I henhold til artikkel 28 nr. 3 i forordning 2016/679 (personvernforordningen) med sikte på databehandlerens behandling av personopplysninger. Databehandleravtalen trer i kraft når du er opprettet som kunde på Evofleet-plattformen.
Avtalen inngås mellom Kunden (heretter «den behandlingsansvarlige») og Evofleet ApS, CVR 43560433, St. Sct. Mikkels Gade 7, 8800 Viborg, Danmark (heretter «databehandleren»), som hver for seg er en «part» og sammen utgjør «partene».
Partene har avtalt følgende standard kontraktsbestemmelser (Bestemmelsene) med sikte på å overholde personvernforordningen og sikre vern av privatlivets fred og fysiske personers grunnleggende rettigheter og friheter.
Disse Bestemmelsene fastsetter databehandlerens rettigheter og plikter når denne foretar behandling av personopplysninger på vegne av den behandlingsansvarlige.
Disse bestemmelsene er utformet med sikte på partenes etterlevelse av artikkel 28 nr. 3 i Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (personvernforordningen).
I forbindelse med leveringen av Evofleets nettbaserte plattform behandler databehandleren personopplysninger på vegne av den behandlingsansvarlige i samsvar med disse Bestemmelsene.
Bestemmelsene har forrang fremfor eventuelle tilsvarende bestemmelser i andre avtaler mellom partene.
Det hører fire vedlegg til disse Bestemmelsene, og vedleggene utgjør en integrert del av Bestemmelsene.
Vedlegg A inneholder nærmere opplysninger om behandlingen av personopplysninger, herunder om behandlingens formål og art, typen personopplysninger, kategoriene av registrerte og varigheten av behandlingen.
Vedlegg B inneholder den behandlingsansvarliges betingelser for databehandlerens bruk av underdatabehandlere og en liste over underdatabehandlere som den behandlingsansvarlige har godkjent bruken av.
Vedlegg C inneholder den behandlingsansvarliges instruks med hensyn til databehandlerens behandling av personopplysninger, en beskrivelse av de sikkerhetstiltakene som databehandleren som et minimum skal gjennomføre, og hvordan det føres tilsyn med databehandleren og eventuelle underdatabehandlere.
Bestemmelsene med tilhørende vedlegg skal oppbevares skriftlig, herunder elektronisk, av begge parter.
Disse Bestemmelsene fritar ikke databehandleren fra plikter som databehandleren er pålagt etter personvernforordningen eller annen lovgivning.
Den behandlingsansvarlige er ansvarlig for å sikre at behandlingen av personopplysninger skjer i samsvar med personvernforordningen (se forordningens artikkel 24), personvernbestemmelser i annen EU-rett eller medlemsstatenes nasjonale rett og disse Bestemmelsene.
Den behandlingsansvarlige har rett og plikt til å treffe beslutninger om til hvilke(t) formål og med hvilke hjelpemidler det kan skje behandling av personopplysninger.
Den behandlingsansvarlige er blant annet ansvarlig for å sikre at det foreligger et behandlingsgrunnlag for behandlingen av personopplysninger som databehandleren instrueres i å foreta.
Databehandleren kan bare behandle personopplysninger etter dokumentert instruks fra den behandlingsansvarlige, med mindre det kreves i henhold til EU-rett eller medlemsstatenes nasjonale rett som databehandleren er underlagt. Denne instruksen skal være spesifisert i vedlegg A og C. Etterfølgende instruks kan også gis av den behandlingsansvarlige mens det skjer behandling av personopplysninger, men instruksen skal alltid være dokumentert og oppbevares skriftlig, herunder elektronisk, sammen med disse Bestemmelsene.
Databehandleren underretter omgående den behandlingsansvarlige dersom en instruks etter vedkommendes mening er i strid med denne forordningen eller personvernbestemmelser i annen EU-rett eller medlemsstatenes nasjonale rett.
Databehandleren kan bare gi tilgang til personopplysninger som behandles på vegne av den behandlingsansvarlige, til personer som er underlagt databehandlerens instruksjonsmyndighet, som har forpliktet seg til konfidensialitet eller er underlagt en passende lovfestet taushetsplikt, og bare i nødvendig omfang. Listen over personer som har fått tildelt tilgang, skal gjennomgås løpende. På bakgrunn av denne gjennomgangen kan tilgangen til personopplysninger stenges dersom tilgangen ikke lenger er nødvendig, og personopplysningene skal deretter ikke lenger være tilgjengelige for disse personene.
Databehandleren skal etter anmodning fra den behandlingsansvarlige kunne påvise at de aktuelle personene som er underlagt databehandlerens instruksjonsmyndighet, er underlagt ovennevnte taushetsplikt.
Personvernforordningens artikkel 32 fastslår at den behandlingsansvarlige og databehandleren, idet det tas hensyn til det aktuelle tekniske nivået, implementeringskostnadene og den aktuelle behandlingens art, omfang, sammenheng og formål samt risikoene av varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter, gjennomfører passende tekniske og organisatoriske tiltak for å sikre et beskyttelsesnivå som er tilpasset disse risikoene.
Den behandlingsansvarlige skal vurdere risikoene for fysiske personers rettigheter og friheter som behandlingen utgjør, og gjennomføre tiltak for å imøtegå disse risikoene. Avhengig av deres relevans kan det omfatte:
Etter forordningens artikkel 32 skal databehandleren – uavhengig av den behandlingsansvarlige – også vurdere risikoene for fysiske personers rettigheter som behandlingen utgjør, og gjennomføre tiltak for å imøtegå disse risikoene. Med sikte på denne vurderingen skal den behandlingsansvarlige stille den nødvendige informasjonen til rådighet for databehandleren som gjør vedkommende i stand til å identifisere og vurdere slike risikoer.
I tillegg skal databehandleren bistå den behandlingsansvarlige med vedkommendes overholdelse av den behandlingsansvarliges plikt etter forordningens artikkel 32, blant annet ved å stille den nødvendige informasjonen til rådighet for den behandlingsansvarlige om de tekniske og organisatoriske sikkerhetstiltakene som databehandleren allerede har gjennomført i henhold til forordningens artikkel 32, og all annen informasjon som er nødvendig for den behandlingsansvarliges overholdelse av sin plikt etter forordningens artikkel 32.
Dersom imøtegåelse av de identifiserte risikoene – etter den behandlingsansvarliges vurdering – krever gjennomføring av ytterligere tiltak enn de tiltakene som databehandleren allerede har gjennomført, skal den behandlingsansvarlige angi de ytterligere tiltakene som skal gjennomføres, i vedlegg C.
Databehandleren skal oppfylle de betingelsene som er omhandlet i personvernforordningens artikkel 28 nr. 2 og nr. 4 for å gjøre bruk av en annen databehandler (en underdatabehandler).
Databehandleren kan dermed ikke gjøre bruk av en underdatabehandler til oppfyllelse av disse Bestemmelsene uten forutgående generell skriftlig godkjenning fra den behandlingsansvarlige.
Databehandleren har den behandlingsansvarliges generelle godkjenning til bruk av underdatabehandlere. Databehandleren skal skriftlig underrette den behandlingsansvarlige om eventuelle planlagte endringer vedrørende tilføyelse eller utskifting av underdatabehandlere med minst én måneds varsel, og derved gi den behandlingsansvarlige mulighet til å gjøre innsigelse mot slike endringer før bruken av den eller de aktuelle underdatabehandlerne. Lengre varsel for underretning i forbindelse med spesifikke behandlingsaktiviteter kan angis i vedlegg B. Listen over underdatabehandlere som den behandlingsansvarlige allerede har godkjent, fremgår av vedlegg B.
Når databehandleren gjør bruk av en underdatabehandler i forbindelse med utførelse av spesifikke behandlingsaktiviteter på vegne av den behandlingsansvarlige, skal databehandleren, gjennom en kontrakt eller et annet rettslig dokument i henhold til EU-retten eller medlemsstatenes nasjonale rett, pålegge underdatabehandleren de samme personvernpliktene som de som fremgår av disse Bestemmelsene, hvorved det særlig stilles de nødvendige garantiene for at underdatabehandleren vil gjennomføre de tekniske og organisatoriske tiltakene på en slik måte at behandlingen overholder kravene i disse Bestemmelsene og personvernforordningen.
Databehandleren er derfor ansvarlig for å kreve at underdatabehandleren som et minimum overholder databehandlerens plikter etter disse Bestemmelsene og personvernforordningen.
Underdatabehandleravtale(r) og eventuelle senere endringer av disse sendes – etter den behandlingsansvarliges anmodning om dette – i kopi til den behandlingsansvarlige, som derved har mulighet til å forsikre seg om at tilsvarende personvernplikter som følger av disse Bestemmelsene er pålagt underdatabehandleren. Bestemmelser om kommersielle vilkår som ikke påvirker det personvernrettslige innholdet i underdatabehandleravtalen, skal ikke sendes til den behandlingsansvarlige.
Dersom underdatabehandleren ikke oppfyller sine personvernplikter, forblir databehandleren fullt ut ansvarlig overfor den behandlingsansvarlige for oppfyllelsen av underdatabehandlerens plikter. Dette påvirker ikke de registrertes rettigheter som følger av personvernforordningen, herunder særlig forordningens artikkel 79 og 82, overfor den behandlingsansvarlige og databehandleren, herunder underdatabehandleren.
Enhver overføring av personopplysninger til tredjeland eller internasjonale organisasjoner kan bare foretas av databehandleren på bakgrunn av dokumentert instruks om dette fra den behandlingsansvarlige, og skal alltid skje i samsvar med personvernforordningens kapittel V.
Dersom overføring av personopplysninger til tredjeland eller internasjonale organisasjoner, som databehandleren ikke er blitt instruert i å foreta av den behandlingsansvarlige, kreves i henhold til EU-rett eller medlemsstatenes nasjonale rett som databehandleren er underlagt, skal databehandleren underrette den behandlingsansvarlige om dette rettslige kravet før behandling, med mindre den aktuelle retten forbyr en slik underretning av hensyn til viktige samfunnsmessige interesser.
Uten dokumentert instruks fra den behandlingsansvarlige kan databehandleren dermed ikke innenfor rammen av disse Bestemmelsene:
Den behandlingsansvarliges instruks vedrørende overføring av personopplysninger til et tredjeland, herunder det eventuelle overføringsgrunnlaget i personvernforordningens kapittel V som overføringen er basert på, skal angis i vedlegg C.6.
Disse Bestemmelsene skal ikke forveksles med standard kontraktsbestemmelser som omhandlet i personvernforordningens artikkel 46 nr. 2 bokstav c og d, og disse Bestemmelsene kan ikke utgjøre et grunnlag for overføring av personopplysninger som omhandlet i personvernforordningens kapittel V.
Databehandleren bistår, idet det tas hensyn til behandlingens art, så langt det er mulig den behandlingsansvarlige ved hjelp av passende tekniske og organisatoriske tiltak med oppfyllelse av den behandlingsansvarliges plikt til å besvare anmodninger om utøvelsen av de registrertes rettigheter som fastlagt i personvernforordningens kapittel III.
Dette innebærer at databehandleren så langt det er mulig skal bistå den behandlingsansvarlige i forbindelse med at den behandlingsansvarlige skal sikre overholdelsen av:
I tillegg til databehandlerens plikt til å bistå den behandlingsansvarlige i henhold til Bestemmelse 6.3., bistår databehandleren videre, idet det tas hensyn til behandlingens art og de opplysningene som er tilgjengelige for databehandleren, den behandlingsansvarlige med:
Partene skal i vedlegg C angi de nødvendige tekniske og organisatoriske tiltakene som databehandleren skal bistå den behandlingsansvarlige med, samt i hvilket omfang og utstrekning. Dette gjelder for de pliktene som følger av Bestemmelse 9.1. og 9.2.
Databehandleren underretter uten ugrunnet opphold den behandlingsansvarlige etter å ha blitt oppmerksom på at det har skjedd et brudd på personopplysningssikkerheten.
Databehandlerens underretning til den behandlingsansvarlige skal om mulig skje senest 72 timer etter at denne er blitt kjent med bruddet, slik at den behandlingsansvarlige kan overholde sin plikt til å melde bruddet på personopplysningssikkerheten til den kompetente tilsynsmyndigheten, jf. personvernforordningens artikkel 33.
I samsvar med Bestemmelse 9.2.a skal databehandleren bistå den behandlingsansvarlige med å foreta melding av bruddet til den kompetente tilsynsmyndigheten. Det betyr at databehandleren skal bistå med å fremskaffe nedenstående informasjon, som ifølge artikkel 33 nr. 3 skal fremgå av den behandlingsansvarliges melding av bruddet til den kompetente tilsynsmyndigheten:
Partene skal i vedlegg C angi den informasjonen som databehandleren skal fremskaffe i forbindelse med sin bistand til den behandlingsansvarlige i dennes plikt til å melde brudd på personopplysningssikkerheten til den kompetente tilsynsmyndigheten.
Kunden er behandlingsansvarlig med hensyn til eventuelle personopplysninger som lastes opp og behandles i Tjenestene. Kunden eier egne data i Tjenestene. Kundens data slettes eller anonymiseres imidlertid løpende etter hvert som formålet de ble innsamlet til, avsluttes.
Regnskapsrelaterte data kan lagres i inntil 5 år i henhold til regnskapsloven.
Databehandleren stiller alle opplysninger som er nødvendige for å påvise overholdelsen av personvernforordningens artikkel 28 og disse Bestemmelsene, til rådighet for den behandlingsansvarlige og gir mulighet for og bidrar til revisjoner, herunder inspeksjoner, som foretas av den behandlingsansvarlige eller en annen revisor som er bemyndiget av den behandlingsansvarlige.
Prosedyrene for den behandlingsansvarliges revisjoner, herunder inspeksjoner, med databehandleren og underdatabehandlere er nærmere angitt i Vedlegg C.7. og C.8.
Databehandleren er forpliktet til å gi tilsynsmyndigheter som etter gjeldende lovgivning har adgang til den behandlingsansvarliges eller databehandlerens fasiliteter, eller representanter som opptrer på tilsynsmyndighetens vegne, adgang til databehandlerens fysiske fasiliteter mot behørig legitimasjon.
Partene kan avtale andre bestemmelser vedrørende tjenesten som gjelder behandling av personopplysninger om f.eks. erstatningsansvar, så lenge disse andre bestemmelsene ikke direkte eller indirekte strider mot Bestemmelsene eller forringer den registrertes grunnleggende rettigheter og friheter som følger av personvernforordningen.
Bestemmelsene trer i kraft på datoen for begge parters underskrift av disse.
Begge parter kan kreve Bestemmelsene reforhandlet dersom lovendringer eller uhensiktsmessigheter i Bestemmelsene gir grunn til det.
Bestemmelsene gjelder så lenge tjenesten som gjelder behandling av personopplysninger varer. I denne perioden kan Bestemmelsene ikke sies opp, med mindre andre bestemmelser som regulerer levering av tjenesten som gjelder behandling av personopplysninger, avtales mellom partene.
Dersom levering av tjenestene som gjelder behandling av personopplysninger opphører, og personopplysningene er slettet eller tilbakelevert til den behandlingsansvarlige i samsvar med Bestemmelse 11.1 og Vedlegg C.4, kan Bestemmelsene sies opp med skriftlig varsel av begge parter.
Denne avtalen inngår i våre betingelser, og ved kundeopprettelse aksepteres disse, og dermed anses avtalen som godkjent av kunden.
Partene kan kontakte hverandre via nedenstående kontaktpersoner.
Partene er forpliktet til løpende å informere hverandre om endringer vedrørende kontaktpersoner.
Den behandlingsansvarlige kan kontakte databehandleren via e-post til hello@evofleet.com eller ved å ringe 70 604 604. Databehandleren kan kontakte den behandlingsansvarlige via e-post eller telefon.
Personopplysninger brukes til kundeopprettelser, opprettelse av leasingavtaler, selvskyldnerkausjon, kredittvurderinger, sluttoppgjør og fakturering.
Databehandleren stiller en portal til rådighet for den behandlingsansvarlige og en kundeportal til den behandlingsansvarliges kunder.
Navn, e-postadresse, telefonnummer, adresse, førerkortnummer, CPR-nr. (CPR brukes bare ved selvskyldnerkausjon).
Den behandlingsansvarlige og dennes kunder.
Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige kan påbegynnes etter at disse Bestemmelsene trer i kraft. Behandlingen varer inntil en avtale sies opp.
Ved Bestemmelsenes ikrafttredelse har den behandlingsansvarlige godkjent bruken av følgende underdatabehandlere:
Ved Bestemmelsenes ikrafttredelse har den behandlingsansvarlige godkjent bruken av ovennevnte underdatabehandlere for den beskrevne behandlingsaktiviteten. Databehandleren kan ikke – uten den behandlingsansvarliges skriftlige godkjenning – gjøre bruk av en underdatabehandler til en annen behandlingsaktivitet enn den beskrevne og avtalte eller gjøre bruk av en annen underdatabehandler til denne behandlingsaktiviteten.
Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige skjer ved at databehandleren utfører følgende: Den behandlingsansvarlige oppretter kunden på plattformen. Deretter opprettes en leasingavtale som sendes til kunden via e-post.
Den behandlingsansvarlige kan kreve selvskyldnerkausjon fra en kunde. Dette betyr at det i disse tilfellene vil bli oppbevart CPR-nr.-data på plattformen.
Databehandleren er berettiget og forpliktet til å treffe beslutninger om hvilke tekniske og organisatoriske sikkerhetstiltak som skal gjennomføres for å etablere det nødvendige (og avtalte) sikkerhetsnivået.
Databehandleren skal imidlertid – under alle omstendigheter og som et minimum – gjennomføre følgende tiltak, som er avtalt med den behandlingsansvarlige:
Databehandleren skal så langt det er mulig – innenfor det avtalte omfanget og utstrekningen – bistå den behandlingsansvarlige i samsvar med Bestemmelse 9.1 og 9.2 ved å gjennomføre de nødvendige tekniske og organisatoriske tiltakene.
Ved opphør av tjenesten som gjelder behandling av personopplysninger skal databehandleren enten slette eller tilbakelevere personopplysningene i samsvar med Bestemmelse 11.1, med mindre den behandlingsansvarlige – etter underskriften av disse bestemmelsene – har endret den behandlingsansvarliges opprinnelige valg. Slike endringer skal være dokumentert og oppbevares skriftlig, herunder elektronisk, i tilknytning til bestemmelsene.
Behandling av de personopplysningene som omfattes av Bestemmelsene, kan ikke uten den behandlingsansvarliges forutgående skriftlige godkjenning skje på andre lokaliteter enn følgende: Behandlingen skjer hos Amazon Web Services’ datasenter i Frankfurt og Stockholm.
Personopplysninger overføres ikke til tredjeland utenfor EU.
Denne databehandleravtalen er underlagt dansk rett. Avtalen foreligger på flere språk som en service for kunden. Ved uoverensstemmelse eller tvist mellom språkversjonene har den danske versjonen forrang.