BILAGA OM BEHANDLING AV PERSONUPPGIFTER I HALDA-TJÄNSTERNA
BILAGA OM BEHANDLING AV PERSONUPPGIFTER I HALDA-TJÄNSTERNA
Halda och Xxxxxx har kommit överens om att Halda levererar vissa tjänster till Kunden (specificerade i det tillämpliga leverans- eller tjänsteavtalet med ordet “Tjänster” eller på annat sätt, nedan ”Tjänster”) i den omfattning som avtalats i leverans- eller tjänsteavtalet (”Avtalet”). I Avtalet definieras innehållet i samarbetet mellan Avtalsparterna samt de ansvar och förpliktelser som gäller tjänsterna som Halda levererar.
Halda behandlar personuppgifter för Kundens räkning i den omfattning som specificerats i Avtalet. Syftet med den här bilagan om behandling av personuppgifter (”DPA”, Data Processing Addendum) är att fastställa de villkor som tillämpas på en sådan behandling på det sätt som förutsätts i EU:s allmänna dataskyddsförordning och annan tillämplig dataskyddslagstiftning.
Kunden godkänner denna DPA för sin egen del och för de Kundens koncernföretags del som är personuppgiftsansvariga för de personuppgifter som Halda behandlar med stöd av denna DPA samt Avtalet mellan Halda och Kunden. Enbart i denna DPA:s syfte och om annat inte konstateras avses med ordet “Kunden” Kunden eller Kundens koncernföretag.
I händelse av skillnader mellan detta dokument och vilken som helst bilaga följs villkoren i detta dokument. I händelse av skillnader mellan DPA och Avtalet följs denna DPA.
Denna DPA har trätt i kraft 25.5.2018 och förblir i kraft under Avtalets hela giltighetstid och efter den så länge som behövs för att slutföra behandlingen av personuppgifterna.
1. DEFINITIONER
Termerna ”personuppgifter”, ”den registrerade”, ”personuppgiftsincident”, ”behandling”, ”personuppgiftsansvarig”, ”personuppgiftsbiträde” och ”tillsynsmyndighet” som används i denna DPA har de betydelser som fastställs för dem i den Allmänna dataskyddsförordningen, och termerna ”uppgiftsinförare” och ”uppgiftsutförare” har de betydelser som fastställs för dem i de av Europeiska unionen godkända standardavtalsklausuler som gäller överföring av personuppgifter till stater utanför EU/EES.
1.1. Om inte annat konstateras har följande termer de betydelser som anges här:
• Allmänna dataskyddsförordningen avser EU:s allmänna dataskyddsförordning (679/2016) om behandling av personuppgifter.
• Underentreprenörer avser tredje parter som med stöd av denna DPA är befullmäktigade att få åtkomst till personuppgifter och behandla dem för att kunna tillhandahålla delar av Tjänsterna. Termen Underentreprenör motsvarar termen personuppgiftsbiträde i den tillämpliga dataskyddslagstiftningen och tolkas på motsvarande sätt i detta sammanhang.
• Datasäkerhets-, dataskydds- och arkitekturdokumentation avser Datasäkerhets-, dataskydds- och arkitekturdokumentation som tillämpas på vissa Tjänster som köpts av Kunden och som uppdateras alltemellanåt. Den här dokumentationen levereras till Kunden som en del av Tjänstens dokumentation, och den finns tillgänglig hos Xxxxx på begäran eller på annat skäligt sätt på vilket Halda kan lägga den till påseende.
• Kund avser organisationer (offentliga aktörer och bolag), som producerar beställnings- och betalningstjänster, samt taxi- och persontrafikföretagare.
2. BEHANDLING AV PERSONUPPGIFTER
2.1. Avtalsparterna kommer överens om att vad gäller Behandling av Personuppgifter är Kunden Personuppgiftsansvarig och Halda Personuppgiftsbiträde och att Halda anlitar Underentreprenörer i
enlighet med kraven i Punkt 5 “Underentreprenörer”.
2.2. Vid användningen av Tjänster behandlar Kunden personuppgifter på ett sätt som uppfyller kraven i dataskyddslagarna, och Xxxxxx ansvarar för att Kundens instruktioner om behandling av personuppgifter är i överensstämmelse med dataskyddslagarna. Kunden ansvarar ensam för personuppgifternas exakthet, kvalitet och lagenlighet samt de sätt på vilka Kunden har inhämtat personuppgifterna.
2.3. Halda behandlar personuppgifter enbart för Kunden och enligt Kundens anvisningar samt behandlar personuppgifter som konfidentiell information. Kunden har rätt att ge Halda anvisningar om behandling av personuppgifter i följande syften: (i) Behandling enligt Avtalet och tillämpliga beställningar och (ii) Behandling enligt andra skäliga anvisningar från Xxxxxx (t.ex. stödbegäranden), när dessa anvisningar är i enlighet med villkoren i detta Avtal. När Xxxxxx gör en stödbegäran eller annan tjänstebegäran kan Kunden inte överföra personuppgifter till Halda utan att meddela om detta på förhand. Om personuppgifter behövs i en hanteringsprocess för ett problem eller hantering av en annan tjänstebegäran, kan Xxxxxx besluta att anonymisera dessa personuppgifter innan ett meddelande om problemet överförs till Halda.
2.4. Den av Xxxxx levererade tjänstens innehåll och detaljer beskrivs i Avtalet.
3. DE REGISTRERADES RÄTTIGHETER
3.1. På det sätt som beskrivs i Tjänsteavtalet har Kunden åtkomst till och kontroll av det system där personuppgifterna finns för att Kunden ska kunna svara på de registrerades begäranden om att utöva sina dataskyddslagstiftningsenliga rättigheter att få åtkomst till sina personuppgifter, radera, korrigera och överföra sina personuppgifter eller begränsa eller motsätta sig behandling av sina personuppgifter.
3.2. I den mån som Kunden vid användningen av tjänster inte t.ex. kan korrigera, ändra eller radera personuppgifter eller begränsa behandlingen av personuppgifter på det sätt som dataskyddslagarna förutsätter, iakttar Xxxxx Xxxxxxx rimliga begäranden att hjälpa Xxxxxx i sådana åtgärder i den omfattning som Halda enligt lagen kan göra.
3.3. I den omfattning som lagen tillåter underrättar Xxxxx Xxxxxx utan omotiverat dröjsmål, om Xxxxx får en begäran från en registrerad att komma åt ifrågavarande personens personuppgifter, korrigera, ändra eller radera dem. Halda svarar inte på sådana begäranden från de registrerade annat än för att bekräfta att begäran gäller Xxxxxx, om Halda inte har erhållit ett skriftligt samtycke från Kunden på förhand. Xxxxx samarbetar med Kunden och hjälper Kunden i behandlingen av begäran som gäller den registrerades åtkomst till sina personuppgifter i den omfattning som lagen tillåter detta och i den omfattning som Kunden inte har åtkomst till dessa personuppgifter i användningen av Tjänsterna. Personuppgiftsbiträdet fakturerar enligt sin gällande prislista för sådan hjälp som biträdet erbjuder men som inte omfattas av tjänsterna enligt Xxxxxxx.
4. HALDAS PERSONAL
4.1. Xxxxx ansvarar för att dess personal som deltar i behandling av personuppgifter är medveten om personuppgifternas konfidentialitet, har fått en tillbörlig utbildning om sina skyldigheter och undertecknat tillbörliga sekretessavtal. Xxxxx ansvarar för att denna sekretess gäller också efter att arbetstagarnas anställningsförhållande med Xxxxx upphört.
4.2. Xxxxx ansvarar för att åtkomsten till personuppgifter är tillåten endast för Haldas personal som utför avtalsenliga Tjänster.
4.3. Dataskyddsansvarig kontaktperson. E-post till den av Xxxxxx utsedda dataskyddsansvariga kontaktpersonen kan skickas till adressen xxxxxxxxxxxx@xxxxx.xx.
5. UNDERENTREPRENÖRER
5.1. Tillåten användning
5.1.1. Kunden bemyndigar Halda att anlita underleverantörer i behandlingen av personuppgifter, och då är dessa underleverantörer Underentreprenörer. Xxxxx ansvarar för alla avtalsbrott som Underentreprenörer orsakar.
5.1.2. Xxxxx ansvarar för att Underentreprenörer har ingått ett skriftligt avtal i vilket de förbinder sig till minst samma nivå på datasäkerhet som Halda förutsätter i DPA.
5.1.3. Halda bedömer Underentreprenörens datasäkerhets-, dataskydds- och konfidentialitetspraxis innan Underentreprenören väljs till underleverantör. Underentreprenörer kan ha datasäkerhetsintyg som visar att de datasäkerhetsåtgärder som underentreprenörerna använder är ändamålsenliga. Om detta inte är fallet, bedömer Halda regelbundet Underentreprenörens datasäkerhetspraxis i anslutning till behandlingen.
5.2. Halda anlitar Underentreprenörer enligt prövning.
5.2.1. Halda meddelar Kunden om alla ändringar av Underentreprenörer i förväg.
5.2.2. Om Kunden har en giltig orsak som har att göra med det sätt på vilket Underentreprenörer behandlar personuppgifter, kan Xxxxxx motsätta sig Xxxxxx avsikt att anlita en Underentreprenör. Om kunden motsätter sig anlitandet av Underentreprenören, strävar avtalsparterna efter att hitta en lösning på situationen. Halda kan efter prövning (i) låta bli att anlita ifrågavarande Underentreprenör eller (ii) skrida till korrigerande åtgärder som Xxxxxx begär när Xxxxxx motsätter sig anlitandet av Underentreprenören. Om inget av dessa alternativ kan anses vara rimligt och Xxxxxx fortfarande motsätter sig anlitandet av giltig orsak, kan vilkendera av avtalsparterna avsluta avtalet enligt tjänsteavtalets villkor med ett skriftligt meddelande.
6. BEHANDLING I STATER UTANFÖR EU/EES
6.1. Halda och dess Underentreprenörer kan överföra personuppgifter till stater utanför EU/EES eller behandla personuppgifter i stater utanför EU/EES.
6.2. Vid en sådan överföring eller behandling ansvarar Halda för att på en sådan överföring eller behandling tillämpas de av Europeiska unionen godkända standardavtalsklausulerna eller motsvarande i Allmänna dataskyddsförordningen godkända lämpliga rättsliga skyddsåtgärder som gäller översändning av personuppgifter till ett land utanför EU/EES.
6.3. Kunden ger Halda behörighet att representera Kunden och underteckna EU-kommissionens standardavtalsklausuler å Kundens vägnar och i dennes namn. Därtill godkänner Kunden att Halda också kan representera den ifrågavarande Underentreprenören för standardavtalsklausulernas del.
7. DATASÄKERHET
7.1. Kontroller som skyddar personuppgifter. Halda upprätthåller lämpliga tekniska och organisatoriska tillvägagångssätt som säkerställer personuppgifternas datasäkerhet (inklusive skydd mot obehörig och olaglig behandling av personuppgifter samt mot oavsiktlig eller olaglig förstöring, försvinnande, ändring eller korruption, obehörigt avslöjande eller obehörig åtkomst till personuppgifter), konfidentialitet och integritet på det sätt som beskrivits i Datasäkerhets-, dataskydds- och arkitekturdokumentationen. Halda följer regelbundet efterlevnaden av dessa tillvägagångssätt. Halda försvagar inte väsentligt Tjänsternas allmänna dataskydd under Avtalets giltighetstid.
7.2. Tredje parters certifieringar och revisioner. Kunden eller en revisor som Kunden bemyndigat (dock inte en konkurrent till Halda) kan revidera en DPA-enlig verksamhet. Avtalsparterna kommer överens om tidpunkten för revision och andra detaljer i förväg senast 30 dagar före inspektionen. Revisionen utförs på ett sätt som inte hindrar Xxxxx eller dess underleverantörer från att uppfylla sina skyldigheter mot tredje parter. Kundens representanter och revisorn måste underteckna ett sekretessavtal. Kunden ansvarar för alla kostnader som revisionen orsakar för Xxxxxx själv och Halda. Om tydliga brister upptäcks vid revisionen, är Xxxxx ansvarig för de kostnader som revisionen orsakar.
8. PERSONUPPGIFTSINCINDENT
8.1. Halda meddelar Xxxxxx skriftligt utan omotiverat dröjsmål om personuppgiftsincidenter som kommit till dess kännedom. Ett sådant meddelande innehåller minst följande uppgifter:
8.1.1. Beskrivning av personuppgiftsincidenten inklusive (i mån av möjligheter) behöriga grupper av de hos Kunden registrerade personer som rörs av incidenten och deras uppskattade antal samt grupper av personuppgiftstyper och deras uppskattade antal.
8.1.2. Den personens namn och kontaktuppgifter som kan ge ytterligare information.
8.1.3. En beskrivning av åtgärder som föreslagits eller vidtagits på grund av personuppgiftsincidenten, vid behov även åtgärder som syftar till att lindra eventuella skadeverkningar.
9. XXXXXXXX ELLER ÅTERLÄMNANDE AV KUNDUPPGIFTER
9.1. Efter avtalets upphörande raderar Halda efter kundens val de för kunden behandlade personuppgifterna, installationerna och kopiorna, om inte den tillämpliga lagstiftningen förutsätter annat.
10. SKADEERSÄTTNING
10.1. Om ett brott mot EU:s allmänna dataskyddsförordning eller DPA orsakar materiella eller immateriella skador för en person, är personuppgiftsbiträdet ansvarigt för skadorna endast i den mån som biträdet inte uttryckligen har iakttagit de skyldigheter som föreskrivits för personuppgiftsbiträden i EU:s allmänna dataskyddsförordning eller i denna DPA.
10.2. Båda avtalsparterna ansvarar bara för den del av skadeersättningarna eller straffavgifterna som dataskyddsmyndigheten eller domstolen fastställer i sitt slutliga avgörande som deras skadeståndsansvar. I alla fallen fastställs avtalsparternas ansvar med stöd av Xxxxxxx.
10.3. Avtalsparternas DPA-baserade skadeståndsansvar begränsas till Avtalets omfattning och dubbelt de maximibelopp som specificerats i Haldas tillämpliga produkt- eller tjänstespecifika allmänna avtalsvillkor förutom i det fall att ansvarsbegränsningar uttryckligen förbjuds i den tillämpliga lagstiftningen eller om de annars är ogiltiga eller ogenomförbara ur lagens synvinkel. För tydlighetens skull må konstateras att indirekta skador inte täcks.
11. TILLÄMPLIG LAG OCH AVGÖRANDE AV TVISTER
11.1. På tolkningen och hanteringen av DPA tillämpas den lag som angetts i vederbörande Avtal.
11.2. Alla tvister om tolkningen eller tillämpningen av DPA löses enligt villkoren för lösning av tvister i vederbörande avtal.
Bilaga 1: Databehandlingens sakinnehåll och detaljer
Grupper av registrerade
Kunden kan administrera Personuppgifter i Tjänsterna, och Xxxxxx ansvarar för omfattningen av inmatning av personuppgifter och har exklusiv prövningsrätt över den. Dessa Personuppgifter kan vara t.ex. (men inte uteslutande) Personuppgifter som gäller följande grupper av registrerade.
• Kundens prospekt, kunder, affärspartner och leverantörer(som är naturliga personer)
• Arbetstagare och kontaktpersoner hos Xxxxxxx prospekt, kunder, affärspartner och leverantörer
• Kundens arbetstagare, representanter, rådgivare och frilansare (som är naturliga personer)
• Xxxxxxx Användare, som Kunden har bemyndigat att använda Tjänsterna Typ av personuppgifter
Kunden kan administrera Personuppgifter i Tjänsterna, och Xxxxxx ansvarar för omfattningen av inmatning av personuppgifter och har exklusiv prövningsrätt över den. Dessa Personuppgifter kan vara till exempel (men inte uteslutande) följande Personuppgiftsgrupper:
• Kundens uppgifter, såsom namn, titel, telefonnummer, företagets adress samt mobiltelefonnummer och e-postadress
• Företagskundens, samarbetspartnerns eller leverantörens uppgifter, såsom namn, titel, företagets adress, telefonnummer samt mobiltelefonnummer och e-postadress
• Rekryterings- och personaluppgifter, såsom namn, adresser, kontaktuppgifter, ålder och uppgifter om den registrerades anställningsförhållande
• Ekonomi- och transaktionsuppgifter
• Tekniska uppgifter, såsom detaljerade utrustningsdata som gäller levererade tjänster, såsom tekniska identifierare, användarnamn, lokalisering, kontaktuppgifter, dataöverföringsuppgifter och metadata
• Dataskyddsuppgifter, såsom uppgifter om dataskyddslogg
• Data som gäller förbindelsen
• Lokaliseringsdata