DATABEHANDLINGSVILLKOR (ESSENTIAL)
DATABEHANDLINGSVILLKOR (ESSENTIAL)
1. INTRODUKTION OCH OMFATTNING
1.1 Dessa Databehandlingsvillkor anger de allmänna villkoren för Leverantörens behandling av Kundens Personuppgifter, i enlighet med vad som överenskommits och krävs enligt Tillämplig Lag, vid tillhandahållandet av Tjänsterna enligt Avtalet. Dessa Databehandlingsvillkor kompletterar de Allmänna Affärsvillkoren och utgör en del av Avtalet.
1.2 I händelse av motstridiga villkor ska dessa Databehandlingsvillkor alltid äga företräde i förhållande till behandling av Kundens Personuppgifter.
1.3 Dessa Databehandlingsvillkor, i vid var tid gällande lydelse, finns tillgängliga på xxx.xxxxxxxxx.xxx/xxxxx.
1.4 Dessa Databehandlingsvillkor består av dessa allmänna juridiska villkor och de Instruktioner som bifogas som en bilaga.
2. LAGLIG BEHANDLING
2.1 Personuppgiftsbiträdet ska, i egenskap av biträde, vara ansvarig för att efterleva alla rättsliga skyldigheter för personuppgiftsbiträden under Tillämplig Lag, inklusive men inte begränsat till att säkerställa att denne (i) endast behandlar Personuppgifterna i samband med sitt tillhandahållande av Tjänsterna i enlighet med Avtalet, och (ii) endast behandlar Personuppgifterna i enlighet med dessa Databehandlingsvillkor samt i enlighet med den Personuppgiftsansvariges Instruktioner (varvid noteras att all annan behandling, inklusive av Personuppgiftsbiträdet för egna ändamål, är förbjuden, med undantag för eventuell skyldighet att behandla Personuppgifter som följer av Tillämplig Lag, i vilket fall den Personuppgiftsansvarige ska informeras om detta, där så är tillåtet enligt Tillämplig Lag).
2.2 Den Personuppgiftsansvarige ska, i egenskap av personuppgiftsansvarig, vara ansvarig för att efterleva alla rättsliga skyldigheter för personuppgiftsansvariga under Tillämplig Lag, inklusive men inte begränsat till att säkerställa att (i) denne har tillhandahållit all nödvändig information till de Registrerade, (ii) alla nödvändiga samtycken från de Registrerade har erhållits, eller att en annan giltig rättslig grund för behandlingen av Personuppgifterna föreligger, och (iii) i alla andra avseenden att denne har fullständiga legala rättigheter att behandla Personuppgifterna samt instruera Personuppgiftsbiträdet att behandla Personuppgifterna på uppdrag av den Personuppgiftsansvarige i enlighet med vad som anges i dessa Databehandlingsvillkor.
2.3 I den utsträckning tillhandahållandet av Tjänster enligt Avtalet innefattar behandling av Personuppgifter, inte bara för den Personuppgiftsansvarige utan även för dess Koncernbolag (eller i förekommande fall en överenskommen och identifierad tredje part), garanterar den Personuppgiftsansvarige att (i) denne har full laglig rätt att
Version 1.0 (September 2023)
företräda sådana Xxxxxxxxxxxx (och/eller överenskommen och identifierad tredje part), och (ii) när dessa Databehandlingsvillkor hänvisar till den Personuppgiftsansvariges rättigheter och skyldigheter, ska den Personuppgiftsansvarige på lämpligt sätt åta sig och uppfylla sådana rättigheter och skyldigheter som en behörig företrädare för respektive Koncernbolag etc. (vilket innebär, men inte är begränsat till, att Personuppgiftsbiträdet ska fullgöra sina skyldigheter som personuppgiftsbiträde enligt Tillämplig Lag gentemot sådana Koncernbolag genom att fullgöra sina skyldigheter härunder gentemot den Personuppgiftsansvarige).
3. DEN PERSONUPPGIFTSANSVARIGES INSTRUKTIONER
3.1 Den Personuppgiftsansvarige ska tillhandahålla Personuppgiftsbiträdet skriftliga Instruktioner gällande Personuppgiftsbiträdets behandling av Personuppgifter, i enlighet med vad som krävs enligt Tillämplig Lag och med motsvarande skyldighet för Personuppgiftsbiträdet att behandla Personuppgifterna i enlighet med nämnda Instruktioner.
3.4 Instruktionerna ska uppdateras under avtalstiden för Avtalet för det fall Parterna enas om att ändra Instruktionerna. Om den Personuppgiftsansvarige önskar ändra Instruktionerna under avtalstiden för Avtalet, ska Personuppgiftsbiträdet inte motsätta sig sådan ändring av Instruktionerna utan skäl, förutsatt att ändringen är tekniskt genomförbar och, om ändringen påverkar tillhandahållandet av Tjänsterna eller på annat sätt orsakar extra kostnader för Personuppgiftsbiträdet, ska Parterna komma överens om ersättning för sådana extra kostnader.
3.5 Om Personuppgiftsbiträdet (i) saknar Instruktioner, (ii) anser sig behöva nya eller kompletterande Instruktioner för att utföra sina åtaganden enligt dessa Databehandlingsvillkor, och/eller Avtalet och/eller Tillämplig Lag, eller (iii) anser att befintliga Instruktioner, enligt Personuppgiftsbiträdets bedömning, strider mot Tillämplig Lag (utan begränsning av den Personuppgiftsansvarigs ansvar enligt punkt 3.3), ska Personuppgiftsbiträdet utan dröjsmål informera den Personuppgiftsansvarige
härom och invänta ytterligare instruktioner innan Personuppgiftsbiträdet fortsätter med behandling av Personuppgifterna.
4. TEKNISKA OCH ORGANISATORISKA SÄKERHETSÅTGÄRDER
4.1 Personuppgiftsbiträdet ska upprätthålla sådana tekniska och organisatoriska säkerhetsåtgärder som krävs enligt Tillämplig Lag (särskilt artikel 32 i GDPR) för sin behandling av Personuppgifter i syfte att säkerställa skyddet av de Registrerades rättigheter. Sådana säkerhetsåtgärder inkluderar, bland annat, att Personuppgiftsbiträdet ska skydda Personuppgifterna mot oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande eller obehörig åtkomst när de lagras eller på annat sätt behandlas av Personuppgiftsbiträdet. Personuppgiftsbiträdet är certifierat enligt ISO/IEC 27001- standarden för ledningssystem för informationssäkerhet och kommer på den Personuppgiftsansvariges begäran att tillhandahålla information om sina informationssäkerhetsåtgärder, såsom de är tillämpliga från tid till annan och såsom de närmare beskrivs i Personuppgiftsbiträdets informationssäkerhetspolicy.
4.2 För undvikande av tvivel ansvarar dock Personuppgiftsbiträdet inte för Personuppgiftsansvarigs egen behandling av Personuppgifter vid användningen av Tjänsterna, inklusive Personuppgiftsansvarigs behörighetsstyrning av Hypergene SaaS, eller för åtgärd som vidtas av en Användare, eller annan omständighet som är hänförlig till den Personuppgiftsansvarige.
5. UNDERBITRÄDEN
5.1 Den Personuppgiftsansvarige lämnar härmed ett generellt medgivande till att Personuppgiftsbiträdet anlitar Underbiträden i samband med tillhandahållande av Hypergene SaaS, inklusive Support och Underhåll. Nuvarande anlitade Underbiträden anges i Instruktionerna och ska anses vara godkända av den Personuppgiftsansvarige. Personuppgiftsbiträdet ska skriftligen (inklusive genom elektronisk kommunikation) underrätta den Personuppgiftsansvarige om planerade väsentliga ändringar, såsom vid anlitande av nya, eller utbyte av, Underbiträden. Den Personuppgiftsansvarige kan skriftligen invända mot sådana ändringar inom sju (7) dagar från mottagande av underrättelsen om sådan ändring. Om den Personuppgiftsansvarige inte invänder mot ändringen inom angiven tid ska ändringen anses godkänd.
5.2 För tillhandahållandet av Konsulttjänster krävs den Personuppgiftsansvariges skriftliga godkännande i varje enskilt fall för anlitande av eventuella Underbiträden. Sådant skriftligt godkännande ska anses ha lämnats för (i) alla underleverantörer som anges i en Uppdragsbeskrivning eller annan överenskommen beställning av tillhandahållande av Konsulttjänster, och (ii) alla Leverantörens Koncernbolag.
5.3 Personuppgiftsbiträdet ska underrätta den Personuppgiftsansvarige om varje föreslaget eller godkänt Underbiträde, inklusive uppgifter om företaget, plats för behandlingen (land) och behandlingens art.
Personuppgiftsbiträdet har enligt dessa Databehandlingsvillkor (”Underbiträdesavtal”).
5.5 Personuppgiftsbiträdet ska vidta alla nödvändiga åtgärder om Personuppgiftsbiträdet har anledning att anta att Underbiträdet behandlar Personuppgifter i strid med Underbiträdesavtalet.
5.6 Personuppgiftsbiträdet svarar såsom för egen räkning gentemot den Personuppgiftsansvarige för Underbiträdets behandling av Personuppgifter enligt Underbiträdesavtalet.
6. ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND
6.1 Personuppgiftsbiträdet får inte överföra Personuppgifter till Tredje Land, om inte skriftligt godkännande därtill har erhållits från den Personuppgiftsansvarige. Detta innebär, bland annat, att Personuppgiftsbiträdet inte får behandla Personuppgifter på servrar och annan utrustning som finns i Tredje Land utan föregående godkännande från den Personuppgiftsansvarige.
6.2 Om den Personuppgiftsansvarige medger att Personuppgifter överförs till Tredje Land, ska sådant godkännande anses utgöra en del av Instruktionerna och Parterna ska tillse att laglig grund för sådan överföring finns enligt Tillämplig Lag, såsom exempelvis användning av Standardavtalsklausuler. I det fall sådan laglig grund för Tredje Lands- överföringen grundar sig på samtycke från Registrerade, garanterar den Personuppgiftsansvarige att sådana giltiga samtycken inhämtas från samtliga Registrerade.
7. ASSISTANS, SAMARBETE OCH INFORMATION
7.1 I enlighet med villkoren i denna punkt 7 ska Personuppgiftsbiträdet bistå den Personuppgiftsansvarige med att säkerställa efterlevnaden av skyldigheterna i artiklarna 32-36 i GDPR, med beaktande av behandlingens art och den information som är tillgänglig för Personuppgiftsbiträdet.
7.2 Hypergene SaaS, såsom den tillhandahålls av Personuppgiftsbiträdet under Avtalet, innehåller nödvändig funktionalitet för att möjliggöra för den Personuppgiftsansvarige att fullgöra sina skyldigheter avseende Personuppgifter, såsom att svara på begäran om utövande av Registrerads rättigheter och rätta, radera, eller begränsa behandlingen av Personuppgifter i enlighet med Tillämplig Lag. I den mån den Personuppgiftsansvarige ändå behöver assistans härutöver från Personuppgiftsbiträdet, ska Personuppgiftsbiträdet på begäran tillhandahålla sådan assistans i enlighet med punkt
7.4 nedan.
7.3 Personuppgiftsbiträdet åtar sig att skriftligen (inklusive genom elektronisk kommunikation) informera den Personuppgiftsansvarige om varje personuppgiftsincident (som avser Personuppgiftsbiträdets behandling av Personuppgifter under detta Avtal) utan oskäligt dröjsmål, vanligtvis senast nästföljande arbetsdag, från det att Personuppgiftsbiträdet fick kännedom om personuppgiftsincidenten. Informationen ska innehålla all information som Personuppgiftsbiträdet känner till och som krävs enligt Xxxxxxxxxx Lag för att den
Personuppgiftsansvarige ska kunna fullgöra sin rapporterings-/informationsskyldighet gentemot Tillsynsmyndighet och/eller Registrerade.
7.5 För det fall en Registrerad, Tillsynsmyndighet eller annan tredje man begär information från Personuppgiftsbiträdet som berör behandlingen av Personuppgifter, ska Personuppgiftsbiträdet omgående hänvisa sådan förfrågan till den Personuppgiftsansvarige och invänta ytterligare instruktioner.
7.6 Personuppgiftsbiträdet ska utan dröjsmål informera den Personuppgiftsansvarige om all kontakt med Registrerade, Tillsynsmyndighet eller annan tredje man, som avser behandlingen av Personuppgifter. Personuppgiftsbiträdet har inte rätt att företräda den Personuppgiftsansvarige eller på annat sätt agera för den Personuppgiftsansvariges räkning gentemot Registrerade, Tillsynsmyndighet eller annan tredje man.
7.7 Personuppgiftsbiträdet åtar sig att samarbeta i nödvändig utsträckning vid granskning eller inspektion av Tillsynsmyndighet som avser Personuppgiftsbiträdets behandling av Personuppgifter, samt att efterfölja eventuella av Tillsynsmyndighet fattade beslut om åtgärder för att uppfylla säkerhetskrav eller andra krav enligt Tillämplig Lag avseende behandlingen av Personuppgifter.
8. RÄTT TILL INSYN
8.1 Den Personuppgiftsansvarige, eller tredje man (extern granskare) som utses av den Personuppgiftsansvarige, har rätt att granska Personuppgiftsbiträdets behandling av Personuppgifter i den utsträckning det är nödvändigt för att säkerställa att Personuppgiftsbiträdet, samt eventuella Underbiträden, uppfyller sina åtaganden enligt dessa Databehandlingsvillkor och Tillämplig Lag. Sådan granskning får endast avse behandlingen av Personuppgiftsansvarigs Personuppgifter.
8.2 Den Personuppgiftsansvarige ska lämna skälig skriftlig underrättelse innan någon granskning genomförs (vanligtvis med minst 14 Arbetsdagars förvarning) och begränsa granskningen till vad som är strikt nödvändigt för granskningens syften. Den Personuppgiftsansvarige får inte genomföra granskningar mer än en gång per år, såvida inte det finns särskilda omständigheter som kräver fler granskningar. Den Personuppgiftsansvarige ska bära alla kostnader för granskningen.
8.3 Personuppgiftsbiträdet åtar sig att tillhandahålla den information och/eller det assistans som är nödvändig i samband med granskning enligt denna punkt 8 för att visa efterlevnad av detta Avtal och Tillämplig Lag.
8.4 En förutsättning för granskning enligt denna punkt 8 är att den Personuppgiftsansvarige, eller den tredje part (extern granskare) som den Personuppgiftsansvarige utser, har ingått nödvändiga sekretessåtaganden och följer Personuppgiftsbiträdets säkerhetsbestämmelser på platsen där inspektion genomförs, samt att inspektionen sker
utan risk för störningar av Personuppgiftsbiträdets verksamhet eller skyddet för andra kunders information. Information som samlas in i samband med granskningen ska raderas efter utförd granskning eller när den inte längre behövs för granskningens ändamål.
8.5 Den Personuppgiftsansvarige är införstådd med att Personuppgiftsbiträdet kan tillhandahålla relevant information om Personuppgiftsbiträdets behandling av Personuppgifter i form av en granskningsrapport från kompetent tredje part som genomfört en generell granskning av Personuppgiftsbiträdets behandling av personuppgifter. I det fall Personuppgiftsbiträdet tillhandahåller sådan granskningsrapport äger den Personuppgiftsansvarige rätt att förlita sig på denna som ett alternativ till genomförande av egen granskning.
9. SEKRETESS
9.1 Personuppgiftsbiträdet ska hålla Personuppgifter eller annan information i samband med behandlingen av Personuppgifter konfidentiell och inte lämna ut den till någon tredje part utan uttrycklig instruktion eller godkännande från den Personuppgiftsansvarige. Avtalets regleringar om sekretess ska gälla i alla andra avseenden.
9.2 Personuppgiftsbiträdet ska tillse att dess anställda, anlitade konsulter och andra som behandlar Personuppgifter enligt Avtalet är bundna av sekretessåtaganden.
9.3 Sekretessåtagandet enligt denna punkt 9 gäller inte (i) i förhållande till godkända Underbiträden, förutsatt att ingånget Underbiträdesavtal innehåller motsvarande sekretessåtaganden för Underbiträdet, eller (ii) om Personuppgiftsbiträdet är skyldigt att utlämna Personuppgifter eller annan information om behandlingen av Personuppgifter på begäran av Tillsynsmyndighet, eller om sådan skyldighet annars följer av Tillämplig Lag, eller i enlighet med domstols eller myndighets beslut, eller är nödvändigt för att skydda Personuppgiftsbiträdets intressen vid en rättslig tvist.
10. ANSVAR
(a) Den andra Parten ska vara ansvarig för en skälig del av ersättningen (inklusive skäliga advokatkostnader och andra rättegångskostnader som den första Parten ådragit sig), som motsvarar den andra Partens ansvar för den skada som orsakats den Registrerade eller annan tredje part, på grund av den andra Partens brott mot Tillämplig Lag och/eller dessa Databehandlingsvillkor; och
(b) Personuppgiftsbiträdet ska inte vara skyldigt att utge ersättning enligt ovan i den utsträckning överträdelsen av Tillämplig Lag och/eller dessa Databehandlingsvillkor har orsakats av att Personuppgiftsbiträdet behandlat Personuppgifterna i enlighet med den Personuppgiftsansvariges Instruktioner; och
(c) Den Part som begär ersättning från den andra Parten, ska utan dröjsmål skriftligen informera den andra Parten om den Registrerades eller annan tredje parts krav, och samarbeta med den andra Parten för att försvara sig mot kravet på ett sätt som är rimligt under omständigheterna; och
(d) Part som kräver ersättning av den andra Parten ska framställa sitt slutliga krav på ersättning mot den andra Parten enligt denna punkt 10.1 senast sex (6) månader efter att det slutligt fastställts (genom lagakraftvunnen dom eller godkänd förlikning) att Parten är skyldig att betala ersättning till en Registrerad eller annan tredje man, dock under alla omständigheter senast sex (6) månader efter Xxxxxxxx faktiska upphörande; och
(e) Varje Parts ansvar enligt denna punkt 10.1 ska vara föremål för de ansvarsbegränsningar som anges i Avtalet.
10.2 Varje Part är ansvarig för eventuella administrativa böter som åläggs Parten av en Tillsynsmyndighet på grund av Partens överträdelse av Tillämplig Lag (enligt artikel 83 i GDPR eller annan Tillämplig Lag). Sådana administrativa avgifter är inte föremål för fördelning av ansvar mellan Parterna enligt dessa Databehandlingsvillkor.
11. AVTALSTID OCH UPPHÖRANDE AV BEHANDLING AV PERSONUPPGIFTER
11.1 Dessa Databehandlingsvillkor utgör en del av Avtalet och ska gälla under hela den tid som Personuppgiftsbiträdet behandlar Personuppgifter enligt Avtalet.
11.2 Personuppgiftsbiträdet ska upphöra med all behandling av Personuppgifter när Avtalet löper ut eller sägs upp, eller om den Personuppgiftsansvarige tidigare instruerar Personuppgiftsbiträdet om detta.
11.3 Vid upphörande av Personuppgiftsbiträdets behandling av Personuppgifter, oavsett orsak, ska Personuppgiftsbiträdet, i enlighet med den Personuppgiftsansvariges skriftliga instruktioner, antingen (i) överföra alla Personuppgifter till den Personuppgiftsansvarige (eller en tredjepartsleverantör utsedd av den Personuppgiftsansvarige) i Personuppgiftsbiträdets standardformat och genom leverans av en säkerhetskopia av Personuppgifterna, och om Parterna är överens, även tillhandahålla avtalade Konsulttjänster i samband med sådan överföring av Personuppgifterna; eller (ii) permanent radera och utplåna Personuppgifter samt radera befintliga kopior. Vid överföring eller radering, beroende på vad som ska tillämpas, ska Personuppgiftsbiträdet se till att uppgifterna inte kan återskapas. Radering av Personuppgifterna kommer att under alla förhållanden ske senast 60 dagar efter att Avtalet upphör.
12. KOSTNADER
12.1 Personuppgiftsbiträdet har endast rätt till ersättning för kostnader i de situationer som anges i punkt 12.2. Ersättning utgår, i sådana situationer, (i) för Konsulttjänster, i enlighet med de ersättningsnivåer som anges i Avtalet, och (ii) för övriga kostnader, för skäliga och styrkta faktiska kostnader.
12.2 Personuppgiftsbiträdet har rätt till ersättning:
(a) Om Personuppgiftsbiträdet, på grund av den Personuppgiftsansvariges specifika konfigurationer/anpassningar, installation eller användning av Hypergene SaaS, eller på grund av omfattande krav på assistans från den Personuppgiftsansvarige, måste tillhandahålla assistans i form av Konsulttjänster, t.ex. i samband med en begäran om assistans med konsekvensbedömningar avseende dataskydd eller föregående samråd med en Tillsynsmyndighet, eller i samband med en granskning; eller
(b) Om den Personuppgiftsansvarige ändrar Instruktionerna på ett sätt som medför merkostnader för Personuppgiftsbiträdet; eller
(c) Om den Personuppgiftsansvarige har krav på tekniska och organisatoriska skyddsåtgärder som går utöver de som normalt tillämpas av Personuppgiftsbiträdet för dess kunder (och som är i enlighet med Tillämplig lag), och uppfyllandet av sådana säkerhetskrav orsakar merkostnader för Personuppgiftsbiträdet; eller
(d) Om i samband med Avtalets upphörande, den Personuppgiftsansvarige önskar erhålla Personuppgifterna i ett annat format än Personuppgiftsbiträdets standardformat, eller begär Konsulttjänster från Personuppgiftsbiträdet i samband med återlämnande av Personuppgifter.
13. ÄNDRINGAR
13.1 Samtliga ändringar av och tillägg till dessa Databehandlingsvillkor, inklusive Instruktionerna, ska för att vara giltiga ske skriftligen och undertecknas av behörig företrädare för respektive Part.
13.2 I det fall Tillämplig Lag kräver att ändring görs i dessa Databehandlingsvillkor ska Parterna i god anda komma överens om sådana ändringar.
14. DEFINITIONER
I dessa Databehandlingsvillkor ska följande begrepp ha nedanstående innebörd. Andra begrepp ska ha de betydelser som anges i Tillämplig Lag.
”Avtal” | avser avtalet mellan Leverantören (Personuppgiftsbiträdet) och Kunden (den Personuppgiftsansvarige) (eller om relevant, mellan Xxxxxx och en återförsäljare eller partner till Leverantören), för tillhandahållande av Tjänsterna, och som inkluderar dessa Databehandlingsvillkor. |
”Instruktioner” | avser den Personuppgiftsansvariges instruktioner för behandling av Personuppgifterna, enligt vidare definition i punkt 3.2 häri. |
”Personuppgifter” | avser Kundens (eller Kundens Koncernbolags) personuppgifter (enligt definitionen i Tillämplig Lag) som överförs till, lagras av och på annat sätt |
behandlas av Leverantören vid tillhandahållande av Tjänster enligt Avtalet. | |
”Personuppgiftsansvarig” | avser Xxxxxx. Om Xxxxxx instruerar Leverantören att behandla Personuppgifter för Kundens Koncernbolag, agerar Kunden som deras representant och benämns som den Personuppgiftsansvarige även i förhållande till sådant Koncernbolag i dessa Databehandlingsvillkor, oaktat att den faktiska Personuppgiftsansvarige kan vara ett Koncernbolag. |
”Personuppgiftsbiträde” | avser Leverantören. |
”Registrerad” | avser en identifierad eller identifierbara fysisk person, vars personuppgifter ingår i Personuppgifterna. |
”Standardavtalsklausuler” | avser kommissionens genomförandebeslut (EU) 2021/914 av den 4 juni 2021 om standardavtalsklausuler för överföring av personuppgifter till tredjeländer i enlighet med Europaparlamentets och Rådets förordning (EU) 2016/679 (eller någon efterföljande lagstiftning, eller andra tillämpliga standardavtalsklausuler enligt Tillämplig lag). |
”Tillsynsmyndighet” | avser en nationell eller EU-myndighet, som ansvarar för övervakningen av behandlingen av personuppgifter enligt Tillämplig lag (i Sverige: Integritetsskyddsmyndigheten (IMY)). |
”Tillämplig Lag” | avser alla vid var tid gällande lagar, förordningar och föreskrifter som är tillämpliga på Parterna, och särskilt, med avseende på, dessa Databehandlingsvillkor, (i) Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (”GDPR”), eller lagstiftning som kan komma att ersätta denna, (ii) och annan tillämplig lagstiftning avseende skydd och behandling av personuppgifter, inklusive den svenska lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, och inklusive till (i) och (ii) ovan hörande |
förordningar och föreskrifter samt riktlinjer som utfärdats av Tillsynsmyndighet. | |
”Tredje Land” | avser ett land utanför Europeiska ekonomiska samarbetsområdet (dvs. Europeiska unionen och EFTA-medlemsstaterna). |
”Underbiträde” | avser en tredje part (för tydlighetens skull även Leverantörens Koncernbolag) som anlitas av Personuppgiftsbiträdet i syfte att behandla Personuppgifter på uppdrag av den Personuppgiftsansvarige. |
”Underbiträdesavtal” | avser ett skriftligt personuppgiftsbiträdesavtal mellan Personuppgiftsbiträdet och ett Underbiträde, enligt vad anges i punkt 5.4 häri. |
BILAGA: INSTRUKTIONER
Denna bilaga innehåller allmänna Instruktioner som är generella för alla Leverantörens kunder, och eventuella specifika ytterligare instruktioner, eller avvikelser från dessa allmänna instruktioner, enligt vad som instruerats av den Personuppgiftsansvarige, ska anges i Orderformuläret.
Behandlingens art och ändamål | Behandlingen av Personuppgifter sker i syfte att tillhandahålla Hypergene SaaS och eventuella relaterade Konsulttjänster, vilket innefattar de åtgärder som anges i Avtalet, och som typiskt sett innefattar följande åtgärder: □ Lagring i Personuppgiftsbiträdets eller Underbiträdets datacenter □ Systemdrift □ Säkerhetsövervakning och säkerhetskopiering □ Åtkomst i samband med Konsulttjänster □ Nätverkskommunikation inklusive överföring av data till och från den Personuppgiftsansvarige □ Installation av Uppdateringar □ Åtkomst i samband med korrigerande åtgärder (drift-, teknisk- och applikationssupport). |
Kategorier av Personuppgifter | Följande kategorier av Personuppgifter kan ingå i behandlingen: Den Personuppgiftsansvarige bestämmer själv, vid användningen av Hypergene SaaS, vilka typer av Personuppgifter som ska lagras och i övrigt behandlas däri. Datafält för registrering av Personuppgifter konfigureras av Personuppgiftsbiträdet baserat på den Personuppgiftsansvariges begäran, i samband med installation och implementering av Hypergene SaaS eller separat beställda Konsulttjänster. Personuppgiftsbiträdet får behandla följande kategorier av Personuppgifter för den Personuppgiftsansvariges räkning: □ Namn □ Adress □ Telefonnummer □ E-postadress |
□ Kategori av Registrerad | |
Särskilda kategorier av Personuppgifter (även kallade känsliga personuppgifter, artikel 9 i GDPR) | Som framgår ovan bestämmer den Personuppgiftsansvarige själv, vid användningen av Hypergene SaaS, vilka kategorier av Personuppgifter som ska lagras och i övrigt behandlas däri, inklusive eventuella känsliga Personuppgifter. All behandling av känsliga Personuppgifter härunder ska särskilt anges i avvikelsebilagan i Orderformuläret. För undvikande av tvivel är den Personuppgiftsansvarige alltid ansvarig för att säkerställa (oavsett om Personuppgifterna ska klassificeras som känsliga eller inte), att den Personuppgiftsansvarige har full laglig rätt att behandla dem och att begära att Personuppgiftsbiträdet ska behandla dem i enlighet med Avtalet. |
Kategorier av Registrerade | Som framgår ovan bestämmer den Personuppgiftsansvarige själv, vid användningen av Hypergene SaaS, vilka Personuppgifter som ska lagras och i övrigt behandlas däri, inklusive vilka kategorier av Personuppgifter och Registrerade, samt bestämmer hur datafält ska konfigureras. Datafält som typiskt sett inkluderas i förhållande till kategorier av Registrerade inkluderar: □ Anställda □ Leverantörer □ Kunder |
Plats för behandling av personuppgifter | Personuppgifterna ska behandlas av Personuppgiftsbiträdet (och dess Underbiträde(n)) inom Europeiska ekonomiska samarbetsområdet (dvs. Europeiska unionen och EFTA-medlemsstaterna), såvida inte den Personuppgiftsansvarige skriftligen godkänt en överföring till ett Tredje Land. Personuppgiftsbiträdet är beläget i Sverige och dess underbiträden i de länder som anges nedan under Godkända Underbiträden. |
Varaktighet för behandling av Personuppgifter | Personuppgifterna ska behandlas av Personuppgiftsbiträdet för ovan angivna ändamål |
under avtalstiden för Avtalet, eller tills den Personuppgiftsansvarige instruerar Personuppgiftsbiträdet att upphöra med behandlingen. Databehandlingsvillkoren anger de åtgärder som ska vidtas vid upphörande av behandlingen av Personuppgifterna. | |
Godkända Underbiträden | 1. Advania Sverige AB (beläget i Sverige; tillhandahåller interna IT- infrastrukturtjänster till Personuppgifts- biträdet). 2. Videnca AB (beläget i Sverige; tillhandahåller datacentertjänster för hosting av Hypergene SaaS) 3. Hypergene GmbH (beläget i Tyskland, ett bolag inom Hypergenekoncernen; tillhandahåller support, underhåll och konsulttjänster i förhållande till projektledningsverktyget Hypergene Projects (om det ingår i den version av Hypergene SaaS som kunden har valt) 4. Hetzner Online GmbH (beläget i Tyskland; tillhandahåller datacentertjänster för hosting av projektledningsverktyget Hypergene Projects (om det ingår i den version av Hypergene SaaS som kunden valt) |