Standard kontraktbestemmelser

Vi har laget dette DPA-utkastet slik at det omfatter alle mulige SCC-konfigurasjoner. Det er ikke sikkert at alle gjelder for deg. For større klarhet:  

California Consumer Privacy Act (CCPA - Californias personvernforordning) 

Vi har oppdatert denne DPA-en til å reflektere California Privacy Rights Act (CPRA)-endringene til CCPA. Vi aksepterer ingen kundemodifikasjoner eller -endringer av denne DPA-en. 

Denne SurveyMonkey-databehandleravtalen («DPA») utgjør en del av din avtale med SurveyMonkey og inneholder visse vilkår som har å gjøre med databeskyttelse, personvern og sikkerhet i samsvar med personvernlovgivning, der det er aktuelt. Dersom (og kun i den grad) det er en konflikt mellom forskjellig personvernlovgivning, skal partene overholde det strengeste kravet eller den høyeste standard, som ved en slik tvist utelukkende skal bestemmes av SurveyMonkey. 

Denne DPA-en er mellom kunden og den gjeldende SurveyMonkey-enheten, som er fastsatt på følgende vis: 

(i) for kunder som befinner seg i andre land enn USA, skal SurveyMonkey Europe UC være enheten som inngår kontrakt; 

(ii)  for kunder som befinner seg i USA, skal SurveyMonkey Inc. være enheten som inngår kontrakt. 

Dette er den siste versjonen av DPA (datert 15. juni 2023). 

I denne DPA-en har følgende utrykk, med mindre annet kreves av konteksten, følgende betydninger: 

«Avtale» betyr alle avtaler mellom SurveyMonkey Inc. eller SurveyMonkey Europe og en kunde for tjenestene. En slik avtale kan ha ulike titler, som «Bestillingsskjema», «Salgsbestilling», «Vilkår for bruk» eller «Master eller Gjeldende tjenesteavtale». 

«Artikkel 28» betyr artikkel 28 i GDPR og GDPR i Storbritannia, som gjelder for behandling av kundens personopplysninger. 

«Kunden» eller «du» innebærer kunden som er identifisert i og/eller er delaktig i avtalen. 

«Kundedata» betyr alle data (inkludert blant annet kundens personopplysninger) som gis til SurveyMonkey av eller på vegne av kunden gjennom kundens bruk av tjenestene, og alle data tredjeparter sender til kunden gjennom tjenestene. 

«Kundens personopplysninger» betyr alle personopplysninger som sendes gjennom tjenestene av eller til kunden, og som behandles av SurveyMonkey for å levere tjenestene til kunden, inkludert personopplysningene som er angitt i vedlegg 2 til dette tillegget om databehandling. 

«Personvernlovgivning» betyr: 
(i) Personvernforordningen (Regulation (EU) 2016/679)(«GDPR») og alle andre gjeldende EU-, EØS- eller medlemsstatslover for det indre europeiske markedet eller eventuell oppdatering, endring eller erstatning av tilsvarende som gjelder for behandling av personopplysninger etter avtalen;

(ii) Swiss Federal Act on Data Protection Act («FADP»), eller den nye føderale loven om databeskyttelse, som trådte i kraft 1. januar 2023 («nFADP»);

(ii) alle lover og forskrifter i USA som gjelder for behandling av personopplysninger etter avtalen, inkludert, men ikke begrenset til, California Consumer Privacy Act of 2018 (Cal. Civ. Code §§ 1798.100 - 1798.199)(«CCPA»); 

(iv) alle lover og forskrifter som gjelder for behandling av personopplysninger under avtalen som fra tid til annen er på plass i Storbritannia (inkludert GDPR i Storbritannia); og

(v) Personal Information Protection and Electronic Documents Act («PIPEDA»), eller enhver oppdatering, endring eller erstatning av tilsvarende som gjelder for behandling av personopplysninger i Canada.

Begrepene «behandlingsansvarlig», «vurdering av personvernkonsekvenser», «prosess», «behandling», «behandler», «tilsynsmyndighet» betyr det samme som i GDPR eller GDPR i Storbritannia.

Begrepene «bedrift», «forretningsformål», «kommersielle formål», «personlig informasjon», «tjenesteleverandør», «selge» og «dele» har samme betydning som definert i CCPA. 

«SurveyMonkey» eller «oss» betyr SurveyMonkey Inc. for kunder i USA, og SurveyMonkey Europe for kunder utenfor USA. 

«SurveyMonkey Europe» betyr SurveyMonkey Europe UC, et irsk selskap som befinner seg i 2 Shelbourne Buildings, andre etasje, Shelbourne Road, Dublin 4, Ireland. 

«SurveyMonkey Inc.» betyr SurveyMonkey Inc., et Delaware-selskap basert i One Curiosity Way, San Mateo, CA 94403, United States.  

«SurveyMonkeys personvernregler» betyr SurveyMonkeys personvernregler ved https://no.surveymonkey.com/mp/legal/privacy/.

«Personopplysninger» betyr informasjon knyttet til en levende person som med rimelighet kan identifiseres ut fra informasjon, enten alene eller sammen med annen informasjon («registrerte»).

«Tjenester» betyr tjenester som bestilles av kunden fra SurveyMonkey under avtalen. 

«SCC-er» betyr «standardbestemmelsene» som er vedlagt Europakommisjonens beslutning fra: i) 4. juni 2021 om standardbestemmelser for overføring av personopplysninger til et tredje land i henhold til GDPR eller ii) (inntil SurveyMonkey har inngått de standard kontraktbestemmelsene som beskrives i punkt i)) 5. februar 2010 for overføring av kundens personopplysninger til behandlere etablert i et tredje land i henhold til direktiv 95/46/EC). Der FADP/nFADP gjelder, skal alle referanser som gjøres i SCC-ene, tolkes som korresponderende referanser til FADP/nFADP. Alle begreper som brukes i denne sammenheng, skal derfor motta definisjonen som er gitt i FADP/nFADP.

«UK Addendum» betyr (i) malen til tillegget som ble utstedt av UK Information Commissioner's Office og lagt frem for det britiske parlamentet i samsvar med paragraf 119A i UK Data Protection Act 2018 den 2. februar 2022, som revidert i henhold til paragraf 18 i de obligatoriske bestemmelsene fra tid til annen. Malen som er nevnt i denne definisjonen, betyr dokumentet: International Data Transfer Addendum to the EU Commission Standard Contractual, versjon B1.0, som trådte i kraft 21. mars 2022, eller (ii) (frem til SurveyMonkey har inngått I UK Addendum som er beskrevet i (i)), Europakommisjonens beslutning 5. februar 2010 om overføring av personopplysninger til behandlere etablert i et tredje land i direktiv 95/46/EF.

«GDPR i Storbritannia» betyr EU GDPR som en del av lovene i England og Wales, Skottland og Nord-Irland lovparagraf 3 i EUs (Withdrawal) Act 2018 og som endret av Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 og 2020 (henholdsvis) og enhver gjeldende lovgivning i Storbritannia fra tid til annen som senere endrer eller erstatter GDPR i Storbritannia.

Ved levering av tjenestene til kunden er SurveyMonkey en behandler av kundens personopplysninger i henhold til GDPR. Med hensyn til CCPA, som aktuelt, samtykker SurveyMonkey og kunden herved i at SurveyMonkey er en tjenesteleverandør og at kunden er bedriften med hensyn til personopplysninger.

Denne DPA-en forblir gjeldende inntil avtalen avsluttes (i tråd med vilkårene) eller utløper. 

Kunden skal påse samt garanterer og forsikrer herved at hen er berettiget til å overføre kundedata til SurveyMonkey slik at SurveyMonkey på lovlig vis kan behandle og overføre personopplysninger i samsvar med denne DPA-en. Kunden skal påse at relevante registrerte enkeltpersoner har blitt informert om denne bruken, behandlingen og overføringen slik det er påkrevd av personvernlovgivningen og at lovlig samtykke har blitt innhentet (der gjeldende). Kunden skal sikre at personopplysninger som behandles eller overføres til SurveyMonkey gjøres på lovlig og skikkelig vis. Kunden skal overholde all gjeldende personvernlovgivning.

Der SurveyMonkey behandler kundens personopplysninger for kunden som behandler, vil SurveyMonkey:

(a) kun gjøre det på dokumenterte instrukser fra kunden og i samsvar med personvernlovgivningen, herunder med hensyn til overføring av personopplysninger til andre jurisdiksjoner eller en internasjonal organisasjon, og der partene er enige om at avtalen utgjør slike dokumenterte instrukser fra kunden til SurveyMonkey for å behandle kundens personopplysninger (inkludert til steder utenfor EØS) sammen med andre rimelige instrukser gitt av kunden til SurveyMonkey (f.eks. via e-post) der slike instrukser er i samsvar med avtalen 

(b) sikre at alt SurveyMonkey-personell som er involvert i behandlingen av kundens personopplysninger er underlagt taushetsplikt med hensyn til personopplysningene; 

(c) tilgjengeliggjøre informasjon som er nødvendig for kunden for å demonstrere overholdelse av forpliktelsene i Artikkel 28 (eller tilsvarende krav i personvernlovgivningen hvis aktuelt for kunden) der slik informasjon besittes av SurveyMonkey og ikke på annen måte er tilgjengelig for kunden gjennom konto- og brukerområder eller på SurveyMonkeys nettsteder, forutsatt at kunden gir SurveyMonkey minst 14 dagers skriftlig varsel om en slik informasjonsforespørsel;

(d) samarbeide som med rimelighet anmodet av kunden, for å la kunden kunne utøve sine rettigheter som den registrerte, som gitt av personvernlovgivningen, med hensyn til personopplysninger som behandles av SurveyMonkey ved levering av tjenestene 

(e) gi assistanse, der det er nødvendig, med forespørsler mottatt direkte fra en registrert med hensyn til personopplysninger til den registrerte som er sendt inn gjennom tjenestene;

(f) ved sletting av deg, ikke beholde kundens personopplysninger fra kontoen din annet enn for å overholde gjeldende lover og forskrifter og som ellers kan oppbevares i rutinemessige sikkerhetskopier laget for krisegjenoppretting og forretningskontinuitetsformål som er underlagt våre oppbevaringspolicyer; 

(g) samarbeide med enhver tilsynsmyndighet eller ethvert erstatnings- eller etterfølgerorgan fra tid til annen (eller, i den grad det kreves av kunden, enhver annen databeskyttelse- eller personvernregulator under personvernlovgivningen) i utførelsen av slik tilsynsmyndighets oppgaver der det er påkrevd; 

(h) bistå kunden der det med rimelighet er påkrevd og kunden: 

(i) gjennomfører en konsekvensanalyse for databeskyttelse som involverer tjenesten (som kan omfatte å levere dokumentasjon for å la kunden utføre sin egen vurdering); eller

(ii) er pålagt å varsle om en sikkerhetshendelse (som definert nedenfor) til en tilsynsmyndighet eller en relevant registrert

(i) ikke selge eller dele personopplysninger

(j) ikke hente inn, oppbevare, bruke, offentliggjøre eller på annen måte behandle personopplysninger annet enn for følgende spesifikke forretningsmessige og kommersielle formål: (1) for å levere tjenestene våre som beskrevet i denne avtalen (2) for å forbedre de eksisterende tjenestene våre og utvikle nye tjenester (for eksempel ved å utføre forskning for å utvikle nye produkter eller funksjoner) (3) for driftsformålene våre og driftsformålene til leverandører og integreringspartnere (4) for å sikre sikkerhet og integritet i den grad bruken av den registrertes personopplysninger er rimelig nødvendig og proporsjonal for disse formålene (5) feilsøking for å identifisere og reparere feil som svekker eksisterende tiltenkt funksjonalitet (6) kortvarig, forbigående bruk, for eksempel tilpasning av innhold som vi eller leverandører viser i tjenestene (7) annen bruk som vi varsler deg om i henhold til personvernlovgivningen

(k) SurveyMonkey skal ikke oppbevare, bruke, kombinere eller offentliggjøre personopplysninger som er hentet inn i henhold til avtalen utenfor det direkte forretningsforholdet mellom SurveyMonkey og kunden, med mindre dette er uttrykkelig tillatt i henhold til CCPA  

(l) Der det kreves av personvernlovgivningen, informerer SurveyMonkey kunden hvis de oppdager at de mottatte instruksene fra kunden strider mot bestemmelsene i personvernlovgivningen. Til tross for det foregående har ikke SurveyMonkey noen forpliktelse til å overvåke eller gjennomgå lovligheten av instrukser mottatt fra kunden. Hvis SurveyMonkey fatter en beslutning om at de ikke lenger kan overholde forpliktelsene sine under CCPA, skal SurveyMonkey informere kunden og

(m) SurveyMonkey bekrefter at de forstår begrensningene og forpliktelsene som er angitt i denne DPA -en, all gjeldende personvernlovgivning og at de vil overholde disse kravene. 

6.1 Underdatabehandling. Kunden gir en generell godkjenning til SurveyMonkey for å engasjere videre underdatabehandlere som er underlagt samsvar med kravene her i avsnitt 6.

Liste over underdatabehandlere. SurveyMonkey vil, under forbehold av taushetsplikten i avtalen eller på annen måte pålagt av SurveyMonkey:

(a) gi kunden tilgang til en liste med SurveyMonkeys underleverandører som er involvert i behandling eller delbehandling av kundens personopplysninger i forbindelse med levering av tjenestene («underbehandlere»), sammen med en beskrivelse av tjenestene som tilbys av hver underbehandler («underbehandlerliste»). En kopi av denne underbehandlerlisten kan forespørres her: 

(b) sikre at alle underdatabehandlere på listen over underdatabehandlere er bundet av kontraktsvilkår som i alle vesentlige henseender ikke er mindre strenge enn de i denne DPA-en; og 

(c) være ansvarlig for handlingene og unnlatelsene til sine underdatabehandlere i samme grad SurveyMonkey ville være ansvarlig hvis de utfører tjenestene til hver av disse underdatabehandlerne direkte under vilkårene i denne DPA-en, med mindre annet er angitt i avtalen. 

6.3 Ny / utbytting av underbehandlere.  SurveyMonkey skal gi kunden skriftlig beskjed dersom det benyttes en ny underdatabehandler eller en eksisterende underdatabehandler erstattes i løpet av avtalens varighet («Melding om ny underdatabehandler»).Kunden skal enten registrere seg på en e-postliste som gjøres tilgjengelig her, der slike meldinger leveres via e-post eller vil alternativt se etter oppdateringer i listen her. Hvis kunden har et rimelig grunnlag for å motsette seg SurveyMonkeys bruk av en ny underdatabehandler eller utskiftning av en underdatabehandler, skal kunden umiddelbart varsle SurveyMonkey skriftlig og i alle tilfeller senest innen 30 dager etter å ha mottatt meldingen om en ny underdatabehandler. Ved en slik rimelig innvending kan enten kunden eller SurveyMonkey si opp enhver del av en avtale knyttet til tjenestene som ikke med rimelighet kan leveres uten innvendingene mot den nye underdatabehandleren (som etter SurveyMonkeys skjønn og valg kan innebære å si opp hele avtalen) med umiddelbar virkning ved å gi skriftlig beskjed til den andre parten. Slik oppsigelse utelukker refusjon for eventuelle avgifter som er forhåndsbetalt av kunden for perioden etter oppsigelsen.

7.1 Sikkerhetstiltak. SurveyMonkey har, tatt i betraktning den nyeste teknologien, kostnadene ved implementering og arten, omfanget, konteksten og formålene med tjenestene og risikonivået, implementert passende tekniske og organisatoriske tiltak (i samsvar med vedlegg 1) for å ivareta et sikkerhetsnivå som er passende for risikoen for uautorisert eller ulovlig behandling, utilsiktet tap av og/eller skade på kundedata. SurveyMonkey tester og evaluerer sikkerheten til disse tekniske og organisatoriske tiltakene med en rimelig hyppighet for å ivareta sikkerheten til prosesseringen.

7.2 Varsling om sikkerhetshendelse og -brudd. Hvis SurveyMonkey blir oppmerksom på uautorisert eller ulovlig tilgang til, eller anskaffelse, endring, bruk, avsløring eller ødeleggelse av kundens personopplysninger («Sikkerhetshendelse»), vil SurveyMonkey ta rimelige grep for å varsle kunden uten unødig forsinkelse. En sikkerhetshendelse innebærer ikke mislykkede forsøk eller aktiviteter som ikke går utover sikkerheten til personopplysningene, inkludert mislykkede påloggingsforsøk, pinger, portskanning, tjenestenektangrep, eller andre nettverksangrep på brannmurer eller nettverkssystemer. Varslinger til kunden om sikkerhetshendelser utgjør ingen innrømmelse av ansvar av SurveyMonkey.

7.3 SurveyMonkey vil også med rimelighet samarbeide med kunden med hensyn til etterforskning som er tilknyttet en sikkerhetshendelse ved å forberede påkrevde varsler og overlevere informasjon med rimelighet forespurt av kunden med hensyn til sikkerhetshendelser. 

8. Revisjoner Der SurveyMonkey behandler kundens personopplysninger for kunden (kun som behandler), vil kunden gi SurveyMonkey minst én måneds skriftlig varsel om enhver revisjon som kan utføres av kunden eller en uavhengig revisor utnevnt av kunden (forutsatt at ingen person som utfører revisjonen er, eller skal handle på vegne av, en konkurrent til SurveyMonkey) («Revisor»). Omfanget av en revisjon vil være som følger:

(a) Kunden har bare rett på å få utført én revisjon én gang per abonnementsår, med mindre annet er lovfestet eller påkrevd av en regulator med autoritet over kunden for å utføre eller få gjort en gjennomføring av mer enn 1 revisjon i samme år (i hvilket tilfelle kunden og SurveyMonkey vil, i forkant av disse revisjonene, bli enige om en passende refusjonssats for SurveyMonkeys revisjonsutgifter).

(b)SurveyMonkey godtar, med forbehold om hensiktsmessig og rimelig taushetsplikt, å fremlegge bevis for alle sertifiseringer og samsvarsstandarder de opprettholder, og vil på forespørsel gjøre et sammendrag av SurveyMonkeys siste årlige penetrasjonstester tilgjengelig for kunden, der dette sammendrag skal inkludere utbedrende tiltak gjort av SurveyMonkey som følge av penetrasjonstestene. 

(c) Omfanget av en revisjon vil være begrenset til SurveyMonkey-systemer, -prosesser og -dokumentasjon som er relevant for behandling og beskyttelse av kundens personopplysninger, og revisorer vil gjennomføre revisjoner underlagt alle passende og rimelige taushetsplikter som kreves av SurveyMonkey.

(d) Kunden vil umiddelbart varsle og gi SurveyMonkey på konfidensiell basis alle detaljer vedrørende eventuelt antatt mislighold eller sikkerhetsproblemer som oppdages i løpet av en revisjon.

8.2 Partene er enige om at, med mindre annet kreves av ordre eller annet bindende dekret fra en tilsynsmyndighet eller regulator med myndighet over kunden, angir avsnitt 8 her hele omfanget av kundens revisjonsrettigheter mot SurveyMonkey.

9.1 I den grad det er aktuelt, ved overføring av kundens personopplysninger fra EØS-området («EØS»), Sveits eller Storbritannia til steder utenfor EØS, Sveits og Storbritannia (enten direkte eller via videreoverføring) som ikke har tilstrekkelige standarder for personvern som fastsatt av EU-kommisjonen eller relevant personvernlovgivning, lener SurveyMonkey seg på:

(a) standardbestemmelsene og

(b) for overføringer underlagt UK GDPR, UK Addendum, eller

(c) slike andre egnede sikkerhetstiltak eller fravikelser (i den grad det er hensiktsmessig) som er spesifisert eller tillatt i henhold til personvernlovgivningen.

9.2 når det er nødvendig, inngår partene herved SCC-ene (en kopi av disse er tilgjengelig her) og UK Addendum (vedlegg 3). SCC-ene er innlemmet i denne avtalen ved referanse og skal gjelde som følger: 

(a) i tilfeller der kunden inngår en kontrakt med SurveyMonkey Inc. i USA i henhold til avtalen om tjenester, og er behandlingsansvarlig for kundens personopplysninger og, gjennom bruk av tjenestene, overfører kundens personopplysninger fra EØS til steder som ifølge EU-kommisjonen ikke har et tilstrekkelig nivå av personvern, inngår SurveyMonkey standardbestemmelser som dataimportør, og kunden inngår standardbestemmelser som dataeksportør, og bare Modul to av standardbestemmelsene vil gjelde, og/eller

(b) i tilfeller der kunden inngår kontrakt med SurveyMonkey Inc. i USA i henhold til avtalen om tjenester, og er databehandler for kundens personopplysninger og, gjennom bruk av tjenestene, overfører kundens personopplysninger fra EØS til steder som ifølge EU-kommisjonen ikke har et tilstrekkelig nivå av personvern, inngår SurveyMonkey standardbestemmelser som dataimportør, og kunden inngår standardbestemmelser som dataimportør, og bare Modul to av standardbestemmelsene vil gjelde, og/eller

(c) i tilfeller der kunden ikke er bosatt i EØS og inngår kontrakter med SurveyMonkey Europe UC for å lagre kundens personopplysninger innenfor EØS under avtalen, og er en datakontrollør for kundens personopplysninger og, gjennom bruk av tjenestene, overfører disse personopplysningene fra EØS til steder som ifølge EU-kommisjonen ikke har et tilstrekkelig nivå av personvern, inngår SurveyMonkey standardbestemmelser som dataeksportør, og kunden inngår standardbestemmelser som dataimportør, og bare Modul to av standardbestemmelsene vil gjelde, og

(d) i punkt 7 gjelder den valgfrie innlemmelsesklausulen

(e) i punkt 11 gjelder ikke det valgfrie språket

(f) i punkt 17 er standardbestemmelsene underlagt irsk lovgivning

(g) i klausul 18 skal tvister løses for domstolene i Irland, og

(h) Vedlegg I og II av standardbestemmelsene skal anses som fylt ut med informasjonen som er angitt i avtalen og detaljene som er gitt i vedlegg til dette tillegget om databehandling

9.3 For overføringer som er beskyttet av FADP/nFADP, skal SCC-ene gjelde i samsvar med paragraf 9.2 ovenfor, bortsett fra: 

(a) referanser i SCC-ene til GDPR skal tolkes som referanser til FADP/nFADP;  

(b) eventuelle referanser til «EU», «Union» og «medlemsstatslover» skal tolkes som referanser til Sveits og sveitsisk lov; og  

(c) eventuelle referanser til «kompetent tilsynsmyndighet» og «kompetente domstoler» skal tolkes som referanser til det relevante datatilsynet og domstoler i Sveits, med mindre SCC-ene, implementert som beskrevet ovenfor, ikke kan brukes til å lovlig overføre slike personlige kundeopplysninger i samsvar med FADP/nFADP, i hvilket tilfelle de sveitsiske SCC-ene i stedet skal inkorporeres ved referanse og utgjøre en vesentlig del av denne DPA-en og gjelde for slike overføringer. For formålet til de sveitsiske SCC-ene skal de relevante vedleggene av de sveitsiske SCC-ene fylles ut ved hjelp av informasjonen i vedlegg I og II til denne DPA-en (som passende) og de tolkningsmessige bestemmelsene fastsatt i denne paragraf 9.3 skal gjelde (som aktuelt og som påkrevd for formålet av samsvar med FADP/nFADP).

9.4 Ved skriftlig forespørsel og i henhold til bestemmelsene i de standard kontraktbestemmelser eller UK Addendum (som aktuelt) skal SurveyMonkey gi kopier av de standard kontraktbestemmelser eller UK Addendum som er inngått med dataimportører i form av SurveyMonkeys funksjon som databehandler for kunden.

10.1 Ansvar for databehandling. Hver parts sammensatte ansvar for krav som er festet i kontrakten, erstatningsrett (inkludert uaktsomhet), brudd på lovpålagte plikter eller på annen måte som følge av eller i forbindelse med denne DPA-en skal være som angitt i avtalen, med mindre annet er skriftlig avtalt av partene.

10.2 Konflikt. Ved konflikt eller tvetydighet mellom: (i) vilkårene i denne DPA-en og vilkårene i avtalen, med hensyn til emnene i denne DPA-en, skal vilkårene i denne DPA-en ha forrang; (ii) vilkårene til andre bestemmelser som beskrives i denne DPA-en og bestemmelser som beskrives i de standard kontraktbestemmelser skal bestemmelsene i de standard kontraktbestemmelser ha forrang.

10.3 Uavhengig behandling. Kunden forblir utelukkende ansvarlig for sitt eget samsvar med personvernlovgivningen med tanke på eventuell uavhengig innsamling og behandling av personopplysninger som ikke er relatert til tjenestene. Kunden skal oppgi sine egne tydelige og lett synlige personvernregler som nøyaktig beskriver hvordan de gjør dette, og SurveyMonkey er ikke ansvarlig for noen behandling av personopplysninger av kunden i slike omstendigheter. Kunden holder herved SurveyMonkey fullstendig skadesløse mot alle krav eller ethvert ansvar som oppstår som følge av slik innsamling og bruk av personopplysninger av vedkommende i slike omstendigheter.

10.4 Hele avtalen. Avtalen (som inkorporerer denne DPA-en) og ethvert bestillingsskjema representerer hele avtalen mellom partene, og den erstatter alle andre tidligere eller samtidige avtaler eller vilkår, skriftlige eller muntlige, angående emnet. Hver av partene bekrefter at de ikke har basert seg på noen forsikringer som ikke er nedtegnet i avtalen som har fått dem til å inngå avtalen. (iii) konstant overvåking av infrastruktur (

10.5 Atskillelse. Hvis en eventuell bestemmelser for denne DPA-en blir fastslått å være uhåndterlig av en domstol med kompetent jurisdiksjon, frafaller bestemmelsen og resten av vilkårene gjelder i sin helhet. Ingenting i denne DPA-en er ment til, eller skal anses som, å opprette noe samarbeid eller fellesforetak mellom noen av partene, og autoriserer heller ikke noen parter til å opprette eller inngå noen forpliktelser for eller på vegne av noen annen part unntatt som uttrykkelig angitt her.

10.6 Elektronisk kopi. DPA-en leveres som et elektronisk dokument.

10.7 Gjeldende lov. Denne DPA-en skal være underlagt lovene i Irland, og partene underkaster seg utelukkende jurisdiksjonen til de irske domstolene (med hensyn til alle kontraktmessige og ikke-kontraktmessige tvister) unntatt i tilfeller av påstått brudd eller brudd på gjeldende eller fremtidige personvernlover, forskrifter, standarder, regulatoriske veiledninger og selvregulerende retningslinjer på statlig eller føderalt nivå i USA, der lovene i staten California skal gjelde med mindre annet er diktert av loven.

Beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene som iverksettes av SurveyMonkey 

SurveyMonkey vil opprettholde hensiktsmessige administrative, fysiske og tekniske sikkerhetstiltak («Sikkerhetstiltak») for beskyttelse av sikkerheten, konfidensialiteten og integriteten til personopplysninger gitt til dem for levering av tjenestene til Kunden. 

Sikkerhetstiltakene inkluderer følgende: 

(a) Domene: Organisasjon av informasjonssikkerheten.

(i) Sikkerhetsroller og ansvar. SurveyMonkey-personell med tilgang til data er underlagt taushetsplikt.

(ii) Risikostyringsprogram. SurveyMonkey utfører en risikovurdering der det er hensiktsmessig før dataene behandles.

(b) Domene: Ressurshåndtering

(i) Ressursshåndtering.

(1) SurveyMonkey har prosedyrer for å avhende utskrevet materiale som inneholder kundedata.

(2) SurveyMonkey opprettholder en oversikt over all maskinvare som kundedata lagres på.

(c) Domene: HR-sikkerhet.

(i) Sikkerhetsopplæring.

(1) SurveyMonkey informerer sitt personell om relevante sikkerhetsprosedyrer og deres respektive roller. SurveyMonkey informerer også sine ansatte om mulige konsekvenser av brudd på sikkerhetsreglene og -prosedyrene.

(d) Domene: Fysisk og miljømessig sikkerhet.

(i) Fysisk tilgang til fasiliteter. SurveyMonkey begrenser adgang til fasiliteter der det er informasjonssystemer som behandler kundedata for å identifisere godkjente personer.

(ii) Beskyttelse mot avbrudd. SurveyMonkey bruker en rekke systemer som er bransjestandard for å beskytte mot tap av data som følge av strømbrudd eller støy på kraftledninger.

(iii) Komponentavhending. SurveyMonkey bruker prosesser som er bransjestandard for å slette kundedata når den ikke lenger trengs.

(e) Domene: Kommunikasjon og driftsstyring. 

(i) Driftspolicy. SurveyMonkey tar vare på sikkerhetsdokumenter som beskriver sikkerhetstiltakene og de relevante prosedyrene og ansvaret til personellet som har tilgang til kundedata. 

(ii) Datagjenopprettingsprosedyrer. 

(1) SurveyMonkey oppretter sikkerhetskopier av kundedata på regelmessig kontinuerlig basis, som gjør at kundedata kan gjenopprettes dersom hovedkopien skulle gå tapt. 

(2) SurveyMonkey oppbevarer kopier av kundedata og datagjenopprettingsprosedyrer på et annet sted enn der hoveddatautstyret som behandler kundedata befinner seg. 

(3) SurveyMonkey har etablert spesifikke prosedyrer som regulerer tilgangen til kopier av kundedata. 

(iii) Skadelig programvare. SurveyMonkey har beskyttelse mot skadelig programvare for å hindre at skadelig programvare får uautorisert tilgang til kundedata, herunder skadelig programvare som kommer fra offentlige nettverk.

(iv) Data utenfor landegrenser. 

(1) SurveyMonkey krypterer kundedata som overføres over offentlige nettverk. 

(v) Loggføring av hendelser.

(1) SurveyMonkey loggfører bruk av databehandlingssystemer. 

(2) SurveyMonkey loggfører tilgang og bruk av informasjonssystemer som inneholder kundedata ved å registrere tilgangs-ID, tidsstempel og enkelte relevante aktiviteter.

(f) Domene: Administrasjon av informasjonssikkerhetshendelser

(i) Hendelsesrespons-prosess. 

(1) SurveyMonkey opprettholder en hendelsesresponsplan.  

(2) SurveyMonkey fører oversikt over sikkerhetsbrudd med en beskrivelse av bruddet, tidsperioden, konsekvensene av bruddet, navnet på melderen, og hvem bruddet ble rapportert til, og utbedringstrinn, hvis aktuelt.

(g) Domene: Styring av forretningskontinuitet.

(i) SurveyMonkeys redundante lagring og deres prosedyrer for å gjenopprette data er utformet for å forsøke å rekonstruere kundedata i sin opprinnelige tilstand fra før tidspunktet de ble tapt eller ødelagt.   

(h) Tilgangskontroll til behandlingsområder.  Prosesser for å hindre uautoriserte personer i å få tilgang til databehandlingsutstyret (det vil si telefoner, database- og applikasjonsservere og tilhørende maskinvare) der kundens personopplysninger behandles eller brukes, for å inkludere: 

(i) etablering av sikre områder; 

(ii) beskyttelse og begrensning av tilgangsbaner

(iii) å sikre mobiltelefoner;   

(iv) databehandlingsutstyr og personlige datamaskiner

(v) all tilgang til datasentre der kunders personopplysninger driftes, blir loggført, overvåket og sporet;  

(vi) datasentrene der kunders personopplysninger driftes, er sikret av et sikkerhetsalaramsystem og andre nødvendige sikkerhetstiltak; og 

(vii) anlegget er utformet for å tåle ugunstig vær og andre rimelig forutsigbare naturforhold, er sikret med vakthold døgnet rundt, nøkkelkort og/eller biometrisk tilgang (alt etter risikonivå), screening og tilgang som krever følgeperson, og er også støttet av sikkerhetskopieringsgeneratorer på lokasjonen i tilfelle strømbrudd

(i) Tilgangskontroll til databehandlingssystemer. Prosesser for å hindre databehandlingssystemer fra å brukes av uautoriserte personer, for å inkludere:  

(i) identifikasjon av terminalen og/eller terminalbrukeren til databehandlingssystemene; 

(ii) automatisk tidsavbrudd etter 30 minutter eller mindre der brukerterminalen ikke er i bruk, med behov for å oppgi identifikasjon og passord for å åpne på nytt

(iii) utsteding og sikkerhetsoppbevaring av identifikasjonskoder;  

(iv) passordkrav (minimumslengde, utløpsdato på passord osv.) 

(v) beskyttelse mot ekstern tilgang ved bruk av en brannmur som er industristandard.  

(j) Tilgangskontroll for å bruke spesifikke områder av databehandlingssystemer.  Tiltak for å sikre at personer som har rett til å bruke databehandlingssystemer, bare har tilgang til dataene innenfor omfanget og i den grad de er dekket av deres respektive tilgangstillatelser (autorisasjon) og at kundens personopplysninger ikke kan leses, kopieres, endres eller fjernes uten tillatelse, inkluderes ved:

(i) å implementere bindende retningslinjer for ansatte, og gi opplæring om hver enkelt av de ansattes tilgangsrettigheter til kunders personopplysninger;

(ii) effektive og målte disiplinærtiltak mot enkeltpersoner som får tilgang til kundens personopplysninger uten autorisasjon 

(iii) frigjøring av data kun til autoriserte personer; 

(iv) å implementere prinsipper for minste privilegerte tilgang til informasjon som inneholder kunders personopplysninger på strengt grunnlag av behovskrav;

(v) administrasjon av produksjonsnettverk og datatilgang styrt av VPN, tofaktorsautentisering og rollebasert tilgangskontroll;

(vi) applikasjons- og infrastruktursystemer loggfører informasjon til et sentralstyrt logganlegg for feilsøking, sikkerhetsgjennomganger og analyser; og 

(vii) retningslinjer som kontrollerer oppbevaring av sikkerhetskopier som er i samsvar med gjeldende lover og som er passende for den aktuelle typen data og tilsvarende risiko.

(k) Overføringskontroll. Prosedyrer for å forhindre at kundens personopplysninger leses, kopieres, endres eller slettes av uautoriserte parter under overføringen av disse eller under transporten av datamediene, og for å sikre at det er mulig å kontrollere og fastslå til hvilke organer overføring av kundens personopplysninger ved hjelp av dataoverføringsfasiliteter er tiltenkt, for å inkludere: 

(i) bruk av brannmurer og krypteringsteknologier for å beskytte gatewayene og rørledningene som dataene går gjennom;

(ii) implementering av VPN-tilkoblinger for å sikre tilkoblingen til det interne bedriftsnettverket;

(iii) konstant overvåking av infrastruktur (f.eks. ICMP-Ping på nettverksnivå, diskplassundersøkelse på systemnivå, vellykket levering av spesifiserte testsider på applikasjonsnivå); og

(iv) overvåking av fullstendigheten og riktigheten av overføringen av data (ende-til-ende-kontroll). 

(l) Lagringskontroll. Ved lagring av kundens personopplysninger: de vil bli sikkerhetskopiert som en del av en designert sikkerhetskopierings- og gjenopprettingsprosess i kryptert form, ved bruk av en kommersielt støttet krypteringsløsning, og alle data som blir definert som kunders personopplysninger og er lagret på en bærbar datamaskin eller lagringsenhet blir også kryptert. Krypteringsløsninger blir distribuert med ikke mindre enn en 128-bits nøkkel for symmetrisk kryptering og en 1024-bits (eller større) nøkkellengde for asymmetrisk kryptering;

(m) Inngangskontroll. Tiltak for å sikre at det er mulig å kontrollere og fastslå om og i så fall av hvem kundens personopplysninger er lagt inn eller fjernet i databehandlingssystemet, inkluderer:

(i) autentisering av godkjent personell;

(ii) beskyttelsestiltak for dataoppføringer til minnet, samt for lesing, endring og sletting av lagrede data;

(iii) bruk av brukerkoder (passord);

(iv) bevis etablert i dataimportørens organisasjon for inndatagodkjenningen; og

(v) å sikre at innganger til databehandlingsanlegg (rommene som inneholder datamaskinvaren og relatert utstyr) er låst.

(n) Tilgjengelighetskontroll. Tiltak for å sikre at kundens personopplysninger er beskyttet mot utilsiktet ødeleggelse eller tap, inkluderer redundans i infrastruktur og regelmessige sikkerhetskopier utført på databaseservere. 

(o) Segregering av behandling. Prosedyrer for å sikre at data som samles inn til forskjellige formål kan behandles separat, for å inkludere:

(i) å skille data gjennom applikasjonssikkerhet for de aktuelle brukerne;

(ii) lagring av data, på databasenivå, i forskjellige tabeller, atskilt av modulen eller funksjonen de støtter;

(iii) utforming av grensesnitt, partiprosesser og rapporter kun for spesifikke formål og funksjoner, slik at data som samles inn for spesifikke formål behandles separat; og

(iv) å blokkere aktive data fra å bli brukt til testformål, da bare eksempeldata generert for testformål kan brukes til slikt.

(p) Sårbarhetshåndteringsprogram. Et program for å sikre at systemene regelmessig sjekkes for sårbarheter og at det som eventuelt oppdages blir umiddelbart utbedret, for å inkludere:

(i) alle nettverk, inkludert test- og produksjonsmiljøer, skannes regelmessig; og 

(ii) penetrasjonstester utføres regelmessig og sårbarheter utbedres straks.

(q) Destruering av data. I tilfelle utløp eller oppsigelse av avtalen av en av partene, eller på annen måte etter forespørsel fra kunden etter å ha mottatt kvittering på en forespørsel fra en registrert person eller tilsynsorgan: 

(i) alle kundedata skal destrueres på en sikker måte innen 3 måneder; og

(ii) alle kundedata skal fjernes fra alle SurveyMonkeys og/eller tredjeparts lagringsenheter, inkludert sikkerhetskopier, innen 6 måneder fra oppsigelse eller mottakelse av forespørsel fra kunden, med mindre SurveyMonkey er lovpålagt å beholde dataene i en lengre periode. SurveyMonkey vil sørge for at alle slike data som ikke lenger er nødvendige, blir ødelagt til et nivå der det kan garanteres at de ikke lenger er mulige å gjenopprette.

(r) Standarder og sertifiseringer. Datalagringsløsninger og/eller -lokasjoner har minst SOC 1 (SSAE 16) eller SOC 2-rapporter – tilsvarende eller lignende sertifiseringer eller sikkerhetsnivåer blir undersøkt på individuell basis.

Formål og art av behandling av personopplysninger, kategorier av personopplysninger, registrerte 

BILAG FOR standardbestemmelser

VEDLEGG I –

A. LISTE OVER PARTER

MODUL TO: Overføre fra behandlingsansvarlig til databehandler

MODUL TRE: Overføre fra databehandler til databehandler

MODUL FIRE: Overføre fra databehandler til behandlingsansvarlig

Dataeksportør(er): Som angitt i avtalen

Kontaktpersonens navn, posisjon og kontaktinformasjon: Som angitt i avtalen

Aktiviteter som er relevante for dataene som overføres i henhold til disse klausulene: Som angitt i vedlegg 2 i tillegget om databehandling

Dataimportør(er): Som angitt i avtalen

Navn: Som angitt i avtalen

Kontaktpersonens navn, posisjon og kontaktinformasjon: Som angitt i avtalen

Aktiviteter som er relevante for dataene som overføres i henhold til disse klausulene: Som angitt i vedlegg 2 i tillegget om databehandling

B. BESKRIVELSE AV OVERFØRINGEN

MODUL TO: Overføre fra behandlingsansvarlig til databehandler

MODUL TRE: Overføre fra databehandler til databehandler

MODUL FIRE: Overføre fra databehandler til behandlingsansvarlig

Kategorier for registrerte personer som personopplysninger overføres for: Som angitt i vedlegg 2 i tillegget om databehandling

Kategorier for personopplysninger som overføres: Som angitt i vedlegg 2 i tillegget om databehandling

Sensitive data overført (om relevant) og anvendte restriksjoner eller sikkerhetstiltak som fullt ut tar hensyn til dataenes karakter og den involverte risikoen, for eksempel streng begrensning av formål, restriksjon av tilgang (inkludert tilgang bare for ansatte som har fått spesialisert opplæring), holde en oversikt over tilgangen til dataene, begrensninger for videreoverføring eller ytterligere sikkerhetstiltak: Som angitt i vedlegg 1 og 2 i tillegget om databehandling

Hyppigheten av overføringen (f.eks. om dataene overføres én gang eller kontinuerlig): én gang og kontinuerlig (avhengig av bruk av tjenestene)

Behandlingens karakter: Som angitt i vedlegg 2 i tillegget om databehandling

Formål for dataoverføringen og videre behandling: Som angitt i vedlegg 2 i tillegget om databehandling

Perioden som personopplysningene skal oppbevares for eller, hvis dette ikke er mulig, kriteriene som brukes til å bestemme denne perioden: Som angitt i avtalen og her

For overføringer til (under-)databehandlere, også angi emnet, karakteren og varigheten for behandlingen: Se her.

C. KOMPETENT TILSYNSMYNDIGHET

Identifiser kompetente tilsynsmyndigheter i henhold til punkt 13: Irland

VEDLEGG II – TEKNISKE OG ORGANISATORISKE TILTAK SOM ANGITT I VEDLEGG 1 I TILLEGGET OM DATABEHANDLING

VEDLEGG III – LISTE OVER UNDERDATABEHANDLERE

MODUL TO: Overføre fra behandlingsansvarlig til databehandler

MODUL TRE: Overføre fra databehandler til databehandler

MODUL FIRE: Overføre fra databehandler til behandlingsansvarlig. Kunden har godkjent bruk av følgende underdatabehandlere: Se her.

UK ADDENDUM 

1. For dataoverføringer som er underlagt GDPR i Storbritannia, inngår partene herved UK Addendum (en kopi er tilgjengelig her), og UK Addendum er inkludert i denne avtalen ved referanse. For dataoverføringer som er underlagt GDPR i Storbritannia, skal eventuelle referanser til den «kompetente tilsynsmyndigheten» og «kompetente domstoler» tolkes som referanser til de relevante datatilsynene og domstolene i Storbritannia. 

2. Partene er enige om at formatet og innholdet i tabellene i del 1 i UK Addendum skal endres og erstattes med tabellen nedenfor.

3. Dersom det skulle oppstå en konflikt eller uoverensstemmelse mellom denne avtalen og UK Addendum, har UK Addendum forrang når det gjelder en slik konflikt eller uoverensstemmelse.