Nettpartner

Vedlegg 1

Personopplysningsassistentavtale

2019-03-28

Online Partner AB (heretter referert til som “Online Partner” eller “Persondataassistent”), og Kunden (heretter referert til som “Kunden” eller “Persondataansvarlig”) (heretter samlet referert til som “Partene” ) Partene har inngått denne personopplysningsassistentavtalen

  1. Bakgrunn

1.1 Partene har tidligere – eller i forbindelse med denne avtalen – inngått avtaler om tjenester som Online Partner av og til utfører (heretter kalt “Tjenesteavtalen”), som Online Partners generelle vilkår og betingelser er knyttet til.[för tjänster och mjukvaror] er gyldig.

1.2 Innenfor forpliktelsene som følger av Tjenesteavtalen, kan Online Partner behandle personopplysninger og annen informasjon på vegne av Kunden.

1.3 På grunn av dette inngår Partene denne Avtalen for å regulere vilkårene for Nettpartneres behandling av personopplysninger ved utførelse av tjenestene regulert i Tjenesteavtalen (heretter kalt «Tjenestene»). Denne avtalen gjelder for alle avtaler inngått mellom Partene der Nettpartneren er Personopplysningsassistent for Kunden og Avtalen gjelder så lenge Nettpartneren behandler personopplysninger på vegne av Kunden.

  1. Definisjoner

2.1 Definisjonene fastsatt i artikkel 4 Europaparlamentets og rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av enkeltpersoner med hensyn til behandling av personopplysninger og om fri flyt av slike data (denne “databeskyttelsesforordningen”) skal gjelde på denne avtalen.

2.2 I andre henseender skal begrepene som er oppført nedenfor ha følgende betydning:

«Databeskyttelseslovgivning» refererer til databeskyttelsesforordningen sammen med tilhørende europeiske og nasjonale gjennomføringsforskrifter, samt instrukser og bindende vedtak fra EUs datatilsynsmyndigheter.

Med «Underassistent» menes en slik personopplysningsassistent (underleverandør) som er ansatt av Personopplysningsassistenten og som behandler personopplysninger på vegne av personopplysningsansvarlig.

  1. Avtalens omfang

3.1 Personopplysningsassistenten leverer tjenester som avtales med personopplysningsansvarlig fra tid til annen. Personopplysningsassistentens hovedvirksomhet er i Sverige.

3.2 Tjenesten inkluderer lagring og overføring av brukerdata og innhold levert av brukerne av tjenesten. Denne informasjonen kan direkte eller indirekte identifisere en fysisk person.

3.3 Personopplysningsassistenten vil kun behandle personopplysninger oppgitt av personopplysningsansvarlig for å kunne utføre forpliktelser som følger av Tjenesteavtalen.

3.4 Personopplysningene som kan behandles av personopplysningsassistenten på vegne av behandlingsansvarlig skal slettes permanent og automatisk når tjenesteavtalen utløper (med mindre lagring av personopplysninger er påkrevd i henhold til nasjonal lov eller unionslov).

3.5 Partene er enige om at behandlingen, kategoriene av personopplysninger som behandlingen gjelder, de registrerte eller formålet med behandlingen til enhver tid etter avtale kan avklares mht spesifikasjon og/eller utvides mht omfang. Slike endringer må gjøres skriftlig for å være gyldige så snart som mulig etter at de blir kjent. Vilkårene i denne avtalen skal gjelde for slike endringer, med mindre partene blir enige om noe annet.

  1. Personopplysningsassistentens ansvar/plikter

4.1 Den personopplysningsansvarlige skal ha full myndighet over personopplysningene.

4.2 Personopplysningsassistenten forplikter seg til å:

  1. (a) kun behandle personopplysninger som omfattes av den personopplysningsansvarliges dokumenterte instruksjoner (“instruksjoner”), inkludert overføringer av personopplysninger til et tredjeland eller en internasjonal organisasjon, for de formål som er angitt i tjenesteavtalen og i samsvar med denne avtalen og gjeldende lov;
  2. (b) implementere sikkerhetstiltakene spesifisert i avtalen;
  3. c) ikke kreve noen rettigheter til personopplysningene;
  4. d) ikke bruke personopplysningene til noe annet formål enn for å utføre forpliktelsene som følger av denne avtalen, tjenesteavtalen eller til feilsøking i personopplysningsassistentens system, og
  5. e) ikke behandle personopplysninger for sitt eget formål uten forutgående skriftlig attest fra personopplysningsansvarlig.

4.3 Dersom personopplysningsassistenten vurderer at en instruks fra den behandlingsansvarlige er i strid med personvernforordningen eller annen personvernlovgivning, har personopplysningsassistenten rett til å avvente utførelse av instruksen inntil lovligheten er bekreftet av en kompetent person oppnevnt av personopplysningsansvarlig eller inntil instruksen er omskrevet.

4.4 Personvernombudet skal bistå personvernombudet gjennom hensiktsmessige tekniske og organisatoriske tiltak, under hensyntagen til behandlingens art og informasjonen som er tilgjengelig for personvernombudet, slik at personvernombudet kan oppfylle sin plikt til å svare på forespørsler til personvernombudet. utøve den registrertes rettigheter i personvernforordningen.

4.5 Personopplysningsassistenten skal bistå den behandlingsansvarlige med å sikre at pliktene etter personopplysningsforordningens artikkel 32-36 oppfylles, under hensyntagen til type behandling og informasjon som personopplysningsassistenten har tilgjengelig.

  1. Meldeplikt for Personopplysningsassistenten

5.1 Personopplysningsassistenten skal umiddelbart varsle personopplysningsansvarlig dersom personopplysningsassistenten blir oppmerksom på at det har funnet sted uautorisert tilgang til personopplysninger og/eller utilsiktet eller tilsiktet utlevering av personopplysninger til tredjepart.

5.2 Personopplysningsassistenten skal umiddelbart varsle den behandlingsansvarlige for personopplysninger om ethvert vesentlig brudd på gjeldende databeskyttelseslovgivning som den blir oppmerksom på som er relatert til denne avtalen.

5.3 Dersom personopplysningsassistenten vurderer at en instruks fra den behandlingsansvarlige er i strid med personvernlovgivningen, skal denne umiddelbart rapportere dette til den behandlingsansvarlige.

  1. Ansvaret til den personopplysningsansvarlige

6.1 Den behandlingsansvarlige skal gi personopplysningsassistenten instruksjoner for behandling av personopplysninger. Instruksjonene skal være skriftlige (enten fysiske eller elektroniske).

6.2 I instruksjonene skal inneholde angi emnet for behandlingen, varigheten av behandlingen, arten og formålet, type personopplysninger og kategorier av registrerte.

6.3 Personopplysningsansvarlig har det individuelle ansvar for å informere den registrerte om behandlingen av personopplysninger utført av Personopplysningsassistenten og for å sikre at den registrerte er klar over sine rettigheter i henhold til gjeldende lov.

6.4 Den behandlingsansvarlige er forpliktet til å utføre sine forpliktelser i henhold til gjeldende personvernlovgivning. Ingenting i denne avtalen skal tolkes som en overføring av personopplysningsansvarligs ansvar, som følger av gjeldende databeskyttelseslovgivning, til personopplysningsassistenten.

  1. Overføring til tredjeland

7.1 For å kunne levere de avtalte tjenestene er personopplysningsassistentens servere plassert i Finland og i ytterligere 5 land (både innenfor EU og i tredjeland).

7.2 Den personopplysningsansvarlige er klar over og aksepterer at servere i tredjeland er dekket av samlokaliseringsavtaler med partnere. Disse partene har ikke rett til tilgang til personopplysninger på serverne og begrenset rett til materiell tilgang til serverne. Når personopplysninger overføres mellom Personopplysningsassistentens servere, krypteres personopplysningene. Serverne administreres av personopplysningsassistentens assistent, direkte eller eksternt.

7.3 Personopplysningsansvarlig forplikter seg til å sikre at de registrerte har mottatt informasjon eller er informert om at hans eller hennes personopplysninger kan overføres til et land utenfor EU/EØS før personopplysningsassistenten begynner å behandle personopplysningene.

7.4 Dersom overføring av personopplysninger til et tredjeland eller en internasjonal organisasjon er påkrevd i henhold til unionsrett eller nasjonal lov, kan personopplysningsassistenten utføre slik behandling. Personopplysningsassistenten skal i så fall informere personopplysningsansvarlig om lovkravet før opplysningene behandles, med mindre slik informasjon er forbudt med henvisning til en viktig offentlig interesse i henhold til personvernlovgivningen.

  1. Revidere

8.1 Personvernombudet skal gi personvernombudet tilgang til all informasjon som kreves for å vise at forpliktelsene etter artikkel 28 i databeskyttelsesforordningen er oppfylt, og på anmodning fra personvernombudet tillate revisjoner, inkludert inspeksjoner, for å se om personvernombudet oppfyller sine forpliktelser etter . Personopplysningsassistenten skal delta og bistå personopplysningsansvarlig og den som utfører tilsynet så mye som det med rimelighet kan kreves ved gjennomføringen av tilsynet. Den behandlingsansvarlige er klar over at det av sikkerhetsmessige årsaker er restriksjoner og regler for hvem som kan få tilgang til lokalene hvor serverne er plassert.

8.2 Partene skal i fellesskap avtale hvilken organisasjon som skal utføre ovennevnte gjennomgang.

8.3 Personopplysningsansvarlig skal betale alle kostnader, honorarer og utgifter for organisasjonen som utfører revisjonen.

  1. Assistent

9.1 Den behandlingsansvarlige for personopplysninger erkjenner og godtar at, (a) selskaper i samme gruppe som personopplysningsassistenten kan engasjeres som assistent; og (b) at Personopplysningsassistenten og selskaper i samme konsern som Personopplysningsassistenten igjen kan inngå avtaler med Underassistenter for å oppfylle leveringen av Tjenestene. Personopplysningsassistenten har eller skal inngå skriftlige avtaler med hver enkelt Underassistent. Assisterende assistent skal være pålagt å overholde de samme databeskyttelsesforpliktelsene som er angitt i denne avtalen. I en slik personopplysningsassistentavtale skal assistenten gi tilstrekkelige garantier for å iverksette hensiktsmessige tekniske og organisatoriske tiltak på en slik måte at behandlingen oppfyller kravene i personvernforordningen.

9.2 Personopplysningsassistenten skal til enhver tid kunne gi personopplysningsansvarlig en liste med fullstendig, korrekt og oppdatert informasjon om alle Underassistenter. Denne listen bør inneholde nestlederens kontaktinformasjon og landet den befinner seg i. Dersom Personopplysningsassistenten skal ansette en ny Underassistent, skal Personopplysningsansvarlig varsles skriftlig før den nye Underassistenten får fullmakt til å behandle personopplysninger ved utførelse av Tjenestene.

9.3 Den personopplysningsansvarlige kan protestere mot bruk av ny assistent ved å gi skriftlig melding til personopplysningsassistenten innen ti (10) virkedager etter mottak av personopplysningsassistentens melding. Dersom den personopplysningsansvarlige har protestert mot en ny underassistent, skal personopplysningsassistenten ved rimelig innsats gjøre en endring i tjenesten tilgjengelig for den personopplysningsansvarlige eller anbefale en kommersielt rimelig endring i bruken av tjenesten for å unngå den nye underassistenten behandler personopplysninger, uten unødig belastning for den behandlingsansvarlige. Dersom personopplysningsassistenten ikke lykkes med å gjennomføre en slik endring innen rimelig tid, som ikke skal være mer enn tretti (30) dager, kan personopplysningsansvarlig si opp tjenesteavtalen, ved skriftlig varsel, vedrørende de tjenester som ikke kan besørges av personopplysningsassistenten ny stedfortreder.

9.4 For at personopplysningsansvarlig skal kunne protestere mot en assistent som beskrevet ovenfor, må personopplysningsansvarlig ha en begrunnet grunn for dette. Med rimelig grunn menes forhold på den nye nestlederens side som i vesentlig grad påvirker, eller sannsynligvis vil påvirke, beskyttelsen av den registrertes personvern, for eksempel at den nye nestlederen ikke oppfyller kravene i databeskyttelsesloven.

9.5 Dersom Assistenten ikke oppfyller forpliktelsene til behandling av personopplysninger som fremgår av denne avtalen, skal Personopplysningsassistenten fortsatt være fullt ansvarlig overfor personopplysningsansvarlig for Assistentens manglende oppfyllelse av forpliktelsene.

  1. Sikkerhet og personvern

10.1 Personopplysningsassistenten har gitt tilstrekkelige garantier for å iverksette hensiktsmessige tekniske og organisatoriske tiltak på en slik måte at behandlingen av personopplysninger oppfyller kravene i personvernlovgivningen og sikrer at den registrertes rettigheter er beskyttet.

10.2 Personopplysningsassistenten har implementert og vil opprettholde tiltak for å opprettholde sikkerheten til Tjenestene som beskrevet i Vedlegg A.

10.3 Partene er enige om at sikkerhetstiltakene angitt i vedlegg A til denne avtalen er hensiktsmessige tekniske og organisatoriske tiltak for å sikre et tilstrekkelig sikkerhetsnivå mot potensielle risikoer, slik som beskyttelse av personopplysninger mot utilsiktet eller ulovlig ødeleggelse, tap eller endring eller uautorisert utlevering av eller uautorisert tilgang til personopplysningene som overføres, lagres eller på annen måte behandles. Dette tar hensyn til nyere utvikling, gjennomføringskostnader og behandlingens art, omfang, kontekst og formål, samt risiko, av ulik grad av sannsynlighet og alvorlighet, for fysiske personers rettigheter og friheter.

10.4 Personopplysningsassistenten forplikter seg til ikke å utlevere eller på annen måte utlevere informasjon om personopplysninger som omfattes av denne avtalen til tredjeparter. Taushetsplikten gjelder også etter at denne avtalen ellers er utløpt.

10.5 Dersom personopplysningsassistenten er forpliktet til å utlevere personopplysninger til tredjepart eller myndighet for å oppfylle et lovkrav eller svare på pålegg eller vedtak fra vedkommende myndighet, skal personopplysningsassistenten, med mindre det er forbudt ved lov, uten ugrunnet opphold. etter at plikten til å utlevere personopplysninger kjent, varsle den behandlingsansvarlige skriftlig om lovkravet og hvilken type utlevering det er snakk om. Personopplysningsassistenten skal, dersom det ikke er forbudt ved lov, avvente nærmere instruks fra personopplysningsansvarlig om utleveringen.

10.6 Personopplysningsassistenten skal sørge for at alle personer som har fått fullmakt til å behandle personopplysningene har inngått en særskilt taushetsavtale eller er informert om at det foreligger særskilt taushetsplikt i henhold til avtale eller gjeldende lov.

10.7 Personopplysningsassistenten skal iverksette alle sikkerhetstiltak som kreves i henhold til artikkel 32 i databeskyttelsesforordningen.

11. Annet

11.1 Bestemmelsene i nettpartnerens generelle vilkår og betingelser angående kontraktsperiode og oppsigelse, ansvar, gjeldende lov og kompetent domstol, gjelder for denne avtalen.

11.2 Tillegg og endringer til denne avtalen må være skriftlige for å være effektive. Med unntak av eventuelle endringer i denne avtalen, vil denne avtalen tre i kraft. Hvis det er en konflikt mellom denne avtalen og tjenesteavtalen, har denne avtalen forrang.

Vedlegg A: Tekniske og organisatoriske tiltak

Nettpartneren vil implementere minst følgende oppførte handlinger, eller tilsvarende, i løpet av avtaleperioden:

Kontroll av adkomst til lokalene

Personopplysningsassistenten vil iverksette hensiktsmessige tiltak for å hindre at uvedkommende får tilgang til utstyr som behandler personopplysninger ved å innføre eller vedlikeholde følgende:

  • – Adgangskontroll og tillatelser for ansatte og tredjeparter
  • – Beskyttelse og begrensninger for innganger og utganger (begrensede nøkkelkort og/eller adgangskort)
  • – Beskyttelse av relevante lokaler (alarmer og/eller sikkerhetsvakter)

Kontroll av tilgang til personopplysninger og brukerkontroll

  • Personopplysningsassistenten plikter å sørge for at alle ansatte og/eller andre personer med tilgang til personopplysninger kun har det i den grad det er nødvendig for å kunne yte Tjenestene i Tjenesteavtalen, ved å:
  • Alle ansatte bruker forbedret autentisering, 2FA for pålogging
  • Krav til brukerautorisasjon og streng tilgangskontroll
  • Taushetsplikt
  • Egendefinerte tilgangsrettigheter
  • Kontrollert ødeleggelse og bevegelse av informasjon på datalagringsmedier
  • Logg over hendelser og aktiviteter (oppfølging av forsøk fra uvedkommende på å komme inn eller få tilgang)
  • Utstedelse og sikringsprosedyre for identifikasjonskoder
  • Bruk av kryptering der Personopplysningsassistenten finner det hensiktsmessig
  • Automatisk utlogging av bruker-ID som ikke har vært brukt på en lengre periode
  • Trygghet om at kunder kun har tilgang til sin egen informasjon

Data overføring

  • Personopplysningsassistenten vil beskytte personopplysninger som overføres og/eller behandles i samsvar med tjenesteavtalen og instruksjonene, av:
  • Retningslinjer for produksjon av sikkerhetskopier
  • Dokumentasjon av overføring, gjenfinning og overføringsprogrammer
  • Sertifikatinstruksjoner
  • Kryptering av eksterne overføringer på nett
  • Sletting av informasjon før bytte av datalagringsmedier
  • Trafikken mellom brukeren og tjenesten er med et kryptert SSL-sertifikat
  • Personopplysninger overføres ikke til tredjepart uten skriftlig samtykke fra behandlingsansvarlig, med mindre det er et lovkrav.

Organisasjonskontroll

  • Personopplysningsassistenten vil vedlikeholde sin interne organisasjon på en måte som oppfyller kravene i personvernlovgivningen, ved å:
  • Bindende interne retningslinjer for ansatte og/eller konsulenter vedrørende sikkerhet og behandling av personopplysninger, og/eller instrukser
  • Intern kriseplan for restaurering og beskyttelse av personopplysninger
  • Begrenset tilgang til personopplysninger kun til det nødvendige nivået
  • Ingen kundeinformasjon vil bli kopiert til eksterne enheter (USB-minne, CD, etc.) uten nødvendige sikkerhetstiltak, som kryptering eller passordbeskyttelse.