NOTA: For å sikre at ingen inkonsekvente eller tilleggsvilkår blir pålagt oss utover det som er reflektert i vår standard DPA og modellklausuler, kan vi ikke gå med på å signere kundenes DPAer. Som et lite team kan vi heller ikke gjøre individuelle endringer i vår DPA, da vi ikke har et juridisk team i staben. Eventuelle endringer i standard DPA vil kreve juridisk rådgivning og mye frem og tilbake diskusjon som ville være kostnadsdrivende for vårt team.

Dette EU- og UK-dataprosesseringsavtalen ("Avtalen") supplerer vilkårene for tjenesten ("Avtalen") inngått mellom kunden som signerer denne Avtalen ("Kunde") og Logike ("Selskapet"). Ved å utføre Avtalen i samsvar med avsnitt 11 heri, inngår Kunden denne Avtalen på vegne av seg selv og, i den utstrekning det er nødvendig i henhold til gjeldende databeskyttelseslover (definert nedenfor), i navnet og på vegne av sine tilknyttede selskaper (definert nedenfor), hvis noe. Denne Avtalen inkorporerer vilkårene i Avtalen, og eventuelle vilkår som ikke er definert i denne Avtalen, skal ha den betydning som er angitt i Avtalen.

1\. Definisjoner

1.1 "Tilknyttet" betyr (i) en enhet som en part direkte eller indirekte eier femti prosent (50 %) eller mer av aksjene eller annen egenkapitalinteresse, (ii) en enhet som eier minst femti prosent (50 %) eller mer av aksjene eller annen egenkapitalinteresse av en part, eller (iii) en enhet som er under felles kontroll med en part ved å ha minst femti prosent (50 %) eller mer av aksjene eller annen egenkapitalinteresse i en slik enhet, og en part eid av samme person, men en slik enhet skal kun anses å være en tilknyttet så lenge slik eierskap eksisterer.

1.2 "Autorisert underbehandler" betyr en tredjepart som har behov for å vite eller på annen måte få tilgang til Kundens personopplysninger for å muliggjøre Selskapet å oppfylle sine forpliktelser under denne Avtalen eller Avtalen, og som enten (1) er oppført i Vedlegg B eller (2) senere er autorisert under avsnitt 4.2 i denne Avtalen.

1.3 "Kunde-kontodata" betyr personopplysninger som relaterer til Kundens forhold til Selskapet, inkludert navn eller kontaktinformasjon til personer autorisert av Kunden til å få tilgang til Kundens konto og faktureringsinformasjon for personer som Kunden har assosiert med sin konto. Kunde-kontodata inkluderer også alle data Selskapet måtte trenge å samle inn for formålet med å forvalte sitt forhold til Kunden, identitetsverifisering, eller som ellers kreves av gjeldende lover og forskrifter.

1.4 "Kunde-bruksdata" betyr tjenestebruksdata samlet inn og behandlet av Selskapet i forbindelse med leveringen av Tjenestene, inkludert uten begrensning data brukt til å identifisere kilden og destinasjonen for en kommunikasjon, aktivitetslogger, og data brukt til å optimalisere og opprettholde ytelsen til Tjenestene, samt å etterforske og forhindre systemmisbruk.

1.5 "Data Connector" betyr Kunden.

1.6 "Data Importør" betyr Selskapet.

1.7 "Databeskyttelseslover" betyr eventuelle gjeldende lover og forskrifter i enhver relevant jurisdiksjon som gjelder bruken eller behandlingen av personopplysninger, inkludert: (i) den kaliforniske loven om forbrukerprivatliv ("CCPA"), (ii) den generelle databeskyttelsesforordningen (forordning (EU) 2016/679) ("EU GDPR" eller "GDPR"), (iii) den sveitsiske føderale databeskyttelsesloven, (iv) EU GDPR som den er en del av loven i England og Wales i henhold til seksjon 3 i loven om europeisk union (tilbaketrekking) fra 2018 ("UK GDPR"); (v) den britiske databeskyttelsesloven fra 2018; og (vi) forskrifter om privatliv og elektronisk kommunikasjon (EC-direktiv) fra 2003; i hvert tilfelle, som oppdatert, endret eller erstattet fra tid til annen. Begrepene "registrert", "personopplysninger", "brudd på personopplysninger", "behandling", "behandler," "kontroller," og "tilsynsmyndighet" skal ha de betydninger som er angitt i GDPR.

1.8 "EU SCCer" betyr standardkontraktsklausuler godkjent av kommisjonen i kommisjonsbeslutning 2021/914 datert 4. juni 2021, for overføring av personopplysninger til land som ikke på annen måte er anerkjent som å gi et tilstrekkelig nivå av beskyttelse for personopplysninger av kommisjonen (som endret og oppdatert fra tid til annen).

1.9 "ex-EEA-overføring" betyr overføringen av personopplysninger, som behandles i samsvar med GDPR, fra Data Connector til Data Importør (eller lokaler) utenfor det europeiske økonomiske området ("EEA"), og en slik overføring reguleres ikke av en tilstrekkelig beslutning fattet av kommisjonen i samsvar med relevante bestemmelser i GDPR.

1.10 "ex-UK-overføring" betyr overføringen av personopplysninger, som behandles i samsvar med UK GDPR og den britiske databeskyttelsesloven fra 2018, fra Data Connector til Data Importør (eller lokaler) utenfor Storbritannia ("UK"), og en slik overføring reguleres ikke av en tilstrekkelig beslutning fattet av justisministeren i samsvar med relevante bestemmelser i UK GDPR og den britiske databeskyttelsesloven fra 2018.

1.11 "Tjenester" skal ha den betydning som er angitt i Avtalen.

1.12 "Standard kontraktsklausuler" betyr EU SCCer og UK SCCer.

1.13 "UK SCC-er" betyr standardkontraktsklausuler godkjent av kommisjonen for overføring av personopplysninger til land som ikke på annen måte er anerkjent som å gi et tilstrekkelig nivå av beskyttelse for personopplysninger av kommisjonen, enten (i) kontroller-til-behandler-klausuler som godkjent av kommisjonen i kommisjonsbeslutning 2010/87/EU, datert 5. februar 2010 (som endret og oppdatert fra tid til annen) ("UK Controller-to-Processor SCC-er"); eller (ii) kontroller-til-kontroller-klausuler som godkjent av kommisjonen i kommisjonsbeslutning 2004/915/EC, datert 27. desember 2004 (som endret og oppdatert fra tid til annen) ("UK Controller-to-Controller SCC-er").

2.Partienes forhold; Behandling av data

2.1 Partene anerkjenner og er enige om at med hensyn til behandlingen av personopplysninger kan Kunden handle enten som kontroller eller behandler, og, med unntak av uttrykkelig angitt i denne Avtalen eller Avtalen, er Selskapet en behandler. Kunden skal, i sin bruk av Tjenestene, til enhver tid behandle personopplysninger og gi instruksjoner for behandlingen av personopplysninger i samsvar med databeskyttelseslovene. Kunden skal sørge for at behandlingen av personopplysninger i samsvar med Kundens instruksjoner ikke vil føre til at Selskapet bryter databeskyttelseslovene. Kunden er alene ansvarlig for nøyaktigheten, kvaliteten og lovligheten av (i) de personopplysningene som er levert til Selskapet av eller på vegne av Kunden, (ii) måten Kunden anskaffet slike personopplysninger på, og (iii) instruksjonene som den gir til Selskapet med hensyn til behandlingen av slike personopplysninger. Kunden skal ikke gi eller gjøre tilgjengelig for Selskapet noen personopplysninger i strid med Avtalen eller ellers upassende for naturen av Tjenestene og skal holde Selskapet skadesløs fra alle krav og tap i forbindelse med dette.

2.2 Selskapet skal ikke behandle personopplysninger (i) for formål utover de som er angitt i Avtalen og/eller Vedlegg A, (ii) på en måte som er inkonsekvent med vilkårene og betingelsene som er angitt i denne Avtalen eller eventuelle andre dokumenterte instruksjoner fra Kunden, inkludert med hensyn til overføring av personopplysninger til et tredjeland eller en internasjonal organisasjon, med mindre det er påkrevd å gjøre det av tilsynsmyndighet som Selskapet er underlagt; i så fall skal Selskapet informere Kunden om dette juridiske kravet før behandling, med mindre loven forhindrer slik informasjon av viktige grunner av offentlig interesse, eller (iii) i strid med databeskyttelseslovene. Kunden instruerer herved Selskapet om å behandle personopplysninger i samsvar med det foregående og som en del av enhver behandling initiert av Kunden i sin bruk av Tjenestene. Disse instruksjonene skal alltid dokumenteres.

2.3 Emnet, naturen, formålet og varigheten av denne behandlingen, så vel som typene av personopplysninger som samles inn og kategoriene av registrerte, er beskrevet i Vedlegg A til denne Avtalen.

2.4 Etter fullføring av Tjenestene, etter Kundens valg, skal Selskapet returnere eller slette Kundens personopplysninger, med mindre videre lagring av slike personopplysninger er nødvendig eller autorisert av gjeldende lov. Hvis retur eller destruksjon er upraktisk eller forbudt av lov, regel eller forskrift, skal Selskapet ta tiltak for å blokkere slike personopplysninger fra videre behandling (unntatt i den grad det er nødvendig for vedvarende hosting eller behandling som kreves av lov, regel eller forskrift) og skal fortsette å beskytte personopplysningene som gjenstår i sin besittelse, forvaring eller kontroll. Hvis Kunden og Selskapet har inngått standard kontraktsklausuler som beskrevet i seksjon 6 (Overføring av personopplysninger), er partene enige om at sertifiseringen av sletting av personopplysninger som er beskrevet i klausul 12(1) av UK SCC-er og klausul 8.1(d) og klausul 8.5 av EU SCC-er (som gjelder) kun skal gis av Selskapet til Kunden etter Kundens forespørsel.

2.5 CCPA. Med unntak av med hensyn til Kunde-kontodata og Kunde-bruksdata, anerkjenner og er partene enige om at Selskapet er en tjenesteleverandør for formålene med CCPA (i den grad det gjelder) og mottar personopplysninger fra Kunden for å levere Tjenestene i henhold til Avtalen, som utgjør en forretningsmessig hensikt. Selskapet skal ikke selge noen slik personopplysning. Selskapet skal ikke oppbevare, bruke eller utlevere noen personopplysning levert av Kunden i henhold til Avtalen, unntatt i den grad det er nødvendig for å oppfylle det spesifikke formålet med å utføre Tjenestene for Kunden i henhold til Avtalen, eller ellers som angitt i Avtalen eller som tillatt av CCPA. Begrepene "personopplysninger," "tjenesteleverandør," "salg," og "selge" er definert i seksjon 1798.140 av CCPA. Selskapet bekrefter at det forstår begrensningene i denne seksjonen 2.5.

Konfidensialitet

Selskapet skal sørge for at enhver person det autoriserer til å behandle personopplysninger har gått med på å beskytte personopplysninger i samsvar med Selskapets konfidensialitetsforpliktelser i Avtalen. Kunden er enig i at Selskapet kan avsløre personopplysninger til sine rådgivere, revisorer eller andre tredjeparter som rimeligvis kreves i forbindelse med oppfyllelsen av sine forpliktelser under denne Avtalen, Avtalen, eller leveringen av Tjenester til Kunden.

Autoriserte underbehandlere

4.1 Kunden anerkjenner og er enig i at Selskapet kan (1) engasjere sine tilknyttede selskaper og de autoriserte underbehandlerne på listen (definert nedenfor) for å få tilgang til og behandle personopplysninger i forbindelse med Tjenestene og (2) fra tid til annen engasjere ytterligere tredjeparter for formålet med å levere Tjenestene, inkludert uten begrensning behandlingen av personopplysninger. Ved denne Avtalen gir Kunden generell skriftlig autorisasjon til Selskapet til å engasjere underbehandlere etter behov for å utføre Tjenestene.

4.2. En liste over Selskapets nåværende autoriserte underbehandlere ("Listen") vil bli gjort tilgjengelig for Kunden (Vedlegg D). Denne Listen kan oppdateres av Selskapet fra tid til annen. Kunden erkjenner at visse underbehandlere er avgjørende for å levere Tjenestene og at å protestere mot bruken av en underbehandler kan forhindre Selskapet i å tilby Tjenestene til Kunden.

4.3. Hvis Kunden rimelig protesterer mot et engasjement i henhold til avsnitt 4.2, og Selskapet ikke kan tilby et kommersielt rimelig alternativ innen rimelig tid, kan Kunden slutte å bruke den berørte Tjenesten ved å gi skriftlig varsel til Selskapet. Avslutning skal ikke frigjøre Kunden fra eventuelle avgifter som skyldes Selskapet i henhold til Avtalen.

4.4. Hvis Kunden ikke protesterer mot engasjementet av en tredjepart i henhold til avsnitt 4.2 innen ti (10) dager etter endring fra Selskapet, vil den tredjeparten bli ansett som en autorisert underbehandler for formålene med denne Avtalen.

4.5 Selskapet vil inngå en skriftlig avtale med den autoriserte underbehandleren som pålegger den autoriserte underbehandleren databeskyttelsesforpliktelser sammenlignbare med de som pålegges Selskapet under denne Avtalen med hensyn til beskyttelsen av personopplysninger. I tilfelle en autorisert underbehandler unnlater å oppfylle sin databeskyttelsesforpliktelse under en slik skriftlig avtale med Selskapet, skal Selskapet fortsatt være ansvarlig overfor Kunden for oppfyllelsen av den autoriserte underbehandlers forpliktelser under en slik avtale.

4.6 Hvis Kunden og Selskapet har inngått standard kontraktsklausuler som beskrevet i seksjon 6 (Overføring av personopplysninger), (i) vil de ovennevnte autorisasjonene utgjøre Kundens forhåndsskriftlige samtykke til underleveransen av behandlingen av personopplysninger av Selskapet hvis slikt samtykke kreves i henhold til de standard kontraktsklausulene, og (ii) partene er enige om at kopiene av avtalene med de autoriserte underbehandlerne som må gis av Selskapet til Kunden i samsvar med klausul 5(j) av UK SCC-er eller klausul 9(c) av EU SCC-er kan ha kommersiell informasjon, eller informasjon som ikke er relatert til de standard kontraktsklausulene eller deres ekvivalent, fjernet av Selskapet på forhånd, og at slike kopier vil bli gitt av Selskapet kun på forespørsel fra Kunden.

4.7 Selskapet skal bli enige om en tredjeparts fordelingsklausul med den autoriserte underbehandleren hvorved - i tilfelle Selskapet faktiske forsvinner, opphører å eksistere i loven eller blir insolvent - skal Kunden ha rett til å si opp den autoriserte underbehandlerkontrakten og instruere den autoriserte underbehandleren om å slette eller returnere de personopplysningene.

5.Sikkerhet for personopplysninger.

Med hensyn til den tekniske utviklingen, kostnadene ved implementering og natur, omfang, kontekst og formål med behandlingen samt risikoen for varierende sannsynlighet og alvorlighetsgrad for rettighetene og frihetene til fysiske personer, skal Selskapet opprettholde passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er passende for risikoen for behandling av personopplysninger. Dette inkluderer beskyttelse av data mot brudd på sikkerheten som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert avsløring eller tilgang til dataene (personopplysningsbrudd). Ved vurdering av passende sikkerhetsnivå, skal partene ta hensyn til den tekniske utviklingen, kostnadene ved implementering, naturen, omfanget, konteksten og formålene med behandlingen og risikoene involvert for de registrerte. Vedlegg B inneholder tilleggsinformasjon om Selskapets tekniske og organisatoriske sikkerhetstiltak.

Overføringer av personopplysninger

6.1 Partene er enige om at Selskapet kan overføre personopplysninger behandlet under denne Avtalen utenfor EEA, Storbritannia eller Sveits etter behov for å levere Tjenestene. Kunden erkjenner at Selskapets primære behandlingsoperasjoner skjer i USA, og at overføringen av Kundens personopplysninger til USA er nødvendig for levering av Tjenestene til Kunden. Hvis Selskapet overfører personopplysninger beskyttet i henhold til denne Avtalen til en jurisdiksjon hvor kommisjonen ikke har utstedt en tilstrekkelig beslutning, vil Selskapet sikre at nødvendige tiltak blir implementert for overføringen av personopplysninger i samsvar med databeskyttelseslovene.

6.2 Ex-EEA-overføringer. Partene er enige om at ex-EEA-overføringer gjøres i henhold til EU SCCer, som anses inngått (og inkorporert i denne Avtalen ved henvisning) og fullført som følger:

6.2.1 Modul én (kontroller til kontroller) av EU SCCer gjelder når Selskapet behandler personopplysninger som en kontroller i samsvar med seksjon 9 i denne Avtalen.

6.2.2 Modul to (kontroller til behandler) av EU SCCer gjelder når Kunden er en kontroller og Selskapet behandler personopplysninger for Kunden som en behandler i samsvar med seksjon 2 i denne Avtalen.

6.2.3 Modul tre (behandler til underbehandler) av EU SCCer gjelder når Kunden er en behandler og Selskapet behandler personopplysninger på vegne av Kunden som en underbehandler.

6.3 For hver modul, hvor aktuelt gjelder følgende:

6.3.1 Den valgfrie dokkingklausulen i klausul 7 gjelder ikke.

6.3.2 I klausul 9, alternativ 2 (generell skriftlig autorisasjon) gjelder, og den minimums tidsrammen for forhåndsvarsel om endringer av underbehandler skal være som angitt i seksjon 4.2 i denne Avtalen;

6.3.3 I klausul 11 gjelder det valgfrie språket ikke;

6.3.4 Alle firkantede parenteser i klausul 13 fjernes herved. De aktuelle bestemmelsene skal være den som tilsvarer situasjonen til dataeksportøren som er beskrevet i firkantede parenteser;

6.3.5 I klausul 17 (alternativ 1) skal EU SCC-er være underlagt fransk lov;

6.3.6 I klausul 18(b) skal tvister løses for domstolene i Frankrike;

6.3.7 Vedlegg B til denne Avtalen inneholder den informasjonen som er nødvendig i vedlegg I til EU SCC-er;

6.3.8 Vedlegg C til denne Avtalen inneholder den informasjonen som er nødvendig i vedlegg II til EU SCC-er; og

6.3.9 Ved å inngå denne Avtalen anses partene for å ha signert EU SCC-er som er inkorporert her, inkludert deres vedlegg.

6.4 Ex-UK-overføringer. Partene er enige om at ex-UK-overføringer gjøres i henhold til UK SCC-er, som anses inngått og inkorporert i denne Avtalen ved henvisning, og fullført som følger:

6.4.1 Henvisninger til GDPR vil bli ansett som henvisninger til UK GDPR og den britiske databeskyttelsesloven fra 2018, henvisninger til "tilsynsmyndigheter" vil bli ansett som henvisninger til den britiske informasjonkommissæren, og henvisninger til "medlemsstat(er)" eller EU vil bli ansett som henvisninger til Storbritannia.

6.4.2 UK Controller-til-behandler SCC-er gjelder når Selskapet behandler Kundens personopplysninger som en behandler. Den illustrative erstatningsklausulen gjelder ikke. I klausul 4(f) er språket "tilstrekkelig beskyttelse i henhold til direktiv 95/46/EF" slettet og erstattet med "et databeskyttelsesnivå som er ansett som tilstrekkelig i henhold til, eller ekvivalent med, den gjeldende databeskyttelsesloven." Klausul 9, Governing Law, skal lyde "Klausulene skal være underlagt lovene i medlemsstaten hvor dataeksportøren er etablert, men uten at det påvirker rettighetene og frihetene som registrerte personer kan nyte godt av i henhold til sine nasjonale databeskyttelseslover." I klausul 11(3) er språket ", nemlig..." på slutten av setningen herved slettet. Vedlegg B til denne Avtalen tjener som vedlegg I til UK Controller-til-behandler SCC-er. Vedlegg C til denne Avtalen tjener som vedlegg II til UK Controller-til-behandler SCC-er.

6.4.3 UK Controller-til-controller SCC-er gjelder når Selskapet behandler Kundens personopplysninger som en kontroller i samsvar med seksjon 9 i denne Avtalen. Klausul II(h) i UK Controller-til-controller SCC-er skal ansees å fastslå at Selskapet skal behandle personopplysninger i samsvar med databehandlingsprinsippene som er fastsatt i vedlegg A til UK Controller-til-controller SCC-er. Den illustrative kommersielle klausulen gjelder ikke. Klausul IV (Governing Law) skal lyde "Klausulene skal være underlagt lovene i medlemsstaten hvor dataeksportøren er etablert, men uten at det påvirker rettighetene og frihetene som registrerte personer kan nyte godt av i henhold til sine nasjonale databeskyttelseslover." Vedlegg B til denne Avtalen tjener som vedlegg B til UK Controller-til-controller SCC-er.

6.4.4 Partene anerkjenner og er enige om at hvis noen av UK SCC-ene blir erstattet eller opphevet av nye standardkontraktsklausuler utstedt og godkjent i henhold til artikkel 46 i UK GDPR og relaterte bestemmelser i den britiske databeskyttelsesloven fra 2018 ("Nye UK SCC-er"), kan Data Importør gi varsel til Data Connector, og fra datoen som er angitt i slik varsel, skal anvendelsen av UK SCC-ene angitt i denne Avtalen endres slik at UK SCC-ene opphører å gjelde for ex-UK-overføringer, og de Nye UK SCC-er spesifisert i slik varsel skal gjelde fremover. I den utstrekning bruken av de Nye UK SCC-ene krever at partene fullfører tilleggsinformasjon, skal partene rimelig og raskt jobbe sammen for å fullføre slik tilleggsinformasjon.

6.5 Overføringer fra Sveits. Partene er enige om at overføringer fra Sveits gjøres i henhold til EU SCC-er med følgende modifikasjoner:

6.5.1 Begrepene "Generelle databeskyttelsesforordningen" eller "Forordning (EU) 2016/679" som benyttes i EU SCC-er skal tolkes slik at de inkluderer den føderale databeskyttelsesloven av 19. juni 1992 ("FADP," og revidert per 25. september 2020, "Revidert FADP") med hensyn til datatransfers underlagt FADP.

6.5.2 Vilkårene i EU SCC-ene skal tolkes for å beskytte data for juridiske enheter frem til den effektive datoen for den reviderte FADP.

6.5.3 Klausul 13 i EU SCC-ene er modifisert for å gi at den føderale databeskyttelses- og informasjonskommissæren ("FDPIC") i Sveits skal ha myndighet over datatransfers regulert av FADP og den aktuelle EU-tilsynsmyndigheten skal ha myndighet over datatransfers regulert av GDPR. Med forbehold av det foregående skal alle andre krav i seksjon 13 overholdes.

6.5.4 Begrepet "EU-medlemsstat" som benyttes i EU SCC-ene skal ikke tolkes på en måte som utelukker registrerte personer i Sveits fra å utøve sine rettigheter i sin bopel i samsvar med klausul 18(c) i EU SCC-ene.

6.6 Supplerende tiltak. Med hensyn til enhver ex-EEA-overføring eller ex-UK-overføring, skal følgende supplerende tiltak gjelde:

6.6.1 Fra datoen for denne Avtalen har Data Importør ikke mottatt noen formelle juridiske forespørseler fra noen statlig etterretnings- eller sikkerhetstjeneste/byrå i landet hvor personopplysningene eksporteres, for tilgang til (eller for kopier av) Kundens personopplysninger ("Forespørsel fra regjeringen");

6.6.2 Hvis, etter datoen for denne Avtalen, Data Importør mottar noen Forespørsel fra regjeringen, skal Selskapet forsøke å omdirigere lovhåndhevelsen eller regjeringstjenesten til å be om data direkte fra Kunden. Som en del av dette arbeidet kan Selskapet gi Kundens grunnleggende kontaktinformasjon til regjeringstjenesten. Hvis Selskapet blir tvunget til å avsløre Kundens personopplysninger til en lovhåndhevelse eller regjeringstjeneste, skal Selskapet gi Kunden rimelig forhåndsvarsel om kravet og samarbeide for å tillate Kunden å søke om en rettslig beskyttelse eller annen passende rettsmiddel med mindre Selskapet er lovlig forhindret fra å gjøre det. Selskapet skal ikke frivillig avsløre personopplysninger til noen lovhåndhevelse eller regjeringstjeneste. Data Exporter og Data Importør skal (så snart som rimelig mulig) diskutere og avgjøre om alle eller noen overføringer av personopplysninger i henhold til denne Avtalen bør suspendere i lys av slike Forespørseler fra regjeringen; og

6.6.3 Data Exporter og Data Importør vil møtes etter behov for å vurdere om:

(i) beskyttelsen som tilbys av lovene i landet til Data Importør til registrerte personer hvis personopplysninger overføres er tilstrekkelig til å gi omtrent tilsvarende beskyttelse som det som tilbys i EEA eller UK, avhengig av tilfellet;

(ii) ytterligere tiltak er rimelig nødvendige for å muliggjøre at overføringen er i samsvar med databeskyttelseslovene; og

(iii) det fortsatt er hensiktsmessig for personopplysninger å bli overført til den aktuelle Data Importør, med tanke på all relevant informasjon tilgjengelig for partene, sammen med veiledningen som gis av tilsynsmyndighetene.

6.6.4 Hvis databeskyttelseslovene krever at Data Exporter skal bruke de standard kontraktsklausulene som gjelder for en bestemt overføring av personopplysninger til en Data Importør som en separat avtale, skal Data Importør, på forespørsel fra Data Exporter, umiddelbart inngå slike standard kontraktsklausuler som inkorporerer slike endringer som kan være rimelig å kreve av Data Exporter for å gjenspeile de aktuelle vedleggene og annexe, detaljer i overføringen og kravene i de relevante databeskyttelseslovene.

6.6.5 Hvis enten (i) noe av midlene for å legitimere overføringer av personopplysninger utenfor EEA eller UK som angitt i denne Avtalen slutter å være gyldige eller (ii) noen tilsynsmyndighet krever at overføringer av personopplysninger i samsvar med disse midlene skal suspenderes, kan Data Importør ved melding til Data Exporter, med virkning fra datoen angitt i slik varsel, endre eller sette på plass alternative ordninger med hensyn til slike overføringer, som kreves av databeskyttelseslovene.

7.Rettigheter til registrerte personer

7.1 Selskapet skal, i den grad det er tillatt av loven, varsle Kunden ved mottak av en forespørsel fra en registrert for å utøve den registrerte personens rett til: tilgang, retting, sletting, dataportabilitet, restriksjon eller opphør av behandling, tilbaketrekking av samtykke til behandling, og/eller å protestere mot å være underlagt behandling som utgjør automatisert beslutningstaking (slike forespørseler individuelt og samlet "Forespørseler fra registrerte personer"). Hvis Selskapet mottar en Forespørsel fra en registrert relatert til Kundens data, vil Selskapet advare den registrerte om å sende forespørselen til Kunden, og Kunden vil være ansvarlig for å svare på en slik forespørsel, inkludert, hvor nødvendig, ved å bruke funksjonaliteten til Tjenestene. Kunden er alene ansvarlig for å sikre at Forespørseler fra registrerte personer om sletting, restriksjon eller opphør av behandling, eller tilbaketrekking av samtykke til behandling av personopplysninger, kommuniseres til Selskapet, og, hvis aktuelt, for å sikre at en opptegnelse av samtykke til behandling opprettholdes for hver registrert.

7.2 Selskapet skal, på forespørsel fra Kunden, og med tanke på naturen av behandlingen som gjelder enhver Forespørsel fra registrerte personer, bruke passende tekniske og organisatoriske tiltak for å bistå Kunden i å overholde Kundens forpliktelse til å svare på en slik Forespørsel fra registrerte personer og/eller å demonstrere slik overholdelse, hvor mulig, forutsatt at (i) Kunden selv er ute av stand til å svare uten Selskapets bistand og (ii) Selskapet har mulighet til å gjøre det i samsvar med gjeldende lover, regler og forskrifter. Kunden vil være ansvarlig i den grad det er juridisk tillatt for eventuelle kostnader og utgifter som oppstår fra slik bistand fra Selskapet.

8.Handlinger og tilgangsforespørsel; Revisjoner

8.1 Selskapet skal, med tanke på naturen av behandlingen og informasjonen som er tilgjengelig for Selskapet, gi Kunden rimelig samarbeid og bistand der det er nødvendig for Kunden å overholde sine forpliktelser under GDPR for å gjennomføre en databeskyttelseseffektvurdering og/eller å demonstrere slik overholdelse. Kunden vil være ansvarlig i den grad det er juridisk tillatt for eventuelle kostnader og utgifter som oppstår fra slik bistand fra Selskapet.

8.2 Selskapet skal, med tanke på naturen av behandlingen og informasjonen som er tilgjengelig for Selskapet, gi Kunden rimelig samarbeid og bistand med hensyn til Kundens samarbeid og/eller forhåndskonsultasjon med enhver tilsynsmyndighet, der det er nødvendig og hvor det kreves av GDPR. Kunden vil være ansvarlig i den grad det er juridisk tillatt for eventuelle kostnader og utgifter som oppstår fra slik bistand fra Selskapet.

8.3 Selskapet skal opprettholde opptegnelser som er tilstrekkelige for å demonstrere sin overholdelse med sine forpliktelser under denne Avtalen, og beholde slike opptegnelser i en periode på fem (5) år etter opphør av Avtalen. Kunden skal, med rimelig varsel til Selskapet, ha rett til å gjennomgå, revidere og kopiere slike opptegnelser på Selskapets kontorer i løpet av vanlig arbeidstid.

8.4 På Kundens skriftlige forespørsel med rimelige intervaller, og underlagt rimelige konfidensialitetskontroller, skal Selskapet, enten (i) gjøre tilgjengelig for Kundens gjennomgang kopier av sertifiseringer eller rapporter som viser Selskapets overholdelse av gjeldende datasikkerhetsstandarder som er anvendelige for behandlingen av Kundens personopplysninger, eller (ii) hvis leveransen av rapporter eller sertifiseringer i henhold til (i) ikke er rimelig tilstrekkelig under databeskyttelseslovene, tillate Kundens uavhengige tredjepartsrepresentant å gjennomføre en revisjon eller inspeksjon av Selskapets datasikkerhetsinfrastruktur og prosedyrer som er tilstrekkelige for å demonstrere Selskapets overholdelse av sine forpliktelser under databeskyttelseslovene, forutsatt at (a) Kunden gir rimelig forhåndsskriftlig varsel om en slik forespørsel om en revisjon og slik inspeksjon ikke skal være urimelig forstyrrende for Selskapets forretning; (b) en slik revisjon skal bare utføres i arbeidstiden og forekomme ikke mer enn én gang per kalenderår; og (c) en slik revisjon skal begrenses til data relevant for Kunden. Kunden skal være ansvarlig for kostnadene ved enhver slik revisjon eller inspeksjon, inkludert uten begrensning en refusjon til Selskapet for ethvert tid brukt på stedet for revisjoner. Hvis Kunden og Selskapet har inngått standard kontraktsklausuler som beskrevet i seksjon 6 (Overføring av personopplysninger), er partene enige om at revisjonene beskrevet i klausul 5(f) og klausul 12(2) i UK SCC-er og klausul 8.9 i EU SCC-er skal utføres i samsvar med denne seksjon 8.4.

8.5 Selskapet skal umiddelbart varsle Kunden hvis en instruksjon, etter Selskapets mening, krenker databeskyttelseslovene eller tilsynsmyndigheten. Partene skal gjøre informasjonen nevnt i artikkel 8, inkludert resultatene av enhver revisjon, tilgjengelig for tilsynsmyndigheten på forespørsel.

8.6 I tilfelle av et brudd på personopplysninger, skal Selskapet, uten unødig forsinkelse og senest 72 timer etter at de har blitt kjent med det, informere Kunden om bruddet på personopplysninger og ta de skritt som Selskapet etter eget skjønn finner nødvendig og rimelig for å rette opp i slik overtredelse (i den grad rettelse er innen rimelig kontroll av Selskapet). Spesielt skal varslingen minst:

(i) beskrive arten av bruddet på personopplysninger inkludert hvor mulig, kategoriene og omtrent antall registrerte personer det gjelder og kategoriene og omtrent antall personopplysningsregistre det gjelder;

(ii) kommunisere navnet og kontaktinformasjonen til databeskyttelsesansvarlig eller annen kontaktpunkt hvor mer informasjon kan skaffes;

(iii) beskrive de sannsynlige konsekvensene av bruddet på personopplysninger; beskrive de tiltakene som er tatt eller foreslått av kontrolløren for å håndtere bruddet på personopplysninger, inkludert, der det er hensiktsmessig, tiltak for å redusere eventuelle negative effekter.

Der hvor, og så langt det er ikke mulig å gi informasjonen samtidig, kan informasjonen gis i faser uten unødig videre forsinkelse.

8.7 I tilfelle av et brudd på personopplysninger, skal Selskapet, med tanke på naturen av behandlingen og informasjonen tilgjengelig for Selskapet, gi Kunden rimelig samarbeid og bistand nødvendig for at Kunden skal overholde sine forpliktelser under GDPR med hensyn til varsling av (i) den relevante tilsynsmyndigheten og (ii) registrerte personer berørt av slik brudd på personopplysninger uten unødig forsinkelse.

8.8 Forpliktelsene beskrevet i seksjonene 8.5 og 8.6 gjelder ikke i tilfelle et brudd på personopplysninger skyldes handlinger eller unnlatelser av Kunden. Selskapets forpliktelse til å rapportere eller svare på et brudd på personopplysninger under seksjonene 8.5 og 8.6 skal ikke tolkes som en erkjennelse av noe ansvar eller skyld fra Selskapet med hensyn til bruddet på personopplysninger.

9\. Selskapets rolle som kontroller

Partene erkjenner og er enige om at med hensyn til Kunde-kontodata og Kunde-bruksdata er Selskapet en uavhengig kontroller, ikke en felles kontroller med Kunden. Selskapet vil behandle Kunde-kontodata og Kunde-bruksdata som en kontroller (i) for å administrere forholdet med Kunden; (ii) for å utføre Selskapets kjerneforretningsoperasjoner, som regnskap, revisjoner, skatteforberedelse og innlevering og samsvarsformål; (iii) for å overvåke, etterforske, forhindre og oppdage svindel, sikkerhetshendelser og annet misbruk av Tjenestene, og for å hindre skade på Kunden; (iv) for identitetsverifikasjonsformål; (v) for å overholde lovlige eller regulative forpliktelser som gjelder for behandlingen og oppbevaringen av personopplysninger som Selskapet er underlagt; og (vi) ellers som tillatt under databeskyttelseslovene og i samsvar med denne Avtalen og Avtalen. Selskapet kan også behandle Kunde-bruksdata som en kontroller for å levere, optimalisere og opprettholde Tjenestene, i den grad det er tillatt av databeskyttelseslovene. All behandling fra Selskapet som en kontroller skal være i samsvar med Selskapets personvernerklæring som er angitt på [ https://www.breakcold.com/en/privacy-policy](https://www.breakcold.com/en/privacy-policy).

10.Konflikt

I tilfelle av konflikt eller inkonsekvens blant de følgende dokumentene vil rekkefølgen av prioritet være: (1) de relevante vilkårene i de standard kontraktsklausulene; (2) vilkårene i denne Avtalen; (3) Avtalen; og (4) Selskapets personvernerklæring. Enhver krav som fremsettes i forbindelse med denne Avtalen vil være underlagt vilkårene og betingelsene, inkludert blant annet unntakene og begrensningene som er angitt i Avtalen.

11.Uppfyllelse av avtalen og oppsigelse.

(a) Uten at det påvirker noen bestemmelser i forordning (EU) 2016/679 og/eller forordning (EU) 2018/1725, i tilfelle Selskapet bryter sine forpliktelser under denne Avtalen, kan Kunden instruere Selskapet om å suspendere behandlingen av personopplysninger inntil sistnevnte overholder denne Avtalen eller kontrakten er sagt opp. Selskapet skal raskt informere Kunden i tilfelle det ikke er i stand til å overholde denne Avtalen, uansett årsak.

(b) Kunden skal ha rett til å si opp kontrakten i den grad det gjelder behandling av personopplysninger i samsvar med denne Avtalen hvis: (1) behandlingen av personopplysninger av Selskapet er blitt suspendert av Kunden i henhold til punkt (a) og hvis overholdelse av denne Avtalen ikke er gjenopprettet innen en rimelig tid og i alle tilfeller innen én måned etter suspensjonen; (2) Selskapet er i vesentlig eller vedvarende brudd på denne Avtalen eller sine forpliktelser under forordning (EU) 2016/679 og/eller forordning (EU) 2018/1725; (3) Selskapet unnlater å overholde en bindende beslutning fra en kompetent domstol eller de kompetente tilsynsmyndigheter vedrørende sine forpliktelser i henhold til denne Avtalen eller til forordning (EU) 2016/679 og/eller forordning (EU) 2018/1725.

(c) Selskapet skal ha rett til å si opp kontrakten i den grad det gjelder behandling av personopplysninger i henhold til denne Avtalen hvis, etter å ha informert Kunden om at instruksjonene krenker gjeldende lovbestemte krav, Kunden insisterer på overholdelse av instruksjonene.

(d) Etter oppsigelse av kontrakten skal Selskapet, etter Kundens valg, slette alle personopplysninger behandlet på vegne av Kunden og bekrefte til Kunden at det har gjort det, eller returnere alle personopplysninger til Kunden og slette eksisterende kopier med mindre EU- eller medlemsstatslov krever oppbevaring av personopplysningene. Inntil dataene er slettet eller returnert, skal Selskapet fortsatt sikre overholdelse med denne Avtalen.

Vedlegg A

---------

Detaljer om behandling

Naturen og formålet med behandlingen

Selskapet vil behandle Kundens personopplysninger så nødvendig for å levere Tjenestene i henhold til Avtalen, for de formål som er angitt i Avtalen og denne Avtalen, og i samsvar med Kundens instruksjoner som angitt i denne Avtalen.

Varighet av behandlingen

Selskapet vil behandle Kundens personopplysninger så lenge som nødvendig (i) for å levere Tjenestene til Kunden i henhold til Avtalen; (ii) for Selskapets legitime forretningsbehov; eller (iii) i henhold til gjeldende lov eller forskrift. Kunde-kontodata og Kunde-bruksdata vil bli behandlet og lagret som angitt i Selskapets personvernerklæring.

Kategorier av registrerte personer

Kundens ansatte, konsulenter, kontraktører og/eller agenter.

Kategorier av personopplysninger

Selskapet behandler personopplysninger som finnes i Kunde-kontodata, Kunde-bruksdata, og alle personopplysninger levert av Kunden eller samlet inn av Selskapet for å levere Tjenestene eller som ellers angitt i Avtalen eller denne Avtalen. Kategorier av personopplysninger inkluderer navn, e-post, stilling, brukernavn, enhetsidentifikatorer (f.eks. serienummer), IP-adresse for selskapets enhet.

Sensitive data eller spesielle kategorier av data

Kunder er forbudt fra å levere sensitive personopplysninger eller spesielle kategorier av data til Selskapet, inkludert data som avslører kriminell historie for noen personer.

Vedlegg B

Følgende inkluderer informasjonen som kreves av vedlegg I og III til EU SCCer, og vedlegg 1 av UK SCC-er.

1.Partene

Data eksportør(er)

Navn: Den parten som har inngått vilkårene for tjenesten med Logike eller dets tilknyttede selskap (hvis aktuelt).

Adresse: Data eksportørens adresse.

Kontaktpersonens navn, stilling og kontaktopplysninger: Navn, stilling og kontaktopplysninger som er levert av Data eksportøren.

Aktiviteter relevante for dataene som overføres under disse klausulene: Som beskrevet i seksjon 2 i Avtalen.

Signatur og dato: Ved å bruke Tjenestene for å overføre personopplysninger til Data Importør, vil Data eksportøren bli ansett å ha signert dette Vedlegg B.

Rolle (kontroller/behandler): Kontroller

Data importør(er):

Navn: Logike

Adresse: 128 rue de la Boétie, 75008 Paris, FRANKRIKE

E-post: contact@breakcold.com

Aktiviteter relevante for dataene som overføres under disse klausulene: Som beskrevet i seksjon 2 i Avtalen.

Signatur og dato: Data importør vil bli ansett å ha signert dette Vedlegg B ved overføring av personopplysninger av Data eksportøren i forbindelse med Tjenestene.

Rolle (kontroller/behandler): Behandler

2.Beskrivelse av overføringen

Data registrerte

Data eksportøren kan sende personopplysninger til data importøren gjennom sin programvare, tjenester, systemer, produkter, og/eller teknologier, omfanget av hvilke bestemmes og kontrolleres av data eksportøren i samsvar med gjeldende databeskyttelseslover og forskrifter, og som kan inkludere, men ikke er begrenset til, personopplysninger relatert til følgende kategorier av dataregistrerte: Data eksportørens ansatte, konsulenter, kontraktører og/eller agenter.

Kategorier av personopplysninger

De personopplysningene som er overført angår følgende kategorier av data: Alle personopplysninger til enhver data og informasjon sendt av data eksportør til data importørens programvare, tjenester, systemer, produkter, og/eller teknologier, som kan omfatte navn, kontaktinformasjon, og informasjon om sikkerhetspraksis og samsvar.

Spesial kategorier av personopplysninger (hvis aktuelt)

Data eksportører er forbudt fra å gi sensitive data eller spesialkategorier til data importør.

Naturen av behandlingen

Data behandles for at Kunden skal administrere sine informasjonsikkerhets- og databeskyttelsesprogrammer og dokumentere nevnte programmer for tredjepartsrevisjon.

Formålene med behandlingen

For å oppfylle hver parts forpliktelser under Avtalen.

Varighet av behandlingen og oppbevaringen (eller kriteriene for å bestemme en slik periode)

I løpet av avtaleperioden av Avtalen.

Hyppighet av overføringen | I løpet av avtaleperioden av Avtalen på periodisk basis gjennom dagen og/eller etter kundens skjønn.

Mottakere av personopplysninger overført til data importøren

Selskapet vil opprettholde en liste over underbehandlere (Vedlegg D)

3\. Kompetent tilsynsmyndighet

Tilsynsmyndigheten skal være tilsynsmyndigheten til data eksportøren, som bestemt i henhold til klausul 13.

Vedlegg C

---------

Beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene som er implementert av data importøren

Følgende inkluderer informasjonen som kreves av vedlegg II til EU SCC-er og vedlegg 2 til UK SCC-er.

Tiltak for å sikre kontinuerlig konfidensialitet, integritet, tilgjengelighet og motstandskraft av behandlingssystemer og tjenester

Selskapets kundekontrakter inneholder strenge konfidensialitetsforpliktelser. I tillegg krever Selskapet at hver nedstrøm underbehandler signerer konfidensialitetsbestemmelser som er substansielt like de som finnes i Segment's kundekontrakter.

Tiltak for å sikre evnen til å gjenopprette tilgjengelighet og tilgang til personopplysninger på riktig måte i tilfelle en fysisk eller teknisk hendelse

Backupdatabasen lagres i en separat infrastruktur.. |

Tiltak for brukeridentifikasjon og autorisasjon

Selskapet har etablert sterke passordkrav og verifiserer at ingen av passordene som brukes har lekket. Brukere setter innlogging med Google som gir sikkerhetsfunksjoner som multifaktorautentisering.

Tiltak for beskyttelse av data under overføring

Selskapet har implementert sikre metoder og protokoller for overføring av konfidensiell eller sensitiv informasjon over offentlig nettverk. Selskapet bruker kun anbefalte sikre chifferarme og protokoller for å kryptere all trafikk i transitt (dvs. TLS 1.2)

Tiltak for å sikre fysisk sikkerhet på steder der personopplysninger behandles

Fysiske sikkerhetsforanstaltninger inkluderer gjerder, sikkerhetspatruljer, videokameraer, termiske kameraer, biometrisk autentisering, adgangskort, metalldetektorer, og mer.

Tiltak for å sikre hendelseslogging

Alle HTTP-forespørselene er logget. Overvåkning av sikkerhetslogger håndteres av ingeniørteamet. Logger aktiviteter undersøkes når nødvendig og eskaleres på passende måte.

Tiltak for å sikre systemkonfigurasjon, inkludert standardkonfigurasjon

Alle produksjonsendringer er automatisert gjennom kontinuerlig integrasjons- og distribusjonsverktøy for å sikre konsistente konfigurasjoner.

Tiltak for å sikre dataminimering

Selskapets kunder ensidig bestemmer hva Kundens personlig identifiserbare informasjon (PII) data de ruter gjennom Tjenestene. Som sådan opererer Selskapet på en delt ansvarlighetsmodell. Selskapet gir kunder kontroll over nøyaktig hva PII-data som kommer inn i plattformen. I tillegg har Selskapet bygget inn selvbetjeningsfunksjonalitet til Tjenestene som lar kunder slette og undertrykke PII etter eget skjønn.

Tiltak for å sikre datakvalitet

All programvare som brukes til å behandle Kundens personopplysninger går gjennom automatiserte tester og manuell pargjennomgang før de går i produksjon. Dataene må både passe databasenes skjema-struktur og formatvalideringer definert av applikasjonen. Det finnes en QA-pipeline for de mest kritiske dataene, med passende varsler i tilfelle dataene blir endret.

Tiltak for å sikre begrenset datalagring

Selskapet kunder ensidig bestemmer hva Kundens Data de ruter gjennom Tjenestene. Som sagt opererer Selskapet på en delt ansvarlighetsmodell. Hvis en Kunde ikke klarer å slette Kundens PII-data via selvbetjeningsfunksjonaliteten til Tjenestene, sletter Selskapet Kundens data etter Kunden skriftlige forespørsel, innen tidsrammen spesifisert i Databeskyttelsesavtalen og i samsvar med gjeldende databeskyttelseslov.

Tiltak for å sikre ansvarlighet

Selskapet har vedtatt tiltak for å sikre ansvarlighet, for eksempel ved å implementere databeskyttelses- og informasjonssikkerhetspolitikker på tvers av virksomheten, registrere og rapportere sikkerhetsincidenter som involverer personopplysninger, og formelt tildele roller og ansvar for informasjonssikkerhets- og databeskyttelsesfunksjoner. I tillegg utfører Selskapet regelmessige tredjepartsrevisjoner for å sikre overholdelse med våre personvern- og sikkerhetsstandarder.

Tiltak som tillater dataportabilitet og sikrer sletting

All PII i Tjenestene kan slettes av Kunden eller på Kundens forespørsel.

Tekniske og organisatoriske tiltak for underbehandlere

Selskapet inngår databehandlingsavtaler med sine autoriserte underbehandlere med databeskyttelsesforpliktelser som i stor grad er sammenlignbare med de som finnes i denne Avtalen.

Vedlegg D

---------

Underbehandlere

Logike engasjerer tredjepartsforetak for å utføre begrensede aktiviteter i forbindelse med Logike-tjenester.

Når Logike engasjerer tredjeparts tjenesteleverandører i vår kapasitet som databehandler for Logike-brukernes personopplysninger, kaller den generelle databeskyttelsesforordningen ("GDPR") disse leverandørene underbehandlere.

Navn / Data / Formål med behandlingen /Land

1°) Stripe Inc. / Brekacold-brukernes e-poster, fakturaadresse, betalingsinformasjon, transaksjoner, IP-adresser "Skyvårdsleverandør " / USA

2°) AWS / Breakcold-brukernes data "/ Skyvårdsleverandør / Frankfurt

3°) Azure / Breakcold-brukernes data / "Skyvårdsleverandør " / Frankfurt

4°) Fly.io, Inc. / Breakcold-brukernes data / "Skyvårdsleverandør / Frankfurt

5°) Functional Software, Inc. (Sentry)/ Breakcold-brukernes data/ "Applikasjonsytelsesovervåking "/ USA

6°) PostHog, Inc./ Breakcold-brukernes data / Applikasjonsytelsesovervåking / Frankfurt

7°) Elasticsearch B.V. / Breakcold-brukernes data / Skyvårdsleverandør / Frankfurt

8°) Cloudflare, Inc. / Breakcold-brukernes data / Innholdsleveringsnettverk / USA

9°) SplitBee (Vercel Inc. ) / Breakcold-brukernes data / Applikasjonsanalyse / USA

10°) Vercel Inc / Breakcold-brukernes data / Skyvårdsleverandør / USA

11°) Upstash Inc / Breakcold-brukernes data / Skyvårdsleverandør / USA

12°) Firebase (Google Cloud Platform, Google LLC) / Breakcold-brukernes data / Skyvårdsleverandør / USA