1 AVTALENS HENSIKT

Bestillingsskjemaet som denne Databehandleravtalen er vedlegg til (heretter kalt Bestillingsskjemaet) innebærer at CALT MEDIA AS, i dette Vedlegg 2 kalt “Databehandleren”, vil Behandle Personopplysninger på vegne av Kjøper eller Selger, i dette Vedlegg 2 kalt “Behandlingsansvarlig”. Denne databehandleravtalen (heretter kalt «Databehandleravtalen») regulerer partenes rettigheter og plikter etter Gjeldende personvernrett for blant annet å sikre at Personopplysninger om de Registrerte ikke brukes urettmessig eller kommer uberettigede i hende. 

2 DEFINISJONER

«Gjeldende personvernrett»: EUs personvernforordning 2016/679 («GDPR») som trådte i kraft 20. juli 2018, eller annen fremtidig EU-lovgivning, nasjonale eller internasjonalt bindende personvernlover eller forskrifter, og som regulerer den Behandlingsansvarlige eller Databehandleren. «Gjeldende personvernrett» inkluderer bindende veiledninger, avgjørelser eller vedtak fra myndigheter, domstoler eller andre relevante organer, i tillegg til personopplysningsloven (heretter kalt «GDPR»);

«Personopplysninger»: Enhver opplysning om en identifisert eller identifiserbar fysisk person («den Registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet;

«Sikkerhetsbrudd»: Et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til Personopplysninger som er overført, lagret eller på annen måte behandlet;

«Behandling»: Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring;

«Pseudonymisering»: Behandling av Personopplysninger på en slik måte at Personopplysningene ikke lenger kan knyttes til en bestemt registrert uten bruk av tilleggsopplysninger, forutsatt at nevnte tilleggsopplysninger lagres atskilt og omfattes av tekniske og organisatoriske tiltak som sikrer at Personopplysningene ikke kan knyttes til en identifisert eller identifiserbar fysisk person;

«Underleverandør»: En tredjeparts underleverandør som er tilsatt av Databehandleren for å bistå i Behandlingen av Personopplysninger på vegne av den Behandlingsansvarlige;

3 BEHANDLING AV PERSONOPPLYSNINGER

Behandlingsansvarliges rettigheter og plikter. Den Behandlingsansvarlige er ansvarlig for å sikre at Behandling av Personopplysninger skjer i overensstemmelse med Gjeldene personvernrett. Den Behandlingsansvarlige har rett og plikt til å bestemme formålet med Behandlingen av Personopplysninger og hvilke midler som skal benyttes. Den Behandlingsansvarlige er ansvarlig for, blant annet, å sikre at det foreligger et behandlingsgrunnlag for Behandlingen av Personopplysninger som Databehandleren instrueres om å gjøre og informere de Registrerte om Behandlingen av Personopplysninger, samt å overholde Behandlingsansvarliges forpliktelser etter Gjeldende personvernrett.

Instruks. Databehandleren skal kun Behandle Personopplysninger i henhold til dokumenterte instrukser fra den Behandlingsansvarlige, med mindre annet kreves av unionsretten eller medlemsstatenes nasjonale rett som Databehandleren er underlagt. Databehandleren skal til enhver tid kunne dokumentere konkrete instrukser fra Behandlingsansvarlig. Behandlingsansvarliges instrukser gitt til Databehandler og som gjelder ved inngåelse av Databehandleravtalen fremgår av Vedlegg 2.1.

Databehandler skal umiddelbart underrette Behandlingsansvarlig dersom (i) Databehandler mener at en instruks gitt av Behandlingsansvarlig er i strid med Gjeldende personvernrett, og (ii) Databehandler mangler instruks om hvordan Personopplysninger skal behandles i en bestemt situasjon. Databehandler godtar at Behandlingsansvarlig kan endre sine instrukser til Databehandler, og dessuten at Behandlingsansvarlig kan foreta eventuelle endringer i denne Databehandleravtalen som følge av endringer i Gjeldende personvernrett, men instruksene skal alltid være dokumenterte. Databehandleren har rett til rimelig kompensasjon ved endringer i regelverk eller Gjeldende personvernrett og instruksjoner som fører til høyere kostnad eller ekstraarbeid for Databehandleren enn det som rimelig kan forventes av Behandlingsansvarlig.

Bistand til Behandlingsansvarlig. Databehandler skal, idet det tas hensyn til Behandlingens art og i den grad det er mulig, ved hjelp av egnede tekniske og organisatoriske tiltak, bistå Behandlingsansvarlig med å oppfylle sine forpliktelser etter Gjeldende personvernrett. Slik bistand omfatter blant annet Behandlingsansvarliges oppfyllelse av sin plikt til svare på forespørsler fra Registrerte om utøvelse av deres rettigheter etter GDPR kapittel 3.

I tillegg skal Databehandleren bistå den Behandlingsansvarlige, idet det tas hensyn til Behandlingens art og den informasjonen som er tilgjengelig for Databehandleren, med å etterleve sine forpliktelser etter GDPR artikkel 32 til 36, herunder Behandlingsansvarliges plikt til å foreta en vurdering av hvilke konsekvenser den planlagte Behandlingen vil ha for personopplysningsvernet.

Forespørsler fra tredjeparter. Dersom den Registrerte, myndigheter eller andre ber om informasjon fra Databehandleren vedrørende Behandlingen av Personopplysninger i medhold av denne Databehandleravtalen, skal Databehandleren henvise forespørselen til Behandlingsansvarlig. Databehandleren skal ikke, uten forutgående instruksjoner fra Behandlingsansvarlig, overføre eller på annen måte utlevere Personopplysninger eller annen informasjon knyttet til Behandlingen av Personopplysninger til en tredjepart. Hvis Databehandleren i henhold til unionsretten eller medlemsstatenes nasjonale rett som Databehandleren er underlagt eller Gjeldende personvernrett er pålagt å utlevere Personopplysninger som Databehandleren Behandler på vegne av den Behandlingsansvarlige, må Databehandleren umiddelbart informere Behandlingsansvarlig om dette, og be om konfidensialitet i forbindelse med utleveringen av informasjonen. Databehandler skal ikke handle på vegne av eller opptre som representant for Behandlingsansvarlig.

Ytterligere tiltak. Dersom Behandlingsansvarlig innen rimelighetens grenser etterspør ytterligere tekniske og organisatoriske sikkerhetstiltak og tilpasninger av behandlingsaktivitetene, skal dette implementeres av Databehandleren. Salær for arbeid og utgifter som er nødvendig for å etterkomme instruksjoner og anmodninger fra Behandlingsansvarlig, skal dekkes av Behandlingsansvarlig.

Behandlingsansvarlig skal varsle Databehandleren om eventuelle endringer av den Behandlingsansvarliges sikkerhetsinstruksjoner og Behandling av Personopplysninger innen rimelig tid slik at Databehandleren rekker å gjøre de nødvendige endringer i de prosedyrene som må implementeres.

Revisjon. Databehandleren skal gi Behandlingsansvarlig all informasjon og nødvendig assistanse for å påvise at forpliktelsene i denne Databehandleravtalen og Gjeldende personvernrett er overholdt. Databehandler skal videre muliggjøre og bidra til revisjoner, herunder inspeksjoner på stedet av Behandlingsansvarlig eller annen inspektør med fullmakt fra den Behandlingsansvarlige. Dersom den Behandlingsansvarlige velger å utføre en revisjon, skal dette varsles til Databehandleren minst 90 dager i forveien. Den Behandlingsansvarlige skal utføre slik revisjon uten å forårsake vesentlige avbrudd i Databehandlerens vanlige drift. Revisjonen skal ikke gi Behandlingsansvarlig tilgang til forretningshemmeligheter eller proprietær informasjon med mindre det kreves for å overholde Gjeldende personvernrett. Den Behandlingsansvarlige skal sikre at personell som utfører slik revisjon er underlagt tilstrekkelig taushetsplikt. Dersom partene er enige om at revisjon skal utføres av ekstern revisor, oppnevnes slik ekstern revisor av Behandlingsansvarlig. Databehandleren kan motsette seg slik oppnevnelse dersom revisoren er en konkurrent til Databehandleren. Begge parter skal ha rett til å motta en kopi av revisjonsrapporten ved utførte revisjoner. Hver part skal dekke sine egne kostnader forbundet med revisjonen.

Retting og sletting. Databehandleren skal, i tråd med den Behandlingsansvarliges forespørsel eller instruks, rette eller slette alle Personopplysninger som Databehandler har Behandlet på vegne av Behandlingsansvarlig etter denne Databehandleravtalen. Dette gjelder med mindre Gjeldende personvernrett eller annen lovgivning krever lagring av Personopplysningene.

4 BRUK AV UNDERLEVERANDØRER

Samtykke. Databehandleren har den Behandlingsansvarliges generelle godkjennelse til å benytte underdatabehandlere. Databehandleren skal skriftlig underrette den Behandlingsansvarlige om eventuelle planlagte endringer som gjelder tilføyelse eller utskiftning av databehandlere med 30 dagers varsel og dermed gi den Behandlingsansvarlige mulighet til å motsette seg slike endringer før den eller de beskrevne underdatabehandlere engasjeres. Liste over Underleverandører som den Behandlingsansvarlige allerede har godkjent fremgår av Vedlegg 2.2.

Databehandleren skal ha en oppdatert liste over de Underleverandørene som benyttes, jf. Vedlegg 2.2. Behandlingsansvarlig skal på forespørsel på en kopi av denne listen.

Avtale med Underleverandør. Ansvar. Databehandleren skal sørge for at eventuelle godkjente Underleverandører inngår skriftlige avtaler som pålegger dem de samme forpliktelsene med hensyn til vern av Personopplysninger som er fastsatt i denne Databehandleravtalen. Databehandleren er fullt ut ansvarlig overfor den Behandlingsansvarlige hva gjelder utførelsen av Underleverandørenes forpliktelser.

5 OVERFØRING TIL TREDJELAND

Databehandleren kan kun overføre Personopplysninger til tredjeland eller internasjonale organisasjoner etter dokumentert instruks fra den Behandlingsansvarlige, og slik overføring skal alltid skje i overensstemmelse med GDPR kapittel V.

Hvis overføring av Personopplysninger til tredjeland eller internasjonale organisasjoner, som Databehandleren ikke er blitt instruert av den Behandlingsansvarlige om å gjennomføre, kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett som Databehandleren er underlagt, skal Databehandleren underrette den Behandlingsansvarlige om nevnte rettslige krav før Behandlingen, med mindre denne rett av hensyn til viktige allmenne interesser forbyr en slik underretning.

Uten dokumentert instruks fra den Behandlingsansvarlige kan Databehandleren innenfor rammene av denne Databehandleravtalen således ikke:

1. Overføre Personopplysninger til Behandlingsansvarlig eller Databehandler i et tredjeland eller en internasjonal organisasjon;

2. Overlate Behandling av Personopplysninger til en underleverandør i et tredjeland

3. Behandle Personopplysninger i et tredjeland

Den Behandlingsansvarliges instruks når det gjelder overføring av Personopplysninger til et tredjeland, herunder det eventuelle overføringsgrunnlaget i GDPR kapittel V som overføringen er basert på, skal angis i vedlegg 2.1.

6 INFORMASJONSSIKKERHET OG KONFIDENSIALITET

Generelt. Databehandleren skal, for å bistå Behandlingsansvarlig med å oppfylle sine forpliktelser etter Gjeldende personvernrett når det gjelder blant annet sikkerhetstiltak og konsekvensutredninger, være forpliktet til å gjennomføre og dokumentere hensiktsmessige tekniske og organisatoriske tiltak for å beskytte de Personopplysningene som Behandles. Databehandler skal følge Behandlingsansvarliges eventuelle og til enhver tid gjeldende skriftlige krav eller retningslinjer knyttet til informasjonssikkerheten.

Plikt til å opprettholde tilstrekkelig sikkerhetsnivå. Databehandleren skal opprettholde et sikkerhetsnivå for Behandlingen av Personopplysningene som er tilstrekkelig i forhold til risikoen ved Behandlingen. Databehandleren skal beskytte Personopplysningene fra ødeleggelse, endring, ikke-autorisert utlevering, eller ikke-autorisert tilgang. Hensyntatt den tekniske utviklingen og gjennomføringskostnadene, Behandlingens art, omfang, formål og i hvilken sammenheng den utføres, i tillegg til den varierende sannsynlighets- og alvorlighetsgraden for fysiske personers rettigheter og friheter, skal Databehandleren i samråd med Behandlingsansvarlig gjennomføre følgende tekniske og organisatoriske tiltak:

1. Pseudonymisering og kryptering av Personopplysninger;

2. Sikre vedvarende fortrolighet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene som behandler Personopplysninger;

3. Gjenopprette tilgjengeligheten og tilgangen til Personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse; og

4. En prosess for regelmessig testing, analysering og vurdering av hvor effektive tekniske og organisatoriske sikkerhetstiltak er med hensyn til sikkerheten ved Behandlingen.

Konfidensialitet. Databehandleren skal ikke, uten den Behandlingsansvarliges skriftlige forhåndsgodkjenning, utlevere eller på annen måte gjøre Personopplysninger Behandlet i medhold av denne Databehandleravtalen tilgjengelig for tredjeparter. Dette med unntak for de Underleverandører som eventuelt er engasjert i samsvar med Databehandleravtalen.

Databehandleren skal være forpliktet til å sikre at det kun er personer som direkte trenger tilgang til Personopplysninger for å oppfylle Databehandlerens forpliktelser i samsvar med Bestillingsskjemaet og alle dets vedlegg som har tilgang til slik informasjon. Databehandleren skal sørge for at alle personene som er involvert i Behandlingen av Personopplysningene har forpliktet seg til konfidensialitet eller er underlagt lovbestemt taushetsplikt.

Ovennevnte konfidensialitetsplikt gjelder også etter at denne Databehandleravtalen har opphørt.

7 HÅNDTERING AV SIKKERHETSAVBRUDD

Ved Sikkerhetsbrudd som involverer Personopplysninger som Behandles på vegne av Behandlingsansvarlig, skal Databehandleren bistå Behandlingsansvarlig med å sikre overholdelse av den Behandlingsansvarliges forpliktelser i henhold til Gjeldende personvernrett, herunder GDPR artikkel 33. Databehandleren skal skriftlig varsle Behandlingsansvarlig uten ugrunnet opphold, og senest 24 timer etter at Databehandler har fått kunnskap om Sikkerhetsbruddet. Varselet skal som et minimum:

1. Beskrive typen Sikkerhetsbrudd, herunder, hvis mulig, kategoriene av og omtrentlig antall Registrerte og personopplysningsposter som er berørt;

2. Inneholde navnet og kontaktopplysningene til vedkommende som kan kontaktes for mer informasjon;

3. Beskrive sannsynlige konsekvenser av Sikkerhetsbruddet;

4. Beskrive de tiltak som er tatt eller foreslås tatt av den Behandlingsansvarlige for å håndtere Sikkerhetsbruddet, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av Sikkerhetsbruddet.

8 AVTALENS VARIGHET 

Varighet. Med mindre annet fremgår gjelder denne Databehandleravtalen inntil Bestillingskjemaet og dets vedlegg opphører.

Opphør. Hvis en part vesentlig misligholder sine forpliktelser etter denne Databehandleravtalen kan den andre parten heve avtalen. Den part som ønsker å heve avtalen skal gi den andre parten skriftlig varsel med en angivelse av hva misligholdet består i, og en 10 (ti) dagers frist til å rette misligholdet. Hvis misligholdet ikke er rettet innen fristen angitt i varselet anses avtalen for opphørt ved utløpet av fristen. Databehandlerens manglende oppfyllelse av Gjeldende personvernrett eller garantiene i punkt 3 skal alltid anses som et vesentlig mislighold, og vesentlig mislighold av Databehandleravtalen skal også anses som et vesentlig mislighold av Bestillingsskjemaet og dets vedlegg. 

Stans av videre Behandling. Uavhengig av bestemmelsene om opphør kan Behandlingsansvarlig ved Databehandlers brudd på Gjeldende personvernrett, Databehandleravtalen eller instrukser gitt i eller i medhold av denne Databehandleravtalen pålegge Databehandler og eventuelle Underleverandør å stoppe den videre behandlingen av Personopplysningene med øyeblikkelig virkning.

9 KONSEKVENSER VED OPPHØR

Ved opphør av denne Databehandleravtalen skal Databehandler (i) avslutte all Behandling av Personopplysninger og (ii) på ordre fra Behandlingsansvarlig slette alle Personopplysninger og kopier av slike Personopplysninger som er mottatt på vegne av den Behandlingsansvarlige og som omfattes av denne Avtalen. Plikten til sletting gjelder i den utstrekning ikke Gjeldende personvernrett eller andre lovbestemmelser krever at Personopplysningene lagres. Behandlingsansvarlig skal uten unødig opphold slutte å sende Personopplysninger til Databehandler.

Uavhengig av årsaken til opphøret av Databehandleravtalen skal Databehandler på skriftlig forespørsel fra Behandlingsansvarlig akseptere å utsette opphøret av Databehandleravtalen slik at Behandlingsansvarlig får sikret dataene sine før de tilbakeleveres og/eller slettes. 

Databehandler skal innen 2 (to) uker etter Databehandleravtalens opphør, på eget initiativ skriftlig dokumentere ovenfor Behandlingsansvarlig at sletting og/eller destruksjon er foretatt i henhold til ovennevnte.

11 ANSVAR

I tillegg til Behandlingsansvarliges krav på kompensasjon som følge av kontraktsbrudd i medhold av denne Databehandleravtalen eller Bestillingsskjemaet og dets vedlegg, har Behandlingsansvarlig krav på kompensasjon fra Databehandleren for alle direkte tap, kostnader (herunder til juridisk bistand), bøter og erstatningsansvar osv. som Behandlingsansvarlig måtte bli påført dersom den Behandling av Personopplysninger som er årsaken til tapet er gjort av eller gjennom Databehandleren. Eventuelle ansvarsbegrensninger i Bestillingsskjemaet og dets vedlegg gjelder ikke for denne Databehandleravtalen.

Databehandlers ansvar skal ikke under noen omstendighet overstige det høyeste av Databehandlers samlede vederlag i henhold til Bestillingsskjemaet og dets vedlegg eller NOK 1.000.000. Denne ansvarsbegrensningen gjelder ikke dersom Databehandler har handlet i strid med Behandlingsansvarliges instrukser eller for øvrig har handlet grovt uaktsomt eller forsettlig.

12 MEDDELELSER

Meddelelser etter denne Databehandleravtalen skal sendes skriftlig til kontaktpersoner angitt i Bestillingsskjemaet.

Vedlegg 2.1: Databehandlingsinstruksjoner

Behandlingsansvarlig har oppgitt i instruerer herved Databehandler til å behandle informasjon om registrerte som følger, der

2.1.1 INFORMASJONSKAPSLER PÅ ENHETER

Overordnet beskrivelse av behandlingen: Databehandler skal lagre informasjon om Registrerte i informasjonskapsler, og i databaser, for å kunne identifisere Registrerte på tvers av sesjoner og sidevisninger, og for å bygge historikk om hvilke annonser som er vist hvor mange ganger til ulike Registrerte.

Overordnet formål med behandlingen: Gjøre Behandlingsansvarlig i stand til å styre frekvens og/eller tilby til annonsekjøpere mulighet til å styre frekvens (hvor mange ganger ulike annonser skal vises til hver Registrerte), kunne telle hvor mange Registrerte som har interagert med ulike annonser, og kunne målrette ulike annonser mot Registrerte basert på deres historiske handlinger på Behandlingsansvarliges digitale flater.

Beskrivelse av Registrerte behandlingen berører: Alle besøkende til Behandlingsansvarliges digitale flater som eventuelt har godkjent formålet (Behandlingsansvarlige skal selv vurdere og beslutte hvorvidt godkjenning skal innhentes før behandling kan starte).

Detaljer om informasjon brukt i behandlingen: fremkommer av https://docs.adnuntius.com/other-useful-information/identification-and-privacy/privacy-details#personal-data-stored-in-device-cookies og https://docs.adnuntius.com/other-useful-information/identification-and-privacy/privacy-details#viewing-history-stored-in-databases.

2.1.2 MÅLRETTING MOT ENHETER
Overordnet beskrivelse av behandlingen: Databehandler skal bruke Registrertes informasjon om deres enheter til å gjenkjenne Registrertes type enheter de bruker når de interagerer med Behandlingsansvarliges digitale flater.

Overordnet formål med behandlingen: Gjøre Behandlingsansvarlig i stand til å målrette, og/eller tilby til annonsekjøpere mulighet til å målrette, annonser mot spesifikke egenskaper med enheten de bruker når de interagerer med Behandlingsansvarliges digitale flater.

Beskrivelse av Registrerte behandlingen berører: Alle besøkende til Behandlingsansvarliges digitale flater.

Detaljer om informasjon brukt i behandlingen: fremkommer av https://docs.adnuntius.com/other-useful-information/identification-and-privacy/privacy-details#device-targeting.

2.1.3 MÅLRETTING MOT LOKASJON

Overordnet beskrivelse av behandlingen: Databehandler skal bruke Registrertes IP adresser, eller lengdegrad og breddegrad dersom Behandlingsansvarlige velger å sende dette med annonsespørringene, for å kunne identifisere Registrertes geografiske lokasjon i det tidspunktet de interagerer med Behandlingsansvarliges digitale flater.

Overordnet formål med behandlingen: Gjøre Behandlingsansvarlig i stand til å målrette, og/eller tilby til annonsekjøpere mulighet til å målrette, annonser mot lokasjoner der Registrerte befinner seg.

Behandlingsansvarliges plikter: For IP adresser; ingen. Dersom Behandlingsansvarlig ønsker å sende lengdegrad og breddegrad skal Behandlingsansvarlig innhente nødvendig godkjenning fra Registrerte om påkrevet før informasjonen sendes til Databehandler.

Detaljer om informasjon brukt i behandlingen: fremkommer av https://docs.adnuntius.com/other-useful-information/identification-and-privacy/privacy-details#location-targeting.

2.1.4 MÅLRETTING MOT SEGMENTER

Overordnet beskrivelse av behandlingen: Databehandler skal behandle atferdsinformasjon og karakteristikker ved Registrerte, eventuelt segmentidentifikatorer og navn på segmenter, og la Behandlingsansvarlig bygge segmenter av Registrerte med atferd og/eller karakteristikker til felles.

Overordnet formål med behandlingen: Gjøre Behandlingsansvarlig i stand til å målrette, og/eller tilby til annonsekjøpere mulighet til å målrette, annonser mot målgrupper av Registrerte basert på deres atferd og/eller karakteristikker.

Beskrivelse av Registrerte behandlingen berører: Registrerte som utviser en spesifikk type atferd (eksempel: leser om temaet «reise» mer enn 2 ganger siste 30 dager), som oppgir en spesifikk type informasjon (eksempel: «mann, 35 år»), og/eller Registrerte som Behandlingsansvarlig allerede har lagret og behandlet i et annet system.

Detaljer om informasjon brukt i behandlingen: fremkommer av https://docs.adnuntius.com/other-useful-information/identification-and-privacy/privacy-details#segment-targeting.

2.1.5 RAPPORTERING

Overordnet beskrivelse av behandlingen: Databehandler skal samle statistikk om hvordan Registrerte interagerer med annonser (eksempler inkluderer antall visninger og klikk). Denne statistikken skal gjøres tilgjengelig som informasjon i et brukergrensesnitt, gjennom et API og som nedlastbar loggdata for Behandlingsansvarlig og for Behandlingsansvarliges partnere (slike partnere vil være annonsekjøpere dersom Behandlingsansvarlig selger annonseplasser, og annonseselgere dersom Behandlingsansvarlig kjøper annonseplasser).

Overordnet formål med behandlingen: Gjøre Behandlingsansvarlig og partnere i stand til å observere og gjøre analyser basert på annonsevisninger, klikk og andre hendelser.

Beskrivelse av Registrerte behandlingen berører: Alle Registrerte.

Detaljer om informasjon brukt i behandlingen: Tallene som samles og gjøres tilgjengelig er beskrevet her: https://docs.adnuntius.com/adnuntius-advertising/admin-ui/reports/the-statistics-defined. Loggdata som gjøres tilgjengelig er beskrevet her: https://docs.adnuntius.com/other-useful-information/identification-and-privacy/privacy-details#raw-data.

2.1.6 CRM MATCHING

Overordnet beskrivelse av behandlingen: Databehandler skal støtte Behandlingsansvarlig med å identifisere Registrerte på tvers av domener og digitale tjenester ved hjelp av identifikatorer oppgitt av Behandlingsansvarlige, som for eksempel e-postadresser eller telefonnummere. Slike identifikatorer skal lagres i kryptert form av Databehandler og kun brukes til matching mellom Behandlingsansvarlig og selskaper som Behandlingsansvarlig samarbeider med. Prosessen med etablering av slik CRM-matching skal skje i henhold til eksemplet beskrevet her: https://docs.adnuntius.com/other-useful-information/identification-and-privacy/privacy-details#crm-matching.

Overordnet formål med behandlingen: Gjøre Behandlingsansvarlig i stand til å målrette, og/eller tilby til annonsekjøpere mulighet til å målrette, annonser mot målgrupper av Registrerte basert på deres atferd og/eller karakteristikker.

Beskrivelse av Registrerte behandlingen berører: Registrertes identifikatorer som Behandlingsansvarlig sender til Databehandler.

Detaljer om informasjon brukt i behandlingen: fremkommer av https://docs.adnuntius.com/other-useful-information/identification-and-privacy/privacy-details#crm-matching.

2.1.6 INNLOGGING OG ENDRINGER

Overordnet beskrivelse av behandlingen: Databehandler lagre e-postadresser og annen informasjon, samt endringer utført av innloggede brukere, slik at Behandlingsansvarlige kan logge inn i og benytte tjenesten. Databehandler skal også ta vare på endringer utført av de enkelte brukere slik at Behandlingsansvarlig kan identifisere hvilke endringer som er utført av hvem.

Overordnet formål med behandlingen: Gi Behandlingsansvarlig mulighet til å bruke tjenesten, og se hvem som har endret hva.

Beskrivelse av Registrerte behandlingen berører: Behandlingsansvarliges brukere.

Detaljer om informasjon brukt i behandlingen: fremkommer av https://docs.adnuntius.com/other-useful-information/identification-and-privacy/privacy-details#login-and-changes.

Vedlegg 2.2: Underleverandører

C ALT bruker Adnuntius AS som underleverandør, og Adnuntius AS bruker følgende leverandører.

1. Hetzner Online GmbH - les mer her: https://docs.adnuntius.com/other-useful-information/identification-and-privacy/privacy-details#hetzner-online-gmbh

2. Digital Envoy - les mer her: https://docs.adnuntius.com/other-useful-information/identification-and-privacy/privacy-details#digital-envoy

3. 51 Degrees - les mer her: https://docs.adnuntius.com/other-useful-information/identification-and-privacy/privacy-details#51-degrees

4. Amazon Web Services - les mer her: https://docs.adnuntius.com/other-useful-information/identification-and-privacy/privacy-details#amazon-web-services

Vedlegg 2.3: Sikkerhetstiltak

Følgende organisatoriske og tekniske sikkerhetstiltak følges.

• All European customer data is held in a highly secure ISO 27001 certified data center.

• All access to our machines in data centres is secured using 2FA + SSH pass phrase. Even if a machine were compromised, it is not possible to SSH from one machine to another in our production, test and staging environments.

• Failed login attempts to our API and UI will lock the relevant account after 5 failed attempts.

• All communication between services and databases is secured using TLS. All communication between data centres is secured using VPN tunnels.

• We encrypt PII fields in our data stores. We encrypt our database backups.

• We continually upgrade our software to the latest versions of dependencies where applicable.

• We have an process to keep all Ubuntu machines up to date with latest patches, and we have alert monitoring which lets us know when a machine requires updating.

• We regularly check for newer versions of any java thirdparty components we can upgrade to, and do that.

• We have an upgrade path for any third party software we use, and upgrade to later versions as time permits.

• Where appropriate we filter input for javascript before persisting.

• We use access controls for access to the system.

• We log all authentication attempts.

• We have version history of objects (creatives, line items, assets, etc) which for example, would allow analysis of who changed a component that introduced a vulnerability.

• Any vulnerabilities discovered are swiftly patched (we roll out new releases to production sometimes several times per day, if we discover an issue we can roll out a fix promptly).

• We have extensive regression test coverage which makes the release process reasonably bullet proof.

• We use at rest encryption for any PIR data stored in our data stores.

• We separate our deployment network into dev, staging and production segments. Each of these requires different access credentials. For example, users who do not require production access won't get it. Within Adnuntius itself we deploy 3 different versions, one each to the 3 above mentioned environments. Each of these has a different authentication store. So users who have access to dev, will require a separate account to access production if they need it. Within Adnuntius itself we have roles and permissions, so that we can provide users with only the permissions they need to do their job.

• Access to customer data by Adnuntius employees is only granted to defined employees with a demonstrated need for it.

• We use bitwarden to store any required shared secrets and where possible enable 2FA for as many services as support it.

• We regularly rotate passwords.

• Oauth2 tokens are required for authentication, and they have a limited lifespan.

• We enforce a minimum length of 8 characters and prevent the use of the most common bad passwords > 8 characters and we lock accounts after 5 failed login attempts.

• All passwords stored in the adnuntius saas solution are hashed and salted.

• Access to privileged accounts is restricted to appropriate personnel and tightly controlled.

• Access permissions are reviewed on a regular schedule and restricted to a minimum.

• Access to backups is restricted to authorized personnel.

• Network security, system security and data protection: https://www.hetzner.com/assets/Uploads/downloads/Sicherheit-en.pdf.

• User accounts within the organization are unique, assigned to a specific person and get monitored for malicious usage (e.g. compromised logins, suspicious activity like repeated login attempts).

• We backup data using multiple data centers (across Germany and Finland) and have multiple failovers in place to secure smooth transfer to backup servers in case of downtime. While our recovery services are automated we have 24/7 on-call engineers that (1) receive notifications about any incident, and (2) are competent to resolve issues. Our availability is openly accessible here: status.adnuntius.com.

• Our production, staging and test environments are completely separate. If we employ production data in tests, its manually reconstructed via UI or tooling.

• We remove PII when testing the software in test environments.

• All communication between layers of our architecture is via secure protocols.

• We have monitoring setup to detect egress of excessive outbound bytes, this will alert us very quickly if an attacker is attempting to exfiltrate db data for instance.