Uppdatering av personuppgifter
Uppdatering av personuppgifter
Senast uppdaterad den 31 mars 2022: förtydligande av villkor och radering av onödigt innehåll.
Parter och bakgrund
Detta Personuppgiftsbiträdesavtal (DPA) är mellan Shipit Oy Ab 2705721-8 (senare tjänsteleverantören, uppgiftsansvarig samt Shipit) och den kund som gör en försändelse, eventuellt gör en försändelse, registrerar sig som kund hos Shipit, avser att registrera sig som kund hos Shipit eller frågar frågor som eventuellt leder till en kundrelation med Shipit. Förutom marknadsföring gäller detta även förbetalda kunder. I denna situation agerar Shipit som uppgiftsansvarig och behandlar den registrerande (senare kundens) uppgifter för att säkerställa leverans av försändelser och utveckling av tjänster. Syftet med detta avtal är att säkerställa skydd, informationssäkerhet och behandlingsnivå för personuppgifter. Denna bilaga är en väsentlig och integrerad del av Shipit Oy Ab:s villkor.
Shipit Oy Ab Askonkatu 9 A, 15100, Lahtis, Suomi Finland. Postadress: PB 60, 22101 Maarianhamina, Ahvenanmaa Suomi Finland.
Detta databehandlingsavtal har upprättats enligt (EU) 679/2016 (GDPR) och träder i kraft den 25 maj 2018. Om det finns en konflikt mellan de allmänna villkoren och personuppgiftsbiträdesavtalet ska personuppgiftsbiträdesavtalet ha företräde.
Definiering
De termer som används i denna bilaga ska ha den betydelse som de tilldelats i Europeiska unionens förordning om skydd för enskilda personer i fråga om behandling av personuppgifter ("dataskyddsförordningen")
Sådana termer omfattar i synnerhet:
∙ Lagstiftning. Europeiska unionens allmänna dataskyddsförordning (2016/679, "GDPR") från och med den dag då den tillämpas (25 maj 2018) och eventuell framtida lagstiftning som gäller vid den tidpunkten
∙ Uppgiftskontrollant. Kund som bestämmer ändamålen och medlen för behandlingen av personuppgifter. Gäller ej fysiska personer som hanterar transporter via Shipit
∙ Uppgiftsprofil. En fysisk person i lagens mening
∙ Personuppgifter. All information relaterad till en identifierad eller identifierbar fysisk person
∙ Processor. En tjänsteleverantör som behandlar personuppgifter för kundens räkning
∙ Processering. All aktivitet eller verksamhet där personuppgifter behandlas
∙ Underleverantör/underentreprenör. En enhet som utför behandlingen enligt denna bilaga för tjänsteleverantörens- och kundens räkning
∙ Standardavtalsklausul. Standardavtalsvillkor som godkänts av Europeiska kommissionen för överföring av personuppgifter från personuppgiftsansvariga i EU till personuppgiftsbiträden i tredjeländer (beslut 2022/16 EG)
Syfte
Med denna bilaga avser parterna komma överens om att Tjänsteleverantören, i egenskap av uppgiftsansvarig, kommer att behandla personuppgifter för Kundens räkning under avtalstiden.
Shipit kan komma att behandla personuppgifter för kundens räkning, vilket kan avse identifiering av en fysisk person (senare en registrerad). Detta inkluderar direkt och indirekt information, såsom personens namn, adress, IP-adress, platsinformation, online- identifiering, telefonnummer, e-postadress, överföringsinformation och meddelanden. Shipit behandlar inte personnummer på sin webbplats, utan kan vid behov hjälpa kunden att lämna in detta till transportföretaget. Till exempel för export eller importdeklarering.
Om inte annat överenskommits i en skriftlig beställning av kunden kan Shipit behandla all direkt och indirekt information relaterad till leveransen.
Kundens förpliktelser
Kunden agerar som Uppgiftsansvarig i den mening som avses i lagen om personuppgifter när det gäller Kundens kunder, anställda eller andra personer som Tjänsteleverantören behandlar i Tjänsten för dess utförande ("Kundens Personuppgifter").
Kunden definierar hur personuppgifterna används, ersätts eller på annat sätt behandlas. Det är kundens ansvar att se till att alla som är registrerade på lämpligt sätt har underrättats och fått nödvändig information om hanteringen av deras personuppgifter samt att kunden själv har de rättigheter och det samtycke som krävs för behandling av personuppgifter. Som Uppgiftsansvarig är Xxxxxx också ansvarig för att skriva en sammanfattning angående processen av personuppgifter.
Kunden kommer endast att använda information till tjänsten och de system som kunden har rätt att behandla enligt tillämplig integritetslagstiftning.
Xxxxxx är skyldig att underrätta Tjänsteleverantören om alla sådana frågor (inklusive särskilda risker eller personuppgiftsgrupper) som kan kräva ytterligare tekniska- eller organisatoriska skyddsåtgärder.
Kunden ansvarar också för de anställda och de personer som använder tjänsten via Kunden.
Kunden är ansvarig om en tredje part skulle få obehörig åtkomst till personuppgifter eller Tjänsten.
Utfärdarens skyldigheter
Shipit och dess personal ska endast behandla personuppgifterna för Kundens räkning i enlighet med avtalet och dess bilagor och eventuellt enligt separat överenskomna skriftliga instruktioner, om inte annat krävs enligt lagstiftning.
Shipit ska hålla Kundens personuppgifter konfidentiella och säkerställa att de personer som har rätt att behandla personuppgifterna också gör det.
∙ Behandlingen av personuppgifter baseras på den uppgiftsansvariges, eller en tredje parts intressen.
∙ Den registrerade har fått korrekt information om behandlingen av personuppgifter
∙ Den Uppgiftsansvarige har rätt att överföra och kontrollera personuppgifter i ett sådant fall
∙ Den uppgiftsansvarige ska behandla uppgifterna i enlighet med tillämplig dataskyddslagstiftning.
Databehandling och åtgärder
Shipit ska vidta lämpliga åtgärder så att kraven i tillämplig lagstiftning uppfylls. Skyddsåtgärder för att förhindra oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörig överföring eller åtkomst till personuppgifter ligger också på Shipits ansvar. I dessa åtgärder ska hänsyn till den säkerhetsnivå som är lämplig för risken beaktas.
∙ När personuppgifter visas lämnas alltid ett spår i Shipits system
∙ Informationen från den uppgiftsansvarige lagras inom de ramar som krävs enligt lag
∙ Sekretessförpliktelser binder även Shipits alla anställda avseende personuppgifter
∙ Kryptering av personuppgifter
∙ Kontroll av åtkomster
∙ Systemsäkerhetstestning och lösenord för att kryptera dataöverföring
∙ Riskhantering
∙ Säkerhetsprövningar av personal
Rederier som använder Shipit som sina underleverantörer kan också använda sig av leveransinformation i den utsträckning som anses nödvändig.
Det slutliga godkännandet av dessa villkor sker när Kunden skapar en försändelse via Shipit eller när Xxxxxx lämnar information till Shipit för behandling såsom vid transportförfrågningar.
Shipit ska bistå den uppgiftsansvarige med lämpliga tekniska- och organisatoriska åtgärder när så är möjligt. Även att svara på förfrågningar om utövande av den registrerades rättigheter. Xxxxxx är skyldig att ersätta Xxxxxx för kostnaderna för detta arbete enligt Shipits nuvarande prislista.
Shipit ska bistå den uppgiftsansvarige med att säkerställa att skyldigheterna avseende säkerheten för personuppgifter, konsekvensanalyser samt förhandssamrådet om dataskydd efterlevs. Xxxxxx är skyldig att ersätta Xxxxxx för kostnaderna för detta arbete enligt Shipits nuvarande prislista.
Om Xxxxxx begär ska Shipit radera eller returnera alla personuppgifter till Kunden inom 60 dagar efter det att behandlingstjänsten har slutförts, om inte annat bestäms av EU- eller
EU-lagstiftning vid tillfället. Om det är omöjligt att återställa informationen eller om det skulle kräva extrema åtgärder, bör uppgifterna raderas inom samma tidsram.
Användning av underleverantörer
Kunden tillåter Xxxxxx att använda underleverantörer för att utföra funktioner. Det finns ett avtal mellan Shipit och underleverantören som ålägger underleverantören att agera i enlighet med detta personuppgiftsbiträdesavtal. Xxxxxx ansvarar även för att underleverantören arbetar enligt avtalet.
I det fall att Xxxxxx hittar ett kryphål i underleverantörens verksamhet, eller att underleverantören på annat sätt ej följer de krav som ställts på underleverantören har Kunden rätt att skriftligen begära att underleverantören ej används för att behandla Kundens uppgifter. I ett sådant fall måste underleverantören radera eller återställa Kundens uppgifter.
För tydlighetens skull är Shipit Kundens enda avtalspartner, och Kunden kan genom Shipit beställa tjänster från Shipits underleverantörer (transportföretag) och det är då informationen överförs till en tredje part som behandlar Kundens personuppgifter för Shipits räkning.
Säkerhetsöverträdelser när det gäller personuppgifter
Båda parter ska, utan onödigt dröjsmål, rapportera all avvikelse i informationssäkerheten eller andra säkerhetsöverträdelser som kommer till dess kännedom och som har, eller kan ha, en inverkan på behandlingen av personuppgifter.
Shipit ska bistå den uppgiftsansvarige med en eventuell utredning av myndigheter. Xxxxxx är skyldig att ersätta Shipit enligt sin nuvarande prislista om detta sker. Xxxxxx ska informera Xxxxxx om sådana frågor om inte annat krävs enligt lag, t.ex. på grund av en brottsutredning.
Xxxxxx är skyldigt att meddela Xxxxxx om förfrågningar från tredje part avseende hantering av personuppgifter.
I det fall som ett personuppgiftssäkerhetsbrott kommer till Shipits kännedom skall Xxxxxx informeras utan dröjsmål med den information som krävs för att lämna en rapport till myndigheterna, dock senast 36 timmar efter mottagandet av informationen. Shipit ska också bistå med åtgärderna i rimlig utsträckning för att slutföra ärendet med myndigheter och mildra negativa effekter.
I händelse av säkerhetsbrott ska Shipit förse Kunden med åtminstone följande information:
• En beskrivning av personuppgiftsincidenten
• Vem som har ansvar och som kan ge mer information
• Sannolika konsekvenser av överträdelsen
• Åtgärder som vidtagits eller planerats av Shipit och som kommer föreslås.
Varje part ska utreda datasäkerhetsöverträdelsen inom sitt ansvarsområde och vidta lämpliga åtgärder för att stoppa överträdelsen, mildra dess effekter och förhindra andra liknande datasäkerhetsöverträdelser. Parterna ska dokumentera och meddela den andra parten resultaten av sina undersökningar och de åtgärder som vidtagits. Parterna ska samarbeta på det sätt som anses lämpligt för att fullgöra sina skyldigheter enligt dataskyddsbilagan och lagstiftningen.
Granskning
Kunden har rätt att på egen bekostnad, eller med hjälp av tredje part, fastställa att Shipit kommer att följa detta Databehandlingsavtal. Sådana utredningar ska genomföras på ett sätt som inte inkräktar på Shipits övriga verksamhet utöver vad som är nödvändigt.
Shipit har rätt att besluta att utredningar ska utföras av en yrkesorganisation som kan utföra en sådan granskning. Shipit har rätt att besluta om transaktioner kan äventyra känslig information. Xxxxxx har även rätt att besluta om en tredje part befinns vara inkompetent i genomförandet av ett ärende. Om kunden finner betydande brister i behandlingen av personuppgifter som inte kan åtgärdas inom 30 dagar efter upptäckten har kunden rätt att säga upp avtalet utan dröjsmål.
Shipit har rätt att besluta att utredningar ska utföras av en yrkesorganisation som kan utföra en sådan granskning om transaktionerna kan äventyra känslig information eller om en tredje part befinns vara inkompetent i genomförandet av ärendet i fråga. Antag att kunden finner betydande brister i behandlingen av personuppgifter som inte kan åtgärdas inom 30 dagar efter upptäckten. I så fall har kunden rätt att säga upp avtalet utan dröjsmål. Om endast mindre fel upptäcks har Shipit rätt till skälig ersättning för inspektionen.
Ansvarsbegränsningar
Som uppgiftsansvarig är tjänsteleverantören endast ansvarig för eventuell skada som orsakats under hantering om denne inte har uppfyllt skyldigheterna i dataskyddslagstiftningen. Lagstiftningen som uttryckligen riktar sig till personuppgiftsbiträdena, eller om den har handlat i strid med den uppgiftsansvariges
rättsliga anvisningar. Tjänsteleverantören ansvarar inte för indirekta skador eller följdskador såsom inkomstbortfall.
Plats för dataöverföring
Shipits servercenter, där alla personuppgifter lagras och behandlas, finns i Finland. Shipit kan dock överföra personuppgifter till alla datacenter eller underbiträden inom EU/EES, eller i länder med en adekvat nivå av dataskydd enligt beslut av Europeiska kommissionen.
Dataöverföring till länder utanför EU/EES
Om transaktionen förpliktigar Shipit att överföra personuppgifter till ett företag som är verksamt utanför EU, eller till en nationell organisation utanför EU/EES, är Kunden skyldig att säkerställa nödvändigt skydd enligt artikel 46 inom GDPR. Shipit är inte skyldig att slutföra överföringen av personuppgifter om säkerhetsåtgärder inte finns på plats. Shipit kan också använda standardavtalsklausuler och lämpliga dataskyddsåtgärder för dataöverföringar utanför EU/EES.
Sekretess
Alla personuppgifter som behandlas av Shipit på uppdrag av den uppgiftsansvarige ska behandlas konfidentiellt och får inte överlämnas eller lämnas ut till någon tredje part eller användas för något annat ändamål än vad som överenskommits. Shipit åtar sig också att inte lämna ut eller lämna ut personuppgifter i sin organisation till anställda eller andra personer (inklusive eventuella underleverantörer) än de som behöver känna till informationen för det överenskomna ändamålet och som är skyldiga enligt lagstiftning eller andra avtal eller att hålla informationen konfidentiell
Bilagans giltighetstid och effekt av uppsägning
Denna Bilaga träder i kraft den 25 maj 2018 och ska fortsätta att gälla i enlighet med Villkoren i Avtalet till dess att parten säger upp Tjänsteavtalet efter uppsägningstiden eller Xxxxxxx sägs upp av någon annan anledning. Xxxxxx är skyldig att lämna in en begäran till Shipit om informationen ska returneras innan avtalsförpliktelserna upphör
Vid uppsägning av Avtalet kommer uppgiftsansvarig att xxxxxx Xxxxxxx personuppgifter i enlighet med dess policyer. Uppgiftsansvarig har dock rätt att behålla Kundens personuppgifter även efter avtalets upphörande så länge som det är nödvändigt för att säkerställa Tjänsteleverantörens rättsliga förpliktelser, tjänstesäkerhet eller för att utreda missbruk, fortsätta att behandla personuppgifter och fortsätta att iaktta sekretess.