Denne avtalen («Databehandleravtalen«) inngås som et tillegg til andre avtaler mellom MALEJO AS og tredjepart, og gjelder mellom tredjepart («Behandlingsansvarlig«) og MALEJO AS AS («Databehandler«) i henhold til gjeldende norsk personopplysningslovgivning, herunder EUs personvernforordningen – GDPR (EU 2016/679) («Personvernregelverket«).

Databehandleravtalen regulerer MALEJO AS AS forvaltning av personopplysninger på vegne av den Behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse, i forbindelse med utførelse av avtalte tjenester mellom partene.

Databehandleravtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller at opplysningene behandles på måter som fører til uautorisert tilgang eller tap.

Personopplysninger som MALEJO AS AS forvalter på vegne av Behandlingsansvarlig skal ikke brukes til andre formål enn levering og administrasjon av tjenestene uten at dette på forhånd er godkjent av Behandlingsansvarlig.

Behandlingsansvarlig bestemmer over bruken av personopplysningene som omfattes av denne Databehandleravtalen, og er ansvarlig for at det foreligger et lovlig behandlingsgrunnlag for personopplysningene som blir gitt MALEJO AS, herunder samtykke, og at den aktuelle behandling er i overensstemmelse med Personvernregelverket.

Behandlingsansvarlig skal vurdere krav om innsyn i, retting eller sletting av personopplysninger fra den registrerte i tråd med gjeldende regler for dette.

Behandlingsansvarlig skal uten ugrunnet opphold varsle MALEJO AS AS om forhold Behandlingsansvarlig forstår eller bør forstå kan få betydning for oppdragets/tjenestens gjennomføring.

MALEJO AS AS (Databehandler) skal behandle personopplysninger på vegne av Behandlingsansvarlig i henhold til denne Databehandleravtalen, Personvernregelverket og skriftlige instrukser fra Behandlingsansvarlig.

MALEJO AS AS forplikter seg til å varsle Behandlingsansvarlig dersom Databehandler mottar instrukser fra Behandlingsansvarlig som er i strid med bestemmelsene i Personvernregelverket.

MALEJO AS AS er ansvarlig for å ivareta nødvendig informasjonssikkerhet. Det innebærer å påse at ingen får uberettiget tilgang til personopplysninger, at opplysningene ikke endres utilsiktet eller at opplysningene blir utilgjengelige, slik dette er nærmere definert nedenfor i denne avtalen.

MALEJO AS AS skal uten ugrunnet opphold videresende enhver forespørsel fra tredjeparter om innsyn i eller tilgang til personopplysningene til Behandlingsansvarlig.

MALEJO AS AS plikter å gi Behandlingsansvarlig bistand til oppfyllelse av forpliktelser etter Personvernregelverket og tilgang til nødvendig dokumentasjon.

Formålet med behandlingen av personopplysningene er å tilgjengeliggjøre tjenestene (funksjonaliteten) som inngår i tjenestene for brukerne hos Behandlingsansvarlig.

Følgende personopplysninger behandles i forbindelse med leveranser fra MALEJO AS:

1. Navn
2. E-postadresse
3. Mobiltelefonnummer
4. Formell rolle i organisasjonen (markedsansvarlig, daglig leder, osv.)
5. Yrkestittel (opsjon)
6. Fødselsdato (opsjon)
7. Foto/video (opsjon)
8. Adresse (opsjon)
9. Kontonummer (opsjon)
10. Personlig dokumentasjon (CV el.l) (opsjon)

Personopplysningene brukes til korrespondanse, utarbeidelse av tilbud, produksjonsplaner o.l. og kun øvrig nødvendig bruk for leveranse ihht inngåtte avtaler mellom behandlingsansvarlig og databehandler.

Det er kun autoriserte fast ansatte underlagt taushetserklæringer som håndterer personopplysninger i MALEJO AS AS. Alle personopplysninger behandles som konfidensiell informasjon og benyttes ikke til MALEJO AS AS egne formål, med de unntak som er nevnt over. MALEJO AS AS plikter å dokumentere retningslinjer og rutiner for tilgangsstyring, herunder sørge for at egne ansatte undertegner en taushetserklæring. Dokumentasjonen skal være tilgjengelig for Behandlingsansvarlig på forespørsel. Ansattes taushetsplikt om personopplysninger som vedkommende får tilgang til i henhold til denne avtalen gjelder også etter avtalens og arbeidsforholdets opphør.

Databehandler plikter å arbeide systematisk med informasjonssikkerhet for å sikre konfidensialitet, integritet og tilgjengelighet knyttet til Kundens data, herunder personopplysninger.

Data på MALEJO AS AS driftsmaskiner lagres på egne selveide servere, eller hos sertifiserte norske underleverandører som oppfyller kravene til GDPR. Dokumenter og e-poster lagres i Microsofts Office365-skyløsning. Backup-data og ferdige mastere er lagret på Amazons S3-server i Irland, dersom annet ikke er spesifikt avtalt med kunde. Visningskopier gjøres tilgjengelig på Vimeo sin skybaserte løsning for videoavspilling.

MALEJO AS AS skal oppfylle de krav til sikkerhet ved behandlingen som stilles etter Personvernforordningen artikkel 32. MALEJO AS AS skal etablere og holde ved like slike sikkerhetstiltak som risikovurderinger har avdekket behov for, og skal dokumentere rutiner, opplæring og andre tiltak for å oppfylle disse kravene. MALEJO AS AS skal også bistå Behandlingsansvarlig med å sikre overholdelse av forpliktelsene etter Personvernforordningen artikkel 32 – 36.

MALEJO AS AS skal jevnlig gjennomføre og dokumentere sikkerhetsrevisjoner av informasjonssikkerheten for systemer som omfattes av denne Databehandleravtalen.

MALEJO AS AS skal uten ugrunnet opphold varsle Behandlingsansvarlig dersom personopplysninger som forvaltes på vegne av Behandlingsansvarlig utsettes for sikkerhetsbrudd som innebærer risiko for krenkelser av de registrertes personvern. Varsel skal beskrive omfang av sikkerhetsbrudd, berørte registrerte og tiltak. Behandlingsansvarlig er ansvarlig for at varsler om sikkerhetsbrudd fra MALEJO AS AS blir videreformidlet til Datatilsynet og eventuelle berørte registrerte.

Det utleveres ingen strukturerte personopplysninger/registre fra MALEJO AS AS til eksterne parter.

Ved opphør av denne avtalen plikter MALEJO AS AS å tilbakelevere alle Kundes data, herunder personopplysninger, som forvaltes på vegne av Behandlingsansvarlig. Alle data overføres til Behandlingsansvarlig i et egnet format mot avtalt godtgjørelse eller slettes.

Databehandleravtalen gjelder så lenge MALEJO AS AS behandler personopplysninger på vegne av Behandlingsansvarlig.

Ved brudd på denne avtale eller personopplysningsloven kan Behandlingsansvarlig pålegge MALEJO AS AS å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning. MALEJO AS AS er kun erstatningsansvarlig overfor Behandlingsansvarlig for direkte økonomiske tap som skyldes MALEJO AS AS mislighold av vilkårene i denne avtalen, oppad begrenset til det enkelte oppdrags verdi.

Malejo AS AS forbeholder seg retten til å oppdatere og endre Databehandleravtalen ved publisering på www..malejo.no/gdpr. Kunden skal varsles om vesentlige endringer senest 30 dager før de trer i kraft.

All bistand til Behandlingsansvarlig fra MALEJO AS AS utført i forbindelse med denne avtalen belastes Behandlingsansvarlig i henhold til Databehandlers ordinære betingelser, uavhengig av hvem som har bedt om bistand. Det samme gjelder kostnader og utlegg som er pådratt i forbindelse med utførelse av bistanden.

Alle henvendelser vedrørende denne avtalen skal sendes skriftlig til:

Behandlingsansvarlig:

Daglig leder eller administrator/personvernansvarlig særskilt utpekt av tredjepart

Databehandler:

Daglig leder i MALEJO AS AS

Databehandleravtalen er underlagt norsk rett og partene vedtar Trondheim tingrett som verneting.

Ved spørsmål:

Mathias Johansen // Daglig leder // + 47 480 95 490 // mathias@malejo.no