Personuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal
Versionsdatum: 2018-05-16
Parter
Detta personuppgiftsbiträdesavtal ("Biträdesavtal") har ingåtts mellan:
Demo AB, organisationsnummer 999999-8888, med adressen Xxxxxxxxx 0, 000 00 Xxxxxxxxx (i det följande "Personuppgiftsansvarige") och
Xxxxxxxx & Xxxx KB, organisationsnummer 969725-2154, med adressen Box 3051, 103 61 Stockholm (i det följande "Personuppgiftsbiträdet"),
var för sig benämnda "Part" och tillsammans "Parterna"
1. Bakgrund
1.1 Parterna har träffat avtal (i det följande "Huvudavtal") avseende användningsvillkoren för Personuppgiftsbiträdets tillhandahållande, till den Personuppgiftsansvarige, av "Sales Organization Survey", Personuppgiftsbiträdets webb-baserade digitala abonnemangstjänst för utvärdering och bedömning av säljorganisationer och därtill relaterad funktionalitet. Detta Biträdesavtal ska anses utgöra en del av Huvudavtalet.
1.2 All personuppgiftsbehandling som Personuppgiftsbiträdet utför inom ramen av Huvudavtalet för den Personuppgiftsansvariges räkning i egenskap av personuppgiftsbiträde ska ske i enlighet med detta Biträdesavtal och Tillämplig dataskyddslag.
1.3 Detta Biträdesavtal har företräde framför bestämmelserna i Huvudavtalet vid tolkning av bestämmelser som rör behandling av personuppgifter.
2. Definitioner
2.1 Samtliga nedanstående begrepp ska ha följande innebörd:
"Behandling" avser den åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
"Behandlingsregister" avser den förteckning som Personuppgiftsbiträdet upprätthåller över all personuppgiftsbehandling som Personuppgiftsbiträdet utför på uppdrag av den Personuppgiftsansvarige inom ramen för Huvudavtalet och som har ett innehåll i enlighet med punkten 5 nedan. Behandlingsregistret utgör en bilaga till detta Biträdesavtal.
"Incident" avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats och i övrigt behandlas.
"Personuppgifter" avser varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
"Standardavtalsvillkor" avser Europeiska kommissionens gällande villkor för skydd av personuppgifter överförda till tredje land.
"Tillämplig dataskyddslag" avser den allmänna dataskyddsförordningen (EU) 2016/679 ("GDPR"), med tillhörande genomförandeförfattningar.
"Underbiträde" avser sådant personuppgiftsbiträde som anlitas av Personuppgiftsbiträdet för utförande av en specifik behandling på den Personuppgiftsanvariges vägnar.
Deffnitionerna ovan används fortsättningsvis i texten i detta Biträdesavtal och skrivs nedan utan citationstecken.
3. Personuppgiftsansvariges ansvar
3.1 Personuppgiftsansvarige ska säkerställa att behandlingen av personuppgifter är laglig.
3.2 Personuppgiftsansvarige ska tillhandhålla Personuppgiftsbiträdet dokumenterade instruktioner och övriga anvisningar avseende ändamålet, omfattningen, arten och varaktigheten av behandlingen samt kategorier av registrerade i den utsträckning som är nödvändig för att Personuppgiftsbiträdet ska kunna uppfylla sina skyldigheter enligt detta Biträdesavtal och Tillämplig dataskyddslag.
4. Behandling av personuppgifter
4.1 Personuppgiftsbiträdet garanterar att denne besitter nödvändig teknisk och organisatorisk kapacitet och förmåga, inbegripet tekniska lösningar, kompetens, ekonomiska och personella resurser, rutiner och metoder, att fullgöra sina skyldigheter enligt detta Biträdesavtal och Tillämplig dataskyddslag.
4.2 Personuppgiftsbiträdet och den eller de personer som arbetar under dennes ledning får endast behandla personuppgifter i enlighet med den Personuppgiftsansvariges instruktioner och Tillämplig dataskyddslag.
4.3 Är Personuppgiftsbiträdet enligt rättslig förpliktelse skyldig att behandla personuppgifter för annat ändamål eller på annat sätt än vad som framgår av Personuppgiftsansvariges instruktioner ska Personuppgiftsbiträdet omedelbart informera Personuppgiftsansvarige om den rättsliga förpliktelsen, såvida inte Personuppgiftsbiträdet är förhindrad enligt gällande rätt, domstols- eller myndighetsbeslut.
4.4 Har Personuppgiftsansvarige lämnat otydliga, ofullständiga eller felaktiga instruktioner eller anser Personuppgiftsbiträdet att en instruktion strider mot Tillämplig dataskyddslag eller annan tillämplig lag ska denne omedelbart underrätta den Personuppgiftsansvarige och invänta dennes anvisningar.
4.5 Personuppgiftsbiträdet får inte i något avseende, utöver vad som uttryckligen framgår av den Personuppgiftsansvariges instruktioner, handla för den Personuppgiftsansvariges räkning eller som ombud för denne.
5. Register över personuppgiftsbehandling
5.1 Personuppgiftsbiträdet ska upprätthålla en förteckning över all personuppgiftsbehandling som sker på uppdrag av den Personuppgiftsansvarige och innehålla uppgifter om:
a) namn och kontaktuppgifter hos Personuppgiftsbiträdet och i förekommande fall namn och kontaktuppgifter hos sådana företrädare som Personuppgiftsbiträdet anlitar, dennes dataskyddsombud och i förekommande fall anlitade av Underbiträden,
b) den behandling som utförs av Personuppgiftsbiträdet för Personuppgiftsansvariges räkning, typen av personuppgifter och i förekommande fall särskilda kategorier,
c) i förekommande fall, överföring av personuppgifter till tredje land, det tredje land där data behandlas samt vilka adekvata skyddsåtgärder som vidtagits och
d) om möjligt, en allmän beskrivning av vilka tekniska och organisatoriska åtgärder som vidtagits för att upprätthålla en lämplig skyddsnivå.
6. Säkerhet och sekretess
6.1 Personuppgiftsbiträdet ska genom lämpliga tekniska och organisatoriska åtgärder, i förhållande till behandlingens art, omfattning, sammanhang och ändamål säkerställa att skyddet av personuppgifter och de registrerades fri- och rättigheter tillvaratas under behandlingen och tills dess denna upphört enligt punkten 15.2.
6.2 Personuppgiftsbiträdet ska vid bedömningen av lämplig säkerhetsnivå ta särskild hänsyn till risken för oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till personuppgifterna som behandlas och därmed vidta åtgärder för att vidmakthålla förmågan att säkerställa konfidentialiteten, riktigheten och tillgängligheten hos personuppgifterna samt motståndskraften hos de system och tjänster som används vid behandlingen.
6.3 Personuppgiftsbiträdet ska begränsa tillgången till personuppgifterna och endast ge behörighet till sådan personal som behöver ha tillgång till personuppgifterna för att fullgöra sina åtaganden enligt detta Biträdesavtal. Personuppgiftsbiträdet ska därutöver tillse att sådan personal har erforderlig utbildning och i tillräcklig mån har instruerats att hantera personuppgifterna på ett ändamålsenligt och säkert sätt.
6.4 Personuppgiftsbiträdet ska tillse att personer med behörighet att behandla personuppgifterna hos Personuppgiftsbiträdet antingen har ingått särskild sekretessförbindelse eller upplysts om förekomsten av en lagstadgad sekretess och tystnadsplikt.
6.5 Om Personuppgiftsbiträdet enligt gällande rätt, domstols- eller myndighetsbeslut är skyldigt att lämna ut information som rör behandlingen av personuppgifter ska Personuppgiftsbiträdet omgående först meddela den Personuppgiftsansvarige om detta, om annat inte följer av gällande rätt, domstols- eller myndighetsbeslut, och i samband med utlämnandet begära att uppgifterna behandlas med sekretess.
7. Rapportering av incidenter
7.1 Personuppgiftsbiträdet ska utan oskäligt dröjsmål dock senast inom 8 timmar från att det kommit Personuppgiftsbiträdet till känna, underrätta den Personuppgiftsansvarige om förekomsten av en Incident. En sådan underrättelse ska innehålla all nödvändig och tillgänglig information som den Personuppgiftsansvarige behöver för att kunna vidta lämpliga förebyggande åtgärder och motåtgärder samt uppfylla sina skyldigheter avseende anmälan av Incidenter till behörig tillsynsmyndighet och information till den registrerade om en Incident.
7.2 Vid inträffad eller befarad Incident enligt punkten 7.1 ovan ska Personuppgiftsbiträdet rapportera Incidenten till sådan epost-adress som den Personuppgiftsansvarige meddelar Personuppgiftsbiträdet från tid till annan, eller i avsaknad av sådan epost-adress, till den Personuppgiftsansvariges kontaktperson enligt punkt 12.3 nedan.
8. Assistans och bistånd
8.1 Personuppgiftsbiträdet ska på den Personuppgiftsansvariges begäran och i rimlig omfattning bistå den Personuppgiftsansvarige att fullgöra sina skyldigheter enligt Tillämplig dataskyddslag. Personuppgiftsbiträdet ska härvid;
a) med lämpliga tekniska och organisatoriska åtgärder, i den mån det är möjligt och med hänsyn tagen till behandligens art, bistå den Personuppgiftsansvarige att fullgöra sina skyldigheter gentemot de registrerade enligt Tillämplig dataskyddslag, såsom rätten till insyn, rätten till information och tillgång, rätten till rättelse och radering ("rätten att bli bortglömd"), rätten till begränsning och rättelse samt rätten till dataportabilitet. Personuppgiftsbiträdet ska efterkomma sådan begäran utan oskäligt dröjsmål, och senast inom femton (15) dagar. Har Personuppgiftsansvarige raderat, eller anvisat Personuppgiftsbiträdet om radering, ska den senare vidta sådana åtgärder som krävs för att personuppgiften inte ska kunna återskapas;
b) bistå den Personuppgiftsansvarige att fullgöra sina skyldigheter att vidta lämpliga tekniska och organisatoriska åtgärder för behandlingen av personuppgifter enligt detta Biträdesavtal för att
säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med personuppgiftsbehandlingen;
c) att i enlighet med punkten 6 ovan bistå den Personuppgiftsansvarige med den information, den assistans och resurser som rimligen kan krävas för att uppfylla den Personuppgiftsansvariges skyldighet att utreda och anmäla personuppgiftsincidenter till tillsynsmyndigheter och registrerade;
d) bistå den Personuppgiftsansvarige med att fullgöra den Personuppgiftsansvariges skyldighet att utföra konsekvensbedömningar för behandlingar inom ramen för detta Biträdesavtal, och
e) bistå den Personuppgiftsansvarige med den information, assistans och resurser som rimligen kan krävas för att uppfylla den Personuppgiftsansvariges skyldigheter med anledning av förhandssamråd med behörig tillsynsmyndighet.
9. Granskning
9.1 Den Personuppgiftsansvarige ska ha rätt att vidta erforderliga åtgärder för att verifiera att Personuppgiftsbiträdet kan fullgöra sina skyldigheter enligt detta Biträdesavtal och Tillämplig dataskyddslag och att Personuppgiftsbiträdet faktiskt har vidtagit de åtgärder som krävs för att säkerställa att dessa skyldigheter fullgörs.
9.2 Personuppgiftsbiträdet förbinder sig att tillhandahålla den Personuppgiftsansvarige all information som krävs för att visa att de skyldigheter som anges i detta Biträdesavtal efterlevs, samt att möjliggöra för och medverka till sådan granskning, inklusive inspektioner på plats, som genomförs av den Personuppgiftsansvarige eller annan granskare som utsetts av den Personuppgiftsansvarige, under förutsättning att de personer som utför granskningen ingår lämpliga sekretessavtal. Personuppgiftsbiträdet ska därvid bland annat:
a) på begäran och utan oskäligt dröjsmål lämna ut en kopia av förteckning som Personuppgiftsbiträdet är skyldigt att föra enligt punkten 5 ovan; och
b) på begäran och utan oskäligt dröjsmål lämna ut en kopia av den dokumentation om vidtagna säkerhetsåtgärder som Personuppgiftsbiträdet är skyldigt att upprätta enligt punkten 6 ovan.
9.3 Om en granskning enligt denna punkten 9 visar att Personuppgiftsbiträdet brustit i sina åtaganden enligt detta Biträdesavtal eller Tillämplig dataskyddslag ska Personuppgiftsbiträdet utan oskäligt dröjsmål åtgärda sådan brist.
10. Anlitande av underbiträde
10.1 Personuppgiftsbiträdet är förhindrad att utan den Personuppgiftsansvariges skriftliga medgivande överföra eller på annat sätt överlåta behandlingen av personuppgifter till ett Underbiträde.
10.2 Personuppgiftsbiträdet får endast anlita Underbiträden som gett tillräckliga garantier om att genomföra och vidmakthålla lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven enligt detta Biträdesavtal och Tillämplig dataskyddslag.
10.3 Har Personuppgiftsbiträdet beviljats rätt att anlita ett Underbiträde enligt punkten 10.1 ska Underbiträdet genom avtal åläggas samma skyldigheter som gäller för Personuppgiftsbiträdet enligt detta Biträdesavtal.
10.4 Avser Personuppgiftsbiträdet att byta ut eller lägga till ett Underbiträdet ska Personuppgiftsbiträdet senast trettio (30) dagar innan informera den Personuppgiftsansvarige om sina avsikter så att den Personuppgiftsansvarige har möjlighet att invända mot en sådan förändring. Om den Personuppgiftsansvarige på saklig grund motsätter sig ett utbyte av ett Underbiträde eller återkallar denne sitt tidigare medgivande har den Personuppgiftsansvarige rätt att säga upp detta Biträdesavtal och andra avtal inom vilka Underbiträdet utför behandling av personuppgifter för den Personuppgiftsansvariges räkning. Under uppsägningstiden som bestäms av Personuppgiftsansvarige får överföring av personuppgifter till det nya Underbiträdet inte ske.
10.5 Personuppgiftsbiträdet tar fullt ansvar för anlitade Underbiträden och medför inga ändringar i den ansvarsfördelning som gäller mellan Parterna i detta Biträdesavtal.
11. Överföring av personuppgifter utanför EU/EES
11.1 I fall där Personuppgiftsbiträdet i samband med behandlingen överför personuppgifter till ett land utanför Europeiska Unionen ("EU")/Europeiska ekonomiska samarbetsområdet ("EES") och som av Europeiska kommissionen inte anses uppfylla en adekvat skyddsnivå i förhållande till Tillämplig dataskyddslag ska Parterna ingå ett tilläggsavtal baserad på Standardavtalsklausuler.
11.2 Har Personuppgiftsbiträdet anlitat ett Underbiträde med innebörden att personuppgifter överförs till ett land som avses i punkten 11.1 ska Personuppgiftsbiträdet för Personuppgiftsansvariges räkning ingå ett tilläggsavtal med Underbiträdet baserad på Standardavtalsvillkor. I förekommande fall ska Personuppgiftsbiträdet anses företräda den Personuppgiftsansvarige med stöd av fullmakt och på begäran av denne av den Personuppgiftsansvarige tillhandahålla denne en underskriven kopia av ett sådant tilläggsavtal som avses ovan.
11.3 I händelse av konflikt eller motstridigheter mellan detta Biträdesavtal och Standardavtalsklausuler har de senare företräde.
12. Underrättelser
12.1 Om en registrerad person kontaktar Personuppgiftsbiträdet och begär information från denne om behandlingen av personuppgifter enligt detta Biträdesavtal ska Personuppgiftsbiträdet utan dröjsmål underrätta den Personuppgiftsansvarige och hänskjuta sådan begäran till denne.
12.2 Personuppgiftsbiträdet ska utan dröjsmål underrätta den Personuppgiftsansvarige om denne kontaktas av behörig tillsynsmyndighet eller annan tredje part i syfte att få tillgång till personuppgifter som Personuppgiftsbiträdet, eller i förekommande fall Underbiträdet, har i sin besittning eller på annat sätt disponerar över.
12.3 Alla underrättelser enligt detta Biträdesavtal ska ske skriftligen, ställda till följande kontaktpersoner hos respektive Part.
För den Personuppgiftsansvarige:
x00 00 0000000
13.1 Respektive Part ansvara för sin egen efterlevnad av Xxxxxxxxxx dataskyddslag.
13.2 Har en registrerad person, myndighet eller annan tredje man riktat anspråk mot den Personuppgiftsansvarige på grund av Personuppgiftsbiträdets överträdelse av Tillämplig dataskyddslag ska Personuppgiftsbiträdet hålla den Personuppgiftsansvarige skadeslös för sådana krav och kostnader som är hänförliga till Personuppgiftsbiträdets behandling i strid med Tillämplig dataskyddslag eller detta Biträdesavtal.
13.3 Ingen av Parterna har rätt att utan föregående samtycke företräda den andre Parten gentemot registrerad, behörig myndighet eller tredje man.
14. Ersättning
14.1 Såvida Parterna inte kommit överens om annat ska fullgörandet av Personuppgiftsbiträdets förpliktelser enligt detta Biträdesavtal inte ge denne rätt till särskild ersättning.
15. Avtalstid och åtgärder vid upphörande
15.1 Detta Biträdesavtal är giltigt tills Personuppgiftsbiträdets behandling upphör eller ersätts av ett annat personuppgiftsbiträdesavtal.
15.2 Beroende på vad Personuppgiftsansvarige väljer ska Personuppgiftsbiträdet vid avslutad behandling antingen radera eller återlämna personuppgifterna i ett allmänt och läsbart format till Personuppgiftsansvarige och därefter radera personuppgifterna från sådana system som använts vid behandlingen, såvida inte detta är oförenligt med gällande rätt.
16. Tillämplig lag och tvist
16.1 Detta Biträdesavtal ska tolkas och tillämpas i enlighet med svensk rätt.
16.2 Tvister till följd av tolkningen och tillämpningen av detta Biträdesavtal ska slutligen lösas i enlighet med reglerna för skiljeförfarande antagna av Stockholms handelskammares skiljedomsinstitut. Platsen för skiljeförfarandet är Stockholm.
* * * * *
Detta Biträdesavtal har upprättats i två (2) exemplar och vardera parten har tagit var sitt.
För Personuppgiftsbiträdet:
Xxxxxx Xxxxxxxx xxxxxx.xxxxxxxx@xxxxxxxxxxxx.xxx
x00 00 0000000
12.4 Om kontaktinformationen i punkt 12.3 ovan ändras ska Parterna skriftligen meddela varandra om detta.
13. Ansvar mot tredje man och ersättning för skada
Demo AB
Xxxx Xxx
Datum: 2019-01-01
Xxxxxxxx & Xxxx KB
Xxxxxx Xxxxxxxx Datum: 2019-01-01
Behandlingsregister för personuppgifter
6. Kategorier av personuppgifter
Versionsdatum: 2018-05-16
Bakgrund
Detta register för behandling av personuppgifter ("Behandlingsregister") utgör en bilaga till personbiträdesavtalet ("Biträdesavtalet") mellan Demo AB ("Personuppgiftsansvarige") och Sahlgren & Skog KB ("Personuppgiftsbiträdet"), där Biträdesavtalet i sin tur utgör en del av avtalet ("Huvudavtalet") avseende användningsvillkoren för Personuppgiftsbiträdets tillhandahållande av sin webb-baserade digitala abonnemangstjänst "Sales Organization Survey" till den Personuppgiftsansvarige.
Definitioner
De definitioner som anges i Biträdesavtalet och Huvudavtalet gäller även för detta Behandlingsregister.
1. Underbiträden
Personuppgiftsbiträdet har anlitat och ansvarar såsom för egen risk följande Underbiträden till vilka Personuppgiftsansvarige har givit sitt allmänna förhandstillstånd.
Företagsnamn: Monogold AB Org nr: 559144-6728
2. Kontaktinformation
Personuppgiftsbiträdet:
Xxxxxx Xxxxxxxx xxxxxx.xxxxxxxx@xxxxxxxxxxxx.xxx
x00 00 0000000
Underbiträde:
Monogold AB Xxxxx Xxxxxxx
x00 00 0000000
3. Föremålet med behandlingen
Behandlingen enligt detta Behandlingsregister ska ske inom ramen för de Tjänster som innefattas av Huvudavtalet.
4. Ändamålet med behandlingen
Behandlingen utförs för att Personuppgiftsbiträdet ska kunna tillhandahålla Tjänsten i enlighet med Huvudavtalet, dvs de specifika tjänster som tillhandahålls via Abonnemangen som den Personuppgiftsansvarige köpt. I kontexten av existerande Abonnemang är ändamålet med behandlingen att:
låta de registrerade deltaga i enkäter/undersökningar genom att svara på flervalsfrågor och fritextfrågor
möjliggöra relevant segmentering, filtrering, och analys av deltagares svar på enkäter/undersökningar främst på aggregerad nivå men även på individuella deltagares nivå ge registerade access till Tjänsten via personliga användarkonton
tillåta skräddarsydd kommunikation till de registrerade på olika språk via email, SMS, och applikationens moduler
5. Kategorier av registrerade
Anställda, inklusive volontärer, praktikanter och traineer, före detta anställda och arbetssökanden
Agenter, företrädare, konsulter, rådgivare, revisorer
Xxxx (förnamn, efternamn, tilltalsnamn) Emailadress
Telefonnummer Ålder/åldersgrupp Anställningsperiod Nationalitet Språkpreferens Kön
Lösenord Användarnamn
Organisatorisk tillhörighet/klassificering (t ex region, företag, affärsenhet, avdelning, projektgrupp, befattning, roll)
7. Särskilda kategorier av personuppgifter
Behandlingen omfattar inga särskilda kategorier av personuppgifter, dvs inga känsliga personuppgifter enligt artikel 9 Dataskyddsförordningen eller personuppgifter om lagöverträdelser enligt artikel 10 Dataskyddsförordningen.
8. Behandlingsformer
Insamling Registrering Organisering Strukturering Lagring
Bearbetning eller ändring Framtagning
Användning
Justering eller sammanförande Begränsning
Radering eller förstöring
9. Behandlingens varaktighet
Behandlingens varaktighet motsvarar den avtalsperiod under vilket behandlingstjänsterna tillhandahålls i enlighet med Huvudavtalet. Det finns för närvarande inga kategorier av personuppgifter som undantages från denna varaktighet.
10. Den registrerades rättigheter
Personuppgiftsbiträdet ska på Personuppgiftsansvariges begäran möjliggöra den registrerades rätt till:
tillgång till personuppgifter enligt artikel 15 Dataskyddsförordningen genom att den registrerade via sitt personliga användarkonto i Tjänsten när som helst går till sin profilsida för att se en sammanfattning av personuppgifterna, eller, om den registrerade inte har något personligt användarkonto, genom att den Personuppgiftsansvarige eller Personuppgiftsbiträdet via Tjänsten genererar en fil i PDF- format som skickas via email till den registrerades verifierade emailadress inom 24 timmar.
rättelse av personuppgifter enligt artikel 16 Dataskyddsförordningen genom att den Personuppgiftsansvarige eller Personuppgiftsbiträdet uppdaterar personuppgifterna via Tjänsten inom 24 timmar.
radering av personuppgifter enligt artikel 17 Dataskyddsförordningen genom att den Personuppgiftsansvarige eller Personuppgiftsbiträdet via Tjänsten raderar personuppgifterna inom 72 timmar. begränsning av personuppgifter enligt artikel 18 Dataskyddsförordningen genom att den Personuppgiftsansvarige eller Personuppgiftsbiträdet via Tjänsten uppdaterar relevanta behörigheter och relevant information inom 24 timmar
dataportabilitet av personuppgifter enligt artikel 20 Dataskyddsförordningen genom att den registrerade via sitt personliga användarkonto i Tjänsten när som helst går till sin profilsida och exporterar personuppgifterna i PDF-, Excel-, eller JSON-format, eller, om den registrerade inte har något personligt användarkonto, genom att den Personuppgiftsansvarige eller Personuppgiftsbiträdet via Tjänsten exporterar personuppgifterna i PDF-, Excel-, eller JSON- format som sedan skickas via email till den registrerades verifierade emailadress inom 24 timmar.
11. Plats för behandling
Behandlingen genomförs på följande fysiska platser: Dublin, Irland
Stockholm, Sverige
12. Överföring till tredje land
Personuppgifterna kommer inte överföras, direkt eller indirekt, till land/stat utanför EU/EES som inte uppfyller EU kommissionens krav på adekvat skydd för personuppgifter.
13. Upprätthållande av lämplig skyddsnivå
Data och Säkerhetspolicyn inom ramen för Huvudavtalet innehåller dokumentation om åtgärder som på ett tekniskt plan bidrar till att upprätthålla skyddsnivån för personuppgifterna.
Som organisationer arbetar Personuppgiftsbiträdet och Underbiträdet så vitt möjligt efter accepterad bästa praxis vad gäller organisering, rutiner, instruktioner och policyer för att upprätthålla skyddsnivån för personuppgifterna, och de ämnar ansluta sig till en godkänd uppförandekod och/eller certifiering för GDPR när för ändamålet lämplig sådan blir tillgänglig.
14. Ändringar
Innehållet i detta Behandlingsregister kan komma att ändras på grund av förändringar rörande till exempel Tjänstens omfattning och funktionalitet, den Personuppgiftsansvariges användande av Tjänsten, eller kontaktinformationen. I sådana fall åligger det Personuppgiftsbiträdet att efter överenskommelse med den Personuppgiftsansvarige uppdatera och göra tillgängligt det nya Behandlingsregistret.