Nettpartner

Vedlegg 1

Persondatabehandleravtale

2019-03-28

Online Partner AB (heretter referert til som “Online Partner” eller “Databehandleren”) og Kunden (heretter referert til som “Kunden” eller “Datakontrolløren”) (i fellesskap referert til som “Partene”).

Partene har inngått denne databehandlingsavtalen (“Avtalen”).

  1. Bakgrunn

1.1. Partene har tidligere, eller i forbindelse med denne avtalen, inngått en avtale om tjenester levert av nettpartner fra tid til annen (heretter referert til som “tjenesteavtalen”) som nettpartnerens generelle vilkår og betingelser er knyttet til.[regarding Service and Software] søke om.

1.2. I henhold til forpliktelsene som følger av Tjenesteavtalen kan Databehandler behandle personopplysninger samt annen informasjon på vegne av Kunden.

1.3. Som en konsekvens inngår partene denne avtalen for å regulere betingelsene for nettpartners behandling av personopplysninger når de utfører tjenestene som er regulert i tjenesteavtalen (heretter kalt “tjenestene”). Denne avtalen skal gjelde for alle avtaler som inngås mellom partene der nettpartneren er databehandler på vegne av kunden, og denne avtalen skal være i kraft så lenge nettpartneren behandler personopplysninger på kundens vegne.

  1. Definisjoner

2.1. For formålet med denne avtalen, vilkår som er definert i artikkel 4 i (EU) 2016/679 av Europaparlamentet og rådet av 27. april 2016 om beskyttelse av fysiske personer med hensyn til behandling av personopplysninger og om fri bevegelse av slike data («databeskyttelsesforordningen») skal ha samme betydning som gitt dem deri.

2.2. Ellers skal begrepene nedenfor ha følgende betydning:

“Databeskyttelseslov” refererer til databeskyttelsesforordningen samt tilhørende europeiske og nasjonale gjennomføringsforskrifter, samt instrukser og bindende vedtak fra EUs datatilsynsmyndigheter.

2.3. Med «Underbehandler» menes en slik databehandler (underleverandør) som er ansatt av Databehandleren og som behandler personopplysninger på vegne av den behandlingsansvarlige.

  1. Avtalens omfang

3.1. Databehandleren leverer tjenestene som er avtalt med databehandleren fra tid til annen. Databehandlerens hovedetablering og sentrale administrasjon er i Sverige.

3.2. Tjenesten innebærer lagring og overføring av brukeropplysninger gitt av brukeren av tjenestene. Slike data kan direkte eller indirekte identifisere en fysisk person.

3.3. Databehandleren vil utelukkende behandle personopplysningene oppgitt av behandlingsansvarlig for å utføre sine forpliktelser i henhold til tjenesteavtalen.

3.4. Personopplysningene som kan behandles av databehandleren på vegne av den behandlingsansvarlige slettes ugjenkallelig og automatisk ved oppsigelse av tjenesteavtalen (forutsatt at lagring av personopplysninger ikke er nødvendig i henhold til nasjonal lov eller unionslov).

3.5. Partene samtykker herved i at behandlingen, kategoriene av personopplysninger, de registrerte eller formålene med behandlingen når som helst og etter gjensidig avtale kan avklares med hensyn til deres spesifikasjoner og/eller utvides med hensyn til deres volum eller omfang. Alle slike endringer skal gjøres skriftlig for å være gyldige i rett tid etter mottak av kunnskap om slike endringer. Med mindre annet er avtalt mellom partene, skal vilkårene og betingelsene som er angitt i denne avtalen gjelde tilsvarende.

  1. Databehandlers forpliktelser

4.1. Den behandlingsansvarlige skal ha full disposisjonsrett angående personopplysningene.

4.2. Databehandleren godtar at den vil:

  1. en) gi behandling av personopplysninger utelukkende i samsvar med de dokumenterte instruksjonene fra behandlingsansvarlig (“instruksjoner”), inkludert med hensyn til overføringer av personopplysninger til et tredjeland eller en internasjonal organisasjon, for formålet angitt i tjenesteavtalen, i henhold til reglene og bestemmelsene i denne avtalen og i samsvar med gjeldende databeskyttelseslov,
  2. b) vil implementere sikkerhetstiltakene spesifisert her,
  3. c) ikke erverve noen rettigheter i eller til personopplysningene,
  4. d) ikke bruke personopplysningene til andre formål enn for å utføre sine forpliktelser i henhold til denne avtalen og tjenesteavtalen, eller for feillokalisering i databehandlerens system, og
  5. e) ikke behandle personopplysningene til egne formål uten skriftlig forhåndsgodkjenning fra den behandlingsansvarlige.

4.3. Der databehandleren mener at en instruksjon vil resultere i brudd på databeskyttelsesforordningen eller annen gjeldende databeskyttelseslov, kan databehandleren suspendere gjennomføringen av instruksen inntil lovligheten deres er bekreftet av en autorisert person av databehandleren eller er endret skriftlig.

4.4. Databehandleren vil i den grad det er mulig bistå den behandlingsansvarlige for oppfyllelsen av den behandlingsansvarliges plikter til å svare på forespørsler om å utøve den registrertes rettigheter som angitt i kapittel III i databeskyttelsesforordningen.

4.5. Databehandleren vil bistå den behandlingsansvarlige med å sikre overholdelse av forpliktelsene i henhold til artikkel 32 til 36 under hensyntagen til behandlingens art og informasjonen som er tilgjengelig for databehandleren.

  1. Varslingsplikter for databehandler

5.1. Databehandleren skal umiddelbart varsle den behandlingsansvarlige om enhver uautorisert tilgang til personopplysninger og/eller enhver utilsiktet eller forsettlig utlevering av personopplysninger til uautoriserte tredjeparter den blir oppmerksom på.

5.2. Databehandleren skal umiddelbart varsle den behandlingsansvarlige om ethvert vesentlig brudd på gjeldende databeskyttelseslover i forbindelse med denne avtalen den blir klar over.

5.3. Dersom databehandleren mener at en instruks fra den behandlingsansvarlige er i strid med personvernloven, skal den umiddelbart rapportere dette til den behandlingsansvarlige.

  1. Forpliktelser til behandlingsansvarlig

6.1. Den behandlingsansvarlige skal gi databehandleren instruksjoner for behandlingen av personopplysningene. Instruksjonene må være i skriftlig form (enten fysisk eller elektronisk).

6.2. Instruksen skal blant annet angi emnet for behandlingen, varigheten av behandlingen, arten og formålet med behandlingen, type personopplysninger og kategorier av registrerte.

6.3. Databehandleren har den eneste forpliktelsen til å informere registrerte om behandlingen av deres personopplysninger av databehandleren, og å sikre at den registrerte er klar over sine rettigheter i henhold til gjeldende lovgivning.

6.4. Den behandlingsansvarlige er forpliktet til på annen måte å utføre sine forpliktelser i samsvar med gjeldende databeskyttelseslov. Ingenting i denne avtalen skal tolkes som en overføring av databehandlerens forpliktelser fastsatt i gjeldende databeskyttelseslov, til databehandleren.

  1. Overføring av personopplysninger til et tredjeland

7.1. For det formål å tilby de avtalte tjenestene, er databehandlerens servere plassert i Finland og i ytterligere ca. 5 land over hele verden (innenfor EU og i et tredjeland).

7.2. Datakontrolløren er klar over og aksepterer at i tredjeland er serverne plassert under samlokaliseringsavtale med samarbeidspartnere. Slike parter har ingen rett til tilgang til data på serverne, og begrenset rett til fysisk tilgang til serverne, når dataene overføres mellom Databehandlers servere, krypteres dataene. Serverne er eksternt eller direkte drevet av databehandlerens underprosessor.

7.3. Databehandleren forplikter seg til at de registrerte har blitt informert eller vil bli informert før behandlingen av databehandleren om at hans eller hennes data kan overføres til et land utenfor EU/EES.

7.4. Hvis overføring av personopplysninger til et tredjeland eller en internasjonal organisasjon er påkrevd i henhold til unionslovgivningen eller nasjonal lov, kan databehandleren utføre slike prosesser. I et slikt tilfelle skal databehandleren informere den behandlingsansvarlige om det juridiske kravet før behandlingen, med mindre personvernloven forbyr slik informasjon på grunn av viktige offentlige interesser.

  1. Revisjonsrettigheter

8.1. Databehandleren skal gjøre tilgjengelig for behandlingsansvarlig all informasjon som er nødvendig for å påvise overholdelse av forpliktelsene fastsatt i artikkel 28 i databeskyttelsesforordningen, og på behandlingsansvarligs anmodning tillate at databehandlingsanleggene til databehandleren blir revidert med hensyn til behandlingen. aktiviteter som omfattes av denne avtalen. Databehandleren vil samarbeide og yte bistand til slik revisjon som med rimelighet kan kreves av databehandleren og organisasjonen som utfører revisjonen. Behandlingsansvarlig er klar over at det av sikkerhetsmessige årsaker er begrensninger og regler for hvem som kan gå inn i lokalene hvor serverne er plassert.

8.2. Partene skal gjensidig avtale hvilken organisasjon som skal utføre revisjonen.

8.3. Den behandlingsansvarlige vil betale alle kostnader, honorarer og utgifter til organisasjonen som utfører revisjonen.

  1. Underbehandlere

9.1. Databehandleren erkjenner og godtar det (a) Databehandlerens tilknyttede selskaper kan beholdes som underbehandlere; og (b) henholdsvis databehandleren og databehandlerens tilknyttede selskaper kan engasjere tredjeparts underbehandlere i forbindelse med levering av tjenestene. Databehandleren har eller skal inngå en skriftlig avtale med hver underbehandler som inneholder databeskyttelsesforpliktelser som ikke er mindre beskyttende enn de i denne avtalen. I enhver slik persondatabehandleravtale skal underbehandleren gi tilstrekkelige garantier med hensyn til å iverksette passende tekniske og organisatoriske tiltak slik at behandlingen oppfyller kravene i databeskyttelsesforordningen.

9.2. Databehandleren skal gjøre tilgjengelig for behandlingsansvarlig gjeldende liste over underbehandlere for Tjenestene som leveres av databehandleren. Slike underbehandlerlister skal inneholde kontaktinformasjon til disse underbehandlerne og deres land. Databehandleren skal gi melding om nye underbehandler(e) før nye underbehandler(e) autoriseres til å behandle personopplysninger i forbindelse med levering av gjeldende tjenester.

9.3. Databehandleren kan protestere mot Databehandlerens bruk av en ny underbehandler ved å varsle Databehandleren omgående skriftlig innen ti (10) virkedager etter mottak av Databehandlerens varsel. I tilfelle databehandleren protesterer mot en ny underbehandler, vil databehandleren bruke rimelige anstrengelser for å gjøre tilgjengelig for databehandleren en endring i tjenestene eller anbefale en kommersielt rimelig endring av databehandlerens konfigurasjon eller bruk av tjenestene for å unngå behandling av personopplysninger av den nye underbehandleren som protesteres mot uten å belaste den behandlingsansvarlige urimelig. Hvis databehandleren ikke er i stand til å gjøre en slik endring tilgjengelig innen en rimelig tidsperiode, som ikke skal overstige tretti (30) dager, kan databehandleren si opp avtalen kun med hensyn til de tjenester som ikke kan leveres av databehandleren uten bruken av den nye underbehandleren som protesteres mot ved å gi skriftlig melding til databehandleren.

9.4. Den behandlingsansvarlige må ha berettiget grunn til å komme med slik innsigelse. Med «begrunnede grunner» menes omstendigheter på den nye underdatabehandlerens side som i vesentlig grad påvirker, eller mest sannsynlig risikerer å påvirke, beskyttelsen av den registrertes personlige integritet, slik som at den nye underdatabehandleren ikke oppfyller kravene til dataene Vernelov.

9.5. Dersom underdatabehandleren ikke oppfyller forpliktelsene til behandling av personopplysninger angitt i denne avtalen, skal databehandleren fortsatt være fullt ansvarlig overfor behandlingsansvarlig for underdatabehandlerens manglende overholdelse av forpliktelsene.

  1. Sikkerhet og konfidensialitet

10.1. Databehandler har gitt tilstrekkelige garantier for at den skal iverksette egnede tekniske og organisatoriske tiltak for å sikre at behandlingen av personopplysninger oppfyller kravene i personvernloven og sikrer beskyttelse av den registrertes rettigheter.

10.2. Databehandleren har implementert og vil opprettholde tiltak for å opprettholde sikkerheten til tjenesten som angitt i vedlegg A.

10.3. Partene er enige om at sikkerhetstiltakene spesifisert i vedlegg A til denne avtalen er hensiktsmessige tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er passende for risikoen, slik som beskyttelse av personopplysninger mot utilsiktet eller ulovlig ødeleggelse eller utilsiktet tap, endring, uautorisert avsløring eller tilgang til personopplysninger som overføres, lagres eller på annen måte behandles, under hensyntagen til teknikkens stand, kostnadene ved implementering og arten, omfanget, konteksten og formålet samt risikoen for rettigheter og friheter til fysiske personer.

10.4. Databehandleren forplikter seg til ikke å utlevere eller utlevere opplysninger om personopplysninger som omfattes av denne avtalen til en tredjepart. Taushetsplikten gjelder etter at denne avtalen ellers er utløpt.

10.5. I tilfelle Databehandler er juridisk forpliktet til å utlevere til tredjeparter eller til en relevant tilsynsmyndighet, Personopplysninger for å tilfredsstille lovkrav, overholde lov eller svare på lovlige forespørsler eller bindende vedtak fra relevant myndighet, skal Databehandleren, med mindre det er forbudt. ved lov, varsle den behandlingsansvarlige uten unødig opphold skriftlig eller på e-post om årsaken og formen for utleveringen etter at den blir kjent med forpliktelsen til å utlevere. Databehandleren skal vente, med mindre det er forbudt ved lov, på ytterligere instruksjoner fra behandlingsansvarlig angående den forespurte utleveringen.

10.6. Databehandler skal sørge for at alle personer som har fått fullmakt til å behandle personopplysninger har inngått en egen taushetsavtale eller er informert om at det foreligger særskilt taushetsplikt i henhold til avtale eller gjeldende lov.

10.7. Databehandler skal iverksette alle nødvendige tiltak i henhold til artikkel 32 i databeskyttelsesforordningen.

  1. Diverse

11.1. Bestemmelsene i Online Partners generelle vilkår og betingelser angående vilkår og oppsigelse, ansvar, jurisdiksjon og kompetent domstol gjelder i samsvar med denne avtalen.

11.2. Endringer og tillegg til denne avtalen må være skriftlige. Med unntak av det som er endret av denne avtalen, vil denne avtalen forbli i full kraft og virkning. Hvis det er en konflikt mellom tjenesteavtalen og denne avtalen, vil vilkårene i denne avtalen ha forrang.

Bilag A, Tekniske og organisatoriske sikkerhetstiltak

Nettpartner vil implementere ikke mindre enn kontrollene som er oppført nedenfor, eller tilsvarende, i løpet av denne avtalens løpetid:

Adgangskontroll til lokaler

Databehandler vil iverksette egnede tiltak for å hindre at uvedkommende får tilgang til databehandlingsutstyret på følgende måter:

  • Tilgangsautorisasjoner for ansatte og tredjeparter
  • Beskyttelse og begrensning av innganger og utganger (begrensede nøkkelkort og/eller pass)
  • Sikkerhet av relevante lokaler (alarmer og/eller sikkerhetsvakter)

Tilgangskontroll til data og brukerkontroll

Databehandleren forplikter seg til at ethvert og alt personell med tilgang til personopplysningene har denne autoriteten på et behov for å vite-basis, med det formål å levere tjenestene i tjenesteavtalen, ved hjelp av:

  • Alle ansatte bruker herdet autentisering ved hjelp av tofaktorautentisering
  • Krav til brukerautorisasjon og streng tilgangskontroll
  • Taushetsplikt
  • Differensierte tilgangspolicyer (f.eks. delvis blokkering)
  • Kontrollere ødeleggelse og fjerning av datamedier
  • Logging av hendelser og aktiviteter (overvåking av innbruddsforsøk, eller forsøk på uautorisert tilgang)
  • Utstedelse og sikring av identifikasjonskodene
  • Bruk av kryptering der databehandler anser det som hensiktsmessig
  • Automatisk avlogging av bruker-IDer som ikke har vært brukt på en lengre periode
  • Sikre at kundene kun har tilgang til sine egne data

Overføring av data

Databehandleren vil sikre personopplysningene som overføres og/eller på annen måte behandles i henhold til tjenesteavtalen og instruksjonene ved hjelp av:

  • Retningslinjer som kontrollerer produksjonen av sikkerhetskopier
  • Dokumentasjon av overførings-, gjenfinnings- og overføringsprogrammene
  • Autorisasjonspolicy
  • Kryptering av ekstern nettoverføring
  • Sletting av gjenværende data før du bytter datamedie
  • Trafikken mellom brukeren og tjenesten er krypterte SSL-sertifikater.
  • Personopplysninger overføres ikke til en tredjepart uten den behandlingsansvarliges skriftlige forhåndssamtykke, med mindre det er juridisk forpliktet

Organisasjonskontroll

Databehandleren vil opprettholde sin interne organisasjon på en måte som oppfyller kravene i databeskyttelsesloven, ved hjelp av:

  • Bindende interne retningslinjer for personell og/eller konsulenter angående sikkerhet og prosessen med personopplysninger, og/eller instruksjoner
  • Intern beredskapsplan for gjenoppretting og sikring av personopplysninger
  • Fullmakt til å få tilgang til data for personell basert på et strengt nødvendig behov
  • Ingen kundedata vil bli kopiert til eksterne enheter (USB-pinner, CD dvs.) uten å ta nødvendige sikkerhetsmålinger, som kryptering eller passordbeskyttelse