Personuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal
1 Parter
Detta personuppgiftsbiträdesavtal (” Biträdesavtalet”) har ingåtts mellan:
HI3G Access AB xxx.xx. 556593-4899, Box 30213, SE-104 25 Stockholm (”Hi3G”), såsom personuppgiftsbiträde och
Ange kundens namn _ _ _ _ _ __
Ange kundens organisationsnummer _ _ _ _ _
Ange kundens adress
Ange kundens postadress _ _ _ _ __
såsom personuppgiftsansvarig, (”Kunden”)
Hi3G och Kunden benämns nedan var och en för sig ” Part” och tillsammans ”Parterna”.
2 Tillämpning
2.1. Biträdesavtalet med underbilagor är en bilaga till och utgör en integrerad del av avtal om tecknande av abonnemang med tillhörande tjänster samt i tillämpliga fall köp av produkter/terminaler mellan Parterna, (”Huvudavtalet”).
2.2. Biträdesavtalet ska tillämpas på all Behandling av Personuppgifter (inklusive Kommunikationsdata) som Hi3G utför för Kundens räkning i samband med tillhandahållandet av tjänsten 3FrontOffice, (”Tjänsterna”) enligt Huvudavtalet.
3 Definitioner och tolkning
3.1. Termer och begrepp som anges i detta Biträdesavtal ska ha den betydelse som anges nedan.
“Datasky ddslagstiftningen” avser all vid var tid gällande dataskydds- och integritetslagstiftning, inklusive GDPR, i EU och varje EU-medlemsstat som tillämpas på Behandlingen av Personuppgifter (inklusive Kommunikationsdata) enligt detta Biträdesavtal.
“EU” avser Europeiska unionen.
“EES” avser Europeiska ekonomiska samarbetsområdet.
“GDPR” avser Förordning (EU) 2016/679 om sky dd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG.
”Kom m unikationsdata” avser uppgifter om elektronisk kommunikation, exempelvis information om abonnenter och trafikuppgifter som är föremål för sekretess enligt kapitel 6 paragraf 20 i lag (2003:389) om elektronisk kommunikation och artikel 5 i direktiv 2002/58/EG, inbegripet vid var tid gällande lagstiftning som ersätter eller kompletterar dessa bestämmelser.
“Personuppgifter” ska ha den betydelse som anges i GDPR. Inom ramen för detta Biträdesavtal ska termen Personuppgifterna omfatta (i) de Personuppgifter och (ii) den Kommunikationsdata, som Behandlas enligt detta Biträdesavtal.
“T illämplig Lag” avser unionsrätten eller en EU-medlemsstats nationella rätt som Hi3G omfattas av.
“T jänsterna” avser samtliga tjänster, eventuella resultat och andra aktiviteter som ska
tillhandahållas av eller utföras på uppdrag av Hi3G till Kunden enligt Huvudavtalet.
“Underbiträde” avser ett annat Personuppgiftsbiträde som anlitats av Hi3G vid Behandlingen av Personuppgifter för Kundens räkning, och andra eventuella Personuppgiftsbiträden som anlitats av Underbiträde till Hi3G.
3.2. Användning av ord och begrepp i singularis omfattar även pluralis och vice versa.
3.3. Alla andra ord och begrepp som används i detta Biträdesavtal ska, om inte annat uttryckligen anges, ha den betydelse som anges i artikel 4 i GDPR.
3.4. Detta Biträdesavtal regleras av bestämmelserna i Huvudavtalet. I händelse av eventuella motstridigheter mellan bestämmelserna i detta Biträdesavtal och Huvudavtalet ska bestämmelserna i detta Biträdesavtal tillämpas och äga företräde i frågor som rör Behandling av Personuppgifter.
4 Personuppgiftsbehandling
4.1. Om fattning och syfte
Behandlingen av Personuppgifterna, inklusive ändamålen me d Behandlingen, typer av Personuppgifter och kategorier av Registrerade som Personuppgifterna hänför sig till, beskrivs närmare i bilaga 1 (Behandlingsbeskrivning). Kategorier av Registrerade och typer av Personuppgifter som anges i bilaga 1 samt Hi3G:s interna processer och rutiner, inbegripet tillämpade säkerhetsåtgärder i bilaga 2 (Säkerhetsåtgärder), för Behandlingen av Personuppgifter kan komma att ändras i samband med t.ex. uppdateringar eller ändringar i Tjänsterna.
4.2. Instruktioner för Behandlingen
4.2.1 . Detta Biträdesavtal och Huvudavtalet med bilagor utgör Kundens fullständiga och slutliga instruktioner till Hi3G för Behandlingen av Personuppgifter vid tidpunkten för undertecknandet av Biträdesavtalet.
4.2.2. Y tterligare eller ändrade instruktioner ska avtalas separat. Kunden ska ersätta de kostnader som uppstår för Hi3G till följd av sådana ytterligare eller ändrade instruktioner. Xxxxxx ska säkerställa att dennes vid var tid gällande instruktioner är tillåtna och tillräckliga enligt Xxxxxxx ddslagstiftningen.
4.3. Parternas sky ldigheter
4.3.1. Parterna ska Behandla Personuppgifterna i överensstämmelse med Dataskyddslagstiftningen.
4.3.2. Kunden garanterar att Hi3G:s Behandling av Personuppgifter i enlighet med Xxxxxxx instruktioner inte strider mot Datasky ddslagstiftningen.
4.3.3. Xxxxxx ska ersätta Hi3G för assistans och andra åtgärder som Hi3G kan komma utföra under detta Biträdesavtal och som inte omfattas av eller utgör en ordinarie del av Tjänsterna enligt Huvudavtalet.
4.3.4. Hi3G garanterar att Hi3G besitter nödvändig kapacitet och förmåga att fullgöra sina sky ldigheter enligt detta Biträdesavtal och Datasky ddslagstiftningen.
4.3.5. Hi3G ska:
(a) endast Behandla Personuppgifterna i syfte att tillhandahålla Tjänsterna i enlighet med Huvudavtalet och i enlighet med Kundens skriftliga instruktioner, såvida det inte är nödvändigt att avvika från Kundens instruktioner för att uppfylla en sky ldighet enligt Tillämplig Lag. Baserar Hi3G sin Behandling av Personuppgifter på Tillämplig Lag ska Hi3G informera Kunden om detta innan Personuppgifterna Behandlas, förutsatt att sådan information inte är förbjuden enligt Tillämplig Lag,
(b) informera Kunden om Hi3G bedömer att en instruktion strider mot Datasky ddslagstiftningen,
(c) vidta lämpliga tekniska och organisatoriska åtgärder för att skydda Personuppgifterna i enlighet med artikel 32 i GDPR och se till att alla anställda som har tillgång till och/eller Behandlar Personuppgifter har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt;
(d) informera Kunden senast inom 48 timmar efter att ha fått kännedom om en Personuppgiftsincident,
(e) på Kundens skriftliga begäran och bekostnad, med beaktande av typen av Behandling och den information som Hi3G har att tillgå, bistå Kunden i skälig utsträckning att fullgöra d ennes sky ldigheter (i) att svara på begäran om utövande av den Registrerades rättigheter enligt GDPR och
(ii) avseende säkerhetsåtgärder, incidentrapportering, konsekvensbedömningar avseende dataskydd och förhandssamråd med behöriga tillsynsmyndigheter enligt artiklarna 32-36 i GDPR,
(f) i samband med Huvudavtalets upphörande utan oskäligt dröjsmål radera eller anonymisera Personuppgifterna eller, på Kundens skriftliga begäran och bekostnad, återlämna Personuppgifterna till Kunden i ett allmänt använt och maskinläsbart format (begäran om återlämning av Personuppgifter ska vara skriftlig och lämnas till Hi3G senast i samband med att Huvudavtalet sägs upp eller upphör att gälla), såvida inte lagring av Personuppgifterna krävs enligt Tillämplig Lag, och
5 Underbiträden
5.3. Kunden ger härmed tillstånd för Hi3G att anlita de Underbiträden som anges i bilaga 1 (Behandlingsbeskrivning) för Behandling av Personuppgifter inom ramen för tillhandahållandet av Tjänsterna.
5.4. Hi3G ansvarar för sina Underbiträden såsom för sig själv.
6 Plats för Behandlingen och överföring av Personuppgifter
6.1. Hi3G får endast överföra eller Behandla Personuppgifterna i ett land utanför EES under förutsättning att landet erbjuder en adekvat sky ddsnivå för Personuppgifterna eller att överföringen omfattas av en annan lämplig och giltig sky ddsåtgärd i enlighet med Datasky ddslagstiftningen.
6.2. Kunden ger Hi3G mandat att för dennes räkning ingå lämpliga avtal, som antagits och godkänts av EU-kommissionen eller behörig tillsynsmyndighet i enlighet med relevant Dataskyddslagstiftning, med Mottagare av Personuppgifter i länder utanför EES.
7 Revision
7 .1. Kunden har rätt att, själv eller genom oberoende Tredje Part (som inte ska vara konkurrent till Hi3G), genomföra årlig granskning (inbegripet inspektion) för att kontrollera att Hi3G följer detta Biträdesavtal. Kunden har endast rätt att kräva ytterligare granskning om och i den mån Datasky ddslagstiftningen så kräver.
7 .2. Kunden ska framställa begäran om granskning minst trettio (30) dagar före det föreslagna revisionsdatumet genom att skriftligen presentera en detalje rad revisionsplan till Hi3G med en beskrivning av granskningens omfattning, varaktighet och startdatum. Hi3G åtar sig att ge Xxxxxx tillgång till den dokumentation som krävs för att visa att Hi3G har fullgjort sina sky ldigheter enligt detta Biträdesavtal och i övrigt bistå Xxxxxx vid genomförande av granskning och inspektion.
7 .3. Om en oberoende Tredje Part ska utföra granskningen, ska båda Parterna godkänna den Tredje Parten. Hi3G har rätt och befogenhet att, av säkerhets- och/eller sekretesskäl, bestämma att granskning ska utföras av en oberoende Tredje Part som Hi3G utser. Om Hi3G så begär ska Kunden och/eller den oberoende Tredje Parten underteckna av Hi3G godkänd sekretessförbindelse innan granskning inleds.
7 .4. Granskning som sker i Hi3G:s lokaler ska under alla omständigheter utföras under Hi3G:s vanliga öppettider vid Hi3G:s aktuella lokaler, med beaktande av Hi3G:s regler, och får inte störa eller på annat sätt påverka Hi3G:s affärsverksamhet i väsentlig grad. Kunden ska stå samtliga kostnader i samband med begärda granskningar.
8 Övrigt
8.1 . Detta Biträdesavtal gäller från undertecknandet och så länge som Hi3G Behandlar Personuppgifterna för Kundens räkning.
8.2. Parts fullständiga och sammanlagda ansvar för överträdelser av sina sky ldigheter som fastställts i detta Biträdesavtal är, såvida inte uppsåt eller grov vårdslöshet föreligger, begränsat till direkta skador och till ett belopp som maximalt uppgår till det sammanlagda värdet av de avgifter som Kunden erlagt för Tjänsten, dock högst femhundra tusen (500 000) kronor.
8.3. Kunden godkänner att Hi3G kommunicerar all information och alla underrättelser som rör detta Biträdesavtal med Kundens växeladministratörer såsom behörig mottagare.
8.4. Tvist angående tolkning eller tillämpning av detta Biträdesavtal ska avgöras i enlighe t med Huvudavtalets bestämmelser om tvist.
8.5. Svensk lag utan beaktande av dess principer om lagval ska tillämpas på detta Biträdesavtal så långt det är tillåtet enligt Datasky ddslagstiftningen.
Detta Biträdesavtal har upprättats i två (2) exemplar varav Parterna har tagit var sitt.
HI 3G Access AB _ _ Xxxxx Xx ctelius Crook COO Business Market | Click or tap here to enter text. _ _ Namn och titel: Plats och datum: |
Click or tap here to enter text. _ _ Namn och titel: Plats och datum: |
Bilaga 1 Behandlingsbeskrivning
1 Bakgrund och syfte
Denna bilaga 1 (Behandlingsbeskrivning) är en underbilaga till och utgör en integrerad del av Biträdesavtalet som ingåtts mellan Hi3G och Kunden. Syftet med denna bilaga är att komplettera Biträdesavtalet där det är nödvändigt och bara i den utsträckning som uttryckligen anges nedan.
De tillämpliga definitionerna som anges i Biträdesavtalet ska tillämpas i denna bilaga.
2 Behandlingsbeskrivning
Sy fte(n) m ed Behandlingen: | Syftet med Behandlingen av personuppgifter under Biträdesavtalet är att Hi3G ska kunna tillhandahålla tjänsten 3Front Office till Kunden. |
T y p av Behandling: | Hi3G utför inom tjänsten 3Front Office följande behandlingar av Personuppgifter för Kundens räkning: • Läsning, lagring, bearbetning och ändring av personuppgifter, t.ex. användarnamn och telefonnummer i syfte att Kunden ska kunna logga in och använda Tjänsten. • Läsning, lagring, bearbetning och ändring av sådana personuppgifter som Kunden väljer att själv lägga in i 3FrontOffice-katalogen (Active Directory) i syfte att Kunden ska kunna använda Tjänsten. • Läsning, lagring, bearbetning och ändring av IP- och MAC-adresser för SIP-klienter i syfte att Hi3G ska kunna leverera Tjänsten. (Gäller endast om kund har Softphone Bas eller Plus). • Avidentifiering av Kommunikationsdata i syfte att kunna leverera statistiska rapporter till Kund. (Gäller endast om Kunden använder tjänsterna Statistik Bas eller Statistik Plus). • Läsning, lagring, bearbetning och ändring av användares kalenderinformation (Endast om Kunden använder tjänsten Kalendersynk). |
• Läsning, lagring, bearbetning och ändring av personuppgifter i Kundens FrontOffice- katalog i syfte att Hi3G ska kunna uppdatera katalogen. (Endast om Xxxxxx använder tjänsten AD-Synk.) | |
Kategorier av Registrerade: | Hi3G kommer att behandla Personuppgifter om följande kategorier av Registrerade: • Kundens anställda som använder tjänsten 3FrontOffice. • Eventuella externa kontakter om registrerade av Kunden. |
T y per av Personuppgifter: | Hi3G kommer att Behandla följande typer av Personuppgifter: • Användarnamn • Mobilnummer • Fastnummer • Fotografi • E-postadress • Av Kunden registrerad katalogdata såsom anställdas titel, avdelning, kostnadsställe etc. • Privata kontakter • Kommunikationsdata • IP/MAC-adresser för SIP-klienter (IP- telefoni) • Kalenderinformation • Inspelade samtal • Inkomna meddelanden i röstbrevlåda • Uppgifter från Kundens 3FrontOffice-katalog (Active Directory) |
Behandlingens varaktighet: | Hi3G kommer att behandla Personuppgifter för 3FrontOffice så länge som det är nödvändigt för tillhandahållandet av 3FrontOffice till Kunden och i enlighet med de gallringsrutiner som anges i Bilaga 2 (Säkerhetsåtgärder) nedan. |
3 Lista över Underbiträden
Hi3G anlitar följande Underbiträden i enlighet med detta Biträdesavtal:
Underbiträde | T jänst | Plats(er) för Behandlingen |
Mitel Sweden AB, 556742-3677 | För samtliga 3FrontOffice- kunder. | Sverige samt utanför EES via underbiträden med vilka Mitel ingått Standard Contractual Clauses. |
För kunder som har Statistisk Bas och Statistik Plus. Leverans av statiska Rapporter | Sverige | |
Responda AB, | För kunder som har AD-Synk | Sverige |
Talk Telecom AB | För kunder som har SIP- telefoni. | Sverige |
1 Bakgrund och syfte
Bilaga 2 Säkerhetsåtgärder
Denna bilaga 2 (Säkerhetsåtgärder) är en underbilaga till och utgör en integrerad del av Biträdesavtalet som ingåtts mellan Hi3G och Kunden. Syftet med denna bilaga är att komplettera Biträdesavtalet där det är nödvändigt och bara i den utsträc kning som uttryckligen anges nedan.
De tillämpliga definitionerna som anges i Biträdesavtalet ska tillämpas i denna bilaga.
2 T ekniska och organisatoriska säkerhetsåtgärder
Hi3G ska implementera följande tekniska och organisatoriska säkerhetsåtgärder:
2.1 Överföring | |
Allmänna krav | Beskrivning av vidtagen åtgärd |
Dokumenterade rutiner och tekniska lösningar ska finnas på plats för att säkerställa kryptering eller annat likvärdigt sky dd av alla överföringar av Personuppgifter från och till Hi3G. Detta inkluderar både digital samt fysisk överföring mellan den Kunden och Hi3G, samt motsvarande typer av överföring mellan Hi3G och eventuella tjänstemottagare eller andra | 3FrontOffice/3Kontakt upprätthåller användandet av server sidan TLS 1 .2 och stark chiffer i enlighet med OWASP (Open Web Application Security Project). Se OWASP Top 10 - 2017 , A 3:2017 Känslig dataexponering för mer information. |
2.2 Åtkomstkontroll och behörigheter | |
Allmänna krav | Beskrivning av vidtagen åtgärd |
Dokumenterade rutiner och tekniska lösningar för behörighetshantering gällande åtkomst till Personuppgifter ska finnas på plats. Detta gäller för både eventuella systemmässiga behörigheter (för administratörer och tjänstemottagare) samt fysisk tillgång till lokaler där Hi3G behandlar Personuppgifter (exv. behörighet för eventuell driftpersonal). Implementering av teknisk lösning för kvalitetssäkring av behörighetsstyrning. | 3FrontOffice/3Kontakt inkluderar ett rollbaserat förvaltningsgränssnitt för systemadministratörer, organisationsadministratörer och slutanvändare. 3FrontOffice/3Kontakt upprätthåller lösenordspolicys. Dessa policys kan konfigureras för användar- respektive administratörskonton. 3FrontOffice/3Kontakt loggar alla administrativa ändringar som utförs i systemet i granskningsloggar för senare |
Implementering av dokumenterade och uppföljda rutiner samt tekniska lösningar för löpande granskning och kontroll av både systemmässiga behörigheter samt fysisk tillgång till Personuppgifter inom Hi3G:s ansvar. | granskning. Därtill loggar Edge Nodes alla uppkopplingar som görs till systemet. |
2.3 Lokal och infrastruktur | |
Allmänna krav | Beskrivning av vidtagen åtgärd |
Hi3G ska implementera och dokumentera proaktivt sky dd mot obehöriga intrång i både tekniska samt fysiska miljöer inom vilka Hi3G behandlar Personuppgifter för Kundens räkning. Det tekniska sky ddet ska inkludera brandväggar runt Hi3G:s tekniska miljö och antivirus på servrar där Hi3G behandlar Personuppgifter. Det fysiska sky ddet skall inkludera larm i de lokaler där Hi3G behandlar Personuppgifter för Kundens räkning. | Plattform- och nätverkssäkerhet 3FrontOffice/3Kontakt plattformen är driftsatt i Hi3Gs datacenter i Stockholm, Sverige. 3FrontOffice/3Kontakt plattformen använder sig av bäst praxis för säkerhetsstandard för nätverks och service för att säkerställa informationsintegritet. Brandväggar begränsar på ett strikt sätt den inkommande internettrafiken till endast godkända tjänster och nätverk. Brandväggen inkluderar mekanismer för att upptäcka bedrägerier, inklusive forcerade attacker för att knäcka lösenord. |
2.4 Gallring/destruering | |
Allmänna krav | Beskrivning av vidtagen åtgärd |
Dokumenterade och uppföljda rutiner samt tekniska lösningar för att på Kundens instruktion löpande gallra och destruera Personuppgifter, i både digital samt fysisk form. | Användardata När en användare avlägsnas från en organisation raderas användardata så att tjänsten inte längre kan användas av sådan användare. |
Källor som kan innehålla användardata rörande den raderade användaren: | |
• Samtalsinspelningar | |
Samtalsinspelningar i systemet lagras med användning av pseudonymisering. En användare kan inte hänföras till en röstinspelning baserat på filernas organisering. | |
• Loggar | |
3FrontOffice/3Kontakt lagrar data i flera loggar. Loggarnas livslängd (i antalet dagar) är möjliga att konfigurera. Systemet trunkerar automatiskt data i samtalsloggarna efter den konfigurerade tiden. Lagringstiden för loggar är inställd på 14 dagar som standard. | |
•Samtalsdata (Lista över samtal) | |
Samtalsdata produceras när samtal genomförs via systemet. Lagringstiden för samtalsdata i systemet är 14 dagar. | |
Rapporter över samtalsdata sparas i olika systemnoder. Användardata i dessa rapporter raderas inte automatiskt när ett användarkonto raderas. | |