1 AVTALENS HENSIKT

Avtalen som denne Databehandleravtalen er vedlegg til (heretter kalt “Hovedavtalen) innebærer at CALT MEDIA AS, i dette Vedlegg 2 kalt “Databehandleren”, vil Behandle Personopplysninger på vegne av Kjøper, i dette Vedlegg 2 kalt “Behandlingsansvarlig”. Denne databehandleravtalen («Databehandleravtalen») regulerer partenes rettigheter og plikter etter Gjeldende personvernrett for blant annet å sikre at Personopplysninger om de Registrerte ikke brukes urettmessig eller kommer uberettigede i hende. 

2 DEFINISJONER

«Gjeldende personvernrett»: EUs personverndirektiv 95/46/EC, eller annen fremtidig EU-lovgivning, nasjonale eller internasjonalt bindende personvernlover eller forskrifter, og som regulerer den Behandlingsansvarlige eller Databehandleren. «Gjeldende personvernrett» inkluderer bindende veiledninger, avgjørelser eller vedtak myndigheter, domstoler eller andre relevante organer, i tillegg til personopplysningsloven (heretter kalt «GDPR»); 

«Personopplysninger»: Enhver opplysning om en identifisert eller identifiserbar fysisk person («den Registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet; 

«Sikkerhetsbrudd»: Et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til Personopplysninger som er overført, lagret eller på annen måte behandlet; 

«Behandling»: Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring; 

«Pseudonymisering»: Behandling av Personopplysninger på en slik måte at Personopplysningene ikke lenger kan knyttes til en bestemt registrert uten bruk av tilleggsopplysninger, forutsatt at nevnte tilleggsopplysninger lagres atskilt og omfattes av tekniske og organisatoriske tiltak som sikrer at Personopplysningene ikke kan knyttes til en identifisert eller identifiserbar fysisk person; 

«Underleverandør»: En tredjeparts underleverandør som er tilsatt av Databehandleren for å bistå i Behandlingen av Personopplysninger på vegne av den Behandlingsansvarlige; 

3 BEHANDLING AV PERSONOPPLYSNINGER

Garanti. Databehandler garanterer at all Behandling av Personopplysninger i medhold av denne Databehandleravtalen til enhver tid skjer i overensstemmelse med Gjeldende personvernrett, herunder at Databehandler har implementert tekniske og organisatoriske tiltak egnet til å sikre (i) at Behandlingen av Personopplysninger oppfyller kravene i Gjeldende personvernrett og (ii) vern av den Registrertes rettigheter.  

Instruks. Databehandleren skal kun Behandle Personopplysninger i henhold til dokumenterte instrukser fra den Behandlingsansvarlige, med mindre annet kreves etter Gjeldende personvernrett. Databehandleren skal til enhver tid kunne dokumentere konkrete instrukser fra Behandlingsansvarlig. Behandlingsansvarliges instrukser gitt til Databehandler og som gjelder ved inngåelse av Databehandleravtalen fremgår av Vedlegg 2.1. Databehandler skal umiddelbart underrette Behandlingsansvarlig dersom (i) Databehandler mener at en instruks gitt av Behandlingsansvarlig er i strid med Gjeldende personvernrett, og (ii) Databehandler mangler instruks om hvordan Personopplysninger skal behandles i en bestemt situasjon. Databehandler godtar at Behandlingsansvarlig kan endre sine instrukser til Databehandler, og dessuten at Behandlingsansvarlig kan foreta eventuelle endringer i denne Databehandleravtalen som følge av endringer i Gjeldende personvernrett. 

Bistand til Behandlingsansvarlig. Databehandler skal bistå Behandlingsansvarlig med å oppfylle sine forpliktelser etter Gjeldende personvernrett. Slik bistand omfatter blant annet Behandlingsansvarliges plikt til svare på forespørsler fra Registrerte om innsyn, korrigering, begrensning av Behandlingen, og sletting. 

Forespørsler fra tredjeparter. Dersom den Registrerte, myndigheter eller andre ber om informasjon fra Databehandleren vedrørende Behandlingen av Personopplysninger i medhold av denne Databehandleravtalen, skal Databehandleren henvise forespørselen til Behandlingsansvarlig. Databehandleren skal ikke, uten forutgående instruksjoner fra Behandlingsansvarlig, overføre eller på annen måte utlevere Personopplysninger eller annen informasjon knyttet til Behandlingen av Personopplysninger til en tredjepart. Hvis Databehandleren i henhold til Gjeldende personvernrett er pålagt å utlevere Personopplysninger som Databehandleren Behandler på vegne av den Behandlingsansvarlige, må Databehandleren umiddelbart informere Behandlingsansvarlig om dette, og be om konfidensialitet i forbindelse med utleveringen av informasjonen. Databehandler skal ikke handle på vegne av eller opptre som representant for Behandlingsansvarlig. 

Ytterligere tiltak. Dersom Behandlingsansvarlig innen rimelighetens grenser etterspør ytterligere tekniske og organisatoriske sikkerhetstiltak og tilpasninger av behandlingsaktivitetene, skal dette implementeres av Databehandleren. Salær for arbeid og utgifter som er nødvendig for å etterkomme instruksjoner og anmodninger fra Behandlingsansvarlig, skal dekkes av Behandlingsansvarlig.   

Behandlingsansvarlig skal varsle Databehandleren om eventuelle endringer av den Behandlingsansvarliges sikkerhetsinstruksjoner og Behandling av Personopplysninger innen rimelig tid slik at Databehandleren rekker å gjøre de nødvendige endringer i de prosedyrene som må implementeres. 

Tilgjengeliggjøring av informasjon. Databehandleren skal gi Behandlingsansvarlig all informasjon og nødvendig assistanse for å påvise at forpliktelsene i denne Databehandleravtalen og Gjeldende personvernrett er overholdt. Databehandler skal videre muliggjøre og bidra til revisjoner, herunder inspeksjoner på stedet av Behandlingsansvarlig eller annen inspektør med fullmakt fra den Behandlingsansvarlige.  

Retting og sletting. Databehandleren skal, i tråd med den Behandlingsansvarliges forespørsel eller instruks, rette eller slette alle Personopplysninger som Databehandler har Behandlet på vegne av Behandlingsansvarlig etter denne Databehandleravtalen. Dette gjelder med mindre Gjeldende personvernrett eller annen lovgivning krever lagring av Personopplysningene. 

4 BRUK AV UNDERLEVERANDØRER

Samtykke. Databehandler benytter Underleverandører som følger av Vedlegg 2.1. 

Avtale med Underleverandør. Ansvar. Databehandleren skal sørge for at eventuelle godkjente Underleverandører inngår skriftlige avtaler som pålegger dem de samme forpliktelsene med hensyn til vern av Personopplysninger som er fastsatt i denne Databehandleravtalen. Databehandleren er fullt ut ansvarlig overfor den Behandlingsansvarlige hva gjelder utførelsen av Underleverandørenes forpliktelser 

5 OVERFØRING TIL TREDJELAND

Personopplysninger skal lagres innenfor EØS. 

6 INFORMASJONSSIKKERHET OG KONFIDENSIALITET

Generelt. Databehandleren skal, for å bistå Behandlingsansvarlig med å oppfylle sine forpliktelser etter Gjeldende personvernrett når det gjelder blant annet sikkerhetstiltak og konsekvensutredninger, være forpliktet til å gjennomføre og dokumentere hensiktsmessige tekniske og organisatoriske tiltak for å beskytte de Personopplysningene som Behandles. Databehandler skal følge Behandlingsansvarliges eventuelle og til enhver tid gjeldende skriftlige krav eller retningslinjer knyttet til informasjonssikkerheten.  

Plikt til å opprettholde tilstrekkelig sikkerhetsnivå. Databehandleren skal opprettholde et sikkerhetsnivå for Behandlingen av Personopplysningene som er tilstrekkelig i forhold til risikoen ved Behandlingen. Databehandleren skal beskytte Personopplysningene fra ødeleggelse, endring, ikke-autorisert utlevering, eller ikke-autorisert tilgang. Hensyntatt den tekniske utviklingen og gjennomføringskostnadene, Behandlingens art, omfang, formål og i hvilken sammenheng den utføres, i tillegg til den varierende sannsynlighets- og alvorlighetsgraden for fysiske personers rettigheter og friheter, skal Databehandleren i samråd med Behandlingsansvarlig gjennomføre følgende tekniske og organisatoriske tiltak:

1. Pseudonymisering og kryptering av Personopplysninger;  

2. Sikre vedvarende fortrolighet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene som behandler Personopplysninger;  

3. Gjenopprette tilgjengeligheten og tilgangen til Personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse; og  

4. En prosess for regelmessig testing, analysering og vurdering av hvor effektive tekniske og organisatoriske sikkerhetstiltak er med hensyn til sikkerheten ved Behandlingen. 

Konfidensialitet. Databehandleren skal ikke, uten den Behandlingsansvarliges skriftlige forhåndsgodkjenning, utlevere eller på annen måte gjøre Personopplysninger Behandlet i medhold av denne Databehandleravtalen tilgjengelig for tredjeparter. Dette med unntak for de Underleverandører som eventuelt er engasjert i samsvar med Databehandleravtalen.  

Databehandleren skal være forpliktet til å sikre at det kun er personer som direkte trenger tilgang til Personopplysninger for å oppfylle Databehandlerens forpliktelser i samsvar med Hovedavtalen som har tilgang til slik informasjon. Databehandleren skal sørge for at alle personene som er involvert i Behandlingen av Personopplysningene har forpliktet seg til konfidensialitet eller er underlagt lovbestemt taushetsplikt. 

Ovennevnte konfidensialitetsplikt gjelder også etter at denne Databehandleravtalen har opphørt. 

7 HÅNDTERING AV SIKKERHETSAVBRUDD

Ved Sikkerhetsbrudd som involverer Personopplysninger som Behandles på vegne av Behandlingsansvarlig, skal Databehandleren bistå Behandlingsansvarlig med å sikre overholdelse av den Behandlingsansvarliges forpliktelser i henhold til Gjeldende personvernrett, herunder GDPR artikkel 33. Databehandleren skal skriftlig varsle Behandlingsansvarlig uten ugrunnet opphold, og senest 24 timer etter at Databehandler har fått kunnskap om Sikkerhetsbruddet. Varselet skal som et minimum: 

1. Beskrive typen Sikkerhetsbrudd, herunder, hvis mulig, kategoriene av og omtrentlig antall Registrerte og personopplysningsposter som er berørt; 

1. Inneholde navnet og kontaktopplysningene til vedkommende som kan kontaktes for mer informasjon; 

1. Beskrive sannsynlige konsekvenser av Sikkerhetsbruddet; 

1. Beskrive de tiltak som er tatt eller foreslås tatt av den Behandlingsansvarlige for å håndtere Sikkerhetsbruddet, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av Sikkerhetsbruddet. 

8 AVTALENS VARIGHET 

Varighet. Med mindre annet fremgår gjelder denne Databehandleravtalen inntil Hovedavtalen opphører. 

Opphør. Hvis en part vesentlig misligholder sine forpliktelser etter denne Databehandleravtalen kan den andre parten heve avtalen. Den part som ønsker å heve avtalen skal gi den andre parten skriftlig varsel med en angivelse av hva misligholdet består i, og en 10 (ti) dagers frist til å rette misligholdet. Hvis misligholdet ikke er rettet innen fristen angitt i varselet anses avtalen for opphørt ved utløpet av fristen. Databehandlerens manglende oppfyllelse av Gjeldende personvernrett eller garantiene i punkt 3 skal alltid anses som et vesentlig mislighold, og vesentlig mislighold av Databehandleravtalen skal også anses som et vesentlig mislighold av Hovedavtalen.   

Stans av videre Behandling. Uavhengig av bestemmelsene om opphør kan Behandlingsansvarlig ved Databehandlers brudd på Gjeldende personvernrett, Databehandleravtalen eller instrukser gitt i eller i medhold av denne Databehandleravtalen pålegge Databehandler og eventuelle Underleverandør å stoppe den videre behandlingen av Personopplysningene med øyeblikkelig virkning. 

9 KONSEKVENSER VED OPPHØR

Ved opphør av denne Databehandleravtalen skal Databehandler (i) avslutte all Behandling av Personopplysninger og (ii) på ordre fra Behandlingsansvarlig slette alle Personopplysninger og kopier av slike Personopplysninger som er mottatt på vegne av den Behandlingsansvarlige og som omfattes av denne Avtalen. Plikten til sletting gjelder i den utstrekning ikke Gjeldende personvernrett eller andre lovbestemmelser krever at Personopplysningene lagres. Behandlingsansvarlig skal uten unødig opphold slutte å sende Personopplysninger til Databehandler. 

Uavhengig av årsaken til opphøret av Databehandleravtalen skal Databehandler på skriftlig forespørsel fra Behandlingsansvarlig akseptere å utsette opphøret av Databehandleravtalen slik at Behandlingsansvarlig får sikret dataene sine før de tilbakeleveres og/eller slettes. 

Databehandler skal innen 2 (to) uker etter Databehandleravtalens opphør, på eget initiativ skriftlig dokumentere ovenfor Behandlingsansvarlig at sletting og/eller destruksjon er foretatt i henhold til ovennevnte.    

10 GODTGJØRELSE

Databehandlers krav på godtgjørelse er fullt ut regulert i Hovedavtalen. Databehandler har derfor ikke krav på ytterligere godtgjørelse for å gjennomføre sine forpliktelser etter denne Databehandleravtalen. 

11 ANSVAR

I tillegg til Behandlingsansvarliges krav på kompensasjon som følge av kontraktsbrudd i medhold av denne Databehandleravtalen eller Hovedavtalen, har Behandlingsansvarlig krav på kompensasjon fra Databehandleren for alle direkte tap, kostnader (herunder til juridisk bistand), bøter og erstatningsansvar osv. som Behandlingsansvarlig måtte bli påført dersom den Behandling av Personopplysninger som er årsaken til tapet er gjort av eller gjennom Databehandleren. Eventuelle ansvarsbegrensninger i Hovedavtalen gjelder ikke for denne Databehandleravtalen.  

Databehandlers ansvar skal ikke under noen omstendighet overstige det høyeste av Databehandlers samlede vederlag i henhold til Hovedavtalen eller NOK 1.000.000. Denne ansvarsbegrensningen gjelder ikke dersom Databehandler har handlet i strid med Behandlingsansvarliges instrukser eller for øvrig har handlet grovt uaktsomt eller forsettlig. 

12 MEDDELELSER

Meddelelser etter denne Databehandleravtalen skal sendes skriftlig til kontaktpersoner angitt i Hovedavtalens punkt 6.

VEDLEGG 2.1 DATABEHANDLINGSINSTRUKSJONER

Formål, varighet og tilgang. Behandlingens overordnede formål er å gjøre Kjøpere istand til å målrette sine annonser til visse målgrupper av Registrerte. Dette innebærer at følgende informasjonskapsler settes, med mindre Behandlingsansvarlig velger å ikke tillate informasjonskapsler.

Behandlingsansvarlig kan videre velge hvorvidt følgende Personopplysninger skal sendes til Behandling.

Underleverandører og lokasjon. Databehandler benytter Adnuntius AS som underleverandør. Adnuntius AS behandler Personopplysninger hos følgende underleverandører.

Følgende organisatoriske og tekniske sikkerhetstiltak følges.

• All European customer data is held in a highly secure ISO 27001 certified data center.

• All access to our machines in data centres is secured using 2FA + SSH pass phrase. Even if a machine were compromised, it is not possible to SSH from one machine to another in our production, test and staging environments.

• Failed login attempts to our API and UI will lock the relevant account after 5 failed attempts.

• All communication between services and databases is secured using TLS. All communication between data centres is secured using VPN tunnels.

• We encrypt PII fields in our data stores. We encrypt our database backups.

• We continually upgrade our software to the latest versions of dependencies where applicable.

• We have an process to keep all Ubuntu machines up to date with latest patches, and we have alert monitoring which lets us know when a machine requires updating.

• We regularly check for newer versions of any java thirdparty components we can upgrade to, and do that.

• We have an upgrade path for any third party software we use, and upgrade to later versions as time permits.

• Where appropriate we filter input for javascript before persisting.

• We use access controls for access to the system.

• We log all authentication attempts.

• We have version history of objects (creatives, line items, assets, etc) which for example, would allow analysis of who changed a component that introduced a vulnerability.

• Any vulnerabilities discovered are swiftly patched (we roll out new releases to production sometimes several times per day, if we discover an issue we can roll out a fix promptly).

• We have extensive regression test coverage which makes the release process reasonably bullet proof.

• We use at rest encryption for any PIR data stored in our data stores.

• We separate our deployment network into dev, staging and production segments. Each of these requires different access credentials. For example, users who do not require production access won't get it. Within Adnuntius itself we deploy 3 different versions, one each to the 3 above mentioned environments. Each of these has a different authentication store. So users who have access to dev, will require a separate account to access production if they need it. Within Adnuntius itself we have roles and permissions, so that we can provide users with only the permissions they need to do their job.

• Access to customer data by Adnuntius employees is only granted to defined employees with a demonstrated need for it.

• We use bitwarden to store any required shared secrets and where possible enable 2FA for as many services as support it.

• We regularly rotate passwords.

• Oauth2 tokens are required for authentication, and they have a limited lifespan.

• We enforce a minimum length of 8 characters and prevent the use of the most common bad passwords > 8 characters and we lock accounts after 5 failed login attempts.

• All passwords stored in the adnuntius saas solution are hashed and salted.

• Access to privileged accounts is restricted to appropriate personnel and tightly controlled.

• Access permissions are reviewed on a regular schedule and restricted to a minimum.

• Access to backups is restricted to authorized personnel.

• Network security, system security and data protection: https://www.hetzner.com/assets/Uploads/downloads/Sicherheit-en.pdf.

• User accounts within the organization are unique, assigned to a specific person and get monitored for malicious usage (e.g. compromised logins, suspicious activity like repeated login attempts).

• We backup data using multiple data centers (across Germany and Finland) and have multiple failovers in place to secure smooth transfer to backup servers in case of downtime. While our recovery services are automated we have 24/7 on-call engineers that (1) receive notifications about any incident, and (2) are competent to resolve issues. Our availability is openly accessible here: status.adnuntius.com.

• Our production, staging and test environments are completely separate. If we employ production data in tests, its manually reconstructed via UI or tooling.

• We remove PII when testing the software in test environments.

• All communication between layers of our architecture is via secure protocols.

• We have monitoring setup to detect egress of excessive outbound bytes, this will alert us very quickly if an attacker is attempting to exfiltrate db data for instance.