Gå til hovedinnhold

Vedlegg 1 - Databehandleravtale

1. Innledning

1.1 Denne databehandleravtalen regulerer all behandling av personopplysninger i tilknytning til Utleiers bruk av Hybels utleieplattform (“Plattformen”). Databehandleravtalen er et supplement til, og utgjør en integrert del av brukervilkårene for Plattformen som heretter er referert til som “Tjenesteavtale”.

1.2 Utleier er heretter betegnet som ”Behandlingsansvarlig”, og Hybel som “Databehandler”. I fellesskap er Utleier og Hybel betegnet som “Partene”.

2. Definisjoner

2.1. Definisjonene av personopplysning, særlige kategorier av personopplysning, behandling av personopplysning, den registrerte, behandlingsansvarlig og databehandler skal forstås slik de brukes og tolkes i henhold til gjeldende personvernlovgivning, inkludert lov om behandling av personopplysninger av 15. juni 2018 nr. 38 og personvernforordningen Europaparlaments- og rådsforordning (EU) 2016/679 (GDPR) av 27. april 2016.

3. Formål

3.1. Databehandleravtalen regulerer Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlig, og beskriver hvordan Databehandleren gjennom tekniske og organisatoriske virkemidler skal bidra til å sikre den registrertes rettigheter på vegne av Behandlingsansvarlig.

3.2. Formålet med Databehandlerens behandling av personopplysninger er å oppfylle formålet listet i Vedlegg A. 

3.3 Ved eventuell motstrid mellom bestemmelser om behandling av personopplysninger har Databehandleravtalen forrang over Tjenesteavtale eller tidligere avtaler eller skriftlig kommunikasjon mellom Partene. Databehandleravtalen er gjeldende for perioden som er avtalt i Vedlegg A. 

4. Databehandlerens rettigheter og plikter

4.1 Databehandler skal bare behandle personopplysninger på vegne av og i henhold til skriftlige  instruksjoner fra Behandlingsansvarlig. Ved å inngå denne Databehandleravtalen instruerer Behandlingsansvarlig Databehandler om å behandle personopplysninger på følgende måte: i) bare i henhold til gjeldende lovgivning, ii) for å oppfylle alle plikter i henhold til Tjenesteavtale, iii) som instruert via Behandlingsansvarlig sin bruk av Databehandlers ordinære tjenester og iv) som spesifisert i denne Databehandleravtalen.  

4.2 Databehandleren har ved avtaleinngåelsen ingen grunn til å anta at det foreligger regulatoriske hindringer mot å følge instruksjonene fra Behandlingsansvarlig. Dersom Databehandleren ved et senere tidspunkt blir klar over at Behandlingsansvarliges instruksjoner eller behandling av personopplysninger strider mot gjeldende personvernlovgivning, skal Databehandleren melde dette til Behandlingsansvarlig.

4.3 Typen personopplysninger og kategorier av registrerte som er gjenstand for behandling under denne Databehandleravtalen er angitt i Vedlegg A. 

4.4 Databehandleren skal sikre konfidensialitet, integritet og tilgjengelighet til personopplysningene i henhold til de regulatoriske krav som gjelder for Databehandleren. Dette inkluderer å implementere systematiske, organisatoriske og tekniske sikkerhetstiltakfor å sikre et tilstrekkelig nivå for sikkerhet. Ved avgjørelsen av hva som er et tilstrekkelig nivå skal hensyn til den teknologiske utviklingen og kostnaden ved implementering av tiltak veies mot risikoen ved behandlingen og typen personopplysninger som behandles. 

4.5 Databehandleren skal ved tekniske og organisatoriske sikkerhetstiltak bistå Behandlingsansvarlig med å ivareta Behandlingsansvarliges plikter under GDPR artikkel 32 til 36, samt bistå i arbeidet med å behandle forespørsler fra registrerte i henhold til GDPR kapittel III. Pliktens omfang avgrenses av formen for behandling av personopplysninger og hvilken informasjon som er tilgjengelig for Databehandleren.

4.6 Behandlingsansvarlig kan kreve informasjon om sikkerhetstiltak, dokumentasjon og annen informasjon om hvordan Databehandleren behandler personopplysninger. Dersom Behandlingsansvarlig ber om mer informasjon eller assistanse enn det som Databehandleren tilgjengeliggjør for å oppfylle kravene til rollen som Databehandler i henhold til gjeldende personvernlovgivning, kan Databehandleren kreve betaling for slike eventuelle tilleggstjenester.

4.7 Databehandleren og dens ansatte skal sørge for konfidensialitet ved behandling av personopplysninger som behandles i henhold til denne databehandleravtalen. Denne plikten gjelder også etter at avtalen opphører.

4.8. Databehandler skal sikre at ansatte som skal behandle personopplysninger på vegne av den Behandlingsansvarlige har forpliktet seg til konfidensialitet eller er underlagt en lovbestemt taushetsplikt.

4.9. Databehandleren vil gjennom å varsle Behandlingsansvarlig uten ugrunnet opphold om brudd på personopplysningssikkerheten, muliggjøre etterlevelse av gjeldende personvernlovgivning vedrørende varsling av tilsynsmyndigheter og registrerte. 

Videre vil Databehandleren, i den utstrekning det er praktisk mulig og lovlig, varsle Behandlingsansvarlig om;

i) innsynsbegjæringer fra registrerte,

ii) innsynsbegjæringer fra offentlige myndigheter

4.10. Databehandleren vil kun besvare forespørsler fra registrerte i den grad Behandlingsansvarlig har gitt tillatelse til det. Databehandleren vil kun varsle Behandlingsansvarlig om innsynsbegjæringer fra offentlige myndigheter i den grad slikt varsel er lovlig, samt kun utlevere informasjon til offentlige myndigheter dersom rettslig pålegg foreligger. 

4.11 Databehandleren har ikke eierskap til eller kontroll med hvorvidt og hvordan Behandlingsansvarlig velger å benytte seg av eventuelle tredjeparts integrasjoner via Databehandlers API, via direkte databasekobling eller lignende. Ansvaret for slike integrasjoner med tredjepart påhviler utelukkende Behandlingsansvarlig.

4.12. Databehandler kan behandle personopplysninger om brukere og Behandlingsansvarliges bruk av Tjenesten for å innhente tilbakemeldinger og forbedre tjenesten. Behandlingsansvarlig gir Databehandler rett til å bruke og analysere aggregert aktivitetsdata knyttet til bruken av Tjenesten for formål som optimalisering og forbedring av hvordan Databehandler leverer sine tjenester, samt for å muliggjøre utvikling av nye funksjoner og funksjonalitet knyttet til tjenestene. Visma skal anses som Behandlingsansvarlig for denne behandlingen, og behandlingen er derfor ikke underlagt denne Databehandleravtalen.

4.13. Ved å bruke tjenesten vil Behandlingsansvarlig laste opp data i tjenesten (“Kundedata”). Behandlingsansvarlig er kjent med og motsetter seg ikke at Databehandler kan bruke Kundedata i et aggregert og anonymisert format for å forbedre tjenestene som leveres til kunder, research, opplæring og/eller statistiske formål.

5. Behandlingsansvarliges rettigheter og plikter

5.1 Ved å akseptere Databehandleravtalen bekrefter Behandlingsansvarlig at:

  • Behandlingsansvarlig har rett til å behandle personopplysninger og til å gi Databehandleren og dens underdatabehandlere adgang til å behandle personopplysninger.
  • Behandlingsansvarlig er ansvarlig for at personopplysningene som overlates til Databehandleren er lovlig innsamlet, korrekte og tilstrekkelige. 
  • Behandlingsansvarlig er ansvarlig for å gi relevant informasjon til registrerte eller myndigheter vedrørende behandlingen av personopplysninger. 
  • Særlige kategorier av personopplysninger vil bare bli behandlet som en del av Tjenesteavtalen der dette er uttrykkelig avtalt i Vedlegg A til Databehandleravtalen.

6. Bruk av underdatabehandlere og overføring av personopplysninger

6.1 Som en del av leveransen under Tjenesteavtale vil Databehandleren bruke underdatabehandlere og Behandlingsansvarlig gir sitt generelle samtykke til dette. Slike underdatabehandlere kan være andre selskaper i Visma-konsernet eller eksterne tredjeparter. Alle underdatabehandlere er inkludert i Vedlegg B. Databehandleren har plikt til å påse at underdatabehandlere påtar seg tilsvarende forpliktelser som de som følger av denne Databehandleravtalen. 

6.2 Oversikt over underdatabehandlere fremgår på Visma Trust Center med besøksadresse: https://www.visma.com/trust-centre/transparency/. Databehandleren kan engasjere andre selskaper i Visma-konsernet lokalisert innenfor EU/EØS som underdatabehandler uten at Visma selskapet listes på Visma Trust Center og uten å varsle Behandlingsansvarlig om dette i forkant. Dette gjelder som regel til formål som utvikling, support, drift etc. Behandlingsansvarlig kan ta kontakt med Databehandler for mer detaljert informasjon om underdatabehandlere.

6.3 Dersom underdatabehandleren er lokalisert utenfor EU/EØS gir Behandlingsansvarlig fullmakt til Databehandleren til å sikre lovlig overføringsgrunnlag for overføringen av personopplysninger ut av EU/EØS på vegne av Behandlingsansvarlig, herunder ved å gjøre bruk av EU standard kontraktsbestemmelser (SCC) .  

6.4 Behandlingsansvarlig vil bli varslet før Databehandleren endrer underdatabehandler. Dersom Behandlingsansvarlig kommer med innsigelser mot en underdatabehandler innen 30 dager etter å ha blitt varslet, skal partene tilgjengeliggjøre og gjennomgå informasjon og dokumentasjon om underdatabehandleren som påviser dens etterlevelse av personvernlovgivningen. Dersom Behandlingsansvarlig fremdeles motsetter seg underdatabehandleren og har rimelig grunn til dette, vil ikke Behandlingsansvarlig kunne reservere seg mot bruk av underdatabehandleren (grunnet at tjenesten som leveres er et nettbasert standard software produkt). I slike tilfeller vil Behandlingsansvarlig ha mulighet til å si opp den delen av Tjenesteavtalen der den nye underleverandøren er tenkt brukt.

7. Sikkerhet

7.1 Databehandler skal sørge for et høyt sikkerhetsnivå i sine produkter og tjenester. Dette skal skje ved organisatoriske, tekniske og fysiske sikkerhetstiltak, i henhold kravene til informasjonssikkerhet som fremgår av GDPR artikkel 32. 

7.2. Behandlingsansvarlig skal være ansvarlig for hensiktsmessig og tilstrekkelig sikkerhet for utstyret og IT-miljøet som er under den Behandlingsansvarliges ansvar

8. Rett til revisjon

8.1 Behandlingsansvarlig kan revidere Databehandler sin etterlevelse av denne  Databehandleravtalen inntil en gang i året. Hvis lovgivning som Behandlingsansvarlig er underlagt krever det, kan Behandlingsansvarlig kreve flere revisjoner. For å be om revisjon må Behandlingsansvarlig sende en detaljert revisjonsplan minimum 4 uker i forkant av ønsket revisjonsdato, med oversikt over forslagets omfang, varighet og oppstart.  Hvis tredjeparter skal gjennomføre revisjonen, skal dette som hovedregel avtales mellom Partene. Hvis behandling av personopplysninger skjer i et “multitenant” miljø eller lignende, aksepterer Behandlingsansvarlig likevel at revisjonen gjennomføres av en tredjepart utpekt av Databehandler. 

8.2 Hvis revisjonensomfang er behandlet i ISAE, ISO eller lignende rapport av kvalifisert tredjepart i løpet av de siste 12 månedene, og Databehandler bekrefter at det ikke finnes kjente endringer fra dette, skal Behandlingsansvarlig akseptere disse rapportene i stedet for å forespørre ny revisjon.      

8.3 I alle tilfeller skal revisjon utføres i samråd med virksomhetens ordinære åpningstider, i henhold til virksomhetens retningslinjer og ikke forstyrre den ordinære virksomheten.

8.4 Behandlingsansvarlig er ansvarlig for kostnader forårsaket av sin revisjon. Dersom Behandlingsansvarlige ber om mer assistanse enn den som tilbys av Databehandleren for å oppfylle gjeldende personvernlovgivning, kan Databehandleren kreve betaling for denne tilleggstjenesten.

9. Varighet

9.1 Databehandleravtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig.

9.2 Behandlingsansvarlig har ansvar for å be Databehandler om å slette data der Behandlingsansvarlig ikke lenger har et gyldig behandlingsgrunnlag. Databehandleravtalen opphører dersom Behandlingsansvarlig avslutter sin brukerkonto på Plattformen. Ved opphør av Databehandleravtalen, skal Databehandler slette eller returnere personopplysninger som er behandlet på vegne av Behandlingsansvarlig. 

9.3 Sletting som følge av forespørsel fra Behandlingsansvarlig eller avslutning av brukerkonto vil skje så snart det er praktisk mulig, med mindre EU lovgivning eller annen lokal lovgivning krever lengre lagringstid. Databehandler vil ha behov for å oppbevare enkelte data relatert til sin rolle som formidler av leie, for å oppfylle sine egne lovpålagte forpliktelser. Data som er delt mellom to brukere slik som leiekontrakter signert på Plattformen eller meldinger som er sendt mellom brukere, vil heller ikke slettes av hensyn til rettighetene til den andre brukeren. Med mindre annet er avtalt mellom Partene, skal arbeidet forbundet med å slette data kompenseres basert på; i) kompleksiteten ved forespørselen og ii) betaling for medgått tid.  

10. Endringer og ugyldighet

10.1 Ved vesentlige endringer i Databehandleravtalen skal Behandlingsansvarlig varsles i henhold til varslingsfrist i Tjenesteavtale. 

10.2 Hvis bestemmelser i Databehandleravtalen kjennes ugyldig, skal ikke dette påvirke de øvrige bestemmelsene i Databehandleravtalen. Partene skal erstatte den ugyldige bestemmelsen med en gyldig bestemmelse som reflekterer intensjonen til Partene bak bestemmelsen.  

11. Mislighold

11.1 Begge parter har et individuelt ansvar etter gjeldende personvernlovgivning i forhold til de personopplysningene de behandler og skal holdes selvstendig ansvarlig for å betale alle bøter og erstatning direkte til registrerte som ilegges den respektive part av myndigheter eller domstoler i henhold til personvernlovgivningen.  Ansvaret mellom partene reguleres av Tjenesteavtalen. 

12. Gjeldende rett og verneting

12.1 Databehandleravtalen er underlagt norsk rett ved norske domstoler med Oslo tingrett som avtalt verneting. 


Vedlegg A - Kategorier av registrerte, Kategorier av personopplysninger, Formål, Behandlingens art, Varighet

A.1 Kategorier av registrerte

  • Utleier (forvaltningskunder) og personell knyttet til utleiers virksomhet
  • Leietaker

A.2 Kategorier av personopplysninger

  • Utleier: Fødselsnummer / organisasjonsnummer, navn, telefon, adresse, e-postadresse, kontonummer mv.
  • Leietaker: Fødselsdato, navn, telefon, adresse, e-postadresse, kontonummer, kredittscore mv.
  • Regnskap: Bokførte transaksjoner for fakturert og betalt leie
  • Søknader: Søknader på ledige boliger (hvis Utleier benytter søknadsmodul)
  • Bank: Banktransaksjoner knyttet til leie betalinger
  • Inkasso: Inkassosaker knyttet til ubetalt leie
  • Utkastelsessaker: Utkastelsessaker håndtert av ekstern partner
  • Kontrakter: Leiekontrakter, overtakelsesprotokoller, signeringsstatus, samt relaterte notater og vedlegg
  • Eiendommer: Eiendomsdata slik som adresse, areal, rom, pris, målernummer, låser, nøkler, bilder, samt relaterte notater og vedlegg
  • Meldinger: Meldinger utvekslet med andre brukere på Plattformen, med tilhørende bilder og vedlegg
  • Vedlikehold: Vedlikeholdsforespørsler med tilhørende kommentarer og bilder
  • Sikkerhet: Data knyttet til depositumskontoer, garantier og forsikringer
  • Leiebetalinger: Fakturaer, betalinger og overføringer av leie

A.3 Særlige kategorier av personopplysninger (sensitive personopplysninger)  

Dersom Databehandleren skal behandle sensitive personopplysninger må Behandlingsansvarlig informere Databehandleren om dette og hvilke kategorier det gjelder, og dette skal tas inn i A.3 i Vedlegg A til databehandleravtalen.

A.4 Behandlingens formål

Formålet med Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlig er å levere tjenesten som beskrevet i brukervilkårene.

A.5 Behandlingens art

Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlig skal i hovedsak gjelde lagring av personopplysninger knyttet til eiendommer, leietakere, leiekontrakter og sikkerhet, fakturering av husleie basert på registrerte leiekontrakter, betalingshåndtering og eventuelt overføring av krav til inkasso, samt generering av regnskapsrapporter for registrerte transaksjoner.

A.6 Behandlingens varighet

Varighet for behandlingen av personopplysninger er så lenge brukervilkårene er gjeldende. 


Vedlegg B - Oversikt over underdatabehandlere

Underdatabehandlere av Databehandler med tilgang til personopplysninger ved akseptering av Databehandleravtalen inkluderer: 

Navn Land Overføringsgrunnlag Formål
Digital Ocean EU/EØS N/A Hosting
Aritma EU/EØS N/A Banktransaksjoner
Compello EU/EØS N/A EHF distribusjon
Hubspot USA Data Privacy Framework Supportverktøy
Link Mobility EU/EØS N/A Sende sms
MessageBird EU/EØS N/A Sende e-post
Signicat EU/EØS N/A Signeringsløsning
Visma Real Estate EU/EØS N/A Formidle strømbestilling

Databehandleren kan engasjere andre selskaper i Visma-konsernet lokalisert innenfor EU/EØS som underdatabehandler uten at Visma selskapet listes på Visma Trust Center og uten å varsle Behandlingsansvarlig om dette i forkant. Dette gjelder som regel formål som utvikling, support, drift etc.