Standardavtalsklausuler

Vi har utformat denna DPA så att alla möjliga kombinationer av standardavtalsklausuler (SCCs) omfattas. Alla kanske inte gäller för dig. För ytterligare klarhet:  

California Consumer Privacy Act (CCPA) 

Vi har uppdaterat denna DPA i enlighet med ändringarna av CCPA till följd av California Privacy Rights Act (CPRA). Vi accepterar inga kundändringar av denna DPA. 

Detta Momentive-avtal för databehandling (”DPA”) ingår i ditt Avtal med Momentive och innehåller vissa termer relaterade till dataskydd, integritet och säkerhet i enlighet med dataskyddslagstiftningen, i tillämpliga fall. I händelse av en konflikt (och enbart i denna utsträckning) mellan de olika lagarna och föreskrifterna om dataskydd, skall parterna uppfylla de strängare kraven eller den högre standarden vilket vid en eventuell tvist i detta hänseende, ska avgöras enbart av Momentive. 

Detta DPA är upprättat mellan Kunden och tillämplig enhet på Momentive som fastställs på följande vis: 

(i) för Kunder som är belägna i något annat land än USA ska Momentive Europe UC vara den avtalsslutande enheten, 

(ii)  för Kunder belägna i USA ska Momentive Inc. vara den avtalsslutande enheten. 

Detta är den senaste versionen av DPA (daterad 1 januari 2023). 

I detta DPA ska, om inte annat följer av sammanhanget, följande uttryck ha följande betydelser: 

“Avtal” avser ett avtal mellan Momentive Inc. eller Momentive Europe och en kund beträffande Tjänsterna. Ett sådant avtal kan ha olika titlar, t.ex. “Beställningsformulär”, “Säljorder”, “Användarvillkor” eller “Huvudavtal för tjänster”. 

”Artikel 28” innebär artikel 28 i dataskyddsförordningen (GDPR) och UK GDPR och gäller vid behandling av Kundpersonuppgifter. 

”Kunden” eller ”du” avser den kund som identifieras i och/eller är en part i Avtalet. 

”Kunddata” innebär alla data (inklusive men inte begränsat till Kundpersonuppgifter) som tillhandahålls till Momentive av Kunden eller å Kundens vägnar genom Kundens användning av Tjänsterna och data som tredje parter skickar till Kunden via Tjänsterna. 

”Kundpersonuppgifter” innebär alla personuppgifter som skickas till Tjänsterna av eller till en Kund, som behandlas av Momentive i syfte att leverera Tjänsterna till Kunden, inklusive men inte begränsat till de personuppgifter som beskrivs i Bilaga 2 i denna DPA. 

”Dataskyddslagstiftning” avser: 
(i) dataskyddsförordningen (förordning (EU) 2016/679)("GDPR") och alla andra tillämpliga lagar och förordningar i medlemsstater i EU, EEA eller på EU:s inre marknad eller eventuell uppdatering, tillägg eller ersättning av densamma som gäller  behandling av personuppgifter under Avtalet,

(ii) den schweiziska federala lagen om dataskydd ("FADP"), eller den nya federala lagen om dataskydd som träder i kraft den 1 januari 2023 ("nFADP");

(iii) alla amerikanska lagar och bestämmelser som gäller  behandling av personuppgifter under Avtalet inklusive men inte begränsat till California Consumer Privacy Act of 2018 (Cal. Civ. Code §§ 1798.100 - 1798.199)("CCPA"); 

(iv) alla lagar och föreskrifter som gäller behandling av personuppgifter enligt Avtalet som från tid till annan finns i Storbritannien (inklusive UK GDPR); och

(v) Personal Information Protection and Electronic Documents Act ("PIPEDA") eller eventuell uppdatering, tillägg eller ersättning av densamma som gäller bearbetning av personuppgifter i Kanada.

Termerna "personuppgiftsansvarig”, "konsekvensbedömning avseende uppgiftsskydd", “behandling”, “behandla”, “personuppgiftsbiträde”, "tillsynsmyndighet" har samma innebörd som i dataskyddsförordningen eller UK GDPR.

”Momentive” eller ”oss” avser, i samband med kunder i USA, Momentive Inc. och, i samband med kunder utanför USA, Momentive Europe. 

”Momentive Europe” avser Momentive Europe UC, ett irländskt bolag, med säte på 2 Shelbourne Buildings, Second Floor, Shelbourne Road, Dublin 4, Irland. 

”Momentive Inc.” avser Momentive Inc., ett Delaware-bolag med säte på One Curiosity Way, San Mateo, CA 94403, USA.  

”Momentive sekretessmeddelande” avser Momentives sekretessmeddelande på https://sv.surveymonkey.com/mp/legal/privacy/.

”Personuppgifter” innebär information relaterad till en levande person som skäligen kan identifieras via information, antingen separat eller tillsammans med annan information (”den registrerade”).

”Tjänster” avser tjänsterna som beställs av Kunden från Momentive under Avtalet. 

”SCCs” innebär ”standardavtalsklausulerna” som är bifogade till Europakommissionens beslut daterat: i) 4 juni 2021 om standardavtalsklausuler för överföring av personuppgifter till tredje land enligt dataskyddsförordningen eller ii) (fram till att Momentive har ingått i standardavtalsklausulerna som beskrivs i  i)), 5 februari 2010 för överföring av Kundpersonuppgifter till personuppgiftsbiträden baserade i tredje land enligt direktiv 95/46/EG). Där FADP/nFADP gäller ska alla hänvisningar som görs i SCCs tolkas som motsvarande hänvisningar till FADP/nFADP. Alla termer som används i detta sammanhang ska därför få definitionen som tillhandahålls i FADP/nFADP.

”Storbritanniens tillägg" innebär (i) tillägget som utfärdades av brittiska ICO (informationskommissionären) och lades fram för Storbritanniens parlament i enlighet med avsnitt 119A i UK Data Protection Act 2018 den 2 februari 2022, i dess från tid till annan ändrade form enligt avsnitt 18 i de obligatoriska klausulerna. Där tillägget som refereras i denna definition innebär dokumentet med namnet: International Data Transfer Addendum to the EU Commission Standard Contractual, version B1.0, som trädde i kraft 21 mars 2022; eller (ii) (fram till att Momentive har ingått i tillägget för Storbritannien som beskrivs i (i)), Europakommissionens beslut från 5 februari 2010 för överföring av kunders personuppgifter till personuppgiftsbiträden baserade i tredje land enligt direktiv 95/46/EG.

"UK GDPR" innebär EU:s GDPR som utgör en del av lagarna i England och Wales, Skottland och Nordirland enligt avsnitt 3 i European Union (Withdrawal) Act 2018 och i dess ändrade form av Data Protection, Privacy and Electronic Communications (tillägg etc.) (EU Exit) Regulation 2019 respektive 2020 och lagstiftning som gäller i Storbritannien från tid till annan som i ett senare skede ändrar eller ersätter UK GDPR.

Vid tillhandahållandet av Tjänsterna till Kunden är Momentive ett personuppgiftsbiträde med avseende på Kundpersonuppgifter i den mening som avses i dataskyddsförordningen. Med hänsyn till CCPA, där det är tillämpligt, är Momentive och Kunden härmed överens om att Momentive är en "Tjänstleverantör" och Kunden är "Företaget" när det gäller Personuppgifter (enligt definitionen i CCPA).

Detta DPA ska gälla tills Avtalet sägs upp (i enlighet med dess villkor) eller löper ut. 

Kunden ska försäkra sig om att den har rätt att överföra Kunddata till Momentive, och utfäster härmed att sådan rätt finns, så att Momentive lagligen kan behandla och överföra dessa personuppgifter i enlighet med detta DPA. Kunden ska se till att alla relevanta registrerade personer har underrättats beträffande sådan användning, behandling och överföring i enlighet med kraven i Dataskyddslagstiftningen och att lagliga samtycken har erhållits (i tillämpliga fall). Kunden ska se till att all behandling eller överföring av personuppgifter till Momentive sker på lagligt och korrekt sätt.

När Momentive behandlar Kundpersonuppgifter åt Kunden i egenskap av personuppgiftsbiträde kommer Momentive att:

(a) enbart att göra det enligt dokumenterade kundinstruktioner och i enlighet med Dataskyddslagstiftningen, inklusive med hänsyn till överföringar av personuppgifter till andra jurisdiktioner eller en internationell organisation, och parterna samtycket till att Avtalet utgör sådana dokumenterade instruktioner från Kunden till Momentive för behandling av Kundpersonuppgifter (inklusive till platser utanför EES) tillsammans med andra rimliga instruktioner som tillhandahålls av Kunden till Momentive (t.ex. via e-post) om sådana instruktioner är förenliga med Avtalet; 

(b) se till att all Momentive-personal som är involverad i behandlingen av Kundpersonuppgifter omfattas av sekretesskrav i fråga om personuppgifterna; 

(c) tillhandahålla information som är nödvändig för att Kunden ska kunna visa att den uppfyller sina skyldigheter enligt artikel 28 (om den är tillämplig på Kunden), om sådan information innehas av Momentive och inte på annat sätt är tillgänglig för Kunden via konto- och användarområden eller på Momentives webbplatser, förutsatt att kunden ger Momentive ett skriftligt meddelande om en sådan begäran om information med minst 14 dagars varsel;

(d) samarbeta i enlighet med vad Kunden rimligen begär för att göra det möjligt för Kunden att uppfylla alla krav beträffande registrerad persons utövande av rättigheter som följer av Dataskyddslagstiftningen med hänsyn till personuppgifter som behandlas av Momentive vid tillhandahållandet av Tjänsterna; 

(e) vid behov bistå vid förfrågningar som kommer direkt från en registrerad person med avseende på dennes personuppgifter som lämnats in via Tjänsterna;

(f) inte behålla Kundpersonuppgifter från ditt konto efter att du har raderat dem, annat än för att följa tillämpliga lagar och förordningar samt på det sätt som de i övrigt kan sparas i rutinmässiga säkerhetskopior som görs för katastrofåterställning och kontinuitet i enlighet med vår datalagringspolicy.; 

(g) samarbeta med en tillsynsmyndighet eller ett organ som ersätter eller efterträder sådan myndighet från tid till annan (eller, i den mån Kunden kräver det, med en annan tillsynsmyndighet för dataskydd eller integritetsskydd i enlighet med Dataskyddslagstiftningen) vid utförandet av en sådan tillsynsmyndighets uppgifter när så krävs; 

(h) bistå Kunden på det sätt som skäligen krävs när Kunden: 

(i) genomför en konsekvensbedömning av dataskyddet för Tjänsterna (vilket kan inbegripa tillhandahållande av dokumentation så att kunden kan utföra sin egen bedömning), eller

(ii) är skyldig att anmäla en Säkerhetsincident (enligt definitionen nedan) till en tillsynsmyndighet eller en relevant registrerad person

(i) kommer inte (a) att sälja eller dela Personuppgifter (enligt definitionen i CCPA) i kommersiellt syfte, eller (b) samla in, lagra, använda, avslöja eller på annat sätt behandla Personuppgifter utom (1) i syfte att uppfylla sina skyldigheter gentemot Kunden under Avtalet, (2) på Kundens vägnar, (3) För kundens operativa ändamål, (4) för Momentives interna användning i den mån det är tillåtet enligt Dataskyddslagstiftningen, (5) för att upptäcka datasäkerhetsincidenter eller skydda mot bedräglig eller olaglig verksamhet, eller (6) i den mån det annars är tillåtet enligt Dataskyddslagstiftningen; 

(j) Om det krävs enligt Dataskyddslagstiftningen kommer Momentive att underrätta Kunden om det kommer till dess kännedom att instruktioner som Kunden har fått bryter mot bestämmelserna i Dataskyddslagstiftningen. Utan hinder av föregående har Momentive ingen skyldighet att övervaka eller granska lagligheten av instruktioner som mottagits från Kunden, och

(k) Momentive intygar att företaget förstår de begränsningar och skyldigheter som anges i detta DPA och att det kommer att följa dem. 

6.1 Behandling av underentreprenörer. Kunden ger Momentive ett allmänt tillstånd att anlita vidare underentreprenörer, under förutsättning att kraven i detta Avsnitt 6 uppfylls.

6.2 Underentreprenörslista. Momentive kommer, med förbehåll för sekretessbestämmelserna i Avtalet eller andra krav från Momentive, att:

(a) göra en lista tillgänglig för Kunden, med Momentives underentreprenörer som är inblandade i behandling av Kundpersonuppgifter i samband med tillhandahållande av Tjänsterna (”Underentreprenörer”), tillsammans med en beskrivning av typen av tjänster som tillhandahålls av varje underentreprenör (”Underentreprenörslista”). En kopia av denna lista kan begäras här; 

(b) säkerställa att alla Underentreprenörer på Underentreprenörslistan är bundna av avtalsvillkor som i alla väsentliga avseenden inte är mindre stränga än de villkor som finns i detta DPA, och 

(c) vara ansvarigt för sina underentreprenörers handlingar och försummelser i samma utsträckning som Momentive skulle vara ansvarigt om de utförde varje Underentreprenörs tjänst direkt i enlighet med villkoren i detta DPA, utom i de fall då annat anges i Avtalet. 

6.3 Nya/Ersättande underentreprenörer.  Momentive kommer skriftligen att informera Kunden om nya eller ersättande underentreprenörer närhelst detta inträffar under avtalstiden (”Meddelande om ny underentreprenör”). Kunden registrerar sig för en mejlinglista som görs tillgänglig av Momentive som skickar sådana meddelanden via e-post eller kontrollerar om listan har uppdaterats här. Om Kunden har en välgrundad anledning att invända mot Momentives användning av en ny underentreprenör ska Kunden skriftligen meddela Momentive utan dröjsmål och i samtliga fall inom 30 dagar efter mottagande av meddelande om ny underentreprenör. I händelse av sådan välgrundad anledning kan antingen Kunden eller Momentive säga upp den del av ett avtal som relaterar till Tjänsterna som inte skäligen kan tillhandahållas utan den nya underentreprenör som kunden har invändningar mot (vilket efter Momentives gottfinnande och val, kan involvera uppsägning av hela Avtalet) med omedelbar verkan genom att skriftligt meddela den andra parten. En sådan uppsägning inkluderar inte rätt till återbetalning av eventuella avgifter som Kunden har betalat i förskott för perioden efter uppsägningen.

7.1 Säkerhetsåtgärder. Momentive har, med hänsyn till den senaste tekniken, kostnaden för genomförandet och Tjänsternas art, omfattning, sammanhang och ändamål samt risknivån, genomfört lämpliga tekniska och organisatoriska åtgärder (i enlighet med Bilaga 1) för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken för obehörig eller olaglig behandling, oavsiktlig förlust av och/eller skada på Kunddata. Med rimliga intervall testar och utvärderar Momentive effektiviteten hos dessa tekniska och organisatoriska åtgärder för att säkerställa att behandlingen sker på säkert sätt.

7.2 Meddelande om säkerhetsincidenter och överträdelser. Om Momentive får kännedom om obehörig eller olaglig åtkomst till, eller förvärv, ändring, användning, avslöjande eller förstörelse av Kundpersonuppgifter (“Säkerhetsincident”), kommer Momentive att vidta rimliga åtgärder för att utan onödigt dröjsmål underrätta Kunden. En säkerhetsincident omfattar inte misslyckade försök eller aktiviteter som inte äventyrar personuppgifternas säkerhet, inklusive misslyckade inloggningsförsök, pings, portskanningar, överbelastningsattacker eller andra nätverksattacker mot brandväggar eller nätverkssystem. Ett eventuellt meddelande till Kunden beträffande en säkerhetsincident innebär inte att Momentive accepterar något ansvar.

7.3 Momentive kommer också att på ett rimligt sätt samarbeta med Kunden i samband med eventuella utredningar som rör en Säkerhetsincident, förbereda alla nödvändiga meddelanden och tillhandahålla all information som rimligen begärs av Kunden i samband med en Säkerhetsincident. 

8.1 Revisioner. När Momentive behandlar Kundpersonuppgifter (enbart) i egenskap av personuppgiftsbiträde, kommer Kunden att ge Momentive minst en månads skriftligt förhandsbesked beträffande eventuell revision, vilken kan utföras av Kunden eller en oberoende revisor som utsetts av Kunden (under förutsättning att ingen person som utför revisionen är eller agerar på uppdrag av en konkurrent till Momentive.) (”Revisor”). Revisionens omfattning är följande:

(a) Kunden har endast rätt att utföra en revision en gång per abonnemangsår om inte en tillsynsmyndighet med etablerad auktoritet över kunden kräver att den utför eller underlättar utförandet av mer än 1 revision under samma år (under dessa omständigheter kommer kunden och Momentive att, före sådan eventuell revision, komma överens om en rimlig ersättningsnivå för Momentives revisionskostnader).

(b) Momentive samtycker till att, med förbehåll för lämpliga och rimliga sekretessbegränsningar, tillhandahålla bevis för alla certifieringar och standarder för efterlevnad som företaget upprätthåller och kommer på begäran att göra en sammanfattning av Momentives senaste årliga penetrationstester tillgänglig för kunden, vilken sammanfattning ska omfatta korrigerande åtgärder som Momentive vidtagit till följd av sådana penetrationstester. 

(c) En revision kommer att begränsas till Momentives system, processer och dokumentation som är relevanta för behandling och skydd av Kundpersonuppgifter, och Revisorerna kommer att genomföra revisioner med förbehåll för eventuella lämpliga och rimliga sekretessbegränsningar som Momentive begär.

(d) Kunden ska omedelbart underrätta Momentive och konfidentiellt förse Momentive med fullständig information om eventuella brister i efterlevnad eller säkerhetsproblem som upptäcks i samband med en revision.

8.2 Parterna samtycker till att, om inte annat krävs, enligt beslut eller annat bindande dekret från en tillsynsmyndighet eller reglerande myndighet som har auktoritet över Kunden, så innehåller detta Avsnitt 8 hela omfattningen av Kundens revisionsrättigheter gentemot Momentive.

9.1 I den utsträckning det är tillämpligt, för överföring av Kundpersonuppgifter från Europeiska ekonomiska samarbetsområdet ("EES"), Schweiz eller Storbritannien till platser utanför EES, Schweiz och Storbritannien (antingen direkt eller via vidare överföring) som inte har tillräckligt dataskydd såsom fastställts av Europakommissionen eller relevant dataskyddslagstiftning, förlitar Momentive sig på:

(a) SCCs; och

(b) för överföringar som lyder under UK GDPR, Storbritanniens tillägg; eller

(c) andra lämpliga skyddsåtgärder, eller normer (i tillämplig begränsad utsträckning),som specificeras eller tillåts enligt Dataskyddslagstiftningen. 

9.2 Där det krävs ingår parterna härmed i standardavtalsklausulerna (en kopia av dessa finns att tillgå här) och Storbritanniens tillägg (Bilaga 3). Standardavtalsklausulerna infogas i detta Avtal genom hänvisning och ska gälla enligt följande: 

(a) där Kunden har ett avtal med Momentive Inc. i USA enligt Avtalet för tjänster och är personuppgiftsansvarig för Kundpersonuppgifter och genom användning av Tjänsterna överför dessa Kundpersonuppgifter från EES till platser som inte anses tillhandahålla tillräckligt skydd av personuppgifter enligt Europakommissionen, ingår Momentive i SCCs som uppgiftsinförare och Kunden ingår i SCCs som uppgiftsutförare och endast Modul två av SCCs gäller; och/eller

(b) där Kunden har ett avtal med Momentive Inc. i USA enligt Avtalet för tjänster och är personuppgiftsbiträde för Kundpersonuppgifter och genom användning av Tjänsterna överför dessa Kundpersonuppgifter från EES till platser som inte anses tillhandahålla tillräckligt skydd av personuppgifter enligt Europakommissionen, ingår Momentive i SCCs som uppgiftsinförare och Kunden ingår i SCCs som uppgiftsutförare och endast Modul tre av SCCs gäller; och/eller

(c) där Kunden inte är bosatt i EES och har ett avtal med Momentive Europe UC för att lagra Kundpersonuppgifter inom EES enligt Avtalet och är personuppgiftsansvarig för Kundpersonuppgifter och genom användning av Tjänsterna överför dessa personuppgifter från EES till platser som inte anses tillhandahålla tillräckligt skydd av personuppgifter enligt Europakommissionen, ingår Momentive i SCCs som uppgiftsutförare och Kunden ingår i SCCs som uppgiftsinförare och endast Modul fyra av SCCs gäller; och

(d) i Klausul 7 gäller den valfria dockningsklausulen;

(d) i Klausul 11 gäller inte det valfria språket;

(f) i Klausul 17 ska SCCs regleras av irländsk lag;

(g) i Klausul 18 ska tvister lösas vid domstol i Irland; och

(h) Bilaga I och II av SCCs ska anses vara fullständiga med informationen som framställs i Avtalet och detaljerna som tillhandahålls i bilagorna till denna DPA.

9.3 För överföringar som skyddas av FADP/nFADP ska standardavtalsklausulerna gälla i enlighet med Avsnitt 9.2 ovan, förutom att: 

(a) eventuella hänvisningar i SCCs till DSF ska tolkas som hänvisningar till FADP/nFADP;  

(b) eventuella hänvisningar till ”EU”, ”Union” och ”Medlemsstaternas lagstiftning” ska tolkas som hänvisningar till Schweiz och schweizisk lag; och  

(c ) eventuella hänvisningar till "behörig tillsynsmyndighet" och "behöriga domstolar" ska tolkas som hänvisningar till relevanta dataskyddsorgan och domstolar i Schweiz, såvida inte SCCs, implementerade enligt ovanstående beskrivning, inte kan användas för att lagligt överföra sådana Kundpersonuppgifter i enlighet med FADP/nFADP. I sådana fall ska de schweiziska SCCs istället infogas genom hänvisning och utgöra en integrerad del av denna DPA och ska gälla för sådana överföringar. När det gäller de schweiziska SCCs ska de relevanta Bilagorna i de schweiziska SCCs fyllas i med användning av den information som finns i Bilaga I och II i denna DPA (i tillämpliga fall) och de tolkningsbestämmelser som beskrivs i detta Avsnitt 9.3 ska gälla (i tillämpliga fall och enligt vad som krävs för att uppfylla kraven i FADP/nFADP).  

9.4 Vid skriftlig begäran och i enlighet med bestämmelserna i standardavtalsklausulerna eller Storbritanniens tillägg (i tillämpliga fall) ska Momentive tillhandahålla kopior av standardavtalsklausulerna eller Storbritanniens tillägg som ingår i avtalet till uppgiftsinförare, i sin kapacitet som personuppgiftsbiträde till Kunden.

10.1 Ansvar för datahantering. Varje Parts totala ansvar för alla eventuella anspråk, oavsett om det rör sig om avtalsbrott, skadestånd (inklusive vårdslöshet), brott mot lagstadgad skyldighet eller annat som uppstår till följd av eller i samband med detta DPA, ska vara det som anges i Avtalet, såvida inte parterna skriftligen har avtalat om något annat.

10.2 Konflikt. I händelse av konflikt eller tvetydighet mellan: (i) villkoren i detta DPA och villkoren i Avtalet, med avseende på föremålet för detta DPA, ska villkoren i detta DPA ha företräde, (ii) villkoren i eventuell bestämmelse i detta DPA och eventuell bestämmelse i standardavtalsklausulerna, ska bestämmelsen i standardavtalsklausulerna ha företräde.

10.3. Oberoende behandling. Kunden är ensam ansvarig för sin egen efterlevnad av dataskyddslagstiftning när det gäller eventuell oberoende insamling och behandling av personuppgifter som inte är relaterad till Tjänsterna. Kunden kommer att tillhandahålla sina egna tydliga sekretessmeddelanden som på ett korrekt sätt beskriver hur de gör detta och Momentive tar inte ansvar för någon hantering av personuppgifter av Kunden i dessa omständigheter. Kunden håller härmed Momentive fullständigt skadeslöst för alla eventuella anspråk eller ansvar som kan uppkomma som resultat av sådan insamling och användning av personuppgifter av dem i dessa omständigheter.

10.4 Hela avtalet. Avtalet (som innefattar detta DPA) och eventuella beställningsformulär utgör hela avtalet mellan parterna och ersätter alla eventuella tidigare eller samtidiga avtal eller villkor, både skriftliga och muntliga, som rör ämnet. Var och en av parterna bekräftar att de inte har förlitat sig på några framställningar som inte finns med i Avtalet och som har föranlett dem att ingå Avtalet.

10.5 Särskiljande. Om någon del av denna DPA anses vara ogenomförbar av en behörig domstol skall denna del bedömas vara särskiljbar från resten av villkoren, som ska förbli giltiga fullt ut. Ingenting i denna DPA syftar till, eller ska avses, utgöra något partnerskap eller samriskverksamhet mellan någon av parterna, och ger inte heller någon part rätt att ingå åtaganden för eller på någon annan parts vägnar förutom vad som uttryckligen anges här.

10.6 Elektronisk kopia. DPA levereras som ett elektroniskt dokument.

10.7 Tillämplig lag. Detta DPA lyder under gällande lagar i Irland och parterna underkastar sig de irländska domstolarnas exklusiva jurisdiktion (i samband med alla avtalsrättsliga och utomobligatoriska tvister), utom när det gäller påstådda överträdelser eller överträdelser av nuvarande eller framtida integritetslagar, regleringar, standarder, tillsynsvägledning och riktlinjer för självreglering på delstatsnivå eller federal nivå i USA, i vilket fall Kaliforniens lagar ska gälla, såvida inte annat föreskrivs i lag.

Beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna som implementeras av Momentive 

Momentive kommer att upprätthålla lämpliga administrativa, fysiska och tekniska skyddsmekanismer (“Skyddsmekanismer”) för att skydda säkerheten, konfidentialiteten och integriteten hos de personuppgifter som tillhandahålls för tillhandahållandet av tjänsterna till Kunden. 

Skyddsmekanismerna innefattar följande: 

(a) Domän: Organisation för informationssäkerhet.

(i) Säkerhetsroller och ansvarsområden. Momentives personal som har tillgång till uppgifter omfattas av sekretesskrav.

(ii) Riskhanteringsprogram. Momentive gör vid behov en riskbedömning innan uppgifterna behandlas.

(b) Domän: Resursförvaltning

(i) Resurshantering.

(1) Momentive har upprättade rutiner för bortskaffande av tryckt material som innehåller Kunddata.

(2) Momentive upprätthåller en inventering av all hårdvara på vilken Kunddata lagras.

(c) Domän: Personalresurser Säkerhet.

(i) Säkerhetsutbildning.

(1) Momentive underrättar sin personal angående relevanta säkerhetsförfaranden och deras respektive roller. Momentive underrättar även sin personal angående möjliga konsekvenser av att bryta mot säkerhetsreglerna och förfarandena.

(d) Domän: Fysisk och miljömässig säkerhet.

(i) Fysisk tillgång till Anläggningar. Momentive begränsar tillgången till anläggningar med informationssystem som behandlar Kunddata till identifierade behöriga personer.

(ii) Skydd mot störningar. Momentive använder flera olika industristandardsystem för att skydda mot förlust av data på grund av strömavbrott eller störningar.

(iii) Bortskaffande av komponenter. Momentive använder industristandardprocesser för att radera Kunddata när de inte längre behövs.

(e) Domän: Kommunikation och operativ förvaltning. 

(i) Operativ policy. Momentive upprätthåller säkerhetsdokument som beskriver dess säkerhetsåtgärder och relevanta förfaranden och ansvarsområden för den personal som har tillgång till Kunddata. 

(ii) Förfaranden för dataåterställning. 

(1) Momentive skapar regelbundet och fortlöpande säkerhetskopior av Kunddata ifrån vilka Kunddata kan återställas i händelse av förlust av den primära kopian. 

(2) Momentive lagrar kopior av Kunddata och förfaranden för dataåterställning på en annan plats än där den primära datorutrustningen som behandlar Kunddata är placerad. 

(3) Momentive har särskilda förfaranden som reglerar tillgången till kopior av Kunduppgifterna. 

(iii) Skadliga program. Momentive har skydd mot skadlig programvara för att undvika att skadlig programvara får obehörig tillgång till Kunddata, inklusive skadlig programvara som kommer från offentliga nätverk.

(iv) Data bortom gränser. 

(1) Momentive krypterar Kunddata som överförs via offentliga nätverk. 

(v) Händelseloggning.

(1) Momentive loggar användningen av dess databehandlingssystem. 

(2) Momentive loggar åtkomst och användning av informationssystem som innehåller Kunddata och registrerar åtkomst-ID, tidsstämpel och viss relevant aktivitet.

(f) Domän: Incidenthantering för informationssäkerhet

(i) Förfarande för incidenthantering. 

(1) Momentive upprätthåller en plan för hantering av incidenter.  

(2) Momentive upprätthåller ett register över säkerhetsöverträdelser med en beskrivning av överträdelsen, tidsperioden, konsekvenserna av överträdelsen, namnet på den som rapporterade överträdelsen och till vem överträdelsen rapporterades, samt eventuella åtgärder för att åtgärda överträdelsen, i tillämpliga fall.

(g) Domän: Hantering av verksamhetskontinuitet.

(i) Momentives redundanta lagring och dess förfaranden för att återställa data är utformade för att försöka rekonstruera Kunddata i dess ursprungliga skick från före den tidpunkt då de förlorades eller förstördes.   

(h) Åtkomstkontroll till Behandlingsområden.  Processer för att förhindra att obehöriga personer får tillgång till datahanteringsutrustning (nämligen telefoner, databas- och applikationsservrar och tillhörande hårdvara) där Kundpersonuppgifter hanteras eller används, som inkluderar: 

(i) upprättande av säkra områden; 

(ii) skydd och begränsning av åtkomstsökvägar,

(iii) skydd av mobiltelefonerna,  

(iv) datahanteringsutrustning och persondatorer,

(v) all åtkomst till de datacenter där Kundpersonuppgifter lagras loggas, övervakas och spåras,  

(vi) datacenter där Kundpersonuppgifter lagras skyddas av ett larmsystem och andra lämpliga säkerhetsåtgärder, och 

(vii) anläggningen är utformad för att motstå ogynnsamma väderförhållanden och andra rimligen förutsägbara naturförhållanden, är säkrad med vakter dygnet runt, nyckelkort och/eller biometrisk åtkomst (beroende på risknivå), screening och eskortkontrollerad åtkomst, och har också stöd av reservgeneratorer på plats i händelse av strömavbrott.

(i) Åtkomstkontroll till datahanteringssystem. Processer för att förhindra att databehandlingssystem används av obehöriga personer, bland annat följande:  

(i) identifiering av terminalen och/eller terminalanvändaren för datahanteringssystemen, 

(ii) automatisk timeout av användarterminal efter 30 minuter eller mindre om den inte används, identifiering och lösenord krävs för att öppna igen,

(iii) utfärda och skydda identifieringskoder,  

(iv) krav på lösenordets komplexitet (minimilängd, lösenord som löper ut osv.), och

(v) skydd mot extern åtkomst med hjälp av en brandvägg av industriell standard.  

(j) Åtkomstkontroll för användning av särskilda områden i datahanteringssystem. Åtgärder för att säkerställa att personer som har rätt att använda datahanteringssystem endast kan få tillgång till uppgifterna inom ramen för och i den omfattning som indikeras av deras respektive åtkomsttillstånd (behörighet) och att Kundpersonuppgifter inte kan läsas, kopieras, ändras eller tas bort utan behörighet, bland annat genom:

(i) införande av bindande personalpolicyer och tillhandahålla utbildning om varje anställds åtkomsträttigheter till Kundpersonuppgifter,

(ii) effektiva och väl avvägda disciplinära åtgärder mot personer som obehörigt får tillgång till Kundpersonuppgifter, 

(iii) utlämnande av uppgifter enbart till behöriga personer, 

(iv) tillämpning av principer om minst privilegierad åtkomst till information som innehåller Kundpersonuppgifter, strikt på grundval av ett behov av att veta kraven,

(v) hantering av produktionsnätverk och dataåtkomst som styrs av VPN, tvåfaktorsautentisering och rollbaserade åtkomstkontroller,

(vi) logginformation från program- och infrastruktursystem till en centralt hanterad loggfunktion för felsökning, säkerhetsgranskning och analys, och 

(vii) policyer som styr lagring av säkerhetskopior som är förenliga med tillämplig lagstiftning och som är lämpliga med hänsyn till karaktären hos uppgifterna i fråga och motsvarande risk.

(k) Överföringskontroll. Förfaranden för att förhindra att Kundpersonuppgifter läses, kopieras, ändras eller raderas av obehöriga parter under överföringen av dem eller under transporten av datamedierna och för att säkerställa att det är möjligt att kontrollera och fastställa till vilka organ överföringen av Kundpersonuppgifter med hjälp av dataöverföringsanläggningar är planerad, vilket omfattar följande: 

(i) användning av brandväggar och krypteringsteknik för att skydda de gateways och pipelines genom vilka data transporteras,

(ii) implementering av VPN-anslutningar för att skydda anslutningen till det interna företagsnätverket,

(iii) ständig övervakning av infrastrukturen (t.ex. ICMP-Ping på nätverksnivå, undersökning av diskutrymme på systemnivå, lyckad leverans av specificerade testsidor på applikationsnivå), och

(iv) övervakning av att överföringen av uppgifter är fullständig och korrekt (kontroll från slutpunkt till slutpunkt). 

(l) Lagringskontroll. När du lagrar Kundpersonuppgifter: de kommer att säkerhetskopieras som en del av en särskild säkerhetskopierings- och återställningsprocess i krypterad form med hjälp av en krypteringslösning med kommersiellt stöd, och alla uppgifter som definieras som Kundpersonuppgifter och som lagras på bärbara datorer eller bärbara lagringsmedier krypteras på samma sätt. Krypteringslösningar kommer att användas med minst en 128-bitars nyckel för symmetrisk kryptering och en 1024-bitars (eller större) nyckellängd för asymmetrisk kryptering,

(m) Inmatningskontroll. Åtgärder för att säkerställa att det är möjligt att kontrollera och fastställa om och av vem Kundpersonuppgifter har förts in i datahanteringssystem eller tagits bort, bland annat följande:

(i) autentisering av behörig personal,

(ii) skyddsåtgärder för de uppgifter som lagras i minnet samt för läsning, ändring och radering av lagrade uppgifter,

(iii) användning av användarkoder (lösenord),

(iv) bevis som upprättats inom dataimportörens organisation angående inmatningsbehörigheten, och

(v) se till att ingångarna till datahanteringsanläggningarna (rummen med datorutrustning och tillhörande utrustning) är låsta.

(n) Tillgänglighetskontroll. Åtgärder för att se till att Kundpersonuppgifter skyddas mot oavsiktlig förstörelse eller förlust, inklusive redundans i infrastrukturen och regelbunden säkerhetskopiering av databasservrar. 

(o) Segregering av behandling. Förfaranden för att säkerställa att uppgifter som samlats in för olika ändamål kan behandlas separat, bland annat följande:

(i) separera data genom programsäkerhet för lämpliga användare,

(ii) lagra data på databasnivå i olika tabeller, separerade enligt den modul eller funktion som de stöder,

(iii) utforma gränssnitt, batchprocesser och rapporter enbart för specifika ändamål och funktioner, så att uppgifter som samlas in för specifika ändamål behandlas separat, och

(iv) hindra att realtidsdata används i testsyfte, eftersom endast simulerade data som genererats i testsyfte får användas för detta ändamål.

(p) Program för hantering av säkerhetsrisker. Ett program för att se till att systemen regelbundet kontrolleras för sårbarheter och att eventuella sårbarheter som upptäcks omedelbart åtgärdas, bland annat följande:

(i) alla nätverk, inklusive test- och produktionsmiljöer, skannas regelbundet, och 

(ii) penetreringstester genomförs regelbundet och sårbarheter åtgärdas omgående.

(q) Datadestruktion. Om Avtalet löper ut eller sägs upp av någondera parten eller på begäran av Kunden efter att ha mottagit en begäran från en registrerad person eller ett tillsynsorgan: 

(i) ska alla Kunduppgifter förstöras på ett säkert sätt inom 3 månader, och

(ii) alla Kunddata ska rensas från alla lagringsenheter tillhörande Momentive och/eller tredje part, inklusive säkerhetskopior, inom sex månader efter uppsägning eller mottagande av en begäran från Kunden, såvida inte Momentive enligt lag är skyldigt att behålla en kategori av uppgifter under längre tid. Momentive kommer att se till att alla sådana uppgifter som inte längre behövs förstörs på en nivå där det kan garanteras att de inte längre kan återställas.

(r) Standarder och certifieringar. Datalagringslösningar och/eller lagringsplatser har minst SOC 1 (SSAE 16) eller SOC 2-rapporter – likvärdiga eller liknande certifieringar eller säkerhetsnivåer kommer att granskas från fall till fall.

Personuppgiftsbehandlingens ändamål och karaktär, Kategorier av Personuppgifter, Registrerade personer 

BILAGOR FÖR standardavtalsklausuler

BILAGA I -

A. LISTA ÖVER PARTER

MODUL TVÅ: Överföring personuppgiftsansvarig till personuppgiftsbiträde

MODUL TRE: Överföring personuppgiftsbiträde till personuppgiftsbiträde

MODUL FYRA: Överföring personuppgiftsbiträde till personuppgiftsansvarig

Uppgiftsutförare: I enlighet med Avtalet

Kontaktpersonens namn, befattning och kontaktuppgifter: I enlighet med Avtalet

Aktiviteter som är relevanta för uppgifterna som överförs enligt dessa klausuler: I enlighet med Bilaga 2 i DPA

Uppgiftsinförare: I enlighet med Avtalet

Namn: I enlighet med Avtalet

Kontaktpersonens namn, befattning och kontaktuppgifter: I enlighet med Avtalet

Aktiviteter som är relevanta för uppgifterna som överförs enligt dessa klausuler: I enlighet med Bilaga 2 i DPA

B. BESKRIVNING AV ÖVERFÖRING

MODUL TVÅ: Överföring personuppgiftsansvarig till personuppgiftsbiträde

MODUL TRE: Överföring personuppgiftsbiträde till personuppgiftsbiträde

MODUL FYRA: Överföring personuppgiftsbiträde till personuppgiftsansvarig

Kategorier av registrerade vars personuppgifter överförs: I enlighet med Bilaga 2 i DPA

Kategorier av personuppgifter som överförs: I enlighet med Bilaga 2 i DPA

Överföring av känsliga uppgifter (om tillämpligt) och tillämpade begränsningar eller skyddsåtgärder som till fullo tar hänsyn till typen av uppgifter och riskerna i samband med detta, såsom till exempel strikt begränsning av ändamål, åtkomstbegränsningar (inklusive åtkomst endast för personal som har genomgått specialutformad utbildning), dokumentation av åtkomst till uppgifterna, begränsningar av vidare överföring eller ytterligare säkerhetsåtgärder: I enlighet med Bilaga 1 och 2 i DPA

Frekvensen för överföringen (t.ex. Om uppgifterna överförs en gång eller kontinuerligt): En gång och kontinuerligt (beroende på användning av Tjänsterna)

Typen av behandling: I enlighet med Bilaga 2 i DPA

Ändamålet för uppgiftsöverföring och vidare behandling: I enlighet med Bilaga 2 i DPA

Tidsperioden under vilken personuppgifterna lagras, eller, om det inte är möjligt, kriterierna som används för att fastställa denna tidsperiod: I enlighet med Avtalet och som föreskrivs här

För överföring till (underentreprenörer som) personuppgiftsbiträden, ange också ämne, typ och tidslängd för behandlingen: Se här.

C. BEHÖRIG TILLSYNSMYNDIGHET

Identifiera behörig tillsynsmyndighet i enlighet med Klausul 13: Irland

BILAGA II – TEKNISKA OC