Allmänna villkor för behandlingen av Personuppgifter

Allmänna villkor för behandlingen av Personuppgifter

1. Inledning

Dessa Allmänna villkor gäller för tjänster som levereras av den säljande enheten ZF som identifieras på Serviceavtalet och å deras dotterbolags vägnar, (härefter tillsammans kallade “Personuppgiftsbiträdet”) till kunden som använder tjänsterna enligt definition nedan (härefter kallad “Kunden” eller “Den Personuppgiftsansvarige”).

Den Personuppgiftsansvarige och Personuppgiftsbiträdet benämns nedan gemensamt som ”Parterna” och individuellt som ”Parten”.

I den utsträckning Personuppgiftsbiträdet tillhandahåller IoT-tjänster, lösning för fordonshantering och andra produkter och tjänster (“Tjänsterna”) till kunden, enligt beskrivning i Serviceavtalet och de Allmänna villkoren för leverans av telematik och Sakernas internet-tjänster (tillsammans “Serviceavtalet”) som överenskommits mellan Personuppgiftsbiträdet och kunden.

I den utsträckning som tillhandahållandet av dessa Tjänster kräver delning och hantering av Personuppgifter mellan Parterna, specificerar dessa specifika Allmänna Villkor enligt vilka de kan få ta emot, komma åt och ytterligare behandla Personuppgifter från den andra Parten om och i den utsträckning som Personuppgiftsbiträdet behandlar Personuppgifter som Personuppgiftsbiträde å Kundens vägnar i samband med Tjänsterna som Personuppgiftsbiträdet tillhandahåller Kunden i enlighet med Tjänsteavtalet. ZF är en global fordons-

, industri- och teknikkoncern som utvecklar, tillverkar och säljer bland annat molnbaserade telematik- och IoT-lösningar (Sakernas Internet) till olika sektorer. Sådana lösningar kan omfatta en kombination av maskinvara, programvara och motsvarande tjänster som gör det möjligt att ansluta fordon och andra föremål till nätverk och som gör det möjligt för kunderna att digitalt hantera sina fordonsflottor och övervaka fordon och varor. Kunden använder ett motsvarande system för en digital, molnbaserad lösning (nedan kallad “Produkt”). Ifall tillgängligt och i den omfattning som anges kan data som samlas in via produkten lagras, få åtkomst till och hanteras på den molnplattform som tillhandahålls av processorn. Beroende på den specifika lösningen och i den mån den är tillgänglig kan produkten erbjuda inställningar för datahantering som kan aktiveras eller avaktiveras, t.ex. händelsebaserad insamling av data, sekretesslägen för att stoppa all databehandling, oskärpa data som man får åtkomst till på molnplattformen eller begränsade lagringsperioder. Oavsett eventuella standardinställningar är kunden helt ansvarig för att produkten används på ett lagligt sätt, inklusive inställningarna för datahantering. Kunden garanterar därför gentemot processorn att den kommer att alltid utföra databehandlingen i sin roll som personuppgiftsansvarig i enlighet med tillämplig lagstiftning om dataskydd och att den kommer att säkerställa en effektiv rättslig grund för behandlingen av personuppgifter, t.ex. ett uttryckligt samtycke från den registrerade om det krävs enligt lokal lagstiftning. Kunden garanterar vidare att justera inställningarna för datahantering före den första användningen av produkten om det krävs för att säkerställa en laglig användning av produkten.

Dessa Allmänna villkor och Bestämmelser för hanteringen av personuppgifter gäller så länge de båda parterna inte skrivit under ett separat

Personuppgiftsbiträdesavtal. Bestämmelserna i ett sådant undertecknat avtal skall ha företräde framför motstridiga villkor i dessa Allmänna villkor.

2. Definitioner

a. De begrepp som definieras i Tjänsteavtalet mellan Personuppgiftsbiträdet och den Personuppgiftsansvarige ska ha samma betydelse när de används i dessa Allmänna villkor och bestämmelser för hanteringen av personuppgifter (”Villkor”).

b. I dessa villkor, ska ”Personuppgifter”, ”Särskilda kategorier av uppgifter”, ”Hantera / hantering”, ”Personuppgiftsansvarig”, ”Personuppgiftsbiträde”, ”Underentreprenör”, ”Registrerade individer” och ”Personuppgiftsincident” ha samma betydelse som de har i tillämpliga Dataskyddslagar.

c. Med ”Dataskyddslagar” avses den allmänna dataskyddsförordningen (GDPR – General Data Protection Regulation 2016/679) samt kompletterande nationell lagstiftning inom medlemsstaterna i EES, EU:s direktiv 2002/58/EC av den 12 juli 2002 gällande hantering av Personuppgifter och integritetsskydd inom området elektronisk kommunikation såsom det implementerats i EES medlemsstaters nationella lagstiftning inklusive eventuella ändringar, upphävningar, ersättningar eller kompletteringar, såväl som alla andra lagar eller förordningar gällande dataskydd och integritet vid hantering av Personuppgifter som kontrolleras av vardera Parten.

3. Föremål och Villkor

Dessa villkor ska gälla all slags insamling, användning, delning och vidare hantering av Personuppgifter som Personuppgiftsbiträdet gör om och i den utsträckning Personuppgiftsbiträdet hanterar Personuppgifter som Personuppgiftsbiträde å Kundens vägnar i samband med Tjänsterna som Personuppgiftsbiträdet tillhandahåller Kunden i enlighet med Tjänsteavtalet.

Dessa Xxxxxxx ska ersätta utan att upphäva eventuella tidigare avtal som ingåtts mellan parterna vad gäller deras aspekter som rör hanteringen av Personuppgifter, med undantag för ett speciellt undertecknat databehandlingsavtal mellan parterna. Dessa Villkor utgör en del av Tjänsteavtalet mellan Personuppgiftsbiträdet och Kunden. Dessa Villkor gäller från och med datum för underskrift av Tjänsteavtalet och förblir giltigt och i kraft tills det att Tjänsteavtalet löper ut. Personuppgiftsbiträdet kan med jämna mellanrum uppdatera dessa villkor. Den senaste versionen som gäller kommer alltid finnas tillgänglig på

Personuppgiftsbiträdets webbplats: xxxxx://xxx.xx.xxx/xx/xxxxx/XX-Xxxxxxxxxx-xx- processing-personal-data

4. Omfattning

Parterna ska, i sin respektive egenskap, behandla personuppgifterna i enlighet med dataskyddslagstiftningen och andra tillämpliga lagar som någon av parterna är underkastad.

Typ av Personuppgifter

Den Personuppgiftsansvarige ska definiera att en eller flera av följande datakategorier ska samlas in, hanteras och används av Personuppgiftsbiträdet enligt dessa villkor.

Personuppgifter som tillhandahålls, lagras, skickats eller mottas av Kunden eller dess slutanvändare via lösningen för fordonshantering (Fleet Management Solution), som kan omfatta, beroende på de tjänster som den Personuppgiftsansvarige begär:

• Namn, befattning, körkortsnummer, kvalifikationer, datum för inledning och avslutning av tjänst, utgångsdatum för läkarintyg

• Yrkesmässiga och kommersiella adresser eller företagsadresser

• Födelsedatum inklusive år, månad och dag

• Telekommunikationsdata (exempelvis anslutning, plats, användning och trafikuppgifter)

• Telefonnummer, mobiltelefonnummer

• E-postadress

• Färdskrivardata (körtid, vilotid, arbetstider)

• Meddelanden

• IP-adresser

• Eco data

• Schemaläggnings- och kontrolluppgifter

• Exakt platsinformation (GPS-positioner)

• Lastbilens och släpets registreringsnummer

• Enhets- och tjänsterelaterad diagnostikinformation

• Foto

• Kön

• Roll (förare / besökare / speditör / administratör)

• Förarens användarspråk

• Färdskrivare: ID

• Färdskrivare: Land där kortet utfärdades

• Aktiviteter (körning, stillastående, vila osv.)

• Larm

• Datum för den senast läsningen av färdskrivaren

• ECO-prestation / Trend: Tomgång, Högt varvtal, Överhastighet, Köra i friläge, Kraftig inbromsning, Köra omkring planlöst, Genomsnittlig bränsleförbrukning

• TracKing-dataintegration för släp (Thermo King): zontemperatur, dörrförhållande, däcktryck, larm

• FMS/ Information om fordonsanvändning, exempelvis tillryggalagd färdsträcka, lokal tid, körtid, fordonshastighet, motorvarvtal, motorbelastning, motortemperatur, broms-, sväng- och gasningsmanövrar, resans längd och avstånd, batterispänning

• Information om bruk av släp, såsom: tillryggalagd färdsträcka, lokal tid, körtid, släpets hastighet och belastning, bromsning (EBS) / avstånd, TPMS,

EBPMS, GNSS

• Videoinspelning (måste aktiveras av kunden)

Kategorier av Registrerade individer

Den Personuppgiftsansvarige har identifierat följande kategorier av Registrerade individer vars Personuppgifter, såsom de definieras ovan, kommer att samlas in, hanteras och användas av Personuppgiftsbiträdet under detta Biträdesavtal:

• Kundens anställda;

• Kundens underentreprenörer;

• Anställda hos Kundens Kunder, leverantörer och underentreprenörer;

• Andra personer som tillhandahåller information via lösningen för

fordonshantering (Fleet Management Solution), inklusive personer som samarbetar och kommunicerar med Kundens slutanvändare.

Bevarande av uppgifter

Personuppgiftsbiträdet ska inte behålla Personuppgifter i ett format som möjliggör identifiering av de Registrerade individerna längre än vad som är nödvändigt för de syften i vilket Personuppgiftsbiträdet hanterar Personuppgifterna via FMS, om inte så erfordras eller tillåts i Dataskyddslagar eller annan tillämplig lagstiftning. Genom att använda Tjänsten ska kunderna avgöra och uttryckligen instruera Personuppgiftsbiträdet vad gäller lagringsperioder,antingen genom att använda produktstandardperioden eller i förekommande fall, en hanterbar period som kan avgöras av kunden via en dataskyddsmodul i verktyget. När dessa lagringsperioder är över kan Personuppgiftsbiträdet antingen radera eller avidentifiera Personuppgifterna. Innan denna period är över ska kunden exportera all nödvändig data via verktyget. I minst 6 månader efter de har skapats är det inte nödvändigt för Personuppgiftsbiträdet att radera kopior av Personuppgifter, som lagras i automatiska säkerhetskopior genererade av Personuppgiftsbiträdet, och som kommer att sparas så länge som möjligt för att säkerställa kontinuitet Sådana säkerhetskopior styrs av dessa villkor tills de förstörs. Parterna inser och samtycker till att Personuppgiftsbiträdet kan avidentifiera de Personuppgifter som samlats in, genererats och/eller lagras som en del av tjänsten och dessutom använda sådan avidentifierad data för statistiska, analytiska, forsknings och utvecklings, kommersiella, riktlinje och liknande syften i enlighet med dataskyddslagstiftningen.

5. Personuppgiftsbiträdets skyldigheter

Där Personuppgiftsbiträdet (i sin roll som Personuppgiftsbiträde) behandlar Personuppgifter för kundens räkning (sin roll som Personuppgiftsansvarig), ska den:

a. Hantera eller få Personuppgifterna hanterade i enlighet med de Dataskyddslagar som reglerar uppdraget som Personuppgiftsbiträde.

b. Behandla – och uppmana varje person som agerar under dess behörighet att behandla - Personuppgifter å den Personuppgiftsansvariges vägnar och i enlighet med dennes dokumenterade instruktioner, såvida inte hanteringen erfordras av lagstiftning inom EU eller en medlemsstat i EU under vilken Personuppgiftsbiträdet lyder. I sådant fall ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om lagkravet innan hanteringen inleds, om inte nämnda lagstiftning på goda grunder och i allmänhetens intresse förbjuder sådan information. Dessa villkor är liktydiga med dokumenterade instruktioner från den Personuppgiftsansvarige till Personuppgiftsbiträdet. På begäran från den Personuppgiftsansvarige ska Personuppgiftsbiträdet även korrigera, rätta eller blockera Personuppgifterna samt säkerställa att endast personal med lämplig utbildning har tillgång till Personuppgifterna.

c. Med beaktande av hanteringens beskaffenhet och den information som finns tillgänglig för Personuppgiftsbiträdet, stötta den Personuppgiftsansvarige med kommersiellt rimligt bistånd när det gäller att uppfylla dennes

skyldigheter under tillämpliga Dataskyddslagar, inklusive när det gäller att utföra eventuellt nödvändiga konsekvensbedömningar avseende dataskydd.

d. Vidta lämpliga tekniska och organisatoriska åtgärder enligt vad som erfordras i tillämpliga Dataskyddslagar för att skydda Personuppgifterna mot oavsiktlig eller rättsstridig förstörelse eller förlust, förändring, otillåten åtkomst, offentliggörande eller överföring, missbruk och andra former av otillåten hantering, samt minst vidta åtminstone följande säkerhetsåtgärder, vid behov:

i. Pseudonymisering och kryptering;

ii. Åtgärder avsedda att säkerställa löpande sekretess, integritet, tillgänglighet och motståndskraft hos behandlingssystem och tjänster;

iii. Åtgärder avsedda att återställa tillgängligheten och åtkomsten till Personuppgifterna inom rimlig tid i det fall en fysisk eller teknisk incident skulle inträffa;

iv. Rutiner för regelbunden testning, bedömning och utvärdering av effektiviteten hos de tekniska och organisatoriska säkerhetsåtgärderna.

I Bilaga 1 dokumenterar Personuppgiftsbiträdet implementeringen av tekniska och organisatoriska åtgärder.

e. Ge den Personuppgiftsansvarige tillgång till rimlig information som krävs för att uppvisa efterlevnad av Personuppgiftsbiträdets skyldigheter att följa tillämpliga Dataskyddslagar samt tillåta och bidra till revisioner, inklusive inspektioner, som utförs av den Personuppgiftsansvarige eller annan revisor utsedd av den Personuppgiftsansvarige. Personuppgiftsbiträdet

Ska tillhandahålla information i enlighet med denna sektion endast i den utsträckning som informationen rör Personuppgiftsbiträdets behandling av Personuppgifter för den Personuppgiftsansvariges räkning och sådan information finns i Personuppgiftsbiträdets besittning och inte innebär ett brott mot tillämplig lagstiftning eller Personuppgiftsbiträdets konfidentialitetsskyldigheter eller rättsliga skydd eller på annat sätt underminerar säkerheten eller integriteten hos dess system eller data.

f. Den Personuppgiftsansvariges rätt till revision ska bygga på att Personuppgiftsbiträdet ges skriftligt meddelande minst fyra (4) veckor i förväg om att en sådan revision ska genomföras och som får utföras högst en gång per år, förutom i händelse av en specifik begäran från en dataskyddstillsynsmyndighet att utföra sådan revision. Eventuell revision ska utföras under normal arbetstid och ska vara föremål för (i) en utomstående revisionsfirma som båda parter kommit överens om och anlitade helt på den Personuppgiftsansvariges egen kostnad (ii) en detaljerad skriftlig revisionsplan och omfång granskad och godkänd av Personuppgiftsbiträdet; och (iii) Personuppgiftsbiträdets säkerhetspolicys på plats. Sådana revisioner får endast utföras i närvaro av en utsedd representant för Personuppgiftsbiträdet. Den

Personuppgiftsansvarige ska tillhandahålla en kopia av revisionsrapporten till Personuppgiftsbiträdet och ska behandlas som Personuppgiftsbiträdets konfidentiella information. I enlighet med Serviceavtalet ska eventuella revisioner bygga på att den Personuppgiftsansvarige betalar för alla Personuppgiftsbiträdets avgifter och kostnader i samband med en sådan revision.

g. Rörande punkt (e) ovan, omedelbart meddela den Personuppgiftsansvarige om Personuppgiftsbiträdet anser att någon av instruktionerna från den Personuppgiftsansvarige bryter mot Dataskyddslagarna.

h. Med beaktande av hanteringens beskaffenhet och den information som finns tillgänglig, så långt det är möjligt stötta den Personuppgiftsansvarige med lämpliga tekniska och organisatoriska åtgärder i den utsträckning detta är rimligen möjligt och i den utsträckning detta är tillåtet enligt gällande lag för att uppfylla den Personuppgiftsansvariges skyldighet att tillhandahålla information om insamling, behandling eller användning av Personuppgifter till Registrerade individer och reagera på begäran från Registrerade som vill utöva sina rättigheter. Förfrågningar från Registrerade individer direkt till Personuppgiftsbiträdet ska vidarebefordras till den Personuppgiftsansvarige. Den Personuppgiftsansvarige ska ensamt bära ansvaret för att svara på sådana förfrågningar..

i. Omedelbart meddela den Personuppgiftsansvarige vid Personuppgiftsincidenter som rör Personuppgifter som hanteras av Personuppgiftsbiträdet och, med beaktande av hanteringens beskaffenhet och den information som finns tillgänglig, så långt det är möjligt stötta den Personuppgiftsansvarige i uppfyllandet av dennes skyldigheter i händelse av en Personuppgiftsincident.

j. Efter beslut av den Personuppgiftsansvarige radera eller returnera alla Personuppgifter till den Personuppgiftsansvarige när tillhandahållandet av tjänsterna med koppling till hanteringen avslutas samt radera befintliga kopior såvida inte lagstiftning inom EU eller någon av EU:s medlemsstater kräver eller medger att Personuppgifterna sparas. Parterna bekräftar och samtycker till att om den Personuppgiftsansvarige inte instruerar Personuppgiftsbiträdet inom [30 dagar] efter slutet av tillhandahållandet av tjänsterna att radera eller returnera de relevanta Personuppgifterna ska det anses att den Personuppgiftsansvarige instruerar Personuppgiftsbiträdet att radera eller anonymisera Personuppgifterna i enlighet med Personuppgiftsbiträdets policys och rutiner. Om den Personuppgiftsansvarige väljer att returnera alla Personuppgifter, ska den Personuppgiftsansvarige exportera de nödvändiga data via verktygsutrustningen innan tjänsterna avslutas.

k. Se till att personer (till exempel anställda) som har behörighet att hantera Personuppgifterna är bundna av sekretess eller har lagfäst skyldighet att bevara uppgifterna konfidentiella.

Den Personuppgiftsansvarige ska vara ansvarig för att betala eventuella avgifter och kostnader som uppstår på grund av Personuppgiftsbiträdets tillhandahållande av eventuell assistans den ger till den Personuppgiftsansvarige enligt dessa villkor.

6. Hantering som utförs av Underentreprenörer

a. Genom dessa Villkor och Serviceavtalet, ger den Personuppgiftsansvarige Personuppgiftsbiträdet en allmän skriftlig tillåtelse att anlita en annan Personuppgiftsansvarig till att sköta hela eller delar av hanteringen enligt dessa villkor.

b. Parterna är eniga om att alla Underentreprenörer som listas i Bilaga 2 är uttryckligen godkända.

c. Personuppgiftsbiträdet ska informera den Personuppgiftsansvarige om eventuella avsedda ändringar när det gäller tillägg eller ersättning av andra Personuppgiftsbiträden på dess webbplats och via länken som omnämns under Bilaga 2.

d. Om Personuppgiftsbiträdet vidtar åtgärder eller överväger att låta Personuppgifter som hanteras enligt dessa Villkor, att överföras till och hanteras av en Underentreprenör, ska följande villkor gälla:

i. Personuppgiftsbiträdet ska endast göra detta via en skriftlig överenskommelse som binder Underentreprenören till samma skyldigheter som Personuppgiftsbiträdet har enligt dessa villkor, särskilt avseende skyldigheten att vidta lämpliga tekniska och organisatoriska åtgärder på sådant sätt att hanteringen uppfyller erforderliga krav enligt tillämpliga Dataskyddslagar.

ii. I fall då Personuppgifter har eller kommer att överföras till utanför EES till ett land som inte har en fullgod nivå på sitt dataskydd ska EU:s Standardkontraktklausuler (under lämplig modul) eller andra fullgoda dataöverföringsmekanismer implementeras i enlighet med lämpliga dataskyddslagar.

iii. Om Underentreprenören inte uppfyller skyldigheterna gällande dataskydd enligt en sådan skriftlig överenskommelse, ska Personuppgiftsbiträdet förbli fullt ansvarigt gentemot den Personuppgiftsansvarige när det gäller uppfyllandet av Underentreprenörens skyldigheter, föremål för de ansvarsbegränsningar som avtalats i dessa Särskilda villkor.

7. Den Personuppgiftsansvariges skyldigheter

a. Den Personuppgiftsansvarige beslutar om syftet med och metoderna för att hantera Personuppgifter med hjälp av Fleet Management Solution.

b. Den Personuppgiftsansvarige representerar, utfäster och samtycker till att:

i. Personuppgiftsbiträdet får tillstånd att använda Personuppgifterna i syfte att behandla i enlighet med dessa Villkor.

ii. Personuppgifterna har lagligen samlats in och hanterats i enlighet med Dataskyddslagar.

iii. Det garanteras att tillämpliga Dataskyddslagar efterlevs när den Personuppgiftsansvarige överför Personuppgifter till Personuppgiftsbiträdet för att efterleva dessa villkor och när instruktioner ges till Personuppgiftsbiträdet

avseende hanteringen av Personuppgifterna.

c. Parterna bekräftar och samtycker till att endast Den Personuppgiftsansvarige har ansvar att lämna meddelande till och inhämta lämpligt samtycke från individer med avseende på användningen av tjänsterna, i enlighet med gällande lag.

d. Den Personuppgiftsansvarige ska säkerställa att uppgifterna hanteras på ett sätt som garanterar tillräcklig säkerhet, inklusive skydd mot otillåten eller rättsstridig hantering och mot oavsiktlig förlust, förstörelse eller skada, med hjälp av lämpliga tekniska och organisatoriska åtgärder.

e. Den Personuppgiftsansvarige ska föra register över behandlingsverksamhet på eget ansvar och i enlighet med dataskyddsförordningen GDPR där Fleet Management Solutions ingår.

f. Den Personuppgiftsansvarige ska samarbeta efter rimlig begäran av Personuppgiftsbiträdet när det gäller att verifiera denna efterlevnad av den Personuppgiftsansvarige och dess användare och ska omedelbart meddela Personuppgiftsbiträdet utan onödig försening om vid någon tidpunkt Den Personuppgiftsansvarige får kännedom om att överträdelse har inträffat och inte längre kan uppfylla sina efterlevnadsskyldigheter enligt detta.

8. Överlåtelse

Den Personuppgiftsansvarige accepterar att Personuppgiftsbiträdet kan delegera sina åtaganden som Personuppgiftsbiträde till ett dotterbolag, en underleverantör eller tredje part om det säljer eller överför hela eller en del av sin verksamhet eller tillgångar vilket omfattar genom sammanslagning, förvärv, omorganisation, upplösning eller likvidering.

9. Dataöverföringar

Om Personuppgifter överförs till kunder utanför det Europeiska ekonomiska samarbetsområdet är parterna överens om att den gränsöverskridande överföringen av Personuppgifter från Personuppgiftsbiträdet styrs av EU:s standardavtalsklausuler (“SCCs”, under lämplig modul), såvida inte överföringen styrs av ett lämplighetsbeslut från Europakommissionen.

10. CCPA

I den utsträckning Personuppgiftsbiträdet förses med konsumentpersonlig information som faller under CCPA i samband med kundens användning av DCS, bekräftar och samtycker Parterna till att: (i) Personuppgiftsbiträdet ska agera som en serviceleverantör till kunden när det gäller att behandla Personuppgifter som införskaffats via tjänsterna; (ii) personuppgifterna yppas för Personuppgiftsbiträdet för de verksamhetsändamål som anges i serviceavtalet; (iii) Personuppgiftsbiträdet ska inte sälja personuppgifterna eller såvida inte på annat sätt tillåtet eller obligatoriskt enligt gällande lag, spara, använda eller yppa personuppgifterna (a) för andra ändamål än att tillhandahålla tjänsterna eller (b) utanför det direkta affärsförhållandet mellan Personuppgiftsbiträdet och kunden; eller (iv) såvida det inte tillåts enligt gällande lag får Personuppgiftsbiträdet inte kombinera de personuppgifter som kommer från kunden med personuppgifter som Personuppgiftsbiträdet får från eller å annan persons vägnar, eller samlar in från sina mellanhavanden med en relevant kund. Varje Part ska uppfylla de skyldigheter som gäller parten i fråga

i enlighet med CCPA när de utför sina respektive åtaganden i enlighet med serviceavtalet och omedelbart meddela den andra parten om det visar sig att parten inte längre kan klara av sina åtaganden i enlighet med CCPA. Varje part kan utöva sina respektive rättigheter som de beskrivs i serviceavtalet eller dessa villkor för att (i) vidta kommersiellt rimliga åtgärder för att säkerställa att den andra parten använder personuppgifter på ett sätt som överensstämmer med dess åtaganden i enlighet med CCPA, och (ii) på skriftlig begäran, vidta kommersiellt rimliga åtgärder för att stoppa och åtgärda otillbörligt bruk av personuppgifter. I detta avsnitt ska begreppet “CCPA” stå för California Consumer Privacy Act of 2018, efter ändring i California Privacy Rights Act, av år 2020 (när den träder i kraft), och begreppen “Verksamhetssyfte”, “Kund”, “Personuppgifter”, “Sälja” och “Serviceleverantör” ha de betydelser som tillskrivs dem i CCPA.

11. Ansvar

Parternas respektive ansvar gentemot varandra för brott mot dessa villkor, och deras ersättningsskyldighet gentemot varandra för tredje parts anspråk, riktade mot en part, på grund av ett avtalsenligt eller icke-avtalsenligt brott mot dessa villkor eller dataskyddslagar av andra parten, ska styras av de ansvars- och ersättningsvillkor som anges i serviceavtalet mellan Personuppgiftsbiträdet och Kunden med avseende på de relevanta Tjänsterna. Dessutom ska kunden friskriva processorn från allt ansvar för direkta eller indirekta skador hos registrerade personer till följd av kundens överträdelse av dessa villkor eller till följd av kundens behandling av personuppgifter i strid med tillämpliga dataskyddslagstiftning, såvida inte kunden bevisar att den inte på något sätt är ansvarig för den omständighet som ledde till att den registrerade personen drabbades av skadan. Kunden friskriver också processorn från ansvar i fråga om eventuella skadestånd som tredje part kräver mot processorn till följd av kundens brott mot dessa villkor eller som orsakats av kundens behandling av personuppgifter i strid med tillämplig dataskyddslagstiftning. Detsamma gäller om processorn har ålagts administrativa böter, varvid omfattningen av ersättningen ska bero på den del av ansvaret som kunden bär i förhållande till den överträdelse som sanktioneras av de administrativa böterna.

12. Tillämplig lag och jurisdiktion Dessa Villkor lyder under samma lag som reglerar det relevanta Serviceavtalet (om detta val av lag är ogiltigt under gällande lagstiftning i det land där den relevanta Personuppgiftsansvarige är etablerad ska valet av lag vara lagen i det land där den relevanta Personuppgiftsansvarige är etablerad).

Den behöriga domstolen för avtalsenliga eller icke avtalsenliga tvister som uppstår med anledning av eller i samband med dessa villkor ska vara densamma som den som avtalats i Serviceavtalet. Detta stycke påverkar dock inte någon av Parternas respektive obligatoriska skyldigheter under tillämpliga Dataskyddslagar.

Bilaga 1: Tekniska och operativa åtgärder Denna bilaga vänder sig till kunder och affärspartners och beskriver de tekniska och organisatoriska åtgärderna för att skydda Personuppgifter mot otillbörlig åtkomst, yppande, ändring och förlust av Personuppgifter i enlighet med dataskyddslagstiftningen.

Detta dokument tillhandahåller vidare information om de tekniska och organisatoriska åtgärder som

Personuppgiftsbiträdet har implementerat i syfte att skydda Personuppgifter.

SÄKERHET AVSEENDE NÄTVERK OCH DATORHALLAR

De datacenter som används av Personuppgiftsbiträdet är certifierade. Alla kritiska verksamhetstjänster har faciliteter för säkerhetskopiering i enlighet med verksamhetsstjänstens krav.

Plattformen har automatisk läkningsförmåga och autoskalningsförmåga för att säkerställa höga SLA- mål även under stress. Plattformen använder även isoleringsprinciper och segregering för att lokalisera problem och undvika påverkan på hela systemet.

PERSONUPPGIFTBITRÄDETS LOKALER

1. Kontroll av tillträde (byggnad/kontor/datacenter) Personuppgiftsbiträdet har bland annat men inte enbart implementerat följande åtgärder för att förhindra otillåten tillgång till datasystem som hanterar Personuppgifter:

● Anställda har personliga kort / nycklar för att komma in i byggnaden.

● Ej behöriga personer ska förhindras från att få fysisk tillgång till anläggningar, byggnader eller rum som innehåller datasystem som hanterar och/eller använder Personuppgifter.

2. Åtkomstkontroll (system) Personuppgiftsbiträdet har bland annat men inte enbart implementerat följande åtgärder för att förhindra att ej behöriga personer otillåtet använder datasystem som hanterar personuppgifter:

● Informationssystem som täcker hela företaget övervakas kontinuerligt.

● Varje medarbetare har en egen arbetsstation med ett personligt användarnamn och lösenord.

● Tillträde till kritiska produktionssystem är endast möjlig för begränsad, specialutbildad personal.

● Administratörsåkomst kräver flerfaktorautentisering.

● All åtkomst till plattformen är fullständigt granskad och övervakad.

● Auktoriseringar ges enligt principen för minsta privilegium.

● Automatisk utloggning implementeras vid inaktiv timeout.

● Automatisk avstängning av användarnamnet efter att flera felaktiga lösenord har angetts, loggfil över händelser (övervakning av inbrottsförsök).

● Samtliga anställda är bundna till sekretessavtal. Tillgång till icke offentliga uppgifter ges endast vid behov och övervakas. Användarna utbildas löpande om vikten av datasäkerhet inom branschen.

● Personuppgiftsbiträdet använder funktionsbaserad åtkomst, dvs. utvecklingsteam, hosting-team och Kundtjänstteam... Åtkomst är rollbaserad med regelbunden översikt av gruppmedlemskap.

● Alla (hemliga) nycklar som används av plattformen lagras i ett säkert valv och

rotationsscheman för nycklarna har implementerats.

● System finns på plats för att upptäcka otillbörlig åtkomst i realtid och utfärda varningar i tillbudshanteringssystemet. Otillbörlig åtkomst kan lätt låsas ute från systemet.

3. Åtkomstkontroll (personuppgifter) Personuppgiftsbiträdet har bland annat men inte enbart implementerat följande åtgärder för att säkerställa att behöriga användare av system för personuppgiftshantering endast får tillgång till uppgifter som de har behörighet till och för att förhindra att Personuppgifter läses utan behörighet under det att uppgifterna används, flyttas eller vilar:

● Kundanslutningar autentiseras med hjälp av flerfaktorsautentisering.

● Användning av en central inloggningsportal som har säker tillgång till kundapplikationer med Single Sign On, vilket kan kombineras med tvåfaktorsautentisering.

● Systemet tillämpar de senaste auktoriserings och

autentiseringssystemen för att möjliggöra säker åtkomst och undvika otillbörlig.

4. Överföringskontroll

Personuppgiftsbiträdet har bland annat men inte enbart implementerat följande åtgärder för att säkerställa att Personuppgifter inte kan läsas, kopieras eller ändras under elektronisk överföring eller vid överflyttning eller lagring till hårddisk. Även följande åtgärder har vidtagits för att kontrollera och styra till vilka instanser som det är tillåtet att överföra Personuppgifter som tillhandahålls via datakommunikationsutrustning:

● Alla mellanhavanden med kunder över Internet görs över SSL- / TLS-säkrade anslutningar. Version av protokoll övervakas och levereras av företagets säkerhet efter de senaste säkerhetskraven.

● Alla anslutningar till databasen är krypterade och direkt åtkomst till databasen (med undantag för speciella användare) är inte tillåtet på grund av privata säkrade området.

● Säkerhetskopior och inaktiva uppgifter är krypterade. 5. Inmatningskontroll

Personuppgiftsbiträdet har bland annat men inte enbart implementerat följande åtgärder för att säkerställa, vid ett senare tillfälle kontrollera och avgöra om och av vem som Personuppgifter har matats in, ändrats eller raderats i systemet för personuppgiftshantering:

● En auktoriseringspolicy för inmatning av data till minnet samt för läsning, ändring och radering av lagrad data.

● Autentisering av auktoriserad personal

● Skyddsåtgärder för inmatning av data till minnet samt för läsning, ändring och radering av lagrad data.

● Bruk av användarkoder (lösenord);

● I enlighet med en policy enligt vilken all personal hos Personuppgiftsbiträdet som har tillgång till Personuppgifter som hanteras åt Kunden ska välja nya lösenord minst var 90:e dag;

● åtgärder som innebär att ingångar till datahanteringsanläggningar (de utrymmen där datorhårdvara och kringutrustning finns) går att låsa;

● automatisk utloggning av användare som är inaktiva sedan en viss tid.

6. Beställningskontroll

Personuppgiftsbiträdet har bland annat men inte enbart implementerat följande åtgärder för att säkerställa att Personuppgifter som hanteras av ett Personuppgiftsbiträde på begäran av dataägaren endast ska hanteras enligt dataägarens instruktioner: Dataägaren har när som helst rätt att kontrollera att arbetet utförs korrekt enligt beställningen. Personuppgiftsbiträdet ska förse kunden med lämplig information om det arbete som ska utföras. 7. Tillgänglighetskontroll

Personuppgiftsbiträdet har bland annat men inte enbart implementerat följande åtgärder för att säkerställa att Personuppgifterna skyddas mot oavsiktlig förstörelse eller förlust: Se avsnittet ”Datorhallar”.

8. Segregerad hantering

Personuppgiftsbiträdet har bland annat men inte enbart implementerat följande åtgärder för att säkerställa att Personuppgifter som samlas in för olika ändamål kan hanteras separat:

● Arkitekturmönster som tillämpas, skapar och aktiverar segregerad behandling för de olika affärstjänsterna.

● För behöriga användare är tillgången till uppgifterna uppdelad med hjälp av programsäkerhet

● Det finns separata miljöer för Utveckling, Iscensättning & Produktion.

● Nätverk medger inte alltid anslutning i öst- västled och andra nätverksåtgärder finns på plats för att säkerställa segregerad hantering.

● Separata miljöer för test och reell drift.

9. Dataskyddsombud

I enlighet med dataskyddsförordningen har Personuppgiftsbiträdet utsett ett dataskyddsombud. Denna person ska säkerställa att dataskyddsförordningen och andra Dataskyddslagar efterlevs. Eventuella frågor kan skickas till dataskyddsombudet via e-post till xxxxxxx.xxxxxxx@xx.xxx.

Bilaga 2: Lista på Underentreprenörer

En översikt över den aktuella listan över den aktuella listan med Underentreprenörer som används av Personuppgiftsbiträdet återfinns via följande länk: xxxxx://xx.xxx/xxxxx/xxxxxxxxxxxxx.