Databehandleravtale

1. Parter og anvendelse

1.1. Denne databehandleravtalen («Databehandleravtalen» eller «DPA») utgjør et vedlegg til og en integrert del av avtalen som regulerer Kundens bruk av Talentwises tjenester («Hovedavtalen»). Databehandleravtalen gjelder kun for den behandling av personopplysninger der Talentwise opptrer som databehandler i henhold til personvernforordningen (EU) 2016/679 («GDPR»).

• Behandlingsansvarlig («Kunden») er den juridiske personen som har inngått Hovedavtalen.
• Databehandler («Talentwise») er Talentwise AB, org.nr. 556956-0351.

1.2. Behandling som Talentwise utfører som selvstendig behandlingsansvarlig omfattes ikke av Databehandleravtalen.

2. Behandlingens art, formål og omfang

2.1. Talentwise behandler personopplysninger for å levere de tjenestene som Kunden har bestilt i henhold til Hovedavtalen og tilhørende Tjenesteavtaler.

2.2. Behandlingen kan omfatte lagring, strukturering, tilgangskontroll, teknisk tilgjengeliggjøring, support samt andre nødvendige driftsaktiviteter.

2.3. Kategorier av personopplysninger og registrerte fremgår av den aktuelle Tjenesteavtalen eller av Kundens instrukser.

2.4. Behandlingen skjer i avtalens løpetid samt i eventuelle lagrings- og sletteperioder som fremgår av Tjenesteavtalen eller av Kundens instrukser.

2.5. Detaljerte instrukser for behandlingen av personopplysninger knyttet til den enkelte tjeneste fremgår av Vedlegg 2.1 til denne Databehandleravtalen.

3. Databehandlers plikter

3.1. Talentwise skal kun behandle personopplysninger i samsvar med denne Databehandleravtalen, Hovedavtalen og Kundens dokumenterte instrukser.

3.2. Talentwise skal sikre at kun autorisert personell har tilgang til personopplysninger, og at slikt personell er underlagt taushetsplikt gjennom arbeidsavtale, interne retningslinjer eller annet bindende taushetsforpliktende tiltak.

3.3. Talentwise og dets ansatte skal ikke urettmessig utlevere eller bruke personopplysninger som behandles i henhold til denne Databehandleravtalen. Unntak gjelder der utlevering er pålagt i henhold til lov eller vedtak fra offentlig myndighet.

3.4. Talentwise skal, i den grad det er mulig, bistå Kunden med den informasjon og bistand som er nødvendig for at Kunden skal kunne oppfylle sine forpliktelser etter artiklene 32-36 i GDPR, dokumentere etterlevelse av denne Databehandleravtalen samt muliggjøre og bidra til nødvendige revisjoner.

3.5. Talentwise skal uten ugrunnet opphold rette, slette eller sperre personopplysninger på Kundens anmodning eller i samsvar med Kundens instrukser, i den grad dette er forenlig med gjeldende lovgivning og tekniske begrensninger. Etter avsluttet behandling skal sletting og eventuell tilbakelevering skje i samsvar med punkt 9.

3.6. Talentwise skal uten ugrunnet opphold, og senest innen førtieåtte (48) timer etter å ha fått kjennskap til et brudd på personopplysningssikkerheten eller forsøk på uautorisert tilgang, varsle Kunden i samsvar med artikkel 33 i GDPR. Varslingen skal inneholde de opplysninger som er nødvendige for at Kunden skal kunne oppfylle sine forpliktelser etter GDPR, herunder en beskrivelse av bruddets art, de sannsynlige konsekvensene samt hvilke tiltak som er iverksatt eller planlagt for å håndtere bruddet.

4. Underdatabehandlere og eksterne leverandører

4.1. Kunden gir herved et generelt skriftlig samtykke til at Talentwise kan engasjere underdatabehandlere for å oppfylle sine forpliktelser etter denne Databehandleravtalen.

4.2. Hver underdatabehandler skal ved skriftlig avtale pålegges de samme forpliktelser som gjelder for Talentwise etter denne Databehandleravtalen, i den utstrekning underdatabehandleren behandler personopplysninger på vegne av Kunden.

4.3. En oppdatert oversikt over til enhver tid gjeldende underdatabehandlere finnes på www.refapp.com/legal. Listen over underdatabehandlere som gjaldt ved inngåelsen av Hovedavtalen fremgår av versjon 2025.02.

4.4. Talentwise skal informere Kunden skriftlig minst tretti (30) dager før en ny underdatabehandler tas i bruk eller en eksisterende underdatabehandler erstattes. Kunden har rett til å protestere mot endringen dersom det foreligger saklig begrunnede grunner knyttet til personvern eller informasjonssikkerhet. Dersom Partene ikke blir enige om egnede tiltak, har Kunden rett til å si opp Hovedavtalen før endringen trer i kraft, med forbehold om bestemmelsene om forhåndsbetalte perioder i Hovedavtalen.

4.5. På Kundens anmodning skal Talentwise, i den grad det er mulig uten å avsløre forretningssensitiv informasjon, gi informasjon om underdatabehandleres identitet, behandlingssted og en beskrivelse av arten av de tjenestene som leveres.

5. Behandlingssted og overføring til tredjeland

5.1. Personopplysninger behandles innenfor det driftsmiljøet som Kunden har valgt i Tjenesteavtalen.

5.2. Talentwise kan kun overføre personopplysninger utenfor EU/EØS i den utstrekning dette skjer i samsvar med kapittel V i GDPR og i henhold til Kundens instrukser.

5.3. Kunden samtykker til at Talentwise kan benytte underdatabehandlere i tredjeland, forutsatt at det er etablert egnede garantier i samsvar med artikkel 46 i GDPR.

6. Kundens ansvar

6.1. Kunden er ansvarlig for at: (i) det foreligger gyldig rettslig grunnlag for all behandling av personopplysninger, (ii) registrerte informeres i samsvar med artiklene 13 og 14 i GDPR, (iii) instrukser til Talentwise er lovlige, klare og oppdaterte, (iv) Kundens egen behandling og lagring av personopplysninger skjer i samsvar med GDPR, og (v) Kunden ikke instruerer Talentwise til å utføre behandling som er i strid med gjeldende lovgivning.

7. Registrertes rettigheter

7.1. Talentwise skal bistå Kunden ved håndtering av forespørsler fra registrerte ved å: (i) gi relevant informasjon, (ii) på anmodning utføre tiltak som ligger innenfor Talentwises kontroll, og (iii) for øvrig bistå Kunden i den utstrekning GDPR krever.

7.2. Kunden er ansvarlig for kommunikasjonen med de registrerte og beslutter om og hvilke tiltak som skal iverksettes. Talentwise skal ikke svare direkte til registrerte, med mindre Kunden uttrykkelig instruerer dette.

8. Sikkerhet

8.1. Talentwise anvender egnede tekniske og organisatoriske sikkerhetstiltak i samsvar med artikkel 32 i GDPR for å beskytte personopplysninger mot uautorisert tilgang, tap, endring eller ulovlig utlevering. Sikkerhetstiltakene omfatter blant annet:

• Kryptering: All identifiserende informasjon lagres kryptert ved bruk av moderne krypteringsteknologi (for eksempel AES-basert kryptering), og kommunikasjon sikres ved bruk av TLS.
• Tilgangskontroll: Rolle- og tilgangsstyring, flerfaktorautentisering (MFA) for administrativ tilgang samt logging av tilgangshendelser.
• Logging: Systemlogger og sikkerhetslogger føres og overvåkes for å avdekke avvikende eller mistenkelig aktivitet.
• Sikkerhetskopiering og gjenoppretting: Sikkerhetskopier utføres regelmessig og lagres i en begrenset periode for mulig gjenoppretting ved hendelser.
• Redundans: Driftsmiljøet benytter redundante komponenter, herunder nettverk, strømforsyning og kjøling, for å sikre høy tilgjengelighet.
• Hendelseshåndtering: Det er etablert prosesser for å avdekke, håndtere og rapportere sikkerhetshendelser.
• Opplæring: Ansatte mottar regelmessig opplæring i informasjonssikkerhet og personvern.
• Datamigreringer: Ved behov kan Talentwise opprette midlertidige, krypterte kopier av produksjonsdata i forbindelse med databasemigreringer. Slike kopier lagres kun i den perioden som er nødvendig for migreringen (maksimalt 30 dager) og slettes deretter.

9. Revisjon

9.1. Kunden kan, ved bruk av uavhengig revisor og med minst tretti (30) dagers skriftlig forhåndsvarsel, gjennomføre revisjon av Talentwises etterlevelse av denne Databehandleravtalen. Revisjon kan gjennomføres én gang per kalenderår, eller ved begrunnet mistanke om manglende etterlevelse.

9.2. Revisjonen skal gjennomføres i normal arbeidstid, på en måte som ikke unødig forstyrrer Talentwises virksomhet, og uten å gi innsyn i andre kunders personopplysninger eller Talentwises forretningshemmeligheter. Revisjonen skal begrenses til de systemer og prosesser som omfattes av denne Databehandleravtalen.

9.3. Talentwise kan oppfylle revisjonsforpliktelsen ved å fremlegge relevante tredjepartsrevisjonsrapporter (for eksempel ISAE-, SOC- eller ISO-rapporter) som alternativ til gjennomføring av revisjon.

10. Lagring og sletting

10.1. Talentwise skal slette eller, der dette er hensiktsmessig og mulig, anonymisere personopplysninger i samsvar med denne Databehandleravtalen og tilhørende vedlegg. Nærmere bestemmelser om lagring og sletting fremgår av den aktuelle Tjenesteavtalen og Vedlegg 2.1 til denne Databehandleravtalen.

10.2. Sletting eller anonymisering skal skje uten ugrunnet opphold etter utløpet av gjeldende lagringsperiode, med mindre videre oppbevaring er påkrevd i henhold til lov eller vedtak fra offentlig myndighet.

11. Varighet og opphør

11.1. Denne Databehandleravtalen gjelder så lenge Talentwise behandler personopplysninger på vegne av Kunden i henhold til GDPR, og utgjør en integrert del av Hovedavtalen. Databehandleravtalen kan ikke sies opp separat, men følger Hovedavtalens varighet. Ved oppsigelse eller opphør av Hovedavtalen skal behandlingen avsluttes i samsvar med denne Databehandleravtalen, med unntak av det som er nødvendig for sikkerhetskopier og logger i henhold til ordinære sletterutiner.

11.2. Kunden har rett til å si opp Databehandleravtalen med umiddelbar virkning dersom Talentwise gjør seg skyldig i et vesentlig brudd på denne Databehandleravtalen og ikke har rettet forholdet innen tretti (30) dager etter skriftlig påkrav.

11.3. Dersom Kunden ikke aksepterer endringer i denne Databehandleravtalen eller i bruk av underdatabehandlere i henhold til punkt 4, har Kunden rett til å si opp Hovedavtalen før endringen trer i kraft, med forbehold om bestemmelsene om forhåndsbetalte perioder i Hovedavtalen.

11.4. Når behandlingen avsluttes, skal Talentwise etter Kundens valg enten slette eller tilbakelevere samtlige personopplysninger, med mindre videre lagring er påkrevd i henhold til lov eller vedtak fra offentlig myndighet.

12. Lovvalg og tvister

12.1. Ved motstrid mellom denne Databehandleravtalen og de Generelle Vilkårene, skal Databehandleravtalen ha forrang i spørsmål som gjelder behandling av personopplysninger.

12.2. Bestemmelser om lovvalg og tvisteløsning følger Hovedavtalen.