Manymore.com

Databehandleravtale (DBA)

Oppdatert: 28.07.2025

1. Innledning

Denne Databehandleravtalen («DBA») er inngått mellom Manymore.com AS («Manymore», som opptrer som Databehandler) og brukeren av tjenesten («Behandlingsansvarlig»). Avtalen regulerer Manymores behandling av personopplysninger på vegne av Behandlingsansvarlig i samsvar med EUs forordning 2016/679 (GDPR) og gjeldende nasjonale personvernlovgivning.

Denne DBA gjelder for den perioden Manymore behandler personopplysninger på vegne av Behandlingsansvarlig. Behandlingen er begrenset til bakgrunnssjekktjenester som definert i hovedavtalen for tjenesten. Ved konflikt mellom denne DBA og vilkårene for bruk, skal denne DBA ha forrang for spørsmål om personvern.

Forholdet til andre avtaler

Denne DBA inngår i Manymores samlede juridiske rammeverk, som også omfatter Vilkår for bruk, Personvernerklæring og Service Level Agreement (SLA). Samlet regulerer disse dokumentene bruk av tjenesten, håndtering av data og tjenesteforpliktelser. Juridiske henvendelser rettes til legal@manymore.com.

2. Definisjoner

  • Personvernlovgivning: GDPR (EU-forordning 2016/679) og gjeldende nasjonal personvernlovgivning.
  • Personopplysninger: Enhver opplysning om en identifisert eller identifiserbar fysisk person («Registrert»).
  • Behandling: Enhver operasjon utført på personopplysninger, som innsamling, registrering, lagring, endring, uthenting eller sletting.
  • Behandlingsansvarlig: Den som bestemmer formålet med og midlene for behandlingen av personopplysninger.
  • Databehandler: Den som behandler personopplysninger på vegne av behandlingsansvarlig.
  • Underbehandler: Tredjepart som engasjeres av databehandler for å behandle personopplysninger.
  • Tredjeland: Land utenfor EU/EØS.
  • Brudd på personopplysningssikkerheten: Et sikkerhetsbrudd som fører til tap, endring, uautorisert utlevering eller tilgang til personopplysninger.
  • Revisjon: En inspeksjon eller gjennomgang av Databehandlers etterlevelse av denne DBA, utført av Behandlingsansvarlig eller en utpekt revisor.

For øvrige personvernbegreper som ikke er definert i denne DBA, gjelder definisjonene i artikkel 4 i GDPR.

3. Rettigheter og plikter for Behandlingsansvarlig

Behandlingsansvarlig:

  • Bestemmer formålet med og midlene for behandlingen av personopplysninger.
  • Sørger for at personopplysninger samles inn og behandles i samsvar med personvernlovgivningen.
  • Gir dokumenterte instruksjoner til Databehandler og informerer Databehandler om eventuelle endringer eller unøyaktigheter.
  • Sikrer at det foreligger rettslig grunnlag for behandlingen av personopplysninger.

4. Omfang av behandlingen

4.1 Formål og instruksjoner

Databehandler skal behandle personopplysninger kun etter dokumenterte instruksjoner fra Behandlingsansvarlig (jf. artikkel 28 nr. 3 bokstav a i GDPR) og med det formål å levere de avtalte tjenestene. Databehandler skal ikke bruke personopplysninger til egne formål eller til formål som ikke er uttrykkelig avtalt.

Dersom Databehandler mener at en instruks er i strid med GDPR, skal Databehandler uten ugrunnet opphold varsle Behandlingsansvarlig og stanse gjennomføringen til forholdet er avklart.

4.2 Hvem gjelder dette for og hvilke opplysninger behandles

Dette gjelder for følgende kategorier av personer:

  • Kunder og brukere av tjenesten.
  • Ansatte, innleide og representanter for Behandlingsansvarlig.
  • Andre personer hvis data behandles gjennom tjenesten.

Kategorier av personopplysninger kan omfatte:

  • Navn, kontaktinformasjon og identifikasjonsdata (inkludert nasjonale identifikasjonsnumre der relevant).
  • Arbeids-, utdannings- og profesjonsdata.
  • Dokumentasjon lastet opp av kandidaten gjennom tjenesten (vitnemål, bakgrunnssjekkdokumenter mv.).
  • IP-adresser, enhetsidentifikatorer og brukslogger.
  • Andre datakategorier som kreves for tjenesten.

4.3 Formål og varighet

Behandlingen skal kun utføres for å levere bakgrunnssjekktjenester som beskrevet i hovedavtalen, og skal fortsette så lenge det foreligger et kontraktsforhold.

4.4 Opphør og tilbakelevering/sletting av data

Ved opphør av tjenesteavtalen skal Databehandler, etter Behandlingsansvarligs valg, returnere eller sikkert slette alle personopplysninger (inkludert sikkerhetskopier) uten ugrunnet opphold.Sletting av sikkerhetskopier skal skje innen 90 dager med mindre tidligere sletting er mulig. Bekreftelse på sletting eller tilbakelevering skal gis på forespørsel. Oppbevaring utover dette er kun tillatt der lov krever det.

5. Konfidensialitet

Databehandler og alle underbehandlere skal overholde strenge konfidensialitetsforpliktelser. Tilgang til personopplysninger skal begrenses til autorisert personell med tjenstlig behov. Konfidensialitetsforpliktelsen gjelder også etter at denne DBA er opphørt.

6. Sikkerhetstiltak

Databehandler skal etablere og opprettholde egnede tekniske og organisatoriske tiltak i samsvar med artikkel 32 i GDPR for å sikre et sikkerhetsnivå som står i forhold til risikoen, og oppdatere disse ved behov. Tiltakene omfatter blant annet:

  • Fysisk tilgangskontroll: Begrenset adgang til lokaler, adgangskort, besøkslogger.
  • Systemtilgangskontroll: Passordpolicyer, flerfaktorautentisering, tilgangsgodkjenning.
  • Tilgangsstyring: Rollebaserte tilgangsrettigheter, automatisk logging av brukeraktivitet.
  • Overføringskontroll: Ende-til-ende-kryptering av personopplysninger under overføring.
  • Lagringskontroll: Kryptering av personopplysninger i hvilemodus og separasjon av data etter formål.
  • Overvåkning og gjennomgang: Sikkerhetslogging, periodiske revisjoner, virus-/malware-beskyttelse.
  • Backup og gjenoppretting: Regelmessige krypterte sikkerhetskopier, ekstern lagring, testing av katastrofeberedskap.
  • Opplæring av ansatte: Obligatorisk opplæring i personvern og sikkerhet for alle ansatte.

Databehandler skal på forespørsel fra Behandlingsansvarlig gi dokumentasjon på disse tiltakene (f.eks. sikkerhetsrapporter eller sertifiseringer).

7. Varsling ved brudd på personopplysningssikkerheten

Databehandler skal uten ugrunnet opphold og der det er mulig innen 24 timer varsle Behandlingsansvarlig når Databehandler blir oppmerksom på et brudd på personopplysningssikkerheten, slik at Behandlingsansvarlig kan oppfylle forpliktelsene etter artikkel 33 i GDPR.

Varslingen skal inneholde:

  • Bruddets art og berørte datakategorier
  • Antall berørte registrerte
  • Sannsynlige konsekvenser
  • Tiltak som er iverksatt eller foreslått for å håndtere bruddet

Databehandler skal også varsle Behandlingsansvarlig uten ugrunnet opphold om sikkerhetshendelser hos underbehandlere som kan påvirke Behandlingsansvarligs personopplysninger.

8. Rettigheter for registrerte

Databehandler skal bistå Behandlingsansvarlig i å oppfylle forpliktelser knyttet til registrertes rettigheter etter GDPR, inkludert:

  • Innsynsbegjæringer (artikkel 15)
  • Rett til retting av uriktige data (artikkel 16)
  • Rett til sletting («retten til å bli glemt») (artikkel 17)
  • Begrensning av behandling (artikkel 18)
  • Rett til dataportabilitet (artikkel 20)

Databehandler skal ikke besvare forespørsler direkte fra registrerte uten instruks fra Behandlingsansvarlig, med mindre det er lovpålagt. Dersom Databehandler mottar en forespørsel direkte, skal den videresendes til Behandlingsansvarlig.

9. Bruk av underbehandlere

Databehandler har generell fullmakt fra Behandlingsansvarlig til å engasjere underbehandlere. Databehandler skal:

  • Holde en oppdatert liste over underbehandlere, inkludert navn, lokasjon (land/region) og type tjeneste, og gjøre denne tilgjengelig for behandlingsansvarlig på forespørsel.
  • Varsle behandlingsansvarlig på forhånd om planlagte endringer av underbehandlere.
  • Gi behandlingsansvarlig mulighet til å protestere mot nye underbehandlere innen 30 dager etter varsel.
  • Sørge for at underbehandlere er bundet av de samme eller tilsvarende forpliktelsene som fastsatt i denne DBA gjennom skriftlige avtaler.
  • Varsle Behandlingsansvarlig om vesentlige sikkerhetshendelser hos underbehandlere som kan berøre behandlingsansvarligs data.

10. Internasjonale overføringer

Dersom personopplysninger overføres utenfor EØS, skal Databehandler sørge for at:

  • Mottakerlandet har et gyldig adekvansvedtak (artikkel 45), eller
  • Standard kontraktsklausuler (SCC) er implementert, med supplerende tiltak der det kreves.

Databehandler skal gjennomføre og dokumentere Transfer Impact Assessments (TIA) og sikre kryptering og andre nødvendige tiltak ved alle overføringer, inkludert overføringer som involverer underbehandlere.

11. Revisjonsrettigheter

Databehandler skal gjøre all informasjon som er nødvendig for å påvise etterlevelse av denne DBA tilgjengelig for Behandlingsansvarlig og tillate revisjoner med rimelig varsel. Revisjonens omfang og hyppighet skal være forholdsmessig og ikke unødig forstyrre Databehandlers virksomhet.

12. Lovvalg og tvister

Denne DBA er underlagt norsk rett. Eventuelle tvister som oppstår som følge av eller i forbindelse med denne DBA, skal avgjøres i Oslo Tingrett.

13. Endringshåndtering

Dersom gjeldende personvernlovgivning eller endringer i tjenesten krever oppdatering av denne DBA, skal Databehandler gi skriftlig varsel til Behandlingsansvarlig. Den oppdaterte versjonen trer i kraft ved varsling, med mindre Behandlingsansvarlig protesterer innen 30 dager. Ved protest skal partene i god tro forsøke å løse saken eller avslutte avtalen dersom løsning ikke oppnås.

14. Kontakt

For spørsmål knyttet til denne DBA, kontakt legal@manymore.com.