Tillegg for databehandling

Tillegg for databehandling

Dette tillegget for databehandling («DPA») gjelder den underliggende avtalen for skyhosting («Avtalen») der ISVHost («Tjenesteleverandøren») tilbyr skyhostingstjenester til kunden («Selskapet»), og utgjør en del av avtalen.  

ETTER SIKKERHET at Tjenesteleverandøren utfører visse tjenester for Selskapet i henhold til Avtalen («Tjenester»);  

I ETTERSOM, som en del av Tjenestene som Tjenesteleverandøren leverer til Selskapet i henhold til Avtalen, vil Tjenesteleverandøren bli gitt til eller ha tilgang til Personopplysninger, slik begrepet brukes og forstås i henhold til personvernlovgivningen (definert nedenfor);

I BETRAKTNING at partene søker å implementere en databehandleravtale som er i samsvar med kravene i personvernlovgivningen.  

DET ER DERFOR AVTALT OM FØLGENDE:  

  1. Definisjoner
  1. «Krysskontekstbasert atferdsreklame» betyr målretting av reklame mot en forbruker basert på forbrukerens personopplysninger innhentet fra forbrukerens aktivitet på tvers av bedrifter, nettsteder med tydelig merkevare, applikasjoner eller tjenester, annet enn bedriften, nettstedet med tydelig merkevare, applikasjonen eller tjenesten som forbrukeren bevisst samhandler med.  
  1. «Forbruker» betyr en person som er bosatt i en jurisdiksjon med gjeldende personvernlover, inkludert, men ikke begrenset til, en «forbruker» som definert i California Consumer Privacy Act, endret av California Privacy Rights Act, Virginia Consumer Data Protection Act, Colorado Privacy Act, Connecticut Data Privacy Act, Utah Consumer Privacy Act, Texas Data Privacy and Security Act, Oregon Consumer Privacy Act og andre gjeldende personvernlover i staten.
  1. «Databeskyttelseslover» betyr alle gjeldende lover, regler, forskrifter og andre juridiske eller selvregulerende krav i enhver jurisdiksjon knyttet til personvern, databeskyttelse, datasikkerhet, varsling om brudd eller behandling (som definert nedenfor) av personopplysninger.
  1. «Personopplysninger» omfatter all informasjon som identifiserer en person som definert i gjeldende personvernlover.
  1. «Behandling» betyr enhver operasjon eller sett med operasjoner som utføres i forbindelse med personopplysninger, inkludert, men ikke begrenset til, innsamling, lagring og bruk av personopplysninger.  
  1. «Profilering» betyr enhver form for automatisert behandling av personopplysninger for å evaluere, analysere eller forutsi en persons økonomiske situasjon, helse, personlige preferanser, interesser, pålitelighet, atferd, plassering eller bevegelser.
  1. «Sikkerhetsbrudd» betyr uautorisert eller ulovlig ødeleggelse, tap, endring, avsløring eller behandling av personopplysninger.  
  1. «Salg», «selge» eller «tredjepart» skal ha den betydningen som er angitt i California Civil Code § 1798.140, med endringer, og analoge definisjoner i henhold til andre gjeldende personvernlover.
  1. «Sensitive data» eller «sensitive personopplysninger» betyr personopplysninger som avslører rasemessig eller etnisk opprinnelse, religiøs tro, psykisk eller fysisk helsediagnose, seksuell legning, statsborgerskap eller immigrasjonsstatus; genetiske eller biometriske data behandlet med det formål å unikt identifisere en person; personopplysninger samlet inn fra et kjent barn; eller presise geolokasjonsdata, som ytterligere definert i gjeldende personvernlover.
  1. «Tjenesteleverandør» inkluderer begrepet «databehandler» og lignende begreper, og slike begreper skal ha samme betydning som definert i gjeldende personvernlover.
  1. «Del», «Delt» eller «Deling» skal ha betydningen som er angitt i California Civil Code § 1798.140, med endringer, og analoge definisjoner i henhold til andre gjeldende personvernlover.
  1. «Underdatabehandler» betyr enhver underleverandør som behandler personopplysninger på vegne av tjenesteleverandøren.
  1. Tjenesteleverandørens forpliktelser
  1. Tjenesteleverandøren skal behandle personopplysninger med det begrensede formålet å levere tjenestene til selskapet som er oppført i avtalen, eller som ellers skriftlig instruert av selskapet. All behandling av personopplysninger av tjenesteleverandøren skal være i samsvar med personvernlovgivningen.  
  1. Uten å begrense det foregående, skal ikke Tjenesteleverandøren: (i) Selge Personopplysninger; (ii) Dele Personopplysninger for krysskontekstuell atferdsreklame; (iii) beholde, bruke eller utlevere Personopplysninger til noe formål, inkludert kommersielt formål, annet enn for forretningsformålene som er spesifisert i Avtalen eller som ellers skriftlig godkjent av Selskapet; (iv) beholde, bruke eller utlevere Personopplysninger til noen tredjepart utenfor det direkte forretningsforholdet mellom Selskapet og Tjenesteleverandøren; (v) bryte gjeldende begrensninger oppført i personvernlovgivningen, inkludert de som gjelder å kombinere Personopplysninger som Tjenesteleverandøren mottar fra, eller på vegne av, Selskapet med Personopplysninger som Tjenesteleverandøren mottar fra, eller på vegne av, en annen person eller personer, eller som Tjenesteleverandøren samler inn fra enhver samhandling mellom seg selv og en person; forutsatt at det foregående imidlertid ikke skal forhindre Tjenesteleverandøren fra å kombinere Avidentifiserte Data (som definert nedenfor) med andre Avidentifiserte eller Anonymiserte Data for Tjenesteleverandørens interne analytiske, forsknings- eller produktforbedringsformål; eller (vi) utføre behandling av personopplysninger som er forbudt eller ikke tillatt av «behandlere» eller «tjenesteleverandører» i henhold til personvernlovgivningen.
  1. Uavhengig av det foregående, kan Tjenesteleverandøren avidentifisere, anonymisere eller aggregere Personopplysninger mottatt fra Selskapet, forutsatt at: (i) slik avidentifisering, anonymisering eller aggregering utføres i samsvar med gjeldende personvernlover; (ii) de resulterende dataene («Avidentifiserte Data») ikke med rimelighet kan brukes til å identifisere noen enkeltperson eller kobles tilbake til noen enkeltperson; (iii) Tjenesteleverandøren implementerer tekniske sikkerhetstiltak og forretningsprosesser for å forhindre reidentifisering; og (iv) Tjenesteleverandøren kontraktsmessig forbyr alle nedstrøms mottakere å forsøke å reidentifisere dataene. Tjenesteleverandøren kan bruke, beholde og kombinere avidentifiserte data for sine egne interne analytiske, forsknings-, benchmarking- og produkt- eller tjenesteforbedringsformål. Tjenesteleverandøren skal ikke forsøke å reidentifisere noen avidentifiserte data eller annen pseudonymisert, anonymisert, aggregert eller avidentifisert informasjon.
  1. Dersom Tjenesteleverandøren er rettslig forpliktet til å gi Personopplysninger til en tredjepart: (i) Tjenesteleverandøren skal omgående gi Selskapet en rimelig mulighet til å bestride den rettslige forpliktelsen eller søke beskyttelse for utleveringen; og (ii) Tjenesteleverandøren skal, etter samråd med Selskapet og dets juridiske rådgiver, kun utlevere den minste mengden Personopplysninger som er nødvendig for å overholde den rettslige forpliktelsen.
  1. Tjenesteleverandøren skal innen fem (5) virkedager varsle Selskapet dersom Tjenesteleverandøren fastslår at den ikke lenger kan oppfylle sine forpliktelser i henhold til denne databehandleravtalen eller personvernlovgivningen, eller at den har brutt noen av sine forpliktelser i denne databehandleravtalen eller overtrådt personvernlovgivningen.  
  1. Med unntak av det som er nødvendig for å overholde juridiske forpliktelser, vil Tjenesteleverandøren slette all personlig informasjon fra sine systemer ved slutten av Tjenestene knyttet til Behandlingen. Dersom Tjenesteleverandøren er juridisk pålagt å oppbevare slik personlig informasjon, skal Tjenesteleverandøren varsle Selskapet om dette. Deretter kan slik personlig informasjon fortsatt lagres i Tjenesteleverandørens system, men skal ikke behandles på noen annen måte og skal overholde alle gjeldende personvernlover.  
  1. Tjenesteleverandøren gir Selskapet rett til, med rimelig varsel, å iverksette rimelige og passende tiltak for å stoppe og rette opp enhver uautorisert bruk av Personopplysninger.  
  1. Partene skal samarbeide i rimelig grad med hverandre for å endre eller endre denne databehandleravtalen dersom nye eller endrede personvernlover krever slik endring eller modifisering.  
  1. Restriksjoner for sensitive data og profilering. Følgende tilleggskrav gjelder for tjenesteleverandørens behandling av sensitive data og eventuelle profileringsaktiviteter:
  1. Tjenesteleverandøren skal ikke behandle sensitive data unntatt i den grad det er strengt nødvendig for å utføre tjenestene, og kun med selskapets skriftlige forhåndssamtykke som spesifiserer kategoriene av sensitive data som skal behandles og formålene for slik behandling.
  1. Tjenesteleverandøren skal implementere og vedlikeholde forbedrede tekniske og organisatoriske sikkerhetstiltak for sensitive data som er passende for den økte risikoen forbundet med slike data, inkludert kryptering i ro og under overføring, tilgangskontroller som begrenser tilgang til autorisert personell og logging av all tilgang til sensitive data.
  1. Tjenesteleverandøren erkjenner at forbrukere har rett til å begrense bruken og utleveringen av sine sensitive data i henhold til gjeldende personvernlover, og skal respektere alle slike begrensningsforespørsler som sendes av selskapet.
  1. Tjenesteleverandøren skal ikke delta i profilering av forbrukere ved bruk av personopplysninger mottatt fra selskapet med mindre: (i) slik profilering er strengt nødvendig for å utføre tjenestene; (ii) selskapet har gitt skriftlig forhåndsgodkjenning for slik profileringsaktivitet; og (iii) profileringen ikke har juridiske eller lignende betydelige konsekvenser for forbrukere uten passende sikkerhetstiltak.
  1. Tjenesteleverandøren skal gi Selskapet tilstrekkelig informasjon til at Selskapet kan gjennomføre enhver nødvendig konsekvensanalyse av personvern eller lignende vurdering knyttet til profileringsaktiviteter i henhold til gjeldende personvernlovgivning.
  1. Dersom Tjenesteleverandøren mottar en Forbrukers forespørsel om å reservere seg mot Profilering, enten direkte eller gjennom Selskapet, skal Tjenesteleverandøren umiddelbart opphøre all Profileringsaktivitet knyttet til Forbrukerens Personopplysninger og bekrefte slik opphør skriftlig til Selskapet.
  1. Bistand med behandling. Dersom tjenesteleverandøren engasjerer en underdatabehandler eller annen person til å bistå med behandling av personopplysninger, skal tjenesteleverandøren varsle selskapet om slikt engasjement, og slike underdatabehandlere eller personer som er engasjert skal:  
  1. Har blitt valgt gjennom tiltak som er rimelig utformet for å sikre en slik underdatabehandlers eller persons pålitelighet, kompetanse og troverdighet, inkludert å gjennomføre passende bakgrunnssjekker der det er lovlig tillatt å gjøre det;
  1. Ha mottatt den nødvendige opplæringen for å legge til rette for at tjenesteleverandøren overholder denne databehandleravtalen;
  1. Ha inngått en passende skriftlig avtale som forplikter en slik underbehandler eller person til å overholde personvernlovgivningen og kun behandle personopplysninger som tillatt i henhold til denne databehandleravtalen; og
  1. Motta tilgang til personopplysninger fra tjenesteleverandøren kun i den grad slik tilgang er nødvendig for at underleverandøren eller personen skal kunne utføre forpliktelsene som vedkommende underleverandør eller person er engasjert for.
  1. Bistand med overholdelse av personvernlovgivningen. Partene skal samarbeide med og bistå hverandre på rimelig vis for å sikre sine respektive samsvarsforpliktelser i henhold til personvernlovgivningen, tatt i betraktning arten av tjenesteleverandørens behandling og informasjonen som er tilgjengelig for tjenesteleverandøren. Uten å begrense det foregående:
  1. Tjenesteleverandøren skal varsle Selskapet så snart som mulig, men minst innen tre (3) virkedager etter å ha mottatt enhver forespørsel eller klage knyttet til personopplysninger.  
  1. Tjenesteleverandøren skal ikke svare på slike forespørsler med mindre Selskapet har skriftlig gitt Tjenesteleverandøren fullmakt til å gjøre det, med mindre Tjenesteleverandøren har en plikt i henhold til gjeldende lov til å svare direkte.  
  1. Dersom tjenesteleverandøren har en plikt i henhold til gjeldende lov til å svare direkte, skal den, med mindre det er lovpålagt å gjøre det, varsle selskapet om dette kravet før den første varslingen gis og følge selskapets rimelige instruksjoner for å svare på en slik forespørsel.
  1. Dersom Selskapet ber Tjenesteleverandøren om å slette eller endre Personopplysninger, skal Tjenesteleverandøren umiddelbart gjøre dette og videreformidle disse forespørslene om sletting eller endring til etterfølgende parter i samsvar med personvernlovgivningen.
  1. Sikkerhet. Tjenesteleverandøren skal implementere passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå for personopplysningene som er passende for risikoen, og i alle tilfeller skal slike tiltak være i samsvar med gjeldende personvernlover.
  1. Sikkerhetsbrudd. Tjenesteleverandøren skal overholde alle forpliktelser knyttet til sikkerhetsbrudd som gjelder for den i henhold til personvernlovgivningen. Med tanke på behandlingens art og informasjonen som er tilgjengelig for den, skal tjenesteleverandøren gi rimelig bistand til selskapet med å overholde selskapets forpliktelser knyttet til sikkerhetsbrudd.

Partene i avtalen erklærer og garanterer herved at de er behørig autorisert til å juridisk binde en slik part til vilkårene i denne databehandleravtalen.

Reduser kostnadene og kompleksiteten ved å levere Windows-appen din

Abonner på nyhetsbrevet vårt
Takk for at du ble med i nyhetsbrevet vårt.
Ups! Noe gikk galt under innsending av skjemaet.