Tillägg Om Behandling Av Uppgifter
Detta tillägg för databehandling (”DPA”) ändrar och utgör en del av huvudabonnemangsavtalet eller annat avtal (”Avtalet”) mellan kunden och Absolute som reglerar Absolutes tillhandahållande av produkterna och tjänsterna till kunden. I händelse av en konflikt mellan villkoren i detta dataskyddsavtal och avtalet, kommer villkoren i detta dataskyddsavtal att styra.
1. Definitioner. Termer med stor bokstavsbeteckning som används men som inte är definierade i detta avtal har den betydelse de har i avtalet.
1.1. ”Företag”, ”Företagets syfte”, ”Samla”, ”Insamlad”, ”insamling”, ”Konsument”, ”Avidentifierad information”, ”Personlig information”, ”Försäljning”, ”Sälja” och ”Tjänsteleverantör” har den innebörd som anges i CCPA; och ”Sälj” ska tolkas i enlighet med detta;
1.2. ”Personuppgiftsansvarig”, ”Registrerad person”, ”Personuppgifter”, ”Behandling”, ”Personuppgiftsbiträde”, och ”tillsynsmyndighet” har den betydelse som de har i GDPR, och ”behandla”, ”behandlar” och ”behandlat” ska tolkas i enlighet med detta;
1.3. ”Kundernas personuppgifter” avser alla kunduppgifter som utgör personuppgifter eller persondata som samlas in eller behandlas av Absolute i egenskap av tjänsteleverantör eller Personuppgiftsbiträde (beroende på vad som är tillämpligt) för kundens räkning för att tillhandahålla produkterna och tjänsterna, vilket beskrivs närmare i bilaga I till denna dataskyddsbeskrivning;
1.4. ”Databaskyddslag: California Consumer Privacy Act, Cal. Civ. Code § 1798.100 och följande, och dess tillämpningsföreskrifter (”CCPA”), General Data Protection Regulation (EU) 2016/679 (”GDPR”), och e-privacy-direktivet 2002/58/EG (ändrat genom direktiv 2009/136/EG), och deras nationella genomförande inom Europeiska ekonomiska samarbetsområdet (”EES”), den schweiziska federala dataskyddslagen, Storbritanniens allmänna dataskyddsförordning och Storbritanniens dataskyddslag 2018, var och en av dem i tillämpliga delar, och i enlighet med vad som kan ändras eller ersättas från tid till annan;
1.5. ”Rättigheter för registrerade”: konsumenters eller registrerade personers rätt till information, tillgång, rättelse, borttagning, radering, begränsning, portabilitet, invändning, undantag från försäljning, att inte diskrimineras för att utöva vissa rättigheter och att inte bli föremål för automatiserat individuellt beslutsfattande, i enlighet med och i den utsträckning som krävs enligt dataskyddslagstiftningen;
1.6. ”Europa: EES och Schweiz;
1.7. ”Internationell dataöverföring”: varje överföring av kundens personuppgifter från Europa eller Storbritannien till ett land utanför Europa och Storbritannien;
1.8. ”Personuppgiftsintrång” avser varje intrång i Absolutes säkerhet som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande av eller tillgång till kundens personuppgifter som överförs, lagras eller på annat sätt behandlas av Absolute eller dess underbiträden;
1.9. ”Subprocessor”: ett Personuppgiftsbiträde som Absolute anlitar för att behandla kundernas personuppgifter, och
1.10. ”Standardkontraktsklausuler”: de klausuler som bifogas till EU-kommissionens beslut 2021/914 av den 4 juni 2021 om standardavtalsklausuler för överföring av personuppgifter till tredjeländer i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 (EUT L 199, 7.6.2021, s. 31-61) i tillämpliga delar, och som kan ändras eller ersättas från tid till annan.
2. Parternas roll och behandlingens omfattning
2.1. Omfattning. Denna dataskyddsbeskrivning och alla bestämmelser och skyldigheter i denna gäller i den mån Absolute behandlar kundens personuppgifter i egenskap av tjänsteleverantör eller personuppgiftsbiträde (beroende på vad som är tillämpligt).
2.2. Parternas roll Kunden är ett företag eller en personuppgiftsansvarig och utser Absolute till tjänsteleverantör eller personuppgiftsbiträde för kundens räkning. Varje part kommer att samla in, lagra, använda, avslöja och behandla kundens personuppgifter enligt eller i samband med produkterna och tjänsterna i enlighet med tillämplig dataskyddslagstiftning.
2.3. Kundens ansvarsområden. Kunden är ansvarig för att uppfylla tillämpliga krav på att informera de registrerade om användningen av Absolute som personuppgiftsbiträde. Behandlingens föremål, art och syfte, typerna av kundens personuppgifter och kategorierna av registrerade anges i Bilaga I.
2.4. Absolutes ansvarsområden. Absolute kommer att behandla kundens personuppgifter för att tillhandahålla produkterna och tjänsterna i enlighet med kundens dokumenterade lagliga instruktioner, som anses vara givna, för följande ändamål: (i) behandling i enlighet med detta avtal och eventuella tillämpliga arbetsbeskrivningar, behandling som initieras av auktoriserade användare i samband med deras användning av produkterna och tjänsterna, och behandling för att följa andra dokumenterade rimliga instruktioner från kunden (t.ex. via e-post) där sådana instruktioner är förenliga med villkoren i detta avtal och eventuella tillämpliga arbetsbeskrivningar. Om det inte är förbjudet enligt tillämplig lag kommer Absolute att informera kunden, om företaget får kännedom om att kundens instruktioner bryter mot dataskyddslagstiftningen, eller om företaget anser att kundens instruktioner bryter mot dataskyddslagstiftningen. Om Absolute till exempel får en stämning eller ett domstolsbeslut från en brottsbekämpande myndighet kommer Absolute att informera kunden om begäran om det inte är förbjudet enligt lag att göra det.
2.5. Samarbete med kundens önskemål. Absolute kommer, med hänsyn till behandlingens karaktär, och den information som finns tillgänglig för Absolute, att på ett rimligt sätt hjälpa kunden att svara på förfrågningar om att utöva den registrerades rättigheter, genomföra konsekvensbedömningar av dataskydd och förhandssamråd med tillsynsmyndigheter, och meddela en drabbad registrerad person om en personuppgiftsincident när det krävs enligt lag. Kunden ansvarar för alla rimliga kostnader som uppstår till följd av Absolutes assistans.
3. Säkerhet och revisioner.
3.1. Säkerhetsåtgärder. Absolute kommer att implementera tekniska och organisatoriska åtgärder som är lämpliga i förhållande till risken för att skydda kundens personuppgifter från obehörig åtkomst, förstörelse, användning, ändring eller avslöjande, enligt Absolute Security Standards som det hänvisas till i Annex II. Absolute kan ändra ”Absolute Security Standards” från tid till annan, men kommer att fortsätta att tillhandahålla minst samma säkerhetsnivå som beskrivs i ”Absolute Security Standards”. Absolute kommer att se till att all personal som har tillstånd att behandla kundens personuppgifter omfattas av en tystnadsplikt.
3.2. Svar på brott mot personuppgifter. Absolute kommer att meddela kunden utan onödigt dröjsmål efter att ha fått kännedom om en personuppgifts-intrång. Absolute kommer att göra kommersiellt rimliga ansträngningar för att identifiera orsaken till personuppgiftsbrottet och vidta de åtgärder som Absolute anser nödvändiga och rimliga för att avhjälpa orsaken till personuppgiftsbrottet i den utsträckning som saneringen ligger inom Absolutes rimliga kontroll. Denna bestämmelse gäller inte för personuppgiftsbrott som orsakas av kunden eller kundens användare.
3.3. Revision I enlighet med dataskyddslagstiftningen kommer Absolute att förse kunden med en sammanfattning av Absolutes revisionsrapporter, inklusive all information som rimligen är nödvändig för att visa att Absolute uppfyller skyldigheterna i detta dataskyddsavtal, under förutsättning att Absolute får redigera konfidentiell eller kommersiellt känslig information i sådana rapporter.
4. Underbearbetning
4.1. Auktoriserade underprocessorer. Kunden erkänner och samtycker till att Absolute kan anlita underbiträden. En lista över Absolutes nuvarande underbiträde finns på www.absolute.com/company/legal/absolute-sub-processors. Absolute kommer att ingå ett skriftligt avtal med underbiträde som ålägger underbiträdena i huvudsak samma skyldigheter som de skyldigheter som åläggs Absolute enligt detta dataskyddsavtal.
4.2. Ändringar för underbiträden. Kunden bekräftar och samtycker till att Absolute kommer att meddela kunden om eventuella planerade tillägg eller byten av underbiträden genom att uppdatera sin lista över underbiträden som avses i avsnitt 4.1. Kunden kan invända mot tillägget eller utbytet av en underbiträde inom trettio (30) dagar efter att Absolute uppdaterat sin lista över underbiträden. Om kundens invändning baseras på rimliga skäl som rör en potentiell eller faktisk överträdelse av dataskyddslagen kommer kunden och Absolute att samarbeta i god tro för att hantera kundens invändning.
5. Överföring av uppgifter.
5.1. Internationella dataöverföringar. Kunden godkänner att Absolute kan utföra internationella dataöverföringar: (a) till ett land som EU-kommissionen eller Storbritanniens regering, beroende på vad som är tillämpligt, anser lämpligt, inklusive Kanada, b) på grundval av lämpliga skyddsåtgärder i enlighet med dataskyddslagstiftningen, eller c) i enlighet med de standardavtalsklausuler som avses i avsnitt 5.2 eller avsnitt 5.3. Om Absolutes överensstämmelse av dataskyddslagar som är tillämpliga på internationella dataöverföringar påverkas av omständigheter utanför dess kontroll, inklusive om ett rättsligt instrument som reglerar internationella dataöverföringar ogiltigförklaras, ändras eller ersätts, kommer kunden och Absolute att samarbeta i god tro för att på ett rimligt sätt lösa sådan bristande överensstämmelse.
5.2. Dataöverföringar från Europa. Genom att underteckna detta avtal om skydd av personuppgifter, godkänner kunden och Absolute villkoren i modul 2 i standardavtalsklausulerna, som härmed införlivas i detta avtal om skydd av personuppgifter genom hänvisning. Parterna är härmed överens om att när standardavtalsklausulerna är tillämpliga ska de kompletteras på följande sätt: (a) den frivilliga klausulen 7 behålls, b) i klausul 9 stryks alternativ 1 och alternativ 2 behålls, c) i klausul 11 stryks det frivilliga språket, d) i klausulerna 17 och 18 är den tillämpliga lagen och de behöriga domstolarna de irländska, och e) bilagorna I och II till standardavtalsklausulerna är bilagorna I och II till denna dataskyddsavtalsöverenskommelse. Om Absolute överför kundens personuppgifter från Europa till ett land som inte erbjuder en adekvat skyddsnivå enligt EU-kommissionen för att tillhandahålla produkterna till kunden, kommer standardavtalsklausulerna att gälla.
5.3. Dataöverföringar från Storbritannien. Genom att underteckna detta dataskyddsavtal godkänner kunden och Absolute villkoren i MODUL TWO i standardavtalsklausulerna och del 2 (obligatoriska klausuler) i det internationella tillägget för dataöverföring till standardavtalsklausulerna, som finns tillgängligt på https://ico.org.uk/media/for-organisations/documents/4019483/international-data-transfer-addendum.pdf (”UK Addendum”), som härmed införlivas genom hänvisning. Om Absolute överför kundernas personuppgifter från Storbritannien till ett land som inte tillhandahåller en adekvat skyddsnivå enligt Storbritanniens beslut, gäller det brittiska tillägget.
6. California Consumer Privacy Act (lag om skydd av konsumenternas privatliv).
6.1. Överväganden. Absolute bekräftar att utbytet av kundens personuppgifter mellan kunden och Absolute inte utgör en del av någon monetär eller värdefull ersättning som utbyts mellan kunden och Absolute med avseende på Avtalet eller detta dataskyddsavtal.
6.2. Användning av kundens personuppgifter. Om inte annat är tillåtet enligt tillämplig lag, kommer Absolute inte att: (a) behålla, använda eller avslöja kundens personuppgifter i något annat syfte än att utföra de tjänster och tillhandahålla de produkter som anges i avtalet, och (b) sälja kundens personuppgifter. Utan hinder av någon bestämmelse om motsatsen i avtalet eller detta dataskyddsavtal kommer villkoren i detta dataskyddsavtal inte att gälla Absolutes behandling av kundens personuppgifter som är undantagna från dataskyddslagstiftningen, inklusive enligt Cal Civ. Kod § 1798.145(a).
7. Uppsägning och återlämnande eller radering av kundens personuppgifter
7.1. Detta avtal om skydd av personuppgifter upphör att gälla när avtalet upphör att gälla. Kunden kan begära återlämnande av kundens personuppgifter med hjälp av de funktioner eller den funktionalitet som är tillgänglig i kundens konto för de tillämpliga produkterna, eller om inga sådana funktioner eller funktionalitet är tillgängliga, kan kunden begära återlämnande av kundens personuppgifter upp till nittio (90) dagar efter det att avtalet har upphört att gälla. Om det inte krävs eller tillåts enligt tillämplig lag kommer Absolute att radera eller anonymisera alla återstående kopior av kundens personuppgifter efter att avtalet har sagts upp.
8. Begränsning av ansvarsskyldighet.
8.1. Vardera partens ansvar som uppstår till följd av eller i samband med detta avtal om skydd av personuppgifter, inklusive standardavtalsklausulerna, om tillämpligt, oavsett om det rör sig om avtal, skadestånd eller någon annan teori om ansvar, omfattas av avsnittet ”begränsning av ansvarsskyldighet” i avtalet.
9. Ogiltighet och avskiljbarhet.
9.1. Om någon bestämmelse i detta avtal om skydd av personuppgifter anses vara ogiltig eller ogenomförbar av en domstol eller ett administrativt organ med behörig jurisdiktion, påverkar inte ogiltigheten eller ogenomförbarheten av en sådan bestämmelse någon annan bestämmelse i detta avtal om skydd av personuppgifter, och alla bestämmelser som inte påverkas av en sådan ogiltighet eller ogenomförbarhet kommer att förbli giltiga i full kraft och verkan.
BILAGA I.
- LISTA ÖVER PARTER (MODUL 2: Överföringsenhet till personuppgiftsbiträde)
Dataexportör(er): Kund.
Kunden kan i egenskap av registeransvarig välja att överföra uppgifter till Absolute i samband med mottagandet av de produkter och tjänster som anges i det tillämpliga beställningsformuläret. Kundens namn, kontaktuppgifter och underskrift anges i det tillämpliga beställningsformuläret eller i kundens konto för produkterna och tjänsterna.
Dataimportör(er): Absolute
Absolute, i egenskap av personuppgiftsbiträde, behandlar uppgifter som mottagits från kunden i samband med tillhandahållandet av de produkter och tjänster som anges i det tillämpliga beställningsformuläret.
Adress: Suite 1400, Four Bentall Centre, 1055 Dunsmuir Street, Vancouver, B.C. Kanada, V7X 1K8
Kontakt: [email protected]
- BESKRIVNING AV ÖVERFÖRING (MODUL TWO: Överföringsenhet till personuppgiftsbiträde)
Kategorier av registrerade vars personuppgifter överförs i samband med produkterna och tjänsterna:
# | Kategori |
1 | Kundens användare av slutpunktsenheter. |
2 | Kundens administrativa personal som ansvarar för underhållet av kundens konto via värdtjänsten. |
Kategorier av personuppgifter som överförs i samband med Absolute-tjänsterna:
# | Kategori |
1 | I tillämpliga fall, information om slutpunktsenheter, inklusive datormärke och -modell, datorserienummer, systemets bios-version, datorns namn, information om operativsystemet, hårddiskens serienummer, hårddiskmodell, revidering av hårddiskens inbyggda programvara, batterienhetens ID, datorns UUID, gatewaysträngar, RAM-serienummer, MAC-adress, NIC-adapterns namn, IP-adress, enhetens plats och information om enhetens användning. |
Kontoinformation för värdtjänsten, inklusive namn, kontaktinformation och inloggningsuppgifter. |
Kategorier av känsliga uppgifter som överförs i samband med produkterna och tjänsterna:
# | Kategori |
1 | Ingen. |
Behandlingens frekvens och karaktär:
Uppgifterna överförs kontinuerligt. De personuppgifter som överförs kommer att behandlas på följande sätt.
- för att tillhandahålla produkterna och tjänsterna, inklusive lagring av data för produkterna och tjänsterna;
- för att lösa tekniska eller administrativa problem, fakturering och ”Invoice” och för att på annat sätt uppfylla sina egna rättsliga skyldigheter; och
- för att optimera och förbättra produkterna och tjänsterna och andra affärsändamål som beskrivs i dataskyddsförordningen.
Syfte med överföringen och den fortsatta behandlingen av uppgifterna.
Syftet med dataöverföringen är att tillhandahålla produkterna och tjänsterna.
Lagringsperiod.
Olika lagringsperioder för uppgifter gäller beroende på vilken tjänst som är tillämpad. När Absolute fastställer den specifika lagringsperioden tar Absolute hänsyn till olika faktorer, t.ex. den typ av tjänst som tillhandahålls kunden, karaktären och längden på vår relation med kunden samt obligatoriska lagringsperioder enligt lag och preskriptionstider.
Överföringar till (under)biträden.
De beskrivningar som anges ovan i detta avsnitt B gäller för uppgifter som överförs till underbiträden.
- KOMPETENT ÖVERVAKNINGSMYNDIGHET (MODUL 2: Överföringsenhet till personuppgiftsbiträde)
Den behöriga tillsynsmyndigheten enligt kundens definition.
BILAGA II
TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER, INKLUSIVE TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER FÖR ATT GARANTERA UPPGIFTERNAS SÄKERHET.
Område
|
Praktiker |
Organisation för informationssäkerhet | · Absolute har ett team som arbetar med informationssäkerhet.
· Programmet för informationssäkerhet stöds av ”Absolute Executive Team”. · Absolutes ledning publicerar en godkänd informationssäkerhetspolicy. |
Personalresurser Säkerhet | · Utför bakgrundskontroller av personalen före anställning.
· Genomför regelbunden utbildning i informationssäkerhet. |
Fysisk och miljömässig säkerhet | · Endast auktoriserade användare har fysisk tillgång till kundernas databehandlingscenter.
· Använder datacenter och värdleverantörer med fysiska och miljömässiga kontroller. |
Kommunikation och verksamhetsstyrning. | · Kryptera kunduppgifter under överföring och i vila.
· Implementera nätverksskydd inklusive brandväggar, VPN, IDS och om möjligt IPS. |
Kontroll av tillgång. | · Minsta möjliga huvudtillträde till nätverk och system.
· Kräva MFA för fjärråtkomst. |
Hantering av incidenter inom informationssäkerheten. | · Implementera ett formaliserat program för svar på säkerhets- och integritetsincidenter. |
Säkerhetsåtgärder. | · Årlig penetrationstestning.
· Löpande sårbarhetshantering. · Kontroller för att upptäcka och förhindra skadlig programvara. · Generera och övervaka information från händelseloggen. |
Förvaltning av verksamhetens kontinuitet. | · Upprätthåller BCP- och DR-planer för att stödja den fortsatta verksamheten.
· Testar planerna minst en gång per år. |
Hantering av tredjepartsleverantörer. | · Ha ett program för tredjepartsleverantörer för att granska, bedöma och övervaka tredjepartsleverantörers säkerhets- och sekretesskontroller. |
Systemutveckling. | · Utbilda utvecklare i säker kodning.
· Implementera säkerhetstester som en del av SDLC. · Separata utvecklings-, test- och produktionsmiljöer. |