​Databehandlsvilkår​

Avtalte betingelser for databehandling

Kunden som har akseptert disse vilkårene og NanoLink Norge AS, CVR-nr. 920 564 739 (NanoLink), har inngått avtale om Kundens tilgang til og bruk av NANOLINK SYSTEM (Abonnementsavtalen), som er en skybasert standardtjeneste og som inngår i NanoLinks sporingssystem for lokalisering, sporing og administrering av sporingsbrikker og andre objekter registrert av Kunden.

Kunden aksepterer disse databehandlingsvilkårene som del av den inngåtte Abonnementsavtalen med NanoLink.

I henhold til Personvernforordningens definisjoner vil NanoLink i visse situasjoner være databehandler for Kunden under Abonnements-avtalen, ved utførelse og levering av de avtalte tjenestene. NanoLink oppbevarer og behandler personopplysninger som ledd i at NanoLink gir Kunden tilgang til NANOLINK SYSTEM, og Abonnementsavtalen kan inkludere at NanoLink også utfører andre behandlinger.

Databehandlingsvilkårene er utformet med henblikk på partenes etterlevelse av artikkel 28, punkt 3 i europaparlaments- og rådforordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, og om opphevelse av direktiv 95/46/EF (Databeskyttelses-forordningen) når NanoLink er databehandler for Kunden.

Databehandlingsvilkårene har virkning fra det tidspunkt Kunden aksepterer dem, og Databehandlingsvilkårene erstatter fra dette tidspunkt enhver tidligere databehandleravtale inngått mellom partene i forhold til de avtalte behandlingsaktivitetene i Abonnementsavtalen. Kundens oppstart av eller fortsatte bruk av NANOLINK SYSTEM anses som Kundens uttrykkelige aksept av databehandlings-vilkårene.

I tillegg supplerer Databehandlingsvilkårene Abonnementsavtalen og har forrang ved eventuelle konfliktende vilkår.

Databehandleravtale

Databehandlingsvilkårene utgjør partenes databehandleravtale for behandling av person-opplysninger som Kunden overlater NanoLink, og som NanoLink har påtatt seg å utføre som ledd i levering av de tjenestene som er avtalt i Abonnementsavtalen.

Databehandlingsvilkårene fastsetter de rettigheter og forpliktelser som får anvendelse når NanoLink foretar behandling av personopplysninger på vegne av Kunden, og Databehandlingsvilkårene angir de overordnede sikkerhetstiltakene som NanoLink iverksetter.

For de behandlingsaktiviteter som er overlatt til NanoLink å utføre for Kunden, er NanoLink data-behandler i samsvar med de gjeldende personvern-regler, mens Kunden enten er behandlingsansvarlig eller databehandler i samsvar med gjeldende personvernregler. Begge parter må overholde forpliktelsene som er fastsatt i gjeldende personvern-regler, og Databehandlingsvilkårene frigjør dermed verken NanoLink eller Kunden for slike forpliktelser.

Varighet

Databehandlingsvilkårene gjelder fra de trer i kraft og inntil NanoLink har slettet Kundens data i samsvar med bestemmelsene i disse Databehandlingsvilkårene. Databehandlingsvilkårene og Abonnementsavtalen er innbyrdes avhengige, og avtalene kan derfor ikke sies opp hver for seg.

NanoLinks spesifikke garantier

NanoLink garanterer overfor Kunden at NanoLink besitter tilstrekkelig ekspertise, pålitelighet og ressurser til å gjennomføre nødvendige tiltak for å overholde Personvernforordningen med hensyn til de behandlingsaktiviteter NanoLink skal gjennomføre for Kunden etter Abonnementsavtalen.

Kundens spesifikke ansvar

Kunden er ansvarlig for å overholde den til enhver tid gjeldende personopplysningslovgivning i forhold til personopplysningene som overlates til NanoLinks behandling. Kunden er følgelig særlig ansvarlig for og forsikrer NanoLink om at:

- Kunden har nødvendig hjemmel til å behandle og til å overlate til NanoLink å behandle de person-opplysninger som inngår i tjenestene NanoLink leverer til Kunden. I de tilfeller hvor Kunden er databehandler for de personopplysninger som overlates til NanoLinks behandling, garanterer Kunden overfor NanoLink at Kundens instrukser, slik de kommer til uttrykk gjennom disse Databehandlingsvilkårene og Abonnements-avtalen samt anvendelsen av NanoLink og dennes underdatabehandlere som annen databehandler, er autorisert av den behandlingsansvarlige.

- Instruksen som er gitt for NanoLinks behandling av personopplysninger på vegne av Kunden, er lovlig.

Behandlingenes karakter og formål

Partene har avtalt at behandlingenes karakter er implementering av IT-tjenester fra NanoLink til Kunden, herunder særlig lagring og drift av personopplysninger gjennom å sikre tilgang til og funksjonalitet i den standard skytjenesten NANOLINK SYSTEM.

NanoLink vil dermed behandle de overlatte opplysningene med det avtalte formål å levere de avtalte tjenestene som fastsatt i Abonnementsavtalen og NanoLinks produktbeskrivelser.

Typen av opplysninger

De bestilte behandlingene omfatter bruker-opplysninger i form av navn, e-postadresser, telefonnumre samt geoposisjoner for sporingsbrikker og elektroniske enheter som har NanoLink-appen installert.

Kategorier av registrerte

Kategoriene av registrerte personer som NanoLink skal behandle opplysninger om, omfatter de kategorier som Kunden tillater bruk av NANOLINK SYSTEM for, inkludert sporingsbrikker, som vanligvis omfatter Kundens ansatte.

Omfang av behandlingsaktiviteter

NanoLink skal kun utføre behandling av Kundens personopplysninger i samsvar med Kundens instrukser, som er dokumentert gjennom en skriftlig avtale og som NanoLink har akseptert.

Ved å akseptere Databehandlingsvilkårene, instruerer Kunden NanoLink til å behandle Kundens person-opplysninger til levering av NANOLINK SYSTEM som en skytjeneste på vilkårene angitt i Abonnements-avtalen og i disse Databehandlingsvilkårene.

Kunden kan i tillegg be NanoLink om å motta ytterligere skriftlige instrukser for behandling av person-opplysninger for Kunden, og NanoLink kan fritt velge å akseptere eller avslå slike tilleggsinstrukser. NanoLink vil imidlertid alltid akseptere en instruks om å avslutte videre behandling, noe som innebærer at NanoLink sletter Kundens data, som angitt under punktet Utlevering og sletting av Kundens data nedenfor.

NanoLink vil etterkomme Kundens instrukser som NanoLink har godkjent, med mindre slik behandling vil være i strid med gjeldende databeskyttelseslovgivning som NanoLink er underlagt. I så fall vil NanoLink underrette Kunden om dette.

NanoLink er imidlertid uansett Kundens instrukser – herunder også om sletting – forpliktet til å utføre behandlinger av Kundens personopplysninger hvis dette følger av en rettslig forpliktelse som NanoLink er underlagt. I så fall må Kunden underrettes om dette før behandlingen gjennomføres, med mindre slik underretning er ulovlig.

Kunden fastslår på den måten formålet og omfanget av behandlingsaktivitetene som overlates til NanoLink.

Varighet på behandlingsaktiviteter

NanoLink foretar behandling av Kundens personopplysninger så lenge NanoLink er forpliktet under Abonnementsavtalen til å utføre behandlinger – vanligvis så lenge Abonnementsavtalen er i kraft. Når Kundens Abonnementsavtale opphører, sletter NanoLink Kundens data eller anonymiserer disse. I tillegg kan Kunden i samsvar med punktet Utlevering og sletting av Kundens data instruere NanoLink om å slette dataene på et tidligere tidspunkt.

Sikkerhetstiltak

NanoLink iverksetter alle nødvendige tiltak i henhold til Personvernforordningens artikkel 32. NanoLink gjennomfører herunder egnede tekniske og organisatoriske sikkerhetstiltak for å beskytte de overlatte personopplysninger mot utilsiktet eller ulovlig destruksjon, tap, endring, uautorisert videreformidling av, eller tilgang til personopplysninger.

NanoLink kan løpende foreta endringer i implementerte sikkerhetstiltak, men i så fall skal NanoLink bestrebe seg på å sikre at endringene samlet sett ikke fører til en forringelse av sikkerhetsnivået.

NanoLink har fastsatt sikkerhetsnivået på bakgrunn av typen av personopplysninger som registreres i NANOLINK SYSTEM samt forventede kategorier av registrerte.

NanoLink iverksetter sikkerhetstiltak ut fra en gjennomsnitlig vurdering av hva som er passende, og partene avtaler derfor at i det gjensidige forholdet er det Kunden som er ansvarlig for å vurdere om de iverksatte tiltakene er tilstrekkelige for å oppnå et sikkerhetsnivå som er tilpasset risikoen forbundet med behandlingsaktivitetene som er overlatt til NanoLink.

Rapportering av sikkerhetsbrudd

Hvis NanoLink blir oppmerksom på at det er skjedd brudd på personopplysningssikkerheten i forhold til NanoLinks tjenester til Kunden, skal NanoLink uten ugrunnet opphold underrette Kunden om bruddet.

NanoLink skal uten ugrunnet opphold etter å ha blitt kjent med at det har skjedd et brudd på persondata-sikkerheten, ta rimelige og proporsjonale skritt for å begrense skaden ved bruddet.

I forlengelse av underretningen til Kunden skal NanoLink gi en beskrivelse av omstendighetene rundt bruddet, bruddets karakter, hvilke skritt NanoLink har tatt eller planlegger å ta for å begrense skaden ved bruddet, og hvilke forhold NanoLink mener Kunden skal være særlig oppmerksom på i forbindelse med bruddet, med henblikk på at Kunden kan oppfylle sine forpliktelser ved sikkerhetsbrudd innenfor Personvernforordningens fastsatte tidsfrister.

Underretning kan fremsendes på e-post til kontakt-personen angitt av Kunden.

NanoLinks underretning om brudd på person-opplysningssikkerheten utgjør ikke en anerkjennelse av skyld eller ansvar i forhold til et inntruffet brudd på personopplysningssikkerheten.

NanoLink bistår videre på anmodning fra Kunden med å sikre overholdelse av Kundens forpliktelser i henhold til Personvernfordningens artikkel 33 og artikkel 34 med henblikk på den overlatte behandlingens karakter og de opplysninger som er tilgjengelige for NanoLink i forhold til bruddet på personopplysningssikkerheten som inntreffer hos NanoLink.

Bruk av underdatabehandlere

Ved å akseptere disse Databehandlingsvilkårene gir Kunden sin generelle godkjennelse til at NanoLink kan bruke andre databehandlere (underdatabehandlere). Informasjon om anvendte underdatabehandlere, inkludert deres funksjon og i hvilket land underdatabehandleren er etablert, er tilgjengelig enten på NanoLinks hjemmeside eller inkludert i Abonnementsavtalen.

Ved bruk av underdatabehandlere, skal NanoLink sikre at det inngås en skriftlig avtale med underdata-behandleren, hvor det påses at

a.​det stilles nødvendige garantier for at underdatabehandleren vil gjennomføre egnede tekniske og organisatoriske tiltak på en slik måte at behandlingen oppfyller kravene i Databeskyttelses-forordningen.

b.​underdatabehandleren pålegges de samme databeskyttelsesforpliktelser som dem som er fastsatt i disse Databeskyttelsesvilkårene, det vil si at kravene i Personvernforordningen art. 28(3) skal etterleves samt at

c.​underdatabehandleren kun behandler Kundens personopplysninger i den utstrekning som er nødvendig for å oppfylle de leveranseforpliktelser underdatabehandleren har påtatt seg overfor NanoLink, samt at behandlingen skjer i samsvar med de avtalte instruksene.

Dersom en underdatabehandler ikke oppfyller sine databeskyttelsesforpliktelser, forblir NanoLink fullt ansvarlig overfor Kunden for oppfyllelsen av underdatabehandlerens databeskyttelsesforpliktelser.

NanoLink kan løpende oppdatere listen over anvendte underdatabehandlere. Oppdatering vil skje før eventuelle planlagte endringer vedrørende tilføyelser eller erstatning av en underdatabehandler blir gjennomført. Hvis Kunden har innsigelser mot planlagte endringer vedrørende tilføyelser eller erstatning av en underdatabehandler, kan Kunden si opp Abonnements-avtalen med NanoLink med virkning enten øyeblikkelig eller på slutten av kalendermåneden da oppsigelsen ble gitt. En betingelse for oppsigelse etter dette punkt er at oppsigelsen overleveres NanoLink innen 30 dager etter at NanoLink har oppdatert listen over anvendte og planlagt anvendte underdatabehandlere. Oppsigelse av Abonnements-avtalen er Kundens eneste rettsmiddel overfor NanoLink i denne situasjonen.

Overføring av data

NanoLink lagrer Kundens data innenfor EU, og det overføres derfor ikke personopplysninger til tredjeland.

NanoLink kan imidlertid unntaksvis overføre Kundens data, inklusive personopplysninger, til et tredjeland eller en internasjonal organisasjon, når dette er påkrevet i henhold til lovgivning i EU eller medlemsstatene som NanoLink er underlagt; i så fall underrettes Kunden om dette juridiske kravet før behandlingen, med mindre lovgivningen forbyr slik underretning av hensyn til viktige samfunnsmessige interesser.

Kundens egen tilgang til personopplysninger som lagres hos NanoLink fra en lokasjon som medfører at det skjer en overføring av personopplysninger til et tredjeland, anses som Kundens egen overføring og omfattes dermed ikke av NanoLinks ansvar eller forpliktelser.

Bistand til Kunden

På skriftlig anmodning fra Kunden forplikter NanoLink seg til å yte Kunden følgende bistand:

NanoLink bistår, på bakgrunn av de overlatte behandlingers karakter, Kunden i den grad det er mulig ved hjelp av egnede tekniske og organisatoriske tiltak, med å oppfylle Kundens forpliktelse til å besvare anmodninger om utøvelsen av registrertes rettigheter som fastsatt i Personvernforordningens kapittel 3. Dersom NanoLink mottar en anmodning direkte fra en registrert eller potensielt registrert om utøvelse av dennes rettigheter, vil NanoLink straks videreformidle henvendelsen til Kunden, som deretter avgjør om NanoLinks assistanse skal rekvireres.

NanoLink bistår også Kunden med å sikre overholdelse av Kundens forpliktelser i henhold til Databeskyttelses-forordningens artikkel 32-36 på bakgrunn av behandlingens karakter og de opplysningene som er tilgjengelige for NanoLink.

NanoLink er berettiget til en egen godtgjørelse for bistand som ytes for å oppfylle Kundens anmodninger under punktet Bistand til Kunden. Godtgjørelsen beregnes på grunnlag av tidsforbruket NanoLink har brukt samt NanoLinks vanlige timesats for slikt arbeid.

Når det gjelder bistand for å oppfylle Kundens forpliktelser etter Personvernforordningen art. 33-34 har NanoLink imidlertid ikke krav på godtgjørelse for å oppfylle forpliktelsene NanoLink har etter punktet Rapportering av sikkerhetsbrudd.

Utlevering og sletting av Kundens data

Etter Kundens valg sletter eller tilbakeleverer NanoLink alle personopplysninger til Kunden etter at tjenestene vedrørende behandling er avsluttet, og NanoLink sletter eksisterende kopier, med mindre NanoLink er underlagt en juridisk forpliktelse som foreskriver at NanoLink må ta vare på personopplysningene.

NanoLinks gjennomføring av Kundens instruks om å slette eller utlevere Kundens opplysninger skjer i samsvar med Personvernforordningens regulering og så raskt som praktisk mulig.

Videre tillater Kunden som del av instruksen til NanoLink, at Kundens data inngår i en sikkerhetskopiprosedyre, hvorfra data slettes når sikkerhetskopien destrueres i samsvar med NanoLinks sikkehetskopiprosedyre.

Ansvar og ansvarsbegrensning

For erstatning og annen kompensasjon som skal betales til registrerte som følge av overtredelse av Personvernforordningen, vil Databeskyttelses-forordningens artikkel 82 og supplerende regler i Databeskyttelsesloven tre i kraft, og begge parter i det gjensidige forholdet er dermed ansvarlige for å betale sin del av beløpet som tilsvarer deres del av ansvaret for skaden på bakgrunn av disse Databehandlingsvilkårene. Om nødvendig fastsettes ansvarsfordelingen gjennom rettslig vurdering. NanoLinks ansvarsbegrensning etter Del I av Abonnementsvilkårene gjelder fremdeles.

Partene hefter selv for bøter og annen straff som ilegges en part som følge av en ulovlig behandling av personopplysninger, og slike beløp kan ikke kreves erstattet av den andre parten.

NanoLinks journalføring

NanoLink er forpliktet til å føre journal over kategoriene av behandlingsaktiviteter som utføres for Kunden i samsvar med Personvernforordningen art. 30. Kunden er forpliktet til å opplyse NanoLink om navn og kontaktopplysninger for Kundens eventuelle representant og databeskyttelsesrådgiver og ajourføre disse opplysningene slik at NanoLink kan føre korrekte journaler.

Taushetsplikt

NanoLink skal sikre at personer de har autorisert til å behandle Kundens personopplysninger, har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt. NanoLink og alle som utfører arbeid for NanoLink, og som har tilgang til Kundens personopplysninger, må kun behandle disse opplysninger etter Kundens instruks som er akseptert av NanoLink, med mindre annen behandling kreves i henhold til en lovbestemmelse eller rettsavgjørelse som NanoLink er underlagt.

NanoLink må kun autorisere personer som trenger å få tilgang til personopplysningene for å kunne oppfylle NanoLinks forpliktelser overfor Kunden. NanoLink skal løpende vurdere autorisasjoner og stenge tilgangen når autorisasjoner utløper eller opphører.

Tilsyn og revisjon

NanoLink stiller alle opplysninger til rådighet for Kunden som er nødvendige for at påvise overholdelse av kravene i Personvernforordningens artikkel 28 samt kravene til NanoLink som fastsettes i disse Databehandlings-vilkårene. NanoLink gir mulighet for og bidrar til revisjoner, herunder inspeksjoner, som foretas av Kunden eller en annen revisor bemyndiget av Kunden.

Kunden kan anmode om gjennomføring av fysisk inspeksjon hos NanoLink. Anmodning må sendes skriftlig til NanoLink med beskrivelse av hva Kunden ønsker skal omfattes av inspeksjonen. Partene avtaler deretter nærmere omstendigheter og omfang for inspeksjonen, blant annet tidspunkt for gjennomføring og rapporteringsform.

Inspeksjon kan bare utføres av en person som aksepterer NanoLinks vanlige sikkerhetstiltak og som undertegner en taushetserklæring direkte overfor NanoLink.

NanoLink kan fremsette innsigelse mot en person utnevnt av Kunden til gjennomføring av inspeksjon, hvis den utnevnte personen etter NanoLinks rimelige vurdering ikke er egnet eller kvalifisert til å kunne gjennomføre inspeksjonen, herunder at personen (1) ikke er uavhengig, (2) er en direkte konkurrent av NanoLink eller (3) av annen grunn åpenbart er uegnet til å utføre oppgaven.

Dersom NanoLink fremsetter innsigelse mot den utnevnte personen, må Kunden utnevne en annen person til gjennomføring av inspeksjonen.

Tilsyn med NanoLinks underdatabehandlere skjer gjennom NanoLink. Kunden kan imidlertid velge å initiere og delta på en fysisk inspeksjon også hos underdata-behandleren. Tilsyn skal da skje i samsvar med underdatabehandlerens fastsatte vilkår for inspeksjon.

NanoLink og underdatabehandleres eventuelle omkostninger i forbindelse med fysisk tilsyn eller inspeksjon hos enten NanoLink eller underdata-behandleren betales av Kunden. I tillegg er NanoLink og eventuelle underdatabehandlere berettiget til godtgjørelse for tiden som går med til inspeksjonen, fastsatt ut fra gjeldende prisliste.

Endringer i Databehandlingsvilkårene

NanoLink kan endre disse Databehandlingsvilkårene med forhåndsvarsel på 90 dager. Endringer som nødvendigvis må gjennomføres uten å kunne vente til utløpet av et slikt varsel, kan bli gjennomført straks. Informasjon om planlagte endringer vil bli sendt til Kunden. Hvis Kunden ikke ønsker at akseptere de varslede endringene, kan Kunden si opp Abonnementsavtalen. Utover dette har ikke Kunden noen rettsmidler som konsekvens av endringer til Databehandlingsvilkårene.

NanoLinks kontaktopplysninger

Kundens henvendelser til NanoLink rundt databeskyttelse, inkludert anmodninger om tilsyn og inspeksjon sendes til:

NanoLink Norge AS

Havnegata 9

7010 Trondheim, Norge

E-post: support@nanolink.com

Tlf.: +47 75 99 00 40

Partenes oppbevaringsplikt

NanoLink og Kunden er forpliktet til å oppbevare elektronisk hver sin versjon av disse Databehandlings-vilkårene og Abonnementsavtalen for de kjøpte produkter og eventuelle andre avtaler som er av betydning for, eller supplerer disse Databehandlings-vilkårene.

Om Nanolink​

Nanolink® Norge AS

Org nr.: 920 564 739

Adresse

Havnegata 9 [Pirsenteret] , 7010 Trondheim
​Finn oss på kart »

Kontakt osS​