Databehandleravtale

I henhold til personopplysningslovens § 13, jf. § 15 og personopplysningsforskriftens kapittel 2. mellom

Firma
behandlingsansvarlig 

og 

Zirius AS
databehandler 

1. Avtalens hensikt 

Avtalens hensikt er å regulere rettigheter og plikter etter Lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) og forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften). Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende. 

Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse. 

2. Formål 

Formålet med denne avtalen er å sikre at ingen opplysninger skal komme på avveie eller bli brukt på en måte som ikke er hensiktsmessig. 

Zirius AS skiller mellom løsningene Zirius ERP hvor behandlingsansvarlig selv har ansvar for drifting og sikkerhet av database, og Zirius Portal hvor Zirius AS står som driftsansvarlig, og er derfor databehandler. 

Opplysninger som blir behandlet i Zirius ERP:

Ansatt:   – Navn   – Adr, postnr / -sted – Tlfnr hjem og mobil   – E-postadr.  – Valgfritt profilbilde

Kunder / lev.:    – Navn   – Adr, postnr / -sted – Tlfnr hjem og mobil   – E-postadr.

Kontaktpersoner:   – Navn   – Adr, postnr / -sted – Tlfnr hjem og mobil   – E-postadr.  – Stilling

Opplysninger på ansatte blir brukt for å skape en brukerkonto for hver enkelt ansatt, og for å gi tilgang til systemene og de rutiner hver enkelt skal ha tilgang til. I ekstern kommunikasjon brukes som oftest kun navn på ansatt.  

I kunde- og leverandørregisteret med tilhørende kontaktpersoner kan det bli opprettet kontaktinformasjon på privatpersoner. Kontaktinformasjon benyttes for å kunne sende ut ordre / faktura, kontantsalg, regnskapsføring eller mot prosjekt / service. Behandlingsansvarlig kan kjøre ut lister med kontaktinformasjon som kan benyttes til annen kundekontakt. 

Opplysninger som blir behandlet i Zirius Portal:

Zirius Portal er en skyløsning og kan enten benyttes som en frittstående løsning eller som en del av en komplett løsning integrert mot Zirius ERP. Det er derfor samme personopplysninger som behandles i Zirius ERP og Zirius Portal bortsett fra i Zirius Lønn som er en egen modul i Zirius Portal. 

Ansattopplysninger i Zirius Lønn: 

  – Navn, adresse, postnummer og poststed
  – Telefonnummer hjem, mobil og e-postadresse
  – Fødselsdato og fødselsnummer
  – Bankkontonummer

3. Databehandlers plikter 

Databehandler skal følge de rutiner og instrukser for behandlingen som behandlingsansvarlig til enhver tid har bestemt skal gjelde. Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og  bistå, slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift. 

Behandlingsansvarlig har, med mindre annet er avtale eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette. 

Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør. 

4. Bruk av underleverandør 

Fra tid til annen vil Zirius AS benytte underleverandører, en liste over de aktuelle underleverandørene kan fås ved kontakt til [personvern@zirius.no]. Samtlige av Zirius sine underleverandører, der bruk av de aktuelle personopplysningene inngår, oppfyller de krav som Zirius AS som databehandler har etter personopplysningsloven og personopplysningsforskriften. 

5. Sikkerhet 

Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningslovens §§ 13? 15 med forskrifter. 

Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel. 

Avviksmelding etter personopplysningsforskriftens § 2-6 skal skje ved at databehandler melder avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet. 

6. Sikkerhetsrevisjoner 

Behandlingsansvarlig skal avtale med databehandler at det gjennomføres sikkerhetsrevisjoner jevnlig for systemer og lignende som omfattes av denne avtalen. 

Revisjon: Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak. 

7. Avtalens varighet 

Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig. 

Ved brudd på denne avtale eller personopplysningsloven kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning. 

8. Ved opphør 

Ved opphør av denne avtalen plikter databehandler å tilbakelevere alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige og som omfattes av denne avtalen i et format som er standardisert uten at det påløper kostnader for kunden. Når avtalen har opphørt og all data er overlevert til kunde, skal databehandler på en forsvarlig måte destruere alle dokumenter, data, mv, som inneholder opplysninger som omfattes av avtalen. 

Dette gjelder også sikkerhetskopier. 

All data oppbevares på egne harddisker hos vår serverleverandør, og ved opphør vil denne dataen bli slettet på en måte som er ihht retningslinjer ved sletting av digital data. Da vil også systemer som er online bli slettet fullstendig. 

Tilbakelevering 
Er det ønskelig av kunde å få en kopi av databaseinnhold er dette fullt mulig. Hvordan dette skal gjennomføres vil avtales snarest mulig når en oppsigelse foreligger fra kunde. 

Databehandler skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør. 

9. Meddelelser 

Meddelelser etter denne avtalen skal sendes skriftlig til: personvern@zirius.no 

10. Lovvalg og verneting 

Avtalen er underlagt norsk rett og partene vedtar Sandefjord tingrett som verneting. Dette gjelder også etter opphør av avtalen. 

Valg av verneting kan avtales 

*** 

Sted og dato 

Behandlingsansvarlig
(underskrift)

Databehandler 
(underskrift)