Standard databehandleravtale
Mal for avtale mellom Narvik Golfklubb (behandlingsansvarlig) og leverandør (databehandler). I tråd med GDPR art. 28.
Denne malen brukes når Narvik Golfklubb (heretter «Behandlingsansvarlig») engasjerer en ekstern leverandør (heretter «Databehandler») som behandler personopplysninger på klubbens vegne. Avtalen er basert på EU-kommisjonens standardkontrakter og oppfyller GDPR artikkel 28.
1. Parter
Behandlingsansvarlig:
Narvik Golfklubb
Skjomdalsveien 1380, 8520 Ankenes
Org.nr: [ORG.NR]
Databehandler: [Selskap, org.nr, adresse]
2. Avtalens formål
Avtalen regulerer Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlig i forbindelse med [BESKRIV TJENESTEN, f.eks. «levering av booking- og medlemssystemet GolfBox»].
3. Beskrivelse av behandlingen
| Behandlingens art og formål | [Beskriv] |
| Type personopplysninger | [Beskriv: navn, e-post, HCP m.fl.] |
| Kategorier av registrerte | Medlemmer, gjester, ansatte/tillitsvalgte |
| Varighet | Så lenge tjenesteavtalen består + sletting iht. pkt. 9 |
4. Databehandlers plikter
Databehandler skal:
- Bare behandle personopplysninger etter dokumenterte instrukser fra Behandlingsansvarlig.
- Sikre at personer med tilgang er underlagt taushetsplikt.
- Iverksette nødvendige tekniske og organisatoriske tiltak (GDPR art. 32) for å sikre opplysningenes konfidensialitet, integritet og tilgjengelighet.
- Bistå Behandlingsansvarlig med å oppfylle plikter etter GDPR art. 32–36.
- Bistå med behandling av rettighetshenvendelser fra registrerte.
- Rapportere brudd på personopplysningssikkerheten til Behandlingsansvarlig uten ugrunnet opphold, og senest innen 24 timer etter at bruddet er oppdaget.
5. Underdatabehandlere
Databehandler kan kun benytte underdatabehandlere etter forhåndsgodkjenning fra Behandlingsansvarlig. Liste over godkjente underdatabehandlere ligger som vedlegg 1. Ved nye underdatabehandlere skal Behandlingsansvarlig varsles minst 30 dager i forveien.
6. Overføring til tredjeland
Personopplysninger skal som hovedregel behandles innenfor EU/EØS. Overføring til tredjeland kan kun skje med:
- Beslutning om tilstrekkelig beskyttelsesnivå fra EU-kommisjonen, eller
- Standardkontrakter (SCC) godkjent av EU-kommisjonen, og
- Forhåndsgodkjenning fra Behandlingsansvarlig.
7. Sikkerhet
Databehandler skal som minimum sikre:
- Kryptering av data i transitt (TLS 1.2 eller nyere).
- Tilgangsstyring og logging av tilgang.
- Regelmessig sikkerhetskopiering og dokumentert gjenopprettingsrutine.
- Patchnivå og oppdaterte avhengigheter.
- Årlig gjennomgang av tekniske og organisatoriske tiltak.
8. Revisjon
Behandlingsansvarlig kan, ved 30 dagers varsel, gjennomføre revisjon for å kontrollere at avtalen overholdes — direkte eller via tredjepart. Databehandler dekker rimelige kostnader ved revisjon dersom denne avdekker vesentlige avvik.
9. Avslutning og sletting
Ved opphør av tjenesteavtalen skal Databehandler, etter Behandlingsansvarliges valg, enten slette eller returnere alle personopplysninger og slette eksisterende kopier (med mindre lov krever lagring). Sletting bekreftes skriftlig innen 30 dager.
10. Mislighold og erstatning
Ved vesentlig mislighold kan Behandlingsansvarlig si opp avtalen med umiddelbar virkning. Partene er erstatningsansvarlige etter alminnelige regler. Begrensninger i tjenesteavtalen gjelder også for denne avtalen, men kan ikke begrense ansvar etter GDPR.
11. Lovvalg og verneting
Avtalen er underlagt norsk rett. Tvister søkes løst i minnelighet. Hvis ikke, er Salten og Lofoten tingrett verneting.
Vedlegg 1 — Godkjente underdatabehandlere
| Selskap | Tjeneste | Land |
|---|---|---|
| [Eks: Microsoft Ireland] | [E-post / lagring] | Irland (EU) |
| [Eks: Vercel Inc.] | Hosting nettside | USA (SCC) |
Avtalen signeres av begge parter. Sted og dato: