Standardkontraktbestemmelser

Vi har udarbejdet denne aftale om databehandling, så den omfatter alle eventuelle udlægninger af standardkontraktbestemmelser. De gælder måske ikke alle sammen for dig. Af hensyn til mere overskuelighed:  

California Consumer Privacy Act (CCPA) (Californiens lov om forbrugerbeskyttelse af privatlivets fred) 

Vi har ajourført denne aftale om databehandling, så den reflekterer tilføjelser fra California Privacy Rights Act (CPRA) (Californiens lov om ret til privatlivets fred) til CCPA. Vi accepterer ikke ændringer eller tillæg til denne aftale om databehandling fra kunden. 

Denne Momentive aftale om databehandling (“DPA”) udgør en del af din aftale med Momentive og indeholder visse vilkår vedrørende databeskyttelse, beskyttelse af personlige oplysninger og sikkerhed i overensstemmelse med databeskyttelseslovgivningen, hvor det er relevant. I tilfælde af (og kun i et sådant omfang) at der opstår en konflikt mellem de forskellige databeskyttelseslovgivninger og regler, skal parterne overholde de strengeste krav eller højere standard, som afgøres udelukkende af Momentive i tilfælde af tvister desangående. 

Denne databeskyttelsesaftale er indgået mellem kunden og det relevante selskab i Momentive-koncernen, som fastslås som følger: 

(i) for kunder i andre lande end USA er Momentive Europe UC udbyderen; 

(ii)  for kunder i USA er Momentive Inc. udbyderen. 

Dette er den seneste udgave af aftale om databehandling (dateret den1. januar 2023). 

I denne aftale om databehandling har følgende udtryk, med mindre sammenhængen nødvendiggør noget andet, følgende betydninger: 

“Aftale” skal forstås som enhver aftale mellem Momentive Inc. eller Momentive Europe og en kunde angående ydelserne. En sådan aftale kan have forskellige titler, såsom “ordreformular”, “salgsordre”, “brugsvilkår” og “overordnet eller gældende serviceaftale”. 

“Artikel 28” skal forstås som artikel 28 i persondataforordningen og den britiske persondataforordning hvad angår behandling af kunders persondata. 

“Kunden” og “du” skal forstås som den kunde, som er identificeret i og/eller er part i aftalen. 

“Kundedata” skal forstås som alle data (herunder blandt andet kunders persondata) som leveres til Momentive af eller på vegne af kunden igennem kundens brug af ydelserne samt alle data som tredjeparter giver til kunden igennem ydelserne. 

“Kundens persondata” skal forstås som alle som leveres til tjenesterne af eller til kunde, som behandles af Momentive med henblik på levering af ydelserne til kunden, herunder blandt andet de persondata, som står nærmere beskrevet i Tillæg 2 til nærværende aftale. 

“Databeskyttelseslovgivning” skal forstås som: 
(i) Persondataforordningen (EU-forordning 2016/679)("GDPR") og alle andre gældende lovgivninger eller forordninger i EU, EØS eller medlemsstater i det europæiske fællesmarked og alle ajourføringer, tillæg eller erstatninger, som angår behandling af persondata i henhold til aftalen,

(ii) den schweiziske forbundslov om databeskyttelse ("FADP"), eller den nye forbundslov om databeskyttelse, der træder i kraft d. 1. januar 2023 ("nFADP"),

(iii) alle amerikanske love og regler som angår behandling af persondata i henhold til aftalen, herunder, men ikke begrænset til, California Consumer Privacy Act of 2018 (Cal. Civ. Code §§ 1798.100 - 1798.199)("CCPA"), 

(iv) alle love og regler, som angår behandling af persondata omfattet af aftalen til enhver tid i Det Forenede Kongerige (herunder den britiske GDPR) og

(v) Personal Information Protection and Electronic Documents Act ("PIPEDA") (loven om beskyttelse af persondata og elektroniske dokumenter), eller eventuelle ajourføringer, tillæg eller erstatninger, som angår behandling af persondata i Canada.

Begrebene "kontrollant”, "databeskyttelsesvurdering", “behandle”, “behandling”, “behandler”, "tilsynsførende myndighed" har samme betydning som i GDPR eller den britiske GDPR.

“Momentive” og “us” skal for kunder i USA forstås som Momentive Inc. og for kunder udenfor USA forstås som Momentive Europe. 

“Momentive Europe” skal forstås som Momentive Europe UC, et irsk selskab med hovedsæde på 2 Shelbourne Buildings, Second Floor, Shelbourne Road, Dublin 4, Irland. 

“Momentive Inc." skal forstås som Momentive Inc., et selskab fra Delaware med hovedsæde på One Curiosity Way, San Mateo, CA 94403, USA.  

“Momentives meddelelse om beskyttelse af  personlige oplysninger” skal forstås som Momentives meddelelse om beskyttelse af personlige oplysninger, som findes på https://da.surveymonkey.com/mp/legal/privacy/.

"Persondata" skal forstås som information om et levende individ som er, eller kan, identificeres med rimelighed på baggrund af information, enten alene eller kombineret med anden information (en "registreret person").

“Ydelser” skal forstås som de tjenesteydelser, kunden har bestilt fra Momentive i henhold til aftalen. 

“Standardkontraktbestemmelser” skal forstås som de standardkontraktbestemmelser som er vedlagt den Europa-Komissionens afgørelse a: i) 4. juni 2021 om standardkontraktbestemmelser angående overførsel af persondata til tredjelande i henhold til persondataforordningen ii) (indtil Momentive hahar indgået de standardkontraktbestemmelser som er beskrevet under i)), den 5. februar 2010 angående overførsel af kundedata til behandlere i tredjelande i henhold til direktiv 95/46/EF). Når FADP/nFADP finder anvendelse, skal alle henvisninger i standardkontraktbestemmelser forstås som tilsvarende henvisninger til FADP/nFADP. Alle begreb, der anvendes i denne sammenhæng, skal derfor have den definition, der er fastsat i FADP/nFADP.

"Britiske tillæg" skal forstås som (i) den tillægsskabelon som det britiske informationskomissariat har udstedt og præsenteret for det britiske parlament i henhold til afsnit 119A i den britiske lov om databeskyttelse af 2018 den 2. februar 2022, i den til enhver tid reviderede udgave i henhold til paragraf 18 i de obligatoriske bestemmelser. Hvor den tillægsskabelon som omtales i denne defintion skal forstås som det dokument som bærer titlen: "International Data Transfer Addendum to the EU Commission Standard Contractual" version B1.0, som trådte i kraft den 21 marts 2022 eller (ii) indtil Momentive eventuelt indtræder i det britiske tillæg som beskrives under (i)I, Europa-kommissionens afgørelse af 5. februar 2010 om overførsel af persondata til behandlere grundlagt i tredjelande i henhold til direktiv 95/46/EF.

"Den britiske persondataforordning" skal forstås som EU's persondataforordning som den udgør en del af lovene i England og Wales, Scotland og Nordirland i kraft af paragraf 3 i den britiske lov European Union (Withdrawal) Act 2018 med senere ændringer i Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations henholdsvis 2019 og 2020 og enhver lovgivning i Det Forenede Kongerige, som til enhver tid ændrer eller erstatter den britiske persondataforordning.

Når Momentive leverer ydelserne til kunden, er Momentive behandler af kundepersondata i persondataforordningens forstand. Med hensyn til CCPA, hvor det er relevant, aftaler Momentive og kunden hermed, at Momentive er en "tjenesteyder" og kunden er "virksomheden" hvad angår personlige oplysninger (som defineret i CCPA).

Denne databeskyttelsesaftale forbliver i kraft indtil aftalen bringes til ophør (i henhold til dens vilkår) eller udløber. 

Kunden skal sikre, og tilkendegiver herved at denne er berettiget til at overføre disse kundedata til Momentive så Momentive lovligt kan behandle og overføre disse kundedata i henhold til denne databeskyttelsesaftale. Kunden skal sikre at alle relevante registrerede personer er blevet informeret om denne anvendelse, behandling og overførsel som det kræves i lovgivningen om databeskyttelse og at der er indhentet lovformeligt samtykke (hvor det kræves). Kunden skal sikre at alle persondata som behandles eller overføres til Momentive behandles eller overføres lovmæssigt og korrekt.

Når Momentive behandler kundens persondata for kunden i sin egenskab af behandler, vil Momentive:

(a) kun gøre dette efter kundens dokumenterede instrukser og i henhold til lovgivningen om databeskyttelse, herunder hvad angår overførsel af persondata til andre jurisdiktioner eller en international organisation, og parterne erklærer overfor hinanden at  aftalen udgør sådanne dokumenterede instrukser fra kunden til Momentive om at behandle kundens persondata  (herunder til steder udenfor EØS) sammen med andre rimelige instrukser, som kunden giver til Momentive (f.eks. via e-mail) i det omfang sådanne instrukser er forenelige med aftalen; 

(b) sikre at alt personale hos Momentive, som er involveret i behandling af kundens persondata, er forpligtet til fortrolighed, hvad angår disse persondata; 

(c) stille oplysninger til rådighed for kunden, som er nødvendige for at denne kan påvise opfyldelse af sine forpligtelser i henhold til artikel 28 i persondataforordningen (hvis denne gælder for kunden), hvor sådanne oplysninger opbevares af Momentive og ikke på anden vis er tilgængelige for kunden gennem sin konto og sine brugerområder eller på Momentive-websteder, under forudsætning af, at du giver Momentive mindst 14 dages’ skriftlig varsel om en sådan informationsanmodning;

(d) samarbejde på kundens rimelige anmodning om at gøre kunden i stand til at opfylde en registreret persons ønske om at gøre brug  af de rettigheder som lovgivningen om databeskyttelse giver til registrerede personer angående de persondata som behandles af Momentive i forbindelse med levering af ydelserne; 

(e) være behjælpelig, når det er nødvendigt med anmodninger, som modtages direkte fra en registreret person angående en registreret persons persondata indgivet i forbindelse med ydelserne;

(f) ikke opbevare persondata fra din konto, når du har slettet disse med mindre det gøres for at overholde gældende love og regler eller i det omfang, de rutinemæssigt kan opbevares i sikkerhedskopier foretaget med henblik på gendannelse efter ulykker og driftskontinuitet si henhold til vores opbevaringspolitik; 

(g) samarbejde med enhver tilsynsførende myndighed og enhver erstatning eller efterfølger til denne myndighed til enhver tid (eller, i det omfang det kræves af kunden, enhver anden myndighed indenfor databeskyttelse eller privatliv i henhold til lovgivningen om databeskyttelse) i udøvelsen af en sådan tilsynsførende myndigheds opgaver hvis det er påkrævet; 

(h) assistere kunden i det omfang det rimeligvis kan kræves, når kunden: 

(i) udfører en konsekvensanalyse vedrørende databeskyttelse (som kan omfatte at fremskaffe dokumentation så kunden kan udføre sin egen analyse); or

(ii) er pålagt at indberette en sikkerhedshændelse (som defineret nedenfor) til en tilsynsførende myndighed eller en relevant registreret person

(i) forpligter sig til ikke at (a) sælge eller dele nogen persondata (som de defineres i CCPA) til kommercielle formål, eller (b) samle, opbevare, anvende, videregive eller på anden måde bearbejde persondata udover (1) for at opfylde Momentives forpligtelser overfor kunden i henhold til aftalen, (2) på kundens vegne, (3) til kundens operationelle formål, (4) til Momentives interne brug i det omfang, det tillades i henhold til databeskyttelseslovgivningen, (5) for at registrere datasikkerhedshændelser eller beskytte mod svindel eller ulovlig aktivitet eller (6) på anden vis er tilladt i henhold til lovgivningen om databeskyttelse; 

(j) Hvis det er påkrævet i henhold til lovgivningen om databeskyttelse, informerer Momentive Kunden, hvis det kommer til selskabets kundskab, at instrukser modtaget  fra kunden krænker bestemmelserne i lovgivningen om databeskyttelse. Uanset det førnævnte har Momentive ingen forpligtelse til at overvåge eller overveje lovmæssigheden af instrukser modtaget fra kunden; og

(k) Momentive erklærer at det forstår de restriktioner og krav, som stilles i  denne databeskyttelsesaftale og vil overholde dem. 

6.1 Underbehandling. Kunden giver en generel tilladelse til at Momentive kan benytte underbehandlere så længe dette overholder kravene i dette afsnit 6.

6.2 Liste over underbehandlere. Momentive forpligter sig til, underlagt fortrolighedsbestemmelserne i denne aftale eller på anden vis pålagt af Momentive, at:

(a) forsyne kunden med en liste over Momentives underleverandører  som er involveret i behandling eller underkontraheret behandling af kunders persondata i forbindelse med leveringen af ydelserne (“underkontraherede registerførere”), sammen med en beskrivelse af hver for for ydelse for hver underkontraheret registerfører (“Liste over underkontraherede registerførere”). En kopi af denne liste over underkontraherede registerførere kan rekvireres her, 

(b) sikre at alle underbehandlere på listen over underbehandlere er bundet af kontrakbestemmelser, som ikke er mindre strenge end bestemmelserne i  denne databeskyttelsesaftale; og 

(c) være ansvarlig for underbehandlernes handlinger eller undladelser i samme omfang som Momentive ville være ansvarlig, hvis Momentive udførte den enkelte underbehandlers ydelser direkte underlagt vilkårene i  denne aftale om databehandling, med mindre andet fremgår af  aftalen. 

6.3 Nye/udskiftede underkontraherede registerfører.  Momentive giver kunden skriftligt varsel når der underkontraheres en ny registerfører eller en eksisterende underkontraheret registerfører udskiftes til enhver tid i aftalens løbetid (“Varsel om ny underkontraheret registerfører”). Kunden skal tilmelde sig en mailingliste, som leveres af Momentive, igennem hvilken sådanne varsler leveres per e-mail , eller skal kontrollere listen for ændringer here. Hvis kunden har rimelig grund til at gøre indsigelse mod Momentives brug af en ny eller udskiftet underkontraheret registerfører, skal kunden give Momentive besked skriftligt prompte og i hvert fald indenfor 30 dage af modtagelsen af et varsel om nu underkontraheret registerfører. I tilfælde af en sådan rimelig indsigelse kan enten kunden eller Momentive bringe den del af enhver aftale til ophør, som omhandler ydelserne som ikke på rimelig vis kan leveres uden den nye underkontraherede registerfører, der gøres indsigelse imod (dette kan, efter Momentives skøn, omfatte at hele aftalen bringes til ophør) med øjeblikkelig virkning ved at give skriftligt varsel til modparten. Aftalen ophører i disse tilfælde uden at kunden har ret til refusion af sine forudbetalte gebyrer for perioden efter ophøret.

7.1 SikkerhedsforanstaltningerMomentive har, i betragtning af aktuel teknisk viden, udgifter til implementering samt typen, omfanget, sammenhængen og formålene med ydelserne og risikoniveauet, implementeret nødvendige tekniske og organisationsmæssige foranstaltninger (i henhold til Bilag 1) til at sikre et sikkerhedsniveau, der er passende for risikoen for uautoriseret eller ulovlig behandling, utilsigtet tab af og/eller skade på kundens data. Med rimelige intervaller afprøver og evaluerer Momentive effektiviteten af disse tekniske og organisationsmæssige foranstaltninger for at sikre sikkerheden i behandlingen.

7.2 Underretning om sikkerhedshændelser og overtrædelser. Hvis Momentive bliver bekendt med en uautoriseret eller ulovlig konsultation af eller overtagelse, ændring, anvendelse, videregivelse eller ødelæggelse af kundens persondata (“Sikkerhedshændelse”), forpligter Momentive sig til at træffe passende foranstaltninger til at informere kunden herom snarest muligt. Mislykkede forsøg og aktiviteter som ikke kompromitterer dikkerheden af persondata regnes ikke som sikkerhedshændelser, herunder mislykkede forsøg på at logge ind, pings, port scans, denial of service-angreb eller andre netværksangreb på firewalls eller systemer i netværket. En underretning til kunden om en sikkerhedshændelse betyder ikke at  Momentive påtager sig erstatningsansvaret.

7.3 Momentive forpligter sig også til at samarbejde med kunden angående efterforskning af sikkerhedshændelser ved at udarbejde eventuelle påkrævede underretninger og videregive oplysninger, som kunden på rimelig vis anmoder om i relation til en  sikkerhedshændelse. 

8.1 Revision. Når Momentive behandler kundedata på vegne af kunden (kun), forpligter kunden sig til at give Momentive mindst én måneds skriftligt varsel forud for enhver revision, som kan forestås af kunden eller af en uafhængig kontrollant udpeget af kunden (så længe ingen person, som forestår en revision er eller handler på vegne af en konkurrent til Momentive) (“Kontrollant”). Omfanget af en revision er indskrænket som følger:

(a) Kunden er kun berettiget til at foretage én revision per abonnementsår med mindre det er et lovkrav, eller at en myndighed med etableret status over kunden pålægger denne at udføre mere end 1 revision i det samme år (i hvilket fald kunden og Momentive forpligter sig til forud for sådanne kontroller at nå til enighed om en passende betaling for Momentives revisionsudgifter).

(b) Momentive accepterer, underlagt alle passende og rimelige fortrolighedsbegrænsninger, at levere bevis på eventuelle certificeringer og de overholdelsesstandarder, det håndhæver, og vil ved anmodning stille dig til rådighed med en administrativ opsummering af Momentives seneste , hvori opsummeringen vil inkludere afhjælpende handlinger, der er foretaget af Momentive, som et resultat af sådanne  indtrængningstest. 

(c) Omfanget af en revision begrænser sig til Momentives systemer, og processer samt dokumentation som er relevant for behandlingen og beskyttelsen af kundens persondata, og kontrollanterne udfører revision underlagt alle rimelige krav om fortrolighed fra  Momentive.

(c) Kunden forpligter sig til omgående at underrette og forsyne SurveyMonkey med detaljerede oplysninger angående en eventuel opfattet overtrædelse af regler eller sikkerhedsmæssige bekymringer som opdages i løbet af en revision.

8.2 Parterne aftaler at med mindre andet kræves i form af en ordre eller en anden bindende forordning fra en tilsynsførende myndighed eller kontrolinstans med autoritet over kunden, udgør dette Afsnit 8 hele omfanget af kundens ret til revision af Momentive.

9.1 I det omfang, det er relevant, er overførsler af kunders persondata fra Det Europæiske Økonomiske Samarbejdsområde ("EØS"), Schweiz eller Det Forenede Kongerige til steder udenfor EØAS, Schweiz og Det Forenede Kongerige (enten direkte eller via videre overførsel), som ikke har passende standarder for databeskyttelse som fastlagt af Europa-kommissionen eller relevant databeskyttelseslovgivning, som henholder Momentive sig til:

(a) standardkontraktbestemmelserne og

(b) hvad angår overførsler underlagt den britiske persondataforordning, det britiske tillæg eller

(c) andre passende sikkerhedsforanstaltninger, eller fravigelser (i det begrænsede omfang hvori det er passende)  som er angivet eller tilladt i henhold til databeskyttelseslovgivningen. 

9.2 Hvor det er påkrævet, indgår parterne hermed standardkontraktbestemmelserne (en kopi af disse kan findes her) og det britiske tillæg (tillæg 3). Standardkontraktbestemmelserne er inkorporeret i denne aftale ved henvisning og finder anvendelse som følger: 

(a) hvis kunden kontraherer med Momentive Inc. i USA i henhold til serviceaftalen og er dataansvarlig for kundepersondata og igennem brugen af disse ydelser overfører disse kundepersondata fra EØS til steder som Europe-kommissionen ikke har bedømt til at yde et passende niveau af beskyttelse af persondata, indgår Momentive i standardkontraktbestemmelserne som dataimportør, og kunden som dataeksportør, og kun modul to af standardkontraktbestemmelserne finder anvendelse, og/eller

(a) hvis kunden kontraherer med Momentive Inc. i USA i henhold til serviceaftalen og er databehandler af kundepersondata og igennem brugen af disse ydelser overfører disse kundepersondata fra EØS til steder som Europe-kommissionen ikke har bedømt til at yde et passende niveau af beskyttelse af persondata, indgår Momentive i standardkontraktbestemmelserne som dataimportør, og kunden som dataeksportør, og kun modul tre af standardkontraktbestemmelserne finder anvendelse, og/eller

(a) hvis kunden ikke har fast bopæl i EØS og kontraherer med Momentive Europe UC om at opbevare kundepersondata indenfor EØS i henhold til aftalen og er dataansvarlig af kundepersondata og igennem brugen af disse ydelser overfører disse persondata fra EØS til steder som Europe-kommissionen ikke har bedømt til at yde et passende niveau af beskyttelse af persondata, indgår Momentive i standardkontraktbestemmelserne som dataeksportør og kunden som dataimportør, og kun modul tre af standardkontraktbestemmelserne finder anvendelse, og

(d) i bestemmelse 7, den fakultative tillægsbestemmelse anvendes;

(d) i bestemmelse 11, den fakultative tekst anvendes ikke;

(f) i bestemmelse 17 standardkontraktbestemmelserne er underlagt irsk lovgivning;

(g) i bestemmelse 18, tvister afgøres ved domstolene i Irland, og

(h) Tillæg I og II i standardkontraktbestemmelserne anses som berigtigede med den information som er beskrevet i aftalen og de nærmere oplysninger som gives i tillæggene til nærværende databeskyttelsesaftale.

9.3 For overførsler, som er beskyttet af FADP/nFADP, er standardkontraktbestemmelserne gældende i henhold til afsnit 9.2 ovenfor, undtagen: 

(a) alle henvisninger standardkontraktbestemmelserne til GDPR skal fortolkes som henvisninger til FADP/nFADP,  

(b) Alle henvisninger til “EU”, “Union”og “lovgivning i medlemsstat” skal fortolkes som henvisninger til Schweiz og schweizisk lovgivning og  

(c ) alle henvisninger til den "kompetente tilsynsmyndighed" og "kompetente domstole" skal fortolkes som henvisninger til den relevante databeskyttelsesmyndighed og de relevante domstole i Schweiz, medmindre standardkontraktbestemmelserne, der er implementeret som beskrevet ovenfor, ikke kan anvendes til lovlig overførsel af sådanne kundepersondata i overensstemmelse med FADP/nFADP, i hvilket tilfælde de schweiziske standardkontraktbestemmelser i stedet skal indarbejdes ved henvisning og udgøre en integreret del af denne aftale om databehandling og skal gælde for sådanne overførsler. Med henblik på de schweiziske standardkontraktbestemmelser skal de relevante bilag til de schweiziske standardkontraktbestemmelser udfyldes ved hjælp af oplysningerne i tillæg I og II til denne aftale om databehandling (alt efter omstændighederne), og de fortolkningsbestemmelser, der er fastsat i dette afsnit 9.3, er gældende (hvor det er relevant og påkrævet for at overholde FADP/nFADP).  

9.4 På skriftlig begæring og i overensstemmelse med standardkontraktbestemmelserne eller bestemmelserne i det britiske tillæg (alt efter hvad der finder anvendelse), leverer Momentive kopier af de standardkontraktbestemmelser eller det britiske tillæg, som det har indgået med dataimportører i sin egenskab af databehandler for kunden.

10.1 Ansvar for databehandling. Hver af parternes samlede ansvar for  alle krav, der opstår af kontrakter, erstatningsret (herunder forsømmelse), overtrædelse af lovkrav eller på anden vis som følge af eller i forbindelse med  denne aftale om behandling af persondata , skal være som beskrevet i denne aftale med mindre andet er aftalt skriftligt mellem parterne.

10.2 Konflikt. I tilfælde af konflikt eller utydelighed mellem: (i) vilkårene i  denne aftale om behandling af persondata og vilkårene i den aftale som omtales som "aftalen" angående emnet for  denne aftale om persondata, har vilkårene i  denne aftale om behandling af persondata forrang; (ii) vilkårene i en bestemmelse i  denne aftale om behandling af persondata og en bestemmelse i standardkontraktbestemmelserne, har standardkontraktbestemmelsen forrang.

10.3Uafhængig behandling. Kunden forbliver eneansvarlig for sin egen overholdelse af databeskyttelseslovgivningen hvad angår eventuel uafhængig indsamling og behandling af persondata som ikke er relateret til ydelserne. Kunden skal levere levere sine egne tydelige meddelelser om beskyttelse af personlige oplysninger som korrekt beskriver hvordan denne gør dette, og Momentive er ikke ansvarlig for nogen behandling af persondata, som udføres af kunden i disse situationer. Kunden gør hermed Momentive skadesløs for alle krav og ansvar, som opstår som resultat af dennes indsamling og brug af persondata i disse situationer.

10.4 Aftalens helhed. Aftalen (som indeholder denne aftale om persondatabehandling) og en eventuel ordreformular udgør aftalen i sin helhed mellem parterne alle andre tidligere eller samtidigt indgåede aftaler og vilkår, skriftlige såvel som mundtlige, angående dens genstand. Begge parter bekræfter at de ikke har henholdt sig til erklæringer som ikke er indeholdt de aftalen i beslutningen om at indgå i aftalen.

10.5 Udskillelse. Hvis nogen bestemmelse i denne serviceaftale afgøres at være uden retskraft af en domstol eller en kompetent myndighed, bliver denne bestemmelse udskilt og de resterende bestemmelser bevarer fuld retskraft. Intet i denne serviceaftale hat har til hensigt at etablere et partnerskab eller joint venture mellem nogen af parterne eller autorisere nogen part til at kunne indtræde i nogen forpligtelser på vegne af den anden part med mindre det udtrykkeligt er angivet heri.

10.6 Elektronisk udgave. Aftalen om databehandling leveres som et elektronisk dokument.

10.7 Lovvalg. Denne aftale om databehandling reguleres af irsk lov, og parterne underlægger sig udelukkende de irske domstoles værneting (hvad angår alle kontraktmæssige og ikke-kontraktmæssige tvister) bortset fra i tilfælde af påstande om brud på nuværende eller fremtidige love om privatliv, regler, standarder, lovmæssig vejledning og retningslinjer for selvovervågning på forbunds- og delstatsniveau i USA, i hvilket tilfælde den reguleres af lovene i Californien med mindre loven kræver noget andet.

Beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger som Momentive har truffet 

Momentive opretholder passende administrative, fysiske og tekniske foranstaltninger (“Sikkerhedsforanstaltninger”) for at beskytte sikkerheden, fortroligheden og integriteten af de persondata som leveres til Momentive i forbindelse med Momentives levering af tjenesteydelserne til kunden. 

De tekniske sikkerhedsforanstaltninger omfatter følgende: 

(a) Domæne: Organisering af informationssikkerhed.

(i) Sikkerhedsroller og -ansvar. Momentives personale med adgang til data er underlagt fortrolighedskrav.

(ii) Risikostyringsprogram. Momentive udfører hvor det er relevant en risikovurdering inden behandling af dataene.

(b) Domæne: Håndtering af aktiver.

(i) Håndtering af aktiver.

(1) Momentive har procedurer for bortskaffelse af trykt materiale, som indeholder kundedata.

(2) Momentive fører regnskab med al hardware, som indeholder kundedata.

(c) Domæne: Personalesikkerhed.

(i) Sikkerhedstræning.

(1) Momentive informerer sine ansatte om relevante sikkrhedsprocedurer og deres respektive roller. Momentive informerer også sit personale om de mulige konsekvenser for brud på sikkerhedsregler og  -procedurer.

(d) Domæne: Fysisk og omgivelsesmæssig sikkerhed.

(i) Fysisk adgang til anlæg. Momentive begrænser adgangen til anlæg, hvor der findes informationssystemer, som behandler kundedata til identificerede  individer.

(ii) Beskyttelse mod forstyrrelser. Momentive anvender flere forskellige systemer, som er standard for branchen, til at beskytte mod tab af data nedbrud i strømforsyning eller ledningsinterferens.

(iii) Bortskaffelse af komponenter. Momentive følger branchens standarder for sletning af kundedata når de ikke længere  behøves.

(e) Domæne: Kommunikation og driftsstyring 

(i) Driftspolitik. Momentive varetager sikkerhedsdokumenter, som beskriver virksomhedens sikkerhedsforanstaltninger og de relevante procedurer og ansvarsområder for personalet, som har adgang til kundedata. 

(ii) Procedurer til gendannelse af kundedata. 

(1) På regelmæssig og løbende basis opretter Momentive sikkerhedskopier af kundedata, som kan anvendes til at gendanne kundedata i tilfælde af tab af den primære udgave. 

(2) Momentive gemmer kopier af kundedata og procedurer for gendannelse af data et andet sted end det primære computerudstyr til behandling af kundedata befinder sig. 

(3) Momentive har specifikke procedurer til regulering af adgangen til kundedata. 

(iii) Skadelig software. Momentive har anti-malware-kontrol til at hjælpe med at undgå at skadelig software får uautoriseret adgang til kundedata, herunder skadelig software fra offentlige  netværk.

(iv) Data udenfor grænser. 

(1) Momentive krypterer kundedata, som sendes over offentlige netværk. 

(v) Logføring af hændelser.

(1) Momentive logfører anvendelsen af sine databehandlingssystemer. 

(2) Momentive logfører adgang til og brug af informationssystemer, som indeholder kundedata ved at registrere adgangs-ID, tidspunkt og visse relevante aktiviteter.

(f) Domæne: Håndtering af informationssikkerhedshændelser.

(i) Proces for hændelsesrespons. 

(1) Momentive har en hændelsesresponsplan.  

(2) Momentive registrerer sikkerhedsovertrædelser med en beskrivelse af overtrædelsen, konsekvenserne af overtrædelsen, navnet på anmelderen og hvem overtrædelsen blev anmeldt til samt eventuelle foranstaltninger til udbedring.

(g) Domæne: Forvaltning af driftskontinuitet.

(i) Momentives redundante lager og dets procedurer for gendannelse af data er udarbejdet med henblik på at forsøge at gendanne kundedata i deres oprindelige form fra før de blev tabt eller ødelagt.   

(h) Kontrol af adgang til behandlingsområder.  De processer, som bruges til at undgå uautoriseret adgang til databehandlingsudstyr (nærmere betegnet telefoner, databaser og applikationsservere samt relateret hardware), hvor der behandles eller anvendes persondata, skal omfatte: 

(i) etablering af sikre områder; 

(ii) beskyttelse og sikring af adgangsveje;

(iii) sikring af mobiltelefoner;   

(iv) databeskyttelsesudstyr og personlige computere;

(v) al adgang til de datacentre, hvor kundens persondata hostes, bliver logført, overvåget og  sporet;  

(vi) de datacentre, hvor kundens persondata hostes, sikres med et alarmsystem og andre passende sikkerhedsforanstaltninger; og 

(vii) anlægget er konstrueret til at kunne modstå ugunstige vejrforhold og andre rimeligt forudsigelige naturforhold, er sikret med vagter døgnet rundt, nøglekort og/eller biometrisk adgangskontrol (alt efter hvad der passer til risikoniveauet) screening og eskorteringskontrolleret  adgang, og har nødstrømsgeneratorer i tilfælde af strømafbrydelse.

(i) Adgangskontrol til databehandlingssystemer. Processerne til at undgå at databehandlingssystemer bliver anvendt af uautoriserede personer, omfatter:  

(i) identifikation af terminal og/eller terminalbruger overfor  databehandlingssystemerne; 

(ii) automatisk time-out efter 30 minutter eller mindre, hvis terminalen ikke bliver benyttet. Identifikation og adgangskode er nødvendig for at  genåbne;

(iii) udstedelse og sikker opbevaring af identifikationskoder  

(iv) krav til kompleksitet af adgangskode (minimumslængde, udløbstidspunkt for adgangskode osv.); and

(v) beskyttelse mod ekstern adgang ved hjælp af en firewall, som lever op til branchens standard.  

(j) Adgangskontrol til anvendelse af specifikke områder af databehandlingssystemerne. Foranstaltninger til at sikre at de personer, som har ret til at anvende databehandlingssystemerne, kun har adgang til data til de opgaver og i det omfang deres respektive adgangstilladelse (autorisation) giver dem adgang, og  at kundens persondata ikke kan læses, kopieres, ændres eller fjernes, herunder ved at:

(i) implementering af bindende personalepolitik og oplæring angående hver enkelt ansats adgangsrettigheder til kunders persondata;

(ii) effektiv og afmålt disciplinær handling mod individer, som tilgår kundens persondata uden  tilladelse; 

(iii) udlevering af data kun til autoriserede personer; 

(iv) implementering af principper om mindst priviligeret adgang til information, som indeholder kundens persondata udelukkende på baggrund af “need to know” -krav;

(v) produktionsnetværk og adgang til datahåndtering styret af VPN, ttofaktorgodkendelse og rollebaseret adgangskontrol;

(vi) software- og infrastruktursystemer logfører information i centrale loganlæg med henblik på fejlfinding, sikkerhedsvurdering og analyse; og 

(vii) politikker om opbevaring af sikkerhedskopier i overensstemmelse med gældende lov og passende for de relevante datas art og den tilhørende risiko.

(k) Overførselskontrol. Procedurer til at undgå at kundens persondata bliver læst, kopieret, ændret eller slettet af uautoriserede parter under overførslen heraf eller under transport af datamedier samt for at sikre at det er muligt at kontrollere hvilke institutioner, det er meningen at kundens persondata, som overføres via dataoverførselssystemer, : skal omfatte

(i) benyttelse af firewalls og krypteringsteknologi til at beskytte de gateways og kanaler, som dataene bevæger sig ad;

(ii) implementering af VPN-tilslutninger til beskyttelse af tilslutningen til interne netværk i virksomheden;

(iii) konstant overvågning af infrastruktur (f.eks. ICMP-Ping på netværksniveau, undersøgelse af diskplads på systemniveau, gennemført levering af angivne testsider på applikationsniveau); and

(iv) overvågning af dataoverførslens fuldstændighed og korrekthed (end-to-end -kontrol). 

(l) Lagerkontrol. Når kundedata opbevares: bliver det sikkerhedskopieret som led i et anvist system til sikkerhedskopiering og gendannelse i krypteret form med en kommercielt understøttet krypteringsløsning, og alle data defineret som kundens som er gemt på en flytbar eller bærbar computer eller et flytbart lagermedie krypteres ligeledes. Krypteringsløsninger anvendes med mindst en 128-bit-nøgle til symmetrisk kryptering og en 1024 (eller flere) bit nøglelængde til asymmetrisk kryptering;

(m) Inputkontrol. Foranstaltninger til at sikre at det muligt at kontrollere og godtgøre hvorvidt der er registreret eller fjernet persondata fra kunden  i databehandlingssystemerne, og hvem der har gjort det, som skal omfatte:

(i) godkendelse af det autoriserede personale;

(ii) beskyttelsesforanstaltninger for data gemt i hukommelsen, samt for læsning, ændring og sletning af gemte data;

(iii) anvendelse af brugerkoder (adgangskoder);

(iv) bevis fra dataimportørens organisation for inputgodkendelsen; og

(v) at sikre at indgange til databehandlingsanlæg (de rum, hvor computerhardware og relateret udstyr befinder sig) er låste.

(n) Tilgængelighedskontrol. Foranstaltninger, der skal sikre at kundens persondata beskyttes mod utilsigtet ødelæggelse eller tab, som skal omfatte infrastrukturredundans og regelmæssige sikkerhedskopier udført på databaseservere. 

(o) Opdeling af behandling. Procedurer, der skal sikre at data indsamlet til forskellige formål, kan behandles særskilt, som skal omfatte:

(i) opdeling af data via applikationssikkerhed for de relevante brugere;

(ii) lagring af data på databaseniveau i forskellige tabeller opdelt efter det modul eller den funktion, de understøtter;

(iii) udarbejdelse af grænseflader, batchprocesser og rapporter, som kun er til specifikke formål og funktioner, så data, der indsamles til specifikke formål, behandles separat; og

(iv) forhindring af at konkrete data anvendes til testformål, da kun dummy-data dannet til testformål må anvendes til disse formål.

(p) Sårbarhedsstyringsprogram. Et program til at sikre at systemer kontrolleres regelmæssigt for sårbarheder, og at registrerede sårbarheder udbedres omgående, som skal omfatte:

(i) alle netværk, herunder test- og produktionsmiljøer, som scannes regelmæssigt; og 

(ii) gennemtrængningstest udføres regelmæssigt, og sårbarheder udbedres  omgående.

(q) Datadestruktion. I tilfælde af at aftalen udløber eller bringes til ophør af én af parterne eller på begæring fra kunden efter anmodning fra en registreret person eller en tilsynsførende myndighed: 

(i) skal alle kundedata destrueres sikkert indenfor 3 måneder; og

(ii) alle kundedata skal fjernes fra Momentives og/eller tredjeparters lagerenheder, herunder sikkerhedskopier indenfor 6 måneder af ophøret eller modtagelsen af en begæring fra kunden, medmindre Momentive er pålagt et lovkrav om at opbevare en sådan kategori af data i længere perioder. Momentive sikrer at alle sådanne data, som ikke længere er nødvendige, destrueres i en grad, hvor man kan være sikker på, at det ikke længere kan gendannes.

(r) Standarder og certificeringer. Dataopbevaringsløsninger og/eller -steder har mindst SOC 1- (SSAE 16) eller SOC 2-rapporter – tilsvarende certificeringer eller sikkerhedsniveauer vurderes hver for sig.

Persondatabehandlingens formål og art, kategorier af persondata, registrerede personer 

BILAG TIL standardkontraktbestemmelser

BILAG I -

A. LISTE OVER PARTER

MODUL TO: Overførsel fra dataansvarlig til databehandler

MODUL TRE: Overførsel fra databehandler til databehandler

MODUL FIRE: Overførsel fra databehandler til dataansvarlig

Dataeksportør(er): som angivet i aftalen

Kontaktpersonens navn, stilling og kontaktoplysninger: som angivet i aftalen

Aktiviteter som er relevante for de data som overføres i henhold til disse bestemmelser: Som angivet i bilag 2 til databeskyttelsesaftalen

Dataimportør(er): som angivet i aftalen

Navn: som angivet i aftalen

Kontaktpersonens navn, stilling og kontaktoplysninger: som angivet i aftalen

Aktiviteter som er relevante for de data som overføres i henhold til disse bestemmelser: Som angivet i bilag 2 til databeskyttelsesaftalen

B. BESKRIVELSE AF OVERFØRSLEN

MODUL TO: Overførsel fra dataansvarlig til databehandler

MODUL TRE: Overførsel fra databehandler til databehandler

MODUL FIRE: Overførsel fra databehandler til dataansvarlig

Kategorier af registrerede personer hvis persondata overføres: som angivet i bilag 2 til databeskyttelsesaftalen

Kategorier af persondata som overføres: som angivet i bilag 2 til databeskyttelsesaftalen

Følsomme personoplysninger, der overføres (hvis relevant), og anvendte begrænsninger eller garantier, der fuldt ud tager hensyn til oplysningernes art og de involverede risici, f.eks. streng formålsbegrænsning, adgangsbegrænsninger (herunder kun adgang for særligt uddannet personale), registrering af adgangen til oplysningerne, begrænsninger for videreoverførsel eller yderligere sikkerhedsforanstaltninger: som angivet i bilag 1 og 2 i databeskyttelsesaftalen

Overførslens hyppighed (f.eks. om dataene overføres på engangsbasis eller løbende): på engangsbasis og løbende (afhængigt af hvordan ydelsen anvendes)

Behandlingens art: som angivet i bilag 2 til databeskyttelsesaftalen

Formål med dataoverførslen og den videre behandling: Som angivet i bilag 2 til databeskyttelsesaftalen

Den periode, hvor personoplysningerne opbevares eller, hvis det ikke kan oplyses, kriterier for fastsættelse af perioden: som angivet i aftalen og som angivether

For overførsler til (under-)databehandlere angives også genstanden for behandlingen og behandlingens varighed og karakter Se venligst her.

C. KOMPETENT TILSYNSMYNDIGHED

Udpegning af den eller de kompetente tilsynsmyndigheder i overensstemmelse med bestemmelse 13: Irland

BILAG II – TEKNISKE OG ORGANISATORISKE FORANSTALTNINGER, SOM ANGIVET I BILAG 1 I DATABESKYTTELSESAFTALEN

BILAG III – LISTE OVER UNDERDATABEHANDLERE

MODUL TO: Overførsel fra dataansvarlig til databehandler

MODUL TRE: Overførsel fra databehandler til databehandler

MODUL FIRE: Overførsel fra databehandler til dataansvarlig Kunden har autoriseret følgende underbehandlere: Se venligst her.

BRITISK TILLÆG 

1. Angående de dataoverførsler, som er underlagt den britiske persondataforordning, indgår parterne hermed det britiske tillæg (en kopi heraf kan findes her) og det britiske tillæg er inkorporeret ved henvisning. For dataoverførsler, der er omfattet af den britiske GDPR, skal alle henvisninger til den "kompetente tilsynsmyndighed" og "kompetente domstole" fortolkes som henvisninger til den relevante databeskyttelsesmyndighed og de relevante domstole i Det Forenede Kongerige. 

2. Parterne indgår aftale om at format og indhold af Del 1 af det britiske tillæg rettes og erstattes med nedenstående tabel.

3. I tilfælde af konflikt eller uoverensstemmelse mellem nærværende aftale og det britiske tillæg har det britiske tillæg forrang, hvad angår denne konflikt eller uoverensstemmelse.