DATABEHANDLERAVTALE
DATABEHANDLERAVTALE
MED EUS STANDARDAVTALE FOR OVERFØRINGER AV PERSONOPPLYSNINGER
[Skole/Kommune] ("behandlingsansvarlig " eller "dataeksportør")
og Showbie Inc.
("databehandler" eller "dataimportør")
hver en "part" og samlet "partene", har inngått følgende avtale:
1. BAKGRUNN OG OMFANG
Denne databehandleravtalen ("databehandleravtalen") er inngått av og mellom den behandlingsansvarlige/dataeksportøren, som er en skole/kommune etablert innenfor det europeiske økonomiske samarbeidsområdet ("EØS") eller Storbritannia, og
databehandleren/dataimportøren, som er et selskap etablert i Canada med hoved-lagringssted i USA. Databehandleravtalen angir vilkårene som gjelder for behandlingen av personopplysninger (som definert nedenfor) i forbindelse med Socrative-tjenestene ("Tjenestene") som databehandleren skal levere til den behandlingsansvarlige i henhold til databehandlerens avtalevilkår og den behandlingsansvarliges bestilling av Tjenestene (samlet "hovedavtalen").
Formålet med denne databehandleravtalen er å angi rettighetene og pliktene til hver av partene i forbindelse med databehandlerens behandling og overføring av personopplysninger på vegne av den behandlingsansvarlige i samsvar med kravene etter EUs personvernforordning (EU) 2016/679 ("forordningen") og gjeldende nasjonal lovgivning som gjennomfører forordningen ("gjeldende personvernlovgivning").
Vedlegg 1, herunder bilag I, bilag II og bilag III, inneholder en ikke-autorisert norsk oversettelse av EUs standard personvernbestemmelser (2021/914/EU) vedtatt av EU-kommisjonen 4. juni 2021 (Modul 2: "Overføring fra behandlingsansvarlig til databehandler"). I ethvert tilfelle der Bilag 1 refererer til en medlemsstat skal dette inkludere land som er omfattet av EØS-avtalen og Storbritannia. Bestemmelsene i Bilag 1 er tilsiktet å være uendrede både i form og innhold i forhold til EUs standard personvernbestemmelser i (2021/914/EU) og skal utgjøre en integrert del av denne databehandleravtalen. Dersom det oppstår spørsmål eller uenighet om forståelsen av de enkelte bestemmelsene skal en tolkning på bakgrunn av EU Kommisjonens offisielle engelske versjon av de nevnte bestemmelser legges til grunn.
Databehandleravtalen oppfyller vilkårene til den avtalen som må være på plass mellom en behandlingsansvarlig og en databehandler i henhold til artikkel 28 i forordningen. I tillegg gir databehandleravtalen rettslig grunnlag etter gjeldende personvernlovgivning for overføring og videre overføringer av personopplysninger til underdatabehandlere som er etablert utenfor EØS eller Storbritannia.
2. BILAG OG PRIORITET
I tillegg til disse generelle vilkårene i databehandleravtalen består databehandleravtalen av:
• Vedlegg 1: EUs standardavtale for overføring av personopplysninger 2021/914/EU (MODUL 2: Overføringer mellom behandlingsansvarlig og databehandler), inkludert:
o Bilag I til EUs standardavtale
o Bilag II i EUs standardavtale
o Bilag III i EUs standardavtale
Hvis det er motstrid mellom bestemmelser i Vedlegg 1 og andre bestemmelser i denne databehandleravtalen, skal bestemmelsene i Vedlegg 1 ha forrang.
Vedlegg 1
EUs standardavtale for overføringer av personopplysninger (MODUL 2: Overføringer fra behandlingsansvarlig til databehandler)
SEKSJON I
Punkt 1
Formål og anvendelsesområde
(a) Formålet med disse standard personvernbestemmelsene er å sikre overholdelse med kravene for overføring av personopplysninger til et tredjeland i Europaparlaments- og Rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger.
(b) Partene:
(i) Naturlige eller juridisk person(er), offentlige autoritet(er) / etat(er)/ andre organ(er) (heretter omtalt som enhet /enheter) som overfører personopplysninger som er oppført i bilag I.A (heretter "dataeksportør), og
(ii) Enheten(e) i et tredjeland som mottar
personopplysninger fra dataeksportøren, direkte eller indirekte via en
annen enhet som også er part i denne avtalen, som er oppført i bilag I.A (heretter 'dataimportør')
har blitt enige om disse standard personvernbestemmelsene (heretter 'bestemmelsene').
(c) Disse bestemmelsene gjelder med hensyn til overføringen av personopplysninger som er angitt i bilag I.B.
(d) Seksjonen i disse bestemmelsene som inneholder bilagene det er referert til, er en integrert del av disse bestemmelsene.
Punkt 2
Bestemmelsenes virkning og ufravikelighet
a) Disse bestemmelsene fastsetter egnede tiltak, inkludert den registrertes håndhevbare rettigheter og effektive rettsmidler i henhold til artikkel 46 (1) og artikkel 46 (2) (c) i forordning (EU) 2016/679 og, i tilknytning til overføring av personopplysninger fra behandlingsansvarlig til databehandler og / eller databehandler til databehandler, standard personvernbestemmelser i samsvar med artikkel 28 (7) av forordning (EU) 2016/679, såfremt de ikke er endret, bortsett fra utvelgelsen av riktige modul(er) eller for å legge til eller oppdatere informasjon i bilagene. Dette er ikke til hinder for at partene kan inkludere de standard personvernbestemmelsene nedfelt i disse bestemmelsene i en videre kontrakt og/eller å legge til andre bestemmelser eller ytterligere egnede tiltak, så lenge de ikke motsier, direkte eller indirekte, disse bestemmelsene og de fundamentale rettighetene og frihetene til de registrerte.
(b) Disse bestemmelsene påvirker ikke forpliktelsene dataeksportøren er underlagt i kraft av forordning (EU) 2016/679.
Punkt 3
Begunstigede tredjeparter
(a) De registrerte kan påberope seg og håndheve disse bestemmelsene, som begunstigede tredjemenn, overfor dataeksportøren/og eller dataimportøren med følgende unntak:
(i) Punkt 1, Punkt 2, Punkt 3, Punkt 6, Punkt 7; (ii) Punkt 8.1 (b), 8.9 (a), (c), (d) og (e);
(iii) Punkt 9 (a), (c), (d) og (e);
(iv) Punkt 12 (a), (d) og (f);
(v) Punkt 13;
(vi) Punkt 15.1 (c), (d) og (e);
(vii) Punkt 16 (e);
(viii) Punkt 18 (a) og (b);
(b) Punkt (a) påvirker ikke de registrertes rettigheter i henhold til forordning (EU) 2016/679.
Punkt 4
Fortolkning
(a) Der disse bestemmelsene bruker begreper som er definert i forordning (EU) 2016/679, skal disse begrepene skal ha den samme betydning som angitt i forordningen.
(b) Disse bestemmelsene skal leses og tolkes i lys av bestemmelsene i forordning (EU) 2016/679.
(c) Disse punktene skal ikke bli tolket i motstrid med rettigheter og plikter som følger av forordning (EU) 2016/679.
Punkt 5
Hierarki
Ved motstrid mellom disse bestemmelsene og bestemmelser i avtaler mellom partene som er inngått før disse bestemmelsene blir avtalt, har bestemmelsene her forrang.
Punkt 6
Beskrivelse av overføringen(e)
Detaljert informasjon om overføringen(e), særlig om kategoriene av personopplysninger som overføres og formålene de er overført for, er spesifisert i bilag I.B.
Punkt 7
Tilslutningsbestemmelse
(a) En enhet som er ikke en part i denne avtalen kan, med partenes godkjennelse, til enhver tid tiltre disse bestemmelser, enten som dataeksportør eller dataimportør, ved å utfylle bilagene og signere bilag I.A.
(b) Når denne enhet har utfylt vedlegget og underskrevet bilag I.A, inngår den tiltredende enhet som en part og har rettigheter og forpliktelser som dataeksportør eller dataimportør i overenstemmelse med sin betegnelse i bilag I.A.
(c) Den tiltredende enheten er ikke omfattet av rettighetene eller forpliktelser i medhold av disse bestemmelser for perioden forut for tiltredelsen til avtalen.
DEL II - PARTENES FORPLIKTELSER
Punkt 8
Personverngarantier
Dataeksportøren garanterer at denne har gjort en rimelig innsats for å kontrollere at dataimportøren er i stand til, gjennom implementering av egnede tekniske og organisatorisk tiltak, å oppfylle sine forpliktelser i henhold til disse bestemmelsene.
8.1 Instruksjoner
(a) Dataimportøren skal behandle personopplysningene kun etter dokumenterte instruksjoner fra dataeksportøren. Dataeksportøren kan gi slike instruksjoner gjennom hele kontraktsperioden.
(b) Dataimportøren skal umiddelbart informere dataeksportøren hvis den ikke kan følge disse instruksjonene.
8.2 Formålsbegrensning
Dataimportøren skal behandle personopplysninger kun for de spesifikke formål(ene) for overføringen, som angitt i vedlegg I. B, med mindre det foreligger ytterligere instruksjoner fra dataeksportøren.
8.3 Åpenhet
På forespørsel skal dataeksportøren lage en kopi av disse bestemmelsene, inkludert vedleggene som avtalt mellom partene, til de registrerte vederlagsfritt. Til den grad det er nødvendig for å beskytte forretningshemmeligheter eller annen konfidensiell informasjon, inkludert tiltak beskrevet i bilag II og personopplysninger, kan dataeksportøren redigere deler av teksten i bestemmelsene før deling av kopien, men skal likevel gi et meningsfullt sammendrag der de registrerte ellers ikke ville hatt muligheten til å forstå innholdet eller utøve sine rettigheter. Ved forespørsel skal partene gi den registrerte årsakene til slik redigering i den grad det er mulig uten å røpe den redigerte informasjonen. Denne bestemmelsen påvirker ikke forpliktelsene til dataeksportøren under artikkel 13 og 14 av forordning (EU) 2016/679.
8.4 Riktighet
Dersom dataimportøren blir klar over at personopplysningene de har mottatt er uriktige, eller har blitt utdatert, skal de informere dataeksportøren uten ugrunnet opphold. I slike tilfeller skal dataimportøren samarbeide med dataeksportøren for å slette eller rette opplysningene.
8.5 Behandlingens varighet og sletting eller tilbakelevering av data
Behandlingen av personopplysninger som foretas av dataimportøren, skal kun skje for varigheten spesifisert i bilag I.B. Etter avsluttet behandling skal dataimportøren, etter eksportørens valg, slette alle personopplysninger behandlet på vegne av dataeksportøren og bekrefte til dataeksportøren at det er gjort, eller tilbakelevere alle personopplysninger til dataeksportøren behandlet på vegne av dataeksportøren og slette alle eksisterende kopier. Frem til dataene er slettet eller tilbakelevert, skal dataimportøren fortsette å sørge for etterlevelse av disse bestemmelsene. I tilfelle lokal rett forhindrer dataimportøren å tilbakelevere eller slette personopplysningene, garanterer dataimportøren at de vil fortsette å etterleve disse bestemmelsene og kun behandle opplysninger i den grad og for så lenge som kreves etter lokal rett. Dette gjelder uavhengig av Punkt 14, og særlig kravet til dataimportøren i Punkt 14 (e), om å notifisere dataeksportøren gjennom hele varigheten av kontrakten om det er grunn til å tro at dataimportøren er eller har blitt underlagt lokal rett eller praksis som ikke samsvarer med vilkårene i Punkt 14(a).
8.6 Sikkerhet ved behandling
(a) Dataimportøren, og under overføring av personopplysninger også dataeksportøren, skal iverksette egnede tekniske og organisatoriske tiltak for å garantere datasikkerheten, herunder sikkerhetsbrudd, som kan føre til utilsiktet eller ulovlig ødeleggelse, tap, endring eller uautorisert videreføring av eller adgang til personopplysningene (heretter 'brudd på personopplysningssikkerheten'). Ved vurderingen av tilstrekkelig sikkerhetsnivå skal det tas hensyn til tilgjengelig teknologi, implementeringskostnad, arten, omfanget, sammenhengen, og formålene med behandlingen, samt risikoene som behandlingen innebærer for den registrerte. Partene skal særskilt vurdere bruk av kryptering og pseudonymisering, inkludert underveis i overføring, når formålet for behandlingen kan oppnås på denne måten. Ved pseudonymisering skal tilleggsinformasjonen for å tilskrive personopplysninger til den enkelte registrerte, hvis mulig, være forbeholdt dataeksportørens eksklusive kontroll. For å overholde sine forpliktelser i denne bestemmelsen skal dataimportøren som et minimum iverksette de tekniske og organisatoriske tiltakene spesifisert i bilag II. Dataimportøren skal foreta regelmessige kontroller for å sikre at disse tiltakene fortsetter å opprettholde et egnet nivå av sikkerhet.
(b) Dataimportøren skal gi egne ansatte tilgang til personopplysningene kun i den grad det er strengt nødvendig for implementeringen, gjennomføringen og overvåkning av kontrakten. Den skal sikre at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til taushetsplikt eller er underlagt egnet lovfestet taushetsplikt.
(c) I tilfelle brudd på personopplysningssikkerheten som gjelder personopplysninger som behandles av dataimportøren i henhold til disse bestemmelse, skal dataimportøren iverksette egnede tiltak for å håndtere bruddet, herunder tiltak for å redusere de negative
virkningene. Dataimportøren skal også underrette dataeksportøren uten unødig opphold etter å ha blitt klar over bruddet. Slik melding skal inneholde detaljer om et kontaktpunkt hvor mer informasjon kan etterspørres, en beskrivelse av bruddets art (inkludert, hvis det er mulig, kategorier og omtrentlig antall registrerte og berørte personopplysninger), dens sannsynlige konsekvenser og tiltak som er iverksatt eller foreslått for å løse bruddet, inkludert, der det er relevant, tiltak for å dempe de mulige negative virkningene. Hvor, og i den grad det ikke er mulig å gi all informasjon samtidig, skal den første varslingen inneholde informasjonen som er tilgjengelig, og ytterligere informasjon skal senere gis uten unødig forsinkelse etter hvert som den blir tilgjengelig.
(d) Dataimportøren skal samarbeide med og bistå dataeksportøren for å gjøre dataeksportøren i stand til å overholde sine forpliktelser i henhold til forordning (EU) 2016/679, særlig ved å varsle vedkommende tilsynsmyndighet og de berørte registrerte, tatt i betraktning behandlingens art og informasjonen som er tilgjengelig for dataimportøren.
8.7 Særlige kategorier av personopplysninger
Dersom overføringen omfatter personopplysninger som avslører rasemessig eller etnisk opprinnelse, politisk oppfatning, religiøs eller filosofisk tro, eller medlemskap i fagforening, genetiske opplysninger, eller biometriske opplysninger for det formål å unikt identifisere en fysisk person, opplysninger om helse eller en persons seksuelle forhold eller seksuelle orientering, eller opplysninger vedrørende straffedommer og lovovertredelser (heretter 'sensitive opplysninger'), skal dataimportøren anvende spesifikke restriksjoner og/eller ytterligere egnede tiltak beskrevet i bilag I.B.
8.8 Videreoverføring
Dataimportøren skal kun utlevere personopplysningene til en tredjepart etter dokumenterte instruksjoner fra dataeksportøren. I tillegg kan opplysningene bare bli kommunisert til en tredjepart lokalisert utenfor EU/EØS (i det samme land som dataimportøren eller i annet tredjeland, heretter "videreoverføringer"), hvis tredjeparten er eller aksepterer å bli bundet av disse bestemmelsene under den relevante modul, eller hvis:
(i) videreoverføringen er til et land som omfattes av en beslutning om tilstrekkelig beskyttelsesnivå i henhold til artikkel 45 i forordning (EU) 2016/679 som omfatter videre overføring;
(ii) tredjeparten på annen måte forsikrer egnete tiltak i henhold
til artikkel 46 eller 47 i forordning (EU) 2016/679 tilknyttet den til behandlingen det gjelder;
(iii) videreoverføringen er nødvendig for etableringen, utøvelsen eller forsvaret av juridiske krav i tilknytning til spesifikke administrative, regulatoriske eller rettslige prosesser; eller
(iv) videreoverføringen er nødvendig for å beskytte de vitale interessene til de registrerte eller til en annen fysisk person.
Ved videreoverføringer må dataimportøren etterleve alle øvrige egnede tiltak beskrevet i disse bestemmelsene, og særlig kravet til formålsbegrensning.
8.9 Dokumentasjon og etterlevelse
(a) Dataimportøren skal omgående og på en adekvat måte behandle henvendelser fra dataeksportøren som angår behandlingen under disse bestemmelsene.
(b) Partene skal kunne påvise etterlevelse av disse bestemmelsene. Dataimportøren skal oppbevare egnet dokumentasjon om behandlingsaktivitetene som utføres på vegne av dataeksportøren.
(c) Dataimportøren skal gjøre all informasjon som er nødvendig for å påvise etterlevelse av forpliktelsene i disse bestemmelsene tilgjengelig for dataeksportøren og på dataeksportørens forespørsel, tillate og bidra til revisjon av behandlingsaktivitetene som omfattes av disse bestemmelsene, i rimelige intervaller eller hvis det er indikasjoner på manglende etterlevelse. Ved avgjørelse av om en gjennomgang eller revisjon skal iverksettes, kan dataeksportøren ta hensyn til relevante sertifiseringer som dataimportøren har.
(d) Dataeksportøren kan velge å utføre revisjon selv eller gi mandat til en uavhengig
revisor. Revisjoner kan omfatte inspeksjoner i dataimportørens lokaler eller fysiske fasiliteter og skal, hvor det er hensiktsmessig, utføres med rimelig varsel.
e) Partene skal på forespørsel gjøre informasjonen nevnt i avsnitt b) og c), inkludert resultatene av eventuelle revisjoner, tilgjengelig for den kompetente tilsynsmyndighet ved forespørsel fra disse.
Punkt 9
Bruk av underleverandører
(a) Dataimportøren har dataeksportørens generelle tillatelse til å engasjere underleverandør(er) som fremgår av en avtalt liste. Dataimportøren skal spesifikt informere dataeksportøren skriftlig om eventuelle planlagte endringer i denne listen ved å legge til eller erstatte underleverandører minst 14 dager i forveien, og dermed gi dataeksportøren tilstrekkelig tid til å kunne protestere mot slike endringer innen underleverandøren(e)
engasjeres. Dataimportøren skal gi dataeksportøren informasjonen som er nødvendig for å sette dataeksportøren i stand til å utøve sin innsigelsesrett.
(b) Når dataimportøren engasjerer en underleverandør for å utføre spesifikke behandlingsaktiviteter (på vegne av dataeksportøren), skal dette skje ved en skriftlig kontrakt som fastsetter de samme personvernforpliktelsene som de som gjelder for dataimportøren i henhold til disse bestemmelsene, inkludert når det gjelder tredjepartsrettighetene til de registrerte. Partene er enige om at dataimportøren ved å overholde denne bestemmelsen, oppfyller sine forpliktelser i henhold til Punkt 8.8. Dataimportøren skal sikre at underleverandøren overholder forpliktelsene som dataimportøren er underlagt i henhold til disse bestemmelsene.
(c) Dataimportøren skal på forespørsel fra dataeksportøren levere en kopi av en slik underleverandøravtale og eventuelle senere endringer. I den grad det er nødvendig for å beskytte forretningshemmeligheter eller annen konfidensiell informasjon, inkludert personopplysninger, kan dataimportøren redigere teksten i avtalen før han deler en kopi.
(d) Dataimportøren skal forbli fullt ansvarlig overfor dataeksportøren for utførelsen av underleverandørens forpliktelser i henhold til kontrakten med dataimportøren. Dataimportøren skal underrette dataeksportøren om underleverandøren unnlater å oppfylle sine forpliktelser i henhold til kontrakten.
(e) Dataimportøren skal avtale en tredjepartsrettsbestemmelse med underleverandøren om at i tilfelle dataimportøren faktisk forsvinner, opphører å eksistere i rettslig forstand eller har blitt insolvent, skal dataeksportøren ha rett til å avslutte underleverandørkontrakten og å instruere underleverandøren om å slette eller tilbakelevere personopplysningene.
Punkt 10
De registrertes rettigheter
(a) Dataimportøren skal umiddelbart underrette dataeksportøren om enhver forespørsel den har mottatt fra en registrert. Den skal ikke svare på denne forespørselen selv, med mindre dataeksportøren har gitt tillatelse til det.
(b) Dataimportøren skal bistå dataeksportøren med å oppfylle sine forpliktelser til å svare på registrertes forespørsler om utøvelse av sine rettigheter i henhold til forordning (EU) 2016/679. I denne forbindelse skal partene i bilag II angi egnede tekniske og organisatoriske tiltak som iverksettes, tatt i betraktning behandlingens art, som angir hvordan bistanden skal gis, samt omfanget og rekkevidden av den nødvendige bistanden.
(c) Ved oppfyllelse av sine forpliktelser i henhold til bokstav a) og b) skal dataimportøren følge instruksjonene fra dataeksportøren.
Punkt 11
Klageadgang
(a) Dataimportøren skal informere registrerte i et transparent og lett tilgjengelig format, gjennom individuelt varsel eller på sitt nettsted, om et kontaktpunkt som er autorisert til å behandle klager. Den skal behandle alle klager den mottar fra en registrert omgående.
(b) I tilfelle tvist mellom en registrert og en av partene om etterlevelsen av disse bestemmelsene, skal partene gjøre sitt beste for å løse problemet i minnelighet innen rimelig tid. Partene skal holde hverandre informert om slike tvister og, når det er relevant, samarbeide om å løse dem.
(c) Når den registrerte påberoper seg en tredjepartsrett i henhold til Punkt 3, skal dataimportøren godta den registrertes avgjørelse om:
(i) å klage til tilsynsmyndigheten i medlemsstaten der han/hun har sitt vanlige bosted eller arbeidssted, eller den kompetente tilsynsmyndigheten i henhold til Punkt 13;
(ii) henvise tvisten til de kompetente domstolene i henhold til Punkt 18.
(d) Partene godtar at den registrerte kan være representert av et ideelt organ, organisasjon eller sammenslutning etter vilkårene fastsatt i artikkel 80 nr. 1 i forordning (EU) 2016/679.
(e) Dataimportøren skal følge en avgjørelse som er bindende i henhold til gjeldende EU- eller medlemsstatslovgivning.
(f) Dataimportøren er enig i at valget den registrerte gjør, ikke vil påvirke hans/hennes materielle og prosessuelle rettigheter til å søke rettsmidler i samsvar med gjeldende lovgivning.
Punkt 12
Ansvar
(a) Hver part er ansvarlig overfor den/de andre partene for eventuelle skader den påfører den/de andre partene ved brudd på disse bestemmelsene.
b) Dataimportøren er ansvarlig overfor den registrerte, og den registrerte skal ha rett til å motta kompensasjon for enhver materiell eller ikke-materiell skade som dataimportøren eller dens underleverandør påfører den registrerte ved å bryte tredjepartretter i henhold til disse bestemmelsene.
(c) Uavhengig av avsnitt (b) skal dataeksportøren være ansvarlig overfor den registrerte, og den registrerte skal ha rett til å motta kompensasjon for enhver materiell eller ikke-materiell skade som dataeksportøren eller dataimportøren (eller dens underleverandør) påfører den registrerte ved å krenke tredjepartsretter under disse bestemmelsene. Dette påvirker ikke dataeksportørens ansvar og, der dataeksportøren er en databehandler på vegne av en behandlingsansvarlig, ansvaret for den behandlingsansvarlige i henhold til forordning (EU) 2016/679 eller forordning (EU) 2018/1725.
(d) Partene er enige om at hvis dataeksportøren holdes ansvarlig i henhold til ledd (c) for skader forårsaket av dataimportøren (eller dens underleverandør), skal den ha rett til å kreve fra dataimportøren den del av erstatningen som svarer til dataimportørens ansvar for skaden.
(e) Når mer enn én part er ansvarlig for skade som er påført den registrerte som følge av brudd på disse bestemmelsene, skal alle ansvarlige parter være solidarisk ansvarlige og den registrerte har rett til å anlegge rettssak mot enhver av disse partene.
(f) Partene er enige om at hvis en part holdes ansvarlig i henhold til punkt (e), skal den ha rett til å kreve den/de andre partene tilbake den delen av erstatningen som tilsvarer dens/deres ansvar for skaden.
(g) Dataimportøren kan ikke påberope seg en underleverandørens opptreden for å unngå eget ansvar.
Punkt 13
Tilsyn
(a) Tilsynsmyndigheten med ansvar for å sikre at dataeksportøren overholder forordning (EU) 2016/679 med hensyn til overføringen av personopplysninger, som angitt i bilag I.C, skal opptre som kompetent tilsynsmyndighet.
(b) Dataimportøren samtykker i å være underlagt jurisdiksjonen til og samarbeide med den kompetente tilsynsmyndigheten i alle prosedyrer for å sikre etterlevelse av disse bestemmelsene. Dataimportøren samtykker i å svare på henvendelser, være gjenstand for revisjoner og følge tiltakene som tilsynsmyndigheten har vedtatt, inkludert utbedringstiltak og kompenserende tiltak. Den skal gi tilsynsmyndigheten skriftlig bekreftelse på at de nødvendige tiltakene er iverksatt.
SEKSJON III - LOKALE LOVER OG REGLER OM OFFENTLIGE MYNDIGHETERS TILGANG
Punkt 14
Lokal lovgivning og praksis som påvirker etterlevelsen av bestemmelsene
(a) Partene garanterer at de ikke har noen grunn til å tro at lovgivningen og praksisen i det relevante tredjelandet hvor dataimportøren behandler personopplysninger, inkludert eventuelle forpliktelser om å utlevere personopplysninger eller tiltak som tillater offentlig myndigheter tilgang til opplysningene, hindrer dataimportøren i å oppfylle sine forpliktelser i henhold til disse bestemmelsene. Dette er basert på forståelsen av at lovgivning og praksis som respekterer essensen av de grunnleggende rettighetene og frihetene og ikke overstiger det som er nødvendig og proporsjonalt i et demokratisk samfunn for å ivareta målene oppført i artikkel 23 nr. 1 i forordning (EU) 2016/679, ikke strider med disse bestemmelsene.
(b) Partene erklærer at de ved å gi garantien i ledd (a) har tatt i betraktning følgende hensyn:
(i) de spesifikke omstendighetene ved overføringen, inkludert lengden på behandlingskjeden, antall involverte aktører og overføringskanalene som brukes, planlagte videreoverføringer; typen mottaker; formålet med behandlingen; kategoriene og formatet av de overførte personopplysningene; den økonomiske sektoren der overføringen skjer; lagringsstedet for dataene som overføres; lovgivningen og praksisen i mottakerlandet - inkludert de som krever utlevering av data til offentlige myndigheter eller tillatelse for slike myndigheter - relevant i lys av de spesifikke omstendighetene ved overføringen, og gjeldende begrensninger og garantier;
(ii) (alle relevante kontraktuelle, tekniske eller organisatoriske tiltak som er på plass for å supplere garantiene under disse bestemmelsene, herunder tiltak som gjelder under overføring og ved behandling av personopplysningene i mottakerlandet.
(c) Dataimportøren garanterer at den ved utførelsen av vurderingen i henhold til bokstav b) har gjort sitt beste for å gi dataeksportøren relevant informasjon og samtykker i at den vil fortsette å samarbeide med dataeksportøren for å sikre etterlevelse av disse bestemmelsene.
(d) Partene er enige om å dokumentere vurderingen i henhold til bokstav b) og gjøre den tilgjengelig for den kompetente tilsynsmyndighet ved forespørsel.
(e) Dataimportøren samtykker i å varsle dataeksportøren omgående hvis den, etter å ha godtatt disse bestemmelsene og i løpet av kontraktsperioden, har grunn til å tro at den er eller har blitt underlagt lovgivning eller praksis som ikke er i tråd med krav under avsnitt (a), inkludert etter endring av lovgivningen i tredjelandet eller et tiltak (for eksempel en utleveringsforespørsel) som indikerer at en anvendelse av slik lovgivning i praksis ikke er i tråd med kravene i avsnitt (a).
(f) Etter en varsling i henhold til avsnitt (e), eller hvis dataeksportøren på annen måte har grunn til å tro at dataimportøren ikke lenger kan oppfylle sine forpliktelser i henhold til disse bestemmelsene, skal dataeksportøren umiddelbart identifisere egnede tiltak (f.eks. tekniske eller organisatoriske tiltak for å sikre sikkerhet og konfidensialitet) som dataeksportøren og/eller dataimportøren skal iverksette for å håndtere situasjonen. Dataeksportøren skal suspendere overføringen av personopplysninger hvis den mener at det ingen slike egnede tiltak kan implementeres, eller hvis den kompetente tilsynsmyndighet gir instruks om det. I dette tilfellet har dataeksportøren rett til å si opp kontrakten, i den utstrekning den gjelder behandling av personopplysninger i henhold til disse bestemmelsene. Hvis kontrakten omfatter flere enn to parter, kan dataeksportøren kun utøve denne retten til oppsigelse i tilknytning til den relevante parten, med mindre partene har avtalt noe annet. Når kontrakten avsluttes i henhold til denne bestemmelsen, gjelder Punkt 16 (d) og (e).
Punkt 15
Dataimportørens forpliktelser ved tilgang fra offentlige myndigheter
15.1 Varsling
(a) Dataimportøren forplikter seg til å varsle dataeksportøren og, hvis det er mulig, den registrerte omgående (om nødvendig ved hjelp av dataeksportøren) hvis den:
(i) mottar en juridisk bindende forespørsel fra en offentlig myndighet, inkludert domstolsmyndigheter, i henhold til lovgivningen i mottakerlandet om utlevering av personopplysninger som overføres i henhold til disse bestemmelsene; slik melding skal inneholde informasjon om de forespurte personopplysningene, den anmodende myndigheten, det juridiske grunnlaget for forespørselen og svaret som er gitt; eller
(ii) blir klar over offentlig myndigheters direkte tilgang til personopplysninger som overføres i henhold til disse bestemmelsene i samsvar med lovgivningen i mottakerlandet; slik melding skal inneholde all informasjon som er tilgjengelig for importøren.
(b) Hvis det er forbudt for dataimportøren å varsle dataeksportøren og/eller den registrerte i henhold til lovgivningen i mottakerlandet, samtykker dataimportøren i å gjøre sitt beste for å få et unntak fra forbudet, med sikte på å kommunisere så mye informasjon som mulig, så snart som mulig. Dataimportøren godtar å dokumentere sin beste innsats for å kunne demonstrere det på forespørsel fra dataeksportøren.
(c) Når det er tillatt i henhold til lovgivningen i mottakerlandet, forplikter dataimportøren seg til å gi dataeksportøren med jevne mellomrom i løpet av kontrakten så mye relevant informasjon som mulig om mottatte forespørsler (særlig antall forespørsler, type data som er forespurt, myndighet som ber om dataene, om forespørsler har blitt bestridt, og resultatet av dette, etc.).
(d) Dataimportøren samtykker i å bevare informasjonen i henhold til avsnitt (a) til (c) for hele kontraktsperioden og gjøre den tilgjengelig for den kompetente tilsynsmyndigheten på forespørsel.
(e) Punktene a) til (c) påvirker ikke dataimportørens forpliktelse i henhold til Punkt 14(e) og Punkt 16 til å informere dataeksportøren omgående dersom den ikke er i stand til å etterleve disse bestemmelsene.
15.2 Legalitetskontroll og dataminimering
a) Dataimportøren samtykker i å gjennomgå lovligheten av forespørselen om tilgang, særlig om den er innenfor kompetansen til den anmodende offentlige myndighet, og å bestride forespørselen hvis den etter en grundig vurdering konkluderer med at det er rimelige grunner for å anse at forespørselen er ulovlig i henhold til lovgivningen i mottakerlandet, gjeldende forpliktelser i henhold til folkeretten og prinsippene om internasjonal komité. Dataimportøren skal på samme vilkår forfølge ankemuligheter. Når dataimportøren bestrider en forespørsel, skal den søke midlertidige forføyninger for å suspendere virkningen av forespørselen, inntil en kompetent domstolsmyndighet har truffet avgjørelse om sakens realitet. Dataimportøren skal ikke avsløre personopplysningene som er bedt om, før det kreves i henhold til gjeldende prosessregler. Disse kravene påvirker ikke dataimportørens forpliktelser i henhold til punkt 14 (e).
(b) Dataimportøren forplikter seg til å dokumentere sin juridiske vurdering og enhver utfordring av anmodning om tilgang, og i den grad det er tillatt i henhold til lovgivningen i mottakerlandet, gjøre dokumentasjonen tilgjengelig for dataeksportøren. Den skal også gjøre den tilgjengelig for den kompetente tilsynsmyndigheten ved forespørsel.
(c) Dataimportøren forplikter seg til å oppgi den minste mengden informasjon som er nødvendig når den svarer på en forespørsel om tilgang, basert på en rimelig tolkning av forespørselen.
SEKSJON IV – AVSLUTTENDE BESTEMMELSER
Punkt 16
Manglende overholdelse av bestemmelsene og oppsigelse
(a) Dataimportøren skal omgående informere dataeksportøren hvis den ikke kan følge disse bestemmelsene, uansett årsak.
(b) I tilfelle dataimportøren bryter med disse bestemmelsene eller ikke er i stand til å overholde dem, skal dataeksportøren stanse overføringen av personopplysninger til dataimportøren frem til etterlevelsen igjen er sikret eller kontrakten avsluttes. Dette gjelder uavhengig av Punkt 14 (f).
(c) Dataeksportøren har rett til å si opp kontrakten, for så vidt det gjelder behandling av personopplysninger i henhold til disse bestemmelsene, der:
(i) dataeksportøren har suspendert overføringen av personopplysninger til dataimportøren i henhold til bokstav b) og etterlevelse av disse bestemmelsene ikke blir gjenopprettet innen rimelig tid, og under enhver omstendighet innen en måned etter stansingen;
(ii) dataimportøren foretar et vesentlig eller vedvarende brudd på disse bestemmelsene; eller
(iii) dataimportøren ikke overholder en bindende avgjørelse fra en kompetent domstol eller tilsynsmyndighet om sine forpliktelser i henhold til disse bestemmelsene.
I slike tilfeller skal dataeksportøren underrette den kompetente tilsynsmyndighet om slik manglende etterlevelse. Dersom kontrakten omfatter flere enn to parter, kan dataeksportøren utøve denne retten til oppsigelse bare med hensyn til den relevante parten, med mindre partene har avtalt noe annet.
(d) Personopplysninger som er overført før kontraktens opphør i henhold til bokstav c), skal etter dataeksportørens valg umiddelbart tilbakeleveres til dataeksportøren eller slettes i sin
helhet. Det samme skal gjelde for alle kopier av opplysningene. Dataimportøren skal bekrefte sletting av dataene til dataeksportøren. Inntil dataene er slettet eller tilbakelevert, skal dataimportøren fortsette å sikre overholdelse av disse bestemmelsene. I tilfelle lokale lover som gjelder for dataimportøren forbyr tilbakelevering eller sletting av de overførte personopplysningene, garanterer dataimportøren at den vil fortsette å sikre etterlevelse av disse bestemmelsene og vil kun behandle opplysningene i den grad og så lenge som er påkrevd i henhold til den lokale loven.
(e) Hver part kan tilbakekalle sin avtale om å være bundet av disse bestemmelsene der (i) Europakommisjonen vedtar en avgjørelse i henhold til artikkel 45 nr. 3 i forordning (EU) 2016/679 som dekker overføring av personopplysninger som disse bestemmelser gjelder; eller
(ii) forordning (EU) 2016/679 blir en del av de juridiske rammene i landet som personopplysningene overføres til. Dette gjelder uavhengig av andre forpliktelser som gjelder for den aktuelle behandlingen i henhold til forordning (EU) 2016/679.
Punkt 17
Gjeldende lov
Disse bestemmelsene skal være underlagt lovgivningen i EU/EØS-medlemsstaten, der dataeksportøren er etablert.
Punkt 18
Valg av verneting og jurisdiksjon
a) Enhver tvist som oppstår som følge av disse bestemmelsene skal løses av domstolene i medlemsstatene i EU/EØS.
(b) Partene er enige om at disse skal være domstolene i EU/EØS-medlemsstaten, der dataeksportøren er etablert.
(c) En registrert kan også anlegge søksmål mot dataeksportøren og/eller dataimportøren for domstolene i medlemsstaten der han/hun har sitt vanlige bosted.
(d) Partene er enige om å være underlagt jurisdiksjonene til slike domstoler.
BILAG I
A. LISTE OVER PARTER Dataeksportør(er):
Navn: ……………………..
Adresse: ………………………
Kontaktpersonens navn, stilling og kontaktinformasjon: ………………………
Aktiviteter som er relevante for opplysningene som overføres under disse
bestemmelsene: Aktivitetene som er relevante for opplysningene som overføres, er aktiviteter knyttet til dataeksportørens bruk av dataimportørens nettbaserte og nettbrettapplikasjonstjeneste for tildeling, innsamling og gjennomgang av studentarbeid.
Signatur og dato:
__ __ ___ Rolle (behandlingsansvarlig/databehandler): Behandlingsansvarlig
Dataimportør(er):
Navn: Showbie Inc.
Adresse: #0000, 00000 Xxxxxx Xxxxxx, Xxxxxxxx, XX Xxxxxx X0X 0X0
Kontaktpersonens navn, stilling og kontaktinformasjon: Xxxxx Xxxxx, administrerende direktør og medgrunnlegger, telefon: 1.866. 925. 3904
Aktiviteter som er relevante for opplysningene som overføres under disse
bestemmelsene: Aktivitetene som er relevante for opplysningene som overføres, er dataimportørens levering av nettbasert og nettbrettapplikasjonstjeneste for dataeksportørens tildeling, innsamling og gjennomgang av studentarbeid.
Dato for signatur og tiltredelse: 18. juni 2021
___________________________________________________________________
Rolle (behandlingsansvarlig/databehandler): Databehandler
B. BESKRIVELSE AV OVERFØRING
Kategorier av registrerte som får sine personlige opplysninger overført
1) Lærere og administratorer
2) Studenter
3) Kunders representanter
Kategorier av personopplysninger overført
1. Brukerens påloggingsinformasjon og bruk av Tjenesten
2. Brukerprofilinformasjon
3. Elevoppgaver, karakterer, interaksjoner og meldinger
4. IP-adresse
5. Lokasjon
6. Skolenavn
7. Skoletype
8. Betalingsinformasjon (for representanter, lærere og administratorer)
Sensitive opplysninger overført (hvis relevant) og anvendte restriksjoner eller garantier som fullt ut tar hensyn til opplysningenes art og risikoen som er involvert, for eksempel streng formålsbegrensning, tilgangsbegrensninger (inkludert kun tilgang for ansatte som har fulgt spesialisert opplæring), en oversikt over tilgang til opplysningene, restriksjoner for videreoverføring eller ytterligere egnede tiltak: Status som elev ved en religiøs skole, hvis aktuelt. Denne informasjonen er bare synlig for dataeksportørens autoriserte brukere i sammenheng med deres bruk av Tjenesten.
Overføringsfrekvensen (f.eks. om opplysningene overføres ved én anledning eller kontinuerlig):
Opplysninger overføres kontinuerlig i forbindelse med autoriserte brukeres bruk av Tjenesten.
Behandlingens art:
Behandlingens art er angitt i tabellen i bilag III.
Formål(ene) med overføringen av personopplysninger og videre behandling:
1. Behandle dataeksportørens brukerpålogging og plattforminformasjon utelukkende for å tilby Tjenestene
2. Administrere studentoppgaver, karakterer og fremgang.
Perioden som personopplysningene skal oppbevares for, eller, hvis det ikke er mulig, kriteriene som ble brukt for å bestemme denne perioden:
Behandlingens varighet og datalagring er kontraktens varighet.
For overføringer til databehandler/underleverandører, spesifiser også gjenstanden for, art og varighet av behandlingen:
Detaljer om gjenstanden for og arten av behandlingen knyttet til overføringer til databehandler/underleverandører er angitt i bilag III. Varigheten av databehandleres/underleverandørers behandling er varigheten av kontrakten med dataeksportør.
C. KOMPETENT TILSYNSMYNDIGHET
Identifiser de(n) kompetente tilsynsmyndigheten(e) i samsvar med punkt 13:
Den kompetente tilsynsmyndigheten er den nasjonale tilsynsmyndigheten i landet der dataeksportøren har sitt hovedkontor.
Bilag II
TEKNISKE OG ORGANISASORISKE TILTAK, INKLUDERT TEKNISKE OG ORGANISASORISKE TILTAK FOR Å SIKRE OPPLYSNINGENES SIKKERHET
1. Fysisk tilgangskontroll
Fysiske tilgangskontroller for å begrense tilgangen til sensitiv informasjon, inkludert:
(i) Enheter er passordbeskyttet;
(ii) Enheter er låst når de er uten tilsyn;
(iii) Fysiske enheter og dokumenter lagres på låste steder;
(iv) Alle enheter har sporingsprogramvare aktivert;
2. Logisk tilgangskontroll
Tekniske og organisatoriske tiltak for å forhindre at databehandlingssystemer brukes av uautoriserte personer, inkludert:
(i) prosedyrer for brukeridentifikasjon og autentisering
(ii) ID/passord-sikkerhetsprosedyrer (spesialtegn, minimumslengde, endring av passord);
(iii) Automatisk blokkering (f.eks. passord eller timeout);
(iv) Overvåking av innbruddsforsøk og midlertidig avstengning av bruker-ID ved ti uriktige passordforsøk;
(v) Opprettelse av én hovedfil per bruker, prosedyrer for brukergrunndata, per databehandlingsmiljø;
(vi) Xxxxxxxxxx og pseudonymisering:
(vii) Overføring av opplysninger mellom Showbie-enheter, tynne klienter og servere er kryptert ved bruk av TLS -protokoll. Dette sikrer personvernet til den overførte informasjonen og forhindrer uautoriserte brukere i å se data.
(viii) Alle filer er kryptert "at rest". Dataimportør bruker Amazons kryptering på serversiden for å administrere kryptering av filene våre.
(ix) Alle databaser er kryptert "at rest". Dataimportør bruker Amazons KMS til å administrere krypteringen av databasen vår.
(x) Prosessorkryptering bruker 256-bit-nøkler på en symmetrisk algoritme AES.
(xi) Dataoverføringer er kryptert ved bruk av TLSv1.X-protokoller. Dataimportør implementerer SSL-sertifikater med RSA-algoritme og nøkkelstørrelser på 256 bit.
3. Kontroll av tilgang til personopplysninger
Tekniske og organisatoriske tiltak for å sikre at personer som har rett til å bruke
et databehandlingssystem, får tilgang til slike personopplysninger i samsvar med deres tilgangsrettigheter, og at personopplysninger ikke kan leses, kopieres, endres eller slettes uten autorisasjon, inkludert:
(i) ordninger for kontrollgodkjenning;
(ii) differensierte tilgangsrettigheter etter behov (profiler, roller, transaksjoner og objekter);
(iii) Overvåking og logging av tilganger;
(iv) Disiplinære tiltak mot ansatte som får tilgang til personopplysninger uten autorisasjon;
(v) Rapporter om tilgang;
(vi) Tilgangsprosedyre;
(vii) Endringsprosedyre;
(viii) Slettingsprosedyre;
(ix) Xxxxxxxxxx og pseudonymisering;
(x) Påloggingsbeskyttelse som beskrevet i seksjon 2 ovenfor.
4. Utleveringskontroll
Tekniske og organisatoriske tiltak for å sikre at personopplysninger ikke kan leses, kopieres, endres eller slettes uten autorisasjon under elektronisk overføring, transport eller lagring på lagringsmedier (manuelt eller elektronisk), og at det kan verifiseres til hvilke selskaper eller andre juridiske enheter personopplysninger utleveres, inkludert:
(i) Logging;
(ii) transportsikkerhet;
(iii) Xxxxxxxxxx og pseudonymisering; og
(iv) Påloggingsbeskyttelse som beskrevet i seksjon 2 ovenfor.
5. Inngangskontroll
Tekniske og organisatoriske tiltak for å overvåke om opplysninger er lagt inn, endret eller fjernet (slettet), og av hvem, fra databehandlingssystemer, inkludert:
(i) Loggings- og rapporteringssystemer;
(ii) Revisjonsspor og -dokumentasjon.
6. Kontroll av instruksjoner
Tekniske og organisatoriske tiltak for å sikre at personopplysninger behandles utelukkende i henhold til instruksjonene til dataeksportøren, inkludert:
(i) Entydig formulering av kontrakten;
(ii) Formell igangsetting (forespørselsskjema);
(iii) Kriterier for valg av databehandler;
(iv) Prosess for å gjøre endringer, inkludert sletting av brukerdata på forespørsel fra en autorisert administrator eller lærer ved en skole eller et distrikt ved å bruke dette skjemaet: xxxxx://xxxxxxx.xxxxxxxx.xxx/xx/x0xXXx;
(v) Forespørsel fra foreldre eller elever vil bli videresendt til den behandlingsansvarlige;
(vi) Sletting av data er permanent, og data kan ikke gjenopprettes.
7. Tilgjengelighetskontroll
Tekniske og organisatoriske tiltak for å sikre at personopplysninger er beskyttet mot utilsiktet ødeleggelse eller tap (fysisk/logisk), inkludert:
(i) Redundans;
(ii) Prosedyrer for sikkerhetskopiering;
(iii) Skybasert infrastruktur;
(iv) Speiling av harddisker;
(v) Uavbrutt strømforsyning;
(vi) Fjernlagring;
(vii) Sterke brannmursystemer;
(viii) Kontinuerlige sikkerhetsoppdateringer;
(ix) Regelmessig testing;
(x) Automatiserte tredjepartsrevisjonsverktøy for å vurdere webapplikasjoner;
(xi) Sikkerhetstrening for Showbie-ansatte;
(xii) Plan for gjenoppretting ved katastrofer.
Dataimportørens skybaserte Tjeneste bruker Amazons AWS. Redundans er bygget ved siden av skalering, slik at Socrative kan ha en oppetid på 99,9999%. Intern overvåkingsinfrastruktur gir innsyn i systemene våre og gir varsler om eventuelle avvik som gjør at problemer kan løses før de eskalerer til alvorlige problemer.
Regelmessig testing utføres for å sikre at regresjoner ikke dukker opp, og for å forbedre påliteligheten og kvaliteten til applikasjonene våre. Vi bruker automatiserte tredjepartsrevisjonsverktøy for å vurdere våre webapplikasjoner.
8. Separasjonskontroll
Tekniske og organisatoriske tiltak for å sikre at personopplysninger samlet inn for forskjellige formål kan behandles separat, inkludert:
(i) Separasjon av databaser;
(ii) "Intern klient"-konsept / begrensning av bruk;
(iii) Segregering av funksjoner (produksjon/testing)
(iv) Prosedyrer for lagring, endring, delesjon, overføring av opplysninger for forskjellige formål.
9. Kryptering av data
Overføring av opplysninger mellom Showbie-enheter, tynne klienter og servere er kryptert ved bruk av TLS-protokoll. Dette sikrer personvernet til den overførte informasjonen og forhindrer uautoriserte brukere i å se opplysninger.
(i) Alle filene er kryptert "at rest" ved hjelp av Amazons Server Side Encryption.
(ii) Alle databaser er kryptert "at rest" ved hjelp av Amazons KMS.
(iii) Kryptering bruker 256-bit-nøkler på en symmetrisk algoritme AES.
(iv) Overføringer av opplysninger er kryptert ved bruk av TLSv1.X-protokoller. Vi implementerer SSL-sertifikater med RSA-algoritme og nøkkelstørrelser på 256 bit.
10. Spesifikke tekniske og organisatoriske tiltak som dataimportøren skal ta for å kunne hjelpe dataeksportøren:
Dataimportør har utnevnt et utpekt personvernombud for å kunne hjelpe dataeksportøren.
Dataimportøren gir i tillegg ulike evner for å gjøre dataeksportør i stand til å administrere personopplysningene og kontrollere relaterte innstillinger fra applikasjonen og administrasjonssiden, inkludert blant annet funksjoner til å (med riktige tillatelser):
(i) redigere kontoinformasjon (navn, rolle, telefon, foto, e-postadresse, passord)
(ii) administrere skoleabonnementene, administrere brukere og tilbakestille passord
BILAG III
LISTE OVER UNDERLEVERANDØRER
Behandlingsansvarlig har godkjent bruk av følgende underleverandører:
Under- leverandører | Beskrivelse av behandlingen | Behandlings-lokasjon(er) | Overførings-mekanisme |
Amazon Web Services | Database hosting - all data og innhold i Socrative er lagret i Amazon Web Services. | AWS sine datasentre i USA, Sør-Amerika, Australia og Asia. | Videre-overføring basert på EU SCC. |
CloudFront | Innholdslevering snettverk for forbedring av applikasjonsytels e. CloudFront er en tjeneste levert av Amazon Web Services. | USA. For optimal ytelse og pålitelighet lagres forespurte filer midlertidig på CloudFront sine servere rundt om i verden og leveres fra S3 til nærmeste tilgjengelige CloudFront-server. Selv om CloudFront sine datasentre finnes i EU/EØS, har vi ingen kontroll over hvilket datasenter de forespurte fildataene blir midlertidig lagret i. CloudFront kan derfor ikke garantere at serveren vil ligge i EU/ EØS for EU/EØS-kunder. | Videre-overføring basert på EU SCC. |
Intercom | Produktvarsel og levering av teknisk support. | USA | Videre-overføring basert på EU SCC. |
Pubnub | Innsamling og overføring av relevante hendelser og metadata for å muliggjøre applikasjonsfunk sjonalitet | USA | Videre-overføring basert på EU SCC. |
Sentry | Programfeiloverv åking for å identifisere applikasjonsprob lemer og feilsøke problemer. | USA | Videre-overføring basert på EU SCC. |