Databehandleravtale ("DBA)
Roller og ansvar
For at SMB Mobil AS skal kunne levere våre tjenester i henhold til Vilkårene, vil det være nødvendig å behandle personopplysninger om Kunden, både i SMB Mobil AS’ rolle som behandlingsansvarlig og som databehandler. Denne DBAen gjelder for SMB Mobil AS’ rolle som databehandler for Kunden.
Kunden vil opptre som behandlingsansvarlig når SMB Mobil AS behandler personopplysninger på vegne av Kunden. Kundens innledende instruksjoner og ytterligere behandlingsdetaljer er beskrevet nedenfor i avsnitt 0.
Begreper i denne DBA som er definert i EUs personvernforordning ("GDPR") art. 4 skal forstås i samsvar med GDPR-definisjonen.
Garanti
SMB Mobil AS garanterer å ha implementert egnede tekniske og organisatoriske tiltak som sikrer at behandlingen av personopplysninger i henhold til denne DBA oppfyller kravene til gjeldende personvernlovgivning og sikrer vern av de registrertes rettigheter.
Hvis SMB Mobil AS ikke overholder sine forpliktelser i henhold til denne DBA, skal det anses som brudd på avtalen.
Behandlingsspesifikasjon
SMB Mobil AS garanterer å oppfylle kravene i henhold til GDPR art. 28 ved å:
- Kun behandle personopplysninger som instruert og avtalt med Kunden under Vilkårene og DBA eller senere skriftlig instruksjon.
- Varsle Kunden dersom SMB Mobil AS mener at en instruksjon er i strid med gjeldende personvernlovgivning.
- Sørge for at personer som behandler personopplysninger er underlagt taushetsplikt.
- Iverksette egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå for behandlingen av personopplysninger som er tilpasset risikoen.
- Assistere Kunden i dennes plikt til å svare på registrertes anmodninger om å utøve registrertes rettigheter.
- Oppfylle kravet om varsel ved personvernbrudd og assistanse.
- Bistå Kunden med vurdering av personvernkonsekvenser («DPIA») og eventuelt samarbeid med tilsynsmyndigheten.
- Skriftlig og umiddelbart informere Kunden om eventuelle juridiske forpliktelser som krever at SMB Mobil AS utleverer personopplysninger som SMB Mobil AS behandler på vegne av Kunden.
- Dokumentere overholdelse av forpliktelsene i henhold til GDPR art. 28 ved å gjøre tilgjengelig nødvendig informasjon, på Kundens forespørsel.
- Tillate og bidra til eventuelle rimelige revisjoner gjennomført i regi av Kunden.
- Slette eller returnere personopplysninger og kopier etter Kundens valg, ved terminering av tjenesten knyttet til behandlingen.
Innledende instruksjoner for behandling
Formål
Formålet med behandlingen av personopplysninger er for at SMB Mobil AS skal kunne levere mobiltjenester til Kunden under Vilkårene, herunder Vedlikehold som beskrevet der.
Kategorier av data
Personopplysningene som behandles omfatter følgende:
- Navn
- Fødselsdato
- Kontaktinformasjon
- Korrespondanse i forbindelse med tjenesten
- Logger og statistiske opplysninger, slik som:
- Samtalehistorikk (inkl. antall besvarte/ ubesvarte anrop)
- På- og avloggingstidspunkt
Eventuelle andre opplysninger som oppgis av virksomheten enten manuelt eller gjennom systemintegrasjoner.
Hyppigheten av overføringen
☒ Kontinuerlig basis
☐ Enkelttilfelle
☐ Annet
Kategorier av registrerte
- Ansatte hos Kunden
- Brukere av tjenesten
Behandlingsaktiviteter (behandlings art)
- Lagring, bruk og sletting av personopplysninger
- Tilgang til opplysninger i forbindelse med vedlikehold
Varighet av oppbevaring
Personopplysninger skal kun oppbevares så lenge det er behov for det ut fra formålet med behandlingen, og skal deretter slettes. Hovedregelen er at personopplysninger om våre bedriftskunder lagres i fem år etter at kundeforholdet er avsluttet.
I noen tilfeller kan personopplysninger lagres over en lengre periode på inntil 10 år, dersom det vil være hensiktsmessig for oppfølging av et gjennomført tiltak eller behandlingen er nødvendig for å oppfylle SMB Mobil AS’ rettslige forpliktelser (GDPR art. 6 (1) c).
Plassering av behandlingsoperasjoner
SMB Mobil AS benytter underleverandører til å drifte nettsider, databaser, e-postutsendelser, analysere nettsidetrafikken, sikre god stabilitet og teknisk ytelse på siden. Når vi deler personopplysninger med våre underleverandører inngår vi databehandleravtaler for å sikre at personopplysningene behandles i overensstemmelse med gjeldende personvernlovgivning og våre retningslinjer. Våre databehandlere gis ikke adgang til å foreta behandlinger til andre formål enn vi selv har.
Kunden gir SMB Mobil AS et generelt mandat til å inngå avtaler med underbehandlere forutsatt at avtalen er skriftlig og pålegger de samme personvernforpliktelsene som SMB Mobil AS har forpliktet seg til overfor Kunden. SMB Mobil AS vil være ansvarlig for egne underbehandlere.
SMB Mobil AS vil varsle Kunden om eventuelle tiltenkte endringer av underbehandlere eller steder for behandling slik at kunden får muligheten til å protestere. Hvis Kunden har innvendinger mot SMB Mobil AS’ valg av en underdatabehandler, står SMB Mobil AS fritt til å si opp avtalen. Begge parter vil i et slikt tilfelle være fri fra sine forpliktelser, uten ytterligere ansvar.
Sikkerhetstiltak
Listen nedenfor tilsier at kunden har instruert SMB Mobil AS i å gjennomføre sikkerhetstiltaket som er beskrevet:
☐ Tiltak for å sikre løpende konfidensialitet, integritet, tilgjengelighet og robusthet av prosesseringssystemer og tjenester
☐ Muligheten til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i tide i tilfelle en fysisk eller teknisk hendelse
☐ Prosesser for regelmessig testing, vurdering og evaluering av effektiviteten av tekniske og organisatoriske tiltak for å sikre sikkerheten til behandlingen
☐ Brukeridentifikasjon og autorisasjon
☐ Tiltak for å tillate dataportabilitet og sikre sletting
Tiltak for å sikre sikkerheten til personopplysningene
SMB Mobil AS skal
- implementere de tekniske og organisatoriske tiltakene som er avkrysset i punkt 0 å ivareta sikkerheten til personopplysningene som behandles.
- sørge for at beskyttelsesnivået som den registrerte garanteres etter gjeldende personvernlover, inkludert GDPR, ikke undergraves.
Dataeksport ut av EØS
For enhver eksport av personopplysninger til land utenfor EØS-EU (tredjeland) skal SMB Mobil AS forholde seg til standard kontraktsklausuler, tilstrekkelighetsbeslutning eller annet overføringsverktøy som grunnlag for overføring av data utenfor EU/EØS på en samsvarende måte.