Checkin logo
Eventsøk

Databehandleravtale for kunder av Checkin AS

1. Begrepsforklaring

Databehandler: En databehandler er en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige.

Behandlingsansvarlig: Behandlingsansvarlig er en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett.

Personopplysning: Personopplysninger er alle opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Typiske personopplysninger er navn, adresse, telefonnummer, e-post og fødselsnummer. Et bilde regnes som en personopplysning dersom personer kan gjenkjennes, og lydopptak kan være personopplysninger selv om ingen navn blir nevnt i innspillingen. Biometri slik som fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) er også personopplysninger.

Kilde: Datatilsynet.

2. Avtalens hensikt

Avtalens hensikt er å regulere rettigheter og plikter etter artikkel 28 nr. 3 i Europaparlamentets- og Rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger. Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende. Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.

3. Formål og behandling

Formålet med denne avtalen er å regulere behandling og lagring av personopplysninger som Checkin lagrer på vegne av Behandlingsansvarlig (Checkins kunde).

Checkin er et påmeldingssystem der det hentes inn personopplysninger i følge med påmeldinger og billettsalg.

  • Checkin skal behandle de personopplysninger som til enhver tid hentes inn fra deltakere som registrerer seg / melder seg på noe via Checkin, enten direkte fra checkinevent.com eller via behandlingsansvarlig egne nettsider integrert mot Checkin. Checkin vil for alle kunder behandle navn, telefonnummer, e-post og hvilket arrangement vedkommende skal delta på. Checkin vil i tillegg behandle andre personopplysninger som Behandlingsansvarlig ber om at kunden registrer i det enkelte tilfelle. I noen tilfeller kan dette innebære at Checkin behandler helseopplysninger som allergier og funksjonsnedsettelse.
  • Checkin behandler personopplysningene ved å lagre innsamlede opplysninger på eksterne servere slik dette er spesifisert i Vedlegg 1, sende billetter til den registrerte, gjennomføre betaling og registrere ankomst eller tilgang til arrangementet som den registrerte er påmeldt.
  • Checkin kan på ingen måte behandle personopplysningene som lagres på vegne av behandlingsansvarlig, til andre formål enn de som er beskrevet over.
  • Videre bruk av innsamlede data, for eksempel til markedsføringsformål, er underlagt de eventuelle samtykker behandlingsansvarlig har hentet inn fra deltakere når disse registrerte seg. Behandlingsansvarlig er selv ansvarlig for å hente inn slike samtykker, men Checkin skal legge til rette for at slike samtykker kan innhentes.

4. Behandlingsansvarliges rettigheter og plikter

Ved inngåelse av denne databehandleravtalen aksepterer Behandlingsansvarlige følgende rettigheter og plikter:

  • Den behandlingsansvarlige er ansvarlig for at personopplysninger blir behandlet i samsvar med personvernforordningen og personopplysningsloven (jf. artikkel 24).
  • Den behandlingsansvarlige har både en rett og en forpliktelse til å bestemme hvilke formål, og hvilke hjelpemidler som kan brukes i behandlingen (jf. artikkel 4 nr. 7).
  • Den behandlingsansvarlige har selv ansvaret for å avgjøre hvilke personopplysninger som hentes inn via Checkin, og at man har tillatelse til å hente inn disse.
  • Den behandlingsansvarlige er selv ansvarlig for hvordan personopplysningene benyttes videre, herunder til kommunikasjon, markedsføring og eventuelle eksporter ut til andre systemer. Innhenting av samtykker er behandlingsansvarlig sitt ansvar, mens Checkin har ansvar for å tilrettelegge teknisk til slik innhenting.
  • Den behandlingsansvarlige kan gi databehandler dokumenterte instrukser for hvordan personopplysninger skal behandles (jf. artikkel 28 nr. 3 bokstav a). Instruksene skal være en del av avtalen eller lagt ved som et vedlegg til avtalen. Det er opp til behandlingsansvarlig å avgjøre hvorvidt slike tilleggsinstrukser skal gis.
  • Den behandlingsansvarlige har rett til å si opp avtalen dersom databehandleren ikke lenger oppfyller lovens krav etter artikkel 28 nr. 1.

5. Databehandlers plikter

Ved inngåelse av denne databehandleravtalen aksepterer Databehandler følgende rettigheter og plikter:

Plikt til å kun behandle personopplysninger etter skriftlig instruks fra den behandlingsansvarlige

  • Databehandleren skal kun behandle personopplysninger i henhold til denne avtalen eller etter dokumenterte instrukser fra den behandlingsansvarlige. Unntaket er dersom norsk lov pålegger databehandleren en konkret behandling av personopplysninger. I så fall skal databehandleren underrette den behandlingsansvarlige om dette før behandlingen iverksettes, med mindre loven forbyr slik underretning av hensyn til viktige samfunnsinteresser.
  • Databehandleren må omgående underrette den behandlingsansvarlige dersom databehandleren mener en instruks er i strid med personvernforordningen eller andre bestemmelser om vern av personopplysninger eller nasjonal rett (jf. artikkel 28 nr. 3 siste ledd).

Plikt til at autoriserte personer behandler personopplysningene fortrolig

  • Databehandler skal sikre at det kun er autorisert personell med tjenstlig behov som har tilgang til personopplysningene som behandles på vegne av behandlingsansvarlig. Slik tilgang skal fjernes når vedkommende ikke lenger har tjenstlig behov.
  • Databehandleren skal sikre at ovennevnte autoriserte personer er forpliktet til å behandle personopplysningene fortrolig, eller er underlagt lovfestet taushetsplikt.
  • Databehandleren skal, etter anmodning fra den behandlingsansvarlige, kunne påvise at de autoriserte personene er underlagt fortrolighet eller taushetsplikt — for eksempel ved dokumentasjon (jf. artikkel nr. 28 nr. b) og h).
  • Plikten til konfidensialitet gjelder også etter at databehandleroppdraget er fullført.
  • Checkin har egne rutiner for sine ansatte der taushetserklæring signeres ved ansettelse, og at tilgangen til systemet stenges når den ansatte slutter i selskapet. Liste over ansatte med tilgang, kan gis på oppfordring fra kunde i forbindelse med en eventuell sikkerhetsrevisjon.

Bistand til å svare på anmodninger som gjelder de registrertes rettigheter

  • Databehandleren bistår den behandlingsansvarlige (ved hjelp av egnede tekniske og organisatoriske tiltak) å oppfylle plikten til å svare på anmodninger fra registrerte om utøvelse av deres rettigheter. Plikten gjelder så langt det er mulig, og det må tas hensyn til behandlingens art.
  • Sletting, anonymisering og pseudonymisering kan utføres av behandlingsansvarlig selv, enten via CRM modulen i systemets «min side» eller direkte fra arrangementet i «min side».
  • Sluttbruker kan se sine lagrede opplysninger via «min side» og kan også der anmode sletting, anonymisering eller pseudonymisering. En slik forespørsel sendes da til behandlingsansvarlig via e-post, som utfører dette i praksis via CRM modulen i systemet, eller direkte fra det aktuelle arrangementet.
  • Checkin gjør oppmerksom på at transaksjonsdata som betalinger via kort, VIPPS, faktura/giro eller fremtidige betalingsmåter, ikke kan slettes i henhold til bokføringsloven. Disse vil kunne inneholde personopplysninger, men informasjonen kan da kun brukes av Checkin/kunden for formålene som er dekket av bokføringsloven.

Bistand til den behandlingsansvarlige

  • Databehandleren har en plikt til å bistå den behandlingsansvarlige med å overholde de forpliktelsene etter artikkel 32-36 som er relevante i dette avtaleforholdet.
  • Databehandleren må straks, og innen 48 timer, underrette den behandlingsansvarlige dersom det har skjedd eller skjer et brudd på personopplysningssikkerheten (jf. artikkel 33 nr. 2). Dersom bruddet medfører en risiko for de registrertes rettigheter og friheter, må varselet til den behandlingsansvarlige inneholde den informasjonen som kreves for at den behandlingsansvarlige skal kunne gi en utførlig beskrivelse av bruddet til tilsynsmyndigheten (jf. artikkel 33 nr. 3).
  • Avviksmelding skal gis ved at databehandler melder avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for å vurdere om det skal sendes melding til Datatilsynet, samt innsendelse av slik melding.

Tilgjengeliggjøring av informasjon for den behandlingsansvarlige

  • Den behandlingsansvarlige, eller en representant for den behandlingsansvarlige, kan gjennomføre et fysisk tilsyn hos databehandler for å sikre at databehandleravtalens forpliktelser overholdes.
  • Databehandler plikter å gjøre tilgjengelig alle data lagret på vegne av behandlingsansvarlig.

6. Overføring til tredjeland

Personopplysninger kan bare overføres til et land utenfor EØS-området (tredjeland) eller til internasjonal organisasjon hvis behandlingsansvarlig har skriftlig godkjent slik overføring.

Uavhengig av ovennevnte, kan databehandler på eget ansvar og risiko overføre personopplysninger til tredjeland dersom det kreves i henhold til gjeldende rett i EØS-området. I slike tilfeller skal databehandler underrette behandlingsansvarlig så langt dette er tillatt ved lov.

7. Bruk av underleverandør

Databehandleren har den behandlingsansvarliges generelle godkjennelse til å bruke andre databehandlere ved aksept av denne avtalen. Databehandleren må likevel underrette den behandlingsansvarlige ved eventuelle planer om å skifte ut eller bruke nye databehandlere. Den behandlingsansvarlige må motta en slik underretning minimum 6 uker før endringen trer i kraft. Den behandlingsansvarlige skal ha mulighet til å motsette seg endringene, og skal skriftlig meddele databehandleren om dette senest 1 uke etter underretningen er mottatt.

Hvilke underleverandører som benyttes av databehandler på tidspunkt for inngåelsen av denne avtalen og som godkjennes av behandlingsansvarlig, fremgår av Vedlegg 1 til denne avtalen.

I tilfeller der behandlingsansvarlig ber databehandler om å integrere, eller på annen måte sende data inn i tredjeparts systemer, har behandlingsansvarlig ansvaret for at det finnes databehandleravtaler mellom tredjepart og behandlingsansvarlig. Det er også behandlingsansvarlig sitt ansvar å informere brukere om slike integrasjoner / overføringer i påmeldingen / bestillingen.

Checkin vil gjøre behandlingsansvarlig klar over behovet for at det inngås egne databehandleravtaler ved integrasjoner mot tredjepart, i den grad Checkin er klar over at slik integrasjon finner sted. Det vil gis automatiserte meldinger om dette, for eksempel når det gjøres en kobling mot en av de standardiserte tredjepartsløsningene Checkin integrerer mot. Checkin har ikke et ansvar for at slike avtaler mot tredjepart inngås.

8. Sikkerhet

Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter EUs personvernforordning. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel.

Tekniske og organisatoriske tiltak skal som et minimum inkludere, men er ikke begrenses til, tiltak for å:

a) pseudonymisere og kryptere personopplysninger der det er relevant;

b) sikre evnen til vedvarende fortrolighet, integritet, tilgjengelighet og robusthet i behandlingssystemene og –tjenestene;

c) sikre evnen til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse;

d) ivareta en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er;

e) forhindre at datasystemer som behandler personopplysninger blir brukt eller gir tilgang til personopplysninger til personer som ikke er autorisert, inkludert tilgang til å lese, kopiere, endre eller slette personopplysninger uten autorisasjon.

Databehandler er forpliktet til å iverksette ovennevnte tiltak, og om nødvendig oppdatere tiltak, slik at de tekniske og organisatoriske tiltakene til enhver tid er i henhold til Personvernregelverket, herunder slik de er oppstilt i GDPR artikler 28 og 32.

9. Sikkerhetsrevisjoner

Behandlingsansvarlig kan avtale med databehandler at det gjennomføres sikkerhetsrevisjoner jevnlig for systemer som omfattes av denne avtalen. Eventuelle kostnader med en slik revisjon, dekkes av behandlingsansvarlig.

10. Avtalens varighet

Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig. Ved brudd på denne avtale eller personopplysningsloven kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.

Avtalen kan sies opp av begge parter med en gjensidig frist på 1 måned.

11. Ved opphør

Ved opphør av denne avtalen plikter databehandler å tilbakelevere alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige og som omfattes av denne avtalen.

Ved opphør av avtale mellom databehandler og behandlingsansvarlig, vil databehandler slette alle persondata lagret hos Checkin. Kopi av databasen kan på forespørsel, oversendes behandlingsansvarlig i dertil egnet format.

Databehandler skal skriftlig dokumentere at sletting er foretatt i henhold til denne databehandleravtalen innen 10 dager etter avtalens opphør.

12. Meddelelser

Meddelelser etter denne avtalen skal sendes skriftlig til:

Databehandler: support@checkin.no

Behandlingsansvarlig: Den til enhver tid registrerte e-postadresse i kundeopplysninger i Checkin

13. Lovvalg og verneting

Avtalen er underlagt norsk rett og partene vedtar Agder Tingrett som verneting. Dette gjelder også etter opphør av avtalen.

Vedlegg 1

Eksterne servere

Checkin lagrer alle data på eksterne servere hos Amazon Webservices i Irland. Amazon Webservices er underdatabehandler og dens behandling av personopplysninger er underlagt følgende rettslige dokument: AWS GDPR Data Processing Addendum.

Integrasjoner

Checkin videreformidler ikke på noen måte data videre til tredjeparter, med unntak av når integrasjoner med andre systemer er avtalt med behandlingsansvarlig, eller at det på annen måte er blitt eksplisitt avtalt at data skal eksporteres ut av Checkin.