Avtale knyttet til personvernloven/ GDPR mellom


................................. ( Behandlingsansvarlig, Mekke Media kunde - fylles ut i skjema)   


og


Mekke Media ( Databehandler)

1. Definisjoner

"GDPR" betyr EUs personvernforordning, General Data Protection Regulation (EU) 2016/679, som vedtatt av Europaparlamentet og Rådet for Den europeiske union den 14. april 2016 og som norsk lov fra 20.juli 2018

"Personvernlovgivning" betyr alle gjeldende lover og forskrifter om databeskyttelse og personvern, inkludert GDPR og den norske Personopplysningsloven.

"Personopplysning" betyr enhver opplysning om en identifisert eller identifiserbar fysisk person. En identifiserbar fysisk person er en som kan identifiseres, direkte eller indirekte, særlig med henvisning til en identifikator, slik som et navn, et identifikasjonsnummer, posisjonsdata, en elektronisk identifikator eller til en eller flere faktorer som er spesifikke for den fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sosiale identiteten til den fysiske personen.

"Den registrerte" betyr den fysiske personen som et bestemt sett med personopplysninger vedrører.

"Behandling" betyr enhver operasjon eller sett av operasjoner som utføres på personopplysninger eller på sett av personopplysninger, enten det er automatisert eller ikke, slik som innsamling, mottak, organisering, strukturering, lagring, bearbeidelse, endring, uthenting, konsultasjon, bruk, overføring, formidling, tilgjengeliggjøring, justering, kombinering, begrensning, sletting eller tilintetgjørelse.

"Behandlingsansvarlig" betyr den fysiske eller juridiske person, offentlig myndighet, byrå eller annet organ som, alene eller i fellesskap med andre, bestemmer formålet med og midlene for behandling av personopplysninger. I denne databehandleravtalen skal behandlingsansvarlig henvise til deg.

"Databehandler" betyr en fysisk eller juridisk person, offentlig myndighet, et byrå eller et annet organ som behandler personopplysninger på vegne av behandlingsansvarlig. I denne databehandleravtalen skal databehandler referere til Domeneshop.

"Tilsynsmyndighet" betyr en uavhengig offentlig myndighet som er opprettet av en EU/EØS-stat i henhold til artikkel 51 i GDPR. I Norge er det Datatilsynet som er tilsynsmyndighet.

2 Avtalens tema og behandlingens art, formål og varighet

Avtalen tar utgangspunkt i datatilsynet sine anbefarlinger for forhold mellom behandlingsansvarlige og databehandler i henhold til GDPR - flere artikler - og spesielt artikkel 28 nr. 3 a- g.

Behandlingen av personopplysninger som databehandleren gjør på vegne av den behandlingsansvarlige, består i å registrere informasjon på kundens webside

Formålet med behandlingen av personopplysninger er å hjelpe kunden å samle inn sluttkunders informasjon til bestillinger, forespørsler eller annen bruk som behandlingsansvarlig ønsker hjelp til å samle inn informasjon til. Databehandler hoster websider for behandlingsansvarlig og står ikke ansvarlig for innhold på siden eller innholdet i de opplysninger som behandlinigsansvarlig ønsker å samle inn gjennom skjemaer på siden.

Behandlingen er ikke tidsbegrenset og varer inntil avtalen sies opp av en av partene.

Kategorier av registrerte som omfattes, samt hva slags personopplysninger som behandles: sluttkunder, kunder,leverandører, ansatte, medlemmer, studenter, besøkende, deltakere,  interesserte kunder og andre personer som ønsker å legge inn informasjon i logger og tilbakemeldings-skjemaer.

De registrerte er nye eller eksisterende kunder hos den behandlingsansvarlige samt kunder som ønsker tilbud eller som får et tilbud de skal vurdere.

Personopplysningene som registreres er navn, stilling i firma, ansatt i firma,  telefonnummer, adresse, samt hvilke produkter eller tjenester som kunden har kjøpt eller ønsker å kjøpe, informasjonskapsler (cookies), kundenumre, nasjonale identifikasjonsnumre, kredittkortnumre, kjøpshistorikk, loggfiler samt andre opplysninger rundt kjøp som er gjort og/eller andre forespørsler om kjøp kan også oppbevares. Andre opplysninger som registreres er IP adresse og andre opplysninger som er nødvendig for å gjennomføre en bestilling og kjøp hos behandlingsansvarlige ved hjelp av datastystemer som databehandler har ansvar for.


3: Pliktene og rettighetene til den behandlingsansvarlige

Den behandlingsansvarlige er ansvarlig for at personopplysninger blir behandlet i samsvar med personvernforordningen og personopplysningsloven (jf. artikkel 24). Den behandlingsansvarlige har både en rett og en forpliktelse til å bestemme hvilke formål, og hvilke hjelpemidler som kan brukes i behandlingen (jf. artikkel 4 nr. 7)  Den behandlingsansvarlige skal gi databehandler dokumenterte instrukser for hvordan personopplysninger skal behandles (jf. artikkel 28 nr. 3 bokstav . Den behandlingsansvarlige har rett til å si opp avtalen dersom databehandleren ikke lenger oppfyller lovens krav etter artikkel 28 nr. 1.

Avtalen er satt opp utifra artikkel 28 nr. 3 og de 8 punktene der (bokstav a-h).

4 : Bare behandle personopplysninger etter skriftlig instruks fra den behandlingsansvarlige
Databehandleren skal kun skal behandle personopplysninger etter dokumenterte instrukser fra den behandlingsansvarlige. Unntaket er dersom norsk lov pålegger databehandleren en konkret behandling av personopplysninger. I så fall skal databehandleren underrette den behandlingsansvarlige om dette før behandlingen iverksettes, med mindre loven forbyr slik underretning av hensyn til viktige samfunnsinteresser.

Databehandleren må omgående underrette den behandlingsansvarlige dersom databehandleren mener en instruks er i strid med personvernforordningen eller andre bestemmelser om vern av personopplysninger eller nasjonal rett (jf. artikkel 28 bokstav 3 siste ledd).

5: Plikt til at autoriserte personer behandler personopplysningene fortrolig
Både den behandlingsansvarlige og databehandlere har plikt til å behandle personopplysninger på en sikker måte. Dette innebærer blant annet tilgangsstyring, altså at bare utpekte personer skal ha tilgang til personopplysningene som behandles.

Databehandleren må derfor godkjenne (autorisere) alle som skal ha tilgang til opplysningene, enten det er snakk om egne ansatte eller innleid arbeidskraft. Kun de som har tjenestlig behov for opplysningene, skal autoriseres. Databehandleren må ha tiltak på plass som sikrer at ingen andre enn de som er autorisert, kan få tilgang. Disse pliktene følger av personvernforordningen artikkel 32, og gjelder uansett hva avtalen sier.

Databehandleren skal sikre at autoriserte personer er forpliktet til å behandle personopplysningene fortrolig, eller er underlagt lovfestet taushetsplikt.

Databehandleren skal, etter anmodning fra den behandlingsansvarlige, kunne påvise at de autoriserte personene er underlagt fortrolighet eller taushetsplikt - for eksempel ved ved dokumentasjon (jf. artikkel nr. 23 bokstav b og h).

Plikten til konfidensialitet gjelder også etter at databehandleroppdraget er fullført.

6: Plikt til å ha tilfredsstillende sikkerhetstiltak
Plikten til informasjonssikkerhet innebærer også andre plikter enn tilgangsstyring og fortrolighet, for eksempel plikt til å gjennomføre en risikovurdering.

Databehandleren treffer alle tiltak som er nødvendige etter personopplysningsloven artikkel 32. Eventuelle tilleggskrav til sikkerhetstiltak beskrives i et eget vedlegg til databehandleravtalen.

Databehandleren har en selvstendig plikt til å gjennomføre egnede sikkerhetstiltak etter artikkel 32, men at databehandleren som et minimum må gjennomføre følgende tiltak : En beskrivelse av tekniske og organisatoriske tiltak for å beskytte personopplysninger ved overføring/utlevering og en beskrivelse av eventuelle krav til sikring av personopplysningene der disse lagres. Redegjørelse for dette finnes på databehandlerens webside. Beskrivelselsene overfor skal følge bransjestandarden som blir utviklet

Vi anbefaler ikke at du bruker vårt servermiljø til å behandle sensitive personopplysninger. Sensitive personopplysninger inkluderer informasjon om rasemessig eller etnisk opprinnelse, politiske meninger, religiøs eller filosofisk tro, fagforeningsmedlemskap, genetiske data, biometriske data, helseopplysninger eller opplysninger om en persons sexliv eller seksuelle orientering. For slike personopplysninger anbefaler vi i stedet en dedikert server eller virtuell privat server (VPS). Vi tilbyr ikke disse tjenestene.

7: Bruk av annen databehandler (underleverandør)
Mekke Media får en generell godkjennelse slik at de har mulighet til å engasjere underleverandører underveis i avtaleforholdet etter behov. Databehandleren må uansett underrette den behandlingsansvarlige om bruk av nye underleverandører

Databehandleren må pålegge eventuelle andre databehandlere de samme forpliktelsene som er fastsatt i denne databehandleravtalen gjennom en skriftlig avtale

Hvis den andre databehandleren (underleverandøren) ikke oppfyller sine forpliktelser med hensyn til vern av personopplysninger, har databehandleren det fulle ansvaret overfor den behandlingsansvarlige.

8:  Bistand til å svare på anmodninger som gjelder de registrertes rettigheter
Databehandleren bistår den behandlingsansvarlige (ved hjelp av egnede tekniske og organisatoriske tiltak) å oppfylle plikten til å svare på anmodninger fra registrerte om utøvelse av deres rettigheter. Plikten gjelder så langt det er mulig, og det må tas hensyn til behandlingens art.
Ved innsynskrav må databehandler bistå ved å samle opplysningene som er lagret om den registrerte. Databehandler må gjøre opplysningene tilgjengelig for den behandlingsansvarlige for at den behandlingsansvarlige kan vurdere innsynskravet.

9: Bistand til den behandlingsansvarlige
Databehandleren har en plikt til å bistå den behandlingsansvarlige med å overholde de forpliktelsene etter artikkel 32-36 som er relevante i det konkrete avtaleforholdet.
Databehandleren må straks underrette den behandlingsansvarlige dersom det har skjedd eller skjer et brudd på personopplysningssikkerheten (jf. artikkel 33 nr. 2). 
Dersom bruddet medfører en risiko for de registrertes rettigheter og friheter, må varselet til den behandlingsansvarlige inneholde den informasjonen som kreves for at den behandlingsansvarlige skal kunne gi en utførlig beskrivelse av bruddet til tilsynsmyndigheten (jf. artikkel 33 nr. 3).
Dersom bruddet medfører at den behandlingsansvarlige må varsle de registrerte (jf. artikkel 34), må databehandleren gi den informasjonen som kreves for at den behandlingsansvarlige kan ivareta plikten til å gi slik underretning på en tydelig måte, og i tråd med artikkel 33 nr. 3. bokstav b), c) og d).


10:  Avslutning av avtalen
Databehandleren er forpliktet til å slette alle personopplysninger som er behandlet på den behandlingsansvarliges vegne, ved opphør av avtaleforholdet.

11: Tilgjengelig info
Mekke Media gjør tilgjengelig for den behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i denne artikkel er oppfylt, samt muliggjør og bidrar til revisjoner, herunder inspeksjoner, som gjennomføres av den behandlingsansvarlige
eller en annen inspektør på fullmakt fra den behandlingsansvarlige

Denne avtalen er laget utifra det som datatilsynet anbefaler: 

https://www.datatilsynet.no/regelverk-og-skjema/veiledere/databehandleravtale/ 

Avtalen lages i to likelydende kopier med databehandler og behandlingsansvarlige underskrifter.

Behandlingsansvarlig    ( signerer elektronisk ved å krysse på skjema

Databehandler   , Erling Holst-Larsen, Mekke Media

Ved å klikke på linken under aksepterer jeg denne avtalen om behandling av personvernopplysninger som del av den ordinære avtalen om web-hosting samt vår personvernerklæring:

Mekke Medias personvernerklæring

  1. Sentrale begreper
  2. Kontaktinfo
  3. Romerike Internett er behandlingsansvarlig
  4. Hva slags informasjon er det vi samler inn?
  5. Samtykke etter paragraf 6f og mulighet til å trekke samtykke
  6. Informasjon fra andre kilder
  7. Formålet med behandlingen av personopplysningene?
  8. Samtykke til e-postkorrespondanse, direkte markedsføring og videre kontakt
  9. Hvor lenge lagres opplysningene?
  10. Hvem kan informasjonen deles med?
  11. Informasjonsdeling med tredjepart
  12. Utlevering av personopplysninger til land utenfor EU/EØS
  13. Hvor oppbevares opplysningene?
  14. Dine rettigheter iforhold til innsyn , sletting og eventuelt flytting
  15. Andre formål
  16. Informasjonskapsler
  17. Epost og telefon

1.Kontaktinformasjon til Mekke Media

Romerike Internett er behandlingsansvarlig for håndtering av dine personopplysninger. Har du spørsmål om behandlingen eller ønsker å komme i kontakt med oss for å utøve dine rettigheter, finner du kontaktinformasjonen vår nedenfor:

Mekke Media
Wankels veg 25
1539 Moss              

Organisasjonsnummer: 950895837
E-post adresse: info@mekke.no 
Telefon 69 33 33 21
Mobil 928 15 028 

2. Sentrale begreper

Personopplysninger er informasjon som alene eller sammen med andre opplysninger kan brukes til å identifisere, lokalisere eller kontakte en person. Eksempler på personopplysninger er navn, telefonnummer og IP-adresse.

Behandling av personopplysninger innebærer alle former for håndtering av personopplysninger som: innsamling, analyse, registrering og lagring.

Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger og hvilke opplysninger som anmodes. Det er behandlingsansvarlig som er ansvarlig for at håndteringen av dine personopplysninger skjer ut i fra den gjeldende personopplysningsloven.

3. Mekke Media er behandlingsansvarlig

Mekke Media er behandlingsansvarlig for håndteringen av dine personopplysninger.
( Som kunde hos Mekke Media er ditt firma behandlingsansvarlig og Mekke Media databehandler. Du vil da han en databehandleravtale som regulerer dette forholdet)

4. Hva slags informasjon er det vi samler inn?

Når du registrerer deg via et skjema, bestiller en tjenste eller produkt, benytter deg av vår chat-funksjon eller besøker vår hjemmeside, kan du bli bedt om å gi fra deg informasjon. Avhengig av situasjonen kan vi muligens be om følgende personopplysninger:

  • Navn
  • E-postadresse
  • Telefonnummer
  • Hvilken virksomhet du jobber for
  • Stilling eller ansvarsområde
  • Hvilken bransje du jobber i
  • Hjemmesideadresse til virksomheten din
  • Opplysninger om hvilke type datahjelp ditt firma ønsker og hvilke produkter og pakker de har
  • Andre opplysninger som utdypende spørsmål eller svar på skjemaer
  • Tekniske opplysninger: hvilken nettadresse du benytter for å få tilgang til våre nettsider, din IP-adresse og brukeradferd, type nettleser, språk og informasjon om identifisering og operativsystem.
5. Samtykke i skjema eller utifra eksisterende kundeforhold.
Vi tar utgangspunkt i legitimt samtykke utifra artikkel 6f i personvernloven. Hvis du har inngått et kundeforhold med oss tidligere, eller du er en ny kunde vil dette være en legitim grunn til å sende deg informasjon. Dette sidestilles med et samtykke i henhold til markedsføringsloven slik loven har vært i Norge i mange år.  Er du ny kunde gjelder samme forhold at det er legitim interesse å sende deg informasjon. Hvis du ber om tilbud eller sender forespørsel vil du i kontaktskjema bli bedt om å krysse av for å gi samtykke til å sende deg informasjon. Du kan når som helst trekke dette samtykket om at vi skal behandle dine personopplysninger. Trekker du tilbake samtykket, vil vi ta bort de opplysningene vi har om deg. Merk at sletting av informasjonen hos oss kan påvirke leveransen av informasjon innenfor rammen for kunderelasjonen, samt påvirke pågående dialoger
6. Informasjon fra andre kilder
Når du samtykker til at vi behandler dine personopplysninger godkjenner du også at vi kan registrere andre opplysninger om deg som du har gitt oss ved en tidligere anledning. Basert på offentlig tilgjengelig informasjon kan vi også supplere dine registrerte opplysninger med bransje og ytterligere kontaktinformasjon.  Hvis du er kunde hos oss kan vi også tilføye ytterligere kontaktinformasjon til dine opplysninger, som du har registrert hos oss via f.eks. telefon til kundeservice. Opplysninger som er nødvendige for de tjenester du skal bruke vil også bli lagret.

7. Formålet med behandlingen av personopplysningene?

Informasjonen som du gir fra deg brukes til følgende formål:

  • Salg- og markedsføringsaktiviteter i form av direkte e-post eller telefonkontakt
  • Kundebehandling og informasjon om våre produkter
  • For å få statistikk og opplysninger om brukeratferd for å forbedre både hjemmesiden og selve brukeropplevelsen
  • Slik at vi kan gi deg en mer personlig opplevelse og levere produkter og annet innhold som interesserer deg

Vi ber om dine personopplysninger for å:

  • Svare på forespørsler
  • Sende ønsket materiale, eller på andre måter kunne oppfylle våre forpliktelser mot at du sender inn dine opplysninger
  • Opprette og opprettholde en salgsdialog
  • Sende informasjon som kan være av interesse for deg
  • Legge deg til i e-post-liste for nyheter og annet innhold som du selv har valgt å motta

8. Samtykke til e-postkorrespondanse, direkte markedsføring og videre kontakt

Når du samtykker til at vi behandler dine personopplysninger i overensstemmelse med de overnevnte formål, samtykker du til følgende:

  • Vi behandler dine personopplysninger i henhold til denne personvernerklæringen
  • Vi kan sende deg direkte markedsføring via e-post om våre produkter
  • Vi kan kontakte deg via e-post eller telefon
  • Abonnering på nyhetsbrev via epost du selv har valgt å motta. Du kan takke nei til ytterligere e-poster ved å følge linken som befinner seg nederst i våre e-poster, eller ved å kontakte oss direkte.

9. Hvor lenge lagres opplysningene?

Vi behandler personopplysningene bare så lenge det tar å oppfylle hensikten med deres innsamling, deretter sletter vi informasjonen.

Har du en aktiv dialog med oss tar vi vare på opplysningene dine i 2 år fra den siste kontakten; deretter fjerner vi opplysningene vi har om deg. En aktiv dialog defineres som at du har hatt interaksjon med Romerike Internett eller representanter for oss de siste  2 årene via telefon, ved å besvare e-post, lastet ned materiale på nettsiden eller registrert deg via et skjema.

Har du samtykket til behandling av dine personopplysninger i forbindelse med at du takket ja til regelmessig e-poster, fortsetter vi å behandle dine personopplysninger til du avslutter ditt abonnement. Deretter lagrer vi dine personopplysninger i 2 år før vi sletter informasjonen.

I det tilfellet du er ansatt i en virksomhet som er kunde hos oss, behandler vi dine opplysninger innenfor rammen for kundebehandling. For aktive kunderelasjoner behandler vi dine opplysninger inntil (1) du avslutter din stilling i virksomheten, eller at (2) virksomheten ikke lenger har en aktiv kunderelasjon med oss. Når en kunderelasjon avsluttes, går vilkårene for lagring og behandling av opplysninger over til de samme vilkårene som er beskrevet i de foregående avsnittene. Avslutter du din ansettelse i virksomheten, er du selv ansvarlig for å gi oss beskjed slik at vi kan slette dine opplysninger.

10. Hvem kan informasjonen deles med?

Oppgitte opplysninger vil være tilgjengelige for et begrenset antall personer i virksomheten, som enten jobber i markedsavdelingen, kundesupport eller salg.

11. Informasjonsdeling med tredjepart

Vi selger ikke dine personopplysninger til tredjepart. Hvis det er en pågående salg- eller kundedialog mellom deg, oss og noen av våre samarbeidspartnere, deler vi informasjon som:

  • Navn
  • E-postadresse
  • Telefonnummer
  • Hvilken virksomhet du jobber for

Hvis vi har registrert dine opplysninger i forbindelse med en begivenhet som utføres sammen med en ekstern part, kan vi overføre samme kategorier av personopplysninger som angitt ovenfor, samt eventuelle svar på ytterligere skjema- eller utdypende spørsmål.

12: Utlevering av personopplysninger til land utenfor EU/EØS:

 Flere av registerenhetene som vi overfører personopplysninger til, ligger utenfor EU og EØS. Disse inkluderer blant annet VeriSign (USA), Iron Mountain (USA), Neustar (Australia), Uniregistry (Cayman Islands), Radix Registry (Dubai) og GMO Registry (Japan). Når personopplysninger overføres mellom oss og registerenhetene, blir informasjonen alltid kryptert ved hjelp av TLS-kryptering av den underliggende dataoverføringsprotokollen (EPP eller FTP).

13. Hvor oppbevares opplysningene?

Opplysningene oppbevares av Romerike Internett i kundesystemet vårt. Vi har databehandler avtale med Mekke Media som så igjen har avtale med sine underleverandører.

14 Dine rettigheter iforhold til innsyn , sletting og eventuelt flytting

Du har rett til å få informasjon om hvilke opplysninger vi har om deg. Du kan også kreve at vi retter opp i feilaktige opplysninger eller sletter informasjonen din. .

Ønsker du å trekke tilbake ditt samtykke eller kreve å få oversikt over opplysninger, rettelse eller sletting, kontakter du oss på e-postadressen vi har angitt under avsnittet for kontaktinformasjon. For å motta slik info må du sende en elektronisk kopi av forespørselen på et signert dokument. Ønsker du å flytte informasjon kan vi også hjelpe deg med det

15. Andre formål

Derson vi skal bruke personopplysningene til et annet formål enn det de ble samlet inn for inntrer informasjonsplikten på nytt og vi må da opplyse hva det nye formålet er og gi deler av informasjonen overnfor på nytt.

16 Informasjonskapsler

Informasjonskapsler (cookies) er små tekstfiler som plasseres på din datamaskin når du laster ned en nettside.

Lagring av opplysninger og behandling av disse opplysningene er ikke tillatt med mindre bruker både har blitt informert om og har gitt sitt samtykke til behandlingen. Brukeren skal få vite om og godkjenne hvilke opplysninger som behandles, hva formålet med behandlingen er og hvem som behandler opplysningene,

Vi bruker kun informasjonskapsler for å gi deg en bedre brukeropplevelse på våre sider slik at du slipper å fylle inn felt på nytt hver gang du er på våre sider.

17 E-post og telefon

Vi benytter e-post og telefon som en del av det daglige arbeidet  Relevante opplysninger som fremkommer av telefonsamtaler og e-postutveksling som skjer som en del av kundebehandlingen registreres i kundesystemet.

Våre medarbeidere benytter i tillegg e-post i alminnelig dialog med interne og eksterne kontakter. Den enkelte er ansvarlig for å slette meldinger som ikke lenger er aktuelle, og minst hvert år gjennomgå og slette unødvendig innhold i e-postkassen. Ved fratreden slettes e-postkontoene, men enkelte relevante e-poster vil normalt bli overført til kollegaer.

Sensitive personopplysninger skal ikke sendes med e-post.

Vi gjør deg oppmerksom på at vanlig e-post er ukryptert. Vi oppfordrer deg derfor ikke til å sende taushetsbelagte, sensitive eller andre fortrolige opplysninger via e-post.

Del denne siden med andre!

Share on FacebookShare on Twitter

© 2018 Vart Firma AS

Personvernerklæring