Common use of Dataskydd Clause in Contracts

Dataskydd. I denna punkt 20 ska uttrycket ”Dataskyddslagar” från och med den 25 maj 2018 innebära Europaparlamentet och rådets förordning (EU) 2016/679 (”GDPR”) och/eller andra gällande lagar om dataskydd som tillämpligt. 20.1 Uttrycken ”behandla/behandlar/behandlad”, ”personuppgiftsansvarig”, ”personuppgiftsbiträde”, ”registrerad person”, ”personuppgifter” och ”personuppgiftsintrång” ska ha samma betydelser som i Dataskyddslagarna. 20.2 Kunden förbinder sig att inte tillhandahålla eller på annat sätt tillgängliggöra personuppgifter för Bolaget, förutom personuppgifter i form av namn och kontaktinformation (till exempel telefonnummer, befattning och e-postadress) till Kundens kontaktpersoner om inte något annat krävs för att det ska gå att utföra Tjänsterna. Sådana ytterligare personuppgifter ska i så fall specifikt identifieras i förväg av Kunden och godkännas skriftligt av Bolaget. 20.3 Om personuppgifter behandlas av en part under eller i samband med Avtalet ska den parten i egenskap av personuppgiftsbiträde: 20.3.1 inte behandla, överföra, modifiera, göra tillägg i eller ändra personuppgifterna eller lämna ut eller tillåta utlämnande av personuppgifterna till någon tredje part utöver vad som krävs för att följa den andra partens (som personuppgiftsansvarig) lagenliga, dokumenterade och rimliga instruktioner (som om inget annat avtalats ska vara att behandla personuppgifter så som det är nödvändigt för att tillhandahålla Tjänsterna i enlighet med villkoren i detta Avtal), såvida det inte krävs enligt någon lag som personuppgiftsbiträdet är underkastat, varvid personuppgiftsbiträdet ska informera personuppgiftsansvarig om detta lagkrav före behandlingen såvida inte den aktuella lagen förbjuder sådan information på grundval av viktiga ändamål av allmänintresse. Specifikt instruerar personuppgiftsansvarig personuppgiftsbiträdet att överföra uppgifter utanför EES endast på villkor att personuppgiftsbiträdet uppfyller kraven i artikel 45 till 49 i GDPR; 20.3.2 då denne blir medveten om ett personuppgiftsincident: (a) meddela personuppgiftsansvarig utan onödigt dröjsmål; och (b) i rimlig utsträckning samarbeta med personuppgiftsansvarig (på personuppgiftsansvarigs bekostnad) i samband med personuppgiftsincidenten; 20.3.3 då denne tar emot någon begäran, något klagomål eller någon kommunikation som gäller personuppgiftsansvarigs skyldigheter enligt dataskyddslagarna: (a) meddela personuppgiftsansvarig så snart som rimligen är praktiskt möjligt; (b) bistå personuppgiftsansvarig genom att införa lämpliga tekniska och organisatoriska åtgärder så att personuppgiftsansvarig kan efterleva registrerads utövande av rättigheter enligt dataskyddslagar i fråga om personuppgifter som behandlas av personuppgiftsbiträdet under detta Avtal eller uppfylla någon utvärdering, någon förfrågan, något meddelande eller någon utredning enligt dataskyddslagar, på villkor att personuppgiftsansvarig i respektive fall ersätter personuppgiftsbiträdet för alla kostnader som personuppgiftsbiträdet rimligen ådrar sig vid uppfyllandet av sina skyldigheter enligt denna punkt 20.3.3; 20.3.4 försäkra sig om att lämpliga tekniska och organisatoriska åtgärder så som krävs enligt artikel 32 vid alla tillfällen är införda; 20.3.5 försäkra sig om att de av dess anställda som kan ha tillgång till personuppgifterna är underkastade lämpliga sekretessåtaganden; 20.3.6 införa lämpliga organisatoriska och tekniska åtgärder för att hjälpa personuppgiftsansvarig att uppfylla sina skyldigheter vad gäller artikel 33 till 36 i GDPR med hänsyn till behandlingens natur och den information som är tillgänglig för personuppgiftsbiträdet; 20.3.7 inte låta någon underleverantör behandla personuppgifterna (”Underbiträde”) annat än med i förväg inhämtat skriftligt tillstånd av personuppgiftsansvarig, med erkännande av att personuppgiftsansvarig samtycker till att underbiträden, från tid till annan, utses av personuppgiftsbiträdet och som i respektive fall är underkastade villkor mellan personuppgiftsbiträdet och underbiträdet som ger ett minst lika starkt skydd som villkoren i denna punkt 20 förutsatt att personuppgiftsbiträdet meddelar personuppgiftsansvarig om identiteten av sådana underbiträden och när de eventuellt ändras; och 20.3.8 upphöra med behandlingen av personuppgifterna inom nittio (90) dagar efter avslutandet eller utgången av detta Avtal eller, om detta inträffar tidigare, den Tjänst som Avtalet gäller och så snart som möjligt därefter (efter personuppgiftsansvarigs godtycke) antingen returnera eller säkert radera från sitt system personuppgifterna och eventuella kopior av dem eller den information de innehåller, förutom i den utsträckning som personuppgiftsbiträdet måste spara personuppgifterna på grund av ett juridiskt krav, myndighetskrav eller krav från en ackrediteringsorganisation. 20.4 Den personuppgiftsansvarige ska, om sådan information och instruktioner inte har tillhandahållits genom Avtalet eller på annat sätt, skriftligen informera personuppgiftsbiträdet om föremålet för behandlingen och behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade som omfattas av personuppgiftsbiträdets behandling. 20.5 Personuppgiftsbiträdet ska göra tillgänglig för personuppgiftsansvarig sådan vidare information och (i den mån tillämpligt) tillåta och bidra till eventuell granskning eller revision som genomförs av personuppgiftsansvarig eller en revisor som utses av personuppgiftsansvarig för att säkerställa att personuppgiftsansvarig uppfyller de skyldigheter som anges i denna punkt 20, alltid under förutsättning att sådan granskning eller revision inte ska medföra att personuppgiftsbiträdet måste tillhandahålla eller tillåta åtkomst av information om: (i) personuppgiftsbiträdets interna prisinformation; (ii) information som gäller personuppgiftsbiträdets övriga kunder; (iii) personuppgiftsbiträdets icke-offentliga externa rapporter; eller (iv) interna rapporter framställda av personuppgiftsbiträdets interna funktioner för revision eller efterlevnad. Personuppgiftsbiträdet ska omedelbart meddela personuppgiftsansvarig om någon instruktion från personuppgiftsansvarig under detta Avtal enligt personuppgiftsbiträdets uppfattning innebär brott mot GDPR eller andra regler om dataskydd för EU eller en medlemsstat.

Dataskydd. I denna punkt 20 ska uttrycket ”Dataskyddslagar” från 15.1 Informationen som samlas in av CCEP, inklusive, utan begränsning, kontaktuppgifter till (företrädare och kontaktpersoner hos) Leverantören och uppgifter som erfordras för fakturering, behandlas omsorgsfullt helt i enlighet med gällande dataskyddslagar, i synnerhet EU förordning 2016/679 av den 25 maj 2018 innebära Europaparlamentet och rådets förordning 27 april 2016 (EU) 2016/679 (dataskyddsförordningen, också benämnd ”GDPR”). 15.2 Både Leverantören och CCEP anses vara personuppgiftsansvariga inom gällande dataskyddslagstiftning: Leverantören som den part som lämnar informationen till CCEP inom ramen för affärsavtalet mellan parterna (hädanefter ”Avtalet”), och CCEP som den part som använder informationen inom ramen för Xxxxxxx. 15.3 Dessa personuppgifter behandlas av CCEP i syfte att säkerställa överensstämmelse med gällande xxxxx samt för de legitima affärsintressen som beskrivs nedan. 15.4 Leverantören åtar sig att informera sina företrädare/kontaktpersoner eller andra personer vars personuppgifter tillhandahållits CCEP (”registrerade”) om uppgiftsbehandlingen inom ramen för Avtalet, inkluderande bland annat: • uppgifter om Leverantören och CCEP som personuppgiftsansvariga inom ramen för detta Avtal; • syftet med uppgiftsbehandling (se nedan); • de rättsliga grunderna för behandlingen (se ovan); • potentiella tredje parter som deltar eller kan komma att delta vid genomförandet av Avtalet, och även kan behandla (dvs. personuppgiftsbiträden) eller ta emot (dvs. mottagarna) personuppgifter i detta sammanhang; • regleringen avseende längden på den period under vilken personuppgifter kommer att behandlas och/eller andra gällande lagar om dataskydd som tillämpligt. 20.1 Uttrycken ”behandla/behandlar/behandlad”lagras; • möjligheten att lämna in ett klagomål hos en dataskyddsmyndighet, ”personuppgiftsansvarig”, ”personuppgiftsbiträde”, ”registrerad person”, ”personuppgifter” • kontaktuppgifter till Data Protection Officer (DPO); och ”personuppgiftsintrång” ska ha samma betydelser som i Dataskyddslagarna. 20.2 Kunden förbinder sig • den berörda registrerades rättigheter att inte tillhandahålla eller på annat sätt tillgängliggöra personuppgifter för Bolaget, förutom personuppgifter i form av namn och kontaktinformation (till exempel telefonnummer, befattning och e-postadress) till Kundens kontaktpersoner om inte något annat krävs för att det ska gå att utföra Tjänsterna. Sådana ytterligare personuppgifter ska i så fall specifikt identifieras i förväg av Kunden och godkännas skriftligt av Bolaget. 20.3 Om personuppgifter behandlas av en part under eller i samband med Avtalet ska den parten i egenskap av personuppgiftsbiträde: 20.3.1 inte behandla, överföra, modifiera, göra tillägg i eller ändra personuppgifterna eller lämna ut eller tillåta utlämnande av personuppgifterna till någon tredje part utöver vad som krävs för att följa den andra partens (som personuppgiftsansvarig) lagenliga, dokumenterade och rimliga instruktioner (som om inget annat avtalats ska vara att behandla personuppgifter så som det är nödvändigt för att tillhandahålla Tjänsterna i enlighet med villkoren i detta Avtal), såvida det inte krävs enligt någon lag som personuppgiftsbiträdet är underkastat, varvid personuppgiftsbiträdet ska informera personuppgiftsansvarig om detta lagkrav före behandlingen såvida inte den aktuella lagen förbjuder sådan information på grundval av viktiga ändamål av allmänintresse. Specifikt instruerar personuppgiftsansvarig personuppgiftsbiträdet att överföra uppgifter utanför EES endast på villkor att personuppgiftsbiträdet uppfyller kraven i artikel 45 till 49 i GDPR; 20.3.2 då denne blir medveten om ett personuppgiftsincident: (a) meddela personuppgiftsansvarig utan onödigt dröjsmål; och (b) i rimlig utsträckning samarbeta med personuppgiftsansvarig (på personuppgiftsansvarigs bekostnad) i samband med personuppgiftsincidenten; 20.3.3 då denne tar emot någon begäran, något klagomål eller någon kommunikation som gäller personuppgiftsansvarigs skyldigheter enligt dataskyddslagarna: (a) meddela personuppgiftsansvarig så snart som rimligen är praktiskt möjligt; (b) bistå personuppgiftsansvarig genom att införa lämpliga tekniska och organisatoriska åtgärder så att personuppgiftsansvarig kan efterleva registrerads utövande av rättigheter enligt dataskyddslagar i fråga om personuppgifter som behandlas av personuppgiftsbiträdet under detta Avtal eller uppfylla någon utvärdering, någon förfrågan, något meddelande eller någon utredning enligt dataskyddslagar, på villkor att personuppgiftsansvarig i respektive fall ersätter personuppgiftsbiträdet för alla kostnader som personuppgiftsbiträdet rimligen ådrar sig vid uppfyllandet av sina skyldigheter enligt denna punkt 20.3.3; 20.3.4 försäkra sig om att lämpliga tekniska och organisatoriska åtgärder så som krävs enligt artikel 32 vid alla tillfällen är införda; 20.3.5 försäkra sig om att de av dess anställda som kan ha få tillgång till personuppgifterna är underkastade lämpliga sekretessåtaganden; 20.3.6 införa lämpliga organisatoriska och tekniska åtgärder för att hjälpa personuppgiftsansvarig att uppfylla sina skyldigheter vad gäller artikel 33 till 36 i GDPR med hänsyn till behandlingens natur erhålla rättelse radering, begränsning och den information som är tillgänglig för personuppgiftsbiträdet; 20.3.7 inte låta någon underleverantör behandla personuppgifterna dataportabilitet (”Underbiträde”) annat än med i förväg inhämtat skriftligt tillstånd av personuppgiftsansvarig, med erkännande av att personuppgiftsansvarig samtycker till att underbiträden, från tid till annan, utses av personuppgiftsbiträdet och som i respektive fall är underkastade villkor mellan personuppgiftsbiträdet och underbiträdet som ger ett minst lika starkt skydd som villkoren i denna punkt 20 förutsatt att personuppgiftsbiträdet meddelar personuppgiftsansvarig om identiteten av sådana underbiträden och när de eventuellt ändras; och 20.3.8 upphöra med behandlingen av personuppgifterna inom nittio (90) dagar efter avslutandet eller utgången av detta Avtal eller, om detta inträffar tidigare, den Tjänst som Avtalet gäller och så snart som möjligt därefter (efter personuppgiftsansvarigs godtycke) antingen returnera eller säkert radera från sitt system personuppgifterna och eventuella kopior av dem eller den information de innehåller, förutom i den utsträckning som personuppgiftsbiträdet måste spara personuppgifterna på grund av ett juridiskt krav, myndighetskrav eller krav från en ackrediteringsorganisationvid giltiga skäl därtill enligt GDPR). 20.4 Den personuppgiftsansvarige ska, om sådan information och instruktioner inte har tillhandahållits genom Avtalet eller på annat sätt, skriftligen informera personuppgiftsbiträdet om föremålet för behandlingen och behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade som omfattas av personuppgiftsbiträdets behandling. 20.5 Personuppgiftsbiträdet ska göra tillgänglig för personuppgiftsansvarig sådan vidare information och (i den mån tillämpligt) tillåta och bidra till eventuell granskning eller revision som genomförs av personuppgiftsansvarig eller en revisor som utses av personuppgiftsansvarig för att säkerställa att personuppgiftsansvarig uppfyller de skyldigheter som anges i denna punkt 20, alltid under förutsättning att sådan granskning eller revision inte ska medföra att personuppgiftsbiträdet måste tillhandahålla eller tillåta åtkomst av information om: (i) personuppgiftsbiträdets interna prisinformation; (ii) information som gäller personuppgiftsbiträdets övriga kunder; (iii) personuppgiftsbiträdets icke-offentliga externa rapporter; eller (iv) interna rapporter framställda av personuppgiftsbiträdets interna funktioner för revision eller efterlevnad. Personuppgiftsbiträdet ska omedelbart meddela personuppgiftsansvarig om någon instruktion från personuppgiftsansvarig under detta Avtal enligt personuppgiftsbiträdets uppfattning innebär brott mot GDPR eller andra regler om dataskydd för EU eller en medlemsstat.