Databehandlingsavtale

Denne Databehandlingsavtalen (“Avtalen”) er en del av Vilkår og Betingelser (“Hovedavtalen”) mellom:

  • Kunden (“Behandlingsansvarlig”)
  • Textintel FZE (“Databehandler”)

(Samlet kalt “Partene”).

1. Bakgrunn

1.1 Kunden fungerer som Behandlingsansvarlig og ønsker å sette ut visse tjenester som omfatter behandling av personopplysninger til Databehandleren.

1.2 Partene har til hensikt å inngå en databehandlingsavtale som overholder gjeldende personvernlover, inkludert:

  • Forordning (EU) 2016/679 av Europaparlamentet og Rådet av 27. april 2016 om vern av fysiske personer med hensyn til behandling av personopplysninger og om fri flyt av slike opplysninger (Generell personvernforordning, GDPR).
  • Andre gjeldende lover om databeskyttelse eller personvern som regulerer behandling av personopplysninger.

1.3 Denne Avtalen fastsetter Partenes rettigheter og forpliktelser knyttet til databeskyttelse og personvern.

2. Definisjoner og tolkning

2.1 Med mindre annet er angitt, har termer skrevet med stor forbokstav i denne Avtalen følgende betydning:

  • “Avtalen” – Denne Databehandlingsavtalen, inkludert alle vedlegg og tidsplaner.
  • “Kundens personopplysninger” – Alle personopplysninger som behandles av Databehandleren på vegne av Kunden i henhold til Hovedavtalen.
  • “Personvernlover” – Alle gjeldende lover om personvern og databeskyttelse, inkludert GDPR og nasjonale lover som supplerer eller implementerer GDPR.
  • “Behandling” – Enhver operasjon utført på personopplysninger, slik som innsamling, lagring, overføring eller sletting.
  • “Underleverandør” – Ethvert tredjepart autorisert av Databehandleren til å behandle personopplysninger på vegne av Kunden.

2.2 Undefinerte termer i denne Avtalen har betydningen fastsatt i GDPR.

3. Omfang av databehandling

3.1 Kunden instruerer Databehandleren om å behandle Kundens personopplysninger utelukkende i samsvar med:

  • Kundens skriftlige instruksjoner.
  • Hovedavtalen og denne Databehandlingsavtalen.
  • Gjeldende Personvernlover.

3.2 Databehandleren skal ikke behandle Kundens personopplysninger for andre formål enn de som er angitt i denne Avtalen og Hovedavtalen.

4. Databehandlers ansvar

4.1 Databehandleren skal:

  • Sikre overholdelse av gjeldende Personvernlover.
  • Behandle data sikkert i henhold til bransjens beste praksis.
  • Begrense tilgang til autorisert personell.
  • Sikre at alt personell som håndterer Kundens personopplysninger er underlagt taushetsplikt.

5. Sikkerhetstiltak

5.1 Databehandleren skal implementere passende tekniske og organisatoriske tiltak for å sikre sikkerheten til Kundens personopplysninger, med hensyn til:

  • Teknologisk utvikling innen sikkerhet.
  • Naturen, omfanget og konteksten for databehandlingen.
  • Potensielle risikoer, inkludert uautorisert tilgang, datainnbrudd og tap.

5.2 Der det er relevant, inkluderer sikkerhetstiltakene:

  • Kryptering av data under overføring og i hvile.
  • Tilgangskontroller og autentiseringsmekanismer.
  • Regelmessige sikkerhetsrevisjoner og risikovurderinger.

6. Underleverandører

6.1 Databehandleren skal ikke engasjere en Underleverandør uten Kundens forhåndsskriftlige godkjenning.

6.2 Kunden erkjenner og godkjenner at Databehandleren bruker følgende godkjente Underleverandører:

  • Amazon Web Services
  • Meta
  • Google
  • Amplitude
  • Firebase Analytics
  • Stripe

6.3 Databehandleren skal sikre at enhver Underleverandør overholder de samme forpliktelsene i henhold til denne Avtalen.

7. Rettigheter for registrerte

7.1 Databehandleren skal bistå Kunden med å oppfylle sine forpliktelser knyttet til registrertes rettigheter, inkludert:

  • Innsyn i personopplysninger.
  • Rettelse eller sletting av uriktige data.
  • Forespørsler om dataportabilitet.

7.2 Hvis Databehandleren mottar en forespørsel fra en registrert, skal den:

  • Umiddelbart varsle Kunden.
  • Ikke svare uten autorisasjon fra Kunden.

8. Varsling ved databrudd

8.1 Ved et brudd på personopplysningssikkerheten, skal Databehandleren:

  • Varsle Kunden uten unødig opphold.
  • Gi alle nødvendige detaljer for at Kunden kan oppfylle sine lovpålagte varslingsplikter.
  • Gjennomføre rimelige tiltak for å begrense og utbedre bruddet.

9. Overføring av data

9.1 Databehandleren skal ikke overføre Kundens personopplysninger utenfor EU/EØS med mindre:

  • Kunden har gitt forhåndsskriftlig samtykke.
  • Det er etablert egnede garantier, for eksempel Standard Contractual Clauses (SCC).

10. Lagring og sletting av data

10.1 Ved opphør av Hovedavtalen kan Kunden kreve:

  • Sletting av alle Kundens personopplysninger innen 10 virkedager.
  • Et slettesertifikat som bekrefter overholdelse.

11. Revisjonsrettigheter

11.1 Kunden har rett til å:

  • Be om informasjon for å dokumentere etterlevelse.
  • Gjennomføre revisjoner og inspeksjoner hos Databehandleren.

12. Konfidensialitet

12.1 Partene skal opprettholde konfidensialitet for all informasjon delt i henhold til denne Avtalen og ikke offentliggjøre den uten skriftlig samtykke, med mindre:

  • Offentliggjøring er lovpålagt.
  • Informasjonen allerede er offentlig tilgjengelig.

13. Gjeldende lov og jurisdiksjon

13.1 Denne Avtalen er underlagt lovene i Dubai, De forente arabiske emirater.

13.2 Alle tvister som oppstår som følge av denne Avtalen, skal avgjøres ved domstolene i Dubai.