Särskilda villkor och bestämmelser för hanteringen av personliga uppgifter av Transics

Särskilda villkor och bestämmelser för hanteringen av personliga uppgifter av Transics

1. Introduktion

Dessa Särskilda villkor och bestämmelser gäller för de tjänster som tillhandahålls av Transics International BV/SRL, med registrerat kontor på Ter Waarde 91, 8900 Ieper, Belgien, VAT BE 0881.300.923 RPR/RPM Gent, eller en av dess enheter, (hädanefter benämns de som “Transics” eller ”Personuppgiftsbiträde”) till Transics Kunder som använder sig av Transics tjänster (hädanefter benämns som “Kund” eller “Personuppgiftsansvarig”).

Den Personuppgiftsansvarige och Personuppgiftsbiträdet benämns nedan gemensamt för ”Parterna” och individuellt som ”Parten”.

Transics tillhandahåller fordonshantering och andra relaterade tjänster (”Tjänsterna”) till Kunden enligt vad som beskrivs i det tjänsteavtal och/eller de arbetsordrar (hädanefter kallat ”Tjänsteavtalet”) som Transics och Kunden har kommit överens om.

I den utsträckning som tillhandahållandet av dessa Tjänster kräver delning och hantering av Personuppgifter mellan Parterna, önskar Parterna fastställa de villkor som ska gälla för mottagande av, tillgång till och vidare behandling av Personuppgifter från den andra Parten om och i den utsträckning som Transics som Personuppgiftsbiträde hanterar Personuppgifter å Kundens vägnar i samband med Tjänsterna som Transics tillhandahåller Kunden i enlighet med Tjänsteavtalet.

Dessa Särskilda villkor och Bestämmelser för hanteringen av personuppgifter gäller så länge de båda parterna inte skrivit under ett separat Personuppgiftsbiträdesavtal. Bestämmelserna i ett sådant undertecknat avtal skall ha företräde framför motstridiga villkor i dessa Särskilda villkor och bestämmelser.

2. Definitioner

1. De begrepp som definieras i Tjänsteavtalet mellan Personuppgiftsbiträdet och den Personuppgiftsansvarige ska ha samma betydelse när de används i dessa Särskilda villkor och bestämmelser för hanteringen av personuppgifter (”Särskilda villkor”).

2. I dessa Särskilda villkor, ska ”Personuppgifter”, ”Särskilda kategorier av Personuppgifter”, ”Hantera / hantering”, ”Personuppgiftsansvarig”, ”Personuppgiftsbiträde”, ”Underentreprenör”, ”Registrerade individer” och ”Personuppgiftsincident” ha samma betydelse som anges i tillämpliga Dataskyddslagar.

3. Med ”Dataskyddslagar” avses dataskyddsförordningen (GDPR

– General Data Protection Regulation 2016/679) samt kompletterande nationell lagstiftning inom medlemsstaterna i EES, EU:s direktiv 2002/58/EC av den 12 juli 2002 gällande hantering av Personuppgifter och integritetsskydd inom området elektronisk kommunikation såsom det implementerats i EES medlemsstaters nationella lagstiftning inklusive eventuella ändringar, upphävningar, ersättningar eller kompletteringar, såväl som alla andra lagar eller förordningar gällande dataskydd och integritet vid hantering av Personuppgifter som kontrolleras av vardera Parten.

3. Föremål och Villkor

Dessa Särskilda villkorreglerar all slags insamling, användning, delning och vidare hantering av Personuppgifter som utförs av Transics om och i den utsträckning som Transics som Personuppgiftsbiträde hanterar Personuppgifter å Kundens vägnar i samband med Tjänsterna som Transics tillhandahåller Kunden i enlighet med Tjänsteavtalet.

Dessa Särskilda villkor, utan att upphäva något tidigare avtal som gjorts mellan parterna vad gäller deras aspekter som rör hanteringen av Personuppgifter, med undantag för ett speciellt undertecknat Personuppgiftsbiträdesavtal.

Dessa Särskilda villkor utgör en del av Tjänsteavtalet mellan Transics och Kunden. Dessa Särskilda villkor gäller från och med datum för underskrift av Tjänsteavtalet och förblir giltigt och i kraft tills det att Tjänsteavtalet löper ut.

Transics kan komma att uppdatera dessa Särskilda villkor. Den senaste versionen som gäller kommer alltid finnas tillgänglig på Transics hemsida: xxxxx://xxx.xx.xxx/xx/xxxxx/xxx-xxxxx- conditions.

4. Omfattning

Parterna ska, var och en i den utsträckning som det är möjligt, hantera Personuppgifter i enlighet med tillämpliga Dataskyddslagar, tillämplig lagstiftning avseende integritet och elektronisk kommunikation, dataskyddsförordningen av den 25 maj 2018 och alla andra tillämpliga förordningar som den Personuppgiftsansvarige och/eller Personuppgiftsbiträdet lyder under.

Typ av Personuppgifter

Den Personuppgiftsansvarige ska definiera att en eller flera av följande kategorier av personuppgifter ska samlas in, hanteras och används av Personuppgiftsbiträdet enligt dessa speciella krav.

Personuppgifter som tillhandahållits, lagrats, skickats eller mottagits av Kunden eller dess slutanvändare via lösningen för fordonshantering (Fleet Management Solution), däribland:

• Namn, befattning, körkortsnummer, kvalifikationer, datum för inledning och avslutning av tjänst, utgångsdatum för läkarintyg

• Yrkesmässiga och kommersiella adresser eller företagsadresser

• Födelsedatum inklusive år, månad och dag

• Telekommunikationsdata (exempelvis anslutning, plats, användning och trafikuppgifter)

• Telefonnummer, mobiltelefonnummer

• E-postadress

• Färdskrivardata (körtid, vilotid, arbetstider)

• Meddelanden

• IP-adresser

• Eco data

• Schemaläggnings- och kontrolluppgifter

• Exakt platsinformation (GPS-positioner)

• Lastbilens och släpets registreringsnummer

• Enhets- och tjänsterelaterad diagnostikinformation

• Bild

• Kön

• Roll (förare / besökare / trafikledare / administratör)

• Användarspråk för förare

• Färdskrivarkort: ID

• Färdskrivarkort: Utfärdande land

• Aktiviteter (körning, stillastående, vila, etc.)

• Larm

• Datum för senaste avläsning av färdskrivare

• Eco data

• ECO-prestanda / trend: Tomgång, Hög varvtal, För hög hastighet, Frihjulning, Kraftig bromsning, Jämn körning, Genomsnittlig bränsle

• TracKing-dataintegration för släp (Thermo King): zontemperatur, dörrförhållande, däcktryck, larm

• Information om fordonsanvändning, exempelvis tillryggalagd färdsträcka, lokal tid, körtid, fordonshastighet, motorvarvtal, motortemperatur, broms-, sväng- och gasningsmanövrar, resans längd och avstånd, batterispänning

Kategorier av Registrerade individer

Den Personuppgiftsansvarige har identifierat följande kategorier av Registrerade individer vars Personuppgifter, såsom de definieras ovan, kommer att samlas in, hanteras och användas av Personuppgiftsbiträdet under detta Biträdesavtal:

● Kundens anställda;

● Kundens underentreprenörer;

● Anställda hos Kundens Kunder, leverantörer och underentreprenörer;

● Andra personer som tillhandahåller information via lösningen för fordonshantering (Fleet Management Solution), inklusive personer som samarbetar och kommunicerar med Kundens slutanvändare.

Bevarande av uppgifter

Personuppgiftsbiträdet ska inte behålla Personuppgifter i ett format som möjliggör identifiering av de Registrerade individerna längre än vad som är nödvändigt för det syfte i vilket Personuppgiftsbiträdet hanterar Personuppgifterna via

Transics Fleet Management Solution, om inte så erfordras eller tillåts i Dataskyddslagar eller annan tillämplig lagstiftning. Kunden ska uttryckligen instruera Transics att fastställa lagringsperioden till 1 år för att garantera att alla uppgifter alltid är tillgängliga för Kunden. Efter denna period har Transics möjlighet att radera dessa Personuppgifter eller göra dem otillgängliga. Före utgången av denna period ska Kunden exportera alla nödvändiga uppgifter via Transics tooling. Transics är inte skyldig att radera kopior av Personuppgifter som sparas i automatiska säkerhetskopior som genereras av Transics och som kommer att sparas i största möjliga utsträckning för att säkerställa kontinuitet, men som kommer att raderas inom 14 månader efter det att de skapades. Sådana säkerhetskopior omfattas av dessa Särskilda villkor tills de förstörs. Utan att åsidosätta den Personuppgiftsansvariges rättigheter som anges i artikel 5.i nedan har Transics rätt att anonymisera Personuppgifter som samlats in, genererats och/eller lagrats som en del av tillhandahållandet av Transics Tjänster samt att fortsätta använda således anonymiserade personuppgifter för statistiska, analytiska, kommersiella och jämförande ändamål.

5. Personuppgiftsbiträdets skyldigheter

I de fall Transics (i rollen av Personuppgiftsbiträde) hanterar Personuppgifter åt Xxxxxx (i rollen av Personuppgiftsansvarig), ska Transics:

a. Hantera eller få Personuppgifterna hanterade i enlighet med de Dataskyddslagar som reglerar uppdraget som Personuppgiftsbiträde.

b. Hantera – och säkerställa att alla personer som agerar under Transics bemyndigande hanterar – Personuppgifter å den Personuppgiftsansvariges vägnar och i enlighet med dennes dokumenterade instruktioner, om inte hanteringen erfordras av lagstiftning inom EU eller en medlemsstat i EU under vilken Personuppgiftsbiträdet lyder. I sådant fall ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om lagkravet innan hanteringen inleds, om inte nämnda lagstiftning på goda grunder och i allmänhetens intresse förbjuder sådan information. Dessa Särskilda villkor ska utgöra dokumenterade instruktioner från den registeransvarige till processor. På begäran från den Personuppgiftsansvarige ska Personuppgiftsbiträdet även korrigera, rätta eller blockera registrerade Personuppgifter samt säkerställa att endast personal med lämplig utbildning har tillgång till Personuppgifterna.

c. Med beaktande av hanteringens beskaffenhet och den information som finns tillgänglig för Personuppgiftsbiträdet, stötta den Personuppgiftsansvarige när det gäller att uppfylla dennes skyldigheter under tillämpliga Dataskyddslagar, inklusive när det gäller att utföra eventuellt nödvändiga konsekvensbedömningar avseende dataskydd.

d. Vidta lämpliga tekniska och organisatoriska åtgärder enligt vad som erfordras i tillämpliga Dataskyddslagar för att skydda Personuppgifterna mot oavsiktlig eller rättsstridig förstörelse eller förlust, förändring, otillåten åtkomst, offentliggörande eller överföring, missbruk och alla andra former av otillåten hantering, samt vidta åtminstone följande säkerhetsåtgärder:

i. Pseudonymisering och kryptering av Personuppgifter;

ii. Kapacitet att säkerställa löpande sekretess, integritet, tillgänglighet och motståndskraft hos system och tjänster;

iii. Kapacitet att återställa åtkomsten till Personuppgifterna inom rimlig tid i det fall en fysisk eller teknisk incident skulle inträffa;

iv. Rutiner för regelbunden testning, bedömning och utvärdering av effektiviteten hos de tekniska och organisatoriska åtgärderna för att säkerställa säker hantering.

I Bilaga 1 dokumenterar Personuppgiftsbiträdet implementeringen av tekniska och organisatoriska åtgärder.

e. Ge den Personuppgiftsansvarige tillgång till all information som krävs för att uppvisa efterlevnad av Personuppgiftsbiträdets skyldigheter att följa tillämpliga

Dataskyddslagar samt tillåta och bidra till granskningar, inklusive inspektioner, som utförs av den Personuppgiftsansvarige eller annan granskare som arbetar under den Personuppgiftsansvariges bemyndigande. Den Personuppgiftsansvariges rätt till granskning förutsätter att Personuppgiftsbiträdet meddelas skriftligt om detta minst fyra (4) veckor innan granskningen.

f. Rörande punkt (e) ovan, omedelbart meddela den Personuppgiftsansvarige om Personuppgiftsbiträdet anser att någon av instruktionerna från den Personuppgiftsansvarige bryter mot Dataskyddslagarna.

g. Med beaktande av hanteringens beskaffenhet och den information som finns tillgänglig, så långt det är möjligt stötta den Personuppgiftsansvarige med lämpliga tekniska och organisatoriska åtgärder för att uppfylla den Personuppgiftsansvariges skyldighet att tillhandahålla information om insamling, hantering eller användning av Personuppgifter till Registrerade individer och svara på frågor från Registrerade som vill utöva sina rättigheter. Förfrågningar från Registrerade individer direkt till Personuppgiftsbiträdet ska vidarebefordras till den Personuppgiftsansvarige.

h. Omedelbart meddela den Personuppgiftsansvarige vid Personuppgiftsincidenter som rör Personuppgifter som hanteras av Personuppgiftsbiträdet och, med beaktande av hanteringens beskaffenhet och den information som finns tillgänglig, så långt det är möjligt stötta den Personuppgiftsansvarige i uppfyllandet av dennes skyldigheter i händelse av en Personuppgiftsincident.

a. Efter beslut av den Personuppgiftsansvarige radera eller tillbakalämna alla Personuppgifter till den Personuppgiftsansvarige när tillhandahållandet av tjänsterna med koppling till hanteringen avslutas samt radera befintliga kopior om inte lagstiftning inom EU eller någon av EU:s medlemsstater kräver att Personuppgifterna sparas. Om inga val eller instruktioner har lämnats in 3 månader efter det att Tjänsterna har avslutats kommer Transics inte längre att göra Personuppgifterna tillgängliga eller radera dem. Kunden ska exportera de nödvändiga uppgifterna via Transics tooling inom 3 månader efter det att Tjänsterna har avslutats.

i. Säkerställa att personer (till exempel anställda) som har behörighet att hantera Personuppgifterna är bundna av sekretess eller har lagfäst skyldighet att bevara uppgifterna konfidentiella.

j. Utan att upphäva den Personuppgiftsansvariges skyldigheter som anges i artikel 7.4 nedan, upprätthålla ett register över alla kategorier av hanteringsaktiviteter som utförts å den Personuppgiftsansvariges vägnar i enlighet med dataskyddsförordningen.

Personuppgiftsbiträdet har rätt att kräva ersättning för bistånd som tillhandahålls den Personuppgiftsansvarige och som överskrider kraven i Dataskyddslagar och dessa Särskilda villkor.

6. Hantering som utförs av Underentreprenörer

1. Genom dessa Särskilda villkor och Tjänsteavtalet, ger den Personuppgiftsansvarige Personuppgiftsbiträdet en allmän skriftlig tillåtelse att anlita en annan Personuppgiftsansvarig för att sköta hela eller delar av hanteringen av dessa Särskilda villkor.

2. Parterna är eniga om att alla Underentreprenörer som listas i Bilaga 2 är uttryckligen godkända.

3. Personuppgiftsbiträdet ska meddela den Personuppgiftsansvarige om planerade ändringar gällande tillägg eller ersättning av andra Personuppgiftsbiträden på sin hemsida och via länken som nämns i bilaga 2.

4. Om Transics vidtar åtgärder eller överväger att låta Personuppgifter som hanteras enligt dessa Särskilda villkor, att överföras till och hanteras av en Underentreprenör, ska följande villkor gälla:

a) Transics ska endast göra detta med hjälp av en skriftlig överenskommelse med Underentreprenören, som binder Underentreprenören till samma skyldigheter som Personuppgiftsbiträdet har enligt dessa Särskilda villkor,

särskilt avseende skyldigheten att vidta lämpliga tekniska och organisatoriska åtgärder på sådant sätt att hanteringen uppfyller erforderliga krav i tillämpliga Dataskyddslagar.

b) Om Personuppgifter överförs eller kommer att överföras till ett icke EES-land som inte åberopar en lämplig nivå av dataskydd ska EU:s standardavtalsklausuler för Personuppgiftsbiträden avtalas mellan Underentreprenören och den Personuppgiftsbiträde (i förekommande fall med Transics som agerar å den Personuppgiftsansvariges vägnar), eller andra lämpliga dataöverföringsmekanismer finnas implementerade i enlighet med gällande Dataskyddslagar och Xxxxxx ger härmed sitt uttryckliga samtycke till att Transics å Kundens vägnar ingår standardavtalsklausuler med de Underentreprenörer som listas i relevanta bilagor.

c) Om Underentreprenören inte uppfyller skyldigheterna gällande dataskydd enligt en sådan skriftlig överenskommelse, ska Personuppgiftsbiträdet förbli fullt ansvarigt gentemot den Personuppgiftsansvarige när det gäller uppfyllandet av Underentreprenörens skyldigheter, föremål för de ansvarsbegränsningar som avtalats i dessa Särskilda villkor.

7. Den Personuppgiftsansvariges skyldigheter

1. Den Personuppgiftsansvarige beslutar om syftet med och metoder för att hantera Personuppgifter med hjälp av Transics Fleet Management Solution.

2. Den Personuppgiftsansvarige garanterar att:

a. Personuppgiftsbiträdet får tillstånd att använda Personuppgifterna för hanteringsändamål enligt vad som anges i dessa Särskilda villkor.

b. Personuppgifterna har lagligen samlats in och hanterats i enlighet med Dataskyddslagar.

c. Det garanteras att tillämpliga Dataskyddslagar efterlevs när den Personuppgiftsansvarige överför Personuppgifter till Personuppgiftsbiträdet för att uppfylla dessa Särskilda villkor och när instruktioner ges till Personuppgiftsbiträdet avseende hanteringen av Personuppgifterna.

3. Den Personuppgiftsansvarige ska säkerställa att uppgifterna hanteras på ett sätt som garanterar tillräcklig säkerhet, inklusive skydd mot otillåten eller rättsstridig hantering och mot oavsiktlig förlust, förstörelse eller skada, med hjälp av lämpliga tekniska och organisatoriska åtgärder.

4. Den Personuppgiftsansvarige ska under eget ansvar och i enlighet med dataskyddsförordningen upprätthålla ett register över hanteringsaktiviteter där Transics Fleet Management Solutions ingår.

8. Överlåtelse

Personuppgiftsbiträdet ska inte överlåta sina skyldigheter enligt dessa Särskilda villkor, utan föregående skriftligt samtycke från den Personuppgiftsansvarige utom i det fall då överlåtelse sker till ett dotterbolag eller en självständig filial som ingår i ZF- koncernen, i vilket fall inget föregående skriftligt samtycke erfordras från den Personuppgiftsansvarige. Om Personuppgiftsbiträdet överlåter sina förpliktelser, med den Personuppgiftsansvariges samtycke, ska detta endast ske genom en skriftlig överenskommelse med den övertagande Parten där denne binds till samma skyldigheter som Personuppgiftsbiträdet har enligt dessa Särskilda villkor.

9. Ansvar

Parternas respektive ansvarsskyldigheter gentemot varandra gällande överträdelse av dessa Särskilda villkor, samt deras ersättningsskyldigheter gentemot varandra vid tredjepartsanspråk på en Part, på grund av en avtalsenlig eller icke avtalsenlig överträdelse av dessa Särskilda villkor eller Dataskyddslagar av den andra parten, regleras av de ansvars- och ersättningsvillkor som anges i Tjänsteavtalet mellan Transics och Kunden avseende de relevanta Tjänsterna.

10. Tillämplig lag och jurisdiktion

Dessa Särskilda villkor lyder under samma lag som reglerar det relevanta Tjänsteavtalet (om detta val av lag är ogiltigt under gällande lagstiftning i det land där den relevanta Personuppgiftsansvarige är etablerad ska valet av lag vara

lagen i det land där den relevanta Personuppgiftsansvarige är etablerad).

Den behöriga domstolen för avtalsenliga eller icke avtalsenliga tvister som uppstår med anledning av eller i samband med dessa Särskilda villkor ska vara densamma som den som avtalats i Tjänsteavtalet. Detta stycke påverkar dock inte någon av Parternas respektive obligatoriska skyldigheter under tillämpliga Dataskyddslagar.

Bilaga 1: Tekniska och organisatoriska åtgärder

Denna bilaga är till för Kunder och affärspartner och presenterar tekniska och organisatoriska åtgärder för att skydda Personuppgifter mot otillåten åtkomst, korruption och förlust i enlighet med Dataskyddslagar.

Detta dokument tillhandahåller vidare information om de tekniska och organisatoriska åtgärder som Personuppgiftsbiträdet har implementerat i syfte att skydda Personuppgifter.

SÄKERHET AVSEENDE NÄTVERK OCH DATORHALLAR

Den datorhall som Transics använder är en datorhall på nivå 3:

• Tjänstenivåavtal för 100 % strömtillgänglighet

• Tjänstenivåavtal gällande temperatur

Mål: Grundtemperaturen i datorhallen ska kontinuerligt hållas på 18–27 grader Celsius till en utomhustemperatur på under 40 grader Celsius och i enlighet med ASHRAE:s riktlinjer.

• Tjänstenivåavtal gällande luftfuktighet

Mål: Luftfuktigheten i datorhallen ska hållas på 40–60 procent

• Anläggning

Högdensitetslösningar finns tillgängliga Ständig anläggningsdrift (dygnet runt, året runt) Upphöjt golv på 800 millimeter med 3,5 meter till tak med plenum

Täckt lastkaj med lastbryggor och säkra lagerutrymmen

Golvbelastning 12 kN per kvadratmeter

• Strömförsörjning

Dubbel ströminmatning N+1-generatorer

2N avbrottsfri kraftförsörjning

• Säkerhet

Ständig platsbevakning (dygnet runt, alla dagar i veckan)

Kortläsare och biometri

Grind som förhindrar tailgating

Tre meter högt staket runt anläggningen Övervakningskameror inomhus och utomhus – 90 dagars inspelning

• Efterlevnad och certifieringar

Uptime Institute-certifierad datorhall på nivå 3 Uppfyller kraven för ISO27001, PCI DSS och BREEAM-certifiering

Uppfyller ASHRAE:s standarder och riktlinjer för datorhallar

• Avkylning

Indirekt, adiabatisk lösning med utomhusluft Ingen konventionell mekanisk nedkylning krävs Inget vatten i datorhallens utrymme för IT- utrustning

TRANSICS ANLÄGGNINGAR

1. Åtkomstkontroll (byggnader, kontor och datorhallar)

Personuppgiftsbiträdet har bland annat men inte enbart implementerat följande åtgärder för att förhindra otillåten tillgång till datasystem som hanterar Personuppgifter:

● Anställda har personliga kort / nycklar för att komma in i byggnaden.

● Ej behöriga personer ska förhindras från att få fysisk tillgång till anläggningar, byggnader eller rum som innehåller datasystem som hanterar och/eller använder Personuppgifter.

2. Åtkomstkontroll (system) Personuppgiftsbiträdet har bland annat men inte enbart implementerat följande åtgärder för att förhindra att ej behöriga personer otillåtet använder datasystem som hanterar personuppgifter:

● Företagsomfattande informationssystem övervakas ständigt av Transics IT-avdelning.

● Varje medarbetare har en egen arbetsstation med ett personligt användarnamn och lösenord.

● Det finns en automatisk tidsgräns för hur länge arbetsstationen kan lämnas oanvänd. För att åter öppna arbetsstationen krävs användarnamn och lösenord.

● Automatisk avstängning av användarnamnet efter att flera felaktiga lösenord har angetts, loggfil över händelser (övervakning av inbrottsförsök).

● Samtliga anställda är bundna till sekretessavtal. Tillgång till icke offentliga uppgifter ges endast vid behov och övervakas. Användarna utbildas löpande om vikten av datasäkerhet inom branschen.

● Tillgång till produktionssystem sker via flerfaktorsautentisering.

● Transics använder funktionsbaserad åtkomst, vilket innebär att bland annat utvecklingsteam, hosting-team och Kundtjänstteam har rollbaserade behörigheter med regelbunden översikt av gruppmedlemskap.

3. Åtkomstkontroll (personuppgifter) Personuppgiftsbiträdet har bland annat men inte enbart implementerat följande åtgärder för att säkerställa att behöriga användare av system för personuppgiftshantering endast får tillgång till uppgifter som de har behörighet till och för att förhindra att Personuppgifter läses utan behörighet under det att uppgifterna används, flyttas eller vilar:

● Kundanslutningar autentiseras med hjälp av flerfaktorsautentisering.

● Användning av en central inloggningsportal som har säker tillgång till kundapplikationer med Single Sign On, vilket kan kombineras med tvåfaktorsautentisering.

4. Överföringskontroll

Personuppgiftsbiträdet har bland annat men inte enbart implementerat följande åtgärder för att säkerställa att Personuppgifter inte kan läsas, kopieras eller ändras under elektronisk överföring eller vid överflyttning eller lagring till hårddisk. Även följande åtgärder har vidtagits för att kontrollera och styra till vilka instanser som det är tillåtet att överföra Personuppgifter som tillhandahålls via datakommunikationsutrustning:

● All kundinteraktion via internet sker med SSL- / TSL-säkra anslutningar

● Alla anslutningar till databasen är krypterade

● Säkerhetskopior och inaktiva uppgifter är krypterade

5. Inmatningskontroll

Personuppgiftsbiträdet har bland annat men inte enbart implementerat följande åtgärder för att säkerställa, vid ett senare tillfälle kontrollera och avgöra om och av vem som Personuppgifter har matats in, ändrats eller raderats i systemet för personuppgiftshantering:

● en auktoriseringspolicy för inmatning av data till minnet samt för läsning, ändring och radering av lagrade uppgifter;

● autentisering av anställda med behörighet;

● skyddsåtgärder för inmatning av data till minnet samt för läsning, ändring och radering av lagrade uppgifter;

● användning av användarkoder (lösenord);

● användning av en rutin som innebär att alla Transics anställda som har tillgång till Personuppgifter som hanteras åt Kunden ska välja nya lösenord minst var 90:e dag;

● åtgärder som innebär att ingångar till datahanteringsanläggningar (de utrymmen där datorhårdvara och kringutrustning finns) går att låsa;

● automatisk utloggning av användare som är inaktiva sedan en viss tid.

6. Beställningskontroll

Personuppgiftsbiträdet har bland annat men inte enbart implementerat följande åtgärder för att säkerställa att Personuppgifter som hanteras av ett Personuppgiftsbiträde på begäran av dataägaren endast ska hanteras enligt

dataägarens instruktioner:

Dataägaren har när som helst rätt att kontrollera att arbetet utförs korrekt enligt beställningen. Transics ska förse Xxxxxx med korrekt information om det arbete som utförs.

7. Tillgänglighetskontroll

Personuppgiftsbiträdet har bland annat men inte enbart implementerat följande åtgärder för att säkerställa att Personuppgifterna skyddas mot oavsiktlig förstörelse eller förlust: Se avsnittet ”Datorhallar”.

8. Segregerad hantering

Personuppgiftsbiträdet har bland annat men inte enbart implementerat följande åtgärder för att säkerställa att Personuppgifter som samlas in för olika ändamål kan hanteras separat:

● För behöriga användare är tillgången till uppgifterna uppdelad med hjälp av applikationssäkerhet;

● Separata miljöer för utveckling, kvalitetsarbete och produktion;

● Separata miljöer för test och reell drift.

9. Dataskyddsombud

I enlighet med dataskyddsförordningen har Personuppgiftsbiträdet utsett ett dataskyddsombud. Denna person ska säkerställa att dataskyddsförordningen och andra Dataskyddslagar efterlevs. Eventuella frågor kan skickas till dataskyddsombudet via e-post till xxxxxxx.xxxxxxx@xx.xxx.

Bilaga 2: Lista på Underentreprenörer

En översikt över den aktuella listan med Underprocessorer som används av Transics kan hittas via följande länk: xxxxx://xxx.xx.xxx/xxxxxxxx/xx/xx/xxxxx/xxx_xx_xxxxx/xxxxxxxxx sors.html.