Avtale om databehandling
mellom
Kunden i henhold til GTC som Behandlingsansvarlig (heretter "Behandlingsansvarlig"),
og
Spreadly GmbH, Forstenrieder Weg 1G, 82065 Baierbrunn, Tyskland som databehandler (heretter "databehandler", behandlingsansvarlig og databehandler i fellesskap "partene")
Innledning
Behandlingsansvarlig har gitt Databehandleren i oppdrag å utføre de tjenester som er spesifisert i de Generelle Vilkårene (heretter kalt "Hovedavtalen"). En del av gjennomføringen av kontrakten er behandling av personopplysninger. Spesielt art. 28 GDPR stiller spesifikke krav til slik behandling. For å oppfylle disse kravene inngår partene følgende databehandleravtale (heretter kalt "Avtalen"), hvis utførelse ikke skal godtgjøres separat, med mindre dette er uttrykkelig avtalt.
§ 1 Definisjoner
(1) I henhold til art. 4 (7) GDPR er den behandlingsansvarlige den enheten som alene eller sammen med andre behandlingsansvarlige bestemmer formålet med og midlene for behandlingen av personopplysninger.
(2) I henhold til art. 4 (8) GDPR er en databehandler en fysisk eller juridisk person, myndighet, institusjon eller annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige.
(3) I henhold til art. 4 (1) GDPR betyr personopplysninger enhver opplysning om en identifisert eller identifiserbar fysisk person (heretter "den registrerte"); en identifiserbar fysisk person er en person som kan identifiseres, direkte eller indirekte, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for den fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identiteten til den fysiske personen.
(4) Personopplysninger som krever særlig beskyttelse, er personopplysninger i henhold til art. 9 GDPR som avslører rasemessig eller etnisk opprinnelse, politiske meninger, religiøs eller filosofisk overbevisning eller fagforeningsmedlemskap, personopplysninger i henhold til art. 10 GDPR om straffedommer og straffbare handlinger eller relaterte sikkerhetstiltak, samt genetiske opplysninger i henhold til art. 4 (13) GDPR, biometriske data i henhold til art. 4 (14) GDPR, helseopplysninger i henhold til art. 4 (15) GDPR, og opplysninger om en fysisk persons seksualliv eller seksuelle orientering.
(5) I henhold til GDPR artikkel 4 nr. 2 er behandling enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, arkivering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller enhver annen form for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.
(6) I henhold til artikkel 4 nr. 21 i GDPR er tilsynsmyndigheten et uavhengig statlig organ som er opprettet av en medlemsstat i henhold til artikkel 51 i GDPR.
§ 2 Kontraktens gjenstand
(1) Databehandleren utfører de tjenester som er spesifisert i Hovedavtalen for den Behandlingsansvarlige. Databehandleren får i den forbindelse tilgang til personopplysninger som Databehandleren behandler for den Behandlingsansvarlige utelukkende på vegne av og i henhold til den Behandlingsansvarliges instrukser. Omfanget av og formålet med Databehandlerens databehandling fremgår av Hovedkontrakten og eventuelle tilhørende tjenestebeskrivelser. Behandlingsansvarlig er ansvarlig for å vurdere om databehandlingen er tillatt.
(2) Partene inngår denne avtalen for å spesifisere de gjensidige rettighetene og forpliktelsene i henhold til personvernlovgivningen. I tvilstilfeller skal bestemmelsene i denne Avtalen gå foran bestemmelsene i Hovedkontrakten.
(3) Bestemmelsene i denne avtalen skal gjelde for alle aktiviteter knyttet til Hovedavtalen der Databehandleren og dennes ansatte eller personer som er autorisert av Databehandleren kommer i kontakt med personopplysninger som stammer fra Behandlingsansvarlig eller som er samlet inn for Behandlingsansvarlig.
(4) Denne Avtalens løpetid skal reguleres av Hovedkontraktens løpetid med mindre følgende bestemmelser gir opphav til ytterligere forpliktelser eller oppsigelsesrettigheter.
§ 3 Rett til opplæring
(1) Databehandleren kan bare samle inn, behandle eller bruke opplysninger innenfor rammen av Hovedavtalen og i samsvar med instruksene fra Behandlingsansvarlig. Hvis Databehandleren er pålagt å utføre ytterligere behandling i henhold til lovgivningen i EU eller medlemsstatene som den er underlagt, skal Databehandleren underrette Behandlingsansvarlig om disse lovkravene før behandlingen.
(2) Instruksene fra den Behandlingsansvarlige skal i første omgang fastsettes i denne Avtalen. Deretter kan de endres, suppleres eller erstattes av den Behandlingsansvarlige skriftlig eller i tekstform ved individuelle instrukser (Individuelle Instrukser). Den Behandlingsansvarlige skal ha rett til å utstede slike instrukser når som helst. Dette omfatter instrukser om retting, sletting og sperring av opplysninger.
(3) Alle instrukser som gis, skal dokumenteres av kontrolløren. Instrukser som går utover den tjenesten som er avtalt i Hovedkontrakten, skal behandles som en anmodning om endring av tjenesten.
(4) Dersom databehandleren mener at en instruks fra den behandlingsansvarlige er i strid med personvernbestemmelsene, skal databehandleren varsle den behandlingsansvarlige om dette uten ugrunnet opphold. Databehandleren skal ha rett til å utsette gjennomføringen av den aktuelle instruksen inntil den er bekreftet eller endret av den Behandlingsansvarlige. Databehandleren kan nekte å utføre en åpenbart ulovlig instruks.
§ 4 Typer opplysninger som behandles, gruppe av registrerte, tredjeland
(1) Innenfor rammen av gjennomføringen av Hovedkontrakten skal Databehandleren ha tilgang til de personopplysningene som er nærmere spesifisert i vedlegg 1..
(2) Gruppen av registrerte som er berørt av databehandlingen, er oppført i vedlegg 1..
(3) Overføring av personopplysninger til et tredjeland kan finne sted i henhold til vilkårene i art. 44 ff. GDPR.
5 § 5 Databehandlerens beskyttelsestiltak
(1) Databehandleren er forpliktet til å overholde lovbestemmelsene om databeskyttelse og ikke utlevere informasjon som er innhentet fra den behandlingsansvarliges domene til tredjeparter eller utsette den for deres tilgang. Dokumenter og data skal sikres mot utlevering til uautoriserte personer, under hensyntagen til det aktuelle tekniske nivået.
(2) Databehandleren skal organisere den interne organisasjonen innenfor sitt ansvarsområde på en slik måte at den oppfyller de særlige kravene til databeskyttelse. Databehandleren skal ha truffet de tekniske og organisatoriske tiltakene som er angitt i vedlegg 2 for å beskytte den Behandlingsansvarliges opplysninger på en tilfredsstillende måte i henhold til art. 32 GDPR, og som den Behandlingsansvarlige anerkjenner som tilstrekkelige. Databehandleren forbeholder seg retten til å endre sikkerhetstiltakene som er iverksatt, og samtidig sikre at det avtalte beskyttelsesnivået ikke underskrides.
(3) Personene som er ansatt i databehandlerens databehandling, har ikke lov til å samle inn, behandle eller bruke personopplysninger uten autorisasjon. Databehandleren skal forplikte alle personer som er betrodd av databehandleren med behandling og utførelse av denne kontrakten (heretter kalt "ansatte") i samsvar med dette (taushetsplikt, art. 28 (3) bokstav b GDPR) og skal sørge for at denne forpliktelsen overholdes med tilbørlig omhu.
(4) Databehandleren har utnevnt et personvernombud. Databehandlerens personvernombud er heyData GmbH, Schützenstr. 5, 10117 Berlin, datenschutz@heydata.eu, www.heydata.eu.
§ 6 Databehandlerens informasjonsforpliktelser
(1) Databehandleren skal informere den behandlingsansvarlige uten ugrunnet opphold dersom det oppstår forstyrrelser, mistanke om brudd på personvernreglene eller brudd på databehandlerens kontraktsforpliktelser, mistanke om sikkerhetsrelaterte hendelser eller andre uregelmessigheter i behandlingen av personopplysninger hos databehandleren, hos personer som er ansatt hos databehandleren i henhold til kontrakten eller hos tredjeparter. Det samme gjelder ved tilsyn av databehandleren fra tilsynsmyndigheten for personvern. Meldingen om brudd på personopplysningssikkerheten skal minst inneholde følgende informasjon:
(a) en beskrivelse av typen brudd på personopplysningssikkerheten, herunder, i den grad det er mulig, kategoriene og antallet registrerte som er berørt, kategoriene som er berørt og antallet personopplysningsregistre som er berørt;
(b) en beskrivelse av de tiltak som databehandleren har iverksatt eller foreslått for å håndtere bruddet og, der det er relevant, tiltak for å redusere bruddets mulige skadevirkninger;
(c) en beskrivelse av de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten.
(2) Databehandleren skal umiddelbart iverksette nødvendige tiltak for å sikre opplysningene og for å redusere eventuelle negative konsekvenser for de registrerte, informere den behandlingsansvarlige om dette og be om ytterligere instruksjoner.
(3) Databehandleren skal i tillegg være forpliktet til å gi den Behandlingsansvarlige informasjon når som helst i den grad den Behandlingsansvarliges opplysninger er berørt av et brudd i henhold til punkt 1.
(4) Databehandler skal informere Behandlingsansvarlig om vesentlige endringer i sikkerhetstiltakene etter § 5 (2).
§ 7 Behandlingsansvarliges kontrollrettigheter
(1) Den Behandlingsansvarlige kan forsikre seg om databehandlerens tekniske og organisatoriske tiltak før databehandlingen påbegynnes, og deretter regelmessig på årlig basis. For dette formålet kan den Behandlingsansvarlige for eksempel innhente informasjon fra Databehandleren, innhente eksisterende sertifikater fra eksperter, sertifiseringer eller interne revisjoner eller, etter rettidig koordinering, personlig inspisere de tekniske og organisatoriske tiltakene hos Databehandleren i normal arbeidstid eller få dem inspisert av en kompetent tredjepart, forutsatt at tredjeparten ikke er i et konkurranseforhold med Databehandleren. Den Behandlingsansvarlige skal kun utføre kontroller i den utstrekning det er nødvendig, og skal ikke forstyrre Databehandlerens virksomhet på en uforholdsmessig måte i prosessen.
(2) Databehandleren forplikter seg til å gi den Behandlingsansvarlige, på dennes muntlige eller skriftlige forespørsel og innen rimelig tid, all informasjon og dokumentasjon som er nødvendig for å gjennomføre en kontroll av de tekniske og organisatoriske tiltakene hos Databehandleren.
(3) Den Behandlingsansvarlige skal dokumentere resultatene av inspeksjonen og underrette Databehandleren om dette. I tilfelle feil eller uregelmessigheter som den Behandlingsansvarlige oppdager, særlig under inspeksjonen av kontrollresultatene, skal den Behandlingsansvarlige informere Databehandleren uten ugrunnet opphold. Hvis det under kontrollen oppdages forhold som krever endringer i den bestilte prosedyren for å kunne unngås i fremtiden, skal den Behandlingsansvarlige uten ugrunnet opphold underrette Databehandleren om de nødvendige prosedyreendringene.
§ 8 Bruk av tjenesteleverandører
(1) De avtalte tjenestene skal utføres ved hjelp av tjenesteleverandørene som er nevnt i vedlegg 3 (heretter kalt "underdatabehandlere"). Behandlingsansvarlig gir databehandleren sin generelle fullmakt i henhold til artikkel 28 (2) s. 1 GDPR til å engasjere ytterligere underdatabehandlere innenfor rammen av sine kontraktsforpliktelser eller til å erstatte allerede engasjerte underdatabehandlere.
(2) Databehandleren skal informere den behandlingsansvarlige før en planlagt endring i forbindelse med involvering eller utskifting av en underdatabehandler. Den Behandlingsansvarlige kan motsette seg den planlagte involveringen eller utskiftningen av en underdatabehandler av en viktig grunn i henhold til personvernlovgivningen.
(3) Innsigelsen mot den planlagte involveringen eller utskiftningen av en underdatabehandler må fremsettes innen to uker etter at informasjonen om endringen er mottatt. Hvis det ikke reises innvendinger, skal involveringen eller utskiftningen anses som godkjent. Hvis det foreligger en viktig grunn i henhold til personvernlovgivningen og det ikke er mulig å finne en minnelig løsning mellom den behandlingsansvarlige og databehandleren, har den behandlingsansvarlige en særlig rett til å si opp avtalen ved utgangen av måneden etter at innsigelsen ble fremsatt.
(4) Ved bruk av underdatabehandlere skal databehandleren forplikte disse i henhold til bestemmelsene i denne avtalen.
(5) Det foreligger ikke et underdatabehandlerforhold i henhold til disse bestemmelsene dersom databehandleren engasjerer tredjeparter med tjenester som anses som rene hjelpetjenester. Dette omfatter for eksempel post-, transport- og forsendelsestjenester, rengjøringstjenester, telekommunikasjonstjenester uten noen spesifikk henvisning til tjenester som databehandleren har levert til den behandlingsansvarlige, og vakttjenester. Vedlikeholds- og testtjenester utgjør underdatabehandlerforhold som krever samtykke i den grad de leveres for IT-systemer som også brukes i forbindelse med levering av tjenester til den behandlingsansvarlige.
§ 9 Anmodninger og rettigheter for de registrerte
(1) Databehandleren skal bistå den Behandlingsansvarlige med egnede tekniske og organisatoriske tiltak for å oppfylle den Behandlingsansvarliges forpliktelser i henhold til GDPR artikkel 12-22 og 32 til 36.
(2) Dersom en registrert gjør gjeldende rettigheter, for eksempel rett til innsyn, retting eller sletting av opplysninger om seg selv, direkte overfor databehandleren, skal databehandleren ikke reagere på egen hånd, men henvise den registrerte til den behandlingsansvarlige og avvente dennes instruksjoner.
§ 10 Ansvar
(1) I det interne forholdet med databehandleren skal den behandlingsansvarlige alene være ansvarlig overfor den registrerte for erstatning for skade som den registrerte har lidd på grunn av utillatelig eller feilaktig behandling av data i henhold til personvernlovgivningen eller bruk innenfor rammen av den bestilte behandlingen.
(2) Databehandleren har ubegrenset ansvar for skade i den grad årsaken til skaden er basert på et forsettlig eller grovt uaktsomt pliktbrudd fra databehandlerens, dennes juridiske representant eller stedfortreder.
(3) Databehandleren skal kun være ansvarlig for uaktsom opptreden i tilfelle brudd på en forpliktelse, hvis oppfyllelse er en forutsetning for riktig oppfyllelse av kontrakten og hvis overholdelse den Behandlingsansvarlige regelmessig stoler på og kan stole på, men begrenset til den gjennomsnittlige skaden som er typisk for kontrakten. I alle andre henseender skal Databehandlerens ansvar - inkludert for sine stedfortredende agenter - utelukkes.
(4) Ansvarsbegrensningen etter § 10.3 gjelder ikke for erstatningskrav som følge av skade på liv, legeme, helbred eller ved overtakelse av garanti.
§ 11 Oppsigelse av hovedkontrakten
(1) Etter at Hovedkontrakten er avsluttet, skal Databehandleren returnere til den Behandlingsansvarlige alle dokumenter, data og databærere som er utlevert til Databehandleren, eller - på forespørsel fra den Behandlingsansvarlige, med mindre det foreligger en forpliktelse til å lagre personopplysningene i henhold til unionsretten eller Forbundsrepublikken Tysklands lovgivning - slette dem. Dette gjelder også for eventuelle sikkerhetskopier av data hos databehandleren. Databehandleren skal på forespørsel fremlegge dokumentasjon på at opplysningene er slettet på korrekt måte.
(2) Den Behandlingsansvarlige skal ha rett til å kontrollere fullstendig og kontraktsmessig retur eller sletting av opplysningene hos Databehandleren på en hensiktsmessig måte.
(3) Databehandleren er forpliktet til å behandle opplysninger som Databehandleren har fått kjennskap til i forbindelse med Hovedkontrakten konfidensielt også etter at Hovedkontrakten er opphørt. Denne Avtalen gjelder også etter at Hovedkontrakten er opphørt så lenge Databehandleren har personopplysninger som er utlevert til Databehandleren fra Behandlingsansvarlig eller som Databehandleren har samlet inn for Behandlingsansvarlig.
§ 12 Avsluttende bestemmelser
(1) I den grad Databehandleren ikke uttrykkelig utfører supporthandlinger i henhold til denne Avtalen vederlagsfritt, kan Databehandleren kreve et rimelig gebyr fra den Behandlingsansvarlige for dette, med mindre Databehandlerens egne handlinger eller unnlatelser har gjort slik support direkte nødvendig.
(2) Endringer og tillegg til denne avtalen skal gjøres skriftlig. Dette gjelder også fravikelse av dette formkravet. Fortrinnsretten til de enkelte avtalene berøres ikke av dette.
(3) Dersom enkelte bestemmelser i denne Avtalen er eller blir helt eller delvis ugyldige eller ugjennomførbare, skal dette ikke påvirke gyldigheten av de øvrige bestemmelsene.
(4) Denne avtalen er underlagt tysk lov.
Vedlegg 1 - Beskrivelse av data/datakategorier og berørte registrerte/grupper av berørte registrerte
| Type kunde | Kategorier av registrerte | Kategorier av data |
|---|---|---|
| Selskapets regnskap | Ansatte | Navn, kontaktinformasjon, stilling, avdeling, bilde, firmaopplysninger, lenker til sosiale medier |
| Bedriftskontoer og individuelle brukere | Interesserte parter | IP-adresse (by, land), kontaktinformasjon, navn, firma, melding (valgfritt) |
Vedlegg 2 - Databehandlerens tekniske og organisatoriske tiltak
1. Innledning
Dette dokumentet oppsummerer de tekniske og organisatoriske tiltakene som Databehandleren har iverksatt i henhold til art. 32 para. 1 GDPR. Dette er tiltak som databehandleren har iverksatt for å beskytte personopplysningene. Formålet med dokumentet er å støtte Behandlingsansvarlig i å oppfylle sine ansvarsforpliktelser i henhold til art. 5 nr. 2 GDPR.
2. Konfidensialitet (art. 32 nr. 1 bokstav b GDPR)
2.1 Inngangskontroll
Følgende tiltak er iverksatt for å hindre at uvedkommende får tilgang til databehandlingssystemene:
Arbeid hjemmefra: uvedkommende har ikke tilgang til de ansattes hjem
Arbeid på hjemmekontor: instruksjon til de ansatte om å jobbe på et kontor som er atskilt fra stua, hvis det er mulig
2.2 Opptakskontroll
Følgende tiltak er iverksatt for å hindre at uvedkommende får tilgang til databehandlingssystemene:
Autentisering med bruker og passord
Bruk av brannmurer
Bruk av administrasjon av mobile enheter
Kryptering av databærere
Automatisk låsing av skrivebordet
Administrasjon av brukerautorisasjoner
Opprette brukerprofiler
Sentrale passordregler
Bruk av 2-faktorautentisering
Bedriftens retningslinjer for sikre passord
Generell instruksjon om å låse skrivebordet manuelt når du forlater arbeidsstasjonen
2.3 Tilgangskontroll
Følgende tiltak er iverksatt for å sikre at uvedkommende ikke får tilgang til personopplysningene:
Logging av tilgang til applikasjoner (spesielt når du legger inn, endrer og sletter data)
Antall administratorer holdes så lavt som mulig
Administrasjon av brukerrettigheter av systemadministratorer
Instruksjon til de ansatte om at data kun vil bli slettet etter konsultasjon
2.4 Separasjonskontroll
Følgende tiltak sikrer at personopplysninger som samles inn for ulike formål, behandles separat:
Fysisk adskilt lagring på separate systemer eller databærere
Separasjon av produksjons- og testsystem
Logisk klientseparasjon (på programvaresiden)
Definisjon av databaserettigheter
Intern instruks om å anonymisere/pseudonymisere personopplysninger ved utlevering eller etter utløpet av den lovbestemte slettefristen, hvis det er mulig.
3. Integritet (art. 32 nr. 1 bokstav b GDPR)
3.1 Overføringskontroll
Det er sikret at personopplysninger ikke kan leses, kopieres, endres eller fjernes uautorisert under overføring eller lagring på databærere, og at det er mulig å kontrollere hvilke personer eller organer som har mottatt personopplysninger. Følgende tiltak er iverksatt for å sikre dette:
WLAN-kryptering (WPA2 med sterkt passord)
Logging av tilganger og hentinger
Levering av data via krypterte forbindelser som SFTP eller HTTPS
Forbud mot å laste opp bedriftsdata til eksterne servere
3.2 Inngangskontroll
Følgende tiltak sikrer at det er mulig å kontrollere hvem som har behandlet personopplysninger i databehandlingssystemene, og på hvilket tidspunkt:
Logging av innlegging, endring og sletting av data
Manuell eller automatisk kontroll av stokkene
Sporbarhet av data som legges inn, endres og slettes gjennom individuelle brukernavn (ikke brukergrupper)
Klare ansvarsforhold for slettinger
legal.dpa.latest.annexes.2.3.2.text.6
4. Tilgjengelighet og robusthet (art. 32 nr. 1 bokstav b GDPR)
Følgende tiltak sikrer at personopplysningene er beskyttet mot utilsiktet ødeleggelse eller tap, og at de alltid er tilgjengelige for kunden:
Brannslukningsapparater i serverrom
Enheter for overvåking av temperatur og luftfuktighet i serverrom
Klimaanlegg i serverrom
Beskyttende stikkontaktlister i serverrom
Avbruddsfri strømforsyning (UPS)
Videoovervåking i serverrom
Alarmmelding for uautorisert tilgang til serverrom
Regelmessig sikkerhetskopiering
Kontroll av sikkerhetskopieringsprosessen
Lagring av sikkerhetskopier av data på et sikkert, eksternt sted
Regelmessige tester av datagjenoppretting og loggføring av resultatene
Ingen sanitæranlegg i eller over serverrommet
Hosting (i det minste av de viktigste dataene) hos en profesjonell hoster
5. Prosedyrer for regelmessig gjennomgang, vurdering og evaluering (art. 32 nr. 1 bokstav d GDPR; art. 25 nr. 1 GDPR)
5.1 Håndtering av databeskyttelse
Følgende tiltak skal sikre at organisasjonen oppfyller de grunnleggende kravene i personvernlovgivningen:
Bruk av heyData-plattformen for administrasjon av databeskyttelse
Utnevnelse av personvernombud heyData
Ansattes plikt til å bevare taushet om opplysninger
Regelmessig opplæring i personvern for ansatte
Opprettholde en oversikt over behandlingsaktiviteter (art. 30 GDPR)
5.2 Håndtering av hendelsesrespons
Følgende tiltak skal sikre at rapporteringsprosessene utløses ved brudd på personopplysningssikkerheten:
Rapporteringsprosess for brudd på personvern i henhold til art. 4 nr. 12 GDPR til tilsynsmyndighetene (art. 33 GDPR)
Varslingsprosess for brudd på personvernforordningen i henhold til art. 4 nr. 12 GDPR til de registrerte (art. 34 GDPR)
Involvering av personvernombudet i sikkerhetshendelser og datainnbrudd
Bruk av brannmurer
5.3 Personvernvennlige standardinnstillinger (art. 25 nr. 2 GDPR)
Følgende tiltak skal sikre at rapporteringsprosessene utløses ved brudd på personopplysningssikkerheten:
Rapporteringsprosess for brudd på personvern i henhold til art. 4 nr. 12 GDPR til tilsynsmyndighetene (art. 33 GDPR)
Varslingsprosess for brudd på personvernforordningen i henhold til art. 4 nr. 12 GDPR til de registrerte (art. 34 GDPR)
5.4 Ordrekontroll
Følgende tiltak sikrer at personopplysninger kun kan behandles i samsvar med instruksjonene:
Skriftlige instruksjoner til leverandøren eller instruksjoner i tekstform (f.eks. gjennom en databehandleravtale)
Sikre at data destrueres etter at bestillingen er fullført, f.eks. ved å be om tilsvarende bekreftelser
Bekreftelse fra leverandører om at de forplikter sine egne ansatte til taushetsplikt (vanligvis i databehandleravtalen)
Nøye utvelgelse av leverandører (spesielt med hensyn til datasikkerhet)
Løpende gjennomgang av leverandører og deres aktiviteter
Sikre at data destrueres etter at bestillingen er fullført, f.eks. ved å be om tilsvarende bekreftelser
Vedlegg 3 - Nåværende underdatabehandlere
Alle amerikanske underdatabehandlere er sertifisert i henhold til [Data Privacy Framework] (https://www.dataprivacyframework.gov/).
| Navn | Adresse | Funksjon | Serverens plassering |
|---|---|---|---|
| Hetzner Online GmbH | Industriestr. 25, 91710 Gunzenhausen, Germany | Hosting og infrastruktur | EU |
| Cloudflare, Inc. | 101 Townsend Street, San Francisco, CA 94107, USA | Innholdsleveringsnettverk og sikkerhet | Global, avhengig av hvor brukeren befinner seg |
| ActiveCampaign, LLC | 1 N Dearborn St., 5th Floor, Chicago, Illinois 60602, USA | Levering av e-post | USA |
| Functional Software, Inc. | 132 Hawthorne Street San Francisco, CA 94107, USA | Feilrapportering og overvåking | EU |
| Microsoft Ireland Operations, Ltd. | One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Ireland | Kundeservice og kommunikasjon | EU |
| HubSpot, Inc. | 25 1st Street Cambridge, MA 0214, USA | Kundeservice og kommunikasjon | EU |
Versjon 1.3, gjeldende fra 10. april 2024
| Navn: | |
| Stilling: | |
| E-post: | |
| Dato: | |
| Signatur: |
| Navn: | Florian Theimer |
| Stilling: | Founder & CEO |
| E-post: | privacy@spreadly.app |
| Dato: | |
| Signatur: |
Skriv ut denne databehandleravtalen og send en signert versjon til privacy@spreadly.app med ditt kundenummer vedlagt. Du vil motta en signert versjon fra oss i løpet av de neste virkedagene.
Vil du ha en signert kopi av databehandleravtalen vår?
Skriv ut denne databehandleravtalen og send en signert versjon til privacy@spreadly.app med ditt kundenummer vedlagt.
Du vil motta en signert versjon fra oss i løpet av de neste virkedagene.