Legal pages
Global Acquirer
Local Acquirer
Oolio
Oolio Pay
Oolio Platform
Databehandleravtale (NO)
i henhold til artikkel 28(3) i forordning 2016/679 (personvernforordningen) for behandling av personopplysninger
mellom
Kunden som definert i tilbudet
heretter kalt «behandlingsansvarlig»
og
Golfbox Pay ApS
CVR: 45 99 33 45
Sensommervej 34F
8600 Silkeborg
Danmark
heretter kalt «databehandler»
hver av dem en «part» og sammen utgjør de «partene».
Partene har inngått følgende databehandleravtale ("bestemmelsene") med det formål å overholde personvernforordningen og sikre beskyttelsen av fysiske personers privatliv og grunnleggende rettigheter og friheter.
1. INNHOLD
1. Innhold
2. Innledning
3. Den behandlingsansvarliges rettigheter og forpliktelser
4. Databehandleren handler etter instrukser
5. Konfidensialitet
6. Sikkerhet ved behandling
7. Bruk av underdatabehandlere
8. Overføring til tredjeland eller internasjonale organisasjoner
9. Bistand til den behandlingsansvarlige
10. Melding om brudd på personvernet
11. Sletting og tilbakelevering av informasjon
12. Revisjon, herunder inspeksjon
13. Avtale mellom partene om andre forhold
14. Ikrafttredelse og opphør
15. Kontaktpersoner hos databehandleren
Vedlegg A Informasjon om behandlingen
Vedlegg B Underbehandlere
Vedlegg C Instruksjoner vedrørende behandling av personopplysninger
Vedlegg D Regulering av andre forhold av partene
2. INNLEDNING
2.1 Disse bestemmelsene fastsetter rettighetene og pliktene til databehandleren ved behandling av personopplysninger på vegne av den behandlingsansvarlige.
2.2 Disse bestemmelsene er utformet for å sikre at partene overholder artikkel 28 nr. 3 i Europaparlamentets og Rådets forordning (EU) 2016/679 (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger og om oppheving av direktiv 95/46/EF (EUs personvernforordning - GDPR).
2.3 I forbindelse med levering av databehandlerens betalingsteknologi, Golfbox Pay, som avtalt mellom partene i «Vilkår for bruk av Golfbox Pay» (heretter kalt «hovedavtalen»), behandler databehandleren personopplysninger på vegne av den behandlingsansvarlige i samsvar med disse bestemmelsene.
2.4 Disse bestemmelsene har forrang fremfor eventuelle lignende bestemmelser i andre avtaler mellom partene.
2.5 Det er fire vedlegg til disse bestemmelsene, og vedleggene utgjør en integrert del av bestemmelsene.
2.6 Vedlegg A inneholder detaljert informasjon om behandlingen av personopplysninger, herunder formålet med og arten av behandlingen, typen personopplysninger, kategoriene av registrerte og varigheten av behandlingen.
2.7 Vedlegg B inneholder den behandlingsansvarliges vilkår for databehandlerens bruk av underdatabehandlere og en liste over underdatabehandlere som er godkjent av den behandlingsansvarlige.
2.8 Vedlegg C inneholder den behandlingsansvarliges instrukser om databehandlerens behandling av personopplysninger, en beskrivelse av de minimums sikkerhetstiltak som databehandleren skal iverksette, og hvordan databehandleren og eventuelle underdatabehandlere overvåkes.
2.9 Vedlegg D inneholder bestemmelser om andre aktiviteter som ikke er omfattet av bestemmelsene.
2.10 Bestemmelsene og vedleggene må være skriftlig og oppbevares av begge parter, dette kan da være elektronisk.
2.11 Disse bestemmelsene fritar ikke databehandleren fra forpliktelser som personvernforordningen eller annen lovgivning pålegger databehandleren.
3. DEN BEHANDLINGSANSVARLIGES RETTIGHETER OG FORPLIKTELSER
3.1 Den behandlingsansvarlige er ansvarlig for å sikre at behandlingen av personopplysninger utføres i samsvar med personvernforordningen (se artikkel 24 i forordningen), personvernbestemmelser i annen EU-lovgivning eller medlemsstatenes nasjonale lovgivning og disse bestemmelsene.
3.2 Den behandlingsansvarlige har rett og plikt til å bestemme for hvilke formål og på hvilken måte personopplysninger kan behandles.
3.3 Den behandlingsansvarlige er blant annet ansvarlig for å sikre at det foreligger et rettslig grunnlag for behandlingen av personopplysninger som databehandleren er pålagt å utføre.
4. DATABEHANDLEREN HANDLER ETTER INSTRUKSER
4.1 Databehandleren kan kun behandle personopplysninger i samsvar med den behandlingsansvarliges dokumenterte instrukser, med mindre annet kreves av EU-lovgivning eller nasjonal lovgivning i medlemsstatene som databehandleren er underlagt. Disse instruksene må spesifiseres i vedlegg A og C. Senere instrukser kan også gis av den behandlingsansvarlige mens personopplysninger behandles, men instruksene må alltid dokumenteres og være skriftlig, også elektronisk, sammen med disse bestemmelsene.
4.2 Databehandleren skal umiddelbart informere den behandlingsansvarlige dersom den mener at en instruksjon er i strid med personvernforordningen eller med personvernbestemmelser i annen EU-lovgivning eller nasjonal lovgivning i medlemsstatene.
5. KONFIDENSIALITET
5.1 Databehandleren kan bare gi tilgang til personopplysninger som behandles på vegne av den behandlingsansvarlige til personer som er underlagt databehandlerens instrukser, som har forpliktet seg til å opprettholde konfidensialitet eller som er underlagt en tilstrekkelig lovbestemt taushetsplikt, og bare i den grad det er nødvendig. Listen over personer som har fått tilgang, skal gjennomgås fortløpende. På grunnlag av denne gjennomgangen kan tilgangen til personopplysninger stenges hvis tilgangen ikke lenger er nødvendig.Personopplysningene skal da ikke lenger være tilgjengelige for de aktuelle personene.
5.2 På forespørsel fra den behandlingsansvarlige må databehandleren kunne dokumentere at de berørte personene, som er underlagt databehandlerens instrukser, er underlagt ovennevnte taushetsplikt.
6. SIKKERHET VED BEHANDLING
6.1 Artikkel 32 i personvernforordningen fastsetter at den behandlingsansvarlige og databehandleren, med hensyn til den tekniske utviklingen, kostnadene ved gjennomføringen og arten, omfanget, konteksten og formålet med behandlingen, samt risikoen tilknyttet foskjellige sannsynlighetsnivåer og alvorlighetsgrader for fysiske personers rettigheter og friheter, iverksette passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er tilpasset risikoen.
Den behandlingsansvarlige skal vurdere risikoen for fysiske personers rettigheter og friheter som behandlingen medfører, og iverksette tiltak for å håndtere denne risikoen. Avhengig av relevansen kan disse omfatte:
a. Pseudonymisering og kryptering av personopplysninger
b. evnen til å sikre kontinuerlig konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemer og -tjenester
c. evnen til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i tide i tilfelle en fysisk eller teknisk hendelse
d. en prosedyre for regelmessig testing, vurdering og evaluering av effektiviteten av tekniske og organisatoriske tiltak for å sikre sikkerheten ved behandlingen.
6.2 I henhold til artikkel 32 i personvernforordningen må databehandleren også, uavhengig av den behandlingsansvarlige, vurdere risikoen for fysiske personers rettigheter som følge av behandlingen og iverksette tiltak for å håndtere denne risikoen. For å kunne foreta denne vurderingen skal den behandlingsansvarlige gi databehandleren den nødvendige informasjonen for å kunne identifisere og vurdere slike risikoer.
6.3 I tillegg skal databehandleren bistå den behandlingsansvarlige med å oppfylle den behandlingsansvarliges forpliktelse i henhold til artikkel 32 i personvernforordningen, blant annet ved å gi den behandlingsansvarlige nødvendig informasjon om de tekniske og organisatoriske sikkerhetstiltakene som databehandleren allerede har iverksatt i samsvar med artikkel 32 i personvernforordningen, og all annen informasjon som er nødvendig for at den behandlingsansvarlige skal kunne oppfylle sine forpliktelser i henhold til artikkel 32 i personvernforordningen.
Hvis den behandlingsansvarlige mener at de identifiserte risikoene krever at det iverksettes ytterligere tiltak utover de som allerede er iverksatt av databehandleren, skal den behandlingsansvarlige spesifisere de ytterligere tiltakene som skal iverksettes i vedlegg C.
7. BRUK AV UNDERDATABEHANDLERE
7.1 Databehandleren må oppfylle vilkårene i artikkel 28 nr. 2 og 4 i personvernforordningen for å kunne bruke en annen databehandler (en underdatabehandler).
7.2 Databehandleren kan ikke bruke en underdatabehandler for å overholde disse bestemmelsene uten forhåndsgodkjenning fra den behandlingsansvarlige.
7.3 Databehandleren har den behandlingsansvarliges generelle godkjenning til å bruke underdatabehandlere. Databehandleren må skriftlig underrette den behandlingsansvarlige om eventuelle planlagte endringer vedrørende tillegg eller erstatning av underdatabehandlere med minst 10 dagers varsel, slik at den behandlingsansvarlige får mulighet til å gjøre innvendinger mot slike endringer før den aktuelle underdatabehandleren eller de aktuelle underdatabehandlerne tas i bruk. Lengre varslingsfrister for melding i forbindelse med spesifikke behandlingsaktiviteter kan spesifiseres i vedlegg B. Listen over underdatabehandlere som allerede er godkjent av den behandlingsansvarlige, er angitt i vedlegg B.
7.4 Når databehandleren bruker en underdatabehandler i forbindelse med utførelsen av spesifikke behandlingsaktiviteter på vegne av den behandlingsansvarlige, skal databehandleren, ved hjelp av en kontrakt eller et annet juridisk dokument i henhold til EU-lovgivningen eller medlemsstatenes nasjonale lovgivning, pålegge underdatabehandleren de samme personvernforpliktelser som de som er fastsatt i disse bestemmelsene, og dermed gi de nødvendige garantier for at underdatabehandleren vil gjennomføre de tekniske og organisatoriske tiltakene på en slik måte at behandlingen oppfyller kravene i disse bestemmelsene og personvernforordningen.
Databehandleren er derfor ansvarlig for å kreve at underdatabehandleren som et minimum overholder databehandlerens forpliktelser i henhold til disse bestemmelsene og personvernforordningen.
7.5 Underbehandlersavtale(r) og eventuelle senere endringer i disse skal,på forespørsel fra den behandlingsansvarlige, sendes i kopi til den behandlingsansvarlige, som dermed har mulighet til å sikre at underbehandleren pålegges lignende personvernforpliktelser som de som følger av disse bestemmelsene. Bestemmelser om kommersielle vilkår som ikke påvirker personverninnholdet i underdatabehandleravtalen, skal ikke sendes til den behandlingsansvarlige.
7.6 Hvis underdatabehandleren ikke oppfyller sine personvernforpliktelser, forblir databehandleren fullt ansvarlig overfor den behandlingsansvarlige for oppfyllelsen av underdatabehandlerens forpliktelser. Dette påvirker ikke rettighetene til de registrerte i henhold til personvernforordningen, særlig artikkel 79 og 82, overfor den behandlingsansvarlige og databehandleren, inkludert underdatabehandleren.
8. OVERFØRING TIL TREDJELAND ELLER INTERNASJONALE ORGANISASJONER
8.1 Overføring av personopplysninger til tredjeland eller internasjonale organisasjoner kan kun utføres av databehandleren på grunnlag av dokumenterte instrukser fra den behandlingsansvarlige og må alltid være i samsvar med kapittel V i personvernforordningen.
8.2 Hvis overføring av personopplysninger til tredjeland eller internasjonale organisasjoner, som databehandleren ikke har fått instruks om å utføre av den behandlingsansvarlige, er påkrevd i henhold til EU-lovgivningen eller nasjonal lovgivning i medlemsstatene som databehandleren er underlagt, må databehandleren underrette den behandlingsansvarlige om dette lovkravet før behandlingen, med mindre slik underretning er forbudt i henhold til denne loven av hensyn til viktige offentlige interesser.
8.3 Uten dokumenterte instrukser fra den behandlingsansvarlige kan databehandleren ikke, innenfor rammen av disse bestemmelsene:
a. overføre personopplysninger til en behandlingsansvarlig eller databehandler i et tredjeland eller til en internasjonal organisasjon
b. overlate behandlingen av personopplysninger til en underdatabehandler i et tredjeland
c. behandle personopplysningene i et tredjeland
8.4 Den behandlingsansvarliges instrukser om overføring av personopplysninger til et tredjeland, herunder eventuelle overføringsgrunnlag i kapittel V i personvernforordningen som overføringen er basert på, må spesifiseres i vedlegg C.6.
8.5 Disse bestemmelsene skal ikke forveksles med standardkontraktsklausulene som nevnt i artikkel 46 nr. 2 bokstav c) og d) i personvernforordningen, og disse bestemmelsene kan ikke danne grunnlag for overføring av personopplysninger som nevnt i kapittel V i personvernforordningen.
9. BISTAND TIL DEN BEHANDLINGSANSVARLIGE
9.1 Med hensyn til behandlingens art skal databehandleren i den grad det er mulig bistå den behandlingsansvarlige ved hjelp av egnede tekniske og organisatoriske tiltak for å oppfylle den behandlingsansvarliges plikt til å svare på forespørsler om utøvelse av de registrertes rettigheter som angitt i kapittel III i personvernforordningen.
Dette betyr at databehandleren i den grad det er mulig skal bistå den behandlingsansvarlige med å sikre overholdelse av:
a. plikten til å gi informasjon ved innsamling av personopplysninger fra den registrerte
b. plikten til å gi informasjon hvis personopplysninger ikke er samlet inn fra den registrerte
c. retten til innsyn
d. retten til retting
e. retten til sletting («retten til å bli glemt»)
f. retten til begrensning av behandling
g. plikten til å varsle i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandling
h. retten til dataportabilitet
i. retten til å protestere
j. retten til ikke å være gjenstand for en beslutning som utelukkende er basert på automatisert behandling, herunder profilering
9.2 I tillegg til databehandlerens plikt til å bistå den behandlingsansvarlige i samsvar med punkt 6.3, skaldatabehandleren også, under hensyntagen til behandlingens art og den informasjonen som er tilgjengelig for databehandleren, bistå den behandlingsansvarlige med:
a. databehandlerens plikt til å rapportere brudd på personopplysninger til den kompetente tilsynsmyndigheten uten unødig forsinkelse og, når det er mulig, senest 72 timer etter at han ble kjent med det datatilsynet, med mindre bruddet på personopplysninger neppe vil medføre en risiko for fysiske personers rettigheter og friheter
b. databehandlerens plikt til å informere den registrerte om bruddet på personopplysninger uten unødig forsinkelse når bruddet sannsynligvis vil medføre en høy risiko for fysiske personers rettigheter og friheter
c. den behandlingsansvarliges plikt til å gjennomføre en analyse av konsekvensene av de planlagte behandlingsaktivitetene for beskyttelsen av personopplysninger (en vurdering av personvernkonsekvenser) før behandlingen
d. databehandlerens plikt til å konsultere den kompetente tilsynsmyndigheten, Datatilsynet, før behandling, dersom en vurdering av personvernkonsekvenser viser at behandlingen vil medføre høy risiko dersom databehandleren ikke iverksetter tiltak for å redusere risikoen.
9.3 Partene må i vedlegg C spesifisere de nødvendige tekniske og organisatoriske tiltak som databehandleren må bistå den behandlingsansvarlige med, og i hvilken grad og omfang. Dette gjelder for pliktene som følger av punkt 9.1 og 9.2.
10. MELDING OM BRUDD PÅ PERSONVERNET
10.1 Databehandleren skal varsle den behandlingsansvarlige uten unødig forsinkelse etter å ha blitt kjent med et brudd på personopplysninger.
10.2 Databehandlerens melding til den behandlingsansvarlige må, hvis mulig, skje senest 48 timer etter at bruddet er blitt kjent, slik at den behandlingsansvarlige kan oppfylle sin plikt til å melde personopplysningsbruddet til den kompetente tilsynsmyndigheten, jf. artikkel 33 i personvernforordningen.
10.3 I henhold til punkt 9.2.a skal databehandleren bistå den behandlingsansvarlige med å rapportere bruddet til den kompetente tilsynsmyndigheten. Dette innebærer at databehandleren må bistå med å gi følgende opplysninger, som i henhold til artikkel 33 nr. 3 må inngå i den behandlingsansvarliges melding om bruddet til den kompetente tilsynsmyndigheten:
a. personvernbruddets art, herunder, hvis mulig, kategoriene og det estimerte antallet berørte registrerte og kategoriene og det estimerte antallet berørte personopplysningsposter
b. de sannsynlige konsekvensene av bruddet på personopplysninger
c. tiltak som den behandlingsansvarlige har truffet eller foreslått for å håndtere bruddet på personopplysninger, herunder, når det er hensiktsmessig, tiltak for å redusere mulige negative virkninger.
10.4 Partene skal i vedlegg C spesifisere informasjonen som databehandleren skal gi i forbindelse med sin bistand til den behandlingsansvarlige i dens plikt til å melde personvernbruddet til den kompetente tilsynsmyndigheten.
11. SLETTING OG TILBAKELEVERING AV INFORMASJON
11.1 Ved opphør av tjenestene knyttet til behandling av personopplysninger skal databehandleren returnere alle personopplysninger og slette eksisterende kopier, med mindre EU-lovgivningen eller medlemsstatenes nasjonale lovgivning krever lagring av personopplysninger.
12. REVISJON, HERUNDER INSPEKSJON
12.1 Databehandleren skal stille all informasjon som er nødvendig for å påvise overholdelse av artikkel 28 i personvernforordningen og disse bestemmelsene, til rådighet for den behandlingsansvarlige, og skal tillate og bidra til revisjoner, herunder inspeksjoner, utført av den behandlingsansvarlige eller en annen revisor som er autorisert av den behandlingsansvarlige.
12.2 Prosedyrene for den behandlingsansvarliges revisjoner, inkludert inspeksjoner, av databehandleren og underdatabehandlere er spesifisert i vedlegg C.7. og C.8.
12.3 Databehandleren er forpliktet til å gi tilsynsmyndigheter, som i henhold til gjeldende lov har tilgang til den behandlingsansvarliges eller databehandlerens fasiliteter, eller representanter som handler på vegne av tilsynsmyndigheten, tilgang til databehandlerens fysiske fasiliteter etter fremvisning av gyldig identifikasjon.
13. AVTALE MELLOM PARTENE OM ANDRE FORHOLD
13.1 Partene kan avtale andre bestemmelser knyttet til tjenesten som gjelder behandling av personopplysninger, f.eks. ansvar, så lenge disse andre bestemmelsene ikke direkte eller indirekte er i strid med bestemmelsene eller svekker den registrertes grunnleggende rettigheter og friheter i henhold til personvernforordningen.
14. IKRAFTTREDELSE OG OPPHØR
14.1 Bestemmelsene trer i kraft på datoen for begge parters underskrift.
14.2 Begge parter kan be om at bestemmelsene reforhandles dersom endringer i lovgivningen eller motsetninger i bestemmelsene gir grunnlag for det.
14.3 Bestemmelsene skal være i kraft så lenge tjenesten knyttet til behandling av personopplysninger varer. I denne perioden kan ikke bestemmelsene sies opp, med mindre andre bestemmelser som regulerer levering av tjenesten knyttet til behandling av personopplysninger er avtalt mellom partene.
14.4 Hvis levering av tjenester knyttet til behandling av personopplysninger opphører og personopplysningene er slettet eller returnert til den behandlingsansvarlige i samsvar med punkt 11.1 og vedlegg C.4, kan bestemmelsene sies opp ved skriftlig varsel fra en av partene.
15. KONTAKTPERSONER HOS DATABEHANDLEREN
15.1 Den behandlingsansvarlige kan kontakte databehandleren via kontaktpersonen nedenfor.
15.2 Partene er forpliktet til å holde hverandre informert om eventuelle endringer vedrørende kontaktpersoner.
| Navn | Oliver Taylor |
| Stilling | Merchant Risk & Compliance Manager |
| Telefon | +61 1300 166 546 |
| E-post | Oliver.Taylor@oolio.com |
VEDLEGG A INFORMASJON OM BEHANDLINGEN
Databehandleren tilbyr en betalingsteknologi som golfklubber og deres medlemmer kan bruke når de benytter seg av onlinebetaling i Golfbox-løsningen.
Disse bestemmelsene gjelder utelukkende behandling av personopplysninger som utføres som en del av betalingsbehandlingen til denne løsningen.
A.1. Formålet med databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige
Formålet med databehandlerens behandling av personopplysninger på vegne av databehandlingsansvarlig er å oppfylle sine forpliktelser i henhold til partenes hovedavtale i den grad levering av Golfbox-produkter og -tjenester innebærer behandling av personopplysninger.
Formålet med databehandlerens behandling av personopplysninger i forbindelse med de enkelte produktene og tjenestene er beskrevet nærmere nedenfor:
Golfbox Pay og integrering av andre betalingsleverandører
Formålet med behandlingen er å gjøre det mulig for klubber å motta betaling for sine produkter.
A.2. Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige gjelder primært (behandlingens art)
Arten av databehandlerens behandling av personopplysninger i forbindelse med de enkelte produktene og tjenestene er beskrevet nærmere nedenfor:
Golfbox Pay og integrering av andre betalingsleverandører
Golfbox Pay og integrering av andre betalingsleverandører muliggjør betalinger gjennom ulike betalingsleverandører på vegne av klubbene.
Golfbox Pay overfører betalingsdata til leverandøren, inkludert beløpet som skal betales, mottar bekreftelse på betalingen og registrerer at dette kjøpet, for eksempel en starttid, en undervisning, en turneringsregistrering eller et annet produkt, er betalt for.
A.3. Behandlingen omfatter følgende typer personopplysninger om de registrerte
Generelle personopplysninger:
- medlemsnummer (DGU-kort),
- fullt navn,
- telefon-/mobilnummer,
- e-postadresse,
- postadresse,
- transaksjonskjøp og
- betalingsopplysninger på vegne av golfklubben.
A.4. Behandlingen omfatter følgende kategorier av registrerte
Informasjon om golfklubbmedlemmer behandles.
A.5. Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige i samsvar med disse bestemmelsene kan påbegynnes etter at disse bestemmelsene trer i kraft. Behandlingen har følgende varighet
Behandlingen må utføres gjennom hele perioden hvor partenes hovedavtale er i kraft og skal avsluttes ved utløpet av denne, med mindre annet er fastsatt i oppsigelsesassistansen som databehandleren må yte til den behandlingsansvarlige, se også vedlegg C.4.
VEDLEGG B UNDERBEHANDLERE
B.1. Godkjente underbehandlere
Ved bestemmelsenes ikrafttredelse har den behandlingsansvarlige godkjent bruk av følgende underbehandlere
| NAVN | CVR | AD | BESKRIVELSE AV BEHANDLING |
|---|---|---|---|
| Oolio Group Pty ltd. | ABN 95 657 508 426 | Unit 5 61/73 Boundary Rd, Melbourne VIC 3051, Australien | Oolio behandler informasjon om korttransaksjoner, inkludert navnet på kortinnehaveren. |
| Oolio Group UK ltd. | Momsregistreringsnummer: GB187 3352 | Suite 17a St James Place, Wilderspool Causeway, Warrington, WA4 6PS, United Kingdom | I likhet med Oolio Group Pty Ltd støtter Oolio Group UK Ltd levering av Golfbox Pay via Adyen for håndtering av transaksjoner, rapporter, refusjoner osv. I denne forbindelse behandler Oolio informasjon om korttransaksjoner, inkludert navnet på kortinnehaveren. |
| GOLFBOX A/S | 27234704 | Sensommervej 34F, 8600 Silkeborg | Administrasjon av medlemmers brukerinformasjon, inkludert fullt navn og medlemsnummer. |
Ved ikrafttredelsen av bestemmelsene har den behandlingsansvarlige godkjent bruken av de relevante underbehandlere for den beskrevne behandlingsaktiviteten. Databehandleren kan ikke, uten skriftlig godkjenning fra den behandlingsansvarlige, bruke en underdatabehandler til en annen behandlingsaktivitet enn den som er beskrevet og avtalt, eller bruke en annen underdatabehandler til denne behandlingsaktiviteten.
B.2. Varsel om godkjenning av underdatabehandlere
Melding om informasjon om og databehandlerens innvendinger mot underdatabehandlere er som angitt i punkt 7.3 ovenfor.
VEDLEGG C INSTRUKSJONER VEDRØRENDE BEHANDLING AV PERSONOPPLYSNINGER
C.1. Behandlingens gjenstand/instruksjoner
Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige utføres av databehandleren som utfører følgende:
- Levering av betalingsteknologi som spesifisert i partenes hovedavtale og vedlegg A ovenfor.
Personopplysninger kan kun behandles for å oppfylle forpliktelsene i hovedavtalen og vedlegg A ovenfor.
C.2. Sikkerhet ved behandling
Databehandleren er pålagt å sikre et høyt sikkerhetsnivå i sine produkter og tjenester gjennom relevante organisatoriske, tekniske og fysiske sikkerhetstiltak i samsvar med kravene til sikkerhetstiltak som beskrevet i artikkel 32 i personvernforordningen.
Databehandleren har da rett og plikt til å bestemme hvilke tekniske og organisatoriske sikkerhetstiltak som skal iverksettes for å etablere det nødvendige (og avtalte) sikkerhetsnivået.
Databehandleren må imidlertid under alle omstendigheter og som et minimum iverksette følgende tiltak som er avtalt med den behandlingsansvarlige:
- Datakryptering: Data krypteres under overføring via HTTPS og SSL-sertifikater.
- Antivirusprogramvare: Databehandleren bruker oppdatert antivirusprogramvare for å forhindre og oppdage skadelig programvare eller lignende skadelig kode i databehandlerens systemer.
- Brannmurer: Databehandleren implementerer brannmurer på en måte som forhindrer at de omgås.
- Unike kontoer: Alle personer som er ansatt av eller på annen måte arbeider for databehandleren, tildeles unike kontoer, som ikke må deles og må holdes konfidensielle.
- Passordendring: Brukere må endre passordet sitt ved første pålogging på en konto.
- Passordkonfigurasjoner: Passordkonfigurasjoner håndheves for å sikre et minimum av passordintegritet.
- Tilgangstillatelser: Retningslinjer sikrer at tilgangstillatelser blir tilbakekalt ved opphør av ansettelsesforholdet.
- Fjernadgang: Fjernadgang gis gjennom et sikkert VPN.
Databehandleren evaluerer regelmessig sikkerhetstiltakene som er på plass for alle produkter og tjenester for å sikre at de oppfyller bransjestandarder. For øyeblikket er sikkerhetstiltakene oppsummert i hovedpunktene ovenfor.
C.3 Bistand til databehandleren
Databehandleren skal, i den grad det er mulig, innenfor omfanget og rekkevidden angitt nedenfor, bistå den behandlingsansvarlige i samsvar med punkt 9.1 og 9.2 ved å iverksette følgende tekniske og organisatoriske tiltak:
- Føre en oversikt over behandlingsaktiviteter i samsvar med artikkel 30 i personvernforordningen, som beskriver behandlingsaktivitetene som utføres på vegne av den behandlingsansvarlige.
- Informere den behandlingsansvarlige skriftlig uten unødig opphold etter å ha blitt kjent med en forespørsel rettet til databehandleren fra en registrert om å utøve sine rettigheter i henhold til personvernforordningen og gjeldende EU- eller medlemsstatsbestemmelser knyttet til databehandlerens behandlingsaktiviteter på vegne av den behandlingsansvarlige. Databehandleren har ikke rett til å svare på slike forespørsler med mindre den behandlingsansvarlige gir instruks om dette.
- Gi opplysningene nevnt i punkt 10.3 til den behandlingsansvarlige innen fristen nevnt i punkt 10.2 og gi de nødvendige opplysningene for at den behandlingsansvarlige skal kunne varsle den kompetente tilsynsmyndigheten om et brudd på personopplysninger eller varsle den registrerte.
Databehandleren har rett til rimelig kompensasjon for tidsbruk og andre kostnader som databehandleren pådrar seg i forbindelse med bistand som angitt i dette punkt C.3 vedrørende henvendelser fra registrerte og rapportering av brudd.
C.4 Oppbevaringsperiode/slettingsrutine
Ved opphør av tjenesten knyttet til behandling av personopplysninger skal databehandleren enten slette eller returnere personopplysningene i samsvar med punkt 11.1, med mindre den behandlingsansvarlige har endret den behandlingsansvarliges opprinnelige valg etter undertegning av disse bestemmelsene. Slike endringer må dokumenteres og oppbevares skriftlig, herunder elektronisk, i tilknytning til bestemmelsene.
Den behandlingsansvarlige skal på egen bekostning ha rett til å sikre, med bistand fra en uavhengig tredjepart, at slettingen er utført som hevdet. Databehandleren skal ha rett til separat betaling av kostnader eller tilleggsutgifter for tidsbruk.
C.5 Sted for behandling
Behandling av personopplysninger som omfattes av bestemmelsene, kan ikke finne sted på andre steder enn følgende uten forhåndsgodkjenning fra den behandlingsansvarlige:
- Stedene for databehandleren og underdatabehandlere er spesifisert i vedlegg B.1.
C.6 Instrukser om overføring av personopplysninger til tredjeland
Databehandleren kan kun overføre personopplysninger til tredjeland etter å ha mottatt skriftlige instruksjoner fra den behandlingsansvarlige. Instruksjoner er tilgjengelige for overføring til underdatabehandlere som er spesifisert i vedlegg B.1 og for underdatabehandlere som senere er godkjent skriftlig av den behandlingsansvarlige.
Enhver overføring må skje i samsvar med kapittel V i personvernforordningen, og overføringen må være basert på et gyldig overføringsgrunnlag, inkludert, men ikke begrenset til, Europakommisjonens standardpersonvernbestemmelser (SCC) eller en beslutning om tilstrekkelig beskyttelsesnivå. Databehandleren skal på forespørsel bistå den behandlingsansvarlige med å gi nødvendig informasjon om det overføringsgrunnlaget som er brukt.
Hvis den behandlingsansvarlige ikke gir dokumenterte instruksjoner i disse bestemmelsene eller senere om overføring av personopplysninger til et tredjeland, har databehandleren ikke rett til å foreta slike overføringer innenfor rammen av disse bestemmelsene.
C.7 Prosedyrer for revisjon av den behandlingsansvarlige, inkludert inspeksjoner, av behandlingen av personopplysninger som er betrodd databehandleren
På forespørsel fra den behandlingsansvarlige skal databehandleren gi den behandlingsansvarlige eller dennes representant all informasjon som er nødvendig for å påvise overholdelse av personvernforordningen, personvernbestemmelser i annen EU-lovgivning eller medlemsstatenes nasjonale lovgivning, og disse bestemmelsene.
Databehandleren og den behandlingsansvarlige skal på forhånd avtale en rimelig startdato, omfang, varighet og sikkerhets- og konfidensialitetstiltak for eventuelle inspeksjoner.
Databehandleren kan kreve separat betaling for tidsbruk og eventuelle tilleggskostnader og utgifter i forbindelse med inspeksjonen.
C.8 Prosedyrer for revisjoner, inkludert inspeksjoner, som involverer behandling av personopplysninger som er betrodd underdatabehandlere
Databehandleren skal utføre nødvendige og hensiktsmessige revisjoner og inspeksjoner av sine underdatabehandlere, under hensyntagen til risikoen forbundet med behandlingsaktiviteten. Databehandleren skal på forespørsel uten unødig forsinkelse gi den behandlingsansvarlige dokumentasjon på de gjennomførte revisjonene, inkludert detaljer om revisjonstyper, resultater og eventuelle avvik og korrigerende tiltak som er iverksatt for hver underdatabehandler
VEDLEGG D REGULERING AV ANDRE FORHOLD AV PARTENE
D.1 Kompensasjon til databehandleren
Databehandleren har rett til kompensasjon for all bistand som ytes til den behandlingsansvarlige, med mindre bistanden er nødvendig på grunn av databehandlerens brudd på bestemmelsene, eller hvis forpliktelsene som krever bistand påligger databehandleren uavhengig i henhold til personvernforordningen.
Assistanse som gir databehandleren rett til kompensasjon, omfatter, uten begrensning, situasjoner der datakontrolleren endrer og/eller utvider instruksene til databehandleren, situasjoner hvor den behandlingsansvarlige krever sikkerhetstiltak som går utover det lovfestede og/eller relevante sikkerhetsnivået, samt andre spesifikt identifiserte situasjoner som er oppført i bestemmelsene.
Kompensasjonen skal fastsettes på grunnlag av tidsforbruket og andre rimelige kostnader og utgifter som databehandleren har hatt.
D.2 Ansvar
Bestemmelsene er underlagt ansvarsreglene i partenes hovedavtale.
D.3 Tvister, lovvalg og jurisdiksjon
Bestemmelsene er underlagt bestemmelsene om tvister, lovvalg og jurisdiksjon i partenes hovedavtale.