Hjem Blogg
Begynn her

Databehandleravtale

Last updated:

Dette er en oversettelse av den engelske databehandleravtalen. Den engelske versjonen er den autoritative teksten; ved motstrid gjelder den engelske ordlyden.

Denne databehandleravtalen (“DPA”) er en del av avtalen mellom VFA Solutions (org. nr. 919 358 599, Tuterudveien 30, 2007 Kjeller, Norge), som driver Teksta (“Databehandler”), og kunden som har akseptert Tekstas vilkår for bruk (“Behandlingsansvarlig”) (samlet “Partene”).

Denne databehandleravtalen regulerer Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlig i forbindelse med Teksta-tjenesten.

1. Definisjoner

Begreper med stor forbokstav har betydningen de er gitt i personvernforordningen (forordning (EU) 2016/679), med mindre de er definert her:

  • Personopplysninger - enhver opplysning om en identifisert eller identifiserbar fysisk person som behandles av Databehandleren på vegne av Behandlingsansvarlig.
  • Underdatabehandler - enhver tredjepart Databehandleren engasjerer for å behandle personopplysninger på sine vegne.
  • Standard personvernbestemmelser (SCC-er) - bestemmelsene vedtatt av Europakommisjonen i gjennomføringsbeslutning (EU) 2021/914 av 4. juni 2021.

2. Gjenstand og varighet

  • Databehandleren skal bare behandle personopplysninger i den grad det er nødvendig for å levere Teksta-tjenesten til Behandlingsansvarlig.
  • Denne databehandleravtalen gjelder så lenge den underliggende tjenesteavtalen gjelder, og i enhver periode etterpå der Databehandleren fortsatt lagrer personopplysninger.

3. Behandlingens art, formål og kategorier

  • Art: lagring, overføring, transkripsjon, diarisering, oversettelse, oppsummering og annen behandling av lyd- og tekstinnhold lastet opp av Behandlingsansvarliges brukere; håndtering av konto, fakturering og support.
  • Formål: levering av Teksta-tjenesten.
  • Registrerte: Behandlingsansvarliges autoriserte brukere; personer hvis stemme eller fremtoning finnes i lyd som Behandlingsansvarlig laster opp.
  • Kategorier av personopplysninger: kontoidentifikatorer, lydopptak, genererte transkripsjoner og avledede data, brukshendelser og supportkommunikasjon.
  • Særlige kategorier av personopplysninger (art. 9): behandles ikke tilsiktet; kan forekomme tilfeldig i innhold lastet opp av Behandlingsansvarlig. Behandlingsansvarlig garanterer da at det foreligger et lovlig grunnlag etter art. 9.

4. Behandlingsansvarliges instrukser

  • Databehandleren skal bare behandle personopplysninger etter dokumenterte instrukser fra Behandlingsansvarlig, inkludert instrukser som følger av tjenesteavtalen og Behandlingsansvarliges bruk av Teksta-grensesnittet og API-et.
  • Databehandleren skal uten ugrunnet opphold informere Behandlingsansvarlig dersom Databehandleren mener at en instruks er i strid med personvernforordningen eller annen gjeldende rett.

5. Konfidensialitet

Databehandleren sørger for at alle personer den autoriserer til å behandle personopplysninger, er underlagt taushetsplikt.

6. Sikkerhet (art. 32)

Databehandleren gjennomfører egnede tekniske og organisatoriske tiltak som beskrevet i den offentlige sikkerhetsoversikten vår. Databehandleren gjennomgår disse tiltakene jevnlig og oppdaterer dem i tråd med den tekniske utviklingen.

7. Underdatabehandlere (art. 28 nr. 2)

  • Behandlingsansvarlig gir Databehandleren en generell godkjenning til å bruke underdatabehandlerne som er oppført på /blog/INT/nb/legal/underdatabehandlere/.
  • Før Databehandleren engasjerer en ny underdatabehandler, skal Behandlingsansvarlig få minst 30 dagers forhåndsvarsel ved at listen over underdatabehandlere oppdateres eller ved direkte kommunikasjon.
  • Behandlingsansvarlig kan protestere mot den nye underdatabehandleren på rimelig personvernfaglig grunnlag i varslingsperioden. Hvis protesten ikke kan løses, kan Behandlingsansvarlig avslutte den berørte delen av tjenesten uten gebyr.
  • Databehandleren er ansvarlig for underdatabehandlernes handlinger og unnlatelser som om de var Databehandlerens egne.
  • Databehandleren inngår skriftlig avtale med hver underdatabehandler med personvernforpliktelser som ikke gir svakere vern enn denne databehandleravtalen.

8. Overføringer til tredjeland

  • Når behandlingen innebærer overføring av personopplysninger utenfor EØS, baserer Partene seg på:
    • EU-US Data Privacy Framework der mottakeren er sertifisert, eller
    • SCC-ene (modul 2: behandlingsansvarlig til databehandler; modul 3: databehandler til databehandler der det er aktuelt), innlemmet ved henvisning,
    • supplert av de tekniske og organisatoriske tiltakene som er beskrevet i sikkerhetsoversikten vår.
  • Databehandleren fører en Transfer Impact Assessment og gjør den tilgjengelig for Behandlingsansvarlig på forespørsel.

9. Bistand til Behandlingsansvarlig

  • Databehandleren bistår Behandlingsansvarlig, tatt i betraktning behandlingens art og den informasjonen Databehandleren har tilgjengelig, med å:
    • svare på forespørsler fra registrerte som utøver rettigheter etter personvernforordningen art. 15-22;
    • oppfylle Behandlingsansvarliges plikter etter art. 32-36 (sikkerhet, varsling av brudd, DPIA og forhåndsdrøfting).
  • Dersom en registrert kontakter Databehandleren direkte med en forespørsel, skal Databehandleren videresende den til Behandlingsansvarlig uten ugrunnet opphold.

10. Brudd på personopplysningssikkerheten (art. 33)

Databehandleren varsler Behandlingsansvarlig uten ugrunnet opphold, og uansett innen 48 timer, etter å ha blitt kjent med et brudd på personopplysningssikkerheten som berører Behandlingsansvarliges data. Varselet inneholder, så langt det er kjent: bruddets art, kategorier og omtrentlig antall berørte registrerte og oppføringer, sannsynlige konsekvenser og tiltak som er iverksatt eller foreslått.

11. Revisjon

  • Databehandleren gjør tilgjengelig for Behandlingsansvarlig informasjon som er nødvendig for å dokumentere etterlevelse av personvernforordningen art. 28, inkludert:
    • denne databehandleravtalen og de tilknyttede dokumentene om underdatabehandlere og sikkerhet,
    • de nyeste tredjepartssertifiseringene og revisjonsrapportene for Databehandleren og underdatabehandlerne, der Databehandleren har dem,
    • rimelige svar på skriftlige sikkerhetsspørreskjemaer, høyst én gang per tolvmånedersperiode med mindre en tilsynsmyndighet krever det.
  • Stedlige revisjoner kan kreves av Behandlingsansvarlig høyst én gang per tolv måneder, med 30 dagers skriftlig varsel, i normal arbeidstid og for Behandlingsansvarliges regning, underlagt konfidensialitet.

12. Tilbakelevering eller sletting (art. 28 nr. 3 bokstav g)

Ved utløp eller avslutning skal Databehandleren, etter Behandlingsansvarliges valg, tilbakelevere eller slette alle personopplysninger, med mindre lagring er påkrevd etter lov, for eksempel norsk bokføring. Sikkerhetskopier slettes innen 14 dager etter sletteforespørselen. PostgreSQL-sikkerhetskopier har et rullerende vindu på 14 dager; objektlagring har ikke versjonering, så sletting skjer umiddelbart på objektnivå.

13. Ansvar og rettsmidler

Ansvarsbestemmelsene i den underliggende tjenesteavtalen gjelder for denne databehandleravtalen. Ingenting i denne databehandleravtalen begrenser rettigheter registrerte kan ha etter personvernforordningen.

14. Rangordning

Ved konflikt mellom denne databehandleravtalen, SCC-ene og den underliggende tjenesteavtalen, gjelder følgende rangordning: SCC-ene, denne databehandleravtalen, den underliggende tjenesteavtalen.

15. Lovvalg og verneting

Denne databehandleravtalen er underlagt norsk rett. Kompetente norske domstoler har eksklusiv jurisdiksjon, uten at dette berører ufravikelige vernetingsregler etter personvernforordningen eller gjeldende forbrukerlovgivning.

Vedlegg 1 — Beskrivelse av behandlingen

Se punkt 3 ovenfor.

Vedlegg 2 — Tekniske og organisatoriske tiltak

Se den offentlige sikkerhetsoversikten vår.

Vedlegg 3 — Godkjente underdatabehandlere

Se den offentlige listen over underdatabehandlere vår.

Vedlegg 4 — Standard personvernbestemmelser

SCC-ene fra 2021 (modul 2 - behandlingsansvarlig til databehandler) er innlemmet ved henvisning. Vedlegg I-III til SCC-ene fylles ut av de tilsvarende punktene i denne databehandleravtalen og vedleggene ovenfor. SCC-ene gjelder bare der personopplysninger overføres utenfor EØS og mottakeren ikke er omfattet av en beslutning om tilstrekkelig beskyttelsesnivå.