Standard databehandleravtale

Siste endret: 20. november 2018

Dette er Databehandleravtalen mellom medlemsbedriften i Revisorgruppen AS («Rg») og Kunden.

Databehandleravtalen omhandler behandling av personopplysninger i forbindelse med Rg sin leveranse av tjenester hvor Kunden er behandlingsansvarlig og Rg er databehandler.

1. Avtalens hensikt
Databehandleravtalens hensikt er å regulere rettigheter og plikter etter gjeldende personvernregelverk herunder: EUs personvernforordning (GDPR), gjeldende personopplysningslov, personopplysningsforskriften og generelle råd og veiledning fra tilsynsmyndigheter.

2. Bakgrunn og formål
Denne Databehandleravtalen gjelder for alle Kunder («Behandlingsansvarlige») som mottar tjenester fra Rg («Databehandler»). Avtalen mellom Rg og Kunden består av Oppdragsavtale og tilhørende Standard avtalevilkår (herunder denne Databehandleravtalen).

Kundens ansatte, honorarmottakere og personer som mottar tilskudd/erstatning omtales som de registrerte i denne Databehandleravtalen.

Formålet med Databehandleravtalen er å sikre behandling av personopplysninger slik at de ikke brukes urettmessig eller kommer uberettigede i hende.

Rg sitt behandlingsgrunnlag for behandling av personopplysningene er å finne i gjeldende Avtale. Formålet med Rg sin behandling av personopplysninger er å levere tjenester til Kunden hvor håndtering av personopplysninger er en nødvendighet. Rg skal kun behandle Kundens personopplysninger i den utstrekning det er nødvendig for å oppfylle Rg sine plikter.

Behandlingsgrunnlaget oppfyller de krav som er satt for behandling av personopplysninger etter gjeldende personvernregelverk.

3. Personopplysninger som behandles
Alle personopplysninger som Rg gis tilgang til eller på annen måte behandler gjennom avtaleforholdet med Kunden. Kategorier av registrerte er Kundens egne ansatte, Kundens ledelse og eiere samt familiemedlemmer tilknyttet slike personer som Kunden ønsker at Leverandøren skal bistå. Personopplysninger som oftest behandles er navn, personnummer, adresse, arbeidssted, epostadresse, mobilnummer og økonomiske opplysninger relatert til ligning og lignede. På noen personer kan det også være fotografi av personen og opplysninger om utdannelse, arbeidstid, ferie og lignende.

Avtalen omfatter alle behandlinger som er nødvendige for at Rg kan oppfylle sine forpliktelser til Kunden og som databehandler etter gjeldende regelverk samt de behandlinger som følger av det løpende avtaleforholdet mellom partene.

Rg kan håndtere personopplysninger i henhold til rammene gitt av Kunden i det til enhver tid gjeldende avtaleforhold mellom partene og for å oppfylle Rg sitt ansvar som databehandler etter gjeldende regelverk.

Det vises til kapittel 5 i vår Personvernerklæring som har mer detaljert informasjon om hvilke personopplysninger som vi samler inn og hva vi bruker dem til.

4. Rg sine plikter
Rg skal sikre at personopplysningene behandles i samsvar med gjeldende personvernregelverk.
Kunden har, med mindre annet følger av annet gjeldende regelverk, rett til tilgang og innsyn i personopplysningene som behandles hos Rg på vegne av Kunden. Rg plikter å bistå Kunden med å få slik tilgang og innsyn. Rg skal bistå Kunden med å svare på anmodninger som de registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i personvernforordningen. Det skal tas hensyn til behandlingens art og hvilke tekniske og organisatoriske tiltak som er egnet.

Rg skal uten ugrunnet opphold varsle Kunden om avvik. Rg skal bistå behandlingsansvarlig med melding til tilsynsmyndigheten (Datatilsynet) og eventuelt de registrerte om brudd på personopplysningssikkerheten. Meldingen fra Rg til Kunden skal minimum oppfylle kravene fastsatt i gjeldende personvernregelverk. Kunden skal om nødvendig varsle Datatilsynet. For øvrig skal Rg håndtere avviket i samsvar med kravene i gjeldende personvernregelverk.

Rg sine ansatte har lovfestet taushetsplikt om dokumentasjon og personopplysninger de får tilgang til under Avtalen. Taushetsplikten gjelder også etter Avtalens opphør.

5. Kundens plikter
Kunden har ansvar for at personopplysningene behandles i samsvar med instrukser i Avtalen og til enhver tid gjeldende personvernregelverk. Kunden har videre ansvar for å sikre at personopplysninger ikke lagres uten lovhjemmel når det trekkes ut eller etter Avtalen utleveres informasjon fra Rg systemer. Kunden har også ansvar for å ikke sende inn mer enn det som opplagt er nødvendig av personopplysninger til Rg. Det vil falle utenfor behandlingens formål.

Kunden plikter å varsle Rg om alle avvik som medfører risiko for de registrertes rettigheter, i den utstrekning det er nødvendig. Kundens plikter framkommer for øvrig fra gjeldende personvernregelverk.

6. Bruk av underleverandører
Rg benytter underleverandører for å oppfylle Avtalen med Kunden. I noen tilfeller har Rg behov for å gi underleverandører tilgang til systemområder som inneholder personopplysninger, for å kunne ivareta forpliktelser i Avtalen. I den grad det er nødvendig at de gis tilgang til Rg sine systemer, vil underleverandørene være bundet av taushetserklæringer. Underleverandører skal ikke gis tilganger som er mer omfattende eller av lengere varighet enn det som er påkrevd for å utføre leveransene.

I de tilfellene Rg benytter seg av underleverandører eller konsulenter til behandling av personopplysninger, skal Rg inngå en skriftlig avtale med underleverandøren eller konsulenten, som sikrer minst samme grad av beskyttelse som denne Databehandleravtalen. Slik avtale skal på forespørsel fremlegges for Kunden.

Ved inngåelse av denne Databehandleravtalen godkjenner Kunden samtlige av det relevante Rg medlemmet sine underleverandører. Oversikt for de ulike medlemmer i Rg og deres bruk av underleverandører er publisert på rg.no/databehandler.

Rg kan inngå avtaler med nye underleverandører etter behov. Kun ved de tilfeller at en ny underleverandør medfører en vesentlig endring i vår behandling av Kundes personopplysninger vil det bli gitt særskilt varsel til de berørte kunder.

7. Overføring til land utenfor EU/EØS
Rg må på forhånd varsle Kunden før personopplysninger overføres til land utenfor EU/EØS. Hvis utlevering kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett, som Rg er underlagt, skal Rg underrette Kunden om nevnte rettslige krav før behandlingen, med mindre denne rett av hensyn til viktige samfunnsinteresser forbyr en slik underretning.

Hvis Rg skal benytte underleverandør som opererer fra land utenfor EU/EØS (tredjeland), må Rg varsle Kunden før personopplysninger overføres. Kunden skal godkjenne en slik overføring.

8. Sikkerhet
Rg har selvstendig plikt til å gjennomføre egnede sikkerhetstiltak, men skal også som et minimum oppfylle de krav til sikkerhetstiltak som stilles i til enhver tid gjeldende personvernregelverk. Behandlingen skal være underlagt sikringstiltak som ivaretar konfidensialitet, integritet og tilgjengelighet for behandling av personopplysningene i henhold til gjeldende personregelverk.
Rg oppfyller kravene til sikkerhetstiltak eksempelvis med fysiske sikringstiltak, tilgangsstyring, internkontrollrutiner, gjennomføring av sikkerhetskopier, sikring av tilgjengelighet, loggføring, utførelse av sikkerhetsrevisjoner i tillegg til rollebeskrivelser og taushetsplikt for ansatte. Rutiner og tiltak for å oppfylle kravene dokumenteres skriftlig av Rg. Dokumentasjonen skal være tilgjengelig på forespørsel fra Kunden. Innsyn i dokumentasjonen skal reguleres strengt (gis kun til begrenset antall autoriserte personer) slik at dette ikke svekker sikkerhetsnivået.

Rg sin tilgangsstyring sikrer innenfor rammen av hva som er praktisk og hensiktsmessig at kun personer med tjenstlig behov har tilgang til personopplysninger og/eller systemer hvor disse behandles.
Sikkerhetsbrudd og bruk av informasjonssystemet i strid med fastlagte rutiner skal anses som avvik. Hovedregelen er at alle avvik som skyldes brudd på datasikkerheten skal meldes til Datatilsynet. Unntak fra dette gjelder hvis det er usannsynlig at avviket medfører en risiko for enkeltpersoners rettigheter eller personvern og skal vurderes av behandlingsansvarlig.

9. Personvernombud og kontroll
Datatilsynet har tilsynsmyndighet ovenfor Rg og skal gjennomføre tilsyn i henhold til gjeldende personvernregelverk. Rg har videre avtalefestet rett til å gjennomføre jevnlige sikkerhetsrevisjoner av alle sine underleverandører.

Rg har opprettet rolle for personvernombud som også skal kontrollere overholdelsen av gjeldende personvernregelverk. Personvernombudet er uavhengig i sitt arbeid og mottar ikke instrukser om utførelsen av oppgavene sine. Personvernombudet skal overholde rutiner for å ivareta at personopplysninger behandles i samsvar med både Rg sine interne rutiner og gjeldende personvernregelverk.

10. Varighet og opphør
Behandlingen er ikke tidsbegrenset og Databehandleravtalen gjelder så lenge Rg behandler personopplysninger på vegne av Kunden. Rg kan gjøre endringer i denne Databehandleravtalen ved endringer i relevant regelverk for personvern. Nyeste versjon av Databehandleravtalen samt oversikt på foretatte revisjoner vil publiseres på rg.no/avtaler. Rg har kun plikt til å informere Kunden ved vesentlige endringer i Databehandleravtalen.

Ved opphør av Avtalen plikter Rg, i tråd med de til enhver tid gjeldende regler, å levere tilbake alle personopplysninger som er behandlet på vegne av Kunden og deretter forsvarlig destruere egne kopier. Dette gjelder også eventuelle sikkerhetskopier og så langt det ikke strider mot andre lovbestemmelser.

11. Henvendelser
Kunden har til enhver tid full rådighet over personopplysningene. Kunden har ansvar for å ta imot henvendelser fra den registrerte. Rg skal svare på forespørsler om innsyn, retting eller sletting når det foreligger et lovpålagt grunnlag og/eller når databehandler blir instruert til å svare av Kunden.
Henvendelser fra Kunden skal sendes til firmapost hos det aktuelle Rg-medlemmet. Dette gjelder både spørsmål om innsyn, retting og sletting av personopplysninger tilknyttet Rg sin tjenesteleveranse.

12. Tvister
Tvister eller uoverensstemmelser mellom partene etter denne Databehandleravtalen skal først søkes løst mellom partene. Dersom dette ikke lykkes, skal uenigheten eskaleres til neste nivå oppover i linjen inntil enighet oppnås. Dette er i samsvar med alminnelig praksis i forvaltningen.

13. Lokale forhold / avvik 
Vedr. informasjon om lokale forhold hos medlemsbedriftene i Rg (f.eks. oversikt på underleverandører) samt eventuelle lokale avvik fra bestemmelsene ovenfor, ta kontakt med ditt lokale Rg kontor.