Vedlegg 3 – Databehandleravtale

Version 3.0

1. Bakgrunn

1.1 Denne databehandleravtalen (DPA) regulerer Simployers behandling av personopplysninger som databehandler på vegne av Kunden som behandlingsansvarlig.

1.2 Når et begrep som brukes i denne DPA er definert i GDPR art. 4, skal begrepet ha den betydningen som er tilskrevet det i GDPR art. 4.

2. Formål

2.1 Formålet med behandlingen av personopplysninger i henhold til denne Avtalen er å levere Abonnementstjenestene til Kunden og gjøre det mulig for Kunden å utføre handlinger knyttet til HR-ledelse og administrasjon.

2.2 Kategoriene av registrerte og typer personopplysninger som behandles gjennom Abonnementstjenestene, kan variere avhengig av de spesifikke modulene som Kunden har anskaffet, som angitt i Bestillingsskjemaet. Relevant informasjon finnes på følgende lenke: Underdatabehandlere som brukes av Simployer.

3. Partenes forpliktelser

3.1 Simployers forpliktelser

3.1.1 Simployer skal behandle personopplysninger i henhold til de avtalte spesifiserte formålene i henhold til denne DPA. Simployer skal ikke behandle personopplysninger utover det som er nødvendig for de formål som er angitt i denne DPA uten forutgående skriftlig avtale med eller skriftlige instruks fra Kunden.

3.1.2 Simployer skal, i den grad det er påkrevd i henhold til GDPR, bistå Kunden med å:

  • gi Kunden informasjon som er nødvendig for å påvise at forpliktelsene i GDPR art. 28 (3) er oppfylt.
  • i rimelig utstrekning bistå Kunden med å oppfylle Kundens forpliktelse til å svare på forespørsler fra den registrerte med det formål å utøve sine rettigheter som er fastsatt i GDPR kap. III.
  • i rimelig utstrekning bistå Kunden med å oppfylle Kundens forpliktelser i henhold til GDPR art. 32-36, inkludert håndtering av avvik.

Simployer skal varsle Kunden dersom Simployer mener at en instruksjon fra Kunden er i strid med gjeldende personvernbestemmelser.

3.1.3 All bistand skal utføres som Rådgivningstjenester, og i den utstrekning det er rimelig ut fra Kundens behov, behandlingens art og informasjonen Simployer har tilgang til. All bistand og arbeid i samsvar med nye og avtalte instrukser fra Kunden kan faktureres Kunden i henhold til Simployers til enhver tid gjeldende listepriser, eller de priser som er avtalt i Bestillingsskjemaet, med mindre annet er uttrykkelig angitt i denne DPA eller begrenset av Lov.

3.1.4 Simployer er underlagt taushetsplikt med hensyn til dokumentasjon og personopplysninger som Simployer har tilgang til i henhold til denne DPA. Denne bestemmelsen gjelder også etter opphør av DPA.

3.1.5 Simployer skal ikke utlevere personopplysninger til tredjeparter med mindre annet følger av denne DPA, er avtalt skriftlig, eller slik utlevering er påkrevd ved Lov. Personopplysninger som behandles av Simployer på vegne av Kunden, kan overføres til land hvor Simployer, dets underdatabehandlere eller underdatabehandlernes underdatabehandlere, driver sin virksomhet i henhold til bestemmelsene om bruk av underdatabehandlere i punkt 4.

3.1.6 Simployer er ansvarlig for å sikre at dataene lagres på en forsvarlig måte og senere slettes eller anonymiseres i samsvar med denne DPA.

3.2 Kundens forpliktelser

3.2.1 Kunden er forpliktet til å overholde kravene til behandlingsansvarlige i henhold til relevant nasjonal lovgivning som gjennomfører GDPR, inkludert underliggende forskrifter, og GDPR.

3.2.2 Kunden bekrefter at:

  • Det foreligger tilstrekkelig rettslig grunnlag for behandling av personopplysninger;
  • Kunden er ansvarlig for lovligheten av overføringen av personopplysninger til Simployer;
  • Kunden er ansvarlig for nøyaktigheten, integriteten, innholdet, påliteligheten og lovligheten av personopplysningene som behandles;
  • Kunden har informert de registrerte i samsvar med gjeldende lovkrav;
  • Denne databehandleravtalen inneholder alle instruksjoner fra Kunden på tidspunktet for signering av Avtalen.

3.2.3 Kunden skal sikre at personopplysninger behandles i samsvar med GDPR, svare på henvendelser fra de registrerte og sørge for at det iverksettes tilstrekkelige tekniske og organisatoriske tiltak for å sikre personopplysningene som behandles, i samsvar med GDPR artikkel 32.

3.2.4 Kunden er forpliktet til å rapportere sikkerhetsbrudd til relevante tilsynsmyndigheter og, hvis aktuelt, til den registrerte uten unødig forsinkelse i samsvar med gjeldende lovgivning.

3.2.5 Kunden er ansvarlig for å sikre at tilpassede datafelt i seg selv eller gjennom sitt innhold ikke bryter med gjeldende lover og forskrifter, herunder om personopplysninger. Det samme gjelder bruk av kombinasjoner av datafelt, for eksempel i rapporter mv.

3.2.6 Hvis Kunden har til hensikt å bruke tjenesten også for ansatte i andre selskaper enn sitt eget, skal Kunden selv innhente selskapenes tillatelse til å behandle personopplysninger om de berørte ansatte. For selskaper og ansatte som er bosatt utenfor EU/EØS, skal Kunden selv overvåke og være ansvarlig for at lovkravene i henhold til gjeldende utenlandsk lovgivning overholdes.

4. Bruk av underdatabehandlere

4.1 Simployer bruker underdatabehandlere til å oppfylle deler av sine ulike forpliktelser, herunder hosting av tjenestene. Simployer er ansvarlig for underdatabehandlerens utførelse på samme måte som om Simployer selv sto for utførelsen.

4.2 Simployer er forpliktet til å inngå separate databehandleravtaler med alle sine underleverandører for å sikre oppfyllelse av vilkårene i denne DPA og GDPR art. 28.

4.3 Underdatabehandlere som er relevante for modulen som Kunden har anskaffet, som spesifisert i Bestillingsskjemaet, er oppført på siden Underdatabehandlere som brukes av Simployer. Lenken vil holdes oppdatert for å gjenspeile eventuelle endringer i underdatabehandlerens engasjement.

4.4 Kunden skal varsles om endringer eller tillegg av nye underdatabehandlere minst tretti (30) kalenderdager før endringen trer i kraft eller den nye underdatabehandleren får tilgang til personopplysninger. Kunden må protestere skriftlig mot endringen innen tretti (30) kalenderdager. Med mindre Kunden protesterer skriftlig innen fristen, kan Databehandleren bruke den nye underdatabehandleren til de angitte behandlingsaktivitetene. Dersom Kunden protesterer i god tro innen den angitte fristen, vil Simployer gjøre rimelige anstrengelser for å endre Abonnementstjenestene for å unngå at underdatabehandleren det protesteres mot behandler Kundens personopplysninger. Hvis Simployer ikke er i stand til å gjennomføre slike endringer innen rimelig tid, som ikke skal overstige tretti (30) dager fra mottak av Kundens skriftlige innsigelse, har Kunden rett til å si opp de relevante delene av Abonnementstjenestene. Simployer skal refundere Kunden for eventuelle forhåndsbetalte beløp tilsvarende den ubrukte delen av Abonnementstjenestene fra oppsigelsen trer i kraft. Kundens oppsigelse må sendes innen fjorten (14) kalenderdager fra Simployers bekreftelse på at Simployer ikke kan unngå å bruke underdatabehandleren det er protestert mot, ellers anses Kunden å ha samtykket til den foreslåtte underdatabehandleren.

4.5 Overføring av personopplysninger til underdatabehandlere i land utenfor EU/EØS som ikke er anerkjent av EU-kommisjonen som land som gir et tilstrekkelig nivå av beskyttelse av personopplysninger, skal kun skje i henhold til gyldige mekanismer for slike overføringer, for eksempel EUs standardklausuler for overføring av personopplysninger til tredjeland eller andre gjeldende grunnlag for overføring til tredjeland i samsvar med GDPR kapittel 5.

5. Informasjonssikkerhet

5.1 Simployer skal gjennom egnede planlagte, systematiske, organisatoriske og tekniske tiltak sikre tilstrekkelig informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet i forbindelse med behandling av personopplysninger i henhold til GDPR artikkel 32.

5.2 Simployer skal kunne dokumentere sikkerhetstiltakene. Dokumentasjonen må gjøres tilgjengelig på forespørsel fra Kunden.

5.3 Simployer skal sikre tilfredsstillende personopplysningssikkerhet med hensyn til:

  • konfidensialitet, dvs. at opplysningene ikke er tilgjengelige for personer som ikke har lovlig tilgang til opplysningene,
  • integritet, dvs. at dataene ikke endres på en uautorisert eller utilsiktet måte, og
  • tilgjengelighet, dvs. at dataene er tilgjengelige og operative for legitim og autorisert bruk.

5.4 Simployer skal ha rutiner og systematiske prosesser for å følge opp brudd på personopplysningssikkerheten («Avvik»). Hvis Avviket er forårsaket av Kunden eller forhold som ligger innenfor Kundens kontroll, kan Simployer fakturere Kunden for arbeid knyttet til oppfølging av Avviket som Rådgivningstjenester i samsvar med Simployers gjeldende listepriser eller de priser som er avtalt i Bestillingsskjemaet.

5.5 Simployer skal uten ugrunnet opphold varsle Kunden om Avviket.

5.6 Simployer skal gi Kunden slik informasjon som er nødvendig for at Kunden skal kunne overholde gjeldende Lover om behandling av personopplysninger og for at Kunden skal kunne svare på forespørsler fra tilsynsmyndigheten ved Avvik. Det er Kundens ansvar å rapportere Avvik til relevant tilsynsmyndighet i samsvar med gjeldende Lov.

6. Sikkerhetsrevisjoner

6.1 Kunden erkjenner at Kundens rett til å gjennomføre revisjoner i henhold til GDPR er oppfylt ved at Simployer sørger for at en uavhengig tredjepart, utpekt av Simployer, regelmessig gjennomfører en revisjon av Abonnementstjenestene. Resultatene av revisjonen gjøres tilgjengelig for Kunden på forespørsel.

7. Varighet av DPA

7.1 Denne DPA gjelder fra den dato det aktuelle Bestillingsskjemaet er signert av begge parter og frem til Avtalen utløper eller frem til Simployers forpliktelse til å utføre Abonnementstjenestene opphører av en eller annen grunn, med unntak av bestemmelsene i Avtalen som fortsetter å løpe etter opphør.

8. Ved opphør

8.1 Etter utløpet av Avtalen er Simployer forpliktet til å anonymisere alle personopplysninger som omfattes av denne DPA, og deretter slette alle personopplysninger som Kunden er behandlingsansvarlig for. På forespørsel skal Simployer gi Kunden en skriftlig erklæring, hvoretter Simployer garanterer at alle personopplysninger eller data nevnt ovenfor er anonymisert og at Simployer ikke har beholdt noen kopi, utskrift eller lagret personopplysninger på noe annet medium.

8.2 Kunden kan få tilgang til sine personopplysninger ved oppsigelse av Avtalen i henhold til Vilkårene.

9. Varslinger

9.1 Varslinger i henhold til denne DPA skal sendes skriftlig til Kundens kontaktperson som angitt i Bestillingsskjemaet.

Vedlegg A til Databehandleravtalen – Insights / integrasjonsgrensesnitt («API»)

Vedlegg A gjelder kun hvis Kunden har kjøpt tilgang til Insights (et integrasjonsgrensesnitt), heretter omtalt som «API». Simployer API-er eksponerer integrasjonsgrensesnitt som utvalgte brukere hos Kundens kan få tilgang til, noe som gjør det mulig for Kunden å overføre informasjon, inkludert personopplysninger, fra Kundens data generert i Simployer, for videre behandling og analyse i tredjepartsprogramvare.

API-en er beskyttet av en API-nøkkel som brukes til å autentisere den eller de enkelte tjenestene som skal samhandle med grensesnittet. Kunden får utlevert denne nøkkelen og er selv ansvarlig for å bruke den og kun autentisere de systemene, og de brukerne, som skal ha tilgang til tjenesten.

Grensesnittet gir tilgang til Kundens data, inkludert personopplysninger som er registrert eller generert i systemet og Kundens database, og har ikke den samme tilgangskontrollen og mekanismene for å sikre personvern som er innebygd i Simployer som standard. Det er derfor svært viktig at Kunden kun bruker tjenesten til formål og kun autentiserer systemer og brukere mot grensesnittet som Kunden har foretatt nødvendige vurderinger av (juridiske og tekniske vurderinger).

Simployer er ansvarlig for tilgjengeligheten og konfidensialiteten av data frem til endepunktene. Etter at data har forlatt endepunktet, er det Kunden som er ansvarlig for all bruk av tjenesten og all bruk av data som er gjort tilgjengelig via endepunktet. Simployer, inkludert underleverandører, har ikke noe ansvar for Kundens bruk av endepunktene eller Kundens behandling av data innhentet fra endepunktene, eller integriteten til data som sendes til endepunktene (fra Kundens systemer eller andre tredjeparter som Kunden er ansvarlig for).

Der integrasjoner ikke bruker endepunkter for overføring av data, men i stedet bruker filbasert overføring av data, gjelder de samme prinsippene som nevnt ovenfor.

Vedlegg B til Databehandleravtalen – Oppdrag

Vedlegg B gjelder kun dersom Kunden har kjøpt oppdragsmodulen. Når det gjelder utlevering av data fra denne modulen, kan Simployer ikke utlevere svarinformasjon til Kunden på annen måte enn i anonymisert og avidentifisert form. Svarinformasjon betyr svarene ansatte har gitt på medarbeiderundersøkelser som er samlet inn ved hjelp av oppdragsmodulen.

Kunden er også ansvarlig for å sikre at deres bruk av, og innholdet i spørsmålene og svarene som er lagret i oppdragsmodulen. Kunden bør unngå og/eller utvise forsiktighet ved å stille spørsmål som involverer eller resulterer i svarinformasjon som inneholder personopplysninger og som de ikke trenger eller har juridisk grunnlag for å behandle. Dette kan f.eks. være kategorier av sensitiv informasjon som helseopplysninger, eller informasjon som er regulert særskilt, som forretningshemmeligheter osv.

Vedlegg C til Databehandleravtalen – Varsling

Vedlegg C gjelder kun hvis Kunden har kjøpt varslingsmodulen og aktivert den for bruk.

I tråd med EU-direktiv 2019/1937 om varsling tilbyr Simployer en digital tjeneste for å legge til rette for og støtte varslingsprosessen.

Tjenesten gjør det mulig for alle personer som kjenner adressen til varslingsfunksjonen hos Kunden, å sende inn varsler. Dette kan også inkludere personer utenfor deres eget selskap. Varsleren kan velge å sende inn meldingen med navn og kontaktopplysninger, eller å være anonym. Meldingen kan derfor inneholde personopplysninger om varsleren. Selve meldingen er et tekstfelt, og dette kan innebære registrering og lagring av personopplysninger, også om andre enn varsleren, dvs. en berørt tredjepart i saken.

Kunden er ansvarlig for å sikre at meldingene behandles og lagres i samsvar med gjeldende regelverk, dvs. både nasjonale varslingsregler og reglene i GDPR. Dette innebærer blant annet ansvar for å slette personopplysninger som ikke er relevante for meldingene/varslingssakene. Systemet sletter automatisk data i meldinger to år etter at de ble opprettet, men sletting bør ellers gjøres av administratoren av modulen, og bør gjøres kontinuerlig og uten unødig forsinkelse. Lagring av meldinger og rapporter som inneholder personopplysninger skal ikke skje lenger enn det som er nødvendig og forholdsmessig i henhold til bestemmelsene i artikkel 17 i EU-direktiv 2019/1937 og den relevante nasjonale gjennomføringen av dette regelverket.

Tjenesten endrer ikke listen over relevante underdatabehandlere, se punkt 4 ovenfor.

How can we help?

We’re here for every step of your employee journey. From intuitive software for people management to hands-on learning programs and expert support from our legal team — we've got you covered.

Vector Get HR news straight to your inbox

Stay updated on HR, leadership, and work life. Choose between our Norwegian and Swedish newsletters.
Get HR updates

Vector Need a hand? We’re here to help!

Find FAQs, release notes, and more in our Support Center. We're here for you!
Go to support