BILAGA 3 - GDPR DATASKYDDSFÖRORDNINGEN
BILAGA 3 - GDPR DATASKYDDSFÖRORDNINGEN
Denna Dataskyddsförordning ("Tillägg") utgör en del av EUSA ("Avtalet") mellan (i) Avetta, LLC ("Avetta") och Dig, där var och en är en "Part" och tillsammans "Parterna".
Parterna enas härmed om att villkoren nedan skall adderas som ett Tillägg i Avtalet och korrigeringar hänvisas till detta Tillägg.
1. Definitioner
1.1 I detta tillägg skall följande termer ha de betydelser som anges nedan och besläktade termer skall tolkas enligt följande:
(a) "Effektivt datum för tillägg" har den betydelse som ges i avsnitt 2;
(b) "Anknytande" avser en entitet som äger eller kontrollerar, ägs eller kontrolleras av eller är under gemensam kontroll eller ägande med antingen Dig eller Avetta (enligt sammanhanget), där kontroll definieras som innehav, direkt eller indirekt, av befogenhet att leda eller orsaka ledning och styrning av ett företag, oavsett om det ägs av förbindelser, genom avtal eller på annat sätt;
(c) "Persondata" avser all personlig information som behandlas av Xxxxxx (i) på uppdrag av Dig eller någon anknuten, eller (ii) på annat sätt behandlas av Avetta, i enskilda fall enligt eller i samband med instruktioner som du har gett skriftligen, i överensstämmelse med Xxxxxxx;
(d) "Dataskyddslagar" avser Direktiv 95/46/EG och, från och med den 25 maj 2018, Förordning (EU) 2016/679 ("GDPR") tillsammans med tillämplig lagstiftning som genomför eller kompletterar samma eller på andra sätt relaterar till behandling av Persondata av fysiska personer, tillsammans med bindande vägledning och praxis som utfärdas då och då av relevanta tillsynsmyndigheter.
(e) "Integritetsskydd" avser EU- US Privacy Shield Framework och/eller Swiss-US Privacy Shield Framework; och
(f) "Tjänster" avser de tjänster som Avetta tillhandahåller Dig och/eller Anknytande enligt avtalet.
1.2 Termerna "Kontrollant", "Datasubjekt", "Persondata", "Personuppgiftsbrott", "Behandling" och "Behandlare" har samma betydelser som beskrivs i Lagarna om dataskydd och besläktade termer skall tolkas i enlighet.
1.3 Aktiverade termer som inte på annat sätt definieras i detta Tillägg skall ha de betydelser som tillskrivs dem i Avtalet.
2. Bildande av detta Tillägg
Detta Tillägg avtalas av Parterna, och träder i kraft den 25 maj 2018.
3. Parternas roller
Parterna bekräftar och godkänner att när det gäller Behandling av persondata, som beskrivs mer detaljerat i Bilaga 1 härtill, agerar Du som Kontrollant och Avetta som Behandlare.
4. Beskrivning av Behandling av persondata
I Bilaga 1 i detta tillägg har Parterna ömsesidigt redogjort sin förståelse för detaljerna om Behandling av den persondata som ska Behandlas av Avetta enligt detta tillägg, i enlighet med Artikel 28(3) i GDPR. Vardera Parter får göra rimliga ändringar av Bilaga 1 genom skriftligt meddelande till den andra parten och uppfylla kraven så rimligt som möjligt. Bilaga 1 skapar inga skyldigheter eller rättigheter för någon Part.
5. Villkor för databehandling
5.1 Avetta skall följa alla tillämpliga Lagar om dataskydd vid Behandling av persondata och Avetta skall:
5.1.1 behandla Persondata enbart från de dokumenterade instruktionerna från Dig, i syfte att tillhandahålla Tjänsterna och, i annat fall som krävs för att fullgöra sina skyldigheter enligt Avtalet, inklusive vad gäller överföringar av Persondata till ett tredje land utanför Europeiska Unionen eller en internationell organisation (såvida det inte krävs enligt unions- eller medlemslagstiftning som Avetta är föremål för, i vilket fall Xxxxxx skall informera Dig [eller den berörda Anknytande] om det rättsliga kravet före sådan Behandling, såvida inte den lagen förbjuder sådan information på grund av viktiga skäl av allmänt intresse);
5.1.2 säkerställa att personer som har behörighet att behandla Persondata har åtagit sig konfidentialitet eller är under en lämplig lagstadgad sekretessplikt;
5.1.3 genomföra och upprätthålla de tekniska och organisatoriska åtgärder som anges i Avtalet, som parterna har kommit överens om i enlighet med Artikel 32 i GDPR, med beaktande av bedömning av lämplig säkerhetsnivå för persondata och de risker som presenteras av Behandling, särskilt från oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande eller åtkomst och skada på sådan Persondata. Alla ändringar av sådana överenskomna åtgärder som krävs för en förändring av Behandlade personuppgifter, eller riskerna för Behandling, skall hanteras via en överenskommen behandling för ändringskontroll mellan Avetta och Dig;
5.1.4 Du godkänner härmed uttryckligen och specifikt Xxxxxx att engagera en annan Behandlare för att bearbeta Persondata ("Underbehandlare"), och specifikt de Underbehandlare som anges i Bilaga 2 härtill, med förbehåll för Avettas:
a. meddela Dig om avsedda ändringar i dess användning av Underbehandlare som anges i Bilaga 2 genom att skicka e- postmeddelande om den avsedda ändringen till Dig;
b. inklusive villkor i sitt kontrakt med varje Underbehandlare som väsentligen är densamma som de som anges i detta Tillägg; och
c. förblir ansvarig gentemot Dig för varje Underbehandlare som inte uppfyller sina skyldigheter i samband med Behandling av persondata.
I förhållande till alla meddelanden som mottagits enligt avsnitt 5.1.4a, Du skall ha en period på 30 (trettio) dagar från dagen för meddelandet att skriftligen informera Xxxxxx om alla rimliga invändningar mot användningen av Underbehandlaren. Parterna kommer då, under en period på högst 30 (trettio)
dagar från dagen för Xxx invändning, att samarbeta i god tro för att försöka hitta en kommersiellt rimlig lösning för Dig som undviker användning av den motsättande Underbehandlaren. Om det inte finns någon sådan lösning kan någon av parterna (oaktat av vad som anges i Avtalet) säga upp de berörda Tjänsterna omedelbart via skriftligt meddelande till den andra Parten, utan straff eller skadestånd;
5.1.5 omedelbart meddela Dig [eller den berörda anknytande] om all kommunikation rörande Behandling av persondata, eller annan kommunikation (inklusive från en tillsynsmyndighet) angående någon skyldighet enligt lagen om dataskydd avseende personuppgifter och, med beaktande av bearbetningens art, hjälpa Dig [eller den berörda anknytande] genom lämpliga tekniska och organisatoriska åtgärder, såvida detta är möjligt, för att fullgöra Din [eller den berörda anknytande] skyldighet att svara på förfrågningar om utövande av den registrerades rättigheter som fastställs i kapitel III GDPR; Du samtycker till att betala Avetta för tid som överstiger [två persontimmar] och för utgifter till Avetta som har uppstått i samband med fullgörandet av sina skyldigheter enligt Avsnitt 5.1.5;
5.1.6 meddela Dig [eller den berörda anknytande] utan onödigt dröjsmål om någon personuppgiftsöverträdelse som involverar Persondata, när Xxxxxx blivit medveten om någon personuppgiftsöverträdelse som innebär persondata, att inkludera all information som rimligen krävs av Dig [och Anknytande] som behövs för att följa sina skyldigheter enligt Lagen om dataskydd;
5.1.7 assistera Dig [och anknytande] med deras skyldigheter enligt Artiklarna 32 till 36 i GDPR med hänsyn till arten av den behandling och information som finns tillgänglig för Avetta; Du samtycker till att betala Avetta för tid som överstiger [två persontimmar] och utgifter för Avetta som har uppstått i samband med all hjälp som ges i samband med Artiklarna 35 och 36 i GDPR;
5.1.8 upphöra Behandling av persondata vid uppsägning eller upphörande av Avtalet, och vid Ditt [eller för den berörda Anknytande] alternativ om att antingen returnera eller radera (inklusive genom att se till att sådana uppgifter är i icke-läsbart format) alla kopior av Din persondata som behandlats av Avetta, såvida inte (och endast i den utsträckning och under den period som) unions- eller medlemslagstiftning kräver lagring av personuppgifterna; och
5.1.9 göra tillgänglig för Dig [och anknytande] på begäran och med kostnader som skall stå på Dig, all information som är nödvändig för att visa överensstämmelse med detta Tillägg och med Artikel 28(3)(h) i GDPR och tillåta och bidra till revisioner, inklusive inspektioner, av Dig [eller någon anknuten] eller en revisor som Du [eller någon anknuten] har gett mandat, enbart bekostat av Dig.
6. Företräde
Bestämmelserna i detta Tillägg kompletterar bestämmelserna i Avtalet. I händelse av inkonsekvens mellan bestämmelserna i detta Tillägg och bestämmelserna i Avtalet, skall bestämmelserna i detta Tillägg gälla.
HÄRMED BEKRÄFTAS, att detta Tillägg tas i kraft och blir en bindande del av Avtalet med verkan från och med dagen för Tilläggets ikraftträdande.
Bilaga 1: Beskrivning av Behandling av persondata
Denna Bilaga innehåller vissa detaljer om Behandling av persondata enligt Artikel 28(3) i GDPR.
Data-exportör
Dataexportören är (ange kort dina aktiviteter som är relevanta för överföringen):
Xxxxxx på uppdrag av sig själv och dess anknytande, inklusive sådana anknytande som kan läggas till under Avtalets löptid. Dataexportören kan ange Persondata under användning av Dataimportörens webbaserade tjänster.
Datasubjekt
Överförd persondata gäller för följande kategorier av datasubjekt (vänligen specificera): Dataexportör kan lämna in Persondata till de webbaserade tjänsterna, eller så kan Dataimportör få Persondata under tillhandahållande av produkter och tjänster, vars omfattning bestäms och
kontrolleras av dataexportör vilket kan inkludera, men ej begränsat till, Persondata som hänför
sig till följande kategorier av datasubjekt:
1. Eventuella kunder, kunder, affärspartners och leverantörer av Dataexportörerna;
2. Nuvarande och tidigare anställda eller kontaktpersoner av Dataexportörens eventuella kunder, kunder, affärspartners och leverantörer;
3. Anställda, agenter, rådgivare, frilansare eller Dataexportörer; och
4. Dataexportörens användare som är auktoriserade av Dataexportör att använda tjänsterna.
Kategorier av data
Överförd persondata gäller för följande kategorier av data (vänligen specificera):
Dataexportören kan lämna in persondata till dataimportören för utförandet av tjänsterna, vars omfattning bestäms och kontrolleras av dataexportören och som kan inkludera, men ej begränsas till följande kategorier av Persondata:
(a) För-och efternamn;
(b) Titel;
(c) Position;
(d) Arbetsgivare;
(e) Kontaktinformation (företag, e-postadress, telefon, fysisk affärsadress);
(f) ID-data;
(g) Data om yrkesliv;
(h) Data om privatliv;
(i) Anslutningsdata;
(j) Lokaliseringsdata;
(k) Försäkring;
(l) Xxxxxxxx & likvärdiga möjligheter;
(m) säkerhets-, olycka- & incidentförfaranden;
(n) drog- & alkoholprogram;
(o) körning- & fordonssäkerhet;
(p) industriell hygien & arbetshälsa;
(q) företagens sociala ansvar, hållbarhet & miljöfrågor;
(r) kvalitetskontroll, certifieringar, licensiering, kvalifikationer;
(s) skattedata;
(t) Ekonomiska kvalifikationer och faktureringsinformation, såsom faktureringsnamn och adress, kreditkortsnummer och antal användare.
Särskilda kategorier av data (om lämpligt)
Överförd persondata gäller för följande specialkategorier av data (vänligen specificera):
Dataexportören kan lämna in specialkategorier av data till de webbaserade tjänsterna (eller så kan Dataimportör få specialkategorier av data under tillhandahållande av produkter och tjänster), vars omfattning bestäms och kontrolleras av dataexportören.
Behandlingsoperationer
Persondata som överförs kommer att omfattas av följande grundläggande behandlingsaktiviteter (vänligen ange), som alla är nödvändiga för att tillhandahålla tjänsterna:
Bearbetningsaktiviteter inkluderar tillhandahållande av värdtjänster, programvaruunderhåll och supporttjänster, utbildningstjänster och utvecklingstjänster till Dataexportören i enlighet med Dataexportörens avtal och instruktioner.
Bilaga 2: Lista över underbehandlare
Lista över underbehandlare | ||
Underbehandlare | Kategori | Syfte |
E3-Lärande | Tredje part värdansökan | Applikation som används för att tillhandahålla ett lärohanteringssystem och överenskommelsespårning |
Overnite Software Inc | Tredje part värdansökan | Ansökan som tillhandahåller lärohanteringssystem och överenskommelsespårning |
SafetyFile | Tredje part värdansökan | Ansökan som används för att tillhandahålla referens- och överenskommelsehantering |
Logi Analytics | Tredje part värdansökan | Applikation som används för att tillhandahålla interaktiva datavisualiseringsprodukter för affärsintelligens och affärsanalys |
Netscribes | Kontraktsagentur | Konsulter för att tillhandahålla marknadsinformation, marknadsundersökningar, forskningsbaserat innehåll och e-handelstjänster |