Tillegg til databehandling

VEDLEGG 1: Behandlingsdetaljer

1. LISTE OVER PARTER

DATAEKSPORTØR(ER)
 

DATAIMPORTØR(ER)

Kontaktinformasjon for alle tilknyttede dataimportører:

Via e-post: privacy@nasdaq.com

Per post til:

Office of General Counsel - Privacy Team 
Nasdaq, Inc. 
805 King Farm Blvd 
First Floor 
Rockville, MD 20850

Office of General Counsel - Stockholm Office 
Tullvaktsvägen 15, 
10578 Stockholm 
Sweden

2.              BESKRIVELSE AV OVERFØRINGEN

2.1            Categories of data subjects whose personal data is transferred

·       Kunden kan overføre kundens personopplysninger til tjenestene (som fastsatt og kontrollert av kunden etter eget skjønn, med forbehold om eventuelle begrensninger i avtalen), som kan gjelde følgende kategorier av registrerte:

• Ansatte, agenter, rådgivere, styremedlemmer, aksjonærer, kunder og leverandører av kunden (i hvert tilfelle, som er fysiske personer)
• Nåværende og potensielle investorer og/eller deres representanter
• Uavhengige vurderere eller analytikere av kunden eller dets personale
• Brukere autorisert av kunden til å få tilgang til og bruke tjenestene
• Enhver annen kategori av Data-subjekter hvis personopplysninger er inneholdt eller innebygd i Data, informasjon og materialer Kunden sender inn til tjenestene eller har Corporate Solutions (eller en annen tredjepart) sende inn til tjenestene på sine vegne
• Enhver annen kategori av Data-subjekter hvis personopplysninger er inneholdt eller innebygd i Data, informasjon og materialer Kunden sender inn til tjenestene eller har Corporate Solutions anskaffe på sine vegne

2.2            Categories of personal data transferred

·       Kunden har mulighet til å overføre sine personopplysninger til tjenestene (som fastsatt og kontrollert av kunden selv, med forbehold om eventuelle begrensninger i avtalen), som kan omfatte følgende kategorier av personopplysninger:

• Fornavn og etternavn, tittel, stilling, ansettelsesrelatert informasjon
• Kontaktinformasjon (firma, e-post, telefon, fysisk forretningsadresse)
• Eierinteresse i kunden
• Enhver annen kategori av personopplysninger som finnes innenfor Data, informasjon og materialer Kunden sender inn til tjenestene eller har Corporate Solutions (eller en annen tredjepart) sende inn til tjenestene på sine vegne

2.3            Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialized training), keeping a record of access to the data, restrictions for onward transfers or additional security measures.

·       Ved vanlig bruk av tjenestene forventer ikke Corporate Solutions at kunden vil overføre spesielle datakategorier til dem. Likevel, i henhold til seksjon 2.9 i DPA, kan kunden sende inn slike datakategorier til tjenestene (som bestemt og kontrollert av kunden alene).

2.4            The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis).

·       Corporate Solutions overfører kundens personopplysninger i henhold til kundens instruksjoner som spesifisert i seksjon 2.5 og 2.6 i DPA. Kunden bestemmer og kontrollerer hyppigheten av slike overføringer etter eget skjønn.

2.5            Nature of the processing

·       Behandling av kundens personopplysninger for å kunne tilby tjenestene til kunden.

2.6            Purpose(s) of the data transfer and further processing

·       Corporate Solutions håndterer kundens personopplysninger, inkludert eventuelle nødvendige begrensede overføringer, for å kunne tilby tjenestene.

2.7            The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period

·       Corporate Solutions vil oppbevare kundens personopplysninger i den perioden som partene har avtalt i avtalen.

2.8            For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing

·       Temaet og arten av enhver behandling utført av en underbehandler skal være som spesifisert i vedlegg 3 (underbehandlere) til DPA. Varigheten av enhver behandling utført av en underbehandler skal være som spesifisert i seksjon 2.7 i dette vedlegg 1 (behandlingsdetaljer).

3.              KOMPETENT TILSYNSMYNDIGHET

3.1            Identify the competent supervisory authority/ies in accordance with Clause 13

·       For paragraf 13 (Tilsyn), den tilsynsmyndigheten som har ansvar for å sikre at dataeksportøren overholder GDPR ved begrensede overføringer, nemlig den ledende tilsynsmyndigheten for dataeksportøren, skal opptre som den kompetente tilsynsmyndigheten.

VEDLEGG 2: Informasjonssikkerhetsprogram

Med hensyn til naturen, omfanget, konteksten og formålet med behandlingen, samt risikoene for rettighetene og frihetene til fysiske personer. Corporate Solutions har implementert, og vil opprettholde, et omfattende skriftlig informasjonssikkerhetsprogram ("Information Security Program") med hensyn til kundens personopplysninger som overføres til eller mottas av Corporate Solutions i utførelsen av tjenestene, som inkluderer administrative, tekniske og fysiske tiltak for å sikre konfidensialitet, sikkerhet, integritet og tilgjengelighet av kundens personopplysninger og for å beskytte mot uautorisert tilgang, bruk, avsløring, endring eller ødeleggelse av kundens personopplysninger.

Spesielt vil informasjonssikkerhetsprogrammet inkludere følgende tiltak der det er hensiktsmessig eller nødvendig for å sikre beskyttelsen av kundens personlige Data:

Tiltak for pseudonymisering og kryptering av personopplysninger

·       Tilgangskontroller - retningslinjer, prosedyrer samt fysiske og tekniske tiltak for å kryptere og dekryptere kundens personlige data der det er relevant.

Tiltak for å sikre kontinuerlig konfidensialitet, integritet, tilgjengelighet og motstandsdyktighet i behandlingssystemer og tjenester

·       Informasjonssikkerhetsprogram - et omfattende skriftlig program som inkluderer administrative, tekniske og fysiske tiltak for å sikre konfidensialitet, sikkerhet, integritet og tilgjengelighet av kundens personlige data og for å beskytte mot uautorisert tilgang, bruk, avsløring, endring eller ødeleggelse av kundens personlige data.

·       Beredskapsplanlegging - retningslinjer og prosedyrer for å håndtere nødsituasjoner eller andre hendelser (som brann, hærverk, systemfeil og naturkatastrofer) som skader kundens personlige data eller systemer som inneholder slike data, inkludert en plan for data backup og katastrofegjenoppretting.

Tiltak for å sikre evnen til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger på en tidsriktig måte i tilfelle en fysisk eller teknisk hendelse

·       Sikkerhetshendelsesprosedyrer - retningslinjer og prosedyrer for å oppdage, reagere på og håndtere sikkerhetshendelser, inkludert overvåking av systemer for å oppdage faktiske og forsøk på angrep eller inntrengninger i kundens personlige data eller tilknyttede informasjonssystemer, samt prosedyrer for å identifisere og reagere på mistenkte eller kjente sikkerhetshendelser, redusere skadelige effekter og dokumentere hendelser og deres utfall.

·       Beredskapsplanlegging - retningslinjer og prosedyrer for å håndtere nødsituasjoner eller andre hendelser (som brann, hærverk, systemfeil og naturkatastrofer) som skader kundens personlige data eller systemer som inneholder slike data, inkludert en plan for data backup og katastrofegjenoppretting.

Prosesser for regelmessig testing, vurdering og evaluering av effektiviteten til tekniske og organisatoriske tiltak for å sikre sikkerheten i behandlingen

·       Testing - Dataimportøren skal jevnlig evaluere de sentrale kontrollene, systemene og prosedyrene i sitt informasjonssikkerhetsprogram for å sikre at de er korrekt implementert og effektive i å håndtere de identifiserte truslene og risikoene. Tester skal utføres eller gjennomgås av uavhengige tredjeparter eller ansatte som ikke er involvert i utviklingen eller vedlikeholdet av sikkerhetsprogrammene.

Tiltak for brukeridentifikasjon og autorisasjon

·       Tilgangskontroller - retningslinjer, prosedyrer samt fysiske og tekniske kontroller: (i) for å begrense fysisk tilgang til informasjonssystemene og fasilitetene der de befinner seg til korrekt autoriserte personer; (ii) for å sikre at alle ansatte som trenger tilgang til kundens personlige data har riktig kontrollert tilgang, og for å forhindre at de som ikke skal ha tilgang får det; og (iii) for å autentisere og tillate tilgang kun til autoriserte individer og forhindre at ansatte gir kundens personlige data eller tilhørende informasjon til uautoriserte individer.

·       Dataintegritet - retningslinjer og prosedyrer for å sikre konfidensialitet, integritet og tilgjengelighet av kundens personlige data, samt beskytte det mot uautorisert avsløring, feilaktig endring eller ødeleggelse.

Tiltak for beskyttelse av data under overføring

·       Lagrings- og overføringssikkerhet - tekniske sikkerhetstiltak for å beskytte mot uautorisert tilgang til kundens personlige data under overføring over et elektronisk kommunikasjonsnettverk, inkludert mekanismer for å kryptere data i elektronisk form både under overføring og lagring på nettverk eller systemer som uautoriserte personer kan få tilgang til.

Tiltak for beskyttelse av data under lagring

·       Lagringsmedier - retningslinjer og prosedyrer for å sikre at før noe lagringsmedium som inneholder kundens personlige data blir tildelt, allokert eller reallokert til en annen bruker, eller før slikt lagringsmedium blir permanent fjernet fra et anlegg, vil dataimportøren slette slik kundens personlige data fra både et fysisk og logisk perspektiv, slik at mediet ikke inneholder noen restdata, eller om nødvendig fysisk ødelegge slikt lagringsmedium. Dataimportøren vil opprettholde et reviderbart program som implementerer avhendings- og destruksjonskravene angitt i denne seksjonen for alle lagringsmedier som inneholder kundens personlige data.

Tiltak for å sikre fysisk sikkerhet på steder der personopplysninger behandles

·       Informasjonssikkerhetsprogram - et omfattende skriftlig program som inkluderer administrative, tekniske og fysiske tiltak for å sikre konfidensialitet, sikkerhet, integritet og tilgjengelighet av kundens personlige data og for å beskytte mot uautorisert tilgang, bruk, avsløring, endring eller ødeleggelse av kundens personlige data.

Tiltak for å sikre hendelseslogging

·       Revisjonskontroller - maskinvare, programvare og/eller prosedyrer som registrerer og analyserer aktivitet i informasjonssystemer som inneholder eller bruker elektronisk informasjon, inkludert relevante logger og rapporter om disse sikkerhetskravene og deres etterlevelse.

Tiltak for å sikre systemkonfigurasjon, inkludert standardkonfigurasjon

·       Revisjonskontroller - maskinvare, programvare og/eller prosedyrer som registrerer og analyserer aktivitet i informasjonssystemer som inneholder eller bruker elektronisk informasjon, inkludert relevante logger og rapporter om disse sikkerhetskravene og deres etterlevelse.

Tiltak for intern IT- og IT-sikkerhetsstyring og -ledelse

·       Tildelt sikkerhetsansvar - Dataimportøren skal utpeke en sikkerhetsansvarlig som har ansvar for utvikling, implementering og vedlikehold av sitt informasjonssikkerhetsprogram. Dataimportøren skal informere kunden om hvem som har sikkerhetsansvaret.

·       Tilpass programmet - Dataimportøren skal overvåke, evaluere og tilpasse informasjonssikkerhetsprogrammet etter behov, med hensyn til relevante endringer i teknologi eller bransjens sikkerhetsstandarder, følsomheten til kundens personopplysninger, interne eller eksterne trusler mot dataimportøren eller kundens personopplysninger, samt dataimportørens egne endrede forretningsforhold, som fusjoner og oppkjøp, allianser og joint ventures, outsourcing-avtaler og endringer i informasjonssystemer. Med tanke på det ovennevnte kan informasjonssikkerhetsprogrammet bli endret; forutsatt at ingen slik oppdatering vil redusere de gjeldende sikkerhetsbeskyttelsene.

Tiltak for sertifisering/sikring av prosesser og produkter

·       Testing - Dataimportøren skal jevnlig evaluere de sentrale kontrollene, systemene og prosedyrene i sitt informasjonssikkerhetsprogram for å sikre at de er korrekt implementert og effektive i å håndtere de identifiserte truslene og risikoene. Tester skal utføres eller gjennomgås av uavhengige tredjeparter eller ansatte som ikke er involvert i utviklingen eller vedlikeholdet av sikkerhetsprogrammene.

·       Tilpass programmet - Dataimportøren skal overvåke, evaluere og tilpasse informasjonssikkerhetsprogrammet etter behov, med hensyn til relevante endringer i teknologi eller bransjens sikkerhetsstandarder, følsomheten til kundens personopplysninger, interne eller eksterne trusler mot dataimportøren eller kundens personopplysninger, samt dataimportørens egne endrede forretningsforhold, som fusjoner og oppkjøp, allianser og joint ventures, outsourcing-avtaler og endringer i informasjonssystemer. Med tanke på det ovennevnte kan informasjonssikkerhetsprogrammet bli endret; forutsatt at ingen slik oppdatering vil redusere de gjeldende sikkerhetsbeskyttelsene.

Tiltak for å sikre datakvalitet

·       Dataintegritet - retningslinjer og prosedyrer for å sikre konfidensialitet, integritet og tilgjengelighet av kundens personlige data, samt beskytte det mot uautorisert avsløring, feilaktig endring eller ødeleggelse.

Tiltak for å sikre begrenset datalagring

·       Enhets- og mediekontroller - retningslinjer og prosedyrer for håndtering av maskinvare og elektroniske medier som inneholder kundens personopplysninger inn og ut av en dataimportørfasilitet, samt bevegelsen av disse innenfor fasiliteten. Dette inkluderer retningslinjer for den endelige behandlingen av personopplysningene og/eller mediene de er lagret på, samt prosedyrer for å fjerne personopplysninger fra elektroniske medier før de gjenbrukes.

·       Lagringsmedier - retningslinjer og prosedyrer for å sikre at før noe lagringsmedium som inneholder kundens personlige data blir tildelt, allokert eller reallokert til en annen bruker, eller før slikt lagringsmedium blir permanent fjernet fra et anlegg, vil dataimportøren slette slik kundens personlige data fra både et fysisk og logisk perspektiv, slik at mediet ikke inneholder noen restdata, eller om nødvendig fysisk ødelegge slikt lagringsmedium. Dataimportøren vil opprettholde et reviderbart program som implementerer avhendings- og destruksjonskravene angitt i denne seksjonen for alle lagringsmedier som inneholder kundens personlige data.

Tiltak for å sikre ansvarlighet

·       Sikkerhetsbevissthet og opplæring - et program for sikkerhetsbevissthet og opplæring for alle ansatte hos dataimportøren (inkludert ledelsen), som omfatter opplæring i implementering og etterlevelse av informasjonssikkerhetsprogrammet.

·       Revisjonskontroller - maskinvare, programvare og/eller prosedyrer som registrerer og analyserer aktivitet i informasjonssystemer som inneholder eller bruker elektronisk informasjon, inkludert relevante logger og rapporter om disse sikkerhetskravene og deres etterlevelse.

Tiltak for å tillate dataportabilitet og sikre sletting

·       Enhets- og mediekontroller - retningslinjer og prosedyrer for håndtering av maskinvare og elektroniske medier som inneholder kundens personopplysninger inn og ut av en dataimportørfasilitet, samt bevegelsen av disse innenfor fasiliteten. Dette inkluderer retningslinjer for den endelige behandlingen av personopplysningene og/eller mediene de er lagret på, samt prosedyrer for å fjerne personopplysninger fra elektroniske medier før de gjenbrukes.

For overføringer til (under-) behandlere, beskriv også de spesifikke tekniske og organisatoriske tiltakene som skal tas av (under-) behandleren for å kunne gi assistanse til behandlingsansvarlig, og for overføringer fra en behandler til en underbehandler, til dataeksportøren

·       Corporate Solutions skal sikre at underbehandlere gir tekniske og organisatoriske tiltak som ikke er mindre beskyttende enn de som er set forth i DPA, inkludert dette Vedlegg 2 (Informasjonssikkerhetsprogram).

VEDLEGG 3: Underbehandlere

Fra og med ikrafttredelsesdatoen for DPA, er den første listen over underbehandlere som er autorisert til å bistå i levering av tjenestene tilgjengelig på følgende lenke: https://www.nasdaq.com/solutions/corporate-solutions/sub-processors (den "Sub-Processor List Site"). Corporate Solutions kan engasjere nye underbehandlere i samsvar med seksjon 5.3 (Varsel og kundens rett til å protestere mot nye underbehandlere) av DPA.