Denne databehandleravtalen består av en standarddel, med standardvilkår fra EU, mens vedleggene A til D spesifiserer den konkrete behandlingene og vilkårer som gjelder for Lexolves prosessering av persondata på Kundens vegne.
For å gjøre avtalen litt enklere å lese, har vi brukt AI til å oppsummere hvert standardvilkår. Disse oppsummeringene er ikke en del av avtalen.
Innhold
henhold til artikkel 28 nummer 3, i Europaparlamentets og Rådets forordning 2016/679 (personvernforordningen) for databehandlerens behandling av personopplysninger
mellom
Kunden, heretter «den behandlingsansvarlige»
og
Lexolve AS, organisasjonsnummer 918 567 852, heretter «databehandleren», som hver for seg er en «part» og sammen utgjør «partene»
Partene har avtalt følgende standard avtalevilkår (“Vilkårene”) for å overholde personvernforordningen og sikre beskyttelse av fysiske personers grunnleggende rettigheter og friheter.
Forklaringene i disse boksene underveis er kun ment å gjøre det enklere å lese databehandleravtalen, og utgjør ikke del av avtalen eller selvstendig avtaletekst.
2. Innledning
3. Den behandlingsansvarliges rettigheter og plikter
4. Databehandleren handler etter instrukser
5. Konfidensialitet
6. Sikkerhet ved behandlingen
7. Bruk av underdatabehandlere
8. Overføring til tredjeland eller internasjonale organisasjoner
9. Bistand til den behandlingsansvarlige
10. Underretning om brudd på personopplysningssikkerheten
11. Sletting og returnering av opplysninger
12. Revisjon, herunder inspeksjon
13. Partenes avtale om andre forhold
14. Ikrafttredelse og opphør
15. Kontaktpersoner hos den behandlingsansvarlige og databehandleren
Vedlegg A Opplysninger om behandlingen
Vedlegg B Underdatabehandlere
Vedlegg C Instruks for behandling av personopplysninger
Vedlegg D Partenes regulering av andre forhold
Disse vilkårene beskriver ansvaret og pliktene mellom to parter når personopplysninger behandles, i tråd med europeisk personvernlovgivning. De inneholder detaljer om hvordan data skal behandles, hvem som kan hjelpe til med behandlingen, og hvilke sikkerhetstiltak som må være på plass. Vilkårene har forrang over andre avtaler og fritar ikke databehandleren fra å følge loven.
2.1 Disse Vilkårene fastsetter den behandlingsansvarlige og databehandlerens rettigheter og plikter når databehandleren utfører behandling av personopplysninger på vegne av den behandlingsansvarlige.
2.2 Disse Vilkårene er utformet med for å sikre partenes etterlevelse av artikkel 28 nummer 3 i Europaparlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (personvernforordningen).
2.3 I forbindelse med leveringen av tjenester på plattformen under domenet lexolve.com behandler databehandleren personopplysninger på vegne av den behandlingsansvarlige i overensstemmelse med disse Vilkårene.
2.4 Vilkårene har forrang i forhold til eventuelle tilsvarende bestemmelser i andre avtaler mellom partene.
2.5 Det er fire vedlegg til disse Vilkårene, og vedleggene utgjør en integrert del av Vilkårene:
Vedlegg A inneholder nærmere opplysninger om behandlingen av personopplysninger, herunder om behandlingens formål og art, typen av personopplysninger, kategoriene av registrerte og behandlingens varighet.
Vedlegg B inneholder den behandlingsansvarliges betingelser for databehandlerens bruk av underdatabehandlere og en liste over underdatabehandlere som den behandlingsansvarlige har godkjent
Vedlegg C inneholder den behandlingsansvarliges instruks når det gjelder databehandlerens behandling av personopplysninger, en beskrivelse av de sikkerhetstiltakene som databehandleren som minimum skal gjennomføre, og hvordan revisjoner av databehandleren og eventuelle underdatabehandlere skal utføres.
Vedlegg D inneholder bestemmelser om andre aktiviteter som ikke er omfattet av Vilkårene.
2.6 Vilkårene med tilhørende vedlegg skal oppbevares skriftlig, herunder elektronisk, av begge parter.
2.7 Disse Vilkårene fritar ikke databehandleren fra plikter som databehandleren er pålagt etter personvernforordningen eller annen lovgivning.
Den behandlingsansvarlige (Kunden) har ansvar for at all håndtering av personopplysninger skjer i tråd med loven og disse vilkårene.
3.1 Den behandlingsansvarlige er ansvarlig for å sikre at behandlingen av personopplysninger skjer i overensstemmelse med personvernforordningen (se personvernforordningen artikkel 24), gjeldende personopplysningsvernbestemmelser i unionsretten eller medlemsstatenes nasjonale rett og disse Vilkårene.
3.2 Den behandlingsansvarlige har rett og plikt til å bestemme formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes.
3.3 Den behandlingsansvarlige er ansvarlig for, blant annet, å sikre at det foreligger et behandlingsgrunnlag for behandlingen av personopplysninger som databehandleren instrueres om å gjøre.
Databehandleren følger instruksene fra Kunden for bruk av personopplysninger. Bryter instruksene bryter med reglene må Kunden varsles.
4.1 Databehandleren skal bare behandle personopplysninger etter dokumenterte instrukser fra den behandlingsansvarlige, med mindre noe annet kreves av unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt. Disse instruksene skal være spesifisert i vedlegg A og C. Etterfølgende instrukser kan også gis av den behandlingsansvarlige mens det skjer behandling av personopplysninger, men instruksene skal alltid være dokumenterte og oppbevares skriftlig, herunder elektronisk, sammen med disse Vilkårene.
4.2 Databehandleren skal omgående underrette den behandlingsansvarlige dersom en instruks fra den behandlingsansvarlige, etter databehandlerens mening, er i strid med personvernforordningen eller gjeldende personopplysningsvernbestemmelser i unionsretten eller medlemsstatenes nasjonale rett.
Lexolve kan kun tilgang til Kundens personopplysninger når det er nødvendig, og når de ansatte har forpliktet seg til taushetsplikt. Lexolve gjennomgår jevnlig hvem som har tilgang og fjerner tilgangen hvis den ikke lenger trengs.
5.1 Databehandleren kan bare gi tilgang til personopplysninger som behandles på den behandlingsansvarliges vegne til personer underlagt databehandlerens instruksjonsmyndighet som har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt, og bare i det nødvendige omfang. Listen av personer som har fått tilgang skal gjennomgås fortløpende. På bakgrunn av en slik gjennomgang kan tilgangen til personopplysninger stenges, dersom den ikke lenger er nødvendig, og personopplysningene skal deretter ikke lenger være tilgjengelig for disse personene.
5.2 Databehandleren skal etter anmodning fra den behandlingsansvarlige kunne påvise at de aktuelle personene underlagt databehandlerens instruksjonsmyndighet er underlagt ovennevnte taushetsplikt.
Både Kunden og Lexolve må sørge for at personopplysninger er godt beskyttet. Lexolve har sørget for tekniske tiltak som 2trinns autentisering, verifisering av e-post, og regelmessig testing av sikkerheten. Kunden må ikke dele passord og gi uathoriserte tilgang til Lexolve.
6.1 Personvernforordningen artikkel 32 fastslår at, idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen.
Den behandlingsansvarlige skal vurdere risikoene for fysiske personers rettigheter og friheter som behandlingen utgjør og gjennomføre tiltak for å imøtegå disse risikoene. Avhengig av relevans kan tiltakene omfatte:
6.2 Ifølge personvernforordningen artikkel 32 skal databehandleren – uavhengig av den behandlingsansvarlige – også vurdere risikoene for fysiske personers rettigheter og friheter som behandlingen utgjør, og gjennomføre tiltak for å imøtegå risikoene. Med henblikk på denne vurderingen skal den behandlingsansvarlige stille den nødvendige informasjonen til rådighet for databehandleren som gjør vedkommende i stand til å identifisere og vurdere slike risikoer.
6.3 Databehandleren skal også bistå den behandlingsansvarlige med å overholde den behandlingsansvarliges plikter etter personvernforordningen artikkel 32, ved blant annet å stille til den behandlingsansvarliges rådighet nødvendig informasjon om de tekniske og organisatoriske sikkerhetstiltakene som databehandleren allerede har gjennomført i henhold til personvernforordningen artikkel 32, samt all annen informasjon som er nødvendig for at den behandlingsansvarlige skal kunne overholde sine plikter etter personvernforordningen artikkel 32.
Hvis imøtegåelse av de identifiserte risikoene – etter den behandlingsansvarliges vurdering – krever at det gjennomføres ytterligere tiltak enn det databehandleren allerede har gjennomført, skal den behandlingsansvarlige angi disse tiltakene i vedlegg C.
Lexolve kan bare bruke underleverandører til å behandle personopplysninger med kundens godkjennelse og må gi beskjed om endringer minst 30 dager i forveien. Lexolve er ansvarlig for at underleverandørene følger de samme reglene for personvern som Lexolve.
7. 1 Databehandleren skal oppfylle betingelsene som er fastsatt i personvernforordningen artikkel 28 nummer 2 og nummer 4 for å gjøre bruk av en annen databehandler (en underdatabehandler).
7.2 Databehandleren må ikke bruke en underdatabehandler for å oppfylle Vilkårene uten på forhånd å ha innhentet en generell skriftlig godkjennelse fra den behandlingsansvarlige.
7.3 Databehandleren har den behandlingsansvarliges generelle godkjennelse til å benytte underdatabehandlere. Databehandleren skal skriftlig underrette den behandlingsansvarlige om eventuelle planlagte endringer som gjelder tilføyelse eller utskiftning av underdatabehandlere med minst 30 dagers varsel og dermed gi den behandlingsansvarlige mulighet til å motsette seg slike endringer før den eller de beskrevne underdatabehandler(e) engasjeres. Lengre varslingsfrister for spesifikke underdatabehandlertjenester kan angis i vedlegg B. Listen over underdatabehandlere som den behandlingsansvarlige allerede har godkjent fremgår av vedlegg B.
7.4 Når databehandleren engasjerer en underdatabehandler for å utføre spesifikke behandlingsaktiviteter på vegne av den behandlingsansvarlige, skal underleverandøren pålegges de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i disse Vilkårene, ved hjelp av en avtale eller et annet rettslig dokument i henhold til unionsretten eller medlemsstatenes nasjonale rett, der det særlig gis tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning.
Databehandleren er derfor ansvarlig for å kreve at underdatabehandleren som minimum overholder databehandlerens forpliktelser etter disse Vilkårene og personvernforordningen.
7.5 En kopi av slik underdatabehandleravtale og eventuelle etterfølgende endringer skal – ved den behandlingsansvarliges anmodning – sendes til den behandlingsansvarlige, som på denne måten har mulighet for å sørge for at underdatabehandleren er pålagt de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i disse Vilkårene. Kommersielle bestemmelser som ikke påvirker det personopplysningsvernrettslige innholdet av underdatabehandleravtalen, er ikke underlagt kravet om kopi til den behandlingsansvarlige.
7.6 Databehandleren skal i underdatabehandleravtalen inkludere den behandlingsansvarlige som begunstiget tredjepart i tilfelle databehandleren går konkurs, slik at den behandlingsansvarlige kan tre inn i databehandlerens rettigheter og gjøre dem gjeldende overfor underdatabehandler, hvilket for eksempel setter den behandlingsansvarlige i stand til å instruere underdatabehandleren om å slette eller tilbakeføre personopplysningene.
7.7 Hvis underdatabehandleren ikke oppfyller sine personopplysningsvernforpliktelser blir databehandleren fullt ut ansvarlig overfor den behandlingsansvarlige når det gjelder oppfyllelse av underdatabehandlerens forpliktelser. Dette påvirker ikke de registrertes rettigheter etter personvernforordningen – særlig de nedfestet i personvernforordningen artikkel 79 og 82 – overfor den behandlingsansvarlige og databehandleren, herunder underdatabehandleren.
Lexolve kan kun overføre personopplysninger til land utenfor EU eller til internasjonale organisasjoner hvis kunden har gitt skriftlige instruksjoner om det, og det må skje i tråd med personvernreglene.
8.1 Databehandleren kan kun overføre personopplysninger til tredjeland eller internasjonale organisasjoner etter dokumentert instruks fra den behandlingsansvarlige, og slik overføring skal alltid skje i overensstemmelse med personvernforordningen kapittel V.
8.2 Hvis overføring av personopplysninger til tredjeland eller internasjonale organisasjoner, som databehandleren ikke er blitt instruert av den behandlingsansvarlige om å gjennomføre, kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt, skal databehandleren underrette den behandlingsansvarlige om nevnte rettslige krav før behandlingen, med mindre denne rett av hensyn til viktige allmenne interesser forbyr en slik underretning.
8.3 Uten dokumentert instruks fra den behandlingsansvarlige kan databehandleren innenfor rammene av disse Vilkårene således ikke:
8.4 Den behandlingsansvarliges instruks når det gjelder overføring av personopplysninger til et tredjeland, herunder det eventuelle overføringsgrunnlaget i personvernforordningen kapittel V som overføringen er basert på, skal angis i vedlegg C.6.
8.5 Disse Vilkårene skal ikke forveksles med standard personvernbestemmelser som omhandlet i personvernforordningen artikkel 46 nummer 2 bokstav c og d, og disse Vilkårene kan ikke utgjøre et grunnlag for overføring av personopplysninger under personvernforordningen kapittel V.
Lexolve hjelper kunden med å håndtere forespørslene fra personer som ønsker å utøve sine rettigheter etter personvernreglene, som rett til innsyn, retting, sletting og andre rettigheter. Detaljene om hvordan Lexolve skal gi denne hjelpen blir spesifisert i vedlegg C.
9.1 Databehandleren bistår, idet det tas hensyn til behandlingens art og i den grad det er mulig, ved hjelp av egnede tekniske og organisatoriske tiltak, den behandlingsansvarlige med å oppfylle vedkommendes plikt til å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i personvernforordningen kapittel III.
Dette innebærer at databehandleren så langt det er mulig skal bistå den behandlingsansvarlige i den behandlingsansvarlige oppfyllelse av:
9.2 I tillegg til databehandlerens forpliktelse til å bistå den behandlingsansvarlige i henhold til Vilkårene 6.3., bistår databehandleren også, idet det tas hensyn til behandlingens art og den informasjonen som er tilgjengelig for databehandleren, den behandlingsansvarlige med:
9.3 Partene skal i vedlegg C oppgi de egnede tekniske og organisatoriske tiltakene gjennom hvilke databehandleren skal bistå den behandlingsansvarlige, samt omfanget og utstrekningen av den påkrevde bistanden. Dette gjelder for forpliktelsene som følger av Vilkårene 9.1. og 9.2.
Ved brudd på personopplysningssikkerheten må Lexolve straks informere kunden, helst innen 24 timer, slik at kunden kan rapportere bruddet til tilsynsmyndigheten i tide. Detaljene om hvordan Lexolve skal gi denne hjelpen er spesifisert i vedlegg C.
10.1 Ved brudd på personopplysningssikkerheten skal databehandleren underrette den behandlingsansvarlige om bruddet uten ugrunnet opphold etter å ha fått kjennskap til det.
10.2 Databehandlerens underretning til den behandlingsansvarlige skal om mulig skje innen 24 timer etter at databehandleren har fått kjennskap til bruddet på personopplysningssikkerheten, slik at den behandlingsansvarlige kan overholde sin forpliktelse til å melde bruddet til den kompetente tilsynsmyndigheten, jf. personvernforordningen artikkel 33.
10.3 I overensstemmelse med Vilkår 9 nummer 2 bokstav a skal databehandleren bistå den behandlingsansvarlige med å melde bruddet til den kompetente tilsynsmyndigheten. Det innebærer at databehandleren skal bistå med å fremskaffe informasjon listet opp nedenfor, som ifølge personvernforordningen artikkel 33 nummer 3 skal fremgå av den behandlingsansvarliges melding av bruddet til den kompetente tilsynsmyndigheten:
10.4 Partene skal i vedlegg C oppgi all informasjon som databehandleren skal fremskaffe når vedkommende bistår den behandlingsansvarlige med å melde brudd på personopplysningssikkerheten til den kompetente tilsynsmyndigheten.
Når Lexolve avslutter databehandlertjenestene, skal de slette alle personopplysninger de har behandlet for kunden og bekrefte dette, med mindre loven krever at opplysningene skal oppbevares. Lexolve skal kun bruke personopplysningene i henhold til de avtalte formålene og vilkårene.
11.1 Ved opphør av databehandlertjenestene skal databehandleren slette alle personopplysninger som er blitt behandlet på vegne av den behandlingsansvarlige og bekrefte overfor den behandlingsansvarlige at opplysningene er slettet, med mindre unionsretten eller medlemsstatenes nasjonale rett krever oppbevaring av personopplysningene.
Databehandleren forplikter seg til å utelukkende behandle personopplysningene til de(t) formål, med den varlighet og under de betingelsene som disse reglene fastsetter.
Lexolve må gi kunden all nødvendig informasjon for å vise at de følger personvernreglene og vilkårene, og støtte revisjoner og inspeksjoner fra kunden eller en autorisert revisor.
12.1 Databehandleren skal stille til den behandlingsansvarliges disposisjon all informasjon som er nødvendig for å påvise etterlevelse av forpliktelsene etter personvernforordningen artikkel 28 og disse Vilkårene. Videre skal databehandleren muliggjøre og bidra til revisjoner, herunder inspeksjoner, som utføres av den behandlingsansvarlige eller en annen revisor som er bemyndiget av den behandlingsansvarlige.
12.2 Prosedyrene for den behandlingsansvarliges revisjoner, herunder inspeksjoner, av databehandleren og underdatabehandlere er spesifisert i vedlegg C.7 og C.8.
12.3 Databehandleren forplikter seg til å gi tilsynsmyndighetene, som etter gjeldende lovgivning har tilgang til den behandlingsansvarliges eller databehandlerens lokaler, eller representanter som opptrer på slike tilsynsmyndigheters vegne, adgang til databehandlerens fysiske lokaler ved presentasjon av behørig legitimasjon.
Partene kan avtale tilleggsvilkår for databehandlertjenestene, som for eksempel erstatningsansvar, så lenge disse ikke strider mot de eksisterende vilkårene eller skader de registrertes rettigheter og personvernbeskyttelse.
13.1 Partene kan avtale andre bestemmelser som gjelder databehandlertjenestene, f.eks. erstatningsansvar, så lenge disse andre bestemmelsene ikke direkte eller indirekte strider mot disse Vilkårene eller er til skade for den registrertes grunnleggende rettigheter og friheter og beskyttelsen som følger av personvernforordningen.
Når Lexolve avslutter databehandlertjenestene, skal de slette alle personopplysninger de har behandlet for kunden og bekrefte dette, med mindre loven krever at opplysningene skal oppbevares. Lexolve skal kun bruke personopplysningene i henhold til de avtalte formålene og vilkårene.
14.1 Vilkårene er en integrert del av avtalen mellom Partene om levering av tjenester og trer i kraft samtidig som avtale om levering av tjenester.
14.2 Begge partene kan kreve Vilkårene reforhandlet dersom lovendringer eller uhensiktsmessigheter i Vilkårene gir grunn til dette.
14.3 Vilkårene gjelder så lenge databehandlertjenestene varer. I denne perioden kan Vilkårene ikke sies opp, med mindre partene avtaler andre vilkår som regulerer levering av databehandlertjenestene.
14.4 Hvis leveringen av databehandlertjenestene opphører, og personopplysningene er slettet eller returnert til den behandlingsansvarlige i overensstemmelse med Vilkårene 11.1 og vedlegg C.4, kan Vilkårene sies opp med skriftlig varsel av begge partene.
15.1 Partene kan kontakte hverandre via nedenstående kontaktpersoner.
15.2 Partene forplikter seg til å orientere hverandre løpende om endringer som gjelder kontaktpersoner.
Kontaktperson hos databehandleren
Navn: Heidi Daaland
E-postadresse: [email protected]
Kontaktperson hos behandlingsansvarlig
Kontaktpersonen anses å være den personen som bestiller tjenestene.
Formålet med behandlingen er å levere abonnementstjenestene som leveres fra databehandleren til den behandlingsansvarlige ved bruk av plattformen under domenet lexolve.com.
Abonnementjenestene omfatter blant annet utfylling av maler på plattformen, generering av dokumenter som kan inkludere personopplysninger fra subjekter som ikke er brukere i vårt system eller part i dokumentene som lages, dokumentdeling, signering av dokumenter, opplasting og lagring av dokumenter.
Ved utfylling av maler samles personopplysninger inn ved at behandlingsansvarlig svarer på spørsmål i databehandlerens digitale maler. Som en del av abonnementstjenesten har også behandlingsansvarlig mulighet til å laste opp egne dokumenter. Ved opplasting av dokumenter vil personopplysninger i dokumentene som lastes opp medføre at det samles inn personopplysninger.
Behandlingen omfatter således innsamling, organisering og lagring av personopplysninger ved utfylling av maler på lexolve.com og ved opplasting av dokumenter.
Personopplysninger utfylt i malene lagres kryptert på servere eid av Google og driftet av Lexolve.
Personopplysningene som samles inn er de personopplysningene som behandlingsansvarlig legger inn på plattformen. Kategorien av personopplysninger som legges inn kan omfatte alle typer informasjon som er relevant ved bruk av tjenesten.
Ved utfylling av maler samles personopplysninger inn ved at behandlingsansvarlig svarer på spørsmål i databehandlerens digitale maler. De personopplysningene som typisk samles inn ved utfylling av maler kan være navn, hjemmeadresse, digital adresse, andre kontaktopplysninger, fødselsdato, personnummer, stilling, lønn og arbeidssted etc.
I tillegg til å fylle ut de predefinerte spørsmålene stilt av databehandleren, står behandlingsansvarlig fritt til å legge inn den informasjon de ønsker i fritekstfeltet i malene. Personopplysninger som legges inn i fritekstfeltene kan omfatte andre typer av opplysninger enn det som er listet opp ovenfor.
Som en del av abonnementstjenesten har også behandlingsansvarlig mulighet til å laste opp egne dokumenter. Det er ingen begrensning på typen dokumenter som kan lastes opp. Ved opplasting av dokumenter vil personopplysninger i dokumentene som lastes opp medføre at det samles inn personopplysninger. Disse personopplysningene kan være andre opplysninger enn det som er listet opp ovenfor.
Listen av personopplysninger som behandles er ikke uttømmende og behandlingsansvarlig er ansvarlig for å sikre at behandlingsansvarlig har rettigheten til å behandle dataene. Databehandleren kontrollerer ikke informasjon og dokumenter som legges inn på plattformen.
Personopplysningene som legges inn på plattformen av den behandlingsansvarlige kan gjelde ansatte, rådgivere, kunder, leverandører, samarbeidspartnere, aksjonærer, styremedlemmer og andre tredjeparter som den behandlingsansvarlige gjør, eller vurderer, eller har gjort, forretning med.
Listen over kategorier av registrerte som behandles er ikke uttømmende og behandlingsansvarlig er ansvarlig for å sikre at behandlingsansvarlig har rettigheten til å behandle dataene på vegne av de aktuelle subjektene. Databehandleren kontrollerer ikke informasjon og dokumenter som legges inn på plattformen.
Behandlingen varer så lenge databehandleren behandler personopplysninger på vegne av den behandlingsansvarlige i henhold til abonnementsavtalen inngått mellom databehandler og behandlingsansvarlig.
Ved Vilkårenes ikrafttredelse godkjenner den behandlingsansvarlige bruken av følgende underdatabehandlere:
NAVN, ORG. NR., ADRESSE, BESKRIVELSE AV BEHANDLINGEN, LOKASJON FOR BEHANDLING
Ved Vilkårenes ikrafttredelse har den behandlingsansvarlige godkjent bruken av ovennevnte underdatabehandlere for den behandlingsaktiviteten som er beskrevet for vedkommende. Databehandleren kan ikke – uten den behandlingsansvarliges eksplisitte skriftlige godkjennelse – benytte en underdatabehandler til en annen behandlingsaktivitet enn den som er avtalt for vedkommende eller bruke en annen underdatabehandler til den beskrevne behandlingsaktiviteten.
Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige skjer ved at databehandleren utfører følgende:
Formålet med behandlingen er å levere abonnementstjenestene som leveres fra databehandleren til den behandlingsansvarlige ved bruk av plattformen under domenet lexolve.com.
Abonnementstjenestene som tilbys på plattformen under domenet lexolve.com.
Abonnementjenestene omfatter blant annet utfylling av maler på plattformen, generering av dokumenter som kan inkludere personopplysninger fra subjekter som ikke er brukere i vårt system eller part i dokumentene som lages, dokumentdeling, signering av dokumenter, opplasting og lagring av dokumenter.
Behandlingen kan potensielt omfatte en stor mengde personopplysninger, og det er ingen begrensning i typen personopplysninger som kan ligge i plattformen sett hen til muligheten for fritekstredigering og opplasting av egne dokumenter. Derfor skal det etableres et ‘høyt’ sikkerhetsnivå.
Databehandleren har heretter rett og plikt til å treffe beslutninger om hvilke tekniske og organisatoriske sikkerhetstiltak som skal gjennomføres for å etablere det nødvendige (og avtalte) sikkerhetsnivået.
Databehandleren skal likevel – under enhver omstendighet og som minimum – gjennomføre følgende tiltak, som er avtalt med den behandlingsansvarlige:
Databehandleren skal i den grad det er mulig – i det nedenfor beskrevne omfang og utstrekning – bistå den behandlingsansvarlige i samsvar med Vilkårene 9.1 og 9.2 ved å gjennomføre følgende tekniske og organisatoriske tiltak:
Databehandler skal vurdere behovet for og om nødvendig implementere prosesser og rutiner slik at databehandleren kan bistå behandlingsansvarlig med å oppfylle sine plikter overfor de registrerte. Følgende retningslinjer skal uansett gjelde de registrertes rettigheter:
Enhver bruk av informasjonssystemer i strid med databehandlers fastlagte rutiner, behandlingsansvarliges instrukser, personvernlovgivningen eller GDPR, samt ethvert annet sikkerhetsbrudd, skal håndteres som et avvik.
Partene skal etablere og opprettholde rutiner og systematiske tiltak for oppfølging av avvik, herunder tiltak for gjenoppretting av normaltilstand, fjerning av årsaken til avviket og hindre gjentakelse.
Partene skal, så snart de får kunnskap om et avvik, uten ugrunnet opphold og senest innen 36 timer, informere hverandre om eventuelle sikkerhetsbrudd og umiddelbart iverksette alle nødvendige og hensiktsmessige tiltak for å gjenopprette normaltilstand.
Behandlingsansvarlig er ansvarlig for å sende avviksmelding til Datatilsynet og de registrerte i henhold til GDPR artikkel 33 og 34. Databehandler skal, om nødvendig, bistå behandlingsansvarlig med å sikre at GDPR artikkel 33 og 34 overholdes.
Ved brudd skal databehandler som et minimum gi følgende informasjon til behandlingsansvarlig:
Personopplysninger vi ikke er lovpålagt å oppbevare lengre, kan bli slettet ved opphør av kundeforholdet. Personopplysninger vil bli slettet i henhold til databehandlerens rutiner.
Behandlingsansvarlig er selv ansvarlig for å hente ut opplysninger fra plattformen som behandlingsansvarlig ønsker å beholde etter at kundeforholdet er avsluttet. Databehandler tar ingen ansvar for at behandlingsansvarlig får tilgang til opplysninger etter at kundeforholdet er avsluttet.
Behandling av personopplysninger som omfattes av Vilkårene kan ikke, uten den behandlingsansvarliges skriftlige forhåndsgodkjennelse, finne sted på andre lokasjoner enn følgende:
Infrastrukturen til Lexolve sin plattform leveres av Google og er derfor lokalisert på Google sine servere i Finland og Belgia.
Øvrig lokasjon for behandling følger av tabellen ovenfor om underdatabehandlere i vedlegg B, punkt B.1.
Hvis ikke den behandlingsansvarlige i Vilkårene eller etterfølgende gir en dokumentert instruks som gjelder overføring av personopplysninger til et tredjeland eller internasjonal organisasjon, kan ikke databehandleren, innen rammene av Vilkårene, gjennomføre slike overføringer.
Databehandler kan overføre de Personopplysningene Databehandler behandler på vegne av Behandlingsansvarlig til de land der Databehandler og Underdatabehandlerne driver sin virksomhet og lagre dem der. Disse landene er angitt i Vedlegg B.1. Behandlingsansvarlig er kjent med dette og godtar denne overføringen så lenge den er nødvendig for å gjennomføre de avtalte leveransene.
Behandlingsansvarlig godtar at Personopplysningene behandles utenfor Norge, herunder til land utenfor EU/EØS-området.
Underdatabehandlere som overfører opplysninger til USA er sertifisert under EU-U.S. Data Privacy Framework.
Databehandler skal, så langt det er lovpålagt, gjøre tilgjengelig for behandlingsansvarlig all informasjon som er nødvendig for å påvise overholdelse av databehandlers forpliktelser i henhold til personvernlovgivningen, GDPR og denne databehandleravtalen.
Databehandler skal muliggjøre og bidra til revisjoner i den grad slik revisjon er lovpålagt, herunder inspeksjoner, som gjennomføres av behandlingsansvarlig eller en annen inspektør på fullmakt fra behandlingsansvarlig, av databehandlers overholdelse av GDPR, personvernlovgivningen og denne databehandleravtalen. Behandlingsansvarlig har rett til å gjennomføre slike revisjoner på egen kostnad, maksimalt én gang i året med fire ukers forhåndsvarsel.
Databehandler skal, så langt det er lovpålagt, gjøre tilgjengelig dokumentasjon fra underdatabehandlere som er utarbeidet av underdatabehandler for å påvise overholdelse av underdatabehandlers forpliktelser i henhold til personvernlovgivningen, GDPR og denne databehandleravtalen. Eventuelle revisjoner, i den grad slik revisjon er lovpålagt, reguleres av de ulike underdatabehandlerene sine egne databehandleravtaler.
Følgende klausuler i Vilkårene fravikes av partene og skal ikke gjelde i avtaleforholdet mellom partene: