Databehandleravtale

Vår SCC: https://ounizz.com/pages/scc

Sist oppdatert: 29. mars 2023

Denne databehandlingsavtalen ("Avtalen") utgjør en juridisk bindende kontrakt mellom deg og Ounizz.com Eies og administreres av Spectrum Atelier Inc, som ligger  1320 16th Ave SW Calgary Suite 514 AB, T3C 3S6, Canada. og gjelder i den grad Spectrum Atelier Inc behandler kundepersonopplysninger på dine vegne når du er behandlingsansvarlig,

SOM

(A) Selskapet fungerer som en datakontrollør.

(B) Selskapet ønsker å underlevere visse tjenester, som innebærer behandling av personopplysninger, til databehandleren.

(C) Partene søker å implementere en databehandlingsavtale som er i samsvar med kravene i gjeldende juridiske rammeverk i forhold til databehandling og med Europaparlamentets og rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer med hensyn til behandling av personopplysninger og om fri flyt av slike opplysninger og om oppheving av direktiv 95/46/EF (generell databeskyttelsesforordning).

(D) Partene ønsker å fastsette sine rettigheter og plikter.

DET ER AVTALT FØLGENDE:

1. Definisjoner og tolkning

1.1 Med mindre annet er definert her, skal termer og uttrykk som brukes i denne avtalen ha følgende betydning:

1.11 "Avtale" betyr denne databehandlingsavtalen og alle tidsplaner;

1.12 "Bedriftens personopplysninger" betyr alle personopplysninger som behandles av en avtalt behandler på vegne av selskapet i henhold til eller i forbindelse med hovedavtalen;

1.13 "Kontraktbehandler" betyr en underbehandler;

1.14 "Databeskyttelseslover" betyr EUs databeskyttelseslover og, i den grad det er aktuelt, databeskyttelses- eller personvernlovgivningen i andre land;

1.15 "EØS" betyr Det europeiske økonomiske samarbeidsområdet;

1.16 "EUs databeskyttelseslover" betyr EU-direktiv 95/46/EC, som implementert i nasjonal lovgivning i hver medlemsstat og som endret, erstattet eller erstattet fra tid til annen, inkludert av GDPR og lover som implementerer eller supplerer GDPR;

1.17 "GDPR" betyr EUs generelle databeskyttelsesforordning 2016/679;

1.18 "Dataoverføring" betyr:

1.181 en overføring av selskapets personopplysninger fra selskapet til en avtalt behandler; eller

1.182 en videre overføring av selskapets personopplysninger fra en kontraktsfestet databehandler til en underkontraktert databehandler, eller mellom to virksomheter av en avtalt databehandler, i hvert tilfelle, der slik overføring ville være forbudt i henhold til databeskyttelseslover (eller i henhold til vilkårene i dataoverføringsavtaler satt på plass for å håndtere dataoverføringsbegrensningene i databeskyttelseslovene);

1.19 "Tjenester" betyr tepper e-handelsbutikken som selskapet tilbyr.

1.110 "Underbehandler" betyr enhver person som er oppnevnt av eller på vegne av en prosessor til å behandle personopplysninger på vegne av selskapet i forbindelse med avtalen.

1.2 Begrepene «Kommisjon», «Kontrollansvarlig», «Datasubjekt», «Medlemsstat», «Personlige data», «Personlig databrudd», «Behandling» og «Tilsynsmyndighet» skal ha samme betydning som i GDPR , og deres beslektede termer skal tolkes tilsvarende.

2. Behandling av selskapets personopplysninger

2.1 Prosessor skal:

2.11 overholde alle gjeldende databeskyttelseslover ved behandling av selskapets personopplysninger; og

2.12 ikke behandle selskapets personopplysninger annet enn i henhold til det relevante selskapets dokumenterte instruksjoner.

2.2 Selskapet instruerer Behandleren til å behandle selskapets personopplysninger.

3. Behandlerpersonell

Behandler skal iverksette rimelige skritt for å sikre påliteligheten til enhver ansatt, agent eller kontraktør for en avtalt prosessor som kan ha tilgang til selskapets personopplysninger, og sikre i hvert tilfelle at tilgang er strengt begrenset til de individene som trenger å kjenne til / få tilgang til de relevante selskapets personopplysninger, som strengt nødvendig for formålene med hovedavtalen, og for å overholde gjeldende lover i sammenheng med den personens plikter overfor den kontraktsfestede databehandleren, og sikre at alle slike individer er underlagt konfidensialitetsforpliktelser eller profesjonelle eller lovpålagte taushetsplikter.

4. Sikkerhet

4.1 Under hensyntagen til teknikkens stand, kostnadene ved implementering og Behandlingens art, omfang, kontekst og formål samt risikoen for varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal Behandler i forhold til selskapets personopplysninger implementerer hensiktsmessige tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er passende for den risikoen, inkludert, der det er hensiktsmessig, tiltakene nevnt i artikkel 32(1) i GDPR.

4.2 Ved vurdering av passende sikkerhetsnivå skal Databehandleren spesielt ta hensyn til risikoene som oppstår ved behandling, spesielt fra et brudd på personopplysninger.

5. Underbehandling

5.1 Behandler skal ikke utnevne (eller utlevere noen av selskapets personopplysninger til) noen underbehandler med mindre det kreves eller er autorisert av selskapet.

6. Datasubjektets rettigheter

6.1 Under hensyntagen til behandlingens natur, skal Behandler bistå Selskapet ved å implementere passende tekniske og organisatoriske tiltak, så langt det er mulig, for oppfyllelse av Selskapets forpliktelser, som rimelig forstått av Selskapet, til å svare på forespørsler om å utøve data Fagrettigheter i henhold til databeskyttelseslovene.

6.2 Prosessor skal:

6.21 varsle selskapet umiddelbart hvis det mottar en forespørsel fra en datasubjekt i henhold til en lov om databeskyttelse med hensyn til selskapets personopplysninger; og

6.22 sikre at den ikke svarer på den forespørselen unntatt etter de dokumenterte instruksjonene fra selskapet eller som kreves av gjeldende lover som databehandleren er underlagt, i så fall skal databehandleren i den grad det er tillatt i gjeldende lover informere selskapet om det juridiske kravet før Kontraktbehandler svarer på forespørselen.

7. Brudd på personopplysninger

7.1 Behandler skal varsle Selskapet uten unødig forsinkelse når Behandler blir oppmerksom på et brudd på personopplysninger som påvirker selskapets personopplysninger, gi selskapet tilstrekkelig informasjon til å tillate selskapet å oppfylle eventuelle forpliktelser til å rapportere eller informere registrerte om bruddet på personopplysninger i henhold til databeskyttelsen Lover.

7.2 Behandler skal samarbeide med selskapet og ta rimelige kommersielle skritt som instruert av selskapet for å bistå i etterforskningen, avbøtende og utbedring av hvert slikt personopplysningsbrudd.

8. Databeskyttelseskonsekvensvurdering og forhåndskonsultasjon Behandler skal gi rimelig bistand til selskapet med eventuelle databeskyttelseskonsekvensvurderinger og forutgående konsultasjoner med tilsynsmyndigheter eller andre kompetente datapersonvernmyndigheter, som selskapet med rimelighet anser å være påkrevd av artikkel 35 eller 36 i GDPR eller tilsvarende bestemmelser i andre databeskyttelseslover, i hvert enkelt tilfelle utelukkende i forhold til behandling av selskapets personopplysninger av, og tatt i betraktning arten av behandlingen og informasjonen som er tilgjengelig for, de avtalte behandlerne.

9. Sletting eller retur av selskapets personopplysninger

9.1 I henhold til denne seksjon 9 skal Behandler raskt og under alle omstendigheter innen

10 virkedager etter opphørsdatoen for alle tjenester som involverer behandling av selskapets personopplysninger («opphørsdatoen»), slett og sørge for sletting av alle kopier av disse selskapets personopplysninger.

10. Revisjonsrettigheter

10.1 I henhold til denne seksjon 10 skal Behandler gjøre tilgjengelig for Selskapet på forespørsel all informasjon som er nødvendig for å demonstrere samsvar med denne Avtalen, og skal tillate og bidra til revisjoner, inkludert inspeksjoner, av Selskapet eller en revisor som er bemyndiget av Selskapet i forhold til til behandling av selskapets personopplysninger av de avtalte behandlerne.

102 Informasjons- og revisjonsrettigheter for selskapet oppstår kun under § 10.1 i den grad avtalen ellers ikke gir dem informasjon og revisjonsrettigheter som oppfyller de relevante kravene i databeskyttelsesloven.

11. Dataoverføring

11.1 Behandleren kan ikke overføre eller godkjenne overføring av data til land utenfor EU og/eller Det europeiske økonomiske samarbeidsområdet (EØS) uten skriftlig forhåndssamtykke fra Selskapet. Dersom personopplysninger behandlet i henhold til denne avtalen overføres fra et land innenfor det europeiske økonomiske samarbeidsområdet til et land utenfor det europeiske økonomiske samarbeidsområdet, skal partene sørge for at personopplysningene er tilstrekkelig beskyttet. For å oppnå dette skal partene, med mindre annet er avtalt, basere seg på EU-godkjente standard kontraktuelle klausuler for overføring av personopplysninger.

12. Generelle vilkår

12.1 Konfidensialitet. Hver part må holde denne avtalen og informasjonen den mottar om den andre parten og dens virksomhet i forbindelse med denne avtalen ("Konfidensiell informasjon") konfidensiell og må ikke bruke eller avsløre den konfidensielle informasjonen uten skriftlig forhåndssamtykke fra den andre parten, bortsett fra til grad at:

(a) offentliggjøring er lovpålagt;

(b) den relevante informasjonen er allerede i det offentlige domene.

12.2 Merknader. Alle meldinger og kommunikasjoner gitt under denne avtalen må være skriftlig og vil bli levert personlig, sendt med post eller sendt via e-post til adressen eller e-postadressen som er angitt i overskriften til denne avtalen på en annen adresse som varslet fra tid til annen ved at Partene endrer adresse.

13. Gjeldende lov og jurisdiksjon

13.1 Denne avtalen er underlagt lovene i Storbritannia.

13.2 Enhver tvist som oppstår i forbindelse med denne avtalen, og som partene ikke vil være i stand til å løse i minnelighet, vil bli underlagt den eksklusive jurisdiksjonen til domstolene if London.