Denne databehandleravtalen («DPA» eller «Avtalen») inngås mellom:

• Behandlingsansvarlig («Kunden»): Den juridiske enheten som bestiller tjenester fra Leverandøren og som er identifisert i tilbud/ordre/avtale («Hovedavtalen»).
• Databehandler («Leverandøren»): Wonder Technologies AS, org.nr. 929 267 834 MVA, Oreliveien 8, 0580 Oslo, e-post: support@hjemmesidehelten.no.

Avtalen regulerer Leverandørens behandling av personopplysninger på vegne av Kunden i henhold til personopplysningsloven og GDPR artikkel 28.

Avtalen trer i kraft når Leverandøren behandler personopplysninger på vegne av Kunden som ledd i leveranse av avtalte tjenester (for eksempel drift, hosting, vedlikehold, support, utvikling eller feilsøking) og gjelder så lenge slik behandling pågår.

Ved motstrid mellom denne Avtalen og Hovedavtalen, gjelder Hovedavtalen med mindre denne Avtalen uttrykkelig regulerer krav etter GDPR art. 28 (da har denne Avtalen forrang for den delen av behandlingen som omfattes).

1. Definisjoner

Begrepene «personopplysninger», «behandling», «registrert», «brudd på personopplysningssikkerheten» mv. skal forstås som i GDPR.

• Hovedavtalen: Kundens tilbud/ordre/avtale som beskriver de avtalte tjenestene.
• Tjenestene: Tjenester leverandøren leverer til Kunden, herunder WordPress-nettside, WooCommerce-nettbutikk, hosting, drift, vedlikehold og support, samt tilleggstjenester, jf. Hovedavtalen.
• Underbehandler: En tredjepart Leverandøren engasjerer til å behandle personopplysninger på vegne av Kunden.

2. Formål, behandlingens art og varighet

2.1 Formål

Formålet med behandlingen er å levere Tjenestene til Kunden i henhold til Hovedavtalen, herunder drift/hosting, vedlikehold, feilretting, sikkerhetstiltak, oppgraderinger, og kundestøtte.

2.2 Behandlingens art

Behandlingen kan omfatte, avhengig av de avtalte Tjenestene:

• lagring, hosting og tilgjengeliggjøring av Kundens løsning (database, filer, innhold)
• administrasjon av tilganger og brukere etter instruks
• oppdateringer av WordPress, tema og plugins (der dette inngår)
• overvåkning, logging og sikkerhetsrelaterte tiltak
• support, feilsøking og utbedring (inkludert kommunikasjon via e-post og/eller Slack når dette brukes som kundekanal)
• backup og gjenoppretting (der dette inngår)

2.3 Varighet

Avtalen gjelder så lenge Leverandøren behandler personopplysninger på vegne av Kunden, og opphører når Tjenestene opphører og data er slettet/returnert i tråd med punkt 10.

3. Behandlingsansvarliges instruks

3.1 Instruks

Leverandøren skal kun behandle personopplysninger i henhold til:

• dokumenterte instruksjoner fra Kunden, og
• det som er nødvendig for å levere Tjenestene i henhold til Hovedavtalen.

Instrukser kan fremgå av Hovedavtalen, e-post, sakssystem, eller annet skriftlig avtalt format.

3.2 Lovstridige instruksjoner

Dersom Leverandøren mener en instruks er i strid med GDPR eller annen personvernlovgivning, skal Leverandøren varsle Kunden uten ugrunnet opphold.

4. Kategorier av registrerte og personopplysninger

4.1 Kategorier av registrerte

Behandlingen kan omfatte personopplysninger om:

• Kundens ansatte/brukere (for eksempel administratorbrukere i WordPress/WooCommerce)
• Kundens kunder/sluttkunder (for eksempel ordre- og kundedata i nettbutikk)
• Besøkende på Kundens nettsted (for eksempel IP-adresser og hendelsesdata)
• Personer som kontakter Kunden via skjema/chat (for eksempel navn og kontaktinformasjon)

4.2 Kategorier av personopplysninger

Behandlingen kan omfatte:

• identifikasjons- og kontaktopplysninger (navn, e-post, telefon, adresse)
• innloggings-/brukerdata (brukernavn, rolle/tilgang, metadata)
• ordre-/transaksjonsdata (ved nettbutikk) etter Kundens oppsett
• tekniske data og logger (IP-adresse, enhets-/nettleserdata, tidsstempel, hendelser)
• kommunikasjon knyttet til support/feilsøking (for eksempel e-post og/eller Slack)

4.3 Særlige kategorier

Tjenestene er ikke ment å behandle særlige kategorier personopplysninger (sensitive data). Dersom Kunden likevel legger inn/tilrettelegger for slik behandling, skal Kunden varsle Leverandøren, og partene må avklare ytterligere krav og sikkerhetstiltak skriftlig.

5. Databehandlers generelle forpliktelser (GDPR art. 28)

Leverandøren forplikter seg til å:

• sikre at personer med tilgang til personopplysninger er underlagt taushetsplikt
• treffe egnede tekniske og organisatoriske sikkerhetstiltak, jf. punkt 6
• bistå Kunden etter GDPR, jf. punkt 8 og 9
• benytte underbehandlere i samsvar med punkt 7
• etter Avtalens opphør returnere/slette data i samsvar med punkt 10
• gjøre informasjon tilgjengelig for å påvise etterlevelse, jf. punkt 11

6. Sikkerhetstiltak (GDPR art. 32)

6.1 Tiltak

Leverandøren skal iverksette egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som passer risikoen, for eksempel:

• tilgangsstyring og rollebaserte tilganger
• rutiner for minste privilegium og administrasjon av brukere/tilganger
• kryptert overføring (TLS/SSL) der det er relevant
• logging og overvåkning av drift og sikkerhet (i den grad dette inngår i Tjenestene)
• patching/oppdatering av systemkomponenter i tråd med avtalt omfang
• backup og gjenoppretting der dette inngår i avtalt drift/vedlikehold

6.2 Konfidensialitet

Leverandøren skal sikre at ansatte og eventuelle konsulenter er bundet av konfidensialitetsforpliktelser.

7. Underbehandlere

7.1 Generell autorisasjon

Kunden gir Leverandøren en generell autorisasjon til å benytte underbehandlere når dette er nødvendig for å levere Tjenestene.

7.2 Informasjon om underbehandlere

Leverandøren skal ved forespørsel gi Kunden oppdatert informasjon om relevante underbehandlere.

Underleverandører som ofte benyttes kan for eksempel omfatte (avhengig av valgt leveranse):

• Webserver/hosting: Kinsta Inc. (EU-servere)
• E-postutsendelse: Twilio Inc. / SendGrid (EU-servere)
• Domene og e-post: Domeneshop AS (Norge) og/eller GoDaddy.com LLC (EU-servere)
• Driftsverktøy: WP Umbrella (Liven Studio SAS) (EU-servere)
• Kundekommunikasjon: Slack Technologies LLC (EU-servere)

Dette er ikke en uttømmende liste.

7.3 Krav til underbehandlere

Leverandøren skal inngå avtale med underbehandlere som pålegger dem minst samme databeskyttelsesforpliktelser som i denne Avtalen.

8. Bistand ved registrertes rettigheter

Leverandøren skal, innen rimelighetens grenser og hensyntatt behandlingens art, bistå Kunden med å oppfylle plikten til å svare på forespørsler om utøvelse av registrertes rettigheter etter GDPR kapittel III (innsyn, retting, sletting, begrensning, dataportabilitet, protest mv.).

Dersom bistand krever arbeid utover det som følger av avtalt tjenesteomfang, kan slik bistand faktureres etter avtalt timepris i Hovedavtalen eller, dersom ikke annet er avtalt, Leverandørens gjeldende timepris.

9. Bistand ved sikkerhet, DPIA og dialog med tilsyn

Leverandøren skal bistå Kunden med:

• sikkerhetsvurderinger etter GDPR art. 32 i den grad det er relevant for Tjenestene
• konsekvensutredning (DPIA) etter GDPR art. 35, i den grad Leverandøren har relevant informasjon
• forhåndsdrøftelser med tilsynsmyndighet etter GDPR art. 36, ved behov og innen rimelighetens grenser

Bistand etter dette punktet kan faktureres etter avtalt timepris dersom den går ut over det avtalte tjenesteomfanget.

10. Brudd på personopplysningssikkerheten

10.1 Varsling

Ved brudd på personopplysningssikkerheten skal Leverandøren varsle Kunden uten ugrunnet opphold etter å ha blitt kjent med bruddet.

10.2 Innhold i varsel

Varsel skal, så langt tilgjengelig, beskrive:

• bruddets art
• sannsynlige konsekvenser
• foreslåtte/iverksatte tiltak for å håndtere bruddet
• kontaktpunkt hos Leverandøren

Leverandøren skal bistå Kunden med nødvendig informasjon slik at Kunden kan oppfylle sin varslingsplikt til Datatilsynet og/eller registrerte.

11. Retur og sletting ved opphør

Ved opphør av Tjenestene, og etter Kundens valg, skal Leverandøren:

• returnere personopplysninger til Kunden i et vanlig anvendelig format, og/eller
• slette eller anonymisere personopplysninger.

Med mindre annet er avtalt, skal sletting/anonymisering skje innen 30 dager etter avtalens opphør, med mindre lengre lagring kreves etter lov eller er avtalt skriftlig.

12. Revisjon og etterlevelse

Kunden kan be om dokumentasjon som viser at Leverandøren etterlever denne Avtalen.

Kunden kan gjennomføre revisjon/audit av behandling som omfattes av Avtalen, forutsatt at:

• revisjon varsles med minst 30 dager
• revisjonen gjennomføres på en måte som i minst mulig grad forstyrrer Leverandørens drift
• Kundens revisjon begrenses til det som er nødvendig og forholdsmessig

Kostnader ved revisjon bæres av Kunden, med mindre revisjonen avdekker vesentlige avvik fra Avtalen.

13. Ansvar

Partenes ansvar følger Hovedavtalen og alminnelige kontraktsrettslige regler, med mindre ufravikelig lov fastsetter annet. Hver part er ansvarlig for egne brudd på personvernlovgivningen.

14. Lovvalg og tvister

Avtalen er underlagt norsk rett. Tvister søkes løst i minnelighet. Dersom enighet ikke oppnås, avtales Oslo tingrett som verneting.

15. Vedlegg 1 – Behandlingsaktiviteter (GDPR art. 28(3))

Dette vedlegget beskriver behandlingen i samsvar med GDPR art. 28(3).

A. Behandlingens gjenstand

Leveranse av Tjenestene til Kunden knyttet til Kundens WordPress-/WooCommerce-løsning, inkludert drift/hosting/vedlikehold/support og tilhørende teknisk håndtering.

B. Formål

Som beskrevet i punkt 2.1.

C. Varighet

Som beskrevet i punkt 2.3.

D. Kategorier registrerte

Som beskrevet i punkt 4.1.

E. Kategorier personopplysninger

Som beskrevet i punkt 4.2.

F. Behandlingsoperasjoner

Typiske operasjoner kan være:

• lagring og tilgjengeliggjøring (hosting)
• tilgang/lesing i forbindelse med support og feilsøking
• endring/oppdatering av konfigurasjon, plugins og innhold etter instruks
• backup og gjenoppretting (der dette inngår)
• sletting/returnering ved opphør