ESET Hjelp på internett

Søk Norsk
Velg kategori
Velg tema

Avtale om databehandling

I henhold til kravene i forordning (EU) 2016/679 av Europaparlamentet og Rådet av 27. april 2016 om beskyttelse av fysiske personer med hensyn til behandling av personopplysninger og om fri flyt av slike opplysninger, som opphever direktiv 95/46/EC (heretter referert til som «GDPR»), inngår leverandøren (heretter referert til som «databehandler») og du (heretter referert til som «behandlingsansvarlig») et kontraktsforhold for databehandling for å definere vilkårene og betingelsene for behandling av personopplysninger, metoden for beskyttelse av dem, samt andre rettigheter og plikter for begge parter i behandlingen av personopplysninger til registrerte på vegne av behandlingsansvarlig under utførelsen av emnet i disse vilkårene som hovedkontrakt.

1. Behandling av personopplysninger. Tjenestene som tilbys i samsvar med disse vilkårene inkluderer behandling av informasjon knyttet til en identifisert eller identifiserbar fysisk person som er oppført i personvernerklæringen (heretter kalt «personopplysninger»).

2. Autorisasjon. Behandlingsansvarlig autoriserer databehandler til å behandle personopplysninger, inkludert følgende instruksjoner:

(i) Formålet med behandlingen skal bety levering av tjenester i samsvar med disse vilkårene. Databehandler har kun lov til å behandle personopplysninger på vegne av behandlingsansvarlig vedrørende levering av tjenester forespurt av behandlingsansvarlig. All informasjon som samles inn for ytterligere formål, behandles utenfor kontraksforholdet mellom behandlingsansvarlig og databehandler.

(ii) Behandlingsperiode skal bety perioden fra inngåelse av samarbeid under disse vilkårene til avslutning av tjenester.

(iii) Omfang og kategorier av personopplysninger. Tjenestene er kun ment for behandling av generelle personopplysninger. Behandlingsansvarlig er imidlertid eneansvarlig for fastsettelsen av omfanget av personopplysninger.

(iv) Den registrerte skal bety en fysisk person som en autorisert bruker av den behandlingsansvarliges enheter.

(v) Behandlingsaktiviteter skal bety enhver virksomhet som er nødvendig for behandling.

(vi) Dokumenterte instruksjoner skal bety instruksjoner beskrevet i disse vilkårene, vedleggene, personvernerklæringen og tjenestedokumentasjonen. Behandlingsansvarlig skal være ansvarlig for at databehandlers behandling av personopplysninger er juridisk tillatt i henhold til de gjeldende bestemmelsene i personvernlovgivningen.

3. Databehandlers forpliktelser. Databehandler skal være forpliktet til å:

(i) behandle personopplysninger kun på grunnlag av dokumenterte instruksjoner og for det formål som er definert i vilkårene, vedleggene, personvernerklæringen og tjenestedokumentasjonen,

(ii) instruere personene som er autorisert til å behandle personopplysningene (heretter referert til som «autoriserte personer») om deres rettigheter og plikter i henhold til GDPR, om deres ansvar i tilfelle brudd, og for å sikre at autoriserte personer har forpliktet seg til konfidensialitet og å følge de dokumenterte instruksjonene,

(iii) implementere og følge tiltakene beskrevet i vilkårene, vedleggene, personvernerklæringen og tjenestedokumentasjonen,

(iv) bistå behandlingsansvarlig med å svare på forespørsler fra registrerte relatert til deres rettigheter. Databehandler skal ikke korrigere, slette eller begrense behandlingen av personopplysninger uten instruks fra behandlingsansvarlig. Alle forespørsler fra den registrerte relatert til personopplysninger behandlet på vegne av behandlingsansvarlig skal videresendes til behandlingsansvarlig uten forsinkelser.

(v) bistå behandlingsansvarlig med å varsle tilsynsmyndigheten og den registrerte om brudd på personopplysningssikkerheten. Databehandler skal varsle behandlingsansvarlig om ethvert brudd ved behandling av personopplysninger eller personopplysningssikkerhet umiddelbart etter oppdagelsen. Databehandler skal samarbeide i rimelig grad i en undersøkelse og avhjelpning av et slikt brudd, og treffe rimelige tiltak for å begrense ytterligere negative konsekvenser.

(vi) slette eller returnere, etter den behandlingsansvarliges valg, alle personopplysningene til den behandlingsansvarlige etter slutten av behandlingsperioden. Behandlingsansvarlig forplikter seg til å informere databehandler om sin beslutning innen ti (10) dager etter utløpet av behandlingsperioden. Denne bestemmelsen skal ikke påvirke databehandlers rett til å beholde personopplysningene i nødvendig grad for arkivformål i allmennhetens interesse, for vitenskapelig forskning, statistiske formål eller med det formål å fastsette, gjøre gjeldende eller forsvare rettskrav.

(vii) føre et oppdatert register over alle kategorier av behandlingsaktiviteter som utføres på vegne av behandlingsansvarlig,

(viii) gjøre all informasjon som er nødvendig for å demonstrere overholdelse som en del av vilkårene, vedleggene, personvernerklæringen og tjenestedokumentasjonen tilgjengelig for behandlingsansvarlig. I tilfelle revisjon eller kontroll av behandlingen av personopplysninger fra den behandlingsansvarliges side, skal den behandlingsansvarlige være forpliktet til å informere databehandleren skriftlig minst tretti (30) dager før den planlagte revisjonen eller kontrollen.

4. Engasjering av en annen databehandler. Databehandler har rett til å engasjere en annen databehandler til å utføre spesifikke behandlingsaktiviteter, for eksempel levering av skylagring og infrastruktur for tjenesten i samsvar med vilkårene, vedleggene, personvernerklæringen og tjenestedokumentasjonen. Microsoft tilbyr for øyeblikket skylagring og infrastruktur som en del av skytjenesten Azure. I et slikt tilfelle skal databehandler fortsatt være det eneste kontaktpunktet og den parten som er ansvarlig for overholdelse. Databehandler forplikter seg herved til å informere behandlingsansvarlig om ethvert tillegg eller erstatning av en annen databehandler med henblikk på muligheten til å motsette seg en slik endring.

5. Behandlingsområde. Databehandler sikrer at behandlingen finner sted i Det europeiske økonomiske samarbeidsområdet eller et land utpekt som trygt av EU-kommisjonens beslutning basert på den behandlingsansvarliges beslutning. Standard kontraktsklausuler skal gjelde ved tilfeller av overføringer og behandling som befinner seg utenfor Det europeiske økonomiske samarbeidsområdet eller et land som er utpekt som trygt av EU-kommisjonens beslutning på forespørsel fra behandlingsansvarlig.

6. Sikkerhet. Databehandler er ISO 27001:2013-sertifisert og bruker rammeverket til ISO 27001 for å implementere en sikkerhetsstrategi med lagdelt forsvar ved bruk av sikkerhetskontroller på laget til nettverket, operativsystemene, databasene, programmene, personellet og driftsprosessene. Overholdelse av regulatoriske og kontraktsmessige krav vurderes regelmessig og gjennomgås på samme måte som annen infrastruktur og drift av databehandleren, og nødvendige tiltak iverksettes for å sikre samsvar på kontinuerlig basis. Databehandler har organisert datasikkerheten ved hjelp av ISMS basert på ISO 27001. Sikkerhetsdokumentasjonen omfatter hovedsakelig retningslinjedokumenter for informasjonssikkerhet, fysisk sikkerhet, sikring av utstyr, hendelseshåndtering, håndtering av datalekkasjer og sikkerhetshendelser osv.

7. Tekniske og organisatoriske tiltak. Databehandler skal beskytte personopplysningene mot tilfeldig og ulovlig skade og ødeleggelse, tilfeldig tap, endring, uautorisert tilgang og utlevering. For dette formålet skal databehandler treffe egnede tekniske og organisatoriske tiltak som samsvarer med behandlingsmåten og risikoen ved behandling for rettighetene til de registrerte i samsvar med kravene i GDPR. En detaljert beskrivelse av de tekniske og organisatoriske tiltakene er angitt i sikkerhetsretningslinjene.

8. Kontaktinformasjon til databehandler. Alle varsler, forespørsler, krav og annen kommunikasjon vedrørende beskyttelse av personopplysninger skal rettes til ESET, spol. s.r.o., merket: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.