Umowa o powierzenie przetwarzania danych osobowych

Databehandleravtale (DPA) dla serwisu Efirma.no

Niniejsza Umowa reguluje przetwarzanie danych osobowych przez Efremtid AS w imieniu Klientów korzystających z serwisu Efirma.no. Stanowi integralną część Regulaminu i ma zastosowanie zawsze, gdy Efremtid AS działa jako podmiot przetwarzający (databehandler).

Strony

Cel przetwarzania

Efremtid AS przetwarza dane osobowe wyłącznie w celu świadczenia i ulepszania usługi księgowej Efirma.no, nigdy do własnych celów. Typowe cele obejmują:

• prowadzenie księgowości firm;
• fakturowanie i obsługę faktur EHF;
• generowanie i wysyłkę raportów MVA, A-meldingu, sprawozdań rocznych i innych podobnych;
• przekazywanie raportów do Altinn, Skatteetaten oraz innych serwisów zgodnie z poleceniem Klienta;
• obsługę i wsparcie użytkownika serwisu.

Efremtid AS nigdy nie przetwarza danych osobowych dla własnych, niezależnych celów.

Kategorie danych i osób, których dane dotyczą

Osoby, których dane dotyczą: Klient i jego personel korzystający z serwisu, pracownicy Klienta, kontrahenci Klienta (dostawcy i klienci), właściciele i członkowie zarządu spółki Klienta.

Dane: imię, nazwisko, adres, e-mail, telefon, fødselsnummer / D-nummer, organisasjonsnummer, numer konta bankowego, dane wynagrodzeniowe i podatkowe (skattekort), dane z faktur i innych dokumentów księgowych, metadane systemowe, dane logowania. Przetwarzanie fødselsnummer i innych jednoznacznych identyfikatorów odbywa się zgodnie z §12 personopplysningsloven – wyłącznie wtedy, gdy istnieje uzasadniona potrzeba pewnej identyfikacji.

Efirma.no co do zasady nie służy do przetwarzania danych szczególnych kategorii (art. 9 personvernforordningen) – z wyjątkiem informacji koniecznych do rozliczeń kadrowo-płacowych, których podstawą jest §6 personopplysningsloven (przetwarzanie danych szczególnych kategorii w stosunku pracy).

Podprzetwarzający

Aby zapewnić bezpieczną i skalowalną platformę, Efremtid AS korzysta z zaufanych podprzetwarzających, którzy przetwarzają dane osobowe wyłącznie w imieniu Efremtid AS i zgodnie z niniejszą Umową:

• Dostawca infrastruktury serwerowej (EOG): hosting aplikacji, baz danych i pamięci masowej. Dane przechowywane w EOG, szyfrowane w spoczynku i podczas transmisji.
• Operator punktu dostępu EHF (Norwegia / EOG): wysyłka i odbiór faktur w formacie EHF.
• Dostawca usługi e-mail transakcyjnego (EOG): wysyłka faktur, powiadomień i przypomnień do użytkowników.
• Dostawca kopii zapasowych i monitoringu (EOG): tworzenie kopii zapasowych, monitoring dostępności i błędów aplikacji.

Wszyscy podprzetwarzający są związani umowami zapewniającymi co najmniej taki sam poziom ochrony danych jak niniejsza Umowa. Aktualną listę z dokładnymi nazwami i siedzibami można uzyskać pod adresem info@efirma.no.

Lokalizacja przetwarzania i transfery

Efremtid AS dba o to, aby całe przetwarzanie odbywało się na terenie UE/EOG. Jeśli w wyjątkowych przypadkach dane są przekazywane do państw trzecich, stosowane są prawnie wiążące mechanizmy transferu, takie jak standardowe klauzule umowne UE (SCC) lub decyzje stwierdzające odpowiedni stopień ochrony.

Środki techniczne i organizacyjne

Efremtid AS wdraża środki techniczne i organizacyjne chroniące poufność, integralność i dostępność danych, w tym:

• szyfrowaną transmisję danych (TLS) i szyfrowanie kopii zapasowych;
• hashowanie haseł użytkowników;
• regularne kopie zapasowe i procedury odtwarzania po awarii;
• monitoring zdarzeń, logowanie i alarmy bezpieczeństwa;
• obowiązek zachowania poufności dla całego personelu;
• regularne aktualizacje bezpieczeństwa i przeglądy systemu;
• fizyczne zabezpieczenia centrów danych zapewniane przez dostawców infrastruktury.

Naruszenia ochrony danych

W przypadku naruszenia ochrony danych Efremtid AS poinformuje Klienta bez zbędnej zwłoki, najpóźniej w ciągu 48 godzin od stwierdzenia naruszenia, podając jego charakter, możliwe skutki i podjęte środki zaradcze. Obowiązek zgłoszenia naruszenia do Datatilsynet i osób, których dane dotyczą, spoczywa na Kliencie jako Administratorze.

Pomoc Klientowi

Efremtid AS, w miarę możliwości i biorąc pod uwagę charakter usługi, pomaga Klientowi w realizacji praw osób, których dane dotyczą (art. 15–22 personvernforordningen), oraz w wypełnianiu obowiązków z art. 32–36 personvernforordningen – poprzez funkcjonalności serwisu pozwalające na eksport, modyfikację i usuwanie danych.

Audyt

Klient ma prawo zweryfikować, czy Efremtid AS wypełnia obowiązki wynikające z niniejszej Umowy. Efremtid AS dostarczy niezbędną dokumentację i informacje. Audyty mogą być przeprowadzane na podstawie uzgodnienia i z odpowiednim wyprzedzeniem, w sposób nie zakłócający normalnej działalności Efremtid AS.

Klient ponosi wszelkie koszty związane z przeprowadzeniem audytu, w tym w szczególności koszty audytorów zewnętrznych, koszty organizacyjne oraz wszelkie koszty poniesione przez Efremtid AS w związku z przygotowaniem i udziałem w audycie. Na żądanie Efremtid AS Klient zwróci wszelkie uzasadnione koszty poniesione przez Efremtid AS przed rozpoczęciem audytu.

Przechowywanie i usuwanie danych

Efremtid AS przechowuje dane osobowe tak długo, jak jest to konieczne do realizacji uzgodnionych celów lub dopóki Klient utrzymuje aktywne konto. Po zakończeniu Umowy dane są usuwane lub zwracane Klientowi w terminie standardowego przedawnienia – 3,5 roku, z wyjątkiem zakresu, w którym ich dalsze przechowywanie wymagane jest przez prawo norweskie (bokføringsloven – 5 lat dla dokumentacji księgowej).

Odpowiedzialność i prawo właściwe

Strony odpowiadają za szkody na zasadach określonych w art. 82 personvernforordningen. Odpowiedzialność Efremtid AS ograniczona jest do wysokości wynagrodzenia uiszczonego w okresie 12 miesięcy poprzedzających zdarzenie. Umowa podlega prawu norweskiemu, w szczególności personopplysningsloven; spory rozstrzyga sąd właściwy dla siedziby Efremtid AS.

Aktualizacje

Efremtid AS może aktualizować niniejszą Umowę. Aktualna wersja jest zawsze dostępna na stronie efirma.no.