Definitions and interpretation

1.1 Unless otherwise defined herein, activated terms and expressions used in this Agreement shall have the following meanings:

1.1.1 «Agreement» means this data processor agreement and all plans;

1.1.2 «the Company’s personal data» means any personal data processed by a contracted processor on behalf of the Company under or in connection with the main agreement;

1.1.3 «Contract Processor» means a subprocessor;

1.1.4 «Data Protection Laws» means EU data protection laws and, to the extent applicable, data protection or privacy laws of any other country;

1.1.5 «EEA» means the European Economic Area;

1.1.6 «EU Data Protection Law» means EU Directive 95/46 / EC, as transposed into national law in each Member State and as amended, replaced or replaced from time to time, including by the GDPR and laws implementing or supplementing the GDPR;

1.1.7 «GDPR» betyr EUs generelle databeskyttelsesforordning 2016/679;
1.1.8 «dataoverføring» betyr:

1.1.8.1 en overføring av selskapets personopplysninger fra selskapet til en kontraheret prosessor; eller

1.1.8.2 en videreoverføring av selskapets personopplysninger fra en kontraheret prosessor til en underleverandør prosessor, eller mellom to etableringer av en kontraheret prosessor, i hvert tilfelle der slik overføring ville være forbudt i henhold til databeskyttelseslover (eller i henhold til dataene overføringsavtaler som er på plass for å adressere begrensningene for dataoverføring i lovene om databeskyttelse);

1.1.9 «Tjenester» betyr Hosting-tjenestene selskapet leverer.

1.1.10 «underprosessor» betyr enhver person utnevnt av eller på vegne av prosessoren for å behandle personopplysninger på selskapets vegne i forbindelse med avtalen.

1.2 Begrepene, «Kommisjon», «Kontrollør», «Registrert person», «Medlemsstat», «Personopplysninger», «Brudd på personopplysninger», «Behandler» og «Tilsynsmyndighet» skal ha samme betydning som i GDPR , og deres anerkjente vilkår skal tolkes deretter.

2. Behandling av selskapets personopplysninger

2.1 Prosessor skal:

2.1.1 overholde alle gjeldende databeskyttelseslover i behandlingen av selskapets personopplysninger; og

2.1.2 ikke behandle selskapets personopplysninger annet enn på det aktuelle selskapets dokumenterte instruksjoner.

2.2 Selskapet instruerer prosessorer å behandle selskapets personopplysninger.

3. Prosessorens personellprosessor
skal ta rimelige tiltak for å sikre påliteligheten til enhver ansatt, agent eller entreprenør til enhver kontraktert prosessor som kan ha tilgang til selskapets personopplysninger, og i hvert tilfelle sikre at tilgangen er strengt begrenset til de individer som trenger å vite / få tilgang til de relevante selskapets personopplysninger, så strengt nødvendig for formålene med hovedavtalen, og for å overholde gjeldende lover i forbindelse med den enkeltes plikter overfor den kontraherte prosessoren, og sikre at alle slike personer er underlagt konfidensialitetsforetak eller profesjonelle eller lovpålagte taushetsplikter.

4. Sikkerhet

4.1 Under hensyntagen til den moderne teknikken, kostnadene ved implementering og art, omfang, kontekst og formål med prosessering samt risikoen for varierende sannsynlighet og alvorlighetsgrad for rettigheter og friheter til fysiske personer, skal prosessor i i forhold til selskapets personopplysninger iverksetter passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er passende for den risikoen, inkludert, i passende tilfelle, tiltakene nevnt i artikkel 32 nr. 1 i GDPR.

4.2 Ved vurdering av passende sikkerhetsnivå skal prosessoren ta spesielt hensyn til risikoen som blir presentert av behandlingen, særlig fra et brudd på personopplysninger.

5. Underprosessering

5.1 Prosessor skal ikke utnevne (eller avsløre selskapets personopplysninger til) noen underprosessor med mindre dette er påkrevd eller autorisert av selskapet.

6. Rettigheter for registrerte personer

6.1 Under hensyntagen til prosesseringens art skal prosessoren bistå selskapet ved å iverksette passende tekniske og organisatoriske tiltak, så langt dette er mulig, for å oppfylle selskapets forpliktelser, slik selskapet er rimelig forstått, å svare til forespørsler om å utøve rettigheter for dataemner i henhold til databeskyttelseslovene.

6.2 Prosessor skal:

6.2.1 omgående varsle selskapet hvis det mottar en forespørsel fra en registrert i henhold til noen lov om databeskyttelse med hensyn til selskapets personopplysninger; og

6.2.2 sørge for at den ikke svarer på den forespørselen, bortsett fra på de dokumenterte instruksene fra selskapet eller som påkrevd i gjeldende lover som prosessoren er underlagt, i hvilket tilfelle prosessor skal i den utstrekning det er tillatt av gjeldende lover informere selskapet om den lovlige krav før den avtalte prosessoren svarer på forespørselen.

7. Brudd på personopplysninger

7.1 Prosessor skal varsle selskapet uten unødig forsinkelse etter at prosessor blir kjent med et brudd på personopplysninger som påvirker selskapets personopplysninger, og gir selskapet tilstrekkelig informasjon til at selskapet kan oppfylle forpliktelser til å rapportere eller informere datapersonene om personopplysningene Brudd på personvernlovene.

7.2 Prosessor skal samarbeide med selskapet og ta rimelige kommersielle skritt som er pålagt av selskapet for å hjelpe til med etterforskning, avbøtning og sanering av hvert slikt personopplysningsbrudd.

8. Konsekvensanalyse av databeskyttelse og forutgående konsultasjonsprosessor skal gi rimelig hjelp til selskapet med eventuelle konsekvensutredninger for databeskyttelse, og forutgående konsultasjoner med tilsynsmyndigheter eller andre kompetente personvernmyndigheter for data, som selskapet rimelig anser som påkrevd i artikkel 35 eller 36 i GDPR eller tilsvarende bestemmelser i enhver annen databeskyttelseslov, i hvert tilfelle utelukkende i forhold til behandling av selskapets personopplysninger ved, og under hensyntagen til arten av behandlingen og informasjonen som er tilgjengelig for de kontraherte prosessorer.

9. Sletting eller returnering av selskapets personlige data

9.1 Med forbehold om denne paragraf 9 Prosessor skal omgående og under enhver omstendighet innen

10. business days from the date of termination of all services involving the processing of the company’s personal data («Termination Date»), delete and acquire deletion of all copies of the company’s personal data.

10. Auditing rights

10.1 Subject to this section 10, the Processor shall make available to the Company upon request all information necessary to demonstrate compliance with this Agreement, and shall allow for and contribute to audits, including inspections, of the Company or an auditor mandated by the company in relation to the processing of the company’s personal data by the contracted processors.

10.2 The company’s information and auditing rights arise only under section 10.1 to the extent that the agreement does not otherwise provide them with information and auditing rights that meet the relevant requirements of the Data Protection Act.

11. Data transfer

11.1 The processor may not transfer or authorize the transfer of data to countries outside the EU and / or the European Economic Area (EEA) without the prior written consent of the company. If personal data processed under this Agreement is transferred from a country within the European Economic Area to a country outside the European Economic Area, the Parties shall ensure that the personal data are adequately protected. To achieve this, the parties shall, unless otherwise agreed, rely on EU-approved standard agreement clauses for the transfer of personal data.

12. General terms and conditions

12.1 Duty of confidentiality. Each Party shall keep this Agreement and the information it receives about the other Party and its activities in connection with this Agreement («Confidential Information») confidential and shall not use or disclose confidential information without the prior written consent of the other Party, except to it to the extent that

(a) disclosure is required by law;

(b) relevant information is already public.

12.2 Notes. All notice and communication given under this Agreement must be in writing and will be delivered in person, sent by mail or sent by e-mail to the address or e-mail address specified in the title of this Agreement at another address which from time to time will be notified by the parties changing address.

13. Data management

Only employees and hired personnel at the supplier who have official needs for access to personal information managed on behalf of the customer can gain such access.

The supplier’s employees, as well as hired personnel, have a duty of confidentiality with regard to documentation and personal information that the person in question gains access to through the service. The provision on the duty of confidentiality also applies after termination of the agreement. The duty of confidentiality applies correspondingly to subcontractors.

15. Loss of data

Getonnet AS / Gethosted.no gives no responsibility, guarantee, compensation or guarantee for loss of data stored in our infrastructure. Although we take backups as a courtesy in selected services, the customer’s sole responsibility is to store and store necessary backups offline to prevent data loss.

16. Violation of

audit The customer may exercise his right to check the supplier by an independent third party bound by a duty of confidentiality (cf. section 7) to confirm that the security requirements have been met, that unauthorized use of personal data does not occur, and all related problems.

Such an audit may be necessary once a year or as a result of an incident in the event of a substantiated allegation of misuse of personal data.

The supplier shall assist with the necessary follow-up for such an audit to be carried out.

Any findings as a result of the audit shall be evaluated by the supplier and measures implemented in accordance with the supplier’s own assessment.

All costs as a result of such an audit are borne by the customer. This includes costs to the independent third party, costs that the supplier has incurred in the form of spent working time, material costs and other costs as a result of the audit.

The Supplier shall assist the Customer if the use of the services means that the Customer has a duty to investigate the privacy consequences before the services are used, cf. the legal basis. The supplier can assist the customer in the implementation of privacy promotion measures if an impact assessment shows that this is necessary.