Produkter

SurveyMonkey er bygget for å takle alle bruksområder og behov. Utforsk produktet vårt, og finn ut hvordan SurveyMonkey kan hjelpe dere.

Få datadrevet innsikt fra en global leder innen spørreundersøkelser på nett.

Integrer med over 100 apper og plug-ins for å få gjort mer.

Bygg og tilpass nettskjemaer for å samle inn informasjon og betalinger.

Lag bedre spørreundersøkelser og få innsikt raskt med innebygd AI.

Spesialløsninger for alle behovene innen markedsundersøkelser.

Maler

Mål kundetilfredshet og -lojalitet for bedriften.

Finn ut hva som gjør kundene fornøyde og gjør dem til tilhengere.

Få innsikt du kan bruke til å forbedre brukeropplevelsen.

Innhent kontaktinformasjon fra potensielle kunder, inviterte personer og mer.

Innhent og spor arrangementsbekreftelser.

Finn ut hva deltagere vil ha så du kan forbedre neste arrangement.

Avdekk innsikt for å øke engasjementet og få bedre resultater.

Få tilbakemeldinger fra deltagere så du kan holde bedre møter.

Bruk tilbakemeldinger fra kolleger for å forbedre medarbeiderprestasjoner.

Lag bedre kurs og forbedre undervisningen.

Finn ut hva studenter eller elever mener om undervisningsmaterialet.

Finn ut hva kundene mener om de nye produktideene deres.

Ressurser

Beste praksis for bruk av spørreundersøkelser og spørreundersøkelsesdata

Bloggen vår om spørreundersøkelser, tips for virksomheter og mer.

Veiledninger for bruk av SurveyMonkey.

Slik skaper populære merkevarer vekst med SurveyMonkey.

Kontakt salgsavdelingenLogg på
Kontakt salgsavdelingenLogg på

63% of people consider a company's privacy and security history before using their products or services.

Legal sidebar stats

Last ned et eksemplar av SurveyMonkeys kunde-DPA her.

Standard kontraktbestemmelser

Vi har laget dette DPA-utkastet slik at det omfatter alle mulige SCC-konfigurasjoner. Det er ikke sikkert at alle gjelder for deg. For større klarhet:  

  • Hvis du er en kunde i EU eller Storbritannia, trenger du ikke SCC-er, siden du inngår kontrakt med SurveyMonkeys irske enhet, og det kreves ingen SCC-er mellom enheter i EU/Storbritannia.
  • Hvis du er en kunde i USA og anser deg selv som behandlingsansvarlig, gjelder avsnitt 9.2(a) for deg. Du er behandlingsansvarlig og eksportør, og SurveyMonkey er behandler og importør. SCC Modul 2 gjelder for kontrakten din. 
  • Hvis du er en kunde i USA og anser deg som en behandler, gjelder avsnitt 9.2(b) for deg. SCC Modul 3 gjelder for kontrakten din. Du er behandler og eksportør, og SurveyMonkey er (under)behandler og importør. Modul 3 gjelder for kontrakten din. 
  • Hvis du ikke befinner deg i USA, EU eller Storbritannia, men velger å bruke vår EU-baserte datalagring, gjelder avsnitt 9.2(c) for deg. Du er behandlingsansvarlig og importør, og SurveyMonkey er behandler og eksportør. SCC Modul 4 gjelder for kontrakten din. 
  • Hvis du ikke befinner deg i USA, EU eller Storbritannia, og ikke bruker datalageret vårt i EU, er det ikke nødvendig med SCC-er fordi personopplysninger overføres til SurveyMonkey Europe UC (som holder til i Irland). Det kreves ingen overføringsmekanisme for overføringer til EU.

Denne SurveyMonkey-databehandleravtalen («DPA») utgjør en del av din avtale med SurveyMonkey og inneholder visse vilkår som har å gjøre med databeskyttelse, personvern og sikkerhet i samsvar med personvernlovgivning, der det er aktuelt. Dersom (og kun i den grad) det er en konflikt mellom forskjellig personvernlovgivning, skal partene overholde det strengeste kravet eller den høyeste standard, som ved en slik tvist utelukkende skal bestemmes av SurveyMonkey. 

Denne DPA-en er mellom kunden og den gjeldende SurveyMonkey-enheten, som er fastsatt på følgende vis: 

(i) for kunder som befinner seg i andre land enn USA, skal SurveyMonkey Europe UC være enheten som inngår kontrakt; 

(ii)  for kunder som befinner seg i USA, skal SurveyMonkey Inc. være enheten som inngår kontrakt. 

Dette er den nyeste versjonen av DPA (datert 15. februar 2024). 

I denne DPA-en har følgende utrykk, med mindre annet kreves av konteksten, følgende betydninger: 

«Avtale» betyr alle avtaler mellom SurveyMonkey Inc. eller SurveyMonkey Europe og en kunde for tjenestene. En slik avtale kan ha ulike titler, som «Bestillingsskjema», «Salgsbestilling», «Vilkår for bruk» eller «Master eller Gjeldende tjenesteavtale». 

«Artikkel 28» betyr artikkel 28 i GDPR og GDPR i Storbritannia, som gjelder for behandling av kundens personopplysninger. 

«Kunden» eller «du» innebærer kunden som er identifisert i og/eller er delaktig i avtalen. 

«Kundedata» betyr alle data (inkludert blant annet kundens personopplysninger) som gis til SurveyMonkey av eller på vegne av kunden gjennom kundens bruk av tjenestene, og alle data tredjeparter sender til kunden gjennom tjenestene. 

«Kundens personopplysninger» betyr alle personopplysninger som sendes gjennom tjenestene av eller til kunden, og som behandles av SurveyMonkey for å levere tjenestene til kunden, inkludert personopplysningene som er angitt i vedlegg 2 til dette tillegget om databehandling. 

 «Personvernlovgivning» er all obligatorisk personvernlovgivning eller andre lover om personvern som gjelder for SurveyMonkey som behandler og tjenestetilbyder (etter hva som er aktuelt) i tilknytning til behandling av personopplysninger i avtalen, deriblant: 
(i) generell databeskyttelsesforordning (EU-forskrift 2016/679)(«GDPR») og alle andre gjeldende lover og forskrifter i EU, EØS  eller medlemsstatslover for det indre europeiske markedet eller eventuell oppdatering, endring eller erstatning av tilsvarende som gjelder for behandling av personopplysninger i avtalen.

(ii) den nye loven på føderalt nivå om beskyttelse av personopplysninger i Sveits («nFADP»)

(ii) alle lover og forskrifter i USA som gjelder for behandling av personopplysninger etter avtalen, inkludert, men ikke begrenset til, California Consumer Privacy Act of 2018 (Cal. Civ. Code §§ 1798.100 - 1798.199)(«CCPA»); 

(iv) alle lover og forskrifter som gjelder for behandling av personopplysninger under avtalen som fra tid til annen er på plass i Storbritannia (inkludert GDPR i Storbritannia); og

(v) Personal Information Protection and Electronic Documents Act («PIPEDA»), eller enhver oppdatering, endring eller erstatning av tilsvarende som gjelder for behandling av personopplysninger i Canada.

Begrepene «behandlingsansvarlig», «vurdering av personvernkonsekvenser», «prosess», «behandling», «behandler», «tilsynsmyndighet» betyr det samme som i GDPR eller GDPR i Storbritannia.

Begrepene «bedrift», «forretningsformål», «kommersielle formål», «personlig informasjon», «tjenesteleverandør», «selge» og «dele» har samme betydning som definert i CCPA. 

«SurveyMonkey» eller «oss» betyr SurveyMonkey Inc. for kunder i USA, og SurveyMonkey Europe for kunder utenfor USA. 

«SurveyMonkey Europe» betyr SurveyMonkey Europe UC, et irsk selskap som befinner seg i 2 Shelbourne Buildings, andre etasje, Shelbourne Road, Dublin 4, Ireland. 

«SurveyMonkey Inc.» betyr SurveyMonkey Inc., et Delaware-selskap basert i One Curiosity Way, San Mateo, CA 94403, United States.  

«SurveyMonkeys personvernregler» betyr SurveyMonkeys personvernregler ved https://no.surveymonkey.com/mp/legal/privacy/.

«Personopplysninger» er informasjon knyttet til en levende person som med rimelighet kan identifiseres ut fra informasjonen, enten alene eller sammen med annen informasjon (en «registrert person»).

«Tjenester» betyr tjenester som bestilles av kunden fra SurveyMonkey under avtalen. 

«SCC-er» betyr «standardbestemmelsene» som er vedlagt Europakommisjonens beslutning fra: i) 4. juni 2021 om standardbestemmelser for overføring av personopplysninger til et tredje land i henhold til GDPR eller ii) (inntil SurveyMonkey har inngått de standard kontraktbestemmelsene som beskrives i punkt i)) 5. februar 2010 for overføring av kundens personopplysninger til behandlere etablert i et tredje land i henhold til direktiv 95/46/EC. Der nFADP gjelder, skal alle referanser som gjøres i SCC-ene, tolkes som korresponderende referanser til nFADP. Alle begrepene som brukes i denne sammenheng skal derfor ha definisjonen som er gitt i nFADP.

«UK Addendum» betyr (i) malen til tillegget som ble utstedt av UK Information Commissioner's Office og lagt frem for det britiske parlamentet i samsvar med paragraf 119A i UK Data Protection Act 2018 den 2. februar 2022, som revidert i henhold til paragraf 18 i de obligatoriske bestemmelsene fra tid til annen. Malen som er nevnt i denne definisjonen, betyr dokumentet: International Data Transfer Addendum to the EU Commission Standard Contractual, versjon B1.0, som trådte i kraft 21. mars 2022, eller (ii) (frem til SurveyMonkey har inngått I UK Addendum som er beskrevet i (i)), Europakommisjonens beslutning 5. februar 2010 om overføring av personopplysninger til behandlere etablert i et tredje land i direktiv 95/46/EF.

«GDPR i Storbritannia» betyr EU GDPR som en del av lovene i England og Wales, Skottland og Nord-Irland lovparagraf 3 i EUs (Withdrawal) Act 2018 og som endret av Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 og 2020 (henholdsvis) og enhver gjeldende lovgivning i Storbritannia fra tid til annen som senere endrer eller erstatter GDPR i Storbritannia.

Ved levering av tjenestene til kunden er SurveyMonkey en behandler av kundens personopplysninger i henhold til GDPR. Med hensyn til CCPA, som aktuelt, samtykker SurveyMonkey og kunden herved i at SurveyMonkey er en tjenesteleverandør og at kunden er bedriften med hensyn til personopplysninger.

Denne DPA-en forblir gjeldende inntil avtalen avsluttes (i tråd med vilkårene) eller utløper. 

Kunden skal påse samt garanterer og forsikrer herved at hen er berettiget til å overføre kundedata til SurveyMonkey slik at SurveyMonkey på lovlig vis kan behandle og overføre personopplysninger i samsvar med denne DPA-en. Kunden skal påse at relevante registrerte enkeltpersoner har blitt informert om denne bruken, behandlingen og overføringen slik det er påkrevd av personvernlovgivningen og at lovlig samtykke har blitt innhentet (der gjeldende). Kunden skal sikre at personopplysninger som behandles eller overføres til SurveyMonkey gjøres på lovlig og skikkelig vis. Kunden skal overholde all gjeldende personvernlovgivning.

Der SurveyMonkey behandler kundens personopplysninger for kunden som behandler, vil SurveyMonkey:

(a) kun gjøre det på dokumenterte instrukser fra kunden og i samsvar med personvernlovgivningen, herunder med hensyn til overføring av personopplysninger til andre jurisdiksjoner eller en internasjonal organisasjon, og der partene er enige om at avtalen utgjør slike dokumenterte instrukser fra kunden til SurveyMonkey for å behandle kundens personopplysninger (inkludert til steder utenfor EØS) sammen med andre rimelige instrukser gitt av kunden til SurveyMonkey (f.eks. via e-post) der slike instrukser er i samsvar med avtalen 

(b) sikre at alt SurveyMonkey-personell som er involvert i behandlingen av kundens personopplysninger er underlagt taushetsplikt med hensyn til personopplysningene; 

(c) tilgjengeliggjøre informasjon som er nødvendig for kunden for å demonstrere overholdelse av forpliktelsene i Artikkel 28 (eller tilsvarende krav i personvernlovgivningen hvis aktuelt for kunden) der slik informasjon besittes av SurveyMonkey og ikke på annen måte er tilgjengelig for kunden gjennom konto- og brukerområder eller på SurveyMonkeys nettsteder, forutsatt at kunden gir SurveyMonkey minst 14 dagers skriftlig varsel om en slik informasjonsforespørsel;

(d) samarbeide som med rimelighet anmodet av kunden, for å la kunden kunne utøve sine rettigheter som den registrerte, som gitt av personvernlovgivningen, med hensyn til personopplysninger som behandles av SurveyMonkey ved levering av tjenestene 

(e) tilveiebringe hjelp, når kunden ber om det, med forespørsler som mottas direkte fra en registrert person om den registrertes personopplysninger som er sendt inn gjennom tjenestene.

(f) ved sletting av deg, ikke beholde kundens personopplysninger fra kontoen din annet enn for å overholde gjeldende lover og forskrifter og som ellers kan oppbevares i rutinemessige sikkerhetskopier laget for krisegjenoppretting og forretningskontinuitetsformål som er underlagt våre oppbevaringspolicyer; 

(g) samarbeide med enhver tilsynsmyndighet eller ethvert erstatnings- eller etterfølgerorgan fra tid til annen (eller, i den grad det kreves av kunden, enhver annen databeskyttelse- eller personvernregulator under personvernlovgivningen) i utførelsen av slik tilsynsmyndighets oppgaver der det er påkrevd; 

(h) bistå kunden der det med rimelighet er påkrevd og kunden: 

(i) gjennomfører en konsekvensanalyse for databeskyttelse som involverer tjenesten (som kan omfatte å levere dokumentasjon for å la kunden utføre sin egen vurdering); eller

(ii) er pålagt å varsle om en sikkerhetshendelse (som definert nedenfor) til en tilsynsmyndighet eller en relevant registrert

(i) ikke selge eller dele personopplysninger

(j) ikke hente inn, oppbevare, bruke, offentliggjøre eller på annen måte behandle personopplysninger annet enn for følgende spesifikke forretningsmessige og kommersielle formål: (1) for å levere tjenestene våre som beskrevet i denne avtalen (2) for å forbedre de eksisterende tjenestene våre og utvikle nye tjenester (for eksempel ved å utføre forskning for å utvikle nye produkter eller funksjoner) (3) for driftsformålene våre og driftsformålene til leverandører og integreringspartnere (4) for å sikre sikkerhet og integritet i den grad bruken av den registrertes personopplysninger er rimelig nødvendig og proporsjonal for disse formålene (5) feilsøking for å identifisere og reparere feil som svekker eksisterende tiltenkt funksjonalitet (6) kortvarig, forbigående bruk, for eksempel tilpasning av innhold som vi eller leverandører viser i tjenestene (7) annen bruk som vi varsler deg om i henhold til personvernlovgivningen

(k) ikke oppbevare, bruke, kombinere eller utlevere personopplysninger som er hentet inn i henhold til avtalen utenfor det direkte forretningsforholdet mellom SurveyMonkey og kunden, med mindre dette er uttrykkelig tillatt i henhold til CCPA.  

(l) der det kreves av personvernlovgivningen, informeres kunden hvis SurveyMonkey oppdager at de mottatte instruksene fra kunden strider mot bestemmelsene i personvernlovgivningen. Til tross for det foregående har ikke SurveyMonkey noen forpliktelse til å overvåke eller kontrollere lovligheten av instrukser mottatt fra kunden. Hvis SurveyMonkey fatter en beslutning om at de ikke lenger kan overholde forpliktelsene sine under CCPA, skal SurveyMonkey informere kunden. 

(m) SurveyMonkey bekrefter at de forstår begrensningene og forpliktelsene som er angitt i denne DPA -en, all gjeldende personvernlovgivning og at de vil overholde disse kravene. 

6.1 Underdatabehandling. Kunden gir en generell godkjenning til SurveyMonkey for å engasjere videre underdatabehandlere som er underlagt samsvar med kravene her i avsnitt 6.

Liste over underdatabehandlere. SurveyMonkey vil, under forbehold av taushetsplikten i avtalen eller på annen måte pålagt av SurveyMonkey:

(a) gi kunden tilgang til en liste med SurveyMonkeys underleverandører som er involvert i behandling eller delbehandling av kundens personopplysninger i forbindelse med levering av tjenestene («underbehandlere»), sammen med en beskrivelse av tjenestene som tilbys av hver underbehandler («underbehandlerliste»). En kopi av denne underbehandlerlisten kan forespørres her

(b) sikre at alle underdatabehandlere på listen over underdatabehandlere er bundet av kontraktsvilkår som i alle vesentlige henseender ikke er mindre strenge enn de i denne DPA-en; og 

(c) være ansvarlig for handlingene og unnlatelsene til sine underdatabehandlere i samme grad SurveyMonkey ville være ansvarlig hvis de utfører tjenestene til hver av disse underdatabehandlerne direkte under vilkårene i denne DPA-en, med mindre annet er angitt i avtalen. 

6.3 Ny / utbytting av underbehandlere.  SurveyMonkey skal gi kunden skriftlig beskjed dersom det benyttes en ny underdatabehandler eller en eksisterende underdatabehandler erstattes i løpet av avtalens varighet («Melding om ny underdatabehandler»).Kunden skal enten registrere seg på en e-postliste som gjøres tilgjengelig her, der slike meldinger leveres via e-post eller vil alternativt se etter oppdateringer i listen her. Hvis kunden har et rimelig grunnlag for å motsette seg SurveyMonkeys bruk av en ny underdatabehandler eller utskiftning av en underdatabehandler, skal kunden umiddelbart varsle SurveyMonkey skriftlig og i alle tilfeller senest innen 30 dager etter å ha mottatt meldingen om en ny underdatabehandler. Ved en slik rimelig innvending kan enten kunden eller SurveyMonkey si opp enhver del av en avtale knyttet til tjenestene som ikke med rimelighet kan leveres uten innvendingene mot den nye underdatabehandleren (som etter SurveyMonkeys skjønn og valg kan innebære å si opp hele avtalen) med umiddelbar virkning ved å gi skriftlig beskjed til den andre parten. Slik oppsigelse utelukker refusjon for eventuelle avgifter som er forhåndsbetalt av kunden for perioden etter oppsigelsen.

7.1 Sikkerhetstiltak. SurveyMonkey har, tatt i betraktning den nyeste teknologien, kostnadene ved implementering og arten, omfanget, konteksten og formålene med tjenestene og risikonivået, implementert passende tekniske og organisatoriske tiltak (i samsvar med vedlegg 1) for å ivareta et sikkerhetsnivå som er passende for risikoen for uautorisert eller ulovlig behandling, utilsiktet tap av og/eller skade på kundedata. SurveyMonkey tester og evaluerer sikkerheten til disse tekniske og organisatoriske tiltakene med en rimelig hyppighet for å ivareta sikkerheten til prosesseringen.

7.2 Varsling om sikkerhetshendelse og -brudd. Hvis SurveyMonkey blir oppmerksom på uautorisert eller ulovlig tilgang til, eller anskaffelse, endring, bruk, avsløring eller ødeleggelse av kundens personopplysninger («Sikkerhetshendelse»), vil SurveyMonkey ta rimelige grep for å varsle kunden uten unødig forsinkelse. En sikkerhetshendelse innebærer ikke mislykkede forsøk eller aktiviteter som ikke går utover sikkerheten til personopplysningene, inkludert mislykkede påloggingsforsøk, pinger, portskanning, tjenestenektangrep, eller andre nettverksangrep på brannmurer eller nettverkssystemer. Varslinger til kunden om sikkerhetshendelser utgjør ingen innrømmelse av ansvar av SurveyMonkey.

7.3 SurveyMonkey vil også med rimelighet samarbeide med kunden med hensyn til etterforskning som er tilknyttet en sikkerhetshendelse ved å forberede påkrevde varsler og overlevere informasjon med rimelighet forespurt av kunden med hensyn til sikkerhetshendelser. 

8. Revisjoner Der SurveyMonkey behandler kundens personopplysninger for kunden (kun som behandler), vil kunden gi SurveyMonkey minst én måneds skriftlig varsel om enhver revisjon som kan utføres av kunden eller en uavhengig revisor utnevnt av kunden (forutsatt at ingen person som utfører revisjonen er, eller skal handle på vegne av, en konkurrent til SurveyMonkey) («Revisor»). Omfanget av en revisjon vil være som følger:

(a) Kunden har bare rett på å få utført én revisjon én gang per abonnementsår, med mindre annet er lovfestet eller påkrevd av en regulator med autoritet over kunden for å utføre eller få gjort en gjennomføring av mer enn 1 revisjon i samme år (i hvilket tilfelle kunden og SurveyMonkey vil, i forkant av disse revisjonene, bli enige om en passende refusjonssats for SurveyMonkeys revisjonsutgifter).

(b)SurveyMonkey godtar, med forbehold om hensiktsmessig og rimelig taushetsplikt, å fremlegge bevis for alle sertifiseringer og samsvarsstandarder de opprettholder, og vil på forespørsel gjøre et sammendrag av SurveyMonkeys siste årlige penetrasjonstester tilgjengelig for kunden, der dette sammendrag skal inkludere utbedrende tiltak gjort av SurveyMonkey som følge av penetrasjonstestene. 

(c) Omfanget av en revisjon vil være begrenset til SurveyMonkey-systemer, -prosesser og -dokumentasjon som er relevant for behandling og beskyttelse av kundens personopplysninger, og revisorer vil gjennomføre revisjoner underlagt alle passende og rimelige taushetsplikter som kreves av SurveyMonkey.

(d) Kunden vil umiddelbart varsle og gi SurveyMonkey på konfidensiell basis alle detaljer vedrørende eventuelt antatt mislighold eller sikkerhetsproblemer som oppdages i løpet av en revisjon.

8.2 Partene er enige om at, med mindre annet kreves av ordre eller annet bindende dekret fra en tilsynsmyndighet eller regulator med myndighet over kunden, angir avsnitt 8 her hele omfanget av kundens revisjonsrettigheter mot SurveyMonkey.

9.1 I den grad det er aktuelt, ved overføring av kundens personopplysninger fra EØS-området («EØS»), Sveits eller Storbritannia til steder utenfor EØS, Sveits og Storbritannia (enten direkte eller via videreoverføring) som ikke har tilstrekkelige standarder for personvern som fastsatt av EU-kommisjonen eller relevant personvernlovgivning, lener SurveyMonkey seg på:

(a) standardbestemmelsene og

(b) for overføringer underlagt UK GDPR, UK Addendum, eller

(c) slike andre egnede sikkerhetstiltak eller fravikelser (i den grad det er hensiktsmessig) som er spesifisert eller tillatt i henhold til personvernlovgivningen.

9.2 når det er nødvendig, inngår partene herved SCC-ene (en kopi av disse er tilgjengelig her) og UK Addendum (vedlegg 3). SCC-ene er innlemmet i denne avtalen ved referanse og skal gjelde som følger: 

(a) i tilfeller der kunden inngår en kontrakt med SurveyMonkey Inc. i USA i henhold til avtalen om tjenester, og er behandlingsansvarlig for kundens personopplysninger og, gjennom bruk av tjenestene, overfører kundens personopplysninger fra EØS til steder som ifølge EU-kommisjonen ikke har et tilstrekkelig nivå av personvern, inngår SurveyMonkey standardbestemmelser som dataimportør, og kunden inngår standardbestemmelser som dataeksportør, og bare Modul to av standardbestemmelsene vil gjelde, og/eller

(b) i tilfeller der kunden inngår kontrakt med SurveyMonkey Inc. i USA i henhold til avtalen om tjenester, og er databehandler for kundens personopplysninger og, gjennom bruk av tjenestene, overfører kundens personopplysninger fra EØS til steder som ifølge EU-kommisjonen ikke har et tilstrekkelig nivå av personvern, inngår SurveyMonkey standardbestemmelser som dataimportør, og kunden inngår standardbestemmelser som dataimportør, og bare Modul to av standardbestemmelsene vil gjelde, og/eller

(c) i tilfeller der kunden ikke er bosatt i EØS og inngår kontrakter med SurveyMonkey Europe UC for å lagre kundens personopplysninger innenfor EØS under avtalen, og er en datakontrollør for kundens personopplysninger og, gjennom bruk av tjenestene, overfører disse personopplysningene fra EØS til steder som ifølge EU-kommisjonen ikke har et tilstrekkelig nivå av personvern, inngår SurveyMonkey standardbestemmelser som dataeksportør, og kunden inngår standardbestemmelser som dataimportør, og bare Modul to av standardbestemmelsene vil gjelde, og

(d) i punkt 7 gjelder den valgfrie innlemmelsesklausulen

(e) i punkt 11 gjelder ikke det valgfrie språket

(f) i punkt 17 er standardbestemmelsene underlagt irsk lovgivning

(g) i klausul 18 skal tvister løses for domstolene i Irland, og

(h) Vedlegg I og II av standardbestemmelsene skal anses som fylt ut med informasjonen som er angitt i avtalen og detaljene som er gitt i vedlegg til dette tillegget om databehandling

9.3 For overføringer som er beskyttet av nFADP, skal SCC-ene gjelde i samsvar med paragraf 9.2 ovenfor, bortsett fra: 

(a) referanser i SCC-ene til GDPR skal tolkes som referanser til nFADP.  

(b) eventuelle referanser til «EU», «Union» og «medlemsstatslover» skal tolkes som referanser til Sveits og sveitsisk lov; og  

(c) eventuelle referanser til «kompetent tilsynsmyndighet» og «kompetente domstoler» skal tolkes som referanser til det relevante datatilsynet og domstoler i Sveits, med mindre SCC-ene, implementert som beskrevet ovenfor, ikke kan brukes til å lovlig overføre slike personlige kundeopplysninger i samsvar med nFADP, i hvilket tilfelle de sveitsiske SCC-ene i stedet skal inkorporeres ved referanse og utgjøre en vesentlig del av denne DPA-en og gjelde for slike overføringer. Med hensyn til de sveitsiske SCC-ene skal de relevante vedleggene av de sveitsiske SCC-ene fylles ut med informasjonen i vedlegg I og II til denne DPA-en (hvis det passer) og de tolkningsmessige bestemmelsene fastsatt i denne paragraf 9.3 skal gjelde (som aktuelt og som påkrevd for samsvar med nFADP).

9.4 Ved skriftlig forespørsel og i henhold til bestemmelsene i de standard kontraktbestemmelser eller UK Addendum (som aktuelt) skal SurveyMonkey gi kopier av de standard kontraktbestemmelser eller UK Addendum som er inngått med dataimportører i form av SurveyMonkeys funksjon som databehandler for kunden.

10.1 Ansvar for databehandling. Hver parts sammensatte ansvar for krav som er festet i kontrakten, erstatningsrett (inkludert uaktsomhet), brudd på lovpålagte plikter eller på annen måte som følge av eller i forbindelse med denne DPA-en skal være som angitt i avtalen, med mindre annet er skriftlig avtalt av partene.

10.2 Konflikt. Ved konflikt eller tvetydighet mellom: (i) vilkårene i denne DPA-en og vilkårene i avtalen, med hensyn til emnene i denne DPA-en, skal vilkårene i denne DPA-en ha forrang; (ii) vilkårene til andre bestemmelser som beskrives i denne DPA-en og bestemmelser som beskrives i de standard kontraktbestemmelser skal bestemmelsene i de standard kontraktbestemmelser ha forrang.

10.3 Uavhengig behandling. Kunden forblir utelukkende ansvarlig for sitt eget samsvar med personvernlovgivningen med tanke på eventuell uavhengig innsamling og behandling av personopplysninger som ikke er relatert til tjenestene. Kunden skal oppgi sine egne tydelige og lett synlige personvernregler som nøyaktig beskriver hvordan de gjør dette, og SurveyMonkey er ikke ansvarlig for noen behandling av personopplysninger av kunden i slike omstendigheter. Kunden holder herved SurveyMonkey fullstendig skadesløse mot alle krav eller ethvert ansvar som oppstår som følge av slik innsamling og bruk av personopplysninger av vedkommende i slike omstendigheter.

10.4 Hele avtalen. Avtalen (som inkorporerer denne DPA-en) og ethvert bestillingsskjema representerer hele avtalen mellom partene, og den erstatter alle andre tidligere eller samtidige avtaler eller vilkår, skriftlige eller muntlige, angående emnet. Hver av partene bekrefter at de ikke har basert seg på noen forsikringer som ikke er nedtegnet i avtalen som har fått dem til å inngå avtalen. (iii) konstant overvåking av infrastruktur (

10.5 Atskillelse. Hvis en eventuell bestemmelser for denne DPA-en blir fastslått å være uhåndterlig av en domstol med kompetent jurisdiksjon, frafaller bestemmelsen og resten av vilkårene gjelder i sin helhet. Ingenting i denne DPA-en er ment til, eller skal anses som, å opprette noe samarbeid eller fellesforetak mellom noen av partene, og autoriserer heller ikke noen parter til å opprette eller inngå noen forpliktelser for eller på vegne av noen annen part unntatt som uttrykkelig angitt her.

10.6 Elektronisk kopi. DPA-en leveres som et elektronisk dokument.

10.7 Gjeldende lov. Denne DPA-en skal være underlagt lovene i Irland, og partene underkaster seg utelukkende jurisdiksjonen til de irske domstolene (med hensyn til alle kontraktmessige og ikke-kontraktmessige tvister) unntatt i tilfeller av påstått brudd eller brudd på gjeldende eller fremtidige personvernlover, forskrifter, standarder, regulatoriske veiledninger og selvregulerende retningslinjer på statlig eller føderalt nivå i USA, der lovene i staten California skal gjelde med mindre annet er diktert av loven.

Beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene som iverksettes av SurveyMonkey 

SurveyMonkey vil opprettholde hensiktsmessige administrative, fysiske og tekniske sikkerhetstiltak («Sikkerhetstiltak») for beskyttelse av sikkerheten, konfidensialiteten og integriteten til personopplysninger gitt til dem for levering av tjenestene til Kunden. 

Sikkerhetstiltakene inkluderer følgende: 

(a) Domene: Organisasjon av informasjonssikkerheten.

(i) Sikkerhetsroller og ansvar. SurveyMonkey-personell med tilgang til data er underlagt taushetsplikt.

(ii) Risikostyringsprogram. SurveyMonkey utfører en risikovurdering der det er hensiktsmessig før dataene behandles.

(b) Domene: Ressurshåndtering

(i) Ressursshåndtering.

(1) SurveyMonkey har prosedyrer for å avhende utskrevet materiale som inneholder kundedata.

(2) SurveyMonkey opprettholder en oversikt over all maskinvare som kundedata lagres på.

(3) SurveyMonkey klassifiserer personopplysningene som behandles for kunden, slik at de lettere kan identifiseres og for å sikre at tilgangen til dem er tilstrekkelig begrenset (f.eks. gjennom brukernavn, passord og kryptering). 

(c) Domene: HR-sikkerhet.

(i) Sikkerhetsopplæring.

(1) SurveyMonkey informerer sitt personell om relevante sikkerhetsprosedyrer og deres respektive roller. SurveyMonkey informerer også sine ansatte om mulige konsekvenser av brudd på sikkerhetsreglene og -prosedyrene.

(d) Domene: Fysisk og miljømessig sikkerhet.

(i) Fysisk tilgang til fasiliteter. SurveyMonkey begrenser adgang til fasiliteter der det er informasjonssystemer som behandler kundedata for å identifisere godkjente personer.

(ii) Beskyttelse mot avbrudd. SurveyMonkey bruker en rekke systemer som er bransjestandard for å beskytte mot tap av data som følge av strømbrudd eller støy på kraftledninger.

(iii) Komponentavhending. SurveyMonkey bruker prosesser som er bransjestandard for å slette kundedata når den ikke lenger trengs.

(e) Domene: Kommunikasjon og driftsstyring. 

(i) Driftspolicy. SurveyMonkey tar vare på sikkerhetsdokumenter som beskriver sikkerhetstiltakene og de relevante prosedyrene og ansvaret til personellet som har tilgang til kundedata. 

(ii) Datagjenopprettingsprosedyrer. 

(1) SurveyMonkey oppretter sikkerhetskopier av kundedata på regelmessig kontinuerlig basis, som gjør at kundedata kan gjenopprettes dersom hovedkopien skulle gå tapt. 

(2) SurveyMonkey oppbevarer kopier av kundedata og datagjenopprettingsprosedyrer på et annet sted enn der hoveddatautstyret som behandler kundedata befinner seg. 

(3) SurveyMonkey har etablert spesifikke prosedyrer som regulerer tilgangen til kopier av kundedata. 

(iii) Skadelig programvare. SurveyMonkey har beskyttelse mot skadelig programvare for å hindre at skadelig programvare får uautorisert tilgang til kundedata, herunder skadelig programvare som kommer fra offentlige nettverk.

(iv) Data utenfor landegrenser. 

(1) SurveyMonkey krypterer kundedata som overføres over offentlige nettverk. 

(v) Loggføring av hendelser.

(1) SurveyMonkey loggfører bruk av databehandlingssystemer. 

(2) SurveyMonkey loggfører tilgang og bruk av informasjonssystemer som inneholder kundedata ved å registrere tilgangs-ID, tidsstempel og enkelte relevante aktiviteter.

(f) Domene: Administrasjon av informasjonssikkerhetshendelser

(i) Hendelsesrespons-prosess. 

(1) SurveyMonkey opprettholder en hendelsesresponsplan.  

(2) SurveyMonkey fører oversikt over sikkerhetsbrudd med en beskrivelse av bruddet, tidsperioden, konsekvensene av bruddet, navnet på melderen, og hvem bruddet ble rapportert til, og utbedringstrinn, hvis aktuelt.

(g) Domene: Styring av forretningskontinuitet.

(i) SurveyMonkeys redundante lagring og deres prosedyrer for å gjenopprette data er utformet for å forsøke å rekonstruere kundedata i sin opprinnelige tilstand fra før tidspunktet de ble tapt eller ødelagt.   

(h) Tilgangskontroll til behandlingsområder.  Prosesser for å hindre uautoriserte personer i å få tilgang til databehandlingsutstyret (det vil si telefoner, database- og applikasjonsservere og tilhørende maskinvare) der kundens personopplysninger behandles eller brukes, for å inkludere: 

(i) etablering av sikre områder; 

(ii) beskyttelse og begrensning av tilgangsbaner

(iii) å sikre mobiltelefoner;   

(iv) databehandlingsutstyr og personlige datamaskiner

(v) all tilgang til datasentre der kunders personopplysninger driftes, blir loggført, overvåket og sporet;  

(vi) datasentrene der kunders personopplysninger driftes, er sikret av et sikkerhetsalaramsystem og andre nødvendige sikkerhetstiltak; og 

(vii) anlegget er utformet for å tåle ugunstig vær og andre rimelig forutsigbare naturforhold, er sikret med vakthold døgnet rundt, nøkkelkort og/eller biometrisk tilgang (alt etter risikonivå), screening og tilgang som krever følgeperson, og er også støttet av sikkerhetskopieringsgeneratorer på lokasjonen i tilfelle strømbrudd

(i) Tilgangskontroll til databehandlingssystemer. Prosesser for å hindre databehandlingssystemer fra å brukes av uautoriserte personer, for å inkludere:  

(i) identifikasjon av terminalen og/eller terminalbrukeren til databehandlingssystemene; 

(ii) automatisk tidsavbrudd etter 30 minutter eller mindre der brukerterminalen ikke er i bruk, med behov for å oppgi identifikasjon og passord for å åpne på nytt

(iii) utsteding og sikkerhetsoppbevaring av identifikasjonskoder;  

(iv) passordkrav (minimumslengde, utløpsdato på passord osv.) 

(v) beskyttelse mot ekstern tilgang ved bruk av en brannmur som er industristandard.  

(j) Tilgangskontroll for å bruke spesifikke områder av databehandlingssystemer.  Tiltak for å sikre at personer som har rett til å bruke databehandlingssystemer, bare har tilgang til dataene innenfor omfanget og i den grad de er dekket av deres respektive tilgangstillatelser (autorisasjon) og at kundens personopplysninger ikke kan leses, kopieres, endres eller fjernes uten tillatelse, inkluderes ved:

(i) å implementere bindende retningslinjer for ansatte, og gi opplæring om hver enkelt av de ansattes tilgangsrettigheter til kunders personopplysninger;

(ii) effektive og målte disiplinærtiltak mot enkeltpersoner som får tilgang til kundens personopplysninger uten autorisasjon 

(iii) frigjøring av data kun til autoriserte personer; 

(iv) å implementere prinsipper for minste privilegerte tilgang til informasjon som inneholder kunders personopplysninger på strengt grunnlag av behovskrav;

(v) administrasjon av produksjonsnettverk og datatilgang styrt av VPN, tofaktorsautentisering og rollebasert tilgangskontroll;

(vi) applikasjons- og infrastruktursystemer loggfører informasjon til et sentralstyrt logganlegg for feilsøking, sikkerhetsgjennomganger og analyser; og 

(vii) retningslinjer som kontrollerer oppbevaring av sikkerhetskopier som er i samsvar med gjeldende lover og som er passende for den aktuelle typen data og tilsvarende risiko.

(k) Overføringskontroll. Prosedyrer for å forhindre at kundens personopplysninger leses, kopieres, endres eller slettes av uautoriserte parter under overføringen av disse eller under transporten av datamediene, og for å sikre at det er mulig å kontrollere og fastslå til hvilke organer overføring av kundens personopplysninger ved hjelp av dataoverføringsfasiliteter er tiltenkt, for å inkludere: 

(i) bruk av brannmurer og krypteringsteknologier for å beskytte gatewayene og rørledningene som dataene går gjennom;

(ii) implementering av VPN-tilkoblinger for å sikre tilkoblingen til det interne bedriftsnettverket;

(iii) konstant overvåking av infrastruktur (f.eks. ICMP-Ping på nettverksnivå, diskplassundersøkelse på systemnivå, vellykket levering av spesifiserte testsider på applikasjonsnivå); og

(iv) overvåking av fullstendigheten og riktigheten av overføringen av data (ende-til-ende-kontroll). 

(l) Lagringskontroll. Ved lagring av kundens personopplysninger: de vil bli sikkerhetskopiert som en del av en designert sikkerhetskopierings- og gjenopprettingsprosess i kryptert form, ved bruk av en kommersielt støttet krypteringsløsning, og alle data som blir definert som kunders personopplysninger og er lagret på en bærbar datamaskin eller lagringsenhet blir også kryptert. Krypteringsløsninger blir distribuert med ikke mindre enn en 128-bits nøkkel for symmetrisk kryptering og en 1024-bits (eller større) nøkkellengde for asymmetrisk kryptering;

(m) Inngangskontroll. Tiltak for å sikre at det er mulig å kontrollere og fastslå om og i så fall av hvem kundens personopplysninger er lagt inn eller fjernet i databehandlingssystemet, inkluderer:

(i) autentisering av godkjent personell;

(ii) beskyttelsestiltak for dataoppføringer til minnet, samt for lesing, endring og sletting av lagrede data;

(iii) bruk av brukerkoder (passord);

(iv) bevis etablert i dataimportørens organisasjon for inndatagodkjenningen; og

(v) å sikre at innganger til databehandlingsanlegg (rommene som inneholder datamaskinvaren og relatert utstyr) er låst.

(n) Tilgjengelighetskontroll. Tiltak for å sikre at kundens personopplysninger er beskyttet mot utilsiktet ødeleggelse eller tap, inkluderer redundans i infrastruktur og regelmessige sikkerhetskopier utført på databaseservere. 

(o) Segregering av behandling. Prosedyrer for å sikre at data som samles inn til forskjellige formål kan behandles separat, for å inkludere:

(i) å skille data gjennom applikasjonssikkerhet for de aktuelle brukerne;

(ii) lagring av data, på databasenivå, i forskjellige tabeller, atskilt av modulen eller funksjonen de støtter;

(iii) utforming av grensesnitt, partiprosesser og rapporter kun for spesifikke formål og funksjoner, slik at data som samles inn for spesifikke formål behandles separat; og

(iv) å blokkere aktive data fra å bli brukt til testformål, da bare eksempeldata generert for testformål kan brukes til slikt.

(p) Sårbarhetshåndteringsprogram. Et program for å sikre at systemene regelmessig sjekkes for sårbarheter og at det som eventuelt oppdages blir umiddelbart utbedret, for å inkludere:

(i) alle nettverk, inkludert test- og produksjonsmiljøer, skannes regelmessig; og 

(ii) penetrasjonstester utføres regelmessig og sårbarheter utbedres straks.

(q) Destruering av data. I tilfelle utløp eller oppsigelse av avtalen av en av partene, eller på annen måte etter forespørsel fra kunden etter å ha mottatt kvittering på en forespørsel fra en registrert person eller tilsynsorgan: 

(i) alle kundedata skal destrueres på en sikker måte innen 3 måneder; og

(ii) alle kundedata skal fjernes fra alle SurveyMonkeys og/eller tredjeparts lagringsenheter, inkludert sikkerhetskopier, innen 6 måneder fra oppsigelse eller mottakelse av forespørsel fra kunden, med mindre SurveyMonkey er lovpålagt å beholde dataene i en lengre periode. SurveyMonkey vil sørge for at alle slike data som ikke lenger er nødvendige, blir ødelagt til et nivå der det kan garanteres at de ikke lenger er mulige å gjenopprette.

(r) Standarder og sertifiseringer. Datalagringsløsninger og/eller -lokasjoner har minst SOC 1 (SSAE 16) eller SOC 2-rapporter – tilsvarende eller lignende sertifiseringer eller sikkerhetsnivåer blir undersøkt på individuell basis.

(s) Kontroll på stedet. Når de er til stede hos kunden, skal alle ansatte og underleverandører (hvis aktuelt) overholde alt av rimelige regler, forskrifter, fremgangsmåter og prosedyrer (inkludert sikkerhetsrelaterte tiltak) som generelt sett forordnes av kunden, og bruke kundens eiendom kun til de formålene som er fastsatt i en avtale og vil returnere all slik eiendom til kunden etter fullføring av de gjeldende tjenestene.

(t) Datakvalitetsstrategi. SurveyMonkey implementerer en datakvalitetsstrategi som har til hensikt å sikre at datakvaliteten holder god nok standard, og korrigerer data når vi blir oppmerksomme på feil eller ufullstendige data.  SurveyMonkey opprettholder kryptografiske hash-koder av enkelte produksjonsdata og endringslogger for domenedata, slik at vi kan overvåke og spore endringer.  Vi har implementert prosesser for å la brukere korrigere eller trekke tilbake behandling av personopplysningene sine, og for å korrigere dataproblemer i systemet.

(i) SurveyMonkey innhenter nøyaktig, relevant og fullstendig informasjon fra kunder for å muliggjøre forretningsvirksomheten til kundene. 

(ii) SurveyMonkey opprettholder dataene i henhold til livssykluspolicyer for å muliggjøre kontinuerlig, betimelig tilgang til dataene. 

(iii) Standarden for datakvalitet kan variere fra kunde til kunde, avhengig av kundens bruksområde. 

(u) Innebygd personvern. SurveyMonkey har implementert policyer og prosedyrer for å implementere innebygd personvern.  Alle data i systemet sorteres i henhold til riktig tilgang (etter policy), og livssyklusen opprettholdes av policyer.  Alle systemer knyttet til produksjon har dataminimering og pseudoanonymisering som standard, for å kunne forebygge personvern- og sikkerhetsproblemer i stedet for å måtte utbedre dem senere.  

(i) Vi ser på databeskyttelse som en del av utformingen og implementeringen av systemer, tjenester, produkter og forretningspraksis, og vi behandler databeskyttelse som en kjernefunksjon i tjenestene våre. 

(ii) Vi forutser risikoer og hendelser som krenker personvernet allerede før de inntreffer, og iverksetter tiltak for å hindre skade på enkeltpersoner.

(iii) Vi behandler kun de personopplysningene vi trenger for formålene våre, og vi bruker opplysningene kun til disse formålene. 

(iv) Vi sørger for at personopplysninger beskyttes automatisk i alt av IT-systemer, tjenester, produkter og/eller forretningspraksis, slik at enkeltpersoner skal slippe å iverksette konkrete tiltak for å beskytte sitt eget personvern

(v) Vi tilbyr strenge standarder for personvern, brukervennlige alternativer og kontroller, og vi respekterer brukernes preferanser.

(vi) Vi bruker databehandlere som gir tilstrekkelige garantier for sine tekniske og organisatoriske tiltak for innebygd databeskyttelse. 

(vii) Når vi bruker andre systemer, tjenester eller produkter i behandlingsaktivitetene våre, sørger vi for at vi kun bruker dem hvis designere og leverandører tar hensyn til databeskyttelsesproblemer. 

(v) Testing av datasikkerhetsposisjon. SurveyMonkey tester datasikkerhetsposisjonen sin minst én gang i året gjennom penetrasjonstester ved hjelp av et verktøy som er standard i bransjen (for eksempel BurpScanner), eller eventuelt ved hjelp av en sertifisert tredjepartstjeneste eller konsulent. 

(x) Strategi for å forhindre datatap. SurveyMonkey bruker opplæring og utdanning som en strategi for å forhindre datatap.  Tilgangen til data i systemet begrenses og minimeres for å hindre at brukere som ikke trenger det, får tilgang til data.  Alle brukere er pålagt å skrive under på retningslinjer for riktig tilgang til kundedata. Dette er en del av den årlige sikkerhetsopplæringen. 

(y) Tekniske sikkerhetstiltak. SurveyMonkey er et distribuert selskap, og har derfor ingen interne bedriftsbrannmurer eller inntrengningsoppdagelse for det interne nettverket vårt.  All tilgang til bedriftsressurser skal være over krypterte kanaler.  Alle bedriftsressurser må være lagret i MFFA-aktiverte systemer. 

Formål og art av behandling av personopplysninger, kategorier av personopplysninger, registrerte 

Behandlingens formål og artSurveyMonkey kan behandle kundens personopplysninger etter behov for teknisk å utføre tjenestene, inkludert der det er aktuelt: 
•      Vertsfunksjonalitet og lagring
•      Sikkerhetskopi og krisegjenoppretting
•      Teknisk forbedring av tjenestene
•     Endringer av tjenestestyring:
•      Problemløsing:
•      Tilby sikre, krypterte tjenester;
•      Bruke nye versjoner av produkter eller systemer, oppdateringer og oppgraderinger:
•      Overvåking og testing av systembruk og ytelse:
•      Proaktivt oppdage og fjerne feil:
•      IT-sikkerhetsformål inkludert hendelsesstyring:
•      Vedlikehold og ytelse av teknisk støtte-systemer og IT-infrastruktur:
•      Testing av migrering, implementering, konfigurering og ytelse:
•      Lage produktanbefalinger:
•     Tilby kundestøtte, overføre data og
•      hjelpe til med forespørsler om registrerte (etter behov).
Kategorier av personopplysningerKunden kan sende inn kundens personopplysninger til tjenestene, og kan be om at kundens respondenter sender inn personopplysninger til tjenestene, hvis omfang bestemmes og kontrolleres av kunden etter eget skjønn, og som kan omfatte, uten begrensning: 

•      Personopplysninger av alle typer som kan sendes inn av kundens respondenter til kunden via brukere av tjenestene (som via spørreundersøkelser eller andre tilbakemeldingsverktøy). For eksempel: navn, geografisk plassering, alder, kontaktinformasjon, IP-adresse, yrke, kjønn, økonomisk status, personlige preferanser, personlige handle- eller forbrukervaner, og andre preferanser og andre personlige detaljer som kunden ber om eller ønsker å samle inn fra sine respondenter. 

•      Personopplysninger av alle typer som kan være inkludert i skjemaer og undersøkelser som er vert for tjenestene for kunden (som kan inkluderes i spørreundersøkelser). 

•  Kontakt- og faktureringsdetaljer for kundens ansatte, autoriserte sluttbrukere og andre forretningskontakter. For eksempel: navn, tittel, arbeidsgiver, kontaktinformasjon (firma, e-post, telefon, adresse osv.), betalingsinformasjon og andre kontorelaterte data.
•      Kundens respondenter kan sende inn spesielle kategorier av personopplysninger til kunden via tjenestene, omfanget av dette bestemmes og kontrolleres av kunden. For klarhetens skyld kan disse spesielle kategoriene av personopplysninger inkludere informasjon som avslører rase eller etnisk opprinnelse, politiske meninger, religiøse eller filosofiske overbevisninger, fagforeningsmedlemskap og behandling av data om helse eller sexliv.
Registrerte Registrerte personer inkluderer:
•      Fysiske personer som sender inn personopplysninger til SurveyMonkey ved bruk av tjenestene (inkludert via nettbaserte spørreundersøkelser og skjemaer som holdes av SurveyMonkey på vegne av kunden)
•      Fysiske personers personopplysninger som kan sendes til kunden av respondenter ved bruk av tjenestene
•      Fysiske personer som er kundens ansatte, representanter eller andre forretningsforbindelser
•      Kundens brukere som er autorisert av kunden for tilgang til og bruk av tjenestene.

BILAG FOR standardbestemmelser

VEDLEGG I –

A. LISTE OVER PARTER

MODUL TO: Overføre fra behandlingsansvarlig til databehandler

MODUL TRE: Overføre fra databehandler til databehandler

MODUL FIRE: Overføre fra databehandler til behandlingsansvarlig

Dataeksportør(er): Som angitt i avtalen

Kontaktpersonens navn, posisjon og kontaktinformasjon: Som angitt i avtalen

Aktiviteter som er relevante for dataene som overføres i henhold til disse klausulene: Som angitt i vedlegg 2 i tillegget om databehandling

Dataimportør(er): Som angitt i avtalen

Navn: Som angitt i avtalen

Kontaktpersonens navn, posisjon og kontaktinformasjon: Som angitt i avtalen

Aktiviteter som er relevante for dataene som overføres i henhold til disse klausulene: Som angitt i vedlegg 2 i tillegget om databehandling

B. BESKRIVELSE AV OVERFØRINGEN

MODUL TO: Overføre fra behandlingsansvarlig til databehandler

MODUL TRE: Overføre fra databehandler til databehandler

MODUL FIRE: Overføre fra databehandler til behandlingsansvarlig

Kategorier for registrerte personer som personopplysninger overføres for: Som angitt i vedlegg 2 i tillegget om databehandling

Kategorier for personopplysninger som overføres: Som angitt i vedlegg 2 i tillegget om databehandling

Sensitive data overført (om relevant) og anvendte restriksjoner eller sikkerhetstiltak som fullt ut tar hensyn til dataenes karakter og den involverte risikoen, for eksempel streng begrensning av formål, restriksjon av tilgang (inkludert tilgang bare for ansatte som har fått spesialisert opplæring), holde en oversikt over tilgangen til dataene, begrensninger for videreoverføring eller ytterligere sikkerhetstiltak: Som angitt i vedlegg 1 og 2 i tillegget om databehandling

Hyppigheten av overføringen (f.eks. om dataene overføres én gang eller kontinuerlig): én gang og kontinuerlig (avhengig av bruk av tjenestene)

Behandlingens karakter: Som angitt i vedlegg 2 i tillegget om databehandling

Formål for dataoverføringen og videre behandling: Som angitt i vedlegg 2 i tillegget om databehandling

Perioden som personopplysningene skal oppbevares for eller, hvis dette ikke er mulig, kriteriene som brukes til å bestemme denne perioden: Som angitt i avtalen og her

For overføringer til (under-)databehandlere, også angi emnet, karakteren og varigheten for behandlingen: Se her.

C. KOMPETENT TILSYNSMYNDIGHET

Identifiser kompetente tilsynsmyndigheter i henhold til punkt 13: Irland

VEDLEGG II – TEKNISKE OG ORGANISATORISKE TILTAK SOM ANGITT I VEDLEGG 1 I TILLEGGET OM DATABEHANDLING

VEDLEGG III – LISTE OVER UNDERDATABEHANDLERE

MODUL TO: Overføre fra behandlingsansvarlig til databehandler

MODUL TRE: Overføre fra databehandler til databehandler

MODUL FIRE: Overføre fra databehandler til behandlingsansvarlig. Kunden har godkjent bruk av følgende underdatabehandlere: Se her.

UK ADDENDUM 

1. For dataoverføringer som er underlagt GDPR i Storbritannia, inngår partene herved UK Addendum (en kopi er tilgjengelig her), og UK Addendum er inkludert i denne avtalen ved referanse. For dataoverføringer som er underlagt GDPR i Storbritannia, skal eventuelle referanser til den «kompetente tilsynsmyndigheten» og «kompetente domstoler» tolkes som referanser til de relevante datatilsynene og domstolene i Storbritannia. 

2. Partene er enige om at formatet og innholdet i tabellene i del 1 i UK Addendum skal endres og erstattes med tabellen nedenfor.

Tabellreferanse for UK AddendumInformasjon for å fullføre tabellen
Tabell 1: StartdatoGjelder fra og med avtalens ikrafttredelsesdato.
Tabell 1: Partenes detaljerSkal anses som fylt ut med informasjonen som er angitt i vedlegg 2 i denne avtalen.
Tabell 2: Addendum EU SCC-erPartene velger følgende alternativ fra tabell 2:
«Godkjente SCC-er for EU, inkludert informasjonen i vedlegget og med bare følgende moduler, bestemmelser eller valgfrie bestemmelser i EUs godkjente SCC-er skal tre i kraft for dette tilleggets formål».
Detaljer om modulene, bestemmelser og valgfrie bestemmelser i SCC-ene som trer i kraft for UK Addendum, er beskrevet ovenfor i avsnitt 9.2 i denne avtalen.
Tabell 3:
Tabell 3: Vedlegg 1A – Liste over parterSkal anses som fylt ut med informasjonen som er angitt i vedlegg 2 i denne avtalen.
Tabell 3: Vedlegg 1B – Beskrivelse av overføringSkal anses som fylt ut med informasjonen som er angitt i vedlegg 2 i denne avtalen.
Tabell 3: Vedlegg II – Tekniske og organisatoriske tiltakSkal anses som fylt ut med informasjonen som er angitt i vedlegg 1 i denne avtalen.
Tabell 3: Vedlegg III: Liste over underdatabehandlere (2 moduler)En liste over underdatabehandlere er å finne i bestemmelsene for underdatabehandlere i avtalen.
Tabell 4: Slutt på dette tilleggetPartene velger at ingen av partene kan avslutte UK Addendum, da det er en del av denne avtalen.

3. Dersom det skulle oppstå en konflikt eller uoverensstemmelse mellom denne avtalen og UK Addendum, har UK Addendum forrang når det gjelder en slik konflikt eller uoverensstemmelse.