GSGroups sekretessvillkor – Databehandlingsavtal

GSGroups sekretessvillkor – Databehandlingsavtal

För tillämpningen av artikel 28(3) i förordning 2016/679 (GDPR) mellan

Kunden, som angivet i avtalet mellan parterna (personuppgiftsbiträdet)

och

GSGroup AS

963 299 850

Xxxxxx Xxxxxxxx 0X 0000 Xxxxxxxxxx Xxxxx0

(personuppgiftsbiträde)

var och en ”part”; gemensamt ”parterna”

har kommit överens om följande databehandlingsavtal för att uppfylla kraven i GDPR och för att säkerställa skyddet av den registrerades rättigheter.

1 Och dess dotterbolag: GSGroup Danmark AS (27047599), GSGroup AB (556445-6704), GSGroup Deutschland GmbH (DE258074748), GSGroup Finland Oy (0973454-5), GSGroup Innovation Centre Zrt (25416866-2-43), GSGroup MyFleet Zrt (01-10-048455), Guard Systems Estonia OU (11165968), Guard Systems Latvia SIA (40003797354), UAB Guard Systems (300574578), Flextrack ApS (19670546), GSGroup DK ApS (41551526).

Standardavtalsklausuler december 2019

1. Innehållsförteckning

Page 2 of 16

2. Ingress 3

3. Den personuppgiftsansvariges rättigheter och skyldigheter 4

4. Personuppgiftsbiträdet agerar enligt instruktionerna 4

5. Sekretess 5

6. Säkerhet vid behandling 5

7. Användning av underentreprenörer 6

8. Överföring av data till länder utanför EES eller internationella organisationer 7

9. Hjälp till personuppgiftsbiträdet 7

10. Anmälan av personuppgiftsincident 8

11. Xxxxxxxx och återlämnande av data 9

12. Revision och inspektion 9

13. Gottgörelse och ansvarsbegränsning 9

14. Behandlingsstart och -slut 9

15. Kontakter/kontaktpunkter för personuppgiftsansvarig och personuppgiftsbiträdet 10

Bilaga A: GSGroup Sensor Solutions – Information om behandlingen 11

Bilaga B: GSGroup Field Service Solutions – Information om behandlingen 14

2. Ingress

Page 3 of 16

1. Detta databehandlingsavtal (DBA) anger den personuppgiftsansvariges personuppgiftsbiträdets skyldigheter vid behandling av personuppgifter på uppdrag av den personuppgiftsansvarige som en del av GSGroup Services.

2. Detta DBA har utformats för att säkerställa att parterna följer artikel 28(3) i Europaparlamentets och rådets förordning 2016/679 av den 27 april 2016 om skydd av fysiska personer med avseende på behandling av personuppgifter och den fria rörligheten för sådana data och upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Detta DBA bygger på en standard som har godkänts av de norska och danska tillsynsmyndigheterna.

3. I samband med och i syfte att tillhandahålla GSGroup-tjänster till kunden från tid till annan enligt avtalet mellan parterna (avtalet), kommer personuppgiftsbiträdet att behandla personuppgifter för den personuppgiftsansvariges räkning i enlighet med detta DBA. Detta DBA utgör en integrerad del av avtalet.

4. Detta DBA ska ha företräde över liknande bestämmelser i eventuella andra avtal mellan parterna.

5. Två bilagor bifogas detta DBA och utgör en integrerad del av detta DBA.

6. Bilaga A innehåller följande om GSGroup Sensor Solutions:

a. Information om behandlingen av personuppgifter, inklusive behandlingens syfte och art, typ av personuppgifter, kategorier av registrerade och behandlingens varaktighet.

b. Adresserar personuppgiftsbiträdets användning av underentreprenörer.

c. Innehåller de överenskomna säkerhetsåtgärderna som minst ska implementeras av personuppgiftsbiträdet och den plats där behandlingen kommer att utföras.

7. Bilaga B innehåller följande om GSGroup Field Service Solutions:

a. Information om behandlingen av personuppgifter, inklusive behandlingens syfte och art, typ av personuppgifter, kategorier av registrerade och behandlingens varaktighet.

b. Adresserar personuppgiftsbiträdets användning av underentreprenörer.

c. Innehåller de överenskomna säkerhetsåtgärderna som minst ska implementeras av personuppgiftsbiträdet och den plats där behandlingen kommer att utföras.

8. Detta DBA med bilagor ska sparas i skriftlig form, inklusive elektroniskt, av båda parter.

9. Detta DBA ska inte undanta personuppgiftsbiträdet från skyldigheter som personuppgiftsbiträdet omfattas av enligt EU:s allmänna dataskyddsförordning (GDPR) eller annan lagstiftning.

3. Den personuppgiftsansvariges rättigheter och skyldigheter

Page 4 of 16

1. Personuppgiftsansvarig är den personuppgiftsansvarige och behandlare är personuppgiftsbiträde för syftena med GDPR och relaterade dataskyddslagar i EU och EES-medlemsländerna.

2. Personuppgiftsansvarig ansvarar för att säkerställa att behandlingen av personuppgifter sker i enlighet med GDPR (se artikel 24 i GDPR), tillämpliga dataskyddsbestämmelser i EU eller EES- medlemsländerna samt detta DBA.

3. Personuppgiftsansvarig har rätt och skyldighet att fatta beslut om ändamål och medel för behandling av personuppgifter.

4. Personuppgiftsansvarig ska bland annat ansvara för att säkerställa att den behandling av personuppgifter som personuppgiftsbiträdet har instruerats att utföra har en rättslig grund. I den utsträckning som det är nödvändigt enligt tillämplig lagstiftning eller där samtycke utgör rättslig grund för behandlingen av personuppgifter, ansvarar den personuppgiftsansvarige för att säkerställa att ett välgrundat, fritt givet, uttryckligt och otvetydigt samtycke har getts av de berörda registrerade före behandlingen och för att säkerställa att man kan visa att ett sådant samtycke har getts.

4. Personuppgiftsbiträdet agerar enligt instruktionerna

1. Personuppgiftsbiträdet ska behandla personuppgifter endast enligt dokumenterade instruktioner från den personuppgiftsansvarige, såvida det inte krävs av EU:s eller EES-medlemslandets lagstiftning som personuppgiftsbiträdet omfattas av. Sådana instruktioner ska anges i bilaga A och B. Efterföljande instruktioner kan också ges av personuppgiftsansvarig under behandlingen av personuppgifterna. Sådana instruktioner måste dock alltid dokumenteras och sparas i skriftlig form, inklusive elektroniskt, i samband med detta DBA.

2. I den mån en tredjepartsleverantör av integrationstjänster anlitas för att säkerställa att den personuppgiftsansvarige kan använda sig av GSGroup Services, instruerar den personuppgiftsansvarige härmed personuppgiftsbiträdet att behandla personuppgifter i samband med tjänsterna från en sådan tredjepartsleverantör i syfte att leverera GSGroup Services. Personuppgiftsbiträdet ansvarar inte för några konsekvenser av handlingar, utelämnanden eller underlåtelser som tredjepartsleverantören av integreringstjänster kan göra sig skyldig till. För att undvika tvivel anlitas en sådan tredjepartsleverantör av integreringstjänster som den personuppgiftsansvariges eget personuppgiftsbiträde, inte som personuppgiftsbiträdets underentreprenör, såvida inte parterna skriftligen avtalar något annat.

3. Personuppgiftsbiträdet ska omedelbart informera den personuppgiftsansvarige om de instruktioner som den personuppgiftsansvarige har tillhandahållit enligt personuppgiftsbiträdet strider mot GDPR eller tillämpliga dataskyddsbestämmelser i EU- eller EES-medlemsländerna, i den mån personuppgiftsbiträdet är medveten om eller rimligen kan förväntas vara medveten om sådana motstridigheter. Under sådana omständigheter ska personuppgiftsbiträdet inte vara skyldigt att följa den personuppgiftsansvariges instruktioner, såvida inte den personuppgiftsansvarige förser personuppgiftsbiträdet med ett juridiskt utlåtande från en välrenommerad advokatbyrå som bekräftar att sådana instruktioner överensstämmer med GDPR och alla andra tillämpliga dataskyddsbestämmelser.

4. Vid ändringar av den tillämpliga dataskyddslagstiftningen har den personuppgiftsansvarige rätt att ändra i instruktionerna i detta DBA genom att ge 30 dagars skriftligt varsel när denne ger personuppgiftsbiträdet nya skriftliga instruktioner.

5. Personuppgiftsbiträdet får behandla anonymiserade data för statistiska, analytiska ochPage 5 of 16 andra ändamål. Sådana andra ändamål kan omfatta förbättring, stöd och drift av GSGroup Services. Sådana data måste vara i ett format som möjliggör identifiering eller omidentifiering.

5. Sekretess

1. Personuppgiftsbiträdet får endast bevilja tillgång till de personuppgifter som ska behandlas för den personuppgiftsansvariges räkning till personer under personuppgiftsbiträdets myndighet som har åtagit sig att iaktta tystnadsplikt eller som har en lämplig lagstadgad tystnadsplikt och endast på behovsbasis. Listan över personer till vilka den personuppgiftsansvarige har beviljat tillgång ska granskas regelbundet. Baserat på denna granskning ska tillgång till personuppgifter återkallas om tillgång inte längre är nödvändig, och personuppgifter ska därför inte längre vara tillgängliga för dessa personer.

2. Personuppgiftsbiträdet ska på begäran av den personuppgiftsansvarige visa att de berörda personer a som står under personuppgiftsbiträdet myndighet omfattas av nämnda konfidentialitet.

3. Personuppgiftsbiträdet har inget som helst ansvar för att den personuppgiftsansvarige beviljar någon person tillgång till konfidentiell information.

6. Säkerhet vid behandling

1. Artikel 32 i GDPR föreskriver att personuppgiftsbiträdet och den personuppgiftsansvarige, med beaktande av den senaste tekniken, kostnader för genomförande och art, omfattning och ändamål med behandlingen samt risk för varierande sannolikhet och allvarlighetsgrad för fysiska personers fri- och rättigheter, ska införa lämpliga tekniska och organisatoriska åtgärder för att säkerställa en nivå av säkerhet som är lämplig för risken.

2. Den personuppgiftsansvarige ska utvärdera riskerna för de fri- och rättigheter som är inneboende i behandlingen och införa åtgärder för att minska dessa risker.

3. Enligt artikel 32 i GDPR ska personuppgiftsbiträdet också – oberoende av den personuppgiftsansvarige – utvärdera riskerna för fysiska personers fri- och rättigheter som är inneboende i behandlingen och genomföra åtgärder för att minska dessa risker. I detta syfte ska den personuppgiftsansvarige förse personuppgiftsbiträdet med all information som behövs för att identifiera och utvärdera sådana risker.

4. Vidare ska personuppgiftsbiträdet bistå den personuppgiftsansvarige med att säkerställa efterlevnaden av den personuppgiftsansvariges skyldigheter enligt artikel 32 i GDPR, bland annat genom att förse den personuppgiftsansvarige med information om tekniska och organisatoriska åtgärder som redan har införts av den personuppgiftsansvarige i enlighet med artikel 32 i GDPR tillsammans med all annan information som den personuppgiftsansvarige behöver för att fullgöra sina skyldigheter enligt artikel 32 i GDPR.

5. Om det senare – vid den personuppgiftsansvariges bedömning – skulle visa sig att de identifierade riskerna kräver att ytterligare åtgärder vidtas av personuppgiftsbiträdet än de som denne redan har infört enligt artikel 32 i GDPR, ska den personuppgiftsansvarige specificera dessa ytterligare åtgärder som ska införas skriftligen. Personuppgiftsbiträdet är inte skyldigt att följa någon begäran om sådana ytterligare åtgärder från den personuppgiftsansvarige såvida inte de ytterligare åtgäder som begärs av den personuppgiftsansvarige är rimliga och proportionerliga under alla omständigheter.

7. Användning av underentreprenörer

Page 6 of 16

1. Personuppgiftsbiträdet ska uppfylla de krav som anges i artikel 28(2) och (4) i GDPR för att anlita ett annat biträde (underentreprenör).

2. Personuppgiftsbiträdet får därför inte anlita ett annat biträde (underentreprenör) för att fullgöra detta DBA utan att den personuppgiftsansvarige har gett sitt skriftliga förhandsgodkännande till detta.

3. Personuppgiftsbiträdet har den personuppgiftsansvariges generella tillstånd att anlita underentreprenörer. Personuppgiftsbiträdet ska informera den personuppgiftsansvarige skriftligen om eventuella planerade förändringar rörande tillägg eller byte av underentreprenörer minst 14 dagar i förväg, vilket ger den personuppgiftsansvarige möjlighet att invända mot sådana förändringar innan den/de berörda underentreprenören/-erna anlitas. Listan över underentreprenörer som redan har godkänts av den personuppgiftsansvarige finns på personuppgiftsbiträdets webbplats.

Om personuppgiftsbiträdet anlitar en underentreprenör för att utföra specifika behandlingsaktiviteter för den personuppgiftsansvariges räkning, ska samma dataskyddsskyldigheter som anges i detta DBA åläggas underentreprenören genom ett avtal eller annan rättsakt enligt EU-lagstiftningen eller lagstiftningen i EES-medlemsländer, i synnerhet genom att ge tillräckliga garantier för att införa lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i detta DBA och GDPR. Personuppgiftsbiträdet ska därför ansvara för att kräva att underentreprenören som ett minimum fullgör de skyldigheter som personuppgiftsbiträdet själv omfattas av enligt detta DBA och GDPR.

4. En kopia av ett sådant underentreprenörsavtal och efterföljande ändringar ska – på den personuppgiftsansvariges begäran – skickas till den personuppgiftsansvarige och därmed ge denne möjlighet att säkerställa att underentreprenören omfattas av samma dataskyddsskyldigheter som anges i detta DBA. Klausuler om affärsrelaterade frågor som inte påverkar det rättsliga dataskyddsinnehållet i underentreprenörens avtal, får inte kräva att inskickande till personuppgiftsbiträdet.

5. Om underentreprenören inte fullgör sina dataskyddsskyldigheter, ska personuppgiftsbiträdet förbli fullt ansvarig gentemot personuppgiftsbiträdet när det gäller fullgörandet av underentreprenörens skyldigheter. Detta påverkar inte den registrerades rättigheter enligt GDPR – särskilt de som föreskrivs i artikel 79 och 82 i GDPR – mot den personuppgiftsansvarige och personuppgiftsbiträdet, inklusive underentreprenören.

6. Tjänster som erhålls av den personuppgiftsansvarige som är underordnade eller perifera till de tjänster som personuppgiftsbiträdet tillhandahåller den personuppgiftsansvarige ska inte betraktas som behandling av underentreprenör i den betydelse som avses i denna punkt, 7. Dessa omfattar till exempel telekommunikationstjänster, underhåll och användarservice, städtjänster, revisorer, advokater, destruktion av datalagringsmedier, företagsresursplanering och redovisningstjänster (NetSuite och Visma Netvisor) och backoffice-/administrationssystem. Personuppgiftsbiträdet är dock skyldigt att ingå lämpliga avtal med sådana tredjepartsleverantörer av sidotjänster och att säkerställa skyddet och säkerheten för de data som behandlas för personuppgiftsbiträdets räkning.

8. Överföring av data till länder utanför EES eller internationella organisationer

Page 7 of 16

1. Eventuell överföring av personuppgifter till länder utanför EES eller internationella organisationer av personuppgiftsbiträdet får endast ske på grundval av dokumenterade instruktioner från den personuppgiftsansvarige och ska alltid ske i enlighet med kapitel V i GDPR.

2. Om överföringar till länder utanför EES eller internationella organisationer, som personuppgiftsbiträdet inte har instruerats att utföra av den personuppgiftsansvarige, krävs enligt EU-lagstiftningen eller medlemsstaternas lagstiftning som personuppgiftsbiträdet omfattas av att personuppgiftsbiträdet ska informera den personuppgiftsansvarige om detta rättsliga krav före behandlingen, såvida inte denna lag förbjuder sådan information av viktiga skäl av allmänintresse.

3. Utan dokumenterade instruktioner från den personuppgiftsansvarige kan personuppgiftsbiträdet därför inte inom ramen för detta DBA:

a. överföra personuppgifter till ett personuppgiftsbiträde eller en personuppgiftsansvarig i ett land utanför EES eller i en internationell organisation

b. överföra behandlingen av personuppgifter till en underentreprenör i ett land utanför EES

c. låta personuppgiftsbiträdet behandla personuppgifterna i ett land utanför EES

4. Den personuppgiftsansvariges instruktioner om överföring av personuppgifter till ett land utanför EES inklusive, om tillämpligt, överföringsverktyget enligt kapitel V GDPR som de är baserade på, ska vara skriftliga.

5. Detta DBA får inte förväxlas med standarddataklausuler i den betydelse som avses i artikel 46(2)(c) och (d) GDPR, och detta DBA kan inte åberopas av parterna som ett överföringsverktyg enligt kapitel V GDPR.

9. Hjälp till personuppgiftsbiträdet

1. Med hänsyn till behandlingens art ska personuppgiftsbiträdet bistå den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder i den mån detta är möjligt, för att fullgöra personuppgiftsbiträdets skyldigheter att svarar på begäran om utövande av den registrerades rättigheter enligt kapitel III i GDPR.

Detta innebär att personuppgiftsbiträdet, i möjligaste mån, ska bistå den personuppgiftsansvarige i dennes efterlevnad av:

a. rätten att informeras när personuppgifter samlas in från den registrerade

b. rätten att informeras när personuppgifter inte har erhållits från den registrerade

c. den registrerade rätt till tillgång

d. rätten till rättelse

e. rätten till radering (”rätten att bli bortglömd”)

f. rätten till begränsning av behandling

g. anmälningsskyldighet avseende rättelse eller radering av personuppgifter eller begränsning av behandling

h. rätten till dataportabilitet

i. rätten att invända

j. rätten att inte bli föremål baserat enbart på automatiserad behandling, inklusive profilering

2. Utöver personuppgiftsbiträdets skyldighet att bistå den personuppgiftsansvarige i enlighetPage 8 of 16 med punkt 6.3, ska personuppgiftsbiträdet vidare, med beaktande av behandlingens art och den information som är tillgänglig för personuppgiftsbiträdet, bistå den personuppgiftsansvarige med att säkerställa efterlevnaden av:

a. Den personuppgiftsansvariges skyldighet att utan onödigt dröjsmål och, om möjligt, inte senare än 72 timma efter att det har kommit till dennes kännedom, anmäla personuppgiftsincidenten till den behöriga tillsynsmyndigheten, såvida inte personuppgiftsincidenten sannolikt inte utgör någon risk för fysiska personers fri- och rättigheter;

b. den personuppgiftsansvariges skyldighet att utan onödigt dröjsmål kommunicera personuppgiftsincidenten till den registrerade, när personuppgiftsincidenten sannolikt kommer att leda till en hög risk för fysiska personers fri- och rättigheter;

c. den personuppgiftsansvariges skyldighet att göra en bedömning av hur den planerade behandlingen påverkar skyddet av personuppgifter (en konsekvensbedömning av dataskyddet);

d. den personuppgiftsansvariges skyldighet att samråda med den behöriga tillsynsmyndigheten före behandlingen om en konsekvensbedömning av dataskyddet visar att behandlingen skulle resultera i en hög risk om den personuppgiftsansvarige inte vidtog åtgärder för att minska risken.

10. Anmälan av personuppgiftsincident

1. I händelse av en personuppgiftsincident ska personuppgiftsbiträdet, utan onödigt dröjsmål efter att denne har fått kännedom om incidenten, meddela den personuppgiftsansvarige om personuppgiftsincidenten.

2. Personuppgiftsbiträdets anmälan till den personuppgiftsansvarige ska om möjligt ske inom 36 timmar efter det att personuppgiftsbiträdet har fått kännedom om personuppgiftsincidenten för att göra det möjligt för den personuppgiftsansvarige att fullgöra personuppgiftsbiträdets skyldighet att anmäla personuppgiftsincidenten till den behöriga tillsynsmyndigheten, jf artikel 33 i GDPR.

3. I enlighet med punkt 9(2)a ska personuppgiftsbiträdet bistå den personuppgiftsansvarige med att anmäla personuppgiftsincidenten till den behöriga tillsynsmyndigheten, vilket betyder att personuppgiftsbiträdet är skyldigt att bistå med att inhämta den information som listas nedan och, som enligt artikel 33(3) i GDPR, ska anges i personuppgiftsbiträdets anmälan till den behöriga tillsynsmyndigheten:

a. Personuppgiftens art, inklusive om möjligt kategorierna och ungefärligt antal registrerade som har drabbats och kategorierna och det ungefärliga antalet personuppgiftsposter som berörs;

b. de sannolika konsekvenserna av personuppgiftsincidenten;

c. de åtgärder som ska vidtas av den personuppgiftsansvarige för att åtgärda personuppgiftsincidenten, inklusive i förekommande fall, åtgärder för att minska eventuella negativa effekter.

11. Xxxxxxxx och återlämnande av data

Page 9 of 16

1. När avtalet löper ut ska personuppgiftsbiträdet vara skyldigt att på skriftlig begäran återlämna alla personuppgifter till den personuppgiftsansvarige och radera befintliga kopior om inte EU- lagstiftningen eller lagstiftningen i EES-medlemsländerna kräver att personuppgifterna lagras.

12. Revision och inspektion

1. Personuppgiftsbiträdet ska ge den personuppgiftsansvarige tillgång till all information som är nödvändig för att visa att de skyldigheter som anges i artikel 28 och detta DBA är uppfyllda och vara behjälplig vid revisioner, inklusive inspektioner, som utförs av den personuppgiftsansvarige eller annan revisor som har bemyndigats av den personuppgiftsansvarige.

2. Personuppgiftsbiträdet ska vara skyldigt att ge tillsynsmyndigheterna, som i enlighet med tillämplig lagstiftning har tillgång till den personuppgiftsansvariges och personuppgiftsbiträdets anläggningar, eller representanter som agerar på dessa tillsynsmyndigheters vägnar, tillgång till den personuppgiftsansvariges fysiska anläggningar mot uppvisande av lämpligt ID.

13. Gottgörelse och ansvarsbegränsning

1. Personuppgiftsansvarig ska på egen bekostnad ersätta och hålla personuppgiftsbiträdet skadeslös mot alla kostnader, anspråk, skador eller utgifter som personuppgiftsbiträdet har ådragit sig eller som personuppgiftsbiträdet kan hållas ansvarig för på grund av att den personuppgiftsansvarige eller dennes anställda/agenter inte har fullgjort sina skyldigheter enligt tillämplig lagstiftning eller detta DBA.

2. Personuppgiftsbiträdet ska på egen bekostnad ersätta och hålla den personuppgiftsansvarige skadeslös mot alla kostnader, anspråk, skador eller utgifter som den personuppgiftsansvarige har ådragit sig eller som den personuppgiftsansvarige kan hållas ansvarig för på grund av att den personuppgiftsansvarige eller dennes anställda/agenter inte har fullgjort sina skyldigheter enligt tillämplig lagstiftning eller detta DBA.

3. De ansvarsbegränsningar som anges i GSGroups allmänna affärsvillkor påverkas inte av villkoren i detta DBA och gäller i sin helhet. Personuppgiftsbiträdets skadeståndsansvar får under inga omständigheter överstiga antingen det belopp som har betalats för GSGroup Services av den personuppgiftsansvarige under de 12 månader omedelbart före ett eventuellt brott mot avtalet eller detta DBA eller 100 000 euro, beroende på vilken summa som är lägst.

14. Behandlingsstart och -slut

1. Detta DBA träder i kraft det datum då personuppgiftsbiträdet godkänner avtalet eller detta DBA, beroende på vilket som kommer först. Detta DBA behöver inte undertecknas för att gälla.

2. Personuppgiftsbiträdet ska ha rätt att ändra i detta DBA om lagändringar, skäl för detta DBA:s lämplighet eller andra efterlevnadsrelaterade överväganden skulle göra att en sådan ändring behöver göras.

3. Detta DBA ska gälla under avtalets löptid. Detta DBA kan inte sägas upp under avtalets löptid om inte parterna har kommit överens om ett annat databehandlingsavtal som reglerar avtalet.

4. Om avtalet sägs upp och personuppgifterna raderas i enlighet med punkt 11.1, kan detta DBA sägas upp genom skriftligt meddelande från endera parten.

5. Page 10 of 16

15. Kontakter/kontaktpunkter för personuppgiftsansvarig och personuppgiftsbiträdet

1. Parterna kan kontakta varandra via sina kontakter/kontaktpunkter. Personuppgiftsansvarig ska förse personuppgiftsbiträdet med minst två kontakter/kontaktpunkter vid tidpunkten för ingåendet av ett avtal som rör tillhandahållandet av GSGroup-tjänster. Personuppgiftsbiträdets kontaktpunkt i framgång som rör detta DBA är: xxxxxxx@xxxxxxxxxx.xxx. Parterna ska vara skyldiga att informera varandra löpande om ändringar av kontakter/kontaktpunkter och har rätt att kontakta varandra med rimliga intervall för att säkerställa att de har korrekta kontakter/kontaktpunkter.

Bilaga A: GSGroup Sensor Solutions – Information om behandlingen

Page 11 of 16

Denna bilaga utgör en del av den personuppgiftsansvariges instruktion till personuppgiftsbiträdet i samband med dennes behandling för den personuppgiftsansvariges räkning.

1. Syftet med personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning är:

Att tillhandahålla tjänsterna enligt avtalet.

2. Personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning avser (behandlingens art:

Insamling, lagring, registrering, strukturering, anpassning, göra data tillgängliga för kunden och dennes användare för att tillhandahålla tjänster under avtalet.

Göra data tillgängliga GSGroups tekniska personal och supportpersonal för att tillhandahålla tjänster enligt avtalet.

Insamling och analys av hur GSGroup Services används för att förbättra hur tjänsterna som omfattas av avtalet tillhandahålls.

Anonymisering, pseudonymisering och radering.

3. Behandlingen omfattar följande typer av personuppgifter om registrerade:2

Namn och kontaktuppgifter, inloggningsinformation (inloggningstid, användarnamn och lösenord, objektrelaterad information, användning av objekt, ID-information, körkort, anställningsnummer, position, platsdata, reseinformation inklusive start- och stopplatser, hastighet, riktning, varaktighet, sträcka, temperatur, digital signatur, föraraktiviteter (t.ex. körning och vila), vägtullar inklusive tider, vägtullsstationer och deras ägande, avgiftsbelopp.

Loggning av användnings-/användarmönster, statistik och analysdata, inklusive IP-adress.

Behandlingen kan endast omfatta vissa och inte alla typer av personuppgifter som nämns ovan, beroende på den exakta produkt/tjänst som kunden har köpt. Vid tveksamheter ska den personuppgiftsansvarige kontakta personuppgiftsbiträdet.

4. Behandlingen inkluderar följande kategorier av registrerade:

Kunder

Kundens anställda

Kundens kunder (och alla andra individer vars uppgifter kunden väljer att behandla som en del av GSGroup Services)

2 Parterna är överens om att personuppgiftsbiträdet kan behandla andra typer av personuppgifter som den personuppgiftsansvarige gör tillgängliga i syfte att leverera GSGroup Services. Den personuppgiftsansvarige instruerar härmed personuppgiftsbiträdet att behandla alla typer av sådana uppgifter i enlighet med detta DBA för detta ändamål.

5. Personuppgiftsbiträdets behandling av personuppgifter för denPage 12 of 16 personuppgiftsansvariges räkning när detta DBA träder i kraft. Behandlingen har följande varaktighet:

Personuppgiftsbiträdet får behandla personuppgifter för den personuppgiftsansvariges räkning till dess att den personuppgiftsansvarige skickar en skriftlig begäran till personuppgiftsbiträdet om att returnera alla personuppgifter till den personuppgiftsansvarige och radera befintliga kopior (se punkt 11 ovan om radering när avtalet löper ut), såvida inte EU-lagstiftningen eller lagstiftningen i EES-medlemsländer kräver lagring av personuppgifterna.

6. Godkända underentreprenörer och behandlingsplats

Personuppgiftsbiträdet godkänner att de underentreprenörer som personuppgiftsbiträdet listar på sin webbplats deltar i behandlingen av personuppgifter som en del av GSGroup Sensor Solutions. Denna behandling utförs på de platser som anges på personuppgiftsbiträdets webbplats.

7. Minimiåtgärder för säkerhet vid behandling

Med beaktande av mängden personuppgifter, varav den stora merparten, om inte i sin helhet, inte omfattas av de särskilda kategorier av personuppgifter enligt artikel 9 i GSPR, i samband med tillhandahållandet av GSGroup Sensor Solutions där behandling av personuppgifter är en tillfällig/följdriktig aspekt av personuppgiftsbiträdets tjänster, samt en allmänt låg risk för fysiska personers fru- och rättigheter vid behandlingen av sådana uppgifter, är parterna överens om att personuppgiftsbiträdet ska ha handlingsfrihet att fatta beslut om de tekniska och organisatoriska säkerhetsåtgärderna som ska vidtas för att skapa den nödvändiga och överenskomna nivån av dataskydd. Personuppgiftsbiträdet ska dock – under alla omständigheter och som ett minimum – införa följande åtgärder som har överenskommits med personuppgiftsbiträdet:

• GSGroups anställda ska omfattas av sekretesskrav och regelbunden utbildning i efterlevnad av GDPR.

• Data under överföring ska krypteras (HTTPS, TLS 1.2 eller senare) om inte kunden begär att data ska tillhandahållas via ett medium som inte är krypterat.

• GSGroup kommer att införa tekniska åtgärder för att kunna återställa tillgängligheten och tillgång till personuppgifter i tid i händelse av en fysisk eller teknisk incident, inklusive: daglig och automatiserad säkerhetskopiering, säkerställande av avbrottsfri strömförsörjning, enheter för övervakning av temperatur och fukt i serverrum, brand- och rökdetektorsystem i serverrum, luftkonditioneringsenheter och larm för obehörig åtkomst till serverrum.

• GSGroup kommer där det är relevant att införa tekniska åtgärder för att säkerställa riktigheten i de uppgifter som behandlas för kundens räkning.

• Åtkomst till kundens data ska begränsas och kontrolleras, både fysiskt (inklusive larm- och låssystem) och digitalt (autentisering med användarnamn och lösenordsbegränsningar).

• GSGroup ska införa loggning i driftsmiljöer där kundens data behandlas.

• GSGroup ska använda VPN-teknik för åtkomst till driftsmiljöer.

• Data som lagras ska skyddas av brandväggar.

• Data som lagras ska säkerhetskopieras på minst en annan separat och säker plats änPage 13 of 16

den där datan normalt lagras.

• GSGroups driftsmiljöer hålls åtskilda från GSGroups administrationsmiljöer.

• Endast behörig personal med operativt behov och kunder med begränsade åtkomsträttigheter har tillgång till driftsmiljöer. Behörig personals lösenord är krypterade och lagras också i krypterad form.

• GSGroup ska införa tekniska anti-virus-, anti-malware- och anti-SPAM-åtgärder.

• GSGroup ska säkerställa att man upprätthåller den nödvändiga kompetensen om efterlevnad av GDPR internt.

• GSGroup Sensor Solutions har ett inbyggt dataskydd genom att ge kunden systemadministratörsrättigheter.

• GSGroup ska säkerställa att man har policyer för dokumentförstörelse, rent skrivbord och ren skärm.

Bilaga B: GSGroup Field Service Solutions – Information om behandlingen

Page 14 of 16

Denna bilaga utgör en del av den personuppgiftsansvariges instruktion till personuppgiftsbiträdet i samband med dennes behandling för den personuppgiftsansvariges räkning.

1. Syftet med personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning är:

Att tillhandahålla tjänsterna enligt avtalet.

2. Personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning avser (behandlingens art:

Insamling, lagring, registrering, strukturering, anpassning, göra data tillgängliga för kunden och dennes användare för att tillhandahålla tjänster under avtalet.

Göra data tillgängliga GSGroups tekniska personal och supportpersonal för att tillhandahålla tjänster enligt avtalet.

Insamling och analys av hur GSGroup Services används för att förbättra hur tjänsterna som omfattas av avtalet tillhandahålls.

Anonymisering, pseudonymisering och radering.

3. Behandlingen omfattar följande typer av personuppgifter om registrerade:3

Namn och kontaktuppgifter, inloggningsuppgifter (inloggningstid, användarnamn och lösenord), språk, kvalifikationer (licenser, certifikat och liknande), datum och tid för datainmatningen, ID-uppgifter, körkört, födelsedatum, anställningsnummer, befattning, tidrapporter, personallistor, checklistor, användning av material, foton, säkerhets- och miljöinformation, information om anhöriga, platsdata, planerade och personliga uppgifter, tidpunkt för synkroniseringar, IP-adress för mobila enheter, varumärke och modell på den mobila enheten, semester och sjukfrånvaro.

Om kunden köper någon av GSGroup Sensor Solutions som en del av GSGroup Field Service Solutions (t.ex. Sensor Module), omfattar de typer av personuppgifter som ska behandlas av personuppgiftsbiträdet de som anges i Bilaga A till detta DBA (se även Bilaga A för kategorier av registrerade och annan relevant information om behandling av personuppgifter).

Loggning av användarmönster, statistik och analysdata, inklusive IP-adress.

Behandlingen kan endast omfatta vissa och inte alla typer av personuppgifter som nämns ovan, beroende på den exakta produkt/tjänst som kunden har köpt. Vid tveksamheter ska den personuppgiftsansvarige kontakta personuppgiftsbiträdet.

4. Behandlingen inkluderar följande kategorier av registrerade:

Kunder

3 Parterna är överens om att personuppgiftsbiträdet kan behandla andra typer av personuppgifter som den personuppgiftsansvarige gör tillgängliga i syfte att leverera GSGroup Services. Den personuppgiftsansvarige instruerar härmed personuppgiftsbiträdet att behandla alla typer av sådana uppgifter i enlighet med detta DBA för detta ändamål.

Kundens anställda

Page 15 of 16

Kundens kunder (och alla andra individer vars uppgifter kunden väljer att behandla som en del av GSGroup Services)

5. Personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning när detta DBA träder i kraft. Behandlingen har följande varaktighet:

Personuppgiftsbiträdet får behandla personuppgifter för den personuppgiftsansvariges räkning till dess att den personuppgiftsansvarige skickar en skriftlig begäran till personuppgiftsbiträdet om att returnera alla personuppgifter till den personuppgiftsansvarige och radera befintliga kopior (se punkt 11 ovan om radering när avtalet löper ut), såvida inte EU-lagstiftningen eller lagstiftningen i EES-medlemsländer kräver lagring av personuppgifterna.

6. Godkända underentreprenörer och behandlingsplats

Personuppgiftsbiträdet godkänner att de underentreprenörer som personuppgiftsbiträdet listar på sin webbplats deltar i behandlingen av personuppgifter som en del av GSGroup Field Service Solutions. Denna behandling utförs på de platser som anges på personuppgiftsbiträdets webbplats. Behandlingen kan även utföras i den personuppgiftsansvariges IT-miljö/databas.

7. Minimiåtgärder för säkerhet vid behandling

Med beaktande av mängden personuppgifter, varav den stora merparten, om inte i sin helhet, inte omfattas av de särskilda kategorier av personuppgifter enligt artikel 9 i GSPR, i samband med tillhandahållandet av GSGroup Field Service Solutions där behandling av personuppgifter är en tillfällig/följdriktig aspekt av personuppgiftsbiträdets aktiviteter, samt en allmänt låg risk för fysiska personers fru- och rättigheter vid behandlingen av sådana uppgifter, är parterna överens om att personuppgiftsbiträdet ska ha handlingsfrihet att fatta beslut om de tekniska och organisatoriska säkerhetsåtgärderna som ska vidtas för att skapa den nödvändiga och överenskomna nivån av dataskydd. Personuppgiftsbiträdet ska dock – under alla omständigheter och som ett minimum – införa följande åtgärder som har överenskommits med personuppgiftsbiträdet:

• GSGroups anställda ska omfattas av sekretesskrav och regelbunden utbildning i efterlevnad av GDPR.

• GSGroup kommer att införa tekniska åtgärder för att kunna återställa tillgängligheten och tillgång till personuppgifter i tid i händelse av en fysisk eller teknisk incident, inklusive: daglig och automatiserad säkerhetskopiering, säkerställande av avbrottsfri strömförsörjning, enheter för övervakning av temperatur och fukt i serverrum, brand- och rökdetektorsystem i serverrum, luftkonditioneringsenheter och larm för obehörig åtkomst till serverrum.

• GSGroup kommer där det är relevant att införa tekniska åtgärder för att säkerställa riktigheten i de uppgifter som behandlas för kundens räkning.

• Åtkomst till kundens data ska begränsas och kontrolleras, både fysiskt (inklusive larm- och låssystem) och digitalt (autentisering med användarnamn och lösenordsbegränsningar).

• GSGroup ska införa loggning i driftsmiljöer där kundens data behandlas.

• GSGroup ska använda VPN-teknik för åtkomst till driftsmiljöer.

• Data som lagras ska skyddas av brandväggar.

Page 16 of 16

• Data som lagras ska säkerhetskopieras på minst en annan separat och säker plats än den där datan normalt lagras.

• GSGroups driftsmiljöer hålls åtskilda från GSGroups administrationsmiljöer.

• Endast behörig personal med operativt behov och kunder med begränsade åtkomsträttigheter har tillgång till driftsmiljöer. Behörig personals lösenord är krypterade och lagras också i krypterad form.

• GSGroup ska införa tekniska anti-virus-, anti-malware- och anti-SPAM-åtgärder.

• GSGroup ska säkerställa att man upprätthåller den nödvändiga kompetensen om efterlevnad av GDPR internt.

• GSGroup Field Service Solutions har ett inbyggt dataskydd genom att ge kunden systemadministratörsrättigheter.

• GSGroup ska säkerställa att man har policyer för dokumentförstörelse, rent skrivbord och ren skärm.