Databehandleravtale (DPA)

Denne Databehandleravtalen (“DPA”) utgjør en del av avtalen din med Leverandøren og inneholder visse vilkår knyttet til databeskyttelse, personvern og sikkerhet i samsvar med kravene i den generelle databeskyttelsesforordningen (forordning (EU) 2016/679) (“GDPR”) og California Consumer Privacy Act av 2018 (Cal. Civ. Code §§ 1798.100 - 1798.199) (“CCPA”), der det er aktuelt. I tilfelle (og bare i den utstrekning) det er en konflikt mellom GDPR og CCPA, skal partene overholde det mer tyngende kravet eller høyere standard som skal, i tilfelle en tvist i den forbindelse, utelukkende avgjøres av Leverandøren. 

Denne DPA er mellom Kunden og den gjeldende Leverandøren.

I denne DPA skal følgende uttrykk, med mindre sammenhengen krever noe annet, ha følgende betydning: 

"Avtale" betyr enhver avtale mellom Leverandøren og Kunden for tjenestene. En slik avtale kan ha ulike titler, for eksempel "Bestillingsskjema", "Salgsordre", "Vilkår for bruk" eller "Hoved- eller styringsavtale". 

"Artikkel 28" betyr artikkel 28 i GDPR. 

"Kunde" eller "du" betyr kunden som er identifisert på, og/eller er part i, Avtalen. 

"Kundedata" betyr alle data (inkludert, men ikke begrenset til kundens personlige data og sluttbrukerdata) som leveres til Leverandøren av eller på vegne av kunden gjennom kundens bruk av tjenestene, og alle data som tredjeparter sender til kunden gjennom tjenestene. 

"Kundens personlige data" betyr alle personopplysninger (inkludert sluttbrukere) som sendes til tjenestene av eller til kunden, behandlet av Leverandøren med det formål å levere tjenestene til kunden, inkludert, men ikke begrenset til personopplysningene som er angitt i vedlegg 2 til denne DPA. 

"Databeskyttelseslovgivning" betyr: 
(i) GDPR og alle andre gjeldende EU-, EØS- eller EU-lover eller forskrifter for det indre markedet eller enhver oppdatering, endring eller erstatning av samme som gjelder for behandling av personopplysninger i henhold til avtalen;

(ii) alle amerikanske lover og forskrifter som gjelder for behandling av personopplysninger i henhold til avtalen, inkludert, men ikke begrenset til CCPA; 

(iii) alle lover og forskrifter som gjelder for behandling av personopplysninger i henhold til avtalen fra tid til annen som er på plass i Storbritannia og Canada, og begrepene "kontrollør", "datasubjekt", "databeskyttelseskonsekvensvurdering", "personopplysninger", "prosess", "behandling", "behandler", "tilsynsmyndighet" har samme betydning som i GDPR og med hensyn til CCPA (som definert ovenfor), samtykker Leverandøren og Kunden herved at Leverandøren er en "Tjenesteleverandør" og kunden er "Bedriften", som definert under CCPA og med hensyn til personlig informasjon (som definert under CCPA). 

"Sluttbrukere" betyr, når det gjelder en bedriftskunde i henhold til vår styringsavtale, kundens ansatte, agenter, uavhengige kontraktører og andre personer som er autorisert av kunden til å få tilgang til og bruke tjenestene. 

"Tjenester" betyr tjenestene som bestilles av Kunden fra Leverandøren under Avtalen. 

"Standard kontraktuelle klausuler" betyr "Standard kontraktuelle klausuler" som er vedlagt Europakommisjonens beslutning av: i) 4. juni 2021 om standard kontraktuelle klausuler for overføring av personopplysninger til tredjeland i henhold til GDPR eller ii) (inntil tidspunkter som Leverandøren har inngått standardkontraktsklausulene skissert i i)), 5. februar 2010 for overføring av kundepersonopplysninger til prosessorer etablert i tredjeland i henhold til direktiv 95/46/EF).

Ved levering av tjenestene til Kunden er Leverandøren en behandler av kundens personopplysninger i henhold til GDPR. 

Denne DPA skal forbli i kraft inntil avtalen sies opp (i samsvar med vilkårene) eller utløper. 

Kunden skal sikre, og garanterer og representerer herved at den er berettiget til å overføre kundedataene til Leverandøren slik atLeverandøren lovlig kan behandle og overføre personopplysningene i samsvar med denne DPA. Kunden skal sørge for at relevante datasubjekter har blitt informert om slik bruk, behandling og overføring som kreves av databeskyttelseslovgivningen og at lovlige samtykker er innhentet (der det er hensiktsmessig). Kunden skal sikre at alle personopplysninger som behandles eller overføres tilLeverandøren vil bli utført på lovlig og korrekt måte.

DerLeverandøren behandler Kundens personopplysninger for kunden som behandler, vil Leverandøren:

(a) bare gjøre dette på dokumenterte instruksjoner fra kunden og i samsvar med databeskyttelseslovgivningen, inkludert med hensyn til overføringer av personopplysninger til andre jurisdiksjoner eller en internasjonal organisasjon, og partene er enige om at avtalen utgjør slike dokumenterte instrukser fra kunden til åLeverandøren å behandle Kundens Personopplysninger (inkludert til steder utenfor EØS) sammen med andre rimelige instruksjoner gitt av Kunden tilLeverandøren (f.eks. via e-post) der slike instruksjoner er i samsvar med Avtalen; 

(b) sikre at alle Leverandørens personell som er involvert i behandlingen av Kundens personopplysninger er underlagt konfidensialitetsforpliktelser med hensyn til personopplysningene; 

(c) gjøre tilgjengelig informasjon som er nødvendig for at kunden skal kunne demonstrere overholdelse av sine artikkel 28-forpliktelser (hvis aktuelt for kunden) der slik informasjon holdes avLeverandøren og ikke på annen måte er tilgjengelig for kunden gjennom dens konto- og brukerområder eller påLeverandørens nettsteder, forutsatt at at Kunden girLeverandøren minst 14 dagers skriftlig varsel om en slik informasjonsforespørsel;

(d) samarbeide som rimelig forespurt av Kunden for å gjøre det mulig for Kunden å overholde enhver utøvelse av rettigheter fra en registrert person gitt til registrerte av databeskyttelseslovgivningen med hensyn til personopplysninger behandlet avLeverandøren ved levering av tjenestene; 

(e) gi assistanse, der det er nødvendig, med forespørsler mottatt direkte fra en registrert med hensyn til en registrert persons personopplysninger sendt inn gjennom tjenestene;

(f) ved sletting av deg, ikke beholde kundens personopplysninger fra kontoen din annet enn for å overholde gjeldende lover og forskrifter og som ellers kan oppbevares i rutinemessige sikkerhetskopier laget for katastrofegjenoppretting og forretningskontinuitetsformål underlagt vår oppbevaring retningslinjer; 

(g) samarbeide med enhver tilsynsmyndighet eller ethvert erstatnings- eller etterfølgerorgan fra tid til annen (eller, i den grad det kreves av kunden, enhver annen databeskyttelses- eller personvernregulator i henhold til databeskyttelseslovgivningen) i utførelsen av en slik tilsynsmyndighets oppgaver der nødvendig; 

(h) bistå kunden etter behov der kunden: 

(i) gjennomfører en konsekvensvurdering for databeskyttelse som involverer tjenestene (som kan omfatte ved å levere dokumentasjon for å la kunden utføre sin egen vurdering); eller

(ii) er pålagt å varsle en sikkerhetshendelse (som definert nedenfor) til en tilsynsmyndighet eller et relevant datasubjekt

(i) vil ikke (a) selge noen personlig informasjon (som definert under CCPA) for et kommersielt formål, eller (b) samle inn, beholde, bruke, avsløre eller på annen måte behandle personopplysninger annet enn (1) for å oppfylle sine forpliktelser til kunden i henhold til avtalen, (2) på kundens vegne, (3) for kundens operasjonelle formål, (4) forLeverandørens interne bruk som tillatt av databeskyttelseslovgivningen, (5) for å oppdage datasikkerhetshendelser eller beskytte mot uredelig eller uredelig ulovlig aktivitet, eller (6) som ellers tillatt i henhold til databeskyttelseslovgivningen; 

(j) Der det kreves av databeskyttelseslovgivningen, vilLeverandøren informere kunden hvis det blir oppdaget at instruksjoner mottatt av kunden bryter med bestemmelsene i databeskyttelseslovgivningen. Til tross for det foregående harLeverandøren ingen forpliktelse til å overvåke eller gjennomgå lovligheten av instruksjoner mottatt fra kunden; og

(k) Leverandøren bekrefter at de forstår begrensningene og forpliktelsene som er angitt i denne DPA, og at den vil overholde dem. 

6.1 Underbehandling. Kunden gir en generell autorisasjon tilLeverandøren til å engasjere videregående underbehandlere, med forbehold om overholdelse av kravene i denne seksjon 6.

6.2 Underprosessorliste. Leverandøren vil, underlagt konfidensialitetsbestemmelsene i avtalen eller på annen måte pålagt av Leverandøren:

(a) gjøre tilgjengelig for kunden en liste over leverandørens underleverandører som er involvert i behandling eller underbehandling av kundens personopplysninger i forbindelse med leveringen av tjenestene ("underbehandlere"), sammen med en beskrivelse av arten av tjenestene levert av hver underbehandler ("Underbehandlerliste"). En kopi av denne underbehandlerlisten kan bes om på legal@retailx.no ;

(b) sikre at alle underbehandlere på underbehandlerlisten er bundet av kontraktsmessige vilkår som i alle vesentlige henseender ikke er mindre byrdefulle enn de som finnes i denne DPA; og 

(c) være ansvarlig for handlingene og unnlatelsene til sine underbehandlere i samme gradLeverandøren ville være ansvarlig hvis de utfører tjenestene til hver av disse underbehandlerne direkte i henhold til vilkårene i denne DPA, med mindre annet er angitt i avtalen. 

6.3 Nye/erstattende underbehandlere. Leverandøren vil gi Kunden skriftlig varsel om tilføyelse av en ny underbehandler eller erstatning av en eksisterende underbehandler når som helst i løpet av avtaleperioden (“Ny underbehandlermelding”). Kunden vil registrere seg på en e-postliste gjort tilgjengelig av Leverandøren, der slike meldinger vil bli levert på e-post eller alternativt vil sjekke oppdateringer til listen her. Hvis Kunden har et rimelig grunnlag for å protestere motLeverandørens bruk av en ny eller erstatningsdelbehandler, vil Kunden umiddelbart varsleLeverandøren skriftlig og under alle omstendigheter innen 30 dager etter mottak av en Ny Underbehandlermelding. I tilfelle av slike rimelige innvendinger, kan enten Kunden eller Leverandøren si opp den delen av en avtale som er knyttet til tjenestene som ikke med rimelighet kan leveres uten den nye underbehandleren som har protestert mot (som etterLeverandøren skjønn og valg kan innebære oppsigelse av hele Avtale) med umiddelbar virkning ved å gi skriftlig varsel til den andre parten. Slik oppsigelse vil være uten rett til refusjon for eventuelle gebyrer som er forhåndsbetalt av kunden for perioden etter oppsigelsen.

7.1 Sikkerhetstiltak. Leverandøren har, tatt i betraktning toppmoderne, kostnadene ved implementering og arten, omfanget, konteksten og formålene med tjenestene og risikonivået, implementert passende tekniske og organisatoriske tiltak (i ​​samsvar med vedlegg 1) for å sikre et nivå av sikkerhet passende for risikoen for uautorisert eller ulovlig behandling, utilsiktet tap av og/eller skade på kundedata. Med rimelige intervaller tester og evaluererLeverandøren effektiviteten til disse tekniske og organisatoriske tiltakene for å sikre sikkerheten til behandlingen.

7.2 Varsling om sikkerhetshendelse og brudd. HvisLeverandøren blir oppmerksom på uautorisert eller ulovlig tilgang til, eller anskaffelse, endring, bruk, avsløring eller ødeleggelse av, kundepersonopplysninger ("sikkerhetshendelse"), vilLeverandøren ta rimelige skritt for å varsle kunden uten unødig forsinkelse. En sikkerhetshendelse inkluderer ikke mislykkede forsøk eller aktiviteter som ikke kompromitterer sikkerheten til personlige data, inkludert mislykkede påloggingsforsøk, ping, portskanning, tjenestenektangrep eller andre nettverksangrep på brannmurer eller nettverkssystemer. Enhver varsling om en sikkerhetshendelse til Kunden utgjør ikke noen aksept av ansvar fra Leverandøren.

7.3Leverandøren vil også med rimelighet samarbeide med kunden med hensyn til eventuelle undersøkelser knyttet til en sikkerhetshendelse med å utarbeide nødvendige varsler, og gi all informasjon som Kunden med rimelighet ber om i forhold til en sikkerhetshendelse. 

8.1 Tilsyn. Der Leverandøren behandler Kundens Personopplysninger for Kunden som behandler (bare), vil Kunden giLeverandøren minst én måneds skriftlig varsel om enhver revisjon, som kan utføres av Kunden eller en uavhengig revisor oppnevnt av Kunden (forutsatt at ingen person som utfører revisjonen skal være, eller skal handle på vegne av, en konkurrent til Leverandøren) ("Revisor"). Omfanget av en revisjon vil være som følger:

(a) Kunden vil kun ha rett til å gjennomføre en revisjon én gang per abonnementsår med mindre annet er lovlig tvunget eller påkrevd av en regulator med etablert myndighet over kunden til å utføre eller legge til rette for gjennomføringen av mer enn 1 revisjon i samme år (i hvilke omstendigheter Kunden ogLeverandøren vil, i forkant av slike revisjoner, avtale en rimelig refusjonssats forLeverandørens revisjonsutgifter).

(b) Leverandøren godtar, med forbehold om passende og rimelige konfidensialitetsbegrensninger, å fremlegge bevis for alle sertifiseringer og samsvarsstandarder den opprettholder, og vil på forespørsel gjøre tilgjengelig for kunden et sammendrag av Leverandørens siste årlige penetrasjonstester, hvilket sammendrag skal inkludere utbedringstiltak utført avLeverandøren som følge av slike penetrasjonstester. 

(c) Omfanget av en revisjon vil være begrenset til Leverandørens systemer, prosesser og dokumentasjon som er relevant for behandling og beskyttelse av kundens personopplysninger, og revisorer vil gjennomføre revisjoner underlagt alle passende og rimelige konfidensialitetsbegrensninger som Leverandøren ber om.

(d) Kunden vil umiddelbart varsle og gi Leverandøren på konfidensiell basis alle detaljer angående eventuelle oppfattede manglende overholdelse eller sikkerhetsproblemer oppdaget i løpet av en revisjon.

8.2 Partene er enige om at, med mindre annet kreves ved ordre eller annet bindende dekret fra en tilsynsmyndighet eller regulator med myndighet over kunden, angir denne seksjon 8 hele omfanget av kundens revisjonsrettigheter i forhold til Leverandøren.

9.1 I den grad det er aktuelt, for overføringer av kundepersonopplysninger fra det europeiske økonomiske samarbeidsområdet til steder utenfor det europeiske økonomiske samarbeidsområdet (enten direkte eller via videreoverføring) som ikke har tilstrekkelige standarder for databeskyttelse som bestemt av EU-kommisjonen, er Leverandøren avhengig av på:

(a) de standard kontraktuelle klausulene; eller

(b) slike andre passende sikkerhetstiltak, eller unntak (i ​​begrenset grad hensiktsmessig), spesifisert eller tillatt i henhold til databeskyttelseslovgivningen. 

9.2 Med hensyn til Leverandørens avhengighet av standardkontraktsklausulene for internasjonale overføringer av kundepersonopplysninger i henhold til avtalen, skal Leverandøren opptre i egenskap av "dataimportør" eller "dataeksportør" (etter behov) som angitt i de relevante modulene til standardkontraktsklausulene (som aktuelt). På skriftlig forespørsel og i samsvar med bestemmelsene i standardkontraktsklausulene, vil Leverandøren levere kopier av standardkontraktklausulene inngått med dataimportører i egenskap av behandler til Kunden.

10.1 Ansvar for databehandling . Hver parts samlede ansvar for ethvert og alle krav enten det er i kontrakt, skadevoldende (inkludert uaktsomhet), brudd på lovpålagte plikter eller på annen måte som oppstår som følge av eller i forbindelse med denne DPA, skal være som angitt i avtalen, med mindre annet er skriftlig avtalt av Partene.

10.2 Konflikt. I tilfelle konflikt eller tvetydighet mellom: (i) vilkårene i denne DPA og vilkårene i avtalen, med hensyn til emnet i denne DPA, skal vilkårene i denne DPA gjelde; (ii) vilkårene for enhver bestemmelse i denne DPA og enhver bestemmelse i de standard kontraktuelle klausulene, skal bestemmelsen i de standard kontraktuelle klausulene ha forrang.

10.3 Uavhengig behandling. Kunden forblir eksklusivt ansvarlig for sin egen overholdelse av databeskyttelseslovgivningen med hensyn til enhver uavhengig innsamling og behandling av personopplysninger som ikke er relatert til tjenestene. Kunden vil gi sine egne klare og iøynefallende personvernerklæringer som nøyaktig beskriver hvordan den gjør dette, og Leverandøren vil ikke være ansvarlig for noen behandling av personopplysninger fra Kunden under disse omstendighetene. Kunden skadesløser herved Leverandøren fullt ut for ethvert krav eller ansvar som oppstår som et resultat av slik innsamling og bruk av personopplysninger av kunden under disse omstendighetene

10.4 Hele avtalen. Avtalen (som inkorporerer denne DPA) og ethvert bestillingsskjema representerer hele avtalen mellom partene, og den erstatter alle andre tidligere eller samtidige avtaler eller vilkår og betingelser, skriftlige eller muntlige, angående emnet. Hver av partene bekrefter at de ikke har stolt på noen representasjoner som ikke er nedtegnet i avtalen som har fått dem til å inngå avtalen.

10.5 Sluttvederlag . Hvis en bestemmelse i denne DPA blir fastslått å ikke håndheves av en domstol med kompetent jurisdiksjon, vil denne bestemmelsen bli avbrutt og resten av vilkårene vil forbli i full effekt. Ingenting i denne DPA er ment å, eller skal anses å, etablere et partnerskap eller joint venture mellom noen av partene, og heller ikke autorisere noen del til å kunne eller inngå noen forpliktelser for eller på vegne av noen annen part med unntak av det som er uttrykkelig angitt her. .

10.6 Elektronisk kopi. DPA leveres som et elektronisk dokument.

10.7 Gjeldende lov. Denne DPA skal styres av lovene i Norge og partene underkaster seg den eksklusive jurisdiksjonen til de norske domstolene (i forhold til alle kontraktsmessige og ikke-kontraktuelle tvister) unntatt i tilfelle påstått brudd eller brudd på gjeldende eller fremtidige personvernlover , regulering, standarder, regulatoriske veiledninger og selvregulerende retningslinjer på statlig eller føderalt nivå i USA, i så fall skal lovene i delstaten California gjelde med mindre annet er diktert av loven.

Beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene iverksatt av Leverandøren

Leverandøren vil opprettholde hensiktsmessige administrative, fysiske og tekniske sikkerhetstiltak (“Sikkerhetstiltak”) for beskyttelse av sikkerheten, konfidensialiteten og integriteten til personopplysningene som er gitt til den for levering av tjenestene til kunden. 

Sikkerhetstiltakene inkluderer følgende: 

(a) Domene: Organisering av informasjonssikkerhet.

(i) Sikkerhetsroller og -ansvar. Leverandørens personell med tilgang til data er underlagt taushetsplikt.

(ii) Risikostyringsprogram. Leverandøren utfører en risikovurdering der det er hensiktsmessig før dataene behandles.

(b) Domene: Asset Management.

(i) Eiendelshåndtering.

(1) Leverandøren har prosedyrer for avhending av trykt materiale som inneholder kundedata.

(2) Leverandøren opprettholder en oversikt over all maskinvare som kundedata lagres på.

(c) Domene: Human Resources Security.

(i) Sikkerhetsopplæring.

(1) Leverandøren informerer sitt personell om relevante sikkerhetsprosedyrer og deres respektive roller. Leverandøren informerer også sine ansatte om mulige konsekvenser av brudd på sikkerhetsreglene og -prosedyrene.

(d) Domene: Fysisk og miljømessig sikkerhet.

(i) Fysisk tilgang til fasiliteter. Leverandøren begrenser tilgangen til fasiliteter der informasjonssystemer som behandler kundedata er lokalisert til identifiserte autoriserte personer.

(ii) Beskyttelse mot forstyrrelser. Leverandøren bruker en rekke industristandardsystemer for å beskytte mot tap av data på grunn av strømbrudd eller linjeforstyrrelser.

(iii) Avhending av komponenter.  Leverandøren bruker industristandardprosesser for å slette kundedata når de ikke lenger er nødvendige.

(e) Domene: Kommunikasjons- og driftsledelse. 

(i) Operasjonell politikk. Leverandøren opprettholder sikkerhetsdokumenter som beskriver sikkerhetstiltakene og relevante prosedyrer og ansvar for personell som har tilgang til kundedata. 

(ii) Datagjenopprettingsprosedyrer. 

(1) Med jevne mellomrom og løpende lager Leverandøren sikkerhetskopier av kundedata som kundedata kan gjenopprettes fra i tilfelle tap av primærkopien. 

(2) Leverandøren lagrer kopier av kundedata og datagjenopprettingsprosedyrer på et annet sted enn det primære datautstyret som behandler kundedataene befinner seg. 

(3) Leverandøren har spesifikke prosedyrer på plass for tilgang til kopier av kundedata. 

(iii) Skadelig programvare.  Leverandøren har anti-malware-kontroller for å unngå at skadelig programvare får uautorisert tilgang til kundedata, inkludert skadelig programvare som stammer fra offentlige nettverk.

(iv) Data utenfor grenser. 

(1) Leverandøren krypterer kundedata som overføres over offentlige nettverk. 

(v) Hendelseslogging.

(1) Leverandøren logger bruken av databehandlingssystemene sine. 

(2) Leverandøren logger tilgang og bruk av informasjonssystemer som inneholder kundedata, registrering av tilgangs-ID, tidsstempel og visse relevante aktiviteter.

(f) Domene: Håndtering av informasjonssikkerhetshendelser.

(i) Hendelsesresponsprosess. 

(1) Leverandøren opprettholder en hendelsesresponsplan.  

(2) Leverandøren fører en oversikt over sikkerhetsbrudd med en beskrivelse av bruddet, tidsperioden, konsekvensene av bruddet, navnet på melderen, og hvem bruddet ble rapportert til, og utbedringstrinn, hvis aktuelt.

(g) Domene: Business Continuity Management.

(i) Leverandørens redundante lagring og dets prosedyrer for å gjenopprette data er utformet for å forsøke å rekonstruere kundedata i sin opprinnelige tilstand fra før tidspunktet de ble tapt eller ødelagt.   

(h) Tilgangskontroll til behandlingsområder. Prosesser for å hindre uautoriserte personer i å få tilgang til databehandlingsutstyret (nemlig telefoner, database- og applikasjonsservere og relatert maskinvare) der kundens personopplysninger behandles eller brukes, for å inkludere: 

(i) etablere sikre områder; 

(ii) beskyttelse og begrensning av tilgangsveier;

(iii) sikre de mobile/mobiltelefonene;   

(iv) databehandlingsutstyr og personlige datamaskiner;

(v) all tilgang til datasentrene der kundens personlige data er vert, logges, overvåkes og spores;  

(vi) datasentrene der kundens personlige data er vert for er sikret av et sikkerhetsalarmsystem og andre passende sikkerhetstiltak; og 

(vii) anlegget er utformet for å tåle ugunstig vær og andre rimelig forutsigbare naturforhold, er sikret med døgnkontinuerlig vakter, nøkkelkort og/eller biometrisk tilgang (alt etter risikonivå) screening og eskortekontrollert tilgang, og støttes også av reservegeneratorer på stedet i tilfelle strømbrudd.

(i) Tilgangskontroll til databehandlingssystemer. Prosesser for å forhindre at databehandlingssystemer brukes av uautoriserte personer, for å inkludere:  

(i) identifikasjon av terminalen og/eller terminalbrukeren til databehandlersystemene; 

(ii) automatisk tidsavbrudd etter 30 minutter eller mindre av brukerterminalen hvis den står inaktiv, identifikasjon og passord kreves for å gjenåpne;

(iii) utstedelse og sikring av identifikasjonskoder;  

(iv) krav til passordkompleksitet (minimumslengde, utløp av passord osv.); og

(v) beskyttelse mot ekstern tilgang ved hjelp av en industristandard brannmur.  

(j) Tilgangskontroll for å bruke spesifikke områder av databehandlingssystemer .  Tiltak for å sikre at personer som har rett til å bruke databehandlingssystemer kun har tilgang til dataene innenfor omfanget og i den grad de er dekket av deres respektive tilgangstillatelser (autorisasjon), og at Kundens Personopplysninger ikke kan leses, kopieres, endres eller fjernes uten tillatelse , for å inkludere av:

(i) implementere bindende ansattes retningslinjer og gi opplæring med hensyn til hver enkelt ansatts tilgangsrettigheter til kundens personopplysninger;

(ii) effektive og målte disiplinære tiltak mot enkeltpersoner som får tilgang til kundens personlige data uten autorisasjon; 

(iii) utgivelse av data til kun autoriserte personer; 

(iv) implementere prinsipper for minst privilegert tilgang til informasjon som inneholder kundens personopplysninger, strengt tatt på grunnlag av "need to know"-krav;

(v) administrasjon av produksjonsnettverk og datatilgang styrt av VPN, tofaktorautentisering og rollebasert tilgangskontroll;

(vi) applikasjons- og infrastruktursystemer logger informasjon til sentralstyrt logganlegg for feilsøking, sikkerhetsgjennomganger og analyse; og 

(vii) retningslinjer som kontrollerer oppbevaring av sikkerhetskopier som er i samsvar med gjeldende lover og som er passende for arten av de aktuelle dataene og tilsvarende risiko.

(k) Transmisjonskontroll . Prosedyrer for å forhindre at Kundens Personopplysninger leses, kopieres, endres eller slettes av uautoriserte parter under overføringen av disse eller under transporten av datamediene og for å sikre at det er mulig å kontrollere og fastslå til hvilke organer overføringen av Kundens Personopplysninger ved hjelp av dataoverføringsfasiliteter er tenkt, for å inkludere: 

(i) bruk av brannmurer og krypteringsteknologier for å beskytte gatewayene og rørledningene som dataene går gjennom;

(ii) implementering av VPN-tilkoblinger for å sikre tilkoblingen til det interne bedriftsnettverket;

(iii) konstant overvåking av infrastruktur (f.eks. ICMP-Ping på nettverksnivå, diskplassundersøkelse på systemnivå, vellykket levering av spesifiserte testsider på applikasjonsnivå); og

(iv) overvåking av fullstendigheten og riktigheten av overføringen av data (ende-til-ende-sjekk). 

(l) Lagringskontroll . Ved lagring av kundepersonopplysninger: de vil bli sikkerhetskopiert som en del av en utpekt sikkerhetskopierings- og gjenopprettingsprosess i kryptert form, ved bruk av en kommersielt støttet krypteringsløsning og alle data definert som kundepersonopplysninger lagret på en hvilken som helst bærbar eller bærbar datamaskin eller bærbar datamaskin lagringsmediet er også kryptert. Krypteringsløsninger vil bli distribuert med ikke mindre enn en 128-bits nøkkel for symmetrisk kryptering og en 1024 (eller større) nøkkellengde for asymmetrisk kryptering;

(m) Inngangskontroll . Tiltak for å sikre at det er mulig å kontrollere og fastslå om og av hvem Kundens Personopplysninger er lagt inn i databehandlingssystemer eller fjernet, for å inkludere:

(i) autentisering av autorisert personell;

(ii) beskyttelsestiltak for data som legges inn i minnet, samt for lesing, endring og sletting av lagrede data;

(iii) bruk av brukerkoder (passord);

(iv) bevis etablert i dataimportørens organisasjon for inndatagodkjenningen; og

(v) sikre at innganger til databehandlingsanlegg (rommene som huser datamaskinvaren og relatert utstyr) er låst.

(n) Tilgjengelighetskontroll . Tiltak for å sikre at kundens personlige data er beskyttet mot utilsiktet ødeleggelse eller tap, for å inkludere redundans i infrastruktur og regelmessige sikkerhetskopier utført på databaseservere. 

(o) Segregering av behandling .  Prosedyrer for å sikre at data som samles inn for ulike formål kan behandles separat, for å inkludere:

(i) separering av data gjennom applikasjonssikkerhet for de aktuelle brukerne;

(ii) lagring av data, på databasenivå, i forskjellige tabeller, atskilt av modulen eller funksjonen de støtter;

(iii) utforming av grensesnitt, batchprosesser og rapporter kun for spesifikke formål og funksjoner, slik at data som samles inn for spesifikke formål behandles separat; og

(iv) blokkering av live data fra å bli brukt til testformål, da bare dummydata generert for testformål kan brukes til slike.

(p) Program for sårbarhetshåndtering . Et program for å sikre at systemene regelmessig blir sjekket for sårbarheter og at eventuelle oppdagede umiddelbart utbedres, for å inkludere:

(i) alle nettverk, inkludert test- og produksjonsmiljøer, skannet regelmessig; og 

(ii) penetrasjonstester utføres regelmessig og sårbarheter utbedres umiddelbart.

(q) Dataødeleggelse . I tilfelle utløp eller oppsigelse av avtalen fra begge sider eller på annen måte på forespørsel fra kunden etter mottak av en forespørsel fra et registrert eller tilsynsorgan: 

(i) alle kundedata skal destrueres på en sikker måte innen 3 måneder; og

(ii) alle Kundedata skal slettes fra alle Leverandørens og/eller tredjeparts lagringsenheter inkludert sikkerhetskopier innen 6 måneder etter oppsigelse eller mottak av en forespørsel fra Kunden med mindre Leverandøren på annen måte er pålagt ved lov å beholde en kategori av data i lengre perioder. Leverandøren vil sørge for at alle slike data som ikke lenger er nødvendige blir ødelagt til et nivå der det kan være trygg på at de ikke lenger kan gjenopprettes.

(r) Standarder og sertifiseringer . Datalagringsløsninger og/eller lokasjoner har minst SOC 1 (SSAE 16) eller SOC 2-rapporter – tilsvarende eller lignende sertifiseringer eller sikkerhetsnivåer vil bli undersøkt fra sak til sak.

Formål og art av behandling av personopplysninger, kategorier av personopplysninger, datasubjekter