Standard kontraktbestemmelser

Vi har laget dette DPA-utkastet slik at det omfatter alle mulige SCC-konfigurasjoner. Det er ikke sikkert at alle gjelder for deg. For større klarhet:  

California Consumer Privacy Act (CCPA - Californias personvernforordning) 

Vi har oppdatert denne DPA-en til å reflektere California Privacy Rights Act (CPRA)-endringene til CCPA. Vi aksepterer ingen kundemodifikasjoner eller -endringer av denne DPA-en. 

Denne Momentive databehandlingsavtalen («DPA») danner en del av avtalen din med Momentive og inneholder bestemte vilkår knyttet til databeskyttelse, personvern og sikkerhet i samsvar med personvernlovgivningen, der det er aktuelt. Dersom (og kun i den grad) det er en konflikt mellom ulike personvernlovgivninger og -forskrifter, skal partene overholde det strengeste kravet eller høyeste standard, som ved en slik tvist utelukkende skal bestemmes av Momentive. 

Denne DPA-en er mellom kunden og den gjeldende Momentive-enheten, som er fastsatt på følgende vis: 

(i) for kunder som befinner seg i andre land enn USA, skal Momentive Europe UC være kontraktsenhet;

(ii)  for kunder som befinner seg i USA, skal Momentive Inc. være kontraktsenhet

Dette er den siste versjonen av DPA (datert 1. januar 2023). 

I denne DPA-en har følgende utrykk, med mindre annet kreves av konteksten, følgende betydninger: 

«Avtale» innebærer alle avtaler mellom Momentive Inc. eller Momentive Europe og en kunde for tjenestene. En slik avtale kan ha ulike titler, som «Bestillingsskjema», «Salgsbestilling», «Vilkår for bruk» eller «Master eller Gjeldende tjenesteavtale». 

«Artikkel 28» betyr artikkel 28 i GDPR og GDPR i Storbritannia, som gjelder for behandling av kundens personopplysninger. 

«Kunden» eller «du» innebærer kunden som er identifisert i og/eller er delaktig i avtalen. 

«Kundedata» betyr alle data (inkludert blant annet kundens personopplysninger) som gis til Momentive av eller på vegne av kunden gjennom kundens bruk av tjenestene, og alle data tredjeparter sender til kunden gjennom tjenestene. 

«Kundens personopplysninger» betyr alle personopplysninger som sendes gjennom tjenestene av eller til kunden, og som behandles av Momentive for å levere tjenestene til kunden, inkludert personopplysningene som er angitt i vedlegg 2 til dette tillegget om databehandling. 

«Personvernlovgivning» betyr: 
(i) Personvernforordningen (Regulation (EU) 2016/679)(«GDPR») og alle andre gjeldende EU-, EØS- eller medlemsstatslover for det indre europeiske markedet eller eventuell oppdatering, endring eller erstatning av tilsvarende som gjelder for behandling av personopplysninger etter avtalen;

(ii) Swiss Federal Act on Data Protection Act («FADP»), eller den nye føderale loven om databeskyttelse, som trådte i kraft 1. januar 2023 («nFADP»);

(ii) alle lover og forskrifter i USA som gjelder for behandling av personopplysninger etter avtalen, inkludert, men ikke begrenset til, California Consumer Privacy Act of 2018 (Cal. Civ. Code §§ 1798.100 - 1798.199)(«CCPA»); 

(iv) alle lover og forskrifter som gjelder for behandling av personopplysninger under avtalen som fra tid til annen er på plass i Storbritannia (inkludert GDPR i Storbritannia); og

(v) Personal Information Protection and Electronic Documents Act («PIPEDA»), eller enhver oppdatering, endring eller erstatning av tilsvarende som gjelder for behandling av personopplysninger i Canada.

Begrepene «behandlingsansvarlig», «vurdering av personvernkonsekvenser», «prosess», «behandling», «behandler», «tilsynsmyndighet» betyr det samme som i GDPR eller GDPR i Storbritannia.

«Momentive» eller «oss» innebærer Momentive Inc. for kunder i USA, og Momentive Europe for kunder utenfor USA. 

«Momentive Europe» innebærer Momentive Europe UC, et irsk selskap som befinner seg i 2 Shelbourne Buildings, andre etasje, Shelbourne Road, Dublin 4, Ireland. 

«Momentive Inc.» innebærer Momentive Inc., et Delaware-selskap basert i One Curiosity Way, San Mateo, CA 94403, United States.  

«Momentives personvernregler» innebærer Momentives personvernregler ved https://no.surveymonkey.com/mp/legal/privacy/.

«Personopplysninger» betyr informasjon knyttet til en levende person som med rimelighet kan identifiseres ut fra informasjon, enten alene eller sammen med annen informasjon («registrerte»).

«Tjenester» innebærer tjenester som bestilles av kunden fra Momentive under avtalen. 

«SCC-er» betyr «standardbestemmelsene» som er vedlagt Europakommisjonens beslutning fra: i) 4. juni 2021 om standardbestemmelser for overføring av personopplysninger til et tredje land i henhold til GDPR eller ii) (inntil Momentive har inngått de standard kontraktbestemmelsene som beskrives i punkt i)) 5. februar 2010 for overføring av kundens personopplysninger til behandlere etablert i et tredje land i henhold til direktiv 95/46/EC). Der FADP/nFADP gjelder, skal alle referanser som gjøres i SCC-ene, tolkes som korresponderende referanser til FADP/nFADP. Alle begreper som brukes i denne sammenheng, skal derfor motta definisjonen som er gitt i FADP/nFADP.

«UK Addendum» betyr (i) malen til tillegget som ble utstedt av UK Information Commissioner's Office og lagt frem for det britiske parlamentet i samsvar med paragraf 119A i UK Data Protection Act 2018 den 2. februar 2022, som revidert i henhold til paragraf 18 i de obligatoriske bestemmelsene fra tid til annen. Malen som er nevnt i denne definisjonen, betyr dokumentet: International Data Transfer Addendum to the EU Commission Standard Contractual, versjon B1.0, som trådte i kraft 21. mars 2022, eller (ii) (frem til Momentive har inngått I UK Addendum som er beskrevet i (i)), Europakommisjonens beslutning 5. februar 2010 om overføring av personopplysninger til behandlere etablert i et tredje land i direktiv 95/46/EF.

«GDPR i Storbritannia» betyr EU GDPR som en del av lovene i England og Wales, Skottland og Nord-Irland lovparagraf 3 i EUs (Withdrawal) Act 2018 og som endret av Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 og 2020 (henholdsvis) og enhver gjeldende lovgivning i Storbritannia fra tid til annen som senere endrer eller erstatter GDPR i Storbritannia.

Ved levering av tjenestene til kunden er Momentive en behandler av kundens personopplysninger i henhold til GDPR. Med tanke på CCPA, som aktuelt, samtykker Momentive og kunden herved i at Momentive er en «tjenesteleverandør» og at kunden er «bedriften» med tanke på personopplysninger (som definert under CCPA).

Denne DPA-en forblir gjeldende inntil avtalen avsluttes (i tråd med vilkårene) eller utløper. 

Kunden skal påse, og garanterer og forsikrer herved, at hen er berettiget å overføre kundedata til Momentive slik at Momentive på lovlig vis kan behandle og overføre personopplysninger i tråd med denne DPA-en. Kunden skal påse at relevante registrerte individer har blitt informert om denne bruken, behandlingen og overføringen slik det kreves av personvernlovgivningen og at lovlig samtykke har blitt innhentet (der gjeldende). Kunden skal sikre at personopplysninger som behandles eller overføres til Momentive gjøres på lovlig og skikkelig vis.

Der Momentive behandler kundens personopplysninger for kunden som behandler, vil Momentive:

(a) kun gjøre det på dokumenterte instrukser fra kunden og i samsvar med personvernlovgivningen, herunder med hensyn til overføring av personopplysninger til andre jurisdiksjoner eller en internasjonal organisasjon, og der partene er enige om at avtalen utgjør slike dokumenterte instrukser fra kunden til Momentive for å behandle kundens personopplysninger (inkludert til steder utenfor EØS) sammen med andre rimelige instrukser gitt av kunden til Momentive (f.eks. via e-post) der slike instrukser er i samsvar med avtalen; 

(b) sikre at alt Momentive-personell som er involvert i behandlingen av kundens personopplysninger er underlagt taushetsplikt med hensyn til personopplysningene; 

(c) tilgjengeliggjøre informasjon som er nødvendig for kunden for å demonstrere overholdelse av sine Artikkel 28-forpliktelser (hvis aktuelt for kunden) der slik informasjon besittes av Momentive og ikke på annen måte er tilgjengelig for kunden gjennom deres konto- og brukerområder eller på Momentives nettsteder, forutsatt at kunden gir Momentive minst 14 dagers skriftlig varsel om en slik informasjonsforespørsel;

(d) samarbeide som med rimelighet anmodet av kunden, for å la kunden kunne utøve sine rettigheter som den registrerte, som gitt av personvernlovgivningen, med hensyn til personopplysninger som behandles av Momentive ved levering av tjenestene; 

(e) gi assistanse, der det er nødvendig, med forespørsler mottatt direkte fra en registrert med hensyn til personopplysninger til den registrerte som er sendt inn gjennom tjenestene;

(f) ved sletting av deg, ikke beholde kundens personopplysninger fra kontoen din annet enn for å overholde gjeldende lover og forskrifter og som ellers kan oppbevares i rutinemessige sikkerhetskopier laget for krisegjenoppretting og forretningskontinuitetsformål som er underlagt våre oppbevaringspolicyer; 

(g) samarbeide med enhver tilsynsmyndighet eller ethvert erstatnings- eller etterfølgerorgan fra tid til annen (eller, i den grad det kreves av kunden, enhver annen databeskyttelse- eller personvernregulator under personvernlovgivningen) i utførelsen av slik tilsynsmyndighets oppgaver der det er påkrevd; 

(h) bistå kunden der det med rimelighet er påkrevd og kunden: 

(i) gjennomfører en konsekvensanalyse for databeskyttelse som involverer tjenesten (som kan omfatte å levere dokumentasjon for å la kunden utføre sin egen vurdering); eller

(ii) er pålagt å varsle en sikkerhetshendelse (som definert nedenfor) til en tilsynsmyndighet eller en relevant registrert

(i) ikke kommer til å (a) selge eller dele personopplysninger (som definert under CCPA) for kommersielle formål, eller (b) innhente, beholde, bruke, avsløre, eller på annet vis behandle personopplysninger annet enn (1) for å innfri sine forpliktelser overfor kunden etter avtalen (2) på kundens vegne, (3) for kundens driftsmessige formål, (4) for Momentives interne bruk som tillatt av personvernlovgivningen, (5) for å oppdage sikkerhetshendelser eller beskytte seg mot uredelige eller ulovlige aktiviteter, eller (6) som ellers tillatt under personvernlovgivningen; 

(j) Der det kreves at personvernlovgivningen, vil Momentive informere kunden hvis de oppdager at de mottatte instruksene fra kunden strider mot bestemmelsene i personvernlovgivningen. Til tross for det foregående skal Momentive ikke ha noen forpliktelse til å overvåke eller gjennomgå lovligheten av instrukser mottatt fra kunden; og

(k) Momentive bekrefter at de forstår begrensningene og forpliktelsene som er angitt i denne DPA-en, og at de vil overholde dem. 

6.1 Underdatabehandling. Kunden gir en generell godkjenning til Momentive for å hyre inn videre underdatabehandlere som er underlagt samsvar med kravene her i avsnitt 6.

6.2 Liste over underdatabehandlere. Momentive vil, under forbehold av taushetsplikten i avtalen eller på annen måte pålagt av Momentive:

(a) gi kunden tilgang til en liste med Momentives underleverandører som er involvert i behandling eller delbehandling av kundens personopplysninger i forbindelse med levering av tjenestene («underbehandlere»), sammen med en beskrivelse av tjenestene som tilbys av hver underbehandler («underbehandlerliste»). En kopi av denne underbehandlerlisten kan forespørres her: 

(b) sikre at alle underdatabehandlere på listen over underdatabehandlere er bundet av kontraktsvilkår som i alle vesentlige henseender ikke er mindre strenge enn de i denne DPA-en; og 

(c) være ansvarlig for handlingene og unnlatelsene til sine underdatabehandlere i samme grad Momentive ville være ansvarlig hvis de utfører tjenestene til hver av disse underdatabehandlerne direkte under vilkårene i denne DPA-en, med mindre annet er angitt i avtalen 

Melding om ny underdatabehandler  Momentive skal gi kunden skriftlig beskjed dersom det benyttes en ny underdatabehandler eller en eksisterende underdatabehandler erstattes i løpet av avtalens varighet («Melding om ny underdatabehandler»). Kunden skal enten registrere seg for en e-postliste som gjøres tilgjengelig av Momentive, der slike meldinger leveres via e-post , eller sjekke oppdateringene i listen her. Hvis kunden har et rimelig grunnlag for å motsette seg Momentives bruk av en ny underdatabehandler eller utskiftning av en underdatabehandler, skal kunden umiddelbart varsle Momentive skriftlig og i alle tilfeller senest innen 30 dager etter å ha mottatt meldingen om en ny underdatabehandler. Ved en slik rimelig innvending kan enten kunden eller Momentive si opp enhver del av en avtale knyttet til tjenestene som ikke med rimelighet kan leveres uten innvendingene mot den nye underdatabehandleren (som etter Momentives skjønn og valg kan innebære å si opp hele avtalen) med umiddelbar virkning ved å gi skriftlig beskjed til den andre parten. Slik oppsigelse utelukker refusjon for eventuelle avgifter som er forhåndsbetalt av kunden for perioden etter oppsigelsen.

7.1 Sikkerhetstiltak. Momentive har, tatt i betraktning den nyeste teknologien, kostnadene ved implementering og arten, omfanget, konteksten og formålene med tjenestene og risikonivået, implementert passende tekniske og organisatoriske tiltak (i samsvar med vedlegg 1) for å ivareta et sikkerhetsnivå som er passende for risikoen for uautorisert eller ulovlig behandling, utilsiktet tap av og/eller skade på kundedata. Momentive tester og evaluerer sikkerheten til disse tekniske og organisatoriske tiltakene med en rimelig hyppighet for å ivareta sikkerheten til prosesseringen.

7.2 Varsling om sikkerhetshendelse og -brudd. Hvis Momentive blir oppmerksom på uautorisert eller ulovlig tilgang til, eller anskaffelse, endring, bruk, avsløring eller ødeleggelse av kundens personopplysninger («Sikkerhetshendelse»), vil Momentive ta rimelige grep for å varsle kunden uten unødig forsinkelse. En sikkerhetshendelse innebærer ikke mislykkede forsøk eller aktiviteter som ikke går utover sikkerheten til personopplysningene, inkludert mislykkede påloggingsforsøk, pinger, portskanning, tjenestenektangrep, eller andre nettverksangrep på brannmurer eller nettverkssystemer. Varslinger til kunden om sikkerhetshendelser utgjør ingen innrømmelse av ansvar av Momentive.

7.3 Momentive vil også med rimelighet samarbeide med kunden med hensyn til etterforskning som er tilknyttet en sikkerhetshendelse ved å forberede påkrevde varsler og overlevere informasjon med rimelighet forespurt av kunden med hensyn til sikkerhetshendelser. 

8.1 Revisjoner. Der Momentive behandler kundens personopplysninger for kunden (kun som behandler), vil kunden gi Momentive minst én måneds skriftlig varsel om enhver revisjon som kan utføres av kunden eller en uavhengig revisor utnevnt av kunden (forutsatt at ingen person som utfører revisjonen er, eller skal handle på vegne av, en konkurrent til Momentive) («Revisor»). Omfanget av en revisjon vil være som følger:

(a) Kunden har bare rett på å få utført én revisjon én gang per abonnementsår, med mindre annet er lovfestet eller påkrevd av en regulator med autoritet over kunden for å utføre eller få gjort en gjennomføring av mer enn 1 revisjon i samme år (i hvilket tilfelle kunden og Momentive vil, i forkant av disse revisjonene, bli enige om en passende refusjonssats for Momentives revisjonsutgifter).

(b)Momentive godtar, med forbehold om hensiktsmessig og rimelig taushetsplikt, å fremlegge bevis for alle sertifiseringer og samsvarsstandarder de opprettholder, og vil på forespørsel gjøre et sammendrag av Momentives siste årlige penetrasjonstester tilgjengelig for kunden, der dette sammendrag skal inkludere utbedrende tiltak gjort av Momentive som følge av penetrasjonstestene. 

(c) Omfanget av en revisjon vil være begrenset til Momentive-systemer, -prosesser og -dokumentasjon som er relevant for behandling og beskyttelse av kundens personopplysninger, og revisorer vil gjennomføre revisjoner underlagt alle passende og rimelige taushetsplikter som kreves av Momentive.

(d) Kunden vil umiddelbart varsle og gi Momentive på konfidensiell basis alle detaljer vedrørende eventuelt antatt mislighold eller sikkerhetsproblemer som oppdages i løpet av en revisjon.

8.2 Partene er enige om at, med mindre annet kreves av ordre eller annet bindende dekret fra en tilsynsmyndighet eller regulator med myndighet over kunden, angir avsnitt 8 her hele omfanget av kundens revisjonsrettigheter mot Momentive.

9.1 I den grad det er aktuelt, ved overføring av kundens personopplysninger fra EØS-området («EØS»), Sveits eller Storbritannia til steder utenfor EØS, Sveits og Storbritannia (enten direkte eller via videreoverføring) som ikke har tilstrekkelige standarder for databeskyttelse som fastsatt av EU-kommisjonen eller relevant personvernlovgivning, lener Momentive seg på:

(a) standardbestemmelsene og

(b) for overføringer underlagt UK GDPR, UK Addendum, eller

(c) slike andre egnede sikkerhetstiltak eller fravikelser (i den grad det er hensiktsmessig) som er spesifisert eller tillatt i henhold til personvernlovgivningen.

9.2 når det er nødvendig, inngår partene herved SCC-ene (en kopi av disse er tilgjengelig her) og UK Addendum (vedlegg 3). SCC-ene er innlemmet i denne avtalen ved referanse og skal gjelde som følger: 

(a) i tilfeller der kunden inngår en kontrakt med Momentive Inc. i USA i henhold til avtalen om tjenester, og er behandlingsansvarlig for kundens personopplysninger og, gjennom bruk av tjenestene, overfører kundens personopplysninger fra EØS til steder som ifølge EU-kommisjonen ikke har et tilstrekkelig nivå av personvern, inngår Momentive standardbestemmelser som dataimportør, og kunden inngår standardbestemmelser som dataeksportør, og bare Modul to av standardbestemmelsene vil gjelde, og/eller

(b) i tilfeller der kunden inngår kontrakt med Momentive Inc. i USA i henhold til avtalen om tjenester, og er databehandler for kundens personopplysninger og, gjennom bruk av tjenestene, overfører kundens personopplysninger fra EØS til steder som ifølge EU-kommisjonen ikke har et tilstrekkelig nivå av personvern, inngår Momentive standardbestemmelser som dataimportør, og kunden inngår standardbestemmelser som dataimportør, og bare Modul to av standardbestemmelsene vil gjelde, og/eller

(c) i tilfeller der kunden ikke er bosatt i EØS og inngår kontrakter med Momentive Europe UC for å lagre kundens personopplysninger innenfor EØS under avtalen, og er en datakontrollør for kundens personopplysninger og, gjennom bruk av tjenestene, overfører disse personopplysningene fra EØS til steder som ifølge EU-kommisjonen ikke har et tilstrekkelig nivå av personvern, inngår Momentive standardbestemmelser som dataeksportør, og kunden inngår standardbestemmelser som dataimportør, og bare Modul to av standardbestemmelsene vil gjelde, og

(d) i punkt 7 gjelder den valgfrie innlemmelsesklausulen

(e) i punkt 11 gjelder ikke det valgfrie språket

(f) i punkt 17 er standardbestemmelsene underlagt irsk lovgivning

(g) i klausul 18 skal tvister løses for domstolene i Irland, og

(h) Vedlegg I og II av standardbestemmelsene skal anses som fylt ut med informasjonen som er angitt i avtalen og detaljene som er gitt i vedlegg til dette tillegget om databehandling

9.3 For overføringer som er beskyttet av FADP/nFADP, skal SCC-ene gjelde i samsvar med paragraf 9.2 ovenfor, bortsett fra: 

(a) referanser i SCC-ene til GDPR skal tolkes som referanser til FADP/nFADP;  

(b) eventuelle referanser til «EU», «Union» og «medlemsstatslover» skal tolkes som referanser til Sveits og sveitsisk lov; og  

(c ) eventuelle referanser til «kompetent tilsynsmyndighet» og «kompetente domstoler» skal tolkes som referanser til det relevante datatilsynet og domstoler i Sveits, med mindre SCC-ene, implementert som beskrevet ovenfor, ikke kan brukes til å lovlig overføre slike personlige kundeopplysninger i samsvar med FADP/nFADP, i hvilket tilfelle de sveitsiske SCC-ene i stedet skal inkorporeres ved referanse og danne en vesentlig del av denne DPA-en og gjelde for slike overføringer. For formålet til de sveitsiske SCC-ene skal de relevante vedleggene av de sveitsiske SCC-ene fylles ut ved hjelp av informasjonen i vedlegg I og II til denne DPA-en (som passende) og de tolkningsmessige bestemmelsene fastsatt i denne paragraf 9.3 skal gjelde (som aktuelt og som påkrevd for formålet av samsvar med FADP/nFADP).  

9.4 På skriftlig forespørsel og i henhold til bestemmelsene i de standard kontraktbestemmelser eller UK Addendum (som aktuelt) skal Momentive gi kopier av de standard kontraktbestemmelser eller UK Addendum som er inngått med dataimportører i form av Momentives funksjon som databehandler for kunden.

10.1 Ansvar for databehandling. Hver parts sammensatte ansvar for krav som er festet i kontrakten, erstatningsrett (inkludert uaktsomhet), brudd på lovpålagte plikter eller på annen måte som følge av eller i forbindelse med denne DPA-en skal være som angitt i avtalen, med mindre annet er skriftlig avtalt av partene.

10.2 Konflikt. Ved konflikt eller tvetydighet mellom: (i) vilkårene i denne DPA-en og vilkårene i avtalen, med hensyn til emnene i denne DPA-en, skal vilkårene i denne DPA-en ha forrang; (ii) vilkårene til andre bestemmelser som beskrives i denne DPA-en og bestemmelser som beskrives i de standard kontraktbestemmelser skal bestemmelsene i de standard kontraktbestemmelser ha forrang.

10.3 Uavhengig behandling Kunden forblir utelukkende ansvarlig for sitt eget samsvar med personvernlovgivningen med tanke på eventuell uavhengig innsamling og behandling av personopplysninger som ikke er relatert til tjenestene. Kunden skal oppgi sine egne tydelige og lett synlige personvernregler som nøyaktig beskriver hvordan de gjør dette, og Momentive er ikke ansvarlig for noen behandling av personopplysninger av kunden i slike omstendigheter. Kunden holder herved Momentive fullstendig skadesløse mot alle krav eller ethvert ansvar som oppstår som følge av slik innsamling og bruk av personopplysninger av vedkommende i slike omstendigheter.

10.4 Hele avtalen. Avtalen (som inkorporerer denne DPA-en) og ethvert bestillingsskjema representerer hele avtalen mellom partene, og den erstatter alle andre tidligere eller samtidige avtaler eller vilkår, skriftlige eller muntlige, angående emnet. Hver av partene bekrefter at de ikke har basert seg på noen forsikringer som ikke er nedtegnet i avtalen som har fått dem til å inngå avtalen. (iii) konstant overvåking av infrastruktur (

10.5 Atskillelse. Hvis en eventuell bestemmelser for denne DPA-en blir fastslått å være uhåndterlig av en domstol med kompetent jurisdiksjon, frafaller bestemmelsen og resten av vilkårene gjelder i sin helhet. Ingenting i denne DPA-en er ment til, eller skal anses som, å opprette noe samarbeid eller fellesforetak mellom noen av partene, og autoriserer heller ikke noen parter til å opprette eller inngå noen forpliktelser for eller på vegne av noen annen part unntatt som uttrykkelig angitt her.

10.6 Elektronisk kopi. DPA-en leveres som et elektronisk dokument.

10.7 Gjeldende lov. Denne DPA-en skal være underlagt lovene i Irland, og partene underkaster seg utelukkende jurisdiksjonen til de irske domstolene (med hensyn til alle kontraktmessige og ikke-kontraktmessige tvister) unntatt i tilfeller av påstått brudd eller brudd på gjeldende eller fremtidige personvernlover, forskrifter, standarder, regulatoriske veiledninger og selvregulerende retningslinjer på statlig eller føderalt nivå i USA, der lovene i staten California skal gjelde med mindre annet er diktert av loven.

Beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene som iverksettes av Momentive 

Momentive vil opprettholde hensiktsmessige administrative, fysiske og tekniske sikkerhetstiltak («Sikkerhetstiltak») for beskyttelse av sikkerheten, konfidensialiteten og integriteten til personopplysninger gitt til dem for levering av tjenestene til Kunden. 

Sikkerhetstiltakene inkluderer følgende: 

(a) Domene: Organisasjon av informasjonssikkerheten.

(i) Sikkerhetsroller og ansvar. Momentive-personell med tilgang til data er underlagt taushetsplikt.

(ii) Risikostyringsprogram. Momentive utfører en risikovurdering der det er hensiktsmessig før dataene behandles.

(b) Domene: Ressurshåndtering

(i) Ressursshåndtering.

(1) Momentive har prosedyrer for å avhende utskrevet materiale som inneholder kundedata.

(2) Momentive opprettholder en oversikt over all maskinvare som kundedata lagres på.

(c) Domene: HR-sikkerhet.

(i) Sikkerhetsopplæring.

(1) Momentive informerer sitt personell om relevante sikkerhetsprosedyrer og deres respektive roller. Momentive informerer også sine ansatte om mulige konsekvenser av brudd på sikkerhetsreglene og -prosedyrene.

(d) Domene: Fysisk og miljømessig sikkerhet.

(i) Fysisk tilgang til fasiliteter. Momentive begrenser adgang til fasiliteter der det er informasjonssystemer som behandler kundedata for å identifisere godkjente personer.

(ii) Beskyttelse mot avbrudd. Momentive bruker en rekke systemer som er bransjestandard for å beskytte mot tap av data som følge av strømbrudd eller støy på kraftledninger.

(iii) Komponentavhending. Momentive bruker prosesser som er bransjestandard for å slette kundedata når den ikke lenger trengs.

(e) Domene: Kommunikasjon og driftsstyring. 

(i) Driftspolicy. Momentive tar vare på sikkerhetsdokumenter som beskriver sikkerhetstiltakene og de relevante prosedyrene og ansvaret til personellet som har tilgang til kundedata. 

(ii) Datagjenopprettingsprosedyrer. 

(1) Momentive oppretter sikkerhetskopier av kundedata på regelmessig kontinuerlig basis, som gjør at kundedata kan gjenopprettes dersom hovedkopien skulle gå tapt. 

(2) Momentive oppbevarer kopier av kundedata og datagjenopprettingsprosedyrer på et annet sted enn der hoveddatautstyret som behandler kundedata befinner seg. 

(3) Momentive har etablert spesifikke prosedyrer som regulerer tilgangen til kopier av kundedata. 

(iii) Skadelig programvare. Momentive har beskyttelse mot skadelig programvare for å hindre at skadelig programvare får uautorisert tilgang til kundedata, herunder skadelig programvare som kommer fra offentlige nettverk.

(iv) Data utenfor landegrenser. 

(1) Momentive krypterer kundedata som overføres over offentlige nettverk. 

(v) Loggføring av hendelser.

(1) Momentive loggfører bruk av databehandlingssystemer. 

(2) Momentive loggfører tilgang og bruk av informasjonssystemer som inneholder kundedata ved å registrere tilgangs-ID, tidsstempel og enkelte relevante aktiviteter.

(f) Domene: Administrasjon av informasjonssikkerhetshendelser

(i) Hendelsesrespons-prosess. 

(1) Momentive opprettholder en hendelsesresponsplan.  

(2) Momentive fører oversikt over sikkerhetsbrudd med en beskrivelse av bruddet, tidsperioden, konsekvensene av bruddet, navnet på melderen, og hvem bruddet ble rapportert til, og utbedringstrinn, hvis aktuelt.

(g) Domene: Styring av forretningskontinuitet.

(i) Momentives redundante lagring og deres prosedyrer for å gjenopprette data er utformet for å forsøke å rekonstruere kundedata i sin opprinnelige tilstand fra før tidspunktet de ble tapt eller ødelagt.   

(h) Tilgangskontroll til behandlingsområder.  Prosesser for å hindre uautoriserte personer i å få tilgang til databehandlingsutstyret (det vil si telefoner, database- og applikasjonsservere og tilhørende maskinvare) der kundens personopplysninger behandles eller brukes, for å inkludere: 

(i) etablering av sikre områder; 

(ii) beskyttelse og begrensning av tilgangsbaner

(iii) å sikre mobiltelefoner;   

(iv) databehandlingsutstyr og personlige datamaskiner

(v) all tilgang til datasentre der kunders personopplysninger driftes, blir loggført, overvåket og sporet;  

(vi) datasentrene der kunders personopplysninger driftes, er sikret av et sikkerhetsalaramsystem og andre nødvendige sikkerhetstiltak; og 

(vii) anlegget er utformet for å tåle ugunstig vær og andre rimelig forutsigbare naturforhold, er sikret med vakthold døgnet rundt, nøkkelkort og/eller biometrisk tilgang (alt etter risikonivå), screening og tilgang som krever følgeperson, og er også støttet av sikkerhetskopieringsgeneratorer på lokasjonen i tilfelle strømbrudd

(i) Tilgangskontroll til databehandlingssystemer. Prosesser for å hindre databehandlingssystemer fra å brukes av uautoriserte personer, for å inkludere:  

(i) identifikasjon av terminalen og/eller terminalbrukeren til databehandlingssystemene; 

(ii) automatisk tidsavbrudd etter 30 minutter eller mindre der brukerterminalen ikke er i bruk, med behov for å oppgi identifikasjon og passord for å åpne på nytt

(iii) utsteding og sikkerhetsoppbevaring av identifikasjonskoder;  

(iv) passordkrav (minimumslengde, utløpsdato på passord osv.) 

(v) beskyttelse mot ekstern tilgang ved bruk av en brannmur som er industristandard.  

(j) Tilgangskontroll for å bruke spesifikke områder av databehandlingssystemer.  Tiltak for å sikre at personer som har rett til å bruke databehandlingssystemer, bare har tilgang til dataene innenfor omfanget og i den grad de er dekket av deres respektive tilgangstillatelser (autorisasjon) og at kundens personopplysninger ikke kan leses, kopieres, endres eller fjernes uten tillatelse, inkluderes ved:

(i) å implementere bindende retningslinjer for ansatte, og gi opplæring om hver enkelt av de ansattes tilgangsrettigheter til kunders personopplysninger;

(ii) effektive og målte disiplinærtiltak mot enkeltpersoner som får tilgang til kundens personopplysninger uten autorisasjon 

(iii) frigjøring av data kun til autoriserte personer; 

(iv) å implementere prinsipper for minste privilegerte tilgang til informasjon som inneholder kunders personopplysninger på strengt grunnlag av behovskrav;

(v) administrasjon av produksjonsnettverk og datatilgang styrt av VPN, tofaktorsautentisering og rollebasert tilgangskontroll;

(vi) applikasjons- og infrastruktursystemer loggfører informasjon til et sentralstyrt logganlegg for feilsøking, sikkerhetsgjennomganger og analyser; og 

(vii) retningslinjer som kontrollerer oppbevaring av sikkerhetskopier som er i samsvar med gjeldende lover og som er passende for den aktuelle typen data og tilsvarende risiko.

(k) Overføringskontroll. Prosedyrer for å forhindre at kundens personopplysninger leses, kopieres, endres eller slettes av uautoriserte parter under overføringen av disse eller under transporten av datamediene, og for å sikre at det er mulig å kontrollere og fastslå til hvilke organer overføring av kundens personopplysninger ved hjelp av dataoverføringsfasiliteter er tiltenkt, for å inkludere: 

(i) bruk av brannmurer og krypteringsteknologier for å beskytte gatewayene og rørledningene som dataene går gjennom;

(ii) implementering av VPN-tilkoblinger for å sikre tilkoblingen til det interne bedriftsnettverket;

(iii) konstant overvåking av infrastruktur (f.eks. ICMP-Ping på nettverksnivå, diskplassundersøkelse på systemnivå, vellykket levering av spesifiserte testsider på applikasjonsnivå); og

(iv) overvåking av fullstendigheten og riktigheten av overføringen av data (ende-til-ende-kontroll). 

(l) Lagringskontroll. Ved lagring av kundens personopplysninger: de vil bli sikkerhetskopiert som en del av en designert sikkerhetskopierings- og gjenopprettingsprosess i kryptert form, ved bruk av en kommersielt støttet krypteringsløsning, og alle data som blir definert som kunders personopplysninger og er lagret på en bærbar datamaskin eller lagringsenhet blir også kryptert. Krypteringsløsninger blir distribuert med ikke mindre enn en 128-bits nøkkel for symmetrisk kryptering og en 1024-bits (eller større) nøkkellengde for asymmetrisk kryptering;

(m) Inngangskontroll. Tiltak for å sikre at det er mulig å kontrollere og fastslå om og i så fall av hvem kundens personopplysninger er lagt inn eller fjernet i databehandlingssystemet, inkluderer:

(i) autentisering av godkjent personell;

(ii) beskyttelsestiltak for dataoppføringer til minnet, samt for lesing, endring og sletting av lagrede data;

(iii) bruk av brukerkoder (passord);

(iv) bevis etablert i dataimportørens organisasjon for inndatagodkjenningen; og

(v) å sikre at innganger til databehandlingsanlegg (rommene som inneholder datamaskinvaren og relatert utstyr) er låst.

(n) Tilgjengelighetskontroll. Tiltak for å sikre at kundens personopplysninger er beskyttet mot utilsiktet ødeleggelse eller tap, inkluderer redundans i infrastruktur og regelmessige sikkerhetskopier utført på databaseservere. 

(o) Segregering av behandling. Prosedyrer for å sikre at data som samles inn til forskjellige formål kan behandles separat, for å inkludere:

(i) å skille data gjennom applikasjonssikkerhet for de aktuelle brukerne;

(ii) lagring av data, på databasenivå, i forskjellige tabeller, atskilt av modulen eller funksjonen de støtter;

(iii) utforming av grensesnitt, partiprosesser og rapporter kun for spesifikke formål og funksjoner, slik at data som samles inn for spesifikke formål behandles separat; og

(iv) å blokkere aktive data fra å bli brukt til testformål, da bare eksempeldata generert for testformål kan brukes til slikt.

(p) Sårbarhetshåndteringsprogram. Et program for å sikre at systemene regelmessig sjekkes for sårbarheter og at det som eventuelt oppdages blir umiddelbart utbedret, for å inkludere:

(i) alle nettverk, inkludert test- og produksjonsmiljøer, skannes regelmessig; og 

(ii) penetrasjonstester utføres regelmessig og sårbarheter utbedres straks.

(q) Destruering av data. I tilfelle utløp eller oppsigelse av avtalen av en av partene, eller på annen måte etter forespørsel fra kunden etter å ha mottatt kvittering på en forespørsel fra en registrert person eller tilsynsorgan: 

(i) alle kundedata skal destrueres på en sikker måte innen 3 måneder; og

(ii) alle kundedata skal fjernes fra alle Momentives og/eller tredjeparts lagringsenheter, inkludert sikkerhetskopier, innen 6 måneder fra oppsigelse eller mottakelse av forespørsel fra kunden, med mindre Momentive er lovpålagt å beholde dataene i en lengre periode. Momentive vil sørge for at alle slike data som ikke lenger er nødvendige, blir ødelagt til et nivå der det kan garanteres at de ikke lenger er mulige å gjenopprette.

(r) Standarder og sertifiseringer. Datalagringsløsninger og/eller -lokasjoner har minst SOC 1 (SSAE 16) eller SOC 2-rapporter – tilsvarende eller lignende sertifiseringer eller sikkerhetsnivåer blir undersøkt på individuell basis.

Formål og art av behandling av personopplysninger, kategorier av personopplysninger, registrerte 

BILAG FOR standardbestemmelser

VEDLEGG I –

A. LISTE OVER PARTER

MODUL TO: Overføre fra behandlingsansvarlig til databehandler

MODUL TRE: Overføre fra databehandler til databehandler

MODUL FIRE: Overføre fra databehandler til behandlingsansvarlig

Dataeksportør(er): Som angitt i avtalen

Kontaktpersonens navn, posisjon og kontaktinformasjon: Som angitt i avtalen

Aktiviteter som er relevante for dataene som overføres i henhold til disse klausulene: Som angitt i vedlegg 2 i tillegget om databehandling

Dataimportør(er): Som angitt i avtalen

Navn: Som angitt i avtalen

Kontaktpersonens navn, posisjon og kontaktinformasjon: Som angitt i avtalen

Aktiviteter som er relevante for dataene som overføres i henhold til disse klausulene: Som angitt i vedlegg 2 i tillegget om databehandling

B. BESKRIVELSE AV OVERFØRINGEN

MODUL TO: Overføre fra behandlingsansvarlig til databehandler

MODUL TRE: Overføre fra databehandler til databehandler

MODUL FIRE: Overføre fra databehandler til behandlingsansvarlig

Kategorier for registrerte personer som personopplysninger overføres for: Som angitt i vedlegg 2 i tillegget om databehandling

Kategorier for personopplysninger som overføres: Som angitt i vedlegg 2 i tillegget om databehandling

Sensitive data overført (om relevant) og anvendte restriksjoner eller sikkerhetstiltak som fullt ut tar hensyn til dataenes karakter og den involverte risikoen, for eksempel streng begrensning av formål, restriksjon av tilgang (inkludert tilgang bare for ansatte som har fått spesialisert opplæring), holde en oversikt over tilgangen til dataene, begrensninger for videreoverføring eller ytterligere sikkerhetstiltak: Som angitt i vedlegg 1 og 2 i tillegget om databehandling

Hyppigheten av overføringen (f.eks. om dataene overføres én gang eller kontinuerlig): én gang og kontinuerlig (avhengig av bruk av tjenestene)

Behandlingens karakter: Som angitt i vedlegg 2 i tillegget om databehandling

Formål for dataoverføringen og videre behandling: Som angitt i vedlegg 2 i tillegget om databehandling

Perioden som personopplysningene skal oppbevares for eller, hvis dette ikke er mulig, kriteriene som brukes til å bestemme denne perioden: Som angitt i avtalen og her

For overføringer til (under-)databehandlere, også angi emnet, karakteren og varigheten for behandlingen: Se her.

C. KOMPETENT TILSYNSMYNDIGHET

Identifiser kompetente tilsynsmyndigheter i henhold til punkt 13: Irland

VEDLEGG II – TEKNISKE OG ORGANISATORISKE TILTAK SOM ANGITT I VEDLEGG 1 I TILLEGGET OM DATABEHANDLING

VEDLEGG III – LISTE OVER UNDERDATABEHANDLERE

MODUL TO: Overføre fra behandlingsansvarlig til databehandler