DATABEHANDLINGSAVTAL FÖR KONE RESIDENTIAL SERVICES (DBA)
DATABEHANDLINGSAVTAL FÖR KONE RESIDENTIAL SERVICES (DBA)
1. Personuppgiftsbehandlingens syfte och omfattning
För att kunna tillhandahålla Residential Services måste KONE inhämta viss personligt identifierbar information om Användarna enligt vad som anges nedan (Personuppgifterna).
Då KONE har definierat hur dessa Personuppgifter behandlas i samband med tillhandahållandet av dessa Tjänster är Parterna härmed eniga om att KONE betraktas som personuppgiftsansvarig för Personuppgifter enligt definitionen i det allmänna dataskyddsdirektivet (GDPR) (Europaparlamentets och rådets förordning (EU) 2016/679).
För att Användare ska kunna använda och ha fullt utbyte av Residential Services samlar Kunden in och bevarar Personuppgifter i de program som KONE tillhandahåller som en del av KONE Residential Services (Hanteringsprogramvara). I utförandet av sådan behjälplig behandling av Personuppgifter agerar Kunden personuppgiftsbiträde enligt definitionen i GDPR.
I detta DBA anges de skyldigheter och ansvar som föreligger mellan Parterna avseende ovan beskrivna Personuppgiftsbehandling. I den mån Kunden gör utdrag av Personuppgifter från Hanteringsprogramvaran, integrerar Personuppgifter i sina andra IT- system eller på annat sätt behandlar Personuppgifter för egna syften som inte beskrivs i detta DBA, ska Xxxxxx betraktas som oberoende personuppgiftsansvarig med fullt ansvar för sina handlingar och efterlevnad av gällande dataskyddslagar.
Personuppgiftsbehandlingens sakförhållande: | Kunden använder Residential Services för att kunna hantera tillträde på en Plats som denna äger eller förestår. I Tjänsterna ingår Hanteringsprogramvara som möjliggör hantering av boendes och besökares Personuppgifter och digitala nycklar och nyckelbrickor till Platsen. |
Personuppgiftsbehandlingens varaktighet: | Personuppgifterna ska behandlas så länge Residential Services tillhandahålls enligt Avtalet. |
Personuppgiftsbehandlingens karaktär och syfte: | Xxxxxx ansvarar för att initialt samla in grundläggande uppgifter om Användaren för att kunna skicka en aktiveringskod eller lämna en nyckelbricka som ger Användaren möjlighet att börja använda Tjänsterna på Platsen i fråga. Vidare ansvarar Xxxxxx för hanteringen av Personuppgifterna (enligt närmare definition i avsnitt 3) under Avtalsperioden. |
Typ av Personuppgifter: | Användarens namn, kön, adress, lägenhetsnummer, e-postadress, telefonnummer, namn och nummer på porttelefon, nummer på nyckelbrickan, tillstånd och skapade sekundäranvändare. |
Kategorier av registrerade: | Boende och besökare på en Plats där Residential Services används. |
Eventuella termer som inte definieras häri har samma innebörd som i GDPR.
2. KONEs rättigheter och skyldigheter som personuppgiftsansvarig
KONE ska
(i) behandla Personuppgifterna i enlighet med tillämpliga dataskyddslagar och god databehandlingspraxis
(ii) ge Kunden dokumenterade instruktioner om behandling av Personuppgifter
(iii) försäkra sig om att instruktioner till Xxxxxx efterlever gällande xxxxx
(iv) behålla kontroll och auktoritet avseende Personuppgifterna
(v) behålla äganderätt och alla andra rättigheter till Personuppgifter.
3. Kundens rättigheter och skyldigheter som personuppgiftsbiträde
Vid behandling av Personuppgifter ska Kunden:
(i) Behandla Personuppgifter i enlighet med Avtalet, denna DBA, skriftliga instruktioner och lagar som är tillämpliga på Kunden.
(ii) Säkerställa att åtkomst till Personuppgifter är begränsad till de personer som behöver åtkomst för de syften som anges ovan, och att personer som ges behörighet att behandla Personuppgifter är bundna av sekretessplikt enligt avtal eller lag. Kunden ska särskilt bekräfta och samtycka till att denna är förbjuden att dela beviljade lösenord och/eller användarnamn för åtkomst till Personuppgifterna med obehöriga användare. Kunden ansvarar för sekretess och användning av sina (och sina anställdas) lösenord och användarnamn.
(iii) Med beaktande av den tekniska utvecklingen och genomförandekostnader för eventuella åtgärder vidta alla tillämpliga tekniska och organisatoriska åtgärder som krävs enligt artikel 32 i GDPR för att säkerställa skydd av Personuppgifter mot obehörig eller olaglig behandling och oavsiktlig förlust eller förstöring.
(iv) Med tanke på behandlingens art hjälpa KONE att svara på begäran om utövande av den registrerades rättigheter. Detta ska inbegripa, men inte begränsas till att
a. uppdatera eller korrigera Personuppgifter enligt Användarens information eller begäran
x. xxxxxx Xxxxxxxxxxxxxxx enligt Användarens begäran.
(v) Beträffande Användare som valt att använda Residential Services utan att ladda ned programmet från KONE, bistå KONE med att förse Användarna med information om behandlingen av deras Personuppgifter när dessa först samlas in genom att till dem leverera sekretesspolicyn från KONE i KONE Flow Manager eller enligt KONEs vidare skriftliga instruktioner.
(vi) Utan oskäligt dröjsmål meddela KONE när ett klagomål avseende Personuppgifter inkommer från en Användare.
(vii) Att vid användning av underentreprenörer för behandling av Personuppgifter säkerställa att dessa är bundna av samma skyldigheter vad gäller behandling av Personuppgifter som Kunden binds av enligt detta DBA. Kunden ska alltjämt solidariskt ansvara för eventuella Underleverantörers åtgärder såsom sina egna. Om Kunden har sitt säte i eller Platsen är belägen inom EU ska Kunden vidare bindas av de avtalsklausuler som utfärdats av Europeiska kommissionen i deras beslut 2010/87/EU om internationella överföringar av Personuppgifter med Underleverantör belägen utanför EU/EES, eller tillhandahålla Personuppgiftsbehandlingstjänster utanför EU/EES, eller på annat sätt säkerställa sådana överföringars laglighet enligt GDPR. KONE har rätt att på begäran erhålla kontaktuppgifter för Underleverantörerna.
(viii) Så snart som rimligt möjligt efter att ha fått kännedom om sådan personuppgiftsincident meddela KONE om detta via xxxxxxxx@xxxx.xxx och bistå i utredning, verifiering, lindring och avhjälpande av personuppgiftsincidenten samt i eventuella nödvändiga underrättelser till dataskyddsmyndigheter och registrerade.
(ix) Vidta annan åtgärd som KONE rimligen kan kräva för att säkerställa sin efterlevnad av tillämplig dataskyddslagstiftning.
(x) Vara fullt och ensam ansvarig för hanteringen av Användarens tillträdesrätt till Xxxxxxx och för att i Hanteringsprogramvaran inaktivera eller radera (som tillämpligt) de Användare som inte längre är behöriga för tillträde till Platsen.
KONE Digital Services: DPA Residential Services v1.1 - Sweden