Begynn søket etter det perfekte domenenavnet ...

Databehandleravtale

Getonnet AS & gethosted.no

Denne databehandleravtalen (“Avtalen“) utgjør en del av

Tjenestekontrakten (“Hovedavtalen“) mellom (“Kundene“) og

(“Databehandleren”)

(sammen som “Partene“)

HVORFOR

(A) Selskapet fungerer som en datakontroller.

(B) Selskapet ønsker å underleverer visse tjenester, som innebærer behandling av personopplysninger, til databehandleren.

(C) Partene søker å implementere en databehandlingsavtale som oppfyller kravene i gjeldende juridiske rammer i forhold til databehandling og med Europa-Parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer med hensyn til behandling av personopplysninger og om fri bevegelse av slike data, og om opphevelse av direktiv 95/46 / EF (General Data Protection Regulation).

(D) Partene ønsker å fastsette sine rettigheter og plikter.

DET ER ENIGE OM FØLGENDE:

1. Definisjoner og tolkning

1.1 Med mindre annet er definert her, skal aktiverte vilkår og uttrykk brukt i denne avtalen ha følgende betydning:

1.1.1 “Avtale” betyr denne databehandleravtalen og alle planer;

1.1.2 “selskapets personopplysninger” betyr alle personopplysninger som behandles av en kontraheret prosessor på vegne av selskapet i henhold til eller i forbindelse med hovedavtalen;

1.1.3 “Kontraktsprosessor” betyr en underprosessor;

1.1.4 “Data Protection Laws” betyr EUs databeskyttelseslover og, i den utstrekning det er relevant, databeskyttelses- eller personvernlovgivningen i noe annet land;

1.1.5 “EØS” betyr Det europeiske økonomiske området;

1.1.6 “EUs databeskyttelseslover” betyr EU-direktiv 95/46 / EF, slik det er overført til nasjonal lovgivning i hver medlemsstat og som endret, erstattet eller erstattet fra tid til annen, inkludert av GDPR og lover som implementerer eller supplerer GDPR ;

1.1.7 “GDPR” betyr EUs generelle databeskyttelsesforordning 2016/679;
1.1.8 “dataoverføring” betyr:

1.1.8.1 en overføring av selskapets personopplysninger fra selskapet til en kontraheret prosessor; eller

1.1.8.2 en videreoverføring av selskapets personopplysninger fra en kontraheret prosessor til en underleverandør prosessor, eller mellom to etableringer av en kontraheret prosessor, i hvert tilfelle der slik overføring ville være forbudt i henhold til databeskyttelseslover (eller i henhold til dataene overføringsavtaler som er på plass for å adressere begrensningene for dataoverføring i lovene om databeskyttelse);

1.1.9 “Tjenester” betyr Hosting-tjenestene selskapet leverer.

1.1.10 “underprosessor” betyr enhver person utnevnt av eller på vegne av prosessoren for å behandle personopplysninger på selskapets vegne i forbindelse med avtalen.

1.2 Begrepene, “Kommisjon”, “Kontrollør”, “Registrert person”, “Medlemsstat”, “Personopplysninger”, “Brudd på personopplysninger”, “Behandler” og “Tilsynsmyndighet” skal ha samme betydning som i GDPR , og deres anerkjente vilkår skal tolkes deretter.

2. Behandling av selskapets personopplysninger

2.1 Prosessor skal:

2.1.1 overholde alle gjeldende databeskyttelseslover i behandlingen av selskapets personopplysninger; og

2.1.2 ikke behandle selskapets personopplysninger annet enn på det aktuelle selskapets dokumenterte instruksjoner.

2.2 Selskapet instruerer prosessorer å behandle selskapets personopplysninger.

3. Prosessorens personellprosessor
skal ta rimelige tiltak for å sikre påliteligheten til enhver ansatt, agent eller entreprenør til enhver kontraktert prosessor som kan ha tilgang til selskapets personopplysninger, og i hvert tilfelle sikre at tilgangen er strengt begrenset til de individer som trenger å vite / få tilgang til de relevante selskapets personopplysninger, så strengt nødvendig for formålene med hovedavtalen, og for å overholde gjeldende lover i forbindelse med den enkeltes plikter overfor den kontraherte prosessoren, og sikre at alle slike personer er underlagt konfidensialitetsforetak eller profesjonelle eller lovpålagte taushetsplikter.

4. Sikkerhet

4.1 Under hensyntagen til den moderne teknikken, kostnadene ved implementering og art, omfang, kontekst og formål med prosessering samt risikoen for varierende sannsynlighet og alvorlighetsgrad for rettigheter og friheter til fysiske personer, skal prosessor i i forhold til selskapets personopplysninger iverksetter passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er passende for den risikoen, inkludert, i passende tilfelle, tiltakene nevnt i artikkel 32 nr. 1 i GDPR.

4.2 Ved vurdering av passende sikkerhetsnivå skal prosessoren ta spesielt hensyn til risikoen som blir presentert av behandlingen, særlig fra et brudd på personopplysninger.

5. Underprosessering

5.1 Prosessor skal ikke utnevne (eller avsløre selskapets personopplysninger til) noen underprosessor med mindre dette er påkrevd eller autorisert av selskapet.

6. Rettigheter for registrerte personer

6.1 Under hensyntagen til prosesseringens art skal prosessoren bistå selskapet ved å iverksette passende tekniske og organisatoriske tiltak, så langt dette er mulig, for å oppfylle selskapets forpliktelser, slik selskapet er rimelig forstått, å svare til forespørsler om å utøve rettigheter for dataemner i henhold til databeskyttelseslovene.

6.2 Prosessor skal:

6.2.1 omgående varsle selskapet hvis det mottar en forespørsel fra en registrert i henhold til noen lov om databeskyttelse med hensyn til selskapets personopplysninger; og

6.2.2 sørge for at den ikke svarer på den forespørselen, bortsett fra på de dokumenterte instruksene fra selskapet eller som påkrevd i gjeldende lover som prosessoren er underlagt, i hvilket tilfelle prosessor skal i den utstrekning det er tillatt av gjeldende lover informere selskapet om den lovlige krav før den avtalte prosessoren svarer på forespørselen.

7. Brudd på personopplysninger

7.1 Prosessor skal varsle selskapet uten unødig forsinkelse etter at prosessor blir kjent med et brudd på personopplysninger som påvirker selskapets personopplysninger, og gir selskapet tilstrekkelig informasjon til at selskapet kan oppfylle forpliktelser til å rapportere eller informere datapersonene om personopplysningene Brudd på personvernlovene.

7.2 Prosessor skal samarbeide med selskapet og ta rimelige kommersielle skritt som er pålagt av selskapet for å hjelpe til med etterforskning, avbøtning og sanering av hvert slikt personopplysningsbrudd.

8. Konsekvensanalyse av databeskyttelse og forutgående konsultasjonsprosessor skal gi rimelig hjelp til selskapet med eventuelle konsekvensutredninger for databeskyttelse, og forutgående konsultasjoner med tilsynsmyndigheter eller andre kompetente personvernmyndigheter for data, som selskapet rimelig anser som påkrevd i artikkel 35 eller 36 i GDPR eller tilsvarende bestemmelser i enhver annen databeskyttelseslov, i hvert tilfelle utelukkende i forhold til behandling av selskapets personopplysninger ved, og under hensyntagen til arten av behandlingen og informasjonen som er tilgjengelig for de kontraherte prosessorer.

9. Sletting eller returnering av selskapets personlige data

9.1 Med forbehold om denne paragraf 9 Prosessor skal omgående og under enhver omstendighet innen

10. virkedager fra datoen for opphør av alle tjenester som involverer behandlingen av selskapets personopplysninger (“Opphørsdato”), slette og anskaffe sletting av alle kopier av selskapets personopplysninger.

10. Revisjonsrettigheter

10.1 Med forbehold for denne paragraf 10 skal prosessor gjøre tilgjengelig for selskapet på forespørsel all informasjon som er nødvendig for å demonstrere overholdelse av denne avtalen, og skal gi rom for og bidra til revisjoner, inkludert inspeksjoner, av selskapet eller en revisor som er mandat av selskapet i forhold til behandlingen av selskapets personopplysninger av de kontraherte prosessorene.

10.2 Selskapets informasjons- og revisjonsrettigheter oppstår bare under punkt 10.1 i den grad avtalen ikke på annen måte gir dem informasjon og revisjonsrettigheter som oppfyller de relevante kravene i databeskyttelsesloven.

11. Dataoverføring

11.1 Prosessoren kan ikke overføre eller autorisere overføring av data til land utenfor EU og / eller Det europeiske økonomiske området (EØS) uten forutgående skriftlig samtykke fra selskapet. Hvis personopplysninger behandlet i henhold til denne avtalen blir overført fra et land innenfor Det europeiske økonomiske området til et land utenfor Det europeiske økonomiske området, skal partene sikre at personopplysningene er tilstrekkelig beskyttet. For å oppnå dette, skal partene, med mindre annet er avtalt, stole på EU-godkjente standard avtaleklausuler for overføring av personopplysninger.

12. Generelle vilkår

12.1 Taushetsplikt. Hver part må holde denne avtalen og informasjonen den mottar om den andre parten og dens virksomhet i forbindelse med denne avtalen (“konfidensiell informasjon”) konfidensiell og må ikke bruke eller avsløre konfidensiell informasjon uten den forutgående skriftlige samtykke fra den andre parten, bortsett fra til den i den grad at

(a) avsløring kreves av loven;

(b) relevant informasjon allerede er offentlig.

12.2 Merknader. All varsel og kommunikasjon gitt under denne avtalen må være skriftlig og vil bli levert personlig, sendt med post eller sendt per e-post til adressen eller e-postadressen som er angitt i overskriften til denne avtalen på en annen adresse som fra tid til annen blir varslet av partene som skifter adresse.

13. Datahåndtering

Bare ansatte og innleid personell hos leverandøren som har offisielle behov for tilgang til personlig informasjon som styres på vegne av kunden, kan få slik tilgang.

Leverandørens ansatte, samt innleid personell, har taushetsplikt når det gjelder dokumentasjon og personlig informasjon som vedkommende får tilgang til gjennom tjenesten. Bestemmelsen om taushetsplikt gjelder også etter oppsigelse av avtalen. Taushetsplikten gjelder tilsvarende for underleverandører.

15. Tap av data

Getonnet AS / Gethosted.no gir ingen ansvar, garanti, kompensasjon eller garanti for tap av data som er lagret i vår infrastruktur. Selv om vi tar sikkerhetskopier som en høflighet i utvalgte tjenester, er det kundens eneste ansvar å oppbevare og lagre nødvendige sikkerhetskopier offline for å forhindre tap av data.

16. Brudd på

revisjon Kunden kan utøve sin rett til å kontrollere leverandøren av en uavhengig tredjepart bundet av en taushetsplikt (jf. Pkt. 7) for å bekrefte at sikkerhetskravene er oppfylt, at uautorisert bruk av personopplysninger ikke forekommer, og alle relaterte problemer.

En slik revisjon kan være nødvendig en gang i året eller som et resultat av en hendelse i tilfelle en underbygget påstand om misbruk av personopplysninger.

Leverandøren skal bistå med nødvendig oppfølging for at en slik revisjon kan gjennomføres.

Eventuelle funn som et resultat av tilsynet skal evalueres av leverandøren og tiltak iverksatt i henhold til leverandørens egen vurdering.

Alle kostnader som følge av en slik revisjon bæres av kunden. Dette inkluderer kostnader til den uavhengige tredjeparten, kostnader som leverandøren har pådratt seg i form av brukt arbeidstid, materialkostnader og andre kostnader som et resultat av tilsynet.

Leverandøren skal hjelpe Kunden dersom bruk av tjenestene innebærer at Kunden har en plikt til å undersøke personvernkonsekvensene før tjenestene tas i bruk, jfr. det rettslige grunnlaget. Leverandøren kan hjelpe kunden i gjennomføringen av personvernfremmende tiltak hvis en konsekvensutredning viser at dette er nødvendig.