SEPTEMBER 2024

Bakgrunn og formål

Denne avtalen ("databehandleravtalen") er inngått mellom:

(1) Leverandør Welcome Workdays AS,et norsk selskap med org.nr. 931614916 ("Leverandøren"); og

(2) Kunden, slik det framgår av Tjenesteavtalen ("Kunden").

(i det følgende enkeltvis omtalt som "Part", og i fellesskap "Partene").

Leverandøren leverer en plattform for å tilby digitale tjenester til gårdeier, leietakere og kontorbrukere i et næringsbygg ("Tjenesten"). Partene har inngått en avtale som omfatter levering av tjenester i tilknytning til Tjenesten ("Tjenesteavtalen"). Tjenestene, og Kundens næringsbygg som Tjenestene er avtalt å gjelde for, er nærmere beskrevet i Tjenesteavtalen.

Denne databehandleravtalen regulerer Kundens og Leverandørens rettigheter og plikter i forbindelse med Leverandørens behandling av personopplysninger på vegne av Kunden i forbindelsen med levering av Tjenestene. Kunden er behandlingsansvarlig, og Leverandøren er databehandler for behandlingen av slike personopplysninger. Når Kunden er en databehandler og Leverandøren er en underbehandler skal partenes forpliktelser og rettigheter i denne databehandleravtalen gjenspeiles i databehandleravtaler som Kunden inngår med behandlingsansvarlig tilknyttet Tjenesten. Formålet med behandlingen, behandlingens art, kategorien av registrerte og typer personopplysninger som omfattes avhenger av hvilke av Tjenestene Kunden velger å ta i bruk slik det fremkommer av den til enhver tid gjeldende og siste versjon av Tjenesteavtalen.

Uten at det berører ovenstående, er det uttrykkelig avtalt at Leverandøren, i forbindelse med Tjenesteavtalen, vil behandle enkelte personopplysninger gjennom Tjenesten for formål å aggregere og analysere data i anonymisert form, for å forbedre og videreutvikle Tjenestene. Dette er nærmere beskrevet i Tjenesteavtalen. I denne sammenhengen er Leverandøren ansvarlig for lovligheten av sin behandling for disse formålene.

Kunden bekrefter at:

Kunden skal:

Kunden skal ha tilstrekkelige tekniske og organisatoriske tiltak for å sikre overholdelse av relevante krav etter gjeldende personvernlovgivning.

Leverandøren skal bare behandle personopplysninger som angitt i denne databehandleravtalen med mindre noe annet avtales gjennom etterfølgende dokumentert instruks fra Kunden.

Dersom Leverandøren likevel må behandle personopplysninger på grunn av ufravikelig lov, skal Leverandøren såfremt det er lovlig underrette Kunden i forkant.

Leverandøren skal varsle Kunden dersom Leverandøren mener at en instruks fra Kunden er i strid med gjeldende lovgivning.

Leverandøren skal sikre et tilfredsstillende sikkerhetsnivå iht. personvernforordningen art. 32.

Herunder skal Leverandøren sikre at opplysningene ikke blir gjort tilgjengelige for uvedkommende (konfidensialitet), at de ikke kan endres utilsiktet eller av uvedkommende (integritet), og at de er tilgjengelige for godkjente brukere når disse har behov for det for å kunne utføre sine oppgaver (tilgjengelighet).

Ved vurderingen av hvilke tekniske og organisatoriske tiltak som skal tas i bruk, skal Leverandøren i samråd med Kunden vurdere:

Relevant dokumentasjon for sikkerhetstiltakene skal gjøres tilgjengelig for Kunden på forespørsel.

Leverandøren skal gi bistand slik at Kunden kan ivareta sine forpliktelser etter gjeldende lovgivning. Herunder skal Leverandøren bistå Kunden med å:

Bistanden skal utføres i den utstrekning det er nødvendig ut fra Kundens behov, karakteren av behandlingen og informasjonen tilgjengelig for Kunden.

Leverandøren skal gi all informasjon nødvendig for å sette Kunden i stand til å overholde gjeldende lovgivning om behandling av personopplysninger og til å besvare henvendelser fra tilsynsmyndigheter.

Leverandøren skal ha tekniske og organisatoriske tiltak for kunne bistå Kunden med å svare på henvendelser fra de enkeltpersoner som det er registrert opplysninger om, når disse utøver sine rettigheter etter lovgivningen.

Bistand fra Leverandøren som fastsatt i denne databehandleravtalen, samt bistand i forbindelse med særskilte rutiner og instrukser pålagt av Kunden, skal kompenseres av Kunden etter medgått tid i samsvar med Leverandørens vanlige betingelser og timesatser i henhold til Leverandørens prisliste.

Leverandøren skal ha rutiner og systematiske prosesser for å følge opp brudd på personopplysningssikkerheten. Disse skal omfatte gjenoppretting, tiltak for å lukke avvik og tiltak for å forhindre gjentagelse.

Leverandøren skal uten ugrunnet opphold varsle Kunden om ethvert brudd på personopplysningssikkerheten eller annet brudd på denne databehandleravtalen. Leverandøren skal gi Kunden all informasjon som er nødvendig for å sette Kunden i stand til å overholde gjeldende lovgivning, herunder plikten til å varsle Datatilsynet og de registrerte, og for at det skal være mulig for Kunden å besvare henvendelser fra Datatilsynet.

Leverandøren har taushetsplikt om personopplysninger og annen konfidensiell informasjon, herunder, men ikke begrenset til, forretningshemmeligheter. Leverandøren skal sikre at alle som utfører arbeid for Leverandøren og som har tilgang til eller er involvert i behandling av personopplysninger (i) er underlagt taushetsplikt, og (ii) overholder forpliktelsene etter denne databehandleravtalen.

Taushetsplikten gjelder også etter opphør av databehandleravtalen.

Leverandøren skal sørge for at forpliktelser i databehandleravtalen knyttet til sikkerhet etterleves.

Leverandøren skal etter nærmere avtale muliggjøre og bidra ved revisjoner som gjennomføres av eller på oppdrag fra Kunden. Revisjon av eventuelle underdatabehandlere skal skje gjennom Leverandøren med mindre annet er særskilt avtalt.

En liste med godkjente underdatabehandlere på avtaletidspunktet er vedlagt denne databehandleravtalen via link, som Bilag 2. Dersom Leverandøren skifter ut eller benytter ny databehandler etter at databehandleravtalen er inngått, skal listen med godkjente underdatabehandlere oppdateres tilsvarende.

Dersom Leverandøren planlegger å skifte ut eller benytte ny underdatabehandler, skal Leverandøren skriftlig varsle Kunden innen rimelig tid før ny underdatabehandler starter behandling av personopplysninger.

Kunden kan ikke nekte godkjenning uten saklig og rimelig grunn. Kunden må fremme eventuelle innsigelser innen en måned fra varsel om endringen ble sendt.

Manglende innsigelser og/eller manglende svar på slikt varsel innen fristen, anses som godkjenning.

Dersom Kunden motsetter seg endringen, skal partene i god tro forhandle og enes om en rimelig løsning på hvordan Leverandøren kan fortsette å behandle personopplysninger. Om annen løsning ikke finnes, vil berørte tjenester til Kunden som forutsetter behandling av personopplysninger fra den nye underleverandøren, opphøre fra det tidspunkt den nye underleverandøren er planlagt å starte sin behandling.

Dersom Leverandøren skal engasjere en underdatabehandler for å utføre spesifikke behandlingsaktiviteter for Kunden, skal underdatabehandleren være underlagt de samme forpliktelser og begrensninger med hensyn til vern av personopplysninger som de som er pålagt Leverandøren i henhold til denne databehandleravtalen.

Overføring av personopplysninger til tredjeland

Leverandøren kan ikke overføre personopplysninger eller benytte underdatabehandler(e) som innebærer overføring av personopplysninger til land utenfor EU/EØS, uten etter særskilt avtale med Kunden. Overføring inkluderer enhver situasjon der personopplysninger lagres, gjøres tilgjengelig eller på annen måte behandles i et land utenfor EU/EØS, for eksempel i forbindelse med fjerntilgang via support, videreutvikling og vedlikehold. Kunden samtykker til overføringer til godkjente underdatabehandlere som angitt i Vedlegg 2.

Hvis overføring til tredjeland skal skje, plikter Leverandøren, før overføringen starter, å sikre lovligheten av overføringene, herunder sikre etterlevelse av personvernforordningen kapittel V. Leverandøren skal på forespørsel fra Kunden dokumentere at vilkårene for overføring er oppfylt.

Ansvar

Databehandleravtalen er en integrert del av Tjenesteavtalen. Ved brudd på denne databehandleravtalen skal de relevante bestemmelser om avtalebrudd i Tjenesteavtalen gjelde. Tilsvarende gjelder bestemmelsene om ansvar, mislighold, force majeure, overdragelse og tvisteløsning i Tjenesteavtalen for behandling av personopplysninger i medhold av denne databehandleravtalen.

Varsling

Leverandøren skal umiddelbart varsle Kunden dersom Leverandøren ikke vil være, eller har grunn til å tro at den ikke vil være, i stand til å overholde sine forpliktelser etter denne databehandleravtalen.

Denne databehandleravtalen skal gjelde fra den er signert av begge parter og inntil Tjenesteavtalen utløper, eller inntil Leverandørens behandling av personopplysninger på vegne av Kunden i henhold til denne databehandleravtalen opphører av annen grunn (det seneste av disse tidspunktene).

Ved avslutning av denne databehandleravtalen skal Leverandøren returnere eller slette alle personopplysninger, med mindre ufravikelig lovgivning forhindrer Leverandøren fra dette. Dersom Kunden ber om det skal personopplysningene returneres i standardisert format på et elektronisk medium, sammen med nødvendige instruksjoner for å legge til rette for Kundens videre bruk av personopplysningene.

Som alternativ til å få returnert personopplysningene kan Kunden instruere Leverandøren om at personopplysningene skal slettes. Hvis Kunden ikke har bedt om returnering av opplysninger senest innen en måned fra Tjenesteavtalens opphør skal Leverandøren anse dette som en instruks om sletting.

Leverandøren skal på anmodning fra Kunden gi Kunden en skriftlig erklæring, hvor Leverandøren garanterer at alle personopplysninger har blitt returnert eller slettet i henhold til Kundens instrukser, og at Leverandøren ikke har beholdt noen kopi, utskrift eller beholdt dataene i annet medium.

Forpliktelsene etter pkt. 3.4 og 4 skal fortsette å gjelde etter databehandleravtalens opphør.

Partene skal revidere denne databehandleravtalen i den grad det er nødvendig for å tilfredsstille endringer i relevant lovgivning eller pålegg fra offentlig myndighet.

Denne databehandleravtalen skal reguleres av norsk rett.

Avtalt verneting skal være det samme som etter Tjenesteavtalen.

Behandlingsaktiviteter og formål

Behandlingen er knyttet til Leverandørens levering av programvare og IT-tjenester via Tjenesten. Formålet med behandlingen er fasilitering av Tjenester som et verktøy for samhandling, kommunikasjon og service knyttet til Kundens næringsbygg som nærmere beskrevet i Tjenesteavtalen. Slike Tjenester kan omfatte adgangskontroll, resepsjon, møteromsbooking, kantineprovisjonering og tilsvarende servicefunksjoner.

Typer personopplysninger og kategorier av registrerte personer

Leverandøren vil behandle følgende typer personopplysninger om følgende kategorier av registrerte personer:

Registrerte personer vil være ansatte, kunder, gjester og andre personer som gjennom sin tilknytning til Kunden besøker, oppholder seg i eller på annen måte er tilknyttet næringsbygg og tilhørende fasiliteter og benytter Tjenestene som angitt i Tjenesteavtalen.

Kategoriene av personopplysninger som behandles på vegne den behandlingsansvarlige vil variere avhengig av de avtalte Tjenestene og hvilken informasjon som oppgis fra den behandlingsansvarlige om brukerne, eller av de registrerte personene selv, om bruken av Tjenester som tilknyttes Tjenesten, og avhengig av bruken av Tjenestene.

Ved oppstart vil følgende personopplysninger omfattes:

Fullt navn, e-post, telefonnummer, profilbilde, arbeidsgiver, avdelingstilhørighet, kortnummer, kortleser, bestillingshistorikk, tilbakemeldinger/kommunikasjon, tidspunkt, produktinteraksjon og diagnostiske data.

Godkjente underdatabehandlere

Oppdatert liste finnes her