HVORFOR:
A. Kunden fungerer som en Datakontroller.
B. Kunden ønsker å underentreprise visse Tjenester, som innebærer behandling av personopplysninger, til Zonos som Behandler.
C. Partene søker å implementere en DPA som overholder kravene i det gjeldende rettslige rammeverket i forhold til databehandling og med Forordning (EU) 2016/679 fra Europaparlamentet og Rådet av 27. april 2016 om beskyttelse av fysiske personer med hensyn til behandling av personopplysninger og om fri bevegelse av slike data og oppheving av direktiv 95/46/EF (Generell databeskyttelsesforordning).
D. Partene ønsker å fastsette sine rettigheter og forpliktelser.
Denne DPA-en inkluderer og innlemmer vedleggene og tilleggene som refereres til nederst i dette dokumentet. Alle kapitaliserte termer som ikke er definert i denne DPA-en skal ha den betydning som er angitt i Hovedavtalen.
Partene er enige om følgende:
1. Definisjoner
Med mindre annet er definert her, skal kapitaliserte termer og uttrykk som brukes i denne DPA ha følgende betydning:
-
“Kontraktert Behandler” betyr en Underbehandler;
-
“Databeskyttelseslover” betyr EU-databeskyttelseslover og, i den grad det er aktuelt, databeskyttelses- eller personvernlovene i ethvert annet land;
-
“Datatransfer” betyr:
- En overføring av Personopplysninger fra Kunden til en Kontraktert Behandler; eller
- En videreoverføring av Personopplysninger fra en Kontraktert Behandler til en Underbehandler, eller mellom to etableringer av en Kontraktert Behandler, i hvert tilfelle der en slik overføring ville vært forbudt av Databeskyttelseslover (eller av vilkårene i datatransferavtaler som er inngått for å adressere datatransferbegrensningene i Databeskyttelseslovene);
-
“DPA” betyr denne Databehandlingsavtalen og alle Vedlegg;
-
“EØS” betyr Det europeiske økonomiske samarbeidsområdet;
-
“EU-databeskyttelseslover” betyr EU-direktiv 95/46/EF, som er innlemmet i nasjonal lovgivning i hver medlemsstat og som endres, erstattes eller oppheves fra tid til annen, inkludert av GDPR og lover som implementerer eller supplerer GDPR;
-
“GDPR” betyr EU-forordning om generell databeskyttelse 2016/679;
-
“Personopplysninger” betyr enhver Personopplysning som behandles av en Kontraktert Behandler på vegne av Kunden i henhold til eller i forbindelse med Hovedavtalen;
-
“Tjenester” betyr ethvert produkt eller tjeneste levert av Zonos til Kunden i henhold til og som nærmere beskrevet i Hovedavtalen;
-
“Underbehandler” betyr enhver Behandler utnevnt av eller på vegne av Zonos for å behandle Personopplysninger på vegne av Kunden i forbindelse med DPA.
-
Begrepene “Behandlingsansvarlig,” “Registrert,” “Medlemsstat,” “Personopplysninger,” “Brudd på personopplysninger” og “Behandling” skal ha samme betydning som i GDPR, og deres beslektede termer skal tolkes deretter.
2. Kundens Forpliktelser
-
Overholdelse av Lover.
- Innenfor rammen av DPA og i sin bruk av Tjenestene, samtykker Kunden i at den skal overholde sine forpliktelser som Behandlingsansvarlig under Databeskyttelseslovene i Behandlingen av Personopplysninger og eventuelle Behandlingsinstruksjoner den gir til Zonos.
- Kunden har gitt varsel og innhentet (eller skal innhente) alle samtykker og rettigheter som er nødvendige under Databeskyttelseslovene for at Zonos skal kunne behandle Personopplysninger og levere Tjenestene i henhold til Hovedavtalen og denne DPA.
-
Instruksjoner fra Behandlingsansvarlig. Partene er enige om at Hovedavtalen (inkludert denne DPA), sammen med Kundens bruk av Zonos Tjenester i samsvar med Hovedavtalen, utgjør Kundens komplette og endelige instruksjoner til Zonos i forhold til Behandlingen av Personopplysninger, og ytterligere instruksjoner utenfor rammen av instruksjonene skal kreve forhåndsskreven avtale mellom Kunden og Zonos.
3. Zonos Forpliktelser
-
Overholdelse av Lover. Innenfor rammen av DPA og i sin bruk av Tjenestene, skal Zonos:
- Være ansvarlig for å overholde alle gjeldende Databeskyttelseslover som en Behandler i Behandlingen av Personopplysninger; og
- Ikke Behandle Kundens Personopplysninger annet enn i henhold til Kundens dokumenterte instruksjoner.
-
Zonos Personell. Zonos skal ta rimelige skritt for å sikre påliteligheten til enhver ansatt, agent eller kontraktør som kan ha tilgang til Personopplysninger, og sikre i hvert tilfelle at tilgangen er strengt begrenset til de individer som trenger å vite / få tilgang til de relevante Personopplysningene, så strengt nødvendig for formålene med Hovedavtalen, og for å overholde Gjeldende Lover i konteksten av den enkeltes plikter til den Kontrakterte Behandleren, og sikre at alle slike individer er underlagt konfidensialitetsforpliktelser eller profesjonelle eller lovbestemte konfidensialitetsforpliktelser.
-
Sikkerhet.
- Med hensyn til den teknologiske utviklingen, kostnadene ved implementering, og arten, omfanget, konteksten og formålene med Behandlingen samt risikoen for varierende sannsynlighet og alvorlighetsgrad for rettighetene og frihetene til fysiske personer, skal Zonos, i forhold til Personopplysninger, implementere passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er passende for den risikoen, inkludert, etter behov, tiltakene nevnt i artikkel 32(1) i GDPR.
- Ved vurdering av passende sikkerhetsnivå, skal Zonos ta hensyn til risikoene som presenteres av Behandlingen, spesielt fra et Brudd på personopplysninger.
-
Underbehandling. Zonos skal ikke utnevne (eller avsløre noen Personopplysninger til) noen Underbehandler med mindre det er påkrevd eller autorisert av Kunden.
-
Rettigheter for Registrerte.
-
Med hensyn til arten av Behandlingen, skal Zonos bistå Kunden ved å implementere passende tekniske og organisatoriske tiltak, så langt det er mulig, for oppfyllelsen av Zonos' forpliktelser, som rimelig forstått av Zonos, for å svare på forespørsel om å utøve rettigheter for Registrerte under Databeskyttelseslovene.
-
Zonos samtykker i å:
- Umiddelbart varsle Kunden hvis det mottar en forespørsel fra en Registrert under noen Databeskyttelseslov angående Personopplysninger; og
- Sørge for at det ikke svarer på den forespørselen annet enn på Kundens dokumenterte instruksjoner eller som påkrevd av Gjeldende Lover som Zonos er underlagt, i hvilket tilfelle Zonos skal, i den grad det er tillatt av Gjeldende Lover, informere Kunden om det juridiske kravet før den Kontrakterte Behandleren svarer på forespørselen.
-
-
Brudd på Personopplysninger.
- Zonos skal varsle Kunden uten unødig forsinkelse når Zonos blir klar over et Brudd på Personopplysninger som påvirker Personopplysninger, og gi Kunden tilstrekkelig informasjon til å la Kunden oppfylle eventuelle forpliktelser til å rapportere eller informere Registrerte om Bruddet på Personopplysninger under Databeskyttelseslovene.
- Zonos skal samarbeide med Kunden og ta rimelige kommersielle skritt som er instruert av Kunden for å bistå i etterforskningen, avbøtningen og utbedringen av hvert slikt Brudd på Personopplysninger.
-
Vurdering av Databeskyttelsespåvirkning og Forhåndskonsultasjon. Zonos skal gi rimelig bistand til Kunden med eventuelle vurderinger av databeskyttelsespåvirkning, og forhåndskonsultasjoner med Tilsynsmyndigheter eller andre kompetente dataprivacymyndigheter, som Kunden rimelig anser for å være påkrevd av artikkel 35 eller 36 i GDPR eller tilsvarende bestemmelser i enhver annen Databeskyttelseslov, i hvert tilfelle utelukkende i forhold til Behandling av Personopplysninger av, og med hensyn til arten av Behandlingen og informasjon tilgjengelig for, de Kontrakterte Behandlerne.
-
Tilbakeføring eller Sletting av Data. Ved deaktivering eller oppsigelse av Tjenestene, skal alle Personopplysninger slettes, med unntak av at dette kravet ikke skal gjelde i den grad Zonos er pålagt av gjeldende lov til å beholde noen eller alle Personopplysninger, eller til Personopplysninger det har arkivert på backupsystemer, som slike Personopplysninger Zonos skal isolere og beskytte sikkert fra ytterligere behandling, unntatt i den grad det er påkrevd av gjeldende lov.
-
Sikkerhetsrapporter. Zonos skal opprettholde registre over sine sikkerhetsstandarder. Ved Kundens skriftlige forespørsel, skal Zonos gi svar (på konfidensiell basis) på alle rimelige forespørsel om informasjon fra Kunden, inkludert svar på informasjonssikkerhets- og revisjonsspørreskjemaer, som Kunden (som handler rimelig) anser nødvendige for å bekrefte Zonos’ overholdelse av denne DPA, forutsatt at Kunden ikke skal utøve denne retten mer enn én gang per år.
-
Datatransfer. Kunden erkjenner og samtykker i at Zonos kan få tilgang til og behandle Personopplysninger på global basis som nødvendig for å levere Tjenestene i samsvar med Hovedavtalen, og spesielt at Personopplysninger vil bli overført til og behandlet av Zonos i USA og til andre jurisdiksjoner der Zonos' Underbehandlere har virksomhet. Zonos skal sikre at slike overføringer skjer i samsvar med kravene i Databeskyttelseslovene, inkludert overholdelse av EU-godkjente standardkontraktklausuler for overføring av personopplysninger.
-
Ytterligere Bestemmelser for California Personopplysninger.
-
Denne Seksjon 11 skal kun gjelde med hensyn til California Personopplysninger.
-
Når det gjelder behandling av California Personopplysninger i samsvar med Kundens instruksjoner, erkjenner og samtykker Partene i at Kunden er en virksomhet og Zonos er en tjenesteleverandør for formålene med CCPA.
-
Partene er enige om at Zonos vil behandle California Personopplysninger som en tjenesteleverandør strengt for formålet med å utføre Tjenestene under Hovedavtalen. Zonos bruker tjenestedata for sine egne legitime forretningsformål i henhold til Zonos' personvernerklæring. Partene er enige om at Zonos ikke skal gjøre følgende:
- Selge California Personopplysninger (som definert i CCPA);
- Beholde, bruke eller avsløre California Personopplysninger for et kommersielt formål annet enn for forretningsformålet eller som ellers tillatt av CCPA; eller
- iii. Beholde, bruke eller avsløre California Personopplysninger utenfor det direkte forretningsforholdet mellom Kunden og Zonos.
-
Zonos bekrefter at det forstår og vil overholde restriksjonene som er angitt i Seksjon 11(c).
-
4. Generelle Vilkår
-
Konfidensialitet. Hver Part må holde denne Avtalen og informasjon den mottar om den andre Part og dens virksomhet i forbindelse med denne DPA (“Konfidensiell Informasjon”) konfidensiell og må ikke bruke eller avsløre den Konfidensielle Informasjonen uten den andre Partens forhåndsskreven samtykke, unntatt i den grad:
- Avsløring er påkrevd ved lov;
- Den relevante informasjonen allerede er i det offentlige domene.
-
Varsler. Alle varsler og kommunikasjoner gitt under denne DPA må være skriftlige og vil bli levert personlig, sendt med post, eller sendt med e-post til adressen eller e-postadressen angitt i overskriften til denne DPA på en annen adresse som varslet fra tid til annen av Partene som endrer adresse.
5. Gjeldende Lov og Jurisdiksjon
Denne DPA er underlagt lovene og jurisdiksjonsbestemmelsene i Hovedavtalen med mindre annet er påkrevd av Databeskyttelseslovene.\
Vedlegg A. Liste over Zonos Underbehandlere
Tilgjengelig på forespørsel
Vedlegg B. Sikkerhetstiltak
Tilgjengelig på forespørsel
Zonos Databehandlingsavtale
Denne Databehandlingsavtalen (“DPA“) fungerer som et tillegg til Zonos Vilkår for bruk og Personvernerklæring (“Hovedavtale”) mellom iGlobal Exports, LLC, DBA Zonos (“Zonos”) og Kunden (“Kunde”), (til sammen som “Partene”).