1. BAKGRUNN
Denne databehandleravtalen inngår som en del av inngått «Oppdragsavtale for Regnskapsoppdrag» («Avtalen«) mellom Enter Revisjon AS («Regnskapsforetaket«) og oppdragsgiver i henhold til Avtalen («Kunden«), jf. henvisning (link) i avtaledokumentet (hver av avtalepartene en «Part«, i fellesskap «Partene«).
Gjennomføring av oppdraget innebærer at Regnskapsforetaket Behandler Personopplysninger på vegne av Kunden. Regnskapsforetaket opptrer derved som Databehandler for den Behandlingsansvarlige Kunden.
Denne databehandleravtalen har til hensikt å regulere Regnskapsforetakets Behandling av Personopplysninger på vegne av Kunden, og derved sikre at Behandlingen skjer i samsvar med personopplysningsloven (LOV-2018-06-15-38), herunder EUs personvernforordning (EU/2016/679), og senere lovgivning som erstatter eller supplere disse («Personopplysningsregelverket«).
Definisjonene i personvernforordningen artikkel 4 gjelder for tilsvarende for begreper brukt i denne databehandleravtalen.
2. BEHANDLINGENS FORMÅL OG ART
Formålet med Regnskapsforetakets Behandling av Personopplysninger er å gjennomføre regnskapsoppdraget i samsvar med Avtalen, herunder Regnskap Norges standard leveransevilkår for regnskapsoppdrag («Standardvilkårene«).
I Vedlegg 1 i dette dokumentet beskrives de konkrete formålene med Behandlingene, samt de kategorier Personopplysninger og Registrerte som omfattes.
Databehandleravtalen gjelder ikke for Behandling av Personopplysninger som utføres for Regnskapsforetakets egne formål. Dette omfatter også Behandlinger som er nødvendige for å oppfylle plikter som Regnskapsforetaket er pålagt gjennom lov. For slike Behandlinger er Regnskapsforetaket selv Behandlingsansvarlig.
3. REGNSKAPSFORETAKETS PLIKTER
3.1 Rådighetsforbud og varslingsplikt
Regnskapsforetaket skal bare Behandle Personopplysninger i tråd med dokumenterte instrukser fra Kunden, herunder i Avtalen og i denne databehandleravtalens Vedlegg 1.
Dersom Regnskapsforetaket mener at en instruks fra Kunden, jf. første avsnitt, er i strid med Personopplysningsregelverket skal Kunden varsles om dette.
Regnskapsforetaket må uten ugrunnet opphold varsle Kunden dersom Regnskapsforetaket ikke vil være i stand til å overholde sine forpliktelser etter denne databehandleravtalen.
3.2 Utlevering og taushetsplikt
Regnskapsforetaket skal ikke levere ut Personopplysninger til Tredjeparter, med mindre Kunden på forhånd har samtykket skriftlig til slik utlevering, eller det foreligger en lovpålagt plikt for Regnskapsforetaket til å utlevere Personopplysningene. Utlevering til andre Databehandlere skal skje i samsvar med vilkårene i denne databehandleravtalen pkt. 4
Bestemmelsen om taushetsplikt i Standardvilkårene pkt. 1.6 gjelder også for Personopplysninger som Behandles i medhold av Avtalen.
3.3 Informasjonssikkerhet og avviksmeldinger
Regnskapsforetaket skal treffe alle tiltak som er nødvendige for å etablere et egnet sikkerhetsnivå ved Behandlingen i samsvar med kravene i personvernforordningen artikkel 32. Tiltakene skal dokumenteres.
Regnskapsforetaket skal uten ugrunnet opphold varsle Kunden om ethvert Brudd på personopplysningssikkerheten som har medført en hendelig eller ulovlig tilintetgjørelse, tap, endring, uautorisert utlevering av eller tilgang til Personopplysningene som Behandles i medhold av denne databehandleravtalen. Varselet skal inneholde de opplysninger som kreves etter personvernforordningen artikkel 33 nr. 3.
Regnskapsforetaket skal straks iverksette tiltak for å hindre eller begrense konsekvensene av sikkerhetsbruddet.
3.4 Bistandsplikt
Regnskapsforetaket skal gi Kunden bistand med å etterleve kravene i personvernforordningen artikkel 32 til 36 om informasjonssikkerhet.
Regnskapsforetaket skal også bistå Kunden med å oppfylle Kundens plikt til å svare på henvendelser fra Registrerte som ønsker å utøve sine rettigheter etter Forordningen. Regnskapsforetaket skal ikke selv besvare slike henvendelser, men uten ugrunnet opphold videresende henvendelsen til Kunden eller henvise den Registrerte til selv å kontakte Kunden direkte.
3.5 Tilgang til informasjon og sikkerhetsrevisjoner
Regnskapsforetaket skal på forespørsel gi Kunden tilgang til all informasjon og dokumentasjon som er nødvendig for å påvise at Behandlingen skjer i samsvar med denne databehandleravtalen og Kundens instrukser.
Dersom Kunden avdekker avvik skal Regnskapsforetaket uten ugrunnet opphold iverksette korrigerende tiltak.
4. VILKÅR FOR BRUK AV ANDRE DATABEHANDLERE
Kunden samtykker til at Regnskapsforetaket overlater Personopplysningene som behandles i medhold av Avtalen til andre Databehandlere (underleverandører) som er angitt i Vedlegg 2.
Før nye Databehandlere engasjeres i Behandlingen skal Kunden gis et skriftlig varsel med rimelig frist før Personopplysningene overlates til den nye Databehandleren. Varselet skal inneholde opplysninger om hvor Behandlingen vil finne sted, jf. denne databehandleravtalens pkt. 5.
Kunden skal kunne protestere mot at Personopplysningene overlates til nye Databehandlere. I så fall skal Partene lojalt forsøke å enes om en løsning som er akseptabel for begge Parter. Dersom dette ikke fører frem kan Avtalen sies opp av begge Parter, i samsvar med Standardvilkårene pkt. 12.
Regnskapsforetaket skal inngå en skriftlig avtale med sine Databehandlere, som pålegger Databehandlerne de samme forpliktelsene som Regnskapsforetaket selv har i medhold av denne databehandleravtalen. Regnskapsforetaket er fullt ut ansvarlig overfor Kunden, for den Behandlingen som Databehandleren gjør.
5. VILKÅR FOR OVERFØRING UT AV EU/EØS-OMRÅDET
Personopplysninger kan bare overføres til land utenfor EU/EØS-området, dersom Kunden har gitt et forhåndssamtykke til det.
Kunden samtykker til overføring ut av EU/EØS-området som skjer i forbindelse med at Personopplysningene overlates til eksisterende Databehandlere, på de vilkår som er angitt i Vedlegg 2.
Som forhåndssamtykke etter denne bestemmelsen regnes også manglende innsigelser mot at Behandlingen overlates til en Databehandler som Behandler Personopplysningene utenfor EU/EØS-området, jf. denne databehandleravtalen pkt. 4.
6. SLETTING OG TILBAKEFØRING AV PERSONOPPLYSNINGER
Ved Avtalens opphør plikter Regnskapsforetaket å tilbakelevere, slette eller anonymisere alle Personopplysninger i samsvar med Kundens nærmere instrukser på opphørstidspunktet. Partene skal lojalt enes om den praktiske gjennomføringen av denne plikten som ivaretar begge Parters behov for å oppfylle lovpålagte krav og sikre daglig drift.
Sletteplikten gjelder uansett ikke Personopplysninger som inngår i Regnskapsførerforetakets egen oppdragsdokumentasjon, jf. denne databehandleravtalens pkt. 2 tredje avsnitt.
7. DATABEHANDLERAVTALENS VARIGHET OG ENDRINGER
Databehandleravtalen gjelder så lenge Regnskapsforetaket behandler personopplysninger på vegne av Kunden. Taushetsplikten gjelder på ubestemt tid.
Databehandleravtalen kan endres ved behov og enighet mellom partene i samsvar med Standardvilkårene pkt. 7.
8. MEDDELELSER OG ANNEN KOMMUNIKASJON
Meddelelser og annen kommunikasjon etter denne databehandleravtalen skal skje i samsvar med Standardvilkårene pkt. 1.4.
9. LOVVALG OG VERNETING
Lovvalg og verneting er regulert i Standardvilkårene pkt. 15.
Basert på Regnskap Norges mal, versjon 2018-2