1. Parter

Denne databehandleravtalen (“Avtalen”) inngås mellom:

Behandlingsansvarlig (Kunden)
Den virksomheten som har inngått avtale om bruk av Norsk Håndverksinstruks for AI.

og

Databehandler (Leverandøren)
Garp City AS
Org.nr: 912 782 808
E-post: support@norskinstruks.no

2. Behandlingens art og omfang

Leverandøren behandler personopplysninger for å:

• Levere, drifte og tilgjengeliggjøre tjenesten
• Lagre og strukturere Kundedata
• Gi teknisk support
• Sikre stabil drift og informasjonssikkerhet
• Gjennomføre nødvendige tekniske forbedringer

Behandlingen består blant annet av:

• Innsamling (ved at Kunden legger inn data)
• Lagring
• Organisering og strukturering
• Tilgangsstyring
• Sletting eller anonymisering

3. Typer personopplysninger

Behandlingen kan omfatte:

• Navn, kontaktopplysninger
• Brukerdata og innloggingsinformasjon
• Tekst, dokumenter og innhold lagt inn av Kunden
• Tekniske data

4. Kategorier av registrerte

Personopplysninger kan gjelde:

• Kundens ansatte
• Kundens kunder
• Samarbeidspartnere
• Andre personer som omtales i Kundedata

5. Varighet

Avtalen gjelder så lenge Leverandøren behandler personopplysninger på vegne av Kunden.

Ved opphør av hovedavtalen gjelder bestemmelsene om sletting og tilbakelevering, jf. punkt 12.

6. Instruks fra Kunden

Kunden er fullt ut ansvarlig for hvordan tjenesten brukes av kunden selv, kundens ansatte, innleide reLeverandøren skal kun behandle personopplysninger:

• I samsvar med denne avtalen
• I samsvar med hovedavtalen
• Etter dokumenterte instrukser fra Kunden

Leverandøren skal umiddelbart varsle dersom en instruks etter Leverandørens vurdering er i strid med gjeldende regelverk.

7. Konfidensialitet

Leverandøren skal sikre at personer med tilgang til personopplysninger:

• Kun har tilgang ved tjenstlig behov
• Er underlagt taushetsplikt

8. Informasjonssikkerhet

Leverandøren skal gjennomføre egnede tekniske og organisatoriske tiltak i samsvar med GDPR artikkel 32, herunder:

• Tilgangsstyring og autentisering
• Kryptering der det er relevant
• Sikker lagring og overføring
• Logging og overvåking
• Rutiner for håndtering av sikkerhetshendelser

9. Bruk av underleverandører

Leverandøren kan benytte underleverandører (databehandlere) for å levere tjenesten.

Følgende gjelder:

• Underleverandører skal være underlagt tilsvarende forpliktelser
• Kunden gir generell forhåndsgodkjenning til bruk av underleverandører
• Kunden kan be om oversikt over disse
• Kunden skal varsles ved vesentlige endringer

10. Overføring utenfor EØS

Personopplysninger skal som hovedregel behandles innenfor EØS.

Dersom overføring skjer utenfor EØS, skal dette:

• Ha gyldig rettslig grunnlag
• Være sikret gjennom standard kontraktsbestemmelser eller tilsvarende mekanismer

11. Bistand til Kunden

Leverandøren skal bistå Kunden i rimelig utstrekning med:

• Håndtering av innsyn, retting og sletting
• Vurdering av personvernkonsekvenser (DPIA)
• Oppfyllelse av sikkerhetskrav
• Dialog med tilsynsmyndigheter

12. Avvik og sikkerhetsbrudd

Ved brudd på personopplysningssikkerheten skal Leverandøren:

• Varsle Kunden uten ugrunnet opphold
• Gi relevant informasjon om hendelsen
• Bistå med nødvendige tiltak

13. Sletting og tilbakelevering

Ved opphør av avtalen skal Leverandøren:

• Slette eller tilbakelevere personopplysninger etter Kundens valg
• Dokumentere sletting dersom Kunden ber om det

Dette gjelder med mindre lagring er påkrevd etter lov.

14. Revisjon og kontroll

Kunden har rett til å:

• Be om dokumentasjon på etterlevelse
• Gjennomføre revisjon ved rimelig varsel

Revisjon skal gjennomføres på en måte som ikke unødvendig forstyrrer Leverandørens drift.

15. Ansvar

Ansvar for behandling av personopplysninger reguleres av:

• Denne avtalen
• Hovedavtalen
• Gjeldende personvernlovgivning

16. Forholdet til hovedavtalen

Denne databehandleravtalen:

• Er et vedlegg til avtalevilkårene
• Gjelder foran andre bestemmelser ved motstrid knyttet til personvern

17. Lovvalg

Avtalen er underlagt norsk rett.

18. Ikrafttredelse

Avtalen trer i kraft samtidig med hovedavtalen og anses akseptert ved bruk av tjenesten.