Version 2022-12-08
Version 2022-12-08
Instruktion Databehandling
Definitioner som används i denna Instruktion skall ha samma betydelse som i Biträdesavtalet om inte omständigheterna tydligt anger annat.
1. KATEGORIER AV PERSONUPPGIFTER
Leverantören behandlar normalt följande uppgifter i syfte att kunna utföra tjänsten. Namn, personnummer, adress, IP-adresser, e-postadress och telefonnummer.
2. SÄRSKILDA KATEGORIER AV PERSONUPPGIFTER
Känsliga Personuppgifter omfattas inte av Biträdesavtalet och ska inte Behandlas av Leverantören.
3. KATEGORIER AV REGISTRERADE
Hyresgäster – registreras i syfte att säkerställa korrekt betalning av hyra samt för att hyresgästen ska kunna ta del av erbjudandena på plattformen
Kundens personal. Behandlas som användare i systemet för att kunna kontrollera hyresbetalningar, ta ut rapporter och upprätta felanmälningar.
4. BEHANDLING
Leverantören ska primärt behandla Personuppgifter för Kundens räkning för tillhandahållandet av Tjänsten för de ändamål som anges nedan. Leverantören kan också efter samtycke från slutkund överföra personuppgifter till de samarbetspartners som vid vart tillfälle finns registrerade på Avy:s plattform.
5. ÄNDAMÅLET MED RESPEKTIVE BEHANDLING
Ändamålet med respektive Behandling är att uppfylla Tjänsteavtalet, inbegripet att tillhandahålla Tjänsten för att Kundens användare ska kunna nyttja den samt att Kundens hyresgäster ska kunna använda Tjänsten genom att ansluta till densamma samt att säkerställa att Tjänsten innehåller korrekt och aktuell information.
6. UNDERBITRÄDEN OCH PLATS FÖR BEHANDLING AV PERSONUPPGIFTER
Bolag som Behandlar Personuppgifter | Typ av Behandling | Plats för behandling |
Tink | Betalning | EU |
SendInBlue | Kommunikation | EU |
Amazon Web Services | Molnbaserad IT-lösning. Drift och lagring av data. Data skyddas med kryptering och krypteringsnyckel som endast personuppgiftsbiträdet har tillgång till. | EU |
Google Cloud Platform (GCP) | Molnbaserad IT-lösning. Drift och lagring av data. Data skyddas med kryptering och krypteringsnyckel som endast personuppgiftsbiträdet har tillgång till. | EU |
7. SÄKERHETSÅTGÄRDER
7.1 TEKNISKA OCH ORGANISATORISKA SÄKERHETSÅTGÄRDER Leverantören har en molnbaserad driftmiljö som är outsourcad.
För att uppfylla kraven på säkerhet vidtar Leverantören följande tekniska och organisatoriska säkerhetsåtgärder:
7.2 Pseudonymisering
Leverantören tillämpar inte pseudonymisering av personuppgifter som säkerhetsåtgärd eftersom syftet med Behandlingen då inte kan uppfyllas.
7.3 Kryptering
Leverantören utvecklar, implementerar och vidtar kontinuerligt åtgärder för att kryptera elektroniska överföringar av personuppgifter utanför Leverantörens nätverk för att förhindra att personuppgifterna kan läsas, kopieras eller modifieras av obehöriga eller utan tillstånd.
7.4 Konfidentialitet, auktorisation och behörigheter avseende behandlingsystemet
Leverantören vidtar och implementerar kontinuerligt åtgärder enligt nedan för att hantera konfidentialitet, auktorisation och behörighet avseende behandlingsystemet för personuppgifter:
● Separat autentisering via lösenord till databehandlingsystemet;
● en behörighetsstruktur som begränsar tillgången till data utifrån ett funktionsbehov; och
● loggning av åtkomsten till behandlingsystemet;
● separering av Behandlingen i behandlingsystemet från andra behandlingar.
7.5 Motståndskraft hos behandlingsystemet
Leverantören vidtar och implementerar kontinuerligt åtgärder enligt nedan för att hantera motståndskraften hos behandlingsystemet:
● Övervakning på serverdelarna som utgör behandlingsystemet;
● regelbundna penetrationstester av behandlingsystemet.
7.6 Systemansvarig och systemförvaltare
Leverantören vidtar och implementerar kontinuerligt organisatoriska åtgärder för att tillförsäkra kontroll över användningen av behandlingsystemet och Personuppgifterna däri. Xxxx Xxxxxxxxx har utsetts till ansvarig för dataskydd. Denne är ansvarig för behandlingsystemet ("Systemansvarig"). Systemansvarig leder en arbetsgrupp vars medlemmar är utsedda till systemförvaltare av behandlingsystemet.
7.7 Incidenthantering och meddelande om säkerhetsbrott
Leverantören vidtar och implementerar kontinuerligt organisatoriska åtgärder för att kunna hantera incidenter och säkerhetsbrott. Systemansvariges arbetsgrupp har till uppgift att ta emot information om, utvärdera, rapportera utan onödigt dröjsmål och följa upp incidenter och säkerhetsbrott. Målet med incidentresponsen är att återställa tjänstemiljöns sekretess, integritet och tillgänglighet, och att fastställa bakomliggande orsaker och korrigeringsåtgärder.
Leverantören ska underrätta Xxxxxx om alla incidenter som kan ha betydelse för de personuppgifter som behandlas för Kundens räkning.
8. LAGRINGSMINIMERING
Leverantören vidtar och implementerar kontinuerligt rutiner och åtgärder för att kunna gallra Personuppgifter enligt följande: Leverantören lagrar inte Personuppgifter under en längre tid än vad som krävs för uppfyllandet av ändamålet med Behandlingen. Leverantören är därutöver förpliktigad att beakta den tid för lagringstid som föreskrivs enligt lag. Kunden är medveten om att Leverantörens verksamhet regleras av Lag (2010:751) om betaltjänster och Lag (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism. I den utsträckning Personuppgifter inte kan gallras i anslutning till att Biträdesavtalet upphör, Behandlar Leverantören Personuppgifterna under den tid denne har en lagstadgad skyldighet att Behandla Personuppgifterna.
8.1 Gallring
Leverantören ska på uppdrag av Kunden radera kunddata som inte längre behövs för fullgörande av avtal mot slutkunder. För viss information kan Leverantören ha lagstadgade krav att på egen hand spara information som tex. enligt penningtvättslagen eller betaltjänstlagen. I sådana fall kommer radering slutföras när den lagstadgade lagringstiden passerat. Utöver de lagstadgade kraven åtar sig leverantören att omgående aktivera gallring av samtliga personuppgifter avseende kunder som är hänförliga till avtalet mellan parterna enligt följande:
a) bostadsbolaget meddelar att hyresgästen flyttat
b) bostadsbolaget manuellt stänger av en användare från tjänsten
c) bostadsbolaget kopplar bort fastigheten där användaren bor från tjänsten
d) bostadsbolaget säger upp avtalet med AvyTmpl
Vid händelse/begäran enligt ovan arkiveras följande uppgifter i ett år från gallringsaktiveringen. Detta i syfte att Leverantören ska kunna fullgöra sitt serviceåtagande mot hyresgästerna.
● Personnummer
● Adress
● Kontaktuppgifter (epost & telefon)
● Aktiva abonnemang och tjänster tecknade via boendeappen.