Tillæg Om Databehandling
Dette Tillæg om databehandling (“DPA“) ændrer og udgør en del af Hovedabonnementsaftalen eller en anden aftale (“Aftalen“) mellem kunden og Absolute, der regulerer Absolutes levering af Produkter og Tjenester til Kunden. I tilfælde af en konflikt mellem vilkårene i denne DPA og Aftalen vil vilkårene i denne DPA være gældende.
1. Definitioner. Begreber med stort bogstav, der anvendes, men som ikke er defineret i denne DPA, har den betydning, der er givet til disse begreber i Aftalen.
1.1. “Virksomhed“, “Forretningsformål“, “Indsamle“, “Indsamlet“, “Indsamling“, “Forbruger“, “Afidentificerede oplysninger“, “Personlige oplysninger“, “Salg“, “Sælge” og “Tjenesteudbyder” har den betydning, der er givet dem i CCPA, og “sælge” fortolkes i overensstemmelse hermed;
1.2. “Dataansvarlig“, “Registreret“, “Personoplysninger“, “Behandling“, “Behandler” og “Tilsynsmyndighed” har den betydning, som de har i GDPR, og “Behandle“, “Behandlet” og “Behandles” fortolkes i overensstemmelse hermed;
1.3. “Personlige kundedata” betyder alle Kundedata, der udgør Personoplysninger eller Persondata, der indsamles eller behandles af Absolute som Tjenesteudbyder eller Behandler (alt efter hvad der er relevant) på vegne af Kunden for at levere Produkterne og Tjenesterne, som yderligere beskrevet i Tillæg I til denne DPA;
1.4. “Databeskyttelseslov” betyder California Consumer Privacy Act, Cal. Civ. Code § 1798.100 ff. og dens gennemførelsesbestemmelser (“CCPA“), den generelle databeskyttelsesforordning (EU) 2016/679 (“GDPR“) og e-databeskyttelsesdirektivet 2002/58/EF (som ændret ved direktiv 2009/136/EF) og deres nationale implementeringer i Det Europæiske Økonomiske Samarbejdsområde (“EØS“), den schweiziske forbundslov om databeskyttelse, den britiske generelle databeskyttelsesforordning og den britiske databeskyttelseslov 2018, hver især som relevant, og som kan blive ændret eller erstattet fra tid til anden;
1.5. “Registreredes rettigheder” betyder Forbrugernes eller de Registreredes ret til information, adgang, berigtigelse, sletning, begrænsning, portabilitet, indsigelse, fravalg af salg, til ikke at blive diskrimineret for at udøve visse rettigheder og til ikke at blive underlagt automatiseret individuel beslutningstagning, i overensstemmelse med og hver især i det omfang, det kræves i Databeskyttelseslovgivningen;
1.6. “Europa” betyder EØS og Schweiz;
1.7. “International dataoverførsel” betyder enhver overførsel af Personlige kundedata om kunden fra Europa eller Storbritannien til et land uden for Europa og Storbritannien;
1.8. “Brud på persondatasikkerheden” betyder ethvert brud på Absolutes sikkerhed, der fører til utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse af eller adgang til de Personlige kundedata, der overføres, lagres eller på anden måde behandles af Absolute eller dets Underdatabehandlere;
1.9. “Underdatabehandler” betyder en databehandler, som Absolute har ansat til at behandle Personlige kundedata; og
1.10. “Standardkontraktbestemmelser” betyder de bestemmelser, der er vedlagt som tillæg til EU-Kommissionens afgørelse 2021/914 af 4. juni 2021 om standardkontraktbestemmelser for overførsel af persondata til tredjelande i henhold til Europa-Parlamentets og Rådets forordning (EU) 2016/679 (EUT L 199 af 7.6.2021, s. 31-61), som gældende og kan ændres eller erstattes fra tid til anden.
2. Parternes rolle og omfanget af behandlingen
2.1. Omfang. Denne DPA og alle bestemmelserne og forpligtelserne heri gælder i det omfang, Absolute behandler Personlige kundedata som Tjenesteudbyder eller Behandler (alt efter hvad der er relevant).
2.2. Parternes rolle. Kunden er en Virksomhed eller Dataansvarlig og udpeger Absolute som tjenesteudbyder eller databehandler på vegne af Kunden. Hver part vil indsamle, opbevare, bruge, videregive og behandle Personlige kundedata under eller i forbindelse med Produkterne og Tjenesterne i overensstemmelse med gældende Databeskyttelseslov.
2.3. Kundens ansvarsområder. Kunden er ansvarlig for overholdelse af de gældende krav om at give meddelelse til de Registrerede om, at Absolute fungerer som Behandler. Emnet, arten og formålet med behandlingen, typerne af Personlige kundedata og kategorierne af Registrerede er anført i Tillæg I.
2.4. Absolute’s ansvarsområder. Absolute behandler personlige kundedata for at levere Produkterne og Tjenesterne i overensstemmelse med Kundens dokumenterede lovlige instruktioner, som anses for givet, til følgende formål: (i) behandling i overensstemmelse med denne DPA, Aftalen og enhver gældende arbejdsbeskrivelse; (ii) behandling initieret af Autoriserede brugere i deres brug af Produkterne og Tjenesterne; og (iii) behandling for at overholde andre dokumenterede rimelige instruktioner fra Kunden (f.eks. via e-mail), hvor sådanne instruktioner er i overensstemmelse med vilkårene i denne DPA, Aftalen og enhver gældende arbejdsbeskrivelse. Medmindre det er forbudt i henhold til gældende lovgivning, vil Absolute informere Kunden, hvis Absolute bliver opmærksom på eller efter dets mening, at Kundens instruktioner overtræder Databeskyttelsesloven. Hvis Absolute f.eks. modtager en stævning eller en retskendelse fra et retshåndhævende organ, vil Absolute informere Kunden om anmodningen, medmindre det er forbudt ved lov at gøre dette.
2.5. Samarbejde med kundeanmodninger. Absolute vil under hensyntagen til behandlingens art og de oplysninger, som Absolute har til rådighed, med rimelighed bistå Kunden med at (a) reagere på anmodninger om at udøve de Registreredes rettigheder; (b) foretage konsekvensanalyser vedrørende databeskyttelse og forudgående konsultationer med Tilsynsmyndigheder; og (c) underrette en berørt Registreret om et Brud på persondatasikkerheden, når det kræves i henhold til loven. Kunden er ansvarlig for alle rimelige omkostninger, der opstår som følge af Absolute’s bistand.
3. Sikkerhed og revisioner
3.1. Sikkerhedsforanstaltninger. Absolute vil implementere tekniske og organisatoriske foranstaltninger, der er passende i forhold til risikoen, for at beskytte Personlige kundedata mod uautoriseret adgang, ødelæggelse, brug, ændring eller videregivelse, som fastsat i Absolute’s sikkerhedsstandarder, som der henvises til i Tillæg II. Absolute kan ændre Absolute-sikkerhedsstandarderne fra tid til anden, men vil fortsat yde mindst det samme sikkerhedsniveau som beskrevet i Absolute-sikkerhedsstandarderne. Absolute sikrer, at alt personale, der er bemyndiget til at behandle Personlige kundedata, er underlagt en tavshedspligt.
3.2. Reaktion på brud på persondatasikkerheden. Absolute vil underrette Kunden uden unødig forsinkelse efter at have fået kendskab til et Brud på persondatasikkerheden. Absolute vil gøre en kommercielt rimelig indsats for at identificere årsagen til Bruddet på persondatasikkerheden og tage de tiltag, som Absolute anser for nødvendige og rimelige for at afhjælpe årsagen til Bruddet på persondatasikkerheden i det omfang, afhjælpningen er inden for Absolutes rimelige kontrol. Denne bestemmelse gælder ikke for Brud på persondatasikkerheden, som er forårsaget af Kunden eller Kundens brugere.
3.3. Revision. Som krævet i Databeskyttelsesloven vil Absolute give Kunden et resumé af Absolutes revisionsrapporter, herunder alle oplysninger, der med rimelighed er nødvendige for at påvise Absolutes overholdelse af forpligtelserne i denne DPA. Absolute kan dog redigere fortrolige eller forretningsmæssigt følsomme oplysninger i sådanne rapporter.
4. Underbehandling
4.1. Godkendte underbehandlere. Kunden anerkender og accepterer, at Absolute kan ansætte Underdatabehandlere. Der findes en liste over Absolute’s nuværende Underdatabehandlere på www.absolute.com/company/legal/absolute-sub-processors. Absolute vil indgå en skriftlig aftale med Underdatabehandlere, som pålægger Underdatabehandlerne de samme forpligtelser som dem, der pålægges Absolute i henhold til denne DPA.
4.2. Ændringer af Underdatabehandlere. Kunden anerkender og accepterer, at Absolute vil underrette Kunden om enhver påtænkt tilføjelse eller udskiftning af Underdatabehandlere ved at opdatere sin liste over Underdatabehandlere, jf. afsnit 4.1. Kunden kan gøre indsigelse mod tilføjelsen eller udskiftningen af en Underdatabehandler inden for tredive (30) dage efter Absolute’s opdatering af sin liste over Underdatabehandlere. Hvis Kundens indsigelse er baseret på rimelige grunde vedrørende en potentiel eller faktisk overtrædelse af Databeskyttelsesloven, vil Kunden og Absolute samarbejde i god tro for at imødekomme Kundens indsigelse.
5. Dataoverførsler
5.1. Internationale dataoverførsler. Kunden accepterer, at Absolute kan foretage Internationale dataoverførsler: (a) til ethvert land, der af EU-Kommissionen eller den britiske regering anses for passende, herunder Canada; (b) på grundlag af passende sikkerhedsforanstaltninger i overensstemmelse med databeskyttelseslovgivningen; eller (c) i henhold til de Standardkontraktbestemmelser, der er nævnt i afsnit 5.2 eller Afsnit 5.3. Hvis Absolute’s overholdelse af Databeskyttelseslove, der gælder for Internationale dataoverførsler, påvirkes af omstændigheder uden for Absolute’s kontrol, herunder hvis et retlig instrument for Internationale dataoverførsler bliver ugyldiggjort, ændret eller erstattet, vil kunden og Absolute samarbejde i god tro for at løse en sådan manglende overholdelse på en rimelig måde.
5.2. Dataoverførsler fra Europa. Ved at underskrive denne DPA accepterer Kunden og Absolute vilkårene i MODUL TO af Standardkontraktbestemmelserne, som hermed er indarbejdet i denne Databeskyttelsesaftale ved henvisning. Parterne er hermed enige om, at når Standardkontraktbestemmelserne finder anvendelse, skal de udfyldes på følgende måde: (a) den valgfrie Klausul 7 bibeholdes; (b) i Klausul 9 slettes valgmulighed 1 og valgmulighed 2 bibeholdes; (c) i Klausul 11 er det valgfrie sprog slettet; (d) i Klausul 17 og 18 er den gældende lov og de kompetente domstole i Irland; og (e) Tillæg I og II til Standardkontraktbestemmelserne er henholdsvis Tillæg I og II til denne DPA. Hvis Absolute overfører Personlige kundedata fra Europa til et land, der ikke yder et tilstrækkeligt beskyttelsesniveau som fastsat af EU-Kommissionen for at levere Produkterne til Kunden, gælder Standardkontraktbestemmelserne.
5.3. Dataoverførsler fra Storbritannien. Ved at underskrive denne DPA accepterer kunden og Absolute vilkårene i MODUL TO i Standardkontraktbestemmelserne og del 2 (obligatoriske bestemmelser) i det internationale Tillæg til Standardkontraktbestemmelserne om dataoverførsel, som findes på: https://ico.org.uk/media/for-organisations/documents/4019483/international-data-transfer-addendum.pdf (“UK-tillægget“), som hermed er indarbejdet ved henvisning. Hvis Absolute overfører Personlige kundedata fra Storbritannien til et land, der ikke yder et tilstrækkeligt beskyttelsesniveau som fastsat af Storbritannien, gælder Tillægget fra Storbritannien.
6. California Consumer Privacy Act
6.1. Overvejelse. Absolute anerkender, at udvekslingen af Kundens personlige data mellem Kunden og Absolute ikke udgør en del af nogen monetær eller værdifuld modydelse, der udveksles mellem Kunden og Absolute med hensyn til Aftalen eller denne DPA.
6.2. Anvendelse af Personlige kundedata. Medmindre andet er tilladt i henhold til gældende lovgivning, vil Absolute ikke: (a) opbevare, bruge eller videregive Personlige kundedata til andre formål end udførelse af de Tjenester og levering af de Produkter, der er specificeret i Aftalen, og (b) sælge Personlige kundedata. Uanset eventuelle bestemmelser om det modsatte i Aftalen eller denne Databeskyttelsesaftale gælder vilkårene i denne Databeskyttelsesaftale ikke for Absolutes behandling af Personlige kundedata, som er undtaget fra Databeskyttelsesloven, herunder i henhold til Cal Civ. Code § 1798.145(a).
7. Opsigelse og returnering eller sletning af Personlige kundedata
7.1. Denne DPA ophører ved Aftalens ophør. Kunden kan få returneret Personlige kundedata ved hjælp af de funktioner eller funktionaliteter, der er tilgængelige på Kundens konto for de relevante Produkter, eller hvis sådanne funktioner eller funktionaliteter ikke er tilgængelige, kan Kunden anmode om returnering af Kundens personoplysninger op til halvfems (90) dage efter Aftalens ophør. Medmindre det kræves eller er tilladt i henhold til gældende lovgivning, sletter eller anonymiserer Absolute alle resterende kopier af Personlige kundedata efter Aftalens ophør.
8. Begrænsning af erstatningsansvar
8.1. Hver parts ansvar, der udspringer af eller er relateret til denne DPA, herunder Standardkontraktbestemmelserne, hvis det er relevant, uanset om det er kontraktligt, erstatningsretligt eller i henhold til enhver anden ansvarsteori, er underlagt afsnittet Begrænsning af erstatningsansvar i Aftalen.
9. Ugyldighed og adskillelighed
9.1. Hvis en bestemmelse i denne DPA af en domstol eller et administrativt organ med kompetent jurisdiktion anses for at være ugyldig eller ikke kan håndhæves, påvirker en sådan bestemmelses ugyldighed eller manglende håndhævelse ikke andre bestemmelser i denne DPA, og alle bestemmelser, der ikke er berørt af en sådan ugyldighed eller manglende håndhævelse, forbliver fuldt ud gyldige og i kraft.
TILLÆG I
- LISTE OVER PARTER (MODUL TO: Overfør dataansvarlig til behandler)
Dataeksportør(er): Kunde
Kunden kan som Dataansvarlig vælge at overføre data til Absolute i forbindelse med modtagelse af Produkter og Tjenester, der er identificeret i den relevante Bestillingsformular. Kundens navn, kontaktoplysninger og underskrift er anført i den gældende Bestillingsformular eller i Kundens konto for Produkterne og Tjenesterne.
Dataimportør(er): Absolute
Absolute behandler som Databehandler data, der er modtaget fra Kunden i forbindelse med levering af Produkter og Tjenester, der er identificeret i den relevante Bestillingsformular.
Adresse: Suite 1400, Four Bentall Centre, 1055 Dunsmuir Street, Vancouver, B.C. Canada, V7X 1K8
Kontakt: [email protected]
- BESKRIVELSE AF OVERFØRSEL (MODUL TO: Overfør dataansvarlig til behandler)
Kategorier af Registrerede, hvis persondata overføres i forbindelse med Produkterne og Tjenesterne:
nr. | Kategori |
1 | Kundens brugere af slutpunktsenheder |
2 | Kundens administrative personale, der er ansvarlig for vedligeholdelse af Kundens konto via den Hostede tjeneste |
Kategorier af Persondata, der overføres i forbindelse med Absolute -tjenesterne:
nr. | Kategori |
1 | Oplysninger om slutpunktsenheder, herunder computermærke og -model, computerens serienummer, systemets bios-version, computerens navn, oplysninger om operativsystemet, harddiskens serienummer, harddiskens model, harddiskens firmware-revision, batterienheds-ID, computerens UUID, gatewaystrenge, RAM-serienummer, MAC-adresse, NIC-adapternavn, IP-adresse, enhedens placering og oplysninger om enhedens brug. |
Kontoinformationer for den Hostede tjeneste, herunder navn, kontaktoplysninger og loginoplysninger. |
Kategorier af følsomme data, der overføres i forbindelse med Produkterne og Tjenesterne:
nr. | Kategori |
1 | Ingen. |
Behandlingens hyppighed og art:
Dataene overføres løbende. De persondata, der overføres, vil blive underkastet følgende behandlinger.
- for at levere Produkterne og Tjenesterne, herunder lagring af data til Produkterne og Tjenesterne;
- for at løse tekniske eller administrative problemer, fakturering og i øvrigt overholde sine egne juridiske forpligtelser; og
- for at optimere og forbedre Produkterne og Tjenesterne og andre forretningsformål som beskrevet i DPA’en
Formål med Dataoverførsel og Yderligere behandling
Formålet med dataoverførslen er at levere Produkterne og Tjenesterne.
Opbevaringsperiode.
Der gælder forskellige opbevaringsperioder for data afhængigt af den gældende tjeneste. Ved fastlæggelsen af den specifikke opbevaringsperiode tager Absolute hensyn til forskellige faktorer, såsom den type tjeneste, der leveres til Kunden, arten og længden af vores forhold til Kunden samt obligatoriske opbevaringsperioder, der er fastsat i lovgivningen og forældelsesfrister.
Overførsler til (under)databehandlere
Beskrivelserne ovenfor i dette afsnit B gælder for data, der overføres til Underdatabehandlere.
- KOMPETENT TILSYNSMYNDIGHED (MODUL TO: Overfør dataansvarlig til behandler)
Den kompetente tilsynsmyndighed som defineret af kunden.
TILLÆG II
TEKNISKE OG ORGANISATORISKE FORANSTALTNINGER, HERUNDER TEKNISKE OG ORGANISATORISKE FORANSTALTNINGER TIL AT SIKRE DATASIKKERHEDEN
Domæne
|
Praksis |
Organisering af informationssikkerhed | · Absolute har et team, der er dedikeret til informationssikkerhed
· Programmet for informationssikkerhed støttes af Absolute’s ledelsesgruppe · Absolute offentliggør en ledelsesgodkendt informationssikkerhedspolitik |
HR-sikkerhed | · Udfører baggrundstjek af personalet før ansættelse
· Udfører regelmæssig informationssikkerhedsuddannelse |
Fysisk og miljømæssig sikkerhed | · Kun autoriserede brugere har fysisk adgang til kundernes databehandlingscentre
· Bruger datacenter- og hostingudbydere med fysisk og miljømæssig kontrol |
Kommunikation og driftsledelse | · Krypterer kundedata i transit og i hvile
· Implementering af netværksbeskyttelse, herunder firewalls, VPN’er, IDS og om muligt IPS |
Adgangskontrol | · Mindst mulig hovedadgang til netværk og systemer
· Kræv MFA for fjernadgang |
Styring af informationssikkerhedshændelser | · Implementering af et formaliseret program for reaktion på sikkerheds- og privatlivshændelser |
Sikkerhedsoperationer | · Årlig penetrationstest
· Løbende styring af sårbarheder · Kontrolforanstaltninger til at opdage og forhindre malware · Generering og overvågning af oplysninger om hændelseslogfiler |
Styring af forretningskontinuitet | · Vedligeholdelse af BCP- og DR-planer til støtte for kontinuerlig drift
· Test af planerne mindst en gang om året |
Forvaltning af tredjepartsleverandører | · Opretholder et program for tredjepartsleverandører med henblik på at gennemgå, vurdere og overvåge tredjepartsleverandørers sikkerheds- og fortrolighedskontrol. |
Systemudvikling | · Uddannelse i sikker kodning af udviklere
· Gennemførelse af sikkerhedstest som en del af SDLC’en · Adskilte udviklings-, test- og produktionsmiljøer |