VEDLEGG 1: BESKRIVELSE AV BEHANDLINGEN
Dokumentnummer/versjon: 2.0 Gyldig fra: 28. januar 2025
Dette Vedlegg 1 utgjør en integrert del av Avtalen, og beskriver behandlingen av personopplysninger som Databehandler vil utføre på vegne av den Behandlingsansvarlige.
A. KATEGORIER AV PERSONOPPLYSNINGER
Kontaktdata: Navn, e-post, telefonnummer, adresse, og ev. stilling/tittel
Eiendomsdata: Bolig-/eiendomsadresser, gårds- og bruksnummer, bilder av interiør/eksteriør, 3D-skanninger (LiDAR)
Prosjektinformasjon: Arbeidsordre, arbeidsbeskrivelser, dokumentasjon om rehabilitering, befaring, planlegging, kostnadsberegninger/pristilbud
Særlige kategorier av personopplysninger: Ingen særlige kategorier av personopplysninger vil bli behandlet i forbindelse med denne Avtalen.
B. KATEGORIER AV REGISTRERTE
-
Eiendomsbesittere, leietakere, andre beboere/kunder (private boligeiere eller profesjonelle forvaltere)
-
Ansatte hos Behandlingsansvarlig (f.eks. prosjektledere, teknisk personell)
-
Andre relevante tredjeparter dersom Behandlingsansvarlig legger inn deres data i Tjenesten
C. BEHANDLINGENS FORMÅL OG BEHANDLINGENS ART
-
Databehandleren skal levere Tjenesten til Kunden, det vil si en digital løsning for oppfyllelse av følgende formål:
-
Eiendomsbefaring: Dokumentasjon av tilstand og eventuelle avvik ved inn- og utflytting, samt i ROT-prosjekter.
-
Kostnadsestimering og tilbud: Bruk av data for å kalkulere mengder, pris og tilbudsgrunnlag.
-
-
Behandlingen vil omfatte de behandlingsaktiviteter som er nødvendig for å oppfylle formålet beskrevet i dette Vedlegg 1, inkludert følgende behandling av personopplysninger: innsamling, registrering, deling, lagring, strukturering og analyse. Enkelte behandlingsaktiviteter utføres helt eller delvis automatisk. Ytterligere behandlingsaktiviteter kan også utføres etter Behandlingsansvarliges instrukser.
D. LAGRINGSSTED OG UNDERLEVERANDØRER
-
Lagringssted: Microsoft Azure, lokalisert i EU/EØS
-
Underdatabehandlere:
-
Microsoft Azure (skytjeneste)
-
Bouvet ASA (konsulentleveranser i EU/EØS)
-
E. LAGRINGSPERIODE
-
Lagring: Inntil Kunden sletter data.
-
Etter opphør: Data slettes innen 30 dager etter opphør, med mulighet for Kunden til å hente ut data i denne perioden.

Wenn Property
Databehandleravtale
Dokumentnummer/versjon: 2.0 Gyldig fra: 28. januar 2025
1.1. Formålet med denne databehandleravtalen (“Avtalen”) er å regulere partenes rettigheter og forpliktelser i henhold til personvernforordningen (EU) 2016/679 ("GDPR" eller
"personvernforordningen"), og gjeldende norsk lov som gjennomfører GDPR (heretter samlet omtalt som "Personvernlovgivningen"), når Databehandler behandler personopplysninger
på vegne av Behandlingsansvarlig.
1.2. Behandlingsansvarlig benytter WPs SaaS-løsning for eiendomsbefaring og dokumentasjon i forbindelse med:
-
Befaring av boliger (dokumentasjon av tilstand og/eller skader)
-
Rehabilitering, ombygging og tilbygg (ROT) av boliger (dokumentasjon av prosjekt)
1.3. Denne Avtalen er integrert del av partenes Abonnementsavtale. I forbindelse med Databehandlers gjennomføring av Tjenesten etter Abonnementsavtalen, vil Databehandler behandle
personopplysninger på vegne av Behandlingsansvarlig. I tilfelle motstrid mellom Hovedavtalen og denne Avtalen, skal Avtalen ha forrang for forhold som angår Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlig.
1.4. Databehandleren skal kun behandle personopplysninger i samsvar med denne Avtalen og eventuelle skriftlige instrukser fra Behandlingsansvarlig.
1.5. Kunden er enten behandlingsansvarlig eller databehandler for personopplysningene som behandles under denne Avtalen. Når kunden er behandlingsansvarlig, er WP databehandler.
Når Kunden er databehandler, er WP underdatabehandler. Denne Avtalen gjelder for begge disse tilfellene.
1.6 Alle rettigheter som tilegnes Behandlingsansvarlig etter denne Avtalen, gjelder også for Kundens kunde når det er denne enheten som opptrer som juridisk behandlingsansvarlig for
personopplysningene. Med mindre annet er spesifisert i denne Avtalen, eller avtalt skriftlig mellom partene, skal WP imidlertid kun være i direkte kontakt med og følge instruksjoner om behandling av personopplysninger fra Kunden.
1.7 Med forbehold om endringer i henhold til punkt 17 nedenfor, gjelder denne Avtalen fra den datoen som er angitt ovenfor.
2. DEFINISJONER
2.1. Personopplysninger, Behandling, Behandlingsansvarlig, Databehandler, Registrerte, Brudd på personopplysningssikkerheten og Tilsynsmyndighet skal ha den betydningen som følger
av personvernforordningen.
2.2. Avtalen viser til dette dokumentet med vedlegg.
2.3. Tjenesten viser til s SaaS-løsning, som benyttes av Kunden til befaring, bilde- og LIDAR-lagring, mengdeberegning og/eller prisestimering mv., i samsvar med Abonnementsavtalen.
3. ROLLER OG ANSVAR
3.1. Behandlingsansvarlig bestemmer formålet med og midlene for behandlingen av personopplysningene. Behandlingsansvarlig har ansvar for at behandlingen har et gyldig rettslig
grunnlag (f.eks. samtykke eller berettiget interesse), og for å overholde kravene i GDPR for øvrig.
3.2. Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig. Databehandler forplikter seg til å følge kravene i GDPR artikkel 28, og bestemmelsene inntatt i denne
Avtalen.
3.3. Behandlingsansvarlig er ansvarlig for å informere sluttbrukere (boligeiere, leietakere, egne ansatte mv.) i henhold til personvernforordningen, om at Databehandleren benyttes til
behandling av personopplysninger i samsvar med denne Avtalen.
3.4. Behandlingsansvarlig er videre ansvarlig for at det ikke lastes opp særlige kategorier av personopplysninger/ sensitive opplysninger i løsningen (inkludert, men ikke begrenset til,
bilder av helse- eller politiattester). Databehandler skal tilrettelegge for at slike opplysninger ikke er nødvendige for oppfyllelse av Tjenestens formål. Behandlingsansvarlig skal imidlertid sikre etterlevelse.
4. BEHANDLINGSAKTIVITETENES FORMÅL, OMFANG OG VARIGHET
4.1 Kategoriene personopplysninger og registrerte, aktuelle behandlingsaktiviteter, samt formålet og arten av behandlingen som gjennomføres av Databehandler på vegne av
Behandlingsansvarlig er nærmere beskrevet i Vedlegg 1 til denne Avtalen.
5. BEHANDLINGSANSVARLIGES INSTRUKSER
5.1. Instrukser fra Behandlingsansvarlig
-
Databehandler skal kun behandle personopplysninger i samsvar med Personvernlovgivningen, samt etter skriftlige instrukser fra Behandlingsansvarlig nedfelt i denne Avtalen og i Abonnementsavtalen. Dette betyr at Databehandler ikke skal behandle personopplysninger i større omfang eller til andre formål enn det som er nødvendig for at Databehandleren skal kunne oppfylle sine forpliktelser i henhold til Personvernlovgivningen, denne Avtalen og Abonnementsavtalen.
-
Begrensningene inntatt ovenfor, gjelder imidlertid ikke i den utstrekning Databehandler etter EU/EØS-lovgivningen, eller en EU/EØS-stats lovgivning, er forpliktet til å behandle personopplysningene på en annen måte. Dersom en slik forpliktelse oppstår, skal Databehandler varsle Behandlingsansvar om dette, med mindre et slik varsel vil være i strid med det aktuelle rettsgrunnlaget.
-
Dersom Databehandler mener en instruks strider mot GDPR eller annen lovgivning, skal Databehandler snarest mulig informere Behandlingsansvarlig.
6. MASKINLÆRING, ANONYMISERING OG PSEUDONYMISERING
6.1. Trening av algoritmer
-
Databehandler kan benytte anonymiserte og/eller aggregerte data samt pseudonymiserte data i WPs SaaS-løsning til utvikling og forbedring av Tjenesten (f.eks. forbedrede mengdeberegninger, prisestimater, bildegjenkjenning mv.).
-
Databehandler er behandlingsansvarlig for denne behandlingen av personopplysninger, og denne behandlingen av personopplysninger faller således utenfor omfanget av denne Avtalen. Databehandler er ansvarlig for at slik behandling utføres i samsvar med Personvernlovgivningen.
-
Databehandlerens behandling av anonymiserte data, faller også utenfor personvernforordningens anvendelsesområde.
6.2. Produktforbedring og -utvikling
-
Behandlingsansvarlig erkjenner at Databehandler står fritt til å benytte anonymiserte og/eller aggregerte samt pseudonymiserte data i WPs SaaS-løsning til analyse og produktutvikling for forbedring av Tjenesten.
-
Databehandler er behandlingsansvarlig for denne behandlingen av personopplysningen, og denne behandlingen av personopplysninger faller således utenfor omfanget av denne Avtalen. Databehandler er ansvarlig for at slik behandling utføres i samsvar med Personvernlovgivningen.
-
Databehandlers behandling av anonymiserte data, faller også utenfor personvernforordningens anvendelsesområde.
7. SIKKERHETSTILTAK
7.1. Tekniske og organisatoriske tiltak
-
Databehandleren skal iverksette egnede tekniske og organisatoriske tiltak for å sikre konfidensialitet, integritet og tilgjengelighet i samsvar med Personvernlovgivningen.
-
Omfanget av tiltakene beskrevet ovenfor, skal ta hensyn til den tekniske utviklingen, implementeringskostnadene, behandlingens art, omfang, formål og sammenhengen den utføres i, samt risiko. Slike tiltak kan inkludere tilgangsstyring, kryptering, logging og prosedyrer for håndtering av avvik.
-
En oversikt over gjeldende sikkerhetsrutiner finnes i Databehandlers eget sikkerhetsdokument, som gjøres tilgjengelig for Behandlingsansvarlig på forespørsel.
7.2. Brudd på personopplysningssikkerheten
-
Ved mistanke om eller bekreftet brudd på personopplysningssikkerheten (jf. GDPR artikkel 4 nr. 12), skal Databehandler varsle Behandlingsansvarlig uten ugrunnet opphold. Databehandler skal videre bistå Behandlingsansvarlig med nødvendig informasjon for at Behandlingsansvarlig kan ivareta sine varslingsplikter overfor Tilsynsmyndigheten og/eller de registrerte, i den grad det er rimelig med hensyn til behandlingens art og informasjonen som er tilgjengelig for Databehandler.
-
Databehandler skal iverksette rimelige tiltak for å begrense konsekvensene av sikkerhetsbruddet.
8. UNDERLEVERANDØRER (UNDERDATABEHANDLERE)
8.1. Generell godkjennelse til bruk av underleverandører
-
Databehandler har Behandlingsansvarliges samtykke til å engasjere underleverandører (underdatabehandlere) til å behandle eller medvirke til å behandle personopplysninger omfattet av denne Avtalen.
-
Databehandlers underleverandører er listet opp i Vedlegg 1 til denne Avtalen. Databehandler er ansvarlig for underleverandørenes oppfyllelse av kravene i denne Avtalen, som om det var Databehandlers egne handlinger.
-
Databehandler skal sikre at underleverandører pålegges tilsvarende forpliktelser som Databehandler er pålagt i henhold til denne Avtalen.
8.2. Endring av underleverandører
-
Databehandler vil informere Behandlingsansvarlig om endringer i bruk av underleverandører, slik at Behandlingsansvarlig gis anledning til å protestere på endringen.
-
Behandlingsansvarlig må inngi sin protest mot Databehandlers varslede bruk eller utskifting av en underleverandør innen syv (7) dager etter at Behandlingsansvarlige mottok det aktuelle varselet fra Databehandler. En slik protest kan lede til at Databehandler ikke kan oppfylle sine forpliktelser (eller deler av disse) etter Abonnementsavtalen (uten at WP kan holdes ansvarlig for dette). Partene skal derfor lojalt og i god tro forsøke å finne en tilfredsstillende løsning på Behandlingsansvarliges protest.
9. OVERFØRING AV PERSONOPPLYSNINGER
9.1. Behandling av personopplysninger utenfor EU/EØS
-
Databehandler skal ikke overføre personopplysninger til land utenfor EU/EØS med mindre Behandlingsansvarlig har samtykket til denne behandlingen.
-
Behandlingsansvarlige gir med dette Databehandler sitt samtykke til slik behandling av personopplysninger utenfor EU/EØS, forutsatt at:
-
Databehandler på forhånd informerer Behandlingsansvarlig om at Databehandler planlegger å overføre personopplysninger utenfor EU/EØS; og
-
Databehandleren har et gyldig grunnlag for slik overføring i samsvar med GDPR kapittel V.
-
-
Behandlingsansvarlig har rett til å protestere mot slik overføring dersom det er rimelig grunn til å tro at den aktuelle overføringen ikke vil tilfredsstille de ovennevnte kravene. Dersom Behandlingsansvarlig protester mot overføringen, kan dette føre til at Databehandler ikke klarer å oppfylle sine oppgaver (eller deler av disse) i henhold til Abonnementsavtalen (uten at den WP kan holdes ansvarlig for dette). Partene skal derfor lojalt og i god tro forsøke å finne en tilfredsstillende løsning på Behandlingsansvarliges protest.
10. ASSISTANSE TIL BEHANDLINGSANSVARLIG
10.1. Rettigheter og henvendelser fra registrerte
-
Dersom Databehandler mottar henvendelser direkte fra registrerte, skal Databehandler videresende henvendelsen til Behandlingsansvarlig uten ugrunnet opphold.
-
På forespørsel fra Behandlingsansvarlig, skal Databehandler i rimelig utstrekning bistå Behandlingsansvarlig med å svare på henvendelser fra de registrerte.
10.2 Databehandlerens bistand
-
Databehandler skal bistå Behandlingsansvarlig med å overholde sine forpliktelser etter Personvernlovgivningen, for eksempel ved personopplysningsbrudd, utarbeidelse av konsekvensutredninger (DPIA) og kontakt med Tilsynsmyndigheten, i den grad det er relevant for Tjenesten.
11. INNSYN OG REVISJON
11.1. Dokumentasjon
-
Databehandler skal gjøre nødvendig dokumentasjon tilgjengelig for Behandlingsansvarlig for å påvise etterlevelse av denne Avtalen og Personvernlovgivningen.
11.2. Revisjon
-
Behandlingsansvarlig kan, med rimelig varsel og maksimalt én gang per år, kreve å få utført en revisjon eller inspeksjon av Databehandlers etterlevelse av denne Avtalen.
-
Slik revisjon skal skje på en måte som ikke unødig forstyrrer Databehandlers ordinære virksomhet.
-
Databehandleren kan kreve at Behandlingsansvarlig inngår en konfidensialitetsavtale med Databehandleren, før Databehandleren gir innsyn eller muliggjør revisjon i henhold til dette punkt 11.
12. TAUSHETSPLIKT
12.1. Konfidensialitet
-
Databehandler skal sørge for at alle medarbeidere eller underleverandører som behandler personopplysninger under denne Avtalen, er underlagt taushetsplikt, og forplikte dem til å behandle opplysningene konfidensielt.
13. VARIGHET OG OPPSIGELSE
13.1. Avtalens varighet
-
Denne Avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig for formålene beskrevet i denne Avtalen og i Abonnementsavtalen.
-
Databehandler er ikke berettiget til å lagre eller på andre måter behandle personopplysninger etter Avtalens opphør, med mindre Databehandler er pålagt en slik plikt etter preseptorisk lovgivning.
14. SLETTING OG RETUR AV DATA
14.1. Retur og sletting
-
Ved opphør av Avtalen eller på skriftlig anmodning fra Behandlingsansvarlig, skal Databehandler slette eller tilbakelevere alle personopplysninger.
-
Med mindre annet er avtalt, sletter Databehandler alle personopplysninger senest 30 dager etter Avtalens opphør. I denne perioden kan Behandlingsansvarlig hente ut data.
15. KONTAKTPUNKT FOR PERSONVERN
15.1. Henvendelser
-
Databehandler kan kontaktes via e-post hello@wennproperty.no for spørsmål eller anmodninger om personvern og databehandling.
16. ANSVAR OG ERSTATNING
16.1. Fordeling av ansvar
-
Partenes erstatningsansvar for skade som rammer den registrerte eller andre fysiske personer og som skyldes overtredelse av Personvernlovgivningen, følger bestemmelsene i personvernforordningen artikkel 82.
-
Partene er hver for seg ansvarlige for overtredelsesgebyr ilagt i henhold til personvernforordningen artikkel 83.
16.2. Dekning av kostnader
-
Databehandler kan kreve rimelig kompensasjon for bistand til Behandlingsansvarlig i henhold til punkt 10 og 11 over. . Databehandles rett til å kreve kompensasjon for bistand i forbindelse med revisjoner gjelder kun i den utstrekning den relevante revisjonen ikke avdekker vesentlig mislighold fra Databehandlers side.
17. ENDRINGER OG OPPDATERINGER
17.1. Oppdatering av Avtalen
-
Databehandler kan oppdatere denne Avtalen ved endringer i gjeldende Personvernlovgivning. Vesentlige endringer skal varsles Behandlingsansvarlig i rimelig tid.
-
Databehandler kan også oppdatere Avtalen fra tid til annen for å (a) gjenspeile avtalte endringer i Kundens instruksjoner eller for å imøtekomme endringer i WP sine Tjenester; eller (b) gjenspeile endringer i behandlingen som utføres i samsvar med Avtalens punkt 8 og 9.
18. LOVVALG OG TVISTELØSNING
18.1. Lovvalg
Avtalen er underlagt og skal fortolkes i samsvar med norsk rett.
18.2. Tvisteløsning
Eventuelle tvister mellom partene skal søkes løst i minnelighet. Dersom partene ikke lykkes, kan saken bringes inn for de alminnelige domstoler med verneting i Sandnes , med mindre annet følger av ufravikelig lovgivning.
19. VEDLEGG
19.1. Nærmere detaljer om kategorier av personopplysninger, behandlingens formål, bruk av underleverandører, samt andre relevante opplysninger, fremgår av Vedlegg 1 til denne Avtalen.
***