Gyldig fra: 17. mars 2024

1    INNLEDNING

Denne avtalen angir hovedprinsippene for behandling av personopplysninger og utgjør en integrert del av den eksisterende avtalen om tjenester mellom partene ("Avtalen").

Henvisninger til begrepet "Behandlingsavtale" betyr dette avtaledokumentet og de følgende vedleggene som er vedlagt her:

2    FORMÅL MED BEHANDLINGSAVTALEN

Formålet med Behandlingsavtalen er å regulere rettigheter og forpliktelser i henhold til gjeldende personvernlovgivning som gjelder for Behandlers behandling av Personopplysninger (som databehandler) på vegne av Kontrolleren.

"Personvernlovgivning" skal bety EUs generelle forordning om databeskyttelse 2016/679 ("GDPR") når den trer i kraft, og nasjonale bestemmelser om beskyttelse av privatlivet i landet der Kontrolleren er etablert, slik de kan bli endret, erstattet eller overordnet fra tid til annen, inkludert lover som implementerer eller supplerer GDPR. "Personopplysninger" betyr enhver informasjon som gjelder en identifisert eller identifiserbar fysisk person ("Registrert").

Behandlingsavtalen skal sørge for at Personopplysninger behandles i samsvar med Personvernlovgivningen og ikke brukes ulovlig eller gjøres tilgjengelig for en uautorisert part.

3    OMFANG AV BEHANDLINGEN

3.1    Generelt

Kontrolleren bestemmer formålene og midlene for behandlingen av Personopplysninger.

Behandler, dens underbehandlere, og andre personer som handler under Behandlers autoritet og har tilgang til Personopplysninger, skal kun behandle Personopplysninger på vegne av Kontrolleren og i samsvar med Avtalen og Kontrollerens dokumenterte instruksjoner, og i samsvar med Behandlingsavtalen, med mindre annet følger av gjeldende personvernlovgivning.

Behandler skal umiddelbart informere Kontrolleren hvis, etter Behandlers mening, en instruksjon krenker Personvernlovgivningen.

3.2    Formålet med og omfanget av behandlingen

Behandlingsavtalen gjelder Behandlers behandling av Personopplysninger på vegne av Kontrolleren i forbindelse med Behandlers levering av "Tjenester" som beskrevet i Vedlegg 1, Seksjon 1.

Arten og formålet med behandlingen, inkludert operasjoner og aktiviteter, er spesifisert i Vedlegg 1, Seksjon 2.

3.3    Kategorier av Personopplysninger og Registrerte

Behandlingen involverer behandling av kategorier av Personopplysninger som spesifisert i Vedlegg 1, Seksjon 3 om sådanne Registrerte som spesifisert i Vedlegg 1, Seksjon 4.

4    FORPLIKTELSER FOR KONTROLLEREN

Kontrolleren garanterer at Personopplysninger behandles for legitime og objektive formål og at Behandler ikke behandler flere Personopplysninger enn nødvendig for å oppfylle slike formål.

Kontrolleren er ansvarlig for å sikre at det finnes et gyldig rettslig grunnlag for behandling på tidspunktet for overføring av Personopplysninger til Behandler, inkludert at eventuelt samtykke gis eksplisitt, frivillig, utvetydig og på et informert grunnlag. Etter Behandlers forespørsel forplikter Kontrolleren seg, skriftlig, til å redegjøre for og/eller gi dokumentasjon på grunnlaget for behandling.

I tillegg garanterer Kontrolleren at Registrerte som de personopplysningene gjelder, har fått tilstrekkelig informasjon om behandlingen av deres Personopplysninger.

Instruksjoner om behandling av personopplysninger i henhold til denne Behandlingsavtalen skal som hovedregel sendes til Behandler. I tilfelle Kontrolleren instruerer en Underbehandler som er utnevnt i henhold til seksjon 12 direkte, skal Kontrolleren umiddelbart informere Behandler om dette. Behandler skal ikke på noen måte være ansvarlig for eventuell behandling utført av Underbehandler som følge av instruksjoner mottatt direkte fra Kontrolleren, dersom slike instruksjoner resulterer i et brudd på denne Behandlingsavtalen, Avtalen eller Personvernlovgivningen.

5    KONFIDENSIALITET

Behandler, dens underbehandlere og andre personer som handler under Behandlers autoritet og har tilgang til Personopplysninger, er underlagt en taushetsplikt og skal overholde taushetsplikt i forhold til behandlingen av Personopplysninger og sikkerhetsdokumentasjon i henhold til gjeldende Personvernlovgivning. Behandler er ansvarlig for å sikre at enhver Underbehandler, eller andre personer som handler under dens autoritet, er underlagt slik taushetsplikt.

Kontrolleren er underlagt en taushetsplikt angående all dokumentasjon og informasjon, mottatt fra Behandler, relatert til Behandler og dens underbehandleres implementerte tekniske og organisatoriske sikkerhetstiltak, eller informasjon som Behandler ønsker å holde konfidensiell. Imidlertid kan Kontrolleren alltid dele slik informasjon med tilsynsmyndigheter hvis det er nødvendig for å handle i samsvar med Kontrollerens forpliktelser under Personvernlovgivningen eller andre lovbestemte forpliktelser.

Taushetsplikten gjelder også etter avslutningen av Behandlingsavtalen.

6    TEKNISKE OG ORGANISATORISKE TILTAK

Behandler skal implementere passende tekniske og organisatoriske tiltak som stipulert i Personvernlovgivningen og/eller tiltak pålagt av relevant tilsynsmyndighet i henhold til Personvernlovgivningen eller annen gjeldende lovgivning for å sikre et passende sikkerhetsnivå.

Behandler skal vurdere det passende sikkerhetsnivået og ta hensyn til risikoene knyttet til behandlingen i forhold til tjenestene under Avtalen, inkludert risiko for utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert avsløring av eller tilgang til Personopplysninger som overføres, lagres eller på annen måte behandles.

All overføring av Personopplysninger mellom Behandler og Kontrolleren eller mellom Behandler og enhver tredje part skal skje på et tilstrekkelig sikkerhetsnivå ved å bruke kryptering eller andre egnede sikkerhetstiltak, eller på annen måte som avtalt mellom partene.

I den grad Behandler har tilgang til slik informasjon, skal Behandler gi Kontrolleren generelle beskrivelser av dens Underbehandleres tekniske og organisatoriske tiltak som er implementert for å sikre et passende sikkerhetsnivå.

Videre beskrivelser av Behandlers implementerte tekniske og organisatoriske tiltak er inkludert i Vedlegg 3 til denne Behandlingsavtalen.

7    TILGANG TIL PERSONOPPLYSNINGER OG OPPFYLLELSE AV REGISTRERTES RETTIGHETER

Med mindre annet er avtalt eller i henhold til gjeldende lovgivning, har Kontrolleren rett til å be om tilgang til Personopplysninger som behandles av Behandler på vegne av Kontrolleren.

Hvis Behandler, eller Underbehandler, mottar en forespørsel fra en Registrert angående behandling av Personopplysninger, skal Behandler sende forespørselen til Kontrolleren for ytterligere behandling, med mindre annet er stipulert i lovgivningen eller Kontrollerens instruksjoner.

Behandler skal bistå Kontrolleren med oppfyllelsen av Kontrollerens forpliktelse til å svare på forespørsel om utøvelse av Registrertes rettigheter stipulert i Personvernlovgivningen, inkludert Registrertes rett til (i) tilgang til sine Personopplysninger, (ii) retting av sine unøyaktige Personopplysninger; (iii) sletting av sine Personopplysninger; (iv) begrensning av, eller innvending mot, behandling av sine Personopplysninger; og (v) retten til å motta sine Personopplysninger i et strukturert, alminnelig brukt og maskinlesbart format (dataportabilitet). Behandler skal kompenseres for slik bistand til Behandlers gjeldende satser, med mindre annet er avtalt. Satsen på ikrafttredelsesdatoen er NOK 125 per forespørsel (tilsvarende 0,25 timer til NOK 500 per time).

8    ANNET HJELP TIL KONTROLLEREN

Hvis Behandler, eller en Underbehandler, mottar en forespørsel om tilgang eller informasjon fra relevant tilsynsmyndighet angående de registrerte Personopplysningene eller behandlingsaktiviteter underlagt denne Behandlingsavtalen, skal Behandler varsle Kontrolleren for Kontrollerens videre behandling, med mindre Behandler ønsker å håndtere slik forespørsel selv.

Hvis Kontrolleren er forpliktet til å utføre en konsekvensvurdering og/eller konsultere tilsynsmyndigheten i forbindelse med behandlingen av Personopplysninger under denne Behandlingsavtalen, skal Behandler bistå Kontrolleren. Behandler skal kompenseres for slik bistand til Behandlers gjeldende satser, med mindre annet er avtalt.

9    VARSEL OM BRUDD PÅ PERSONOPPLYSNINGER

Behandler skal varsle Kontrolleren uten unødig opphold etter å ha blitt oppmerksom på et brudd relatert til behandlingen av Personopplysninger ("Brudd på Personopplysninger"). Kontrolleren er ansvarlig for å varsle Brudd på Personopplysninger til relevant tilsynsmyndighet.

Varslet til Kontrolleren skal minst beskrive (i) arten av Bruddet på Personopplysninger inkludert hvor det er mulig, kategoriene og omtrent antall berørte Registrerte og kategoriene og omtrent antall opplysninger som er berørt; (ii) de sannsynlige konsekvensene av Bruddet på Personopplysninger; (iii) de tiltakene som er iverksatt eller foreslått av Behandler for å håndtere Bruddet på Personopplysninger, inkludert, der det er aktuelt, tiltak for å dempe mulige negative effekter.

I tilfelle Kontrolleren er forpliktet til å informere de Registrerte om et Brudd på Personopplysninger, skal Behandler bistå Kontrolleren, inkludert å gi, dersom tilgjengelig, nødvendig kontaktinformasjon til de berørte Registrerte. Kontrolleren skal bære eventuelle kostnader knyttet til slik kommunikasjon til den Registrerte. Behandler skal imidlertid bære slike kostnader dersom Bruddet på Personopplysninger forårsakes av omstendigheter som Behandler er direkte ansvarlig for.

10  OVERFØRING

Avsløring, overføring eller tilgang til Personopplysninger ("Overføring") fra land utenfor EU/EØS ("Tredjeland") kan kun skje med godkjennelse fra Kontrolleren, som beskrevet i Vedlegg 2, og er underlagt EUs standard kontraktsvilkår mellom Kontrolleren og det relevante selskapet på stedet, eller annet rettslig grunnlag for slik Overføring.

11  BRUK AV UNDERBEHANDLERE

Kontrolleren godtar at Behandler kan engasjere en annen behandler ("Underbehandler") for å bistå i å levere tjenestene og behandle Personopplysninger i henhold til Avtalen, forutsatt at Behandler sikrer at;

i)           databeskyttelsesforpliktelsene slik de er angitt i denne Behandlingsavtalen og i Personvernlovgivningen pålegges enhver Underbehandler gjennom en skriftlig avtale; og at

ii)          enhver Underbehandler gir tilstrekkelige garantier for å implementere passende tekniske og organisatoriske tiltak for å overholde Personvernlovgivningen og denne Behandlingsavtalen, og gi Kontrolleren og relevante tilsynsmyndigheter tilgang og informasjon nødvendig for å verifisere slik overholdelse.

Behandler skal forbli fullt ansvarlig overfor Kontrolleren for ytelsen til enhver Underbehandler med mindre Underbehandleren er utnevnt av Kontrolleren.

Ved signering av denne Behandlingsavtalen godkjenner Kontrolleren underbehandlerne som er angitt i Vedlegg 2 til denne Behandlingsavtalen.

Videre til det ovennevnte gir Kontrolleren herved en generell skriftlig autorisasjon til Behandler for å engasjere andre underbehandlere. Behandler skal varsle Kontrolleren om eventuell tillegg eller erstatning av underbehandlere, for å gi Kontrolleren mulighet til å motsette seg slike endringer. Enhver innvending mot slike endringer må gis til Behandler innen 2 uker etter mottak av slik varsling. I tilfelle av en innvending fra Kontrolleren angående tillegg eller endring av en underbehandler, kan Kontrolleren terminate Avtalen og denne Behandlingsavtalen med 1 måneders varsel.

Kontrolleren gir videre Behandler myndighet til å inngå EUs standard kontraktsvilkår på vegne av Kontrolleren eller å sikre annet rettslig grunnlag for overføring utenfor EU/EØS for enhver underbehandler som er godkjent i samsvar med prosedyren som er angitt ovenfor. På forespørsel skal Behandler gi Kontrolleren en kopi av slike EUs standard kontraktsvilkår eller beskrivelse av annet rettslig grunnlag for overføring.

12  REVISJONER

Behandler skal gi Kontrolleren dokumentasjon av implementerte tekniske og organisatoriske tiltak for å sikre et passende sikkerhetsnivå, og annen informasjon som er nødvendig for å demonstrere Behandlers overholdelse av de forpliktelsene under Behandlingsavtalen og relevant Personvernlovgivning.

Kontrolleren og tilsynsmyndigheten under den relevante Personvernlovgivning skal ha rett til å gjennomføre revisjoner, inkludert inspeksjoner på stedet og evalueringer av Personopplysninger som behandles, systemene og utstyret som brukes til dette formålet, implementerte tekniske og organisatoriske tiltak, inkludert sikkerhetspolicyer og lignende, og Underbehandlere. Kontrolleren skal ikke gis tilgang til informasjon som gjelder Behandlers andre kunder og informasjon som er gjenstand for taushetsplikter.

Kontrolleren har rett til å gjennomføre slike revisjoner en gang i året, etter å ha gitt Behandler 14 dagers forhåndsvarsel. Inspeksjoner på stedet skal gjennomføres i normal arbeidstid og på en måte som påvirker Behandlers virksomhet i minst mulig grad. Hvis Kontrolleren utnevner en ekstern revisor for å utføre revisjonene, skal slik ekstern revisor være bundet av en taushetsplikt.

Kontrolleren skal bære eventuelle kostnader knyttet til revisjoner initiert av Kontrolleren eller pådratt i forbindelse med revisjoner av Kontrolleren, inkludert kompensasjon til Behandler for rimelig tid brukt av Behandler og dens ansatte i forbindelse med revisjoner. Behandler skal imidlertid bære slike kostnader hvis en revisjon avdekker manglende overholdelse av Behandlingsavtalen eller Personvernlovgivningen.

13  VARIGHET OG OPPSIGELSE

Behandlingsavtalen er gyldig så lenge Behandler behandler Personopplysninger på vegne av Kontrolleren.

I tilfelle Behandlers brudd på Behandlingsavtalen eller manglende overholdelse av Personvernlovgivningen, kan Kontrolleren (i) instruere Behandler om umiddelbart å stoppe videre behandling av Personopplysninger; (ii) avslutte Behandlingsavtalen med umiddelbar virkning; og/eller (ii) kreve erstatning for direkte økonomisk tap forårsaket av Behandlers brudd og/eller manglende overholdelse, underlagt alltid bestemmelsene (inkludert ansvarbegrensningsbestemmelser) i Avtalen(e) som slike Tjenester leveres i henhold til.

14  EFFEKTER AV OPPSIGELSE

Behandler skal, ved oppsigelse av Behandlingsavtalen og etter Kontrollerens valg, slette eller returnere alle Personopplysninger til Kontrolleren, inkludert sikkerhetskopier, med mindre annet er stipulert i gjeldende lovgivning.

Behandler skal dokumentere skriftlig til Kontrolleren at slettingen har funnet sted i samsvar med Behandlingsavtalen og som instruert av Kontrolleren.

15  VARSLE OG ENDRINGER

Alle varsler angående Behandlingsavtalen skal sendes skriftlig til e-postadressen oppgitt på forsiden av Behandlingsavtalen.

I tilfelle endringer i Personvernlovgivningen, en dom eller mening fra en annen autoritativ kilde forårsaker en annen tolkning av Personvernlovgivningen, eller endringer i Tjenestene under Avtalen krever endringer i denne Behandlingsavtalen, skal partene i god tro samarbeide for å oppdatere Behandlingsavtalen deretter.

Eventuelle modifikasjoner eller endringer av denne Behandlingsavtalen skal være gyldige kun dersom de er avtalt skriftlig og signert av begge parter.

16  LOVVALG OG RETTSLIG FORUM

Lovvalg, metode for tvisteløsning og rettslig forum for Avtalen skal gjelde tilsvarende.

VEDLEGG A  – OVERSIKT OVER TJENESTENE, BEHANDLING, PERSONOPPLYSNINGER OG REGISTRERTE

1    TJENESTER

Tjenestene inkluderer utvikling og levering av programvare for å opprette og administrere digitale nøkler i henhold til Avtalen. 

2    BEHANDLING

Personopplysningene vil være gjenstand for følgende grunnleggende behandlingsaktiviteter:

For å levere Tjenestene, som angitt i Avtalen.

3    PERSONOPPLYSNINGER

Behandlingen gjelder følgende kategorier av Personopplysninger:

Logg- og konfigurasjonsfiler inneholder personopplysninger som kreves av systemet for å fungere korrekt. Disse dataene inkluderer, men er ikke begrenset til:

1. Navn, telefonnummer og annen kontaktinformasjon, plasseringen av låser som tilhører sluttbrukeren. Nøkkelbruksstatistikk brukes til å forutsi hvilke nøkler som vil bli brukt når. Disse dataene beholdes inntil sluttbrukeren ber Unloc om å slette brukerprofilen. 

2. Hendelser relatert til bruk av digitale nøkler: hvilken bruker som brukte hvilken nøkkel på hvilket tidspunkt for å betjene hvilken lås. Disse dataene slettes etter 60 dager.

4    REGISTRERTE

Personopplysningene som behandles gjelder følgende kategorier av Registrerte:

• Kontrollerens ansatte, innbyggere eller entreprenører 

• Kunder av Kontrolleren/sluttbrukere

VEDLEGG B – GODKJENTE UNDERBEHANDLERE

GDPR-samsvar

• Google Cloud Platform & G Suite (EU)

• Crisp Brukerstøtte (EU)

• Strex SMS-levering (EU)

• Twilio SMS-levering (US for ikke-europeiske telefonnumre)

VEDLEGG C – OVERSIKT OVER TEKNISKE OG ORGANISATORISKE TILTAK

This Appendix 3 contains a general description of technical and organisational measures that will be implemented by Processor to ensure an appropriate level of security.

Teknisk teamtiltak

Unlocs hele tekniske team er basert i EU. Ingen personopplysninger forlater EU under utvikling eller feilsøking. Alle utviklingsmaskiner har krypterte harddisker. 

Informasjonssikkerhetstiltak

All ansatt tilgang til Unlocs underbehandlere skjer via to-faktor autentisering. Alle ansatte har oppdatert programvare og operativsystemer på alle enheter. Alle ansatte er instruert om å installere oppdateringer og feilrettinger så snart de blir tilgjengelige.

Cybersikkerhet

Eksterne sikkerhetsvurderinger av Unloc-appen og Unloc Key Sharing Platform utføres regelmessig.

Datalokasjon

Unlocs underbehandlere er enten lokalisert i EU, eller de er lokalisert utenfor EU og overholder personvernsrammer, som EUs standard kontraktsvilkår, som inkluderer sterke databeskyttelsesforpliktelser for selskaper som mottar personopplysninger fra EU.

Kryptering av data

Unlocs kundedata er kryptert både lagret og under overføring. Alle data og krypteringsnøkler oppbevares i Google Cloud.