Databehanleravtale

I forbindelse med bruk av Future Driver digitale skaderapporter, timeregistreing, digital verkstedbooking og andre tjenester fra Delta Media AS.

Mellom

Delta Media AS
Organisasjonsnummer 916747330
Bergensveien 47
C0963 OSLO
(heretter «Databehandler»)

og

Kunde av Delta Media AS(heretter “Behandlingsansvarlig”)

Inngåelse av avtalen

Denne avtalen gjelder i tillegg til Delta Medias personvernpolicy og Delta Medias generelle betingelser for bruk av tjenesten (Kundevilkår). Avtalen anses inngått så snart et kundeforhold er etablert mellom Delta Media AS og en annen part gjennom kontrakt eller mottatt aksept av utsendt tilbud. Delta Media AS forholder seg som en følge av dette lojalt til avtalen selv om et spesifikt eksemplar ikke er signert av den enkelte kunden. Dersom ønskelig inngår imidlertid Delta Media AS gjerne samme avtale med detaljer om den enkelte kunden spesifisert. Ta kontakt på help@futuredriverexample.app dersom en slik kundespesifikk databehandleravtale er ønsket.

Avtalens formål

Databehandleravtalen skal sikre at personopplysninger behandles i samsvar med krav fra bl.a. EU-direktiv 95/46/EF av 24. oktober 1995 implementert i Norge ved lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) med tilhørende forskrifter, samt kravene etter Europaparlaments- og rådsforordning som besluttet 27. april 2016 (GDPR), og norsk lov med tilhørende forskrifter som innføres som en følge av personvernforordningen og erstatter personopplysningsloven. Databehandler skal behandle personopplysningene på den måte som er beskrevet i Databehandleravtalen, samt på annen måte dersom dette er skriftlig avtalt mellom Databehandleren og Behandlingsansvarlig. Begreper og definisjoner benyttet i Databehandleravtalen skal forstås på samme måte som i Personopplysningsloven. Partene er enige om at hvis lover eller retningslinjer fra tilsynsmyndighetene endres i vesentlig grad, skal vilkårene i denne databehandleravtalen revideres slik at de så langt som mulig gjenspeiler partenes opprinnelige prinsipper når de iverksetter denne databehandleravtalen. Denne databehandleravtalen erstatter tidligere inngåtte avtaler vedrørende behandling av personopplysninger.

Databehandlingens omfang

Formålet med behandlingen av personopplysninger er å oppfylle avtalen om kjøp av tjenester som er inngått mellom Behandlingsansvarlig og Databehandleren, herunder innsamling, registrering, sammenstilling, lagring, utlevering av personopplysninger eller kombinasjoner av disse. Hovedkategorien av registrerte er ansatte hos Behandlingsansvarlig, eller Behandlingsansvarlig selv dersom innkjøp er gjort på privat basis. Behandlingen vil begrense seg den behandling som er nødvendig for å levere og videreutvikle tjenesten elektronisk skaderegistrering, innsjekk og utsjekk-rapporter og timeregistrering med naturlig tilhørende funksjoner (system). Databehandleren samler inn og benytter personopplysninger på vegne av Behandlingsansvarlig i forbindelse med bruk av kjøretøy og annet transportustyr. Dette omfatter blant annet følgende opplysninger: Navn, adresse, telefon, epost, registreringsnummer, nåværende og historisk posisjon for kjøretøy som tjenesten benyttes på, rapporteringsgrunnlag mht flåtestyring og effektivisering av drift. Databehandler lagrer og behandler informasjon om kjøretøyets og trailers historiske bevegelser og innrapport data med formål om å sikre god og effektiv driftsplanlegging i sanntid samt sørge for effektivt drift av Behandlingsansvarliges organisasjon. Systemet som Databehandler leverer stilles til rådighet for Behandlingsansvarlig ved en passordbeskyttet internettbasert tilgang. Det er Databehandler som administrerer systemet, og som på Behandlingsansvarliges vegne styrer hvem som har tilgang til systemet fra Behandlingsansvarlige side. Databehandler regulere graden av tilgang basert på innstillinger gjort av behandlingsansvarlige.

Databehandlers plikter

Databehandleren bekrefter at denne vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at all behandling under denne Databehandleravtalen oppfyller kravene i personopplysningsloven og vern av den registrertes rettigheter, herunder innfrir alle kravene etter personvernforordningens artikkel 32. Den Behandlingsansvarlige skal til enhver tid full rettslig rådighet over personopplysningene. Den Behandlingsansvarliges instrukser for hvordan personopplysninger skal behandles anses som gitt gjennom bestemmelser i denne avtalen og gjeldende regler. Delta Media AS skal ivareta nødvendig systemsikkerhet, og påse at ingen får uberettiget tilgang til systemet. Data lagres i henhold til enhver tid gjeldende regler på på sikre servere i profesjonell serverpark. Utlevering av opplysninger fra systemet reguleres av Delta Medias kundevilkår. Med unntak av bruker av kjøretøy/trailer og behandlingsansvarlige selv, vil ikke Delta Media AS utlevere data til andre enn politiet, mot gyldig rettskjennelse. Ansatte i Delta Media AS har generell taushetsplikt og er bundet av konfidensialitetsavtale. Kun medarbeidere som arbeider med systemdrift og kunderettede aktiviteter som kundestøtte har tilgang til å kunne se personopplysninger. Databehandleren skal sikre at kun autoriserte personer har tilgang til opplysningene, og at databehandleren fratar tilgangen dersom autorisasjonen utløper eller av andre grunner ikke lenger gjelder for personen. Databehandleren skal kun autorisere personer som av nødvendige grunner må ha tilgang til personopplysningene. Opplysninger i systemet benyttes ikke til andre formål enn å oppfylle den avtale som er gjort med Behandlingsansvarlige, samt som grunnlag for fakturering. Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør. Databehandleren bistår den behandlingsansvarlige (ved hjelp av egnede tekniske og organisatoriske tiltak) å oppfylle plikten til å svare på anmodninger fra registrerte om utøvelse av deres rettigheter. Plikten gjelder så langt det er mulig, og det må tas hensyn til behandlingens art.

Bruk av underleverandør

Databehandleren skal kun benytte underleverandører til behandling av personopplysninger (underdatabehandler) som har bekreftet å gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at all behandling under denne Databehandleravtalen oppfyller kravene i personopplysningsloven og vern av den registrertes rettigheter. Behandlingsansvarlig gir generell tillatelse til bruk av underdatabehandler gitt disse forutsetninger. Underdatabehandler skal være gjort kjent med Databehandlerens forpliktelser etter denne Databehandleravtalen og regelverket som regulerer behandling av Behandlingsansvarliges personopplysninger, og skal pålegges de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i Databehandleravtalen i bindende avtale hvor underdatabehandler skal gis tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller lovmessige krav. Dersom underdatabehandler ikke oppfyller sine forpliktelser med hensyn til vern av personopplysninger og kravene i Databehandleravtalen, skal Databehandleren overfor den Behandlingsansvarlige ha fullt ansvar for at underdatabehandler oppfyller sine forpliktelse.

Anonymisierte data hos underleverandører

Alle underleverandører har inngått databehandleravtaler med oss og driver i henhold til reglene i GDPR og ellers. Når vi betaler andre bedrifter for å bidra i vår verdikjede - for eksempel til prosessering av GPS-data - så er grunnprinsippet allikevel at vi sørger for at data ikke skal kunne knyttes til bedrifter, kjøretøy eller personer. Dette kalles anonymisering. Dermed vil det ikke være mulig for selv våre nærmeste leverandører å koble registrerte GPS-data til kunder i tilfellet de skulle oppleve brudd på deres systemer. Samtidig er vi en skytjeneste og er avhengig av å la selve webløsningen vår driftes i et såkalt hostingmiljø. Her har vi valgt Amazon Web Services som er verdens ledende leverandør på området og som har en omfattende dataprosesseringsavtale på plass for kunder. Denne inngikk vi lenge før GDPR trådde i kraft og den utgjør en sentral del av rammeverket for personvern i Delta Media AS. Mer informasjon om AWS og deres GDPR policy finner dere her: https://aws.amazon.com/compliance/gdpr-center/

Sikkerhet og avvik

Databehandleren skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven med forskrifter. Databehandleren skal kunne dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen er tilgjengelig på den Behandlingsansvarliges forespørsel. I tilfelle sikkerhets- eller personvernbrudd, skal Databehandleren varsle den Behandlingsansvarlige uten ugrunnet opphold. Melding om brudd skal minimum inneholde:
1. Beskrivelse av arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall personopplysningsposter som er berørt
2. Navnet på og kontaktopplysningene til personvernrådgiveren eller et annet kontaktpunkt der mer informasjon kan innhentes
3. Beskrivelse av de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten
4. Beskrivelse av de tiltak som den Behandlingsansvarlige har truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.

Den Behandlingsansvarlige har ansvaret for at å sende melding om konkrete brudd knyttet til konkrete personer til tilsynsmyndighet, og Databehandler skal ikke sende slik melding uten at den Behandlingsansvarlige har gitt instruks om dette. Databehandler kan allikevel melde fra om brudd til tilsynsmyndighet på generell basis - uten identifisering av berørte personer.

Sikkerhetsrevisjoner

Databehandleren skal jevnlig og etter vesentlige endringer eller avvik, gjennomføre sikkerhetsrevisjoner av systemer og annet som er relevante for behandlingen av personopplysninger etter denne avtalen. Behandlingsansvarlig kan ved behov gjennomføre revisjoner selv eller ved bruk av revisor. Dette vil da varsles databehandler i god tid før revisjonen. Sikkerhetsrevisjonen skal verifisere at de tekniske, fysiske og organisatoriske sikkerhetstiltak som er besluttet etablert, faktisk blir etterlevd og fungerer etter sin hensikt, samt identifisere mulige forbedringer.

Særkilte tiltak i forbindelse med innlogging

Som et ledd i GDPR-arbeidet har vi fokusert på å gjennomføre en såkalt DPIA - Data Protection Impact Assessment for data om bevegelsene til kjøretøyene og trailerne til våre kunder. I vår analyse har vi funnet at konsekvensene ved brudd på datasikkerheten knyttet til turdata er store nok til at vi må fortsette å oppretthold ekstraordinære tiltak på denne fronten. Dette vil i noen tenkte tilfelle føre til at kunder vil kunne oppleve noe frustrasjon knyttet til våre krav til identifikasjon dersom de henvender seg f.eks. fra tidligere ukjente telefonnummer eller lignende. Videre blir webløsningen som allerede har streng passordbeskyttelse satt opp med to-faktoridentifikasjon for de som ønsker det. Dette er nettopp for å ta hensyn til spennvidden i hva slags konsekvenser det kan være snakk om dersom data kommer på avveie i hvert enkelt tilfelle. Vi har allerede en innebygget personvernfunksjon i løsningen og støtte for ulike typer tilgang for ulike brukere i bedriften. Dette hjelper våre kunder å utøve kontroll over dataene internt.

Avtalens varighet

Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig. Ved brudd på denne avtale eller personopplysningsloven kan Behandlingsansvarlig pålegge Databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning Oppsigelse av denne avtale følger vilkårene for oppsigelse av avtalen som regulerer kundeforholdet mellom Delta Media AS og Behandlingsansvarlig.

Ved opphør

Ved opphør av avtalen må behandlingsansvarlige selv hente ut nødvendige data for dokumentasjon før opphør. Disse data lagres da hos behandlingsansvarlige, som selv påtar seg det totale ansvar for datasikkerheten. Databehandleren skal, etter den Behandlingsansvarliges valg, slette eller tilbakelevere alle personopplysninger til den Behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert, og sletter eksisterende kopier, med mindre det er et lovmessig krav om at personopplysningene skal fortsatt lagres. Dette gjelder også for eventuelle sikkerhetskopier.

Lovvalg og verneting

Eventuelle tvister mellom partene skal søkes løst gjennom forhandlinger. Avtalen er underlagt norsk rett og partene vedtar Oslo tingrett som verneting for alle tvister under denne avtale. Dette gjelder også etter opphør av avtalen.