DATABEHANDLERAVTALE. Kontaktperson hos Questback: Sara Habberstad. Databehandler/ Questback: Questback AS

Transkript

1 DATABEHANDLERAVTALE Kunde/ Behandlingsansvarlig: [Navn på Kunde] Kontaktperson hos Questback: Sara Habberstad Databehandler/ Questback: Questback AS Denne Databehandleravtalen ( DBA ) er del av avtalen som regulerer Questbacks ytelser til Kunde slik disse er beskrevet i avtale(r) med bilag mellom partene (samlet kalt «Avtalen»), og som kan omfatte tilgang til Programvare og relaterte tjenester (samlet kalt Ytelsene ). Denne DBA beskriver vilkårene som gjelder når Questback behandler Personopplysninger på vegne av Kunde, i henhold til gjeldende personvernlovgivning, herunder den generelle personvernforordningen, GDPR. 1. Garantier Questback vil behandle Personopplysninger på vegne av Kunde, og garanterer derfor å gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i GDPR og vern av den registrertes rettigheter. 2. Definitions Avtale betyr den eller de separate avtalene som gjelder mellom Questback og Kunde, der innholdet og omfanget av tjenester som leveres fra Questback til Kunde er avtalt. Behandlingsansvarlig betyr behandlingsansvarlig, som definert i GDPR artikkel 4. Partene er enige om at Kunde er Behandlingsansvarlig under denne Databehandleravtalen, og at Kunde derfor må overholde pliktene for Behandlingsansvarlig etter GDPR. Registrert betyr den registrerte, som definert i GDPR artikkel 4. GDPR betyr EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning). Implementering av GDPR i Norsk lov er omfattet av begrepet. Personopplysninger betyr personopplysninger, som definert i GDPR artikkel 4. Behandling betyr behandling, som definert i GDPR artikkel 4. Databehandler betyr databehandler, som definert i GDPR artikkel 4. Partene er enige om at Questback er Databehandler under denne Databehandleravtalen, og at Questback derfor må overholde pliktene til Databehandler etter GDPR. Respondent betyr en Registrert som besvarer spørreundersøkelser som Kunde gir dem tilgang til. Sensitive Personopplysninger betyr særlige kategorier av personopplysninger, som definert i GDPR artikkel 9. Programvare betyr den standard programvare som Kunde blir gitt tilgang til gjennom Avtalen. Underdatabehandler betyr en tredjeparts databehandler som er engasjert av et Questbackselskap, og som behandler Personopplysninger på vegne av. Questbackselskaper betyr selskaper i Questbackgruppen, som vil kunne bidra i levering under Avtalen. Questbackgruppen betyr under denne DBA, Questback Holding AS, Questback AS, og alle heleide datterselskaper av Questback AS. Andre begreper har den betydning de er gitt i GDPR, i Avtalen, eller som nærmere beskrevet i denne DBA. 3. Hensikten med Behandlingen Se bilag A 4. Behandlingens varighet 5. Behandlingens art 6. Formålet med behandlingen 7. kategorier av registrerte 8. Typen personopplysninger 9. Instrukser fra Kunden Kunde vil i Avtalens varighet kunne gi skriftlige instrukser, herunder epost, til Questback om behandling av Personopplysninger utover det som følger av denne DBA og Avtalen. Questback er ansvarlig for å følge slike instrukser i den utstrekning det er nødvendig for Questbacks overholdelse av Questbacks ansvar som Databehandler som følger av GDPR. Instrukser eller endringer i Avtalen utover dette krever særskilt avtale. Questback er ikke forpliktet til å utføre juridiske vurderinger, eller til å yte juridisk rådgivning til Kunde. 10. Behandlingsansvarlig Det er Kunde som er Behandlingsansvarlig for Personopplysninger som behandles under Avtalen og denne DBA, og som derfor har ansvaret for slik Behandling. Kunde er ansvarlig for etterlevelse av sine forpliktelser som Behandlingsansvarlig under GDPR, herunder overføring av personopplysninger til Questback (inkludert å gi nødvendig informasjon og innhenting av samtykke), og for sine beslutninger om Behandling og bruk av Personopplysningene. Kunde bekrefter at: a) Informasjonen i bilag A er korrekt og komplett, og at den blir oppdatert av Kunde dersom Kunde ser behov for det. b) Kunde vil informere den Registrerte slik GDPR krever. c) Kunde vil forsikre seg at rettslig grunnlag etter GDPR er på plass for den behandlingen av Personopplysninger Kunde utfører under denne DBA. d) Kunde vil informere Questback uten unødig opphold dersom (i) Kundes rettslige grunnlag etter GDPR opphører (eksempelvis ved at den Registrerte kaller tilbake samtykke), og (ii) Kunde mottar opplysninger som gir grunn til mistanke om ulovlig tilgang til eller behandling av Personopplysninger Kunde vil gi alle nødvendige opplysninger. Punkt 18 i DBA vil gjelde. Side 1 av 7

2 11. Databehandler Questback er Databehandler for Personopplysninger som behandles på vegne av Behandlingsansvarlig under DBA og Avtalen. Questback er ansvarlig for etterlevelse av sine forpliktelser som Databehandler under GDPR, herunder å Behandle Personopplysninger etter instruks fra Kunde. Det angis her særlig at Questback: a) behandler personopplysningene bare på dokumenterte instrukser fra Kunde, b) ikke vil overføre personopplysninger til en tredjestat eller en internasjonal organisasjon som ikke sikrer et tilstrekkelig beskyttelsesnivå i henhold til GDPR Artikkel 45, eller innenfor nødvendige garantier i henhold til GDPR Artikkel 46. c) sikrer at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til å behandle opplysningene fortrolig eller er underlagt en egnet lovfestet taushetsplikt, d) sikrer, når en (under-)databehandler benyttes, at forpliktelser knyttet til Behandling av Personopplysninger under denne DBA overføres til slik Databehandler gjennom kontrakt. e) idet det tas hensyn til behandlingens art og i den grad det er mulig, bistår, ved hjelp av egnede tekniske og organisatoriske tiltak, den Behandlingsansvarlige med å oppfylle vedkommendes plikt til å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i GDPR kapittel III, f) bistår den Behandlingsansvarlige med å sikre overholdelse av forpliktelsene i henhold til GDPR artikkel 32 36, idet det tas hensyn til behandlingens art og den informasjonen som er tilgjengelig for databehandleren, g) gjør tilgjengelig for Kunde all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i GDPR Artikkel 28 er oppfylt, samt muliggjør og bidrar til revisjoner, h) melder fra til Kunde umiddelbart dersom Questback oppfatter at det er motstrid mellom en instruks fra Kunde og GDPR. Questback vil bistå Kunde med å sikre overholdelse av GDPR, herunder å bistå Kunde med: Kundes etterlevelse av plikt til å varsle til tilsynsmyndigheter og Registrerte i tilfelle brudd på personopplysningssikkerheten Konsultasjoner med tilsynsmyndigheter når en konsekvensvurdering gjør det nødvendig; Bistanden beskrevet ovenfor skal utføres i den grad det er nødvendig, tatt i betraktning Behandlingsansvarliges behov, behandlingens art og informasjonen som er tilgjengelig for Databehandler. 12. Retten til sletting og retting av Personopplysninger Kunde har i Avtalens løpetid tilgang til programvaren som inneholder Kundes Personopplysninger, Questback vil til enhver tid gi Kunde, som avtalt i avtalen, elektronisk tilgang til det elektroniske programvaremiljøet som innehar Kundens personopplysninger, slik at Kunde sletter, slipper, korrigerer eller blokkerer tilgang til spesifikke personopplysninger, slik Kunde alltid krever. Kunde kan, i den utstrekning gjeldende rett tillater, gi Questback detaljerte skriftlige instruksjoner om sletting, oversendelse, korrigering eller blokkering av tilgang til Personopplysninger fra Respondent. Dersom Kunde krever at Questback utfører slik sletting, oversendelse, korrigering eller blokkering av tilgang som Kunde selv kunne ha utført, aksepterer Kunde å betale Questback etter gjeldende satser for slike tjenester. 13. Overføring av Personopplysninger innenfor EØS For Personopplysninger lagret i datasentre i EØS, bekrefter Questback følgende: (i) selskapene i Questbackgruppen har bindende avtaler seg imellom som krever etterlevelse av relevante personvern- og Informasjonssikkerhetsstandarder, og (ii) Questbackgruppen har inngått avtaler med Underdatabehandler der Underdatabehandler forplikter seg til å følge personvern- og Informasjonssikkerhetsstandarder som tilsvarer Questbacks standarder på området 14. Overføring av Personopplysninger utenfor EØS Questback vil ikke overføre personlige data til en tredjestat utenfor EØS med mindre (i) Kommisjonen har fastslått at nevnte tredjestat sikrer et tilstrekkelig beskyttelsesnivå, eller (ii) ikke dekkes av nødvendige garantier anerkjent av den relevante myndigheter eller domstoler som et tilstrekkelig beskyttelsesnivå for personopplysninger, herunder Bindende virksomhetsregler, Bindende virksomhetsregler for databehandler og EU Standard Personvernbestemmelser. Dersom Kunde selv, eller en part på Kunders vegne, har tilgang til Personopplysninger lagret på Questbacks lagringsområde i EØS, eller overfører Personopplysninger fra Questbacks lagringsområde i EØS, er det Kundes ansvar å sikre at overføringen av Personopplysninger skjer med tilstrekkelig beskyttelsesnivå som definert i GDPR artikkel 45, eller nødvendige garantier som definert i GDPR Artikkel 46, på plass. 15. Questbackselskaper og Underdatabehandlere Hele eller deler av Questbacks forpliktelser etter Avtalen vil kunne utføres av andre Questbackselskaper. Questback vil også kunne engasjere Underdatabehandler for å bistå med å levere tilgang til programvare i Avtalen. Questback vil gi en liste over Underdatabehandlere som vil kunne behandle Personopplysninger på vegne av Kunde på forespørsel. Bruk av Underdatabehandler vil ikke frata Questback ansvaret for etterlevelse av vilkårene i Avtalen og denne Databehandleravtalen. Kunde aksepterer at Personopplysninger vil kunne Behandles av Questbackselskaper og Underdatabehandlere i henhold til denne DBA. Dersom Questback har til hensikt å endre Underdatabehandlere eller planlegger å bruke en ny Underdatabehandler, vil Questback skriftlig underrette Kunde 4 måneder før Behandling tar til, og Kunde vil ha rett til å protestere mot endringen og skriftlig å si opp Avtalen og denne DBA innen 1 måned etter mottak av slik melding. Ved slik oppsigelse skal Avtalen og DBA utløpe etter 3 måneder. Dersom Kunde ikke sier opp Avtalen og DBA i tide, anses endringen som akseptert. 16. Tekniske og Organisatoriske tiltak Ved Behandling av Personopplysninger på vegne av Kunde i forbindelse med oppfyllelse av Avtalen, skal Questback gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i GDPR og vern av den Registrertes rettigheter. Questback vil følgelig implementere tiltak, herunder Questback s Technical and Organizational Measures og Questback s IT governance policy. 17. Revisjon Kunde har rett til å gjennomføre revisjoner av Questbacks etterlevelse av vilkårene i Avtalen og denne DBA opp til en gang per kalenderår, eller i den utstrekning det kreves av gjeldende rett. Dersom en tredjepart på fullmakt fra Kunde skal utføre revisjonen, skal partene gjensidige være enige om slik tredjepart. Enhver som utfører revisjon på vegne av Kunde, om det er Kundes ansatte eller tredjepart, må før revisjon gjennomføres godta en skriftlig konfidensialitetsavtale som er akseptabel for Questback. Ved krav om revisjon vil Kunde sende detaljert revisjonsplan til Questback minst to uker før foreslått revisjonsdato. Planen skal beskrive forslagets omfang, varighet og startdato for revisjonen. Side 2 av 7

3 Questback vil vurdere revisjonsplanen og gi Kunde tilbakemelding og stille spørsmål. (eksempelvis om forhold som truer Questbacks retningslinjer for sikkerhet, personvern eller ansettelsespolitikk). Questback vil samarbeide med Kunde for å komme til enighet om en endelig revisjonsplan. Revisjonen skal gjennomføres i ordinær arbeidstid, og være underlagt Questbacks retningslinjer. Revisjon skal ikke forstyrre daglig drift hos Questback. Questback vil gjøre informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i GDPR og DBA etterleves tilgjengelig for Kunde, eller tredjepart som gjennomfører revisjon etter denne avtale, under revisjonen. Kunde vil gjøre revisjonsrapport etter revisjonen tilgjengelig for Questback, med mindre annet følger av gjeldende rett. Kunde vil bare kunne benytte revisjonsrapporten for å oppfylle krav til revisjon og / eller bekrefte etterlevelse av kravene i Avtalen og DBA. Revisjonsrapporter behandles som konfidensiell informasjon etter Avtalen. Eventuell revisjon bekostes av Kunde. Forespørsel til Questback om å yte bistand til revisjon utover det som kreves i DBA er en tjeneste som utføres separat etter timepris. 18. Håndtering av hendelser, og Melding om brudd på personopplysningssikkerheten Questback vil vurdere og håndtere hendelser som skaper mistanke om ulovlig tilgang til eller behandling av personopplysninger. Questback vil, innenfor Questbacks forretningsområder, samarbeide med relevant teknisk personell hos Kunde og, dersom nødvendig, med myndigheter, for å besvare hendelsen. Målet med håndteringen av hendelser er å gjenopprette konfidensialiteten, integriteten og tilgjengeligheten til programvaren og data, og å finne årsaker og løsninger for løsning. Ved brudd på personopplysningssikkerheten skal Questback uten ugrunnet opphold og når det er mulig, senest 60 timer etter å ha fått kjennskap til det, melde bruddet til Kunde. Når Questback har slik informasjon, skal meldingen minst: (i) beskrive arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall personopplysningsposter som er berørt, (ii) inneholde navnet på og kontaktopplysningene til personvernrådgiveren eller et annet kontaktpunkt der mer informasjon kan innhentes, (iii) beskrive de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten, (iv) beskrive de tiltak som den Behandlingsansvarlige har truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet. I den grad det følger av GDPR, og på forespørsel fra Kunde, vil Questback bistå Kunde med å underrette tilsynsmyndigheten om brudd på personopplysninger. Dersom Kunde ber Questback om å yte slik bistand, er dette en tjeneste som utføres separat etter timepris. 19. Anmodninger fra den Registrerte Idet det tas hensyn til behandlingens art og i den grad det er mulig, vil Questback bistå, ved hjelp av egnede tekniske og organisatoriske tiltak, Kunde med å oppfylle Kundes plikt som Behandlingsansvarlig til å svare på anmodninger som den Registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i GDPR kapittel III Questback skal, i den utstrekning gjeldende rett tillater, straks varsle Kunde dersom den mottar en forespørsel fra en Respondent med anmodning om tilgang til, rettelse av, endring i eller sletting av den Registrertes Personopplysninger. Med unntak av en bekreftelse på at forespørselen gjelder Kunde, skal Questback ikke selv svare på en slik anmodning uten Kundes skriftlige samtykke. I den utstrekning Kunde, gjennom sin bruk av Tjenestene, ikke har mulighet til å korrigere, endre, blokkere eller slette Personopplysninger som krevet i GDPR, vil Questback utføre slike pålagte oppgaver på forespørsel fra Kunde i den utstrekning gjeldende rett tillater. Kunde gir med dette Questback rett til, i den utstrekning det er teknisk mulig, å gi Kunde tilgang til og mulighet til å redigere Personopplysninger fra individuelle Respondenter. Ansvaret for å sikre at Behandlingen er i samsvar med gjeldende rett når Kunde åpner og redigerer Personopplysninger fra Respondenter ligger hos Kunde. Questback skal i rimelig utstrekning, dersom Kunde ikke selv har teknisk tilgang til å håndtere anmodninger, samarbeide med Kunde i forbindelse med håndtering av den Registrertes anmodning om tilgang til personens personopplysninger. Questback vil ikke utlevere eller gi tilgjengeliggjøre den Registrertes Personopplysninger for tredjepart. Dersom en forespørsel om slik utlevering eller tilgjengeliggjøring blir sendt til Questback, vil Questback sende denne forespørselen til Kunde. 20. Sikkerhet ved behandlingen Idet det tas hensyn til det tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal Questback gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen, herunder blant annet, alt etter hva som er relevant, a) pseudonymisering og kryptering av personopplysninger, b) evne til å sikre vedvarende fortrolighet, integritet, tilgjengelighet og robusthet i behandlingssystemene og - tjenestene, c) evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse, d) en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er. Ved vurderingen av egnet sikkerhetsnivå skal det særlig tas hensyn til risikoene forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring eller ikke-autorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet. Questback skal treffe tiltak for å sikre at enhver fysisk person som handler for Kunde eller databehandleren, og som har tilgang til personopplysninger, behandler nevnte opplysninger bare etter instruks fra Kunde, med mindre unionsretten eller medlemsstatenes nasjonale rett krever at vedkommende gjør dette. 21. Personell Questback er ansvarlig for at personell som er involvert i Behandling av Personopplysninger er informert om Personopplysningens konfidensielle karakter, at de har fått riktig opplæring knyttet til sitt ansvar, og at de er underlagt taushetsplikt. slike forpliktelser skal overleve ansettelsesforholdet mellom Questback og den ansatte. Questback vil sørge for at Questbacks tilgang til Personopplysninger er begrenset til det personell som krever slik tilgang for oppfyllelse av Avtalen. Questbackgruppen har utnevnt personvernrådgiver. Personvernrådgivers kontaktinformasjon er oppgitt på Sletting av Personopplysninger Etter avslutning av Avtalen vil Questback slette alle Personopplysninger i samsvar med Questbacks rutiner for sletting, med mindre annet følger av gjeldende rett. Side 3 av 7

4 23. Service Analyses Questback vil kunne (i) samle statistisk og annen informasjon relatert til ytelsen, driften og bruken av programvaren omfattet av Avtalen, og (ii) bruke data fra programvaren i aggregert form med sikkerhet og drift som formål, for å lage statistiske analyser, og for forskning og utvikling. Questback vil kunne gjøre slike analyser offentlig tilgjengelig. Slike analyser vil ikke inneholde Kundes innhold eller konfidensielle informasjon i et format som gjør det mulig å å identifisere Kunde eller Registrerte. Analysene inneholder ikke Personopplysninger. Questback har alle immaterielle rettigheter til analyser som beskrevet her. 24. Lovvalg og verneting Dersom lovvalg og verneting i Avtalen er et land innenfor EØS, vil samme lovvalg og verneting gjelde for denne DBA. Dersom lovvalg i Avtalen er et land utenfor EØS, vil eventuelle tvister som oppstår av eller står i forbindelse med DBA være underlagt norsk rett, og Oslo Tingrett vil være rett verneting. Underskrift Personene som signerer bekrefter at de har fullmakt til å binde partene til dette Bilag A til Databehandleravtalen. Godkjent av: [Kunde] Questback AS Navn i Sara Habberstad Blokkbokstaver: Tittel: General Counsel Dato: Underskrift: Bilag: Bilag A til Databehandleravtalen Side 4 av 7

5 BILAG A TIL DATABEHANDLERAVTALEN Kunde/ Behandlingsansvarlig: [Kundenavn] Questback kontaktperson: Sara Habberstad Databehandler/ Questback: Questback AS Beskrivelse av Behandlingen For å etterleve kravene i GDPR, må Partene gi en beskrivelse av behandlingen. Listen nedenfor inneholder slik informasjon som kreves etter GDPR artikkel 28. Hensikten med Behandlingen Tilgang til programvare: Hensikten med Behandlingen er at Questback gir Kunde tilgang til programvare, slik at kunde kan samle inn, behandle, lagre og analysere opplysninger ved bruk av programvaren i samsvar med Avtalen. Support og andre tjenester: Dersom det følger av Avtalen at Kunde har rett til Support og andre tjenester, vil også ytelse av Support og andre tjenester relatert til Kundes bruk av Programvaren være del av hensikten med Behandlingen. Behandlingens varighet Tilgang til programvare: Behandlingens varighet blir definert av Kunde i programvaren i hvert tilfelle. Varigheten vil ikke gå utover Avtalens varighet. Support og andre tjenester: Personopplysninger lagres så lenge det er nødvendig i) for Questbacks oppfyllelse av Avtalen, denne DBA eller eventuelle tilleggsavtaler mellom Kunde og Questback, eller ii) for etterlevelse av gjeldende rett. Personopplysninger blir slettet av Questback i samsvar med til enhver tid gjeldende sletterutiner. Behandlingens art når Questback gir tilgang til Programvare Personopplysninger fra Bruker: Questback samler inn Personopplysninger fra Bruker for å oppfylle Avtalen. I forbindelse med registrering i Questbacks programvare gir Kunde informasjon som brukes av Questback for å identifisere og lagre kontaktpersoner i Kundes organisasjon. Informasjon som er nødvendig for at Questback skal kunne vite hvem de registrerte brukerne av programvaren er, i samsvar med Avtalen. Kunde kan når som helst få tilgang til og redigere, oppdatere eller slette kontaktdetaljer ved å logge inn med brukernavn / passord i Questbacks programvare. Avhengig av Avtalens bestemmelser, vil Kunde kunne ha tilgang til å opprette flere brukere med ulike nivåer innenfor sin konto. Personopplysningene blir lagret i miljøet som tilbys av Questback i henhold til Avtalen, og vil bli brukt ved spørsmål om Support, og til å sende nødvendig informasjon om programvare, tjenester og Avtalen til relevante kontaktpersoner. Personopplysninger fra Respondent: Questback gir tilgang til programvare for innsamling av tilbakemeldinger fra Respondenter på internett. Kunde oppretter spørsmål og undersøkelser, og bruker programvaren for å gjøre undersøkelser tilgjengelig for Respondenter, og samle inn tilbakemelding fra Respondenter. Personopplysningene legges direkte inn i programvaren av Respondenten selv, og lagres av Questback i henhold til Avtalen. Behandlingens art dersom Questback gir support til Kunde: Personopplysninger fra Bruker: Personopplysningene som er lagret i programvaren Questback gir Kunde tilgang til gjennom Avtalen vil bli benyttet av Questback Supportpersonell ved forespørsel om Support, og til å sende nødvendig informasjon om programvare, tjenester og avtalen til relevante kontaktpersoner. Personopplysninger fra Respondent: Tilgang til personopplysningene finner sted dersom Kunden tar kontakt med Questback og etterspør Support. Hvis forespørselen krever det, vil Supportpersonell hos Questback kunne få tilgang til Personopplysninger, og behandle personopplysninger i den utstrekning det er behov for det for å yte Support etterspurt av kunde. Behandlingens art dersom Questback utfører konsulenttjenester og rådgivningstjenester til kunde: Personopplysninger fra Bruker: Personopplysningene som er lagret i programvaren Questback gir Kunde tilgang til gjennom Avtalen vil bli benyttet av Questback Supportpersonell ved forespørsel om Support, og til å sende nødvendig informasjon om programvare, tjenester og avtalen til relevante kontaktpersoner. Personopplysninger fra Respondent: Tilgang til personopplysningene kan finne sted for prosjekter som er definert i Avtalen. Dersom slike prosjekter krever det, vil Questbackkonsulenter få tilgang til, lagre og endre informasjon, inkludert Personopplysninger. Formålet med behandlingen: Questback behandler Personopplysninger for å oppfylle Avtalen med Kunde, og skal ikke benytte Personopplysninger for andre formål enn de som fremkommer av denne DBA, Avtalen eller i skriftlig instruks fra Kunde. Side 5 av 7

6 Kunde vil beskrive sitt formal med Behandlingen direkte i Programvaren for hver spørreundersøkelse, eller i Avtalen. Dersom Kunde ikke har beskrevet sitt formål med Behandlingen, er Behandlingen begrenset til følgende: [beskriv formål,] Kategorier av Registrerte Som Behandlingsansvarlig kan Kunde velge å legge til eller spesifisere kategorier av Registrerte. Slike kategorier av Registrerte beskrives i dette bilaget, eller skriftlig til Questback. Dersom Kunde ikke har beskrevet noen slike kategorier a v Registrerte, vil følgende kategorier av registrerte bli behandlet: Typen personopplysninger Brukere: Registrerte vil, avhengig av Avtalen, omfatte Kundes ansatte og/eller innleide som er utpekt av Kunde til å ha tilgang og bruksrett til Programvaren for å skape eller tilgjengeliggjøre brukerundersøkelser, for å ha tilgang til rapporter eller for andre formål. Respondenter: Registrerte vil, avhengig av Avtalen, omfatte Kundes ansatte som besvarer spørreundersøkelser som Respondenter, Kundes egne aktuelle eller potensielle kunder som besvarer spørreundersøkelser som Respondenter, eller andre individer som blir invitert av Kunde til å besvare Kundes spørreundersøkelser. [flere kategorier av Registrerte, hvis aktuelt] Ikke sensitive Personopplysninger: Som Behandlingsansvarlig kan Kunde velge å legge til eller spesifisere typer av Personopplysninger. Slike typer av personopplysninger kan legges til her, eller informeres skriftlig til Questback separat. Dersom Kunde ikke har lagt til slike typer personopplysninger, vil følgende typer omfattes av denne avtalen: Personopplysninger fra brukere. Navn, e postadresse, telefonnummer, rolle, interesseområde, adresse. Personopplysninger fra Respondenter: Eventuelle data i datafelt som er spesifikt merket av Kunde som Personopplysninger i Programvaren, samt Navn, E postadresse, Adresse, Telefonnummer, rolle, alder, fødselsdato, sivilstatus, antall barn, interesseområder, detaljer om yrke og arbeid, forretningsadresse [flere typer av Personopplysninger, hvis aktuelt]. Sensitive Personopplysninger: Som Behandlingsansvarlig kan Kunde velge å samle inn Sensitive Personopplysninger, som beskrevet i GDPR artikkel 9. Kunde vil oppgi slike typer av Personopplysninger her, eller informere Questback skriftlig. Dersom Kunde ikke har lagt til slike typer av Personopplysninger, omfatter denne avtalen ikke Sensitive Personopplysninger: [typer av Personopplysninger som skal oppføres, dersom dette er aktuelt] Side 6 av 7

7 Underdatabehandlere Selskapene oppført nedenfor har tilgang til Personopplysninger under denne DBA. Questbackselskapet som er Databehandler under denne DBA vil være Databehandler, de gjenværende enhetene vil være Underdatabehandlere. Sub processor Address Underdatabehandlers rolle Beliggenhet Akamai Technologies GmbH DATAGROUP Data Center GmbH DATAGROUP Bremen GmbH Akamai Technologies GmbH Parkring 29 D Garching bei München Hanauer Landstraße 310, Frankfurt am Main, Germany Mary Somerville Straße 8, Bremen, Germany Parkring 29 D Garching bei München Questback GmbH Gustav Heinemann Ufer 72a, Köln, Germany Questback AS Bogstadveien 54, 0366 Oslo, Norway Questback OY Questback Ltd. Questback Sweden AB Keilaranta 1, Espoo, Finland 7th Floor, 110 Cannon Street, London, EC4N 6EU, United Kingdom Kungsgatan 48, Stockholm, Sweden Ytelsesforbedring for Hostingleverandør Hostingleverandør Hostingleverandør Tilgang til hostingmiljø for arbeid med ytelsesforbedring Har kontrakten med Hostingleverandør i., Østerrike, Sveits Norge Finland Storbritannia Sverige Underskrift Personene som signerer bekrefter at de har fullmakt til å binde partene til dette Bilag A til Databehandleravtalen. Godkjent av: [Kundes navn] Questback AS Navn i Sara Habberstad blokkbokstaver Tittel: General Counsel Dato: Underskrift: Side 7 av 7