Databehandleravtale

Denne databehanderavtalen er et tillegg til Avtalen som trer i kraft når du bruker våre hosting-tjenester (DNS, epost, web, etc.) til å lagre, overføre eller på annen måte behandle personopplysninger. Den beskriver rettigheter og plikter for deg som behandlingsansvarlig og Subsys AS som databehandler.

1. Definisjoner

"GDPR" betyr EUs personvernforordning, General Data Protection Regulation (EU) 2016/679, som vedtatt av Europaparlamentet og Rådet for Den europeiske union den 14. april 2016.

"Personvernlovgivning" betyr alle gjeldende lover og forskrifter om databeskyttelse og personvern, inkludert GDPR og den norske Personopplysningsloven.

"Personopplysning" betyr enhver opplysning om en identifisert eller identifiserbar fysisk person. En identifiserbar fysisk person er en som kan identifiseres, direkte eller indirekte, særlig med henvisning til en identifikator, slik som et navn, et identifikasjonsnummer, posisjonsdata, en elektronisk identifikator eller til en eller flere faktorer som er spesifikke for den fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sosiale identiteten til den fysiske personen.

"Den registrerte" betyr den fysiske personen som et bestemt sett med personopplysninger vedrører.

"Behandling" betyr enhver operasjon eller sett av operasjoner som utføres på personopplysninger eller på sett av personopplysninger, enten det er automatisert eller ikke, slik som innsamling, mottak, organisering, strukturering, lagring, bearbeidelse, endring, uthenting, konsultasjon, bruk, overføring, formidling, tilgjengeliggjøring, justering, kombinering, begrensning, sletting eller tilintetgjørelse.

"Behandlingsansvarlig" betyr den fysiske eller juridiske person, offentlig myndighet, byrå eller annet organ som, alene eller i fellesskap med andre, bestemmer formålet med og midlene for behandling av personopplysninger. I denne databehandleravtalen skal behandlingsansvarlig henvise til deg.

"Databehandler" betyr en fysisk eller juridisk person, offentlig myndighet, et byrå eller et annet organ som behandler personopplysninger på vegne av behandlingsansvarlig. I denne databehandleravtalen skal databehandler referere til Subsys AS.

"Tilsynsmyndighet" betyr en uavhengig offentlig myndighet som er opprettet av en EU/EØS-stat i henhold til artikkel 51 i GDPR. I Norge er det Datatilsynet som er tilsynsmyndighet.

2. Varighet, tema og formål for behandlingen

Subsys AS, i egenskap av databehandler, vil gjøre våre hosting-servere tilgjengelige for deg, behandlingsansvarlig, for å lagre og behandle dine data, inkludert eventuelle personopplysninger som definert av deg. Formålet med behandlingen er å la deg bruke lagringsplass, prosessorkraft og båndbreddekapasitet til å laste opp, overføre og behandle personopplysninger som en del av hosting-tjenestene vi leverer til deg. Varigheten av denne databehandleravtalen skal være den samme som Avtalen for de hosting-tjenestene du har bestilt fra oss.

Kategorier av personopplysninger kan være kunder, leverandører, ansatte, medlemmer, studenter, besøkende, deltakere, brukere eller andre grupper av fysiske personer, som definert av behandlingsansvarlig.

Typer av personopplysninger kan være navn, fødselsdatoer, postadresser, telefonnumre, epostadresser, IP-adresser, brukernavn, passord, informasjonskapsler (cookies), kundenumre, nasjonale identifikasjonsnumre, kredittkortnumre, kjøpshistorikk, loggfiler, brukeroppførsel og -preferanser, posisjonsdata, fotografier, videoklipp eller andre typer opplysninger, som definert av behandlingsansvarlig, som kan brukes alene eller i sammenheng med andre opplysninger for å identifisere en fysisk person.

3. Den behandlingsansvarliges rettigheter og plikter

Det er ditt ansvar, i egenskap av behandlingsansvarlig:

(a) å definere hvilke kategorier av personopplysninger og hvilke typer personopplysninger som skal behandles, og bestemme formålet for behandlingen og på hvilken måte personopplysningene skal behandles;

(b) å sørge for at alle personopplysninger behandles i henhold til gjeldende personvernlovgivning, inkludert GDPR;

(c) ved å laste opp eller overføre personopplysninger ved bruk av våre hosting-tjenester, gi Subsys AS tillatelse til å lagre opplysningene på våre servere og instruere oss om å ta de nødvendige sikkerhetsregler for å beskytte opplysningene mot uautorisert tilgang og utilsiktet tap av data. Dette inkluderer å ha fysiske og logiske prosedyrer for tilgangskontroll og å ta sikkerhetskopier med jevne mellomrom.

(d) Du har også rett til å si opp hosting-avtalen med oss dersom vi ikke lenger oppfyller våre forpliktelser i henhold til denne Avtalen eller gjeldende personvernlovgivning.

4. Databehandlerens rettigheter og plikter

Subsys AS, i egenskap av databehandler, forplikter seg til:

(a) å behandle dine personopplysninger kun etter dine instruksjoner, det vil si som data som skal lagres og behandles på våre servere mens integriteten og konfidensialiten til dataene skal beskyttes, og straks gi deg beskjed dersom det etter vår mening er en instruksjon som strider mot gjeldende personvernlovgivning, herunder GDPR;

(b) å sørge for at alle ansatte i Subsys AS som har tilgang til dine personopplysinger, er autorisert til å ha det, og vil behandle opplysningene dine konfidensielt, også etter at hosting-avtalen er avsluttet;

(c) å ha på plass de nødvendige tekniske og organisatoriske sikkerhetstiltak for å sikre tilstrekkelig sikkerhet for dine data, herunder beskyttelse mot uautorisert eller ulovlig behandling og utilsiktet tap, ødeleggelse eller skade;

(d) å lagre dataene dine bare på servere i Norge og aldri dele dem med noen underleverandør eller tredjepart, bortsett fra med norske myndigheter dersom påkrevd ved lov;

(e) å viderefomidle til deg eventuelle henvendelser fra de registrerte om deres personvernrettigheter, for eksempel retten til tilgang, korrigering og sletting;

(f) å informere deg umiddelbart dersom det oppstår et sikkerhetsbrudd, inkludert all informasjon som er nødvendig for at du skal kunne varsle tilsynsmyndigheten og/eller de registrerte om nødvendig;

(g) innen 12 måneder etter opphør av hosting-avtalen, slette alle hosting-data, inkludert eventuelle sikkerhetskopier;

(h) på forespørsel, bidra til revisjoner og inspeksjoner og gi deg all nødvendig informasjon for å demonstrere overholdelse av våre forpliktelser som databehandler i henhold til denne databehandleravtalen og GDPR.

5. Sikkerhetstiltak og -anbefalinger

Subsys AS har som langvarig hosting-leverandør tatt i bruk en rekke sikkerhetstiltak, både tekniske og organisatoriske, for å beskytte integriteten og konfidensialiteten til våre kunders data. Hos oss er risikoanalyse og databeskyttelse en kontinuerlig prosess. Av plasshensyn og av konkurransemessige og sikkerhetsmessige grunner kan vi ikke gå i detalj om alle sikkerhetstiltak vi har satt i verk. Vi kan bare gi en overordnet beskrivelse av noe av den maskinvaren og programvaren, samt de rutinene og prosedyrene vi har på plass for å beskytte dine data.

Disse inkluderer, men er ikke begrenset til:

  • Fysisk tilgangskontroll til hosting-servere
  • Brannmurer for deteksjon og forhindring av inntrengingsforsøk
  • Redundant lagring (RAID) og strømforsyning (UPS)
  • Kort responstid for sikkerhetsoppdateringer (for å forhindre utnyttelse av sikkerhetshull straks de publiseres)
  • Bruk av sterk kryptering når data flyttes mellom servere
  • Logging for å oppdage og forhindre sikkerhetshendelser og å muliggjøre sporbarhet av endringer
  • Planlegging og testing for katastrofescenarier

Ethvert sikkerhetssystem er bare så sterkt som det svakeste leddet. I et delt servermiljø slik som hos Subsys As, kan enkle brukerfeil som å sette gale rettigheter på en fil, kompromittere sikkerheten til dine data. Vi må derfor understreke viktigheten av at du setter riktige rettigheter på alle dine filer og databaser, og at du bruker sterke passord for dine påloggningskontoer hos oss. Her følger noen flere sikkerhetsanbefalinger for å beskytte dataene dine når du benytter våre hosting-tjenester.

Vi anbefaler at dersom du bruker våre web hosting-tjenester til å behandle personopplysninger, så bør all webtrafikk krypteres ved hjelp av HTTPS i stedet for vanlig (ukryptert) HTTP. For alle våre web hosting-pakker tilbyr vi gratis HTTPS-kryptering med algoritmer og sertifikater i henhold til gjeldende bransjestandarder, men det kan være du må aktivere dette selv i kontrollpanelet.

Tilsvarende anbefaler vi at du, sålangt det er teknisk mulig, når du overfører personopplysninger til eller fra våre hosting-servere ved hjelp av FTP-protokollen eller når du leser epost ved hjelp av POP eller IMAP, at du bruker de krypterte variantene av disse protokollene (SSL/TLS). Subsys AS tilbyr både kryptert og ukryptert dataoverføring, men du må selv sørge for at den klientprogramvaren du bruker, er konfigurert til å bruke SSL/TLS-kryptering.

Dersom du lagrer passord, anbefaler vi at de, når det er teknisk mulig, lagres i et kryptert eller hashet format i stedet for i klartekst.

Vi anbefaler ikke at du bruker Subsys AS delte servermiljø til å behandle sensitive personopplysninger. Sensitive personopplysninger inkluderer informasjon om rasemessig eller etnisk opprinnelse, politiske meninger, religiøs eller filosofisk tro, fagforeningsmedlemskap, genetiske data, biometriske data, helseopplysninger eller opplysninger om en persons sexliv eller seksuelle orientering.

For slike personopplysninger anbefaler vi i stedet en dedikert server eller virtuell privat server (VPS). Subsys AS tilbyr ikke disse tjenestene.