Databehandleravtalen er inngått mellom partene som del av tilleggstjenester beskrevet i punktet «Avtalte tilleggstjenester» i engasjementsbrevet som bekrefter vårt oppdrag som valgt revisor for selskapet (heretter kalt «tilleggstjenestene»).
Etter EUs personvernforordning (GDPR) skal det inngås en databehandleravtale når en databehandler skal behandle personopplysninger på vegne av en behandlingsansvarlig. Dere er behandlingsansvarlig og vi er databehandler ved behandling av personopplysninger i forbindelse med tilleggstjenestene. Revisor er behandlingsansvarlig for personopplysninger som revisor innhenter og behandler for å utføre revisjonsoppdraget.
1. Behandlingens art og formål
Databehandler bistår behandlingsansvarlig slik det er beskrevet i punktet «Avtalte tilleggstjenester» i engasjementsbrevet. Databehandler vil bare behandle personopplysninger på vegne av behandlingsansvarlig når det er nødvendig for å utføre oppdraget. Formålet og omfanget fremgår av engasjementsbrevet.
2. Databehandlers plikter
Databehandler skal kun behandle personopplysningene for det formålet som er angitt ovenfor og i samsvar med denne databehandleravtalen.
Behandlingsansvarlig skal løpende ha mulighet til å få tilgang til materiale som inneholder personopplysninger. Databehandler plikter å gi nødvendig bistand til dette. Databehandler skal i rimelig utstrekning bistå behandlingsansvarlig med å oppfylle plikten til å ivareta de registrertes rettigheter.
Databehandler skal gjøre all informasjon som er nødvendig for å påvise at databehandler oppfyller sine plikter etter denne avtalen, tilgjengelig for den behandlingsansvarlige. Den behandlingsansvarlige kan også gjennomføre kontroller og inspeksjoner for å sjekke dette.
Databehandler følger
Revisorforeningens bransjenorm for behandling av personopplysninger i revisjonsbransjen.
3. Bruk av underdatabehandlere
Databehandler har den behandlingsansvarliges generelle godkjennelse til å bruke andre databehandlere. Det er inngått databehandleravtaler i alle ledd i henhold til kravene i GDPR. Behandlingsansvarlig kan på forespørsel få kopi av databehandleravtalene.
4. Sikkerhet
Databehandler skal gjennomføre egnede sikkerhetstiltak for å beskytte personopplysningene og sikre at behandlingsansvarlig har nødvendig tilgang til opplysningene for å oppfylle sine plikter etter GDPR.
Databehandler skal kunne dokumentere rutiner og tiltak som gjennomføres for å oppfylle disse kravene, og dette skal på forespørsel være tilgjengelig for behandlingsansvarlig.
Databehandler skal bistå behandlingsansvarlig med å sikre at kravene om personopplysningssikkerhet og avviksmelding ivaretas etter GDPR artiklene 32 – 36. Behandlingsansvarlig skal varsles om brudd på personopplysningssikkerheten. Ved vesentlige brudd skal varselet inneholde nødvendige opplysninger for å kunne gi en utførlig beskrivelse av forholdet til Datatilsynet og de registrerte. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet og de berørte registrerte.
5. Brudd
Ved brudd på denne avtale eller personopplysningsloven har behandlingsansvarlig rett til å si opp tilleggstjenestene. Behandlingsansvarlig kan pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning, og har i tilfelle ansvaret for at tilleggstjenestene ikke kan utføres som avtalt.
6. Tilbakelevering og sletting
Databehandler skal slette personopplysninger i henhold til instruks fra behandlingsansvarlig. Databehandler er forpliktet til å tilbakelevere alle personopplysninger som er behandlet på den behandlingsansvarliges vegne ved opphør av avtaleforholdet, og deretter slette kopier og registrerte opplysninger. Dette gjelder personopplysninger som kun behandles for å utføre tilleggstjenestene.
7. Opplysninger og informasjon
Representanter for informasjon og opplysninger etter denne avtalen er de samme som har signert engasjementsbrevet.
Signering
Partenes signering av engasjementsbrevet dekker også denne databehandleravtalen.
Siste revisjon av databehandleravtalen
21. november 2024
Endringslogg
21. november 2024
Første versjon av databehandleravtalen som et separat tillegg til engasjementsbrev for revisjon.