Skip to Content
Go back
BAS-IP / TILLEGG FOR DATABEHANDLING

Sist oppdatert: [10.12.2025]

Dette tillegget til databehandling (heretter ‘DPA‘) inngås mellom deg (heretter ‘Kunde‘, ‘du‘, ‘din‘) og BAS-IP DISTRIBUTION LTD (heretter ‘Selskapet‘, ‘BAS-IP‘, ‘vi‘, ‘oss‘ eller ‘vår‘), heretter omtalt individuelt som ‘Part‘ eller sammen som ‘Fester‘. Denne DPA-en supplerer vilkårene og betingelsene (heretter ‘Avtalen‘), inngått mellom partene.

Denne DPA-en regulerer behandlingen av personopplysninger som klienten gir til BAS-IP i forbindelse med bruk av BAS-IPs produkter og tjenester (samlet kalt ‘Tjenestene‘), samt eventuelle personopplysninger som BAS-IP innhenter i løpet av utførelsen av tjenestene for klienten.

Med mindre annet er definert i denne DPA, vil alle store bokstaver brukt i denne DPA ha de betydningene som er angitt i avtalen. Denne DPA-en skal forbli gyldig til avtalen mellom deg og oss som regulerer din bruk av tjenestene, avsluttes. Ved konflikt mellom denne DPA og avtalen, skal bestemmelsene i denne DPA ha forrang når det gjelder behandling av personopplysninger.

1. Definisjoner

For formålene med denne DPA-en skal følgende definisjoner gjelde:

«Klientdata» betyr alle personopplysninger som klienten laster opp, overfører eller på annen måte gir til BAS-IP i forbindelse med tjenestene, samt personopplysninger som BAS-IP behandler i løpet av utførelsen av tjenestene.

«Databeskyttelseslover» betyr alle gjeldende lover og forskrifter knyttet til behandling av klientdata, inkludert de fra Den europeiske union, Det europeiske økonomiske samarbeidsområdet og dets medlemsland, Storbritannia, slik som:

  • EUs personvernforordning (EU GDPR);
  • den britiske personvernforordningen (UK GDPR);
  • Databeskyttelsesloven 2018;
  • Data (Use and Access) Act 2025 (DUAA);
  • eventuelle andre gjeldende databeskyttelseslover og forskrifter, i den grad det gjelder for partene og behandlingsaktivitetene under denne DPAen andre gjeldende lover og forskrifter.

«Dataoverføringsmekanisme» betyr enhver juridisk anerkjent mekanisme, instrument eller rammeverk som tillater overføring av klientdata fra én jurisdiksjon til en annen i samsvar med gjeldende databeskyttelseslover, inkludert, uten begrensning, EUs standardkontraktsklausuler og det britiske tillegget.

EU SCC-er» betyr EUs standardkontraktsklausuler for overføring av kundedata til tredjeland i henhold til forordning (EU) 2016/679 fra Europaparlamentet og Rådet godkjent ved Europakommisjonens gjennomføringsbeslutning (EU) 2021/914 av 4. juni 2021, slik det nå er fastsatt i https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.

«Personvernforordningen (GDPR)» betyr forordning (EU) 2016/679 fra Europaparlamentet og Rådet av 27. april 2016 om beskyttelse av fysiske personer med hensyn til behandling av personopplysninger og fri bevegelse av slike data, samt opphevelse av direktiv 95/46/EF.

«Internasjonal dataoverføring» betyr enhver overføring av klientdata fra et land hvor dataene samles inn til et land utenfor denne jurisdiksjonen, der gjeldende databeskyttelseslover krever passende sikkerhetstiltak for slik overføring.

«Offentlig myndighet» betyr en offentlig etat eller rettshåndhevende myndighet, inkludert rettslige myndigheter.

«Sensitive Client Data» betyr klientdata som avslører rase- eller etnisk opprinnelse, politiske meninger, religiøse eller filosofiske overbevisninger, eller fagforeningsmedlemskap, genetiske data eller biometriske data for å unikt identifisere en fysisk person, data om helse, en persons sexliv eller seksuelle orientering, eller data knyttet til straffedommer og lovbrudd.

«Tjenester» betyr tjenestene selskapet tilbys kunden.

«Tilsynsmyndighet» betyr en uavhengig offentlig myndighet som har ansvar for å overvåke anvendelsen av databeskyttelseslovgivningen.

«Tekniske og organisatoriske sikkerhetstiltak» betyr tiltak som har som mål å beskytte personopplysninger mot utilsiktet ødeleggelse eller utilsiktet tap, endring, uautorisert utlevering eller tilgang, særlig der behandlingen innebærer overføring av data via et nettverk, og mot alle andre ulovlige former for behandling.

«UK GDPR» betyr den bevarte versjonen av EUs personvernforordning slik den inngår i britisk lov, sammen med eventuelle endringer gjort av Data Protection Act 2018 og annen relevant britisk lovgivning som regulerer behandling av personopplysninger.

«UK Addendum» betyr International Data Transfer Addendum til EUs standard kontraktsklausuler som er utstedt av Information Commissioner for parter som foretar begrensede overføringer i betydningen av britiske databeskyttelseslover, slik de for øyeblikket er fastsatt i https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.

«personansvarlig», «prosessor», «underbehandler», «datasubjekt», «personopplysninger» og «behandling» har de betydningene som er angitt i databeskyttelseslovene.

2. Roller og ansvar

Når BAS-IP behandler klientdata på dine vegne i forbindelse med tjenester, erkjenner og samtykker du i at når det gjelder behandling av klientdata, er du en ansvarlig eller prosessor, og vi er en prosessor eller underbehandler (som definert i databeskyttelseslovene) som handler på dine vegne. En beskrivelse av slik behandling finnes i vedlegg 1 til denne DPA. Denne DPA-en skal gjelde for etablerte roller og ikke for situasjoner der vi opptrer som ansvarlig i samsvar med BAS-IPs personvernerklæring.

Hvis klienten er en prosessor, gir klienten garanti overfor BAS-IP at klientens instruksjoner og handlinger knyttet til personopplysninger, inkludert utnevnelse av BAS-IP som underbehandler og, der det er aktuelt, å konkludere med at EU-SCC-er eller andre tillegg etter paragraf 9 i denne DPA (inkludert slik de kan endres i paragraf 9 nedenfor), har vært (og vil,  for varigheten av denne DPA-en, fortsett) å være autorisert av relevant tredjeparts kontrollør.

3. Instruksjoner

Partene er enige om at denne DPA-en og den gjeldende avtalen utgjør klientens fullstendige og endelige dokumenterte instruksjoner angående behandling av klientdata (heretter kalt ‘Instruksjonene‘) der klienten opptrer som ansvarlig eller prosessor, og BAS-IP fungerer som prosessor eller underbehandler etter personvernlovgivning.

Eventuelle tilleggs- eller alternative instruksjoner må avtales skriftlig av partene og skal være i samsvar med denne DPA og avtalen.

4. Beskrivelse av behandlingen

Behandlingen av klientdata på vegne av klienten i forbindelse med tjenester er beskrevet i vedlegg 1 i denne DPA. Vi forbeholder oss retten til å oppdatere beskrivelsen av behandlingen fra tid til annen for å reflektere ny funksjonalitet som er en del av tjenestene.

5. Klientens forpliktelser

5.1. Kontrollørens forpliktelser

Innenfor rammen av DPA, når klienten opptrer som ansvarlig person, skal klienten være ansvarlig for å oppfylle alle krav som gjelder for klienten som ansvarlig etter personvernlovgivningen.

Når du opptrer som kontroller, må du:

(a) opprettholde nøyaktigheten, kvaliteten, konfidensialiteten og sikkerheten til kundedataene;

(b) overholde og oppfylle dine forpliktelser i henhold til personvernlovgivning, inkludert med hensyn til personopplysningers rettigheter, datasikkerhet og konfidensialitet, og sikre at du har et passende juridisk grunnlag for behandling av personopplysninger;

(c) kun gi BAS-IP klientdata som er lovlig innhentet, og sikre at slike data er tilstrekkelige, relevante og proporsjonale i forhold til de tiltenkte formålene;

(d) sikre at dine instruksjoner til BAS-IP angående behandling av klientdata er i samsvar med databeskyttelseslovene, inkludert prinsippene for dataminimering, formålsbegrensning og lagringsbegrensning.

5.2. Behandlerens forpliktelser

Innenfor rammen av DPA, når klienten opptrer som prosessor, skal klienten være ansvarlig for å oppfylle alle krav som gjelder for klienten som prosessor i henhold til databeskyttelseslovene.

Når du opptrer som Prosessor, må du:

(a) kun gi BAS-IP behandlingsinstruksjoner som nøyaktig gjenspeiler de dokumenterte instruksjonene fra den respektive kontrolleren;

(b) kun tilby BAS-IP klientdata som lovlig er innhentet fra den respektive kontrolløren og som er tilstrekkelige, relevante og begrenset til det som er nødvendig for de tillatte formålene;

(c) opprettholde åpenhet med den respektive kontrolløren om involvering av BAS-IP og eventuelle underprosessorer;

(d) overholde alle forpliktelser under gjeldende databeskyttelseslover i din egenskap av behandler;

(e) sikre at ditt personell eller tredjepart som får tilgang til klientdata overholder denne DPA og avtalen.

6. BAS-IP-forpliktelser

6.1. Generelle forpliktelser

Når BAS-IP fungerer som en prosessor/underprosessor, må vi:

(a) behandle klientdata i henhold til dine instruksjoner og utelukkende for de spesifiserte formålene;

(b) informere deg hvis, i BAS-IPs rimelige vurdering:

(i) dine instruksjoner bryter eller kan bryte gjeldende databeskyttelseslover; eller

(ii) BAS-IP kan ikke etterkomme dine instruksjoner;

(c) implementere og opprettholde hensiktsmessige tekniske og organisatoriske tiltak for å sikre konfidensialiteten rundt kundedata;

(d) overholde alle gjeldende personvernlover, inkludert forpliktelser knyttet til personvernets rettigheter, datasikkerhet og konfidensialitet;

(e) sikre, gjennom skriftlige kontrakter eller andre juridisk bindende midler, at enhver underbehandler som er engasjert til å behandle klientdata på vegne av BAS-IP, er underlagt tilsvarende databeskyttelsesforpliktelser som angitt i denne DPA og avtalen;

(f) føre nøyaktige registre over alle behandlingsaktiviteter utført på dine vegne under denne DPA og gi deg slike dokumenter på forespørsel;

(g) uten unødig forsinkelse informere deg dersom BAS-IP blir klar over at eventuelle klientdata du har gitt er unøyaktige, ufullstendige eller utdaterte;

(g) anvende hensiktsmessige og nødvendige sikkerhetstiltak eller restriksjoner ved behandling av sensitive klientdata, slik det kreves av personvernlovgivning eller instruksjonene;

(h) gir deg all informasjon som med rimelighet er nødvendig for å demonstrere BAS-IPs overholdelse av sine forpliktelser under gjeldende databeskyttelseslover.

6.2. Varsler til en klient

Når vi blir oppmerksomme, vil vi informere deg om enhver juridisk bindende forespørsel om utlevering av klientdata fra en offentlig myndighet, med mindre vi ellers er forbudt ved lov å informere klienten, for eksempel for å bevare konfidensialiteten ved en etterforskning utført av en offentlig myndighet. Vi vil informere deg dersom BAS-IP blir kjent med noen varsling, forespørsel eller undersøkelse fra en tilsynsmyndighet angående behandling av klientdata under denne DPA-en som er gjennomført mellom deg og oss.

6.3. Konfidensialitet

Vi vil ikke få tilgang til, bruke eller utlevere noen klientdata til tredjepart, unntatt i hvert tilfelle som nødvendig for å opprettholde eller levere tjenestene, eller for å overholde kontrakts- og juridiske forpliktelser eller en bindende ordre fra en offentlig instans (som en stevning eller rettskjennelse).

Vi skal sørge for at enhver ansatt/entreprenør som vi gir tillatelse til å få tilgang til klientdata på våre vegne, er underlagt passende konfidensialitet, kontraktsmessige eller lovpålagte pliktforpliktelser med hensyn til kundedata.

6.4. Sikkerhetstiltak

Vi skal iverksette og opprettholde hensiktsmessige tekniske og organisatoriske tiltak for å beskytte kundedata mot datainnbrudd, som faktisk eller mistenkt utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av eller tilgang til klientdata som er overført, lagret eller på annen måte behandlet (heretter kalt ‘Sikkerhetshendelser‘) i samsvar med våre sikkerhetsstandarder angitt i vedlegg 2 i denne DPA.

Du erkjenner at sikkerhetstiltak er underlagt teknisk fremgang, slik at vi kan endre eller oppdatere Schedule 2 i denne DPA etter eget skjønn, forutsatt at slik endring eller oppdatering ikke fører til en vesentlig svekkelse av sikkerhetstiltakene som tilbys i Schedule 2 i denne DPA.

6.5. Sikkerhetshendelse

Når vi blir klar over en sikkerhetshendelse, skal vi:

  • varsle deg uten unødvendig forsinkelse etter at vi blir kjent med sikkerhetshendelsen;
  • gi rettidig informasjon om sikkerhetshendelsen (typen personopplysninger, kategorier og potensielt antall berørte personer eller oppføringer) etter hvert som det blir kjent eller som rimelig etterspørres av deg; og
  • ta raskt rimelige skritt for å begrense og etterforske enhver sikkerhetshendelse slik at du kan varsle kompetente myndigheter og/eller berørte datasubjekter om sikkerhetshendelsen.

Vår varsling om eller respons på en sikkerhetshendelse skal ikke tolkes som en bekreftelse fra oss på noen skyld eller ansvar knyttet til sikkerhetshendelsen.

6.6. Retur eller sletting av klientdata

Ved oppsigelse eller utløp av avtalen som er inngått mellom deg og oss, vil vi slette eller returnere alle kundedata i vår besittelse eller kontroll. Dette kravet gjelder ikke i den grad vi er pålagt av gjeldende lov eller respektive kontraktsforpliktelser å beholde noen eller alle klientdataene.

6.7. Rimelig bistand

Vi samtykker til å gi rimelig bistand til klienten angående:

(a) enhver forespørsel fra en dataperson om tilgang til eller retting, sletting, begrensning, portabilitet, blokkering eller sletting av klientdata som vi behandler på vegne av klient. Dersom en dataperson sender en slik forespørsel direkte til oss, skal paragraf 7 i denne DPA gjelde;

(b) etterforskning av sikkerhetshendelsen og kommunikasjon av nødvendige varsler om slike sikkerhetshendelser, underlagt paragraf 6.5 i denne DPA;

(c) utarbeidelse av databeskyttelsesvurderinger (‘DPIAs‘) og, der nødvendig, konsultasjon av klienten med tilsynsmyndigheten etter artiklene 35 og 36 i GDPR.

6.8 Revisjon og sertifisering

6.8.1 Tilsynsmyndighetsrevisjon

Hvis en tilsynsmyndighet krever en revisjon av våre databehandlingsfasiliteter, bruker vi dem til å behandle kundedataene for å fastslå eller overvåke kundens overholdelse av databeskyttelseslovene, og vi samarbeider med revisjonen. Kunden er ansvarlig for alle kostnader og gebyrer knyttet til en slik revisjon, inkludert alle rimelige kostnader og gebyrer for all tid vi bruker på en slik revisjon, i tillegg til prisene for tjenester utført av oss.

6.8.2 Revisjoner

Kunden kan, før behandlingen starter og med jevne mellomrom, deretter revidere de tekniske og organisatoriske tiltakene vi har iverksatt. Dersom klienten er ansvarlig for personopplysningene som behandles av oss på hans vegne, etter rimelig og rettidig forhåndsavtale, i ordinær åpningstid og uten avbrudd i vår virksomhet, kan vi gi klienten all nødvendig informasjon for å dokumentere overholdelse av dens forpliktelser fastsatt i artikkel 28 i GDPR, og tillate og bidra til revisjoner,  inkludert inspeksjoner utført av klienten eller en annen revisor pålagt av klienten med hensyn til slik behandling.

Vi skal, etter kundens skriftlige forespørsel og innen rimelig tid, gi klienten all nødvendig informasjon for en slik revisjon, i den grad slik informasjon er innenfor vår kontroll og vi ikke er forhindret fra å utlevere dette på grunn av gjeldende lov, taushetsplikt eller annen forpliktelse overfor en tredjepart.

7. Forespørsler om den registrerte

Dersom en dataperson kontakter oss angående utøvelsen av sine rettigheter etter personvernlovene (spesielt forespørsler om tilgang til, retting eller sletting av klientdata), vil vi gjøre alle rimelige anstrengelser for å videresende slike forespørsler til deg. Hvis vi er juridisk forpliktet til å svare på en slik forespørsel, vil vi umiddelbart varsle deg og gi deg en kopi av forespørselen, med mindre vi er lovpålagt det.

8. Underprosessorer

BAS-IP har generell skriftlig autorisasjon fra klienten for å engasjere underprosessorer fra en avtalt liste. BAS-IP samtykker i å informere klienten om eventuelle tiltenkte endringer i denne listen angående tillegg eller erstatning av underprosessorer minst 10 dager før den aktuelle underprosessoren blir engasjert, og gir dermed klienten mulighet til å protestere mot slike endringer. BAS-IP skal gi klienten nødvendig informasjon for at klienten skal kunne utøve retten til å protestere.

Dersom paragraf 9 i denne DPA gjelder, skal prosedyren for å engasjere underbehandlere reguleres av de relevante bestemmelsene i paragraf 9 i denne DPA. I et slikt tilfelle skal bestemmelsene i paragraf 9 ha forrang.

Den avtalte listen over underbehandlere er angitt i vedlegg 3 i denne DPA-en.

9. Overføringer av klientdata

9.1. Generelt

Du erkjenner og samtykker i at bruk av BAS-IP-tjenester kan innebære overføring av klientdata til andre jurisdiksjoner, i samsvar med gjeldende databeskyttelseslover.

Der slike overføringer krever passende sikkerhetsmekanismer, skal de gjeldende dataoverføringsmekanismene benyttes, som EUs SCC-er og det britiske tillegget. Disse dataoverføringsmekanismene er integrert i og utgjør en integrert del av denne DPA, som nærmere beskrevet i seksjon 9.2. og 9,3.

Dersom det oppstår konflikt mellom bestemmelsene i denne DPA og de gjeldende dataoverføringsmekanismene, skal bestemmelsene i den relevante dataoverføringsmekanismen kun ha forrang i den grad slik konflikt foreligger.

9.2. Overføringer under GDPR

Når behandling av klientdata på dine vegne i forbindelse med tjenester utgjør en «overføring» under GDPR, skal standard kontraktsklausuler gjelde.

Når du er en kontrollør, og vi er en prosessor, vil modul to av EUs SCC-er gjelde, og når du er en prosessor, og vi er en underprosessor, vil modul tre av EU-SCC-ene gjelde.

For formålet med EUs SCC-er er BAS-IP en «Data Import», og du er en «Data Exporter».

De relevante bestemmelsene i EUs SCC-er er innarbeidet ved referanse og er en integrert del av denne DPA. Klausuler og vedlegg til EUs SCC-er anses å være fullført som følger:

(i) i klausul 7 skal ikke den valgfrie dokningsklausulen gjelde;

(ii) i punkt 9, alternativ 2 (generell skriftlig autorisasjon) skal gjelde. For formålet med klausul 9(a) skal tidsfristen for å informere dataeksportøren være 10 dager;

(iii) i paragraf 11 skal den valgfrie bestemmelsen ikke gjelde;

(iv) i paragraf 13 skal et bestemt alternativ anvendes avhengig av den aktuelle saken;

(v) i paragraf 17 skal alternativ 1 gjelde. EUs høyester skal styres av Forbundsrepublikken Tysklands lov;

(vi) i punkt 18(b) skal tvister avgjøres av domstolene i Forbundsrepublikken Tyskland;

(vii) Vedlegg I til EUs SCC-er anses å være fullført med informasjonen som er angitt i vedlegg 1 til denne DPA-en;

(viii) Vedlegg II til EUs SCC-er anses å være fullført med informasjonen som er angitt i vedlegg 2 i denne DPA-en.

9.3. Overføringer under det britiske databeskyttelsesrammeverket

Når behandling av klientdata på dine vegne i forbindelse med tjenester utgjør en «begrenset overføring» i henhold til britiske databeskyttelseslover, skal det britiske tillegget gjelde.

Når du er controller og BAS-IP er en prosessor, gjelder modul to av EU SCC-ene, og når du er prosessor, og vi er en underprosessor, gjelder modul tre av EU SCC-ene, som fullført i underavsnitt 9.2. av denne DPA.

For formålet med det britiske tillegget er BAS-IP en «importør», og du er en «eksportør».

De relevante bestemmelsene i det britiske tillegget er innarbeidet ved referanse og er en integrert del av denne DPA-en. Tabeller i det britiske tillegget anses som fullført som følger:

(i) Tabell 1 i del 1 anses å være fullført med informasjonen angitt i vedlegg 1 til denne DPA, og det offisielle registreringsnummeret til importøren er 328138502, og det offisielle registreringsnummeret til eksportøren finnes i kundens konto, hvis det finnes;

(ii) Tabell 2 i del 1 anses å være fullført i henhold til informasjonen angitt i underavsnitt 9.2. av denne DPA;

(iii) Tabell 3 i del 1 anses som fullført med informasjonen angitt i vedlegg 1, 2 og 3 i denne DPA;

(iv) I tabell 4 i del 1 kan ingen av partene avslutte dette tillegget slik det er angitt i paragraf 19 i det britiske tillegget.

VEDLEGG 1 – BESKRIVELSE AV BEHANDLINGEN

LISTE OVER PARTIER

Client (dataeksportør)

Navn: Du, ‘klient’

Adresse: den relevante informasjonen finnes i klientens konto.

Kontaktpersonens navn, stilling og kontaktinformasjon: relevant informasjon finnes i klientens konto.

Aktiviteter relevante for dataene som overføres under disse klausulene: levering av tjenestene.

Signatur og dato: partene er enige om at inngåelse av avtalen av dataeksportøren skal utgjøre gjennomføring av denne DPA av både dataimportøren og dataeksportøren. Datoen for registrering av kontoen på plattformen skal regnes som datoen for gjennomføringen av denne DPA-en.

Rolle: kontroller eller prosessor

BAS-IP DISTRIBUTION LTD (Dataimportør)

Navn: BAS-IP DISTRIBUTION LTD

Adresse: Crown House 27 Old Gloucester Street, London, England

Kontaktpersonens navn, stilling og kontaktinformasjon: [vennligst sett inn navn, stilling og kontaktinformasjon, f.eks. e-post]

Aktiviteter relevante for dataene som overføres under disse klausulene: levering av tjenestene.

Signatur og dato: partene er enige om at inngåelse av avtalen av dataeksportøren skal utgjøre gjennomføring av denne DPA av både dataimportøren og dataeksportøren. Datoen for registrering av kontoen på plattformen skal regnes som datoen for gjennomføringen av denne DPA-en.

Rolle: prosessor eller underprosessor

BESKRIVELSE AV OVERFØRING

  1. Kategorier av datasubjekter hvis personopplysninger overføres:
  • Kundens kunder;
  • andre datasubjekter hvis personopplysninger overføres under tjenestene selskapet tilbyr kunden.
  • Kategorier av personopplysninger som overføres:
  • personopplysninger knyttet til kundens kunder;
  • andre personopplysninger som kan overføres under tjenestene selskapet tilbyr til kunden.
  • Sensitive data overført (hvis aktuelt) og anvendt restriksjoner eller sikkerhetstiltak som fullt ut tar hensyn til dataenes art og de involverte risikoene:

Dataimportøren kan kun få tilgang til sensitive data dersom slike data leveres av klienten og kun i den grad som er nødvendig for tjenesteutførelsen. I slike tilfeller implementerer dataimportøren de tekniske og organisatoriske tiltakene som er angitt i vedlegg 2, sammen med andre hensiktsmessige og nødvendige sikkerhetstiltak eller restriksjoner, med hensyn til arten av de sensitive dataene og risikoene knyttet til behandlingen, i samsvar med gjeldende lover og forskrifter.

  • Frekvensen av overføringen:

Personopplysningene overføres kontinuerlig.

  • Behandlingen fungerer:

Behandling av personopplysninger består av følgende: innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, henting, konsultasjon, justering eller kombinasjon, begrensning, sletting eller destruksjon.

  • Formål(er) med dataoverføringen og videre behandling:

Formålet med databehandlingen under disse klausulene er å utføre tjenestene for dataeksportøren av dataimportøren i henhold til avtalen inngått mellom dataimportøren og dataeksportøren.

  • Perioden personopplysningene skal oppbevares, eller, hvis det ikke er mulig, kriteriene som brukes for å fastsette denne perioden:

Personopplysningene skal lagres i varigheten av denne DPA-en som er inngått mellom dataimportøren og dataeksportøren, med mindre annet er avtalt skriftlig, eller dataimportøren er pålagt av gjeldende lov å beholde noen eller alle de overførte personopplysningene.

  • For overføringer til (sub-)prosessorer, spesifiser også emnet, arten og varigheten av behandlingen:

Emne: Utførelse av tjenester

Natur: Samling, registrering, organisering, strukturering, lagring, tilpasning eller endring, henting, konsultasjon, justering eller kombinasjon, begrensning, sletting eller destruksjon.

varighet: utførelsen av tjenestene for dataimportøren av (under)prosessoren under tjenesteavtalen inngått mellom dataimportøren og (under)behandleren.

KOMPETENT TILSYNSMYNDIGHET

I samsvar med punkt 13 bestemmes den kompetente tilsynsmyndigheten under disse klausulene avhengig av hvilken versjon av klausul 13(a) som gjelder for dataeksportøren.

VEDLEGG 2 – TEKNISKE OG ORGANISATORISKE TILTAK

TEKNISKE OG ORGANISATORISKE TILTAK, INKLUDERT TEKNISKE OG ORGANISATORISKE TILTAK FOR Å SIKRE DATASIKKERHETEN

Beskrivelse av de tekniske og organisatoriske tiltakene som er implementert av dataimportøren(e) for å sikre et passende sikkerhetsnivå, med hensyn til natur, omfang, kontekst og formål med behandlingen samt risikoene for rettighetene og frihetene til naturpersoner:

  • Data Importer er forpliktet til å ivareta konfidensialitet, integritet, tilgjengelighet og motstandsdyktighet for alle personopplysninger gjennom hele behandlingsprosessen, og sikrer at personopplysninger beskyttes mot tap og ødeleggelse ved å implementere passende interne informasjonssikkerhetspolicyer, prosedyrer og andre nødvendige tiltak.
  • Data Importer gir tilgang til personopplysninger strengt på need-to-know-basis, og slik data er kun tilgjengelig for autorisert personell.
  • Data Importer har implementert rollebaserte tilgangskontroll- og tilgangskontrolllister for å håndheve streng separasjon av brukerens tilgangsrettigheter.
  • Data Importers informasjonssikkerhetsprosedyrer er gjenstand for jevnlige gjennomganger.
  • Data Importer bruker pålitelige tjenesteleverandører og overvåker hvilke tekniske og organisatoriske tiltak de har på plass for å sikre at personopplysninger er beskyttet til enhver tid.
  • Data Importer har implementert tiltak som er utformet for å beskytte konfidensialiteten og integriteten til personopplysninger under dataoverføringer.
  • Data Importer har implementert tekniske og organisatoriske tiltak designet for å begrense sikkerhetshendelser og forhindre ytterligere datatap og skade.

VEDLEGG 3 – UNDERPROSESSORER

Kontrolløren har godkjent bruk av følgende underbehandlere:

Underprosessor 1

Navn: Hetzner Online GmbH / Hetzner Finland Oy

Adresse: Industriestr. 25, 91710 Gunzenhausen, Tyskland / Huurrekuja 10, 04360 Tuusula (Helsinki / Tuusula), Finland

Kontaktpersonens navn, stilling og kontaktinformasjon: [email protected] 

Beskrivelse av behandling: hosting av data på serverne til Hetzner Online GmbH / Hetzner Finland Oy

Underprosessor 2

Navn: DigitalOcean, LLC

Adresse: 105 Edgeview Drive, Ste. 425, Broomfield, CO 80021, USA

Kontaktpersonens navn, stilling og kontaktinformasjon: [email protected] 

Beskrivelse av behandling: hosting av data på serverne til DigitalOcean, LLC