Databehandleravtale

Oppdatert: 06.06.2018

Denne Databehandleravtale er i henhold til personopplysningslovens § 13, jf. § 15, personopplysningsforskriftens kapittel 2 og EU-forordningen General Data Protection Regulation (2016/679, fra 25. mai 2018).

Avtalen sikrer at personopplysninger ikke kommer på avveie eller brukes urettmessig.

Databehandler er Digital Garden AS/Uniweb.
Behandlingsansvarlig er kunden.

Innhold

  1. Avtalens hensikt
  2. Formål
  3. Databehandlers plikter
  4. Behandlingsansvarliges (Kundens) plikter
  5. Databehandlers bruk av personopplysninger
  6. Sikkerhet
  7. Bruk av underleverandører
  8. Sikkerhetsrevisjoner
  9. Avtalens varighet og tidsavgrenset behandling
  10. Endringer
  11. Ved opphør
  12. Meddelelser
  13. Lovvalg og verneting
  14. Særskilte bestemmelser

1. Avtalens hensikt

Avtalens hensikt er å regulere rettigheter og plikter etter Lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven), forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften) og General Data Protection Regulation (forordning 2016/679, gjeldende fra 1. juli 2018). Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende.

Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse i forbindelse med leveranse av ISP-tjenester, herunder drift og administrasjon av webhotell og e-post-tjenester.

2. Behandlingsformål

Formålet med databehandlerens behandling av personopplysninger på vegne av behandlingsansvarlig, er kun å levere og administrere ISP-tjenester, herunder drift og administrasjon av server og e-post tjenester (heretter omtalt som ISP-tjenester).

Personopplysninger som overføres til databehandler kan ikke benyttes til andre formål enn drift og administrasjon av ISP-tjenester. Databehandler har ikke råderett over personopplysningene og kan ikke behandle disse til egne formål.

3. Databehandlers plikter

Databehandler forplikter seg til å følge de rutiner og skriftlige instrukser for behandlingen av personopplysninger som behandlingsansvarlig til enhver tid har bestemt skal gjelde. Databehandler kan ikke behandle personopplysninger på andre måter enn det som følger av behandlingsansvarliges skriftlige instrukser.

Databehandler bekrefter at personopplysninger som behandles i tjenesten skjer på vegne av behandlingsansvarlig.

Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift.

Det skal spesifiseres og gis en oversikt over hvilke personopplysninger som databehandler skal behandle på vegne av behandlingsansvarlig og hvem opplysningene gjelder. Behandlingsansvarlig har rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til å oppnå innsyn.

Databehandler garanterer at personopplysninger ikke blir brukt til markedsføring, men kun til administrasjon og levering av tjenesten.

Dersom databehandler ønsker å anvende opplysningene til andre formål enn det som opprinnelig er avtalt, må databehandler få tillatelse til dette fra behandlingsansvarlig.

Hvis databehandler skal utlevere personopplysninger til tredjeparter, for eksempel andre virksomheter eller myndighetsorganer, må tillatelse fra behandlingsansvarlig fremskaffes.

Databehandler forplikter seg til å ivareta rettighetene til dem opplysningene gjelder for, herunder den registrertes rett til informasjon om hvordan databehandler forvalter personopplysningene, retten til innsyn i egne personopplysninger og retten til å kreve retting eller sletting av egne opplysninger.

Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen og plikter å hindre at uautoriserte får tilgang til informasjonen. Denne bestemmelsen gjelder også etter avtalens opphør. Taushetsplikten omfatter alle ansatte hos databehandleren og tredjeparter som utfører vedlikehold eller lignende av systemer som databehandler benytter for drift eller administrasjon av ISP-tjenester, der de aktuelle personopplysninger inngår. Unntaket er om offentlig myndighet etterspør dette med hjemmel i norsk lov. Databehandler skal gi sine ansatte nødvendig opplæring i hvordan behandlingsansvarliges personopplysninger skal håndteres i henhold til punktene i denne databehandleravtalen.

Databehandler kan bli erstatningsansvarlig overfor den registrerte dersom databehandler eller databehandlers underleverandører til tjenesten behandler personopplysningene på ulovlige måter.

Den registrerte har i henhold til GDPR rett til å få utlevert sine opplysninger fra databehandleren i et format som gjør det enkelt å overføre opplysningene til en annen leverandør, såkalt dataportabilitet.

Databehandler plikter å redegjøre for lovlighetsgrunnlaget som benyttes dersom personopplysninger skal overføres til land utenfor EØS-området, for eksempel ved bruk av underleverandører eller datasentre i slike land. Overføringen av opplysninger kan baseres på EUs standardkontrakt for overføring av personopplysninger til tredjeland.

4. Behandlingsansvarliges (Kundens) plikter

Den behandlingsansvarlige, heretter Kunden, er den som bestemmer formålet med behandlingen av personopplysninger.

Kunden er ansvarlig for og forplikter seg til at det ivaretas et lovlig behandlingsgrunnlag for personopplysningene som behandles i databehandlers ISP-tjenester, og at de aktuelle behandlingene er i overensstemmelse med gjeldende lovgivning.

Kunden har ansvar og muligheter for innsyn, retting og sletting av personopplysninger. Databehandler plikter å bistå Kunde ved behov.

Kunden har taushetsplikt for innsyn i sikkerhetsdokumentasjon som databehandler utleverer på forespørsel fra Kunden. Taushetsplikten gjelder også etter avtaleforholdets opphør.

Kunden er selv ansvarlig for å lage, legge inn og oppdatere den informasjon som ønskes etablert på eget internettområde. Alt innhold som legges ut på tjenestemaskinen er Kundens ansvar, og Kunden beholder selv eierskap og opphavsrett til det materialet som legges ut.

Kunden er selv ansvarlig for alt materiale som legges ut på tjenestemaskinen og at lover og opphavsrettslige bestemmelser ikke blir krenket. Kunden er også ansvarlig for at eventuelle nødvendige konsesjoner fra offentlig myndighet foreligger.

Kunden holder Databehandler skadesløs for ethvert krav fra tredjemann som rettes mot Databehandler vedrørende påstått ulovlig innhold på Kundens serverplass.

5. Databehandlers bruk av personopplysninger

Hovedkategorier av personopplysninger som blir lagret hos databehandler ved bruk av tjenesten:

  1. Kontaktpersoner og kontaktopplysninger
  2. Abonnementdata og -historikk
  3. Bestillingsdata og -historikk
  4. Faktura- og betalingshistorikk
  5. Logger
  6. Innloggingsinformasjon til tjenester.
  7. Lagringsdata
  8. Ressursbruk og lagringsmengde
  9. Cookies

5.1 Kontaktpersoner og kontaktopplysninger

Firmanavn, fornavn, etternavn, postadresse, postnummer, sted, telefonnummer og e-postadresse.

5.2 Abonnementdata og -historikk

Bestillingsdato, utløpsdato, historikk, pris.

5.3 Bestillingsdata og -historikk

Bestillingsdato og historikk.

5.4 Faktura- og betalingshistorikk

Fakturaer og kvitteringer i ordresystem.

5.5 Logger

Logg over systemmailer, SMS som sendes ut fra databehandler, innkommende og utgående e-postkorrespondanse, handlinger som er gjennomført i kontrollpanelet og CRM-systemet, med angivelser av tidspunkt og IP-adresser. Logg over autorisert og uautorisert pålogging til tjenestene, med tidspunkt og IP-adresser.

5.6 Innloggingsinformasjon til tjenester

Krypterte brukernavn og passord for innlogging til kundesystem, e-post og webhotell (FTP).

5.7 Lagringsdata

Behandlingsansvarligs data som er lagret på databehandlers servere og i databaser.

5.8 Ressursbruk og lagringsmengde

Tjenestenes ressursbruk, lagringsmengde tjenestene benytter og webtrafikk disse genererer.

5.9 Cookies

Informasjonskapsler ved besøk på Uniweb.no. Se https://www.uniweb.no/support-artikler/uniweb-cookies/

6. Sikkerhet

Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningslovens §§ 13 – 15 med forskrifter, samt GDPR.

Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene, herunder sikringstiltak for å ivareta konfidensialitet, integritet og tilgjengelighet. Sikkerhetstiltakene omfatter både organisatoriske, fysiske og tekniske sikkerhetstiltak. Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel.

Databehandler skal kun gi tilgang til behandlingsansvarliges personopplysninger til ansatte som er underlagt taushetsplikt og som har tjenstlig behov for tilgang. Databehandler plikter å dokumentere sine rutiner og retningslinjer for tilgangsstyring på forespørsel fra behandlingsansvarlig.

Databehandler plikter å loggføre all autorisert og forsøk på uautorisert bruk av ISP tjenester som omfatter de aktuelle personopplysningene, jf. personopplysningsforskriften § 2-16. Databehandler skal oppbevare loggene i minimum 3 måneder. Behandlingsansvarlig skal på forespørsel gis tilgang til loggene.

Avviksmelding etter personopplysningsforskriftens § 2-6 og GDPR skal skje ved at databehandler melder avviket til behandlingsansvarlig, herunder uautorisert tilgang, spredning, endring, skade, ødeleggelse eller utilgjengelighet. Sikkerhetsbruddet skal dokumenteres og varslingen skal skje så raskt som praktisk mulig. Varslingen skal inneholde informasjon om hvem som er berørt av bruddet, hvilke typer personopplysninger som er berørt og hva databehandler gjør for å håndtere og utbedre situasjonen. Behandlingsansvarlig har ansvaret for at avviksmeldingen sendes Datatilsynet.

Databehandler skal holde personopplysninger fra behandlingsansvarlig forsvarlig adskilt fra personopplysninger tilhørende andre kunder. Databehandler plikter å dokumentere dette på forespørsel fra den behandlingsansvarlige.

7. Bruk av underleverandører

Databehandler skal behandle personopplysninger på vegne av den behandlingsansvarlige innenfor Norske landegrenser. Kundeopplysninger på internasjonale domener og betalingstransaksjoner vil befinne seg utenfor Norske landegrenser i den grad underleverandører ikke befinner seg i Norge.

Dersom databehandler benytter seg av underleverandør eller andre som ikke normalt er ansatt hos databehandler skal dette avtales skriftlig med behandlingsansvarlig før behandlingen av personopplysninger starter.

Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser som databehandler, og opptre i samsvar med disse. Underleverandør er bundet av de samme reglene som gjelder for databehandlers behandling av personopplysninger.

Databehandler er ansvarlig overfor behandlingsansvarlig for avtalebrudd som eventuelle underleverandører til tjeneste gjør seg skyldig i.

Her følger en oversikt over underleverandører hvor dine personopplysninger er berørt:

  1. Phonero
  2. Vianett
  3. Stripe.com
  4. ZenDesk Inc
  5. GlobalSign
  6. Buypass AS
  7. RRP Proxy
  8. Uninett Norid AS
  9. Nic.se
  10. Akeo AS
  11. Alektum Inkasso
  12. Excentia Services AS
  13. Enter Revisjon AS
  14. Den Norske Bank (DnB)
  15. Sosiale medier
  16. DK Hostmaster A/S
  17. NIC.AS (.as-domener)
  18. ISNIC (.is-domener)
  19. Drip.com, Avenue 81, Inc. d/b/a LeadPages
  20. Advokathuset Horten AS (juridisk rådgivning)

7.1.1 Phonero

Digital Garden utleverer ingen personopplysninger til Phonero, men i rollen som leverandør av teletjenester registrerer de alle innkommende samtaler til vårt kundesenter eller til våre ansatte. Phonero har konsesjon fra Datatilsynet til å lagre og behandle data som registreres, behandler dataene i henhold til krav fastsatt i lov eller av offentlig myndighet, og er behandlingsansvarlig hva gjelder behandlingen av:
  • Telefonnummer

Data som samles inn om kundene lagres i 3 måneder og slettes automatisk av Phonero.

7.1.2 ViaNett AS

Digital Garden utleverer ingen personopplysninger til ViaNett AS, men i rollen som leverandør av SMS tjenester logger de alle utgående SMS til våre kunder. ViaNett er behandlingsansvarlig hva gjelder behandlingen av:

  • Telefonnummer

Ustrukturerte data i SMS logges ikke av ViaNett. Alle meldingstekster blir sladdet ved at teksten endres til «Content removed for security reasons».

  • Mobilleverandør

Data som samles inn om kundene lagres i 6 måneder og slettes automatisk av ViaNett AS. .

7.1.3 Stripe.com

Digital Garden utleverer personopplysninger til Stripe.com, hvor behandlingsgrunnlaget er å oppfylle en avtale om betaling med debet-/kredittkort. Stripe.com er behandlingsansvarlig hva gjelder behandlingen av:

  • Kundenavn
  • E-postadresse
  • Kundenummer
  • Kortnummer (vises kun på maskert form for Digital Garden)
  • Hvilket land kortet er utsted i
  • Utløpsdato på kort
  • Hvilket type kort det er
  • Beløp som trekkes av kortet
  • Betalingshistorikk

Data oppbevares i 5 år i henhold til Regnskapslovens krav til oppbevaringstid. Etter 5 år slettes data på forespørsel fra Digital Garden.

Ved betaling med debet-/kredittkort lagres dine kortopplysninger hos Stripe, som er PCI DSS-sertifisert. Fullstendig kortinformasjon er ikke tilgjengelig overfor DIGITAL GARDEN AS når du kjøper en tjeneste av oss med ditt kort. Vi lagrer ingen deler av kortnummeret i våre systemer – bare en referanse til transaksjonen i Stripe sine systemer for å kunne markere en faktura i regnskapssystemet som betalt.

7.1.4 ZenDesk Inc

Digital Garden utleverer ingen personopplysninger til ZenDesk Inc, men i rollen som leverandør av ticket-system logges inngående og utgående e-postkorrespondanse og chat. ZenDesk Inc er behandlingsansvarlig hva gjelder behandlingen av:

  • Kundenummer
  • Kundenavn
  • E-post
  • Ip-adresse
  • Nettleserversjon

Ustrukturerte data i chat og e-post logges av ZenDesk. All informasjon som registreres, genereres og lagres i forbindelse med chat og epostkorrespondanse med vår kundeservice lagres på servere som er eiet og driftet av Zendesk Inc.

Ved å kontakte kundeservice skriftlig på e-post eller chat samtykker du til at personopplysninger blir overført til, og behandlet i, USA.
Zendesk Inc Privacy Shield-sertifisering finner du her: https://www.privacyshield.gov/participant?id=a2zt0000000TOjeAAG&status=Active

Data oppbevares i 3 år for å kunne dokumentere forhold som er relevante i kundeforholdet i henhold til den alminnelige foreldelsesfrist (Foreldelsesloven § 2)

7.1.5 GlobalSign

Digital Garden utleverer personopplysninger til GlobalSign, hvor behandlingsgrunnlaget er å oppfylle en avtale om leveranse av SSL-sertifikater. GlobalSign er behandlingsansvarlig hva gjelder behandlingen av:

  • Domenenavn

og hvis leveransen gjelder Organisasjonsvalidert SSL eller Extended Validation SSL gjelder også behandlingen av:

  • Organisasjonsnummer
  • Organisasjonsnavn
  • Land
  • Poststed og postnummer
  • Organisasjonsform

Data oppbevares så lenge tjenesten er aktiv.

7.1.6 BuyPass

Digital Garden utleverer personopplysninger til BuyPass, hvor behandlingsgrunnlaget er å oppfylle en avtale om leveranse av SSL-sertifikater. BuyPass er behandlingsansvarlig hva gjelder behandlingen av:

  • Domenenavn

og hvis leveransen gjelder Organisasjonsvalidert SSL eller Extended Validation SSL gjelder også behandlingen av:

  • Organisasjonsnummer
  • Organisasjonsnavn
  • Land
  • Poststed og postnummer
  • Organisasjonsform
Data oppbevares så lenge tjenesten er aktiv.

7.1.7 RRP Proxy

Personopplysninger som hentes inn i forbindelse med registrering av domenenavn vil bli lagret hos registrar for det aktuelle toppnivået, og publisert i WHOIS i tråd med vår tjenesteavtale, og gjeldende regelverk for det aktuelle toppnivået, som du godtar ved registrering av domenenavnet. Det er i de aller fleste tilfeller ikke mulig å levere domenenavn til deg som sluttbruker uten gyldig navn, postadresse, telefonnummer og e-postadresse.

Digital Garden utleverer personopplysninger til RRP Proxy, hvor behandlingsgrunnlaget er å oppfylle en avtale om registrering av internasjonale domenenavn. RRP Proxy er behandlingsansvarlig hva gjelder behandlingen av:

  • Domenenavn
  • E-post
  • Navn
  • Gateadresse og nummer
  • Poststed og postnummer
  • Telefonnummer
  • Land

Alle opplysningene over publiseres i WHOIS, som er en offentlig database som opplyser om hvem som eier domenenavn. Digital Garden kan tilby skjult WHOIS, og kan fås på forespørsel til post@digitalgarden.no før domenenavnet registreres.

Data oppbevares så lenge domenenavnet står registrert på kunden. Domene kan slettes umiddelbart for de fleste toppnivådomener ved å kontakte post@digitalgarden.no.

7.1.8 Uninett Norid AS

Digital Garden utleverer personopplysninger til NORID, hvor behandlingsgrunnlaget er å oppfylle en avtale om registrering av .NO eller .PRIV.NO domenenavn. NORID er behandlingsansvarlig hva gjelder behandlingen av:

  • Domenenavn
  • Organisasjonsnavn og organisasjonsnummer for bedrifter
  • PID-nummer for privatpersoner
  • E-post
  • Navn
  • Gateadresse og nummer
  • Poststed og postnummer
  • Telefonnummer
  • Land

Opplysningene over publiseres i WHOIS, som er en offentlig database som opplyser om hvem som eier domenenavn. Hvilken informasjon som vises offentlig er forskjellig om abonnenten er en organisasjon, et enkeltpersonforetak eller en privatperson.

Organisasjon:

  • Organisasjonsnavn og organisasjonsnummer
  • E-postadresse
  • Postadresse
  • «Norge»
  • Telefonnummer

Enkeltpersonforetak:

  • Organisasjonsnavn og organisasjonsnummer
  • E-postadresse
  • «Norge»

Privatperson

  • E-postadresse
  • «Norge»

Data oppbevares så lenge domenenavnet står registrert på kunden. Domene kan slettes umiddelbart ved å kontakte post@digitalgarden.no.

7.1.9 NIC.SE

Digital Garden utleverer personopplysninger til NIC.SE, hvor behandlingsgrunnlaget er å oppfylle en avtale om registrering av .SE eller .NU domenenavn. NIC.SE er behandlingsansvarlig hva gjelder behandlingen av:

  • Domenenavn
  • Organisasjonsnavn
  • E-post
  • Navn
  • Gateadresse og nummer
  • Poststed og postnummer
  • Telefonnummer
  • Land

Alle opplysningene over publiseres i WHOIS, som er en offentlig database som opplyser om hvem som eier domenenavn.

Data oppbevares så lenge domenenavnet står registrert på kunden. Domene kan slettes umiddelbart ved å kontakte post@digitalgarden.no.

7.1.10 Akeo AS

Digital Garden utleverer personopplysninger til Akeo AS, hvor behandlingsgrunnlaget er å oppfylle en avtale om å levere e-posttjenester på Exchange og Nettkontor. Akeo AS er behandlingsansvarlig hva gjelder behandlingen av:

  • Domenenavn
  • E-post
  • Navn

Data oppbevares så lenge e-postkontoen er aktiv + 30 dager etter grunnet backup av tjenesten. Alle data lagres i Norge på datasenteret til Akeo i Oslo.

7.1.11 Alektum Inkasso AS

Digital Garden utleverer personopplysninger til Alektum Inkasso AS, hvor behandlingsgrunnlaget er å oppfylle en avtale om å få betalt for tjenestene som leveres. Alektum Inkasso AS er behandlingsansvarlig hva gjelder behandlingen av:

  • Kundenavn
  • Telefonnummer
  • E-postadresse
  • Kundeummer

Data oppbevares i 5 år i henhold til Regnskapslovens krav til oppbevaringstid. Etter 5 år slettes data på forespørsel fra Digital Garden.

7.1.12 Excentia Services AS

Digital Garden utleverer personopplysninger til Excentia Services AS, hvor behandlingsgrunnlaget er å oppfylle alle krav som finnes i Regnskapsloven gjennom sin rolle som regnskapsfører. Excentia Services er behandlingsansvarlig hva gjelder behandlingen av:

  • Kundenavn
  • Organisasjonsnavn
  • PID-nummer for privatpersoner
  • Gateadresse og nummer
  • Poststed og postnummer
  • E-postadresse
  • Telefonnummer
  • Kundeummer
  • Kontonummer
  • Betalingshistorikk

Data oppbevares i 5 år i henhold til Regnskapslovens krav til oppbevaringstid. Etter 5 år slettes data på forespørsel fra Digital Garden.

7.1.13 Enter Revisjon AS

Digital Garden utleverer personopplysninger til Enter Revisjon, hvor behandlingsgrunnlaget er å oppfylle alle krav som finnes i Revisorloven gjennom sin rolle som revisor. Enter Revisjon er behandlingsansvarlig hva gjelder behandlingen av:

  • Kundenavn
  • Organisasjonsnavn
  • PID-nummer for privatpersoner
  • Gateadresse og nummer
  • Poststed og postnummer
  • E-postadresse
  • Telefonnummer
  • Kundeummer
  • Kontonummer
  • Betalingshistorikk

Data oppbevares i 5 år i henhold til Regnskapslovens krav til oppbevaringstid. Etter 5 år slettes data på forespørsel fra Digital Garden.

7.1.14 Den Norske Bank (DnB)

Digital Garden utleverer personopplysninger til DnB, hvor behandlingsgrunnlaget er å oppfylle kravene i tjenestevilkårene. DnB er behandlingsansvarlig hva gjelder behandlingen av:

  • Kundenavn
  • Gateadresse og nummer
  • Postadresse og postnummer
  • Kontonummer
  • OCR
  • Innbetalt beløp

Data oppbevares i 5 år i henhold til Regnskapslovens krav til oppbevaringstid. Etter 5 år slettes data på forespørsel fra Digital Garden.

7.1.15 Sosiale medier

Digital Garden er representert på Facebook, LinkedIn, Twitter og Google+. Personopplysninger som kundene selv deler i sosiale medier via våre sider slettes ikke automatisk, men kunden kan når som helst slette sine poster. Hvis opplysningene som deles i sosiale medier inneholder sensitive personopplysninger, passord, eller på noen som helst måte setter kunden i dårlig lys, så er ansatte hos Digital Garden instruert i å slette denne informasjonen så snart de blir gjort oppmerksomme på den.

7.1.16 DK Hostmaster A/S

Digital Garden utleverer personopplysninger til DK Hostmaster A/S, hvor behandlingsgrunnlaget er å oppfylle en avtale om registrering av .DK domenenavn. DK Hostmaster A/S er behandlingsansvarlig hva gjelder behandlingen av:

  • Domenenavn
  • Organisasjonsnavn for bedrifter
  • E-post
  • Navn
  • Gateadresse og nummer
  • Poststed og postnummer
  • Telefonnummer
  • Land

Alle opplysningene over publiseres i WHOIS, som er en offentlig database som opplyser om hvem som eier domenenavn. I henhold til lovgivningen i Danmark vises også private personopplysninger via WHOIS.

Data oppbevares så lenge domenenavnet står registrert på kunden. Domene kan slettes umiddelbart ved å kontakte post@digitalgarden.no.

7.1.17 NIC.AS (.as-domener)

Digital Garden utleverer personopplysninger til NIC.AS, hvor behandlingsgrunnlaget er å oppfylle en avtale om registrering av .AS domenenavn. NIC.AS (.as-domener) er behandlingsansvarlig. hva gjelder behandlingen av:

  • Domenenavn
  • Organisasjonsnavn
  • E-post
  • Navn
  • Gateadresse og nummer
  • Poststed og postnummer
  • Telefonnummer
  • Land

Alle opplysningene over publiseres i WHOIS, som er en offentlig database som opplyser om hvem som eier domenenavn.

Data oppbevares så lenge domenenavnet står registrert på kunden. Domene kan slettes umiddelbart ved å kontakte post@digitalgarden.no.

7.1.18 ISNIC (.is-domener)

Digital Garden utleverer personopplysninger til ISNIC, hvor behandlingsgrunnlaget er å oppfylle en avtale om registrering av .IS domenenavn. ISNIC er behandlingsansvarlig. hva gjelder behandlingen av:

  • Domenenavn
  • Organisasjonsnavn
  • E-post
  • Navn
  • Gateadresse og nummer
  • Poststed og postnummer
  • Telefonnummer
  • Land

Alle opplysningene over publiseres i WHOIS, som er en offentlig database som opplyser om hvem som eier domenenavn.

Data oppbevares så lenge domenenavnet står registrert på kunden. Domene kan slettes umiddelbart ved å kontakte post@digitalgarden.no.

7.1.19 Drip.com, Avenue 81, Inc. d/b/a LeadPages

Drip.com brukes for e-postmarkedsføring, samt sende ut massemail til kundebasen med produktinformasjon, tilbud og driftsmeldinger. Digital Garden utleverer personopplysninger til Drip.com, Avenue 81, Inc. d/b/a LeadPages, hvor behandlingsgrunnlaget innhentes via samtykke (Artikkel 6(1)(a)). Hvis samtykke ikke er innhentet, vil Drip.com ikke motta personopplysninger fra Digital Garden. Drip.com er behandlingsansvarlig. hva gjelder behandlingen av:

  • E-post

Personopplysningene lagres så lenge samtykket er aktivt, og slettes når samtykket trekkes. Link for å slette samtykke ligger ved alle e-postene som sendes ut fra Drip.

7.1.20 Advokathuset Horten AS (juridisk rådgivning)

Digital Garden kan ved behov for juridisk bistand utlevere personopplysninger til Advokathuset Horten AS (juridisk rådgivning). Advokaters taushetsplikt er en sterk taushetsplikt. Det vil si at den går foran vitneplikten etter straffeprosessloven § 119 og tvisteloven § 22-5. Dokumenter og annet som inneholder taushetsbelagt informasjon, kan heller ikke beslaglegges, jf. straffeprosessloven § 204.

8. Sikkerhetsrevisjoner

Databehandler skal jevnlig gjennomføre sikkerhetsrevisjoner for systemer og lignende som omfattes av denne avtalen, herunder sikring mot uautorisert tilgang, spredning, endring, skade, ødeleggelse eller utilgjengelighet. Behandlingsansvarlig skal gis tilgang til revisjonsrapportene.

Dersom en uavhengig tredjepart gjennomfører sikkerhetsrevisjon hos databehandleren, skal behandlingsansvarlig informeres om dette og ha tilgang til revisjonsrapportene. Behandlingsansvarlig kan også, etter avtale, gjennomføre revisjoner hos databehandleren.

9. Avtalens varighet og tidsavgrenset behandling

Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig, frem til den dato levering av tjenesten opphører eller databehandleravtalen sies opp.

Ved brudd på denne avtale, personopplysningsloven eller GDPR kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.

Avtalen kan sies opp av begge parter med en gjensidig frist på 3. mnd, jf. punkt 11 i denne avtalen.

10. Endringer

Behandlingsansvarlig og databehandler kan endre avtalen ved nødvendig behov. Endring av avtalen forutsetter skriftlig aksept fra begge parter.

Den behandlingsansvarlige har ansvar for å sørge for revisjon av avtalen dersom endringer i personopplysningsloven, GDPR eller andre forhold tilsier endring.

11. Ved opphør

Ved opphør av denne avtalen, eller hvis tjenesten opphører å eksistere, plikter databehandler å tilbakelevere alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige og som omfattes av denne avtalen. Behandlingsansvarlig bestemmer når og hvordan sletting eller tilbakelevering av opplysningene skal skje.

Databehandler skal slette eller forsvarlig destruere alle dokumenter, data, disketter, cd-er mv, som inneholder opplysninger som omfattes av avtalen. Sletteplikten gjelder også for eventuelle sikkerhetskopier.

Databehandler skal slette logger om brukers aktivitet, kundeforhold samt andre digitale spor etter de frister som pålegges av den behandlingsansvarlige.

Databehandler skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør. Kostnader for destruksjon og dokumentasjon skal dekkes av behandlingsansvarlig.

Data slettes iht. personvernloven og etter 5 år iht. regnskapsloven. Bestillingsdata tas vare på i 3 år for dokumentasjon av bestillinger.

12. Meddelelser

Meddelelser etter denne avtalen skal sendes skriftlig til kontaktpersonen som er oppgitt på kundeforholdet. Du kan når som helst endre kontaktopplysningene ved å logge deg på kontrollpanelet.

13. Lovvalg og verneting

Avtalen er underlagt norsk rett og partene vedtar Tønsberg tingrett som verneting. Dette gjelder også etter opphør av avtalen.

14. Særskilte bestemmelser

Databehandler forplikter seg til å bistå behandlingsansvarlig med å utrede konsekvensene ved bruk av tjenester/teknologier som representerer en særlig høy risiko for personvernet. Databehandler forplikter seg til å bistå i dialog med Datatilsynet der personvernrisikoen (avdekket gjennom konsekvensutredning) vanskelig lar seg håndtere på en hensiktsmessig måte. Det henvises til at Datatilsynet har en liste over tjenester/teknologier hvor det er nødvendig å utrede personvernkonsekvensene før de tas i bruk. Avtalebestemmelser om konsekvensutredning vil være aktuelle når tjenester/teknologier på Datatilsynets liste driftes av eksterne leverandører.