Adminflow – Smart SaaS for Regnskapsførere, Aksjonærer & Styremedlemmer

Databehandleravtale

Denne databehandleravtalen regulerer Adminflow AS' behandling av personopplysninger på vegne av kunden, og utgjør en integrert del av Tjenesteavtalen mellom partene.

Introduksjon

Denne databehandleravtalen ("Databehandleravtalen") regulerer Adminflows ("Databehandler") behandling av personopplysninger på vegne av kunden ("Behandlingsansvarlig"). Databehandleravtalen er utformet for å sikre partenes overholdelse av artikkel 28(3) i forordning 2016/679 fra Europaparlamentet og Rådet av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (Personvernforordningen) ("Personvernlovgivning").

Partene har inngått en avtale om levering av tjenester beskrevet i abonnementsavtalen inngått mellom partene ("Tjenesteavtalen"). Ved utførelse av Tjenestene under Tjenesteavtalen vil Databehandler behandle personopplysninger på vegne av den Behandlingsansvarlige. Databehandleravtalen utgjør en integrert del av Tjenesteavtalen.

Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig skal bestå av innsamling, strukturering, lagring, og annen behandling av personopplysninger etter behov for å oppfylle sine forpliktelser under Tjenesteavtalen.

Behandlingen inkluderer personopplysninger slik som navn, e-postadresse, telefonnummer, adresse, fødselsnummer, og andre opplysninger lastet opp i løsningen av Behandlingsansvarlig eller dennes brukere.

Kategorier av datasubjekter omfattet av behandlingen er ansatte og kunder av Behandlingsansvarlig og andre kategorier av datasubjekter lastet opp i løsningen av Behandlingsansvarlig.

Dokumenterte instrukser

Databehandler skal kun behandle personopplysninger etter dokumenterte instrukser fra den Behandlingsansvarlige som spesifisert i denne Databehandleravtalen. Databehandler skal informere den Behandlingsansvarlige dersom instrukser gitt av Behandlingsansvarlig, etter Databehandlers vurdering, bryter gjeldende Personvernlovgivning.

Behandlingsansvarliges forpliktelser

Behandlingsansvarlig er ansvarlig for personopplysningene og er ansvarlig for dataenes nøyaktighet, integritet og pålitelighet, og har ansvar for å sikre at behandlingen av personopplysninger, som Databehandler er instruert til å utføre, har et rettslig grunnlag.

Konfidensialitet

Databehandler skal sikre at personer autorisert til å behandle personopplysningene har forpliktet seg til å behandle opplysningene konfidensielt eller er underlagt en lovfestet taushetsplikt.

Sikkerhet

Databehandler skal iverksette passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er passende for risikoen, idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter. En overordnet beskrivelse av Databehandlers sikkerhetstiltak finnes på https://security.adminflow.no/Security/.

Databehandler skal vurdere risikoene for rettighetene og frihetene til fysiske personer som er iboende i behandlingen, og iverksette tiltak for å redusere disse risikoene. For dette formålet skal Behandlingsansvarlig gi Databehandler all nødvendig informasjon for å identifisere og vurdere slike risikoer.

Bruk av underdatabehandlere

Databehandler kan bruke underbehandlere til å behandle personopplysninger på vegne av Behandlingsansvarlig basert på generell autorisasjon fra Behandlingsansvarlig. Databehandler skal informere Behandlingsansvarlig skriftlig om eventuelle endringer av underbehandlere minst 45 dager i forveien, og dermed gi Behandlingsansvarlig mulighet til å protestere mot slike endringer før den foreslåtte underbehandler(e) engasjeres. Behandlingsansvarlig kan skriftlig protestere mot endringen i løpet av denne perioden, og forklare sine rimelige grunner for innvendingene. Hvis Databehandler beslutter å gå videre med endringen til tross for Behandlingsansvarliges rimelige innvendinger, har Behandlingsansvarlig rett til å si opp Tjenesteavtalen innen 45 dager etter at endringen er varslet.

Når Databehandler engasjerer underdatabehandlere, skal Databehandler pålegge de tilsvarende databeskyttelsesforpliktelser som fastsatt i denne Databehandleravtalen på sine underbehandlere. Databehandler skal forbli fullt ansvarlig overfor Behandlingsansvarlig for oppfyllelsen av underbehandlerens forpliktelser.

På tidspunktet for signering av Databehandleravtalen bruker Databehandler følgende underdatabehandlere.

Navn

Bruksområde

Datalagringssted

Amazon Web Services, Inc.

Infrastruktur og hosting

Stockholm, Sverige (EU)

Microsoft Corporation

Backoffice- og produktivitetsverktøy

EU (inkl. Dublin, Irland)

Heap, Inc.

Produktanalyse

USA

Hotjar Limited

Produktanalyse og brukerinnsikt

Dublin, Irland (EU)

HubSpot, Inc.

CRM og markedsføringsautomatisering

USA

Crisp IM SAS

Kundestøtte og live chat

Sentry, Inc.

Applikasjonsovervåking og feilsporing

USA

KOIA sp. z o.o.

Teknologisk utviklingspartner

Polen (EU)

Oversikt over tredjepartsleverandører

Leverandør

Formål

Datalagringssted

Meta Platforms, Inc. (Facebook Pixel)

Markedsanalyse og konverteringssporing

USA

Google LLC (Google Tag Manager)

Administrasjon av nettsidetagger og analyse

USA

LinkedIn Corporation

Markedsføring og konverteringssporing

USA

Overføring av data til tredjeland eller internasjonale organisasjoner

Databehandler kan kun overføre personopplysninger til tredjeland eller internasjonale organisasjoner utenfor EU/EØS, eller til andre land enn de som EU-kommisjonen anser å ha et tilstrekkelig beskyttelsesnivå, dersom vilkårene fastsatt i GDPR om overføring av personopplysninger til tredjeland eller internasjonale organisasjoner oppfylles av Databehandler. Databehandler kan sikre overholdelse av slike betingelser ved å bruke standard kontraktsklausuler (EU Standard Contractual Clauses), forutsatt at vilkårene for bruk av disse standard kontraktsklausulene er oppfylt.

Bistand til Behandlingsansvarlig

Databehandler skal, hensyntatt behandlingens natur, bistå Behandlingsansvarlig med hensiktsmessige tekniske og organisatoriske tiltak, så langt det er mulig, for å oppfylle Behandlingsansvarlig sin plikt til å svare på forespørsler om å utøve den registrertes rettigheter. Databehandler kan kreve kompensasjon for tid brukt, og rimelige og nødvendige utgifter som følge av slik bistand.

Databehandler skal, hensyntatt behandlingen og informasjonen som er tilgjengelig for Databehandler, bistå Behandlingsansvarlig med å sikre overholdelse av forpliktelsene i henhold til GDPR artiklene 32 til 36. Databehandler kan kreve kompensasjon for tid brukt og rimelige og nødvendige utgifter som følge av slik bistand.

Varsling om brudd på personopplysningssikkerheten

Databehandler skal, uten ugrunnet opphold etter å ha blitt oppmerksom på et brudd på personopplysningssikkerheten, varsle Behandlingsansvarlig om sikkerhetsbruddet.

Databehandlers varsling til Behandlingsansvarlig skal, der det er mulig, skje innen 72 timer etter at Databehandler blir klar over sikkerhetsbruddet, slik at Behandlingsansvarlig kan oppfylle Behandlingsansvarliges plikt til å varsle personopplysningsbruddet til den kompetente tilsynsmyndigheten.

Varselet skal, i den grad informasjonen er kjent på tidspunktet for varslingen, inneholde minst følgende:

• arten av sikkerhetsbruddet, inkludert, der det er mulig, kategoriene og det omtrentlige antallet berørte datasubjekter samt kategoriene og det omtrentlige antallet personopplysninger det gjelder;

• de sannsynlige konsekvensene av sikkerhetsbruddet;

• hvilke tiltak som Databehandler iverksetter eller foreslår å iverksette for å håndtere sikkerhetsbruddet, inkludert, der det er hensiktsmessig, tiltak for å dempe mulige negative konsekvenser.

Sletting og tilbakelevering av data

Ved opphør av levering av databehandlingstjenester skal Databehandler slette alle personopplysninger behandlet på vegne av Behandlingsansvarlig og på forespørsel bekrefte overfor Behandlingsansvarlig at dette er gjort.

Revisjon og inspeksjon

Databehandler skal gjøre all nødvendig informasjon tilgjengelig for Behandlingsansvarlig for å dokumentere overholdelse av forpliktelsene fastsatt i GDPR artikkel 28 og Databehandleravtalen. I den grad Behandlingsansvarlig sine revisjonskrav under Personvernlovgivningen ikke med rimelighet kan oppfylles gjennom revisjonsrapporter levert av Databehandler, dokumentasjon eller annen informasjon som Databehandler gjør generelt tilgjengelig for sine kunder, kan Behandlingsansvarlig ikke mer enn én gang per kalenderår med mindre det oftere kreves på grunn av etterlevelse av en tilsynsmyndighetsforespørsel eller etter at Databehandler har brutt denne Databehandleravtalen, krever at Databehandler raskt svarer på revisjonsforespørsler. I slike tilfeller skal Databehandler tillate og bidra til revisjoner av Databehandler, inkludert inspeksjoner, utført av Behandlingsansvarlig eller en annen revisor pålagt av Behandlingsansvarlig.

Databehandler skal gi tilsynsmyndighetene, som i henhold til gjeldende lovgivning har tilgang til Behandlingsansvarlig og Databehandlers fasiliteter, eller representanter som handler på vegne av slike tilsynsmyndigheter, tilgang til Databehandlers fysiske fasiliteter ved fremvisning av passende legitimasjon.

Varsel om forespørsel fra myndighetene

Databehandler skal varsle Behandlingsansvarlig uten unødig opphold dersom en myndighet stiller forespørsler eller ber om utlevering av personopplysninger gitt av Behandlingsansvarlig til Databehandler.

Ikrafttredelse og avslutning

Databehandleravtalen trer i kraft på ikrafttredelsesdatoen for Tjenesteavtalen. Databehandleravtalen skal gjelde så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig. For varigheten av levering av databehandlingstjenester kan ikke Databehandleravtalen avsluttes med mindre en annen databehandleravtale er inngått mellom partene.