Personvern

Databehandleravtale

 

1. BAKGRUNN

Viser til inngått Kundeavtale – «Oppdragsavtale for Regnskapsoppdrag» («Avtalen«) mellom Regnskapshjelp AS («Regnskapsforetaket«) og deres selskap («Kunden«) (hver en «Part«, i fellesskap «Partene«).

Gjennomføring av oppdraget innebærer at Regnskapsforetaket Behandler Personopplysninger på vegne av Kunden. Regnskapsforetaket opptrer derved som Databehandler for den Behandlingsansvarlige Kunden.

Denne databehandleravtalen har til hensikt å regulere Regnskapsforetakets Behandling av Personopplysninger på vegne av Kunden, og derved sikre at Behandlingen skjer i samsvar med personopplysningsloven (LOV-2018-06-15-38), herunder EUs personvernforordning (EU/2016/679), og senere lovgivning som erstatter eller supplere disse («Personopplysningsregelverket«).

Definisjonene i personvernforordningen artikkel 4 gjelder for tilsvarende for begreper brukt i denne databehandleravtalen.

2. BEHANDLINGENS FORMÅL OG ART

Formålet med Regnskapsforetakets Behandling av Personopplysninger er å gjennomføre regnskapsoppdraget i samsvar med Avtalen, herunder Regnskap Norges standard leveransevilkår for regnskapsoppdrag («Standardvilkårene«).

I Vedlegg 1 i dette dokumentet beskrives de konkrete formålene med Behandlingene, samt de kategorier Personopplysninger og Registrerte som omfattes.

Databehandleravtalen gjelder ikke for Behandling av Personopplysninger som utføres for Regnskapsforetakets egne formål. Dette omfatter også Behandlinger som er nødvendige for å oppfylle plikter som Regnskapsforetaket er pålagt gjennom lov. For slike Behandlinger er Regnskapsforetaket selv Behandlingsansvarlig.

3. REGNSKAPSFORETAKETS PLIKTER


3.1 Rådighetsforbud og varslingsplikt

Regnskapsforetaket skal bare Behandle Personopplysninger i tråd med dokumenterte instrukser fra Kunden, herunder i Avtalen og i denne databehandleravtalens Vedlegg 1 i dette dokumentet.

Dersom Regnskapsforetaket mener at en instruks fra Kunden, jf. første avsnitt, er i strid med Personopplysningsregelverket skal Kunden varsles om dette.

Regnskapsforetaket må uten ugrunnet opphold varsle Kunden dersom Regnskapsforetaket ikke vil være i stand til å overholde sine forpliktelser etter denne databehandleravtalen.

3.2 Utlevering og taushetsplikt

Regnskapsforetaket skal ikke levere ut Personopplysninger til Tredjeparter, med mindre Kunden på forhånd har samtykket skriftlig til slik utlevering, eller det foreligger en lovpålagt plikt for Regnskapsforetaket til å utlevere Personopplysningene. Utlevering til andre Databehandlere skal skje i samsvar med vilkårene i denne databehandleravtalen pkt. 4

Bestemmelsen om taushetsplikt i Standardvilkårene pkt. 1.6 gjelder også for Personopplysninger som Behandles i medhold av Avtalen.

3.3 Informasjonssikkerhet og avviksmeldinger

Regnskapsforetaket skal treffe alle tiltak som er nødvendige for å etablere et egnet sikkerhetsnivå ved Behandlingen i samsvar med kravene i personvernforordningen artikkel 32. Tiltakene skal dokumenteres.

Regnskapsforetaket skal uten ugrunnet opphold varsle Kunden om ethvert Brudd på personopplysningssikkerheten som har medført en hendelig eller ulovlig tilintetgjørelse, tap, endring, uautorisert utlevering av eller tilgang til Personopplysningene som Behandles i medhold av denne databehandleravtalen. Varselet skal inneholde de opplysninger som kreves etter personvernforordningen artikkel 33 nr. 3.

Regnskapsforetaket skal straks iverksette tiltak for å hindre eller begrense konsekvensene av sikkerhetsbruddet.

3.4 Bistandsplikt

Regnskapsforetaket skal gi Kunden bistand med å etterleve kravene i personvernforordningen artikkel 32 til 36 om informasjonssikkerhet.

Regnskapsforetaket skal også bistå Kunden med å oppfylle Kundens plikt til å svare på henvendelser fra Registrerte som ønsker å utøve sine rettigheter etter Forordningen. Regnskapsforetaket skal ikke selv besvare slike henvendelser, men uten ugrunnet opphold videresende henvendelsen til Kunden eller henvise den Registrerte til selv å kontakte Kunden direkte.

3.4 Tilgang til informasjon og sikkerhetsrevisjoner

Regnskapsforetaket skal på forespørsel gi Kunden tilgang til all informasjon og dokumentasjon som er nødvendig for å påvise at Behandlingen skjer i samsvar med denne databehandleravtalen og Kundens instrukser.

Dersom Kunden avdekker avvik skal Regnskapsforetaket uten ugrunnet opphold iverksette korrigerende tiltak.

4. VILKÅR FOR BRUK AV ANDRE DATABEHANDLERE

Kunden samtykker til at Regnskapsforetaket overlater Personopplysningene som behandles i medhold av Avtalen til andre Databehandlere (underleverandører) som er angitt i Vedlegg 2 i dette dokumentet.

Før nye Databehandlere engasjeres i Behandlingen skal Kunden gis et skriftlig varsel, senest 2 uker før Personopplysningene overlates til den nye Databehandleren. Varselet skal inneholde opplysninger om hvor Behandlingen vil finne sted, jf. denne databehandleravtalens pkt. 5.

Kunden skal kunne protestere mot at Personopplysningene overlates til nye Databehandlere. I så fall skal Partene lojalt forsøke å enes om en løsning som er akseptabel for begge Parter. Dersom dette ikke fører frem kan Avtalen sies opp av begge Parter, i samsvar med Standardvilkårene pkt. 12.

Regnskapsforetaket skal inngå en skriftlig avtale med sine Databehandlere, som pålegger Databehandlerne de samme forpliktelsene som Regnskapsforetaket selv har i medhold av denne databehandleravtalen. Regnskapsforetaket er fullt ut ansvarlig overfor Kunden, for den Behandlingen som Databehandleren gjør.

5. VILKÅR FOR OVERFØRING UT AV EU/EØS-OMRÅDET

Personopplysninger kan bare overføres til land utenfor EU/EØS-området, dersom Kunden har gitt et forhåndssamtykke til det.

Kunden samtykker til overføring ut av EU/EØS-området som skjer i forbindelse med at Personopplysningene overlates til eksisterende Databehandlere, på de vilkår som er angitt i Vedlegg 2 i dette dokumentet.

Som forhåndssamtykke etter denne bestemmelsen regnes også manglende innsigelser mot at Behandlingen overlates til en Databehandler som Behandler Personopplysningene utenfor EU/EØS-området, jf. denne databehandleravtalen pkt. 4.

6. SLETTING OG TILBAKEFØRING AV PERSONOPPLYSNINGER

Ved Avtalens opphør plikter Regnskapsforetaket å tilbakelevere, slette eller anonymisere alle Personopplysninger i samsvar med Kundens nærmere instrukser på opphørstidspunktet. Partene skal lojalt enes om den praktiske gjennomføringen av denne plikten som ivaretar begge Parters behov for å oppfylle lovpålagte krav og sikre daglig drift.

Sletteplikten gjelder uansett ikke Personopplysninger som inngår i Regnskapsførerforetakets egen oppdragsdokumentasjon, jf. denne databehandleravtalens pkt. 2 tredje avsnitt.

7. DATABEHANDLERAVTALENS VARIGHET OG ENDRINGER

Databehandleravtalen gjelder så lenge Regnskapsforetaket behandler personopplysninger på vegne av Kunden. Taushetsplikten gjelder på ubestemt tid.

Databehandleravtalen kan endres ved behov og enighet mellom partene i samsvar med Standardvilkårene pkt. 7.

8. MEDDELELSER OG ANNEN KOMMUNIKASJON

Meddelelser og annen kommunikasjon etter denne databehandleravtalen skal skje i samsvar med Standardvilkårene pkt. 1.4.

9. LOVVALG OG VERNETING

Lovvalg og verneting er regulert i Standardvilkårene pkt. 15.


Vedlegg 1: Kategorier – Personopplysninger og behandlingsformål

Kategorier av registrerte vil kunne inkludere:

  • Ansatte, vikarer eller midlertidig ansatte hos Kunden
  • Personlige kunder hos Kunden
  • Eiere av Kundens virksomhet
  • Styremedlemmer hos Kunden
  • Selvstendig næringsdrivende leverandører (rapporteringsplikt)

Vedlegg 2: Oversikt over Databehandlere (underleverandører)


Aktuelle overføringsgrunnlag etter denne databehandleravtalen er:

  1. Landet er godkjent av EU
  2. Inngåelse av EUs standardkontrakter
  3. Mottaker er Privacy Shield sertifisert (kun USA)
© Regnskapshjelp AS 2012-2022 – et selskap i Conta AS