Sist oppdatert 01.12.2022
Alle omgrep som er skrive med stor forbokstav i desse databehandlervilkåra (“Databehandlervilkåra”) skal tolkast i samsvar med definisjonane i Kundevilkåra og personvernforordningen artikkel 4.
Databehandler: Omgrepet ‘Databehandler’ betyr ein fysisk eller juridisk person, offentleg styresmakt, kontor eller anna eining som behandler personopplysningar på vegne av den som er Behandlingsansvarlig.
Behandlingsansvarlig: Omgrepet ‘Behandlingsansvarlig’ betyr den fysiske, juridiske personen, offentlege styresmakta eller institusjon som aleine eller saman med andre bestemmer føremålet og måten personopplysningane skal behandlast på. Der føremålet og midlane for ei slik behandling er fastsett av unions- eller medlemsstatane si lovgjeving kan Behandlingsansvarlig, eller dei særlege kriteria for utnevminga av vedkommende, stadfestas i unionsretten eller i medlemsstaten sin nasjonale slovgjeving.
Behandling: Omgrepet ‘Behandling’ betyr ei kvar handling eller rekke av handlingar som blir utført på personopplysningar eller på sett av personopplysningar, anten handlinga er automatisert eller ikkje, slik som til dømes innsamling, registrering, organisering, strukturering, lagring, tilpassing eller endring, gjenfinning, konsultasjon, bruk, utlevering ved overføring, spredning eller andre former for tilgjengeleggjering, samanstilling, avgrensing og sletting.
Personopplysningar: "Omgrepet ‘Personopplysningar’ betyr einkvar opplysning om ein identifisert eller identifiserbar fysisk person (“den registrerte”). Ein indentifiserbar fysisk person er ein person som direkte eller indirekte kan identifiserast, særleg ved bruk av ein identifikator, til dømes eit namn, eit identifiksjonsnummer, lokaliseringsdata, ein nettbasert identifikator eller ein eller fleire faktorar som er spesifikke for den nevnte fysiske personen sin fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet.
Dette dokumentet er eit vedlegg til Kundevilkåra som regulerer Kunden sin bruk av Tenesta og utgjer ein integrert del av Kundevilkåra.
Ved å akseptere Kundevilkåra aksepterar Kunden og Databehandlervilkåra.
Dersom det er motstrid mellom Databehandlervilkåra og Kundevilkåra skal Databehandlervilkåra ha forrang, med mindre noko anna er eksplisitt avtalt eller det vil leie til eit klart urimeleg resultat.
Databehandlervilkåra gjeld så lenge Kunden brukar Tenesta eller så lenge Leverandøren behandler personopplysningar på vegne av Kunden.
Føremålet med Databehandlervilkåra er å verne om dei registrerte sine rettar og fridomar i samband med at Leverandøren skal behandle personopplysningane deira under levering av Tenesta, i medhald av personvernforordninga artikkel 28 nr. 3.
Leverandøren skal behandle personopplysningar på vegne av Kunden og i samsvar med Kunden sine instruksjonar, Kundevilkåra og Databehandlervilkåra. Leverandøren opptrer derfor som databehandler (“Databehandler”) på vegne av Kunden som er behandlingsansvarlig (“Behandlingsanvarlig”).
Behandlingsansvarlig skal gi dokumenterte instruksjonar (“Instruksjonane”) til Databehandler om korleis behandlinga skal skje. Dei innledande Instruksjonane følgjer av punkt 13 nedanfor. Databehandler skal berre behandle personopplysningar under Avtalen i samsvar med Instruksjonane, Databehandlervilkåra og gjeldande personvernregelverk.
A) Behandlingsansvarlig har ansvaret for å dokumentere det rettslige grunnlaget og å gi skriftlege instruksjonar til Databehandler og eventuelle underleverandørar om korleis dei skal handtere oppgåvene og pliktane dei er pålagde å utføre.
B) Behandlingsansvarlig skal, uten ugrunna opphald, informere Databehandler om endringar som gjeld behandling av personoplysningar som kan verke inn på korleis Databehandler skal utføre sine plikter etter personvernregelverket og som difor kan være relevant for Databehandler.
C) Behandlingsansvarlig skal verne om dei grunnleggande rettane og fridomane til dei registrerte og gjennomføre alle tiltak som er pålagd i personvernlovgjevinga. Behandlingsansvarlig skal også informere dei registrerte om behandlinga som skjer ved bruk av Tenesta.
Databehandler er forplikta til å:
A) kun behandle personopplysningar i samsvar med Kundevilkåra, Databehandlervilkåra og Instruksjonane;
B) gjennomføre eigna tiltak for å ivareta tryggleiken til personopplysningane som vert behandla på vegne av Behandlingsansvarlig og å hindre ei kvar behandling av personopplysningar i strid med Kundevilkåra, Databehandlervilkåra, Instruksjonane og personvernlovgjevinga;
C) forsikre seg om at alle som handlar på vegne av og som jobbar for Databehandler, handlar i samsvar med Kundevilkåra, Databehandlervilkåra, og Instruksjonane;
D) hjelpe Behandlingsansvarlig med å etterleve personvernlovgjevinga, inkludert artikkel 32-36 i personvernforordninga;
E) svare på begjæringer fra de registrerte som ønskar å nytte rettane sin etter kapittel III i personvernforordninga;
F) informere Behandlingsansvarlig dersom Instruksjonane er uklare, mangelfulle, eller i strid med personvernlovgjevinga. I slike tilfelle har Databehandleren rett og plikt til å handle i samsvar med dei forutgåande Instruksjonane og vente på nye Instruksjonar.
A) Databehandler skal gjennomføre alle tekniske og organisatoriske tryggleikstiltak som er naudsynt for å innfri krava til informasjonstryggleik i personvernlovgjevinga, inkludert å sikre ei tilstrekkeleg grad av konfidensialitet, intergritet, tilgjenge og robustheit.
B) Databehandler skal avgrense tilgongen til personopplysningar til personell som har behov for slik tilgong for å utføre arbeidsoppgåvene sine og som er underlagt Databehandlerens rettleiing.
C) Databehandleren skal journalføre kva personell som har tilgong til peronopplysningane i den grad Behandlingsansvarlig har gitt Instruksjonar om det. Alle journalar skal tryggast i samsvar med den til ei kvar tid gjeldande personvernlovgjevinga og Instruksjonane.
A) Databehandler garanterar at alt personell som er involvert av Databehandler for å levere Tenesta har ei kontraktsfesta og/eller ei lovpålagt teieplikt.
B) Databehandler garanterar at alle underleverandørar som handlar på vegne av Databehandler er omfatta av ei tilsvarande teieplikt som anten har grunnlag i kontrakt eller lov. Denne teieplikta skal gjelde alle underleverandører og alt personell som handlar på vegne av underleverandøren.
C) Databehandler skal informere Behandlingsansvarlig uten ugrunna opphald etter å ha vore i kontakt med Datatilsynet eller eit anna offentleg organ om behandling av personopplysningar på vegne av Behandlingsansvarlig.
D) Dersom Databehandler mottek begjæring fra ein registrert, Datatilsynet eller ein annan tredjepart, om innsyn eller tilgong til personopplysningar han behandler på vegne av Behandlingsansvarlig, skal Databehandler informere Behandlingsansvarlig om begjæringa. Databehandler skal ikkje gi innsyn eller tilgong til personopplysningar uten skriftleg samtykke fra Behandlingsansvarlig, med mindre Databehandler er lovpålagt å gjere det. I slike tilfeller skal Behandlingsansvarlig bistå med naudsynte midler og/eller assistere Databehandler slik at han kan følgje opp begjæringa.
A) Databehandler skal, når Behandlingsansvarlig ber om det, uten ugrunna opphald dokumentere dei tekniske og organisatoriske tiltaka som er innført for å innfri Instruksjonane. Det same gjeld tiltaka som er satt i verk for å innfri personvernlovgjevinga, jf. personvernforordninga artikkel 28 nr. 3 bokstav h).
B) Databehandler skal minst årleg gjennomføre ein internkontroll av informasjonstryggleiken for personopplysningar som blir behandla i samband med Tenesta. Dersom Behandlingsansvarlig ber om det, skal Databehandler dele resultatet med Behandlingsansvarlig uten ugrunna opphald.
C) Behandlingsansvarlig har rett til å kontrollar at Databehandler opptrer i tråd med Kundevilkåra, Databehandlervilkåra, Instruksjonane og personvernlovgjevinga. Behandlingsansvarlig har rett til å gjennomføre kontrollen sjølv eller til å hyre inn ein ekstern kontrollør som ikkje er i konkurranse med Databehandler. Behandlingsansvarlig skal dekker alle kostnader i samband med slik kontroll og informere Databehandler i rimeleg tid før kontrollen skal finne stad.
D) Dersom Behandlingsansvarlig krev ein kontroll etter punkt 8 bokstav c), skal Databehandler gi naudsynt tilgong til dokumentasjon, fysiske lokaler og IT-system, og bidra med dei ressursane som er naudsynt for at Behandlingsansvarlig skal kunne bekrefte at Databehandler har innfridd sine plikter. Behandlingsansvarlig garanterar og er ansvarleg for å sikre at alt involvert personell har ei kontraktsfesta eller lovpålagt teieplikt. Behandlingsansvarlig garanterar og er ansvarleg for å sikre at personell som gjennomfører kontrollen utfører oppgavene sine på ein omsynsfull måte som tek omsyn til Databehandler sine øvrige oppgaver.
E) Databehandler har plikt til å sikre at Datatilsynet og andre tilsynsmyndigheiter som har heimel til å gjere det, kan gjennomføre kontrollar i samsvar med personvernlovgjevinga.
F) Databehandler kan kreve rimeleg godtgjering fra Behandlingsansvarlig for arbeid som er utført i samsvar med dette punkt 8.
A) Databehandler skal hjelpe Behandlingsansvarlig å etterleve sine plikter ved eventuelle brot på personopplysningstryggleiken. Databehandler kan avgrense hjelpa til det som er forholdsmessig sett i lys av behandlinga og informasjonen som er tilgjengelig for Databehandler.
B) Databehandler skal skriftlig informere Behandlingsansvarlig om eventuelle brot på personopplysningstryggleiken. Meldinga skal sendast til Behandlingsansvarlig uten ugrunna opphald etter at Databehandler vert klar over brotet og skal innehalde informasjon om:
C) Dersom Databehandler ikkje kan gi alle opplysningane under punkt 9 bokstav b) med ein gong, skal Databehandler formidle informasjonen til Behandlingsansvarlig løpande og i takt med at den blir tilgjengeleg for Databehandler.
A) Ved inngåing av Avtalen gir Behandlingsansvrlig et generelt samtykke til Databehandler for å hyre inn underleverandørar etter Databehandler sitt eiga skjønn. Behandlingsansvarlig har utarbeidd ei liste over alle underleverandørar på Databehandleren si heimeside.
B) Databehandler skal underrette Behandlingsansvarlig om alle planar om å hyre inn nye eller byte ut underleverandørar seinast seks veker før endringa trer i kraft. Behandlingsansvarlig kan berre nekte slike endringar dersom det føreligg gode grunnar for det og ei overordna vurdering tilseie at det er rimeleg. Behandlingsansvarlig må seinast underrette Databehandler om dette ei veke etter at Behandlingsansvarlig vart underretta om den planlagde endringa.
C) Databehandler si melding til den Behandlingsansvarlig skal innehalde:
D) Databehandler har rett til å avslutte avtaleforholda med sine underleverandørar, så lenge det blir gitt melding til Behandlingsansvarlig om dette utan ugrunna opphald.
E) Databehandler kan berre engasjere underleverandørar i den grad underleverandøren forplikter seg til dei same eller tilsvarande plikter som i Databehandlervilkåra og Instruksjonane. Behandlingsansvarlig har rett til å kontrollere dette ved å kreve kopi av avtalen.
A) Databehandler overfører ikkje personopplysninger til tredjeland utanfor EU/EØS og nyttar ikkje underleverandørar som medfører at personopplysninger overføres til tredjeland utanfor EU/EØS.
B) Dersom Databehandler ved å engasjere ein underleverandør eller på anna måte overfører personopplysningar til tredjeland utanfor EU/EØS, vil slike overføringar bli gjort i samsvar med kapittel V av personvernforordninga og EDPB sin veiledning 01/2020. Det betyr at overføringa vil vere styrt av ei overføringsmekanisme etter personvernforordninga kapittel V og at supplerande tiltak er innført for å sikre eit tilstrekkeleg tryggleiksnivå.
Når Avtalen og kontraksforholdet mellom Partane vert avslutta skal Databehandler slette eller returnere alle personopplysningar i samsvar med Behandlingsansvarlig sitt ønske.
I tillegg til Kundevilkåra og Databehandlervilkåra skal Instruksjonane nedanfor gjelde. Databehandler skal til ei kvar tid opptre i samsvar med Instruksjonane ved behandling av personopplysninger på vegne av Behandlingsansvarlig.
Føremål: "Databehandler skal kun behandle personopplysningar for å oppfylle pliktane som er fastsett i Kundevilkåra, inkludert behandling av personopplysningar for å levere Tenesta, det vil seie å gjere det mogleg for Behandlingsansvarlig å fasilitere sine mediaprosjekt på plattforma og at Brukaren kan laste opp bidrag til plattforma, til dømes mediefiler og skildringar av desse.
Kategoriar av behandlingar: "Databehandler står fritt til å behandle personopplysningar på einkvar måte som Databehandler anser å vere naudsynt for å oppfylle pliktane i Kundevilkåra og Databehandlervilkåra, så lenge behandlinga skjer i samsvar med Instruksjonane og gjeldande personvernlovgjeving. Dette inkluderer til dømes bruk, registrering, lagring, overføring, endring, sletting, og kombinasjonar av desse.
Kategoriar av person- opplysningar: "Databehandler skal kun behandle personopplysningar som er generert av at Behandlingsansvarlig bruker Tenesta ved å invitere eller på anna vis få Brukaren til å bidra til videoprosjekt, til dømes ved å laste opp videoinnhald. Databehandler vil og behandle Brukaren si e-postadresse dersom Brukaren vel å registrere ei e-postadressa saman med det opplasta innhaldet. Avhengig av den enkelte Brukaren si e-postadresse kan Databehandler og behandle enkelte andre personopplysningar om Brukaren som til dømes namn og fødselsdato.
Kategoriar av registrerte: "Databehandleren vil behandle personopplysningar om Brukarane som samhandlar med Tenesta, anten på eige initiativ eller som eit resultat av påverknad fra Behandlingsansvarlig.
Varigheit: "Databehandlere skal slette og/eller returnere alle personopplysningar som er behandla i avtaletida i samasvar med Instruksjonane når Avtalen blir avslutta.
Sted for behandlinga: "All behandling av personopplysningar skal skje innanfor EU/EØS og skal styrast av infrastruktur som sikrar at Databehandler direkte eller indirekte har kontroll over personoplysningane til ei kvar tid, inkludert buk av underleverandørar som er underlagd Databehandler si instruksjonsmyndigheit i samasvar Kundevilkåra, Databehandlervilkåra og personvernlovgjevinga.
Utvidingar av Tenesta: Databehandler har laga ei valgfri utviding av Tenesta som Behandlingsansvarlig kan nytte til å samle inn samtykker saman med mediefilene som blir lasta opp til Tenesta. Behandlingsansvarlig står fritt til ikkje å nytte utvidinga og vil sjølv vere ansvarlig for og bere all risiko for bruk av denne tilleggstenesta.
Chris-Håvard Berge, +47 473 24 204, chb@luups.no
Luups AS | 2024
Luups er ei teneste utvikla av Luups AS i Volda.
Luups AS | 2024
Luups er ei teneste utvikla av Luups AS i Volda.
Brukervilkår, personvernhåndtering og mer er tilgjengelig på luups.no/info
Brukervilkår, personvernhåndtering og mer er tilgjengelig på luups.no/info