Databehandleravtale
1 Innledning
Dette punktet utgjør databehandleravtalen mellom Eika, org.nr. 921997086 («Databehandler» eller «Eika») og Kunden («Behandlingsansvarlig» eller «Kunden») når Eika yter supporttjenester i forbindelse med regnskapsprogrammet Eika Regnskap til Kunden. Supporttjenestene vil leveres på Kundens forespørsel i Eika Regnskap, og skjer ved at Eika eller Eikas underleverandør bruker en midlertidig supporttilgang til Kundens side i Eika Regnskap.
Eika skal behandle personopplysninger på vegne av Behandlingsansvarlig i overenstemmelse med denne Databehandleravtalen, og med grunnlag i lisensavtalen mellom partene.
Denne databehandleravtalen suppleres med vilkårene i lisensavtalen mellom de samme parter. Ved motstrid mellom lisensavtalen og denne databehandleravtalen går databehandleravtalen foran i spørsmål som gjelder behandling av personopplysninger.
2 Behandlingsansvarlig
Kunden er Behandlingsansvarlig for personopplysninger om sine brukere/ansatte, kunder, leverandører og andre som legges inn i regnskapsprogrammet Eika Regnskap. Kunden er ansvarlig for, og garanterer overfor Eika at alle personopplysninger som lagres av Kunden har rettslig behandlingsgrunnlag.
3 Personopplysninger
I forbindelse med supporttjenestene vil Eika etter omstendighetene kunne behandle opplysninger om brukere, fakturamottakere, leverandører, og ansatte som Kunden legger inn eller som blir importert fra andre systemer. Personopplysningene vil kunne være navn, telefonnummer, e-postadresse, kommentarer, adresse, og opplysninger om fakturerte varer og tjenester for enkeltpersoner og kontaktpersoner i bedrifter som er kunder eller leverandører av Kunden.
For ansatte vil slike opplysninger i tillegg være personnummer og annen informasjon relatert til arbeidsforholdet, som f.eks. arbeidsgiver, stilling, stillingsprosent, arbeidstid, ansettelsesdato, sluttdato, bankkonto, skatt, lønn, bonus, trekk, lønnsslipper, feriepenger, permitteringer, fravær, pensjon, fagforeningstilhørighet osv. Informasjon som behandles via Kundens bankintegrasjon vil kunne være informasjon om saldo samt planlagte og gjennomførte transaksjoner (betaler og betalingsmottaker, beløp, transaksjonstekst og dato) samt teknisk transaksjonsinformasjon som påloggingsinformasjon, IP-adresser, loggdata, analysedata. ol.
Eika skal kun behandle personopplysninger for å levere support til Kunden («Formålet»). Med unntak av kontaktdetaljene til vedkommende som tar kontakt med support på vegne av Kunden, vil personopplysninger kun behandles dersom Kundens henvendelse krever dette. Som hovedregel vil disse øvrige personopplysningene ikke bli lagret eller oppbevart av Eika i etterkant av utført support.Eika kan generere og bruke anonymiserte opplysninger for analyse og statistikk der formålet er å forbedresupporttjenesten.
4 Overføring til land utenfor EØS
Eika skal ikke overføre personopplysninger til land utenfor EØS med mindre (i) slike land er godkjent av EU-kommisjonen;(ii) vilkårene i personopplysningsloven kapittel V er oppfylt; eller (iii) den Behandlingsansvarlige har godkjentoverføringen.
5 Bruk av underleverandører
Eika har rett til å benytte underleverandører for å levere supporttjenester til Kunden. Underleverandørene vil kunne yte tjenester knyttet til support og all behandling av personopplysninger i denne sammenheng. Eika har inngått en databehandleravtale med sine underleverandører som sikrer at Kundens rettigheter etter denne Avtalen ikke svekkes.
Eika benytter én av de følgende underleverandører som anses forhåndsgodkjent av Kunden til utføring av supporttjenester:
| Navn | Org.nr | Adresse | Type behandling |
|---|---|---|---|
| Uni Micro AS | 925 141 623 | Mo 3, 5729 Modalen | Gjennomføre support knyttet til regnskapsprogrammet Eika Regnskap |
| Eika Gruppen AS | 979 319 568 | Parkveien 61, 0201 Oslo | Gjennomføre support knyttet til regnskapsprogrammet Eika Regnskap |
Ved bytte til en annen underleverandør som behandler personopplysninger enn de som fremgår av tabellen over vil Kunden bli varslet og dermed få mulighet til å avslutte Tjenesten før endringen trer i kraft. Personell i Eika og hos Eikas underleverandører som har tilgang til personopplysningene som behandles, er underlagt taushetsplikt.
6 Informasjonssikkerhetstiltak
Eika skal ha egnede tekniske og organisatoriske tiltak for å oppnå et tilfredsstillende sikkerhetsnivå for personopplysningene som blir behandlet, i tråd med de krav lovgivningen stiller. Tilgang til personopplysningene skal begrenses til personell som er involvert i utførelsen av support. Det er etablert tilgangskontroll og bruk av evt. tilgang logges.
Eika skal dokumentere sine informasjonssikkerhetstiltak og oppbevare slik dokumentasjon i 5 år. Behandlingsansvarlig vil på skriftlig forespørsel få tilgang til dokumentasjon. Dersom innsyn i dokumentasjonen vil innebære innsyn i konfidensiell informasjon, skal dokumentasjonen gis til en ekstern tredjepart oppnevnt av Behandlingsansvarlig. Dokumentasjonen skal ikke gis videre til Behandlingsansvarlig med mindre slik tredjepart kan vise at dette er strengt nødvendig for at Behandlingsansvarlig skal kunne etterleve gjeldende personvernlovgivning.
Eika skal gjennomføre sikkerhetsrevisjoner for systemer og utstyr som brukes for å utføre supporttjenesten. Behandlingsansvarlig kan på forespørsel få kopi av rapporten fra slik sikkerhetsrevisjon.
Behandlingsansvarlig er ansvarlig for å melde fra til tilsynsmyndigheten om brudd på personopplysningssikkerheten. Ved brudd på personopplysningssikkerheten som Eika blir klar over og som skyldes Eika eller Eikas underleverandører, skal Eika uten ugrunnet opphold melde fra til Kunden på Kundens oppgitte epostadresse og gi Behandlingsansvarlig slike opplysninger som er nødvendig for at Behandlingsansvarlig skal kunne oppfylle sin melde- og dokumentasjonsplikt etter gjeldende lovgivning.
Henvendelser fra registrerte personer om innsyn, retting eller sletting, skal håndteres av Kunden. Eika skal henvise registrerte personer til Kunden, evt. videresende konkrete henvendelser om håndheving av rettigheter til Kunden. Eika skal legge til rette for at Kunden skal kunne oppfylle de krav som følger av gjeldende personvernlovgiving hva gjelder krav fra enkeltpersoner. Ved bistand til Kunden som går utover det som med rimelighet kan forventes ut fra omfanget og arten av behandling av personopplysninger, kan Eika kreve dekket nødvendige kostnader knyttet til bistanden.
7 Opphør av avtalen
Databehandleravtalen løper så lenge Eika behandler Kundens personopplysninger på grunnlag av lisensavtalen om Eika Regnskap. Reglene om oppsigelse i Hovedavtalen gjelder tilsvarende for Databehandleravtalen, så langt de passer. Databehandleravtalen kan ikke sies opp så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig, med mindre den erstattes av en ny Databehandleravtale.
Eika skal, avhengig av hva Behandlingsansvarlig velger, slette eller tilbakeføre alle personopplysninger når databehandlingstjenestene opphører. Eika vil normalt slette eventuelle personopplysninger i rimelig tid etter at Lisensavtalen er opphørt, med mindre Eika er forpliktet ved lov til å fortsette å ta vare på opplysningene, jf. lisensavtalen pkt. 8. Eika vil på forespørsel bekrefte at opplysningene er slettet.
8 Inspeksjoner og revisjoner
Behandlingsansvarlig har ved hjelp av en tredjepart som Eika har akseptert, rett til å foreta inspeksjoner og revisjoner av Eika for å kontrollere Eikas etterlevelse av databehandleravtalen