Databehandleravtale for SmartSite

Sist oppdatert: 02.06.2026 Utkast – må kvalitetssikres juridisk før ekstern lansering. Selskapsnavn, organisasjonsnummer og signatursider må fylles inn av SmartSite før publisering. 1. Parter Denne databehandleravtalen er inngått mellom: Behandlingsansvarlig: Kunden som bruker SmartSite. Databehandler: Smart Site E-post: kontakt@smartsite.no 2. Formål Avtalen regulerer SmartSites behandling av personopplysninger på vegne av kunden i forbindelse med levering av SmartSite-plattformen. 3. Behandlingens art og formål SmartSite behandler personopplysninger for å levere digitale funksjoner til kunden, inkludert: - brukeradministrasjon - prosjektstyring - tilbud og kalkyler - rapporter og HMS/KS - arbeidsordre og oppgaver - filer, bilder og vedlegg - Site map, avvik og dokumentasjon - e-postintegrasjoner - AI-assistert funksjonalitet dersom kunden aktiverer dette - support, drift, sikkerhet, logging og feilretting 4. Kategorier av registrerte Behandlingen kan omfatte: - kundens ansatte og innleide - kundens sluttkunder - kontaktpersoner hos leverandører - prosjektkontakter - mottakere av tilbud, rapporter eller offentlige lenker - brukere av SmartSite - andre personer kunden registrerer i tjenesten 5. Kategorier av personopplysninger Behandlingen kan omfatte: - navn - e-postadresse - telefonnummer - rolle/stilling - firma - adresse - prosjektdata - arbeidsoppgaver - rapportinnhold - bilder og filer - signaturer - kommunikasjon - IP-adresse og tekniske logger - e-postmetadata og innhold der integrasjon er aktivert - annet innhold kunden legger inn Kunden skal ikke legge inn særlige kategorier personopplysninger eller sensitive opplysninger med mindre dette er nødvendig, lovlig og dekket av kundens behandlingsgrunnlag. 6. Varighet Avtalen gjelder så lenge SmartSite behandler personopplysninger på vegne av kunden. 7. Kundens instrukser SmartSite skal bare behandle personopplysninger etter kundens dokumenterte instrukser, med mindre SmartSite er pålagt behandling etter lov. Kundens bruk av SmartSite, valgte moduler, innstillinger og integrasjoner anses som dokumenterte instrukser innenfor avtalt tjeneste. 8. Databehandlerens plikter SmartSite skal: - behandle personopplysninger i samsvar med avtalen og kundens instrukser - sørge for at personer med tilgang er underlagt taushetsplikt - gjennomføre egnede tekniske og organisatoriske sikkerhetstiltak - bistå kunden med å oppfylle registrertes rettigheter der dette er mulig - bistå kunden ved sikkerhetsbrudd - bistå kunden med personvernkonsekvensvurderinger der dette er relevant og rimelig - slette eller returnere personopplysninger ved avtalens opphør, etter kundens valg, med mindre lov krever videre lagring - gjøre nødvendig informasjon tilgjengelig for å dokumentere etterlevelse - varsle kunden dersom SmartSite mener en instruks er i strid med personvernregelverket 9. Sikkerhetstiltak SmartSite skal ha egnede sikkerhetstiltak, blant annet: - tilgangsstyring - autentisering - rollebasert autorisasjon - logging - sikker lagring - sikkerhetskopiering der relevant - tiltak mot uautorisert tilgang - rutiner for håndtering av sikkerhetshendelser - separasjon mellom kunder/tenants - bruk av kryptering eller tilsvarende tiltak der relevant 10. Underleverandører Kunden gir SmartSite generell tillatelse til å bruke underleverandører for å levere tjenesten. SmartSite skal føre en oppdatert underleverandørliste og informere kunden om vesentlige endringer der dette kreves. SmartSite skal sikre at underleverandører pålegges tilsvarende personvernforpliktelser som SmartSite har etter denne avtalen. 11. Overføring utenfor EU/EØS Dersom personopplysninger overføres utenfor EU/EØS, skal SmartSite sikre gyldig overføringsgrunnlag etter GDPR, for eksempel standard personvernbestemmelser, tilstrekkelighetsbeslutning eller annet lovlig grunnlag. 12. Håndtering av brudd på personopplysningssikkerheten SmartSite skal varsle kunden uten ugrunnet opphold etter å ha blitt kjent med et brudd på personopplysningssikkerheten som gjelder kundens personopplysninger. Varslet skal, så langt informasjonen er tilgjengelig, beskrive: - hva som har skjedd - hvilke data som kan være berørt - mulige konsekvenser - tiltak som er eller vil bli gjennomført - kontaktpunkt for oppfølging Kunden er ansvarlig for eventuell varsling til Datatilsynet og registrerte, med mindre annet er avtalt. 13. Bistand til registrertes rettigheter SmartSite skal, så langt det er mulig og rimelig, bistå kunden med å håndtere forespørsler om innsyn, retting, sletting, begrensning, dataportabilitet og protest. 14. Revisjon og dokumentasjon SmartSite skal gjøre relevant dokumentasjon tilgjengelig for kunden for å vise etterlevelse av denne avtalen. Revisjon kan gjennomføres etter nærmere avtale, med rimelig varsel, innenfor normal arbeidstid og uten å forstyrre SmartSites drift eller andre kunders sikkerhet og konfidensialitet. 15. Sletting og tilbakelevering Ved avtalens opphør skal SmartSite, etter kundens valg, slette eller tilbakelevere personopplysninger som behandles på vegne av kunden, med mindre lov krever videre lagring. 16. Ansvar Partenes ansvar følger av hovedavtalen, med mindre annet følger av ufravikelig personvernregelverk. 17. Rangordning Ved motstrid mellom denne databehandleravtalen og øvrige avtalevilkår om behandling av personopplysninger, går denne databehandleravtalen foran.