VERSION 4.0 FEBRUARI 2024
PERS ONUPPGIFTSBITRÄDESAVTAL
VERSION 4.0 FEBRUARI 2024
CompuSoft A/S
Sunekær 9
5471 Søndersø Danmark
COMPUSOFT A/S | TEL. x00 00 00 00 00 | XXXX@XXXXXXXXX.XXX | XXX.XXXXXXXXX.XXX
Xxx.xx: 21774774
Standardavtalsvillkor
i enlighet med artikel 28.3, i förordning 2016/679 (dataskyddsförordningen) med avseende på personuppgiftsbiträdets behandling av personuppgifter
mellan
«COMPANY»
Xxx.xx «COMPANYCVR»
«COMPANYADRESS»
«COMPANYZIPCITY»
hädanefter ”den personuppgiftsansvariga” och
CompuSoft A/S Xxx.xx 21774774
Sunekær 9
DK-5471 Søndersø
hädanefter ”personuppgiftsbiträdet”
var och en ”part”, tillsammans ”parterna”
HAR ENATS OM följande standardavtalsvillkor (Villkoren) i syftet uppfylla kraven i dataskyddsförordningen och säkerställa skyddet av privatlivet och fysiska personers grundläggande rättigheter och friheter
1. INNEHÅLL
3. Den personuppgiftsansvarigas rättigheter och skyldigheter 5
4. Personuppgiftsbiträdet handlar enligt instruktioner 5
7. Anlitande av underbiträde 7
8. Överföring till tredjeland eller internationella organisationer 8
9. Stöd till den personuppgiftsansvariga 8
10. Underrättelse om personuppgiftsincident 10
11. Xxxxxxxx och återlämnande av information 10
12. Granskning och inspektion 11
13. Parternas överenskommelse om andra villkor 11
14. Inledande och avslutande 11
15. Kontaktpersoner hos personuppgiftsansvarig och personuppgiftsbiträde 14
Bilaga A Information om behandlingen 15
Bilaga C Instruktioner avseende behandling av personuppgifter 18
Bilaga D Parternas övriga avtalsvillkor 23
1. Dessa Villkor anger personuppgiftsbiträdets rättigheter och skyldigheter när denne behandlar personuppgifter på uppdrag av den personuppgiftsansvariga.
2. Dessa villkor har utformats för att säkerställa parternas efterlevnad av artikel 28.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (dataskyddsförordningen).
3. I samband med tillhandahållandet av personuppgiftsbiträdets boknings- och betalningssystem enligt närmare angivet i CompuSofts VILLKOR för hosting (”Huvudavtalet”) behandlar personuppgiftsbiträdet personuppgifter på uppdrag av den personuppgiftsansvariga i enlighet
med dessa Villkor.
4. Villkoren har företräde framför eventuella liknande villkor i andra avtal mellan parterna.
5. Det finns fyra bilagor till dessa Villkor, vilka utgör en integrerad del av Villkoren.
6. Bilaga A innehåller detaljerad information om behandlingen av personuppgifter,
inklusive behandlingens syfte och art, typen av personuppgifter, kategorierna av registrerade och behandlingens varaktighet.
7. Bilaga B innehåller den personuppgiftsansvarigas villkor för personuppgiftsbiträdets användning av underbiträden och en förteckning över underbiträden som den personuppgiftsansvariga har godkänt.
8. Bilaga C innehåller den personuppgiftsansvarigas anvisningar avseende behandlingen
av personuppgifter, minimiuppsättningen säkerhetsåtgärder som krävs av personuppgiftsbiträdet samt hur granskningar av personuppgiftsbiträdet och eventuella underbiträden ska utföras.
9. Bilaga D innehåller villkor beträffande andra aktiviteter som inte omfattas av Villkoren.
10. Villkoren med tillhörande bilagor ska förvaras skriftligt, även elektroniskt, av båda parter.
11. Dessa Villkor fritar inte personuppgiftsbiträdet från skyldigheter som personuppgiftsbiträdet omfattas av enligt dataskyddsförordningen eller övrig lagstiftning.
3. DEN PERSONUPPGIFTSANSVARIGAS RÄTTIGHETER OCH SKYLDIGHETER
1. Den personuppgiftsansvariga ansvarar för att behandlingen av personuppgifter sker i enlighet med dataskyddsförordningen (se förordningens artikel 24), dataskyddsföreskrifter i annan EU-rätt eller medlemsstaternas1 nationella lagstiftning och dessa Villkor.
2. Den personuppgiftsansvariga har rätt och skyldighet att fatta beslut om för vilket/vilka ändamål och med vilka medel personuppgifter får behandlas.
3. Den personuppgiftsansvariga ansvarar bland annat för att det finns ett behandlingsunderlag för den behandling av personuppgifter som personuppgiftsbiträdet har i uppdrag att utföra.
4. PERSONUPPGIFTSBITRÄDET HANDLAR ENLIGT INSTRUKTIONER
1. Personuppgiftsbiträdet får endast behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvariga, såvida det inte krävs enligt EU-rätt eller medlemsstaternas nationella lagstiftning som personuppgiftsbiträdet omfattas av. Dessa instruktioner ska specificeras i bilagorna A och C. Efterföljande instruktioner kan även ges av den personuppgiftsansvariga under behandlingen av personuppgifter, men instruktionerna ska alltid dokumenteras och förvaras skriftligt, även elektroniskt, tillsammans med dessa Villkor.
2. Personuppgiftsbiträdet ska omedelbart underrätta den personuppgiftsansvariga om en instruktion enligt vederbörandes uppfattning strider mot denna förordning eller dataskyddsbestämmelser i annan EU-rätt eller medlemsstaternas nationella lagstiftning.
5. SEKRETESS
1. Personuppgiftsbiträdet ska endast bevilja åtkomst till personuppgifter som behandlas på uppdrag av den personuppgiftsansvariga till personer som är underställda personuppgiftsbiträdet och har förbundit sig att bevara sekretessen eller omfattas av en lämplig lagstadgad tystnadsplikt, och endast i den omfattning som krävs. Förteckningen över personer som har beviljats åtkomst ska granskas löpande. Baserat på denna granskning kan åtkomsten till personuppgifter återkallas om åtkomsten inte längre är nödvändig, och personuppgifterna är då inte längre tillgängliga för dessa personer.
2. På begäran från den personuppgiftsansvariga ska personuppgiftsbiträdet kunna visa att de berörda personerna, som är underställda personuppgiftsbiträdet, iakttar ovan nämnda tystnadsplikt.
6. SÄKERHET VID BEHANDLING
1. Av artikel 32 i dataskyddsförordningen anges att med beaktande av aktuell teknisk nivå, genomförandekostnader och den aktuella behandlingens art, omfattning, sammanhang och ändamål samt risken, av varierande sannolikhets- och allvarlighetsgrad, för fysiska personers rättigheter och friheter ska den personuppgiftsansvariga och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.
Den personuppgiftsansvariga ska bedöma riskerna för fysiska personers rättigheter och friheter som behandlingen utgör och vidta åtgärder för att minska dessa risker. Beroende på deras relevans kan detta omfatta:
a. pseudonymisering och kryptering av personuppgifter
b. förmågan att säkerställa fortlöpande sekretess, integritet, tillgänglighet och motståndskraft i systemen och tjänsterna för behandlingen
c. förmågan att återställa tillgängligheten och tillgången till personuppgifter inom rimlig tid vid en fysisk eller teknisk incident
d. ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa säkerhet vid behandlingen.
2. Enligt förordningens artikel 32 ska personuppgiftsbiträdet – fristående från den personuppgiftsansvariga – även bedöma riskerna för fysiska personers rättigheter som behandlingen innebär och vidta åtgärder för att minska dessa risker. Denna bedömning innebär att den personuppgiftsansvariga ska förse personuppgiftsbiträdet med all information som krävs för identifiering och bedömning av sådana risker.
3. Dessutom ska personuppgiftsbiträdet bistå den personuppgiftsansvariga i att säkerställa efterlevnad av den personuppgiftsansvarigas skyldigheter enligt artikel 32 i dataskyddsförordningen, genom att bland annat förse den personuppgiftsansvariga med information avseende tekniska och organisatoriska åtgärder som redan har genomförts av personuppgiftsbiträdet enligt artikel 32 i dataskyddsförordningen, samt all övrig information som krävs för att den personuppgiftsansvariga ska kunna fullgöra sin skyldighet enligt förordningens artikel 32.
Om en minskning av de identifierade riskerna – enligt den personuppgiftsansvarigas bedömning – kräver att ytterligare åtgärder vidtas av personuppgiftsbiträdet än de som redan har vidtagits, ska den personuppgiftsansvariga ange dessa ytterligare åtgärder i bilaga C.
1. Personuppgiftsbiträdet ska uppfylla de krav som anges i dataskyddsförordningens artikel 28.2 och
28.4 om annat personuppgiftsbiträde (ett underbiträde) anlitas.
2. Personuppgiftsbiträdet får således inte använda ett underbiträde för att uppfylla dessa föreskrifter utan föregående specifikt skriftligt tillstånd från den personuppgiftsansvariga.
3. Personuppgiftsbiträdet får endast använda underbiträden efter den personuppgiftsansvarigas föregående skriftliga tillstånd. Personuppgiftsbiträdet ska inlämna begäran om ett specifikt tillstånd minst 2 månader innan ifrågavarande underbiträde anlitas. Förteckningen över underbiträden som den personuppgiftsansvariga har godkänt framgår av bilaga B.
4. Om personuppgiftsbiträdet anlitar ett underbiträde för att utföra specifik behandling på uppdrag av den personuppgiftsansvariga, ska personuppgiftsbiträdet genom avtal eller annan rättslig handling enligt EU-rätten eller medlemsstaternas nationella lagstiftning ålägga underbiträdet samma dataskyddsskyldigheter som de som framgår av dessa Villkor, varvid i synnerhet tillräckliga garantier ges att underbiträdet kommer att genomföra tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i dessa Villkor och dataskyddsförordningen.
Personuppgiftsbiträdet ska därför kräva att underbiträdet som ett minimum fullgör de skyldigheter som gäller för personuppgiftsbiträdet enligt dessa Villkor och dataskyddsförordningen.
5. En kopia av underbiträdesavtal/en och eventuella efterföljande ändringar av dessa ska – på den personuppgiftsansvarigas begäran – skickas till den personuppgiftsansvariga, som därigenom har möjlighet att försäkra sig om att samma dataskyddsskyldigheter som följer av dessa Villkor gäller för underbiträdet. Villkor för verksamhetsrelaterade frågor som inte påverkar det dataskyddsrättsliga innehållet i underbiträdesavtalet behöver inte skickas till den personuppgiftsansvariga.
6. Personuppgiftsbiträdet ska i sitt avtal med underbiträdet godkänna den personuppgiftsansvariga som berättigad tredje part i händelse av personuppgiftsbiträdets konkurs, så att den personuppgiftsansvariga kan överta personuppgiftsbiträdets rättigheter och hävda dem gentemot underbiträden, vilket t.ex. gör det möjligt för den personuppgiftsansvariga att instruera underbiträdet att radera eller återlämna personuppgifterna.
7. Om personuppgiftsbiträdet underlåter att uppfylla sina skyldigheter avseende dataskydd är personuppgiftsbiträdet fullt ansvarigt inför den personuppgiftsansvariga för fullgörandet av underbiträdets skyldigheter. Detta påverkar inte de registrerades rättigheter som följer av dataskyddsförordningen, särskilt förordningens artiklar 79 och 82, gentemot den personuppgiftsansvariga och personuppgiftsbiträdet, inklusive underbiträdet.
8. ÖVERFÖRING TILL TREDJELAND ELLER INTERNATIONELLA ORGANISATIONER
1. All överföring av personuppgifter till tredjeland eller internationella organisationer av personuppgiftsbiträdet får endast utföras enligt dokumenterade instruktioner om detta från den personuppgiftsansvariga och ska alltid utföras enligt kapitel V i dataskyddsförordningen.
2. Om överföring av personuppgifter till tredjeland eller internationella organisationer, som personuppgiftsbiträdet inte har instruerats att utföra av den personuppgiftsansvariga, krävs enligt EU- rätten eller medlemsstaternas nationella lagstiftning som personuppgiftsbiträdet omfattas av, ska personuppgiftsbiträdet underrätta den personuppgiftsansvariga om detta rättsliga krav innan behandlingen utförs, såvida inte gällande lagstiftning förbjuder sådan underrättelse av hänsyn till allmänintresset.
3. Utan dokumenterade instruktioner från den personuppgiftsansvariga har personuppgiftsbiträdet därför inte rätt att inom ramen för dessa Villkor:
a. överföra personuppgifter till en personuppgiftsansvarig eller ett personuppgiftsbiträde i ett tredjeland eller en internationell organisation
b. överlåta behandlingen av personuppgifter till ett underbiträde i ett tredjeland
c. behandla personuppgifterna i ett tredjeland
4. Den personuppgiftsansvarigas instruktioner avseende överföring av personuppgifter till tredjeland, däribland, om tillämpligt, det överföringsverktyg enligt kapitel V i dataskyddsförordningen som överföringen grundar sig på, ska anges i bilaga C.6.
5. Dessa Villkor ska inte förväxlas med standardavtalsvillkor som avses i artikel 46.2 c och d i dataskyddsförordningen, och dessa Villkor kan inte åberopas som överföringsverktyg enligt kapitel V i dataskyddsförordningen.
9. STÖD TILL DEN PERSONUPPGIFTSANSVARIGA
1. Med hänsyn till behandlingens art ska personuppgiftsbiträdet så långt det är möjligt bistå den personuppgiftsansvariga genom lämpliga tekniska och organisatoriska åtgärder i syfte att fullgöra den
personuppgiftsansvarigas skyldighet att besvara förfrågningar om utövande av den registrerades rättigheter enligt kapitel III i dataskyddsförordningen.
Detta innebär att personuppgiftsbiträdet så långt det är möjligt ska bistå den personuppgiftsansvariga i den personuppgiftsansvarigas efterlevnad av:
a. rätten till information när personuppgifter samlas in från den registrerade
b. rätten till information när personuppgifter inte har erhållits från den registrerade
c. den registrerades rätt till tillgång
d. rätten till rättelse
e. rätten till radering (”rätten att bli bortglömd”)
f. rätten till begränsning av behandling
g. anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av behandling
h. rätten till dataportabilitet
i. rätten att göra invändningar
j. rätten att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering
2. Utöver personuppgiftsbiträdets skyldighet att bistå den personuppgiftsansvariga enligt Villkor 6.3, ska personuppgiftsbiträdet även, med hänsyn till behandlingens art och de uppgifter som är tillgängliga för personuppgiftsbiträdet, bistå den personuppgiftsansvariga för att säkerställa efterlevnad av:
a. den personuppgiftsansvarigas skyldighet att utan onödigt dröjsmål och om möjligt senast 72 timmar efter upptäckt meddela personuppgiftsincidenter till behörig tillsynsmyndighet, Datatilsynet (danska integritetsskyddsmyndigheten), om det inte är osannolikt att incidenten innebär någon risk för fysiska personers rättigheter eller friheter
b. den personuppgiftsansvarigas skyldighet att utan onödigt dröjsmål underrätta den registrerade om personuppgiftsincidenter när incidenten sannolikt kommer att medföra en hög risk för fysiska personers rättigheter och friheter
c. den personuppgiftsansvarigas skyldighet att inför behandlingen genomföra en analys av den avsedda behandlingsåtgärdens konsekvenser för skyddet av personuppgifter (en konsekvensbedömning)
d. den personuppgiftsansvarigas skyldighet att samråda med behörig tillsynsmyndighet, Datatilsynet (danska integritetsskyddsmyndigheten), före behandlingen såvida en konsekvensbedömning av dataskyddet visar att behandlingen kommer att leda till hög risk om inga åtgärder vidtas av den personuppgiftsansvariga för att minska risken.
3. Parterna ska i bilaga C ange vilka nödvändiga tekniska och organisatoriska åtgärder med vilka personuppgiftsbiträdet ska bistå den personuppgiftsansvariga och i vilken omfattning och utsträckning. Detta gäller skyldigheterna enligt Villkor 9.1 och 9.2.
10. UNDERRÄTTELSE OM PERSONUPPGIFTSINCIDENT
1. Personuppgiftsbiträdet ska utan onödigt dröjsmål underrätta personuppgiftsansvarig efter att ha upptäckt en personuppgiftsincident.
2. Personuppgiftsbiträdets underrättelse till den personuppgiftsansvariga ska om möjligt äga rum senast 12 timmar efter det att personuppgiftsbiträdet har fått vetskap om personuppgiftsincidenten, för att göra det möjligt för den personuppgiftsansvariga att fullgöra skyldigheten att underrätta behörig tillsynsmyndighet om personuppgiftsincidenten, jfr artikel 33 i dataskyddsförordningen.
3. I enlighet med Villkor 9.2.a ska personuppgiftsbiträdet bistå den personuppgiftsansvariga med att rapportera incidenten till behörig tillsynsmyndighet. Detta innebär att personuppgiftsbiträdet ska bistå med att lämna följande information, som enligt artikel 33.3 ska anges i den personuppgiftsansvarigas underrättelse till behöriga tillsynsmyndighet:
a. beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs
b. de troliga konsekvenserna av personuppgiftsincidenten
c. de åtgärder som den personuppgiftsansvariga har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella skadliga effekter.
4. Parterna ska i bilaga D ange vilka uppgifter som personuppgiftsbiträdet ska lämna inom ramen för stöd till den personuppgiftsansvariga i dennes skyldighet att underrätta behörig tillsynsmyndighet om personuppgiftsincidenten.
11. XXXXXXXX OCH ÅTERLÄMNANDE AV INFORMATION
1. Nät behandlingen av personuppgifterna avslutas är personuppgiftsbiträdet skyldigt att återlämna alla personuppgifter och radera befintliga kopior, såvida inte EU-rätten eller medlemsstaternas nationella lagstiftning föreskriver lagring av personuppgifterna.
2. Följande förordningar i EU-rätten eller medlemsstaternas nationella lagstiftning föreskriver lagring av personuppgifterna efter avslutande av behandling av personuppgifterna:
Arkivloven (danska arkivlagen) – Lagförordning nr 1201 av den 2016-09-28
Personuppgiftsbiträdet förbinder sig att endast behandla personuppgifterna för det eller de ändamål, under den period och under de villkor som dessa förordningar föreskriver.
12. GRANSKNING OCH INSPEKTION
1. Personuppgiftsbiträdet gör all information som behövs för att visa efterlevnad av artikel 28 i dataskyddsförordningen och dessa förordningar tillgänglig för den personuppgiftsansvariga och möjliggör och bidrar till granskningar och inspektioner som utförs av den personuppgiftsansvariga eller annan revisor som är auktoriserad av den personuppgiftsansvariga.
2. Rutinerna för den personuppgiftsansvarigas granskningar och inspektioner med personuppgiftsbiträdet och underbiträden beskrivs i bilaga C.7 och C.8.
3. Personuppgiftsbiträdet är skyldig att ge tillsynsmyndigheter, som enligt gällande lagstiftning har tillgång till den personuppgiftsansvarigas eller personuppgiftsbiträdets anläggningar, eller företrädare som agerar på uppdrag av tillsynsmyndigheten, åtkomst till personuppgiftsbiträdets fysiska anläggningar mot giltig legitimation.
13. PARTERNAS ÖVERENSKOMMELSE OM ANDRA VILLKOR
1. Parterna kan komma överens om andra villkor gällande tjänsten avseende behandling av personuppgifter för t.ex. skadeståndsansvar, så länge dessa övriga villkor inte direkt eller indirekt strider mot Villkoren eller inkräktar på den registrerades grundläggande friheter och rättigheter som följer av dataskyddsförordningen.
14. INLEDANDE OCH AVSLUTANDE
1. Villkoren börjar gälla det datum som de undertecknas av båda parter.
2. Båda parter kan kräva att Villkoren omförhandlas om lagändringar eller brister i Villkoren ger anledning till detta.
3. Villkoren gäller så länge tjänsten avseende behandling av personuppgifter erbjuds. Under denna period kan Villkoren inte avslutas, såvida parterna inte har enats om andra villkor som reglerar tillhandahållandet av tjänsten avseende behandling av personuppgifter.
4. Om tillhandahållandet av tjänsterna avseende behandling av personuppgifter avslutas och personuppgifterna raderas eller återlämnas till den personuppgiftsansvariga i enlighet med punkt 11.1 och bilaga C.4, kan Villkoren avslutas skriftligen av någon av parterna.
5. Underskrift
På uppdrag av personuppgiftsansvarig
Namn «PERSONSIGNATURETEXT»
Befattning «PERSONPOSITION» Telefonnummer «PERSONPHONENUMBER» E-postadress «PERSONEMAIL»
Datum och underskrift: «PERSONSIGNATUREDATE»
På uppdrag av personuppgiftsbiträde Xxxx Xxxxxx Xxxxxxx-Xxxxxx
Befattning VD Telefonnummer x00 00000000
E-postadress XXX@XXXXXXXXX.XXX
Datum och underskrift: «CSSIGNATUREDATE»
15. KONTAKTPERSONER HOS PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE
1. Parterna kan kontakta varandra genom kontaktpersonerna nedan.
2. Parterna är skyldiga att löpande informera varandra om förändringar avseende kontaktpersoner.
Namn «PERSONSIGNATURETEXT»
Befattning «PERSONPOSITION» Telefonnummer «PERSONPHONENUMBER» E-postadress «PERSONEMAIL»
Xxxx Xxxxxx Xxxxxxx-Xxxxxx
Befattning VD Telefonnummer x00 00000000
E-postadress XXX@XXXXXXXXX.XXX
BILAGA A INFORMATION OM BEHANDLINGEN
CompuSoft A/S erbjuder som personuppgiftsbiträde ett antal IT-tjänster, IT-tjänster som inkluderar hosting, bokningar och betalningar ("Systemet"). Behandlingen beskrivs närmare nedan.
A.1 Syftet med personuppgiftsbiträdets behandling av personuppgifter på uppdrag av den personuppgiftsansvariga
Ändamålen är att ge den personuppgiftsansvarigas personal åtkomst till ett system som kan hjälpa dem att hantera kundens bokningar och biljetter samt i detta sammanhang samla in betalningar och utfärda fakturor, ge teknisk support, felsökning och underhåll av Systemet, skydda mot bedrägerier, olagliga handlingar och säkerhetsbrott.
A.2 Personuppgiftsbiträdets behandling av personuppgifter på uppdrag av den personuppgiftsansvariga gäller huvudsakligen (behandlingens art)
Insamling, registrering, organisering, strukturering, lagring, anpassning eller ändring av personuppgifter i enlighet med den personuppgiftsansvarigas instruktioner.
A.3 Behandlingen omfattar följande typer av personuppgifter om den registrerade
Allmänna personuppgifter (jfr artikel 6 i dataskyddsförordningen)
☐Allmänna personuppgifter:
Kunder och gäster: Namn, adress, postnummer, ort, nationalitet, telefonnummer, kortinformation, korrespondens, innehållet i fritextfält, köpta produkter, e-postadress och i vissa fall personnummer för statliga och kommunala kunder. Dessutom registreras eventuellt vistelsetid, antal personer, ålder och kön.
Medarbetare: Namn, adress, telefonnummer och e-postadress.
Känsliga personuppgifter om (jfr artikel 9 i dataskyddsförordningen):
☐Ras eller etniskt ursprung
☐Politiska åsikter
☐Religiös övertygelse
☐Filosofisk övertygelse
☐Medlemskap i fackförening
☐Genetiska uppgifter
☐Biometriska uppgifter
☐Uppgifter om hälsa, inklusive missbruk av läkemedel, droger, alkohol etc.
☐En fysisk persons sexualliv eller sexuella läggning
Personuppgifter om fällande domar i brottmål och lagöverträdelser (jfr artikel 10 i dataskyddsförordningen):
☐Fällande domar i brottmål
☐Lagöverträdelser
Uppgifter om personnummer (jfr § 11 i dataskyddslagen)
☐Personnummer (i vissa fall, och endast när den personuppgiftsansvariga är en kommun eller statlig organisation och endast i den omfattning det krävs för att den personuppgiftsansvariga ska kunna driva in betalningar)
A.4 Behandlingen omfattar följande kategorier av registrerade
• Kunder, potentiella kunder och gäster.
• Medarbetare.
A.5 Personuppgiftsbiträdets behandling av personuppgifter på uppdrag av den personuppgiftsansvariga kan påbörjas när dessa Villkor har trätt i kraft. Behandlingen har följande varaktighet
Tills avtalet sägs upp.
B.1 Godkända underbiträden
I samband med att Villkoren börjar gälla har den personuppgiftsansvariga godkänt användningen av följande underbiträden
NAMN | XXX.XX | ADRESS | BESKRIVNING AV BEHANDLING |
Cloudflare Inc. | 000 Xxxxxxxx Xxxxxx, Xxx Xxxxxxxxx, Xxxxxxxxxx, 00000 XXX. | Cloudflare är ett innehållsleveransnätverk (CDN) och cybersäkerhetsföretag som | |
tillhandahåller webbplatsoptimering, | |||
Supportåtkomst kan | DDoS-skydd och andra | ||
göras från USA. | säkerhetsfunktioner för att förbättra | ||
CloudFlare Inc. är | Systemets prestanda och skydda | ||
certifierad enligt EU- | mot onlinehot. | ||
U.S. Data Privacy | |||
Framework. | Cloudflare erbjuder en rad | ||
säkerhetsfunktioner för att skydda | |||
Informationen lagras | Systemet från cyberattacker. | ||
dock endast direkt via | Cloudflares brandvägg blockerar | ||
europeiska datacenter | skadlig trafik, medan dess SSL- | ||
i Köpenhamn, | certifikat krypterar webbtrafik för att | ||
Frankfurt, Amsterdam, | skydda användardata. Cloudflares | ||
Hamburg och Oslo. | DNS-tjänster hjälper till att skydda | ||
mot DNS-attacker, medan dess | |||
webbläsarisoleringsteknik hjälper till | |||
att skydda mot skadlig programvara | |||
och andra hot. |
I samband med att Villkoren börjar gälla har den personuppgiftsansvariga godkänt användningen av ovan nämnda underbiträde för den beskrivna behandlingen. Personuppgiftsbiträdet får inte – utan den personuppgiftsansvarigas skriftliga tillstånd – anlita ett underbiträde för annan behandling än den som har beskrivits och avtalats eller anlita ett annat underbiträde för denna behandling.
Personuppgifter får endast lagras på de platser som anges i schemat ovan samt på följande adresser via personuppgiftsbiträdet:
• Sunekær 9 | DK-5471 Søndersø
• Xxxxxxxxxx 00 x XX-0000 Xxxxxx X
B.2 Förvägsanmälan om godkännande av underbiträde
Personuppgiftsbiträdet ska inlämna begäran om ett specifikt tillstånd minst 2 månader innan ifrågavarande underbiträde anlitas.
BILAGA C INSTRUKTIONER AVSEENDE BEHANDLING AV PERSONUPPGIFTER
C.1 Föremål för behandlingen/instruktioner
Personuppgiftsbiträdets behandling av personuppgifter på uppdrag av den personuppgiftsansvariga sker genom att personuppgiftsbiträdet utför uppgifter i enlighet med Huvudavtalet.
Personuppgiftsbiträdet ska behandla personuppgifterna på uppdrag av den personuppgiftsansvariga i enlighet med skriftliga instruktioner från den personuppgiftsansvariga och endast för det ändamål som anges i personuppgiftsbiträdesavtalet. Instruktionerna omfattar uttömmande följande:
• Leverera Systemet.
• Insamling, lagring och hantering av personuppgifterna i enlighet med den personuppgiftsansvarigas instruktioner och gällande dataskyddslagstiftning.
• Säkerställande av sekretess, integritet och tillgänglighet för personuppgifterna genom lämpliga tekniska och organisatoriska säkerhetsåtgärder.
• Radering eller återlämnande av personuppgifterna enligt instruktioner från den personuppgiftsansvariga om personuppgiftsbiträdesavtalet avslutas.
• Underrättande om eventuella personuppgiftsincidenter, obehörig åtkomst eller läckor av personuppgifter till den personuppgiftsansvariga inom rimlig tid efter upptäckt.
• Anonymisera information för följande ändamål:
o Utveckla, optimera och analysera Systemet.
o Utarbeta och publicera statistik, rapporter och beräkningar relaterade till Systemet.
o Dela och sälja anonyma data till tredje part.
Personuppgiftsbiträdet garanterar att data enbart behandlas i fullständigt och oåterkalleligt anonymiserad form, varvid det inte är möjligt för varken personuppgiftsbiträdet eller andra personer att härleda vilka data som är relaterade till vilka fysiska personer.
C.2 Säkerhet vid behandling
Personuppgiftsbiträdet måste genomföra följande åtgärder, som har avtalats med den personuppgiftsansvariga:
Allmänna säkerhetsåtgärder
Personuppgiftsbiträdet ska upprätthålla ett formellt, välimplementerat och professionellt ledningssystem för informationssäkerhet baserat på lagkrav och god databehandlingssed. Personuppgiftsbiträdet ska fastställa och implementera interna policyer och regelverk som är adekvata och återspeglar de faktiska förhållandena. Därutöver ska personuppgiftsbiträdet upprätthålla ett förfarande för att regelbundet testa,
undersöka och utvärdera de tekniska och organisatoriska åtgärder som personuppgiftsbiträdet har implementerat för att skydda personuppgifterna. Personuppgiftsbiträdet säkerställer:
• Penetrationstester (sårbarhetsskanningar) både från LAN- och WAN-sidan.
• Systematisk patchning/uppdatering av mjukvara (OS, etc.).
• Övervakning av kritiska system som skickar aviseringar om ett eller flera system inte agerar som förväntat.
• Oberoende backuplösningar på plats.
• Datacentren är säkert låsta – och det finns kameraövervakning.
• Automatiskt brandsläckningssystem är aktiverat i datacenter.
• Redundanta kylsystem har installerats i våra datacenter.
• Två oberoende reservkraftsystem finns tillgängliga.
• Kryptering.
• Implementering av IT-säkerhetspolicy.
• Nätverksövervakning.
• Spegling av data.
• Support dygnet runt.
• Security incident management (incidenthantering).
• Loggning av nätverksaktivitet.
• Avskiljning av konton och rättigheter.
Hantering av personuppgifter
Dokument och data (inbegripet mobila lagringsmedier) som innehåller personuppgifter behandlas för att bevara sekretess, integritet, tillgänglighet och robusthet för att säkerställa att de inte går förlorade eller hamnar i fel händer samt för att förhindra de skadliga konsekvenser som sådana överträdelser kan ha för registrerade personer.
Instruktion av medarbetare m.fl.
Personuppgiftsbiträdet säkerställer att anställda och eventuella samarbetspartner ständigt är medvetna om och har tillräcklig utbildning i och instruktioner om syftet med databehandlingen, policyer, arbetsrutiner och om deras tystnadsplikt.
Åtkomstkontroll och administration av användaråtkomst
Endast anställda som har ett arbetsrelaterat behov av att behandla personuppgifter i förhållande till Huvudavtalet får läggas till som användare med åtkomst till personuppgiftsansvarigas personuppgifter. Endast personer som har auktoriserats av behörig person det får ha åtkomst till personuppgifterna.
Personuppgiftsbiträdet ska utan onödigt dröjsmål avsluta auktoriseringar (inbegripet åtkomst) för användare som inte längre har ett arbetsrelaterat behov av auktorisering.
Det upprättas en förteckning över auktoriserade medarbetare som anger vilken typ av åtkomst auktoriseringen omfattar. Förteckningen över auktoriserade medarbetare uppdateras löpande enligt god databehandlingssed. Om den personuppgiftsansvariga begär förteckningen ska förteckningen göras tillgänglig utan onödigt dröjsmål.
Om anställningen avslutas upphör medarbetarens åtkomst.
Personuppgiftsbiträdet ska använda säker identifierings- och autentiseringsteknik, t.ex. lösenord, biometri eller liknande. De använda autentiseringsmetoderna måste följa de senaste riktlinjerna från myndigheten för digital förvaltning och god sed inom området.
Kontroll av avvisade åtkomstförsök
Baserat på ett riskbaserat tillvägagångssätt registrerar personuppgiftsbiträdet avvisade åtkomstförsök och blockerar ytterligare försök efter ett definierat antal på varandra följande avvisade åtkomstförsök.
Personuppgiftsbiträdet ska även upprätthålla rutiner som säkerställer snabb uppföljning av alla avvisade åtkomstförsök, där uppföljning är nödvändig för att förhindra överträdelse av personuppgiftssäkerheten och konsekvenser för registrerade personer.
Ändringshantering
Personuppgiftsbiträdet ska ha formella rutiner för ändringshantering i syfte att säkerställa att alla ändringar är korrekt auktoriserade, testade och godkända före implementering.
Driftavbrott
Personuppgiftsbiträdet ska ha dokumenterade beredskapsrutiner som säkerställer återetablering av tjänster utan omotiverade driftstopp vid driftavbrott enligt huvudavtalet.
Externa kommunikationsanslutningar
Personuppgiftsbiträdet har vidtagit lämpliga tekniska åtgärder för att skydda system och nätverk samt för att begränsa risken för obehörig åtkomst och/eller installation av skadlig kod.
I den mån det är ett krav enligt gällande lagstiftning, god databehandlingssed eller på annat sätt omfattas av huvudavtalet använder personuppgiftsbiträdet krypteringsteknik och andra liknande åtgärder.
Distans-/hemarbete
Om personuppgiftsbiträdet behandlar personuppgifter hemifrån/på distans ska personuppgiftsbiträdet se till att dessa arbetsplatser uppfyller säkerhetskraven i detta personuppgiftsbiträdesavtal med bilagor, övrig lagstiftning och Datatilsynets (danska integritetsskyddsmyndigheten) anvisningar.
Personuppgiftsbiträdet ska bland annat uppfylla och kunna dokumentera följande:
• Beskriva den krypterade anslutningen som används mellan distans-/hemarbetsplatsen och personuppgiftsbiträdets/personuppgiftsansvarigas nätverk
• Personuppgiftsbiträdets interna instruktioner till egna anställda gällande distans-
/hemarbetsplatser
Dessutom, om det är tekniskt möjligt, ska personuppgiftsbiträdet använda 2-faktors autentisering.
Bortskaffande av utrustning
Personuppgiftsbiträdet ska ha formella rutiner för att säkerställa att personuppgifter effektivt raderas innan elektronisk utrustning bortskaffas.
C.3 Stöd till den personuppgiftsansvariga
Personuppgiftsbiträdet ska så långt det är möjligt bistå den personuppgiftsansvariga i enlighet med Villkor 9.1 och 9.2.
Detta innebär att personuppgiftsbiträdet med hänsyn till behandlingens art ska bistå den personuppgiftsansvariga i samband med att den personuppgiftsansvariga säkerställer efterlevandet av:
a. skyldigheten att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för de risker som behandlingen innebär
b. skyldigheten att, utan onödigt dröjsmål och om möjligt senast 72 timmar efter att personuppgiftsansvarig har fått vetskap om incidenten, anmäla personuppgiftsincidenter till tillsynsmyndigheten om det inte är osannolikt att personuppgiftsincidenten innebär någon risk för fysiska personers rättigheter eller friheter.
c. skyldigheten att – utan onödigt dröjsmål – underrätta den/de registrerade om personuppgiftsincidenter när incidenten sannolikt kommer att medföra en hög risk för fysiska personers rättigheter och friheter
d. skyldigheten att genomföra en konsekvensbedömning gällande dataskydd, om en typ av behandling sannolikt kommer att innebära en hög risk för fysiska personers rättigheter och friheter
e. skyldigheten att samråda med tillsynsmyndigheten (Datatilsynet, danska integritetsskyddsmyndigheten) före behandlingen, såvida en konsekvensbedömning gällande dataskydd visar att behandlingen kommer att leda till hög risk om inga åtgärder vidtas av den personuppgiftsansvariga för att minska risken.
C.4 Lagringsperiod/rutiner för radering
Personuppgifterna lagras av personuppgiftsbiträdet tills den personuppgiftsansvariga begär att uppgifterna ska raderas eller återlämnas eller så länge det finns saklig grund till lagring.
Vid uppsägning av tjänsten avseende behandling av personuppgifter ska personuppgiftsbiträdet antingen radera eller återsända personuppgifterna enligt villkor 11.1, om inte den personuppgiftsansvariga – efter att ha undertecknat dessa villkor – har ändrat den personuppgiftsansvarigas ursprungliga val. Sådana ändringar ska dokumenteras och lagras skriftligen, även elektroniskt, tillsammans med villkoren.
C.5 Behandlingsplats
Behandling av de personuppgifter som omfattas av Villkoren får inte ske på andra platser än de som anges i bilaga B utan föregående skriftligt godkännande av personuppgiftsansvarig.
C.6 Instruktion om överföring av personuppgifter till tredjeland
Om den personuppgiftsansvariga inte har gett instruktioner om eller tillstånd till överföring av personuppgifter till ett tredjeland i detta stycke eller i efterföljande skriftligt meddelande, har personuppgiftsbiträdet inte rätt att utföra en sådan överföring.
C.7 Förfarandet vid den personuppgiftsansvarigas granskningar och inspektioner av personuppgiftsbiträdets behandling av personuppgifter
Personuppgiftsbiträdet ska se över sina interna säkerhetsåtgärder minst en gång per år.
Personuppgiftsbiträdet ska på egen bekostnad inhämta ett utlåtande eller annan form av revision från en fristående tredje part angående personuppgiftsbiträdets efterlevnad av det befintliga personuppgiftsbiträdesavtalet med bilagor.
Utlåtandet eller resultatet av revisionen skickas så snart som möjligt till den personuppgiftsansvarige efter mottagandet av informationen.
Den personuppgiftsansvariga eller den personuppgiftsansvarigas ombud ska dessutom ha möjlighet att inspektera, även fysiskt, de platser där behandlingen av personuppgifterna utförs av personuppgiftsbiträdet, däribland de fysiska anläggningar och system som används för och i samband med behandlingen. Sådana inspektioner kan genomföras när den personuppgiftsansvariga anser att det krävs.
BILAGA D PARTERNAS ÖVRIGA AVTALSVILLKOR
D.1 Underrättelse om personuppgiftsincident
I överensstämmelse med personuppgiftsbiträdesavtalets punkt 10 ska personuppgiftsbiträdet utan onödigt dröjsmål underrätta personuppgiftsansvarig efter att ha fått vetskap om att en personuppgiftsincident har inträffat. Personuppgiftsbiträdets underrättelse till den personuppgiftsansvariga ska om möjligt äga rum senast 12 timmar efter att denne har fått vetskap om incidenten.
Personuppgiftsbiträdets underrättelse till den personuppgiftsansvariga ska innehålla information om följande:
• Beskrivning av och orsaken till incidenten
• Datum och tid då incidenten började
• Datum och tid då incidenten upptäcktes
• Incidentens totala varaktighet
• Förteckning över vilken typ av personuppgifter som berörs av incidenten (t.ex. namn, personnummer, information om ekonomi etc.)
• Antal registrerade (personer) som berörs av incidenten
• Beskrivning av de sannolika konsekvenserna/skadliga effekterna av incidenten
• Beskrivning av de åtgärder som vidtagits för att stoppa eller begränsa incidenten, inklusive datum och tid
• Information om huruvida berörda registrerade (personer) har underrättats om incidenten och hur de ev. har underrättats
• Namn och kontaktuppgifter till dataskyddsombudet eller annan kontaktpunkt där ytterligare uppgifter kan inhämtas
• Ev. övrig information som krävs för att göra det möjligt för den personuppgiftsansvariga att fullgöra skyldigheten att underrätta behörig tillsynsmyndighet om personuppgiftsincidenten, jfr artikel 33 i dataskyddsförordningen.
Personuppgiftsbiträdet ska även bistå den personuppgiftsansvariga med att lämna ovanstående information inom ramen för den personuppgiftsansvarigas skyldighet att underrätta behörig tillsynsmyndighet om personuppgiftsincidenten.
SLUT