Vi har lansert en ny plattform. Hvis du er en ny kunde, bli værende på denne nettsiden. Hvis du er en eksisterende kunde, klikk her for å få tilgang til tjenestene dine.

Databehandleravtale

Databehandleravtale

mellom

Domeneshop AS
Christian Krohgs gate 16, 0186 Oslo
Org. nummer: 930834408
(“Domeneshop“)

og

Hver enkelt kunde som benytter seg av Domeneshops hostingtjenester
(“Behandlingsansvarlig“)

1. Definisjoner

Databehandleravtalen” betyr de bestemmelser som fremgår av denne avtalen.

GDPR” betyr EUs personvernforordning, General Data Protection Regulation (EU) 2016/679, som vedtatt av Europaparlamentet og Rådet for Den europeiske union den 14. april 2016.

Personvernlovgivning” betyr alle gjeldende lover og forskrifter om databeskyttelse og personvern, inkludert GDPR og den norske Personopplysningsloven.

Personopplysning” betyr enhver opplysning om en identifisert eller identifiserbar fysisk person. En identifiserbar fysisk person er en som kan identifiseres, direkte eller indirekte, særlig med henvisning til en identifikator, slik som et navn, et identifikasjonsnummer, posisjonsdata, en elektronisk identifikator eller til en eller flere faktorer som er spesifikke for den fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sosiale identiteten til den fysiske personen.

Den registrerte” betyr den fysiske personen som et bestemt sett med personopplysninger vedrører.

Behandling” betyr enhver operasjon eller sett av operasjoner som utføres på personopplysninger eller på sett av personopplysninger, enten det er automatisert eller ikke, slik som innsamling, mottak, organisering, strukturering, lagring, bearbeidelse, endring, uthenting, konsultasjon, bruk, overføring, formidling, tilgjengeliggjøring, justering, kombinering, begrensning, sletting eller tilintetgjørelse.

Behandlingsansvarlig” betyr den fysiske eller juridiske person, offentlig myndighet, byrå eller annet organ som, alene eller i fellesskap med andre, bestemmer formålet med og midlene for behandling av personopplysninger. I denne Databehandleravtalen skal Behandlingsansvarlig henvise til kunden.

Databehandler” betyr en fysisk eller juridisk person, offentlig myndighet, et byrå eller et annet organ som behandler personopplysninger på vegne av Behandlingsansvarlig. I denne Databehandleravtalen skal Databehandler referere til Domeneshop.

Partene” betyr Behandlingsansvarlig og Databehandler når disse omtales i fellesskap.

Underdatabehandlere” betyr andre databehandlere som Domeneshop bruker til å behandle personopplysningene.

Tilsynsmyndighet” betyr en uavhengig offentlig myndighet som er opprettet av en EU/EØS-stat i henhold til GDPR artikkel 51. I Norge er det Datatilsynet som er Tilsynsmyndighet.

2. Avtalens bakgrunn og formål

Denne Databehandleravtalen er et tillegg til vilkårene for hostingtjenester (“Hosting-avtalen”) som trer i kraft når Behandlingsansvarlig bruker Domeneshops hostingtjenester (DNS, epost, web, etc.) til å lagre, overføre eller på annen måte behandle personopplysninger. Den beskriver rettigheter og plikter for kunden som Behandlingsansvarlig og Domeneshop som Databehandler.

Formålet med denne Databehandleravtalen er å:

  • regulere Partenes rettigheter og plikter ved behandling av personopplysninger,
  • sikre at kravene i Personvernlovgivningen etterleves ved gjennomføringen av Hosting-avtalen, og
  • sikre at personopplysninger ikke behandles urettmessig, kommer uberettigede i hende eller behandles til andre formål enn det som er fastsatt i denne Databehandleravtalen.

Ved motstrid mellom bestemmelsene i denne Databehandleravtalen og andre avtaler mellom Partene, herunder Hosting-avtalen, skal bestemmelsene i Databehandleravtalen gå foran.

3. Varighet, tema og formål for behandlingen

Domeneshop vil gjøre sine hosting-servere tilgjengelige for å lagre og behandle Behandlingsansvarlig sine data, inkludert eventuelle personopplysninger. Formålet med behandlingen er å la Behandlingsansvarlig bruke Domeneshops lagringsplass, prosessorkraft og båndbreddekapasitet til å laste opp, overføre og behandle personopplysninger som en del av hostingtjenestene som leveres til Behandlingsansvarlig. Varigheten av denne Databehandleravtalen skal være så lenge Domeneshop behandler personopplysninger på vegne av Behandlingsansvarlig.

Kategorier av personopplysninger kan være kunder, leverandører, ansatte, medlemmer, studenter, besøkende, deltakere, brukere eller andre grupper av fysiske personer, som definert av Behandlingsansvarlig.

Typer av personopplysninger kan være navn, fødselsdatoer, postadresser, telefonnumre, epostadresser, IP-adresser, brukernavn, passord, kundenumre, nasjonale identifikasjonsnumre, kredittkortnumre, kjøpshistorikk, loggfiler, brukeroppførsel og -preferanser, posisjonsdata, fotografier, videoklipp eller andre typer opplysninger, som definert av Behandlingsansvarlig, som kan brukes alene eller i sammenheng med andre opplysninger for å identifisere en fysisk person.

4. Behandlingsansvarliges rettigheter og plikter

Behandlingsansvarliges instrukser til Domeneshop er fastsatt av denne Databehandleravtalen med vedlegg. Ved å laste opp eller overføre personopplysninger med Domeneshops hostingtjenester, gir Behandlingsansvarlig Domeneshop tillatelse til å lagre opplysningene på sine servere og å gjennomføre de nødvendige sikkerhetstiltak for å beskytte opplysningene mot uautorisert tilgang og utilsiktet tap av data. Behandlingsansvarlig kan gi etterfølgende instrukser så lenge Domeneshop behandler personopplysninger på vegne av Behandlingsansvarlig. Slike etterfølgende instrukser skal gis Domeneshop skriftlig og må være dokumenterte.

Behandlingsansvarlig forplikter seg til:

  • å definere hvilke kategorier av personopplysninger og hvilke typer personopplysninger som skal behandles, og bestemme formålet for behandlingen og på hvilken måte personopplysningene skal behandles,
  • å sørge for at alle personopplysninger behandles i henhold til gjeldende Personvernlovgivning, inkludert GDPR,
  • ved overføring og lagring av personopplysninger med Domeneshops hostingtjenester, å ta hensyn til de sikkerhetsanbefalingene som fremgår av Vedlegg 1 til Databehandleravtalen, og
  • å umiddelbart varsle Domeneshop dersom Behandlingsansvarlig mener at instrukser eller krav fra Domeneshop er i strid med Personvernlovgivningen.

Behandlingsansvarlig har også rett til å si opp Hosting-avtalen og Databehandleravtalen med Domeneshop dersom Domeneshop ikke lenger oppfyller sine forpliktelser i henhold til GDPR artikkel 28 nr. 1.

5. Databehandlerens rettigheter og plikter

Databehandler skal utelukkende samle inn, registrere, sammenstille, lagre eller på andre måter behandle personopplysninger i den utstrekning det er nødvendig for å oppfylle Hosting-avtalen og Databehandleravtalen. Databehandler skal som en hovedregel behandle alle data som overføres eller lagres som del av Hosting-avtalen som at de potensielt kan inneholde personopplysninger, og beskytte dem deretter.

Databehandler forplikter seg til:

  • å behandle personopplysningene kun etter Behandlingsansvarliges dokumenterte instruksjoner, med mindre noe annet kreves av unionsretten eller nasjonal rett. I så tilfelle skal Domeneshop varsle Behandlingsansvarlig om den rettslige forpliktelsen i forkant av behandlingen, med mindre den aktuelle loven forbyr at slik informasjon gis av hensyn til allmenn interesse.
  • å sørge for at alle ansatte i Domeneshop som har tilgang til personopplysingene, er autorisert til å ha det, og vil behandle opplysningene konfidensielt i henhold til konfidensialitetsavtale eller lovfestet taushetsplikt. Taushetsplikten gjelder også etter at Databehandleravtalen er avsluttet. Domeneshop skal ikke utlevere eller gi tilgang til personopplysningene til andre enn egne ansatte, Underdatabehandlere eller til ansatte hos Behandlingsansvarlig, uten at dette er avtalt skriftlig med Behandlingsansvarlig eller følger av lov, forskrift eller vedtak av offentlig myndighet.
  • å ha på plass de nødvendige tekniske og organisatoriske sikkerhetstiltak etter GDPR artikkel 32 for å sikre tilstrekkelig sikkerhet for dine data, herunder beskyttelse mot uautorisert eller ulovlig behandling og utilsiktet tap, ødeleggelse eller skade. Sikkerhetstiltakene er nærmere beskrevet i Vedlegg 1 til Databehandleravtalen.
  • å overholde vilkårene nevnt i GDPR artikkel 28 nr. 2 og 4 når det gjelder å engasjere en annen databehandler. Domeneshop bruker ingen Underdatabehandlere på avtaletidspunktet. Behandlingsansvarlig aksepterer at Domeneshop kan engasjere Underdatabehandlere i fremtiden. Domeneshop skal i så tilfelle underrette Behandlingsansvarlig om navn og kontaktinformasjon på Underdatabehandlere i forkant. Behandlingsansvarlig har rett til å motsette seg bruk av Underdatabehandlere. Dersom Behandlingsansvarlig motsetter seg bruk av ny Underdatabehandler, skal Behandlingsansvarlig informere Domeneshop uten ugrunnet opphold. Dersom Domeneshop engasjerer en Underdatabehandler, skal den aktuelle Underdatabehandleren pålegges de samme forpliktelsene som fastsatt i denne Databehandleravtalen. Domeneshop lagrer dataene til Behandlingsansvarlig på servere i EU/EØS. Unntak gjelder for DNS-sonedata, som vil kunne lagres på servere i hele verden for best mulig ytelse.
  • idet det tas hensyn til behandlingens art og i den grad det er mulig, å videreformidle til Behandlingsansvarlig eventuelle henvendelser fra De registrerte om utøvelse av deres personvernrettigheter etter GDPR kapittel III, for eksempel retten til tilgang, korrigering og sletting.
  • å bistå Behandlingsansvarlig med å sikre at de relevante kravene i artikkel 32-36 av GDPR blir overholdt så langt det er mulig, tatt i betraktning behandlingens art og den informasjonen som er tilgjengelig for Domeneshop, samt å informere Behandlingsansvarlig uten ugrunnet opphold dersom det oppstår et sikkerhetsbrudd, inkludert all informasjon som er nødvendig for at Behandlingsansvarlig skal kunne varsle Tilsynsmyndigheten og/eller De registrerte om nødvendig.
  • innen 12 måneder etter opphør av Hosting-avtalen, slette alle personopplysninger som er blitt behandlet på vegne av Behandlingsansvarlig, inkludert eventuelle sikkerhetskopier. Unntak gjelder dersom unionsretten eller nasjonal rett krever at personopplysningene skal oppbevares videre.
  • på forespørsel, bidra til revisjoner og inspeksjoner og gi Behandlingsansvarlig all nødvendig informasjon for å demonstrere overholdelse av Domeneshops forpliktelser som Databehandler i henhold til denne Databehandleravtalen og GDPR. Behandlingsansvarlig har rett til å gjennomføre slike revisjoner på egen kostnad, maksimalt én gang i året med fire ukers forhåndsvarsel.

Domeneshop skal umiddelbart varsle Behandlingsansvarlig dersom Domeneshop mener at instrukser eller krav fra Behandlingsansvarlig er urimelige å etterleve eller i strid med Personvernlovgivningen. Domeneshop har rett til å si opp Hosting-avtalen og Databehandleravtalen med Behandlingsansvarlig dersom Behandlingsansvarlig kommer med ulovlige eller urimelige instrukser eller krav, og ikke godtar å endre disse etter å ha blitt varslet om det.

6. Lovvalg og verneting

Denne Databehandleravtalen er underlagt norsk rett. Partene vedtar Oslo tingrett som verneting.

Vedlegg 1: Sikkerhetstiltak og -anbefalinger

Domeneshop har implementert en rekke sikkerhetstiltak, både tekniske og organisatoriske, for å beskytte integriteten og konfidensialiteten til Behandlingsansvarliges data. Hos Domeneshop er risikoanalyse og databeskyttelse en kontinuerlig prosess. Sikkerhetstiltakene som er iverksatt inkluderer, men er ikke begrenset til:

  • Fysisk tilgangskontroll til hosting-servere
  • Brannmurer for deteksjon og forhindring av inntrengingsforsøk
  • Redundant lagring (RAID) og strømforsyning (UPS)
  • Regelmessig sikkerhetskopiering mot backup-servere i en separat fysisk bygning (i tilfelle brann, flom eller annen katastrofe)
  • Kort responstid for sikkerhetsoppdateringer (for å forhindre utnyttelse av sikkerhetshull straks de publiseres)
  • Bruk av sterk kryptering når data flyttes mellom servere
  • Logging for å oppdage og forhindre sikkerhetshendelser og å muliggjøre sporbarhet av endringer
  • Planlegging og testing for katastrofescenarier

I et delt servermiljø slik som Domeneshops, kan enkle brukerfeil hos Behandlingsansvarlig som å sette gale rettigheter på en fil, kompromittere sikkerheten til dataene. Domeneshop understreker derfor viktigheten av at Behandlingsansvarlig setter riktige rettigheter på alle filer og databaser, og bruker sterke passord for alle påloggingskontoer.

Her følger noen flere sikkerhetsanbefalinger Behandlingsansvarlig bør følge for å beskytte dataene:

  • Ved bruk av Domeneshops webhosting for behandling av personopplysninger, bør all webtrafikk krypteres ved hjelp av HTTPS i stedet for vanlig (ukryptert) HTTP. For alle web hosting-pakker tilbyr
  • Domeneshop gratis HTTPS-kryptering med algoritmer og sertifikater i henhold til gjeldende bransjestandarder. Det er imidlertid Behandlingsansvarlig sitt ansvar å påse at dette er aktivert i kontrollpanelet.
    Domeneshop anbefaler også at når personopplysninger overføres til eller fra hosting-servere ved hjelp av FTP-protokollen, eller når epost sendes ved hjelp av SMTP eller leses med POP eller IMAP, at det benyttes de krypterte variantene av disse protokollene (SSL/TLS). Domeneshop tilbyr både kryptert og ukryptert dataoverføring, men Behandlingsansvarlig må selv sørge for at den klientprogramvaren som benyttes, er konfigurert til å bruke SSL/TLS-kryptering.
  • For lagring av passord, anbefales det at disse, når det er teknisk mulig, lagres i et kryptert eller hashet format i stedet for klartekst.
  • Bruk av Domeneshops delte servermiljø for behandling av sensitive personopplysninger frarådes. Sensitive personopplysninger inkluderer informasjon om rasemessig eller etnisk opprinnelse, politiske meninger, religiøs eller filosofisk tro, fagforeningsmedlemskap, genetiske data, biometriske data, helseopplysninger eller opplysninger om en persons sexliv eller seksuelle orientering. For slike personopplysninger anbefales en dedikert server eller virtuell privat server (VPS). Domeneshop tilbyr ikke disse tjenestene.
Domenenavn

Registrere domenenavn

Flytt domene

Whois-oppslag

Tjenester

Webhosting

E-post

cPanel

VPS

Microsoft 365

Webmail

Hjelp

Spørsmål og svar

Kontakt oss

Driftsmeldinger

Nyheter

Prisliste

© Domeneshop AS   |    Om oss    |    Cookies   |    Vilkår   |   Personvern