Standardkontraktbestemmelser

Vi har udarbejdet denne aftale om databehandling, så den omfatter alle eventuelle udlægninger af standardkontraktbestemmelser. De gælder måske ikke alle sammen for dig. Af hensyn til mere overskuelighed:  

California Consumer Privacy Act (CCPA) (Californiens lov om forbrugerbeskyttelse af privatlivets fred) 

Vi har ajourført denne aftale om databehandling, så den reflekterer tilføjelser fra California Privacy Rights Act (CPRA) (Californiens lov om ret til privatlivets fred) til CCPA. Vi accepterer ikke ændringer eller tillæg til denne aftale om databehandling fra kunden. 

Denne Momentive aftale om databehandling (“DPA”) udgør en del af din aftale med SurveyMonkey og indeholder visse vilkår vedrørende databeskyttelse, beskyttelse af personlige oplysninger og sikkerhed i overensstemmelse med databeskyttelseslovgivningen, hvor det er relevant. I tilfælde af (og kun i et sådant omfang) at der opstår en konflikt mellem de forskellige databeskyttelseslovgivninger og forordninger, skal parterne overholde det strengeste krav eller den højeste standard, som i tilfælde af tvister desangående afgøres udelukkende af SurveyMonkey. 

Denne databeskyttelsesaftale er indgået mellem kunden og det relevante selskab i SurveyMonkey-koncernen, som fastslås som følger: 

(i) for kunder i andre lande end USA er SurveyMonkey Europe UC udbyderen 

(ii)  for kunder i USA er SurveyMonkey Inc. udbyderen. 

Dette er den seneste udgave af databeskyttelsesaftalen (dateret den 15. juni 2022).

I denne aftale om databehandling har følgende udtryk, med mindre sammenhængen nødvendiggør noget andet, følgende betydninger: 

“Aftale” skal forstås som enhver aftale mellem SurveyMonkey Inc. eller SurveyMonkey Europe og en kunde angående tjenesterne. En sådan aftale kan have forskellige titler, såsom “ordreformular”, “salgsordre”, “brugsbetingelser” og “overordnet eller gældende serviceaftale”. 

“Artikel 28” skal forstås som artikel 28 i persondataforordningen og den britiske persondataforordning hvad angår behandling af kunders persondata. 

“Kunden” og “du” skal forstås som den kunde der er identificeret i og/eller er part i aftalen. 

“Kundedata” skal forstås som alle data (herunder blandt andet kunders persondata) som leveres til SurveyMonkey af eller på vegne af kunden igennem kundens brug af tjenesterne samt alle data som tredjeparter giver til kunden igennem tjenesterne. 

“Kundens persondata” skal forstås som alle som indsendes til tjenesterne af eller til kunde, som behandles af SurveyMonkey med henblik på levering af tjenesterne til kunden, herunder blandt andet de persondata, som står nærmere beskrevet i Tillæg 2 til nærværende aftale. 

“Databeskyttelseslovgivning” skal forstås som: 
(i) Persondataforordningen (EU-forordning 2016/679)("GDPR") og alle andre gældende lovgivninger eller forordninger i EU, EØS eller medlemsstater i det europæiske fællesmarked og alle ajourføringer, tillæg eller erstatninger, som angår behandling af persondata i henhold til aftalen,

(ii) den schweiziske forbundslov om databeskyttelse ("FADP"), eller den nye forbundslov om databeskyttelse, der træder i kraft d. 1. januar 2023 ("nFADP"),

(iii) alle amerikanske love og regler som angår behandling af persondata i henhold til aftalen, herunder, men ikke begrænset til, California Consumer Privacy Act of 2018 (Cal. Civ. Code §§ 1798.100 - 1798.199)("CCPA"), 

(iv) alle love og regler, som angår behandling af persondata omfattet af aftalen til enhver tid i Det Forenede Kongerige (herunder den britiske GDPR) og

(v) Personal Information Protection and Electronic Documents Act ("PIPEDA") (loven om beskyttelse af persondata og elektroniske dokumenter), eller eventuelle ajourføringer, tillæg eller erstatninger, som angår behandling af persondata i Canada.

Begreberne "kontrollant”, "databeskyttelsesvurdering", “behandle”, “behandling”, “behandler”, "tilsynsførende myndighed" har samme betydning som i GDPR eller den britiske GDPR.

Begreberne, som på engelsk er ensbetydende med “virksomhed”, “erhvervsformål”, “kommercielle formål”, “personlige oplysninger”, “tjenesteudbyder”, “sælge” og “dele”, har de samme betydninger som defineret i CCPA. 

“SurveyMonkey” eller “os” skal for kunder i USA forstås som SurveyMonkey Inc. og for kunder udenfor USA forstås som SurveyMonkey Europe. 

“SurveyMonkey Europe” skal forstås som SurveyMonkey Europe UC, et irsk selskab med hovedsæde på 2 Shelbourne Buildings, Second Floor, Shelbourne Road, Dublin 4, Irland. 

“SurveyMonkey Inc." skal forstås som SurveyMonkey Inc., et selskab fra Delaware på One Curiosity Way, San Mateo, CA 94403, USA.  

“SurveyMonkeys meddelelse om beskyttelse af  personlige oplysninger” skal forstås som SurveyMonkeys meddelelse om beskyttelse af personlige oplysninger, som findes på https://da.surveymonkey.com/mp/legal/privacy/.

"Persondata" skal forstås som information om et levende individ som er, eller kan, identificeres med rimelighed på baggrund af information, enten alene eller kombineret med anden information (en "registreret person").

“Tjenester” skal forstås som de tjenesteydelser, kunden har bestilt fra SurveyMonkey i henhold til aftalen. 

“Standardkontraktbestemmelser” skal forstås som de standardkontraktbestemmelser som er vedlagt Europa-Komissionens afgørelse af: i) 4. juni 2021 om standardkontraktbestemmelser angående overførsel af persondata til tredjelande i henhold til persondataforordningen, ii) (indtil SurveyMonkey har indgået de standardkontraktbestemmelser som er beskrevet under i)), d. 5. februar 2010 angående overførsel af kundedata til behandlere i tredjelande i henhold til direktiv 95/46/EF. Når FADP/nFADP finder anvendelse, skal alle henvisninger i standardkontraktbestemmelser forstås som tilsvarende henvisninger til FADP/nFADP. Alle begreb, der anvendes i denne sammenhæng, skal derfor have den definition, der er fastsat i FADP/nFADP.

"Britiske tillæg" skal forstås som (i) den tillægsskabelon det britiske informationskomissariat har udstedt og præsenteret for det britiske parlament i henhold til afsnit 119A i den britiske lov om databeskyttelse af 2018 d. 2. februar 2022, i den til enhver tid reviderede udgave i henhold til paragraf 18 i de obligatoriske bestemmelser. Hvor den tillægsskabelon som omtales i denne definition skal forstås som det dokument, der bærer titlen: "International Data Transfer Addendum to the EU Commission Standard Contractual" version B1.0, som trådte i kraft d. 21. marts 2022 eller (ii) indtil SurveyMonkey eventuelt indtræder i det britiske tillæg som beskrevet under (i), Europa-kommissionens afgørelse af 5. februar 2010 om overførsel af persondata til behandlere grundlagt i tredjelande i henhold til direktiv 95/46/EF.

"Den britiske persondataforordning" skal forstås som EU's persondataforordning som den udgør en del af lovene i England og Wales, Scotland og Nordirland i kraft af paragraf 3 i den britiske lov European Union (Withdrawal) Act 2018 med senere ændringer i Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations henholdsvis 2019 og 2020 og enhver lovgivning i Det Forenede Kongerige, som til enhver tid ændrer eller erstatter den britiske persondataforordning.

Når SurveyMonkey leverer ydelserne til kunden, er SurveyMonkey behandler af kundepersondata i persondataforordningens forstand. Hvad angår personoplysninger i CCPA, alt efter relevans, aftaler SurveyMonkey og kunden hermed, at SurveyMonkey er tjenesteyder, og kunden er virksomheden.

Denne databeskyttelsesaftale forbliver i kraft indtil aftalen bringes til ophør (i henhold til dens vilkår) eller udløber. 

Kunden skal sikre og tilkendegiver hermed, at denne er berettiget til at overføre disse kundedata til SurveyMonkey, så SurveyMonkey lovligt kan behandle og overføre disse personoplysninger i henhold til denne databeskyttelsesaftale. Kunden skal sikre, at alle relevante registrerede personer er blevet informeret om denne anvendelse, behandling og overførsel, som det kræves i databeskyttelseslovgivningen, og at der er indhentet lovformeligt samtykke (hvor det er hensigtsmæssigt). Kunden skal sørge for, at alle personoplysninger, som behandles eller overføres til SurveyMonkey, behandles eller overføres lovmæssigt og korrekt. Kunden skal overholde al gældende lovgivning om databeskyttelse.

Når SurveyMonkey behandler kundens persondata for kunden i sin egenskab af behandler, vil SurveyMonkey:

(a) kun gøre dette efter kundens dokumenterede instrukser og i henhold til databeskyttelseslovgivningen, herunder hvad angår overførsel af kunders personoplysninger til andre jurisdiktioner eller en international organisation, og parterne aftaler, at aftalen udgør sådanne dokumenterede instrukser fra kunden til SurveyMonkey om at behandle kunders personoplysninger  (herunder til steder uden for EØS) sammen med andre rimelige instrukser, som kunden giver til SurveyMonkey (for eksempel via e-mail) i det omfang, sådanne instrukser er forenelige med aftalen. 

(b) sikre at alt personale hos SurveyMonkey, som er involveret i behandling af kundens persondata, er forpligtet til fortrolighed, hvad angår disse persondata. 

(c) stille oplysninger til rådighed for kunden som er nødvendige for at denne kan påvise opfyldelse af sine forpligtelser i henhold til artikel 28 i persondataforordningen (hvis denne gælder for kunden), hvor sådanne oplysninger opbevares af SurveyMonkey og er ikke på anden vis tilgængelige for kunden gennem sin konto og sine brugerområder eller på SurveyMonkeys websites, under forudsætning af, at du giver SurveyMonkey mindst 14 dages skriftlig varsel om en sådan informationsanmodning.

(d) samarbejde på kundens rimelige anmodning om at gøre kunden i stand til at opfylde en registreret persons ønske om at gøre brug  af de rettigheder, som lovgivningen om databeskyttelse giver til registrerede personer angående de personoplysninger, som behandles af SurveyMonkey i forbindelse med levering af tjenesterne. 

(e) være behjælpelig, når det er nødvendigt med anmodninger, som modtages direkte fra en registreret person angående en registreret persons persondata indgivet i forbindelse med ydelserne;

(f) ikke opbevare persondata fra din konto, når du har slettet disse med mindre det gøres for at overholde gældende love og regler eller i det omfang, de rutinemæssigt kan opbevares i sikkerhedskopier foretaget med henblik på gendannelse efter ulykker og driftskontinuitet si henhold til vores opbevaringspolitik; 

(g) samarbejde med enhver tilsynsførende myndighed og enhver erstatning eller efterfølger til denne myndighed til enhver tid (eller, i det omfang det kræves af kunden, enhver anden myndighed indenfor databeskyttelse eller privatliv i henhold til lovgivningen om databeskyttelse) i udøvelsen af en sådan tilsynsførende myndigheds opgaver hvis det er påkrævet; 

(h) assistere kunden i det omfang det rimeligvis kan kræves, når kunden: 

(i) udfører en konsekvensanalyse vedrørende databeskyttelse (som kan omfatte at fremskaffe dokumentation så kunden kan udføre sin egen analyse); or

(ii) er pålagt at indberette en sikkerhedshændelse (som defineret nedenfor) til en tilsynsførende myndighed eller en relevant registreret person.

(i) ikke sælge eller dele nogen personlige oplysninger

(j) ikke indsamle, opbevare, anvende, videregive eller på anden måde bearbejde personlige oplysninger ud over til følgende specifikke forretningsmæssige og kommercielle formål: (1) for at levere vores tjenester som beskrevet i denne aftale, (2) for at forbedre vores eksisterende tjenester og udvikle nye tjenester (for eksempel ved at udvikle nye produkter eller funktioner gennem forskning), (3) til vores driftsformål og vores leverandørers og integrationspartneres driftsformål, (4) for at sikre sikkerhed og integritet i det omfang, brugen af den registreredes personlige oplysninger med rimelighed er nødvendig og forholdsmæssig til disse formål, (5) foretage fejlfinding for at identificere og rette fejl, der forringer eksisterende tilsigtet funktionalitet, (6) kortfristet eller kortvarig brug, såsom ved tilpasning af indhold, som vi eller vores leverandører viser i forbindelse med tjenesterne, (7) anden brug, som vi underretter dig om tilladt i henhold til lovgivningen om databeskyttelse.

(k) ikke gemme, bruge, kombinere eller videregive de personlige oplysninger, der er indsamlet i henhold til aftalen, uden for det direkte forretningsforhold mellem SurveyMonkey og kunden, medmindre CCPA udtrykkeligt tillader det. 

(l) informere kunden, hvor databeskyttelseslovgivningen kræver det, hvis SurveyMonkey bliver opmærksom på, at instruktioner modtaget fra kunden er i strid med bestemmelserne i databeskyttelseslovgivningen. Uanset ovenstående har SurveyMonkey ingen forpligtelse til at overvåge eller kontrollere lovligheden af instruktioner modtaget fra kunden. Hvis SurveyMonkey beslutter, at det ikke længere kan overholde sine forpligtelser i henhold til CCPA, vil SurveyMonkey informere kunden herom.

(m) bekræfte, at det forstår de restriktioner og forpligtelser, som er beskrevet i  denne databeskyttelsesaftale og i alle gældende databeskyttelseslovgivninger, og vil overholde de pågældende krav. 

6.1 Underleverandører. Kunden giver en generel tilladelse til, at SurveyMonkey kan benytte underleverandører så længe kravene i afsnit 6 overholdes.

6.2 Liste over underleverandører. SurveyMonkey forpligter sig til, underlagt fortrolighedsbestemmelserne i denne aftale eller på anden vis pålagt af SurveyMonkey, at:

(a) forsyne kunden med en liste over SurveyMonkeys underleverandører, som er involveret i behandling eller underkontraheret behandling af kunders persondata i forbindelse med leveringen af tjenesterne (“underleverandører”), sammen med en beskrivelse af hver form for tjeneste for hver underleverandør (“Liste over underleverandører”). En kopi af denne liste over underkontraherede registerførere kan rekvireres her,  En kopi af denne liste over underleverandører kan rekvireres her. 

(b) sikre at alle underbehandlere på listen over underbehandlere er bundet af kontrakbestemmelser, som ikke er mindre strenge end bestemmelserne i  denne databeskyttelsesaftale; og 

(c) være ansvarlig for underleverandørens handlinger eller undladelser i samme omfang som SurveyMonkey ville være ansvarlig, hvis SurveyMonkey udførte den enkelte underleverandørs tjenester direkte underlagt vilkårene i  denne databeskyttelsesaftale, medmindre andet fremgår af  aftalen. 

6.3 Nye/udskiftede underleverandører.  SurveyMonkey giver kunden skriftligt varsel når der underkontraheres en ny registerfører eller en eksisterende underkontraheret registerfører udskiftes til enhver tid i aftalens løbetid (“Varsel om ny underleverandør”). Kunden skal tilmelde sig en mailingliste, som leveres af SurveyMonkey her, igennem hvilken sådanne varsler leveres via e-mail, eller kontrollere listen for ændringer her. Hvis kunden har rimelig grund til at gøre indsigelse mod SurveyMonkeys brug af en ny eller udskiftet underleverandør, skal kunden give SurveyMonkey skriftlig besked øjeblikkeligt og under alle omstændigheder inden for 30 dage efter modtagelsen af et varsel om ny underleverandør. I tilfælde af en sådan rimelig indsigelse kan enten kunden eller SurveyMonkey opsige den del af enhver aftale, der omhandler tjenesterne, som ikke på rimelig vis kan leveres uden den nye underleverandør, der gøres indsigelse imod (som kan, efter SurveyMonkeys skøn, involvere opsigelse af hele aftalen) med øjeblikkelig virkning ved at give skriftligt varsel til modparten. En sådan opsigelse giver ikke kunden ret til refusion af sine forudbetalte gebyrer for perioden efter opsigelsen.

7.1 Sikkerhedsforanstaltninger. SurveyMonkey har, i betragtning af aktuel teknisk viden, udgifter til implementering samt typen, omfanget, sammenhængen og formålene med tjenesterne og risikoniveauet, implementeret nødvendige tekniske og organisationsmæssige foranstaltninger (i henhold til Bilag 1) til at sikre et sikkerhedsniveau, der er passende for risikoen for uautoriseret eller ulovlig behandling, utilsigtet tab af og/eller skade på kundens data. Med rimelige intervaller afprøver og evaluerer SurveyMonkey effektiviteten af disse tekniske og organisationsmæssige foranstaltninger for at sikre sikkerheden i behandlingen.

7.2 Underretning om sikkerhedshændelser og overtrædelser. Hvis SurveyMonkey bliver bekendt med uautoriseret eller ulovlig adgang til, eller erhvervelse, modifikation, brug, offentliggørelse eller ødelæggelse af personoplysninger (“Sikkerhedshændelse”), vil SurveyMonkey træffe passende foranstaltninger til at informere kunden herom snarest muligtEn sikkerhedshændelse omfatter ikke mislykkede forsøg eller aktiviteter, som ikke kompromitterer sikkerheden af personoplysninger, herunder mislykkede forsøg på at logge på, pings, portscanninger, overbelastningsangreb eller andre netværksangreb på firewalls eller netværkssystemer. En underretning til kunden om en sikkerhedshændelse betyder ikke, at SurveyMonkey påtager sig erstatningsansvaret.

7.3 SurveyMonkey forpligter sig også til at samarbejde med kunden angående efterforskning af sikkerhedshændelser ved at udarbejde eventuelle påkrævede underretninger og videregive oplysninger, som kunden på rimelig vis anmoder om i relation til en  sikkerhedshændelse. 

8.1 Revision. Når SurveyMonkey (kun) behandler kundens personoplysninger på vegne af kunden, forpligter kunden sig til at give SurveyMonkey mindst én måneds skriftligt varsel forud for enhver revision, som kan forestås af kunden eller af en uafhængig kontrollant udpeget af kunden (så længe ingen person, som forestår en revision er eller handler på vegne af en konkurrent til SurveyMonkey) (“kontrollant”). Omfanget af en revision er indskrænket som følger:

(a) Kunden er kun berettiget til at foretage én revision pr. abonnementsår medmindre andet er lovpligtigt eller krævet af en tilsynsmyndighed med etableret myndighed over kunden til at udføre eller lette udførslen af mere end 1 revision i det samme år (under hvilke omstændigheder kunden og SurveyMonkey forud for sådanne revisioner vil aftale en rimelig godtgørelsessats for SurveyMonkeys revisionsudgifter).

(b) SurveyMonkey accepterer, underlagt alle passende og rimelige fortrolighedsregler, at levere bevis på eventuelle certificeringer og de overensstemmelsesstandarder, det håndhæver, og vil ved anmodning stille sig til rådighed med et administrativt sammendrag af SurveyMonkeys seneste årlige gennemtrængningstest, hvori sammendraget skal inkludere afhjælpende handlinger, der er foretaget af SurveyMonkey, som følge af sådanne indtrængningstests. 

(c) Omfanget af en revision begrænser sig til SurveyMonkeys systemer, processer samt dokumentation som er relevante for afviklingen og beskyttelsen af kundens personoplysninger, og kontrollanterne vil udføre revision med forbehold for eventuelle passende og rimelige fortrolighedsrestriktioner, som  SurveyMonkey anmoder om.

(c) Kunden forpligter sig til omgående at underrette og give SurveyMonkey detaljerede oplysninger angående en eventuel opfattet overtrædelse af regler eller sikkerhedsproblemer, som opdages i løbet af en revision.

8.2 Parterne er enige om, at medmindre andet kræves i henhold til en kendelse eller anden bindende afgørelse fra en tilsynsmyndighed eller regulator med myndighed over kunden, angiver dette afsnit 8 hele omfanget af kundens revisionsrettigheder over for SurveyMonkey.

9.1 I det omfang, det er relevant, er overførsler af kunders personoplysninger fra Det Europæiske Økonomiske Samarbejdsområde ("EØS"), Schweiz eller Det Forenede Kongerige til steder udenfor EØS, Schweiz og Det Forenede Kongerige (enten direkte eller via videre overførsel), som ikke har passende standarder for databeskyttelse som fastlagt af Europa-kommissionen eller relevant databeskyttelseslovgivning, så henholder SurveyMonkey sig til:

(a) standardkontraktbestemmelserne og

(b) hvad angår overførsler underlagt den britiske persondataforordning, det britiske tillæg eller

(c) andre passende sikkerhedsforanstaltninger, eller fravigelser (i det begrænsede omfang hvori det er passende)  som er angivet eller tilladt i henhold til databeskyttelseslovgivningen. 

9.2 Hvor det er påkrævet, indgår parterne hermed standardkontraktbestemmelserne (en kopi af disse kan findes her) og det britiske tillæg (tillæg 3). Standardkontraktbestemmelserne er indarbejdet i denne aftale ved henvisning og finder anvendelse som følger: 

(a) hvor kunden indgår kontrakt med SurveyMonkey Inc. i USA i henhold til aftalen om tjenester og er dataansvarlig for kundens personoplysninger og gennem brug af tjenesterne overfører kundens personoplysninger fra EØS til steder, som Europa-Kommissionen ikke har fastslået yder et tilstrækkeligt beskyttelsesniveau for personoplysninger, indgår SurveyMonkey i standardkontraktbestemmelserne som dataimportør, og kunden indgår i standardkontraktbestemmelserne som dataeksportør, og kun modul to i standardkontraktbestemmelserne finder anvendelse, og/eller

(a) hvor kunden indgår kontrakt med SurveyMonkey Inc. i USA i henhold til aftalen om tjenester og er databehandler af kundens personoplysninger og gennem brug af tjenesterne overfører kundens personoplysninger fra EØS til steder, som Europa-Kommissionen ikke har fastslået yder tilstrækkelig beskyttelse af personoplysninger, indgår SurveyMonkey i SCC'erne som dataimportør, og kunden indgår i SCC'erne som dataeksportør, og kun modul tre i SCC'erne gælder, og/eller

(c) hvor kunden ikke er bosiddende i EØS og indgår kontrakt med SurveyMonkey Europe UC om at opbevare kundens personoplysninger inden for EØS i henhold til aftalen, og er dataansvarlig for kundens personoplysninger, og gennem brug af tjenesterne overfører disse personoplysninger fra EØS til steder, som ikke er blevet vurderet til at yde tilstrækkelige beskyttelsesniveauer for personoplysninger af Europa-Kommissionen, indgår SurveyMonkey i SCC'erne som dataeksportør, og kunden indgår i SCC'erne som dataimportør, og modul fire i SCC'erne vil kun gælde, og

(d) i bestemmelse 7, den fakultative tillægsbestemmelse anvendes;

(d) i bestemmelse 11, den fakultative tekst anvendes ikke;

(f) i bestemmelse 17 standardkontraktbestemmelserne er underlagt irsk lovgivning;

(g) i bestemmelse 18, tvister afgøres ved domstolene i Irland, og

(h) Tillæg I og II i standardkontraktbestemmelserne anses som berigtigede med den information som er beskrevet i aftalen og de nærmere oplysninger som gives i tillæggene til nærværende databeskyttelsesaftale.

9.3 For overførsler, som er beskyttet af FADP/nFADP, er standardkontraktbestemmelserne gældende i henhold til afsnit 9.2 ovenfor, undtagen: 

(a) alle henvisninger standardkontraktbestemmelserne til GDPR skal fortolkes som henvisninger til FADP/nFADP,  

(b) Alle henvisninger til “EU”, “Union”og “lovgivning i medlemsstat” skal fortolkes som henvisninger til Schweiz og schweizisk lovgivning og  

(c ) alle henvisninger til den "kompetente tilsynsmyndighed" og "kompetente domstole" skal fortolkes som henvisninger til den relevante databeskyttelsesmyndighed og domstole i Schweiz, medmindre SCC'erne, der er implementeret som beskrevet ovenfor, ikke kan bruges til lovligt at overføre sådanne kunders personoplysninger i overensstemmelse med FADP/nFADP, i hvilket tilfælde de schweiziske SCC'er i stedet skal indarbejdes ved henvisning og udgøre en integreret del af denne DPA og skal gælde for sådanne overførsler. Med henblik på de schweiziske SCC'er skal de relevante bilag til de schweiziske SCC'er udfyldes ved hjælp af oplysningerne i bilag I og II til denne DPA (alt efter relevans), og de fortolkningsbestemmelser, der er angivet i dette afsnit 9.3, skal anvendes (alt efter relevans og påkrævet med henblik på at overholde FADP/nFADP).

9.4 På skriftlig begæring og i overensstemmelse med standardkontraktbestemmelserne eller bestemmelserne i det britiske tillæg (som relevant), leverer SurveyMonkey kopier af de standardkontraktbestemmelser eller det britiske tillæg, som det har indgået med dataimportører i sin egenskab af databehandler for kunden.

10.1 Ansvar for databehandling. Hver af parternes samlede ansvar for alle krav, der opstår af kontrakter, erstatningsret (herunder forsømmelse), overtrædelse af lovkrav eller på anden vis som følge af eller i forbindelse med denne aftale om behandling af persondata , skal være som beskrevet i denne aftale med mindre andet er aftalt skriftligt mellem parterne.

10.2 Konflikt. I tilfælde af konflikt eller tvetydighed mellem: (i) vilkårene i denne aftale om behandling af persondata og vilkårene i den aftale der omtales som "aftalen" angående emnet for denne aftale om persondata, har vilkårene i denne aftale om behandling af persondata forrang; (ii) vilkårene i en bestemmelse i denne aftale om behandling af persondata og en bestemmelse i standardkontraktbestemmelserne, har standardkontraktbestemmelserne forrang.

10.3 Selvstændig behandling. Kunden forbliver udelukkende ansvarlig for sin egen overholdelse af databeskyttelseslovgivningen med hensyn til enhver uafhængig indsamling og behandling af persondata, der ikke er relateret til tjenesterne. Kunden skal levere sine egne klare and tydelige meddelelse om beskyttelse af personlige oplysninger, der tydeligt beskriver, hvordan den gør dette, og SurveyMonkey er ikke ansvarlig for kundens behandling af personoplysninger under disse omstændigheder. Kunden fritager hermed SurveyMonkey fuldt ud for ethvert krav eller ansvar, der opstår som følge af en sådan indsamling og brug af personoplysninger af SurveyMonkey under disse omstændigheder.

10.4. Hele aftalen. Aftalen (som indeholder denne aftale om persondatabehandling) og en eventuel ordreformular udgør aftalen i sin helhed mellem parterne, og den erstatter alle andre tidligere eller samtidigt indgåede aftaler og vilkår, skriftlige såvel som mundtlige, angående dens genstand. Begge parter bekræfter, at de ikke har henholdt sig til erklæringer, som ikke er indeholdt i aftalen i beslutningen om at indgå i aftalen.

10.5 Adskillelse. Hvis nogen forordning i denne aftale om databehandling fastslås at være uden retskraft af en kompetent domstol, vil den pågældende forordning blive opløst , og resten af betingelserne vil forblive i fuld kraft. Intet i denne aftale om databehandling har til hensigt at etablere eller skal anses for at etablere et partnerskab eller joint venture mellem nogen af parterne eller bemyndige nogen af parterne til at indgå forpligtelser for eller på vegne af nogen anden part, medmindre det udtrykkeligt er fastsat heri.

10.6 Elektronisk udgave. Aftalen om databehandling leveres som et elektronisk dokument.

10.7 Lovvalg. Denne aftale om databehandling reguleres af irsk lov, og parterne underlægger sig udelukkende de irske domstoles værneting (hvad angår alle kontraktmæssige og ikke-kontraktmæssige tvister) bortset fra i tilfælde af påstande om brud på nuværende eller fremtidige love om privatliv, regler, standarder, lovmæssig vejledning og retningslinjer for selvovervågning på forbunds- og delstatsniveau i USA, i hvilket tilfælde den reguleres af lovene i Californien med mindre loven kræver noget andet.

Beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger som SurveyMonkey har truffet 

SurveyMonkey opretholder passende administrative, fysiske og tekniske foranstaltninger (“Sikkerhedsforanstaltninger”) for at beskytte sikkerheden, fortroligheden og integriteten af de persondata som leveres til SurveyMonkey i forbindelse med SurveyMonkeys levering af tjenesterne til kunden. 

De tekniske sikkerhedsforanstaltninger omfatter følgende: 

(a) Domæne: Organisering af informationssikkerhed.

(i) Sikkerhedsroller og ansvar. SurveyMonkey partinal personale med adgang til data er underlagt fortrolighedskrav.

(ii) Risikostyringsprogram. SurveyMonkey udfører, hvor det er relevant, en risikovurdering inden behandling af dataene.

(b) Domæne: Administration af aktiver.

(i) Håndtering af aktiver.

(1) SurveyMonkey har procedurer for bortskaffelse af trykt materiale, som indeholder kundedata.

(2) SurveyMonkey fører regnskab med al hardware, som indeholder kundedata.

(c) Domæne: Personalesikkerhed.

(i) Sikkerhedstræning.

(1) SurveyMonkey informerer sine ansatte om relevante sikkrhedsprocedurer og deres respektive roller. SurveyMonkey informerer også sit personale om de mulige konsekvenser for brud på sikkerhedsregler og -procedurer.

(d) Domæne: Fysisk og omgivelsesmæssig sikkerhed.

(i) Fysisk adgang til anlæg. SurveyMonkey begrænser adgangen til anlæg, hvor der findes informationssystemer, som behandler kundedata, til identificerede autoriserede individer.

(ii) Beskyttelse mod forstyrrelser. SurveyMonkey anvender flere forskellige systemer som er standard for branchen til at beskytte mod tab af data pga. nedbrud i strømforsyning eller ledningsinterferens.

(ii) Beskyttelse mod forstyrrelser.SurveyMonkey følger branchens standarder for sletning af kundedata, når der ikke længere er brug for dem.

(e) Domæne: Kommunikation og driftsstyring. 

(i) Driftspolitik. SurveyMonkey varetager sikkerhedsdokumenter, som beskriver virksomhedens sikkerhedsforanstaltninger og de relevante procedurer og ansvarsområder for personalet, som har adgang til kundedata. 

(ii) Procedurer til gendannelse af data. 

(1) På regelmæssig og løbende basis opretter SurveyMonkey sikkerhedskopier af kundedata, som kan anvendes til at gendanne kundedata i tilfælde af tab af den primære udgave. 

(2) SurveyMonkey gemmer kopier af kundedata og procedurer for gendannelse af data et andet sted end det primære computerudstyr til behandling af kundedata befinder sig. 

(3) SurveyMonkey har specifikke procedurer til regulering af adgangen til kundedata. 

(iii) Skadelig software. SurveyMonkey har anti-malware-kontrol til at hjælpe med at undgå, at skadelig software får uautoriseret adgang til kundedata, herunder skadelig software fra offentlige netværk.

(iv) Data uden for grænser.  

(1) SurveyMonkey krypterer kundedata, som sendes over offentlige netværk. 

(v) Logføring af hændelser.

(1) SurveyMonkey logfører brugen af sine databehandlingssystemer. 

(2) SurveyMonkey logfører adgang til og brug af informationssystemer, som indeholder kundedata ved at registrere adgangs-id, tidspunkt og visse relevante aktiviteter.

(f) Domæne: Håndtering af informationssikkerhedshændelser.

(i) Proces for hændelsesrespons. 

(1) SurveyMonkey har en beredskabsplan for hændelser 

(2) SurveyMonkey registrerer sikkerhedsovertrædelser med en beskrivelse af overtrædelsen, konsekvenserne af overtrædelsen, navnet på anmelderen og hvem overtrædelsen blev anmeldt til samt eventuelle foranstaltninger til udbedring.

(g) Domæne: Forvaltning af driftskontinuitet.

(i) SurveyMonkeys redundante lager og dets procedurer for gendannelse af data er udarbejdet med henblik på at forsøge at gendanne kundedata i deres oprindelige form fra før de blev tabt eller ødelagt.   

(h) Kontrol af adgang til behandlingsområder.   De processer som bruges til at undgå uautoriseret adgang til databehandlingsudstyr (nærmere betegnet telefoner, databaser og applikationsservere samt relateret hardware). hvor der behandles eller anvendes persondata, skal omfatte: 

(i) etablering af sikre områder; 

(ii) beskyttelse og sikring af adgangsveje;

(iii) sikring af mobiltelefoner;   

(iv) databeskyttelsesudstyr og personlige computere;

(v) al adgang til de datacentre, hvor kundens persondata hostes, bliver logført, overvåget og  sporet;  

(vi) de datacentre, hvor kundens persondata hostes, sikres med et alarmsystem og andre passende sikkerhedsforanstaltninger; og 

(vii) anlægget er konstrueret til at kunne modstå ugunstige vejrforhold og andre rimeligt forudsigelige naturforhold, er sikret med vagter døgnet rundt, nøglekort og/eller biometrisk adgangskontrol (alt efter hvad der passer til risikoniveauet) screening og eskorteringskontrolleret adgang, og har nødstrømsgeneratorer i tilfælde af strømafbrydelse.

(i) Adgangskontrol til databehandlingssystemer. Processerne til at undgå at databehandlingssystemer bliver anvendt af uautoriserede personer, omfatter:  

(i) identifikation af terminal og/eller terminalbruger overfor  databehandlingssystemerne; 

(ii) automatisk time-out efter 30 minutter eller mindre hvis terminalen ikke bliver benyttet. Identifikation og adgangskode er nødvendig for at  genåbne;

(iii) udstedelse og sikker opbevaring af identifikationskoder  

(iv) krav til kompleksitet af adgangskode (minimumslængde, udløbstidspunkt for adgangskode osv.); og

(v) beskyttelse mod ekstern adgang ved hjælp af en firewall, som lever op til branchens standard.  

(j) Adgangskontrol til anvendelse af specifikke områder af databehandlingssystemerne. Foranstaltninger til at sikre, at de personer, som har ret til at anvende databehandlingssystemerne, kun har adgang til data til de opgaver og i det omfang deres respektive adgangstilladelse (autorisation) giver dem adgang, og at kundens persondata ikke kan læses, kopieres, ændres eller fjernes uden autorisation, herunder ved:

(i) implementering af bindende personalepolitik og oplæring angående hver enkelt ansats adgangsrettigheder til kunders persondata;

(ii) effektiv og afmålt disciplinær handling mod individer som tilgår kundens persondata uden tilladelse; 

(iii) udlevering af data kun til autoriserede personer; 

(iv) implementering af principper om mindst priviligeret adgang til information, som indeholder kundens persondata udelukkende på baggrund af “need to know” -krav;

(v) produktionsnetværk og adgang til datahåndtering styret af VPN, ttofaktorgodkendelse og rollebaseret adgangskontrol;

(vi) software- og infrastruktursystemer logfører information i centrale loganlæg med henblik på fejlfinding, sikkerhedsvurdering og analyse; og 

(vii) politikker om opbevaring af sikkerhedskopier i overensstemmelse med gældende lov og passende for de relevante datas art og den tilhørende risiko.

(k) Overførselskontrol. Procedurer til at undgå at kundens persondata bliver læst, kopieret, ændret eller slettet af uautoriserede parter under overførslen heraf eller under transport af datamedier samt for at sikre at det er muligt at kontrollere hvilke institutioner, det er meningen at kundens persondata, som overføres via dataoverførselssystemer, skal omfatte: 

(i) benyttelse af firewalls og krypteringsteknologi til at beskytte de gateways og kanaler, som dataene bevæger sig ad;

(ii) implementering af VPN-tilslutninger til beskyttelse af tilslutningen til interne netværk i virksomheden;

(iii) konstant overvågning af infrastruktur (f.eks. ICMP-Ping på netværksniveau, undersøgelse af diskplads på systemniveau, gennemført levering af angivne testsider på applikationsniveau); and

(iv) overvågning af dataoverførslens fuldstændighed og korrekthed (end-to-end -kontrol). 

(l) Lagerkontrol. Når kundedata opbevares: bliver det sikkerhedskopieret som led i et anvist system til sikkerhedskopiering og gendannelse i krypteret form med en kommercielt understøttet krypteringsløsning, og alle data defineret som kundens som er gemt på en flytbar eller bærbar computer eller et flytbart lagermedie krypteres ligeledes. Krypteringsløsninger anvendes med mindst en 128-bit-nøgle til symmetrisk kryptering og en 1024 (eller flere) bit nøglelængde til asymmetrisk kryptering;

(m) Inputkontrol. Foranstaltninger til at sikre at det muligt at kontrollere og etablere hvorvidt der er registreret eller fjernet persondata fra kunden i databehandlingssystemerne, og hvem der har gjort det, som skal omfatte:

(i) godkendelse af det autoriserede personale;

(ii) beskyttelsesforanstaltninger for data gemt i hukommelsen, samt for læsning, ændring og sletning af gemte data;

(iii) anvendelse af brugerkoder (adgangskoder);

(iv) bevis fra dataimportørens organisation for inputgodkendelsen; og

(v) at sikre at indgange til databehandlingsanlæg (de rum, hvor computerhardware og relateret udstyr befinder sig) er låste.

(n) Tilgængelighedskontrol. Foranstaltninger der skal sikre, at kundens persondata beskyttes mod utilsigtet ødelæggelse eller tab, som skal omfatte infrastrukturredundans og regelmæssige sikkerhedskopier udført på databaseservere. 

(o) Opdeling af behandling. Procedurer, der skal sikre, at data indsamlet til forskellige formål, kan behandles særskilt, som skal omfatte:

(i) opdeling af data via applikationssikkerhed for de relevante brugere;

(ii) lagring af data på databaseniveau i forskellige tabeller opdelt efter det modul eller den funktion, de understøtter;

(iii) udarbejdelse af grænseflader, batchprocesser og rapporter, som kun er til specifikke formål og funktioner, så data, der indsamles til specifikke formål, behandles separat; og

(iv) forhindring af at konkrete data anvendes til testformål, da kun dummy-data dannet til testformål må anvendes til disse formål.

(p) Sårbarhedsstyringsprogram. Et program til at sikre at systemer kontrolleres regelmæssigt for sårbarheder, og at registrerede sårbarheder udbedres omgående, som skal omfatte:

(i) alle netværk, herunder test- og produktionsmiljøer, som scannes regelmæssigt; og 

(ii) gennemtrængningstest udføres regelmæssigt, og sårbarheder udbedres  omgående.

(q) Datadestruktion. I tilfælde af at aftalen udløber eller bringes til ophør af én af parterne eller på begæring fra kunden efter anmodning fra en registreret person eller en tilsynsførende myndighed: 

(i) skal alle kundedata destrueres sikkert indenfor 3 måneder; og

(ii) alle kundedata skal fjernes fra SurveyMonkeys og/eller tredjeparters lagerenheder, herunder sikkerhedskopier inden for 6 måneder af ophøret eller modtagelsen af en begæring fra kunden, medmindre SurveyMonkey er pålagt et lovkrav om at opbevare en sådan kategori af data i længere perioder. SurveyMonkey sikrer, at alle sådanne data, som ikke længere er nødvendige, destrueres i en grad, hvor man kan være sikker på, at de ikke længere kan gendannes.

(r) Standarder og certificeringer. Dataopbevaringsløsninger og/eller -steder har mindst SOC 1- (SSAE 16) eller SOC 2-rapporter – tilsvarende certificeringer eller sikkerhedsniveauer vurderes hver for sig.

Persondatabehandlingens formål og art, kategorier af persondata, registrerede personer 

BILAG TIL standardkontraktbestemmelser

BILAG I -

A. LISTE OVER PARTER

MODUL TO: Overførsel fra dataansvarlig til databehandler

MODUL TRE: Overførsel fra databehandler til databehandler

MODUL FIRE: Overførsel fra databehandler til dataansvarlig

Dataeksportør(er): som angivet i aftalen

Kontaktpersonens navn, stilling og kontaktoplysninger: som angivet i aftalen

Aktiviteter som er relevante for de data som overføres i henhold til disse bestemmelser: Som angivet i bilag 2 til databeskyttelsesaftalen

Dataimportør(er): som angivet i aftalen

Navn: som angivet i aftalen

Kontaktpersonens navn, stilling og kontaktoplysninger: som angivet i aftalen

Aktiviteter som er relevante for de data som overføres i henhold til disse bestemmelser: Som angivet i bilag 2 til databeskyttelsesaftalen

B. BESKRIVELSE AF OVERFØRSLEN

MODUL TO: Overførsel fra dataansvarlig til databehandler

MODUL TRE: Overførsel fra databehandler til databehandler

MODUL FIRE: Overførsel fra databehandler til dataansvarlig

Kategorier af registrerede personer hvis persondata overføres: som angivet i bilag 2 til databeskyttelsesaftalen

Kategorier af persondata som overføres: som angivet i bilag 2 til databeskyttelsesaftalen

Følsomme personoplysninger, der overføres (hvis relevant), og anvendte begrænsninger eller garantier, der fuldt ud tager hensyn til oplysningernes art og de involverede risici, f.eks. streng formålsbegrænsning, adgangsbegrænsninger (herunder kun adgang for særligt uddannet personale), registrering af adgangen til oplysningerne, begrænsninger for videreoverførsel eller yderligere sikkerhedsforanstaltninger: som angivet i bilag 1 og 2 i databeskyttelsesaftalen

Overførslens hyppighed (f.eks. om dataene overføres på engangsbasis eller løbende): på engangsbasis og løbende (afhængigt af hvordan ydelsen anvendes)

Behandlingens art: som angivet i bilag 2 til databeskyttelsesaftalen

Formål med dataoverførslen og den videre behandling: Som angivet i bilag 2 til databeskyttelsesaftalen

Den periode, hvor persondata opbevares eller, hvis det ikke kan oplyses, kriterier for fastsættelse af perioden: som angivet i aftalen og som angivet her

For overførsler til (underkontraherede) registerførere angives også genstanden for behandlingen og behandlingens varighed og karakter: Se venligst her.

C. KOMPETENT TILSYNSMYNDIGHED

Udpegning af den eller de kompetente tilsynsmyndigheder i overensstemmelse med bestemmelse 13: Irland

BILAG II – TEKNISKE OG ORGANISATORISKE FORANSTALTNINGER, SOM ANGIVET I BILAG 1 I DATABESKYTTELSESAFTALEN

BILAG III – LISTE OVER UNDERDATABEHANDLERE

MODUL TO: Overførsel fra dataansvarlig til databehandler

MODUL TRE: Overførsel fra databehandler til databehandler

MODUL FIRE: Overførsel fra databehandler til dataansvarlig. Kunden har autoriseret følgende underkontraherede registerførere: Se venligst her.

BRITISK TILLÆG 

1. Angående de dataoverførsler, som er underlagt den britiske persondataforordning, indgår parterne hermed det britiske tillæg (en kopi heraf kan findes her) og det britiske tillæg er indarbejdet ved henvisning. For dataoverførsler, der er omfattet af den britiske GDPR, skal alle henvisninger til den "kompetente tilsynsmyndighed" og "kompetente domstole" fortolkes som henvisninger til den relevante databeskyttelsesmyndighed og de relevante domstole i Det Forenede Kongerige. 

2. Parterne indgår aftale om at format og indhold af Del 1 af det britiske tillæg rettes og erstattes med nedenstående tabel.

3. I tilfælde af konflikt eller uoverensstemmelse mellem nærværende aftale og det britiske tillæg har det britiske tillæg forrang, hvad angår denne konflikt eller uoverensstemmelse.