Databehandleravtale
Sist oppdatert: 19.06.2024
I henhold til Europa-parlamentets og -rådets forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, og om oppheving av direktiv 95/46/EF («personvernforordningen»), samt norsk personopplysningslov som innføres som en følge av personvernforordningen og erstatter personopplysningsloven av 14. april 2000 nr. 31 («personopplysningsloven»), inngås følgende avtale mellom databehandler og behandlingsansvarlig:
Databehandler er GROUP.ONE NORWAY AS/FastName.
Behandlingsansvarlig er kunden.
Innhold
- Avtalens hensikt
- Formål
- Databehandlers plikter
- Behandlingsansvarliges (Kundens) plikter
- Databehandlers behandling av personopplysninger
- Sikkerhet
- Bruk av underleverandører
- Sikkerhetsrevisjoner
- Avtalens varighet og tidsavgrenset behandling
- Endringer
- Ved opphør
- Meddelelser
- Lovvalg og verneting
- Særskilte bestemmelser
1. Avtalens hensikt
Avtalen skal sikre at personopplysninger behandles i samsvar med den behandlingsansvarliges i henhold til databehandleravtalen, herunder skal avtalen sikre at personopplysninger ikke brukes urettmessig eller kommer uberettigede i hende.
Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse i forbindelse med leveranse av ISP-tjenester, herunder drift og administrasjon av webhotell og e-post-tjenester.
2. Formål
Formålet med databehandlerens behandling av personopplysninger på vegne av behandlingsansvarlig, er kun å levere og administrere ISP-tjenester, herunder drift og administrasjon av webhotell og e-post-tjenester (heretter omtalt som ISP-tjenester).
Personopplysninger som overføres til databehandler kan ikke benyttes til andre formål enn drift og administrasjon av ISP-tjenester. Databehandler har ikke råderett over personopplysningene og kan ikke behandle disse til egne formål.
Databehandler garanterer at personopplysninger ikke blir brukt til markedsføring, men kun til administrasjon og levering av tjenesten.
Dersom databehandler ønsker å anvende opplysningene til andre formål enn det som opprinnelig er avtalt, må databehandler få tillatelse til dette fra behandlingsansvarlig.
3. Databehandlers plikter
Databehandler at personopplysninger som behandles i tjenesten skjer på vegne av behandlingsansvarlig.
Databehandler skal ikke behandle personopplysninger på andre måter enn det som følger av behandlingsansvarliges skriftlige instrukser, med mindre annet følger av lov som databehandler er underlagt. Databehandler skal i slike tilfeller underrette den behandlingsansvarlige om dette før behandlingen iverksettes, med mindre loven forbyr slik underretning av hensyn til viktige samfunnsinteresser.
Databehandleren skal omgående den behandlingsansvarlige dersom databehandleren mener en instruks er i strid med personvernforordningen eller andre bestemmelser om vern av personopplysninger eller nasjonal rett.
Databehandler plikter å gi behandlingsansvarlig tilgang all sikkerhetsdokumentasjon som er nødvendig for at behandlingsansvarlig kan kunne ivareta sine forpliktelser i henhold til personvernforordningen artikkel 5 nr. 1 bokstav f og artikkel 32-36. Databehandler plikter også å gi tilgang til som gjør det mulig for behandlingsansvarlig å vurdere om databehandler overholder vilkårene i denne avtalen.
Det skal spesifiseres og gis en oversikt over hvilke personopplysninger som databehandler skal behandle på vegne av behandlingsansvarlig og hvem opplysningene gjelder. Behandlingsansvarlig har rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til å oppnå innsyn.
Databehandler forplikter seg til å den behandlingsansvarlige ved hjelp av egnede tekniske og organisatoriske tiltak, så langt det er mulig og av hensyn til behandlingens art, med å svare på henvendelser fra den registrerte med hensyn til å oppfylle den registrertes rettigheter etter personvernforordningen kapittel III.
Ved forespørsler om innsyn eller informasjon, vil databehandler bistå ved å fremlegge personopplysningene overfor den behandlingsansvarlige (slik at den behandlingsansvarlige selv kan oppfylle innsynskravet). Etter forespørsel fra behandlingsansvarlig vil databehandler utføre korrigering/sletting av spesifiserte opplysninger.
Databehandler plikter å redegjøre for lovlighetsgrunnlaget som benyttes dersom personopplysninger skal overføres til land utenfor EØS-området, for eksempel ved bruk av underleverandører eller datasentre i slike land. Overføringen av opplysninger kan baseres på EUs standardkontrakt for overføring av personopplysninger til tredjeland eller andre godkjente overføringsgrunnlag gitt i medhold av personvernforordningen artikkel 45 – 47 og artikkel 49.
4. Behandlingsansvarliges (Kundens) plikter
Den behandlingsansvarlige er den som bestemmer formålet med behandlingen av personopplysninger .
Behandlingsansvarlig er databehandler dokumenterte instrukser for hvordan personopplysningene etter denne avtalen skal behandles.
Behandlingsansvarlig er ansvarlig for og forplikter seg til at det ivaretas et lovlig behandlingsgrunnlag for personopplysningene som behandles i databehandlers ISP-tjenester, og at de aktuelle behandlingene er i overensstemmelse med gjeldende lovgivning.
Behandlingsansvarlig har taushetsplikt for innsyn i sikkerhetsdokumentasjon og annen dokumentasjon som databehandler utleverer på forespørsel fra behandlingsansvarlig. Taushetsplikten gjelder også etter avtaleforholdets opphør.
Behandlingsansvarlig er selv ansvarlig for å lage, legge inn og oppdatere den informasjon som ønskes etablert på eget internettområde. Alt innhold som legges ut på tjenestemaskinen er den behandlingsansvarliges ansvar, og behandlingsansvarlig beholder selv eierskap og opphavsrett til det materialet som legges ut.
Behandlingsansvarlig er selv ansvarlig for alt materiale som legges ut på tjenestemaskinen og at lover og opphavsrettslige bestemmelser ikke blir krenket.
5. Databehandlers behandling av personopplysninger
Hovedkategorier av personopplysninger som blir lagret hos databehandler ved bruk av tjenesten:
- Kontaktpersoner og kontaktopplysninger
- Abonnementdata og -historikk
- Bestillingsdata og -historikk
- Faktura- og betalingshistorikk
- Logger
- Innloggingsinformasjon til tjenester
- Lagringsdata
- Ressursbruk og lagringsmengde
- Cookies
5.1 Kontaktpersoner og kontaktopplysninger
Firmanavn, fornavn, etternavn, postadresse, postnummer, sted, telefonnummer og e-postadresse.
5.2 Abonnementdata og -historikk
Bestillingsdato, utløpsdato, historikk, pris.
5.3 Bestillingsdata og -historikk
Bestillingsdato og historikk.
5.4 Faktura- og betalingshistorikk
Fakturaer og kvitteringer i ordresystem.
5.5 Logger
Logg over systemmailer, SMS som sendes ut fra databehandler, innkommende og utgående e-postkorrespondanse, handlinger som er gjennomført i kontrollpanelet og CRM-systemet, med angivelser av tidspunkt og IP-adresser. Logg over autorisert og uautorisert pålogging til tjenestene, med tidspunkt og IP-adresser.
5.6 Innloggingsinformasjon til tjenester
Krypterte brukernavn og passord for innlogging til kundesystem, e-post og webhotell (FTP).
5.7 Lagringsdata
Behandlingsansvarligs data som er lagret på databehandlers servere og i databaser.
5.8 Ressursbruk og lagringsmengde
Tjenestenes ressursbruk, lagringsmengde tjenestene benytter og webtrafikk disse genererer.
6. Sikkerhet
Databehandler skal iverksette alle egnede tekniske og organisatoriske sikkerhetstiltak som er nødvendig etter personvernforordningen artikkel 32.
Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene, herunder sikringstiltak for å ivareta konfidensialitet, integritet, tilgjengelighet og . Sikkerhetstiltakene omfatter både organisatoriske, fysiske og tekniske sikkerhetstiltak. Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel.
Databehandler skal kun gi tilgang til behandlingsansvarliges personopplysninger til ansatte som er underlagt taushetsplikt og som har for tilgang. Databehandler plikter å dokumentere sine rutiner og retningslinjer for tilgangsstyring på forespørsel fra behandlingsansvarlig.
Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen og plikter å hindre at uautoriserte får tilgang til informasjonen. Denne bestemmelsen gjelder også etter avtalens opphør. Taushetsplikten omfatter alle ansatte hos databehandleren og tredjeparter som utfører vedlikehold eller lignende av systemer som databehandler benytter for drift eller administrasjon av ISP-tjenester, der de aktuelle personopplysninger inngår.
Databehandler skal gi sine ansatte nødvendig opplæring i hvordan behandlingsansvarliges personopplysninger skal håndteres i henhold til punktene i denne databehandleravtalen.
Databehandler plikter å loggføre all autorisert og forsøk på uautorisert bruk av ISP tjenester som omfatter de aktuelle personopplysningene. Databehandler skal oppbevare loggene i minimum 3 måneder. Behandlingsansvarlig skal på forespørsel gis tilgang til loggene.
Databehandler skal uten ugrunnet opphold varsle den behandlingsansvarlige om sikkerhetsbrudd, etter å ha blitt oppmerksom på sikkerhetsbrudd hos databehandleren selv eller hos underleverandører som behandler personopplysninger på vegne av behandlingsansvarlig. Melding om sikkerhetsbrudd skal som minimum inneholde en beskrivelse av sikkerhetsbruddet, hvilke personopplysninger som er berørt, kategorier av og omtrentlig antall registrerte som er berørt, beskrivelser av de sannsynlige konsekvenser av sikkerhetsbruddet, hvilke sikkerhetstiltak som er iverksatt for å håndtere sikkerhetsbruddet og hvilke tiltak som er etablert for å redusere eventuelle skadevirkninger som følge av sikkerhetsbruddet. Dersom ikke alle opplysninger kan gis i første melding, skal de fremlegges suksessivt så snart de foreligger slik at den behandlingsansvarlige har mulighet til å oppfylle sin varslingsplikt til Datatilsynet innen 72 timer. Behandlingsansvarlig er ansvarlig for å varsle Datatilsynet og de registrerte om sikkerhetsbruddet.
Databehandler skal holde personopplysninger fra behandlingsansvarlig forsvarlig adskilt fra personopplysninger tilhørende andre kunder. Databehandler plikter å dokumentere dette på forespørsel fra den behandlingsansvarlige.
7. Bruk av underleverandører
Databehandler skal kun benytte underleverandører (databehandlere) til behandling av personopplysninger som er skriftlig godkjent av den behandlingsansvarlige og som har bekreftet å gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen under avtalen oppfyller kravene i personvernforordningen og vern av de registrertes rettigheter. Oversikt over godkjente underleverandører på avtaletidspunktet fremgår av avtalens punkt 7.2.
Databehandleren har den behandlingsansvarliges til å bruke andre databehandlere (underleverandører). Databehandleren skal likevel underrette den behandlingsansvarlige ved eventuelle planer om å skifte ut eller bruke nye databehandlere. Den behandlingsansvarlige skal motta slik underretning minimum 4 uker før endringen trer i kraft. Den behandlingsansvarlige skal ha mulighet til å motsette seg endringene, og skal meddele databehandleren om dette senest 2 uker etter underretningen er mottatt.
Databehandler plikter å inngå egne databehandleravtaler med underleverandører som sikrer at underleverandører pålegges å ivareta alle forpliktelser som databehandleren selv er underlagt i henhold til denne avtalen.
Dersom underleverandører ikke oppfyller sine forpliktelser med hensyn til kravene i avtalen og vern av personopplysninger, har databehandler det fulle ansvaret overfor den behandlingsansvarlige for underleverandørens oppfyllelse av forpliktelsene etter denne avtalen.
7.1 Overføring til utlandet
Personopplysninger, som behandles av databehandler på vegne av den behandlingsansvarlige, kan bli overført eller gjort tilgjengelig for mottakere (underleverandører) i land utenfor EU/EØS-området (tredjeland) i den grad det er nødvendig for å levere og administrere ISP-tjenestene.
Ved slik overføring plikter databehandler å benytte godkjente overføringsgrunnlag gitt i medhold av personvernforordningen artikkel 45 – 47 og artikkel 49. Denne bestemmelsen gjelder også sikkerhetskopier (back-up) av personopplysninger som databehandler behandler på vegne av behandlingsansvarlig. I den grad overføringsgrunnlaget er EUs standardavtale, gir behandlingsansvarlig med dette fullmakt til databehandleren til å inngå slik standardavtale på den behandlingsansvarliges vegne.
7.2 Oversikt over underleverandører
Behandlingsansvarlig har ved avtalens inngåelse godkjent at databehandler benytter følgende underleverandører:
- Phonero
- Vianett
- Stripe.com
- ZenDesk Inc
- GlobalSign
- Buypass AS
- RRP Proxy
- Norid AS
- Nic.se
- Provendo AS (tidl. Akeo AS)
- Alektum Inkasso
- Excentia Services AS
- Enter Revisjon AS
- Den Norske Bank (DnB)
- Sosiale medier
- DK Hostmaster A/S
- NIC.AS (.as-domener)
- ISNIC (.is-domener)
- Drip.com, Avenue 81, Inc. d/b/a LeadPages
7.2.1 Phonero
- Telefonnummer
Data som samles inn om kundene lagres i 3 måneder og slettes automatisk av Phonero.
7.2.2 ViaNett AS
GROUP.ONE NORWAY AS utleverer ingen personopplysninger til ViaNett AS, men i rollen som leverandør av SMS tjenester logger de alle utgående SMS til våre kunder. ViaNett er behandlingsansvarlig hva gjelder behandlingen av:
- Telefonnummer
Ustrukturerte data i SMS logges ikke av ViaNett. Alle meldingstekster blir sladdet ved at teksten endres til "Content removed for security reasons".
- Mobilleverandør
Data som samles inn om kundene lagres i 6 måneder og slettes automatisk av ViaNett AS. .
7.2.3 Stripe.com
GROUP.ONE NORWAY AS utleverer personopplysninger til Stripe.com, hvor behandlingsgrunnlaget er å oppfylle en avtale om betaling med debet-/kredittkort. Stripe.com er behandlingsansvarlig hva gjelder behandlingen av:
- Kundenavn
- E-postadresse
- Kundenummer
- Kortnummer (vises kun på maskert form for GROUP.ONE NORWAY AS)
- Hvilket land kortet er utsted i
- Utløpsdato på kort
- Hvilket type kort det er
- Beløp som trekkes av kortet
- Betalingshistorikk
Data oppbevares i 5 år i henhold til Regnskapslovens krav til oppbevaringstid. Etter 5 år slettes data på forespørsel fra GROUP.ONE NORWAY AS.
Ved betaling med debet-/kredittkort lagres dine kortopplysninger hos Stripe, som er PCI DSS-sertifisert. Fullstendig kortinformasjon er ikke tilgjengelig overfor GROUP.ONE NORWAY AS når du kjøper en tjeneste av oss med ditt kort. Vi lagrer ingen deler av kortnummeret i våre systemer – bare en referanse til transaksjonen i Stripe sine systemer for å kunne markere en faktura i regnskapssystemet som betalt.
7.2.4 ZenDesk Inc
GROUP.ONE NORWAY AS utleverer ingen personopplysninger til ZenDesk Inc, men i rollen som leverandør av ticket-system logges inngående og utgående e-postkorrespondanse og chat. ZenDesk Inc er behandlingsansvarlig hva gjelder behandlingen av:
- Kundenummer
- Kundenavn
- E-post
- Ip-adresse
- Nettleserversjon
Ustrukturerte data i chat og e-post logges av ZenDesk. All informasjon som registreres, genereres og lagres i forbindelse med chat og epostkorrespondanse med vår kundeservice lagres på servere som er eiet og driftet av Zendesk Inc.
Ved å kontakte kundeservice skriftlig på e-post eller chat samtykker du til at personopplysninger blir overført til, og behandlet i, USA.
Zendesk Inc Privacy Shield-sertifisering finner du her: https://www.privacyshield.gov/participant?id=a2zt0000000TOjeAAG&status=Active
Data oppbevares i 3 år for å kunne dokumentere forhold som er relevante i kundeforholdet i henhold til den alminnelige foreldelsesfrist (Foreldelsesloven § 2)
7.2.5 GlobalSign
GROUP.ONE NORWAY AS utleverer personopplysninger til GlobalSign, hvor behandlingsgrunnlaget er å oppfylle en avtale om leveranse av SSL-sertifikater. GlobalSign er behandlingsansvarlig hva gjelder behandlingen av:
- Domenenavn
og hvis leveransen gjelder Organisasjonsvalidert SSL eller Extended Validation SSL gjelder også behandlingen av:
- Organisasjonsnummer
- Organisasjonsnavn
- Land
- Poststed og postnummer
- Organisasjonsform
Data oppbevares så lenge tjenesten er aktiv.
7.2.6 BuyPass
GROUP.ONE NORWAY AS utleverer personopplysninger til BuyPass, hvor behandlingsgrunnlaget er å oppfylle en avtale om leveranse av SSL-sertifikater. BuyPass er behandlingsansvarlig hva gjelder behandlingen av:
- Domenenavn
og hvis leveransen gjelder Organisasjonsvalidert SSL eller Extended Validation SSL gjelder også behandlingen av:
- Organisasjonsnummer
- Organisasjonsnavn
- Land
- Poststed og postnummer
- Organisasjonsform
7.2.7 RRP Proxy
Personopplysninger som hentes inn i forbindelse med registrering av domenenavn vil bli lagret hos registrar for det aktuelle toppnivået, og publisert i WHOIS i tråd med vår tjenesteavtale, og gjeldende regelverk for det aktuelle toppnivået, som du godtar ved registrering av domenenavnet. Det er i de aller fleste tilfeller ikke mulig å levere domenenavn til deg som sluttbruker uten gyldig navn, postadresse, telefonnummer og e-postadresse.
GROUP.ONE NORWAY AS utleverer personopplysninger til RRP Proxy, hvor behandlingsgrunnlaget er å oppfylle en avtale om registrering av internasjonale domenenavn. RRP Proxy er behandlingsansvarlig hva gjelder behandlingen av:
- Domenenavn
- E-post
- Navn
- Gateadresse og nummer
- Poststed og postnummer
- Telefonnummer
- Land
Alle opplysningene over publiseres i WHOIS, som er en offentlig database som opplyser om hvem som eier domenenavn. GROUP.ONE NORWAY AS kan tilby skjult WHOIS, og kan fås på forespørsel til post@digitalgarden.no før domenenavnet registreres.
Data oppbevares så lenge domenenavnet står registrert på kunden. Domene kan slettes umiddelbart for de fleste toppnivådomener ved å kontakte post@digitalgarden.no.
7.2.8 Norid AS
GROUP.ONE NORWAY AS utleverer personopplysninger til NORID, hvor behandlingsgrunnlaget er å oppfylle en avtale om registrering av .NO eller .PRIV.NO domenenavn. NORID er behandlingsansvarlig hva gjelder behandlingen av:
- Domenenavn
- Organisasjonsnavn og organisasjonsnummer for bedrifter
- PID-nummer for privatpersoner
- E-post
- Navn
- Gateadresse og nummer
- Poststed og postnummer
- Telefonnummer
- Land
Opplysningene over publiseres i WHOIS, som er en offentlig database som opplyser om hvem som eier domenenavn. Hvilken informasjon som vises offentlig er forskjellig om abonnenten er en organisasjon, et enkeltpersonforetak eller en privatperson.
Organisasjon:
- Organisasjonsnavn og organisasjonsnummer
- E-postadresse
- Postadresse
- "Norge"
- Telefonnummer
Enkeltpersonforetak:
- Organisasjonsnavn og organisasjonsnummer
- E-postadresse
- "Norge"
Privatperson
- E-postadresse
- "Norge"
Data oppbevares så lenge domenenavnet står registrert på kunden. Domene kan slettes umiddelbart ved å kontakte post@digitalgarden.no.
7.2.9 NIC.SE
GROUP.ONE NORWAY AS utleverer personopplysninger til NIC.SE, hvor behandlingsgrunnlaget er å oppfylle en avtale om registrering av .SE eller .NU domenenavn. NIC.SE er behandlingsansvarlig hva gjelder behandlingen av:
- Domenenavn
- Organisasjonsnavn
- E-post
- Navn
- Gateadresse og nummer
- Poststed og postnummer
- Telefonnummer
- Land
Alle opplysningene over publiseres i WHOIS, som er en offentlig database som opplyser om hvem som eier domenenavn.
Data oppbevares så lenge domenenavnet står registrert på kunden. Domene kan slettes umiddelbart ved å kontakte post@digitalgarden.no.
7.2.10 Provendo AS (tidl. Akeo AS)
GROUP.ONE NORWAY AS utleverer personopplysninger til Provendo AS, hvor behandlingsgrunnlaget er å oppfylle en avtale om å levere e-posttjenester på Exchange og Nettkontor. Provendo AS er behandlingsansvarlig hva gjelder behandlingen av:
- Domenenavn
- E-post
- Navn
Data oppbevares så lenge e-postkontoen er aktiv + 30 dager etter grunnet backup av tjenesten. Alle data lagres i Norge på datasenteret til Provendo i Oslo.
Nytt i versjon 1.1:
Fra 12.02.2020 vil Syse AS bli ny tjenesteleverandør på Exchange, og følgelig være behandlingsansvarlig hva gjelder behandling inn under dette punktet for alle nye kunder. Eksisterende kunder vil bli migrert over til Syse AS.
7.2.11 Alektum Inkasso AS
GROUP.ONE NORWAY AS utleverer personopplysninger til Alektum Inkasso AS, hvor behandlingsgrunnlaget er å oppfylle en avtale om å få betalt for tjenestene som leveres. Alektum Inkasso AS er behandlingsansvarlig hva gjelder behandlingen av:
- Kundenavn
- Telefonnummer
- E-postadresse
- Kundeummer
Data oppbevares i 5 år i henhold til Regnskapslovens krav til oppbevaringstid. Etter 5 år slettes data på forespørsel fra GROUP.ONE NORWAY AS.
7.2.12 Excentia Services AS
GROUP.ONE NORWAY AS utleverer personopplysninger til Excentia Services AS, hvor behandlingsgrunnlaget er å oppfylle alle krav som finnes i Regnskapsloven gjennom sin rolle som regnskapsfører. Excentia Services er behandlingsansvarlig hva gjelder behandlingen av:
- Kundenavn
- Organisasjonsnavn
- PID-nummer for privatpersoner
- Gateadresse og nummer
- Poststed og postnummer
- E-postadresse
- Telefonnummer
- Kundeummer
- Kontonummer
- Betalingshistorikk
Data oppbevares i 5 år i henhold til Regnskapslovens krav til oppbevaringstid. Etter 5 år slettes data på forespørsel fra GROUP.ONE NORWAY AS.
7.2.13 Enter Revisjon AS
GROUP.ONE NORWAY AS utleverer personopplysninger til Enter Revisjon, hvor behandlingsgrunnlaget er å oppfylle alle krav som finnes i Revisorloven gjennom sin rolle som revisor. Enter Revisjon er behandlingsansvarlig hva gjelder behandlingen av:
- Kundenavn
- Organisasjonsnavn
- PID-nummer for privatpersoner
- Gateadresse og nummer
- Poststed og postnummer
- E-postadresse
- Telefonnummer
- Kundeummer
- Kontonummer
- Betalingshistorikk
Data oppbevares i 5 år i henhold til Regnskapslovens krav til oppbevaringstid. Etter 5 år slettes data på forespørsel fra GROUP.ONE NORWAY AS.
7.2.14 Den Norske Bank (DnB)
GROUP.ONE NORWAY AS utleverer personopplysninger til DnB, hvor behandlingsgrunnlaget er å oppfylle kravene i tjenestevilkårene. DnB er behandlingsansvarlig hva gjelder behandlingen av:
- Kundenavn
- Gateadresse og nummer
- Postadresse og postnummer
- Kontonummer
- OCR
- Innbetalt beløp
Data oppbevares i 5 år i henhold til Regnskapslovens krav til oppbevaringstid. Etter 5 år slettes data på forespørsel fra GROUP.ONE NORWAY AS.
7.2.15 Sosiale medier
GROUP.ONE NORWAY AS er representert på Facebook, LinkedIn, Twitter og Google+. Personopplysninger som kundene selv deler i sosiale medier via våre sider slettes ikke automatisk, men kunden kan når som helst slette sine poster. Hvis opplysningene som deles i sosiale medier inneholder sensitive personopplysninger, passord, eller på noen som helst måte setter kunden i dårlig lys, så er ansatte hos GROUP.ONE NORWAY AS instruert i å slette denne informasjonen så snart de blir gjort oppmerksomme på den.
7.2.16 DK Hostmaster A/S
GROUP.ONE NORWAY AS utleverer personopplysninger til DK Hostmaster A/S, hvor behandlingsgrunnlaget er å oppfylle en avtale om registrering av .DK domenenavn. DK Hostmaster A/S er behandlingsansvarlig hva gjelder behandlingen av:
- Domenenavn
- Organisasjonsnavn for bedrifter
- E-post
- Navn
- Gateadresse og nummer
- Poststed og postnummer
- Telefonnummer
- Land
Alle opplysningene over publiseres i WHOIS, som er en offentlig database som opplyser om hvem som eier domenenavn. I henhold til lovgivningen i Danmark vises også private personopplysninger via WHOIS.
Data oppbevares så lenge domenenavnet står registrert på kunden. Domene kan slettes umiddelbart ved å kontakte post@digitalgarden.no.
7.2.17 NIC.AS (.as-domener)
GROUP.ONE NORWAY AS utleverer personopplysninger til NIC.AS, hvor behandlingsgrunnlaget er å oppfylle en avtale om registrering av .AS domenenavn. NIC.AS (.as-domener) er behandlingsansvarlig. hva gjelder behandlingen av:
- Domenenavn
- Organisasjonsnavn
- E-post
- Navn
- Gateadresse og nummer
- Poststed og postnummer
- Telefonnummer
- Land
Alle opplysningene over publiseres i WHOIS, som er en offentlig database som opplyser om hvem som eier domenenavn.
Data oppbevares så lenge domenenavnet står registrert på kunden. Domene kan slettes umiddelbart ved å kontakte post@digitalgarden.no.
7.2.18 ISNIC (.is-domener)
GROUP.ONE NORWAY AS utleverer personopplysninger til ISNIC, hvor behandlingsgrunnlaget er å oppfylle en avtale om registrering av .IS domenenavn. ISNIC er behandlingsansvarlig. hva gjelder behandlingen av:
- Domenenavn
- Organisasjonsnavn
- E-post
- Navn
- Gateadresse og nummer
- Poststed og postnummer
- Telefonnummer
- Land
Alle opplysningene over publiseres i WHOIS, som er en offentlig database som opplyser om hvem som eier domenenavn.
Data oppbevares så lenge domenenavnet står registrert på kunden. Domene kan slettes umiddelbart ved å kontakte post@digitalgarden.no.
7.2.19 Drip.com, Avenue 81, Inc. d/b/a LeadPages
Drip.com brukes for e-postmarkedsføring, samt sende ut massemail til kundebasen med produktinformasjon, tilbud og driftsmeldinger. GROUP.ONE NORWAY AS utleverer personopplysninger til Drip.com, Avenue 81, Inc. d/b/a LeadPages, hvor behandlingsgrunnlaget innhentes via samtykke (Artikkel 6(1)(a)). Hvis samtykke ikke er innhentet, vil Drip.com ikke motta personopplysninger fra GROUP.ONE NORWAY AS. Drip.com er behandlingsansvarlig. hva gjelder behandlingen av:
- E-post
Personopplysningene lagres så lenge samtykket er aktivt, og slettes når samtykket trekkes. Link for å slette samtykke ligger ved alle e-postene som sendes ut fra Drip.
8. Sikkerhetsrevisjoner
Databehandler skal jevnlig gjennomføre sikkerhetsrevisjoner for systemer og lignende som omfattes av denne avtalen, herunder sikring mot uautorisert tilgang, spredning, endring, skade, ødeleggelse eller utilgjengelighet. Behandlingsansvarlig skal gis tilgang til revisjonsrapportene.
Dersom en uavhengig tredjepart gjennomfører sikkerhetsrevisjon hos databehandleren, skal behandlingsansvarlig informeres om dette og ha tilgang til revisjonsrapportene.
Dersom behandlingsansvarlig , herunder inspeksjon sammen med databehandler, skal databehandler bistå med dette. Kostnader som påløper ved gjennomføring av revisjon dekkes av behandlingsansvarlig i sin helhet.
9. Avtalens varighet og tidsavgrenset behandling
Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig, frem til den dato levering av tjenesten opphører eller databehandleravtalen sies opp.
Ved brudd på denne avtale, personopplysningsloven eller GDPR kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.
Avtalen kan sies opp av begge parter med en gjensidig frist på 3. mnd, jf. punkt 11 i denne avtalen.
10. Endringer
Databehandleravtalen kan endres ved nødvendig behov, for eksempel ved endringer i gjeldende lovverk, rettspraksis eller endringer i tjenesten som krever endringer i denne databehandleravtalen.
Databehandler vil meddele endringer skriftlig til kontaktpersonen som er oppgitt på kundeforholdet. Endringer iverksettes 14 dager etter at meddelelsen ble sendt ut, og regnes som akseptert dersom innsigelser ikke er skriftlig fremsatt innen denne fristen. Dersom behandlingsansvarlig har innsigelser, vil endringene først tre i kraft fra fornyelse av første tjeneste hos databehandleren.
11. Ved opphør
Ved opphør av denne avtalen, eller hvis tjenesten opphører å eksistere, plikter databehandler å tilbakelevere alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige og som omfattes av denne avtalen. Behandlingsansvarlig bestemmer hvordan tilbakelevering av opplysningene skal skje. Databehandler skal slette eller forsvarlig destruere alle dokumenter, data, disketter, cd-er mv, som inneholder opplysninger som omfattes av avtalen. Sletteplikten gjelder også for eventuelle sikkerhetskopier.
Databehandler skal slette logger om brukers aktivitet, kundeforhold samt andre digitale spor etter de frister som pålegges av den behandlingsansvarlige.
Databehandler skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør. Kostnader for tilbakelevering, destruksjon og dokumentasjon skal dekkes av behandlingsansvarlig.
12. Meddelelser
Meddelelser etter denne avtalen skal sendes skriftlig til kontaktpersonen som er oppgitt på kundeforholdet. Du kan når som helst endre kontaktopplysningene ved å logge deg på kontrollpanelet.
13. Lovvalg og verneting
Avtalen er underlagt norsk rett og partene vedtar Tønsberg tingrett som verneting. Dette gjelder også etter opphør av avtalen.
14. Særskilte bestemmelser
Databehandler forplikter seg til å bistå behandlingsansvarlig med å sikre overholdelse av artikkel 32 – 36, så langt det er mulig med hensyn til behandlingens art og den informasjonen som er tilgjengelig for databehandleren. Databehandler skal herunder bistå med å utrede konsekvensene ved bruk av tjenester/teknologier som representerer en særlig høy risiko for personvernet.
Kostnader til oppfyllelse av bistandsplikten dekkes av den behandlingsansvarlige.
Databehandler forplikter seg til å bistå i dialog med Datatilsynet der personvernrisikoen (avdekket gjennom konsekvensutredning) vanskelig lar seg håndtere på en hensiktsmessig måte. Det henvises til at Datatilsynet har en liste over tjenester/teknologier hvor det er nødvendig å utrede personvernkonsekvensene før de tas i bruk.