VEDLEGG Nr. 3 til bruksvilkårene: Avtale om databehandling

Gyldig fra og med 26. november 2025

Denne avtalen om databehandling gjelder mellom deg og ESET når du behandler personopplysninger som behandlingsansvarlig gjennom bruk av ESET-tjenester som ytes i henhold til vilkårene, og ESET behandler slike personopplysninger på dine vegne som databehandler.

I henhold til kravene i forordning (EU) 2016/679 av Europaparlamentet og Rådet av 27. april 2016 om beskyttelse av fysiske personer med hensyn til behandling av personopplysninger og om fri flyt av slike opplysninger, som opphever direktiv 95/46/EC («GDPR«), ESET («databehandleren«) og deg («behandlingsansvarlig«) inngår et databehandlingsavtaleforhold for å definere vilkårene for behandling av personopplysninger, måten de skal beskyttes på, samt definere andre rettigheter og plikter for begge parter i behandlingen av personopplysninger tilhørende registrerte på vegne av den behandlingsansvarlige i forbindelse med oppfyllelsen av det som er gjenstand for disse vilkårene som hovedavtale.

1. Behandling av personopplysninger. Tjenestene som leveres i samsvar med disse vilkårene inkluderer behandling av informasjon knyttet til en identifisert eller identifiserbar fysisk person på vegne av den behandlingsansvarlige, som spesifisert i personvernerklæringen («personopplysninger»).

2. Autorisasjon. Behandlingsansvarlig autoriserer databehandler til å behandle personopplysninger, inkludert følgende instruksjoner:

(i) Formålet med behandlingen skal bety levering av tjenester i samsvar med disse vilkårene og dokumentasjonen. Databehandler har kun lov til å behandle personopplysninger på vegne av behandlingsansvarlig vedrørende levering av tjenester forespurt av behandlingsansvarlig. All informasjon som samles inn for ytterligere formål, behandles utenfor kontraksforholdet mellom behandlingsansvarlig og databehandler.

(ii) behandlingsperiode skal bety perioden fra samarbeidet inngås i henhold til disse vilkårene til det opphører.

(iii) Omfang og kategorier av personopplysninger skal bety alle personopplysninger som oppgis eller gjøres tilgjengelig av behandlingsansvarlig under ytelsen av tjenester. Tjenestene er kun ment for behandling av generelle personopplysninger. Behandlingsansvarlig er imidlertid eneansvarlig for fastsettelsen av omfanget av personopplysninger.

(iv) Den registrerte skal bety en fysisk person som er autorisert bruker av den behandlingsansvarliges enheter som tjenestene leveres for.

(v) Behandlingsaktiviteter skal bety enhver virksomhet som er nødvendig for behandling.

(vi) Dokumenterte instruksjoner skal bety instruksjoner beskrevet i disse vilkårene, vedleggene, personvernerklæringen og dokumentasjonen. Behandlingsansvarlig skal være ansvarlig for at databehandlers behandling av personopplysninger er juridisk tillatt i henhold til de gjeldende bestemmelsene i personvernlovgivningen.

3. Databehandlers forpliktelser. Databehandler skal være forpliktet til å:

(i) behandler personopplysninger bare på grunnlag av dokumenterte instruksjoner og i samsvar med formålet med behandlingen,

(ii) instruere personene som er autorisert til å behandle personopplysningene («autoriserte personer») om deres rettigheter og plikter i henhold til GDPR, om deres ansvar i tilfelle brudd og sørge for at autoriserte personer har forpliktet seg til taushetsplikt og følger de dokumenterte instruksjonene.

(iii) ta alle tiltak knyttet til sikkerheten ved behandling som kreves i henhold til artikkel 32 i GDPR, med hensyn til toppmoderne teknologi, gjennomføringsomkostninger og arten, omfanget, sammenhengen og formålene med behandlingen, samt risikoen for varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter, for å sikre et sikkerhetsnivå ved behandling av behandlingsansvarliges personopplysninger som er passende for risikoen,

(iv) ta hensyn til behandlingens art, bistå den behandlingsansvarlige med å svare på forespørsler fra den registrerte knyttet til dens rettigheter. Databehandler skal ikke korrigere, slette eller begrense behandlingen av personopplysninger uten instruks fra behandlingsansvarlig. Alle forespørsler fra den registrerte relatert til personopplysninger behandlet på vegne av behandlingsansvarlig skal videresendes til behandlingsansvarlig uten forsinkelser.

(v) bistå behandlingsansvarlig med å varsle tilsynsmyndigheten og den registrerte om brudd på personopplysningssikkerheten. Databehandler skal varsle behandlingsansvarlig om ethvert brudd ved behandling av personopplysninger eller personopplysningssikkerhet umiddelbart etter oppdagelsen. Databehandler skal samarbeide i rimelig grad i en undersøkelse og avhjelpning av et slikt brudd, og treffe rimelige tiltak for å begrense ytterligere negative konsekvenser.

(vi) slette eller returnere, etter den behandlingsansvarliges valg, alle personopplysningene til den behandlingsansvarlige etter slutten av behandlingsperioden. Behandlingsansvarlig forplikter seg til å informere databehandler om sin beslutning innen ti (10) dager etter utløpet av behandlingsperioden. Denne bestemmelsen skal ikke påvirke databehandlers rett til å beholde personopplysningene i nødvendig grad for arkivformål i allmennhetens interesse, for vitenskapelig forskning, statistiske formål eller med det formål å fastsette, gjøre gjeldende eller forsvare rettskrav.

(vii) føre et oppdatert register over alle kategorier av behandlingsaktiviteter som utføres på vegne av behandlingsansvarlig,

(viii) gjøre all informasjon som er nødvendig for å demonstrere overholdelse som en del av vilkårene, vedleggene, personvernerklæringen og dokumentasjonen tilgjengelig for behandlingsansvarlig. I tilfelle revisjon eller kontroll av behandlingen av personopplysninger fra den behandlingsansvarliges side, skal den behandlingsansvarlige være forpliktet til å informere databehandleren skriftlig minst tretti (30) dager før den planlagte revisjonen eller kontrollen.

4. Engasjering av en annen databehandler. Databehandleren har generelt rett til å engasjere en annen databehandler til å utføre spesifikke behandlingsaktiviteter, for eksempel levering av skylagring og infrastruktur for tjenesten, i samsvar med vilkårene, vedleggene, personvernerklæringen og dokumentasjonen. I et slikt tilfelle skal databehandler fortsatt være det eneste kontaktpunktet og den parten som er ansvarlig for overholdelse. Databehandler forplikter seg herved til å informere behandlingsansvarlig om ethvert tillegg eller erstatning av en annen databehandler med henblikk på muligheten til å motsette seg en slik endring. De for tiden involverte underbehandlerne spesifiseres i databehandlers personvernerklæring.

5. Behandlingsområde. Databehandler sikrer at behandlingen finner sted i Det europeiske økonomiske samarbeidsområdet eller et land utpekt som trygt av EU-kommisjonens beslutning basert på den behandlingsansvarliges beslutning. Standard kontraktsklausuler skal gjelde ved tilfeller av overføringer og behandling som befinner seg utenfor Det europeiske økonomiske samarbeidsområdet eller et land som er utpekt som trygt av EU-kommisjonens beslutning på forespørsel fra behandlingsansvarlig.

6. Sikkerhet. Databehandler er ISO 27001-sertifisert og bruker rammeverket til ISO 27001 for å implementere en sikkerhetsstrategi med lagdelt forsvar ved bruk av sikkerhetskontroller på laget til nettverket, operativsystemene, databasene, programmene, personellet og driftsprosessene. Overholdelse av regulatoriske og kontraktsmessige krav vurderes regelmessig og gjennomgås på samme måte som annen infrastruktur og drift av databehandleren, og nødvendige tiltak iverksettes for å sikre samsvar på kontinuerlig basis. Databehandler har organisert datasikkerheten ved hjelp av ISMS basert på ISO 27001. Sikkerhetsdokumentasjonen omfatter hovedsakelig retningslinjedokumenter for informasjonssikkerhet, fysisk sikkerhet, sikring av utstyr, hendelseshåndtering, håndtering av datalekkasjer og sikkerhetshendelser osv.

7. Tekniske og organisatoriske tiltak. Databehandler skal beskytte personopplysningene mot tilfeldig og ulovlig skade og ødeleggelse, tilfeldig tap, endring, uautorisert tilgang og utlevering. For dette formålet skal databehandler treffe egnede tekniske og organisatoriske tiltak som samsvarer med behandlingsmåten og risikoen ved behandling for rettighetene til de registrerte i samsvar med kravene i GDPR. En detaljert beskrivelse av de tekniske og organisatoriske tiltakene er angitt i sikkerhetsretningslinjene.

8. Databehandlers kontaktopplysninger. Alle varsler, forespørsler, krav og annen kommunikasjon vedrørende beskyttelse av personopplysninger skal rettes til ESET, spol. s.r.o., merket: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.