Tilbake til Hjem / Generelle vilkår og betingelser/ Databehandlingsvedlegg

Databehandling vedlegg

 

Dette vedlegget utgjør en integrert del av kontrakten og er inngått av:

 

  1. (i) Kunden (" Dataeksportør ")
  2. (ii) POSTCODEZIP (" Dataimportør ")

 

Hver av dem er et " parti " og vanligvis " partier ".

 

Innledning

HVOR Dataimportøren tilbyr profesjonelle programvaretjenester, datamaskiner og relaterte tjenester;

HVOR Dataimportøren i henhold til Kontrakten har samtykket i å levere til Dataeksportøren tjenestene spesifisert i Kontrakten (" Tjenestene ");

HVOR Dataimportøren ved å levere tjenestene mottar eller drar nytte av tilgang til dataeksportørens informasjon eller informasjonen til andre personer som har et (potensielt) forhold til dataeksportøren, kan slik informasjon bli kvalifisert som personopplysninger i henhold til forordningen (EU) 2016/679 fra Europaparlamentet og rådet av 27. april 2016 om beskyttelse av enkeltpersoner angående behandling av personopplysninger og om fri flyt av slike data (" GDPR ") og andre gjeldende databeskyttelseslover.

HVOR dette vedlegget inneholder vilkårene og betingelsene som gjelder for innsamling, behandling og bruk av slike personopplysninger av dataimportøren i egenskap av dataeksportørens autoriserte databehandler, for å sikre at partene overholder gjeldende databeskyttelseslovgivning .

 

DERFOR, og for å gjøre det mulig for partene å fortsette sitt forhold lovlig, har partene konkludert med dette vedlegget som følger:

Del 1

 

1. Dokumentets struktur og definisjoner

1.1 Struktur

Dette vedlegget består av forskjellige deler som følger:

 

Del 1:

inneholder generelle bestemmelser, f.eks. angående definisjonene brukt i dette vedlegget, overholdelse av lokale lover, timing og oppsigelse

Del 2:

inneholder hoveddelen av det uendrede dokumentet om standardkontraktsklausuler

Vedlegg 1.1 i del 2:

inneholder detaljene om behandlingsoperasjonene gitt av dataimportøren til dataeksportøren som autorisert databehandler (inkludert behandlingen, arten og formålet med behandlingen, typen personopplysninger og kategoriene av registrerte personer) under denne blindtarm

Vedlegg 2 til del 2:

inneholder en beskrivelse av Dataimportørens tekniske og organisatoriske sikkerhetstiltak, som anvendes i forbindelse med alle behandlingsaktiviteter beskrevet i vedlegg 1.1 i del 2

Del 3:

inneholder signaturene til partene som skal være bundet av dette vedlegget og identifiserer hver dataimportør

 

1.2 Terminologi og definisjoner

For formålet med dette vedlegget er terminologien og definisjonene som brukes av GDPR gjeldende (i hoveddelen av standardkontraktsklausulen i del 2, der definerte begreper ikke er store). 

 

"Medlemsland"

betyr et land som tilhører Den europeiske union eller det europeiske økonomiske samarbeidsområdet

"Spesielle kategorier av (personlige) data"

refererer til personopplysninger som avslører rase eller etnisk opprinnelse, politiske meninger, religiøse eller filosofiske overbevisninger, eller fagforeningsmedlemskap, og genetiske data, biometriske data, hvis de behandles med det formål å identifisere en person unikt, data om helse, data om en persons kjønn liv eller seksuell legning

"Standard kontraktuelle klausuler"

betyr standardkontraktsklausulene for overføring av personopplysninger til behandlingsagenter etablert i tredjeland, i henhold til kommisjonsavgjørelse 2010/87/EU 5. februar 2010, som ble endret av kommisjonens implementeringsavgjørelse (EU) 2016/2297 16. desember 2016

«Databehandler»?

betyr enhver behandlingsagent, lokalisert innenfor eller utenfor EU/EØS, som samtykker i å motta personopplysninger fra dataimportøren eller en annen behandler av dataimportøren for det eksklusive formålet med behandlingsaktiviteter som skal utføres av dataeksportøren etter at overføring i samsvar med dataeksportørens instruksjoner, vilkårene i dette vedlegget og kontrakten med dataimportøren

 

 

2. Dataeksportørens forpliktelser

2.1 Dataeksportøren har en forpliktelse til å sikre overholdelse av alle gjeldende forpliktelser i henhold til GDPR og enhver annen gjeldende databeskyttelseslov som gjelder for dataeksportøren og til å vise slik samsvar som kreves i artikkel 5 (2) i GDPR. Dataeksportøren garanterer at dataimportøren har innhentet forhåndssamtykke fra de registrerte i samsvar med artikkel 6 (a) i GDPR og har overholdt sin forpliktelse til å informere de registrerte i samsvar med artikkel 13 og 14 i GDPR.

2.2 Dataeksportøren må gi dataimportøren de respektive filene for behandlingsaktivitetene i samsvar med artikkel 30 (1) i GDPR knyttet til tjenestene under dette vedlegget, i den grad det er nødvendig for at dataimportøren skal overholde forpliktelsen iht. Artikkel 30 (2) i GDPR.

2.3 Dataeksportøren må utnevne en databeskyttelsesansvarlig eller representant i den grad det kreves av gjeldende databeskyttelseslovgivning. Dataeksportøren er forpliktet til å gi kontaktinformasjonen til databeskyttelsesagenten eller representanten, hvis noen, til dataimportøren.

2.4. Dataeksportøren bekrefter før fullføring av behandlingen, ved godkjenning av dette vedlegget, at dataimportørens tekniske og organisatoriske sikkerhetstiltak, som angitt i vedlegg 2 til del 2, er hensiktsmessige og tilstrekkelige til å beskytte rettighetene til den registrerte. og bekrefter at dataimportøren gir tilstrekkelige garantier i denne forbindelse.

 

3. Overholdelse av lokal lov

For å oppfylle kravene til implementeringen av behandlingsagentene etter artikkel 28 i GDPR, gjelder følgende endringer:

 

3.1 Instruksjoner

  1. (i) Dataeksportøren instruerer dataimportøren om å behandle personopplysninger kun på vegne av dataeksportøren. Dataeksportørens instruksjoner er gitt i dette vedlegget og i kontrakten. Dataeksportøren har plikt til å sikre at alle instruksjoner ble gitt til dataimportøren er i samsvar med gjeldende databeskyttelseslover. Dataimportøren må kun behandle personopplysninger i samsvar med instruksjonene gitt av dataeksportøren med mindre annet kreves av EU eller loven i medlemsstaten (i sistnevnte tilfelle gjelder del 1, punkt 3.2 (iv) (c)) .
  2. (ii) Alle andre instruksjoner som går utover instruksjonene i dette vedlegget eller i kontrakten må inkluderes i emnet for dette vedlegget og kontrakten. Dersom implementering av denne tilleggsinstruksen innebærer kostnader for dataimportøren, skal dataimportøren informere dataeksportøren om slike kostnader og gi en forklaring før instruksen implementeres. Først etter at Dataeksportøren har bekreftet aksept av disse kostnadene for implementering av instruksen, skal Dataimportøren implementere denne tilleggsinstruksen. Dataeksportøren må gi ytterligere instruksjoner skriftlig med mindre haster eller andre spesifikke omstendigheter krever et annet skjema (f.eks. muntlig, elektronisk). Instruksjoner i annen form enn skriftlig må bekreftes skriftlig og uten opphold av Dataeksportøren.
  3. 1. Med mindre dataeksportøren ikke kan utføre retting, sletting eller begrensning av personopplysninger selv, kan instruksjonene også forholde seg til retting, sletting og/eller begrensning av personopplysninger som angitt i del 1, punkt 3.3.
  4. 2. Dataimportøren må umiddelbart informere dataeksportøren dersom en instruks etter dens mening bryter med GDPR eller andre gjeldende databeskyttelsesbestemmelser i EU eller en medlemsstat (" Disputed Instruction"). Hvis dataimportøren mener at en instruksjon bryter GDPR eller andre gjeldende databeskyttelsesbestemmelser i EU eller en medlemsstat, er ikke dataimportøren forpliktet til å følge den omstridte instruksen. Dersom dataeksportøren bekrefter den omstridte instruksen pr. mottak av informasjon fra dataimportøren og erkjenner sitt ansvar for den omstridte instruksen, skal dataimportøren implementere den omstridte instruksen, med mindre den omstridte instruksen gjelder (i) implementeringen av tekniske og organisatoriske tiltak, (ii) rettighetene til dataene Emner eller (iii) engasjement av databehandlere. I tilfeller (i) til (iii) kan dataimportøren kontakte en kompetent tilsynsmyndighet for å få den omstridte instruksen juridisk evaluert av en slik myndighet.Dersom tilsynsmyndigheten erklærer den påklagede Instruksen for å være lovlig, skal Dataimportøren gjennomføre den påklagede Instruksen. Del 1 Klausul 3.1 (ii) skal fortsatt gjelde.

 

3.2 Dataimportørens forpliktelser

  1. (i) Dataimportøren må sikre at personer som er autorisert av dataimportøren til å behandle personopplysninger på vegne av dataeksportøren, spesielt ansatte hos dataimportøren og ansatte hos enhver underleverandør, har forpliktet seg til å ivareta konfidensialitet eller er underlagt en hensiktsmessig lovfestet taushetsplikt, og at slike personer som har tilgang til personopplysninger behandler disse i henhold til Dataeksportørens instrukser.
  2. (ii) Dataimportøren må implementere de tekniske og organisatoriske sikkerhetstiltakene som er angitt i vedlegg 2 til del 2 før behandling av personopplysningene på vegne av dataeksportøren. Dataimportøren kan endre de tekniske og organisatoriske sikkerhetstiltakene fra tid til annen dersom de ikke gir mindre beskyttelse enn de som er angitt i vedlegg 2 til del 2.
  3. (iii) Dataimportøren skal gjøre tilgjengelig for dataeksportøren, på forespørsel fra dataeksportøren, informasjon for å vise samsvar med dataimportørens forpliktelser i henhold til dette vedlegget. Partene er enige om at denne informasjonsplikten oppfylles ved å gi dataeksportøren en revisjonsrapport (som dekker prinsippsikkerhet, systemtilgjengelighet og konfidensialitet) ("revisjonsrapport"). Hvis ytterligere revisjonsaktiviteter er lovpålagt, kan dataeksportøren be om at inspeksjoner utføres av dataeksportøren eller en annen revisor oppnevnt av dataeksportøren, med forbehold om at en slik revisor utfører en konfidensialitetsavtale med dataimportøren til dataimportørens rimelig tilfredshet ("revisjon"). Denne revisjonen er underlagt følgende betingelser:(i) den formell skriftlige aksepten fra dataimportøren; og (ii) dataeksportøren skal bære alle kostnader knyttet til revisjonen på stedet for dataeksportøren og dataimportøren. Dataeksportøren må lage en revisjonsrapport som oppsummerer resultatene og observasjonene fra On-Site Audit ("On-Site Audit Report"). Revisjonsrapportene på stedet og revisjonsrapportene er konfidensiell informasjon fra dataimportøren og må ikke utleveres til tredjeparter med mindre det kreves av gjeldende databeskyttelseslovgivning eller i samsvar med samtykke fra dataimportøren.Revisjonsrapportene på stedet og revisjonsrapportene er konfidensiell informasjon fra dataimportøren og må ikke utleveres til tredjeparter med mindre det kreves av gjeldende databeskyttelseslovgivning eller i samsvar med samtykke fra dataimportøren.Revisjonsrapportene på stedet og revisjonsrapportene er konfidensiell informasjon fra dataimportøren og må ikke utleveres til tredjeparter med mindre det kreves av gjeldende databeskyttelseslovgivning eller i samsvar med samtykke fra dataimportøren.
  4. (iv) Dataimportøren har en forpliktelse til å varsle dataeksportøren uten unødig opphold:
    1. en. angående enhver juridisk bindende anmodning om utlevering av personopplysninger fra en rettshåndhevelsesmyndighet, med mindre annet er forbudt, for eksempel et forbud i straffeloven for å beskytte konfidensialiteten til en rettshåndhevelsesetterforskning
    2. b. angående enhver klage og forespørsel mottatt direkte fra en registrert (f.eks. angående tilgang, retting, sletting, begrensning av behandling, dataportabilitet, innvendinger mot databehandling, automatisert beslutningstaking) uten å svare på den forespørselen, med mindre dataimportøren har fått tillatelse til å gjør det
    3. c. dersom dataimportøren eller databehandleren er forpliktet, i henhold til EUs lov eller medlemsstaten som dataimportøren eller databehandleren er underlagt, til å behandle personopplysningene utover dataeksportørens instruksjoner, før slik behandling utføres utover instruksjonene, med mindre lover i Den europeiske union eller medlemsstaten forbyr slik behandling på grunnlag av vitale allmenne interesser, i hvilket tilfelle meldingen til dataeksportøren skal spesifisere det juridiske kravet i henhold til den europeiske unions eller medlemsstatens lov; eller
    4. d. dersom Dataimportøren innser en krenkelse av personopplysninger, utelukkende på grunn av seg selv eller sin underleverandør, som vil påvirke Dataeksportørens personopplysninger som omfattes av denne kontrakten, i hvilket tilfelle Dataimportøren vil bistå Dataeksportøren med sin forpliktelse, i forhold til gjeldende databeskyttelseslovgivning, å informere de registrerte og, der det er aktuelt, tilsynsmyndighetene ved å gi informasjonen de har til rådighet, i samsvar med artikkel 33 (3) i GDPR.
    5. (v) På forespørsel fra dataeksportøren skal dataimportøren være tvunget til å bistå dataeksportøren i dens forpliktelse til å gjennomføre en databeskyttelseskonsekvensvurdering som kan kreves av artikkel 35 i GDPR og en forhåndskonsultasjon som kan være nødvendig kreves av artikkel 36 i GDPR angående tjenestene som leveres av dataimportøren til dataeksportøren under dette vedlegget, og gir nødvendig informasjon og informasjon til dataeksportøren. Dataimportøren vil kun være forpliktet til å yte slik bistand dersom dataeksportøren ikke kan oppfylle sin forpliktelse på annen måte. Dataimportøren vil informere dataeksportøren om kostnadene ved slik assistanse. Så snart dataeksportøren har bekreftet at den kan bære denne kostnaden, vil dataimportøren gi dataeksportøren denne hjelpen.
    6. (vi) Ved slutten av leveringen av tjenestene kan dataeksportøren be om tilbakelevering av personopplysningene behandlet av dataimportøren under dette vedlegget innen en måned etter tjenestene. Med mindre lovgivningen i medlemsstaten eller den europeiske union krever at dataimportøren skal lagre eller beholde slike personopplysninger, vil dataimportøren slette alle slike personlige eller ikke-personlige data etter en månedsperiode, enten de er returnert til dataeksportøren på forespørsel eller ikke.

 

3.3 Rettigheter til berørte personer

  1.  
    1. (i) Dataeksportøren administrerer og svarer på forespørsler fra registrerte. Dataimportør er ikke forpliktet til å svare direkte til de registrerte.
    2. (ii) Hvis dataeksportøren trenger dataimportørens bistand til å behandle og svare på den registrertes forespørsler, skal dataeksportøren gi en ytterligere instruks i samsvar med punkt 3.1 (ii) i del 1. Dataimportøren vil bistå dataeksportøren med følgende passende og tekniske organisatoriske tiltak for å svare på forespørsler om utøvelse av rettighetene til registrerte personer som er angitt i kapittel III i GDPR som følger:
    3. en. Når det gjelder forespørsler om informasjon, vil dataimportøren kun gi dataeksportøren den informasjonen som kreves i henhold til artikkel 13 og 14 i PGRD som den måtte ha til rådighet dersom dataeksportøren ikke kan finne den på egen hånd.
    4. b. Når det gjelder forespørsler om tilgang (artikkel 15 i GDPR), vil dataimportøren kun gi dataeksportøren informasjonen som skal gis til en registrert for den nevnte anmodningen om tilgang, som den kan ha til rådighet dersom sistnevnte kan ikke finne det alene.
    5. c. Når det gjelder forespørsler om retting (artikkel 16 i GDPR), forespørsler om sletting (artikkel 17 i GDPR), begrensning av forespørsler om behandling (artikkel 18 i GDPR), eller forespørsler om portabilitet (artikkel 20 i GDPR), og kun hvis dataeksportøren ikke selv kan rette eller slette, begrense eller overføre personopplysningene til en annen tredjepart, vil dataimportøren tilby dataeksportøren muligheten til å rette eller slette, begrense eller overføre de aktuelle personopplysningene til den andre tredjeparten, eller hvis dette ikke er mulig, vil det gi hjelp til å rette eller slette, begrense eller overføre de berørte personopplysningene til den andre tredjeparten.
    6. d. Når det gjelder varsel knyttet til retting, sletting eller begrensning av behandling (artikkel 19 i GDPR), vil dataimportøren bistå dataeksportøren ved å varsle alle mottakere av personopplysninger engasjert av dataimportøren som behandlere dersom dataeksportøren ber om det og dersom dataeksportøren ikke kan avhjelpe situasjonen på egen hånd.
    7. e. Når det gjelder retten til motstand som utøves av en registrert (artikkel 21 og 22 i GDPR) vil dataeksportøren avgjøre om motstanden er legitim og hvordan den skal håndteres.
    8. (iii) Dataimportørens bistandsforpliktelser er begrenset til personopplysninger som behandles innenfor dens infrastruktur (f.eks. databaser, systemer, applikasjoner som eies eller leveres av Dataimportøren).
    9. (iv) Dataeksportøren skal avgjøre om en datasubjekt kan utøve rettighetene til datasubjekter angitt i paragraf 3.1 i denne del 1 og skal informere dataimportøren om i hvilken grad bistanden spesifisert i paragraf 3.3 (ii), ( iii) av del 1 er nødvendig.
    10. (v) Hvis dataeksportøren ber om ytterligere eller modifiserte tekniske og organisatoriske tiltak for å oppfylle rettighetene til registrerte personer som går utover bistanden gitt av dataimportøren under underpunkt 3.3 (ii), (iii) i del 1, vil dataene Importøren skal informere Dataeksportøren om kostnadene ved å implementere slike tilleggs- eller modifiserte tekniske og organisatoriske tiltak. Så snart Dataeksportøren har bekreftet at den kan dekke disse kostnadene, skal Dataimportøren implementere slike ytterligere eller modifiserte tekniske og organisatoriske tiltak for å hjelpe Dataeksportøren med å svare på de registrertes forespørsler.
    11. (vi) Uten å begrense omfanget av paragraf 3.3 (v) i del 1, skal dataeksportøren være forpliktet til å tilbakebetale dataimportøren for rimelige utgifter som påløper ved å svare på de registrertes forespørsler.

 

3.4 Underbehandling

  1.  
    1. (i) Dataeksportøren autoriserer dataimportørens bruk av underleverandører for levering av tjenester under dette vedlegg. Dataimportøren skal velge slike databehandler(e) nøye. Dataeksportøren godkjenner databehandleren(e) oppført i vedlegg 1.1 på slutten av del 2.
    2. (ii) Dataimportøren skal overføre sine forpliktelser i henhold til dette vedlegget til databehandleren(e) i den grad det gjelder tjenestene som er underleverandør.
    3. (iii) Dataimportøren kan avskjedige, erstatte eller utnevne en annen passende og pålitelig databehandler(e) etter eget skjønn. Hvis dataeksportøren skriftlig ber om det, må dataimportøren følge prosedyren angitt nedenfor:
  1.  
    1. en. Dataimportøren skal informere dataeksportøren før endringer i listen over databehandlere referert til under punkt 3.4 (i) i del 1. Dersom dataeksportøren ikke protesterer under punkt 3.4. (b) av del 1 tretti dager etter mottak av melding fra dataimportøren, skal de ytterligere databehandlerne anses å være akseptert.
    2. b. Dersom Dataeksportøren har en legitim grunn til å protestere mot en ekstra Databehandler, vil den gi skriftlig forhåndsvarsel til Dataimportøren innen tretti dager etter mottak av Dataimportørens melding og før Dataimportørens tjeneste settes i drift. Hvis dataeksportøren protesterer mot bruken av en ekstra databehandler, kan dataimportøren fjerne innsigelsen ved ett av følgende alternativer (valgt etter eget skjønn): (A) dataimportøren vil kansellere sine planer om å bruke en ekstra databehandler mht. dataeksportørens personopplysninger; (B) Dataimportøren vil ta de korrigerende tiltakene som Dataeksportøren har bedt om i sin innsigelse (avbryte innsigelsen) og bruke den ekstra databehandleren angående dataeksportørens personopplysninger;(C) Dataimportøren kan slutte å levere eller dataeksportøren kan godta å ikke bruke (midlertidig eller permanent) et bestemt aspekt av tjenesten som vil innebære bruk av dataeksportørens videre behandler av dataeksportørens personopplysninger.
  2.  
    1. (iv) hvis databehandleren er basert utenfor EU-EØS i et land som ikke er anerkjent som å tilby et tilstrekkelig nivå av databeskyttelse etter en beslutning fra EU-kommisjonen, vil dataimportøren iverksette tiltak for å overholde et tilstrekkelig nivå av databeskyttelse i samsvar med GDPR (slike tiltak kan omfatte - blant annet og - bruk av databehandlingskontrakter basert på klausulene i EU-modellen, overføring til selvsertifiserte databehandlere innenfor rammen av EU-US Protection Shield , eller et lignende program).

 

3.5 Utløp

Utløpet av dette vedlegget er identisk med utløpsdatoen for den tilsvarende kontrakten. Med mindre annet er angitt i dette vedlegget, skal rettighetene og pliktene knyttet til oppsigelse være de samme som er inkludert i kontrakten.

 

4. Ansvarsbegrensning

4.1 Hver part håndterer sine forpliktelser i henhold til dette vedlegget og gjeldende databeskyttelseslovgivning.

4.2 Ethvert ansvar knyttet til brudd på forpliktelsene i henhold til dette tillegget eller gjeldende databeskyttelseslovgivning skal være underlagt og styrt av ansvarsbestemmelsene fastsatt i eller gjeldende for kontrakten, med mindre annet er angitt i dette tillegget. Hvis ansvar styres av ansvarsbestemmelsene fastsatt i eller gjeldende for Kontrakten, for å beregne ansvarsgrenser eller bestemme anvendelsen av andre ansvarsbegrensninger, skal ethvert ansvar som oppstår under dette vedlegget anses å oppstå under Kontrakten.

 

5. Generelle bestemmelser

5.1 Hvis det er uoverensstemmelser eller uoverensstemmelser mellom del 1 og 2 i dette vedlegget, skal del 2 ha forrang. Spesifikt, selv i et slikt tilfelle, skal del 1 som ganske enkelt går utover del 2 (dvs. vilkårene i standardklausuler) uten å motsi den, forbli gyldig.

5.2 Hvis det oppstår uoverensstemmelser mellom bestemmelsene i dette vedlegget og bestemmelsene i andre kontrakter som binder partene, skal dette vedlegget ha forrang med hensyn til partenes databeskyttelsesforpliktelser. Ved tvil om klausuler i andre kontrakter angår partenes databeskyttelsesforpliktelser, skal dette vedlegget ha forrang.

5.3 Hvis noen bestemmelse i dette tillegget er ugyldig eller ikke kan håndheves, skal resten av dette tillegget forbli i full kraft og virkning. Den ugyldige eller ikke-gjennomførbare bestemmelsen vil bli (i) endret for å sikre dens gyldighet og håndhevbarhet, samtidig som partenes intensjon så langt som mulig bevares, eller - hvis dette ikke er mulig - (ii) tolkes som om den ugyldige eller ugjennomførbare delen hadde aldri vært en del av kontrakten. Det foregående gjelder også dersom det er en utelatelse i dette vedlegg.

5.5 I den grad det er nødvendig, kan partene be om endringer i del 1, klausul 3 (overholdelse av lokal lov) eller andre deler av vedlegget for å overholde tolkninger, direktiver eller pålegg utstedt av de kompetente myndigheter i unionen eller Medlemsstater, nasjonale håndhevingsbestemmelser eller andre juridiske utviklinger angående GDPR eller andre vilkår for delegering til enheter som er involvert i databehandling og spesifikt angående bruken av standardkontraktsklausulene i GDPR. Vilkårene i standardkontraktsklausulene kan ikke endres eller erstattes med mindre EU-kommisjonen uttrykkelig godkjenner det (f.eks. med nye passende klausuler og databeskyttelsesstandarder).

5.6 Enhver henvisning i dette tillegget til "Klausulene" skal forstås å referere til alle bestemmelsene i dette tillegget med mindre annet er angitt.

5.7 Lovvalget i del 2, punkt 9 gjelder hele Kontrakten.

 

6.  Personopplysninger overført og behandlet av partene for personlige formål (overføring fra behandlingsansvarlig til behandlingsansvarlig)

6.1 Partene vet fullt ut at visse personopplysninger vil bli overført fra Dataeksportøren til Dataimportøren og omvendt, og at slike data behandles av hver Part for sine egne formål. Når det gjelder slike personopplysninger, påvirker det ikke de andre bestemmelsene i dette vedlegget (bortsett fra denne klausulen 6).

6.2 Dataeksportøren kan overføre personopplysninger knyttet til dataimportørens ansatte til dataimportøren, inkludert informasjon om sikkerhetshendelser, eller andre dokumenter eller filer opprettet eller etablert av dataeksportøren i forbindelse med tjenestene levert av personalet på dataimportøren. Dataimportøren kan behandle slike personopplysninger for sine egne formål, spesielt i sine profesjonelle forhold til Dataimportørens personell, for kvalitetskontroll og opplæring, eller for forretningsformål.

6.3. Dataimportøren kan overføre personopplysninger til dataeksportøren, inkludert navn og kontaktinformasjon til dataimportørens personell. Dataeksportøren kan behandle slike personopplysninger til egne formål.

6.4 Begge parter skal overholde alle gjeldende databeskyttelseslover, inkludert GDPR, ved innsamling, behandling og bruk av slike personopplysninger mottatt fra den andre parten under punkt 1 i del 1. Spesielt skal begge parter ta tilstrekkelige sikkerhetstiltak, forutsatt at et tilsvarende beskyttelsesnivå som sikkerhetstiltakene angitt i vedlegg 2 i del 2. Enhver tilgang til slike personopplysninger skal begrenses til behovet for å kjenne dem.

6.5 Begge parter må slette slike personopplysninger så snart som mulig etter at målene er oppnådd.

Del 2

 

KOMMISSJONENS BESLUTNING

den 5. februar 2010

om standard kontraktsbestemmelser for overføring av personopplysninger til databehandlere etablert i tredjepartsland i henhold til 95/46/EF-direktivet til Europaparlamentet og rådet

 

 

 

Klausul 1

Definisjoner

I betydningen av klausulene:

a) «personopplysninger», «spesielle kategorier av data», «behandling/behandling», «kontrollør», «behandler», «registrerte» og «tilsynsmyndighet» skal ha samme betydning som i 95/46/EF Europaparlamentets og rådets direktiv av 24. oktober 1995 om beskyttelse av enkeltpersoner i forbindelse med behandling av personopplysninger og om fri flyt av slike opplysninger (1);

b) "Dataeksportøren" er den behandlingsansvarlige som overfører personopplysningene;

c) "Dataimportøren" er databehandleren som godtar å motta personopplysninger fra dataeksportøren som skal behandles på vegne av dataeksportøren etter overføringen i samsvar med dens instruksjoner og vilkårene i disse klausulene, og som ikke er underlagt mekanismen til et tredjeland som sikrer tilstrekkelig beskyttelse i henhold til artikkel 25 nr. 1 i direktiv 95/46/EF; (d) "Databehandler" betyr databehandleren engasjert av dataimportøren eller av en annen databehandler til dataimportøren som samtykker i å motta personopplysninger fra dataimportøren eller en annen databehandler av dataimportøren utelukkende for behandlingsaktiviteter til utføres på vegne av dataeksportøren etter overføringen i samsvar med instruksjonene fra dataeksportøren,under betingelsene angitt i disse klausulene og under vilkårene i den skriftlige underleverandøren av databehandlingskontrakten;

e) «gjeldende databeskyttelseslovgivning» betyr lovgivningen som beskytter enkeltpersoners grunnleggende rettigheter og friheter, inkludert retten til privatliv angående behandling av personopplysninger, og som gjelder for en behandlingsansvarlig i medlemsstaten der dataeksportøren er etablert;

f) «tekniske og organisatoriske tiltak knyttet til sikkerhet»? betyr tiltak som har til hensikt å beskytte personopplysninger mot utilsiktet eller ulovlig ødeleggelse eller utilsiktet tap, endring, uautorisert utlevering eller tilgang, spesielt der behandlingen involverer overføring av data over nettverk, og mot alle andre ulovlige former for behandling.

Klausul 2

Detaljer om overføringen

Detaljene for overføringen, inkludert, der det er hensiktsmessig, spesielle kategorier av personopplysninger, er spesifisert i vedlegg 1, som utgjør en integrert del av disse klausulene.

Klausul 3

Tredjepartsbegunstigetsklausul

1. Den registrerte kan påtvinge dataeksportøren denne klausulen, klausul 4(b) til (i), klausul 5(a) til (e) og (g) til (j), klausul 6 (1) og (2) ), klausul 7, klausul 8(2) og klausul 9 til 12 som en tredjepartsbegunstiget

2. Den registrerte kan håndheve denne klausulen, klausul 5 (a) til (e) og (g), klausul 6, klausul 7, klausul 8 (2) og klausul 9 til 12 mot dataimportøren der dataeksportøren fysisk har forsvunnet eller har opphørt å eksistere i lov, med mindre alle hans juridiske forpliktelser er overført, ved kontrakt eller ved lov, til den etterfølgende enheten, som dataeksportørens rettigheter og forpliktelser derfor går tilbake til, og som dataene subjektet kan derfor håndheve nevnte klausuler.

Den registrerte kan håndheve denne klausulen, klausul 5 (a) til (e) og (g), klausul 6, klausul 7, klausul 8 (2) og klausul 9 til 12 mot databehandleren, men bare i tilfeller der dataene Eksportøren og dataimportøren har fysisk forsvunnet, opphørt å eksistere i loven eller har blitt insolvente, med mindre alle de juridiske forpliktelsene til dataeksportøren har blitt overført, ved kontrakt eller ved lov, til den juridiske etterfølgeren, som rettighetene og Dataeksportørens forpliktelser er derfor opptjent, og mot hvem den registrerte derfor kan håndheve slike klausuler. Slikt ansvar for databehandleren må begrenses til egne behandlingsaktiviteter i henhold til disse klausulene.

4. Partene motsetter seg ikke at den registrerte blir representert av en forening eller annet organ dersom han eller hun ønsker det og dersom nasjonal lovgivning tillater det.

Klausul 4

Dataeksportørens forpliktelser

Dataeksportøren godtar og garanterer følgende:

a) behandlingen, inkludert den faktiske overføringen av personopplysninger, har blitt og vil fortsette å bli utført i samsvar med de relevante bestemmelsene i gjeldende databeskyttelseslovgivning (og, der det er aktuelt, har blitt varslet til vedkommende myndigheter i medlemsstaten) hvor dataeksportøren er basert) og ikke bryter de relevante bestemmelsene i den staten;

b) de har instruert, og vil instruere dataimportøren under varigheten av behandlingstjenestene for personopplysninger om å behandle personopplysningene som er overført på vegne av dataeksportøren og i samsvar med gjeldende databeskyttelseslovgivning og disse klausulene;

c) Dataimportøren vil gi tilstrekkelige garantier angående de tekniske og organisatoriske sikkerhetstiltakene spesifisert i vedlegg 2 til denne kontrakten;

d) etter evaluering av kravene i gjeldende databeskyttelseslovgivning, er sikkerhetstiltakene tilstrekkelige for å beskytte personopplysninger mot utilsiktet eller ulovlig ødeleggelse eller utilsiktet tap, endring, uautorisert avsløring eller tilgang, spesielt der behandlingen involverer overføring av data over et nettverk, og mot alle andre ulovlige former for behandling og sikre et sikkerhetsnivå som er passende for risikoene som representeres av behandlingen og arten av dataene som skal beskyttes, med hensyn til teknologinivået og kostnadene ved implementering;

e) de vil sikre overholdelse av sikkerhetstiltak;

f) dersom overføringen gjelder spesielle kategorier av data, har den registrerte blitt informert eller vil bli informert før overføringen, eller så snart som mulig etter overføringen, at hans eller hennes data kan overføres til et tredjeland som ikke tilbyr et tilstrekkelig beskyttelsesnivå i henhold til direktiv 95/46/EF;

g) de vil videresende enhver melding mottatt fra dataimportøren eller en databehandler i henhold til paragraf 5 (b) og 8 (3) til tilsynsmyndigheten for databeskyttelse dersom den bestemmer seg for å fortsette overføringen eller å oppheve suspensjonen;

h) de skal gjøre tilgjengelig for registrerte, hvis de ber om det, en kopi av disse klausulene, bortsett fra vedlegg 2, og en oppsummerende beskrivelse av sikkerhetstiltakene, og en kopi av enhver ytterligere underleverandøravtale, inngått i henhold til disse klausulene, med mindre Klausuler eller avtalen inneholder kommersiell informasjon, i så fall kan han trekke tilbake slik informasjon;

i) i tilfelle underleverandør av databehandlingsprosessen, utføres behandlingsaktiviteten i samsvar med punkt 11 av en databehandler som gir minst samme nivå av beskyttelse av personopplysninger og registrerte rettigheter som dataimportøren i henhold til disse klausulene ; og

j) det vil sikre samsvar med punkt 4 (a) til (i).

Klausul 5

Dataimportørens forpliktelser

Dataimportøren godtar og garanterer følgende:

a) de vil behandle personopplysningene kun på vegne av dataeksportøren og under dataeksportørens instruksjoner og disse klausulene; hvis den av en eller annen grunn ikke kan overholde, samtykker de i å informere dataeksportøren om sin manglende evne så snart som mulig, i så fall kan dataeksportøren suspendere dataoverføringen og/eller avslutte kontrakten;

b) de har ingen grunn til å tro at loven som gjelder for dem hindrer ham i å oppfylle instruksjonene gitt av dataeksportøren og forpliktelsene som påhviler ham i henhold til kontrakten, og dersom slik lov er gjenstand for en endring som kan ha en vesentlig negativ virkning på garantiene og forpliktelsene i henhold til klausulene, skal han varsle dataeksportøren om endringen uten forsinkelse etter å ha blitt oppmerksom på den, i så fall kan dataeksportøren suspendere dataoverføringen og/eller avslutte kontrakten; (c) de har implementert de tekniske og organisatoriske sikkerhetstiltakene spesifisert i vedlegg 2 før behandlingen av de overførte personopplysningene;

d) de vil varsle dataeksportøren uten forsinkelse:

i) enhver bindende anmodning om utlevering av personopplysninger fra en rettshåndhevelsesmyndighet, med mindre annet er spesifisert, for eksempel et strafferettslig forbud som tar sikte på å bevare hemmeligholdet til en politietterforskning;

ii) enhver tilfeldig eller uautorisert tilgang; og

iii) enhver forespørsel mottatt direkte fra de berørte personene uten å svare på den med mindre han har fått fullmakt til det; administratorer

e) de vil behandle alle henvendelser fra dataeksportøren omgående og på riktig måte angående dens behandling av personopplysningene som overføres, og vil handle under tilsynsmyndighetens mening angående behandlingen av de overførte dataene;

f) på anmodning fra dataeksportøren vil de utsette databehandlingsanleggene for en revisjon av behandlingsaktivitetene som omfattes av disse klausulene som skal utføres av dataeksportøren eller et tilsynsorgan bestående av uavhengige medlemmer med de nødvendige faglige kvalifikasjonene, underlagt taushetsplikt og valgt av dataeksportøren, der det er hensiktsmessig med samtykke fra tilsynsmyndigheten;

g) de vil gjøre tilgjengelig for den registrerte, hvis han ber om det, en kopi av disse klausulene, eller enhver eksisterende underleverandør av databehandlingskontrakten, med mindre klausulene eller kontrakten inneholder kommersiell informasjon, i hvilket tilfelle den kan fjerne slike informasjon, bortsett fra vedlegg 2, som vil bli erstattet av en oppsummerende beskrivelse av sikkerhetstiltakene, der den registrerte ikke kan få en kopi fra dataeksportøren;

h) i tilfelle av konfidensiell videre underleverandør av databehandlingen, vil han sørge for at han informerer dataeksportøren på forhånd og innhenter dataeksportørens skriftlige samtykke;

i) behandlingstjenestene levert av databehandleren skal være i samsvar med punkt 11;

j) de vil umiddelbart sende en kopi av enhver underleverandør av databehandlingsavtalen inngått av den under disse klausulene til dataeksportøren.

Klausul 6

Ansvar

1. Partene er enige om at ethvert datasubjekt som har lidd skade på grunn av brudd på forpliktelsene nevnt i punkt 3 eller punkt 11 av en part eller av en databehandler kan få erstatning fra dataeksportøren for skaden som er påført.

2. Dersom en registrert er forhindret i å reise et erstatningssøksmål som nevnt i paragraf 1 mot dataeksportøren for manglende overholdelse av noen av sine forpliktelser i henhold til punkt 3 eller punkt 11 fra dataimportørens eller databehandlerens side. Eksportøren har fysisk forsvunnet, opphørt å eksistere i loven eller har blitt insolvent, samtykker Dataimportøren i at den registrerte kan sende inn en klage mot den som om den var Dataeksportøren med mindre alle juridiske forpliktelser til Dataeksportøren er overført, ved kontrakt eller ved lov, til dens etterfølgerenhet, som den registrerte deretter kan håndheve sine rettigheter mot. Dataimportøren kan ikke stole på brudd på sine forpliktelser fra en databehandler for å unngå sitt eget ansvar.

3. Dersom en registrert er forhindret i å reise saksbehandlingen nevnt i paragraf 1 og 2 mot dataeksportøren eller dataimportøren for databehandlerens brudd på sine forpliktelser i henhold til punkt 3 eller punkt 11 fordi dataeksportøren og dataimportøren har fysisk forsvunnet, opphørt å eksistere i loven eller har blitt insolvent, samtykker Databehandleren i at den registrerte kan sende inn en klage mot den vedrørende sine egne behandlingsaktiviteter i samsvar med disse punktene som om den var Dataeksportøren eller Dataimportøren med mindre alle juridiske forpliktelser til dataeksportøren eller dataimportøren har blitt overført, ved kontrakt eller ved lov, til den juridiske etterfølgeren, som den registrerte deretter kan gjøre sine rettigheter gjeldende overfor.Databehandlerens ansvar må begrenses til egne behandlingsaktiviteter i henhold til disse punktene.

 

Klausul 7

Mekling og jurisdiksjon

1. Dataimportøren godtar at dersom den registrerte i henhold til klausulene påberoper seg rettigheten til tredjepartsbegunstigede mot ham og/eller krever kompensasjon for skaden påført, vil han godta avgjørelsen til den registrerte:

a) å sende tvisten til mekling av en uavhengig person eller, der det er hensiktsmessig, tilsynsmyndigheten;

b) å bringe tvisten inn for domstolene i medlemsstaten der dataeksportøren er basert.

2. Partene er enige om at valget som den registrerte har tatt, ikke skal påvirke den registrertes prosessuelle eller materielle rett til å få oppreisning i samsvar med andre bestemmelser i nasjonal eller internasjonal lov.

Klausul 8

Samarbeid med tilsynsmyndigheter

1. Dataeksportøren godtar å deponere en kopi av denne kontrakten hos tilsynsmyndigheten hvis sistnevnte krever det eller dersom slik deponering er foreskrevet av gjeldende databeskyttelseslovgivning.

2. Partene er enige om at tilsynsmyndigheten kan foreta kontroller hos Dataimportøren og enhver Databehandler i samme omfang og på samme vilkår som ved kontroller utført hos Dataeksportøren i henhold til gjeldende personvernlovgivning.

3. Dataimportøren skal informere dataeksportøren så snart som mulig om eksistensen av lovgivning vedrørende dataimportøren eller enhver databehandler som hindrer verifisering hos dataimportøren eller en databehandler i samsvar med paragraf 2. I et slikt tilfelle skal Dataeksportøren kan treffe tiltakene fastsatt i punkt 5 (b).

Klausul 9

Gjeldende lov

Klausulene gjelder og er underlagt loven i medlemsstaten der dataeksportøren er basert.

Klausul 10

Endring av kontrakten

Partene forplikter seg til ikke å endre disse klausulene. Partene står fritt til å inkludere andre kommersielle klausuler som de anser nødvendige, forutsatt at de ikke er i strid med de foreliggende klausuler.

Klausul 11

Påfølgende underentreprise

1. Dataimportøren skal ikke legge ut noen av sine behandlingsaktiviteter utført på vegne av dataeksportøren i henhold til disse klausulene uten skriftlig forhåndssamtykke fra dataeksportøren. Dataimportøren skal kun legge ut sine forpliktelser i henhold til disse klausulene, med samtykke fra dataeksportøren, gjennom en skriftlig avtale med databehandleren som pålegger databehandleren de samme forpliktelsene som de som pålegges dataimportøren i henhold til disse klausulene. Hvis databehandleren ikke kan overholde sine databeskyttelsesforpliktelser i henhold til den skriftlige avtalen, skal dataimportøren forbli fullt ansvarlig overfor dataeksportøren for oppfyllelsen av disse forpliktelsene.

2. Den skriftlige forhåndsavtalen mellom dataimportøren og databehandleren skal også inneholde en tredjepartsbegunstigetsklausul som angitt i punkt 3 for tilfeller der den registrerte er forhindret fra å fremme erstatningskravet nevnt i punkt 6 (1) ), mot dataeksportøren eller dataimportøren fordi dataeksportøren eller dataimportøren fysisk har forsvunnet, opphørt å eksistere i loven eller har blitt insolvent og alle juridiske forpliktelser til dataeksportøren eller dataimportøren ikke er overført, ved kontrakt eller ved operasjon loven, til en annen etterfølger enhet. Databehandlerens ansvar må begrenses til egne behandlingsaktiviteter i henhold til disse punktene.

3. Bestemmelsene knyttet til databeskyttelsesaspektene ved underleverandør av databehandlingen av kontrakten nevnt i nr. 1 skal reguleres av loven i medlemsstaten der dataeksportøren er etablert.

4. Dataeksportøren skal føre en liste over underleverandørene av databehandlingsavtalene som er inngått i henhold til disse punktene og varslet av dataimportøren i samsvar med punkt 5 (j), som skal oppdateres minst én gang i året. Denne listen skal gjøres tilgjengelig for dataeksportørens databeskyttelsesmyndighet.

Klausul 12

Plikt etter opphør av behandling av personopplysninger

1. Partene er enige om at etter fullføring av databehandlingstjenestene vil dataimportøren og databehandleren, når det passer dataeksportørens bekvemmelighet, returnere alle overførte personopplysninger og kopier av disse til dataeksportøren, eller ødelegge alle slike data og fremlegge bevis ødeleggelsen til Dataeksportøren, med mindre lovgivning pålagt Dataimportøren hindrer denne i å returnere eller ødelegge hele eller deler av de overførte personopplysningene. I så fall garanterer Dataimportøren at den vil sikre konfidensialiteten til de overførte personopplysningene og at den ikke lenger aktivt vil behandle dataene.

2. Dataimportøren og databehandleren skal sørge for at de, hvis dataeksportøren og/eller tilsynsmyndigheten ber om det, vil underkaste sine midler for databehandling verifisering av tiltakene nevnt i nr. 1.

 

 

 

 

Vedlegg 1.1 til del 2

Detaljer om overføringen

 

 

Dataeksportør

Dataeksportøren er kunden definert i kontraktsavtalen.

 

Dataimportør

Dataimportøren er POSTCODEZIP og er tildelt til å behandle dataene og levere tjenester til dataeksportøren.

 

Emner for dataene

Personopplysningene som overføres gjelder følgende kategorier av registrerte:

en?? telefonabonnenter oppført i den universelle katalogen

â˜' Andre, inkludert:

 

Kategorier av data

Personopplysningene som overføres gjelder følgende datakategorier:

 

Kategorier av personopplysninger om dataeksportørens registrerte subjekter, spesielt,

en?? Fullt navn

â˜' Postadresse

en?? Kontaktinformasjon (e-post, telefon, IP-adresse, etc.)

en?? Detaljer om markedsføringsaktiviteter vedrørende telefonabonnenten

â˜' Andre, inkludert boligtype, inntekt og gjennomsnittsalder av byen gjort anonymt

 

Spesielle kategorier av data (hvis aktuelt)

De overførte personopplysningene gjelder følgende spesielle datakategorier:

â˜' Overføring av spesielle kategorier av data er ikke forutsett

en?? Rase eller etnisk opprinnelse

en?? Religiøs eller filosofisk tro

en?? Fagforeningsmedlemskap

en?? Politiske Synspunkter

en?? Genetisk informasjon

en?? Biometrisk informasjon

en?? Informasjon om seksuell legning eller seksualliv

en?? Helsedata

 

Behandlingsaktiviteter

Personopplysningene som overføres vil være gjenstand for følgende grunnleggende behandlingsaktiviteter:

 

  •  
    • •  Formålet med behandlingen

Behandlingen som utføres på vegne av dataeksportøren er basert på følgende emner, spesielt:

â˜' Ta ansvar for produktene eller tjenestene som tilbys av dataeksportøren

â˜' Tilbudet om et produkt eller en tjeneste som den oppringte personen kan be om

â˜' Bestillinger tatt fra personene som ble kalt og videre behandling av disse bestillingene

â˜' Studer spørreskjemaer og analyser

â˜' Telemarketing

en?? Andre, inkludert:

 

  •  
    • •  Arten og formålet med behandlingen

Dataimportøren behandler personopplysningene til de registrerte på vegne av dataeksportøren, for å kunne tilby følgende tjenester, og spesielt:

  • â˜' Automatisk skjemautfylling
  • â˜' Adresser valideringsskjema

â˜' Salg og markedsføring

â˜' Andre, inkludert oppdatering av databaser over rådhus og politiske partier

 

  •  
    • •  Ytelse av tjenester og ansettelse av tjenestetilbydere

 

POSTCODEZIP kombinerer, sentraliserer og leverer tjenester til dataeksportøren. Tjenestene som tilbys av den navngitte tjenesteleverandøren kan være strukturert (blant annet etter behov) rundt følgende tilleggstjenester: (i) levering av applikasjoner, verktøy, systemer og IT-infrastruktur i forhold til databehandlingssentralene som brukes, for å tilby og støtte tjenestene, inkludert behandlingen av personopplysningene til de registrerte som beskrevet ovenfor, via slike applikasjoner, verktøy og systemer, (ii) levering av IT-støtte, vedlikehold og andre tjenester knyttet til slike applikasjoner, verktøy, systemer og IT-infrastruktur, inkludert potensiell tilgang til personopplysninger som er lagret i slike applikasjoner, verktøy og systemer, og (iii) levering av databeskyttelsestjenester, beskyttelsesovervåking og hendelsesresponstjenester,inkludert potensiell tilgang til personopplysninger når du tilbyr slike beskyttelsestjenester. POSTCODEZIP kan engasjere databehandlere som angitt nedenfor for å levere tjenestene, inkludert tilleggstjenester.

 

  •  
    • • Eksterne tredjeparts tjenesteleverandører som underenheter tildelt databehandling

 

POSTCODEZIP engasjerer eksterne og tredjeparts tjenesteleverandører, som ikke er datterselskaper av POSTCODEZIP, for å støtte levering av tjenester til dataeksportøren. Dataeksportøren godkjenner slike eksterne tredjeparts tjenesteleverandører som underenheter tildelt til databehandling.

 

Hvis en underenhet involvert i databehandling er lokalisert utenfor EU/EØS, i et land som anses å ikke ha et tilstrekkelig nivå av databeskyttelse i henhold til en beslutning fra EU-kommisjonen, vil dataimportøren ta skritt for å oppnå et tilstrekkelig nivå av databeskyttelse i henhold til GDPR og avsnitt 3.4 (iv) i del 1.

 

 

Vedlegg 2, del 2

Tekniske og organisatoriske beskyttelsestiltak

 

Dataimportøren skal ta følgende tekniske og organisatoriske beskyttelsestiltak bekreftet av dataeksportøren, for å garantere et passende sikkerhetsnivå for rettigheter og friheter til enkeltpersoner, avhengig av risikoene. Ved vurderingen av det aktuelle beskyttelsesnivået har dataeksportøren spesielt vurdert risikoene som er involvert i behandlingen, inkludert utilsiktet eller ulovlig ødeleggelse, endring, uautorisert avsløring eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet. Ved presisering: Disse tekniske og organisatoriske beskyttelsestiltakene gjelder ikke for applikasjonene, verktøyene, systemene og/eller IT-infrastrukturen levert av dataeksportøren.

1 Generelle tekniske og organisatoriske vernetiltak

1.1 Generell informasjon og databeskyttelsesstrategier

Følgende skritt bør tas for å følge generelle data- og informasjonsbeskyttelsesstrategier:

  • a) treffe tiltak for å evaluere de som er tatt angående teknisk og organisatorisk beskyttelse;
  • b) gi opplæring for å øke bevisstheten blant ansatte;
  • c) ha en beskrivelse av de aktuelle systemene og gi tilgang til ansatte;
  • d) etablere en formell dokumentasjonsprosess når systemer implementeres eller modifiseres;
  • e) dokumentere organisasjonsstruktur, prosesser, ansvar og respektive evalueringer;

1.2 Organisering av informasjonsbeskyttelse

Følgende tiltak bør iverksettes for å koordinere data- og informasjonsbeskyttelsesaktiviteter:

  • a) definerte ansvarsområder for beskyttelse av informasjon og data (f.eks. gjennom databeskyttelsespolitikken);
  • b) nødvendig ekspertise for å beskytte informasjon og data som forblir tilgjengelig;
  • c) alle ansatte er forpliktet til å sikre at personopplysninger holdes konfidensielle, og har blitt informert om de potensielle konsekvensene av å bryte denne forpliktelsen.

1.3 Adgangskontroll til behandlingsområder

Følgende tiltak må iverksettes for å forhindre at uvedkommende får tilgang til databehandlingssystemer (spesielt programvare og maskinvare) når personopplysninger behandles, lagres eller overføres:

  • a) etablere sikre områder;
  • b) beskytte og begrense tilgang til databehandlingssystemer;
  • c) etablere tilgangsgodkjenninger for ansatte og tredjeparter, inkludert de respektive dokumentene;
  • d) all tilgang til databehandlingssentraler hvor personopplysninger lagres skal logges.

1.4 Adgangskontroll til databehandlingssystemer

Følgende tiltak må iverksettes for å hindre uautorisert tilgang til databehandlingssystemer:

  • a) retningslinjer og prosedyrer for brukerautentisering;
  • b) bruk av passord på alle datasystemer;
  • c) fjerntilgang til nettverket krever multifaktorautentisering og gis til den berørte personen i henhold til deres ansvar og etter autorisasjon;
  • d) tilgang til spesifikke funksjoner er basert på jobbfunksjoner og/eller attributter individuelt tildelt en brukers konto;
  • e) tilgangsrettigheter knyttet til personopplysninger gjennomgås regelmessig;
  • f) journal over endringer i tilgangsrettigheter holdes oppdatert.

1.5 Kontrollere tilgang til bestemte bruksområder for databehandlingssystemer

Følgende tiltak må iverksettes for å sikre at autoriserte personer med rett til å bruke databehandlingssystemet kun kan få tilgang til data innenfor sine respektive ansvarsområder og tilgangsfullmakter, og at personopplysninger ikke kan leses, kopieres, endres eller slettes uten autorisasjon:

  1. 1. 
    1. a) retningslinjer, instruksjoner og opplæring av ansatte, angående forpliktelsene til hver av dem om konfidensialitet, rett til tilgang til personopplysninger og omfanget av behandlingen av personopplysninger;
  • b) disiplinære tiltak mot personer som får tilgang til personopplysninger uten autorisasjon;
  • c) tilgang til personopplysninger skal kun gis til autoriserte personer, på et behov for å vite-basis;
  • d) opprettholde en liste over systemadministratorer og iverksette passende tiltak for å overvåke systemadministratorer;
  • e) ikke å kopiere eller reprodusere personopplysninger på noe lagringssystem for å gjøre det mulig for uautoriserte personer å fjerne informasjonen til opphavsmannen;
  • f) kontrollert og dokumentert sletting eller ødeleggelse av data;
  • g) å lagre sikkert alle personopplysninger som må oppbevares av juridiske eller regulatoriske årsaker (f.eks. forpliktelser til å oppbevare data), og bare så lenge som loven krever.

1.6 Transmisjonskontroll

Følgende tiltak må iverksettes for å forhindre at personopplysninger leses, kopieres, endres eller slettes av uautoriserte tredjeparter under overføring eller transport av datalagringsenheter (avhengig av behandlingen av personopplysninger som foretas):

  1. 1. 
    1. a) bruk av brannmurer;
  • b) unngå lagring av personopplysninger på mobile lagringsenheter for transportformål, eller kryptering av enhetene;
  • c) kun bruk på bærbare datamaskiner og andre mobile enheter etter at krypteringsbeskyttelsen er aktivert;
  • d) logging av persondataoverføringer.

1.7 Dataregistreringskontroll

Følgende tiltak må iverksettes for å sikre at det er mulig å verifisere og fastslå om personopplysninger er lagt inn eller slettet fra databehandlingssystemer og av hvem:

  1. 1. 
    1. a) en policy for godkjenning av lesing, endring og sletting av lagrede data;
  • b) beskyttelsestiltak vedrørende lesing, endring og sletting av lagrede data.

1.8 Arbeidskontroll

Ved delegert behandling av personopplysninger må følgende tiltak iverksettes for å sikre at slike data behandles i samsvar med veilederens instrukser:

  1. 1. 
    1. a) enheter eller underenheter som er tildelt databehandling, valgt med omhu (tjenesteleverandører som behandler personopplysninger på vegne av behandlingsansvarlig);
  • b) instruksjoner angående omfanget av enhver behandling av personopplysninger til de ansatte, enhetene eller underenhetene som er tildelt databehandlingen;
  • c) revisjonsrettigheter avtalt med enhetene eller underenhetene som er tildelt databehandlingen;
  • d) avtaler på plass med enhetene eller underenhetene som er tildelt å behandle dataene.

1.9 Separasjon fra behandling for andre formål

Følgende tiltak må iverksettes for å sikre at data som samles inn til andre formål kan behandles separat:

  1. 1. 
    1. a) separat tilgang til personopplysninger i samsvar med brukernes eksisterende rettigheter;
  • b) grensesnitt, batchbehandling og rapportering er for andre formål og funksjoner, slik at data som samles inn til andre formål kan behandles separat.

1.10 Pseudonymisering

Følgende tiltak må iverksettes for pseudonymisering av personopplysninger:

  1. 1. 
    1. a) Dersom dataeksportøren bestiller en spesifikk behandlingsoperasjon eller dersom dette anses som hensiktsmessig av dataimportøren i samsvar med gjeldende databeskyttelseslover for visse behandlingsaktiviteter, vil behandlingen av personopplysninger utføres på en slik måte at data kan ikke lenger tilskrives en bestemt person uten bruk av tilleggsinformasjon. Denne tilleggsinformasjonen vil bli oppbevart separat;
  • b) bruk av pseudonymiseringsteknikker, inkludert randomisering av tildelingslister; verdiskaping i form av skarpe.

1.11 Kryptering

Følgende trinn bør tas for å kryptere personlige data i applikasjoner og overføringer som støtter kryptering:

  1.  
    1. a) bruk av krypteringsteknikker;
  • b) etablering av krypteringsadministrasjon for å støtte krypteringsteknikkene som er autorisert til å brukes;
  • c) støtte bruken av kryptografi gjennom prosedyrer og protokoller for å generere, modifisere, tilbakekalle, ødelegge, distribuere, sertifisere, lagre, fange, bruke og arkivere kryptografiske nøkler for å beskytte mot uautorisert modifikasjon og avsløring.

1.12 Fullstendighet av databehandlingssystemer og tjenester

Følgende tiltak må iverksettes for å sikre fullstendigheten av databehandlingssystemer og tjenester:

  1. 1. a) beskyttelse av databehandlingssystemer mot manipulering eller ødeleggelse med passende midler (f.eks. antivirusprogramvare, programvare for forebygging av datatap og programvare mot skadelig programvare, programvareoppdateringer, brannmurer og administrert skrivebordsbeskyttelse);
  • b) forby installasjon av tjenester eller programvare som er skadelig for databehandlingssystemer, tjenester eller manipulering av personopplysninger;
  • c) bruk av et system for oppdagelse og forebygging av nettverksinntrenging i selve nettverkets struktur.

1.13 Tilgjengelighet av databehandlingssystemer og -tjenester og mulighet for å gjenopprette tilgang til og bruk av personopplysninger ved en materiell eller teknisk hendelse

Følgende tiltak må iverksettes for å sikre tilgjengeligheten av databehandlingssystemer, samt for raskt å kunne gjenopprette tilgjengeligheten til og tilgangen til personopplysninger, i tilfelle en materiell eller teknisk hendelse (spesielt ved å sikre at personopplysninger er beskyttet mot utilsiktet ødeleggelse eller tap):

  • a) ha kontrollmidler for å beholde sikkerhetskopier og gjenopprette tapte eller slettede data;
  • b) infrastrukturell redundans og ytelsestesting;
  • c) fysisk beskyttelse av dataressurser;
  • d) bruk av verktøy for å overvåke status og tilgjengelighet til det interne nettverket;
  • e) hendelsesrapportering og responspolicyer som styrer hendelseshåndteringsprosedyren, og gjentakelse av overholdelse av disse retningslinjene som en del av regelmessig opplæring;
  • f) sikkerhetskopier (noen ganger utenfor stedet) for å gjenopprette systemet slik at det kan utføre sine funksjoner igjen;
  • g) forretningskontinuitet/katastrofegjenopprettingsplaner

1.14 Resiliens av databehandlingssystemer og tjenester

Følgende tiltak må iverksettes for å sikre robustheten til databehandlingssystemer og tjenester:

  • a) systemer og harmonisk konfigurert ved bruk av godkjente sikkerhetsparametere;
  • b) nettverksredundans;
  • c) inneslutningsbeskyttelse av kritiske systemer.

1.15 Prosedyre for regelmessig testing, evaluering og vurdering av effektiviteten av tekniske og organisatoriske tiltak for å sikre sikkerheten til databehandling

Prosedyre for regelmessig testing, evaluering og vurdering av effektiviteten av tekniske og organisatoriske tiltak for å beskytte databehandling.

  • a) ta de nødvendige skritt for å vurdere risikoer og avbøtende strategier;
  • b) tjenesteanalysemøter i IT-avdelingen for å ta opp aktuelle problemer;
  • c) forretningskontinuitet/katastrofegjenopprettingsplaner oppdateres regelmessig.

 

Del 3

Partenes signaturer og liste over dataimportører

 

Når du fyller ut det elektroniske bestillingsskjemaet og validerer det ved å krysse av i boksen for å godta de generelle vilkårene for bruk, etableres kontrakten som regulerer forholdet mellom kunden og POSTCODEZIP.

Sending av betalingen til POSTCODEZIP vil vurdere kontrakten som er avtalt og etablert.

Legg merke til: Denne teksten er oversatt fra fransk. Den originale franske versjonen, som er gyldig og juridisk restriktiv, er tilgjengelig  her .