Databehandleravtale

1. AVTALENS HENSIKT

Denne databehandleravtalen (“Avtalen”) har til hensikt å regulere partenes rettigheter og plikter etter Lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) og Forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften).

Avtalen skal sikre at personopplysninger ikke behandles urettmessig eller kommer uberettigede i hende samt sikre overholdelse av krav i personopplysningsloven og personopplysningsforskriften.

Avtalen fastsetter vilkår for den behandling av personopplysninger som Databehandler utfører på vegne av Behandlingsansvarlig i forbindelse med levering av selvbetjent investorportal for unoterte aksjeselskaper (“Tjenesten”).

 

2. DEFINISJONER

Med personopplysninger menes opplysninger og vurderinger som kan knyttes til en enkeltperson, jf. personopplysningsloven § 2 nr. 1.

Behandlingsansvarlig er enhver kunde av Owners Room AS som det fremgår av gjeldende Ordrebekreftelse, Behandlingsansvarlig skal forstås slik begrepet er definert i personopplysningsloven § 2 nr. 4.

Databehandler er Owners Room AS og begrepet skal forstås slik begrepet er definert i personopplysningsloven § 2 nr. 5.

Med behandling av personopplysninger menes enhver bruk av personopplysninger, for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter, jf. personopplysningsloven § 2 nr. 2.

 

3. FORMÅLET MED BEHANDLINGEN AV PERSONOPPLYSNINGER

Tjenesten innebærer at Databehandler gir Behandlingsansvarlig tilgang til et privat, virtuelt “rom” hvor ledelse, eiere og potensielle eiere (“registrerte”) kan samhandle.

Databehandler skal på vegne av Behandlingsansvarlig behandle personopplysninger knyttet til de registrertes navn, e-postadresser, postadresser og 11-sifrede fødselsnumre. I tillegg kan Databehandler på vegne av Behandlingsansvarlig behandle andre typer personopplysninger som Behandlingsansvarlig laster opp ved hjelp av Tjenesten, f.eks. personopplysninger om ansatte, kunder eller leverandører knyttet til det enkelte selskap.

Formålet med Databehandlers behandling er å gjennomføre Tjenesten herunder å forestå sikker datalagring, sikkerhetskopiering, gjenoppretting og sikring av konfidensialitet, integritet og tilgjengelighet.

Personopplysningene skal ikke benyttes på annen måte, i andre sammenhenger, til andre formål eller i større grad enn angitt her, og rammene for Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig er uttømmende angitt i Avtalen.

Behandlingsansvarlig skal innhente nødvendige tillatelser og samtykker som er påkrevd for opplasting, lagring og bruk av personopplysninger ved bruk av Tjenesten. Ved eventuelle pålegg fra Datatilsynet vil Avtalen om nødvendig bli redigert i henhold til dette.

 

4. BEHANDLINGSANSVARLIGES INSTRUKSJONSMYNDIGHET

Under utføring av oppdraget for Behandlingsansvarlig står Databehandler under instruksjon fra Behandlingsansvarlig, og plikter å følge de muntlige og skriftlige rutiner og instrukser for behandling av personopplysninger som Behandlingsansvarlig pålegger.

Behandlingsansvarlig kan når som helst endre kravene til hvordan personopplysningene skal behandles etter Avtalen.

Databehandler skal påse at samtlige personer i virksomheten som har tilgang til slike personopplysninger som behandles på vegne av Behandlingsansvarlig, er kjent med Avtalen og forpliktet av Avtalens bestemmelser.

 

5. DATABEHANDLERS PLIKTER

Databehandler skal kun behandle personopplysninger som angitt i Avtalen. Databehandler kan ikke utlevere personopplysninger til andre eksterne parter uten at dette fremgår klart av Avtalen. Databehandler skal gi Behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå slik at Behandlingsansvarlig kan ivareta sitt eget ansvar etter gjeldende lovregler.

Behandlingsansvarlig har rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes av Databehandler til de formål som er angitt i Avtalen pkt. 2. Databehandler skal gi nødvendig bistand til dette og slik bistand skal ytes uten vederlag.

Databehandler har taushetsplikt om dokumentasjon og personopplysninger som Databehandler får tilgang til etter Avtalen. Denne bestemmelsen gjelder også etter Avtalens opphør.

Dersom Databehandler mottar henvendelser om innsyn, retting eller sletting av personopplysninger, jf. personopplysningsloven § 18, § 27 og § 28, skal henvendelsen videreformidles til Behandlingsansvarlig som skal oppfylle den registrertes forespørsel.

Behandlingsansvarlig skal sørge for at personopplysningslovens regler om informasjonsplikt til den registrerte er ivaretatt.

 

6. BRUK AV UNDERLEVERANDØR

Databehandler kan benytte underleverandør til levering av Tjenesten, herunder til behandling av personopplysninger for Behandlingsansvarlig, dersom slik underleverandør er pålagt identiske avtalemessige forpliktelser som Databehandler.

Samtlige som på vegne av Databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med Databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.

Databehandler er ansvarlig overfor Behandlingsansvarlig for ethvert lov- og/eller forskriftsbrudd eller brudd på forpliktelsene etter Avtalen som skyldes Databehandlers underleverandør, som om handlingen var utført av Databehandler selv.

 

7. KRAV TIL INFORMASJONSSIKKERHET

Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningslovens §§ 13–15 personopplysningsforskriftens kap. 2 og 3.

Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på Behandlingsansvarliges og/eller Datatilsynets forespørsel.

Databehandler skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandlingen av personopplysninger på vegne av Behandlingsansvarlig.

Databehandler skal sørge for at personopplysningene ikke gjøres tilgjengelige for uvedkommende og sørge for tilstrekkelig adgangskontroll til fysiske lokaler og tilgangsstyring til elektronisk lagret informasjon.

Databehandler skal sikre at antall medarbeidere med tilgang til Behandlingsansvarliges personopplysninger begrenses mest mulig. Ansatte hos Databehandler skal pålegges taushetsplikt vedrørende sin behandling av personopplysninger på vegne av Behandlingsansvarlig. Taushetsplikten skal også omfatte annen informasjon av betydning for informasjonssikkerheten.

Elektronisk lagret informasjon som inneholder personopplysninger skal være sikret med passord og andre lignende tekniske sikkerhetstiltak som sikrer at elektronisk lagret informasjon ikke er tilgjengelig for uvedkommende eller at det skjer uønsket endring/sletting av data. Sikkerhetskravene skal oppfylle alminnelige anerkjente metoder eller bedre. Sensitive personopplysninger skal ikke sendes på usikret e-post eller på annen måte overføres usikret.

Databehandler skal sikre at IT-systemer og øvrige systemer som benyttes ved behandlingen av personopplysninger under denne Avtalen, og sammenkoblinger mellom disse, er konfigurert slik at tilfredsstillende informasjonssikkerhet oppnås.

Databehandler skal sikre at det er etablert tiltak mot ødeleggende programvare på de av Databehandlers systemer som benyttes til å behandle personopplysningene på vegne av Behandlingsansvarlig. Databehandler skal blant annet benytte brannmur og programvare for viruskontroll.

Personopplysninger som behandles på vegne av Behandlingsansvarlig skal holdes logisk atskilt fra Databehandlers egne og tredjeparts personopplysninger.

Databehandler plikter å påse at det ikke behandles andre personopplysninger enn de som er nødvendig for å utføre tjenestene som definert i Avtalen pkt. 2.

Avviksmelding etter personopplysningsforskriftens § 2-6 skal skje ved at Databehandler melder avviket til Behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet.

 

8. SIKKERHETSREVISJONER

Databehandler skal gjennomføre årlige sikkerhetsrevisjoner av informasjonssystemet som benyttes for å utføre arbeidet på vegne av Behandlingsansvarlig og som er relevant for Avtalen. Resultatet av sikkerhetsrevisjonen skal gjøres tilgjengelig for Behandlingsansvarlig på forespørsel.

Behandlingsansvarlig har anledning til å gjennomføre sikkerhetsrevisjon av Databehandlers rutiner for informasjonssikkerhet og internkontroll. Revisjonen kan omfatte stedlig inspeksjon eller gjennomføres ved at Databehandler oversender sine risikovurderinger, oppdaterte rutiner for informasjonssikkerhet og internkontroll, sletterutiner, samt resultatet av den sikkerhetsrevisjonen som Databehandler har gjort av informasjonssystemet.

Behandlingsansvarlig har videre adgang til å foreta stikkprøvekontroller av Databehandlers informasjonssikkerhet og internkontroll.

Dersom Behandlingsansvarlig ønsker å foreta stedlig inspeksjon eller stikkprøvekontroll skal Databehandler varsles skriftlig og innen rimelig tid.

 

9. VARIGHET, PÅLEGG OM STANS, OPPSIGELSE MV

Avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig.

Dersom Behandlingsansvarlig blir kjent med at Databehandler ikke behandler personopplysningene slik Avtalen beskriver eller utfører behandling av personopplysninger i strid med sine forpliktelser etter gjeldende lovregler, kan Behandlingsansvarlig pålegge Databehandler å stoppe den videre behandling av personopplysningene med øyeblikkelig virkning.

 

10. VED OPPHØR

Ved opphør av Avtalen plikter Databehandler å tilbakelevere og/eller slette alle personopplysninger som er mottatt på vegne av Behandlingsansvarlig og som omfattes av Avtalen.

Databehandler skal slette, eller på en forsvarlig måte destruere alle øvrige dokumenter, data, disketter, cd-er mv. som inneholder personopplysninger som omfattes av Avtalen. Dette gjelder også for eventuelle sikkerhetskopier. Eventuelle kostnader forbundet med dette skal bæres av Databehandler.

Databehandler skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til Avtalen innen rimelig tid etter Avtalens opphør.

Ved opphør av Avtalen kan det nærmere avtales på hvilken måte overlevering og/eller sletting/destruksjon av personopplysningene skal skje.

 

11. MEDDELELSER

Meddelelser etter denne avtalen skal sendes skriftlig til Alexander Storkaas, CEO i Owners Room AS på mail hello@ownersroom.com

 

12. LOVVALG OG VERNETING

Avtalen reguleres av norsk lov. Eventuelle tvister som følge av denne Avtalen skal søkes løst ved forhandlinger. Oslo tingrett vedtas som verneting.

 

Sist oppdatert 07.11.2018