Hantering av personuppgifter
Hantering av personuppgifter
Följande instruktioner gäller för behandling av Personuppgiher av Leverantören, både i egenskap av personuppgihs- ansvarig och i egenskap av personuppgihsbiträde enlighet med personuppgihsbiträdesavtalet. Utöver vad som redan framgår av Personuppgihsbiträdesavtalet ska Leverantören följa nedanstående instruktioner.
BILAGA 1 – HANTERING AV PERSONUPPGIFTER
Ändamål
Kategorier av Personuppgifter
Kategorier av Registrerade
Gallringstid
Praktisk hantering
Behandlingen av personuppgiher sker hos Leverantören såsom personuppgihsansvarig, och i vissa fall där Leverantören är personuppgihsbiträde, i syhe att leverera, utveckla, förvalta, felsöka, underhålla och administrera Leverantörens tjänster till och avtalsförhållande med Xxxxxx.
I egenskap av personuppgihsansvarig behandlas uppgiher som t.ex. namn, e-post, personnummer, adress, telefonnummer och liknande kontaktinformation till kund. Leverantören behandlar också till viss del användarnamn och IP-adresser.
I egenskap av personuppgihsbiträde kan ytterligare kategorier förekomma (regleras då av personuppgihsansvarige).
I egenskap av personuppgihsansvarig behandlas information om kunder, leverantörer och partners till Leverantören. I egenskap av personuppgihsbiträde kan ytterligare kategorier förekomma (regleras då av personuppgihsansvarige).
Personuppgiher som lagras direkt i våra system gallras eller anonymiseras inom skälig tid eher att Kund helt avslutat sin tjänst och våra kontraktuella åtagande upphört, eller om Xxxx valt att aktivt kräva borttagning av sina uppgiher. Undantag är data som har lagkrav att sparas längre (t.ex. finansiell information för Skatteverket eller bokföringsinformation) och dessa sparas då så länge vi har lagkrav på att spara informationen.
Information som lagras indirekt på våra tjänster, som t.ex. backuper av Kunds data, loggar eller liknande, specificeras på webbsida och/eller i avtal/villkor och sparas mellan 7 dagar och 12 månader beroende på tjänst.
Insamling av uppgiher i egenskap av personuppgihsansvarig sker vid registrering av Kunden via webbsida, och då också godkännande av villkor. Kundens information används för att identifiera Kund (både manuellt och automatiskt) för t.ex. utskick av fakturor och vid k ommunikation med support. Vid beställning av tredjepartstjänster som t.ex. domäner eller SSL-certifikat skickas den information som krävs till tredje part. Detta förtydligas också i separata avtalsvillkor för domännamn.
IP-adresser och användarnamn behandlas också i form av loggning, monitorering och backup.
Behandlingar som utförs från Leverantören i rollen personuppgihsbiträde utgörs normalt av exempelvis loggning, felsökning, monitorering, backup och kundtjänst/support.
Tekniska och organisatoriska säkerhetsåtgärder
Nedan listar de åtgärder som tas från Leverantören i egenskap av personuppgihsansvarig och personuppgihsbiträde för att säkerställa att personuppgiherna behandlas på ett säkert vis.
Privacy-by-design
Fysiskt skydd
Skydd mot skadlig kod
Begränsning av access
Backup
Loggning
Kryptering
Riskbedömning
Processer och rutiner
Systemregister
Utvecklingsprocesser och mjukvara från Leverantör tas fram med rutiner och processer som utgår från ett inbyggt dataskydd.
Utrymmen där personuppgiher förvaras, så som serverhallar & kontor, ska skyddas genom lämpliga tillträdeskontroller för att säkerställa att endast behörig personal får tillträde.
Relevanta system ska vara skyddade mot virus, trojaner och andra former av digitala intrång.
Inloggningar och accesser är rollbaserade och individbaserade, och grunden är att personal och system inte har mer access än nödvändigt för att utföra uppgihen.
Leverantören har backuper både på system där denne behandlar personuppgiher i egenskap av personuppgihsansvarig, och där våra kunder behandlar personuppgiher.
Leverantören har fullgod loggning kring access och ändring av personuppgiher.
All kommunikation på över internet mellan system som hanterar personuppgiher sker krypterat.
Leverantören utför löpande riskanalyser kring våra system och våra tjänster.
Leverantören har tydliga processer och rutiner för de olika typer av behandlingar som utförs.
Leverantören har fullgoda hjälpmedel för att få en bra kontroll på de system, enheter och organisationer som behandlar personuppgiher.