Skip to content
Kom i gang

Standard Databehandleravtale EYD

 

Sist oppdatert: 11.01.2023

i henhold til artikkel 28 nummer 3, i Europaparlamentets og Rådets forordning 2016/679 (per-sonvernforordningen) med henblikk på databehandlerens behandling av personopplysninger mellom selskaper registrert i et av selskapets tjenester heretter «den behandlingsansvarlige» og

EYD AS
Org.nr. 922142009
Jonsvannsveien 140
7050 Trondheim
Norge


heretter «databehandleren» som hver for seg er en «part» og sammen utgjør «partene» HAR AVTALT følgende standardavtalevilkår (Vilkårene) med henblikk på å overholde person-vernforordningen og sikre beskyttelse av fysiske personers grunnleggende rettigheter og friheter

1. Innledning

Disse Vilkårene fastsetter den behandlingsansvarlige og databehandlerens rettigheter og plikter når databehandleren utfører behandling av personopplysninger på vegne av den behandlingsansvarlige.

Disse Vilkårene er utformet med for å sikre partenes etterlevelse av artikkel 28 num-mer 3 i Europaparlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (per-sonvernforordningen).

I forbindelse med avtale mellom behandlingsansvarlig og databehandler om leveranse (Hovedavtalen) som disse Vilkårene er knyttet til behandler databehandleren personopplysninger på vegne av den behandlingsansvarlige i overensstemmelse med disse Vilkårene.

Vilkårene har forrang i forhold til eventuelle tilsvarende bestemmelser i andre avtaler mellom partene.

Det er fire vedlegg til disse Vilkårene, og vedleggene utgjør en integrert del av Vilkårene.

  • Vedlegg A inneholder nærmere opplysninger om behandlingen av personopplysninger, herunder om behandlingens formål og art, typen av personopplysninger, ka-tegoriene av registrerte og behandlingens varighet.

  • Vedlegg B inneholder den behandlingsansvarliges betingelser for databehandlerens bruk av underdatabehandlere og en liste over underdatabehandlere som den behandlingsansvarlige har godkjent.

  • Vedlegg C inneholder den behandlingsansvarliges instruks når det gjelder databehandlerens behandling av personopplysninger, en beskrivelse av de sikkerhetstiltakene som databehandleren som minimum skal gjennomføre, og hvordan revisjoner av databehandleren og eventuelle underdatabehandlere skal utføres.

  • Vedlegg D inneholder bestemmelser om andre aktiviteter som ikke er omfattet av Vilkårene.

Vilkårene med tilhørende vedlegg skal oppbevares skriftlig, herunder elektronisk, av begge parter.

Disse Vilkårene fritar ikke databehandleren fra plikter som databehandleren er pålagt etter personvernforordningen eller annen lovgivning.

2. Den behandlingsansvarliges rettigheter og plikter

  1. Den behandlingsansvarlige er ansvarlig for å sikre at behandlingen av personopplysninger skjer i overensstemmelse med personvernforordningen (se personvernforordningen artikkel 24), gjeldende personopplysningsvern bestemmelser i unionsretten eller medlemsstatenes
    1 nasjonale rett og disse Vilkårene.

  2. Den behandlingsansvarlige har rett og plikt til å bestemme formålet med behand-lingen av personopplysninger og hvilke midler som skal benyttes.

  3. Den behandlingsansvarlige er ansvarlig for, blant annet, å sikre at det foreligger et behandlingsgrunnlag for behandlingen av personopplysninger som databehandleren instrueres om å gjøre.

​3. Databehandleren handler etter instrukser

Databehandleren skal bare behandle personopplysninger etter dokumenterte instrukser fra den behandlingsansvarlige, med mindre noe annet kreves av unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt. Disse instruksene skal være spesifisert i vedlegg A og C. Etterfølgende instrukser kan også gis av den behandlingsansvarlige mens det skjer behandling av personopplysninger, men instruksene skal alltid være dokumenterte og oppbevares skriftlig, herunder elektronisk, sammen med disse Vilkårene.

Databehandleren skal omgående underrette den behandlingsansvarlige dersom en instruks fra den behandlingsansvarlige, etter databehandlerens mening, er i strid med personvernforordningen eller gjeldende personopplysningsvernbestemmelser i unionsretten eller medlemsstatenes nasjonale rett.

4. Konfidensialitet

Databehandleren kan bare gi tilgang til personopplysninger som behandles på den behandlingsansvarliges vegne til personer underlagt databehandlerens instruksjonsmyndighet som har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt, og bare i det nødvendige omfang. Listen av personer som har fått tilgang skal gjennomgås fortløpende. På bakgrunn av en slik gjennomgang kan tilgangen til personopplysninger stenges, dersom den ikke lenger er nødvendig, og personopplysningene skal deretter ikke lenger være tilgjengelig for disse personene.

Databehandleren skal etter anmodning fra den behandlingsansvarlige kunne påvise at de aktuelle personene underlagt databehandlerens instruksjonsmyndighet er underlagt ovennevnte taushetsplikt.

5. Sikkerhet ved behandlingen

Personvernforordningen artikkel 32 fastslår at, idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen.

Henvisninger til «medlemsstater» i disse Vilkårene skal forstås som en henvisning til stater som er del av det europeiske økonomiske samarbeidsområdet (EØS-stater).

Den behandlingsansvarlige skal vurdere risikoene for fysiske personers rettigheter og friheter som behandlingen utgjør og gjennomføre tiltak for å imøtegå disse risikoene. Avhengig av relevans kan tiltakene omfatte:

  • pseudonymisering og kryptering av personopplysninger

  • evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og ro-busthet i behandlingssystemene og -tjenestene

  • evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse

  • en prosess for regelmessig testing, analysering og vurdering av hvor effek-tive behandlingens tekniske og organisatoriske sikkerhetstiltak er.

​Ifølge personvernforordningen artikkel 32 skal databehandleren – uavhengig av den behandlingsansvarlige – også vurdere risikoene for fysiske personers rettigheter og friheter som behandlingen utgjør, og gjennomføre tiltak for å imøtegå risikoene. Med henblikk på denne vurderingen skal den behandlingsansvarlige stille den nødvendige informasjonen til rådighet for databehandleren som gjør vedkommende i stand til å identifisere og vurdere slike risikoer.

Databehandleren skal også bistå den behandlingsansvarlige med å overholde den behandlingsansvarliges plikter etter personvernforordningen artikkel 32, ved blant an-net å stille til den behandlingsansvarliges rådighet nødvendig informasjon om de tek-niske og organisatoriske sikkerhetstiltakene som databehandleren allerede har gjen-nomført i henhold til personvernforordningen artikkel 32, samt all annen informasjon som er nødvendig for at den behandlingsansvarlige skal kunne overholde sine plikter etter personvernforordningen artikkel 32.

Hvis imøtegåelse av de identifiserte risikoene – etter den behandlingsansvarliges vurdering – krever at det gjennomføres ytterligere tiltak enn det databehandleren allerede har gjennomført, skal den behandlingsansvarlige angi disse tiltakene i vedlegg C.

6. Bruk av underdatabehandlere

Databehandleren skal oppfylle betingelsene som er fastsatt i personvernforordningen artikkel 28 nummer 2 og nummer 4 for å gjøre bruk av en annen databehandler (en underdatabehandler).

Databehandleren har den behandlingsansvarliges generelle godkjennelse til å benytte underdatabehandlere. Databehandleren skal skriftlig underrette den behand-lingsansvarlige om eventuelle planlagte endringer som gjelder tilføyelse eller utskiftning av underdatabehandlere med minst 1 uke varsel og dermed gi den behandlingsansvarlige mulighet til å motsette seg slike endringer før den eller de beskrevne underdatabehandler(e) engasjeres.

Når databehandleren engasjerer en underdatabehandler for å utføre spesifikke behandlingsaktiviteter på vegne av den behandlingsansvarlige, skal underleverandøren pålegges de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i disse Vilkårene, ved hjelp av en avtale eller et annet rettslig dokument i hen-hold til unionsretten eller medlemsstatenes nasjonale rett, der det særlig gis tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning.

Databehandleren er derfor ansvarlig for å kreve at underdatabehandleren som minimum overholder databehandlerens forpliktelser etter disse Vilkårene og personvernforordningen.

En kopi av slik underdatabehandleravtale og eventuelle etterfølgende endringer skal – ved den behandlingsansvarliges anmodning – sendes til den behandlingsansvarlige, som på denne måten har mulighet for å sørge for at underdatabehandleren er pålagt de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i disse Vilkårene. Kommersielle bestemmelser som ikke påvirker det person-opplysningsvernrettslige innholdet av underdatabehandleravtalen, er ikke underlagt kravet om kopi til den behandlingsansvarlige.

Databehandleren skal i underdatabehandleravtalen inkludere den behandlingsansvarlige som begunstiget tredjepart i tilfelle databehandleren går konkurs, slik at den behandlingsansvarlige kan tre inn i databehandlerens rettigheter og gjøre dem gjeldende overfor underdatabehandler, hvilket for eksempel setter den behandlingsan-svarlige i stand til å instruere underdatabehandleren om å slette eller tilbakeføre personopplysningene.

Hvis underdatabehandleren ikke oppfyller sine personopplysningsvernforpliktelser blir databehandleren fullt ut ansvarlig overfor den behandlingsansvarlige når det gjelder oppfyllelse av underdatabehandlerens forpliktelser. Dette påvirker ikke de registrertes rettigheter etter personvernforordningen – særlig de nedfestet i personvernforord-ningen artikkel 79 og 82 – overfor den behandlingsansvarlige og databehandleren, herunder underdatabehandleren.

7. Overføring til tredjeland eller internasjonale organisasjoner

Databehandleren kan kun overføre personopplysninger til tredjeland eller internasjonale organisasjoner etter dokumentert instruks fra den behandlingsansvarlige, og slik overføring skal alltid skje i overensstemmelse med personvernforordningen kapittel V.

Hvis overføring av personopplysninger til tredjeland eller internasjonale organisasjo-ner, som databehandleren ikke er blitt instruert av den behandlingsansvarlige om å gjennomføre, kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt, skal databehandleren underrette den behandlingsansvarlige om nevnte rettslige krav før behandlingen, med mindre denne rett av hensyn til viktige allmenne interesser forbyr en slik underretning.

Uten dokumentert instruks fra den behandlingsansvarlige kan databehandleren in-nenfor rammene av disse Vilkårene således ikke:

  • overføre personopplysninger til en behandlingsansvarlig eller databehandler i et tredjeland eller en internasjonal organisasjon

  • overlate behandling av personopplysninger til en underdatabehandler i et tredjeland

  • behandle personopplysningene i et tredjeland

Den behandlingsansvarliges instruks når det gjelder overføring av personopplys-ninger til et tredjeland, herunder det eventuelle overføringsgrunnlaget i personvern-forordningen kapittel V som overføringen er basert på, skal angis i vedlegg C.6.

Disse Vilkårene skal ikke forveksles med standard personvernbestemmelser som om-handlet i personvernforordningen artikkel 46 nummer 2 bokstav c og d, og disse Vil-kårene kan ikke utgjøre et grunnlag for overføring av personopplysninger under per-sonvernforordningen kapittel V.

8. Bistand til den behandlingsansvarlige

Databehandleren bistår, idet det tas hensyn til behandlingens art og i den grad det er mulig, ved hjelp av egnede tekniske og organisatoriske tiltak, den behandlingsansvar-lige med å oppfylle vedkommendes plikt til å svare på anmodninger som den regist-rerte inngir med henblikk på å utøve sine rettigheter fastsatt i personvernforordningen kapittel III.

Dette innebærer at databehandleren så langt det er mulig skal bistå den behand-lingsansvarlige i den behandlingsansvarlige oppfyllelse av:

  • opplysningsplikten ved innsamling av personopplysninger fra den regist-rerte

  • opplysningsplikten dersom personopplysninger ikke er blitt samlet inn fra den registrerte

  • den registrertes rett til innsyn

  • retten til retting

  • retten til sletting («retten til å bli glemt»)

  • retten til begrensning av behandling

  • underretningsplikten i forbindelse med retting eller sletting av personopplys-ninger eller begrensning av behandling

  • retten til dataportabilitet

  • retten til å protestere

  • retten til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisk behandling, herunder profilering

I tillegg til databehandlerens forpliktelse til å bistå den behandlingsansvarlige i henhold til Vilkårene, bistår databehandleren også, idet det tas hensyn til behand-lingens art og den informasjonen som er tilgjengelig for databehandleren, den be-handlingsansvarlige med:

  • den behandlingsansvarliges forpliktelse ved brudd på personopplysningssik-kerheten til uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde bruddet på personopplysningssikkerheten til den kompetente tilsynsmyndigheten, Det Norske datatilsynet, med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettig-heter og friheter

  • den behandlingsansvarliges forpliktelse til uten ugrunnet opphold å under-rette den registrerte om bruddet på personopplysningssikkerheten når det er sannsynlig at bruddet vil medføre en høy risiko for fysiske personers rettig-heter og friheter

  • den behandlingsansvarliges forpliktelse til før behandlingen å foreta en vur-dering av hvilke konsekvenser den planlagte behandlingen vil ha for person-opplysningsvernet (vurdering av personvernkonsekvenser)

  • den behandlingsansvarliges forpliktelse til å rådføre seg med den kompet-ente tilsynsmyndigheten, Det Norske datatilsynet, før behandlingen dersom en vurdering av personvernkonsekvenser tilsier at behandlingen vil medføre en høy risiko dersom den behandlingsansvarlige ikke treffer tiltak for å redu-sere risikoen.

Partene skal i vedlegg C oppgi de egnede tekniske og organisatoriske tiltakene gjen-nom hvilke databehandleren skal bistå den behandlingsansvarlige, samt omfanget og utstrekningen av den påkrevde bistanden. Dette gjelder for forpliktelsene som følger av Vilkårene.

9. Underretning om brudd på personopplysningssikkerheten

Ved brudd på personopplysningssikkerheten skal databehandleren underrette den behandlingsansvarlige om bruddet uten ugrunnet opphold etter å ha fått kjennskap til det.

Databehandlerens underretning til den behandlingsansvarlige skal om mulig skje in-nen 48 timer etter at databehandleren har fått kjennskap til bruddet på personopplys-ningssikkerheten, slik at den behandlingsansvarlige kan overholde sin forpliktelse til å melde bruddet til den kompetente tilsynsmyndigheten, jf. personvernforordningen artikkel 33.

I overensstemmelse med Vilkårene skal databehandleren bistå den behandlingsansvarlige med å melde bruddet til den kompetente tilsynsmyndigheten. Det innebærer at databehandleren skal bistå med å fremskaffe informasjon listet opp nedenfor, som ifølge personvernforordningen artikkel 33 nummer 3 skal fremgå av den behandlingsansvarliges melding av bruddet til den kompetente tilsyns-myndigheten:

  • arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt

  • de sannsynlige konsekvenser av bruddet på personopplysningssikkerheten

  • de tiltak som den behandlingsansvarlige har truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av brud-det.

Partene skal i vedlegg C oppgi all informasjon som databehandleren skal fremskaffe når vedkommende bistår den behandlingsansvarlige med å melde brudd på person-opplysningssikkerheten til den kompetente tilsynsmyndigheten.

10. Sletting og returnering av opplysninger

Ved opphør av databehandlertjenestene skal databehandleren slette alle personopplysninger som er blitt behandlet på vegne av den behandlingsansvarlige og bekrefte overfor den behandlingsansvarlige at opplysningene er slettet med mindre unionsret-ten eller medlemsstatenes nasjonale rett krever oppbevaring av personopplysningene.

Følgende regler i unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt krever oppbevaring av personopplysningene etter at databehandlertjenestene har opphørt:

  • Forskrift om smitteverntiltak mv. tilknyttet koronautbruddet (covid-19 forskriften) §13 krever at registrerte opplysninger oppbevares i en angitt tidsperiode.

  • Andre lokale forskrifter kan kreve at registrerte opplysninger lagres i lengre perioder

Databehandleren forplikter seg til å utelukkende behandle personopplysningene til de(t) formål, med den varlighet og under de betingelsene som disse reglene fastset-ter.

11. Revisjon, herunder inspeksjon

Databehandleren skal stille til den behandlingsansvarliges disposisjon all informasjon som er nødvendig for å påvise etterlevelse av forpliktelsene etter personvernforordningen artikkel 28 og disse Vilkårene. Videre skal databehandleren muliggjøre og bidra til revisjoner, herunder inspeksjoner, som utføres av den behandlingsansvarlige eller en annen revisor som er bemyndiget av den behandlingsansvarlige.

Prosedyrene for den behandlingsansvarliges revisjoner, herunder inspeksjoner, av databehandleren og underdatabehandlere er spesifisert i vedlegg C.7 og C.8.

Databehandleren forplikter seg til å gi tilsynsmyndighetene, som etter gjeldende lov-givning har tilgang til den behandlingsansvarliges eller databehandlerens lokaler, eller representanter som opptrer på slike tilsynsmyndigheters vegne, adgang til databe-handlerens fysiske lokaler ved presentasjon av behørig legitimasjon.

12. Partenes avtale om andre forhold

Partene kan avtale andre bestemmelser som gjelder databehandlertjenestene, f.eks. erstatningsansvar, så lenge disse andre bestemmelsene ikke direkte eller indirekte strider mot disse Vilkårene eller er til skade for den registrertes grunnleggende rettig-heter og friheter og beskyttelsen som følger av personvernforordningen.

13. Ikrafttredelse og opphør

Vilkårene trer i kraft i det den behandlingsansvarlige starter å benytte seg av databe-handlers tjenester tilknyttet denne avtalen.

Begge partene kan kreve Vilkårene reforhandlet dersom lovendringer eller uhensikts-messigheter i Vilkårene gir grunn til dette.

Vilkårene gjelder så lenge databehandlertjenestene varer. I denne perioden kan Vil-kårene ikke sies opp, med mindre partene avtaler andre vilkår som regulerer levering av databehandlertjenestene.

Hvis leveringen av databehandlertjenestene opphører, og personopplysningene er slettet i overensstemmelse med Vilkårene 11.1 og vedlegg C.4, kan Vilkårene sies opp med skriftlig varsel av begge partene.

Kontaktpersoner hos den behandlingsansvarlige og databehandleren: Databehandler skal til enhver tid sørge for oppdatert kontaktinformasjon tilknyttet deres profil i tjenesten.

Databehandlers kontaktpersoner:
Navn Louise Helliksen
Stilling Daglig leder
Telefonnr +47 91 79 39 35
E-postadresse hello@eyd.tech


Navn Jan Sandtrø
Stilling Ansvarlig advokat
Mail Jan@sandtro.no


Partene forplikter seg til å orientere hverandre løpende om endringer som gjelder kontaktpersoner.

Vedlegg A Opplysninger om behandlingen

A.1. Formålet med databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige er:
Formålet med behandlingen er til enhver tid beskrevet i tjenestens betingelser tilgjengellig via selskapet nettsider. 

A.2. Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige skal primært dreier seg om (behandlingens art):
Databehandlerens behandling av personopplysninger på vegne av behandlingsansvarlig er til enhver tid beskrevet i tjenestens betingelser som til enhver tid ligger tilgjengelig på www.eyd.tech

A.3. Behandlingen omfatter følgende typer av personopplysninger om de registrerte:
Hvilke personopplysninger som kan behandles i tjenesten er til enhver tid beskrevet i tjenestens betingelser som til enhver tid ligger tilgjengelig på www.eyd.tech

A.4. Behandlingen omfatter følgende kategorier av registrerte:
Kategorier av registrerte personopplysninger som kan behandles i tjenesten er til enhver tid beskrevet i tjenestens betingelser som til enhver tid ligger tilgjengelig på www.eyd.tech

A.5. Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige kan begynne etter at Vilkårene har trådt i kraft. Behandlingen har følgende varighet:

Behandlingen av personopplysningen trer i kraft på det tidspunktet tjenesten tas i bruk av den behandlingsansvarlige og varer til kundeforholdet sies opp. Behandlingen skal skje etter behandlingsansvarliges instruks, og behandlingen skjer inntil behandlingsansvarlig gir instruksjon om sletting.

Ved opphør av databehandlertjenestene skal databehandleren enten slette eller levere tilbake personopplysningene i overensstemmelse med Vilkårene, med mindre den behandlingsansvarlige – etter at Vilkårene ble underskrevet – har endret den behandlingsansvarliges opprinnelige valg. Slike endringer skal være dokumentert og oppbevares skriftlig, herunder elektronisk, sammen med Vilkårene.

Vedlegg B Underdatabehandlere

B.1. Godkjente underdatabehandlere
Ved Vilkårenes ikrafttredelse godkjenner den behandlingsansvarlige bruken av følgende underdatabehandlere:

  • Microsoft: Lagring og prosessering av personopplysninger for utførelse av avtalen med behandlingsansvarlig.

  • Mailjet: Utsending av mail med informasjon til de registrerte i tjenesten.

  • Signicat, Vipps, Google, Facebook: Autentisering av brukere dersom ett av nevnte autentiseringstjenester velges av den registrerte selv. 

  • LinkMobility: Utsending og eventuelt av sms med informasjon til og autentisering av de registrerte i tjenesten.

  • Traq: Lagring av samtykkerelatert dokumentasjon tilknyttet den registrerte i tjenesten.

Ved Vilkårenes ikrafttredelse har den behandlingsansvarlige godkjent bruken av ovennevnte underdatabehandlere for den behandlingsaktiviteten som er beskrevet for vedkommende. Databehandleren kan fra tid til annen endre disse og benytte en underdatabehandler til en annen behandlingsaktivitet enn den som er avtalt for vedkommende eller bruke en annen underdatabehandler til den beskrevne behandlingsaktiviteten.

Vedlegg C Instruks for behandling av personopplysninger

C.1. Behandlingens gjenstand/instruks for behandlingen
Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige skjer ved at databehandleren utfører følgende:
Ikke ytterligere en hva som fremgår av databehandleravtalen.

C.2. Informasjonssikkerhet
Følger delvis av vilkårene for tjenesten og av databehandlers interne rutiner for informasjonssikkerhet, som kan gjøres tilgjengelig på forespørsel.

Databehandleren har heretter rett og plikt til å treffe beslutninger om hvilke tekniske og organisatoriske sikkerhetstiltak som skal gjennomføres for å etablere det nødvendige (og avtalte) sikkerhetsnivået.

C.3 Bistand til den behandlingsansvarlige
Databehandleren skal i den grad det er mulig bistå den behandlingsansvarlige i samsvar med Vilkårene 9.1 og 9.2 ved å gjennomføre eventuelle tekniske og organisatoriske tiltak, samt det som følger av denne databehandleravtalen.

C.4 Oppbevaringsperiode/sletteprosedyrer
Følger delvis av vilkårene for tjenesten og/eller behandlingsansvarliges instruks for bruk av tjenesten, samt eventuelle lover og/eller regelverk.

C.5 Lokasjon for behandling
Følger av vilkårene for tjenesten.

C.6 Instruks for overføring av personopplysninger til tredjeland

Databehandleren kan overføre personopplysninger til tredjeland dersom det foreligger et lovlig grunnlag for slik overføring. Slik grunnlag vil være EUs standard kontraktsvilkår for overføring av personopplysninger til tredjeland (SCC)

Databehandleren er gitt fullmakt av behandlingsansvarlig til å inngå EUs standard kontraktsvilkår på vegne av behandlingsansvarlig med en underdatabehandler i et tredjeland med behandlingsansvarlig som eksportør (Data Exporter) og underdatabehandleren som importør (Data Importer).

 Hvis ikke den behandlingsansvarlige i Vilkårene, som fullmakten ovenfor i dette punkt, eller etterfølgende gir en dokumentert instruks som gjelder overføring av personopplysninger til et tredjeland eller internasjonal organisasjon, kan ikke databehandleren, innen rammene av Vilkårene, gjennomføre slike overføringer

C.7 Prosedyrer for den behandlingsansvarliges revisjoner, herunder inspeksjoner, av behandlingen av personopplysninger som er overlatt til databehandleren

Ingen utover det som er regulert i personvernforordningen (GDPR) artikkel 28. personopplysninger som er overlatt til databehandleren.