Databehandlare tillhandahåller åtkomstloggfunktionalitet för kommersiella fastigheter. Personuppgiftsansvarig kan begära att funktionaliteten aktiveras och tar själv ansvar för att sätta sig in i gällande lagstiftning vid användning av en sådan logg.
---
Databehandlingsavtal
Parterna har ingått ett tjänsteavtal av ("Avtalen"). För att kunna tillhandahålla tjänsterna enligt Avtalen kommer Databehandlare att behandla Personuppgifter på uppdrag av Personuppgiftsansvarig.
Syftet med Databehandlingsavtalet är att reglera parternas rättigheter och skyldigheter enligt gällande integritetslagstiftning i samband med Databehandlares behandling av Personuppgifter på uppdrag av Personuppgiftsansvarig. Databehandlingsavtalet gäller endast för behandling av Personuppgifter som sker på uppdrag av Personuppgiftsansvarig.
Vid oenighet mellan Avtalen och Databehandlingsavtalet när det gäller frågor som särskilt rör integritet, ska Databehandlingsavtalet ha företräde.
Med "Databehandlingsavtalet" avses detta avtal.
Med "GDPR" avses Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter samt om upphävande av direktiv 95/46/EG (dataskyddsförordningen).
Med "Integritetslagstiftning" avses till var tid gällande norsk lagstiftning relaterad till integritet, inklusive lagstiftning som genomför eller kompletterar GDPR.
Med "Personuppgifterna" avses all information om en identifierad eller identifierbar fysisk person (den "Registrerade").
Med "Tredjeland" avses länder utanför EU/EES.
Med "Underleverantörer" avses underleverantörer som behandlar Personuppgifter på uppdrag av Databehandlare.
Personuppgiftsansvarig är ansvarig för att säkerställa att behandlingen av Personuppgifter sker i enlighet med Integritetslagstiftningen.
Personuppgiftsansvarig har rätt och skyldighet att bestämma ändamålet med behandlingen av Personuppgifter och vilka medel som ska användas.
Personuppgiftsansvarig är ansvarig för att bland annat säkerställa att det finns ett rättsligt grund för behandlingen av Personuppgifter som Databehandlaren instrueras att utföra.
Databehandlare ska behandla Personuppgifterna endast på uppdrag av Personuppgiftsansvarig enligt Avtalen, detta Databehandlingsavtal och de dokumenterade instruktioner från Personuppgiftsansvarig, om inte annat krävs enligt gällande lagstiftning.
Databehandlare ska omedelbart meddela Personuppgiftsansvarig om Databehandlare är lagstadgad, föreskriven eller pålagd av myndigheter att behandla Personuppgifterna i strid med instruktioner från Personuppgiftsansvarig eller om Databehandlare anser att en instruktion strider mot Integritetslagstiftningen.
Ytterligare information om behandlingen av Personuppgifter, inklusive ändamålet och arten av behandlingen, typen av Personuppgifter och kategorierna av de Registrerade finns i bilaga 1.
Databehandlare, dess Underleverantörer och andra som agerar på uppdrag av Databehandlare och har tillgång till Personuppgifterna, är underkastade sekretessplikt och ska följa sekretessplikten i samband med behandling av Personuppgifter enligt Avtalen, detta Databehandlingsavtal och gällande Integritetslagstiftning.
Databehandlare är ansvarig för att de som agerar på uppdrag av Databehandlare är underkastade sådan sekretessplikt. Databehandlaren ska på begäran från Personuppgiftsansvarig kunna visa att de aktuella personerna som är föremål för Databehandlares instruktionsmyndighet är underkastade den ovanstående sekretessplikten.
Personuppgiftsansvarig är underkastad sekretessplikt när det gäller dokumentation och information som är kopplad till Databehandlares och deras Underleverantörers genomförande av tekniska och organisatoriska säkerhetsåtgärder samt information som Databehandlare annars önskar hålla konfidentiell. Personuppgiftsansvarig kan dock alltid dela sådan information med relevanta tillsynsmyndigheter i den utsträckning det är nödvändigt för att uppfylla Personuppgiftsansvariges skyldigheter enligt Integritetslagstiftning eller andra lagstadgade skyldigheter.
Sekretessplikten gäller även efter att Databehandlingsavtalet har upphört.
Databehandlaren ska vidta alla åtgärder som är nödvändiga för att uppfylla GDPR artikel 32, inklusive att genomföra lämpliga tekniska och organisatoriska säkerhetsåtgärder med syfte att uppnå en säkerhetsnivå som är lämplig med hänsyn till risken. Detta inkluderar åtgärder för att säkerställa att Personuppgifterna är tillgängliga, förhindra förlust eller skada av Personuppgifter, samt förhindra oavsiktlig åtkomst till Personuppgifter, och att Databehandlaren ska säkerställa att endast personal med tjänligt behov har tillgång till Personuppgifterna.
Databehandlaren ska också bistå den Personuppgiftsansvarige med att följa den Personuppgiftsansvariges skyldigheter enligt GDPR artikel 32, med beaktande av behandlingens art och den information som är tillgänglig för Databehandlaren.
Om inte annat är överenskommet eller följer av gällande lagstiftning, ska den Personuppgiftsansvarige ha tillgång till alla Personuppgifter som behandlas av Databehandlaren på uppdrag av den Personuppgiftsansvarige.
Om Databehandlaren eller Underleverantören får en förfrågan från registrerade om behandling av Personuppgifter, ska Databehandlaren vidarebefordra förfrågan till den Personuppgiftsansvarige, om inte Databehandlaren själv är behörig att hantera förfrågan.
Med hänsyn till behandlingens art och i den utsträckning det är möjligt, ska Databehandlaren bistå den Personuppgiftsansvarige, med hjälp av lämpliga tekniska och organisatoriska åtgärder, med att uppfylla den Personuppgiftsansvariges skyldighet att svara på begäran som registrerade lämnar in för att utöva sina rättigheter enligt integritetslagstiftningen.
Detta inkluderar bland annat de registrerades rätt till insyn, rättelse, radering, begränsning, invändning och dataportabilitet.
Databehandlaren ska omedelbart och senast inom 36 timmar efter att ha blivit medveten om en incident som innebär en risk för säkerheten för personuppgifter, underrätta den Personuppgiftsansvarige. Den Personuppgiftsansvarige är ansvarig för att rapportera säkerhetsincidenten till relevant tillsynsmyndighet.
Underrättelsen till den Personuppgiftsansvarige ska innehålla information som gör det möjligt för den Personuppgiftsansvarige att uppfylla sina skyldigheter enligt GDPR artikel 33 och 34, inklusive (i) arten av säkerhetsincidenten, inklusive, när det är möjligt, kategorierna och det ungefärliga antalet registrerade som påverkas, samt kategorierna och det ungefärliga antalet poster med Personuppgifter som påverkas, (ii) de troliga konsekvenserna av säkerhetsincidenten, (iii) de åtgärder som Databehandlaren har vidtagit eller föreslår att vidta för att hantera säkerhetsincidenten, inklusive, om relevant, åtgärder för att minimera eventuella skadeverkningar som en följd av säkerhetsincidenten.
Om det inte är möjligt för Databehandlaren att ge all relevant information inom tidsfristen kan informationen ges stegvis utan onödigt dröjsmål.
Om den Personuppgiftsansvarige är skyldig att underrätta de registrerade om en säkerhetsincident enligt integritetslagstiftningen, ska Databehandlaren bistå den Personuppgiftsansvarige med detta.
Om Databehandlaren eller en Underleverantör får en förfrågan från en relevant tillsynsmyndighet om insyn i eller information om Personuppgifter eller behandlingsaktiviteter som omfattas av denna Databehandlaravtal, ska Databehandlaren meddela den Personuppgiftsansvarige om förfrågan, om inte Databehandlaren enligt gällande lagstiftning eller i enlighet med den Personuppgiftsansvariges instruktioner är behörig att hantera förfrågan.
Om den Personuppgiftsansvarige är skyldig att genomföra en bedömning av integritetskonsekvenser och/eller genomföra förhandsdiskussioner med relevant tillsynsmyndighet i samband med behandlingen av Personuppgifter enligt detta Databehandlaravtal, ska Databehandlaren bistå den Personuppgiftsansvarige med detta.
Den Personuppgiftsansvarige godkänner att Databehandlaren kan använda Underleverantörer för att assistera med att tillhandahålla tjänsten och behandla Personuppgifter enligt Avtalet, förutsatt att Databehandlaren säkerställer att:
1. Den Personuppgiftsansvarige har rätt att invända mot tillsättning eller byte av Underleverantörer enligt förfarandet nedan i detta punkt 10;
2. Databehandlarens skyldigheter avseende skydd av Personuppgifter som anges i Databehandlaravtalet och i integritetslagstiftningen åläggs eventuella Underleverantörer genom skriftlig överenskommelse; och att
3. varje Underleverantör lämnar tillräckliga garantier för att det vidtas tekniska och organisatoriska åtgärder för att säkerställa att behandlingen uppfyller kraven i integritetslagstiftningen och Databehandlaravtalet, samt att ge den Personuppgiftsansvarige och relevant tillsynsmyndighet den åtkomst och information som är nödvändig för att verifiera sådana garantier.
Databehandlaren ska vara fullt ansvarig gentemot den Personuppgiftsansvarige för att Underleverantörer uppfyller sina skyldigheter. Listan över godkända Underleverantörer som den Personuppgiftsansvarige har godkänt framgår av bilaga 2.
Databehandlaren ska när som helst ha en uppdaterad lista över godkända Underleverantörer, inklusive namn och kontaktinformation för alla Underleverantörer och platsen där Personuppgifterna behandlas. Databehandlaren ska lämna ut listan till den Personuppgiftsansvarige på begäran.
Överföring av Personuppgifter till Tredjeland får endast ske efter skriftligt förhandsgodkännande från Behandlingsansvarig. En överföring till Tredjeland förutsätter att villkoren i GDPR kapitel 5 uppfylls, inklusive att det finns en giltig överföringsgrund och eventuella ytterligare krav om detta enligt Behandlingsansvarigs skäl krävs i enlighet med EU-domstolens beslut i ärende C-311/18 eller efterföljande lagstiftning eller rekommendationer/direktiv från Europeiska dataskyddsstyrelsen eller nationella dataskyddsmyndigheter ("Ytterligare krav").
Om Behandlingsansvarig har gett skriftligt förhandsgodkännande för en överföring kan Behandlingsansvarig ge Databehandlaren fullmakt att ingå EU:s standardvillkor på Behandlingsansvarigs vägnar eller annat rättsligt grund för överföring till Tredjeland, utöver eventuella Ytterligare krav, enligt Behandlingsansvarigs instruktioner. Databehandlaren ska utan dröjsmål tillhandahålla Behandlingsansvarig en kopia av sådana EU-standardvillkor eller en beskrivning av annat rättsligt grund för överföringen, tillsammans med eventuella Ytterligare krav.
Databehandlaren ska tillhandahålla rimlig hjälp och dokumentation för användning i Behandlingsansvarigs oberoende riskbedömning av användningen av Underleverantörer och/eller överföringen av Personuppgifter till Tredjeland.
Databehandlaren ska tillhandahålla Behandlingsansvarig dokumentation om genomförda tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå, samt annan information som är nödvändig för att dokumentera att Databehandlaren uppfyller sina åtaganden enligt detta Databehandlaravtal och integritetslagstiftningen.
Behandlingsansvarig och relevant tillsynsmyndighet har rätt att genomföra revisioner, inklusive inspektioner och utvärdering av Personuppgifter som behandlas, de system som används för detta ändamål, genomförda tekniska och organisatoriska säkerhetsåtgärder, inklusive säkerhetsföreskrifter etc., samt Underleverantörer.
Databehandlaren ska inte ge tillgång till information om Databehandlarens andra kunder.
Om Behandlingsansvarig utser en extern revisor för att genomföra revisionen ska revisorn vara bunden av en skyldighet till konfidentialitet. Databehandlaren har rätt att invända mot att en konkurrent till Databehandlaren utses som revisor.
Var och en av parterna täcker sina egna kostnader i samband med en revision. Om en revision avslöjar icke obetydliga avvikelser från Databehandlarens åtaganden ska Behandlingsansvarig få sina rimliga kostnader i samband med revisionen täckta av Databehandlaren.
Databehandlaravtalet gäller så länge Databehandlaren behandlar Personuppgifter på uppdrag av Behandlingsansvarig.
Om Databehandlaren bryter mot Databehandlaravtalet eller andra dokumenterade instruktioner från Behandlingsansvarig eller inte uppfyller sina skyldigheter enligt integritetslagstiftningen, kan Behandlingsansvarig beordra Databehandlaren att omedelbart avbryta vidare behandling av Personuppgifter och säga upp Databehandlaravtalet med omedelbar verkan.
Vid upphörandet av Databehandlaravtalet ska Databehandlaren, enligt instruktioner från Behandlingsansvarig, antingen radera eller returnera alla Personuppgifter till Behandlingsansvarig, inklusive kopior och säkerhetskopior, om inte annat föreskrivs enligt gällande lagstiftning.
Databehandlaren ska skriftligen bevisa för Behandlingsansvarig att radering har ägt rum i enlighet med Databehandlaravtalet och som specificerats av Behandlingsansvarig.
Partens skadeståndsansvar för skada som drabbar den Registrerade eller andra fysiska personer och som beror på överträdelse av integritetslagstiftningen regleras av GDPR artikel 82. Eventuella ansvarsbegränsningar i skadeståndsansvar i Avtalet ska inte gälla för ansvar som följer av integritetsförordningen artikel 82.
Parterna är var för sig ansvariga för överträdelseavgifter som påförs enligt GDPR art. 83. För övrigt gäller Avtalets ansvarsregler och begränsningar.
Alla meddelanden och annat som rör Databehandlaravtalet ska skickas skriftligen till e- postadressen som anges på första sidan av Databehandlaravtalet.
I händelse av ändringar i integritetslagstiftningen, om dom eller uttalande från behörig myndighet eller annan auktoritativ källa medför en ändrad tolkning av integritetslagstiftningen eller om ändringar i leveransen av tjänsten enligt Avtalet kräver ändringar i Databehandlaravtalet, ska parterna samarbeta för att uppdatera Databehandlaravtalet i enlighet därmed.
Alla ändringar eller tillägg till detta Databehandlaravtal ska göras skriftligt och undertecknas av båda parter.
Databehandlaravtalet omfattas av norsk lag, och parterna godkänner Oslo tingsrätt som behörig domstol.
Bilaga 1 PDF (1 sida, bifogad nedan)
Ladda ner 24DF7B4E80875618CA8D61CE81B39CD11EAB936453BD9D5814721D38464FD8DE
Bilaga 1 PDF (1 sida, bifogad nedan)
Ladda ner 138ED1198C0D45566680CF8B4648887BDF7036D1389D2597CCF6BF79A503CFEC
Kontaktinformation för Databehandlare
Namn: Hildur Smaradottir
Titel: CEO
Adress: Bogstadveien 27B 0355 Oslo
Telefon: +47 90181750
E-post: hildur@getdefigo.com
● För att tillhandahålla tjänsten enligt tjänsteavtalet. Tjänsten används av de registrerade för att kunna öppna dörrar i byggnaderna där systemet är installerat eller för att ta emot besökare med porttelefon. Dessutom används tjänsten av byggnadens administratörer för att hantera de registrerades tillträden i byggnaden och till porttelefonen.
● Databehandlaren kommer att hantera användaradministrationen i åtkomstsystemet om detta ingår i tjänsteavtalet med Behandlingsansvarig.
● Namn
● Telefonnummer
● E-postadress
● Gatuadress och lägenhetsnummer
● Invånare i bostadsrättsföreningen/samfälligheten
● Anställda och uppdragstagare hos kunden eller kundens hyresgäster
Amazon Web Services EMEA SARL
Amazon Web Services EMEA SARL
38 Avenue John F. Kennedy, L-1855, Luxemburg
Atender AS
Alameda de Colón, 34, 29001 Málaga, Spanien
Nödvändiga garantier för överföring till tredjeland (grund för överföring och eventuella ytterligare krav)
Dive into the latest trends, benefit from expert analysis, and participate in live webinars with industry leaders.
Everything in one place for real estate operators.