Databehandleravtale relatert til bruk av produktet
Databehandleravtale relatert til bruk av produktet
«Socialboards», levert av Xxxxxx AS
Revisjon 17, 3. mars 2022
Endringslogg
Versjon | Dato | Endringer | Revidert av |
01-10 | 12.03.2018 - 20.07.2018 | ● Utarbeidet endelig versjon før innføringen av GDPR i EEA. | Xxxxx Xxxx / Xxxx X. Xxxxxxxxx |
11 | 23.09.2018 | ● Xxxxxx listen over underleverandører ● Flyttet oppdatert liste over under- leverandører til websidene ● La til oversikt over data som behandles i punkt 4.11 | Xxxx X. Xxxxxxxxx |
12 | 27.09.2018 | ● Xxxxxx formulering rundt økonomisk ansvar under punkt 4.8 Ansvar. | Xxxx X. Xxxxxxxxx |
13 | 15.10.2018 | ● Språk-korreksjon punkt 4.1 og paragrafen som beskriver “Data retention” i vedlegg 1. | Xxxx X. Xxxxxxxxx |
14 | 02.11.2018 | ● Xxxxxx formulering under punkt 4.1 fra “slette” til “anonymisere” ● Fjernet ekstra punkt rundt “Data retention” i vedlegg 1 da denne er overlappende med punkt 4.1 | Xxxx X. Xxxxxxxxx |
15 | 27.02.2019 | ● Oppdatert liste over leverandører ● Xxxxxx selskapsadresse | Xxxx X. Xxxxxxxxx |
16 | 18.04.2019 | ● Selvbetjent anonymisering av persondata, punkt 3 og 4.10 | Xxxx X. Xxxxxxxxx |
17 | 03.03.2022 | ● Xxxxxx selskapsnavn, Xxxxxx AS til Zisson AS. ● Endret DPO | Xxxx X. Xxxxxxxxx |
Xxxxxx AS («Databehandler» eller «Zisson») Xxx.xx.: 000 000 000 Xxxxxxxxxx 00, 0000 Xxxx |
Kunde: [x] («Databehandlingsansvarlig» eller «Kunde») Xxx.xx. [x] Forretningsadresse: [x] *** |
Sted og dato: [x] Sted og dato: For behandlingsansvarlig For Zisson
[x] [i henhold til fullmakt] [i henhold til fullmakt]
Denne avtale er i 2 – to eksemplarer, hvorav partene har hvert sitt.
Innholdsfortegnelse
3. Behandlingsansvarliges plikter
4. Xxxxxx sine plikter som databehandler
4.2. Tekniske, organisatoriske og sikkerhetsmessige tiltak
4.4. Xxxxxxxx ved brudd på personopplysningshåndtering
4.5. Støtte og informasjon til registrerte enkeltpersoner og tilsynsmyndigheter
4.7. Overføring av personopplysninger
4.7.1. Norden (Norge, Sverige, Finland og Danmark)
4.11. Oversikt over data som behandles for din bedrift
5. Betingelser og avtalens varighet
8. Tvister og gjeldende lovverk
Vedlegg 1 - detaljert informasjon om personopplysninger
Kunden og Zisson har inngått en Hovedavtale for bruk av produktet «Socialboards», datert
[x] (dato for signert hovedavtale), hvilket spesifiserer leveranse av produkter og tjenester. Denne avtalen er et vedlegg til Hovedavtalen, og innebærer ingen endringer i de kommersielle betingelsene mellom partene. Partene plikter å innarbeide en referanse til denne avtalen i Hovedavtalen.
I forbindelse med levering av tjenester i henhold til Hovedavtalen, må Xxxxxx behandle personopplysninger på vegne av kunden eller kundens kunder. For å sikre at alle personlige data til enhver tid behandles i samsvar med gjeldende lov, er partene enige om å inngå denne Databehandleravtalen (DBA).
I tilfelle konflikt mellom DBA og hovedavtale, skal DBA gjelde.
Når det henvises til Xxxxxx i denne DBA, skal dette også gjelde for Xxxxxx sine samarbeidspartnere samt enhver annen underbehandler som er tillatt i denne DBA. Når det henvises til kunden i denne DBA, skal dette også gjelde for kundens kunder og andre databehandlingsansvarlige.
Ved å signere på denne avtalen bekrefter partene at databehandler har avgitt tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at databehandlingen oppfyller kravene i den til enhver tid gjeldende personvernlovgivning, herunder vern av de registrertes rettigheter.
«Gjeldende lov»: lovverk og råd fra tilsynsmyndigheter, som er i kraft eller anvendelig for Zisson til enhver tid (for eksempel direktiv 95/46/EC og fra og med 25. mai 2018 EUs nye personvernforordning (GDPR), gjeldende personopplysningslov, personopplysningsforskriften, personopplysningsforordningen og generelle råd).
«Behandlingsansvarlig»: en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett.
«Personopplysninger»: enhver opplysning om en identifisert eller identifiserbar fysisk person; en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet.
«Sensitive Personopplysninger»: personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig
identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.
«Brudd på personopplysnings sikkerheten»: et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.
«Databehandler»: en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige.
«Behandling» eller «(å) behandle»: enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.
«Underleverandør»: en hvilken som helst underleverandør som behandler personopplysninger på vegne av Xxxxxx eller en hvilken som helst annen underleverandør
3.Behandlingsansvarliges plikter
Behandlingsansvarlig har ansvar for at behandlingen av personopplysninger skjer i samsvar med den til enhver tid gjeldende personopplysningslov, herunder at de grunnleggende prinsipper for behandling av personopplysninger overholdes.
Behandlingsansvarlig har også ansvar for å sette behandlingstid i innstillingene i sine løsninger, slik at krav til lagringstid og anonymisering av person- og sensitive data blir opprettholdt.
Behandlingsansvarlig har før inngåelsen av denne avtalen foretatt en vurdering av risikoen knyttet til bruken av databehandler, og funnet dette forsvarlig og i samsvar med personvernlovgivningen.
4.Zisson plikter som databehandler
Xxxxxx har ikke råderett over personopplysningene som behandles i henhold til denne avtalen og kan ikke behandle disse til egne formål.
Databehandler kan bare behandle personopplysninger i samsvar med denne avtalen og de skriftlige rutiner og instrukser for behandlingen som behandlingsansvarlig til enhver tid har bestemt skal gjelde, herunder med hensyn til overføring av personopplysninger til land utenfor EU/EØS. Unntak gjelder dersom annet følger av lov. Databehandler skal i så fall opplyse behandlingsansvarlig om den rettslige forpliktelsen før behandlingen starter.
Databehandler skal i alle tilfeller behandle personopplysninger i samsvar med den til enhver tid gjeldende personopplysningslov.
Xxxxxx forplikter seg til å behandle personopplysninger kun i samsvar med gjeldende lov, denne DBA og kundens dokumenterte instruksjoner.
Zisson kan ikke:
a) samle inn eller offentliggjøre personopplysninger fra eller til en tredjepart (unntatt i henhold til det som beskrives i denne DBA)
b) endre behandlingsmåten, dersom endringen påvirker behandlingsgrunnlaget
c) kopiere eller reprodusere personopplysninger, med unntak av automatisert kopi av back-up
d) på annen måte behandle personopplysninger for andre formål enn de som er angitt i vedlegg 1, hovedavtalen og denne DBA
Xxxxxx har utpekt en personvernansvarlig for å overholde rutiner for å ivareta at personopplysninger behandles i samsvar med Xxxxxx sine interne rutiner og kundens instruksjoner.
Zisson skal etter nærmere avtale bistå kunden med å utføre en personvern konsekvensvurdering (også kjent som Privacy Impact Assessment) om ønskelig. Xxxxxx skal på samme måte etter anmodning bistå med å sikre at krav til innebygd personvern i Xxxxxx sine løsninger innfris. Dette inkluderer å bygge inn funksjonalitet for å oppfylle personvernprinsipper samt funksjonalitet for å sikre den registrertes rettigheter (så langt det med rimelighet kan forventes med hensyn til formålet med løsningen).
4.2. Tekniske, organisatoriske og sikkerhetsmessige tiltak
Xxxxxx skal oppfylle de krav til sikkerhetstiltak som stilles i den til enhver tid gjeldende personopplysningslov. Dette innebærer blant annet at det skal treffes tekniske og organisatoriske tiltak for å sørge for tilfredsstillende informasjonssikkerhet ved behandling av personopplysninger. Slike tiltak kan blant annet omfatte: a) pseudonymisering og kryptering av personopplysninger; b) muligheten til å sikre løpende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemer og -tjenester; c) evne til å gjenopprette tilgjengelighet og tilgang til personopplysninger så raskt som mulig i tilfelle fysiske eller tekniske hendelser; og d) en fremgangsmåte for regelmessig testing, vurdering og evaluering av effektiviteten til tekniske og organisasjonsmessige tiltak for å sikre at sikkerheten ivaretas under behandlingen.
Xxxxxx skal dokumentere rutiner og andre tiltak for å oppfylle kravene til informasjonssikkerhet. Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel.
Xxxxxx forplikter seg til å sikre at involvert personell hos Zisson blir gjort oppmerksom på og følger Xxxxxx forpliktelser i henhold til denne DBA.
Behandlingsansvarlig kan avtale med Xxxxxx at det jevnlig gjennomføres kontroll og gjennomgang for informasjonssystemer og lignende som benyttes i forbindelse med oppfyllelse av Hovedavtalen.
Kontroll og gjennomgang kan også kreves og gjennomføres av en relevant myndighet på grunn av juridiske krav eller på annen måte som en del av Xxxxxx sine interne forretningsrutiner.
Kunden kan når som helst, etter varsel gitt i rimelig tid, selv granske Xxxxxx sine samsvar med vilkårene i denne DBA.
Zisson skal legge til rette for at sikkerhetsrevisjoner kan gjennomføres, ved å gjøre tilgjengelig Zisson sine lokaler, datautstyr, sikkerhetspolicyer og lignende i den grad det er nødvendig for å utføre kontroll og gjennomgang (men det skal ikke gis tilgang til informasjon om Xxxxxx sine øvrige kunder og annen informasjon underlagt taushetsplikt).
Første revisjon er avtalt utført innen (ikke obligatorisk): [dato]
Deretter utføres revisjon årlig etter nærmere avtale.
4.4. Xxxxxxxx ved brudd på personopplysningshåndtering
Xxxxxx plikter å underrette behandlingsansvarlig skriftlig om brudd på personopplysningssikkerheten uten ugrunnet opphold innen 24 timer etter å ha fått kunnskap om bruddet, med mindre det er helt usannsynlig at det resulterer i en risiko for fysiske personers rettigheter og friheter.
Varsel om brudd på personopplysningssikkerheten skal som minimum:
1. beskrive omfanget av bruddet på personopplysningssikkerheten inkludert, der hvor det er mulig, kategorier og omtrentlig antall registrerte som er berørt, samt kategorier og omtrentlig antall berørte personlige dataposter
2. kommunisere navnet og kontaktinformasjon til personvernansvarlig eller annet kontaktpunkt hvor mer informasjon kan hentes
3. beskrive de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten
4. beskrive de tiltakene som iverksettes eller foreslås iverksatt for å håndtere bruddet på personopplysningssikkerheten, blant annet, når det er hensiktsmessig, tiltak for å redusere mulige uønskede bivirkninger
5. enhver annen nødvendig og rimelig tilgjengelig informasjon som kunden trenger for å være i stand til å treffe hensiktsmessige tiltak og oppfylle sine forpliktelser for varsling om bruddet på personopplysningssikkerheten til relevante tilsynsmyndigheter
Xxxxxx skal dokumentere bruddet på personopplysningssikkerheten, inkludert en redegjørelse for de faktiske hendelse knyttet til bruddet, dets virkninger og eventuelle iverksatte utbedringstiltak.
Behandlingsansvarlig er ansvarlig for å sende avviksmelding til Datatilsynet. Xxxxxx plikter å bistå behandlingsansvarlig med informasjon for å sikre at kravene til varsling til Datatilsynet
og de berørte registrerte blir møtt.
4.5. Støtte og informasjon til registrerte enkeltpersoner og tilsynsmyndigheter
I tilfeller der en registrert person, en tilsynsmyndighet eller tredjepart ber om informasjon relatert til personopplysninger fra Xxxxxx, skal Xxxxxx uten ugrunnet opphold henvise til kunden. Xxxxxx forplikter seg til å hjelpe kunden, basert på tid og materiell, med det som er nødvendig for å møte forespørsler fra tilsynsmyndigheter og for å oppfylle kundens forpliktelser vedrørende individets rettigheter, inkludert, men ikke begrenset til, rett til korrigering og sletting, rett til dataportabilitet, innsigelsesrett og rett til begrensning av behandling.
Zisson skal holde en oppdatert liste over identiteten og plasseringen av underleverandører eller andre som ikke normalt er ansatt hos databehandler, og den skal være tilgjengelig for kunden og relevante tilsynsmyndigheter. Behandlingsansvarlig godtar herved at Xxxxxx benytter seg av underleverandører iht listen "Oversikt over godkjente underleverandører". Zisson er ansvarlig for at egen bruk av underleverandører skjer i samsvar med lov og forskrift, herunder at det er inngått tilfredsstillende databehandleravtale. Zisson skal sikre at underleverandørene er kjent med databehandlers avtalemessige og lovmessige forpliktelser, og underleverandørene skal være forpliktet til å oppfylle vilkårene etter disse på samme måte som databehandler.
Dersom databehandler benytter seg av underleverandører som medfører en overføring av personopplysninger til et land utenfor EU/EØS, plikter databehandler å sørge for at overføringen har et lovlig overførings grunnlag og ellers er i samsvar med den til enhver tid gjeldende personvernlovgivning.
Databehandler plikter å gi behandlingsansvarlig en kopi av databehandleravtalen mellom databehandler og underleverandør på forespørsel.
Vi har listet våre underleverandører på våre hjemmesider, xxxx://xxxx.Xxxxxx.xx
4.7. Overføring av personopplysninger
Zisson kan overføre kundens personopplysninger til Xxxxxx ansatte, samarbeidspartnere og underleverandører i utlandet i henhold til følgende prosess:
4.7.1.Norden (Norge, Sverige, Finland og Danmark)
Overføring av personopplysninger til Xxxxxx ansatte, samarbeidspartnere og underleverandører kan skje uten ytterligere bekreftelse fra kunden når formålet er å oppfylle forpliktelser, samarbeide eller ivareta rettigheter spesifisert i avtalen, eller når kunden spesifikt har godkjent underleverandøren.
For overføring av personopplysninger til Xxxxxx ansatte, samarbeidspartnere og underleverandører hvor behandlingen utføres utenfor Norden, men innenfor EU/EØS, er Zisson pålagt å gi nødvendig dokumentasjon om sikkerhet, samsvar og risiko knyttet til aktuelt selskap og plassering. Basert på slik dokumentasjon og slike beskrivelser skal kunden utarbeide en særskilt risikovurdering som skal brukes som beslutningsgrunnlag. Kunden kan ikke nekte samtykke til den aktuelle overføringen uten gyldig grunnlag basert på spesifikke risikoer som følger av kundens risikovurdering.
For å overholde kravene i relevant personopplysningslov for overføring av personopplysninger til Zisson ansatte, samarbeidspartnere og underleverandører hvor behandlingen utføres utenfor EU/EØS, skal EUs standardkontrakter eller annet gyldig rettsgrunnlag som beskriver omfanget av engasjementet, være inngått mellom kunden og det aktuelle selskapet på stedet.
Zisson skal gi nødvendig dokumentasjon om sikkerhet, samsvar og risiko knyttet til aktuelt selskap og plassering. Basert på tilgjengelig dokumentasjon og beskrivelser skal kunden utarbeide en særskilt risikovurdering som skal brukes som beslutningsgrunnlag. Samtykke til og/eller inngåelse av data overføringsavtale skal ikke tilbakeholdes uten gyldig grunnlag basert på spesifikke risikoer som følger av kundens risikovurdering.
Ansvar i forbindelse med manglende overholdelse av Xxxxxx forpliktelser ifølge gjeldende lov som er spesifikt rettet mot behandlere, eller hvor behandleren har handlet utenfor eller i strid med lovlige instrukser fra behandlingsansvarlig, styres av Hovedavtalen, og hvis ikke, av Xxxxxx generelle betingelser. Zisson skal være fritatt for ansvar i den grad Zisson ikke er ansvarlig for, eller årsaken til, hendelsen eller omstendigheter som gir opphav til skaden.
Databehandler skal holde Behandlingsansvarlige skadesløs for ethvert tap av alle slag, utgifter etc som skyldes Databehandlers, eller Underdatabehandlers, brudd på plikter etter Databehandleravtalen, lov eller forskrift, myndighetsvedtak eller beslutning fra domstol.
Dersom Behandlingsansvarlig blir idømt bøter, overtredelsesgebyr eller lignende som følge av Databehandlers forhold, har Behandlingsansvarlig rett til regress hos Databehandler.
Databehandler har tilsvarende ansvar overfor Behandlingsansvarlig for Underdatabehandler. Eventuelle bestemmelser om begrensning i erstatningsansvar som måtte være avtalt mellom partene, gjelder ikke for erstatning og regress etter Databehandleravtalen.
Databehandler er ikke ansvarlig for behandling av data som er ført ut av systemet, til andre systemer som benyttes av behandlingsansvarlig (for eksempel sosiale medier, CRM, ERP og lignende.)
Zisson skal behandle og lagre personopplysninger konfidensielt. Personopplysninger kan bare nås og administreres av personell hos Zisson som trenger tilgang til opplysningene for å oppfylle Xxxxxx forpliktelser i henhold til avtalen og denne DBA, og som har bekreftet å bevare taushet gjennom en skriftlig avtale, og bare i den grad det er nødvendig for å oppfylle Xxxxxx forpliktelser i henhold til avtalen og denne DBA. I tillegg skal bestemmelsene om taushetsplikt fastsatt i avtalen også gjelde for denne DBA og enhver behandling.
Xxxxxx skal til enhver tid anonymisere all data, personopplysninger og sensitive data, som behandles på vegne av behandlingsansvarlig, med bakgrunn i behandlingsansvarliges innstillinger i applikasjonen.
Administratorer i løsningen har ansvar for å sette rette innstillinger, og se til at denne forblir korrekt så lenge kundeforholdet til databehandler opprettholdes.
Personopplysninger som kreves lagret ved lov eller for dokumenterings formål, vil bli slettet når slikt formål er oppfylt.
Ved behandling av personopplysninger som inkluderer sensitive data, skal denne informasjon anonymiseres innen [x] [2 år] etter innsamlingsdato.
Systemlogger som inneholder informasjon om håndtering av personopplysninger, skal anonymiseres innen [x] [2 år] etter innsamlingsdato. Systemlogger som kreves lagret ved lov eller for dokumenterings formål, vil bli slettet når slikt formål er oppfylt.
4.11. Oversikt over data som behandles for din bedrift
Hvilke data Zisson behandler for din bedrift, er avhengig av hvilke kanaler man knytter opp mot tjenesten.
På våre hjemmesider finner du en alltid-oppdatert, generell oversikt over hvilke data som lagres fra de ulike modulene:
Hovedavtalen konkretiserer hvilke av disse modulene din bedrift bruker.
5.Betingelser og avtalens varighet
Denne DBA gjelder fra signering og så lenge Xxxxxx behandler personopplysninger på vegne av behandlingsansvarlig etter Hovedavtalen. I tilfelle endringer i Xxxxxxxxx lov, endelig dom gir en annen tolkning av Xxxxxxxxx lov, eller tjenestene i avtalen krever endringer av denne DBA, skal partene samarbeide i god tro for å oppdatere DBA tilsvarende.
Ved brudd på denne avtale eller personopplysningsloven kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.
Avtalen kan sies opp av begge parter med en gjensidig frist på [x]måneder. Dette vil i så fall også medføre en oppsigelse av Hovedavtalen.
Etter avsluttet behandling skal Xxxxxx returnere eller, etter eget valg, slette og ødelegge alle personopplysninger og systemlogger vedrørende kunden. Dette gjelder også for eventuelle sikkerhetskopier. Personopplysninger og systemlogger som kreves lagret ved lov eller for dokumenterings formål, vil bli slettet når slikt formål er oppfylt.
Databehandler skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør, og senest innen 3 måneder etter avtalens opphør.
Behandlingsansvarlig, eller dennes revisor, skal gis tilgang til systemer hos databehandler for å utføre kontroll med sletting av data etter avtalens opphør, på forespørsel fra behandlingsansvarlig.
Hver av partene skal navngi personer som skal være ansvarlig for å gi instrukser på vegne av behandlingsansvarlig og motta instrukser på vegne av Xxxxxx. I relasjon til denne avtalen, er partene enige om at følgende personer vil gi og motta instrukser relatert til behandling av personopplysninger:
Kontaktperson behandlingsansvarlig:
[x] (navn/kontaktinformasjon).
Kontaktperson databehandler (Zisson AS):
Xxxxxx Xxxxxxx, xxxxxx.xxxxxxx@xxxxxx.xxx (navn/kontaktinformasjon).
Hver av partene skal skriftlig informere den andre part dersom ansvarlig person endres eller er midlertidig forhindret fra å gi og/eller motta instrukser og utpeke en erstatter.
Databehandleren skal omgående underrette den behandlingsansvarlige dersom databehandleren mener at en instruks er i strid med lov.
8.Tvister og gjeldende lovverk
Partenes rettigheter og plikter reguleres av norsk rett. Alle tvister, konflikter eller krav som oppstår på grunn av eller i forbindelse med denne DBA, eller ved brudd, oppsigelse eller ugyldighet av nevnte regler og vilkår, skal avgjøres ved voldgift i samsvar med reglene i norsk voldgiftslov av 2004. Alle deler av saksbehandlingen i slike voldgiftssaker skal være konfidensielle, inkludert dommen. Oslo avtales som verneting.
Vedlegg 1 - detaljert informasjon om personopplysninger
Hensikten med dette vedlegget er at dataene nedenfor danner grunnlaget for de protokoller som både behandler og behandlingsansvarlig er bundet til å opprette og holde oversikt over. For å gjøre det enkelt har vi markert de mest brukte valgene med en [x] ved siden av ett eller flere alternativer.
Xxxxx Xxxxxx
Navn og kontaktopplysninger på behandlingsansvarlig: [x] | Navn og kontaktopplysninger på behandler |
[Skriv inn navn og kontaktinformasjon] | Zisson AS Xxxxxxxxxx 00, 0000 Xxxx, Xxxxx |
Navn på personvernansvarlig hos behandlingsansvarlig: [x] | Navn på personvernansvarlig hos behandler: |
[Skriv inn navn og all kontaktinformasjon] | Xxxxxx Xxxxxxx |
Personopplysningene som overføres gjelder følgende kategorier av registrerte tilknyttet kunden (vennligst angi):
[x] Ansatte og kontraktører
[x] Sluttkunder
[x] Nettstedsbesøkende
[x] Leverandører Fysiske besøkere
Andre tredjeparter (vennligst spesifiser):
……………………………………………………………………………………………………………
……………………………….
……………………………………………………………………………………………………………
……………………………….
……………………………………………………………………………………………………………
……………………………….
……………………………………………………………………………………………………………
……………………………….
Kategorier av Personopplysninger: Personopplysninger som behandles, omfatter følgende kategorier (spesifiser):
[x] Personlig kontaktinformasjon – navn, telefonnummer, e-postadresse, fysisk adresse osv.
[x] Arbeidsrelatert informasjon – stilling/rolle, organisasjon, bedrift, telefonnummer / e-post
/ fysisk adresse for arbeid, arbeidshistorikk (tidligere stillinger) osv.
[x] Kommunikasjon av data – start-/slutt-tid for kommunikasjon (økt), størrelsen på meldingen, kontekst osv.
[x] Transkripsjoner/ kundeinteraksjoner – kundesamtaler (tale eller transkribert), supportsaker, e-postmarkedsføring, annen kundekorrespondanse osv.
Begrenset kontaktinformasjon – personnummer/fødselsnummer, hemmelig adresse osv. Enhetsinformasjon – merke og modell, IP-adresse, MAC-adresse, serienummer,
posisjonsdata osv.
Overvåking/overvåkningsdata – adgangskontroll-logger (fysiske/logiske), CCTV-opptak, kjøreovervåkningsdata osv.
Profileringsdata – analyser og rapporter om registrerte personer, for eksempel i markedsføringsøyemed
Betalingsinformasjon – finansielle transaksjoner, mottaker, kontonummer, beløp, dato / tid
/ sted for kjøp osv.
Betalingskortinformasjon– kredittkortnummer, utløpsdato, CVV-nummer, annen kortholderinformasjon osv.
Xxxxx (vennligst spesifiser):
……………………………………………………………………………………………………………
……………………………….
……………………………………………………………………………………………………………
……………………………….
……………………………………………………………………………………………………………
……………………………….
……………………………………………………………………………………………………………
……………………………….
Sensitive Personopplysninger: Personopplysninger som overføres, omfatter følgende spesialkategorier (spesifiser):
Personopplysninger som avslører noe av det følgende (ansett som sensitivt): Rasemessig eller etnisk opprinnelse
Politiske meninger
Religiøs eller filosofisk overbevisning Fagforeningsmedlemskap
Genetiske data med det formål entydig å identifisere en fysisk person Biometriske data med det formål entydig å identifisere en fysisk person Helseopplysninger
Opplysninger om en fysisk persons seksuelle forhold eller legning
Formål med behandlingen: Personopplysningene behandles for følgende formål (vennligst spesifiser):
Personaladministrasjon
[x] Kundebehandling (inkludert markedsføring)
Leverandørhåndtering Intern prosesstøtte
Xxxxx (vennligst spesifiser):
……………………………………………………………………………………………………………
……………………………….
……………………………………………………………………………………………………………
……………………………….
……………………………………………………………………………………………………………
……………………………….
……………………………………………………………………………………………………………
……………………………….