.
  3. Ved behov for raskere sletting, vennligst kontakt Stillastorget skriftlig.
  4. Loggdata beholdes i 3 måneder.

Endring av personopplysninger

  1. Hvis det ikke er funksjonalitet for endring i systemet, send en skriftlig henvendelse til Stillastorget.
  2. Gamle dataverdier blir bevart som backup i opptil 1 år, av sikkerhetshensyn.

Denne databehandleravtalen gjelder som et vedlegg til brukeravtalen. Dersom du har spørsmål, vennligst kontakt Stillastorget AS på hei@stillastorget.no.