Gå til innhold
Norwegian Bokmål
Kontakt
  • Det finnes ingen forslag fordi søkefeltet er tomt.

Databehandleravtale (DPA) for Klara Karbon

Denne databehandleravtalen ("Avtalen") inngås mellom ESG Trackr AS, Org.nr: 930 816 418 ("Databehandler"), som tilbyr tjenesten Klara Karbon, og brukeren av tjenesten ("Behandlingsansvarlig"). Avtalen regulerer behandlingen av personopplysninger utført av Databehandler på vegne av Behandlingsansvarlig, i samsvar med kravene i personvernforordningen (GDPR).

1. Formål

Formålet med denne avtalen er å fastsette rettigheter og plikter mellom Databehandler og Behandlingsansvarlig når Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig i forbindelse med levering av tjenesten Klara Karbon.

2. Behandlingens art og formål

Databehandler skal behandle personopplysninger på vegne av Behandlingsansvarlig i forbindelse med:

  • Beregning og rapportering av klimagassutslipp basert på data fra Behandlingsansvarligs regnskapssystem.
  • Generering av analyser for å hjelpe Behandlingsansvarlig med karbonregnskap og ESG-rapportering.
3. Kategorier av personopplysninger og registrerte
  • Kategorier av registrerte: Kunder, ansatte, leverandører, og eventuelle andre personer som har relasjon til Behandlingsansvarligs økonomiske transaksjoner.
  • Kategorier av personopplysninger: Navn, kontaktinformasjon, fakturainformasjon, økonomiske data (transaksjoner), kjøpshistorikk og eventuelt andre opplysninger som kan behandles i forbindelse med regnskap og klimagassberegninger.
4. Behandlingsgrunnlag

Databehandler skal kun behandle personopplysninger på vegne av Behandlingsansvarlig og i samsvar med dennes instruksjoner. Behandlingsansvarlig er ansvarlig for å sikre at det foreligger gyldig behandlingsgrunnlag for alle personopplysninger som behandles gjennom tjenesten Klara Karbon, i tråd med GDPR.

5. Underbehandlere

Databehandler har rett til å benytte underleverandører til behandling av personopplysninger. Følgende underbehandlere brukes per i dag:

  • Google Cloud (databehandling og lagring)
  • OpenAI (dataanalyse og AI-funksjoner)

Databehandler skal informere Behandlingsansvarlig om enhver planlagt endring av underleverandører, og Behandlingsansvarlig har rett til å motsette seg slike endringer innen rimelig tid.

6. Datasikkerhet

Databehandler forplikter seg til å iverksette nødvendige tekniske og organisatoriske tiltak for å beskytte personopplysningene som behandles. Disse tiltakene inkluderer, men er ikke begrenset til:

  • Kryptering av data både under overføring og i hvile.
  • Tilgangskontroller for å sikre at kun autoriserte personer har tilgang til dataene.
  • Logging og overvåking av systemtilgang og databehandling.
  • Sikkerhetskopiering og rutiner for gjenoppretting ved hendelser.

Databehandler skal regelmessig evaluere og oppdatere sine sikkerhetsrutiner for å sikre kontinuerlig beskyttelse av personopplysninger.

7. Rettigheter for de registrerte

Databehandler forplikter seg til å bistå Behandlingsansvarlig i å oppfylle de registrertes rettigheter i henhold til GDPR, inkludert:

  • Rett til innsyn: De registrerte kan be om tilgang til sine personopplysninger.
  • Rett til retting: De registrerte kan be om å få feilaktige opplysninger rettet.
  • Rett til sletting: Behandlingsansvarlig kan kreve at personopplysninger slettes dersom det ikke lenger er et lovlig grunnlag for behandlingen.
8. Varsling ved brudd på personopplysningssikkerheten

Ved brudd på personopplysningssikkerheten som kan medføre risiko for de registrertes rettigheter og friheter, forplikter Databehandler seg til å varsle Behandlingsansvarlig uten ugrunnet opphold, og senest innen 72 timer etter at bruddet er oppdaget. Varslingen skal inneholde:

  • En beskrivelse av hva bruddet består i.
  • Hvilke kategorier av personopplysninger som er berørt.
  • Tiltak som er iverksatt for å håndtere bruddet og minimere risikoen.
9. Overføring av personopplysninger til tredjeland

Databehandler kan overføre personopplysninger til land utenfor EU/EØS i forbindelse med bruk av underleverandører som Google Cloud og OpenAI. Slike overføringer skal skje i samsvar med GDPR, ved bruk av mekanismer som EU-standardkontrakter (SCCs) eller andre godkjente beskyttelsestiltak.

10. Dataminimering

Databehandler forplikter seg til å behandle kun de personopplysninger som er nødvendige for å oppfylle formålene med tjenesten. Behandlingsansvarlig er ansvarlig for at det ikke overføres unødvendige eller uriktige opplysninger til Databehandler.

11. Sletting og retur av personopplysninger

Ved opphør av avtalen, eller når det ikke lenger er nødvendig å behandle personopplysninger for å oppfylle formålene med behandlingen, skal Databehandler slette eller returnere alle personopplysninger til Behandlingsansvarlig, med mindre annet er pålagt ved lov.

12. Ansvarsbegrensning

Databehandler er ansvarlig for å sikre at personopplysninger behandles i tråd med denne avtalen og GDPR. Eventuelle krav mot Databehandler som følge av brudd på denne avtalen eller GDPR er begrenset til det direkte økonomiske tapet Behandlingsansvarlig pådrar seg, med mindre bruddet skyldes grov uaktsomhet eller forsettlig handling.

13. Varighet og oppsigelse

Denne avtalen trer i kraft ved Behandlingsansvarligs godkjenning via Klara Karbon og gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig. Behandlingsansvarlig kan si opp avtalen med umiddelbar virkning dersom Databehandler bryter sine forpliktelser i henhold til GDPR eller denne avtalen.