Databehandleravtale (DBA)

Sist oppdatert: 25.03.2024

1. ROLLER OG ANSVAR

For at Kantega AS «Kantega», skal kunne levere Eligo «Tjenesten», vil det være nødvendig å behandle personopplysninger som databehandler.

Kunden («Arrangøren») vil fungere som behandlingsansvarlig når databehandleren behandler personopplysninger på vegne av Arrangøren. Behandlingsansvarliges innledende instruksjoner og ytterligere behandlingsdetaljer er beskrevet nedenfor i avsnitt 4.

Begreper i denne DBA som er definert i EUs personvernforordning ("GDPR") art. 4 skal forstås i samsvar med GDPR-definisjone

2. GARANTI

Databehandleren garanterer å ha implementert egnede tekniske og organisatoriske tiltak som sikrer at behandlingen av personopplysninger i henhold til denne DBA oppfyller kravene til gjeldende personvernlovgivning og sikrer vern av de registrertes rettigheter.

Hvis databehandleren ikke overholder sine forpliktelser i henhold til denne DBA, skal det anses som brudd på avtalen.

3. BEHANDLINGSSPESIFIKASJON

Databehandleren garanterer å oppfylle kravene i henhold til GDPR art. 28 ved å:

  1. a) Kun behandle personopplysninger som instruert av behandlingsansvarlige i DBA eller senere skriftlig instruksjon.
  2. b) Varsle behandlingsansvarlige om databehandleren mener at en instruksjon er i strid med gjeldende personvernlovgivning.
  3. c) Sørge for at personer som behandler personopplysninger er underlagt taushetsplikt.
  4. d) Iverksette egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå for behandlingen av personopplysninger som er tilpasset risikoen.
  5. e) Assistere behandlingsansvarlige i sin plikt til å svare på registrertes anmodninger om å utøve sine rettigheter.
  6. f) Oppfylle kravet om varsel ved personvernbrudd og assistanse.
  7. g) Bistå behandlingsansvarlige med vurdering av personvernkonsekvenser («DPIA») og eventuelt samarbeid med tilsynsmyndigheten.
  8. h) Skriftlig og umiddelbbart informere behandlingsansvarlige om eventuelle juridiske forpliktelser som krever at databehandleren utleverer personopplysninger som databehandleren behandler på vegne av behandlingsansvarlige.
  9. i) Demonstrere overholdelse av forpliktelsene i henhold til GDPR art. 28 ved å gjøre tilgjengelig nødvendig informasjon, på behandlingsansvarliges forespørsel.
  10. j) Tillate og bidra til eventuelle rimelige revisjoner gjennomført i regi av behandlingsansvarlige.
  11. k) Slette eller returnere personopplysninger og kopier etter behandlingsansvarliges valg slutten av tjenesten knyttet til behandlingen.

4. INNLEDENDE INSTRUKSJONER FOR BEHANDLING

Formål

Formålet med behandlingen av personopplysninger er for at databehandleren skal kunne levere følgende tjenester eller utføre følgende oppgaver: For å levere Tjenesten - Eligo (https://eligo.app/). Tjenesten er et verktøy for foreninger, lag og andre som ønsker å gjennomføre digitale valg, som leveres av Kantega AS. Tjenesten blir bestilt og betalt av behandlingsansvarlige. behandlingsansvarlige gir tilgang til den enkelte deltager i valget - brukeren av Tjenesten «Velger(en)»

Kategorier av data

Personopplysningene som behandles omfatter følgende:

  • Mobilnummer
  • Navn
  • Verifiseringstidspunkt

Hyppigheten av overføringen

Kontinuerlig basis
Enkelttilfelle
Annet [angi]

Kategorier av registrerte

Velgere og kandidater som deltar i digitale valg, samt eventuelle kontaktpersoner og administratorer som bruker Tjenesten.

Behandlingsaktiviteter (behandlings art)

Innsamling og verifisering, utføre og administrere digitale valg.

Varighet av oppbevaring

Opptil 90 dager.

Plassering av behandlingsoperasjoner

Kantegas behandling av personopplysninger skjer innenfor EU/EØS.

  • Vipps, Norge
  • Microsoft, Norge

Kunden gir leverandøren et generelt mandat til å inngå avtaler med underbehandlere forutsatt at avtalen er skriftlig og pålegger de samme personvernforpliktelsene som leverandøren har forpliktet seg til overfor kunden.

Databehandleren vil være ansvarlig for egne underbehandlere.

Databehandleren vil varsle behandlingsansvarlige om eventuelle tiltenkte endringer av underdatabehandlere eller steder for behandling slik at behandlingsansvarlige får muligheten til å protestere. Hvis behandlingsansvarlige har innvendinger mot databehandlerens valg av en underdatabehandler, står databehandleren fritt til å si opp avtalen. Begge parter vil i et slikt tilfelle være fri fra sine forpliktelser.

Sikkerhetstiltak

Avkryssede bokser tilsier at behandlingsansvarlige har instruert Databehandleren i å gjennomføre sikkerhetstiltaket som er beskrevet:

Personopplysninger er pseudonymisert og kryptert
Tiltak for å sikre løpende konfidensialitet, integritet, tilgjengelighet og robusthet av behandlingssystemer og tjenester
Muligheten til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i tide i tilfelle en fysisk eller teknisk hendelse
Prosesser for regelmessig testing, vurdering og evaluering av effektiviteten av tekniske og organisatoriske tiltak for å sikre sikkerheten til behandlingen
Brukeridentifikasjon og autorisasjon
Tiltak for beskyttelse av data under overføring
Tiltak for beskyttelse av data under lagring
Tiltak for å sikre fysisk sikkerhet for steder der personopplysninger behandles
Tiltak for å sikre hendelseslogging 
Mål for å sikre systemkonfigurasjon, inkludert standardkonfigurasjon
Tiltak for intern IT- og IT security governance og management
Tiltak for sertifisering av prosesser og produkter
Tiltak for å sikre dataminimering
Tiltak for å sikre begrenset dataoppbevaring
Tiltak for å tillate dataportabilitet og sikre sletting

5. TILTAK FOR Å SIKRE SIKKERHETEN TIL PERSONOPPLYSNINGENE

Databehandler skal

a) implementere de tekniske og organisatoriske tiltakene som er avkrysset i punkt 4 for å ivareta sikkerheten til personopplysningene som behandles. Sørge for at beskyttelsesnivået som den registrerte garanteres etter gjeldende personvernlover, inkludert GDPR, ikke undergraves.