Databehandleravtale

Avtalens hensikt er å regulere rettigheter og plikter i henhold til artikkel 28 nummer 3, i Europaparlamentets og Rådets forordning 2016/679 (personvernforordningen) med henblikk på databehandlerens behandling av personopplysninger (GDPR).

Avtalen skal sikre at personopplysninger om de registrerte medlemmene (og deres underbrukere), ikke brukes urettmessig eller kommer uberettigede i hende.

Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse, i forbindelse med bruk av Musikk i Skolens tjenester.

Formålet med databehandlerens behandling av personopplysninger på vegne av behandlingsansvarlig, er å administrere og oppfylle våre forpliktelser til våre medlemmer og deres bruker(e).

Personopplysninger som overføres til databehandler kan ikke brukes til andre formål enn ovennevnte formål.

Databehandler kan ikke overføre personopplysninger til underleverandører eller andre tredjeparter uten at dette er forhåndsgodkjent av behandlingsansvarlig. Oversikten over hvilke leverandør(er) dette gjelder er til enhver tid oppdatert i denne avtalen (jfr. pkt. IV. Bruk av underleverandør)

Behandlingsgrunnlag

Nedenfor er en komplett oversikt over hvilke typer personopplysninger Musikk i Skolen samler inn, lagrer, hva det brukes til og dets behandlingsgrunnlag.

• Medlemsinformasjon: Navn, medlemskapstype og kontaktinformasjon (se under)
  
  Formålet med ovennevnte personopplysninger å vite hvem som er medlem i Musikk i Skolen. Musikk i Skolen kan ikke oppfylle medlemsavtalen uten å vite hvem medlemmene er. Musikk i Skolen må også vite hvilke medlemskap et medlem har, for å kunne oppfylle våre forpliktelser overfor medlemmet.
  
  
• Kontaktinformasjon: Navn, e-postadresse, telefon, adresse, postnr., poststed.
  
  Formålet med ovennevnte personopplysninger er å kontakte medlemmet hvor det er nødvendig for å oppfylle medlemsavtalen. Eksempler på dette kan være, men er ikke begrenset til, utsending av faktura, innloggingsinformasjon, scenekort.
  I tillegg blir kontaktinformasjon benyttet til utsendelse av "valgfri" informasjon som f. eks. nyhetsbrev, tips og triks, medlemskampanjer og lign. hvor medlemmet selv har samtykket til dette. Et medlem kan når som helst avregistrere seg fra slik valgfri informasjon.
  
  
• Brukerinformasjon: Navn, e-postadresse, passord (kryptert)
  
  Formålet med ovennevnte personopplysninger er å administrere og levere og regulere tjenestene som ligger bak innlogging på musikkiskolen.no for medlemmet og dets underbrukere. Brukernes passord inneholder et ekstra lag av kryptering og er utilgjengelig for Musikk i Skolens ansatte og underleverandører.
  
• Fakturainformasjon: Navn, organisasjonsnavn, e-post, medlemskapstype, organisasjonsnummer, ordre-/transaksjons-/fakturahistorikk
  
  Formålet med ovennevnte personopplysninger er å fakturere riktig til rett instans for medlemskapet, samtidig som Musikk i Skolen oppfyller våre rettslige plikter i henhold til annet lovverk som f. eks. Bokføringsloven.
  

Alle ovennevnte personopplysninger som er knyttet til Musikk i Skolens medlems- og brukerkontoer er oppgitt frivillig av medlemmet gjennom:

• en bestilling av medlemskap, enten fra våre nettsider, eller gjennom direkte kontakt med en av Musikk i Skolens ansatte.
  
  og/eller
  
  
• en lokal administrator (behandlingsansvarlig) som administrerer sine underbrukere.

Den behandlingsansvarlige

Behandlingsansvarlig har rett til tilgang til og innsyn i personopplysningene som databehandleren håndterer og de systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette.

Den behandlingsansvarlige bestemmer hvilke formål, og hvilke hjelpemidler som kan brukes i behandlingen (jf. artikkel 4 nr. 7).

Den behandlingsansvarlige plikter å gi databehandleren dokumenterte instrukser for hvordan personopplysninger skal behandles, dersom dette avviker fra de rutinene og instruksene som er beskrevet i denne avtalen (jf. artikkel 28 nr. 3 bokstav a).

Den behandlingsansvarliges har rett til å si opp avtalen dersom databehandleren ikke lenger oppfyller lovens krav etter artikkel 28 nr. 1.

Databehandler

Databehandler skal følge de rutiner og instrukser for behandling av personopplysninger som behandlingsansvarlig til enhver tid har bestemt skal gjelde (se over).

Databehandler plikter å bistå behandlingsansvarlig ved ivaretakelse av de registrertes rettigheter, jf. personopplysningsloven.

Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon. Databehandleren plikter også å bistå den behandlingsansvarlige slik at denne kan ivareta sitt eget ansvar etter lov og forskrift.

Databehandler har plikt til konfidensialitet og har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør. Taushetsplikten omfatter også ansatte hos tredjeparter som utfører vedlikehold (eller liknende oppgaver) av systemer som databehandleren anvender for å levere eller administrere tjenesten.

Kun ansatte hos databehandler som har tjenstlige behov for tilgang til personopplysningene, kan gis slik tilgang. Databehandleren plikter å dokumentere sine rutiner og retningslinjer for tilgangsstyring på forespørsel fra behandlingsansvarlig.

Sensitive opplysninger

Musikk i Skolens samler, lagrer og behandler ikke sensitive personopplysninger (jfr. artikkel 9 og 10 i forordningen). Vi samler, lagrer og behandler heller ikke personopplysninger til elever og andre mindreårige.
Elevtilgang til våre tjenester gis gjennom midlertidig og anonymiserte lenker uten krav om innlogging slik det er beskrevet under pkt. 5 i vårt brukervilkår

Personvernombud

Musikk i Skolen har ikke et eget personvernombud og er med i et felles samarbeid om personvernlovgivningen med organisasjoner i SEF - Samarbeidsforum for estetiske fag. Dette samarbeidet har som mål å sikre etterlevelse av regelverket for alle våre organisasjoner.

Alle henvendelser knyttet personvern kan sendes til enten:
kontor@sef.no eller post@musikkiskolen.no

Innsyn, retting og sletting av data

Musikk i Skolen har plikt til å legge til rette for at registrerte personer får oppfylt rettighetene sine på en enkel måte. Dette gjøres på følgende måter:

• Innsyn: Et medlem eller en bruker kan når som helst få innsyn i sine data ved å logge seg inn på "Min profil". Unntaket er faktura- og transaksjonshistorikk. Denne informasjonen skal utleveres innen en måned ved å skriftlig kontakte Musikk i Skolen .
• Retting: Et medlem eller en bruker kan når som helst endre sine data ved å logge seg inn på "Min profil".
• Sletting:
  A: Et medlem eller en bruker kan når som helst be om sletting av sine data ved å kontakte Musikk i Skolen. Dette skal skje senest 30 dager etter endt avtale (jfr. pkt. VI. Avtalens varighet), dersom ikke annet er avtalt.
  Ved sletting blir medlemmet/brukeren automatisk utmeldt fra Musikk i skolen.
  
  B: En lokal administrator (behandlingsansvarlig) kan når som helst fjerne sin(e) underbruker(e) gjennom "Brukerhåndtering" under "Min profil". Fjernede brukerkontoer blir ikke slettet men satt som "inaktiv". Inaktive brukerkontoer slettes innen 6 måneder med inaktivitet.

Musikk i Skolen har egne avtaler med underleverandører som regulerer og ivaretar alle plikter som databehandleren selv er forpliktet å ivareta iht. denne avtalen.

Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.

Databehandler kan ikke overføre personopplysninger til underleverandører utenfor EU/EØS-området, med mindre underleverandørene er sertifisert etter Safe Harbour-ordningen eller opplysningene overføres til underleverandører i land godkjent av EU.

Oversikt over underleverandører og systemer

• Kult Byrå AS - Webutvikling
• Tripletex AS - Økonomi og regnskap
• Sanity - Hosting og skylagring
• SendGrid - Utsending av e-post
• Fathom Analytics - Statistikk (anonymisert)
• Google Workspace - Intranett og skylagring

Databehandler skal implementere og iverksette tilstrekkelige tekniske og organisatoriske sikringstiltak for å beskytte personopplysninger som omfattes av denne avtalen mot tilfeldig eller ulovlig ødeleggelse eller tap, endring, uautorisert eksponering eller tilgang.

Databehandler skal oppfylle de krav til sikringstiltak som stilles etter personopplysningsloven og personopplysningsforskriften. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på forespørsel fra behandlingsansvarlige.

Avviksmelding etter personopplysningsforskriften skal skje ved at databehandler melder avviket til behandlingsansvarlig.

Databehandler plikter å holde personopplysninger fra behandlingsansvarlig forsvarlig adskilt fra personopplysninger tilhørende andre medlemmer og brukere. Databehandler plikter å dokumentere dette på forespørsel fra behandlingsansvarlig.

Databehandler benytter seg av underleverandører som holder et strengt krav til sikkerhet. En detaljert og oppdatert beskrivelse av underleverandørenes sikkerhetsrutiner og mekanismer er tilgjengelige på deres nettsider, og skal til enhver tid være tilgjengelig på forespørsel fra behandlingsansvarlig.

Sikkerhetsrevisjoner

Databehandler skal jevnlig gjennomføre sikkerhetsrevisjoner av og lignende som omfattes av denne avtalen. Behandlingsansvarlig skal gis tilgang til revisjonsrapportene.

Dersom en uavhengig tredjepart gjennomfører sikkerhetsrevisjoner hos databehandleren, skal behandlingsansvarlig informeres om dette og ha tilgang til oppsummeringer av revisjonsrapportene.

Avtalen følger vilkår for medlemskap og medlemsperiode (pkt. 5, 6 og 7) hos Musikk i Skolen, og gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig.

Ved brudd på denne avtale eller personopplysningsloven kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.

Denne avtale reguleres av norsk rett.
Alle tvister som måtte oppstå mellom partene skal søkes løst gjennom forhandlinger. Lykkes ikke dette kan søksmål reises for Oslo tingrett som avtalt verneting, med mindre partene blir enige om voldgift. En eventuell voldgiftsbehandling følger reglene i lov av 14. mai 2004 nr. 25 om voldgift (voldgiftsloven).