• Behandlingsansvarlig: Kunden som benytter Gibbs’ tjenester
• Databehandler: Gibbs AS

Gibbs behandler personopplysninger på vegne av Kunden i henhold til denne Databehandleravtalen, Kundens instrukser og gjeldende personvernlovgivning.

2. Formål og behandlingsgrunnlag

Formålet med behandlingen er å levere funksjonalitet knyttet til booking, betaling, abonnement, adgangskontroll og administrasjon av utleieobjekter.

Gibbs behandler personopplysninger utelukkende etter dokumenterte instrukser fra Kunden, og ikke til egne formål.

3. Typer personopplysninger

Behandlingen kan omfatte følgende personopplysninger:

• fornavn og etternavn
• e-postadresse
• telefonnummer
• fakturaadresse
• booking- og adgangsrelatert informasjon

Gibbs behandler ikke særlige kategorier personopplysninger etter GDPR artikkel 9.

4. Kundens ansvar

Kunden er behandlingsansvarlig og har ansvar for:

• rettslig grunnlag for behandlingen
• informasjon til registrerte
• korrekt bruk av systemet
• tilgangsstyring hos egne brukere

5. Databehandlers plikter

Gibbs skal:

• behandle personopplysninger konfidensielt
• sørge for at kun autorisert personell har tilgang
• iverksette egnede tekniske og organisatoriske sikkerhetstiltak
• bistå Kunden ved forespørsel knyttet til registrertes rettigheter (innsyn, retting, sletting mv.)

6. Informasjonssikkerhet

Gibbs har etablert tiltak som sikrer:

• konfidensialitet
• integritet
• tilgjengelighet

Tiltakene vurderes løpende basert på risiko og teknologisk utvikling.

7. Brudd på personopplysningssikkerheten

Ved brudd eller mistanke om brudd varsler Gibbs Kunden uten ugrunnet opphold, og gir nødvendig informasjon slik at Kunden kan oppfylle sine varslingsplikter overfor tilsynsmyndigheter og registrerte.

8. Underdatabehandlere

Gibbs kan benytte underdatabehandlere (for eksempel for drift, betaling eller meldingsutsendelse) som oppfyller kravene i GDPR.

Gibbs er ansvarlig for at underdatabehandlere pålegges tilsvarende personvernforpliktelser.

Oppdatert oversikt over underdatabehandlere kan gis på forespørsel.

9. Overføring utenfor EØS

Personopplysninger overføres ikke til land utenfor EØS med mindre det foreligger lovlig overføringsgrunnlag i henhold til GDPR kapittel V.

10. Varighet og sletting

Databehandleravtalen gjelder så lenge Gibbs behandler personopplysninger på vegne av Kunden.

Ved opphør slettes eller anonymiseres personopplysninger i samsvar med gjeldende regelverk, med mindre lagring er pålagt ved lov.

11. Revisjon og dokumentasjon

Kunden kan be om dokumentasjon som bekrefter at Gibbs etterlever denne Databehandleravtalen og GDPR artikkel 28.

12. Lovvalg

Databehandleravtalen er underlagt norsk rett.

Aksept

Denne Databehandleravtalen gjelder fra det tidspunkt Kunden:

• inngår avtale med Gibbs, eller
• tar i bruk Gibbs’ tjenester

Ved bruk av tjenestene anses Databehandleravtalen som akseptert.