Databehandleravtale

Mellom

Snapbooks AS (org.nr. 921605900)
Adresse: Christian Michelsensgate 4, 5012 Bergen
(heretter kalt “Databehandler”)

og

Kunden
(heretter kalt “Behandlingsansvarlig”)

1. Avtalens hensikt

Denne databehandleravtalen regulerer rettigheter og plikter mellom Behandlingsansvarlig og Databehandler i henhold til den til enhver tid gjeldende personopplysningslov og personvernforordningen (GDPR).

Avtalen skal sikre at personopplysninger behandles i samsvar med krav fastsatt i personvernforordningen og annen relevant lovgivning, herunder at personopplysninger:

  • Behandles lovlig, rettferdig og på en åpen måte
  • Samles inn for spesifikke, uttrykkelig angitte og legitime formål
  • Er adekvate, relevante og begrenset til det som er nødvendig
  • Er korrekte og om nødvendig oppdaterte
  • Lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn nødvendig
  • Behandles på en måte som sikrer tilstrekkelig sikkerhet

2. Definisjoner

I denne avtalen gjelder følgende definisjoner:

  • Personopplysninger: Enhver opplysning om en identifisert eller identifiserbar fysisk person.
  • Behandling: Enhver operasjon som utføres på personopplysninger.
  • Den registrerte: Den fysiske personen som personopplysningene gjelder.
  • Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes.
  • Databehandler: Den som behandler personopplysninger på vegne av den behandlingsansvarlige.
  • Hovedavtalen: Den tjenesteavtale eller annen avtale som er inngått mellom partene og som denne databehandleravtalen er et vedlegg til.

3. Omfang og formål

Databehandler skal behandle personopplysninger på vegne av Behandlingsansvarlig i henhold til denne avtalen og Hovedavtalen.

Formålet med behandlingen er å levere tjenestene som er avtalt mellom partene i Hovedavtalen, herunder å muliggjøre bruk av kunstig intelligens og andre digitale tjenester.

Kategorier av personopplysninger som kan behandles avhenger av hvilke tjenester som benyttes, og kan omfatte:

  • Kontaktopplysninger (som navn, e-post, telefonnummer)
  • Brukerinformasjon og innloggingsdata
  • Innhold og data som lastes opp eller behandles av tjenestene, inkludert:
    • Regnskapsdokumenter som kan inneholde personidentifiserbare opplysninger
    • Økonomiske opplysninger som kan knyttes til enkeltpersoner, herunder lønnsopplysninger, utbetalinger, fakturaopplysninger og kontonumre
    • Forretningsrelatert informasjon som kan knyttes til enkeltpersoner
  • Tekniske data og metadata
  • Andre personopplysninger som overføres til eller behandles av tjenestene

Kategorier av registrerte kan omfatte:

  • Kunder og potensielle kunder
  • Ansatte og kontaktpersoner
  • Leverandører og samarbeidspartnere
  • Sluttbrukere av tjenester
  • Andre personer hvis personopplysninger fremkommer i regnskapsdokumenter eller annen data som behandles av tjenestene

4. Databehandlers plikter

Databehandler forplikter seg til å:

a) Kun behandle personopplysninger i samsvar med dokumenterte instrukser fra Behandlingsansvarlig, herunder for overføring av personopplysninger til et tredjeland eller en internasjonal organisasjon, med mindre det kreves i henhold til lov som Databehandler er underlagt. I så fall skal Databehandler underrette Behandlingsansvarlig om dette rettslige kravet før behandlingen, med mindre denne lov forbyr slik underretning.

b) Sikre at personer som er autorisert til å behandle personopplysningene har forpliktet seg til konfidensialitet eller er underlagt en egnet lovfestet taushetsplikt.

c) Treffe alle tiltak som kreves i henhold til personvernforordningens artikkel 32 (sikkerhet ved behandlingen).

d) Respektere vilkårene nevnt i avsnitt 5 og 6 for engasjering av en annen databehandler.

e) Bistå Behandlingsansvarlig ved hjelp av egnede tekniske og organisatoriske tiltak, så langt det er mulig, med å oppfylle Behandlingsansvarligs plikt til å svare på anmodninger om utøvelse av de registrertes rettigheter.

f) Bistå Behandlingsansvarlig med å sikre overholdelse av forpliktelsene i henhold til personvernforordningens artikkel 32 til 36 (sikkerhet ved behandlingen, melding om brudd på personopplysningssikkerheten, vurdering av personvernkonsekvenser og forhåndsdrøftinger), tatt i betraktning behandlingens art og den informasjonen som er tilgjengelig for Databehandleren.

g) Etter Behandlingsansvarligs valg, slette eller tilbakelevere alle personopplysninger til Behandlingsansvarlig etter at tjenestene knyttet til behandlingen er levert, og slette eksisterende kopier med mindre EU-retten eller nasjonal rett krever lagring av personopplysningene.

h) Gjøre tilgjengelig for Behandlingsansvarlig all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i denne avtalen er oppfylt, og bidra til revisjoner, herunder inspeksjoner, som gjennomføres av Behandlingsansvarlig eller en annen revisor som er bemyndiget av Behandlingsansvarlig.

i) Ikke anvende, selge, utlevere, beholde eller bruke personopplysninger til andre formål enn de som er uttrykkelig angitt i denne avtalen og i Hovedavtalen.

j) Ikke kombinere personopplysninger som mottas fra Behandlingsansvarlig med personopplysninger mottatt fra andre kilder, med mindre dette er uttrykkelig tillatt i denne avtalen eller i Hovedavtalen.

k) På forespørsel utlevere sine relevante sikkerhetssertifiseringer (f.eks. SOC 2) eller annen dokumentasjon på sikkerhetsarbeidet for å gjøre det mulig for Behandlingsansvarlig å verifisere etterlevelse av sikkerhetsbestemmelsene i denne avtalen.

5. Bruk av underdatabehandlere

Databehandler skal ikke engasjere en annen databehandler (underdatabehandler) uten at det på forhånd er innhentet særlig eller generell skriftlig godkjenning fra Behandlingsansvarlig. Ved generell skriftlig godkjenning skal Databehandler underrette Behandlingsansvarlig om eventuelle planer om å benytte eller skifte ut underdatabehandlere, og dermed gi Behandlingsansvarlig muligheten til å motsette seg slike endringer innen femten (15) dager etter slik varsel.

Når Databehandler engasjerer en underdatabehandler for å utføre spesifikke behandlingsaktiviteter på vegne av Behandlingsansvarlig, skal samme forpliktelser med hensyn til vern av personopplysninger som er fastsatt i denne avtalen, pålegges underdatabehandleren gjennom en avtale eller et annet rettslig dokument.

Godkjente underdatabehandlere ved avtaleinngåelse:

  • OpenAI
  • Anthropic
  • Google
  • Mistral

Databehandler vil holde en oppdatert liste over alle underdatabehandlere tilgjengelig på sin nettside, og vil informere Behandlingsansvarlig ved vesentlige endringer i denne listen. Ved å akseptere denne avtalen, gir Behandlingsansvarlig generell skriftlig forhåndsgodkjenning til Databehandlers bruk av underdatabehandlere som angitt i denne listen.

6. Overføring til tredjeland

Behandlingsansvarlig er innforstått med at noen av underdatabehandlerne kan ha tilgang til eller behandle personopplysninger fra servere eller lokasjoner utenfor EU/EØS. Ved aksept av denne avtalen gir Behandlingsansvarlig sitt samtykke til slik overføring, forutsatt at Databehandler sikrer at overføringen skjer i samsvar med gjeldende personvernlovgivning, herunder gjennom bruk av EUs standardkontraktsvilkår, EU-US Data Privacy Framework, eller andre godkjente overføringsmekanismer i henhold til personvernforordningens kapittel V.

Databehandler vil på forespørsel fra Behandlingsansvarlig gi informasjon om hvilke overføringsmekanismer som benyttes for de ulike underdatabehandlerne. Databehandler vil også bistå Behandlingsansvarlig med informasjon som er nødvendig for at Behandlingsansvarlig skal kunne gjennomføre en vurdering av konsekvensene ved overføring (Transfer Impact Assessment) dersom dette er nødvendig.

7. Informasjonssikkerhet

Databehandler skal gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, herunder blant annet, alt etter hva som er relevant:

a) Pseudonymisering og kryptering av personopplysninger b) Evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene c) Evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse d) En prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er

Ved vurderingen av egnet sikkerhetsnivå skal det særlig tas hensyn til risikoene forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.

Databehandler skal sikre at ansatte som gis tilgang til personopplysninger, har gjennomgått nødvendig opplæring i informasjonssikkerhet og er underlagt taushetsplikt. Databehandler skal videre sikre hensiktsmessig tilgangskontroll og loggføring av tilgang til personopplysninger.

Databehandler gjennomfører jevnlig risiko- og sårbarhetsvurderinger av systemer som behandler personopplysninger, og iverksetter tiltak for å lukke identifiserte sårbarheter. Databehandler har rutiner for sikkerhetsoppdateringer av systemer og programvare.

8. Melding om brudd på personopplysningssikkerheten

Databehandler skal uten ugrunnet opphold, og senest innen 48 timer, varsle Behandlingsansvarlig etter å ha fått kjennskap til et brudd på personopplysningssikkerheten.

Varselet skal minst: a) Beskrive arten av bruddet på personopplysningssikkerheten b) Oppgi navn og kontaktopplysninger til personvernombudet eller et annet kontaktpunkt der mer informasjon kan innhentes c) Beskrive de sannsynlige konsekvensene av bruddet d) Beskrive de tiltak som er truffet eller foreslått for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger

Databehandler skal dokumentere alle brudd på personopplysningssikkerheten, inkludert fakta om bruddet, virkningene av det og hvilke utbedringstiltak som er gjennomført. Denne dokumentasjonen skal gjøres tilgjengelig for Behandlingsansvarlig på forespørsel.

9. Varighet og opphør

Denne avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig.

Ved opphør av denne avtalen skal Databehandler, etter Behandlingsansvarligs valg, slette eller tilbakelevere alle personopplysninger til Behandlingsansvarlig innen tretti (30) dager, og slette eksisterende kopier med mindre EU-retten eller nasjonal rett krever lagring av personopplysningene.

Databehandler kan beholde personopplysninger i anonymisert form, der alle identifikatorer som kan knytte opplysningene til enkeltpersoner er permanent fjernet, for produktforbedring og statistiske formål, såfremt dette skjer i samsvar med gjeldende lovgivning.

10. Ansvar og ansvarsbegrensning

10.1 Generelt ansvar

Hver av partene er ansvarlig for å overholde sine respektive forpliktelser etter gjeldende personvernlovgivning, herunder GDPR.

10.2 Begrensning av Databehandlers ansvar

Databehandlers ansvar under denne avtalen er begrenset til direkte tap som skyldes Databehandlers brudd på avtalen. Databehandler er ikke under noen omstendighet ansvarlig for indirekte tap, følgeskader, tapt fortjeneste, tapt omsetning, tap av data eller andre økonomiske konsekvenstap.

Databehandlers totale erstatningsansvar er begrenset til beløpet som tilsvarer det Behandlingsansvarlig har betalt i abonnementsavgift de siste 12 månedene før kravet oppstod, med mindre begrensningen strider mot preseptorisk lovgivning.

10.3 Ansvarsfraskrivelse for tredjepartstjenester

Databehandler er ikke ansvarlig for behandling av personopplysninger som utføres av godkjente underdatabehandlere, forutsatt at Databehandler har oppfylt sine forpliktelser i henhold til denne avtalen med hensyn til engasjering og oppfølging av underdatabehandlere.

10.4 Ansvarsfraskrivelse for AI-generert innhold

Databehandler fraskriver seg ansvar for nøyaktigheten, fullstendigheten eller kvaliteten på data, analyser, klassifiseringer eller annet innhold som genereres av AI-funksjonalitet i tjenestene. Behandlingsansvarlig er ansvarlig for å verifisere AI-generert innhold før bruk.

10.5 Tidsfrist for krav

Eventuelle krav mot Databehandler må fremmes skriftlig uten ugrunnet opphold, og senest innen 60 dager etter at Behandlingsansvarlig oppdaget eller burde ha oppdaget grunnlaget for kravet.

11. Lovvalg og verneting

Avtalen er underlagt norsk rett, og partene vedtar Oslo tingrett som verneting. Dette gjelder også etter opphør av avtalen.

12. Aksept av avtalen

Denne databehandleravtalen anses akseptert av Behandlingsansvarlig ved inngåelse av Hovedavtalen eller ved fortsatt bruk av tjenestene etter at denne databehandleravtalen er gjort tilgjengelig på Databehandlers nettside.

For Databehandler:

Snapbooks AS

Dato for siste oppdatering: 20.03.2025

data personvern gdpr personopplysninger trening av ai databehandling

Relaterte artikler

Personvern og informasjonskapsler

Utfyllende avtale on personvern og informasjonskapsler for Snapbooks AS

Tjenestevilkår for Snapbooks AS

Standardvilkår for bruk av Snapbooks regnskapsprogramvare som regulerer bruksrett, betaling, databehandling, support ...