Contract
Med anledning av EUs förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), GDPR, behöver ett personuppgiftsbiträdesavtal upprättas mellan Er som personuppgiftsansvarig och Nutid AB.
Personuppgiftsbiträde
Namn Nutid AB | Organisationsnummer 556568-2746 | |
Postutdelningsadress Xxxxxxxxxxxx 00 | Postnummer 254 67 | Postutdelningsadress Helsingborg |
Utgåva 201805211000 | ||
Parter
Detta personuppgiftsbiträdesavtal, nedan benämnt ”Avtalet”, har ingåtts mellan Personuppgiftsansvarige och Personuppgiftsbiträdet, var för sig benämnda ”Part” och tillsammans ”Parterna”.
Bilagor
Avtalet består av detta huvuddokument samt följande bilaga:
1. Instruktioner och dataskydd
För det fall att handlingarnas innehåll inte överensstämmer har huvuddokumentet företräde framför bilagorna.
Definitioner
I Avtalet skall nedan angivna termer ha följande betydelse:
Avtalet avser detta huvuddokument och vid var tid gällande bilagor.
Behandling avser den åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande begränsning, radering eller förstöring.
Gällande dataskyddsregler avser den allmänna dataskyddsförordningen (EU) 2016/679
(”GDPR”), med tillhörande genomförandeförfattningar samt Dataskyddslagen. I händelse av konflikt mellan ovan nämnda författningar ska GDPR ha företräde.
Personuppgifter varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska ekonomiska, kulturella eller sociala identitet.
Personuppgiftsincident avser en säkerhetsincident som leder till oavsiktlig eller olaglig
förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats och i övrigt behandlas.
Standardavtalsvillkor avser villkor för skydd av personuppgifter överförda till tredje
land i enlighet med Europeiska kommissionens beslut C(2010)593 av den 5 februari 2010 eller motsvarande villkor som ersätter dessa.
Underbiträde avser sådant personuppgiftsbiträde som anlitas av det Personuppgiftsbiträde som är Part i detta personuppgiftsbiträdesavtal och som behandlar personuppgifter för Personuppgiftsansvariges räkning.
1 Syfte
Personuppgiftsbiträdet förbinder sig genom detta avtal att behandla personuppgifter å Person- uppgiftsansvarigs vägnar. Parterna reglerar genom detta Avtal omfattningen och utformningen av behandlingen.
2 Personuppgiftsansvariges skyldigheter
2.1 Behandling i enlighet med tillämplig lagstiftning
Personuppgiftsansvarige ska ansvara för att all behandling av personuppgifter sker i enlighet med Avtalet och tillämplig lagstiftning.
Tillhandahållande av personuppgifter
Personuppgiftsansvarige ska tillhandahålla Personuppgiftsbiträdet med den information och de personuppgifter som behövs och är ändamålsenliga för att denne ska kunna fullgöra sina skyldigheter enligt Avtalet och tillämpliga lagstiftning.
Korrekta uppgifter
Personuppgiftsansvarige ska omedelbart lämna Personuppgiftsbiträdet korrekta uppgifter i händelse av att de dokumenterade instruktionerna är felaktiga, ofullständiga eller i övrigt behöver förändras.
2.2 Dokumenterade instruktioner
Personuppgiftsansvarige ska tillhandahålla Personuppgiftsbiträdet dokumenterade instruktioner. Dessa ska bland annat, men inte uteslutande, reglera vilka personuppgifter som ska behandlas, föremålet för behandlingen, behandlingens varaktighet och omfattning, art och ändamål, typen av personuppgifter och kategorier av registrerade, Personuppgiftsansvariges och Personuppgiftsbiträdets skyldigheter och rättigheter samt omfattningen av skyddsåtgärder och övriga IT-och säkerhetsrelaterade skyldigheter.
Personuppgiftsansvarige ska tillhandahålla alla de uppgifter som kan behövas för att Personuppgiftsbiträdet ska kunna uppfylla sina avtalsenliga skyldigheter gentemot Personuppgiftsansvarige.
De dokumenterade instruktionerna bifogas Avtalet, se Bilaga 1.
3 Personuppgiftsbiträdets ansvarsområden
3.1 Behandling av personuppgifter
3.1.1 Behandling enligt Avtalet och Tillämpliga bestämmelser
Personuppgiftsbiträdet ska endast behandla personuppgifter för Personuppgiftsansvariges räkning enligt Avtalet och Tillämpliga bestämmelser.
Personuppgiftsbiträdet får inte utan Personuppgiftsansvariges samtycke, föreläggande från relevant tillsynsmyndighet eller tvingande lagstiftning
• samla in eller lämna ut personuppgifter från eller till någon tredje part om inte annat skriftligen överenskommits,
• ändra metod för behandling,
• kopiera eller återskapa personuppgifter eller
• på något annat sätt behandla personuppgifter för andra ändamål än dem som anges i de dokumenterade instruktionerna.
3.1.2 Lagring och gallring
Personuppgiftsbiträdet ska säkerställa att de grundläggande principerna för behandling av personuppgifter efterlevs, däribland särskilt lagringsminimering. Personuppgiftsbiträdet ansvarar för att personuppgifter som inte längre behövs för ändamålet gallras. Personuppgiftsbiträdet ska upprätta rutiner för hur personuppgifter gallras, vilka personuppgifter som gallras och hur ofta gallring sker.
3.1.3 Överföring av personuppgifter
Personuppgiftsbiträdet får inte överföra några personuppgifter till en stat utanför EU-området eller till en stat som inte omfattas av undantagen till förbud mot överföring till tredje land enligt Tillämpliga bestämmelser. Förbudet omfattar även service, teknisk support, underhåll, utveckling och liknande tjänster av systemet.
3.1.4 Skriftligt samtycke vid överföring
En överföring som inte omfattas av ovanstående kräver Personuppgiftsansvariges skriftliga samtycke och ett säkerställande av att sådan överföring sker i överensstämmelse med Tillämpliga bestämmelser.
3.1.5 Genomförande av förändringar
Personuppgiftsbiträdet ska genomföra ändringar, raderingar, begränsningar och överföringar på Personuppgiftsansvariges uttryckliga begäran, dock inte om en sådan begäran strider mot Xxxxxxx eller Tillämpliga bestämmelser.
3.2 Tekniska och organisatoriska åtgärder
3.2.1 Vidta tekniska och organisatoriska åtgärder
Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska Personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken inbegripet, när det är lämpligt,
• pseudonymisering och kryptering av personuppgifter
• förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna,
• förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,
• ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.
3.2.2 Uppförandekod och certifieringsmekanism
Personuppgiftsbiträdet kan genom anslutning till en godkänd uppförandekod eller godkänd certifieringsmekanism visa att ovan nämnda skyldigheter efterlevs.
3.3 Upprättande av register
3.3.1 Upprätta ett register
Personuppgiftsbiträdet ska föra register över all behandling som utförs för Personuppgiftsansvariges räkning, som omfattar följande:
• Namn och kontaktuppgifter för Personuppgiftsbiträdet och Personuppgiftsansvarige för vars räkning Personuppgiftsbiträdet agerar, och, i tillämpliga fall, för Personuppgiftsansvariges eller Personuppgiftsbiträdets företrädare samt dataskyddsombudet.
• De kategorier av behandling som har utförts för Personuppgiftsansvariges räkning.
• I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och dokumentationen av lämpliga skyddsåtgärder.
• Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna.
3.3.2 Skriftligt register
Personuppgiftsbiträdet ska upprätta registret skriftligen, inbegripet i elektronisk form.
3.4 Underrättelseskyldighet
Personuppgiftsbiträdet ska utan onödigt dröjsmål underrätta Personuppgiftsansvarige i händelse av att personuppgiftsbehandlingen strider mot Avtalet, dataskyddsförordningen eller annan lagstiftning. Personuppgiftsbiträdet ska därefter invänta instruktioner från Personuppgiftsansvarige.
3.5 Information
3.5.1 Utlämnande av personuppgifter
Personuppgiftsbiträdet får inte lämna ut personuppgifter eller information om behandlingen av personuppgifter utan medgivande i förväg från Personuppgiftsansvarige utom för det fall föreläggande finns därom från relevant tillsynsmyndighet eller om Personuppgiftsbiträdet är skyldig att göra det enligt Tillämpliga bestämmelser.
3.5.2 Underrättelseskyldighet vid kontakt
Personuppgiftsbiträdet ska utan onödigt dröjsmål meddela Personuppgiftsansvarige om Personuppgiftsbiträdet kontaktas av behörig tillsynsmyndighet, registrerad eller tredje part i syfte att få tillgång till personuppgifter som Personuppgiftsbiträdet behandlar.
3.6 Revision
3.6.1 Kontroll av efterlevnad
Personuppgiftsansvarige äger rätt att, själv eller genom tredje man, genomföra revision gentemot Personuppgiftsbiträdet eller på annat sätt kontrollera att Personuppgiftsbiträdets behandling av personuppgifter följer Avtalet och Tillämpliga bestämmelser. Vid sådan revision eller kontroll ska
Personuppgiftsbiträdet ge Personuppgiftsansvarige den assistans som behövs för genomförande av revision.
3.6.2 Visa efterlevnad av Xxxxxxx och Tillämpliga bestämmelser
Personuppgiftsbiträdet ska på begäran och utan onödigt dröjsmål visa att förpliktelserna enligt Xxxxxxx och Tillämpliga bestämmelser efterlevs. Detta innefattar bland annat, men inte uteslutande, en skyldighet att tillhandahålla dokumentation, i förekommande fall visa att godkända uppförandekoder eller certifieringar är uppfyllda samt möjliggöra och bidra till att Personuppgiftsansvarige kan utföra nödvändiga granskningar och inspektioner.
3.6.3 Tillgång till personuppgifter
Personuppgiftsbiträdet ska ge Personuppgiftsansvarige tillgång till alla de personuppgifter som Personuppgiftsbiträdet behandlar för Personuppgiftsansvariges räkning. Detta innefattar även tillgång till upplysningar och handlingar som Personuppgiftsansvarige behöver för att utöva kontroll över Personuppgiftsbiträdets efterlevnad av Xxxxxxx och Tillämpliga bestämmelser. En sådan tillgång ska ges utan oskäligt dröjsmål, men inte senare än 20 dagar från Personuppgiftsansvariges uttryckliga och skriftliga begäran.
3.7 Säkerhet och sekretess
3.7.1 Utvärdera risker
Personuppgiftsbiträdet ska utvärdera riskerna med behandlingen och vidta åtgärder, såsom kryptering, för att minska dem. Åtgärderna bör säkerställa en lämplig säkerhetsnivå, inbegripet konfidentialitet, med beaktande av den senaste utvecklingen och genomförandekostnader i förhållande till riskerna och vilken typ av personuppgifter som ska skyddas.
3.7.2 Vidta säkerhetsåtgärder
Personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje fysisk person och juridisk person som utför arbete under Personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den Personuppgiftsansvarige.
Säkerhetsåtgärderna omfattar såväl tekniska som organisatoriska åtgärder. Omfattningen av åtgärderna ska vidtas med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter. Den säkerhetsnivå som ska säkerställas ska vara lämplig i förhållande till riskerna.
3.7.3 Tillräcklig kunskap och utbildning
Personuppgiftsbiträdet ansvarar för att varje fysisk person som har tillgång till personuppgifterna som behandlas enligt Avtalet har tillräckliga kunskaper och utbildning för att på ett säkert och ändamålsenligt sätt behandla personuppgifterna.
3.7.4 Förändringar av personuppgiftsbehandling
Om Personuppgiftsbiträdet avser att genomföra förändringar av hur personuppgifter behandlas eller i övrigt genomföra förändringar som kan påverka säkerheten för de registrerade, de registrerades rättigheter eller efterlevnaden av Xxxxxxx eller gällande rätt ska Personuppgiftsbiträdet skriftligen informera Personuppgiftsansvarige i förväg. Personuppgiftsansvarige ska ge sitt samtycke till sådana förändringar.
3.7.5 Sekretess och tystnadsplikt
Personuppgiftsbiträdet förbinder sig att behandla personuppgifter och annan information som uppvisar samband med Avtalet i enlighet med gällande sekretesslagstiftning och Tillämpliga
bestämmelser. Personalen som behandlar personuppgifter har ingått särskilda sekretessförbindelser samt upplysts om att tystnadsplikt föreligger enligt avtal eller nationell rätt.
3.7.6 Ändamålsenliga sekretessåtaganden
Personuppgiftsbiträdet ska tillse att samtliga anställda, konsulter och övriga som Personuppgiftsbiträdet svarar för och som behandlar personuppgifter är bundna av ett ändamålsenligt sekretessåtagande samt att de är informerade om hur behandling av personuppgifterna får ske.
3.7.7 Information till personer med åtkomst
Personuppgiftsbiträdet ansvarar för att de personer som har åtkomst till personuppgifterna är informerade om hur de får behandla personuppgifterna i enlighet med de dokumenterade instruktionerna från Personuppgiftsansvarige. Personuppgiftsbiträdet ska även säkerställa adekvat behörighetsstyrning.
3.8 Personuppgiftsincidenter
3.8.1 Vidta skadebegränsande åtgärder
Vid en misstänkt eller upptäckt personuppgiftsincident ska Personuppgiftsbiträdet omedelbart undersöka incidenten och vidta lämpliga åtgärder för att mildra dess potentiella negativa effekter.
3.8.2 Beskrivning av personuppgiftsincident
Om Personuppgiftsansvarige begär det ska en beskrivning av personuppgiftsincidenten lämnas till Personuppgiftsansvarig inom 24 timmar. En sådan beskrivning ska åtminstone innehålla
• beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,
• förmedla namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas,
• beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och
• beskriva de åtgärder som Personuppgiftsbiträdet har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.
Om och i den utsträckning det inte är möjligt att tillhandahålla informationen samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.
3.8.3 Bistå med skyldigheter gällande personuppgiftsincidenter
Personuppgiftsbiträdet ska bistå Personuppgiftsansvarige med att se till att dennes skyldigheter enligt Xxxxxxxxxxx bestämmelser om personuppgiftsincidenter fullgörs, med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå. Detta gäller även om Personuppgiftsansvarige misstänkt eller upptäckt en personuppgiftsincident.
3.8.4 Underrättelse om personuppgiftsincident
Personuppgiftsbiträdet ska underrätta Personuppgiftsansvarige utan onödigt dröjsmål, dock senast inom 24 timmar, efter att ha fått vetskap om en personuppgiftsincident.
3.8.5 Information om personuppgiftsincident
En underrättelse enligt ovan ska innehålla all den information som Personuppgiftsansvarige behöver för att uppfylla sina skyldigheter i förhållande till tillsynsmyndigheten.
3.8.6 Ovillkorlig underrättelseskyldighet
Ovanstående underrättelseskyldighet till Personuppgiftsansvarige gäller även om Personuppgiftsbiträdet av någon annan anledning inte kan uppfylla åtaganden enligt Avtalet eller de dokumenterade instruktionerna alternativt får kännedom om att personuppgifter har behandlats i strid med Xxxxxxx.
3.9 Bistå Personuppgiftsansvarige
3.9.1 Konsekvensbedömningar och förhandssamråd
Personuppgiftsbiträdet ska vid behov och på begäran bistå Personuppgiftsansvarige med fullgörande av de skyldigheter som denne har och som härrör från bestämmelserna i dataskyddsförordningen angående utförandet av konsekvensbedömningar avseende dataskydd och förhandssamråd med tillsynsmyndigheten.
3.9.2 Fullgörande av skyldigheter gällande registrerades rättigheter
Personuppgiftsbiträdet ska vid behov och på begäran bistå den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att den personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter enligt dataskyddsförordningen.
4 Personuppgiftsbiträdets anlitande av Underbiträde
4.1 Skriftligt tillstånd för anlitande av Underbiträde
Personuppgiftsbiträdet får inte anlita ett annat personuppgiftsbiträde (Underbiträde) utan att ett särskilt eller allmänt skriftligt förhandstillstånd har erhållits av Personuppgiftsansvarige.
4.2 Allmänt skriftligt tillstånd
Om ett allmänt skriftligt tillstånd har erhållits, ska Personuppgiftsbiträdet informera Personuppgiftsansvarige om eventuella planer på att anlita nya personuppgiftsbiträden eller ersätta personuppgiftsbiträden, så att Personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar.
4.3 Riskfördelning
Personuppgiftsbiträdets anlitande av Underbiträde sker på egen risk. Det medför ingen förändring beträffande den ansvarsfördelning som gäller mellan Parterna enligt Avtalet.
4.4 Tillräcklig skyddsnivå
Om Personuppgiftsansvarige godkänner Personuppgiftsbiträdets ansökan om anlitande av Underbiträde ska Personuppgiftsbiträdet vidta de åtgärder som krävs för att säkerställa att Underbiträdet upprätthåller en tillräcklig skyddsnivå för de personuppgifter som behandlas samt i övrigt följer tillämpliga delar av Avtalet och gällande dataskyddslagstiftning.
4.5 Underrättelse om anlitande eller byte av Underbiträde
Personuppgiftsbiträdet ska, innan åtgärder vidtas och under förutsättning att ansökan om Underbiträde accepterats av Personuppgiftsansvarige, informera denne om anlitande eller byte av Underbiträde. Personuppgiftsansvarige ska ha möjlighet att rikta invändningar mot Personuppgiftsbiträdets förslag om förändring. En sådan invändning utgör hinder för Personuppgiftsbiträdet att genomföra föreslagen förändring.
5 Ansvar för skada
5.1 Personuppgiftsbiträdets ansvar
Personuppgiftsbiträdet ska i förhållande till Personuppgiftsansvarige ansvara för skada uppkommen till följd av behandling av personuppgifter endast om denne inte har fullgjort de skyldigheter enligt Tillämpliga bestämmelser som specifikt riktar sig till Personuppgiftsbiträdet eller agerat utanför eller i strid med Avtalet.
Personuppgiftsbiträdet ska undgå ansvar enligt ovan om det visar att det inte på något sätt är ansvarigt för den händelse som orsakade skadan.
5.2 Personuppgiftsansvariges ansvar
Personuppgiftsansvarige ska ersätta Personuppgiftsbiträdet för de anspråk som riktas mot Personuppgiftsbiträdet, under förutsättning att anspråket har sin grund i Personuppgiftsansvariges bristfälliga eller felaktiga instruktioner till Personuppgiftsbiträdet.
6 Avtalets varaktighet samt ändringar i Avtalet
6.1 Varaktighet
Avtalet gäller från dess att det har undertecknats av Parterna och under den tid Personuppgiftsbiträdet behandlar personuppgifter i enlighet med Personuppgiftsansvariges instruktioner.
6.2 Återlämnande eller radering av personuppgifter
Efter det att behandlingen på Personuppgiftsansvariges vägnar har avslutats, ska personuppgiftsbiträdet återlämna eller radera personuppgifterna, såvida inte lagring av personuppgifterna krävs enligt lag som Personuppgiftsbiträdet omfattas av. Om personuppgifterna ska återlämnas ska det ske utan onödigt dröjsmål och i ett allmänt och läsbart elektroniskt format.
6.3 Personuppgiftsansvariges rätt att företa ändringar
Personuppgiftsansvarige får endast företa ändringar i Xxxxxxx i den mån det behövs för att efterleva Tillämpliga bestämmelser.
6.4 Förändring av avtalet
En förändring i Avtalet börjar gälla 30 dagar efter att underrättelsen om ändring kommit Personuppgiftsbiträdet tillhanda.
6.5 Personuppgiftsbiträdets rätt att företa ändringar
Personuppgiftsbiträdet äger inte rätt att påkalla ändringar i Xxxxxxx.
6.6 Samtycke vid nya typer av behandlingar
För det fall Personuppgiftsansvarige avser att utöka Personuppgiftsbiträdet behandling av personuppgifter till att avse nya typer av behandlingar kräver detta Personuppgiftsbiträdets uttryckliga samtycke.
7 Underrättelser
7.1 Skriftliga underrättelser
Underrättelser och meddelanden enligt Xxxxxxx ska ske skriftligen. Underrättelse ska ställas till de kontaktpersoner som angavs i samband med detta avtals upprättande via angivna e-postadresser.
8 Tvist
8.1 Tolkning och tillämpning
Avtalet ska tolkas och tillämpas i enlighet med svensk rätt. Tvist gällande tolkning eller tillämpning av Xxxxxxx ska lösas i allmän domstol i Sverige, under förutsättning att inte annan myndighet eller domstol i annan jurisdiktion har exklusiv behörighet att lösa tvisten.
Bilaga 1
Dessa instruktioner utgör en integrerad del av personuppgiftsbiträdesavtalet och ska följas av Personuppgiftsbiträdet vid utförande av personuppgiftsbehandlingen såvida inte annat uttryckligen anges i personuppgiftsbiträdesavtalet. Genom undertecknande av personuppgiftsbiträdesavtalet har Personuppgiftsbiträdet bekräftat innebörden av dessa instruktioner. Alla ändringar och tillägg till dessa instruktioner ska vara skriftligen för att gälla.
INSTRUKTIONER
1. Ändamål
Ändamålet med behandlingen är att fullgöra avtalade tjänster och skyldigheter. Support och konsultation samt IT-baserade stödtjänster (drift, underhåll).
2. Typ av behandling
Sammanställning, administration, lagring, organisering, inhämtande och användande. Support och konsultation samt IT-baserade stödtjänster.
3. Kategori av registrerade
Kategorin av registrerade utgörs av Personuppgiftsansvarigs anställda, konsulter och i förekommande fall bemanningspersonal.
4. Kategori av personuppgifter För Slutkunder:
Namn, befattning, kontaktuppgifter, ip-adress Leveransuppgifter, Kredituppgifter, Fakturauppgifter, Kundklubbsmedlemsskapsuppgifter, Uppgifter relaterade till bokningar, försäljningsuppgifter, försäkringsuppgifter, rabatt och presentkortsinformation, uppgifter relaterade till tjänster såsom uthyrning, bordsbokning och service, uppgifter som krävs för att tillgodose kassalagen samt analys på all data
För Anställda:
Namn, befattning, kontaktuppgifter
Tidsredovisning/Schema, Försäljningsinformation, Personalrabatter, inloggningsinformation, Provisionsuppgifter, rättigheter i systemen, aktivitetsdata, uppgifter som krävs för att tillgodose kassalagens amt analys på all data
För Leverantörer:
Namn, kontaktuppgifter Beställningshistorik och analys
5. Särskilda kategorier
Inga särskilda kategorier (känsliga personuppgifter) behandlas.
5. Plats för behandling
På servrar och annan lagringsmedia som kontrolleras av personuppgiftsbiträdet, eller dess underbiträden
6. Behandlingens varaktighet
Gäller från undertecknande datum tillsvidare.
7. Underbiträde
• Underbiträde får anlitas för programmering och utveckling av stödtjänster.
• Underbiträde får anlitas för lagring, återställande och säkerhetsåtaganden relaterade till tjänsterna
• Underbiträde får anlitas för service och reparation
• Underbiträde får även utses av eller i samråd med Personuppgiftsansvarige för samarbete baserat på den insamlade datan eller den analyserade datan.
8. Tredje land
Personuppgiftsbiträdet har endast rätt att behandla personuppgifterna inom Europeiska
Ekonomiska Samarbetet (”EES”).
9. Dataskydd
Personuppgiftsbiträdet har vidtagit följande tekniska och organisatoriska åtgärder för inbyggt dataskydd och säkerhet:
• Åtkomstskydd. Utrustning, portabla datamedier och dylikt som inte står under personuppgiftsbiträdets uppsikt ska låsas in i syfte att skyddas mot obehörig användning, påverkan och stöld.
• Säkerhetskopiering. Personuppgiftsbiträdet erbjudet möjligheten att göra säkerhetskopior av personuppgifterna samt försvara dessa avskilt. Personuppgifterna ska vara så väl skyddade att de kan återskapas efter en störning. Personuppgiftsbiträdet ska ha rutiner för testning av återläsning.
• Behörighetskontroll. Personuppgiftsbiträdet ska ha ett tekniskt system för behörighetskontroll i syfte att rätt användare får rätt behörighet och åtkomst. Utgångspunkten är att begränsningen ska ske på sådant sätt att endast dem som behöver uppgifterna för att kunna utföra sitt arbete ska ha åtkomst till dem. Personuppgiftsbiträdet ska ha rutiner för hur behörigheter tilldelas och tas bort.
• Reparation och service. Vid fall av reparation och service av datorutrustning, som används för behandling av personuppgiftsansvariges personuppgifter och som utförs av annan än personuppgiftsbiträdet, ska personuppgiftsbiträdet upprätta ett särskilt avtal med serviceleverantören.
• Rutiner för utredning. Personuppgiftsbiträdet ska säkerställa att det finns såväl tekniska som praktiska förutsättningar att utreda misstankar om obehörig åtkomst och annan form av obehörig användning till personuppgifterna.