Databehandleravtale (DPA)

Innholdsfortegnelse

1. Parter og bakgrunn

Denne databehandleravtalen (heretter kalt «Avtalen») er inngått mellom:

Behandlingsansvarlig: Mementor AS, org.nr. 933 662 648, som utvikler og drifter nettstedet Bestpris.no. E-post: kontakt@bestpris.no
Databehandler: Den virksomheten som har signert denne Avtalen og som behandler personopplysninger på vegne av Mementor AS.

Partene omtales samlet som «Partene» og enkeltvis som «Part».

Bestpris.no tilbyr uavhengige anmeldelser, sammenligninger og anbudstjenester til norske forbrukere. Nettstedet eies av Norse Digital Group LLC, mens Mementor AS er behandlingsansvarlig for alle personopplysninger som samles inn og behandles gjennom tjenesten. Denne Avtalen regulerer Databehandlerens behandling av personopplysninger på vegne av Mementor AS i samsvar med personvernforordningen (GDPR) artikkel 28 og den norske personopplysningsloven.

Avtalen gjelder som et tillegg til den underliggende tjenesteavtalen mellom Partene. Ved motstrid mellom denne Avtalen og den underliggende tjenesteavtalen, skal denne Avtalen ha forrang i spørsmål som gjelder behandling av personopplysninger.

2. Definisjoner

Følgende begreper brukes i denne Avtalen:

Personopplysninger: Enhver opplysning som kan knyttes til en identifisert eller identifiserbar fysisk person. Eksempler er navn, e-postadresse, telefonnummer, IP-adresse og nettleserdata.
Behandling: Enhver operasjon som utføres med personopplysninger, enten manuelt eller automatisk. Dette omfatter innsamling, lagring, bruk, endring, utlevering og sletting.
Behandlingsansvarlig: Den virksomheten som bestemmer formålet med og midlene for behandlingen av personopplysninger. I denne Avtalen er det Mementor AS.
Databehandler: Den virksomheten som behandler personopplysninger på vegne av den Behandlingsansvarlige.
Underdatabehandler: En tredjepart som Databehandleren engasjerer for å utføre deler av behandlingen som er regulert i denne Avtalen.
Registrerte: De fysiske personene som personopplysningene gjelder.
Sikkerhetsbrudd: Et brudd på sikkerheten som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av eller tilgang til personopplysninger.
Gjeldende personvernlovgivning: Personvernforordningen (EU) 2016/679 (GDPR) slik den er innlemmet i EØS-avtalen, den norske personopplysningsloven og eventuelle tilhørende forskrifter.

Begreper som ikke er definert her, skal forstås i samsvar med definisjoner i GDPR eller den underliggende tjenesteavtalen mellom Partene.

3. Formål og omfang

Databehandleren skal kun behandle personopplysninger i den grad det er nødvendig for å levere tjenester til Mementor AS i henhold til den underliggende tjenesteavtalen. Behandlingen har som formål å støtte driften av Bestpris.no, herunder teknisk drift, analyse, kundekommunikasjon eller andre formål som er nærmere beskrevet i vedlegg til denne Avtalen.

Databehandleren skal ikke behandle personopplysningene til egne formål. All behandling skal skje etter dokumenterte instrukser fra Mementor AS. Dersom Databehandleren mottar en instruks som etter Databehandlerens vurdering strider mot gjeldende personvernlovgivning, skal Databehandleren umiddelbart varsle Mementor AS om dette.

4. Typer personopplysninger og kategorier av registrerte

4.1 Kategorier av registrerte

Behandlingen kan omfatte personopplysninger om følgende grupper:

Besøkende på Bestpris.no
Brukere som sender inn forespørsler eller anbud gjennom tjenesten
Kontaktpersoner hos leverandører og samarbeidspartnere
Abonnenter på nyhetsbrev eller varsler

4.2 Typer personopplysninger

Avhengig av tjenestens art kan følgende opplysninger bli behandlet:

Navn og kontaktopplysninger (e-postadresse, telefonnummer, adresse)
Teknisk informasjon (IP-adresse, nettlesertype, enhetsdata)
Brukeratferd og preferanser på nettstedet
Forespørsler, meldinger og annen kommunikasjon knyttet til tjenesten
Eventuelle andre opplysninger som er beskrevet i vedlegget til denne Avtalen

Denne Avtalen omfatter ikke behandling av særlige kategorier av personopplysninger, slik som helseopplysninger, politisk overbevisning eller religiøs tilhørighet. Dersom slike opplysninger likevel skulle bli en del av behandlingen, skal Databehandleren umiddelbart varsle Mementor AS og følge særskilte instrukser.

5. Databehandlerens plikter

Databehandleren forplikter seg til å:

Kun behandle personopplysninger etter skriftlige instrukser fra Mementor AS, med mindre behandlingen er pålagt etter gjeldende lov. I slike tilfeller skal Databehandleren informere Mementor AS før behandlingen starter, med mindre lovgivningen forbyr slik informasjon.
Sikre at alle personer som har tilgang til personopplysningene, er underlagt taushetsplikt. Dette gjelder både egne ansatte og eventuelle innleide konsulenter.
Gjennomføre egnede tekniske og organisatoriske sikkerhetstiltak som beskrevet i punkt 7 i denne Avtalen.
Bistå Mementor AS med å oppfylle sine forpliktelser overfor de registrerte, slik det er beskrevet i punkt 9.
Ikke engasjere underdatabehandlere uten forutgående skriftlig godkjenning fra Mementor AS, jf. punkt 6.
Gjøre tilgjengelig all informasjon som er nødvendig for at Mementor AS kan kontrollere at kravene i denne Avtalen og gjeldende personvernlovgivning etterleves.

6. Bruk av underdatabehandlere

6.1 Godkjenning

Databehandleren skal ikke engasjere underdatabehandlere uten at Mementor AS har gitt forutgående skriftlig godkjenning. Databehandleren skal oppgi navn, kontaktinformasjon og en beskrivelse av behandlingen som underdatabehandleren skal utføre.

6.2 Varsel om nye underdatabehandlere

Dersom Databehandleren ønsker å endre eller legge til en underdatabehandler, skal Mementor AS varsles skriftlig minst 30 dager før endringen trer i kraft. Mementor AS kan innen denne fristen komme med begrunnet innsigelse. Dersom Partene ikke oppnår enighet, kan Mementor AS si opp den underliggende tjenesteavtalen uten ekstra kostnad.

6.3 Ansvar for underdatabehandlere

Databehandleren skal inngå en skriftlig avtale med alle underdatabehandlere. Denne avtalen skal pålegge underdatabehandleren minst de samme forpliktelsene som følger av denne Avtalen. Databehandleren er fullt ansvarlig overfor Mementor AS for underdatabehandlerens oppfyllelse av sine forpliktelser.

7. Sikkerhetstiltak

Databehandleren skal gjennomføre tekniske og organisatoriske tiltak som gir et sikkerhetsnivå som er tilpasset risikoen ved behandlingen. Tiltakene skal beskytte personopplysningene mot uautorisert tilgang, tap, ødeleggelse og endring.

Sikkerhetstiltakene skal som et minimum omfatte:

Kryptering av personopplysninger under overføring og ved lagring der det er relevant
Tilgangskontroll som sørger for at kun autorisert personell har tilgang til personopplysningene
Regelmessig sikkerhetskopiering og prosedyrer for gjenoppretting
Logging av tilgang til systemer som inneholder personopplysninger
Regelmessig testing og evaluering av sikkerhetstiltakenes effektivitet
Opplæring av ansatte som behandler personopplysninger

Mementor AS kan når som helst be om en skriftlig beskrivelse av de gjennomførte sikkerhetstiltakene. Databehandleren skal uten ugrunnet opphold oppdatere sikkerhetstiltakene dersom endringer i risikobildet gjør dette nødvendig.

8. Varsling ved sikkerhetsbrudd

Databehandleren skal varsle Mementor AS uten ugrunnet opphold, og senest innen 24 timer etter at et sikkerhetsbrudd er oppdaget. Varselet skal sendes til kontakt@bestpris.no og inneholde følgende:

En beskrivelse av sikkerhetsbruddets art, herunder hvilke kategorier og omtrentlig antall registrerte som er berørt
Navn og kontaktopplysninger til Databehandlerens kontaktperson for oppfølging
En beskrivelse av de sannsynlige konsekvensene av sikkerhetsbruddet
En oversikt over tiltak som er iverksatt eller planlagt for å håndtere bruddet og begrense eventuelle negative virkninger

Databehandleren skal samarbeide fullt ut med Mementor AS for å håndtere sikkerhetsbruddet. Mementor AS er ansvarlig for å vurdere om det er nødvendig å varsle Datatilsynet og de berørte registrerte etter GDPR artikkel 33 og 34.

9. Bistand til den behandlingsansvarlige

Databehandleren skal bistå Mementor AS med å oppfylle sine forpliktelser etter gjeldende personvernlovgivning. Denne bistanden omfatter blant annet:

Rettigheter for registrerte: Databehandleren skal hjelpe Mementor AS med å besvare henvendelser fra registrerte som ønsker innsyn, retting, sletting, dataportabilitet eller begrensning av behandlingen. Slike henvendelser skal videresendes til Mementor AS uten ugrunnet opphold.
Vurdering av personvernkonsekvenser: Dersom Mementor AS gjennomfører en vurdering av personvernkonsekvenser (DPIA) knyttet til behandlingen som utføres av Databehandleren, skal Databehandleren gi nødvendig informasjon og bistand.
Forhåndsdrøfting med Datatilsynet: Dersom det er nødvendig med forhåndsdrøfting med Datatilsynet etter GDPR artikkel 36, skal Databehandleren bistå Mementor AS i denne prosessen.

Databehandleren kan kreve rimelig godtgjørelse for bistand som går vesentlig utover det som normalt kan forventes etter denne Avtalen, forutsatt at dette er avtalt skriftlig på forhånd.

10. Overføring til tredjeland

Databehandleren skal ikke overføre personopplysninger til land utenfor EU/EØS uten forutgående skriftlig godkjenning fra Mementor AS. Enhver overføring skal ha et gyldig overføringsgrunnlag i henhold til GDPR kapittel V.

Gyldige overføringsgrunnlag kan være:

En beslutning fra EU-kommisjonen om tilstrekkelig beskyttelsesnivå i mottakerlandet (adekvansbeslutning)
EUs standardkontraktsklausuler (SCCs) inngått mellom relevante parter
Bindende virksomhetsregler (BCRs) som er godkjent av kompetent tilsynsmyndighet
Andre godkjente mekanismer etter GDPR artikkel 46 eller unntak etter artikkel 49

Databehandleren skal informere Mementor AS om det konkrete overføringsgrunnlaget og eventuelle tilleggstiltak som er gjennomført for å sikre et tilstrekkelig beskyttelsesnivå.

11. Revisjon og kontroll

Mementor AS har rett til å gjennomføre revisjoner for å kontrollere at Databehandleren overholder denne Avtalen og gjeldende personvernlovgivning. Revisjoner kan gjennomføres av Mementor AS selv eller av en uavhengig tredjepart utpekt av Mementor AS.

Revisjonen kan omfatte:

Inspeksjon av systemer, lokaler og dokumentasjon som er relevante for behandlingen
Gjennomgang av sikkerhetstiltak, rutiner og logger
Intervjuer med Databehandlerens personell som er involvert i behandlingen

Databehandleren skal gi nødvendig tilgang og bistand i forbindelse med revisjonen. Mementor AS skal varsle Databehandleren minst 14 dager før en planlagt revisjon, med mindre det foreligger mistanke om sikkerhetsbrudd eller vesentlig avtalebrudd. Kostnader knyttet til revisjonen bæres av Mementor AS, med mindre revisjonen avdekker vesentlige mangler hos Databehandleren.

12. Varighet og opphør

Denne Avtalen gjelder så lenge Databehandleren behandler personopplysninger på vegne av Mementor AS. Avtalen følger varigheten til den underliggende tjenesteavtalen mellom Partene.

Mementor AS kan si opp denne Avtalen med umiddelbar virkning dersom:

Databehandleren bryter vesentlige bestemmelser i denne Avtalen
Databehandleren handler i strid med gjeldende personvernlovgivning
Databehandleren engasjerer underdatabehandlere uten godkjenning fra Mementor AS
Databehandleren ikke gjennomfører tilstrekkelige sikkerhetstiltak etter pålegg fra Mementor AS

Ved opphør av Avtalen gjelder bestemmelsene i punkt 13 om sletting og tilbakelevering.

13. Sletting og tilbakelevering av data

Ved opphør av denne Avtalen skal Databehandleren, etter Mementor AS sitt valg, enten slette eller tilbakelevere alle personopplysninger som er behandlet på vegne av Mementor AS. Dette skal skje innen 30 dager etter avtalens opphør.

Databehandleren skal også slette alle eksisterende kopier av personopplysningene, med mindre EU-rett eller norsk lov krever fortsatt lagring. Dersom slik lovpålagt lagring er nødvendig, skal Databehandleren informere Mementor AS om det rettslige grunnlaget og omfanget av den fortsatte lagringen.

Mementor AS kan be om skriftlig bekreftelse på at slettingen er gjennomført i henhold til denne bestemmelsen.

14. Ansvar og erstatning

Databehandleren er ansvarlig for tap som oppstår som følge av at Databehandleren har behandlet personopplysninger i strid med denne Avtalen eller gjeldende personvernlovgivning. Ansvarsfordelingen mellom Partene følger reglene i GDPR artikkel 82.

Dersom Mementor AS blir ilagt bøter eller erstatningskrav som skyldes Databehandlerens brudd på denne Avtalen, kan Mementor AS kreve regress fra Databehandleren for den delen av tapet som skyldes Databehandlerens forhold.

15. Lovvalg og tvisteløsning

Denne Avtalen er underlagt norsk rett. Tvister som oppstår i forbindelse med Avtalen, skal først forsøkes løst gjennom forhandlinger mellom Partene. Dersom Partene ikke oppnår enighet innen 30 dager, kan tvisten bringes inn for de alminnelige norske domstolene med Oslo tingrett som verneting.

16. Kontaktinformasjon

Henvendelser knyttet til denne Avtalen rettes til:

Behandlingsansvarlig: Mementor AS, org.nr. 933 662 648. E-post: kontakt@bestpris.no
Databehandler: Kontaktinformasjon som oppgitt i den underliggende tjenesteavtalen mellom Partene.

Begge Parter forplikter seg til å holde kontaktinformasjonen oppdatert gjennom hele avtalens varighet. Endringer i kontaktinformasjon skal varsles skriftlig uten ugrunnet opphold.

Ofte stilte spørsmål

Hva er en databehandleravtale (DPA)?

En databehandleravtale er en juridisk bindende avtale som regulerer hvordan en ekstern leverandør skal behandle personopplysninger på vegne av en virksomhet. Avtalen er påkrevd etter GDPR artikkel 28 når personopplysninger deles med en tredjepart for behandling.

Hvem er behandlingsansvarlig for personopplysninger på Bestpris.no?

Mementor AS, med organisasjonsnummer 933 662 648, er behandlingsansvarlig for alle personopplysninger som samles inn og behandles gjennom Bestpris.no.

Hva er forskjellen mellom behandlingsansvarlig og databehandler?

Behandlingsansvarlig er virksomheten som bestemmer hvorfor og hvordan personopplysninger skal brukes. Databehandleren er en ekstern part som utfører selve behandlingen på vegne av den behandlingsansvarlige, og må følge instruksene i databehandleravtalen.

Hvilke typer personopplysninger dekker denne avtalen?

Avtalen dekker alle personopplysninger som behandles gjennom Bestpris.no sine tjenester. Eksempler er navn, e-postadresse, telefonnummer, IP-adresse og nettleserdata.

Hva er en underdatabehandler?

En underdatabehandler er en tredjepart som databehandleren engasjerer for å utføre deler av behandlingen av personopplysninger. Bruk av underdatabehandlere krever godkjenning fra den behandlingsansvarlige og reguleres i databehandleravtalen.

Hva skjer ved motstrid mellom databehandleravtalen og en annen avtale?

Ved motstrid mellom databehandleravtalen og den underliggende tjenesteavtalen mellom partene, har databehandleravtalen forrang i alle spørsmål som gjelder behandling av personopplysninger.

Hva er et sikkerhetsbrudd i forbindelse med personopplysninger?

Et sikkerhetsbrudd er en hendelse som fører til uautorisert tilgang til, tap av eller endring av personopplysninger. Ved slike hendelser har databehandleren plikt til å varsle den behandlingsansvarlige uten ugrunnet opphold.

Hvorfor har Bestpris.no en databehandleravtale?

Bestpris.no bruker eksterne leverandører som behandler personopplysninger på vegne av Mementor AS. GDPR artikkel 28 krever at slik behandling reguleres gjennom en skriftlig databehandleravtale som sikrer at personopplysningene håndteres trygt og i tråd med norsk lov.