Tillegg Om Databehandling

Dette tillegget om databehandling (“TDB”) endrer og utgjør en del av hovedabonnementsavtalen eller annen avtale (“Avtalen”) mellom kunden og Absolute som styrer Absolutes levering av produktene og tjenestene til kunden. Hvis det er konflikt mellom vilkårene i dette TDB og avtalen, vil vilkårene i dette TDB ha forrang.

1.     Definisjoner. Uttrykk skrevet med store bokstaver men som ikke er definert i dette TDB, vil ha betydningene som er gitt dem i avtalen.

1.1.    “Bedrift”, “Bedriftsformål”, “samle”, “samlet”, “samling”, “Forbruker”, “Avidentifisert informasjon”, “Personlig informasjon”, “salg”, “selge” og “Tjenesteleverandør” har betydningen som er gitt dem i CCPA; og “selg” vil bli tolket i henhold til dette,

1.2.    “Kontrollør”, “Dataperson”, “Personopplysninger”, “Behandler”, “Prosessor” og “Tilsynsmyndighet” har betydningen som er gitt dem i GDPR, og “prosess”, “prosesser” og “behandlet” vil bli tolket i henhold til dette,

1.3.    “Kundens personopplysninger” betyr alle kundedata som utgjør personlig informasjon eller personopplysninger som samles eller behandles av Absolute som tjenesteleverandør eller behandler (alt ettersom) på vegne av kunden for å levere produktene og tjenestene, som beskrevet nærmere i Vedlegg I av denne DPA,

1.4.    “Datavernlov” betyr California Consumer Privacy Act, Cal. Civ. Code § 1798.100 et seq., og tilhørende implementerende forskrifter (“CCPA”), General Data Protection Regulation (EU) 2016/679 (“GDPR”) og e-personverndirektiv 2002/58/EF (med endring av Direktiv 2009/136/EF) og deres nasjonale implementeringer i det europeiske økonomiske området (“EØS”), Swiss Federal Data Protection Act, UK General Data Protection Regulation og UK Data Protection Act 2018, hver enkelt etter det som er aktuelt, og med eventuelle endringer eller erstatninger fra tid til annen,

1.5.    “Datapersonrettigheter” betyr forbrukeres eller datapersonenes rettigheter til informasjon, tilgang, korrigering, sletting, begrensning, portabilitet, innvendinger, fravalg av salg, slippe å bli diskriminert for å utøve visse rettigheter, og ikke være underlagt automatisk individuell beslutningstaking, i samsvar med og i den grad det er påkrevd ved datavernlover,

1.6.    “Europa” betyr EØS og Sveits,

1.7.    “Internasjonal dataoverføring” betyr en hvilken som helst overføring av kundens personopplysninger fra Europa eller Storbritannia til et land utenfor Europa og Storbritannia,

1.8.    “Brudd på personopplysninger” betyr et hvilket som helst brudd på Absolutes sikkerhet som fører til utilsiktet eller ulovlig destruering, tap, endring, uautorisert frigivelse av, eller tilgang til kundens personopplysninger som er overført, lagret eller på annen måte i Absolutes eller deres underbehandleres besittelse,

1.9.    “Underbehandler” betyr en behandler som er engasjert av Absolute til å behandle kunders personopplysninger og

1.10.  “Standardkontraktklausuler” betyr klausulene som er vedlegg til EU-kommisjonens vedtak 2021/914 av 4. juni 2021 om standardkontraktklausuler for overføringen av personopplysninger til tredjeland i henhold til EU-parlamentets forskrift (EU) 2016/679 og EU-rådet (OJ L 199, 7.6.2021, p. 31-61) etter det som er aktuelt og kan endres eller erstattes fra tid til annen.

2.     Partenes rolle og omfang av behandling

2.1.    Omfang Denne DPA og hver enkelt av bestemmelsene og forpliktelsene heri, gjelder i den grad Absolute behandler kundens personopplysninger som tjenesteleverandør eller behandler (alt ettersom relevant).

2.2.    Partenes roller. Kunden er en bedrift eller kontrollør og utpeker Absolute som tjenesteleverandør eller behandler på vegne av kunden. Hver part vil samle, oppbevare, bruke, frigi og behandle kundens personopplysninger under eller i forbindelse med produktene og tjenestene i samsvar med gjeldende datavernlov.

2.3.    Kundeansvar. Kunden er ansvarlig for å overholde gjeldende krav om å varsle datapersoner om bruken av Absolute som behandler. Emnet, beskaffenheten og formålet med behandlingen, typene personopplysninger for kunden og kategoriene av datapersoner fremgår av Vedlegg I.

2.4.    Absolutes ansvar Absolute vil behandle kundens personopplysninger for å levere produktene og tjenestene i samsvar med kundens dokumenterte, lovlige instruksjoner, som anses for å ha vært gitt, til følgende formål: i) behandling i samsvar med denne DPA, avtalen og enhver gjeldende arbeidserklæring; (ii) behandling initiert av autoriserte brukere i deres bruk av produktene og tjenestene; og (iii) behandling for å overholde andre dokumenterte rimelige instruksjoner gitt av kunden (f.eks. via e-post) der slike instruksjoner er i samsvar med vilkårene i denne DPA, avtalen og enhver gjeldende arbeidserklæring. Med mindre det er forbudt i henhold til gjeldende lov, vil Absolute informere kunden hvis de blir oppmerksomme på at, eller etter deres mening, kundens instruksjoner bryter databeskyttelsesloven. Hvis for eksempel Absolute mottar en stevning eller rettskjennelse fra rettshåndhevende myndigheter, vil de informere kunden om forespørselen med mindre det er forbudt ved lov å gjøre det.

2.5.    Samarbeid med kundeforespørsler. Absolute vil, tatt i betraktning beskaffenheten av behandlingen og informasjonen som er tilgjengelig for Absolute, med rimelighet bistå kunden med å (a) svare på forespørsler om å utøve datapersonens rettigheter; (b) gjennomføre konsekvensvurderinger for datavern og forutgående konsultasjoner med tilsynsmyndigheter; og (c) varsle en berørt dataperson om brudd på personopplysninger når loven krever det. Kunden vil være ansvarlig for alle rimelige kostnader som oppstår som følge av Absolutes assistanse.

3.     Sikkerhet og gjennomganger

3.1.    Sikkerhetstiltak. Absolute vil implementere tekniske og organisatoriske tiltak som er hensiktsmessige for risikoen, for å beskytte kundens personopplysninger fra uautorisert tilgang, destruering, bruk, modifikasjon eller frigivelse, som fremgår av Absolutes sikkerhetsstandarder som omtales i Vedlegg II. Absolute kan endre Absolutes sikkerhetsstandarder fra tid til annen, men vil fortsatt levere minst samme nivå av sikkerhet som er beskrevet i Absolutes sikkerhetsstandarder. Absolute vil sørge for at alt personell som er autorisert til å behandle kundepersonopplysninger, er underlagt taushetsplikt.

3.2.    Svar på brudd på personopplysninger Absolute vil varsle kunden uten unødig opphold etter å ha blitt oppmerksom på brudd på personopplysninger. Absolute vil gjøre kommersielt rimelige anstrengelser for å identifisere årsaken til bruddet på personopplysninger og iverksette tiltak som Absolute anser som nødvendige og rimelige for å rette opp årsaken til bruddet på personopplysninger i den grad utbedringen er innenfor Absolutes rimelige kontroll. Denne bestemmelsen vil ikke gjelde for brudd på personopplysninger som er forårsaket av kunden eller kundens brukere.

3.3.    Gjennomgang. I henhold til krav i datavernloven, vil Absolute gi kunden et sammendrag av Absolutes revisjonsrapporter, inkludert all informasjon som er rimelig nødvendig for å demonstrere Absolutes overholdelse av forpliktelsene i denne DPA; forutsatt at Absolute har anledning til å fjerne all konfidensiell eller kommersielt sensitiv informasjon i slike rapporter.

4.     Underbehandling

4.1.    Autoriserte underbehandlere. Kunden bekrefter og samtykker til at Absolute kan engasjere underbehandlere. En liste med Absolutes gjeldende underbehandlere fås på www.absolute.com/company/legal/absolute-sub-processors. Absolute vil inngå en skriftlig avtale med underbehandlere som pålegger underbehandlere i vesentlig grad de samme forpliktelsene som de som er pålagt Absolute under denne DPA.

4.2.    Endringer i underbehandlere. Kunden erkjenner og godtar at Absolute vil varsle kunden om ethvert tiltenkt tillegg eller bytte av underbehandlere ved å oppdatere sin liste over underbehandlere som er oppgitt i avsnitt 4.1. Kunden kan protestere mot tillegg eller erstatning av en underbehandler innen tretti (30) dager etter Absolutes oppdatering av sin liste over underbehandlere. Hvis kundens innvending er basert på rimelige grunner knyttet til et potensielt eller faktisk brudd på datavernloven, vil kunden og Absolute samarbeide i god tro for å behandle kundens innvending.

5.     Dataoverføringer

5.1.    Internasjonale dataoverføringer. Kunden samtykker til at Absolute kan utføre internasjonale dataoverføringer: (a) til et hvilket som helst land som anses som adekvat av EU-kommisjonen eller den britiske regjeringen, alt ettersom, inkludert Canada; (b) på grunnlag av behørige sikkerhetstiltak i samsvar med datavernloven; eller (c) i henhold til standardkontraktklausulene omtalt i avsnitt 5.2 eller avsnitt 5.3. Hvis Absolutes overholdelse av datavernlover som gjelder internasjonale dataoverføringer påvirkes av omstendigheter utenfor selskapets kontroll, inkludert hvis et juridisk instrument for internasjonale dataoverføringer blir ugyldiggjort, endret eller erstattet, vil kunden og Absolute samarbeide i god tro for med rimelighet å løse slik manglende overholdelse.

5.2.    Dataoverføringer fra Europa. Ved å signere denne DPA samtykker kunden og Absolute til vilkårene i MODUL TO i standardkontraktklausulene, som herved er innlemmet i denne DPA ved henvisning. Partene samtykker herved til at der standardkontraktklausulene gjelder, skal de oppfylles som følger: (a) den valgfrie klausulen 7 beholdes; (b) i klausul 9 er alternativ 1 fjernet og alternativ 2 beholdes; (c) i klausul 11 er det valgfrie språket fjernet; (d) i klausul 17 og 18 er gjeldende lov og de kompetente domstolene i Irland; og (e) Vedlegg I og II til standardkontraktsklausulene er henholdsvis vedlegg I og II til denne DPA. Hvis Absolute overfører kundens personopplysninger fra Europa til et land som ikke gir et tilstrekkelig beskyttelsesnivå som fastsatt av EU-kommisjonen for å levere produktene til kunden, vil standardkontraktsklausulene gjelde.

5.3.    Dataoverføringer fra Storbritannia. Ved å signere denne DPA samtykker kunden og Absolute til vilkårene i MODUL TO i standardkontraktsklausulenes Del 2 (Obligatoriske klausuler) i Tillegget om internasjonal dataoverføring til standardkontraktklausulene, som finnes på: https://ico.org.uk/media/for-organisations/documents/4019483/international-data-transfer-addendum.pdf (“Tillegg for Storbritannia”), som herved er innlemmet ved henvisning. Hvis Absolute overfører kundens personopplysninger fra Storbritannia til et land som ikke gir et tilstrekkelig beskyttelsesnivå som fastsatt av Storbritannia, vil Tillegg for Storbritannia gjelde.

6.     California Consumer Privacy Act

6.1.    Overveielse. Absolute erkjenner at utvekslingen av kundens personopplysninger mellom kunden og Absolute ikke utgjør en del av noen pengemessig eller verdirelatert overveielse som utveksles mellom kunden og Absolute med hensyn til avtalen eller denne DPA.

6.2.    Bruk av kundens personopplysninger. Med mindre annet er tillatt ved gjeldende lov, vil Absolute ikke: (a) beholde, bruke eller gi videre kundens personopplysninger til andre formål enn å utføre tjenestene og levere produktene spesifisert i avtalen; og (b) selge kundens personopplysninger. Til tross for eventuelle bestemmelser som strider mot avtalen eller denne DPA, vil vilkårene i denne DPA ikke gjelde for Absolutes behandling av kundens personopplysninger som er unntatt fra datavernloven, inkludert under Cal Civ. Code § 1798.145(a).

7.     Oppsigelse og retur eller sletting av kundens personopplysninger

7.1.    Denne DPA avsluttes ved oppsigelse av avtalen. Kunden kan få tilbakelevert kundens personopplysninger ved å bruke funksjonene som er tilgjengelige på kundens konto for de aktuelle produktene, eller hvis ingen slike funksjoner eller funksjonalitet er tilgjengelige, kan kunden be om tilbakelevering av kundens personopplysninger inntil nitti (90) dager etter oppsigelse av avtalen. Med mindre det kreves eller tillates av gjeldende lov, vil Absolute slette eller anonymisere alle gjenværende kopier av kundens personopplysninger etter oppsigelse av avtalen.

8.     Ansvarsbegrensning

8.1.    Hver parts ansvar som oppstår fra eller er knyttet til denne DPA, inkludert standard kontraktklausuler, hvis aktuelt, enten det er i kontrakt, erstatningsansvar eller under andre teorier om ansvar, er underlagt avtalens avsnitt om ansvarsbegrensning.

9.     Ugyldighet og adskillelighet

9.1.    Hvis noen av bestemmelsene i denne DPA-en av en domstol eller et administrativt organ med kompetent jurisdiksjon blir funnet å være ugyldig eller ikke kan håndheves, påvirker ikke ugyldigheten eller ikke-gjennomførbarheten av en slik bestemmelse noen annen bestemmelse i denne DPA og alle bestemmelser som ikke er påvirket av slik ugyldighet eller ugjennomførbarhet vil forbli i full kraft og effekt.

VEDLEGG I

  1. LISTE MED PARTER (MODUL TO: Overføring kontrollør til behandler)

 

Dataeksportør(er): Kunde

 

Som kontrollør kan kunden velge å overføre data til Absolute i forbindelse med mottak av produkter og tjenester som er identifisert i det aktuelle ordreskjemaet. Kundens navn, kontaktinformasjon og signatur står i det aktuelle ordreskjemaet eller i kundens konto for produktene og tjenestene.

Dataimportør(er): Absolute

 

Som behandler, behandler Absolute data som er mottatt fra kunden i forbindelse med levering av produkter og tjenester som er identifisert i det aktuelle ordreskjemaet.

Adresse: Suite 1400, Four Bentall Centre, 1055 Dunsmuir Street, Vancouver, B.C. Canada, V7X 1K8

Kontakt: [email protected]

 

  1. BESKRIVELSE AV OVERFØRING (MODUL TO: Overføring kontrollør til behandler)

 

Kategorier av datapersoner hvis personopplysninger overføres i forbindelse med produktene og tjenestene:

Nr. Kategori
1 Kundens brukere av endepunktenheter
2 Kundens administrative personale ansvarlig for vedlikehold av kundens konto via vertstjenesten.

Kategorier av personopplysninger som overføres i forbindelse med Absolutes tjenester:

Nr. Kategori
1 Når det er aktuelt, informasjon om endepunktsenheter, inkludert datamaskinens merke og modell, datamaskinens serienummer, systembios-versjon, datamaskinnavn, OS-informasjon, HDD-serienummer, HDD-modell, HDD-fastvarerevisjon, batterienhets-ID, datamaskin-UUID, gateway-strenger, RAM serienummer, MAC-adresse, NIC-adapternavn, IP-adresse, enhetsplassering og informasjon om bruken av enheten.
  Kontoinformasjon for vertstjenesten, inkludert navn, kontaktinformasjon og påloggingsinformasjon.

Kategorier av sensitive data som overføres i forbindelse med produktene og tjenestene:

Nr. Kategori
1 Ingen.

 

Behandlingens hyppighet og beskaffenhet:

Dataene overføres kontinuerlig. Personopplysningene som overføres, vil være gjenstand for følgende behandlingsoperasjoner:

  • å tilby produktene og tjenestene, inkludert lagring av data for produktene og tjenestene,
  • å løse tekniske eller administrative problemer, fakturering, og på annen måte overholde sine egne juridiske forpliktelser,
  • å optimalisere og forbedre produktene og tjenestene og andre forretningsformål som beskrevet i DPA.

Formål med dataoverføring og videre behandling

Formålet med dataoverføringen er å levere produktene og tjenestene.

Oppbevaringsperiode

 

Ulike dataoppbevaringsperioder gjelder avhengig av gjeldende tjeneste. Ved fastsettelse av den spesifikke oppbevaringsperioden vurderer Absolute ulike faktorer, som typen tjeneste som tilbys til kunden, beskaffenheten og varigheten av forholdet vårt til kunden, og obligatoriske oppbevaringsperioder gitt av lov og foreldelsesloven.

Overføringer til (under)behandlere

Beskrivelsene som fremgår over i dette avsnitt B, gjelder for data som overføres til underbehandlere.

 

  1. KOMPETENT TILSYNSMYNDIGHET (MODUL TO: Overføring kontrollør til behandler)

Den kompetente tilsynsmyndigheten som definert av kunden.

 

VEDLEGG II

TEKNISKE OG ORGANISATORISKE TILTAK INKLUDERT TEKNISKE OG ORGANISATORISKE TILTAK FOR Å IVARETA DATASIKKERHETEN

Domene

 

Praksis
Organisering av informasjonssikkerhet ·          Absolute har et eget team som jobber med informasjonssikkerhet.

·          Informasjonssikkerhetsprogrammet støttes av lederteamet hos Absolute.

·          Absolute publiserer retningslinjer for informasjonssikkerhet, som er godkjent av ledelsen.

HR-sikkerhet ·          Utfører bakgrunnssjekk av personale før ansettelse

·          Utfører regelmessig opplæring i informasjonssikkerhet

Fysisk og miljøsikkerhet ·          Kun autoriserte brukere har tillatelse til å få fysisk tilgang til kundedatabehandlingssentre.

·          Bruker datasenter og hostingleverandører med fysiske og miljøkontroller

Kommunikasjon og driftsadministrasjon ·          Kryptere kundedata under overføring og under oppbevaring

·          Implementere nettverksbeskyttelse, inkludert brannmurer, VPN, IDS og der det er mulig, IPS

Tilgangskontroll ·          Minst hovedtilgang til nettverk og systemer

·          Krever MFA for ekstern tilgang

Administrasjon av informasjonssikkerhetshendelser ·          Implementere et formalisert sikkerhets- og personvernprogram for respons på hendelser
Sikkerhetsoperasjoner ·          Årlig penetrasjonstesting

·          Løpende sårbarhetshåndtering

·          Kontroller for å oppdage og forhindre skadelig programvare

·          Generere og overvåke hendelseslogginformasjon

Administrasjon av forretningskontinuitet ·          Opprettholder BCP- og DR-planer for å støtte fortsatt drift

·          Tester planer minst én gang i året

Administrasjon av tredjepartsleverandører ·          Opprettholde et tredjepartsleverandørprogram for å gjennomgå og vurdere og overvåke sikkerhets- og personvernkontrollene til tredjepartsleverandører.
Systemutvikling ·          Gi sikker kodeopplæring til utviklere

·          Implementere sikkerhetstesting som komponent av SDLC

·          Segregerte utviklings-, test- og produksjonsmiljøer