Junglemaps databehandleravtale
I forbindelse med Kundens bruk av Leverandørens (Junglemaps) e-læringsplattform kan Kundens personopplysninger som gjelder kundens ansatte, overføres til og registreres i Leverandørens system (slike personopplysninger inkluderer navn, e-postadresse, organisasjonstilhørighet, kursinformasjon, testresultater og annen informasjon om individers bruk av e-læringsplattformen). I forbindelse med behandling av de personopplysninger som omfattes av denne Avtalen, er Kunden behandlingsansvarlig og Leverandøren databehandler.
Kunden har ansvaret for at Kundens ansatte som registreres på e-læringsplattformen, har blitt informert om og samtykket til at personopplysningene deres blir behandlet av Leverandøren som spesifisert i denne Avtalen. Leverandøren skal bare behandle personopplysninger som gjelder Kundens ansatte slik som beskrevet i denne Avtalen, og bare i den grad en slik behandling er rimelig og nødvendig for at Leverandøren skal kunne etterkomme sine forpliktelser i henhold til denne Avtalen, eller for å utvikle eller forbedre Leverandørens egne tjenester.
Leverandøren forplikter seg til å behandle personopplysninger i samsvar med lov av 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven) og EUs personvernforordning (GDPR), inkludert praksis, retningslinjer og anbefalinger fra den relevante tilsynsmyndigheten. Dette inkluderer å gjennomføre alle nødvendige tekniske og organisatoriske tiltak for å beskytte personopplysninger mot tilfeldig eller ulovlig sletting eller tilfeldig datatap, uautorisert endring, deling eller tilgang, særlig dersom behandlingen omfatter overføring av informasjon i et nettverk, og å beskytte personopplysninger mot all annen ulovlig behandling. Ved brudd på denne avtale, herunder personopplysningssikkerheten, skal Leverandøren varsle Kunden uten ugrunnet opphold, som deretter har det formelle ansvaret for å informere Datatilsynet og den registrerte.
Leverandøren skal samarbeide med Kunden om å gjennomføre alle rimelige tekniske og organisatoriske tiltak som sikrer at de registrerte personopplysningene til enhver tid er korrekte og oppdaterte. Kunden har krav på å motta informasjon fra Leverandøren om eksisterende sikkerhetsdokumentasjon, og relevante gjennomførte sikkerhetstiltak. Kunden kan avtale med Leverandøren at det skal utføres sikkerhetsrevisjoner. Kunden skal være ansvarlig for kostnader som påløper for sikkerhetsrevisjoner dersom partene avtaler å utføre sikkerhetsrevisjoner utover Leverandørens regelmessige revisjoner. Leverandøren skal samarbeide med Kunden om å oppfylle de registrertes rett til å ha tilgang til informasjon om seg selv. Leverandøren skal sørge for at uriktige personopplysninger slettes eller rettes dersom Kunden krever dette.
På instruks fra Kunden skal Leverandøren sette i gang alle rimelige tiltak for å slette informasjonen innen rimelig tid og i tråd med formålet for innhentingen eller behandlingen av personopplysningene, med mindre det finnes lovhjemmel for å beholde dataene på ubestemt tid.
Leverandøren skal ikke gi tilgang eller oppgi informasjon til en tredjepart med mindre det er nødvendig eller tillatt i henhold til denne Avtalen, jfr. de to påfølgende avsnittene, eller med mindre Kunden har gitt skriftlig samtykke til dette.
Leverandøren bruker forretningspartnere (“Partnere”) i forbindelse med distribusjon og markedsføring av Leverandørens e-læringsplattform. Kunden er oppmerksom på og aksepterer at personopplysninger om Kundens ansatte kan bli overført til eller behandlet av Leverandørens Partnere på samme måte, med samme formål og med de samme begrensninger som gjelder for Leverandørens behandling i henhold til denne Avtalen (dvs. som underbehandlere for Leverandøren).
Leverandørens e-læringsplattform drives på serverne til en tredjepartsleverandør (for tiden Microsoft), og Kunden er klar over og aksepterer at ansattes personopplysninger vil bli overført til og behandlet i systemer som tilhører tredjepartsleverandøren, med det formål å etterkomme denne Avtalen. Tredjepartsleverandøren kan også ha tilgang til informasjonen fra steder utenfor EØS-området. Leverandøren har ansvaret for å inngå en avtale med tredjepartsleverandøren som sikrer at overføringen av personopplysninger til steder utenfor EØS, til enhver tid overholder gjeldende lovgivning for slike overføringer i EØS/EU.
Leverandøren skal informere kunden på forhånd om tredjeparter og underleverandører som behandler personopplysninger om Kundens ansatte.
Etter oppsigelse av denne Avtalen kan Kunden kreve at alle personopplysninger som er registrert om Kundens ansatte, overføres til Kunden i et standard tabellformat (f.eks. Excel) og på et egnet medium som Leverandøren velger. Kunden dekker ev. kostnader som måtte påløpe i denne sammenheng.