Juridisk informasjon

GDPR-databehandlingsplan

ClickSends GDPR-databehandlingsplan

Databehandlingsplan

Dette skjemaet for databehandling (skjema) er en del av ClickSends vilkår for bruk (avtale) inngått mellom deg og Clicksend Pty Ltd (ACN 165 918 525) (oss og vi etter behov), sammen partene og hver part.

1. Definisjoner

1.1 I denne planen skal følgende vilkår ha betydningen som er angitt nedenfor, og tilhørende termer skal tolkes tilsvarende:

(1.1.a) Gjeldende lover betyr (a) EU-lover eller medlemsstaters lover med hensyn til selskapets personlige data med hensyn til selskapets personlige data som selskapet er underlagt EUs databeskyttelseslov for; og (b) annen gjeldende lov med hensyn til selskapets personlige data som selskapet er underlagt andre databeskyttelseslover for;

(1.1.b) Bedriftens personopplysninger betyr alle personopplysninger som behandles av en kontrahert behandler på vegne av et selskap, inkludert personopplysninger om selskapets kunder, ansatte eller entreprenører (brukere) i henhold til eller i forbindelse med avtalen;

(1.1.c) Kontrahert prosessor betyr oss og / eller en underprosessor;

(1.1.d) Databeskyttelseslover betyr EU-databeskyttelseslover og, i den grad det er aktuelt, personvernloven i ethvert annet land;

(1.1.e) EØS betyr Det europeiske økonomiske samarbeidsområdet;

(1.1.f) EUs databeskyttelseslov betyr EU-direktiv 95/46 / EF, som gjennomført i nasjonal lovgivning i hver medlemsstat og som endret eller erstattet fra tid til annen, inkludert i GDPR og lover som implementerer eller supplerer GDPR ;

(1.1.g) GDPR betyr EUs generelle databeskyttelsesforordning 2016/679;

(1.1.h) Begrenset overføring betyr overføring av selskapets personopplysninger der slik overføring ville være forbudt av EUs databeskyttelseslov (eller av vilkårene i avtaler om dataoverføring som er innført for å adressere begrensningene for dataoverføring i lov om databeskyttelse) i fravær av standard avtaleklausuler eller annen lovlig dataoverføringsmekanisme som beskrevet i 6.4.3 eller 12 nedenfor.

(1.1.i) Tjenester betyr tjenester og andre aktiviteter som skal leveres til eller utføres for deg av oss, eller på vegne av oss, i henhold til Avtalen;

(1.1.j) Standard kontraktlige klausuler betyr kontraktsklausulene fastsatt av EU-kommisjonen, tilgjengelig på https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/ modellkontrakter-overføring-personopplysninger-tredjeland, som oppdateres eller erstattes fra tid til annen;

(1.1.k) Underprosessor betyr enhver person (inkludert tredjepart, men unntatt våre ansatte eller våre underleverandører) utnevnt av eller på vegne av oss til å behandle personopplysninger på vegne av deg; og

‪(1.1.l) Du mener enheten som godtar / godtar avtalen.

1.2 Vilkårene, kommisjon, behandlingsansvarlig, registrert, medlemsstat, personopplysninger, brudd på personopplysninger, behandling, spesielle kategorier av data og tilsynsmyndighet skal ha samme betydning som i GDPR, og deres tilhørende vilkår skal tolkes i samsvar med dette.

1.3 Ordet inkluderer skal tolkes som å inkludere uten begrensning, og tilhørende termer skal tolkes tilsvarende.

2. Behandling av personopplysninger fra selskapet

2.1 Partenes rolle: Partene erkjenner at vi i forbindelse med denne planen fungerer som behandler og at du er behandlingsansvarlig i forhold til selskapets personopplysninger.

2.2 Partene vil overholde alle gjeldende databeskyttelseslover i behandlingen av selskapets personopplysninger.

2.3 Vi vil bare behandle selskapets personopplysninger på vegne av og i samsvar med dine relevante instruksjoner og mens vi utfører våre forpliktelser i henhold til avtalen, med mindre annen behandling kreves av gjeldende lover som den aktuelle avtaleprosessoren er underlagt, i hvilket tilfelle den avtalte prosessoren vil, i den grad loven tillater det, umiddelbart informere selskapet om dette juridiske kravet før han behandler selskapets personopplysninger.

2.4 Vedlegg 1 til denne planen inneholder følgende detaljer:

(2.4.a) beskrivelse av hvilke typer behandling vi vil utføre og hvilke typer personopplysninger som behandles i henhold til denne avtalen; og

(2.4.b) hvilke typer dataemner firmaets personopplysninger forholder seg til.

2.5 Du samtykker i å oppdatere oss (så snart det er praktisk mulig) hvis detaljene i vedlegg 1 er feil eller endres.

3. Underbehandling

3.1 Du gir oss tillatelse til å fortsette å bruke de underprosessorer som allerede er engasjert av oss på datoen for denne planen, med forbehold om våre forpliktelser i 3.3.

3.2 Vi vil gi deg skriftlig forhåndsvarsel om utnevnelsen av enhver ny underprosessor, inkludert fullstendige detaljer om behandlingen som skal utføres av underprosessoren. Hvis innen 10 dager etter mottak av denne meldingen:

‪(3.2.a) du ikke har varslet oss skriftlig om innvendinger (med rimelig grunn) mot den foreslåtte utnevnelsen av den underbehandleren, vi vil anta at du har gitt samtykke til utnevnelsen av den underbehandleren; eller

(3.2.b) hvis du skriftlig gir oss beskjed om eventuelle innvendinger (med rimelig grunn) mot den foreslåtte avtalen, skal vi gjøre ett av følgende: (i) ikke utnevne den underbehandleren; (ii) ikke utlevere selskapets personlige data til den underbehandleren; eller (ii) ikke avsløre noen personopplysninger fra selskapet til den underbehandleren før det er tatt rimelige grep for å imøtekomme innsigelsene du har fremsatt, og du er blitt informert om og godtatt den underbehandleren basert på de rimelige tiltakene som er tatt.

3.3 Med hensyn til hver underprosessor skal vi:

(3.3.a) før underprosessoren behandler selskapets personopplysninger (eller, hvis relevant, i samsvar med punkt 3.2), utfører tilstrekkelig aktsomhet for å sikre at underprosessoren er i stand til å gi det beskyttelsesnivået for selskapets personopplysninger som kreves av Avtalen og denne tidsplanen;

(3.3.b) sikre at avtalen mellom oss og den relevante mellomprosessoren styres av en skriftlig kontrakt som inkluderer vilkår som oppfyller kravene i artikkel 28 (3) i GDPR.

4. Dataregistrerte rettigheter

4.1 Vi skal:

(4.1.a) umiddelbart varsle deg hvis en kontraktbehandler mottar en forespørsel fra et dataemne i henhold til lov om databeskyttelse med hensyn til selskapets personopplysninger;

(4.1.b) sørg for at den avtalte prosessoren ikke svarer på den forespørselen, bortsett fra på dine dokumenterte instruksjoner, eller som kreves av gjeldende lover som den avtalte prosessoren er underlagt, i så fall skal vi i den grad det er tillatt av gjeldende lover informere deg av det juridiske kravet før den avtalte prosessoren svarer på forespørselen;

(4.1.c) iverksette egnede tekniske og organisatoriske tiltak, så langt det er mulig, for å oppfylle dine forpliktelser i henhold til personvernlovene; og

(4.1.d) der du trenger vår hjelp for å svare på en registrert forespørsel, vil vi bruke kommersielt rimelige anstrengelser for å hjelpe deg i den grad det er lovlig tillatt. Du vil være ansvarlig for kostnadene som følger av vår bistand.

5. Sikkerhet

5.1 Tatt i betraktning det nyeste innen teknologien, kostnadene ved implementering og art, omfang, kontekst og formål med behandlingen samt risikoen for varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter, vil vi implementere passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er relevant for denne risikoen, inkludert, når det er hensiktsmessig, tiltakene nevnt i artikkel 32 nr. 1 i GDPR.

5.2 Vi vil ta rimelige tiltak for å sikre at alt av personellet vårt som behandler selskapets personopplysninger, har blitt informert om konfidensiell karakter av selskapets personopplysninger og er forpliktet til å holde selskapets personopplysninger konfidensielle.

5.3 Ved vurderingen av passende sikkerhetsnivå skal vi ta hensyn til risikoen som presenteres ved behandling, spesielt om det skjer et brudd personopplysningssikkerheten.

5.4. Brudd på personopplysningssikkerheten: Vi vil varsle deg uten unødig forsinkelse hvis vi blir kjent med brudd på personopplysningssikkerheten, og vil gi deg tilstrekkelig informasjon for å oppfylle dine juridiske forpliktelser. På din rimelige forespørsel vil vi ta slike rimelige kommersielle tiltak som vi pålegges av deg for å hjelpe til med etterforskning, skadebegrensning og utbedring av ethvert slikt brudd.

6. Konsekvensanalyse av databeskyttelse og forutgående konsultasjon

6.1 På din forespørsel og i den grad det kreves av GDPR, vil vi gi deg rimelig hjelp der du oppfyller dine forpliktelser under GDPR ved å utføre en konsekvensanalyse av databeskyttelse, som følger:

(6.1.a) i den grad vurderingen du utfører direkte relaterer seg til behandlingen av selskapets personlige data, har du ellers ikke tilgang til informasjonen, og slik informasjon er tilgjengelig for oss; og

(6.1.b) der du med rimelighet trenger vår hjelp med tidligere konsultasjoner med tilsynsmyndigheter eller andre kompetente personvernmyndigheter.

6.2 Hvis du ber om hjelp som går utover omfanget av punkt 6.1, kan vi gi deg varsel om gebyrene våre og belaste deg for denne ekstra hjelpen.

7. Begrensede overføringer

7.1 Med forbehold for punkt 7.3, inngår du (som dataeksportør) og hver kontraherte prosessor (som relevant) (som dataimportør) herved standardavtaleklausulene med hensyn til enhver begrenset overføring fra deg til den avtalte prosessoren. Standard kontraktlige klausuler er tilgjengelig her.

7.2 Standard kontraktlige klausuler trer i kraft i henhold til paragraf 7.1 påbegynnelsen av den relevante begrensede overføringen.

7.3 Klausul 7.1 gjelder ikke for en begrenset overføring med mindre dens virkning sammen med andre rimelig gjennomførbare trinn (som for å unngå tvil ikke inkluderer innhenting av samtykke fra dataemner) er å la den aktuelle begrensede overføringen finne sted. uten brudd på gjeldende databeskyttelseslov.

8. Revisjon

8.1 Med forbehold om rimelig varsel (ikke mindre enn 30 dager) og din rimelige anmodning om å demonstrere samsvar med denne planen, skal vi (med forbehold om taushetsplikt):

(8.1.a) gjøre tilgjengelig informasjon direkte knyttet til selskapets personopplysninger og nødvendig for å demonstrere din samsvar med artikkel 28 (3) i GDPR;

(8.1.b) skal tillate deg eller en uavhengig revisor som er utnevnt av deg, å utføre revisjoner, inkludert inspeksjoner, i forbindelse med behandlingen av personopplysningene til selskapet fra de avtalte behandlerne,

og du godtar å ta alle rimelige tiltak for å begrense enhver innvirkning på kontraherte prosessorer.

9. Sletting eller retur av selskapets personopplysninger

9.1 Innen fire måneder etter avslutningen eller utløpet av denne tidsplanen, vil vi slette den eller returnere til deg (der du kommer med en slik forespørsel), alle selskapets personopplysninger i vår besittelse eller kontroll, med mindre gjeldende lover krever at vi oppbevarer selskapets personopplysninger.

10. Generelle vilkår

10.1 Forrangsrekkefølge: I tilfelle konflikt eller inkonsekvens mellom avtalene som er inngått mellom partene, skal standard kontraktsbestemmelser ha forrang, deretter planen, etterfulgt av avtalen.

10.2 Forpliktelser i henhold til avtalen: Med forbehold for punkt 10.1, reduserer ingenting i denne oversikten partenes forpliktelser under avtalen, og alle klausuler i avtalen vil fortsette å gjelde med mindre de er i strid med gjeldende lover, inkludert men ikke begrenset til: styrende lov og jurisdiksjon og ansvarsbegrensning.

10.3 Rettsvirkning: Denne planen inngås og blir en bindende del av avtalen, med ikrafttredelsesdatoen som datoen du aksepterer avtalen online og denne planen, som inngår i avtalen.

Vedlegg 1 detaljer om behandling av selskapets personopplysninger

Dette vedlegg 1 inneholder visse detaljer om behandlingen av selskapets personopplysninger som kreves i artikkel 28 nr. 3 i GDPR.

1. Innhold og varighet for behandlingen av selskapets personopplysninger

Emnet og varigheten av behandlingen av selskapets personopplysninger er beskrevet i avtalen og denne planen.

2. Arten og formålet med behandlingen av selskapets personopplysninger

Arten og formålet med behandlingen av selskapets personopplysninger er nærmere spesifisert i avtalen, og er nærmere instruert av deg.

3. Hvilke typer personlige opplysninger som skal behandles

Hvilke typer personlige personopplysninger som skal behandles, kan omfatte, men er ikke begrenset til, følgende:

i. navnet på den registrerte;

ii. den registrertes kontaktinformasjon arbeid;

iii. en registrerts personlige mobilnummer;

iv. eventuelle personlige data om en registrert som er inkludert i teksten i tekstmeldingen du velger å sende via våre tjenester (f.eks. den registreredes avtaleopplysninger); og

v. andre personlige data som vi har bedt om og / eller gitt av deg, en registrert eller en tredjepart.

Merk: Personopplysninger om en registrert som er inkludert i tekstmeldingen, kan inneholde spesielle datakategorier, for eksempel helsedata som er relatert til den registrerte.

4. Kategoriene av den registrerte som personopplysningene vedrører

Kategoriene av de registrerte som selskapets personopplysninger vedrører, er som følger:

i. din kontaktperson som vi kan kommuniserer med;

ii. dine ansatte eller entreprenører som bruker tjenestene våre og aktivt kontakter oss (inkludert for en supportforespørsel); og

iii. kundene dine der du oppgir deres detaljer når du bruker tjenestene våre.

5. Dine forpliktelser og rettigheter

Dine forpliktelser og rettigheter er beskrevet i avtalen og denne planen.

Vedlegg 1 til standard avtaleklausuler

Dette vedlegget utgjør en del av paragrafene.

Medlemsstatene kan i samsvar med sine nasjonale prosedyrer fylle ut eller spesifisere ytterligere nødvendig informasjon som skal være inneholdt i dette vedlegget.

Registrerte

De personopplysningene som overføres gjelder følgende kategorier av registrerte:

  • som spesifisert i avtalen og planen.

Kategorier av data

De overførte personopplysningene gjelder følgende kategorier av data:

  • som spesifisert i avtalen og planen.

Spesielle datakategorier (hvis aktuelt)

De overførte personopplysningene gjelder følgende spesielle datakategorier:

  • som spesifisert i avtalen og planen.

Behandlingsoperasjoner

De overførte personopplysningene vil være underlagt følgende grunnleggende behandlingsaktiviteter:

  • aktiviteter som rimeligvis kreves for levering av tjenestene eller godkjent av deg.

Vedlegg 2 til standardkontraktsklausulene

Beskrivelse av tekniske og organisatoriske sikkerhetstiltak implementert av dataimportøren i samsvar med punkt 4 (d) og 5 (c):

Vi tar tekniske og organisatoriske sikkerhetstiltak for å beskytte selskapets personopplysninger som vi behandler.

Detaljer om disse tekniske og organisatoriske sikkerhetstiltakene finner du her: https://www.clicksend.com/no/api-docs/security-compliance/

Spørsmål?

Gratis kontoer og gratis råd. Vårt juridiske team er klare til å hjelpe deg.

Personvern og juridisk© 2020 ClickSend