Log in

I want to access:
HRM &frankly Expert Equal Pay Handbooks

Databehandleravtale

AlexisHR fra Simployer - Norge


Denne databehandleravtalen (denne "Databehandleravtalen") inngås på denne dagen mellom deg, Kunden, og oss, Simployer AS.

1 . Introduksjon

1.1 Partene har inngått en avtale ("Avtalen") om online personaltjenester som skal leveres av Simployer til Kunden.

1.2 Simployer vil behandle personopplysninger på vegne av Kunden ved levering av tjenester i henhold til Avtalen og derfor fungere som databehandler. Kunden er behandlingsansvarlig.

1.3 Denne databehandlingsavtalen utgjør en slik avtale mellom datakontrolløren og databehandleren som angitt i artikkel 28.3 i GDPR.

2. Definisjoner

2.1 Begreper definert i gjeldende databeskyttelseslovgivning, for eksempel "behandlingsansvarlig", "databehandler", "personopplysninger", "behandling", "den registrerte" og "tilsynsmyndighet", skal tolkes og anvendes i samsvar med gjeldende databeskyttelseslovgivning.

2.2 I tillegg skal definisjonene nedenfor ha følgende betydninger:

"Gjeldende databeskyttelseslovgivning"
Forordning (EU) 2016/679 fra Europaparlamentet og Rådet av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike data, og om oppheving av direktiv 95/46/EF (General Data Protection Regulation), "GDPR") og gjeldende norsk personopplysningslov.

"Kundens personopplysninger"
Personopplysninger som overføres til, lagres eller på annen måte behandles av Simployer på vegne av behandlingsansvarlig i henhold til Avtalen, som beskrevet mer detaljert i Vedlegg 1 (spesifikasjon).

"Spesifikasjonen"
Bilag 1 (spesifikasjon) til denne databehandleravtalen.

3. Avtaledokumenter og anvendelighet

3.1 Denne databehandlingsavtalen består av dette hoveddokumentet og vedlegg 1 (spesifikasjon), som spesifiserer emnet og varigheten av behandlingen utført av Simployer, arten og formålet med behandlingen, typen Kundens personopplysninger og kategorier av registrerte. I tilfelle konflikt eller inkonsekvens mellom denne databehandlingsavtalen og avtalen, skal bestemmelsene i denne databehandleravtalen gjelde.

4. Behandling og instruksjoner

4.1 Simployer forplikter seg til kun å behandle Kundens personopplysninger i samsvar med denne Databehandleravtalen, Avtalen og Kundens skriftlige instruksjoner. Slike instruksjoner er angitt i denne databehandleravtalen og spesifikasjonen i Bilag 1.4.2 Begge parter forplikter seg til å overholde gjeldende databeskyttelseslovgivning i den grad slik lovgivning gjelder for partens forpliktelser i henhold til avtalen.4.3 Hvis Simployer anser Kundens instruksjoner for å være i strid med gjeldende databeskyttelseslovgivning, skal Simployer varsle Kunden og avvente ytterligere instruksjoner.

5. Egnede tekniske og organisatoriske tiltak

5.1 Simployer skal ta nødvendige tekniske og organisatoriske tiltak som angitt i artikkel 32 i GDPR for å sikre et sikkerhetsnivå som passer til risikoen forbundet med behandlingen av Kundens personopplysninger. I den forbindelse skal Simployer ta hensyn til den siste utviklingen, implementeringskostnadene og arten, omfanget, konteksten og formålet med behandlingen, samt risikoen, av varierende sannsynlighet og alvorlighetsgrad, for rettighetene og frihetene til de registrerte. En beskrivelse av Simployers sikkerhetsarbeid finnes i vedlegg 1 (spesifikasjon).

5.2 Kunden anser sikkerhetstiltakene som følger av denne Databehandleravtalen, Spesifikasjonen og Avtalen som hensiktsmessige tiltak for behandlingen Simployer skal utføre i henhold til Databehandleravtalen.

6. Overføring av personopplysninger til et tredjeland

6.1 Alle Kundens personopplysninger vil bli lagret på servere innenfor EU/EØS som nærmere angitt i Vedlegg 1 (spesifikasjon).

6.2 Simployer kan bare overføre personopplysninger til et sted utenfor EU / EØS eller et land som ikke er underlagt en tilstrekkelighetsbeslutning fra EU-kommisjonen i henhold til artikkel 45 i GDPR hvis (i) Simployer har innhentet kundens tidligere, spesifikke samtykke for slik overføring, (ii) slik overføring er i samsvar med gjeldende databeskyttelseslovgivning og er basert på en gyldig overføringsmekanisme (f.eks. standard kontraktsklausuler) og (iii) en vurdering av et slikt tredjeland er laget og dokumentert.

6.3 Dersom forutsetningene i punkt 6.2. ovenfor er oppfylt, gir Kunden generell tillatelse til at Simployer kan inngå de nødvendige standard kontraktsklausulene med den mottakende parten ved overføring av Kundens personopplysninger til steder utenfor EU/EØS.

7. Informasjon og offentliggjøring

7.1 Simployer skal bistå Kunden med hensiktsmessige tekniske og organisatoriske tiltak, i den grad det er mulig, slik at Kunden kan oppfylle sin forpliktelse til å svare på forespørsler om utøvelse av den registrertes rettigheter i samsvar med gjeldende databeskyttelseslovgivning.

7.2 Simployer skal bistå Kunden, med tanke på typen behandling og informasjonen som er tilgjengelig for Simployer, for å sikre overholdelse av forpliktelsene i henhold til artikkel 32-36 i GDPR.

7.3 Simployer skal, i samsvar med Kundens instruksjoner, slette eller returnere Kundens personopplysninger til Kunden etter at behandlingen av Kundens personopplysninger er avsluttet og slette eksisterende kopier av Kundens personopplysninger, med mindre sletting av personopplysningene er nødvendig i henhold til lovene i EU-medlemsland eller på annen måte avtalt.

7.4 Simployer skal gi Kunden tilgang til all informasjon som er nødvendig for at Kunden skal kunne demonstrere at forpliktelsene fastsatt i artikkel 28 i GDPR overholdes.7.5 Kunden erkjenner at deres rett til å gjennomføre revisjoner under GDPR oppfylles gjennom det faktum at Simployer sikrer at en uavhengig tredjepart, utnevnt av Simployer, regelmessig utfører en systemisk revisjon av systemet. Resultatene av revisjonen gjøres tilgjengelig for Kunden på forespørsel.

8. Kontakt med registrerte og tilsynsmyndigheter

8.1 Hvis en registrert, tilsynsmyndighet eller annen tredjepart ber om informasjon fra Simployer, som gjelder behandling av Kundens personopplysninger, skal Simployer uten unødig forsinkelse henvise en slik forespørsel til Kunden og avvente ytterligere instruksjoner, med mindre det kreves for å handle i henhold til gjeldende databeskyttelseslovgivning.

9. Underleverandører

9.1 Kunden gir herved Simployer generell forhåndstillatelse i henhold til artikkel 28 (2) i GDPR til å bruke underbehandlere på vegne av Kunden for behandling av Kundens personopplysninger. Simployer skal pålegge tilsvarende databeskyttelsesforpliktelser på underbehandleren som Simployer har i henhold til denne databehandlingsavtalen. Bilag 1 (spesifikasjon) spesifiserer underdatabehandlerne som Simployer har engasjert på tidspunktet for inngåelse av denne databehandlingsavtalen. 1

‍9.2 Simployer skal informere Kunden om eventuelle planlagte endringer angående tillegg eller erstatning av andre underbehandlere. Slik informasjon vil bli gitt på hjemmesiden til leverandøren og du vil bli varslet. Du gis mulighet til å protestere mot slike endringer og har rett til å si opp avtalen førtidig som angitt i avtalens punkt 17.2.

9.3 Hvis underbehandleren ikke oppfyller sine forpliktelser angående databeskyttelse, skal Simployer være fullt ansvarlig overfor Kunden for utførelsen av underbehandlerens forpliktelser.
----
1 Art 28.3 (d)

10. Konfidensialitet

10.1 I tillegg til konfidensialitetsforpliktelsene som er angitt i avtalen, skal ingen av partene avsløre til tredjeparter Kundens personopplysninger eller annen informasjon som fremkommer under denne databeskyttelsesavtalen ("Konfidensiell informasjon"), med mindre slik forpliktelse eksisterer i henhold til gjeldende databeskyttelseslovgivning eller er instruert av Kunden. Ingen av partene vil, direkte eller indirekte, på egne vegne eller på vegne av andre, bruke konfidensiell informasjon til noe annet formål enn å oppfylle sine forpliktelser i henhold til gjeldende databeskyttelseslovgivning eller denne databehandleravtalen.

10.2 Simployer skal sikre at personer som er autorisert til å behandle Kundens personopplysninger, har forpliktet seg til å overholde konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt.

11. Kompensasjon

11.1 Simployers behandling av Kundens personopplysninger er en naturlig del av å levere tjenestene i henhold til Avtalen og vil dermed bli inkludert i gebyrene for slike tjenester. Simployer har imidlertid rett til ytterligere kompensasjon på tids- og materielt grunnlag for eventuelle kostnader som påløper i forbindelse med i) Simployer som bistår Kunden som angitt i avsnitt 7 eller 8 ovenfor, eller ii) Simployers svar på enhver forespørsel om informasjon relatert til en registrert.

12. Erstatningsansvar

12.1 Hvis Simployer eller noen som Simployer er ansvarlig for i henhold til denne Databehandlingsavtalen uaktsomt behandler Kundens personopplysninger i strid med denne Databehandlingsavtalen eller i strid med lovlige instruksjoner fra Kunden, skal Simployer erstatte Kunden for skader som er påført på grunn av Simployers feilbehandling.

12.2 Kunden skal erstatte Simployer for skader som oppstår som følge av Kundens, eller noen som Kunden er ansvarlig for, manglende oppfyllelse av sine forpliktelser etter denne avtale.

12.3 En part er ikke ansvarlig for den andre partens tap av inntekter, forretningsmuligheter, goodwill eller andre indirekte skader.

12.4 En parts plikt til å betale erstatning, fastsatt i dette punkt 12, gjelder bare forutsatt at den ikke-misligholdende parten uten opphold gir en skriftlig melding om eventuelle krav mot den misligholdende parten og grunnlaget for slike krav.

12.5 Den generelle ansvarsbegrensningen i punkt 14 i avtalen skal også gjelde for denne databehandleravtalen.

13. Endringer

13.1 Hvis gjeldende databeskyttelseslovgivning endres, eller hvis tilsynsmyndigheten utsteder retningslinjer, beslutninger eller forskrifter om gjeldende databeskyttelseslovgivning som resulterer i denne databehandlingsavtalen må endres, skal Simployer gjøre de nødvendige endringene for å møte slike nye eller tilleggskrav og kommunisere slike endringer til Kunden, trer i kraft 30 dager fra varselet.

‍13.2 Simployer kan også endre innholdet i Databehandleravtalen av andre grunner (dvs. endrede eller nye tjenester, ny behandling basert på nye funksjoner, eller implementering av nye rutiner). Slike endringer vil bli varslet 90 kalenderdager før de trer i kraft. Kunden kan motsette seg slike endringer innen 30 kalenderdager fra varselet er sendt. Hvis kunden motsetter seg endringen, kan Simployer si opp en berørt tjeneste(r) og tilsvarende endring, eller til slutt vilkårene for bruk avtalen før endringen trer i kraft. Hvis klienten ikke motsetter seg endringen innen 30 dager fra varsel, anses endringen for å være akseptert.

14. Varighet og oppsigelse

14.1 Denne Databehandleravtalen gjelder fra underskrift og så lenge Simployer behandler Kundens personopplysninger.

14.2 Ved opphør av Simployers behandling av Kundens personopplysninger, skal Simployer, i samsvar med Kundens instruksjoner (forutsatt at lagring av slike data ikke er nødvendig i henhold til nasjonal lovgivning eller EU-lov, eller Simployer har juridisk grunnlag for å behandle slike data), enten (i) overføre alle Kundens personopplysninger til Kunden; eller (ii) slette kundens personopplysninger permanent.

‍‍

* * *

Vedlegg 1 – Spesifikasjon


1. Formål

1.1 Dette Vedlegg 1 (Spesifikasjon) angir detaljene vedrørende behandlingen av Kundens personopplysninger, som Simployer behandler på vegne av Kunden i henhold til Databehandleravtalen. Formålet med dette bilag 1 (spesifikasjon) er å klargjøre hvilken behandling og hvilke personopplysninger som omfattes av Tjenesteavtalen, og å oppfylle kravene i gjeldende personvernlovgivning om plikten til å spesifisere kategoriene av en databehandlers behandling av personopplysninger, se for eksempel artikkel 28.3 i GDPR.


2. Kontaktinformasjon


2.1 Kunden (behandlingsansvarlig)

Kunden identifisert i avtalen


2.2 Simployer (databehandler)

Selskap: Simployer AS, reg. nr. 986 419 454
Adresse: Kalnesveien 5, 1712 Grålum
Telefonnummer: +47 69 97 17 00
E-postadresse: info.no@simployer.com
Personvernombud: dpo@simployer.com


3. Behandling av personopplysninger


3.1 Kategorier av personopplysninger

Leverandøren kan behandle følgende kategorier av personopplysninger:

  1. a) Kontaktinformasjon (for eksempel navn, adresse, e-post, telefonnummer, arbeidstittel, arbeidssted)
  2. b) Personnummer
  3. c) Utdanning og erfaring
  4. d) Finansiell informasjon (for eksempel lønn, skatt og bankkontoinformasjon)
  5. e) Opplysninger om fravær fra arbeidet (som permisjon, ferie, foreldrepermisjon etc)
  6. f) Sensitive personopplysninger (i den grad de er oppgitt av kunden)


3.2 Kategorier av behandling

Følgende kategorier av behandling kan f.eks. finne sted:

Innsamling, strukturering, lagring, sikkerhetskopiering, testing, hendelseshåndtering, tilpasning eller endring, justering eller kombinering, begrensning, sletting eller ødeleggelse.


3.3 Kategorier av registrerte

Følgende kategorier av registrerte er inkludert:

  1. a) Ansatte og tidligere ansatte hos Kunden
  2. b) Konsulenter og andre personer som arbeider eller har arbeidet på vegne av den behandlingsansvarlige


3.4 Formålet med behandlingsaktivitetene

Formålet med behandlingsaktivitetene er at Simployer skal levere tjenestene til Kunden som angitt i, og så lenge avtalen varer.


3.5 Behandlingens varighet

Simployer vil behandle personopplysningene i løpet av avtaleperioden og til kunden har hentet personopplysningene, men ikke lenger enn 30 dager etter at avtalen er avsluttet.


4. Sikkerhetstiltak


4.1 Tekniske og organisatoriske sikkerhetstiltak

‍Leverandøren skal treffe følgende tekniske og organisatoriske sikkerhetstiltak:

  1. a) Kryptering av inaktive data og transitt
  2. b) Kontroll og logg over tilgang til personopplysningene
  3. c) Sikre at tilgjengelighet og tilgang til personopplysninger gjenopprettes i tilfelle hendelser
  4. d) Interne retningslinjer og prosess for håndtering av passord og enheter

Mer informasjon om Simployers arbeid med IT og informasjonssikkerhet finner du på https://alexishr.com/resources/data-security

‍5. Underbehandlere

På tidspunktet for inngåelse av databehandlingsavtalen har Simployer engasjert følgende. Prosessen for å endre underdatabehandlere er beskrevet i punkt 9 i Databehandleravtalen.

Navn på underleverandør Hvilke tjenester som leveres Lokasjon
Segment.io Analyse av brukerdata Irland
Intercom Support og analyse Irland
AuthO Autentiseringstjenester Tyskland
Google Irland Ltd SaaS-tjenester inkl. hosting Irland
MongoDB Atlas Databasetjenester Belgia
Sinch AB, Sverige Infrastruktur for sending av e-post Tyskland
Planhat Customer Success Management system EU
Selskaper i Simployer-konsernet: Simployer AB, Simployer AS, Simployer Solutions AS, Simployer Tech Polska, Simployer Consulting Polska Utvikling og drift av moduler Norge, Sverige, Polen


5.1 Underdatabehandlere ved bruk av Engagement-modulen

Når du bruker Engagement-modulen, godtar du de ekstra underbehandlerne som beskrevet her: Liste over ekstra underbehandlere ved bruk av Engagement. På tidspunktet for inngåelse av databehandlingsavtalen, har Simployer engasjert underleverandørene som beskrevet på nettstedet.Denne listen holdes oppdatert på nettstedet lenket til ovenfor, og eventuelle endringer vil bli kommunisert som beskrevet i punkt 9 i denne databehandleravtalen.

Vær oppmerksom på muligheten for "Reduced Processing Mode" som sikrer databehandling kun innenfor EU/EØS for oppdragsmodulen.

Prosessen for å endre underdatabehandlere er beskrevet i punkt 9 i Databehandleravtalen.

Bilag 2 til Databehandleravtale – Engagement

Bilag 2 gjelder kun dersom kunden har kjøpt Engagement.

Når det gjelder utlevering av data fra denne modulen, kan databehandleren ikke gi behandlingsansvarlig (klienten) svarinformasjon på noen annen måte enn i anonymisert og avidentifisert form. Med svarinformasjon menes svarene medarbeiderne har gitt på medarbeiderundersøkelser som er samlet inn ved hjelp av Engagement-modulen. Årsaken til dette er at anonymisering av svarinformasjonen er en integrert del av tjenesten i Engagement.

Dersom Kunden har til hensikt å benytte tjenesten også for ansatte i andre virksomheter enn sitt eget, skal de på egen hånd innhente virksomhetenes tillatelse til å behandle personopplysninger om de berørte ansatte. For selskaper og ansatte bosatt utenfor EU/EØS, skal Kunden uavhengig overvåke og være ansvarlig for overholdelse av lovkrav i samsvar med gjeldende utenlandsk lovgivning.

Klienten er også ansvarlig for å sikre at deres bruk av-, og innholdet i spørsmålene og svarene som lagres i Engagement-modulen. Klienten skal unngå og/eller utvise varsomhet med å stille spørsmål som involverer eller resulterer i svarinformasjon som inneholder personopplysninger og som de ikke trenger eller har rettslig grunnlag for å behandle. Dette kan for eksempel være kategorier av sensitive opplysninger som helseopplysninger, eller opplysninger som er særregulert, for eksempel forretningshemmeligheter mv.

 

How can we help?

We’re here for every step of your employee journey. From intuitive software for people management to hands-on learning programs and expert support from our legal team — we've got you covered.

Vector Book a meeting

Curious to see Simployer in action? Book a demo today and discover your new HR toolkit!
Talk to Sales

Vector Need a hand? We’re here to help!

Looking for answers or updates? Our Support Center has everything you need—FAQs, release notes, customer care, and more. Dive in or reach out; we’re here to help!
Go to support