Bjud in som DPA

Bjud in AS-databehandlingsavtal

Senast ändrad: 03.09.2020

This Invite AS Data Processing Agreement (“DPA”), that includes the Standard Contractual Clauses adopted by the European Commission, as applicable, reflects the parties’ agreement with respect to the terms governing the Processing of Personal Data under the Invite AS Customer Terms of Service (the “Agreement”). This DPA is an amendment to the Agreement and is effective upon its incorporation into the Agreement, which incorporation may be specified in the Agreement, an Order or an executed amendment to the Agreement. Upon its incorporation into the Agreement, the DPA will form a part of the Agreement.

Löptiden för denna DPA ska följa avtalets löptid. Villkor som inte på annat sätt definieras häri ska ha den innebörd som anges i Avtalet.

DENNA DPA INKLUDERAR:

i) Standardavtalsklausuler, bifogade till denna som BILAGA 1.

a) Tillägg 1 till standardavtalsklausulerna, som innehåller uppgifter om de personuppgifter som uppgiftsutföraren överför till uppgiftsimportören.

b) Tillägg 2 till standardavtalsklausulerna, som innehåller en beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som dataimportören har genomfört enligt hänvisningen.

ii) Förteckning över underberedare, bifogad till denna förordning som BILAGA 2.

1. Definitioner

" Applikationer " avser de systemplattformar som Invite AS tillhandahåller vår kund för användning. Det inkluderar även alla gratistjänster vi kan tillhandahålla. Pr 23.05.2018, de två applikationerna som Invite AS erbjuder är CupManager och Superinvite, inklusive alla API mellan de två applikationerna.

registeransvarig:den fysiska eller juridiska person, myndighet, byrå eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.

“Customer” – Customer are the legal entity or person who are using the applications for the purpose of the handling the event or registration process. The Customer is not the end-person paying for any event.

"Dataskyddslag" avser all tillämplig lagstiftning som rör dataskydd och integritet, inklusive utan begränsning EU:s dataskyddsdirektiv 95/46/EG och alla lokala lagar och förordningar som ändrar eller ersätter någon av dem, inklusive den allmänna dataskyddsförordningen, tillsammans med eventuella nationella genomförandelagar i någon medlemsstat i Europeiska unionen eller, i den utsträckning det är tillämpligt, i något annat land, i dess ändrade, upphävda, konsoliderade eller ersatta från tid till annan. Termerna "process", "processer" och "bearbetad" kommer att tolkas i enlighet därmed.

"Registrerad" avserden person som personuppgifter avser.

"GDPR" avser Europaparlamentets och rådets allmänna dataskyddsförordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer när det gäller behandling av personuppgifter och om fri rörlighet för sådana uppgifter.

"Instruktion" avser den skriftliga, dokumenterade instruktionen, utfärdad av registeransvarig till personuppgiftsbiträdet, och att rikta samma sak för att utföra en specifik åtgärd med avseende på personuppgifter (inklusive, men inte begränsat till, avpersonifiera, blockera, ta bort, göra tillgängliga).

"Personuppgifter" avser all information som rör en identifierad eller identifierbar person där sådan information finns i kunddata och på samma sätt skyddas som personuppgifter eller personligt identifierbar information enligt tillämplig dataskyddslag

"Personuppgiftsbrott" innebärett säkerhetsbrott som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt röjande av eller tillgång till personuppgifter som överförs, lagras eller på annat sätt behandlas.

"Behandling" avser varje åtgärd eller uppsättning åtgärder som utförs på personuppgifter, som omfattar insamling, registrering, organisation, strukturering, lagring, anpassning eller ändring, hämtning, konsultation, användning, utlämnande genom överföring, spridning eller på annat sätt tillgänglig, anpassning eller kombination, begränsning eller radering av personuppgifter.

Personuppgiftsbiträde: en fysisk eller juridisk person, myndighet, agentur eller annat organ som behandlar personuppgifter för den registeransvariges räkning.

standardavtalsklausuler: de klausuler som bifogas denna till och med bilaga 1 i enlighet med Europeiska kommissionens beslut (C(2010)593) av den 5 februari 2010 om standardavtalsklausuler för överföring av personuppgifter till personuppgiftsbiträden som är etablerade i tredjeländer och som inte säkerställer en adekvat nivå av dataskydd.

2. Detaljer om behandlingen

A. Kategorier av registrerade. Controllerns medlemmar och andra slutanvändare, inklusive controllerns kunder och deltagare i händelser som organiseras av controllern. Registrerade inkluderar också individer som försöker kommunicera med eller överföra personuppgifter till den registeransvariges slutanvändare. Du som kund hos Invite AS.

b. Typer av personuppgifter. Deltagar-/kundinformation som behövs för att den personuppgiftsansvarige ska kunna genomföra evenemanget, i den utsträckning som bestäms och kontrolleras av kunden efter eget gottfinnande. Köpinformation, deltagarinformation, evenemangsresultat och statistikinformation. Särskilda kategorier av personuppgifter, t.ex. information om funktionsnedsättningssituationer för deltagaren, för att den Personuppgiftsansvarige ska kunna hantera omständigheterna på ett korrekt och respektfullt sätt. Uppgifter som placeras på sociala medier och tredje parts sociala medier. Andra elektroniska uppgifter som skickas, lagras, skickas eller tas emot av slutanvändare via Invite AS-applikationer. Vi samlar också in information om vår relation med dig som kund, såsom kontaktinformation, supportloggar och annan data som vi behöver för att tillhandahålla en tillfredsställande supportnivå.

c. Behandlingens ämne och art. Föremålet för personuppgiftsbiträdets behandling av personuppgifter är tillhandahållandet av de tjänster till den registeransvarige som innebär behandling av personuppgifter. Personuppgifter kommer att omfattas av de behandlingsaktiviteter som kan specificeras i Avtalet.

d. Ändamålet med behandlingen. Personuppgifter kommer att behandlas i syfte att tillhandahålla de tjänster som tråget inbjuder as-applikationer som anges och på annat sätt överenskommits i avtalet.

E. Behandlingens varaktighet. Personuppgifter kommer att behandlas under avtalets löptid, med förbehåll för avsnitt 4 i denna dataskyddsavdelning.

3. Kundansvar

Inom ramen för avtalet och i dess användning av tjänsterna ska den registeransvarige vara ensamt ansvarig för att uppfylla de lagstadgade kraven på dataskydd och integritet, särskilt när det gäller utlämnande och överföring av personuppgifter till personuppgiftsbiträdet och behandlingen av personuppgifter. För att undvika tvivel ska den registeransvariges instruktioner för behandling av personuppgifter följa dataskyddslagen. Denna DPA är Kundens fullständiga och slutliga instruktion att bjuda in AS i förhållande till personuppgifter och att ytterligare instruktioner utanför DPA:s tillämpningsområde skulle kräva skriftligt förhandsgodkännande mellan parterna. Instruktioner ska inledningsvis specificeras i avtalet och kan då och då ändras, förstärkas eller ersättas av registeransvarig i separata skriftliga instruktioner (som individuella instruktioner).

Den registeransvarige ska utan onödigt dröjsmål och heltäckande informera Processor om eventuella fel eller oegentligheter relaterade till lagstadgade bestämmelser om behandling av personuppgifter.

4. Processors skyldigheter

A. Överensstämmelse med instruktioner. Parterna bekräftar och samtycker till att Kunden är personuppgiftsansvarig och inbjudning AS är personuppgiftsbiträde för dessa uppgifter. Personuppgiftsbiträdet ska samla in, behandla och använda personuppgifter endast inom ramen för den registeransvariges instruktioner. Om personuppgiftsbiträdet anser att en instruktion från den registeransvarige överträds mot dataskyddslagen bör den omedelbart informera den registeransvarige utan dröjsmål. Om personuppgiftsbiträdet inte kan behandla personuppgifter i enlighet med anvisningarna på grund av ett rättsligt krav enligt tillämplig EU- eller medlemsstatslagstiftning, kommer personuppgiftsbiträdet (i) omedelbart att meddela den registeransvarige om detta rättsliga krav före den relevanta behandlingen i den utsträckning som den är uppsagd enligt dataskyddslagen; och (ii) upphöra med all behandling (annat än att bara lagra och upprätthålla säkerheten för de berörda personuppgifterna) tills den registeransvarige utfärdar nya instruktioner som personuppgiftsbiträdet kan följa. Om denna bestämmelse åberopas kommer personuppgiftsbiträdet inte att vara ansvarigt gentemot den registeransvarige enligt avtalet för underlåtenhet att utföra tillämpliga tjänster förrän den registeransvarige utfärdar nya instruktioner om behandlingen.

B. Security.Processor ska vidta lämpliga tekniska och organisatoriska åtgärder för att på ett adekvat sätt skydda personuppgifter från oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt röjande av eller tillgång till personuppgifter, beskrivna enligt tillägg 2 till standardavtalsklausulerna. Sådana åtgärder omfattar, men är inte begränsade till:

i. förhindra att obehöriga får tillgång till system för behandling av personuppgifter (fysisk åtkomstkontroll),

ii. förhindrande av att personuppgiftsbehandlingssystem används utan tillstånd (logisk åtkomstkontroll),

iii. säkerställa att personer som är berättigade att använda ett personuppgiftsbehandlingssystem endast får tillgång till sådana personuppgifter som de har rätt att få tillgång till i enlighet med sina åtkomsträttigheter, och att personuppgifter inte kan läsas under behandling eller användning och efter lagring , kopieras, ändras eller raderas utan auktorisering (datatillgångskontroll),

iv. säkerställa att personuppgifter inte kan läsas, kopieras, modifieras eller raderas utan tillstånd under elektronisk överföring, transport eller lagring på lagringsmedia, och att målenheterna för all överföring av personuppgifter med hjälp av dataöverföringsanläggningar kan upprättas och verifieras (data överföringskontroll),

v. säkerställa att ett granskningsspår upprättas för att dokumentera om och av vem personuppgifter har ingåtts, modifierats i eller tagits bort från personuppgiftsbehandlingssystem (postkontroll)

vi. se till att personuppgifter behandlas enbart i enlighet med instruktionerna (kontroll av instruktioner),

vii. säkerställa att personuppgifter skyddas mot oavsiktlig förstörelse eller förlust (tillgänglighetskontroll).

På den registeransvariges begäran ska Personuppgiftsbiträdet tillhandahålla ett aktuellt skydd och säkerhetsprogram för personuppgifter som rör behandlingen härunder.

Personuppgiftsbiträdet kommer att underlätta den registeransvariges skyldighet att genomföra säkerhetsåtgärder med avseende på personuppgifter (inklusive i förekommande fall den registeransvariges skyldigheter enligt artiklarna 32–34 (inklusive) i) genom att (i) genomföra och upprätthålla de säkerhetsåtgärder som beskrivs i tillägg 2, ii) uppfylla villkoren i avsnitt 4.4 (Personuppgiftsbrott); iii) förse den registeransvarige med information om behandlingen i enlighet med avsnitt 5 (Revisioner).

c. Konfidentialitet.  Varje personal som personuppgiftsbiträdet tillåter att behandla personuppgifter för deras räkning omfattas av sekretesskrav med avseende på dessa personuppgifter. Åtagandet om konfidentialitet ska fortsätta efter det att ovannämnda verksamhet har upphört.

d. Personuppgiftsbrott. Personuppgiftsbiträdet kommer att meddela den registeransvarige så snart det är praktiskt möjligt efter att den har blivit medveten om något av eventuella personuppgiftsbrott som påverkar eventuella personuppgifter. På den registeransvariges begäran kommer personuppgiftsbiträdet omedelbart att ge den registeransvarige all rimlig hjälp som krävs för att den registeransvarige ska kunna meddela relevanta personuppgiftsbrott till behöriga myndigheter och/eller berörda registrerade, om den registeransvarige är skyldig att göra det enligt dataskyddslagen.

e. Begäran om registrerad. Personuppgiftsbiträdet kommer att ge rimlig hjälp, bland annat genom lämpliga tekniska och organisatoriska åtgärder och ta hänsyn till behandlingens art, för att göra det möjligt för den registeransvarige att svara på alla förfrågningar från registrerade som försöker utöva sina rättigheter enligt dataskyddslagen med avseende på personuppgifter (inklusive tillgång, rättelse, begränsning, radering eller portabilitet för personuppgifter , beroende på vad som är tillämpligt), i den utsträckning som lagen har frisagt.  Om en sådan begäran görs direkt till personuppgiftsbiträdet kommer personuppgiftsbiträdet omedelbart att informera den registeransvarige och kommer att råda de registrerade att skicka sin begäran till den registeransvarige. Den registeransvarige bör vara ensamt ansvarig för att svara på alla registrerades förfrågningar. Den registeransvarige ska ersätta bearbetningsföretaget för de kostnader som uppstår till följd av detta stöd.

f.Underprocessorer. Personuppgiftsbiträdet bör ha rätt att anlita underbehandlare för att uppfylla den registeransvariges skyldigheter enligt avtalet endast med den registeransvariges skriftliga medgivande.  För dessa ändamål samtycker controllern till uppdraget som underbehandlare i Processorns anslutna företag och de tredje parter som anges i bilaga 2. För att undvika tvivel utgör ovanstående tillstånd registeransvariges skriftliga förhandsgodkännande till underbehandlingen av bearbetningsföretaget enligt klausul 11 i standardavtalsklausulerna.

Om behandlaren avser att instruera andra underbehandlare än de företag som anges i bilaga 2, kommer personuppgiftsbiträdet att meddela den registeransvarige skriftligen (e-postadresser till de e-postadresser som finns i register i Processorns kontoinformation för Controller är tillräckligt) och ger den registeransvarige möjlighet att invända mot de nya underbehandlarens engagemang inom 30 dagar efter att ha meddelats. Invändningen måste grundas på rimliga skäl (t.ex. om den registeransvarige bevisar att det finns betydande risker för skyddet av dess personuppgifter hos underbehandlaren). Om personuppgiftsbiträdet och registeransvarige inte kan lösa sådana invändningar kan endera parten säga upp Avtalet genom att lämna skriftligt meddelande till den andra parten. Den registeransvarige bör få återbetalning av eventuella förbetalda men oanvända avgifter för perioden efter uppsägningsdagen.

När Processor anlitar underprocessorer kommer Processor att ingå ett kontrakt med underprocessorn som ålägger underprocessorn samma skyldigheter som gäller för Processor enligt denna DPA. Om underbehandlaren inte uppfyller sina dataskyddsförpliktelser förblir behandlingsansvarige ansvarig gentemot den registeransvarige för fullgörandet av sådana underbehandlingsförpliktelser.

Om en underupphandlare anlitas måste den registeransvarige ges rätt att övervaka och inspektera underupphandlarens verksamhet i enlighet med denna dataskyddsförordning och dataskyddslagen, bland annat att på skriftlig begäran få information från registerföraren om avtalets innehåll och genomförandet av dataskyddsskyldigheten enligt underbehandlingsavtalet. , vid behov genom att granska relevanta kontraktshandlingar.

Bestämmelserna i detta avsnitt 4.6 skall tillämpas ömsesidigt om bearbetningsföretaget anlitar en underbehandlare i ett land utanför Europeiska ekonomiska samarbetsområdet ("EES") som inte erkänns av Europeiska kommissionen och som ger en adekvat skyddsnivå för personuppgifter.  Om inbjud AS i denna DPA:s utförande överför personuppgifter till en underbehandlare utanför EES, ska Invite AS, före en sådan överföring, se till att det finns en rättslig mekanism för att uppnå tillräcklighet i den behandlingen.

G.  Dataöverföringar. Den registeransvarige bekräftar och samtycker till att personuppgifter i samband med utförandet av tjänsterna enligt avtalet kommer att överföras till Invite AS i EU-regionen. Invite AS, har certifierat till EU-USA och Schweiz-USA Privacy Shield Frameworks för att genomföra lämpliga skyddsåtgärder för sådana överföringar i enlighet med artikel 46 i GDPR. Standardavtalsklausulerna vid bilaga 1 kommer att gälla för personuppgifter som överförs utanför EES, antingen direkt eller via vidare överföring, till alla länder som inte erkänns av Europeiska kommissionen som att de ger en adekvat skyddsnivå för personuppgifter (enligt beskrivningen i dataskyddslagen).

H. Radering eller hämtning av personuppgifter. Förutom i den utsträckning som krävs för att följa dataskyddslagen, efter uppsägning eller upphörande av avtalet, kommer Personuppgiftsbiträdet att radera alla personuppgifter (inklusive kopior av dessa) som behandlas i enlighet med denna DPA. Om personuppgiftsbiträdet inte kan radera personuppgifter av tekniska eller andra skäl kommer Personuppgiftsbiträdet att vidta åtgärder för att säkerställa att personuppgifter blockeras från ytterligare behandling.

Den registeransvarige ska vid uppsägning eller upphörande av avtalet och genom utfärdande av en instruktion, inom en tidsperiod som fastställs av Processor, fastställa rimliga åtgärder för att returnera data eller radera lagrad data. Eventuell extra kostnad som uppstår i samband med återlämnande eller radering av personuppgifter efter avtalets upphörande eller upphörande ska bäras av den registeransvarige.

5. Granskningar

Styrenheten kan, innan behandlingen påbörjas, och med jämna mellanrum därefter granska de tekniska och organisatoriska åtgärder som vidtas av processorn.

För ett sådant ändamål kan styrenheten t.ex.

• få information från processorn,
• begära att bearbetaren överlämnar ett befintligt intyg eller intyg från en oberoende professionell expert till kontrollanten, eller
• Efter rimlig och kort förhandsöverenskommelse, under ordinarie öppettider och utan att avbryta bearbetningsföretagets affärsverksamhet, genomföra en inspektion på plats av bearbetningsföretagets affärsverksamhet eller ha samma verksamhet utförd av en kvalificerad tredje part som inte bör vara en konkurrent till bearbetningsföretaget.

Personuppgiftsbiträdet ska, på registerförarens skriftliga begäran och inom rimlig tid, förse den registeransvarige med all information som är nödvändig för en sådan revision, i den mån sådan information ligger inom bearbetningsföretagets kontroll och bearbetningsföretaget inte hindras från att lämna ut den enligt tillämplig lag, tystnadsplikt eller någon annan skyldighet gentemot en tredje part.

6. Allmänna bestämmelser

När det gäller uppdateringar och ändringar av detta DPA gäller de termer som gäller i "ändringsförslaget; Avsnittet "Diverse" i avtalet skall inte tillämpas.

I händelse av konflikt ska denna DPA ha företräde framför bestämmelserna i avtalet. Om enskilda bestämmelser i denna DPA är ogiltiga eller inte kan verkställas ska giltigheten och verkställbarheten av de andra bestämmelserna i denna DPA inte påverkas.

Vid införlivandet av denna DPA i Avtalet godkänner de parter som anges i avsnitt 7 nedan (Parter till denna DPA) standardavtalsklausulerna (där och när så är tillämpligt) och alla bilagor bifogade därtill. I händelse av konflikt eller inkonsekvens mellan denna DPA och standardavtalsklausulerna i bilaga 1, ska standardavtalsklausulerna gälla.

Från och med den 25 maj 2018 kommer Invite AS att behandla personuppgifter i enlighet med GDPR-kraven i denna som är direkt tillämpliga på Invite AS:s tillhandahållande av applikationerna.

7. Parter i denna DPA

Detta DPA är en ändring av och ingår i avtalet.  När denna DPA införlivas i avtalet (i) Controller och den inbjudna AS-enhet som var och en är part i avtalet är också var och en part i denna DPA, och ii) i den utsträckning som Invite AS inte är part i avtalet, Inbjud AS, är part i denna DPA, men endast när det gäller samtycke till DPA:s standardavtalsklausuler. , detta avsnitt 7 i DPA och själva standardavtalsklausulerna.

Om Bjud in AS inte är part i Avtalet ska avsnittet "Ansvarsbegränsning" gälla mellan Controller och Invite AS, och i sådana avseenden ska alla hänvisningar till "Bjud in AS", "vi", "oss" eller "vår" inkludera både Inbjudning AS och den inbjudna AS-enhet som är part i avtalet.

Den juridiska enheten som godkänner denna DPA som Controller representerar att den är auktoriserad att gå med på och ingå denna DPA för och godkänner denna DPA enbart för Controller.

UTSTÄLLNING 1

Standardavtalsklausuler (processorer)

Vid tillämpningen av artikel 26.2 i direktiv 95/46 / EG för överföring av personuppgifter till bearbetningsföretag som är etablerade i tredjeländer som inte säkerställer en adekvat nivå av dataskydd,

Kunden, enligt definitionen i användarvillkoren för inbjudan som kund ("dataexportören")

Och

Invite AS, Hovinveien 43 B Oslo (the “data importer”),

var och en av dem är en "part". tillsammans "parterna",

HAR ENIGT om följande avtalsbestämmelser (klausulerna) för att skapa adekvata skyddsåtgärder beträffande skyddet av privatlivet och grundläggande rättigheter och friheter för individer för överföring av dataexportören till dataimportören av de personuppgifter som anges i tillägg 1 .

Klausul 1

Definitioner

För tillämpningen av klausulerna:

a) personuppgifter, "särskilda kategorier av uppgifter", "process/behandling", "registeransvarig", "registeransvarig", "personuppgiftsbiträde", "registrerad" och "tillsynsmyndighet" skall ha samma innebörd som i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer när det gäller behandling av personuppgifter och om fri rörlighet för sådana uppgifter.

b) uppgiftsexportör: den registeransvarige som överför personuppgifterna.

c) uppgiftsimportör: den personuppgiftsbiträde som samtycker till att från uppgiftsexportören ta emot personuppgifter avsedda för behandling för den delen av landet efter överföringen i enlighet med sina instruktioner och villkoren i klausulerna och som inte omfattas av ett tredjelands system som säkerställer ett adekvat skydd i den mening som avses i artikel 25.1 i direktiv 95/46/EG.

d) underentreprenör: varje personuppgiftsbiträde som används genom dataimporten eller av någon annan underentreprenör i dataimporten och som samtycker till att från uppgiftsimporten eller från någon annan underentreprenör ta emot de uppgifter som importerar personuppgifter som uteslutande är avsedda för behandling av verksamhet som skall utföras för uppgiftsexportörens räkning efter överföringen i enlighet med hans instruktioner. , villkoren i klausulerna och villkoren i det skriftliga underkontraktet,

e) tillämplig dataskyddslagstiftning: lagstiftning som skyddar enskilda personers grundläggande fri- och rättigheter, särskilt deras rätt till privatliv när det gäller behandling av personuppgifter som är tillämpliga på en personuppgiftsansvarig i den medlemsstat där uppgiftsexportören är etablerad.

f) tekniska och organisatoriska säkerhetsåtgärder innebär att åtgärder som syftar till att skydda personuppgifter mot oavsiktlig eller olaglig förstöring eller oavsiktlig förlust, ändring, obehörigt röjande eller obehörig åtkomst, särskilt när behandlingen innebär överföring av uppgifter via ett nätverk och mot alla andra olagliga former av behandling.

Klausul 2

Detaljer om överföringen

Detaljerna i överföringen och i synnerhet de särskilda kategorierna av personuppgifter där så är tillämpligt anges i bilaga 1 som utgör en integrerad del av klausulerna.

Klausul 3

Tredjepartsmottagarklausul

1. Den registrerade kan tillämpa denna klausul, klausul 4 (b) till (i), klausul 5 (a) till (e) och (g) till (j), klausul 6 (1) och (2) gentemot dataexportören. , Klausul 7, klausul 8 (2) och klausuler 9 till 12 som tredjepartsmottagare.
2. Den registrerade kan tillämpa denna klausul, klausul 5 (a) till (e) och (g), klausul 6, klausul 7, klausul 8 (2) och klausuler 9 till 12, i de fall där dataexportören faktiskt har försvunnit eller har upphört att existera i lag om inte någon efterträdande enhet har antagit uppgiftsexportörens hela rättsliga skyldigheter genom avtal eller genom lagstiftning, vilket resulterar i att den tar på sig dataexportörens rättigheter och skyldigheter, i i vilket fall den registrerade kan genomdriva dem mot en sådan enhet.
3. Den registrerade kan tillämpa denna klausul, klausul 5 (a) till (e) och (g), klausul 6, klausul 7, klausul 8 (2) och klausulerna 9 till 12, i fall där både dataexportören och dataimportören faktiskt har försvunnit eller upphört att existera i lag eller har blivit insolvent, såvida inte någon efterträdande enhet har antagit hela lagförpliktelserna för dataexportören genom avtal eller genom lagstiftning till följd av vilken den tar på sig rättigheterna och uppgifterexportörens skyldigheter, i vilket fall den registrerade kan genomdriva dem mot sådan enhet. Sådant tredjepartsansvar hos underprocessorn ska begränsas till dess egna bearbetningsåtgärder enligt klausulerna.
4. Parterna motsätter sig inte att den registrerade representeras av en förening eller annat organ om den registrerade uttryckligen vill och om det är tillåtet enligt nationell lagstiftning.

Klausul 4

Skyldigheter för dataexportören

Dataexportören godkänner och garanterar:

(a) att behandlingen, inklusive själva överföringen, av personuppgifter har genomförts och kommer att fortsätta i enlighet med relevanta bestämmelser i tillämplig dataskyddslag (och, i tillämpliga fall, har meddelats till berörda myndigheter i den medlemsstat där dataexportören är etablerad) och inte bryter mot relevanta bestämmelser i den staten.

b) att den har instruerat och under hela den tid som personuppgiftsbehandlingstjänsterna pågår kommer den att instruera uppgiftsimporten att behandla de personuppgifter som överförs endast för uppgiftsexportörens räkning och i enlighet med tillämplig dataskyddslagstiftning och klausulerna,

(c) att dataimportören kommer att tillhandahålla tillräckliga garantier för de tekniska och organisatoriska säkerhetsåtgärder som anges i tillägg 2 till detta kontrakt,

d) att säkerhetsåtgärderna efter bedömning av kraven i tillämplig dataskyddslag är lämpliga för att skydda personuppgifter mot oavsiktlig eller olaglig förstörelse eller oavsiktlig förlust, ändring, obehörig avslöjande eller åtkomst, särskilt när behandlingen innebär överföring av data över ett nätverk och mot alla andra olagliga former av behandling, och att dessa åtgärder säkerställer en säkerhetsnivå som är lämplig för de risker som behandlingen medför och arten av de uppgifter som ska skyddas med hänsyn till den senaste tekniken och kostnader för deras genomförande

e) att det kommer att säkerställa efterlevnad av säkerhetsåtgärderna,

(f) att om överföringen omfattar särskilda kategorier av uppgifter, den registrerade har informerats eller kommer att informeras före eller så snart som möjligt efter överföringen att dess uppgifter kan överföras till ett tredjeland som inte ger tillräckligt skydd inom innebörden av direktiv 95/46 / EG,

(g) vidarebefordra alla meddelanden från dataimportören eller någon underprocessor enligt klausul 5 b och klausul 8.3 till datatillsynsmyndigheten om dataexportören beslutar att fortsätta överföringen eller upphäva avstängningen,

(h) att på begäran tillhandahålla de registrerade en kopia av klausulerna, med undantag för bilaga 2, och en sammanfattande beskrivning av säkerhetsåtgärderna samt en kopia av alla kontrakt för underbearbetningstjänster som måste göras i enlighet med klausulerna, såvida inte klausulerna eller avtalet innehåller kommersiell information, i vilket fall det kan ta bort sådan kommersiell information;

(i) att i händelse av underbearbetning utförs behandlingsaktiviteten i enlighet med klausul 11 av en underprocessor som ger åtminstone samma skyddsnivå för personuppgifterna och rättigheterna för den registrerade som den dataimportören enligt klausulerna ; och

(j) att det kommer att säkerställa överensstämmelse med klausul 4 (a) till (i).

Klausul 5

Skyldigheter för dataimportören

Dataimportören godkänner och garanterar:

(a) att behandla personuppgifterna endast för dataexportörens räkning och i enlighet med dess instruktioner och klausuler; om det inte kan tillhandahålla sådan överensstämmelse av någon anledning, går det med på att informera omgående dataexportören om oförmågan att följa, i vilket fall dataexportören har rätt att avbryta överföringen av data och / eller säga upp avtalet.

b) att det inte har någon anledning att tro att den lagstiftning som är tillämplig på den hindrar den från att uppfylla de instruktioner som mottagits från dataexportören och dess skyldigheter enligt avtalet och att i händelse av en ändring av denna lagstiftning som sannolikt kommer att ha en väsentlig negativ inverkan på garantierna och skyldigheterna enligt klausulerna, kommer det omedelbart att meddela ändringen till dataexportören så snart den är medveten, i vilket fall dataexportören har rätt att avbryta överföringen av data och / eller säga upp avtalet ;

(c) att den har genomfört de tekniska och organisatoriska säkerhetsåtgärder som anges i tillägg 2 innan de personuppgifter som överförts behandlats,

d) att den omgående kommer att underrätta uppgiftsexportören om

(i) varje rättsligt bindande begäran om utlämnande av personuppgifter av en brottsbekämpande myndighet om inte annat är förbjudet, såsom ett förbud enligt straffrättslig lag för att bevara konfidentialiteten för en brottsbekämpande utredning;

(ii) oavsiktlig eller obehörig åtkomst; och

(iii) varje begäran som tas emot direkt från de registrerade utan att svara på den begäran, såvida inte annat har fått tillstånd att göra det;

(e) att snabbt och ordentligt hantera alla förfrågningar från dataexportören om dess behandling av de personuppgifter som är föremål för överföringen och att följa råd från tillsynsmyndigheten när det gäller behandlingen av de överförda uppgifterna,

(f) på dataexportörens begäran att lämna in sina databehandlingsanläggningar för granskning av de behandlingsaktiviteter som omfattas av klausulerna och som ska utföras av dataexportören eller ett inspektionsorgan som består av oberoende medlemmar och som innehar de nödvändiga yrkeskvalifikationer bundna av sekretessplikt, valda av dataexportören, i förekommande fall, i samförstånd med tillsynsmyndigheten;

(g) att på begäran tillhandahålla den registrerade en kopia av klausulerna eller något befintligt kontrakt för underbehandling, såvida inte klausulerna eller kontraktet innehåller kommersiell information, i vilket fall den kan ta bort sådan kommersiell information, med undantag för bilaga 2 som ska ersättas med en sammanfattande beskrivning av säkerhetsåtgärderna i de fall den registrerade inte kan få en kopia från dataexportören.

h) att den vid underbehandling tidigare har informerat uppgiftsexportören och erhållit sitt skriftliga förhandsgodkännande,

i) Att underbehandlarens behandlingstjänster kommer att utföras i enlighet med klausul 11.

(j) att omedelbart skicka en kopia av alla underprocessoravtal som den ingått enligt klausulerna till dataexportören.

Klausul 6

Ansvar

1. Parterna är överens om att varje registrerad som har lidit skada till följd av brott mot de skyldigheter som avses i klausul 3 eller i klausul 11 av någon part eller underprocessor har rätt att få ersättning från dataexportören för den skada som uppstått.
2. Om en registrerad inte kan väcka skadeståndsanspråk i enlighet med punkt 1 mot uppgiftsutföraren på grund av en överträdelse av uppgiftsimporten eller den hans underentreprenör av någon av deras skyldigheter enligt klausul 3 eller i klausul 11, på grund av att uppgiftsutföraren faktiskt har försvunnit eller upphört att existera i lag eller har blivit insolvent samtycker uppgiftsimporten till att den registrerade kan göra anspråk på uppgiftsimporten som om den vore uppgiftsexportören, såvida inte någon efterträdande enhet har övertagit hela den registrerades rättsliga skyldigheter genom avtal genom lag, i vilket fall den registrerade kan hävda sina rättigheter gentemot en sådan enhet.
   Dataimporten får inte grunda sig på en underentreprenörs överträdelse av sina skyldigheter för att undvika sina egna skulder.
3. Om den registrerade inte kan göra ett krav mot den dataexportören eller den dataimportör som avses i punkterna 1 och 2, som uppkommer på grund av att underprocessorn bryter mot någon av deras skyldigheter enligt punkt 3 eller i artikel 11 på grund av såväl dataexportören som dataimportören faktiskt har försvunnit eller upphört att existera i lag eller har blivit insolvent, samtycker underbehandlaren till att den registrerade kan utfärda ett krav gentemot underundantagaren med avseende på sin egen bearbetning enligt klausulerna som om den var dataexportören eller dataimportören, såvida inte någon efterträdande enhet har åtagit sig hela juridiska skyldigheter för dataexportören eller dataimportören genom avtal eller genom lagstiftning, i vilket fall den registrerade kan genomdriva sina rättigheter gentemot sådan enhet. Ansvaret för underprocessorn ska begränsas till dess egna bearbetningsverksamheter enligt klausulerna.

Klausul 7

Medling och jurisdiktion

1. Uppgiftsimportören samtycker till att om den registrerade åberopar mottagarens rättigheter och / eller anspråk på skadestånd enligt klausulerna, kommer den importören att acceptera den registrerades beslut:

a) hänskjuta tvisten till medling, av en oberoende person eller, i förekommande fall, av tillsynsmyndigheten,

(b) hänskjuta tvisten till domstolarna i den medlemsstat där dataexportören är etablerad.

2. Parterna är överens om att den registrerades val inte påverkar dess materiella eller processuella rätt att söka åtgärder i enlighet med andra bestämmelser i nationell eller internationell rätt.

Klausul 8

Samarbete med tillsynsmyndigheter

1. Dataexportören godkänner att deponera en kopia av detta kontrakt till tillsynsmyndigheten om den begär det eller om sådan deposition krävs enligt tillämplig dataskyddslag.
2. Parterna är överens om att tillsynsmyndigheten har rätt att genomföra en granskning av dataimportören och av varje underprocessor, som har samma omfattning och är föremål för samma villkor som skulle gälla för en granskning av dataexportören under gällande data lag om skydd.
3. Dataimportören ska omedelbart informera dataexportören om förekomsten av lagstiftning som är tillämplig på den eller någon underprocessor som förhindrar en revision av dataimportören eller någon underprocessor enligt punkt 2. I ett sådant fall ska dataexportören ha rätt att vidta de åtgärder som anges i punkt 5 b.

Klausul 9

Gällande lag

Klausulerna ska regleras av lagen i den medlemsstat där dataexportören är etablerad.

Klausul 10

Variation av kontraktet

Parterna förbinder sig att inte ändra eller ändra klausulerna. Detta hindrar inte parterna från att lägga till klausuler om affärsrelaterade frågor där så krävs så länge de inte strider mot klausulen.

Klausul 11

Underbearbetning

1. Uppgiftsimporten underleverantörskontrakterar inte någon av sina behandlingar som utförs för uppgiftsexportörens räkning enligt klausulerna utan föregående skriftligt medgivande från uppgiftsexportören. Om dataimporten lägger ut sina skyldigheter enligt klausulerna, med uppgiftsexportörens samtycke, bör den endast göra detta genom ett skriftligt avtal med underentreprenören som ålägger underentreprenören samma skyldigheter som åläggs uppgiftsimporten enligt klausulerna. Om underentreprenören inte uppfyller sina skyldigheter i fråga om uppgiftsskydd enligt ett sådant skriftligt avtal skall uppgiftsimporten förbli fullt ansvarig gentemot uppgiftsexportören för att underentreprenörens skyldigheter enligt ett sådant avtal fullförstå.
2. Det tidigare skriftliga avtalet mellan dataimportören och underprocessorn ska också föreskriva en tredje parts förmånsklausul enligt punkt 3 för fall där den registrerade inte kan göra anspråk på ersättning enligt punkt 1 i punkt 6 mot dataexportören eller dataimportören eftersom de faktiskt har försvunnit eller har upphört att existera i lag eller har blivit insolventa och ingen efterträdande enhet har antagit hela den juridiska skyldigheten för dataexportören eller dataimportören genom avtal eller genom lag. Sådant tredjepartsansvar hos underprocessorn ska begränsas till dess egna bearbetningsåtgärder enligt klausulerna.
3. Bestämmelserna om dataskyddsaspekter för underbehandling av det kontrakt som avses i punkt 1 ska regleras av lagen i den medlemsstat där dataexportören är etablerad.
4. Uppgiftsexportören skall föra en förteckning över delprocessavtal som ingåtts enligt klausulerna och anmälts genom uppgiftsimport enligt klausul 5 j, som bör uppdateras minst en gång om året. Förteckningen bör vara tillgänglig för uppgiftsutförarens tillsynsmyndighet för dataskydd.

Klausul 12

Skyldighet efter avslutad behandling av personuppgifter

1. Parterna är överens om att dataimportören och underbehandlaren, efter valet av dataexportören, ska återlämna alla personuppgifter som överförs och kopiorna av dem till dataexportören eller förstöra alla personuppgifterna och intygar att dataexportören har gjort det, såvida inte lagstiftningen som ålagts dataimportören hindrar den från att returnera eller förstöra hela eller delar av den överförda personuppgiften. I så fall garanterar dataimportören att det garanterar konfidentialiteten för de överförda personuppgifterna och inte längre kommer att behandla de personuppgifter som överförs.
2. Dataimportören och underprocessorn garanterar att den på begäran av dataexportören och / eller tillsynsmyndigheten kommer att lämna in sina databehandlingsanläggningar för en granskning av de åtgärder som avses i punkt 1.

TILLÄGG 1 till standardavtalsklausulerna

Detta tillägg ingår i klausulerna. Medlemsstaterna får i enlighet med sina nationella förfaranden fylla i eller specificera all ytterligare nödvändig information som skall ingå i detta tillägg.

A. Dataexportör

Dataexportören är Kunden, enligt definitionen i Inbjud as-kundens användarvillkor ("Avtalet").

B. Dataimportör

Dataimporten är Invite AS, en global leverantör av evenemangsregistrering och betalning, som även inkluderar turneringsadministration.

C. Registrerade

Kategorier av registrerade som anges i avsnitt 2 i databehandlingsavtalet som klausulerna är knutna till.

D. Datakategorier

Kategorier av personuppgifter som anges i avsnitt 2 i databehandlingsavtalet som klausulerna är knutna till.

E. Särskilda kategorier av data (om tillämpligt)

Parterna förväntar sig inte överföringen av speciella datakategorier.

F. Bearbetning

De behandlingsaktiviteter som anges i avsnitt 2 i databehandlingsavtalet som klausulerna är knutna till:

Tillägg 2 till standardavtalsklausulerna

Detta tillägg ingår i klausulerna.

Beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som genomförts av dataimportören i enlighet med klausulerna 4 (d) och 5 (c) (eller bifogat dokument / lagstiftning):

Invite AS följer för närvarande säkerhetspraxis som beskrivs i detta tillägg 2. Trots alla bestämmelser som motsätter annat som dataexportören har kommit överens om, kan Invite AS ändra eller uppdatera dessa metoder efter eget gottfinnande förutsatt att sådan ändring och uppdatering inte resulterar i en väsentlig försämring i det skydd som erbjuds av dessa metoder. Alla aktiverade termer som inte annars definieras häri ska ha de betydelser som anges i Avtalet.

a) Åtkomstkontroll

i) Förhindra obehörig produktåtkomst

Outsourcad bearbetning: Invite AS är värd för sina applikationer med outsourcade resurser. Dessutom upprätthåller Invite AS avtalsförhållanden med leverantörer för att tillhandahålla tjänsten i enlighet med vårt databehandlingsavtal. Invite AS är beroende av avtalsavtal, sekretesspolicyer och program för leverantörsöverensstämmelse för att skydda data som behandlas eller lagras av dessa leverantörer.

Fysisk och miljösäkerhet: Invite AS är värd för sin produktinfrastruktur med outsourcade infrastrukturleverantörer med flera hyresgäster. De flesta av de fysiska och miljömässiga säkerhetskontrollerna granskas för ISO / IEC 27001-överensstämmelse, bland andra certifieringar.

Autentisering: Invite AS implementerade en enhetlig lösenordspolicy för sina kundprodukter. Kunder som interagerar med produkterna via användargränssnittet måste verifiera innan de får tillgång till icke-offentlig kundinformation.

Auktorisering: Kunddata lagras i lagringssystem med flera innehavare som är tillgängliga för kunder via endast program användargränssnitt och program programmeringsgränssnitt. Kunder får inte direkt åtkomst till den underliggande program infrastrukturen. Auktoriseringsmodellen i var och en av Invite AS:s produkter är utformad för att säkerställa att endast de lämpligt tilldelade individerna kan komma åt relevanta funktioner, vyer och anpassningsalternativ. Auktorisering till datauppsättningar utförs genom att verifiera användarens behörigheter mot de attribut som är associerade med varje datauppsättning.

Application Programming Interface (API) access: Offentliga produkt-API: er kan nås med en API-nyckel.

ii) Förhindra obehörig produktanvändning

Invite AS implementerar åtkomstkontroller och detekteringsfunktioner enligt branschstandard för de interna nätverk som stöder dess produkter.

Åtkomstkontroller: Nätverksåtkomstkontrollmekanismer är utformade för att förhindra att nätverkstrafik med obehöriga protokoll når produktinfrastrukturen. De tekniska åtgärderna som genomförs skiljer sig åt mellan infrastrukturleverantörer och inkluderar VPC-implementeringar (Virtual Private Cloud), säkerhetsgruppstilldelning och traditionella brandväggsregler.

Statisk kodanalys: Säkerhetsgranskningar av kod som lagras i Invite AS:s källkodsdatabaser utförs, vilket söker efter kodningstips och identifierbara programvarufel.

iii) Begränsningar av behörighets- och behörighetskrav

Produktåtkomst: En delmängd av Invite AS:s anställda har tillgång till produkterna och till kunddata via kontrollerade gränssnitt. Syftet med att ge åtkomst till en delmängd av anställda är att tillhandahålla effektiv kundsupport, felsöka potentiella problem, upptäcka och reagera på säkerhetsincidenter och implementera datasäkerhet. Åtkomst aktiveras genom "just-in-time"-begäranden om åtkomst. Alla sådana förfrågningar loggas. Anställda beviljas åtkomst efter roll och granskningar av privilegier med hög risk initieras dagligen. Medarbetarnas roller ses över minst en gång var sjätte månad.

Bakgrundskontroller: Alla Invite AS-anställda genomgår en bakgrundskontroll från tredje part innan de förlängs ett anställningserbjudande, i enlighet med tillämplig lag. Alla anställda är skyldiga att uppträda på ett sätt som överensstämmer med företagets riktlinjer, krav på information och etiska standarder.

b) Överföringskontroll

Under transport: Bjud in AS gör HTTPS-kryptering (även kallad SSL eller TLS) tillgänglig på alla sina inloggningsgränssnitt och gratis på varje kundwebbplats som finns på Invite AS-produkterna. Bjud in AS:s HTTPS-implementering använder branschstandardalgoritmer och certifikat.

c) Ingångskontroll

Detektion: Invite AS utformade sin infrastruktur för att logga omfattande information om systembeteende, mottagen trafik, systemautentisering och andra programförfrågningar. Interna system aggregerade loggdata och varnade lämpliga anställda om skadliga, oavsiktliga eller avvikande aktiviteter. Bjud in AS-personal, inklusive säkerhets-, drift- och supportpersonal, som är lyhörda för kända incidenter.

Svar och spårning: Invite AS upprätthåller ett register över kända säkerhetsincidenter som innehåller beskrivning, datum och tider för relevanta aktiviteter samt incidentdisposition. Misstänkta och bekräftade säkerhetsincidenter undersöks av säkerhets-, drift- eller supportpersonal, och lämpliga lösningssteg identifieras och dokumenteras. För alla bekräftade incidenter kommer Invite AS att vidta lämpliga åtgärder för att minimera produkt- och kundskador eller obehörigt avslöjande.

Kommunikation: Om Invite AS blir medvetet om olaglig åtkomst till kunddata som lagras i dess produkter, kommer Invite AS: 1) att meddela de berörda kunderna om incidenten; 2) ge en beskrivning av de steg som Invite AS vidtar för att lösa incidenten; och 3) tillhandahålla statusuppdateringar till kundkontakten, vilket Inbjudnings-AS anser nödvändigt. Eventuella meddelanden om incidenter kommer att levereras till en eller flera av Kundens kontakter i ett formulär som Inbjud AS väljer, vilket kan inkludera via e-post eller telefon.

d) Tillgänglighetskontroll

Infrastrukturtillgänglighet: Infrastrukturleverantörerna använder kommersiellt rimliga ansträngningar för att säkerställa ett minimum av 99,95% upptid. Leverantörerna upprätthåller ett minimum av N + 1-redundans för kraft-, nätverks- och HVAC-tjänster.

Feltolerans: Säkerhetskopierings- och replikeringsstrategier är utformade för att säkerställa redundans och failover-skydd under ett betydande bearbetningsfel. Kunddata säkerhetskopieras till flera hållbara datalagrar och replikeras över flera tillgänglighetszoner.

Online-repliker och säkerhetskopior: Där det är möjligt är produktionsdatabaser utformade för att replikera data mellan inte mindre än en primär och en sekundär databas. Alla databaser säkerhetskopieras och underhålls med åtminstone industristandardmetoder.

Invite AS produkter är utformade för att säkerställa redundans och sömlös failover. Serverinstanserna som stöder produkterna är också utformade med målet att förhindra enskilda felpunkter. Den här designen hjälper Invite AS-åtgärder att underhålla och uppdatera produktprogrammen och serverdelen samtidigt som stilleståndstiden begränsas.

UTSTÄLLNING 2

Lista över underprocessorer

• Amazon Web Services (Från 2019)
• Google
• Intercom
• Mailchimp
• Pistol
• Produktkort
• Framgångsrika verk
• Telavox
• Twilio
• Glesys - (Värd porslin)
• Hetzner (värdtjänster)
• Osvath Boros Robert (utvecklare)
• Szasz-Revai Endre (infrastruktur)