May 2023
May 2023
Tillegg til hovedavtale
Dette dokumentet er en oversettelse av AddSecure AddView databehandlingsavtale. Ved eventuelle avvik skal den engelskspråklige versjonen ha forrang.
Dette tillegget gjelder Behandlingsansvarlige for Personopplysninger ved bruk av AddSecure AddView
DATABEHANDLINGSAVTALE
Denne databehandlingsavtalen (“DPA”) er en del av hovedavtalen (“Avtalen”) som er inngått mellom:
(a) [AddSecures motpart referert til i hovedavtalen]
Firmanavn
Bedriftsnr.
Adresse:
(som skal refereres til som "Behandlingsansvarlig” eller “Part"), og
(b) AddSecure Group AB, bedriftsnr. 559210-7402, adresse: Telefonvägen 26, XX-000 00 Xxxxxxxxx, Sverige, eller noen av datterselskapene som er oppført på xxxxxxxxx.xxx/xxxxx-xx/xxxx-xxxxxxxxxx/, som du har et forhold til (som skal refereres til som "Behandler” eller “Part").
Den Behandlingsansvarlige og Behandleren omtales heretter som “Partene” og individuelt som en ”Part".
W/10744899/v8
1. DEFINISJONER
"Affiliate" betyr enhver juridisk enhet som (a) direkte eller indirekte eier eller kontrollerer en Part, eller (b) har samme direkte eller indirekte eierskap eller kontroll som en Part, eller (c) er direkte eller indirekte kontrollert av en Part, så lenge et slikt eierskap eller kontroll varer. Eierskap eller kontroll skal eksistere gjennom direkte eller indirekte eierskap på femti prosent (50 %) eller mer av pålydende verdi av den utstedte aksjekapitalen eller femti prosent (50 %) eller mer av aksjene som gir innehaverne rett til å stemme på valg av styremedlemmer eller personer som utfører lignende funksjoner.
"Databeskyttelsesforordning" skal omfatte alle databeskyttelses- og personvernlover, regler og forskrifter i EU og annen gjeldende nasjonal databeskyttelseslovgivning og -forskrifter som gjelder, som endres fra tid til annen og som gjelder for behandling av personopplysninger i henhold til denne DPA-en, inkludert, men ikke begrenset til, den generelle Databeskyttelsesforordning "GDPR" (2016/679/EU), direktivet om personvern og elektronisk kommunikasjon 2002/58/EF, samt all nasjonal lovgivning som implementerer eller supplerer det foregående og alle tilhørende instruksjoner og bindende ordrer utstedt av gjeldende databeskyttelsesmyndigheter.
"Personopplysninger" betyr alle personopplysninger som er underlagt behandling i denne DPA-en. Vilkårene som gjenkjennes av GDPR, for eksempel "behandlingsansvarlig", "databehandler", "personopplysninger ", "behandling", "brudd på personopplysninger", "type data", "bindende selskapsregler", "standard kontraktsklausuler" og " tilsynsmyndighet " skal ha betydningene som er angitt for disse i GDPR.
"Service" betyr en nettbasert eller annen tjeneste som er inkludert i hovedavtalen.
2. FORMÅLET MED OG OMFANGET AV BEHANDLINGEN
Når Databehandleren utfører tjenester og plikter i henhold til Avtalen, fungerer vedkommende som en databehandler og kan behandle Personopplysninger på vegne av Behandlingsansvarlig eller tilknyttede selskaper som fungerer som behandlingsansvarlig(e). Denne DPA-en gjelder enhver behandling av Personopplysninger på vegne av Behandlingsansvarlig, utført av eller for Databehandleren i henhold til Avtalen.
Databehandleren kan ikke bruke Personopplysninger under denne DPA-en til andre formål enn de som er spesifisert i Avtalen og denne DPA-en.
Denne DPA-en (inkludert vedlegg) utgjør en del av den Behandlingsansvarliges instruksjoner.
3. DEN BEHANDLINGSANSVARLIGES RETTIGHETER OG ANSVAR
Den Behandlingsansvarlige skal:
(i) behandle Personopplysninger i samsvar med Personvernforordningen,
(ii) ha rett til å gi dokumenterte instruksjoner til Databehandleren om behandling av Personopplysninger under denne DPA-en, samt
(iii) til enhver tid beholde kontroll og myndighet over Personopplysningene.
4. DATABEHANDLERENS ANSVAR
Som nevnt ovenfor skal Databehandleren kun behandle Personopplysninger på vegne av Behandlingsansvarlig for de formålene som er definert i denne DPA-en. Spesielt skal Databehandleren:
a) behandle Personopplysninger kun på dokumenterte instruksjoner fra Behandlingsansvarlig, inkludert med hensyn til overføring av personopplysninger til et tredjeland eller en internasjonal organisasjon, med mindre det kreves at man avviker fra slike instruksjoner for å overholde gjeldende Databeskyttelsesforordning i EU som Databehandleren er underlagt. I slike tilfeller skal Databehandleren uten ugrunnet opphold informere Behandlingsansvarlig om slike krav før behandling av enhver type Personopplysninger, med mindre EUs Databeskyttelsesforordning som Databehandleren er underlagt forbyr et slikt varsel,
b) sørge for at personer som er autorisert til å behandle Personopplysninger har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt,
c) bistå Behandlingsansvarlig med å sikre overholdelse av sine juridiske forpliktelser, slik som den Behandlingsansvarliges datasikkerhet, konsekvensutredning av databeskyttelse og tidligere konsulentforpliktelser som er angitt i Databeskyttelsesforordningen, og spesielt iverksette passende tekniske og organisatoriske tiltak for å beskytte Personopplysningene som er underlagt denne DPA-en mot utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av eller tilgang til Personopplysninger, og Behandlingsansvarlig skal refundere Databehandleren for kostnader som oppstår i forbindelse med denne assistansen,
d) bistå Behandlingsansvarlig med å treffe passende tekniske og organisatoriske tiltak for å oppfylle den Behandlingsansvarliges forpliktelse som behandlingsansvarlig til å svare på forespørsler om å utøve de registrertes rettigheter i henhold til Databeskyttelsesforordningen. Databehandleren skal gi den Behandlingsansvarlige rask varsel om enhver forespørsel fra en hvilken som helst registrert, og avstå fra å svare på en slik forespørsel før vedkommende mottar instruksjoner fra den Behandlingsansvarlige. Den Behandlingsansvarlige skal refundere Databehandleren for kostnader som oppstår i forbindelse med denne bistanden,
e) gjøre tilgjengelig for den Behandlingsansvarlige all informasjon som er nødvendig for å demonstrere overholdelse av databehandlerens forpliktelser som er angitt i denne DPA-en og i Databeskyttelsesforordningen, samt tillate og bidra til revisjoner, inkludert inspeksjoner, utført av Behandlingsansvarlig eller annen revisor pålagt av Behandlingsansvarlig til vedkommendes egen kostnad,
f) holde nøyaktige oversikter over eventuelle behandlingsaktiviteter under denne DPA- en i samsvar med kravene som er angitt i Databeskyttelsesforordningen og gi Behandlingsansvarlig slike oversikter innen ti (10) virkedager fra vedkommende mottar forespørsel fra den Behandlingsansvarlige,
g) sørge for at ingen Personopplysninger overføres, frigis, tildeles, utleveres eller på annen måte gjøres tilgjengelig for noen tredjepart uten spesifikt skriftlig forhåndssamtykke fra den Behandlingsansvarlige. Der Databehandleren engasjerer en
annen databehandler med et slikt samtykke, skal Databehandleren sørge for at de samme forpliktelsene om databeskyttelse som er angitt her pålegges den andre databehandleren ved hjelp av en kontrakt. Databehandleren er ansvarlig overfor Behandlingsansvarlig for utførelsen av den andre databehandlerens forpliktelser,
h) informere Behandlingsansvarlig umiddelbart hvis en instruksjon fra Behandlingsansvarlig krenker Databeskyttelsesforordningen eller dersom Personopplysninger blir behandlet eller skal bli behandlet i strid med Databeskyttelsesforordningen eller Avtalen (inkludert denne DPA-en), og informere Behandlingsansvarlig uten unødig forsinkelse om klager eller revisjoner av databeskyttelsesmyndigheter som er relatert til behandlingen av Personopplysninger i henhold til avtalen (inkludert denne DPA-en),
i) informere Behandlingsansvarlig uten unødig forsinkelse etter å ha blitt oppmerksom på brudd på personopplysninger, noe som betyr et sikkerhetsbrudd som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av eller tilgang til Personopplysninger som overføres, lagres eller på annen måte behandles. Varselet skal beskrive bruddets art, antall berørte emner, sannsynlige konsekvenser av bruddet, tiltak som er gjort eller foreslås gjort, samt andre detaljer knyttet til bruddet som er oppført i Artikkel 33(3) i GDPR, og
j) ved oppsigelse av denne DPA-en, eller ved skriftlig forespørsel fra den Behandlingsansvarlige, enten ødelegge eller returnere alle Personopplysninger, med mindre annet kreves av Databeskyttelsesforordningen i EU som Databehandleren er underlagt.
5. ANSVAR
Partene er enige om at ansvarsfordelingen mellom Partene er basert på prinsippet om at de respektive Partene må oppfylle egne forpliktelser i henhold til Databeskyttelsesforordningen, og at eventuelle bøter pålagt av enhver myndighet skal betales av Parten som har sviktet i utførelsen av sine juridiske forpliktelser i henhold til Databeskyttelsesforordningen.
Ingen av Partene skal under noen omstendigheter være ansvarlig for bøter eller skader i den grad de er et resultat av eller påvirket av den andre Partens tidligere eller nåværende handlinger eller unnlatelser. Under alle omstendigheter skal ansvaret en Part har for brudd på denne DPA-en være begrenset i samsvar med begrensningen av ansvarsbestemmelsene i Avtalen.
6. VARIGHET OG OPPSIGELSE
Denne DPA-en skal forbli i full kraft så lenge avtalen er i kraft, og skal automatisk opphøre ved oppsigelse eller utløp av avtalen.
7. PRIORITETSREKKEFØLGE
Denne DPA-en (inkludert vedlegg) skal styres av vilkårene og betingelsene i Avtalen. I tilfelle konflikt mellom denne DPA-en og avtalen, skal imidlertid DPA-en ha forrang.
8. DIVERSE
Skulle noen bestemmelse i denne DPA-en være eller bli ugyldig, skal den juridiske gyldigheten av gjenværende bestemmelser ikke påvirkes. I stedet for den ugyldige bestemmelsen, skal det anses å være avtalt en gyldig bestemmelse som kommer så nært Partenes intensjoner som mulig.
Denne DPA-en gjelder for og dekker eventuelle endringer, tillegg eller endringer i Avtalen med mindre en ny databehandlingsavtale blir inngått. Hvis Avtalen sies opp og en ny kontrakt med lignende omfang og formål som Avtalen inngås, men uten en ny databehandlingsavtale, skal denne DPA-en gjelde for den nye kontrakten. Dette gjelder også hvis det gjøres en eksplisitt referanse til denne DPA-en i en kontrakt mellom den Behandlingsansvarlige og Behandleren.
9. GJELDENDE LOV OG TVISTELØSNING
DPA-en skal anvendes og tolkes i samsvar med loven som er angitt i Avtalen. Til tross for dette skal Databehandleren til enhver tid behandle Personopplysningene i samsvar med Personvernforordningen.
Enhver tvist, kontrovers eller krav som oppstår som følge av eller i forbindelse med denne DPA- en, eller brudd, oppsigelse eller ugyldighet derav, skal endelig avgjøres i samsvar med tvisteløsningsbestemmelsen i Avtalen.
Til vitne om dette har Partene behørig notert sin aksept av denne DPA-en, som to (2) likeverdige motparter, en (1) for hver Part.
Behandlingsansvarlig Sted og dato: _ | Behandler |
Xxxx Xxxxx, Corporate DPO Sted og dato: Helsinki, Finland, 4.5.2023 |
Vedlegg 1
1. FORMÅLET MED TILLEGGET
Dette tillegget ("Supplement") er underlagt og utgjør en integrert del av DPA-en av og mellom Partene. Vilkårene og betingelsene i DPA-en skal gjelde for dette Tillegget og skal ikke endres av dette Tillegget mer enn angitt nedenfor.
Databehandleren forplikter seg til å behandle Personopplysningene på vegne av den Behandlingsansvarlige og i samsvar med vilkårene og betingelsene i DPA-en.
Partene er enige om følgende:
Behandlingsansvarlig | Som i Databehandlingsavtalen, side 1, avsnitt (a) |
Behandler | Som i Databehandlingsavtalen, side 1, avsnitt (b) |
Behandlerens databeskyttelsesansvarlige eller annen person som er ansvarlig for databeskyttelse | Se liste over databeskyttelsesansvarlige på xxxxxxxxx.xxx/xxxxx-xx/xxxx-xxxxxxxxxx/ |
Emne for behandling av personopplysninger | Personopplysningene behandles for: • hostingtjenester som angitt og beskrevet i hovedavtalen |
Behandlingens art og formål | Personopplysningene behandles for følgende formål: • å kunne oppfylle forpliktelsene i hovedavtalen |
Varighet på behandling | Personopplysningene skal kunne behandles til hovedavtalen sies opp. Sletting av data i tjenestene (f.eks. nettbaserte tjenester som tilbys av Databehandleren) skal utføres av (a) den Behandlingsansvarlige, eller (b) av Behandleren på forespørsel fra den Behandlingsansvarlige |
Godkjente Underbehandlere | Følgende kategorier av Underbehandlere kan behandle Personopplysningene: • AddSecure Groups datterselskaper: Dette dekker behandlingen av Personopplysninger for å administrere og utvikle tjenesten • Tjenesteleverandører: Dette dekker behandlingen av Personopplysninger for å kunne levere tjenesten |
Overføring av Personopplysninger | Personopplysninger kan overføres til land utenfor EU/EØS Personopplysninger kan ikke overføres til land utenfor EU/EØS |
Instrument som brukes til overføring av Personopplysninger EU-kommisjonens standard kontraktsklausuler Bindende selskapsregler EU-kommisjonens beslutninger om tilstrekkelig beskyttelse av personopplysninger i tredjeland Unntak fra overføring av Personopplysninger gjelder hvis og når Tjenesten midlertidig brukes utenfor EU/EØS. I slike situasjoner gjelder unntakene for spesifikke situasjoner (artikkel 49 i GDPR) som: a) den registrerte har uttrykkelig samtykket til den foreslåtte overføringen, b) overføringen er nødvendig for å utføre en kontrakt mellom den registrerte |
og behandlingsansvarlig, eller c) overføringen er nødvendig for inngåelse eller utførelse av en kontrakt inngått av hensyn til den registrerte. | ||
Geografisk plassering av Personopplysninger | Personopplysningene vil bli behandlet (eksternt tilgjengelig eller driftet) i følgende land eller på følgende steder: | |
EU eller EØS-territorium | USA (skriv inn Dataimportør): | |
Xxxxx territorium (vennligst spesifiser og skriv inn dataimportør): | ||
Datasikkerhet | Databehandleren skal gjennomføre følgende ytterligere Datasikkerhetstiltak: Pseudonymisere Personopplysningene Kryptere Personopplysningene Ytterligere krav til datasikkerhet er avtalt i et eget Tillegg til Avtalen eller dette Tillegget. Ingen ytterligere Datasikkerhetsforanstaltninger forespurt | |
Kategorier av Registrerte | Kategoriene av Registrerte (enkeltpersoner) hvis Personopplysninger behandles består av følgende: Ansatte (bare gyldig dersom den Behandlingsansvarlige har lastet opp slike personopplysninger i Tjenesten) Kunder (bare gyldig dersom Behandlingsansvarlig har lastet opp slike personopplysninger i Tjenesten) Annet (vennligst spesifiser): | |
Kategorier av Personopplysninger | Kategorier for Personopplysninger (typer) består av følgende: Kontaktinformasjon som navn, telefonnummer og e-postadresse Påloggingsinformasjon som brukernavn og passord IP-adresse Foto Ansettelsesrelaterte detaljer GEO-posisjonsdata som koordinater (bare gyldig dersom dette er aktivert i Tjenesten) Xxxxx (vennligst spesifiser): | |
Spesielle kategorier av Personopplysninger | De spesielle kategoriene av Personopplysninger består av følgende: Rasemessig eller etnisk opprinnelse, politiske meninger, religiøs eller filosofisk tro, fagforeningsmedlemskap, data om helse, straffedommer og lovbrudd eller relaterte sikkerhetstiltak, behandling av genetiske data, biometriske data med formål om å unikt identifisere en fysisk person, samt data om en fysisk persons sexliv eller seksuell orientering. Ingen av de ovennevnte Spesialkategoriene blir behandlet | |
Spesifikasjoner eller avvik | Partene har blitt enige om følgende spesifikasjoner og/eller avvik fra DPA-en: Det finnes ingen ytterligere spesifikasjoner eller avvik fra DPA-en |