1. DATABEHANDLING
1.1 For formålene med denne policyen ( Retningslinjer for behandling av data), betyr "databeskyttelseslovgivning" Data Protection Act 1998, og alle gjeldende lover og forskrifter knyttet til behandling av personopplysninger (inkludert, der det er aktuelt, veiledningen og retningslinjene for praksis utstedt av enhver kompetent myndighet) og som skal inkludere den nasjonale gjennomføringsloven for den generelle databeskyttelsesforordningen (2016/679/EU) som vil erstatte databeskyttelsesloven 1998 når den trer i kraft ( databeskyttelseslovgivning ).
1.2 Blue Ridge og/eller dets tilknyttede selskaper («Selskapet») skal overholde all gjeldende databeskyttelseslovgivning i forhold til sine forpliktelser i henhold til denne databeskyttelsespolicyen som databehandler. For formålene med disse retningslinjene for databeskyttelse skal "personopplysninger" ha den betydningen som tilskrives dem i databeskyttelseslovgivningen (personopplysninger) og skal forholde seg til personopplysninger som behandles av selskapet for eller på vegne av behandlingsansvarlig eller noen av dets tilknyttede selskaper . Databehandler og databehandler har betydningene som er definert i databeskyttelseslovgivningen.
1.3 Vedlegget til denne personvernpolicyen angir omfanget, arten og formålet med behandlingen av personopplysninger av selskapet i henhold til denne avtalen ( databeskyttelsesformål ), inkludert detaljer om varigheten av behandlingen, typene personopplysninger, som vil behandles av selskapet og kategorier av datasubjekter (der datasubjektet har betydningen som definert i databeskyttelseslovgivningen ). Eventuelle endringer i databeskyttelsesformålet må avtales skriftlig mellom partene.
1.4 Datakontrollører må sørge for at de har alle nødvendige nødvendige samtykker og godkjenninger på plass for å muliggjøre lovlig overføring av personopplysningene til selskapet i løpet av varigheten og formålene til denne personvernerklæringen.
1.5 Uten at det berører det generelle i punkt 1.2, skal selskapet, i forhold til personopplysninger som behandles i forbindelse med utførelsen av sine forpliktelser i henhold til denne personvernerklæringen:
(a) en prosess som personopplysninger kun er i samsvar med databeskyttelsesformålet og de skriftlige instruksjonene fra databehandler fra tid til annen i samsvar med denne databeskyttelsespolicyen, og ikke for noe annet formål med mindre selskapet er pålagt av lovene til medlem av den europeiske union eller av lovene i den europeiske union som gjelder for selskapet for å behandle personopplysninger (gjeldende lover). Der selskapet er avhengig av lover i et medlem av EU eller EU-lov som grunnlag for behandling av personopplysninger, skal selskapet umiddelbart varsle databehandler om dette før det utfører behandlingen som kreves av gjeldende lover, med mindre de gjeldende lovene forbyr selskapet fra å varsle datakontrollør;
(b) ikke avsløre personopplysningene eller informasjonen som er hentet fra personopplysningene til tredjeparter uten skriftlig forhåndsgodkjenning fra behandlingsansvarlig og sikre at alt selskapets personell som har tilgang til og/eller behandler personopplysninger er riktig opplært i samsvar med dataene Beskyttelseslovgivning og er klar over, og forpliktet til å overholde, kravene for å holde personopplysningene konfidensielle;
(c) sikre at den har på plass passende tekniske og organisatoriske tiltak mot uautorisert eller ulovlig behandling av personopplysninger og mot utilsiktet tap eller ødeleggelse av eller skade på personopplysninger, som om det var behandlingsansvarlig med hensyn til disse personopplysningene , i samsvar med databeskyttelseslovgivningen, og skal gi databehandler all informasjon som behandlingsansvarlig med rimelighet ber om i forhold til de tekniske og organisatoriske tiltak som den har implementert, og umiddelbart etterkomme eventuelle krav som er stilt av databehandler for å sikre at den tekniske og organisatoriske tiltak er i samsvar med databeskyttelseslovgivningen;
(d) ikke bruke en underbehandler med mindre det er uttrykkelig skriftlig godkjent av databehandleren eller på annen måte er for et legitimt formål. Når en underbehandler brukes, vil selskapet sørge for at alle slike underbehandlere som har tilgang til og/eller behandler personopplysninger er passende opplært i samsvar med databeskyttelseslovgivningen og er klar over, og forpliktet til å overholde, kravene for å holde personopplysningene konfidensielle. Selskapet må, som en forutsetning for, og som en løpende betingelse for, enhver delbehandling av personopplysninger, ha en skriftlig avtale på plass med tredjepartsbehandleren, som gir ikke mindre beskyttelse enn den behandlingsansvarlige gir under disse dataene. Beskyttelsespolicy;
(e) bistå behandlingsansvarlig med å svare på forespørsler og/eller klager fra datasubjekter som utøver sine rettigheter i forhold til databeskyttelseslovgivningen;
(f) bistå databehandler med å overholde sine forpliktelser i henhold til databeskyttelseslovgivningen med hensyn til sikkerhet, bruddvarsler, konsekvensanalyser og konsultasjoner med tilsynsmyndigheter eller regulatorer;
(g) på forespørsel fra behandlingsansvarlig, slette eller returnere til behandlingsansvarlig alle personopplysninger og kopier av disse ved oppsigelse av den relevante avtalen mellom selskapet og behandlingsansvarlig (eller når som helst etter anmodning fra behandlingsansvarlig) med mindre og i den grad lagring kreves av databehandleren i henhold til gjeldende lover;
(h) gjøre tilgjengelig for behandlingsansvarlig, eller enhver tredjepart behørig utpekt av behandlingsansvarlig, all informasjon som er nødvendig for å demonstrere selskapets overholdelse av kravene i denne personvernerklæringen og tillate og med rimelighet bistå med revisjoner som er rimelig forespurt av behandlingsansvarlig i forhold til å fastslå Selskapets overholdelse av disse retningslinjene for databeskyttelse;
(i) ikke overføre noen personopplysninger utenfor det europeiske økonomiske samarbeidsområdet uten skriftlig forhåndssamtykke fra behandlingsansvarlig og/eller i strid med et legitimt formål og der slikt samtykke er gitt av behandlingsansvarlig og/eller slikt legitimt formål er bestemt, Selskapet vil sørge for at:
- enhver overføring av personopplysninger utenfor det europeiske økonomiske samarbeidsområdet er i samsvar med de skriftlige instruksjonene og godkjenningen fra behandlingsansvarlig og/eller et slikt legitimt formål;
- den har passende garantier i forhold til overføringen;
- den registrerte vil fortsatt ha håndhevbare rettigheter og effektive rettsmidler;
- det til enhver tid overholder sine forpliktelser i henhold til denne databeskyttelsespolicyen, ved å gi et tilstrekkelig beskyttelsesnivå til alle personlige data som overføres; og
- den overholder alle rimelige instruksjoner som er varslet til den på forhånd av den behandlingsansvarlige med hensyn til behandling og/eller overføring av personopplysningene (for eksempel innlemming av de siste EU-standardkontraktsklausulene (i forhold til overføringer av personopplysninger utenfor EØS); og
(j) informere behandlingsansvarlig umiddelbart dersom noen av instruksjonene fra behandlingsansvarlig til selskapet bryter med databeskyttelseslovgivningen.
1.6 Der selskapet blir oppmerksom på et datasikkerhetsbrudd, eller enhver annen relevant hendelse som påvirker sikkerheten eller integriteten til personopplysninger (et personopplysningsbrudd ), skal selskapet:
(a) informere behandlingsansvarlig umiddelbart, og under alle omstendigheter innen 24 timer etter det relevante personopplysningsbruddet;
(b) gi til behandlingsansvarlig all relevant informasjon om bruddet på personopplysninger for å hjelpe til med enhver etterforskning fra behandlingsansvarlig og/eller relevant regulator; og
(c) ta alle rimelige skritt som kreves av behandlingsansvarlig og/eller relevant regulator for å inneholde og svare på personopplysningsbruddet.