Standard Databehandleravtale fra Folq
1. Definisjoner
Folq
Folq AS har org.nr. 918 714 588 og registrert forretningsadresse Youngs gate 7, 0181 Oslo. Selskapet tilbyr Markedsplassen til Konsulentselskapet og Kunden med tilhørende Sluttbrukere.
Markedsplassen
Folqs plattform for formidling av konsulenttjenester mellom Konsulentselskapet og Kunden, slik plattformen er tilgjengelig via nettsiden www.folq.no.
Samarbeidsavtalen
Standard avtale fra Folq som er inngått med Kunden og Konsulentselskapet for tilgang til Markedsplassen, og Folqs tjenester. Folq inngår også Samarbeidsavtalen med Kunden og Konsulentselskapet som ikke bruker Markedsplassen. Denne Databehandleravtalen regnes som et vedlegg til Samarbeidsavtalen og fører ikke til noen endringer av de kommersielle betingelsene som følger av Samarbeidsavtalen.
Part
Kunden, Konsulentselskapet eller Folq.
Partene
Avtalepartene i fellesskap, dvs. Folq, Konsulentselskapet og Kunden omtalt i fellesskap.
2. Folqs databehandling
Partene skal sikre at personopplysninger behandles i samsvar med de til enhver gjeldende kravene til behandling av personopplysninger. Dette gjelder blant annet Europaparlaments- og rådsforordning om:
- beskyttelse av individer ved behandling av personopplysninger
- fri flyt av slike opplysninger
- oppheving av direktiv 95/46/EF (personvernforordningen eller «GDPR») som besluttet 27. april 2016
I tillegg gjelder norsk lov med tilhørende forskrifter som innføres som en følge av personvernforordningen som personopplysningsloven.
Hvis en Part behandler personopplysninger på vegne av den annen Part, og dermed blir databehandler for den annen Part som behandlingsansvarlig etter personvernforordningen (GDPR), er Partene enige om at databehandleren behandler personopplysningene bare på dokumenterte instrukser fra den behandlingsansvarlige.
Dette er i henhold til GDPR artikkel 28, herunder med hensyn til overføring av personopplysninger til en tredjestat eller en internasjonal organisasjon. Unntaket er hvis det kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt. Da skal i så fall databehandleren underrette den behandlingsansvarlige om nevnte rettslige krav før behandlingen. Dette gjelder ikke hvis denne rett av hensyn til viktige allmenne interesser:
- forbyr en slik underretning
- sikrer at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til å behandle opplysningene konfidensielt eller er underlagt en egnet lovfestet taushetsplikt
- treffer alle tiltak som er nødvendig i henhold til GDPR artikkel 32
- overholder vilkårene nevnt i GDPR artikkel 28 nr. 2 og 4 når det gjelder å engasjere en annen databehandler
- når det tas hensyn til behandlingens art og i den grad det er mulig, bistår, ved hjelp av egnede tekniske og organisatoriske tiltak
- den behandlingsansvarlige med å oppfylle vedkommendes plikt til å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i kapittel III
- bistår den behandlingsansvarlige med å sikre overholdelse av forpliktelsene i henhold til GDPR artikkel 32-36
- når det tas hensyn til behandlingens art og den informasjonen som er tilgjengelig for databehandleren
- etter den behandlingsansvarliges valg, sletter eller tilbakeleverer alle personopplysninger til den behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert, og sletter eksisterende kopier, med mindre unionsretten eller medlemsstatenes nasjonale rett krever at personopplysningene lagres
- gjør tilgjengelig for den behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i denne artikkel er oppfylt, samt muliggjør og bidrar til revisjoner, herunder inspeksjoner, som gjennomføres av den behandlingsansvarlige eller en annen revisor på fullmakt fra den behandlingsansvarlige. Når det gjelder første ledd bokstav h) skal databehandleren omgående underrette den behandlingsansvarlige hvis vedkommende mener at en instruks er i strid med GDPR eller andre bestemmelser om vern av personopplysninger i unionsretten eller medlemsstatenes nasjonale rett.
Partene kan ha forskjellige roller etter GDPR. Folq kan være databehandler på vegne av Kunden og Konsulentselskapet når Folq leverer tjenester som følger av Samarbeidsavtalen. Konsulentselskapet vil være Kundens databehandler når Konsulentselskapet leverer konsulenttjenester til Kunden.
For å oppfylle Samarbeidsavtalen vil Folq behandle personopplysninger som:
- Navn
- Mobilnummer
- Adresse
- Arbeidssted
- Brukernavn
- CV-opplysninger om tilbudte konsulenter
- Passord
- Epost-adresse
- Andre opplysninger som Konsulentselskapet/Kunden eller Konsulentselskapets/Kundens brukere legger inn eller på annen måte deler med Folq.
Kategorier registrerte er tilbudte konsulenter, Partenes egne ansatte og innleide personer, eiere og ledelse, kontaktpersoner tilknyttet leverandører eller kunder. Partenes kontraktsparter som bruker tjenesten etter Samarbeidsavtalen samt andre sluttbrukere en Part tilknytter Samarbeidsavtalen.
Folq er behandlingsansvarlig for Partenes sluttbrukere som oppretter en konto på Markedsplassen eller bruker timeføringsverktøy fra Folq.
3. Sikkerhet og innebygd personvern
Folq etterlever prinsippene om innebygd personvern, og har et høyt sikkerhetsnivå for behandling av personopplysninger. For en oversikt over Folqs underleverandører, se oppdatert oversikt over våre tredjepartsleverandører her.
For detaljer om hvordan Folq behandler sluttbrukeres personopplysninger og ivaretar den registrertes rettigheter etter GDPR, les vår personvernerklæring her.