AVTALE

OM

BEHANDLING AV PERSONOPPLYSNINGER

I FORBINDELSE MED BRUK AV ELEKTRONISKE NØKKELKORT

 

1.Bakgrunn

 

Utleier benytter elektroniske nøkkelkort til Eiendommen og til Eksklusivt Areal.

Denne databehandleravtalen regulerer Utleiers og Leietakers rettigheter og plikter i forbindelse med Utleiers behandling av personopplysninger tilknyttet nøkkelkortene. Leietaker er behandlingsansvarlig og Utleier er databehandler for behandlingen av personopplysninger tilknyttet nøkkelkortene. Formålet med Utleiers behandling av personopplysninger på vegne av Leietaker er å sikre at ingen uvedkommende får adgang til Eiendommen og å foreta driftsteknisk oppfølging/feilretting.

Utleier kan registrere følgende opplysninger om Leietakers personell: Navn, profilbilde, nummer for nøkkelkort, firma, mobilnummer, dato og tidspunkt for bruk av nøkkelkort, ved hvilke dører nøkkelkortet har vært benyttet, herunder antall forsøk på bruk av nøkkelkortet ved dører som nøkkelkortet ikke har tilgang til. I tillegg utfører Utleier den behandling som fremgår av vedlagte rutine for produksjon av elektroniske nøkkelkort, jf. vedlegg nr. 2.

2.Leietakers plikter

Leietaker bekrefter at Leietaker:

  • Har et rettslig grunnlag for behandlingen av personopplysningene, herunder rett til å la Utleier behandle opplysningene som angitt i denne databehandleravtalen.

  • Har ansvaret for at personopplysningene er fullstendige og korrekte slik at Utleier blir i stand til å oppfylle sine plikter.

  • Har informert den som personopplysningene gjelder i tråd med gjeldende lov; herunder skal Leietaker sørge for at alle innehavere av Utleiers elektroniske nøkkelkort til Eiendommen og til Eksklusivt Areal er informert om slik behandling av vedkommendes personopplysninger som beskrevet i denne databehandleravtalen. Kopi av informasjon som er gitt skal gis til Utleier på forespørsel.

 

Leietaker skal:

  • Svare på henvendelser fra de registrerte om behandlingen av personopplysninger under denne databehandleravtalen.

  • Vurdere nødvendigheten av tiltak som angitt i pkt. 3.3. og ved behov bestille slike tiltak fra Utleier.

 

Leietaker skal ha på plass tilstrekkelige tekniske og organisatoriske tiltak for å sikre overholdelse av relevante krav etter gjeldende personvernlovgivning.

3.Utleiers plikter

3.1Overholdelse av gjeldende rett

Utleier skal behandle personopplysninger i henhold til gjeldende lovgivning og som angitt i denne databehandleravtalen, med tilhørende vedlegg.

3.2Instruks fra Leietaker

Utleier skal bare behandle personopplysninger i samsvar med dokumentert instruks fra Leietaker eller som angitt i denne databehandleravtalen og vedlegg nr. 2. Utleier skal ikke uten forutgående skriftlig avtale eller instruks behandle personopplysninger utover det som er nødvendig for å overholde forpliktelser i denne databehandleravtalen.

Dersom Utleier likevel må behandle personopplysninger på grunn av ufravikelig lov, skal Utleier, såfremt det er lovlig, underrette Leietaker før behandlingen starter.

Utleier skal varsle Leietaker dersom Utleier mener at en instruks fra Leietaker er i strid med gjeldende lovgivning.

3.3Informasjonssikkerhet

3.3.1Vurdering av tiltak

Utleier skal ved planlagte systematiske, organisatoriske og tekniske tiltak sikre at de datasystemer og prosesser hvor personopplysningene behandles har et tilfredsstillende sikkerhetsnivå (informasjonssikkerhet).

Herunder skal Utleier sikre at opplysningene ikke blir gjort tilgjengelige for uvedkommende (konfidensialitet), at de ikke kan endres utilsiktet eller av uvedkommende (integritet), og at de er tilgjengelige for de rettmessige brukere når disse har behov for det for å kunne utføre sine oppgaver (tilgjengelighet).  

Ved vurderingen av hvilke tekniske og organisatoriske tiltak som skal tas i bruk, skal Utleier i samråd med Leietaker ta i betraktning:

  • Beste praksis

  • Kostnaden ved implementering

  • Karakteren og omfanget av behandlingen

  • Konteksten og formålet med behandlingen

  • alvorlighet av den risiko behandlingen av personopplysninger medfører for de registrerte enkeltpersoners rettigheter

Utleier skal, i samråd med Leietaker, vurdere:

  • Evnen til å sikre løpende konfidensialitet, integritet, tilgjengelighet som nevnt ovenfor, samt robustheten til systemer for behandling og tjenester

  • Evnen til å gjenopprette tilgjengelighet og tilgang til personopplysninger til rett tid i tilfelle uønskede fysiske eller tekniske hendelser

  • En prosess for jevnlig testing, vurdering og evaluering av effektiviteten til tekniske og organisatoriske tiltak for sikkerheten til behandlingen

 

Relevant dokumentasjon for sikkerhetstiltakene skal gjøres tilgjengelig for Leietaker på forespørsel.

3.3.2Bistand til Leietaker

Utleier skal gi bistand slik at Leietaker kan ivareta sitt eget ansvar etter gjeldende lovgivning. Herunder skal Utleier bistå Leietaker med å:

  • Få på plass tekniske og organisatoriske tiltak som nevnt ovenfor.

  • Overholde varslingsplikt til tilsynsmyndigheter og registrerte personer som følge av eventuelle avvik når lovgivningen krever det.

  • Utføre vurdering av personvernkonsekvenser når lovgivningen krever det.

  • Utføre forutgående drøftelser med tilsynsmyndigheter når en vurdering av personvernkonsekvenser gjør det nødvendig.

 

Bistanden skal utføres i den utstrekning det er nødvendig ut fra Leietakers behov, karakteren av behandlingen og informasjonen tilgjengelig for Utleier.

 

3.3.3Henvendelser fra registrerte personer

Utleier skal ha på plass tekniske og organisatoriske tiltak for kunne bistå Leietaker med å svare på henvendelser fra de enkeltpersoner som det er registrert opplysninger om angående utøvelse av de rettigheter disse har etter lovgivningen.

 

3.3.4Kompensasjon for bistand

Bistand som fastsatt i denne databehandleravtalen, samt bistand i forbindelse med særskilte rutiner og instrukser pålagt av Leietaker, skal kompenseres av Leietaker etter medgått tid i samsvar med Utleiers vanlige betingelser og timesatser, eller hvis slike ikke finnes; som nærmere avtalt mellom partene.

3.4Avvik og avviksmeldinger

Enhver bruk av personopplysninger i strid med etablerte rutiner, instrukser fra Leietaker eller gjeldende lovgivning, samt eventuelle sikkerhetsbrudd, skal behandles som avvik.

Utleier skal ha rutiner og systematiske prosesser for å følge opp avvik, som skal inkludere reetablering av normaltilstanden, eliminasjon av årsaken til avviket og forhindring av gjentagelse.

Utleier skal umiddelbart varsle Leietaker om ethvert sikkerhetsbrudd eller annet brudd på denne databehandleravtalen. Utleier skal gi Leietaker all informasjon som er nødvendig for å sette Leietaker i stand til å overholde gjeldende lovgivning og sette Leietaker i stand til å besvare henvendelser fra Datatilsynet. Det er Leietakers ansvar å melde avvik til Datatilsynet og registrerte personer i henhold til gjeldende lovgivning.

3.5Konfidensialitet

Utleier har taushetsplikt om personopplysninger og annen konfidensiell informasjon, herunder, men ikke begrenset til, forretningshemmeligheter. Utleier skal sikre at alle som utfører arbeid for Utleier, enten ansatte eller innleide, som har tilgang til eller er involvert i behandling av personopplysninger etter databehandleravtalen (i) er underlagt taushetsplikt, og (ii) er informert om og overholder forpliktelsene etter denne databehandleravtalen. Taushetsplikten gjelder også etter opphør av databehandleravtalen.

 

3.6Sikkerhetsrevisjoner

Utleier vil jevnlig foreta sikkerhetsrevisjoner for systemer og rutiner som er relevante for behandlingen av personopplysninger som omfattes av denne databehandleravtalen. Leietaker skal på forespørsel få tilgang til rapporter som dokumenterer slike sikkerhetsrevisjoner.

Leietaker har rett til å kreve sikkerhetsrevisjon utført av uavhengig tredjepart. Vedkommende tredjepart vil utarbeide en rapport som vil bli overlevert Leietaker på forespørsel. Utleier skal kompenseres av Leietaker i samsvar med Utleiers vanlige betingelser og timesatser for Utleiers medgåtte tidsbruk for medvirkning til slik revisjon, eller hvis slike ikke finnes; som nærmere avtalt mellom partene.

3.7Bruk av underleverandører; overføring av personopplysninger utenfor EU/EØS

Enhver underleverandør skal godkjennes skriftlig av Leietaker før underleverandøren kan behandle personopplysninger. En liste med godkjente underleverandører på avtaletidspunktet er vedlagt denne databehandleravtalen, jf. vedlegg nr. 1. Utleier skal, i skriftlig avtale med enhver underleverandør, sikre at behandling av personopplysninger utført av underleverandører skal være underlagt de samme forpliktelser og begrensninger som de som er pålagt Utleier i henhold til denne databehandleravtalen.

Dersom Utleier planlegger å skifte ut eller benytte ny underleverandør, skal Utleier skriftlig varsle Leietaker i rimelig tid for Leietakers godkjenning før ny underleverandør starter behandling av personopplysninger. Leietaker skal ved mottak av slikt varsel godkjenne underleverandøren innen rimelig tid, med mindre Leietaker har en rimelig grunn til å motsette seg endringen.

Utleier kan ikke benytte underleverandør(er) som innebærer overføring av personopplysninger utenfor EU/EØS uten etter særskilt avtale med Leietaker. Dersom Leietaker godkjenner slik overføring, skal Utleier samarbeide med Leietaker om å sikre lovligheten av slik overføring.

4.Kontraktsbrudd

Ved brudd på denne databehandleravtalen skal de relevante bestemmelser om kontraktsbrudd i Avtalen komme til anvendelse.

5.Varighet, avslutning av databehandleravtalen, endringer

Denne databehandleravtalen skal gjelde fra den er signert av begge parter og inntil Avtalen utløper, eller inntil Utleiers behandling av personopplysninger på vegne av Leietaker i henhold til denne databehandleravtalen opphører av annen grunn.

Ved avslutning av denne databehandleravtalen skal personopplysninger returneres i standardisert format på et elektronisk medium. Utleier skal først returnere og deretter slette alle personopplysninger. Utleier og dennes underleverandører skal umiddelbart stanse behandling av personopplysningene ved utløpet av databehandleravtalen.  

Som alternativ til å få returnert personopplysningene kan Leietaker velge å instruere Utleier om at personopplysningene skal slettes, med mindre ufravikelig lovgivning forhindrer Utleier fra slik sletting.

Utleier skal gi Leietaker en skriftlig erklæring som bekrefter at Utleier garanterer at alle personopplysninger har blitt returnert eller slettet i henhold til Leietakers instrukser.

Forpliktelsene etter pkt. 3.5 og 4 skal fortsette å gjelde etter databehandleravtalens opphør. Videre skal bestemmelsene i databehandleravtalen gjelde fullt ut for eventuelle personopplysninger beholdt av Utleier i strid med dette pkt. 5.

Partene skal revidere denne databehandleravtalen i den grad det er nødvendig for å tilfredsstille endringer i relevant lovgivning eller pålegg fra offentlig myndighet.

6.Tvister og jurisdiksjon

Denne databehandleravtalen skal være underlagt og tolkes i samsvar med norsk rett.

Avtalt verneting skal være det samme som etter Avtalen.

 

Oslo, -.-.--

For Utleier                                                                             for Leietaker

 

________________________                                               ________________________
                                                                      

BESØKSADRESSE

  • Haakon VIIs gate 9

  • 0161 Oslo

POSTADRESSE

  • Postboks 1378 Vika

  • 0114 Oslo

E-POST

kh@ks.no

TELEFON

971 50 605

Miljfyrtarn-norsk-farger.png