Simployer Trust CenterOther useful contentAgreements › Databehandleravtale

Databehandleravtale

Databehandleravtale

Standard Databehandleravtale (DBA) 

Parter i denne Databehandleravtalen fremgår av «Avtale om kjøp av Simployer HRM system».

Simployer Solutions AS vil være databehandler når systemet er i alminnelig drift og der aktuelle moduler behandler personopplysninger. Simployer AS vil være databehandler ved de tilfeller der etableringstjenester behandler personopplysninger. 

1. Bakgrunn

Gjennom inngåelse av Databehandleravtalen er partene enige om at Databehandleravtalen trer i kraft. Dersom Databehandleravtalen må revideres som følge av personvernforordningen (EU-forordning nr. 2016/679, heretter "GDPR") og/eller den norske implementeringen av GDPR, er partene enige om å samarbeide om en slik revisjon gjennom at Databehandler innarbeider nødvendige justeringer og umiddelbart orienterer Behandlingsansvarlig.

Ovennevnte regelverk inneholder krav til reguleringen av forholdet mellom Databehandler og Behandlingsansvarlig, og til de sikkerhetsmessige og organisatoriske tiltakene som må implementeres for å sørge for lovlig og sikker behandling av personopplysninger. Denne Databehandleravtalen er derfor inngått for å sikre at personopplysninger behandles i henhold til regelverket.

Databehandleravtalen regulerer Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig, som nærmere spesifisert i Databehandleravtalen.

Begrepet "personopplysninger" i denne Databehandleravtalen skal ha samme betydning som definert i GDPR artikkel 4 (1): «enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet.»

Denne Databehandleravtalen inngår som en del av nedenstående avtaler og forutsetter at nedenstående avtaler inngås eller er inngått for at Databehandleravtalen skal være gyldig:

  • Avtale om kjøp av systemer og/eller håndbøker fra Databehandler (heretter «Bruksrettavtalen»), inkludert standardbetingelser
  • Service Level Agreement

2. Formål

Formålet med systemet og Databehandlers behandling av personopplysningene er å sette Behandlingsansvarlig i stand til å gjennomføre handlinger knyttet til personalhåndtering.

Databehandler skal legge til rette for at Behandlingsansvarlig, som har bruksrett til systemet, selv skal kunne utføre databehandling ved hjelp av systemet.

Systemet har funksjonalitet, avhengig av modul, for lagring av eksempelvis følgende typer av personopplysninger:

Referanse

Modulbeskrivelse

Beskrivelse av behandling, typer personopplysninger

Særlige kategorier

A1

Personalregister – personalia om ansatte, tilgangskontroll, meldingsarkiv og organisasjonskart.

Navn, kontaktinformasjon, adresse, ansettelser og stillinger, bankkonto, informasjon knyttet til bruker-konto.

Ingen

A2

Dokumentarkiv – Dokumenter knyttet til ansatte.

Fritekstfelt (dokumenter) – både personopplysninger og særlige kategorier kan forekomme.

Kan forekomme (avhenger av hva som skrives i dokumentene)

A3

Ferie – Informasjon om ferie for ansatte.

Informasjon om de ansattes feriesøknader og ferieperioder.

Ingen

A4

Fri og permisjon – Informasjon om fri og permisjoner for ansatte.

Informasjon om de ansattes andre fri- og permisjonssøknader og fri- og permisjonsperioder.

Ingen

A5

Sykefravær – Informasjon om sykefravær for ansatte og lovpålagt dokumentasjon for oppfølging.

Informasjon om de ansattes sykefravær og lovpålagt dokumentasjon så som legeerklæringer. Sykefraværsoppfølging og lovpålagt relevant dokumentasjon.

Helseopplysninger kan forekomme (der den ansatte registrerer sykefravær)

A6

Reise og Utlegg - Reiser og utlegg med bilag og attestasjoner for ansatte.

Informasjon om de ansattes reiseregninger og utleggsoppgaver med tilhørende dokumentasjon. Kredittkorttransaksjoner kan være en del av dokumentasjonen.

Ingen

A7

Kompetanse – Informasjon om ansattes kompetanse.

Informasjon om de ansattes formell og uformell kompetanse, utdanning og sertifikater.

Ingen

B1

Prosesser (Onboarding, Offboarding, HMS) – Informasjon om arbeidsflyt og metadata knyttet til definerte prosesser i bedriften.

Samme opplysninger som A1, samt at modulen kan inneholde referater fra samtaler med overordnet eller ansatte i forbindelse med at den ansatte starter eller slutter i organisasjonen.

Ingen

B2

Arbeidsavtaler – Informasjon knyttet til arbeidsavtaler i bedriften.

Informasjon om de ansattes arbeidsavtale, inkludert navn og evt. personalia, samt opplysninger om stillingen og dens betingelser.

Ingen

C1

Håndbøker – brukerregister for tilgangskontroll til kundens håndbøker.

Behandler navn og e-postadresser til bruker, men inneholder normalt ingen andre personopplysninger.

Ingen

C2

Chatbot – Digital assistent som svarer på brukerens spørsmål knyttet til kundens Simployer håndbøker.

Behandler fritekstfelt som bruker skriver inn, normalt relatert til søk i personal-, leder og HMS-håndbøker.

Normalt ingen (dersom bruker ikke skriver inn dette i fritekstfelt)

D1

Avvik - Informasjon om avvik fra vedtatte rutiner i bedriften. Dette kan involvere personopplysninger rundt ansatte.

Informasjon om avvik som registreres i organisasjonen. Flere av feltene er fritekstfelter, som normalt relaterer seg til dokumentasjon rundt avvikene, men registrering av personopplysninger kan forekomme.

Kan forekomme (dersom bruker skriver inn dette i fritekstfelt)

E1

Tidsregistrering – Informasjon knyttet til førte timer for ansatte.

Informasjon om de ansattes registrering av timeføring.

Ingen

E2

Ressursplanlegging – bemanningsplanlegging for personer.

Informasjon om de ansattes planlagte tidsbruk.

Ingen

F1

Learning – Håndtering av utdanning, inkludert påmelding og kurshistorikk samt håndtering av kunnskapstester, e-læringsprogram.

Informasjon om de ansattes påmelding og gjennomføring av kurs og opplæringer, og resultater av tester. Modulen tillater fritekst, og registrering av andre- eller særskilte personopplysninger kan derfor forekomme.

Normalt ingen (dersom bruker ikke skriver inn dette i fritekstfelt)

F2

Dialog – Funksjonalitet for planlegging og gjennomføring av utviklingssamtaler eller andre strukturerte samtaler.

Samme opplysninger som A1, samt at modulen kan inneholde referater fra samtaler med overordnet eller ansatte i forbindelse med at den ansatte starter eller slutter i organisasjonen.

Ingen

F3

Kompetansehåndtering – Støtte for håndtering av kompetanse, individuell kompetansekartlegging og profilering av individer mot påkrevde kompetanseroller.

Informasjon om de ansattes formell og uformell kompetanse, utdanning og sertifikater.

Ingen

F4

Mål – Håndtere mål og målarbeid, med oppfølging på individnivå.

Informasjon om de ansattes personlige og profesjonelle utviklingsmål.

Ingen

F5

Medarbeideroppfølging – Funksjonalitet for å vurdere og planlegge arbeid rundt etterfølgere, f.eks. gjennom planlegging av erstattere og gradering av prestasjon og risiko.

Samme opplysninger som A1, samt at modulen kan inneholde referater fra samtaler med overordnet eller ansatte i forbindelse med at den ansatte slutter i organisasjonen.

Ingen

G1

Engasjement – Funksjonalitet og system for å måle engasjement hos de ansatte.

OBS: Se vedlegg B til databehandleravtalen for egne betingelser for denne modulen.

Informasjon om de ansattes kontaktinformasjon, navn og profil. Svarene fra den ansatte lagres kun i anonymisert form, og kan ikke knyttes opp i mot den ansatte.

Normalt ingen (dersom bruker ikke skriver inn dette i fritekstfelt), og kan ikke knyttes til personen, siden opplysningene anonymiseres.

G2

Whisteblower – Funksjonalitet og system for å varsle («whisteblowing»)OBS: Se vedlegg C til databehandleravtalen for egne betingelser for denne modulen.

Avhengig av hva varsler oppgir, varselet er et fritekstfelt og kan derfor inneholde personopplysninger om den som varsler og andre berørte i saken.

Normalt ingen (dersom bruker ikke skriver dette i fritekstfeltet)

H1

Insights / integrasjonsgrensesnitt (API) - som gir utvalgte brukere tilgang til, og mulighet for å overføre opplysninger fra kundens database - for videre bearbeidelse og analyse i tredjepartsprogramvare. OBS: Se vedlegg A til databehandleravtalen for egne betingelser for denne modulen.

Grensesnittet gir potensielt tilgang til alle personopplysninger som ligger lagret i Simployer.


Se også Appendix 6A under for mer detaljert beskrivelse og regulering av Insights.

Ingen særskilte, foruten lovpålagte og registrerte helseopplysninger (se A5 over)

J1

Kompensasjon – Funksjonalitet og system for å registrere og vedlikeholde lønn- og naturalytelser for de ansatte. Modulen vil også kunne simulere lønnsjusteringer i organisasjonen.

Informasjon om de ansattes lønns- og naturalytelser.

Ingen

J2

Pay-analytics – Funksjonalitet og system for lønnsrevisjon og analyse av organisasjonens lønninger, for bl.a. å kartlegge lønnsforskjeller.

Informasjon om de ansattes lønns- og naturalytelser.

Ingen

Konkret hvilke typer av personopplysninger som behandles under denne Databehandleravtalen, avhenger av hvilke moduler den Behandlingsansvarlige har bestilt. De konkrete moduler som er bestilt fremgår av Hovedavtalen.

I forbindelse med etablering og bruk av systemet, vil personopplysninger kunne bli registrert i systemet.

Behandlingsansvarlig er etter levering ansvarlig for registrering av personopplysninger i systemet, og evt. uttak og benyttelse av lagret informasjon.

Databehandler er ansvarlig for at dataene lagres på en forsvarlig måte og senere slettes eller anonymiseres i tråd med denne Databehandleravtalen.

Databehandler har rett til å samle inn, trekke ut, sammenstille, analysere og på annen måte bearbeide all informasjon som ikke er definert som «personopplysninger» i henhold til GDPR art. 4 (1), og som ikke er beskyttet på annen måte gjennom lov eller avtale mellom partene. Slik informasjon som ikke er definert som «personopplysninger» inkluderer, men er ikke begrenset til, anonymiserte data, volumdata, frekvensmålinger, og annen informasjon som Behandlingsansvarlig og dennes brukere og mottakere genererer i tilknytning til bruk av systemet og Databehandlers tjenester, heretter samlet kalt «Tjenestedata». Databehandler har eierskapet til slik Tjenestedata og kan brukes av Databehandler til legitime forretningsformål uten noen forpliktelser til Behandlingsansvarlig eller dennes brukere eller mottakere. Partenes plikter og rettigheter knyttet til behandling av personopplysninger under denne Databehandleravtalen og tilknyttede avtaler gjelder ikke for behandling av Tjenestedata som beskrevet i dette avsnitt.

For ordens skyld presiseres at Tjenestedata ikke omfatter data som er den Behandlingsansvarliges eiendom, dvs. data som den Behandlingsansvarliges brukere registrerer i systemet, eller der integrasjoner med kundens tredjepartssystemer medfører registrering av data i systemet, heretter kalt "Kundedata".

3. Partenes plikter

3.1 Databehandlers plikter

Databehandler plikter å overholde krav for Databehandlere som følger av den norske personopplysningsloven med forskrift, herunder GDPR.

Databehandler skal behandle personopplysninger i henhold til de avtalte spesifiserte formål etter denne Databehandleravtalen. Databehandler skal ikke uten forutgående skriftlig avtale med Behandlingsansvarlig eller skriftlige instrukser fra Behandlingsansvarlig behandle personopplysninger utover det som er nødvendig for de formålene som er spesifisert i denne Databehandleravtalen.

Databehandler skal i den grad det er påkrevet etter GDPR bistå Behandlingsansvarlig med å:

  • Gi informasjon til den Behandlingsansvarlige som er nødvendig for å påvise at forpliktelsene fastsatt etter GDPR art. 28 (3) er oppfylt.
  • I rimelig utstrekning bidra til at den Behandlingsansvarlige kan oppfylle sin plikt til å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i kapittel III.
  • I rimelig utstrekning bidra til at den Behandlingsansvarlige kan oppfylle sine plikter etter GDPR art. 32-36, herunder avvikshåndtering.

Databehandler skal varsle Behandlingsansvarlig dersom Databehandler mener at en instruks fra Behandlingsansvarlig er i strid med gjeldende personvernregelverk.

All bistand skal utføres i den utstrekning det er nødvendig ut fra Behandlingsansvarlig sitt behov, karakteren av Behandlingen og informasjonen tilgjengelig for Databehandler. All bistand og arbeid ifm nye og avtalte instruksjoner fra Behandlingsansvarlige kan faktureres Behandlingsansvarlig i henhold til priser angitt i Bruksrettavtalen og/eller Service Level Agreement, med mindre noe annet er eksplisitt angitt i denne Databehandleravtalen eller er begrenset ved lov.

Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne Databehandleravtalen. Denne bestemmelsen gjelder også etter Databehandleravtalens opphør.

Databehandler skal ikke utlevere personopplysninger til eksterne parter med mindre annet følger av denne Databehandleravtale, er skriftlig avtalt, eller slik utlevering er påkrevd ved lov.

Personopplysninger som behandles av Databehandler på oppdrag av Behandlingsansvarlig kan overføres til land hvor Databehandler, dennes under-databehandler eller under-databehandlerens under-databehandler, bedriver sin virksomhet, i samsvar med reglene om bruk av underleverandører i punkt 4.

3.2 Behandlingsansvarliges plikter

Behandlingsansvarlig plikter å overholde krav for behandlingsansvarlige som følger av den norske personopplysningsloven med forskrift, herunder GDPR.

Behandlingsansvarlig bekrefter at:

  1. Det foreligger tilstrekkelig behandlingsgrunnlag for behandling av personopplysninger;
  2. Behandlingsansvarlig har rett til og ansvaret for lovligheten av overføring av personopplysninger til Databehandler;
  3. Behandlingsansvarlig har ansvaret for nøyaktigheten, integriteten, innholdet, påliteligheten og lovligheten av personopplysningene som behandles;
  4. Behandlingsansvarlig har informert de registrerte i henhold til de til enhver tid gjeldende lovkrav;
  5. Denne Databehandleravtalen inneholder alle instrukser fra Behandlingsansvarlige ved avtaleinngåelsen.

Behandlingsansvarlig skal sørge for at personopplysninger behandles i henhold til GDPR, svare på henvendelser fra de Registrerte og sørge for å implementere tilstrekkelige tekniske og organisatoriske tiltak for å sikre Personopplysningene som behandles, jfr. GDPR artikkel 32.

Behandlingsansvarlig har plikt til å melde avvik til aktuelle tilsynsmyndigheter og eventuelt til de registrerte uten ugrunnet opphold i henhold til gjeldende lovgivning.

Behandlingsansvarlig er ansvarlig for at egendefinerte datafelter verken i seg selv eller med dets innhold bryter med de til enhver tid gjeldende lover og regler, herunder vedrørende personopplysninger. Det samme gjelder bruk av kombinasjoner av datafelter i for eksempel rapporter mv.

Der hvor systemet inneholder tekster, data eller annen informasjon mv. som eies/disponeres av Behandlingsansvarlig, innestår Behandlingsansvarlig for at han har full eiendoms- eller disposisjonsrett til slike tekster, data, informasjon mv. og at verken lagring eller den aktuelle bruken av dette materialet innebærer en krenkelse av tredjemanns rettigheter eller strider mot lov, forskrift eller andre rettsregler.

Behandlingsansvarlig har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne Databehandleravtalen. Denne bestemmelsen gjelder også etter Databehandleravtalens opphør.

Bruker-id og passord for tilgang til systemet opprettes og administreres av administrator hos Behandlingsansvarlig. Behandlingsansvarlig plikter å påse at passord oppbevares og håndteres på en slik måte at bare personer med rett iht. Bruksrettavtalen og som er autoriserte hos Behandlingsansvarlig, har tilgang til systemet. Behandlingsansvarlig er ansvarlig for at egne medarbeidere kun bruker personopplysningene i systemet for å utføre pålagte/tillatte oppgaver.

Behandlingsansvarlig håndterer og behandler henvendelser fra de registrerte om innsyn, retting og sletting mv.

4. Bruk av underleverandører

Databehandler bruker underleverandører til å oppfylle deler av sine ulike forpliktelser, herunder til fysisk drift av systemet. Databehandler er ansvarlig for utførelsen av underleverandørens oppgaver på samme måte som om Databehandler selv sto for utførelsen.

Databehandler plikter å ha egen databehandleravtale med alle sine underleverandører som sikrer oppfyllelse av vilkårene i denne Databehandleravtalen og GDPR art. 28.

Ved inngåelse av Databehandleravtalen, aksepterer Behandlingsansvarlig bruk av følgende underleverandører:

Navn på underleverandør

Beskrivelse av behandling

Lokasjon (lagringssted og aksessering)

Tilknyttet modul (se pkt. 2)

Simployer AS
(Et selskap i Simployer Group)

Utvikling og drift av moduler

Norge

A, B, C, D, H

Simployer Solutions AS
(Et selskap i Simployer Group)

Utvikling og drift av moduler

Norge

A, B, C, D, H

Simployer AB
(Et selskap i Simployer Group)

Utvikling og drift av moduler

EU

A, B, C, F, H

Simployer Tech Sp.z.o.o.
(Et selskap i Simployer Group)

Utvikling og drift av moduler

EU

A, B, C, D, F, H

Simployer Consulting Sp. z.o.o.
(Et selskap i Simployer Group)

Utvikling og drift av moduler

EU

A, B, C, D, F, H

Embriq AS

Drift av servere, brannmur, antivirus og backup

Norge

A, B, C, D, H

Smart IT AS

Drift av servere, brannmur, antivirus og backup

Norge

E

Microsoft Azure

Drift av servere, brannmur, antivirus og backup

EU

A, B, C, D, F, H

Elasticsearch Inc

Drift av Elastic søkemotor

EU

C1

Twilio Sendgrid Inc.

Epost utsendelser

USA - Overføring basert på «Binding Corporate Rules» (BCR) samt «Standard Contractual Clauses» (SCC)

A, B, C, D, G

Mailjet Inc.

Epost utsendelser

EU

F, G

Signicat AS

Digital signatur

EU

B

Auth0

Autentisering

EU

A, B, C, D, E, F, G, H

Kindly AS

Drift av plattform for maskinlæring og språkteknologi

Norge – Kindly AS – videreformidling av chatdata til underleverandører
EU – hostingleverandører for mellomlagring og behandling av chatdata

C2

Quatrix

Skybasert tjeneste for sikker utveksling av midlertidige filer mellom Kunden og Leverandør.

EU

Er ikke tilknyttet en spesifikk modul (benyttes ikke kontinuerlig, men kun ved behov for å oversende data som ikke kan sendes via Simployer)

Amazon Web Services Europe

Drift av servere og infrastruktur (PaaS)

EU

G

OneSignal

Infrastruktur for push-meldinger

USA - Overføring basert på «Standard Contractual Clauses» (SCC)

G

Hostek

Drift av servere, brannmur, antivirus og backup

Sverige

J2

Dersom Databehandler bytter eller inkluderer nye underleverandører skal Behandlingsansvarlig varsles om dette 90 kalenderdager før ny underleverandør starter behandling av personopplysninger, og Behandlingsansvarlig kan innen 30 kalenderdager motsette seg endringen. Dersom Behandlingsansvarlig motsetter seg endringen, kan Behandlingsansvarlig si opp Bruksrettavtalen med 60 kalenderdagers oppsigelsestid. Varsel om oppsigelse må gis samtidig med at Behandlingsansvarlig motsetter seg endringen. Dersom Behandlingsansvarlig ikke sier opp Bruksrettavtalen, anses den nye underleverandøren akseptert.

Ved bytte av underleverandør skal tidligere underleverandør skriftlig bekrefte overfor Databehandler at alle personopplysninger er permanent slettet fra vedkommendes systemer.

Dersom Databehandler skal inngå avtale med Underleverandører i land utenfor EU/EØS skal dette kun skje i henhold til gyldig rammeverk for slik overføring så som EUs modellavtaler for overføring av personopplysninger til tredjeland eller annet til enhver tid gjeldende grunnlag for overføring til tredjeland i henhold til GDPR kapittel 5. Det samme gjelder selv om Personopplysningene oppbevares eller lagres i EU/EØS når personell med tilgang til dataene befinner seg utenfor EU/EØS.

5. Informasjonssikkerhet

Databehandler skal ved egnede planlagte, systematiske, organisatoriske og tekniske tiltak sikre tilstrekkelig informasjonssikkerhet med hensyn til konfidensialitet, integritet, og tilgjengelighet i forbindelse med Behandling av Personopplysninger i samsvar med GDPR artikkel 32.

Databehandler skal kunne dokumentere sikkerhetstiltakene. Dokumentasjonen skal gjøres tilgjengelig på Behandlingsansvarliges forespørsel.

Databehandler skal sørge for tilfredsstillende informasjonssikkerhet med hensyn til:

  • konfidensialitet, dvs. at opplysningene ikke blir tilgjengelige for personer som ikke har lovlig tilgang til opplysningene,
  • integritet, dvs. at opplysningene ikke endres på uautorisert eller utilsiktet måte og
  • tilgjengelighet, dvs. at opplysningene er tilgjengelige og operative for lovlig og autorisert bruk.

Databehandler skal ha rutiner og systematiske prosesser for å følge opp brudd på personopplysningssikkerheten («Avvik»). Dersom Avviket skyldes den Behandlingsansvarlige, eller forhold innenfor Behandlingsansvarlig sin kontroll, kan Databehandler fakturere Behandlingsansvarlig for arbeid knyttet til oppfølging av Avviket i henhold til priser angitt i Bruksrettavtalen og/eller Service Level Agreement.

Databehandler skal uten ugrunnet opphold varsle Behandlingsansvarlig om Avvik.

Databehandler skal gi Behandlingsansvarlig nødvendig informasjon for å sette Behandlingsansvarlig i stand til å overholde gjeldende lovgivning om behandling av Personopplysninger og sette Behandlingsansvarlig i stand til å besvare henvendelser fra datatilsynsmyndigheter ifm. avvik. Det er Behandlingsansvarlig sitt ansvar å melde avvik til Datatilsynet i henhold til gjeldende lovgivning.

Databehandler vil ikke levere ut passord til Behandlingsansvarliges brukere uten at Behandlingsansvarlige ber om dette skriftlig. Alle passord til Behandlingsansvarliges brukere er lagret med irreversibel kryptering, og det er fysisk umulig for Databehandler å utlevere passord i klartekst.

Databehandler sørger for sikkerhetskopier av systemet og data iht. gjeldende Service Level Agreement (SLA).

Dersom personopplysninger skal oversendes elektronisk internt hos Behandlingsansvarlig eller fra Behandlingsansvarlig til Databehandler, skal overføring skje i kryptert form eller sikret på annen måte etter nærmere avtale med Databehandler. Leverandøren tilbyr tjenester for sikker utveksling av midlertidige filer mellom Kunden og Leverandøren. Typiske scenarioer er utveksling av filer for å populere systemet med data i forbindelse med oppstart av tjenesten og ved tilbakelevering av Kundens data ved avslutning av tjenesten.

6. Sikkerhetsrevisjoner

Behandlingsansvarlig anerkjenner at Behandlingsansvarliges rett til å gjennomføre revisjon etter GDPR oppfylles gjennom at Databehandler sørger for at en uavhengig tredjepart, som er utpekt av Databehandler, gjennomfører sikkerhetsrevisjon av systemet på jevnlig basis. Hovedresultatene fra revisjonen gjøres tilgjengelig for Behandlingsansvarlig på forespørsel.

7. Ansvar og ansvarsbegrensning

Krav fra en part som følge av den andre partens manglende oppfyllelse etter Databehandleravtalen skal være omfattet av de samme ansvarsreguleringer og ansvarsbegrensninger som følger av Bruksrettavtalen.

8. Databehandleravtalens varighet

Denne Databehandleravtalen skal gjelde fra den dato den er signert av begge parter og inntil Bruksrettavtalen utløper, eller inntil Databehandlers plikt til ytelse av tjenester i henhold til Bruksrettavtalen opphører av annen grunn, med unntak av de bestemmelser i Bruksrettavtalen og Databehandleravtalen som fortsetter å løpe etter avslutning.

Ved vesentlig brudd på Databehandleravtalen kan Behandlingsansvarlig pålegge Databehandler å stoppe den videre behandlingen av personopplysningene med øyeblikkelig virkning. Databehandler kan med samme begrunnelse stoppe all databehandling for Behandlingsansvarlig med øyeblikkelig virkning. Sletting av data som omfattes av Databehandleravtalen vil imidlertid ikke iverksettes før Bruksrettsavtalen utløper i samsvar med punkt 9 nedenfor.

9. Ved opphør

Etter Bruksrettavtalens utløp plikter Databehandler å anonymisere alle personopplysninger som omfattes av denne Databehandleravtalen og deretter slette alle kundens data. Anonymisering innebærer at opplysningene ikke lenger er personopplysninger og dermed ikke omfattet av regelverket om personvern. Databehandler skal gi Behandlingsansvarlig en skriftlig erklæring, hvoretter Databehandler garanterer at alle personopplysninger eller data nevnt ovenfor har blitt anonymisert, og at Databehandler ikke har beholdt noen kopi, utskrift eller beholdt personopplysningene i annet medium.

Behandlingsansvarlig kan ved opphør av Bruksrettavtalen kreve å få tilbakelevert sine Kundedata. Måten tilbakelevering skal foregå på reguleres av Service Level Agreement (SLA).

10. Meddelelser

Meddelelser etter denne Databehandleravtalen skal sendes skriftlig til Behandlingsansvarliges kontaktperson som oppgitt i Bruksrettavtalen.

11. Endring av Databehandleravtalen

Databehandler kan endre innholdet i Databehandleravtalen dersom Behandlingsansvarlig varsles om dette 90 kalenderdager før endringen trer i kraft. Behandlingsansvarlig kan innen 30 kalenderdager motsette seg endringen. Dersom Behandlingsansvarlig motsetter seg endringen, kan Behandlingsansvarlig si opp Bruksrettavtalen med 60 kalenderdagers oppsigelsestid. Varsel om oppsigelse må gis samtidig med at Behandlingsansvarlig motsetter seg endringen. Dersom Behandlingsansvarlig ikke varsler oppsigelse av Bruksrettavtalen, anses endringen akseptert.

Vedlegg A til Databehandleravtale - Insights / Integrasjonsgrensesnitt («API»)

Vedlegg A gjelder kun dersom Kunden har kjøpt tilgang til Insights/integrasjonsgrensesnitt, heretter kalt «API». API-er fra Simployer eksponerer integrasjonsgrensesnitt som utvalgte brukere hos kunden får tilgang til, og som gjør det mulig for kunden å overføre opplysninger, inkludert personopplysninger, fra kundens data generert i Simployer, for videre bearbeidelse og analyse i tredjepart programvare.

Integrasjonsgrensesnittet er teknisk beskyttet på en slik måte at kunden får en nøkkel (API-key) som brukes til å autentisere den enkelte tjeneste som skal samhandle med grensesnittet. Kunden får overlevert denne nøkkelen, og er alene ansvarlig å kun benytte denne til å autentisere de systemer, og de brukerne, som skal ha tilgang til tjenesten.

Grensesnittet gir mulighet for tilgang til Kundens data, inkludert personopplysninger som er registrert eller generert i systemet og Kundens database, og har ikke samme tilgangskontroll og mekanismer for å sikre personvern som er bygget inn i Simployer som standard. Det er derfor svært viktig at Kunden kun benytter tjenesten til formål-, og kun autentiserer systemer og brukere mot grensesnittet, som Kunden har gjort nødvendige vurderinger av (juridiske og tekniske vurderinger).

Leverandøren har ansvar for tilgjengelighet og konfidensialitet av data frem til Leverandørens endepunkt. Etter at data har forlatt Leverandørens endepunkt, er det Kunden som har ansvar for all bruk av tjenesten og all bruk av data tilgjengeliggjort via grensesnittet. Simployer, inkludert underleverandører, tar ikke ansvar for Kundens bruk av grensesnittet eller Kundens behandling av data hentet ut fra grensesnittet, eller integriteten av data levert inn til grensesnittet (fra Kundens systemer eller tredjeparter Kunden ansvarer for).

Der integrasjoner ikke benytter endepunkter for overføring av data, men fil-basert overføring av data, gjelder de samme prinsippene som nevnt over.

Vedlegg B til Databehandleravtale - Engagement

Vedlegg B gjelder kun dersom Kunden har kjøpt modulen Engagement. Når det gjelder utlevering av data fra denne modulen, kan Databehandler ikke gi Behandlingsansvarlig svarinformasjon på annen måte enn i anonymisert og avidentifisert form. Svarinformasjon vil si svarene medarbeiderne har gitt på medarbeiderundersøkelser hentet inn ved hjelp av Engagement-modulen.

Hvis Behandlingsansvarlig har til hensikt å benytte tjenesten også for ansatte i andre selskaper enn deres eget, skal de på egen hånd innhente selskapenes tillatelse til å behandle personopplysninger om de berørte ansatte. Når det gjelder selskaper og ansatte som er bosatt utenfor EU/EØS, skal Behandlingsansvarlig uavhengig føre tilsyn med, og være ansvarlig for overholdelse av juridiske krav i samsvar med gjeldende utenlandsk lov.

Behandlingsansvarlig er også ansvarlig for at deres bruk av, og innholdet i spørsmål og svar som lagres i Engagement-modulen. Behandlingsansvarlig bør unngå og eller vise forsiktighet med å stille spørsmål som berører, eller resulterer i svarinformasjon som inneholder personopplysninger, og som de ikke behøver, eller har grunnlag for å behandle. Dette kan f.eks. være kategorier av sensitive opplysninger som for eksempel helseopplysninger, eller opplysninger som reguleres særskilt, så som forretningshemmeligheter e.l.

Ved bruk av modulen Engagement, aksepterer Behandlingsansvarlig de underlevererandører som beskrevet her: https://www.andfrankly.com/en/gdpr-subprocessors. Denne listen holdes oppdatert på nettstedet nevnt over, og eventuelle endringer vil bli kommunisert som beskrevet i punkt 4. Merk muligheten for «Reduced Processing Mode» som innebærer databehandling kun innenfor EU/EØS.

Vedlegg C til Databehandleravtale - Varsling

Vedlegg C gjelder kun dersom Kunden har kjøpt modulen «Varsling» og aktivert denne for bruk.

For i støtte opp under EUs Direktiv 2019/1937 om varsling (såkalt «whistleblowing»), tilbyr Simployer en digital tjeneste for å underlette og støtte prosessen med å varsle.
Tjenesten gjør det mulig for alle personer som kjenner til adressen til varsle-funksjonaliteten hos Kunden å sende inn varsler. Den som varsler kan velge å sende inn varselet med sitt navn og kontaktopplysninger, eller å være anonym. Varslet vil derfor kunne inneholde personopplysninger om den som varsler. Selve varselet er et fritekstfelt, og dette vil kunne medføre registrering-, og lagring av, personopplysninger, også om andre enn varsler, dvs. berørte tredjeparter.

Kunden har ansvar for at varslene behandles og lagres i tråd med gjeldende regelverk, dvs. både de nasjonale reguleringene for varsling, og reglene i personvernforordningen («GDPR»). Dette innebærer bl.a. ansvar for å slette personopplysninger som ikke er relevant for varselet. Systemet sletter automatisk data i rapporter 2 år etter at de ble opprettet, men sletting bør ellers foretas av administrator for modulen, og skal gjøres løpende og uten ugrunnet opphold. Lagring av varsler og rapporter som inneholder personopplysninger, skal ikke gjøres lenger enn det som er nødvendig og proporsjonalt med bestemmelsene i EUs Direktiv 2019/1937 artikkel 17 og relevant nasjonal implementering av dette regelverket.

Tjenesten endrer ikke på listen over aktuelle underleverandører, jf. Punkt 4 over.

 

V.2.1.5