PERSONUPPGIFTSBITRÄDESAVTAL (SVERIGE)
BAKGRUND
PERSONUPPGIFTSBITRÄDESAVTAL (SVERIGE)
(A) Detta Personuppgiftbiträdesavtal ('PUB') anger villkoren för behandling av personuppgifter enligt Serviceavtalet ('Avtalet') tecknat mellan Iron Mountain och dess kund ('Kunden'), i enlighet med vilket Kunden erhåller viss Service från Iron Mountain och Iron Mountain tillhandahåller denna Service till Kunden. Detta PUB ingår i och bildar en oskiljbar bilaga till Avtalet genom referens.
(B) Iron Mountain agerar som personuppgiftsbiträde eller underbiträde och Kunden agerar som personuppgiftsansvarig eller som personuppgiftsbiträde, begrepp som är ytterligare definierade i lagarna om dataskydd ("Dataskyddslagstiftningen"). I den mening som avses i detta PUB ska Dataskyddsförordning avse alla tillämpliga lagar om dataskydd, inklusive men inte begränsat till den Allmänna dataskyddsförordningen (”GDPR” (2016/679/EU)) och instruktioner och bindande beslut från dataskyddsmyndigheter. "Tillsynsmyndighet" avser den lokala dataskyddsmyndigheten eller någon annan myndighet/tillsynsmyndighet, statligt organ.
1. SYFTET MED BEHANDLINGEN AV PERSONUPPGIFTER
Syftet med behandlingen av personuppgifter av Iron Mountain är utförandet av Service enligt Avtalet. De typer av personuppgifter som behandlas, kategorierna av berörda registrerade personer och kontaktuppgifterna till Iron Mountains dataskyddsombud anges i Bilaga 1 till detta PUB.
2. XXXXXXXXX RÄTTIGHETER OCH SKYLDIGHETER
Kunden ska
(i) behandla personuppgifter i enlighet med Dataskyddslagstiftningen;
(ii) ha rätt att ge Iron Mountain skriftliga instruktioner om behandling av personuppgifter. Sådana instruktioner är bindande för Iron Mountain under förutsättning att om genomförandet av instruktionerna kräver tillhandahållande av Service enligt Avtalet, eller resulterar i kostnader som uppstår på Iron Mountains sida, ska Kunden samtidigt betala tillämpliga serviceavgifter/uppkomna kostnader. Iron Mountain kommer inte att uppfylla några Kundinstruktioner som strider mot några avsnitt i detta PUB;
(iii) alltid behålla kontrollen och befogenheten över personuppgifterna. Om någon registrerad begär information om behandlingen av personuppgifter, begär rättelse av personuppgifterna, bestrider lagligheten av personuppgiftsbehandlingen eller på annat sätt kräver upphörande av personuppgiftsbehandlingen eller radering eller blockering av personuppgifter, ska Kunden omedelbart instruera Iron Mountain att vidta lämpliga åtgärder; och
(iv) informera Iron Mountain om de kategorier av personuppgifter som behandlas enligt Avtalet och de registrerade som är involverade i personuppgiftsbehandling. Iron Mountain gör Xxxxxx uppmärksam på att det tillhandahåller Service på de fysiska formerna av Kundens dokument/medier (Artiklar, Mappar, Boxar, Medier, Mediumbehållare, osv.), men inte direkt på innehållet i dessa dokument/medier, särskilt på de personuppgifter som finns däri. Med tanke på detta är det Kundens ansvar att meddela Iron Mountain skriftligen om personuppgifter/registrerade personer som är involverade i personuppgiftsbehandlingen skulle vara andra än de som anges i Bilaga 1.
3. IRON MOUNTAIN RÄTTIGHETER OCH SKYLDIGHETER
3.1. Iron Mountain ska
(i) inte använda personuppgifter för andra ändamål än de som anges i Avtalet och detta PUB;
(ii) behandla personuppgifter i enlighet med Dataskyddslagstiftningen;
(iii) behandla personuppgifter endast i enlighet med skriftliga instruktioner från Kunden (med hänsyn till punkt 2 (ii)). Iron Mountain ska omedelbart informera Xxxxxx om en instruktion, enligt dess åsikt, strider mot Dataskyddslagstiftningen. Icke desto mindre betonar Iron Mountain att det direkt behandlar endast dokument/medier för Kunden, så i de flesta fall kan Iron Mountain inte bedöma om Kundens instruktion är laglig;
(iv) hjälpa Xxxxxx i sitt arbete med att uppfylla förfrågningar från registrerade;
(v) ge Kunden all information som krävs för att visa efterlevnad med Iron Mountains skyldigheter enligt detta PUB och i Dataskyddslagstiftningen;
(vi) tillåta och bidra till revisioner som utförs av Kunden enligt punkt 7 i detta PUB;
(vii) behandla personuppgifterna endast under detta PUB:s löptid;
(viii) säkerställa att dess personal/underleverantörer som har behörighet att behandla personuppgifterna har åtagit sig sekretess eller är under en lämplig lagstadgad tystnadsplikt.
3.2. Detta PUB ska inte hindra Iron Mountain från att behandla personuppgifter om det krävs enligt lag, föreskrifter eller av en behörig domstol eller Tillsynsmyndighet. Om någon Tillsynsmyndighet eller behörig domstol gör en sådan begäran, ska Iron Mountain informera Kunden om det lagliga kravet innan hanteringen, eller om myndigheten/domstolsbeslutet kräver ett omedelbart eller kortfristigt svar, så snart som möjligt, såvida inte ett sådant meddelande är förbjudet av Dataskyddsförordning eller respektive rätt.
Datasäkerhet
3.3 Iron Mountain ska genomföra och dokumentera rimliga tekniska och organisatoriska åtgärder för att säkerställa sekretess, integritet och tillgänglighet av personuppgifter och för att skydda personuppgifterna mot olaglig behandling. En kort sammanfattning av de tillämpade tekniska och organisatoriska åtgärderna bifogas detta som Bilaga 2.
3.4 Iron Mountain ska regelbundet testa, analysera och utvärdera effektiviteten i dess tekniska och organisatoriska åtgärder.
Meddelande om Personuppgiftsincident
3.5 I händelse av en "Personuppgiftsincident", dvs en brist i säkerheten som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande av eller tillgång till personuppgifterna, kommer Iron Mountain utan onödigt dröjsmål meddela Kunden via e-post.
3.6 Meddelandet om Personuppgiftsincidenten ska innehålla minst följande (i den utsträckning Iron Mountain har tillgång till sådan information): en beskrivning av arten av Personuppgiftsincidenten inklusive, kategorierna och ungefärligt antal berörda registrerade, och kategorierna och ungefärligt antal berörda dataregister; en beskrivning av troliga konsekvenser av Personuppgiftsincidenten; och en beskrivning av de åtgärder som vidtagits för att hantera Personuppgiftsincidenten och för att mildra dess eventuella negativa effekter.
3.7 Där, och i den mån det inte är möjligt att tillhandahålla all denna information samtidigt, kan informationen tillhandahållas i faser utan ytterligare onödiga förseningar. I sådana fall då viss information inte kan tillhandahållas av Iron Mountain alls till Kunden, kommer Iron Mountain att informera Xxxxxx om detta.
3.8 Iron Mountain ska dokumentera alla Personuppgiftsincidenter och ha dokumentationen tillgänglig för Kunden på begäran.
3.9 Iron Mountain ska vidta lämpliga åtgärder för att skydda personuppgifterna efter att ha blivit medvetet om en Personuppgiftsincident för att begränsa eventuella skadliga effekter för de registrerade. Iron Mountain kommer att samarbeta med Xxxxxx för att hantera Personuppgiftsincidenten.
4. ÅTERLÄMNANDE ELLER DESTRUERING AV PERSONUPPGIFTER
4.1 Gällande personuppgifter lagrade på fysiska Kundtillgångar, såsom Artiklar och Medier, vid uppsägning/upphörande av Avtalet, baserat på Kundens specifika instruktioner, men alltid i enlighet med Iron Mountains avgifter (eller eventuella uppkomna kostnader) som betalas av Kunden, ska Iron Mountain antingen destruera eller lämna åter alla sådana fysiska tillgångar till Kunden. Om Xxxxxx inte ger några anvisningar inom 15 kalenderdagar efter avtalets uppsägning/upphörande, ska Iron Mountain
skicka ett skriftligt meddelande till Xxxxxx med begäran om att inom 15 kalenderdagar få specifika instruktioner om att destruera eller återlämna tillgångarna. Om Xxxxxx inte lämnar skriftliga instruktioner inom denna tidsram och betalar gällande avgifter (kostnader), godkänner Xxxxxx härmed att Iron Mountain, efter eget gottfinnande, ytterligare lagra, radera/destruera eller återlämna alla dessa tillgångar även efter Avtalets uppsägning/upphörande.
4.2 Gällande personuppgifter som inte lagras på de fysiska Kundtillgångarna ska Iron Mountain radera personuppgifterna när Xxxxxxx sägs upp/upphör att gälla. Säkerhetskopieringsdata kan behållas på säkerhetskopierade band så länge sådana band åsidosätts.
4.3 På Xxxxxxx begäran ska Iron Mountain bekräfta skriftligen till Xxxxxx att raderingen/destrueringen eller återlämnandet av personuppgifter har genomförts.
5. ÖVERFÖRING AV PERSONUPPGIFTER
5.1 Iron Mountain kommer alltid att hålla alla fysiska Kundtillgångar (inklusive Artiklar/Boxar/Medier/Mediumbehållare) inom europeiska ekonomiska samarbetsområdet (EES). Vid regelbundna (dvs icke-kliniska) RM- och Skanningsservice kan de skannade bilderna av Kundens Artiklar, såväl som de elektroniskt tillgängliga registren/uppgifter relaterade till de lagrade Kundtillgångarna komma att lagras och behandlas på IT-system/servrar som är belägna utanför EES, i tredje land. Kunden samtycker till att ovannämnda, elektroniskt tillgänglig information kommer att behandlas på IT-system/servrar belägna utanför EES i de länder som anges i Bilaga 3. Den förutnämnda rätten gäller förutsatt att sådana överföringar sker under villkoren i EU-kommissionens standardavtalsklausuler eller liknande godkända mekanismer. Kunden ger härmed Iron Mountain tillåtelse att ingå EU-kommissionens standardavtalsklausuler för Kundens räkning.
5.2 För all personlig överföring av personuppgifter annat än i 5.1 (t.ex. överföring av större omfattning, etablering i nytt land) ska Iron Mountain informera Kunden i förväg. Om inte Xxxxxx skriftligen invänder inom 15 kalenderdagar efter det att Iron Mountain har informerat om en sådan överföring, kan Iron Mountain behandla sådan överföring under förutsättning att lämpliga skyddsåtgärder (EU-kommissionens standardavtalsklausuler, osv.) är på plats. Om Kunden gör en invändning inom den givna tidsramen kommer Iron Mountain att använda rimliga ansträngningar för att ändra sitt dataöverföringssystem eller rekommendera en kommersiellt rimlig ändring av Kundens användning av Servicen enligt Avtalet för att undvika överföring av personuppgifterna. Om Iron Mountain inte kan göra en sådan förändring tillgänglig eller om Kunden avvisar en sådan förändring inom 60 kalenderdagar, kan Kunden säga upp inom ytterligare 60 kalenderdagar från Iron Mountains meddelande (eller - om Iron Mountain misslyckades med att svara - från utgången av de 60 dagar som finns tillgängliga för Iron Mountains meddelande) avtalet. Om Xxxxxx inte skickar ett sådant uppsägningsmeddelande till Iron Mountain inom denna tidsfrist ska detta betraktas som ett samtycke till att överföra personuppgifterna på detta sätt.
6. UNDERBITRÄDEN (UNDERLEVERANTÖRER)
6.1 Kunden bekräftar och samtycker till att (a) Iron Mountains dotterbolag eller moderbolag kan agera som underbiträden; och att (b) Iron Mountain och dess dotterbolag respektive moderföretag kan engagera tredjeparts underbiträden som listas i Bilaga 3 för att behandla personuppgifter för den angivna omfattningen av Servicen. Kunden förstår att Iron Mountains globala underbiträden endast kommer att tillämpas i servicelinjerna RM, Skanning och Legacy, när de skannade bilderna av Kundens Artiklar, liksom de elektroniskt tillgängliga registren/uppgifter relaterade till de lagrade Kundtillgångarna behandlas av dessa enheter (se punkt 5.1).
6.2 I händelse av tillägg eller ändring av den aktuella listan ska Iron Mountain meddela Kunden i förväg - med namn, aktuellt land och underleverantörsservice för det föreslagna nya underbiträdet. Såvida inte Xxxxxx har skriftligen opponerat sig inom 15 kalenderdagar efter att ha informerats om Iron Mountains användning av ett nytt underbiträde, kan Iron Mountain använda sig av det nya underbiträdet för de angivna personuppgiftsbehandlingsaktiviteterna. Om Xxxxxx gjorde invändningar inom den givna tidslinjen kommer Iron Mountain att använda rimliga ansträngningar för att ändra Servicen för att undvika behandling av personuppgifterna med den "oönskade" nya underbiträdet. Om Iron Mountain inte kan genomföra sådana förändringar inom 60 kalenderdagar, kan Kunden inom ytterligare 60 kalenderdagar från Iron Mountains meddelande (eller - om Iron Mountain inte har svarat - från utgången av de 60 kalenderdagarna som finns tillgängliga för Iron Mountains meddelande) säga upp Avtalet. Om Xxxxxx inte skickar ett sådant uppsägningsmeddelande till Iron Mountain inom denna tidsfrist, kan detta betraktas som samtycke till tillämpningen av det föreslagna underbiträdet.
6.3 Iron Mountain är skyldigt att regelbundet övervaka sina underleverantörers agerande och förblir ansvarigt för personuppgifterna för sina underbiträden som om behandlingen utfördes av Iron Mountain själv. Iron Mountain åläggs samma dataskyddskrav som anges i detta PUB för alla dess anlitade underbiträden.
7. GRANSKNING
Iron Mountain tillhandahåller Kunden med all information som krävs för att visa att de skyldigheter som anges i detta PUB efterlevs, och möjliggöra och bidra till granskningar, inklusive inspektioner, utförda av Xxxxxx eller en annan revisor som utses av Kunden. Rätten till granskning enligt detta PUB ska dock inte ge tillgång till uppgifter från andra Iron Mountain-kunder eller till uppgifter relaterade till Iron Mountains tillämpade säkerhetssystem/åtgärder. Iron Mountain assisterar Xxxxxx vid konsekvensbedömningar och föregående samråd med Tillsynsmyndigheterna, i den mån sådan hjälp är Iron Mountains skyldighet enligt Dataskyddslagstiftningen.
8. AVTALSTID OCH BILAGOR
Detta PUB ska träda i kraft när Xxxxxxx vederbörligen undertecknats av båda Parter och ska fortlöpa tills alla Kundens personuppgifter antingen returneras till Kunden eller på annat sätt raderas/destrueras. Bilagorna utgör en integrerad del av detta PUB.
***
Bilaga 1
Kategorier av personuppgifter och registrerade
De kategorier av personuppgifter som behandlas enligt Avtalet(n):
☒ namn ☒ adress, bostad
☒ telefonnummer ☒ e-postadress
☒ nationalitet, etniska uppgifter ☒ datum och födelseort
☒ äktenskaplig status ☒ personnummer (t.ex. personligt ID-nummer)
☒ uppgifter om skattidentifiering (t.ex. skatt-ID-nummer) ☒ löneuppgifter (t.ex. lön)
☒ fastighets- och inkomstuppgifter ☒ uppgifter relaterade till kreditvärdighet
☒ arbetsrelaterade uppgifter (t.ex. arbetstitel, arbetsplats) ☒ bild (t.ex. foto)
☒ kvalifikations- och studieuppgifter ☒ användarnamn, lösenord
☒ IP-adress ☒ individuellt identifikationsnummer (t.ex. kundnummer)
De grupper av registrerade vars personuppgifter behandlas enligt Avtalet:
☒ anställda ☒ underleverantörer
☒ kunder ☒ leverantörer
☒ försäkrad ☒ kunder, anställda, tredje parts kontaktperson
☒ patient ☒ sökande
Kunden kommer inte att överföra till Iron Mountain personuppgifter utanför det ovan angivna omfånget, eller ska meddela Iron Mountain skriftligt och i förväg om någon ny uppgiftskategori/registrerad berörs .
Kontaktinformation till Iron Mountains dataskyddsombud:
Attn. Iron Mountain Data Protection Office Xxxxxx.xxxxxxx@xxxxxxxxxxxx.xxx
Iron Mountain Europe Xxxxxxx xxxx 00, 5th floor 1093 Budapest HUNGARY
Bilaga 2
Sammanfattning av tillämpade tekniska och organisatoriska åtgärder
Iron Mountain är ett globalt företag med högt fokus på säkerhet och trygghet. Iron Mountain tillämpar följande grundläggande tekniska och organisatoriska åtgärder vid sina anläggningar:
Brandskydd
Sprinklersystem eller brandskyddssystem, larm anslutna till brandkåren och övervakning 24/7/365
Ett system för mycket tidig detektering av rök av märket VESDA
Termisk avsökningskontroll kritisk punkt på elektriskt kort utförs årligen
Anslutningstest av brandlarmet sker månatligen
Brandsläckare på plats
Batteriladdningsområden, fria från brännbart material 1,5 meter, och tillräcklig ventilation för att minimera gasuppbyggnad
Byggnadskonstruktion är betong, stålarmerat material
Skriftlig evakueringsplan uppsatt på väggen
Underhållsprogram beträffande brandskyddssystemet
Säkerhet
Automatic Access Control Standard (AACS), åtkomstkontroll på dörrar med dubbel identifiering, kort/tagg och personlig PIN-kod
Inbrottslarm övervakat 24/7/365 av Bevakningsföretag
Övervakningskameror
Rörelsedetektorer
Underhållsprogram för AACS, inbrottslarmsystem och övervakningskameror
Glasbrottdetektorer på fönster på bottenvåningen
Magnetbrytare på alla fönster
Speciella härdade stålgaller på alla takfönster
Cylinder och magnetlås på alla ytterdörrar
Magnetlås på alla innerdörrar Standarder för säkerhet, hälsa och miljö
Anläggningsinspektionsstandard, anläggningsinspektion som utförs varje månad och täcker
Säkerhet
Brandskydd
Säkerhetsrisker
Responsstandard vid nödläge
Brandövningar
Utbildning/träning
Affärskontinuitetsplaner och utbildning
Standard för utredning av incidenter: Incidenter rapporterade i ett globalt arbetsflödesincidentsystem.
Rapportera
Utreda
Korrigerande åtgärder
Granskning
Avsluta
Standard för körning, regler på vägen, träningsprogram för alla kurirer.
Följ trafikreglerna
Dagliga fordonskontroller
Standard för truckar
Daglig kontroll av gaffeltruckar
Inspektion/kontroll av körkort
Andra standarder för säkerhet, hälsa och miljö
Maskinstandard
Arbete på hög höjd standard
Första hjälpen standard
Standard för personlig skyddsutrustning
Standard för manuell hantering, ergonomi och rätt sätt att arbeta, lyfta osv.
Bilaga 3 (Lista över underbiträden)
GLOBALA UNDERBITRÄDEN | LEVERERAD SERVICE | LAND | TILLÄMPADE SÄKERHETERSÅTGÄRDER |
HCL Technologies Limited/ HCL America Incorporated Technology Hub, SEZ, Plot No. 3A, Sector 126, Noida – 201304, India 000 Xxxxxxx Xxx, Xxxxxxxxx, Xxxxxxxxxx 00000, XXX | IT support | Indien/USA | Modellklausuler |
Iron Mountain Information Management LLC / Iron Mountain Incorporated / Iron Mountain Intellectual Property Management, Inc. Xxx Xxxxxxx Xxxxxx, Xxxxxx, XX 00000, XXX | IT & operativ support | USA | Modellklausuler |
Iron Mountain Services Private Limited Level 02, Block A, WTC-2, Bagmane World Technology Centre (BWTC) | IT support | Indien | Modellklausuler |
LOKALA UNDERBITRÄDEN | |
NAMN & REGISTERAD ADRESS | LEVERERAD SERVICE |
Xxxxxx, Xxxxxxxxxx 00, 00000 Xxxxxxx, Xxxxxxx | Strimling |
Stena Recycling AB, Xxxxxxxxxxxxxx 0 X, 000 00 Xxxxxxxx | Xxxxxxxxx |
Fortum Waste Solutions AB, 000 00 Xxxxx | Xxxxxxxxx (annat än papper = skivor, USB, digitala medier) |
Xxxxx Xxxxx, Xxxxxxxxxxxxxx 0, 000 00 Örebro | Transport och packning |
BE Transport & Logistiktjänst AB, Xxxx Xxxxxx gata 50, 252 25 Helsingborg | Transport och packning |
Xxxxx Xxxx Xxxxx, Stormgränd 12, 163 51 Spånga | Transport och packning |
Google Netherlands B. V., Xxxxxx Xxxxxxxxxxx 00 00X Xxxxx, 0000 XX, Xxxxxxxxx, Xxxxxxxxxxx | Inventeringssystemets serverplats |