Databehandleravtale

Avtalens hensikt er å regulere rettigheter og plikter i henhold til artikkel 28 nummer 3 i personvernforordningen (GDPR), med henblikk på Databehandlerens behandling av personopplysninger på vegne av Kontoeier (den behandlingsansvarlige).

Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende. Avtalen regulerer Databehandlers behandling av personopplysninger på vegne av Kontoeier, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse, i forbindelse med bruk av Musikk i Skolens tjenester.

Formålet med Databehandlerens behandling av personopplysninger på vegne av Kontoeier, er å administrere og oppfylle våre forpliktelser overfor Kontoeier og dennes tilknyttede brukere.

Personopplysninger som overføres til Databehandler kan ikke brukes til andre formål enn ovennevnte formål.

Databehandler kan ikke overføre personopplysninger til underleverandører uten at Kontoeier er varslet i henhold til rutinen beskrevet i pkt. IV. Bruk av underleverandør. Oversikten over hvilke underleverandør(er) dette gjelder er til enhver tid oppdatert i denne avtalen.

Behandlingens art og omfang

Nedenfor er en komplett oversikt over hvilke typer personopplysninger Musikk i Skolen behandler på vegne av Kontoeier, hva de brukes til og behandlingens art.

• Kontoinformasjon: Navn, medlemskapstype og kontaktinformasjon.
  
  Formål: Å administrere avtaleforholdet med Kontoeier. Databehandler kan ikke oppfylle avtalen uten å identifisere Kontoeier og dennes valgte tjenesteomfang.
  
• Kontaktinformasjon: Navn, e-postadresse, telefon, adresse, postnr., poststed.
  
  Formål: Å kommunisere med Kontoeier og brukere for å oppfylle avtalen, herunder utsending av faktura, innloggingsinformasjon og scenekort. Ved særskilt samtykke kan informasjonen benyttes til nyhetsbrev og medlemsinformasjon.
  
• Brukerinformasjon: Navn, e-postadresse, passord (kryptert).
  
  Formål: Å administrere og levere tjenestene på musikkiskolen.no for Kontoeier og dennes underbrukere. Passord er kryptert og utilgjengelig for Databehandlerens ansatte og underleverandører.
  
• Fakturainformasjon: Navn, organisasjonsnavn, e-post, medlemskapstype, organisasjonsnummer, ordre-/transaksjons-/fakturahistorikk.
  
  Formål: Å sikre korrekt fakturering til Kontoeier, samt oppfylle rettslige plikter i henhold til bokføringsloven.

Alle ovennevnte personopplysninger er oppgitt til Databehandler gjennom bestilling av medlemskap/tjeneste, eller registrert av Kontoeier (lokal administrator) som administrerer sine underbrukere.

Kategorier av registrerte er Kontoeier selv og/eller underbrukere hos Kontoeiers organisasjon.

Kontoeier innestår for at det foreligger gyldig behandlingsgrunnlag for personopplysninger som registreres eller legges inn av Kontoeier i Databehandlerens systemer.

Kontoeier (den behandlingsansvarlige)

Kontoeier har rett til tilgang til og innsyn i personopplysningene som Databehandleren håndterer, og de systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette.

Kontoeier bestemmer formålet med behandlingen og hvilke hjelpemidler som skal benyttes (jf. artikkel 4 nr. 7).

Kontoeier plikter å gi Databehandleren dokumenterte instrukser for hvordan personopplysninger skal behandles, dersom dette avviker fra de rutinene og instruksene som er beskrevet i denne avtalen (jf. artikkel 28 nr. 3 bokstav a).

Kontoeier har rett til å si opp avtalen dersom Databehandleren ikke lenger oppfyller lovens krav etter artikkel 28 nr. 1.

Databehandler

Databehandler skal følge de rutiner og instrukser for behandling av personopplysninger som Kontoeier til enhver tid har bestemt skal gjelde. Databehandler skal umiddelbart underrette Kontoeier dersom en instruks etter Databehandlerens mening er i strid med personvernforordningen eller andre bestemmelser om vern av personopplysninger.

Databehandler plikter å bistå Kontoeier ved ivaretakelse av de registrertes rettigheter, herunder ved forespørsler om innsyn, retting og sletting.

Databehandleren plikter også å bistå Kontoeier slik at denne kan ivareta sitt eget ansvar etter lov og forskrift. Dokumentasjon og informasjon som er nødvendig for Kontoeiers vurdering av personvernkonsekvenser (DPIA) stilles til rådighet på forespørsel.

Databehandler har plikt til konfidensialitet og har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til i henhold til denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør. Taushetsplikten omfatter også ansatte hos tredjeparter som utfører vedlikehold (eller lignende oppgaver) av systemer som Databehandleren anvender for å levere eller administrere tjenesten.

Kun ansatte hos Databehandler, eller ansatte hos underleverandører, som har tjenstlig behov for tilgang til personopplysningene, kan gis slik tilgang. Databehandleren plikter å dokumentere sine rutiner og retningslinjer for tilgangsstyring på forespørsel fra Kontoeier.

Sensitive opplysninger

Databehandler samler, lagrer og behandler ikke særlige kategorier av personopplysninger (sensitive opplysninger, jf. artikkel 9 og 10).

Databehandler behandler ikke personopplysninger om elever eller mindreårige gjennom direkte registrering — elevers tilgang skjer i dag gjennom anonymiserte lenker uten innlogging, slik det er beskrevet under pkt. 5 i våre brukervilkår.

Personvernombud

Musikk i Skolen har ikke et eget personvernombud, men deltar i et felles samarbeid om personvernlovgivningen med organisasjoner i SEF - Samarbeidsforum for estetiske fag. Dette samarbeidet har som mål å sikre etterlevelse av regelverket for alle våre organisasjoner.

Alle henvendelser knyttet personvern kan sendes til: post@musikkiskolen.no

Innsyn, retting og sletting av data

Databehandler har plikt til å legge til rette for at registrerte personer får oppfylt sine rettigheter. Dette gjøres på følgende måte:

• Innsyn: Kontoeier eller dennes underbrukere kan når som helst få innsyn i egne data ved å logge inn på «Min profil». Unntaket er faktura- og transaksjonshistorikk; denne informasjonen utleveres innen en måned ved skriftlig henvendelse til Musikk i Skolen.
  
• Retting: Kontoeier eller dennes underbrukere kan når som helst endre egne data ved å logge inn på «Min profil».
  
• Sletting:
  
  A: Kontoeier eller dennes underbrukere kan når som helst be om sletting av sine data ved å kontakte Musikk i Skolen. Sletting skal skje senest 30 dager etter endt avtale (jf. pkt. VII. Avtalens varighet), med mindre annet er lovpålagt (f.eks. bokføringsloven). Ved sletting opphører medlemskapet/tilgangen umiddelbart.
  
  B: Kontoeier (lokal administrator) kan når som helst fjerne sine underbrukere gjennom «Brukerhåndtering» under «Min profil». Fjernede brukerkontoer settes som inaktive og slettes permanent etter 12 måneder med inaktivitet.

Databehandler benytter underleverandører for å utføre deler av behandlingen av personopplysninger. Databehandler skal ha egne skriftlige avtaler med slike underleverandører som regulerer og ivaretar alle plikter som Databehandler selv er forpliktet til å ivareta i henhold til denne avtalen og gjeldende lovverk.

Samtlige som på vegne av Databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med Databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.

Databehandler skal ikke overføre personopplysninger til land utenfor EU/EØS (tredjeland) uten at det foreligger et gyldig rettslig overføringsgrunnlag i samsvar med personvernforordningen kapittel V. Dette innebærer at overføring kun kan skje dersom det foreligger en beslutning fra EU-kommisjonen om et tilstrekkelig beskyttelsesnivå i det aktuelle mottakerlandet, eller dersom det er stilt nødvendige garantier i form av standardbestemmelser for databeskyttelse godkjent av EU-kommisjonen.

Dersom Databehandler ønsker å ta i bruk nye underleverandører eller erstatte eksisterende, skal Kontoeier varsles skriftlig minst 30 dager i forveien. Kontoeier har rett til å protestere mot slike endringer innen denne fristen.

Rutine for valg og godkjenning av underleverandører er beskrevet i Vedlegg C på musikkiskolen.no/gdpr.

Oversikt over underleverandører og systemer

Detaljert oversikt over underleverandører, datatyper og lagringssted er tilgjengelig i Vedlegg B på musikkiskolen.no/gdpr

• Kult Byrå AS - Webutvikling (teknisk tilgang til systemer som inneholder personopplysninger, i forbindelse med utvikling og feilretting)
• Sanity - Nettside og medlemsdatabase (EU Google Cloud)
• Tripletex AS - Økonomi, fakturering og regnskap (data lagres i Norge/EU)
• SendGrid (Twilio) - E-postutsendinger (EU API-region)
• Fathom Analytics - Nettstedstatistikk (anonymisert — ingen personopplysninger behandles)

Musikk i Skolen benytter Google Workspace til daglig kontorarbeid (EU dataregion). Medlems- og brukerdata lagres ikke i Workspace.

Sikringstiltak

Databehandler skal iverksette tilstrekkelige tekniske og organisatoriske tiltak for å beskytte personopplysninger mot tap, endring eller uautorisert tilgang (jf. artikkel 32). Dokumentasjon på disse tiltakene er tilgjengelig i Vedlegg A – Tekniske og organisatoriske sikkerhetstiltak (TOMs) på musikkiskolen.no/gdpr.

Avvikshåndtering: Dersom Databehandler oppdager et sikkerhetsbrudd, skal Kontoeier varsles uten ugrunnet opphold og senest innen 24 timer etter at bruddet er oppdaget. Der bruddet medfører plikt til melding til Datatilsynet, skal slik melding skje innen 72 timer, jf. GDPR artikkel 33. Varslet skal inneholde den informasjonen som er nødvendig for at Kontoeier skal kunne vurdere omfanget og eventuelt melde fra til Datatilsynet.

Kontroll og revisjon

Databehandler skal gjennomføre sikkerhetsrevisjoner minst én gang per år, eller ved vesentlige endringer i systemer eller underleverandører. I tråd med artikkel 28 nr. 3 bokstav h, skal Databehandler stille nødvendig informasjon til rådighet for Kontoeier for å bevise at reglene i denne avtalen følges. Dette inkluderer å muliggjøre inspeksjoner eller revisjoner utført av Kontoeier eller en uavhengig tredjepart. Slik bistand ytes på en måte som er forholdsmessig til Databehandlerens størrelse og ressurser.

Bistand

Databehandler skal bistå Kontoeier med å ivareta dennes ansvar etter personvernlovgivningen, herunder å stille nødvendig dokumentasjon og informasjon til rådighet for Kontoeiers vurdering av personvernkonsekvenser (DPIA) og forhåndsdrøftinger med tilsynsmyndighetene der dette er relevant.

Avtalen følger vilkår for medlemskap og medlemsperiode (pkt. 5, 6 og 7) hos Musikk i Skolen, og gjelder så lenge Databehandler behandler personopplysninger på vegne av Kontoeier.

Ved brudd på denne avtalen eller personopplysningsloven kan Kontoeier pålegge Databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.

Rutiner for sletting ved opphør

Ved opphør av medlemskap eller avtale, vil Kontoeier og samtlige tilhørende underbrukere settes som inaktive. Personopplysningene blir liggende i en slettekø og slettes permanent innen 12 måneder etter at inaktiviteten inntraff.

Dersom Kontoeier aktivt anmoder om sletting av en aktiv konto før denne perioden er utløpt, skal sletting gjennomføres senest 30 dager etter mottatt henvendelse.

Unntak

Databehandler sletter ikke opplysninger som er påkrevd lagret i henhold til annen norsk lovgivning, som for eksempel bokføringsloven (fakturahistorikk).

Denne avtale reguleres av norsk rett. Alle tvister mellom Kontoeier og Databehandler skal søkes løst gjennom forhandlinger. Lykkes ikke dette, kan søksmål reises for Oslo tingrett som avtalt verneting, med mindre partene blir enige om voldgift i tråd med voldgiftsloven.