Inviter AS DPA

Inviter AS databehandlingsaftale

Sidst ændret: 03.09.2020

This Invite AS Data Processing Agreement (“DPA”), that includes the Standard Contractual Clauses adopted by the European Commission, as applicable, reflects the parties’ agreement with respect to the terms governing the Processing of Personal Data under the Invite AS Customer Terms of Service (the “Agreement”). This DPA is an amendment to the Agreement and is effective upon its incorporation into the Agreement, which incorporation may be specified in the Agreement, an Order or an executed amendment to the Agreement. Upon its incorporation into the Agreement, the DPA will form a part of the Agreement.

Løbetiden for denne DPA følger aftalens løbetid. Vilkår, der ikke er defineret heri, har den betydning, der er beskrevet i aftalen.

DENNE DPA INKLUDERER:

i) Standardkontraktbestemmelser, der er knyttet som BILAG 1.

a) Tillæg 1 til standardkontraktbestemmelserne, som indeholder specifikke oplysninger om de personoplysninger, som dataeksportøren overfører til dataimportøren.

b) Tillæg 2 til standardkontraktbestemmelserne, som indeholder en beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, som dataimportøren har gennemført som reference.

(ii) Liste over underbehandlere, der er vedlagt som BILAG 2.

1. Definitioner

" Applikationer " betyder de systemplatforme, som Invite AS leverer til vores kunde til brug. Det inkluderer også alle gratis tjenester, vi kan levere. Pr. 23.05.2018 er de to applikationer, som Invite AS tilbyder, CupManager og Superinvite, inklusive enhver API mellem de to applikationer.

"Registeransvarlig":den fysiske eller juridiske person, offentlige myndighed, agentur eller andet organ, som alene eller sammen med andre fastlægger formålet med og midlerne til behandling af personoplysninger.

“Customer” – Customer are the legal entity or person who are using the applications for the purpose of the handling the event or registration process. The Customer is not the end-person paying for any event.

"databeskyttelseslov":al gældende lovgivning vedrørende databeskyttelse og privatlivets fred, herunder, men ikke begrænset til, EU's databeskyttelsesdirektiv 95/46/EF og alle lokale love og bestemmelser, der ændrer eller erstatter en af dem, herunder GDPR, sammen med eventuelle nationale gennemførelseslove i enhver EU-medlemsstat eller, i det omfang det er relevant, i et andet land, som ændret, ophæver, konsolideres eller erstattes fra tid til anden. Udtrykkene "proces", "processer" og "forarbejdet" vil blive fortolket i overensstemmelse hermed.

"Den registrerede"betyder den person, som personoplysninger vedrører.

"GDPR": Europa-Parlamentets og Rådets generelle forordning om databeskyttelse (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.

"Instruktion": skriftlig, dokumenteret instruktion, der er udstedt af dataansvarlig til databehandler, og som instruerer det samme om at udføre en specifik handling med hensyn til personoplysninger (herunder, men ikke begrænset til, depersonalisering, blokering, sletning, til rådighed).

"Personoplysninger": alle oplysninger vedrørende en identificeret eller identificerbar person, hvor sådanne oplysninger er indeholdt i kundedata og på samme måde er beskyttet som personoplysninger eller personligt identificerbare oplysninger i henhold til gældende databeskyttelseslov

"Brudpå persondatasikkerheden":et brud på sikkerheden, der fører til utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der overføres, lagres eller på anden måde behandles.

"Behandling": enhver operation eller et sæt operationer, der udføres på personoplysninger, og som omfatter indsamling, registrering, organisation, strukturering, opbevaring, tilpasning eller ændring, genfinding, konsultation, brug, videregivelse ved overførsel, formidling eller på anden måde tilrådelse, tilpasning eller kombination, begrænsning eller sletning af personoplysninger.

"Databehandler": en fysisk eller juridisk person, offentlig myndighed, agentur eller andet organ, der behandler personoplysninger på vegne af den registeransvarlige.

Ved "standardkontraktbestemmelser" forstås de klausuler, der er knyttet som bilag 1 i henhold til Europa-Kommissionens beslutning (K(2010)593) af 5.

2. Detaljer om behandlingen

A... Kategorier af registrerede. Controllerens medlemmer og andre slutbrugere, herunder controllerens kunder og deltagere i begivenheder arrangeret af controlleren. De registrerede omfatter også personer, der forsøger at kommunikere med eller overføre personoplysninger til den registeransvarliges slutbrugere. Dig som kunde hos Inviter AS.

b. Typer af personoplysninger. Deltager-/kundeoplysninger, der er nødvendige for, at den Dataansvarlige kan gennemføre hændelsen, i det omfang det bestemmes og kontrolleres af Kunden efter eget skøn. Købsoplysninger, deltagelsesoplysninger, begivenhedsresultat og statistikoplysninger. Særlige kategorier af personoplysninger, såsom oplysninger om handicapsituationer for deltageren, for at den dataansvarlige kan håndtere omstændighederne på en korrekt og respektfuld måde. Data placeret på sociale medier og tredjeparts sociale medier. Andre elektroniske data, der indsendes, lagres, sendes eller modtages af slutbrugere via Inviter AS-ansøgninger. Vi indsamler også oplysninger om vores forhold til dig som vores kunde, såsom kontaktoplysninger, support logfiler og andre data, vi har brug for for at levere et tilfredsstillende support niveau.

c. Forarbejdningens genstand og art. Emnet for databehandlerens behandling af personoplysninger er leveringen af de tjenester til den dataansvarlige, der involverer behandling af personoplysninger. Personoplysninger vil være underlagt de behandlingsaktiviteter, der kan specificeres i aftalen.

d. Formålet med behandlingen. Personoplysninger vil blive behandlet med henblik på at levere tjenesterne gennem Inviter AS-applikationer, der er angivet og på anden måde aftalt i aftalen.

E... Behandlingens varighed. Personoplysninger vil blive behandlet i aftalens løbetid, jf. afsnit 4 i denne DPA.

3. Kundeansvar

Inden for aftalens anvendelsesområde og i brugen af tjenesterne er den registeransvarlige eneansvarlig for at overholde de lovbestemte krav vedrørende databeskyttelse og privatlivets fred, navnlig med hensyn til videregivelse og overførsel af personoplysninger til databehandleren og behandling af personoplysninger. For at undgå tvivl skal den registeransvarliges anvisninger for behandling af personoplysninger være i overensstemmelse med databeskyttelsesloven. Denne DPA er kundens komplette og endelige instruktion om at invitere AS i forbindelse med personoplysninger, og at yderligere instruktioner uden for DPA's anvendelsesområde ville kræve forudgående skriftlig aftale mellem parterne. Instruktionerne skal i første omgang specificeres i aftalen, og maj, fra tid til anden, ændres, forstærkes eller erstattes af en registeransvarlig i separate skriftlige instrukser (som individuelle instruktioner).

Den dataansvarlige skal uden unødig forsinkelse og grundigt informere Processor om eventuelle fejl eller uregelmæssigheder i forbindelse med lovbestemte bestemmelser om behandling af personoplysninger.

4. Processorens forpligtelser

A... Overholdelse af instruktioner. Parterne anerkender og accepterer, at kunden er dataansvarlig og Inviter AS er databehandler af disse data. Databehandleren må kun indsamle, behandle og anvende personoplysninger inden for rammerne af den registeransvarliges anvisninger. Hvis databehandleren mener, at en instruks fra den registeransvarlige overtrædes databeskyttelsesloven, skal den straks underrette den registeransvarlige herom. Hvis databehandleren ikke kan behandle personoplysninger i overensstemmelse med instruktionerne på grund af et lovkrav i henhold til gældende EU- eller medlemsstat lovgivning, vil databehandleren (i) straks underrette den registeransvarlige om dette lovkrav, inden den relevante behandling i det omfang, den er blevet afskediget i henhold til databeskyttelsesloven og (ii) ophøre med al behandling (bortset fra blot at gemme og vedligeholde sikkerheden for de berørte personoplysninger), indtil den registeransvarlige udsteder nye instruktioner, som databehandleren er i stand til at overholde. Hvis denne bestemmelse påberåbes, er processoren ikke ansvarlig over for den dataansvarlige i henhold til aftalen for manglende udførelse af de relevante tjenester, før den dataansvarlige udsteder nye instruktioner vedrørende behandlingen.

b. Security.Processor skal træffe passende tekniske og organisatoriske foranstaltninger for i tilstrækkelig grad at beskytte personoplysninger mod utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er beskrevet i tillæg 2 til standardkontraktbestemmelserne. Sådanne foranstaltninger omfatter, men er ikke begrænset til:

jeg. forhindring af uautoriserede personer i at få adgang til systemer til behandling af personoplysninger (fysisk adgangskontrol)

ii. forhindring af, at personlige databehandlingssystemer bruges uden tilladelse (logisk adgangskontrol)

iii. at sikre, at personer, der er berettiget til at bruge et databehandlingssystem, kun får adgang til sådanne personoplysninger, som de har ret til at få adgang til i overensstemmelse med deres adgangsrettigheder, og at personoplysninger under behandling eller brug og efter lagring ikke kan læses , kopieret, ændret eller slettet uden tilladelse (dataadgangskontrol),

iv. at sikre, at personoplysninger ikke kan læses, kopieres, ændres eller slettes uden tilladelse under elektronisk transmission, transport eller lagring på lagringsmedier, og at målenhederne for enhver overførsel af personoplysninger ved hjælp af datatransmissionsfaciliteter kan etableres og verificeres (data overførselskontrol),

v. at sikre oprettelsen af et revisionsspor til dokumentation af, om og af hvem personoplysninger er blevet indgået, ændret i eller fjernet fra personlige databehandlingssystemer (adgangskontrol)

vi. at sikre, at personoplysninger behandles udelukkende i overensstemmelse med instruktionerne (kontrol af instruktioner),

vii. at sikre, at personlige data er beskyttet mod utilsigtet ødelæggelse eller tab (tilgængelighedskontrol).

Efter anmodning fra den registeransvarlige skal databehandleren levere et aktuelt program til beskyttelse af personoplysninger og sikkerhed i forbindelse med behandlingen i det følgende.

Databehandleren vil gøre det lettere for den registeransvarlige at overholde den registeransvarliges forpligtelse til at gennemføre sikkerhedsforanstaltninger med hensyn til personoplysninger (herunder i givet fald den registeransvarliges forpligtelser i henhold til ARTIKEL 32-34 (inklusive) GDPR) ved (i) at gennemføre og opretholde de sikkerhedsforanstaltninger, der er beskrevet i tillæg 2, ii) i overensstemmelse med bestemmelserne i afsnit 4.4 (brud på persondatasikkerheden) og iii) at give den registeransvarlige oplysninger om behandlingen i overensstemmelse med afdeling 5 (revisioner).

c. Fortrolighed.  Alt personale, som Processor bemyndiger til at behandle personoplysninger på deres vegne, er underlagt fortrolighedsforpligtelser i forbindelse med disse personoplysninger. Tilsagnet om fortrolighed fortsætter efter afslutningen af ovennævnte aktiviteter.

d. Brud på persondatasikkerheden. Processoren underretter den registeransvarlige, så snart det er praktisk muligt, efter at den bliver opmærksom på et hvilket som helst brud på persondatasikkerheden, der påvirker personoplysninger. På den registeransvarliges anmodning vil databehandleren straks yde den registeransvarlige al den nødvendige bistand, så den registeransvarlige kan anmelde relevante brud på persondatasikkerheden til kompetente myndigheder og/eller berørte registrerede, hvis den registeransvarlige er forpligtet til at gøre det i henhold til databeskyttelsesloven.

e. Anmodninger om registrerede. Databehandleren yder rimelig bistand, herunder ved passende tekniske og organisatoriske foranstaltninger og tager hensyn til behandlingens art, for at gøre det muligt for den registeransvarlige at besvare enhver anmodning fra registrerede, der ønsker at udøve deres rettigheder i henhold til databeskyttelsesloven med hensyn til personoplysninger (herunder adgang, berigtigelse, begrænsning, sletning eller overførsel af personoplysninger , alt efter hvad der er relevant), i det omfang loven fastsætter det.  Hvis en sådan anmodning fremsættes direkte til processoren, vil processoren straks informere den dataansvarlige og råde de registrerede til at indsende deres anmodning til den registeransvarlige. Den registeransvarlige bør være eneansvarlig for at besvare eventuelle registreredes anmodninger. Den registeransvarlige godtgør forarbejdningsvirksomheden for de omkostninger, der er forbundet med denne støtte.

f.underprocessorer. Processoren bør være berettiget til at engagere underbehandlere til kun at opfylde processorens forpligtelser, der er defineret i aftalen, med den registeransvarliges skriftlige samtykke.  Til dette formål giver controlleren sit samtykke til engagementet som underbehandlere af processorens tilknyttede virksomheder og de tredjeparter, der er opført i bilag 2. For at undgå tvivl udgør ovennævnte tilladelse den registeransvarliges forudgående skriftlige samtykke til forarbejdningsvirksomhedens underbehandling i henhold til § 11 i standardkontraktbestemmelserne.

Hvis processoren har til hensigt at instruere andre underbehandlere end de virksomheder, der er anført i bilag 2, vil processoren underrette den registeransvarlige herom skriftligt (e-mail til den eller de e-mail-adresser, der er registreret i processorens kontooplysninger for controlleren, er tilstrækkelig) og vil give den registeransvarlige mulighed for at gøre indsigelse mod de nye underprocessorers engagement inden for 30 dage efter at være blevet underrettet. Indsigelsen skal være baseret på rimelige grunde (f.eks. hvis den registeransvarlige beviser, at der er betydelige risici for beskyttelsen af dens personoplysninger hos underbehandleren). Hvis processoren og den registeransvarlige ikke er i stand til at løse en sådan indsigelse, kan hver af parterne opsige aftalen ved skriftlig meddelelse til den anden part. Den registeransvarlige bør modtage en refusion af eventuelle forudbetalte, men ubrugte gebyrer for perioden efter den faktiske dato for opsigelsen.

Hvor Processor engagerer underprocessorer, indgår Processor en kontrakt med underprocessoren, der pålægger underprocessoren de samme forpligtelser, der gælder for Processor i henhold til denne DPA. Hvis underbehandleren ikke opfylder sine databeskyttelsesforpligtelser, vil databehandleren forblive ansvarlig over for den dataansvarlige for opfyldelsen af sådanne underforarbejdningsforpligtelser.

Hvis en underbehandler ansættes, skal den registeransvarlige have ret til efter skriftlig anmodning at overvåge og inspicere underbehandlerens aktiviteter i overensstemmelse med denne DPA og databeskyttelsesloven, herunder efter skriftlig anmodning indhente oplysninger fra registerføreren om kontraktens indhold og gennemførelsen af databeskyttelsesforpligtelserne i henhold til underbehandlerkontrakten. , om nødvendigt ved at kontrollere de relevante udbudsbetingelser.

Bestemmelserne i dette afsnit 4.6 finder gensidig anvendelse, hvis databehandleren beskæftiger en underbehandler i et land uden for Det Europæiske Økonomiske Samarbejdsområde ("EØS"), der ikke af Europa-Kommissionen anerkendes som værende tilstrækkeligt beskyttelsesniveau for personoplysninger.  Hvis Inviter AS i forbindelse med udførelsen af denne DPA overfører personoplysninger til en underbehandler uden for EØS, skal Inviter AS forud for en sådan overførsel sikre, at der findes en retlig mekanisme til at opnå tilstrækkelighed i forbindelse med den pågældende behandling.

Vs..  Dataoverførsler. Den registeransvarlige anerkender og accepterer, at personoplysninger i forbindelse med udførelsen af tjenesterne i henhold til aftalen vil blive overført til Inviter AS i EU-regionen. Inviter AS, har certificeret til EU-USA og Schweiz-USA Privacy Shield Frameworks med henblik på at gennemføre passende sikkerhedsforanstaltninger for sådanne overførsler i henhold til artikel 46 i GDPR. Standardkontraktbestemmelserne på bilag 1 gælder for personoplysninger, der overføres uden for EØS, enten direkte eller via videre overførsel, til ethvert land, der ikke er anerkendt af Europa-Kommissionen som et tilstrækkeligt beskyttelsesniveau for personoplysninger (som beskrevet i databeskyttelsesloven).

H... Sletning eller hentning af personoplysninger. Bortset fra i det omfang, det kræves for at overholde databeskyttelsesloven, vil databehandleren efter aftalens ophør eller udløb slette alle personoplysninger (herunder kopier heraf), der behandles i henhold til denne DPA. Hvis databehandleren af tekniske eller andre årsager ikke kan slette personoplysninger, vil databehandleren anvende foranstaltninger for at sikre, at personoplysninger blokeres fra yderligere behandling.

Den registeransvarlige skal efter opsigelsen eller udløbet af aftalen og ved udstedelse af en instruktion inden for en tidsperiode, der er fastsat af databehandleren, fastsætte de rimelige foranstaltninger til at returnere data eller til at slette lagrede data. Eventuelle yderligere omkostninger, der opstår i forbindelse med returnering eller sletning af personoplysninger efter opsigelsen eller udløbet af aftalen, afholdes af den registeransvarlige.

5. Revisioner

Controller kan, inden behandlingen påbegyndes, og med regelmæssige mellemrum derefter revidere de tekniske og organisatoriske forholdsregler, der er truffet af Processor.

Til et sådant formål kan controller f.eks.

• indhente oplysninger fra processoren,
• anmode databehandler om at forelægge en eksisterende attest eller certifikat til en controller fra en uafhængig professionel ekspert eller
• efter rimelig og rettidig forhåndsaftale, inden for normal åbningstid og uden at afbryde processorens forretningsaktiviteter, foretage en inspektion på stedet af processorens forretningsaktiviteter eller lade det samme udføres af en kvalificeret tredjepart, som ikke bør være konkurrent til forarbejdningsvirksomheden.

Registerføreren skal efter skriftlig anmodning fra den registeransvarlige og inden for en rimelig frist give den registeransvarlige alle de oplysninger, der er nødvendige for en sådan revision, i det omfang disse oplysninger er under forarbejdningsvirksomhedens kontrol, og forarbejdningsvirksomheden ikke er afskåret fra at videregive dem i henhold til gældende lovgivning, tavshedspligt eller andre forpligtelser, der påhviler tredjemand.

6. Generelle bestemmelser

Med hensyn til opdateringer og ændringer af denne DPA, de vilkår, der gælder i "Ændring; Der gælder ingen dispensation" i afsnittet "Diverse" i aftalen.

I tilfælde af konflikt har denne DPA forrang for aftalens regler. Hvor individuelle bestemmelser i denne DPA er ugyldige eller ikke kan håndhæves, påvirkes gyldigheden og håndhævelsen af de andre bestemmelser i denne DPA ikke.

Efter inkorporeringen af denne DPA i aftalen er de parter, der er angivet i afsnit 7 nedenfor (parter i denne DPA), enige om standardkontraktbestemmelserne (hvor og hvor det er relevant) og alle vedhæftede bilag. I tilfælde af konflikt eller uoverensstemmelse mellem denne DPA og standardkontraktbestemmelserne i bilag 1, har standardkontraktbestemmelserne forrang.

Med virkning fra den 25. maj 2018 vil Inviter AS behandle personoplysninger i overensstemmelse med GDPR-kravene heri, som er direkte anvendelige til Inviter AS's levering af ansøgningerne.

7. Parter i denne DPA

Denne DPA er en ændring af og indgår i aftalen.  Når denne DPA er indarbejdet i aftalen i) er den registeransvarlige og den enhed, der er parter i aftalen, og den enhed, der hver især er part i aftalen, også part i denne DPA, og (ii) i det omfang Inviter AS ikke er part i aftalen, er Invite AS part i denne DPA, men kun med hensyn til at aftale de standardkontraktbestemmelser i DPA , dette afsnit 7 i DPA og til selve standardkontraktbestemmelserne.

Hvis Inviter AS, ikke er part i aftalen, gælder afsnittet i aftalen med titlen "Ansvarsbegrænsning" mellem controller og Inviter AS, og i den forbindelse skal henvisninger til 'Inviter AS', 'vi', 'os' eller 'vores' omfatte både Inviter AS og Inviter AS-enhed, der er part i aftalen.

Den juridiske enhed, der accepterer denne DPA som controller, erklærer, at den er autoriseret til at acceptere og indgå denne DPA for og accepterer denne DPA udelukkende på vegne af den dataansvarlige.

UDSTILLING 1

Standard kontraktlige klausuler (processorer)

Med henblik på artikel 26, stk. 2, i direktiv 95/46 / EF til overførsel af personoplysninger til databehandlere, der er etableret i tredjelande, som ikke sikrer et tilstrækkeligt databeskyttelsesniveau

Kunden som defineret i servicebetingelserne for Inviter as-kunder ("dataeksportøren")

Og

Invite AS, Hovinveien 43 B Oslo (the “data importer”),

hver part sammen »parterne«

ER BLEVET ENIGE OM følgende kontraktlige klausuler (klausulerne) for at tilføre passende garantier med hensyn til beskyttelse af privatlivets fred og grundlæggende rettigheder og friheder for enkeltpersoner til dataeksportørens overførsel til dataimportøren af de personoplysninger, der er specificeret i tillæg 1 .

Klausul 1

Definitioner

Med henblik på bestemmelserne:

a) »personoplysninger«, »særlige kategorier af oplysninger«, »behandling«, »registeransvarlig«, »registerfører«, »registrerede« og »tilsynsmyndighed«, har samme betydning som i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24.

b) »dataeksportøren«: den registeransvarlige, der overfører personoplysningerne

c) »dataimportøren«: den databehandler, der indvilliger i fra dataeksportøren at modtage personoplysninger, der er bestemt til behandling på dennes vegne efter overførslen i overensstemmelse med dennes instrukser og bestemmelserne i klausulerne, og som ikke er omfattet af et tredjelands system, der sikrer tilstrækkelig beskyttelse som omhandlet i artikel 25, stk. 1, i direktiv 95/46/EF

d) »underprocessoren«: enhver databehandler, der er involveret i dataimporten eller af enhver anden underprocessor af dataimporten, og som indvilliger i at modtage personoplysninger, der udelukkende er bestemt til behandling af aktiviteter, der skal udføres på vegne af dataeksportøren efter overførslen i overensstemmelse med dennes instrukser, fra dataimporten eller fra en anden underprocessor , betingelserne i klausulerne og betingelserne i den skriftlige underleverance

e) »gældende databeskyttelseslovgivning«: lovgivning, der beskytter enkeltpersoners grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til privatlivets fred i forbindelse med behandling af personoplysninger, der gælder for en registeransvarlig i den medlemsstat, hvor dataeksportøren er etableret

f) »tekniske og organisatoriske sikkerhedsforanstaltninger«: foranstaltninger til beskyttelse af personoplysninger mod hændelige eller ulovlige ødelæggelser eller hændelige tab, ændringer, uautoriseret videregivelse eller adgang, navnlig når behandlingen indebærer overførsel af oplysninger via et net og mod alle andre ulovlige former for behandling.

Klausul 2

Detaljer om overførslen

Detaljerne i overførslen og især de særlige kategorier af personoplysninger, hvor det er relevant, er specificeret i tillæg 1, som udgør en integreret del af klausulerne.

Klausul 3

Tredjeparts modtagerklausul

1. Den registrerede kan over for denne eksportør håndhæve denne klausul, klausul 4 (b) til (i), klausul 5 (a) til (e) og (g) til (j), klausul 6 (1) og (2) , Pkt. 7, pkt. 8 (2) og pkt. 9 til 12 som tredjepartsmodtager.
2. Den registrerede kan over for dataimportøren håndhæve denne klausul, klausul 5 (a) til (e) og (g), klausul 6, klausul 7, klausul 8 (2) og klausul 9 til 12, i tilfælde hvor dataeksportøren faktisk er forsvundet eller ophørt med at eksistere i loven, medmindre en efterfølgende enhed har påtaget sig hele juridiske forpligtelser for dataeksportøren ved kontrakt eller ved lovdrift, hvilket resulterer i, at den påtager sig dataeksportørens rettigheder og forpligtelser, i i hvilket tilfælde den registrerede kan håndhæve dem over for en sådan enhed.
3. Den registrerede kan overføre denne klausul, klausul 5 (a) til (e) og (g), klausul 6, klausul 7, klausul 8 (2) og klausul 9 til 12 over for underprocessoren, i tilfælde hvor begge dataeksportøren og dataimportøren faktisk er forsvundet eller ophørt med at eksistere i loven eller er blevet insolvent, medmindre en efterfølgende enhed har påtaget sig hele den juridiske forpligtelse for dataeksportøren ved kontrakt eller ved lovdrift, som et resultat af, at den overtager rettighederne og dataeksportørens forpligtelser, i hvilket tilfælde den registrerede kan håndhæve dem over for en sådan enhed. Sådanne tredjepartsansvar for underprocessoren er begrænset til dens egne behandlingsoperationer i henhold til klausulerne.
4. Parterne modsætter sig ikke, at en registreret repræsenteres af en forening eller et andet organ, hvis den registrerede udtrykkeligt ønsker det, og hvis det er tilladt i henhold til national lovgivning.

Klausul 4

Dataeksportørens forpligtelser

Dataeksportøren accepterer og garanterer:

(a) at behandlingen, herunder selve overførslen af personoplysningerne, er og vil fortsat blive udført i overensstemmelse med de relevante bestemmelser i den gældende databeskyttelseslov (og, hvor det er relevant, er blevet underrettet til de relevante myndigheder i den medlemsstat, hvor dataeksportøren er etableret) og ikke overtræder de relevante bestemmelser i denne stat

b) at den har instrueret, og at den i hele den periode, hvor persondatabehandlingstjenesterne er i gang, vil pålægge dataimporten kun at behandle de overførte personoplysninger på eksportørens vegne og i overensstemmelse med gældende databeskyttelseslovgivning og klausulerne

(c) at dataimportøren vil give tilstrækkelige garantier med hensyn til de tekniske og organisatoriske sikkerhedsforanstaltninger, der er specificeret i tillæg 2 til denne kontrakt

d) at sikkerhedsforanstaltningerne efter vurdering af kravene i den gældende databeskyttelseslovgivning er passende til at beskytte personoplysninger mod utilsigtet eller ulovlig destruktion eller utilsigtet tab, ændring, uautoriseret videregivelse eller adgang, især når behandlingen indebærer transmission af data over et netværk og mod alle andre ulovlige former for behandling, og at disse foranstaltninger sikrer et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen, og arten af de data, der skal beskyttes under hensyntagen til den aktuelle teknik og omkostninger ved deres gennemførelse

e) at det vil sikre overholdelse af sikkerhedsforanstaltningerne

f) at, hvis overførslen indebærer særlige kategorier af data, er den registrerede blevet informeret eller vil blive informeret før eller så hurtigt som muligt efter, overførslen om, at dens data kunne overføres til et tredjeland, der ikke yder tilstrækkelig beskyttelse inden for betydningen af direktiv 95/46 / EF

(g) at videresende enhver meddelelse modtaget fra dataimportøren eller en underprocessor i henhold til paragraf 5 (b) og § 8, stk. 3, til databeskyttelsesmyndigheden, hvis dataeksportøren beslutter at fortsætte overførslen eller ophæve suspensionen

(h) at stille til rådighed for de registrerede efter anmodning en kopi af klausulerne med undtagelse af bilag 2 og en sammenfattende beskrivelse af sikkerhedsforanstaltningerne samt en kopi af enhver kontrakt for underforarbejdningstjenester, der skal foretages i overensstemmelse med klausulerne, medmindre klausulerne eller kontrakten indeholder kommerciel information, i hvilket tilfælde den kan fjerne sådan kommerciel information;

(i) at behandlingsaktiviteten i tilfælde af underbehandling udføres i overensstemmelse med pkt. 11 af en underprocessor, der giver mindst det samme niveau for beskyttelse af personoplysninger og den registreredes rettigheder som dataimportøren i henhold til klausulerne ; og

(j) at det vil sikre overholdelse af paragraf 4 (a) til (i).

Klausul 5

Dataimportørens forpligtelser

Dataimportøren accepterer og garanterer:

(a) kun at behandle personoplysningerne på dataeksportørens vegne og i overensstemmelse med dens instruktioner og klausuler hvis det af en eller anden grund ikke kan levere en sådan overholdelse, accepterer det straks at informere dataeksportøren om dets manglende evne til at overholde, i hvilket tilfælde dataeksportøren har ret til at suspendere overførslen af data og / eller opsige kontrakten

b) at den ikke har nogen grund til at tro, at den gældende lovgivning forhindrer den i at overholde de modtagne instruktioner fra dataeksportøren og dens forpligtelser i henhold til kontrakten, og at der i tilfælde af en ændring i denne lovgivning, som sandsynligvis vil have en væsentlig negativ indvirkning på garantierne og forpligtelserne i klausulerne, vil den straks underrette ændringen til dataeksportøren, så snart den er opmærksom, i hvilket tilfælde dataeksportøren har ret til at suspendere overførslen af data og / eller opsige kontrakten ;

(c) at det har implementeret de tekniske og organisatoriske sikkerhedsforanstaltninger, der er specificeret i tillæg 2, før de overførte personoplysninger behandles

d) at den straks underretter dataeksportøren om:

(i) enhver juridisk bindende anmodning om videregivelse af personoplysninger af en retshåndhævende myndighed, medmindre andet er forbudt, såsom et forbud efter straffeloven for at bevare fortroligheden af en retshåndhævelsesundersøgelse

(ii) enhver utilsigtet eller uautoriseret adgang og

(iii) enhver anmodning, der modtages direkte fra de registrerede uden at svare på denne anmodning, medmindre den er blevet bemyndiget på anden måde

(e) at behandle hurtigt og korrekt alle henvendelser fra dataeksportøren vedrørende dens behandling af de personoplysninger, der er genstand for overførslen, og at overholde rådgivningen fra tilsynsmyndigheden med hensyn til behandlingen af de overførte data

f) på dataeksportørens anmodning om at indsende sine databehandlingsfaciliteter til revision af de behandlingsaktiviteter, der er omfattet af klausulerne, og som skal udføres af dataeksportøren eller et inspektionsorgan bestående af uafhængige medlemmer og i besiddelse af det krævede faglige kvalifikationer bundet af en tavshedspligt, valgt af dataeksportøren, hvor det er relevant, efter aftale med tilsynsmyndigheden

(g) at stille en kopi af klausulerne eller enhver eksisterende kontrakt til underforarbejdning til rådighed for den registrerede, medmindre klausulerne eller kontrakten indeholder kommercielle oplysninger, i hvilket tilfælde den kan fjerne sådanne kommercielle oplysninger med undtagelse af tillæg 2 som erstattes af en sammenfattende beskrivelse af sikkerhedsforanstaltningerne i de tilfælde, hvor den registrerede ikke er i stand til at få en kopi fra dataeksportøren

h) at den i tilfælde af underbehandling tidligere har underrettet dataeksportøren og opnået sit forudgående skriftlige samtykke

i) at underforarbejdningsvirksomhedens behandling vil blive udført i overensstemmelse med § 11

(j) straks at sende en kopi af enhver underbehandlingsaftale, den indgår i henhold til klausulerne, til dataeksportøren.

Klausul 6

Ansvar

1. Parterne er enige om, at enhver registreret, der har lidt skade som følge af enhver overtrædelse af forpligtelserne, der er nævnt i pkt. 3 eller i pkt. 11, af en part eller underprocessor, er berettiget til at modtage erstatning fra dataeksportøren for den lidte skade.
2. Hvis en offentligt ansat ikke er i stand til at indgive et erstatningskrav i henhold til stk. 1 mod dataeksportøren som følge af, at dataimporten eller dennes underleverandør har misligholdt nogen af de forpligtelser, der er omhandlet i § 3 eller § 11, fordi dataeksportøren faktuelt er forsvundet eller er ophørt med at eksistere i lovgivningen eller er blevet insolvent , accepterer dataimporten, at den registrerede kan udstede et krav mod dataimporten, som om det var dataeksportøren, medmindre en efterfølgende enhed har påtaget sig alle de retlige forpligtelser, som dataeksportøren har påtaget sig ved lov, i hvilket tilfælde den registrerede kan håndhæve sine rettigheder over for en sådan enhed.
   Dataimporten kan ikke påberåbe sig en underleverandørs misligholdelse af sine forpligtelser for at undgå sine egne forpligtelser.
3. Hvis en registreret ikke er i stand til at fremsætte et krav over for den dataeksportør eller den dataimportør, der er nævnt i stk. 1 og 2, som følge af underprocessorens misligholdelse af nogen af deres forpligtelser, der er nævnt i klausul 3 eller i klausul 11, fordi både dataeksportøren og dataimportøren faktisk er forsvundet eller ophørt med at eksistere i loven eller er blevet insolvent, er underprocessoren indforstået med, at den registrerede kan fremsætte et krav over for underunderbehandleren med hensyn til sin egen behandlingsoperation i henhold til klausulerne, som om den var dataeksportøren eller dataimportøren, medmindre nogen efterfølgende enhed har påtaget sig hele juridiske forpligtelser for dataeksportøren eller dataimportøren ved kontrakt eller ved lov, i hvilket tilfælde den registrerede kan håndhæve sine rettigheder over for en sådan enhed. Underprocessorens erstatningsansvar er begrænset til dets egne behandlingsoperationer i henhold til klausulerne.

Punkt 7

Mægling og jurisdiktion

1. Dataimportøren accepterer, at hvis den registrerede påberåber sig tredjemands begunstigede rettigheder og / eller hævder erstatning for skader i henhold til klausulerne, vil den dataimportør acceptere den registreredes beslutning:

a) at henvise tvisten til mægling af en uafhængig person eller i givet fald af tilsynsmyndigheden

(b) at henvise tvisten til domstolene i den medlemsstat, hvor dataeksportøren er etableret.

2. Parterne er enige om, at det registreres valg ikke berører dets materielle eller proceduremæssige ret til at søge retsmidler i overensstemmelse med andre bestemmelser i national eller international ret.

Klausul 8

Samarbejde med tilsynsmyndigheder

1. Dataeksportøren accepterer at deponere en kopi af denne kontrakt hos tilsynsmyndigheden, hvis den anmoder herom, eller hvis en sådan depositum kræves i henhold til den gældende databeskyttelseslov.
2. Parterne er enige om, at tilsynsmyndigheden har ret til at foretage en revision af dataimportøren og af enhver underprocessor, der har samme anvendelsesområde og er underlagt de samme betingelser som ville gælde for en revision af dataeksportøren under de relevante data lov om beskyttelse.
3. Dataimportøren skal straks informere dataeksportøren om eksistensen af lovgivning, der finder anvendelse på den eller enhver underprocessor, der forhindrer udførelsen af en revision af dataimportøren eller enhver underprocessor i henhold til stk. 2. I et sådant tilfælde er dataeksportøren berettiget at træffe de foranstaltninger, der er nævnt i paragraf 5 (b).

Klausul 9

Lovvalg

Klausulerne er underlagt lovgivningen i den medlemsstat, hvor dataeksportøren er etableret.

Klausul 10

Variation af kontrakten

Parterne forpligter sig til ikke at ændre eller ændre klausulerne. Dette udelukker ikke parterne i at tilføje klausuler om forretningsrelaterede spørgsmål, hvor det er nødvendigt, så længe de ikke er i modstrid med klausulen.

Klausul 11

Underforarbejdning

1. Dataimporten giver ikke nogen af sine behandlinger i underentreprise, der udføres på vegne af dataeksportøren i henhold til klausulerne, uden forudgående skriftlig tilladelse fra dataeksportøren. Når dataimporten giver sine forpligtelser i henhold til klausulerne i underentreprise med samtykke fra dataeksportøren, bør den kun gøre dette ved en skriftlig aftale med underprocessoren, der pålægger underprocessoren de samme forpligtelser, som pålægges dataimporten i henhold til klausulerne. Hvis underprocessoren ikke opfylder sine databeskyttelsesforpligtelser i henhold til en sådan skriftlig aftale, forbliver dataimporten fuldt ud ansvarlig over for dataeksportøren for opfyldelsen af underprocessorens forpligtelser i henhold til en sådan aftale.
2. Den forudgående skriftlige kontrakt mellem dataimportøren og underprocessoren skal også indeholde en tredjepartsmodtagerklausul som fastlagt i pkt. 3 i tilfælde, hvor den registrerede ikke er i stand til at fremsætte kravet om kompensation, jf. Stk. 1 i pkt. 6 mod dataeksportøren eller dataimportøren, fordi de faktisk er forsvundet eller ophører med at eksistere i loven eller er blevet insolvente, og ingen efterfølgende enhed har påtaget sig hele juridiske forpligtelser for dataeksportøren eller dataimportøren ved kontrakt eller ved lov. Sådanne tredjepartsansvar for underprocessoren er begrænset til dens egne behandlingsoperationer i henhold til klausulerne.
3. Bestemmelserne om databeskyttelsesaspekter ved underbehandling af den i stk. 1 omhandlede kontrakt er underlagt lovgivningen i den medlemsstat, hvor dataeksportøren er etableret.
4. Dataeksportøren skal føre en liste over underbehandlingsaftaler, der er indgået i henhold til klausulerne og anmeldt af dataimporten i henhold til § 5, litra j), som bør ajourføres mindst en gang om året. Listen bør være tilgængelig for dataeksportørens databeskyttelsestilsynsmyndighed.

Klausul 12

Forpligtelse efter ophør af behandling af personoplysninger

1. Parterne er enige om, at dataimportøren og underprocessoren efter afslutningen af leveringen af databehandlingstjenester efter dataeksportørens valg skal returnere alle de overførte personoplysninger og kopierne heraf til dataeksportøren eller ødelægge alle personoplysningerne og bekræfte over for dataeksportøren, at de har gjort det, medmindre lovgivning, der pålægges dataimportøren, forhindrer den i at returnere eller ødelægge hele eller dele af de overførte personoplysninger. I så fald garanterer dataimportøren, at det vil garantere fortroligheden af de overførte personoplysninger og ikke længere aktivt behandler de overførte personoplysninger.
2. Dataimportøren og underprocessoren garanterer, at den efter anmodning fra dataeksportøren og / eller tilsynsmyndigheden forelægger sine databehandlingsfaciliteter til revision af de foranstaltninger, der er nævnt i stk. 1.

TILLÆG 1 til standardkontraktbestemmelserne

Dette tillæg er en del af klausulerne. Medlemsstaterne kan efter deres nationale procedurer supplere eller specificere alle yderligere oplysninger, der er nødvendige for at kunne indgå i dette tillæg.

A. Dataeksportør

Dataeksportøren er kunden som defineret i Servicevilkår for inviter as-kunder ("aftale").

B. Dataimportør

Dataimporten er Inviter AS, en global udbyder af eventregistrering og betaling, som også omfatter turneringsadministration.

C. Registrerede

Kategorier af registrerede beskrevet i afsnit 2 i databehandlingsaftalen, som klausulerne er knyttet til.

D. Kategorier af data

Kategorier af personoplysninger, der er angivet i afsnit 2 i databehandlingsaftalen, som klausulerne er knyttet til.

E. Særlige datakategorier (hvis relevant)

Parterne forventer ikke overførsel af specielle datakategorier.

F. Behandlingsoperationer

Behandlingsaktiviteterne beskrevet i afsnit 2 i databehandlingsaftalen, som klausulerne er knyttet til:

Tillæg 2 til standardkontraktbestemmelserne

Dette tillæg er en del af klausulerne.

Beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, der er implementeret af dataimportøren i henhold til paragraf 4 (d) og 5 (c) (eller vedlagt dokument / lovgivning):

Invite AS overholder i øjeblikket sikkerhedspraksis beskrevet i dette tillæg 2. Uanset enhver bestemmelse om det modsatte, som dataeksportøren ellers er aftalt om, kan Invite AS ændre eller opdatere denne praksis efter eget skøn, forudsat at en sådan ændring og opdatering ikke resulterer i en væsentlig forringelse i den beskyttelse, der tilbydes af denne praksis. Alle begreber med store bogstaver, der ikke er defineret heri, skal have betydningen som beskrevet i aftalen.

a) Adgangskontrol

i) Forebyggelse af uautoriseret produktadgang

Outsourcet behandling: Invite AS er vært for sine applikationer med outsourcede ressourcer. Derudover opretholder Invite AS kontraktlige forhold med leverandører for at levere Tjenesten i overensstemmelse med vores databehandlingsaftale. Invite AS er afhængig af kontraktlige aftaler, fortrolighedspolitikker og leverandøroverholdelsesprogrammer for at beskytte data, der behandles eller lagres af disse leverandører.

Fysisk og miljømæssig sikkerhed: Invite AS er vært for sin produktinfrastruktur med outsourcede infrastrukturudbydere med flere lejere. De fleste af de fysiske og miljømæssige sikkerhedskontroller er revideret for ISO / IEC 27001 overholdelse, blandt andre certificeringer.

Godkendelse: Invite AS implementerede en ensartet adgangskodepolitik for sine kundeprodukter. Kunder, der interagerer med produkterne via brugergrænsefladen, skal godkende, før de får adgang til ikke-offentlige kundedata.

Autorisation: Kundedata gemmes i lagersystemer med flere lejere, der er tilgængelige for kunder, udelukkende via programbrugergrænseflader og programmeringsgrænseflader til programmer. Kunder har ikke direkte adgang til den underliggende programinfrastruktur. Autorisationsmodellen i hvert af Inviter AS's produkter er designet til at sikre, at kun de korrekt tildelte personer kan få adgang til relevante funktioner, visninger og tilpasningsmuligheder. Godkendelse af datasæt udføres ved at validere brugerens tilladelser i forhold til de attributter, der er knyttet til hvert datasæt.

API-adgang (Application Programming Interface): Der er adgang til offentlige produkt-API'er ved hjælp af en API-nøgle.

ii) Forebyggelse af uautoriseret produktbrug

Invite AS implementerer branchestandard adgangskontrol og registreringsfunktioner for de interne netværk, der support dets produkter.

Adgangskontrol: Netværksadgangskontrolmekanismer er designet til at forhindre netværkstrafik ved hjælp af uautoriserede protokoller i at nå produktinfrastrukturen. De tekniske foranstaltninger, der implementeres, adskiller sig mellem infrastrukturudbydere og inkluderer implementering af Virtual Private Cloud (VPC), tildeling af sikkerhedsgrupper og traditionelle firewallregler.

Statisk kodeanalyse: Sikkerhedsgennemgange af kode, der er gemt i Inviter AS's kildekodelagre, udføres, kontrol af bedste praksis for kodning og identificerbare softwarefejl.

iii) Begrænsninger af krav til rettigheder og godkendelse

Produktadgang: En delmængde af Invite AS' medarbejdere har adgang til produkterne og til kundedata via kontrollerede grænseflader. Formålet med at give adgang til en delmængde af medarbejdere er at give effektiv kunde support, fejlfinde potentielle problemer, opdage og reagere på sikkerhedshændelser og implementere datasikkerhed. Adgang er aktiveret via "just in time" anmodninger om adgang; Alle sådanne anmodninger logges. Medarbejdere får adgang efter rolle, og gennemgange af højrisikoprivilegietildelinger påbegyndes dagligt. Medarbejderroller gennemgås mindst en gang hvert halve år.

Baggrundskontrol: Alle Invite AS-medarbejdere gennemgår en baggrundskontrol fra tredjepart, inden de udvides et ansættelsestilbud i overensstemmelse med gældende lovgivning. Alle medarbejdere er forpligtet til at opføre sig på en måde, der er i overensstemmelse med virksomhedens retningslinjer, oplysningskrav og etiske standarder.

b) Transmissionskontrol

In-transit: Inviter AS gør HTTPS-kryptering (også kaldet SSL eller TLS) tilgængelig på hver eneste af sine login-grænseflader og gratis på alle kundewebsteder, der hostes på Inviter AS-produkter. Inviter AS's HTTPS-implementering bruger branchestandardalgoritmer og certifikater.

c) Indgangskontrol

Registrering: Inviter AS designet sin infrastruktur til at logge omfattende oplysninger om systemets adfærd, modtaget trafik, systemgodkendelse og andre applikationsanmodninger. Interne systemer aggregerer logdata og advarer relevante medarbejdere om ondsindede, utilsigtede eller unormale aktiviteter. Inviter AS-personale, herunder sikkerheds-, drifts- og support personale, til at reagere på kendte hændelser.

Respons og sporing: Inviter AS vedligeholder en fortegnelse over kendte sikkerhedshændelser, der omfatter beskrivelse, datoer og tidspunkter for relevante aktiviteter og hændelsesdisposition. Mistænkte og bekræftede sikkerhedshændelser undersøges af sikkerheds-, operations- eller support personale, og passende løsningstrin identificeres og dokumenteres. For eventuelle bekræftede hændelser vil Invite AS tage passende skridt til at minimere produkt- og kundeskader eller uautoriseret offentliggørelse.

Kommunikation: Hvis Inviter AS bliver opmærksom på ulovlig adgang til kundedata, der er gemt i dets produkter, vil Inviter AS: 1) underrette de berørte kunder om hændelsen; 2) give en beskrivelse af de trin, Inviter AS tager for at løse hændelsen; og 3) levere statusopdateringer til kundekontakten, som Inviter AS finder det nødvendigt. Eventuelle meddelelser om hændelser vil blive leveret til en eller flere af kundens kontakter i en formular, som Inviter AS vælger, og som kan omfatte via e-mail eller telefon.

d) Tilgængelighedskontrol

Infrastrukturtilgængelighed: Infrastrukturudbyderne bruger kommercielt rimelig indsats for at sikre et minimum af 99,95% oppetid. Udbyderne opretholder et minimum af N + 1 redundans til strøm-, netværks- og HVAC-tjenester.

Fejltolerance: Backup- og replikeringsstrategier er designet til at sikre redundans og fail-over-beskyttelse under en betydelig behandlingsfejl. Kundedata sikkerhedskopieres til flere holdbare datalagre og replikeres på tværs af flere tilgængelighedszoner.

Online-replikaer og sikkerhedskopier: Hvor det er muligt, er produktionsdatabaser designet til at replikere data mellem ikke mindre end 1 primær og 1 sekundær database. Alle databaser er sikkerhedskopieret og vedligeholdt ved hjælp af mindst industristandardmetoder.

Invite AS's produkter er designet til at sikre redundans og problemfri failover. Serverforekomsterne, der support produkterne, er også designet med et mål om at forhindre enkelte fejlpunkter. Dette design hjælper Invite AS-operationer med at vedligeholde og opdatere produktapplikationer og backend, samtidig med at nedetiden begrænses.

UDSTILLING 2

Liste over underprocessorer

• Amazon Web Services (Fra 2019)
• Google
• Samtaleanlæg
• Mailchimp
• Pistol
• Produktkort
• Velstand
• Telavox
• Twilio
• Glesys – (Hosting porcelæn)
• Hetzner (Hosting-tjenester)
• Osvath Boros Robert (Udvikler)
• Szasz-Revai Endre (infrastruktur)