Denne avtalen («Databehandleravtalen«) inngås som et tillegg til andre avtaler mellom EMI SOLUTIONS AS og tredjepart, og gjelder mellom tredjepart («Behandlingsansvarlig«) og EMI SOLUTIONS AS («Databehandler«) i henhold til gjeldende norsk personopplysningslovgivning, herunder EUs personvernforordningen – GDPR (EU 2016/679) («Personvernregelverket«).

Databehandleravtalen regulerer EMI SOLUTIONS AS forvaltning av personopplysninger på vegne av den Behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse, i forbindelse med utførelse av avtalte tjenester mellom partene.

Databehandleravtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller at opplysningene behandles på måter som fører til uautorisert tilgang eller tap.

Personopplysninger som EMI SOLUTIONS AS forvalter på vegne av Behandlingsansvarlig skal ikke brukes til andre formål enn levering og administrasjon av tjenestene uten at dette på forhånd er godkjent av Behandlingsansvarlig.

Behandlingsansvarlig bestemmer over bruken av personopplysningene som omfattes av denne Databehandleravtalen, og er ansvarlig for at det foreligger et lovlig behandlingsgrunnlag for personopplysningene som blir gitt EMI SOLUTIONS AS, herunder samtykke, og at den aktuelle behandling er i overensstemmelse med Personvernregelverket.

Behandlingsansvarlig skal vurdere krav om innsyn i, retting eller sletting av personopplysninger fra den registrerte i tråd med gjeldende regler for dette.

Behandlingsansvarlig skal uten ugrunnet opphold varsle EMI SOLUTIONS AS om forhold Behandlingsansvarlig forstår eller bør forstå kan få betydning for oppdragets/tjenestens gjennomføring.

EMI SOLUTIONS AS (Databehandler) skal behandle personopplysninger på vegne av Behandlingsansvarlig i henhold til denne Databehandleravtalen, Personvernregelverket og skriftlige instrukser fra Behandlingsansvarlig.

EMI SOLUTIONS AS forplikter seg til å varsle Behandlingsansvarlig dersom Databehandler mottar instrukser fra Behandlingsansvarlig som er i strid med bestemmelsene i Personvernregelverket.

EMI SOLUTIONS AS er ansvarlig for å ivareta nødvendig informasjonssikkerhet. Det innebærer å påse at ingen får uberettiget tilgang til personopplysninger, at opplysningene ikke endres utilsiktet eller at opplysningene blir utilgjengelige, slik dette er nærmere definert nedenfor i denne avtalen.

EMI SOLUTIONS AS skal uten ugrunnet opphold videresende enhver forespørsel fra tredjeparter om innsyn i eller tilgang til personopplysningene til Behandlingsansvarlig.

EMI SOLUTIONS AS plikter å gi Behandlingsansvarlig bistand til oppfyllelse av forpliktelser etter Personvernregelverket og tilgang til nødvendig dokumentasjon.

Formålet med behandlingen av personopplysningene er å tilgjengeliggjøre tjenestene (funksjonaliteten) som inngår i tjenestene for brukerne hos Behandlingsansvarlig.

Følgende personopplysninger behandles i forbindelse med leveranser fra EMI SOLUTIONS AS:

1. Navn
2. E-postadresse
3. Mobiltelefonnummer
4. Formell rolle i organisasjonen (markedsansvarlig, daglig leder, osv.)
5. Yrkestittel (opsjon)
6. Fødselsdato (opsjon)
7. Foto/video (opsjon)
8. Adresse (opsjon)
9. Kontonummer (opsjon)
10. Personlig dokumentasjon (CV el.l) (opsjon)

Personopplysningene brukes til korrespondanse, utarbeidelse av tilbud, produksjonsplaner o.l. og kun øvrig nødvendig bruk for leveranse ihht inngåtte avtaler mellom behandlingsansvarlig og databehandler.

Det er kun autoriserte fast ansatte underlagt taushetserklæringer som håndterer personopplysninger i EMI SOLUTIONS AS. Alle personopplysninger behandles som konfidensiell informasjon og benyttes ikke til EMI SOLUTIONS AS egne formål, med de unntak som er nevnt over. EMI SOLUTIONS AS plikter å dokumentere retningslinjer og rutiner for tilgangsstyring, herunder sørge for at egne ansatte undertegner en taushetserklæring. Dokumentasjonen skal være tilgjengelig for Behandlingsansvarlig på forespørsel. Ansattes taushetsplikt om personopplysninger som vedkommende får tilgang til i henhold til denne avtalen gjelder også etter avtalens og arbeidsforholdets opphør.

Databehandler plikter å arbeide systematisk med informasjonssikkerhet for å sikre konfidensialitet, integritet og tilgjengelighet knyttet til Kundens data, herunder personopplysninger.

Data på MALEJO AS AS driftsmaskiner lagres på egne selveide servere, eller hos sertifiserte norske underleverandører som oppfyller kravene til GDPR. Dokumenter og e-poster lagres i Microsofts Office365-skyløsning. Backup-data og ferdige mastere er lagret på Amazons S3-server i Irland, dersom annet ikke er spesifikt avtalt med kunde. Visningskopier gjøres tilgjengelig på Vimeo sin skybaserte løsning for videoavspilling.

MALEJO AS AS skal oppfylle de krav til sikkerhet ved behandlingen som stilles etter Personvernforordningen artikkel 32. MALEJO AS AS skal etablere og holde ved like slike sikkerhetstiltak som risikovurderinger har avdekket behov for, og skal dokumentere rutiner, opplæring og andre tiltak for å oppfylle disse kravene. MALEJO AS AS skal også bistå Behandlingsansvarlig med å sikre overholdelse av forpliktelsene etter Personvernforordningen artikkel 32 – 36.

MALEJO AS AS skal jevnlig gjennomføre og dokumentere sikkerhetsrevisjoner av informasjonssikkerheten for systemer som omfattes av denne Databehandleravtalen.

EMI SOLUTIONS AS skal uten ugrunnet opphold varsle Behandlingsansvarlig dersom personopplysninger som forvaltes på vegne av Behandlingsansvarlig utsettes for sikkerhetsbrudd som innebærer risiko for krenkelser av de registrertes personvern. Varsel skal beskrive omfang av sikkerhetsbrudd, berørte registrerte og tiltak. Behandlingsansvarlig er ansvarlig for at varsler om sikkerhetsbrudd fra EMI SOLUTIONS AS blir videreformidlet til Datatilsynet og eventuelle berørte registrerte.

Det utleveres ingen strukturerte personopplysninger/registre fra EMI SOLUTIONS AS til eksterne parter.

Ved opphør av denne avtalen plikter EMI SOLUTIONS AS å tilbakelevere alle Kundes data, herunder personopplysninger, som forvaltes på vegne av Behandlingsansvarlig. Alle data overføres til Behandlingsansvarlig i et egnet format mot avtalt godtgjørelse eller slettes.

Databehandleravtalen gjelder så lenge EMI SOLUTIONS AS behandler personopplysninger på vegne av Behandlingsansvarlig.

Ved brudd på denne avtale eller personopplysningsloven kan Behandlingsansvarlig pålegge EMI SOLUTIONS AS å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning. EMI SOLUTIONS AS er kun erstatningsansvarlig overfor Behandlingsansvarlig for direkte økonomiske tap som skyldes EMI SOLUTIONS AS mislighold av vilkårene i denne avtalen, oppad begrenset til det enkelte oppdrags verdi.

EMI SOLUTIONS AS forbeholder seg retten til å oppdatere og endre Databehandleravtalen ved publisering på www..emisolutions.no/gdpr. Kunden skal varsles om vesentlige endringer senest 30 dager før de trer i kraft.

All bistand til Behandlingsansvarlig fra EMI SOLUTIONS AS utført i forbindelse med denne avtalen belastes Behandlingsansvarlig i henhold til Databehandlers ordinære betingelser, uavhengig av hvem som har bedt om bistand. Det samme gjelder kostnader og utlegg som er pådratt i forbindelse med utførelse av bistanden.

Alle henvendelser vedrørende denne avtalen skal sendes skriftlig til:

Behandlingsansvarlig:

Daglig leder eller administrator/personvernansvarlig særskilt utpekt av tredjepart

Databehandler:

Daglig leder i EMI SOLUTIONS AS

Databehandleravtalen er underlagt norsk rett og partene vedtar Trondheim tingrett som verneting.

Ved spørsmål:

Marius Femsteinevik // Daglig leder //  marius@emisolutions.no