Databehandleravtale (GDPR)

Databehandleravtale (GDPR)

For Tilbudsportalen

Sist oppdatert: [dato]

Denne databehandleravtalen (“Avtalen”) regulerer behandling av personopplysninger i forbindelse med bruk av Tilbudsportalen, levert av Bid System AS.


Avtalen inngås mellom:


Behandlingsansvarlig
Kunden som benytter Tilbudsportalen

og

Databehandler
Bid System AS
Org.nr: 931 920 162

1. Formål

Formålet med denne avtalen er å regulere hvordan Bid System AS behandler personopplysninger på vegne av Kunden i forbindelse med levering av tjenesten Tilbudsportalen.

Avtalen skal sikre at behandlingen skjer i samsvar med:

  • Personopplysningsloven
  • EUs personvernforordning (GDPR)

2. Roller

I henhold til GDPR gjelder følgende roller:

Kunden
er behandlingsansvarlig for personopplysninger som registreres i Tjenesten.

Bid System AS
er databehandler og behandler personopplysninger på vegne av Kunden.

3. Type personopplysninger

Personopplysninger som kan behandles i Tilbudsportalen kan blant annet være:

  • navn
  • e-postadresse
  • telefonnummer
  • stillingstittel
  • firmaopplysninger
  • kommunikasjon knyttet til tilbud og prosjekter
  • brukerinformasjon i systemet

Kunden bestemmer selv hvilke opplysninger som registreres.

4. Formål med behandlingen

Personopplysninger behandles kun for å:

  • levere og drifte Tilbudsportalen
  • gi tilgang til brukere
  • håndtere forespørsler og tilbudsprosesser
  • gi support til Kunden
  • sikre systemdrift og sikkerhetskopiering

Databehandleren skal ikke bruke personopplysninger til egne formål.

5. Instruks fra behandlingsansvarlig

Databehandler behandler personopplysninger kun i henhold til dokumenterte instrukser fra den behandlingsansvarlige, slik de fremgår av:

  • denne avtalen
  • brukeravtalen
  • kundens bruk av systemet.

6. Konfidensialitet

Personer hos databehandler som har tilgang til personopplysninger er underlagt taushetsplikt.

Tilgang gis kun til personer som trenger dette for å levere tjenesten.

7. Sikkerhetstiltak

Databehandler skal implementere egnede tekniske og organisatoriske sikkerhetstiltak for å beskytte personopplysninger, herunder:

  • tilgangsstyring
  • autentisering av brukere
  • kryptering av kommunikasjon
  • sikkerhetskopiering
  • logging av systemaktivitet

Tiltakene skal sikre konfidensialitet, integritet og tilgjengelighet av personopplysninger.

8. Bruk av underdatabehandlere

Databehandler kan benytte underdatabehandlere for å levere tjenesten, for eksempel for:

  • hosting
  • infrastruktur
  • systemdrift

Databehandler skal sikre at underdatabehandlere er underlagt tilsvarende personvernforpliktelser.

Oppdatert liste over underdatabehandlere kan gjøres tilgjengelig på forespørsel.

9. Overføring til tredjeland

Personopplysninger skal som hovedregel behandles innenfor:

  • EU/EØS

Dersom data behandles utenfor EU/EØS skal dette skje i samsvar med GDPR, eksempelvis ved bruk av:

  • EU Standard Contractual Clauses (SCC)

10. Bistand til behandlingsansvarlig

Databehandler skal, så langt det er rimelig, bistå behandlingsansvarlig med å oppfylle sine forpliktelser etter GDPR, herunder:

  • håndtering av innsynsbegjæringer
  • retting eller sletting av personopplysninger
  • vurdering av personvernkonsekvenser

11. Avvik og sikkerhetsbrudd

Databehandler skal uten ugrunnet opphold varsle behandlingsansvarlig dersom det oppdages:

  • brudd på personopplysningssikkerheten
  • uautorisert tilgang til data
  • tap av personopplysninger

12. Sletting og tilbakelevering av data

Ved opphør av kundeforholdet skal databehandler:

  • slette personopplysninger
    eller
  • returnere data til kunden

etter kundens valg.

13. Revisjon

Behandlingsansvarlig kan be om dokumentasjon som viser at databehandler oppfyller kravene i denne avtalen.

14. Varighet

Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av Kunden.

15. Lovvalg

Avtalen er underlagt norsk rett.