Data processing appendix

This Appendix forms an integral part of the Contract and is entered into by:

(i) The Client ("Data Exporter")
(ii) POSTCODEZIP ("Data Importer")

Each being a "Party" and commonly "Parties".

Innledning

HVOR Dataimportøren tilbyr profesjonelle programvaretjenester, datamaskiner og relaterte tjenester;

HVOR Dataimportøren i henhold til Kontrakten har samtykket i å levere til Dataeksportøren tjenestene spesifisert i Kontrakten (" Tjenestene ");

HVOR Dataimportøren ved å levere tjenestene mottar eller drar nytte av tilgang til dataeksportørens informasjon eller informasjonen til andre personer som har et (potensielt) forhold til dataeksportøren, kan slik informasjon bli kvalifisert som personopplysninger i henhold til forordningen (EU) 2016/679 fra Europaparlamentet og rådet av 27. april 2016 om beskyttelse av enkeltpersoner angående behandling av personopplysninger og om fri flyt av slike data (" GDPR ") og andre gjeldende databeskyttelseslover.

HVOR dette vedlegget inneholder vilkårene og betingelsene som gjelder for innsamling, behandling og bruk av slike personopplysninger av dataimportøren i egenskap av dataeksportørens autoriserte databehandler, for å sikre at partene overholder gjeldende databeskyttelseslovgivning .

DERFOR, og for å gjøre det mulig for partene å fortsette sitt forhold lovlig, har partene konkludert med dette vedlegget som følger:

Del 1

1. Dokumentets struktur og definisjoner

1.1 Struktur

Dette vedlegget består av forskjellige deler som følger:

Del 1:

contains general provisions, e.g. concerning the definitions used in this Appendix, compliance with local laws, timing, and termination

Part 2:

inneholder hoveddelen av det uendrede dokumentet om standardkontraktsklausuler

Vedlegg 1.1 i del 2:

inneholder detaljene om behandlingsoperasjonene gitt av dataimportøren til dataeksportøren som autorisert databehandler (inkludert behandlingen, arten og formålet med behandlingen, typen personopplysninger og kategoriene av registrerte personer) under denne blindtarm

Vedlegg 2 til del 2:

inneholder en beskrivelse av Dataimportørens tekniske og organisatoriske sikkerhetstiltak, som anvendes i forbindelse med alle behandlingsaktiviteter beskrevet i vedlegg 1.1 i del 2

Part 3:

inneholder signaturene til partene som skal være bundet av dette vedlegget og identifiserer hver dataimportør

1.2 Terminologi og definisjoner

For formålet med dette vedlegget er terminologien og definisjonene som brukes av GDPR gjeldende (i hoveddelen av standardkontraktsklausulen i del 2, der definerte begreper ikke er store).

"Medlemsland"

betyr et land som tilhører Den europeiske union eller det europeiske økonomiske samarbeidsområdet

"Spesielle kategorier av (personlige) data"

refers to personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and genetic data, biometric data, if processed for the purpose of uniquely identifying a person, data concerning health, data concerning a person's sex life or sexual orientation

"Standard kontraktuelle klausuler"

betyr standardkontraktsklausulene for overføring av personopplysninger til behandlingsagenter etablert i tredjeland, i henhold til kommisjonsavgjørelse 2010/87/EU 5. februar 2010, som ble endret av kommisjonens implementeringsavgjørelse (EU) 2016/2297 16. desember 2016

«Databehandler»?

betyr enhver behandlingsagent, lokalisert innenfor eller utenfor EU/EØS, som samtykker i å motta personopplysninger fra dataimportøren eller en annen behandler av dataimportøren for det eksklusive formålet med behandlingsaktiviteter som skal utføres av dataeksportøren etter at overføring i samsvar med dataeksportørens instruksjoner, vilkårene i dette vedlegget og kontrakten med dataimportøren

2. Dataeksportørens forpliktelser

2.1 Dataeksportøren har en forpliktelse til å sikre overholdelse av alle gjeldende forpliktelser i henhold til GDPR og enhver annen gjeldende databeskyttelseslov som gjelder for dataeksportøren og til å vise slik samsvar som kreves i artikkel 5 (2) i GDPR. Dataeksportøren garanterer at dataimportøren har innhentet forhåndssamtykke fra de registrerte i samsvar med artikkel 6 (a) i GDPR og har overholdt sin forpliktelse til å informere de registrerte i samsvar med artikkel 13 og 14 i GDPR.

2.2 Dataeksportøren må gi dataimportøren de respektive filene for behandlingsaktivitetene i samsvar med artikkel 30 (1) i GDPR knyttet til tjenestene under dette vedlegget, i den grad det er nødvendig for at dataimportøren skal overholde forpliktelsen iht. Artikkel 30 (2) i GDPR.

2.3 Dataeksportøren må utnevne en databeskyttelsesansvarlig eller representant i den grad det kreves av gjeldende databeskyttelseslovgivning. Dataeksportøren er forpliktet til å gi kontaktinformasjonen til databeskyttelsesagenten eller representanten, hvis noen, til dataimportøren.

2.4. Dataeksportøren bekrefter før fullføring av behandlingen, ved godkjenning av dette vedlegget, at dataimportørens tekniske og organisatoriske sikkerhetstiltak, som angitt i vedlegg 2 til del 2, er hensiktsmessige og tilstrekkelige til å beskytte rettighetene til den registrerte. og bekrefter at dataimportøren gir tilstrekkelige garantier i denne forbindelse.

3. Overholdelse av lokal lov

In order to meet the requirements of the implementation of the processing agents following Article 28 of the GDPR, the following amendments are applicable:

3.1 Instruksjoner

(i) Dataeksportøren instruerer dataimportøren om å behandle personopplysninger kun på vegne av dataeksportøren. Dataeksportørens instruksjoner er gitt i dette vedlegget og i kontrakten. Dataeksportøren har plikt til å sikre at alle instruksjoner ble gitt til dataimportøren er i samsvar med gjeldende databeskyttelseslover. Dataimportøren må kun behandle personopplysninger i samsvar med instruksjonene gitt av dataeksportøren med mindre annet kreves av EU eller loven i medlemsstaten (i sistnevnte tilfelle gjelder del 1, punkt 3.2 (iv) (c)) .
(ii) Alle andre instruksjoner som går utover instruksjonene i dette vedlegget eller i kontrakten må inkluderes i emnet for dette vedlegget og kontrakten. Dersom implementering av denne tilleggsinstruksen innebærer kostnader for dataimportøren, skal dataimportøren informere dataeksportøren om slike kostnader og gi en forklaring før instruksen implementeres. Først etter at Dataeksportøren har bekreftet aksept av disse kostnadene for implementering av instruksen, skal Dataimportøren implementere denne tilleggsinstruksen. Dataeksportøren må gi ytterligere instruksjoner skriftlig med mindre haster eller andre spesifikke omstendigheter krever et annet skjema (f.eks. muntlig, elektronisk). Instruksjoner i annen form enn skriftlig må bekreftes skriftlig og uten opphold av Dataeksportøren.
1. Med mindre dataeksportøren ikke kan utføre retting, sletting eller begrensning av personopplysninger selv, kan instruksjonene også forholde seg til retting, sletting og/eller begrensning av personopplysninger som angitt i del 1, punkt 3.3.
2. Dataimportøren må umiddelbart informere dataeksportøren dersom en instruks etter dens mening bryter med GDPR eller andre gjeldende databeskyttelsesbestemmelser i EU eller en medlemsstat (" Disputed Instruction"). Hvis dataimportøren mener at en instruksjon bryter GDPR eller andre gjeldende databeskyttelsesbestemmelser i EU eller en medlemsstat, er ikke dataimportøren forpliktet til å følge den omstridte instruksen. Dersom dataeksportøren bekrefter den omstridte instruksen pr. mottak av informasjon fra dataimportøren og erkjenner sitt ansvar for den omstridte instruksen, skal dataimportøren implementere den omstridte instruksen, med mindre den omstridte instruksen gjelder (i) implementeringen av tekniske og organisatoriske tiltak, (ii) rettighetene til dataene Emner eller (iii) engasjement av databehandlere. I tilfeller (i) til (iii) kan dataimportøren kontakte en kompetent tilsynsmyndighet for å få den omstridte instruksen juridisk evaluert av en slik myndighet.Dersom tilsynsmyndigheten erklærer den påklagede Instruksen for å være lovlig, skal Dataimportøren gjennomføre den påklagede Instruksen. Del 1 Klausul 3.1 (ii) skal fortsatt gjelde.

3.2 Dataimportørens forpliktelser

(i) Dataimportøren må sikre at personer som er autorisert av dataimportøren til å behandle personopplysninger på vegne av dataeksportøren, spesielt ansatte hos dataimportøren og ansatte hos enhver underleverandør, har forpliktet seg til å ivareta konfidensialitet eller er underlagt en hensiktsmessig lovfestet taushetsplikt, og at slike personer som har tilgang til personopplysninger behandler disse i henhold til Dataeksportørens instrukser.
(ii) Dataimportøren må implementere de tekniske og organisatoriske sikkerhetstiltakene som er angitt i vedlegg 2 til del 2 før behandling av personopplysningene på vegne av dataeksportøren. Dataimportøren kan endre de tekniske og organisatoriske sikkerhetstiltakene fra tid til annen dersom de ikke gir mindre beskyttelse enn de som er angitt i vedlegg 2 til del 2.
(iii) Dataimportøren skal gjøre tilgjengelig for dataeksportøren, på forespørsel fra dataeksportøren, informasjon for å vise samsvar med dataimportørens forpliktelser i henhold til dette vedlegget. Partene er enige om at denne informasjonsplikten oppfylles ved å gi dataeksportøren en revisjonsrapport (som dekker prinsippsikkerhet, systemtilgjengelighet og konfidensialitet) ("revisjonsrapport"). Hvis ytterligere revisjonsaktiviteter er lovpålagt, kan dataeksportøren be om at inspeksjoner utføres av dataeksportøren eller en annen revisor oppnevnt av dataeksportøren, med forbehold om at en slik revisor utfører en konfidensialitetsavtale med dataimportøren til dataimportørens rimelig tilfredshet ("revisjon"). Denne revisjonen er underlagt følgende betingelser:(i) den formell skriftlige aksepten fra dataimportøren; og (ii) dataeksportøren skal bære alle kostnader knyttet til revisjonen på stedet for dataeksportøren og dataimportøren. Dataeksportøren må lage en revisjonsrapport som oppsummerer resultatene og observasjonene fra On-Site Audit ("On-Site Audit Report"). Revisjonsrapportene på stedet og revisjonsrapportene er konfidensiell informasjon fra dataimportøren og må ikke utleveres til tredjeparter med mindre det kreves av gjeldende databeskyttelseslovgivning eller i samsvar med samtykke fra dataimportøren.Revisjonsrapportene på stedet og revisjonsrapportene er konfidensiell informasjon fra dataimportøren og må ikke utleveres til tredjeparter med mindre det kreves av gjeldende databeskyttelseslovgivning eller i samsvar med samtykke fra dataimportøren.Revisjonsrapportene på stedet og revisjonsrapportene er konfidensiell informasjon fra dataimportøren og må ikke utleveres til tredjeparter med mindre det kreves av gjeldende databeskyttelseslovgivning eller i samsvar med samtykke fra dataimportøren.
(iv) Dataimportøren har en forpliktelse til å varsle dataeksportøren uten unødig opphold:
en. angående enhver juridisk bindende anmodning om utlevering av personopplysninger fra en rettshåndhevelsesmyndighet, med mindre annet er forbudt, for eksempel et forbud i straffeloven for å beskytte konfidensialiteten til en rettshåndhevelsesetterforskning
b. angående enhver klage og forespørsel mottatt direkte fra en registrert (f.eks. angående tilgang, retting, sletting, begrensning av behandling, dataportabilitet, innvendinger mot databehandling, automatisert beslutningstaking) uten å svare på den forespørselen, med mindre dataimportøren har fått tillatelse til å gjør det
c. dersom dataimportøren eller databehandleren er forpliktet, i henhold til EUs lov eller medlemsstaten som dataimportøren eller databehandleren er underlagt, til å behandle personopplysningene utover dataeksportørens instruksjoner, før slik behandling utføres utover instruksjonene, med mindre lover i Den europeiske union eller medlemsstaten forbyr slik behandling på grunnlag av vitale allmenne interesser, i hvilket tilfelle meldingen til dataeksportøren skal spesifisere det juridiske kravet i henhold til den europeiske unions eller medlemsstatens lov; eller
d. dersom Dataimportøren innser en krenkelse av personopplysninger, utelukkende på grunn av seg selv eller sin underleverandør, som vil påvirke Dataeksportørens personopplysninger som omfattes av denne kontrakten, i hvilket tilfelle Dataimportøren vil bistå Dataeksportøren med sin forpliktelse, i forhold til gjeldende databeskyttelseslovgivning, å informere de registrerte og, der det er aktuelt, tilsynsmyndighetene ved å gi informasjonen de har til rådighet, i samsvar med artikkel 33 (3) i GDPR.
(v) På forespørsel fra dataeksportøren skal dataimportøren være tvunget til å bistå dataeksportøren i dens forpliktelse til å gjennomføre en databeskyttelseskonsekvensvurdering som kan kreves av artikkel 35 i GDPR og en forhåndskonsultasjon som kan være nødvendig kreves av artikkel 36 i GDPR angående tjenestene som leveres av dataimportøren til dataeksportøren under dette vedlegget, og gir nødvendig informasjon og informasjon til dataeksportøren. Dataimportøren vil kun være forpliktet til å yte slik bistand dersom dataeksportøren ikke kan oppfylle sin forpliktelse på annen måte. Dataimportøren vil informere dataeksportøren om kostnadene ved slik assistanse. Så snart dataeksportøren har bekreftet at den kan bære denne kostnaden, vil dataimportøren gi dataeksportøren denne hjelpen.
(vi) Ved slutten av leveringen av tjenestene kan dataeksportøren be om tilbakelevering av personopplysningene behandlet av dataimportøren under dette vedlegget innen en måned etter tjenestene. Med mindre lovgivningen i medlemsstaten eller den europeiske union krever at dataimportøren skal lagre eller beholde slike personopplysninger, vil dataimportøren slette alle slike personlige eller ikke-personlige data etter en månedsperiode, enten de er returnert til dataeksportøren på forespørsel eller ikke.

3.3 Rettigheter til berørte personer

(i) Dataeksportøren administrerer og svarer på forespørsler fra registrerte. Dataimportør er ikke forpliktet til å svare direkte til de registrerte.
(ii) Hvis dataeksportøren trenger dataimportørens bistand til å behandle og svare på den registrertes forespørsler, skal dataeksportøren gi en ytterligere instruks i samsvar med punkt 3.1 (ii) i del 1. Dataimportøren vil bistå dataeksportøren med følgende passende og tekniske organisatoriske tiltak for å svare på forespørsler om utøvelse av rettighetene til registrerte personer som er angitt i kapittel III i GDPR som følger:
en. Når det gjelder forespørsler om informasjon, vil dataimportøren kun gi dataeksportøren den informasjonen som kreves i henhold til artikkel 13 og 14 i PGRD som den måtte ha til rådighet dersom dataeksportøren ikke kan finne den på egen hånd.
b. Når det gjelder forespørsler om tilgang (artikkel 15 i GDPR), vil dataimportøren kun gi dataeksportøren informasjonen som skal gis til en registrert for den nevnte anmodningen om tilgang, som den kan ha til rådighet dersom sistnevnte kan ikke finne det alene.
c. Når det gjelder forespørsler om retting (artikkel 16 i GDPR), forespørsler om sletting (artikkel 17 i GDPR), begrensning av forespørsler om behandling (artikkel 18 i GDPR), eller forespørsler om portabilitet (artikkel 20 i GDPR), og kun hvis dataeksportøren ikke selv kan rette eller slette, begrense eller overføre personopplysningene til en annen tredjepart, vil dataimportøren tilby dataeksportøren muligheten til å rette eller slette, begrense eller overføre de aktuelle personopplysningene til den andre tredjeparten, eller hvis dette ikke er mulig, vil det gi hjelp til å rette eller slette, begrense eller overføre de berørte personopplysningene til den andre tredjeparten.
d. Når det gjelder varsel knyttet til retting, sletting eller begrensning av behandling (artikkel 19 i GDPR), vil dataimportøren bistå dataeksportøren ved å varsle alle mottakere av personopplysninger engasjert av dataimportøren som behandlere dersom dataeksportøren ber om det og dersom dataeksportøren ikke kan avhjelpe situasjonen på egen hånd.
e. Når det gjelder retten til motstand som utøves av en registrert (artikkel 21 og 22 i GDPR) vil dataeksportøren avgjøre om motstanden er legitim og hvordan den skal håndteres.
(iii) Dataimportørens bistandsforpliktelser er begrenset til personopplysninger som behandles innenfor dens infrastruktur (f.eks. databaser, systemer, applikasjoner som eies eller leveres av Dataimportøren).
(iv) Dataeksportøren skal avgjøre om en datasubjekt kan utøve rettighetene til datasubjekter angitt i paragraf 3.1 i denne del 1 og skal informere dataimportøren om i hvilken grad bistanden spesifisert i paragraf 3.3 (ii), ( iii) av del 1 er nødvendig.
(v) Hvis dataeksportøren ber om ytterligere eller modifiserte tekniske og organisatoriske tiltak for å oppfylle rettighetene til registrerte personer som går utover bistanden gitt av dataimportøren under underpunkt 3.3 (ii), (iii) i del 1, vil dataene Importøren skal informere Dataeksportøren om kostnadene ved å implementere slike tilleggs- eller modifiserte tekniske og organisatoriske tiltak. Så snart Dataeksportøren har bekreftet at den kan dekke disse kostnadene, skal Dataimportøren implementere slike ytterligere eller modifiserte tekniske og organisatoriske tiltak for å hjelpe Dataeksportøren med å svare på de registrertes forespørsler.
(vi) Uten å begrense omfanget av paragraf 3.3 (v) i del 1, skal dataeksportøren være forpliktet til å tilbakebetale dataimportøren for rimelige utgifter som påløper ved å svare på de registrertes forespørsler.

3.4 Underbehandling

(i) Dataeksportøren autoriserer dataimportørens bruk av underleverandører for levering av tjenester under dette vedlegg. Dataimportøren skal velge slike databehandler(e) nøye. Dataeksportøren godkjenner databehandleren(e) oppført i vedlegg 1.1 på slutten av del 2.
(ii) Dataimportøren skal overføre sine forpliktelser i henhold til dette vedlegget til databehandleren(e) i den grad det gjelder tjenestene som er underleverandør.
(iii) Dataimportøren kan avskjedige, erstatte eller utnevne en annen passende og pålitelig databehandler(e) etter eget skjønn. Hvis dataeksportøren skriftlig ber om det, må dataimportøren følge prosedyren angitt nedenfor:

en. Dataimportøren skal informere dataeksportøren før endringer i listen over databehandlere referert til under punkt 3.4 (i) i del 1. Dersom dataeksportøren ikke protesterer under punkt 3.4. (b) av del 1 tretti dager etter mottak av melding fra dataimportøren, skal de ytterligere databehandlerne anses å være akseptert.
b. Dersom Dataeksportøren har en legitim grunn til å protestere mot en ekstra Databehandler, vil den gi skriftlig forhåndsvarsel til Dataimportøren innen tretti dager etter mottak av Dataimportørens melding og før Dataimportørens tjeneste settes i drift. Hvis dataeksportøren protesterer mot bruken av en ekstra databehandler, kan dataimportøren fjerne innsigelsen ved ett av følgende alternativer (valgt etter eget skjønn): (A) dataimportøren vil kansellere sine planer om å bruke en ekstra databehandler mht. dataeksportørens personopplysninger; (B) Dataimportøren vil ta de korrigerende tiltakene som Dataeksportøren har bedt om i sin innsigelse (avbryte innsigelsen) og bruke den ekstra databehandleren angående dataeksportørens personopplysninger;(C) Dataimportøren kan slutte å levere eller dataeksportøren kan godta å ikke bruke (midlertidig eller permanent) et bestemt aspekt av tjenesten som vil innebære bruk av dataeksportørens videre behandler av dataeksportørens personopplysninger.

(iv) hvis databehandleren er basert utenfor EU-EØS i et land som ikke er anerkjent som å tilby et tilstrekkelig nivå av databeskyttelse etter en beslutning fra EU-kommisjonen, vil dataimportøren iverksette tiltak for å overholde et tilstrekkelig nivå av databeskyttelse i samsvar med GDPR (slike tiltak kan omfatte - blant annet og - bruk av databehandlingskontrakter basert på klausulene i EU-modellen, overføring til selvsertifiserte databehandlere innenfor rammen av EU-US Protection Shield , eller et lignende program).

3.5 Utløp

Utløpet av dette vedlegget er identisk med utløpsdatoen for den tilsvarende kontrakten. Med mindre annet er angitt i dette vedlegget, skal rettighetene og pliktene knyttet til oppsigelse være de samme som er inkludert i kontrakten.

4. Ansvarsbegrensning

4.1 Hver part håndterer sine forpliktelser i henhold til dette vedlegget og gjeldende databeskyttelseslovgivning.

4.2 Ethvert ansvar knyttet til brudd på forpliktelsene i henhold til dette tillegget eller gjeldende databeskyttelseslovgivning skal være underlagt og styrt av ansvarsbestemmelsene fastsatt i eller gjeldende for kontrakten, med mindre annet er angitt i dette tillegget. Hvis ansvar styres av ansvarsbestemmelsene fastsatt i eller gjeldende for Kontrakten, for å beregne ansvarsgrenser eller bestemme anvendelsen av andre ansvarsbegrensninger, skal ethvert ansvar som oppstår under dette vedlegget anses å oppstå under Kontrakten.

5. Generelle bestemmelser

5.1 Hvis det er uoverensstemmelser eller uoverensstemmelser mellom del 1 og 2 i dette vedlegget, skal del 2 ha forrang. Spesifikt, selv i et slikt tilfelle, skal del 1 som ganske enkelt går utover del 2 (dvs. vilkårene i standardklausuler) uten å motsi den, forbli gyldig.

5.2 Hvis det oppstår uoverensstemmelser mellom bestemmelsene i dette vedlegget og bestemmelsene i andre kontrakter som binder partene, skal dette vedlegget ha forrang med hensyn til partenes databeskyttelsesforpliktelser. Ved tvil om klausuler i andre kontrakter angår partenes databeskyttelsesforpliktelser, skal dette vedlegget ha forrang.

5.3 Hvis noen bestemmelse i dette tillegget er ugyldig eller ikke kan håndheves, skal resten av dette tillegget forbli i full kraft og virkning. Den ugyldige eller ikke-gjennomførbare bestemmelsen vil bli (i) endret for å sikre dens gyldighet og håndhevbarhet, samtidig som partenes intensjon så langt som mulig bevares, eller - hvis dette ikke er mulig - (ii) tolkes som om den ugyldige eller ugjennomførbare delen hadde aldri vært en del av kontrakten. Det foregående gjelder også dersom det er en utelatelse i dette vedlegg.

5.5 I den grad det er nødvendig, kan partene be om endringer i del 1, klausul 3 (overholdelse av lokal lov) eller andre deler av vedlegget for å overholde tolkninger, direktiver eller pålegg utstedt av de kompetente myndigheter i unionen eller Medlemsstater, nasjonale håndhevingsbestemmelser eller andre juridiske utviklinger angående GDPR eller andre vilkår for delegering til enheter som er involvert i databehandling og spesifikt angående bruken av standardkontraktsklausulene i GDPR. Vilkårene i standardkontraktsklausulene kan ikke endres eller erstattes med mindre EU-kommisjonen uttrykkelig godkjenner det (f.eks. med nye passende klausuler og databeskyttelsesstandarder).

5.6 Enhver henvisning i dette tillegget til "Klausulene" skal forstås å referere til alle bestemmelsene i dette tillegget med mindre annet er angitt.

5.7 Lovvalget i del 2, punkt 9 gjelder hele Kontrakten.

6. Personopplysninger overført og behandlet av partene for personlige formål (overføring fra behandlingsansvarlig til behandlingsansvarlig)

6.1 The Parties know fully that certain personal data will be transferred from the Data Exporter to the Data Importer and vice versa, and that such data is processed by each Party for its own purposes. Regarding such personal data, it does not affect the other provisions of this Appendix (except for this clause 6).

6.2 The Data Exporter may transfer personal data relating to the staff of the Data Importer to the Data Importer, including information on security incidents, or any other documents or files created or established by the Data Exporter in connection with the Services provided by the staff of the Data Importer. The Data Importer may process such personal data for its own purposes, in particular in its professional relations with the Data Importer's personnel, for quality control and training, or for business purposes.

6.3. The Data Importer may transfer personal data to the Data Exporter, including the name and contact details of the Data Importer's personnel. The Data Exporter may process such personal data for its own purposes.

6.4 Both parties shall comply with any applicable data protection laws, including the GDPR, in collecting, processing, and using such personal data received from the other party under clause 1 of Part 1. In particular, both Parties shall take adequate security measures, providing a similar level of protection to the security measures set out in Appendix 2 of Part 2. Any access to such personal data shall be limited to the need to know them.

6.5 Both Parties must delete such personal data as soon as possible after the objectives have been achieved.

Del 2

KOMMISSJONENS BESLUTNING

den 5. februar 2010

om standard kontraktsbestemmelser for overføring av personopplysninger til databehandlere etablert i tredjepartsland i henhold til 95/46/EF-direktivet til Europaparlamentet og rådet

Klausul 1

Definisjoner

a) «personopplysninger», «spesielle kategorier av data», «behandling/behandling», «kontrollør», «behandler», «registrerte» og «tilsynsmyndighet» skal ha samme betydning som i 95/46/EF Europaparlamentets og rådets direktiv av 24. oktober 1995 om beskyttelse av enkeltpersoner i forbindelse med behandling av personopplysninger og om fri flyt av slike opplysninger (1);

b) "Dataeksportøren" er den behandlingsansvarlige som overfører personopplysningene;

c) "Dataimportøren" er databehandleren som godtar å motta personopplysninger fra dataeksportøren som skal behandles på vegne av dataeksportøren etter overføringen i samsvar med dens instruksjoner og vilkårene i disse klausulene, og som ikke er underlagt mekanismen til et tredjeland som sikrer tilstrekkelig beskyttelse i henhold til artikkel 25 nr. 1 i direktiv 95/46/EF; (d) "Databehandler" betyr databehandleren engasjert av dataimportøren eller av en annen databehandler til dataimportøren som samtykker i å motta personopplysninger fra dataimportøren eller en annen databehandler av dataimportøren utelukkende for behandlingsaktiviteter til utføres på vegne av dataeksportøren etter overføringen i samsvar med instruksjonene fra dataeksportøren,under betingelsene angitt i disse klausulene og under vilkårene i den skriftlige underleverandøren av databehandlingskontrakten;

e) «gjeldende databeskyttelseslovgivning» betyr lovgivningen som beskytter enkeltpersoners grunnleggende rettigheter og friheter, inkludert retten til privatliv angående behandling av personopplysninger, og som gjelder for en behandlingsansvarlig i medlemsstaten der dataeksportøren er etablert;

f) «tekniske og organisatoriske tiltak knyttet til sikkerhet»? betyr tiltak som har til hensikt å beskytte personopplysninger mot utilsiktet eller ulovlig ødeleggelse eller utilsiktet tap, endring, uautorisert utlevering eller tilgang, spesielt der behandlingen involverer overføring av data over nettverk, og mot alle andre ulovlige former for behandling.

Klausul 2

Details of the transfer

The details of the transfer, including, where appropriate, special categories of personal data, are specified in Appendix 1, which forms an integral part of these clauses.

Clause 3

Tredjepartsbegunstigetsklausul

1. The data subject may enforce against the Data Exporter this Clause, Clause 4(b) to (i), Clause 5(a) to (e) and (g) to (j), Clause 6 (1) and (2), Clause 7, Clause 8(2) and Clauses 9 to 12 as a third party beneficiary

2. The data subject may enforce this Clause, Clause 5 (a) to (e) and (g), Clause 6, Clause 7, Clause 8 (2) and Clauses 9 to 12 against the Data Importer where the Data Exporter has physically disappeared or has ceased to exist in law, unless all of his legal obligations have been transferred, by contract or by operation of law, to the successor entity, to which the rights and obligations of the Data Exporter therefore revert, and against which the data subject can therefore enforce the said clauses.

The data subject may enforce this Clause, Clause 5 (a) to (e) and (g), Clause 6, Clause 7, Clause 8 (2) and Clauses 9 to 12 against the Data processor, but only in cases where the Data Exporter and the Data Importer have physically disappeared, ceased to exist in law or have become insolvent, unless all the legal obligations of the Data Exporter have been transferred, by contract or by operation of law, to the legal successor, to whom the rights and obligations of the Data Exporter are therefore vested, and against whom the data subject may therefore enforce such clauses. Such liability of the Data processor must be limited to its own processing activities under these clauses.

4. The parties do not object to the data subject being represented by an association or other body if he or she so wishes and if national law so allows.

Clause 4

Dataeksportørens forpliktelser

Dataeksportøren godtar og garanterer følgende:

a) behandlingen, inkludert den faktiske overføringen av personopplysninger, har blitt og vil fortsette å bli utført i samsvar med de relevante bestemmelsene i gjeldende databeskyttelseslovgivning (og, der det er aktuelt, har blitt varslet til vedkommende myndigheter i medlemsstaten) hvor dataeksportøren er basert) og ikke bryter de relevante bestemmelsene i den staten;

b) de har instruert, og vil instruere dataimportøren under varigheten av behandlingstjenestene for personopplysninger om å behandle personopplysningene som er overført på vegne av dataeksportøren og i samsvar med gjeldende databeskyttelseslovgivning og disse klausulene;

c) Dataimportøren vil gi tilstrekkelige garantier angående de tekniske og organisatoriske sikkerhetstiltakene spesifisert i vedlegg 2 til denne kontrakten;

d) etter evaluering av kravene i gjeldende databeskyttelseslovgivning, er sikkerhetstiltakene tilstrekkelige for å beskytte personopplysninger mot utilsiktet eller ulovlig ødeleggelse eller utilsiktet tap, endring, uautorisert avsløring eller tilgang, spesielt der behandlingen involverer overføring av data over et nettverk, og mot alle andre ulovlige former for behandling og sikre et sikkerhetsnivå som er passende for risikoene som representeres av behandlingen og arten av dataene som skal beskyttes, med hensyn til teknologinivået og kostnadene ved implementering;

e) de vil sikre overholdelse av sikkerhetstiltak;

f) dersom overføringen gjelder spesielle kategorier av data, har den registrerte blitt informert eller vil bli informert før overføringen, eller så snart som mulig etter overføringen, at hans eller hennes data kan overføres til et tredjeland som ikke tilbyr et tilstrekkelig beskyttelsesnivå i henhold til direktiv 95/46/EF;

g) de vil videresende enhver melding mottatt fra dataimportøren eller en databehandler i henhold til paragraf 5 (b) og 8 (3) til tilsynsmyndigheten for databeskyttelse dersom den bestemmer seg for å fortsette overføringen eller å oppheve suspensjonen;

h) de skal gjøre tilgjengelig for registrerte, hvis de ber om det, en kopi av disse klausulene, bortsett fra vedlegg 2, og en oppsummerende beskrivelse av sikkerhetstiltakene, og en kopi av enhver ytterligere underleverandøravtale, inngått i henhold til disse klausulene, med mindre Klausuler eller avtalen inneholder kommersiell informasjon, i så fall kan han trekke tilbake slik informasjon;

i) i tilfelle underleverandør av databehandlingsprosessen, utføres behandlingsaktiviteten i samsvar med punkt 11 av en databehandler som gir minst samme nivå av beskyttelse av personopplysninger og registrerte rettigheter som dataimportøren i henhold til disse klausulene ; og

j) det vil sikre samsvar med punkt 4 (a) til (i).

Klausul 5

Dataimportørens forpliktelser

The Data Importer accepts and guarantees the following:

a) they will process the personal data only on behalf of the Data Exporter and under the Data Exporter's instructions and these clauses; if it cannot comply for any reason, they agree to inform the Data Exporter of its inability as soon as possible, in which case the Data Exporter may suspend the data transfer and/or end the contract;

b) they have no reason to believe that the law applicable to them prevents him from fulfilling the instructions given by the Data Exporter and the obligations incumbent upon him under the contract, and if such law is subject to a change which could have a material adverse effect on the warranties and obligations under the Clauses, he shall notify the Data Exporter of the change without delay after becoming aware of it, in which case the Data Exporter may suspend the data transfer and/or end the contract; (c) they have implemented the technical and organizational security measures specified in Appendix 2 before processing the personal data transferred;

d) they will notify the Data Exporter without delay:

i) any binding request for disclosure of personal data from a law enforcement authority, unless otherwise specified, such as a criminal prohibition aimed at preserving the secrecy of a police investigation;

ii) any incidental or unauthorized access; and

iii) any request received directly from the persons concerned without replying to it unless he has been authorized to do so; administrators

e) they will deal promptly and properly with all inquiries from the Data Exporter concerning its processing of the personal data being transferred and will act under the opinion of the supervisory authority regarding the processing of the data transferred;

f) at the request of the Data Exporter, they will subject its data processing facilities to an audit of the processing activities covered by these clauses to be carried out by the Data Exporter or a supervisory body composed of independent members with the requisite professional qualifications, subject to an obligation of secrecy and chosen by the Data Exporter, where appropriate with the agreement of the supervisory authority;

g) they will make available to the data subject, if he so requests, a copy of these Clauses, or any existing sub-contracting the data processing contract, unless the Clauses or the contract contain commercial information, in which case it may remove such information, except for Appendix 2, which will be replaced by a summary description of the security measures, where the data subject cannot obtain a copy from the Data Exporter;

h) in the case of confidential further sub-contracting the data processing, he will ensure that he informs the Data Exporter in advance and obtains the Data Exporter's written consent;

i) the processing services provided by the Data processor shall comply with Clause 11;

j) they will promptly send a copy of any sub-contracting of the data processing agreement entered into by it under these Clauses to the Data Exporter.

Clause 6

Ansvar

1. Partene er enige om at ethvert datasubjekt som har lidd skade på grunn av brudd på forpliktelsene nevnt i punkt 3 eller punkt 11 av en part eller av en databehandler kan få erstatning fra dataeksportøren for skaden som er påført.

2. Dersom en registrert er forhindret i å reise et erstatningssøksmål som nevnt i paragraf 1 mot dataeksportøren for manglende overholdelse av noen av sine forpliktelser i henhold til punkt 3 eller punkt 11 fra dataimportørens eller databehandlerens side. Eksportøren har fysisk forsvunnet, opphørt å eksistere i loven eller har blitt insolvent, samtykker Dataimportøren i at den registrerte kan sende inn en klage mot den som om den var Dataeksportøren med mindre alle juridiske forpliktelser til Dataeksportøren er overført, ved kontrakt eller ved lov, til dens etterfølgerenhet, som den registrerte deretter kan håndheve sine rettigheter mot. Dataimportøren kan ikke stole på brudd på sine forpliktelser fra en databehandler for å unngå sitt eget ansvar.

3. Dersom en registrert er forhindret i å reise saksbehandlingen nevnt i paragraf 1 og 2 mot dataeksportøren eller dataimportøren for databehandlerens brudd på sine forpliktelser i henhold til punkt 3 eller punkt 11 fordi dataeksportøren og dataimportøren har fysisk forsvunnet, opphørt å eksistere i loven eller har blitt insolvent, samtykker Databehandleren i at den registrerte kan sende inn en klage mot den vedrørende sine egne behandlingsaktiviteter i samsvar med disse punktene som om den var Dataeksportøren eller Dataimportøren med mindre alle juridiske forpliktelser til dataeksportøren eller dataimportøren har blitt overført, ved kontrakt eller ved lov, til den juridiske etterfølgeren, som den registrerte deretter kan gjøre sine rettigheter gjeldende overfor.Databehandlerens ansvar må begrenses til egne behandlingsaktiviteter i henhold til disse punktene.

Klausul 7

Mediation and jurisdiction

1. Dataimportøren godtar at dersom den registrerte i henhold til klausulene påberoper seg rettigheten til tredjepartsbegunstigede mot ham og/eller krever kompensasjon for skaden påført, vil han godta avgjørelsen til den registrerte:

a) å sende tvisten til mekling av en uavhengig person eller, der det er hensiktsmessig, tilsynsmyndigheten;

b) å bringe tvisten inn for domstolene i medlemsstaten der dataeksportøren er basert.

2. Partene er enige om at valget som den registrerte har tatt, ikke skal påvirke den registrertes prosessuelle eller materielle rett til å få oppreisning i samsvar med andre bestemmelser i nasjonal eller internasjonal lov.

Klausul 8

Samarbeid med tilsynsmyndigheter

1. Dataeksportøren godtar å deponere en kopi av denne kontrakten hos tilsynsmyndigheten hvis sistnevnte krever det eller dersom slik deponering er foreskrevet av gjeldende databeskyttelseslovgivning.

2. Partene er enige om at tilsynsmyndigheten kan foreta kontroller hos Dataimportøren og enhver Databehandler i samme omfang og på samme vilkår som ved kontroller utført hos Dataeksportøren i henhold til gjeldende personvernlovgivning.

3. Dataimportøren skal informere dataeksportøren så snart som mulig om eksistensen av lovgivning vedrørende dataimportøren eller enhver databehandler som hindrer verifisering hos dataimportøren eller en databehandler i samsvar med paragraf 2. I et slikt tilfelle skal Dataeksportøren kan treffe tiltakene fastsatt i punkt 5 (b).

Klausul 9

Applicable law

Klausulene gjelder og er underlagt loven i medlemsstaten der dataeksportøren er basert.

Klausul 10

Endring av kontrakten

Partene forplikter seg til ikke å endre disse klausulene. Partene står fritt til å inkludere andre kommersielle klausuler som de anser nødvendige, forutsatt at de ikke er i strid med de foreliggende klausuler.

Klausul 11

Påfølgende underentreprise

1. Dataimportøren skal ikke legge ut noen av sine behandlingsaktiviteter utført på vegne av dataeksportøren i henhold til disse klausulene uten skriftlig forhåndssamtykke fra dataeksportøren. Dataimportøren skal kun legge ut sine forpliktelser i henhold til disse klausulene, med samtykke fra dataeksportøren, gjennom en skriftlig avtale med databehandleren som pålegger databehandleren de samme forpliktelsene som de som pålegges dataimportøren i henhold til disse klausulene. Hvis databehandleren ikke kan overholde sine databeskyttelsesforpliktelser i henhold til den skriftlige avtalen, skal dataimportøren forbli fullt ansvarlig overfor dataeksportøren for oppfyllelsen av disse forpliktelsene.

2. Den skriftlige forhåndsavtalen mellom dataimportøren og databehandleren skal også inneholde en tredjepartsbegunstigetsklausul som angitt i punkt 3 for tilfeller der den registrerte er forhindret fra å fremme erstatningskravet nevnt i punkt 6 (1) ), mot dataeksportøren eller dataimportøren fordi dataeksportøren eller dataimportøren fysisk har forsvunnet, opphørt å eksistere i loven eller har blitt insolvent og alle juridiske forpliktelser til dataeksportøren eller dataimportøren ikke er overført, ved kontrakt eller ved operasjon loven, til en annen etterfølger enhet. Databehandlerens ansvar må begrenses til egne behandlingsaktiviteter i henhold til disse punktene.

3. Bestemmelsene knyttet til databeskyttelsesaspektene ved underleverandør av databehandlingen av kontrakten nevnt i nr. 1 skal reguleres av loven i medlemsstaten der dataeksportøren er etablert.

4. Dataeksportøren skal føre en liste over underleverandørene av databehandlingsavtalene som er inngått i henhold til disse punktene og varslet av dataimportøren i samsvar med punkt 5 (j), som skal oppdateres minst én gang i året. Denne listen skal gjøres tilgjengelig for dataeksportørens databeskyttelsesmyndighet.

Klausul 12

Obligation after the termination of personal data processing services

1. Partene er enige om at etter fullføring av databehandlingstjenestene vil dataimportøren og databehandleren, når det passer dataeksportørens bekvemmelighet, returnere alle overførte personopplysninger og kopier av disse til dataeksportøren, eller ødelegge alle slike data og fremlegge bevis ødeleggelsen til Dataeksportøren, med mindre lovgivning pålagt Dataimportøren hindrer denne i å returnere eller ødelegge hele eller deler av de overførte personopplysningene. I så fall garanterer Dataimportøren at den vil sikre konfidensialiteten til de overførte personopplysningene og at den ikke lenger aktivt vil behandle dataene.

2. Dataimportøren og databehandleren skal sørge for at de, hvis dataeksportøren og/eller tilsynsmyndigheten ber om det, vil underkaste sine midler for databehandling verifisering av tiltakene nevnt i nr. 1.

Vedlegg 1.1 til del 2

Detaljer om overføringen

Dataeksportør

Dataeksportøren er kunden definert i kontraktsavtalen.

Dataimportør

Dataimportøren er POSTCODEZIP og er tildelt til å behandle dataene og levere tjenester til dataeksportøren.

Emner for dataene

Personopplysningene som overføres gjelder følgende kategorier av registrerte:

en?? telefonabonnenter oppført i den universelle katalogen

â˜' Andre, inkludert:

Kategorier av data

Personopplysningene som overføres gjelder følgende datakategorier:

Kategorier av personopplysninger om dataeksportørens registrerte subjekter, spesielt,

en?? Fullt navn

â˜' Postadresse

en?? Kontaktinformasjon (e-post, telefon, IP-adresse, etc.)

en?? Detaljer om markedsføringsaktiviteter vedrørende telefonabonnenten

â˜' Andre, inkludert boligtype, inntekt og gjennomsnittsalder av byen gjort anonymt

Spesielle kategorier av data (hvis aktuelt)

De overførte personopplysningene gjelder følgende spesielle datakategorier:

â˜' Overføring av spesielle kategorier av data er ikke forutsett

en?? Rase eller etnisk opprinnelse

en?? Religiøs eller filosofisk tro

en?? Fagforeningsmedlemskap

en?? Politiske Synspunkter

en?? Genetisk informasjon

en?? Biometrisk informasjon

en?? Informasjon om seksuell legning eller seksualliv

en?? Helsedata

Behandlingsaktiviteter

Personopplysningene som overføres vil være gjenstand for følgende grunnleggende behandlingsaktiviteter:

â€¢ Formålet med behandlingen

The processing undertaken on behalf of the Data Exporter is based on the following subjects, in particular:

☒ Taking charge of the products or services offered by the Data Exporter

☒ The offer of a product or service that the called person can request

☒ Orders taken from the persons called and further processing of these orders

☒ Study questionnaires and analyses

☒ Telemarketing

☐ Others, including:

- • Nature and purpose of the processing

Dataimportøren behandler personopplysningene til de registrerte på vegne av dataeksportøren, for å kunne tilby følgende tjenester, og spesielt:

â˜' Automatisk skjemautfylling
â˜' Adresser valideringsskjema

â˜' Salg og markedsføring

â˜' Andre, inkludert oppdatering av databaser over rådhus og politiske partier

â€¢ Ytelse av tjenester og ansettelse av tjenestetilbydere

POSTCODEZIP kombinerer, sentraliserer og leverer tjenester til dataeksportøren. Tjenestene som tilbys av den navngitte tjenesteleverandøren kan være strukturert (blant annet etter behov) rundt følgende tilleggstjenester: (i) levering av applikasjoner, verktøy, systemer og IT-infrastruktur i forhold til databehandlingssentralene som brukes, for å tilby og støtte tjenestene, inkludert behandlingen av personopplysningene til de registrerte som beskrevet ovenfor, via slike applikasjoner, verktøy og systemer, (ii) levering av IT-støtte, vedlikehold og andre tjenester knyttet til slike applikasjoner, verktøy, systemer og IT-infrastruktur, inkludert potensiell tilgang til personopplysninger som er lagret i slike applikasjoner, verktøy og systemer, og (iii) levering av databeskyttelsestjenester, beskyttelsesovervåking og hendelsesresponstjenester,inkludert potensiell tilgang til personopplysninger når du tilbyr slike beskyttelsestjenester. POSTCODEZIP kan engasjere databehandlere som angitt nedenfor for å levere tjenestene, inkludert tilleggstjenester.

â€¢ Eksterne tredjeparts tjenesteleverandører som underenheter tildelt databehandling

POSTCODEZIP engasjerer eksterne og tredjeparts tjenesteleverandører, som ikke er datterselskaper av POSTCODEZIP, for å støtte levering av tjenester til dataeksportøren. Dataeksportøren godkjenner slike eksterne tredjeparts tjenesteleverandører som underenheter tildelt til databehandling.

Hvis en underenhet involvert i databehandling er lokalisert utenfor EU/EØS, i et land som anses å ikke ha et tilstrekkelig nivå av databeskyttelse i henhold til en beslutning fra EU-kommisjonen, vil dataimportøren ta skritt for å oppnå et tilstrekkelig nivå av databeskyttelse i henhold til GDPR og avsnitt 3.4 (iv) i del 1.

Vedlegg 2, del 2

Tekniske og organisatoriske beskyttelsestiltak

Dataimportøren skal ta følgende tekniske og organisatoriske beskyttelsestiltak bekreftet av dataeksportøren, for å garantere et passende sikkerhetsnivå for rettigheter og friheter til enkeltpersoner, avhengig av risikoene. Ved vurderingen av det aktuelle beskyttelsesnivået har dataeksportøren spesielt vurdert risikoene som er involvert i behandlingen, inkludert utilsiktet eller ulovlig ødeleggelse, endring, uautorisert avsløring eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet. Ved presisering: Disse tekniske og organisatoriske beskyttelsestiltakene gjelder ikke for applikasjonene, verktøyene, systemene og/eller IT-infrastrukturen levert av dataeksportøren.

1 Generelle tekniske og organisatoriske vernetiltak

1.1 Generell informasjon og databeskyttelsesstrategier

Følgende skritt bør tas for å følge generelle data- og informasjonsbeskyttelsesstrategier:

a) take measures to evaluate those taken regarding technical and organizational protection;

b) provide training to raise awareness among employees;

c) ha en beskrivelse av de aktuelle systemene og gi tilgang til ansatte;

d) establish a formal documentation process whenever systems are implemented or modified;

e) dokumentere organisasjonsstruktur, prosesser, ansvar og respektive evalueringer;

1.2 Organisering av informasjonsbeskyttelse

Følgende tiltak bør iverksettes for å koordinere data- og informasjonsbeskyttelsesaktiviteter:

a) defined responsibilities for the protection of information and data (e.g. through the data protection management policy);

b) the necessary expertise on protecting information and data remaining available;

c) alle ansatte er forpliktet til å sikre at personopplysninger holdes konfidensielle, og har blitt informert om de potensielle konsekvensene av å bryte denne forpliktelsen.

1.3 Access control to processing areas

Følgende tiltak må iverksettes for å forhindre at uvedkommende får tilgang til databehandlingssystemer (spesielt programvare og maskinvare) når personopplysninger behandles, lagres eller overføres:

a) etablere sikre områder;

b) protect and restrict access to data processing systems;

c) etablere tilgangsgodkjenninger for ansatte og tredjeparter, inkludert de respektive dokumentene;

d) all tilgang til databehandlingssentraler hvor personopplysninger lagres skal logges.

1.4 Adgangskontroll til databehandlingssystemer

Følgende tiltak må iverksettes for å hindre uautorisert tilgang til databehandlingssystemer:

a) retningslinjer og prosedyrer for brukerautentisering;

b) bruk av passord på alle datasystemer;

c) fjerntilgang til nettverket krever multifaktorautentisering og gis til den berørte personen i henhold til deres ansvar og etter autorisasjon;

d) tilgang til spesifikke funksjoner er basert på jobbfunksjoner og/eller attributter individuelt tildelt en brukers konto;

e) tilgangsrettigheter knyttet til personopplysninger gjennomgås regelmessig;

f) journal over endringer i tilgangsrettigheter holdes oppdatert.

1.5 Kontrollere tilgang til bestemte bruksområder for databehandlingssystemer

Følgende tiltak må iverksettes for å sikre at autoriserte personer med rett til å bruke databehandlingssystemet kun kan få tilgang til data innenfor sine respektive ansvarsområder og tilgangsfullmakter, og at personopplysninger ikke kan leses, kopieres, endres eller slettes uten autorisasjon:

a) retningslinjer, instruksjoner og opplæring av ansatte, angående forpliktelsene til hver av dem om konfidensialitet, rett til tilgang til personopplysninger og omfanget av behandlingen av personopplysninger;

b) disiplinære tiltak mot personer som får tilgang til personopplysninger uten autorisasjon;

c) tilgang til personopplysninger skal kun gis til autoriserte personer, på et behov for å vite-basis;

d) opprettholde en liste over systemadministratorer og iverksette passende tiltak for å overvåke systemadministratorer;

e) ikke å kopiere eller reprodusere personopplysninger på noe lagringssystem for å gjøre det mulig for uautoriserte personer å fjerne informasjonen til opphavsmannen;

f) kontrollert og dokumentert sletting eller ødeleggelse av data;

g) å lagre sikkert alle personopplysninger som må oppbevares av juridiske eller regulatoriske årsaker (f.eks. forpliktelser til å oppbevare data), og bare så lenge som loven krever.

1.6 Transmissions control

Følgende tiltak må iverksettes for å forhindre at personopplysninger leses, kopieres, endres eller slettes av uautoriserte tredjeparter under overføring eller transport av datalagringsenheter (avhengig av behandlingen av personopplysninger som foretas):

b) unngå lagring av personopplysninger på mobile lagringsenheter for transportformål, eller kryptering av enhetene;
c) kun bruk på bærbare datamaskiner og andre mobile enheter etter at krypteringsbeskyttelsen er aktivert;

d) logging of personal data transmissions.

1.7 Dataregistreringskontroll

Følgende tiltak må iverksettes for å sikre at det er mulig å verifisere og fastslå om personopplysninger er lagt inn eller slettet fra databehandlingssystemer og av hvem:

a) a policy for authorizing the reading, alteration, and deletion of stored data;

b) beskyttelsestiltak vedrørende lesing, endring og sletting av lagrede data.

1.8 Arbeidskontroll

Ved delegert behandling av personopplysninger må følgende tiltak iverksettes for å sikre at slike data behandles i samsvar med veilederens instrukser:

a) enheter eller underenheter som er tildelt databehandling, valgt med omhu (tjenesteleverandører som behandler personopplysninger på vegne av behandlingsansvarlig);

b) instruksjoner angående omfanget av enhver behandling av personopplysninger til de ansatte, enhetene eller underenhetene som er tildelt databehandlingen;

c) audit rights agreed with the entities or sub-entities assigned to the data processing;

d) avtaler på plass med enhetene eller underenhetene som er tildelt å behandle dataene.

1.10 Pseudonymisering

Følgende tiltak må iverksettes for pseudonymisering av personopplysninger:

a) If the Data Exporter orders a specific processing operation or if this is considered appropriate by the Data Importer in accordance with the data protection laws in force concerning certain processing activities, the processing of personal data will be carried out in such a way that the data can no longer be attributed to a specific person without the use of additional information. This additional information will be kept separately;

b) bruk av pseudonymiseringsteknikker, inkludert randomisering av tildelingslister; verdiskaping i form av skarpe.

1.11 Kryptering

Følgende trinn bør tas for å kryptere personlige data i applikasjoner og overføringer som støtter kryptering:

a) bruk av krypteringsteknikker;

b) etablering av krypteringsadministrasjon for å støtte krypteringsteknikkene som er autorisert til å brukes;

c) støtte bruken av kryptografi gjennom prosedyrer og protokoller for å generere, modifisere, tilbakekalle, ødelegge, distribuere, sertifisere, lagre, fange, bruke og arkivere kryptografiske nøkler for å beskytte mot uautorisert modifikasjon og avsløring.

1.12 Fullstendighet av databehandlingssystemer og tjenester

Følgende tiltak må iverksettes for å sikre fullstendigheten av databehandlingssystemer og tjenester:

1. a) beskyttelse av databehandlingssystemer mot manipulering eller ødeleggelse med passende midler (f.eks. antivirusprogramvare, programvare for forebygging av datatap og programvare mot skadelig programvare, programvareoppdateringer, brannmurer og administrert skrivebordsbeskyttelse);

b) forby installasjon av tjenester eller programvare som er skadelig for databehandlingssystemer, tjenester eller manipulering av personopplysninger;

c) bruk av et system for oppdagelse og forebygging av nettverksinntrenging i selve nettverkets struktur.

1.13 Availability of data processing systems and services and the possibility of restoring access to and use of personal data in the event of a material or technical incident

Følgende tiltak må iverksettes for å sikre tilgjengeligheten av databehandlingssystemer, samt for raskt å kunne gjenopprette tilgjengeligheten til og tilgangen til personopplysninger, i tilfelle en materiell eller teknisk hendelse (spesielt ved å sikre at personopplysninger er beskyttet mot utilsiktet ødeleggelse eller tap):

a) ha kontrollmidler for å beholde sikkerhetskopier og gjenopprette tapte eller slettede data;

b) infrastrukturell redundans og ytelsestesting;

c) physical protection of computer resources;

d) bruk av verktøy for å overvåke status og tilgjengelighet til det interne nettverket;

e) incident reporting and response policies governing the incident management procedure, and reiteration of adherence to these policies as part of regular training;

f) sikkerhetskopier (noen ganger utenfor stedet) for å gjenopprette systemet slik at det kan utføre sine funksjoner igjen;

g) forretningskontinuitet/katastrofegjenopprettingsplaner

1.14 Resilience of data processing systems and services

Følgende tiltak må iverksettes for å sikre robustheten til databehandlingssystemer og tjenester:

a) systemer og harmonisk konfigurert ved bruk av godkjente sikkerhetsparametere;

b) nettverksredundans;

c) inneslutningsbeskyttelse av kritiske systemer.

1.15 Prosedyre for regelmessig testing, evaluering og vurdering av effektiviteten av tekniske og organisatoriske tiltak for å sikre sikkerheten til databehandling

Prosedyre for regelmessig testing, evaluering og vurdering av effektiviteten av tekniske og organisatoriske tiltak for å beskytte databehandling.

a) ta de nødvendige skritt for å vurdere risikoer og avbøtende strategier;

b) tjenesteanalysemøter i IT-avdelingen for å ta opp aktuelle problemer;

c) forretningskontinuitet/katastrofegjenopprettingsplaner oppdateres regelmessig.

Del 3

Partenes signaturer og liste over dataimportører

Når du fyller ut det elektroniske bestillingsskjemaet og validerer det ved å krysse av i boksen for å godta de generelle vilkårene for bruk, etableres kontrakten som regulerer forholdet mellom kunden og POSTCODEZIP.

Sending av betalingen til POSTCODEZIP vil vurdere kontrakten som er avtalt og etablert.

Legg merke til: Denne teksten er oversatt fra fransk. Den originale franske versjonen, som er gyldig og juridisk restriktiv, er tilgjengelig her .