Databehandleravtale (Full GDPR-Compliance)

Denne databehandleravtalen er inngått i henhold til Europaparlaments- og Rådsforordning (EU) 2016/679 (GDPR) artikkel 28 nr. 3, samt personopplysningsloven av 15. juni 2018 nr. 38.

Denne avtalen regulerer HMSpass AS’ behandling av personopplysninger på vegne av Kunden som behandlingsansvarlig, og utgjør et supplement til bestillings- og avtalevilkår for levering av tjenester fra HMSpass AS, org.nr: 816 253 942, som eier og drifter www.byggekort.no.

HMSpass AS forbeholder seg retten til å oppdatere denne databehandleravtalen. Gjeldende versjon er alltid tilgjengelig på www.byggekort.no. Vesentlige endringer som påvirker Kundens personvernforpliktelser varsles skriftlig minimum 30 dager før ikrafttredelse.

1. DEFINISJONER

Personopplysninger: Enhver opplysning om en identifisert eller identifiserbar fysisk person.

Behandling: Enhver operasjon eller rekke av operasjoner som utføres på personopplysninger.

Registrert: Den fysiske personen som personopplysningene gjelder.

Behandlingsansvarlig: Kunden. Den som bestemmer formålet med behandlingen.

Databehandler: HMSpass AS, som behandler personopplysninger på vegne av Kunden.

Behandlingsgrunnlag: Lovlig grunnlag for behandling, jf. GDPR art. 6.

Underleverandør: Tredjepart engasjert av HMSpass AS til å behandle personopplysninger på vegne av Kunden.

2. BEHANDLINGENS FORMÅL OG VARIGHET

HMSpass AS behandler personopplysninger for å levere tjenester knyttet til bestilling og administrasjon av HMS-kort via www.byggekort.no. Behandling skjer kun i den grad det er nødvendig for oppfyllelse av Kundens bestillinger og avtalevilkår.

Behandlingen pågår så lenge HMSpass AS leverer tjenester til Kunden.

3. TYPER PERSONOPPLYSNINGER SOM BEHANDLES

Følgende kategorier av personopplysninger behandles:

  • Navn, adresse, e-post og kontaktinformasjon.
  • Fødselsnummer og D-nummer.
  • Passbilder og legitimasjonskopier.
  • Ansettelsesforhold og virksomhetstilknytning.
  • Oppholdsstatus fra UDI.
  • Fakturainformasjon og betalingsopplysninger.
  • Øvrige opplysninger nødvendig for HMS-kortbestillingen.

Kilder kan inkludere offentlige registre som NAV Aa-registeret, Folkeregisteret, Enhetsregisteret, UDI og andre relevante registre.

4. KUNDENS PLIKTER SOM BEHANDLINGSANSVARLIG

Kunden er ansvarlig for:

  • Å ha gyldig behandlingsgrunnlag.
  • Å gi registrerte påkrevd informasjon.
  • Å utføre nødvendige risikovurderinger og DPIA ved behov.
  • Å gi dokumenterte instrukser til HMSpass AS.
  • Å varsle tilsynsmyndigheter ved eventuelle avvik.

5. HMSpass AS’ PLIKTER SOM DATABEHANDLER

HMSpass AS forplikter seg til å:

  • Behandle personopplysninger kun etter dokumenterte instrukser fra Kunden.
  • Iverksette passende tekniske og organisatoriske sikkerhetstiltak (jf. GDPR art. 32).
  • Sørge for at ansatte og underleverandører er bundet av taushetsplikt.
  • Bistå Kunden ved forespørsler fra registrerte (rettigheter etter GDPR kap. III).
  • Bistå Kunden ved DPIA og eventuelle tilsyn.
  • Varsele Kunden uten ugrunnet opphold ved brudd på personopplysningssikkerheten.
  • Ikke overføre personopplysninger til tredjepart uten skriftlig instruks fra Kunden.
  • Dokumentere behandlingsaktiviteter i protokoll som Kunden kan kreve innsyn i.
  • Muliggjøre og bistå ved revisjoner og kontroller igangsatt av Kunden.
  • Informere Kunden dersom instrukser strider mot gjeldende regelverk.

6. INFORMASJONSSIKKERHET

HMSpass AS skal kunne fremlegge dokumentasjon for sine sikkerhetstiltak ved forespørsel. Dersom HMSpass AS avdekker sikkerhetsbrudd som kan påvirke Kundens data, skal Kunden varsles uten ugrunnet opphold.

7. UNDERLEVERANDØRER

HMSpass AS kan benytte godkjente underleverandører. Oversikt over underleverandører gjøres tilgjengelig for Kunden. Kunden vil varsles skriftlig minimum 10 dager før nye underleverandører tas i bruk, og kan protestere skriftlig på objektivt grunnlag innen fristen.

HMSpass AS skal sikre at alle underleverandører er bundet av minst samme forpliktelser som denne avtalen og GDPR artikkel 28. HMSpass AS er fullt ansvarlig for sine underleverandørers handlinger.

8. OVERFØRING TIL TREDJELAND

Personopplysninger behandles i EØS. Overføring utenfor EØS krever Kundens skriftlige forhåndsgodkjenning og at gyldig overføringsgrunnlag foreligger iht. GDPR kapittel V.

9. REVISJON OG TILSYN

Kunden har rett til å kontrollere HMSpass AS’ etterlevelse av denne avtalen og gjeldende personvernregler. HMSpass AS skal bistå ved revisjoner, gi nødvendig dokumentasjon og tilgang.

10. ERSTATNINGSANSVAR

Partenes ansvar følger GDPR artikkel 82. HMSpass AS er ansvarlig for skader som følge av egne eller underleverandørers handlinger i strid med GDPR eller denne avtalen.

11. VARIGHET OG SLETTING VED AVSLUTNING

Denne avtalen gjelder så lenge HMSpass AS behandler personopplysninger på vegne av Kunden. Ved opphør skal HMSpass AS slette eller returnere alle personopplysninger, inkludert eventuelle sikkerhetskopier, innen rimelig tid etter Kundens instruks, med mindre videre oppbevaring kreves ved lov.

12. LOVVALG OG VERNETING

Avtalen er underlagt norsk rett. Tvister avgjøres av norske domstoler med HMSpass AS’ forretningssted som verneting.

13. TILLEGGSINFORMASJON OM INFORMASJONSKAPSLER OG STATISTIKK

HMSpass AS benytter informasjonskapsler på www.byggekort.no for funksjonalitet, sikkerhet og brukeropplevelse.

Statistikkanalyse utføres anonymt uten personidentifiserbare informasjonskapsler.

Registrerte har rettigheter etter GDPR kapittel III.

Personopplysninger slettes når det ikke lenger er nødvendig for formålet de er innhentet for. For opplysninger knyttet til HMS-kort slettes personopplysninger normalt innen 26 måneder etter siste kortutstedelse, med mindre lov eller avtale tilsier kortere eller lengre lagring.