Utsikt fra fly

Databehandleravtale for avtalte tilleggstjenester

Databehandleravtalen er inngått mellom partene som del av tilleggstjenester beskrevet i punktet «Avtalte tilleggstjenester» i engasjementsbrevet som bekrefter vårt oppdrag som valgt revisor for selskapet (heretter kalt «tilleggstjenestene»).

Etter EUs personvernforordning (GDPR) skal det inngås en databehandleravtale når en databehandler skal behandle personopplysninger på vegne av en behandlingsansvarlig. Dere er behandlingsansvarlig og vi er databehandler ved behandling av personopplysninger i forbindelse med tilleggstjenestene. Revisor er behandlingsansvarlig for personopplysninger som revisor innhenter og behandler for å utføre revisjonsoppdraget.

 

1. Behandlingens art og formål

Databehandler bistår behandlingsansvarlig slik det er beskrevet i punktet «Avtalte tilleggstjenester» i engasjementsbrevet. Databehandler vil bare behandle personopplysninger på vegne av behandlingsansvarlig når det er nødvendig for å utføre oppdraget. Formålet og omfanget fremgår av engasjementsbrevet.

 

2. Databehandlers plikter

Databehandler skal kun behandle personopplysningene for det formålet som er angitt ovenfor og i samsvar med denne databehandleravtalen.

Behandlingsansvarlig skal løpende ha mulighet til å få tilgang til materiale som inneholder personopplysninger. Databehandler plikter å gi nødvendig bistand til dette. Databehandler skal i rimelig utstrekning bistå behandlingsansvarlig med å oppfylle plikten til å ivareta de registrertes rettigheter. 

Databehandler skal gjøre all informasjon som er nødvendig for å påvise at databehandler oppfyller sine plikter etter denne avtalen, tilgjengelig for den behandlingsansvarlige. Den behandlingsansvarlige kan også gjennomføre kontroller og inspeksjoner for å sjekke dette.

Databehandler følger Revisorforeningens bransjenorm for behandling av personopplysninger i revisjonsbransjen.

 

3. Bruk av underdatabehandlere

Databehandler har den behandlingsansvarliges generelle godkjennelse til å bruke andre databehandlere. Det er inngått databehandleravtaler i alle ledd i henhold til kravene i GDPR. Behandlingsansvarlig kan på forespørsel få kopi av databehandleravtalene. 

 

4. Sikkerhet

Databehandler skal gjennomføre egnede sikkerhetstiltak for å beskytte personopplysningene og sikre at behandlingsansvarlig har nødvendig tilgang til opplysningene for å oppfylle sine plikter etter GDPR. 

Databehandler skal kunne dokumentere rutiner og tiltak som gjennomføres for å oppfylle disse kravene, og dette skal på forespørsel være tilgjengelig for behandlingsansvarlig.

Databehandler skal bistå behandlingsansvarlig med å sikre at kravene om personopplysningssikkerhet og avviksmelding ivaretas etter GDPR artiklene 32 – 36. Behandlingsansvarlig skal varsles om brudd på personopplysningssikkerheten. Ved vesentlige brudd skal varselet inneholde nødvendige opplysninger for å kunne gi en utførlig beskrivelse av forholdet til Datatilsynet og de registrerte. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet og de berørte registrerte.

 

5. Brudd 

Ved brudd på denne avtale eller personopplysningsloven har behandlingsansvarlig rett til å si opp tilleggstjenestene. Behandlingsansvarlig kan pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning, og har i tilfelle ansvaret for at tilleggstjenestene ikke kan utføres som avtalt.

 

6. Tilbakelevering og sletting

Databehandler skal slette personopplysninger i henhold til instruks fra behandlingsansvarlig. Databehandler er forpliktet til å tilbakelevere alle personopplysninger som er behandlet på den behandlingsansvarliges vegne ved opphør av avtaleforholdet, og deretter slette kopier og registrerte opplysninger. Dette gjelder personopplysninger som kun behandles for å utføre tilleggstjenestene. 

 

7. Opplysninger og informasjon

Representanter for informasjon og opplysninger etter denne avtalen er de samme som har signert engasjementsbrevet. 

 

Signering

Partenes signering av engasjementsbrevet dekker også denne databehandleravtalen.

 

Siste revisjon av databehandleravtalen

21. november 2024


Endringslogg

21. november 2024

Første versjon av databehandleravtalen som et separat tillegg til engasjementsbrev for revisjon.