Denne Personvernopplysningsavtalen ("Personlig opplysningsavtale") mellom:

1. Din Studio Sverige AB, org. nr. 556668-4188 ("Din Studio"); og
2. Kunder som bruker våre tjenester ("Kunden"),

(hver "Part" og i fellesskap "Partene").

I denne databehandleravtalen betyr "Databehandler" Din Studio Sverige AB for de Tjenester som er fastsatt i Din Studios Generelle vilkår, § 1 Generelt. "Behandlingsansvarlig" er Kunden. Din Studios behandling av personopplysninger, kan finnes på support/privacypolicy.

1 Introduksjon

1.1 Begge parter bekrefter at undertegnede har fullmakt til inngå denne databehandleravtalen ("DPA"), som er en del av tjenesteavtalen(e) som partene har inngått i ("Tjenesteavtalen"). Denne DPA bestemmer behandlingen av Personopplysninger sammen med den til enhver tid gjeldende Tjenesteavtalen.

1.2 Din Studio overholder Din Studios Personopplysningspolicy, som er tilgjengelig på support/privacypolicy.

2 Definisjoner

2.1 Definisjonen av Personopplysninger, Ulike kategorier av Personopplysninger (sensitiv informasjon), Behandling av Personopplysninger, Datasubjekter, Behandlingsansvarlig og Databehandler er den samme som i gjeldende personvernlovgivning inkludert General Data Protection Regulation (GDPR), gjeldende i DPAen og i Europa fra 25. mai 2018 og til enhver tid gjeldende nasjonal lovgivning i samsvar med gjeldende personvernlov.

2.2 I dette vedlegget er Behandlingsansvarlig betegnet som "Kunde" eller "Part", “Databehandleren” er betegnet som "Din Studio" eller "Part", og sammen er de betegnet som "Partene".

3 Omfang

3.1 Denne DPAen regulerer Din Studios Behandling av Personopplysninger på oppdrag fra Kunden, og beskriver hvordan Din Studio skal sikre datasikkerhet gjennom tekniske og organisatoriske tiltak i henhold til gjeldende personvernlovgivning.

3.2 Formålet med Behandlingen av Personopplysninger på vegne av Kunden er å oppfylle Din Studios forpliktelser i henhold til Tjenesteavtalen.

3.3 Denne DPAen går foran eventuelle motstridende bestemmelser om Behandling av Personopplysninger eller andre avtaler som er inngått mellom Partene.

4 Din Studios forpliktelser

4.1 Din Studio kan bare behandle personopplysninger på vegne av, og i henhold til kundens dokumenterte instruksjoner. Ved å inngå denne Avtalen instruerer Kunden Din Studio til å Behandle Personopplysninger på følgende måte:

i) utelukkende i samsvar med gjeldende lov,
ii) for å oppfylle alle forpliktelsene i henhold til Tjenesteavtalen,
iii) som videre spesifisert gjennom Kundens normale bruk av Din Studios tjenester og
iv) slik som angitt i denne DPAen.

4.2 Din Studio har ingen grunn til å tro at det finnes noen lovgivning som hindrer Din Studio fra å oppfylle instruksjonene som nevnt ovenfor. Din Studio skal informere, etter å ha fått kunnskap om det, Kunden om Kundens instruksjoner eller behandling, etter Din Studios oppfatning, i strid med gjeldende personvernloven.

4.3 De kategorier av Datasubjekter og Personopplysninger som omfattes av Behandling i denne DPAen fremkommer av dette dokumentet.

4.4 Din Studio skal sikre kon densialitet, integritet og tilgjengelighet av Personopplysningene i henhold til gjeldende personvernlovgiving. Din Studio skal gjennomføre systematiske, organisatoriske og tekniske tiltak for å sikre en tilfredsstillende sikkerhetsnivå, med hensyn til den kjente løsninger og implementeringskostnadene i tilknytning til risikoen for Behandling og typen Personopplysninger.

4.5 Din Studio skal bistå Kunden med passende tekniske og organisatoriske tiltak, så langt det er mulig med hensyn til behandlingens art og den informasjonen som er tilgjengelig for Din Studio, for oppfyllelse av Behandlingsansvarliges forpliktelser til å svare på forespørsler fra Datasubjektet og generell databeskyttelse i henhold til GDPR artikkel 32-36.

4.6 Dersom Kunden behøver informasjon om sikkerhetstiltak, dokumentasjon eller annen informasjon knyttet til hvordan Din Studio Behandler Personopplysninger, og en slik henvendelse involverer mer informasjon enn standardinformasjonen som håndteres av Din Studio i henhold til å følge gjeldende Personvernlovgivning som Databehandler, og dette innebærer mer arbeid for Din Studio, kan Din Studio belaste Kunden for slike ytterligere tjenester.

4.7 Din Studio og selskapets personell skal sikre konfidensialitet av Behandling av Personopplysninger etter denne DPAen. Dette gjelder også etter at DPAen har opphørt.

4.8 Din Studio skal omgående og uten unødig forsinkelse, gi Kunden beskjed slik at Kunden kan oppfylle de rettslige kravene for informasjon til den relevante tilsynsmyndighet og Datasubjektene angående brudd på Personopplysninger.

4.9 Videre, så langt det lar seg lovlig og praktisk gjennomføre, skal Din Studio gi varsle Kunden om:

i) forespørsel fra et Datasubjekt om utlevering av Personopplysninger
ii) forespørsel fra offentlig myndighet, slik som Politiet, vedrørende utlevering av Personopplysninger

4.10 Din Studio får ikke svare direkte på henvendelser vedrørende Datasubjekter uten Kundens samtykke. I henhold til Tjenesteavtalen får ikke Din Studio utlevere innhold til myndigheter som Politiet, inkludert Personopplysninger, med unntak fra hva som fremkommer av ufravikelig lov, domsavgjørelser eller lignende avgjørelser.

5 Kundens forpliktelser

5.1 Ved å inngå denne DPAen, bekrefter Kunden at Kunden:

• ved å bruke tjenestene som tilbys av Din Studio i henhold til Tjenesteavtalen, Behandler Personopplysninger i henhold til gjeldende Personvernlovgivning.
• har rettslig grunnlag for å Behandle og utlevere de relevante Personopplysningene til Din Studio (inkludert underleverandører benyttet av Din Studio)
• er alene ansvarlig for gyldigheten, integriteten, innholdet og lovligheten av Personopplysninger som overføres til Din Studio.
• har oppfylt alle obligatoriske krav og forpliktelser til å varsle eller oppnå tillatelse til Behandling av Personopplysninger.
• har oppfylt sine forpliktelser til å tilby relevant informasjon til Datasubjektene om behandling av Personopplysninger i henhold til gjeldende Personvernlovgivning.
• er enig i at Din Studio har gitt garantier for gjennomføring av tekniske og organisatoriske sikkerhetstiltak som er tilstrekkelig for å beskytte Datasubjektenes integritet og Personopplysninger.
• ved bruk av tjenestene som tilbys av Din Studio i Tjenesteavtalen, overføres ikke Sensitive Personopplysninger, eller data som knyttet til ulovlige handlinger og lovbrudd til Din Studio. I tilfelle en slik overføring, kan Din Studio ikke bli holdt ansvarlig for feilaktig behandling av slike Personopplysninger.
• opprettholder en oppdatert oversikt over typer og kategorier av Personopplysninger som Kunden behandler.

6 Bruk av underleverandører og overføring av opplysninger

6.1 Som en del av leveringen av Tjenesten til Kunden i henhold til Tjenesteavtalen av denne DPAen, kan Din Studio engasjere underleverandører som kan opptre som underdatabehandlere. Slike underdatabehandlere kan være tilknyttet Din Studio, eller være eksterne underleverandører (tredjeparter) innenfor eller utenfor EU/ EØS. Din Studio skal sørge for at tilsvarende forpliktelser som etter denne DPAen pålegges underdatabehandlerne ved en avtale.

6.2 Kunden kan til enhver tid be om en fullstendig oversikt og mer detaljert informasjon om underleverandører som er involvert i leveransen av Tjenesten i henhold til Tjenesteavtalen.

6.3 Dersom underleverandører befinner seg utenfor EU/EØS, skal Din Studio sikre at overføring skjer i henhold til gjeldende personvernlovgivning. Kunden gir herved Din Studio myndighet og autoritet til å sikre behandlingsgrunnlag for overføring av personopplysninger utenfor EU og på vegne av Kunden, for eksempel, ved å signere EU Standard Contract Clauses eller overføring av Personopplysninger i henhold til EU/US Priacy Shield.

6.4 Kunden skal varsles før endringer av underleverandører som behandler Personopplysninger. Dersom Din Studio ikke kan dokumentere at underleverandører har forpliktet seg til og etterleve gjeldende personvernlovgivning, kan kunden avslutte DPAen, etter at Din Studio har hatt rimelig tid til å sikre dokumentasjon. Slik oppsigelse kan innebære retten til å si opp Tjenesteavtalen, helt eller delvis, i henhold til oppsigelsesklausulene i den aktuelle Tjenesteavtalen. En viktig del av en slik vurdering er i hvilken grad underleverandørens Behandling av Personopplysninger er en viktig del av tjenesten som er tilbys i Tjenesteavtalen. Endring av en underleverandør skal ikke i seg selv bli ansett som et brudd på Tjenesteavtalen.

6.5 Ved å signere denne Avtalen, aksepterer Kunden at Din Studio benytter seg av underleverandører som beskrevet over.

7 Sikkerhet

7.1 Din Studio er forpliktet til å tilby et høyt sikkerhetsnivå på sine produkter og tjenester. Din Studio ivaretar sikkerhet gjennom organisatoriske, tekniske og fysiske sikkerhetstiltak, i henhold til kravene om informasjonssikkerhet som beskrevet i GDPR artikkel 32. Det indre rammeverket som er implementert av Din Studio beskytter videre konfidensialiteten, integriteten og tilgjengeligheten av og tilgangen til Personopplysninger. I den forbindelse er følgende tiltak av særlig betydning:

• klassifisering av Personopplysninger for å sikre gjennomføring av sikkerhetstiltak som samsvarer med risikovurderingen.
• evaluering av bruken av kryptering og pseudonymisering som risikoreduserende faktor.
• begrensningen av tilgang til Personopplysninger til de som trenger tilgang for å oppfylle sine forpliktelser etter DPAen eller Tjenesteavtalen.
• bruk av systemer som oppdager, gjenoppretter, forhindrer og rapporterer brudd på personopplysninger.
• gjennomføring av sikkerhetsanalyser for å vurdere kvaliteten av gjeldende tekniske og organisatoriske tiltak for å beskytte Personopplysninger, med hensyn til de krav som stilles etter gjeldende personvernlovgivning.

8 Periode og oppsigelse

8.1 Denne DPAen er gjeldende så lenge Din Studio Behandler Personopplysninger på vegne av Kunden i henhold til gjeldende Tjenesteavtale.

8.2 Denne DPAen avsluttes automatisk ved utløpet av Tjenesteavtalen. Når DPAen utløper, vil Din Studio slette eller returnere Personopplysninger som er behandlet av Din Studio på vegne av Kunden, i henhold til gjeldende avsnitt i den respektive Tjenesteavtalen. Med mindre annet er skriftlig avtalt, vil kostnadene knyttet til disse handlingene baseres på:

i) timespris for tid brukt av Din Studio og
ii) kompleksiteten av den forespurte handlingen.

8.3 Din Studio kan beholde Personopplysninger etter utløpet av DPAen, i den utstrekning det påkrevd i henhold til loven, likevel underlagt de samme tekniske og organisatoriske tiltakene som beskrevet i DPAen.

9 Ansvar

9.1 Ansvar for brudd på vilkårene i denne DPAen skal reguleres av ansvarsklausuler i den respektive Tjenesteavtalen mellom Partene. Dette gjelder også ved ethvert brudd foretatt av underdatabehandleren.

10 Gjeldende rett og jurisdiksjon

10.1 Denne DPAen skal reguleres av gjeldende rett som angitt i den respektive Tjenesteavtalen mellom Partene.

11 Kategorier av Personopplysninger og Datasubjekter

11.1 Ettersom Din Studios tjenester tillater Kunden å vilkårlig behandle Personopplysninger, er det ikke mulig å generelt angi hva slags kategorier av Datasubjekter og Personopplysninger som er regulert av denne DPAen. Kunden er forpliktet til å registrere denne informasjonen.

11.2 Kunden kan ikke overføre Sensitive Personopplysninger til Din Studio. Dersom slike overføringer finner sted, kan ikke Din Studio bli holdt ansvarlig for enhver Behandling som ikke er i henhold gjeldende Personvernlovgivning. Sensitive Personopplysninger er definert i gjeldende personvernlovgivning som:

• rase eller etnisk bakgrunn, politisk ståsted, religiøs eller filosofisk overbevisning,
• helseopplysninger
• opplysninger om en person seksualliv eller seksuelle orientering,
• medlemskap i fagforening
• genetisk eller biometriske data med det formal å unikt identifisere en fysisk person,

11.3 Kunden kan ikke overføre Personopplysninger om straffedom og forbrytelser.