Detta Personuppgiftsbiträdesavtal ingås av och mellan: Transics International BV/SRL, med registrerad företagsadress på Ter Waarde 91, 8900 Ieper, Belgien, och med VAT-nummer BE 0881 300 923 RPR/RPM Gent,
Detta Personuppgiftsbiträdesavtal ingås av och mellan:
Transics International BV/SRL, med registrerad företagsadress på Xxx Xxxxxx 00, 0000 Xxxxx, Xxxxxxx, och med VAT-nummer BE 0881 300 923 RPR/RPM Gent,
(Hädanefter ”Transics” eller ”Personuppgiftsbiträde”),
och
, med säte på ,
(Hädanefter ”Kund” eller ”Personuppgiftsansvarig”);
Den Personuppgiftsansvarige och Personuppgiftsbiträdet benämns nedan gemensamt för ”Parterna” och individuellt som ”Parten”.
Transics tillhandahåller fordonshantering och andra relaterade tjänster (”Tjänsterna”) till Kunden enligt vad som beskrivs i det tjänsteavtal och/eller de arbetsordrar (hädanefter kallat ”Tjänsteavtalet”) som Transics och Kunden har kommit överens om.
I den utsträckning som tillhandahållandet av dessa Tjänster kräver delning och hantering av Personuppgifter mellan Parterna, önskar Parterna fastställa de villkor som ska gälla för mottagande av, tillgång till och vidare behandling av Personuppgifter från den andra Parten om och i den utsträckning som Transics som Personuppgiftsbiträde hanterar Personuppgifter å Kundens vägnar i samband med Tjänsterna som Transics tillhandahåller Kunden i enlighet med Tjänsteavtalet.
PARTERNA HAR SÅLEDES KOMMIT ÖVERENS OM FÖLJANDE:
1. Definitioner
1. De begrepp som definieras i Tjänsteavtalet mellan Personuppgiftsbiträdet och den Personuppgiftsansvarige ska ha samma betydelse när de används i detta Personuppgiftsbiträdesavtal (”Biträdesavtalet”).
2. I detta Biträdesavtal ska ”Personuppgifter”, ”Särskilda kategorier av Personuppgifter”, ”Hantera / hantering”, ”Personuppgiftsansvarig”, ”Personuppgiftsbiträde”, ”Underentreprenör”, ”Registrerade individer” och ”Personuppgiftsincident” ha samma betydelse som anges i tillämpliga Dataskyddslagar.
3. Med ”Dataskyddslagar” avses dataskyddsförordningen (GDPR – General Data Protection Regulation 2016/679) samt kompletterande nationell lagstiftning inom medlemsstaterna i EES, EU:s direktiv 2002/58/EC av den 12 juli 2002 gällande hantering av Personuppgifter och integritetsskydd inom området elektronisk kommunikation såsom det implementerats i EES medlemsstaters nationella lagstiftning inklusive eventuella ändringar, upphävningar, ersättningar eller kompletteringar, såväl som alla andra lagar eller förordningar gällande dataskydd och integritet vid hantering av Personuppgifter som kontrolleras av vardera Parten.
2. Föremål och Villkor
Detta Biträdesavtal reglerar all slags insamling, användning, delning och vidare hantering av Personuppgifter som utförs av Transics om och i den utsträckning som Transics som Personuppgiftsbiträde hanterar Personuppgifter å Kundens vägnar i samband med Tjänsterna som Transics tillhandahåller Kunden i enlighet med Tjänsteavtalet.
Detta Biträdesavtal ersätter, utan att annullera tidigare avtal som Parterna ingått med koppling till Personuppgiftshantering, inklusive, men utan begränsning, eventuella Personuppgiftsbiträdesavtal.
Detta Biträdesavtal utgör en integrerad del av Tjänsteavtalet. Detta Biträdesavtal gäller från och med datum för underskrift och förblir giltigt och i kraft tills det att Tjänsteavtalet löper ut.
3. Omfattning
Parterna ska, var och en i den utsträckning som det är möjligt, hantera Personuppgifter i enlighet med tillämpliga Dataskyddslagar, tillämplig lagstiftning avseende integritet och elektronisk kommunikation, dataskyddsförordningen av den 25
maj 2018 och alla andra tillämpliga förordningar som den Personuppgiftsansvarige och/eller Personuppgiftsbiträdet lyder under.
Typ av Personuppgifter
Den Personuppgiftsansvarige har definierat följande kategorier av personuppgifter som samlas in, hanteras och används av Personuppgiftsbiträdet under detta Biträdesavtal: Personuppgifter som tillhandahållits, lagrats, skickats eller mottagits av Kunden eller dess slutanvändare via lösningen för fordonshantering (Fleet Management Solution), däribland:
• Namn, befattning, körkortsnummer, kvalifikationer, datum för inledning och avslutning av tjänst, utgångsdatum för läkarintyg
• Yrkesmässiga och kommersiella adresser eller företagsadresser
• Födelsedatum inklusive år, månad och dag
• Telekommunikationsdata (exempelvis anslutning, plats, användning och trafikuppgifter)
• Telefonnummer, mobiltelefonnummer
• E-postadress
• Färdskrivardata (körtid, vilotid, arbetstider)
• Meddelanden
• IP-adresser
• Eco data
• Schemaläggnings- och kontrolluppgifter
• Exakt platsinformation (GPS-positioner)
• Lastbilens och släpets registreringsnummer
• Enhets- och tjänsterelaterad diagnostikinformation
• Bild
• Kön
• Roll (förare / besökare / trafikledare / administratör)
• Användarspråk för förare
• Färdskrivarkort: ID
• Färdskrivarkort: Utfärdande land
• Aktiviteter (körning, stillastående, vila, etc.)
• Larm
• Datum för senaste avläsning av färdskrivare
• ECO-prestanda / trend: Tomgång, Hög varvtal, För hög hastighet, Frihjulning, Kraftig bromsning, Jämn körning, Genomsnittlig bränsle
• TracKing-dataintegration för släp (Thermo King): zontemperatur, dörrförhållande, däcktryck, larm
• Fordons FMS-data (fordonshanteringssystem) / Information om fordonsanvändning, exempelvis tillryggalagd färdsträcka, lokal tid, körtid, fordonshastighet, motorvarvtal, motortemperatur, broms-, sväng- och gasningsmanövrar, resans längd och avstånd, batterispänning
• Data om släpanvändning, t.ex.: körd sträcka, tid på dygnet, körtid, släphastighet, släplast, inbromsning (EBS)/sträcka, TPMS , EBPMS, GNSS
• Videoinspelning (aktivering krävs av kunden)
Kategorier av Registrerade individer
Den Personuppgiftsansvarige har identifierat följande kategorier av Registrerade individer vars Personuppgifter, såsom de definieras ovan, kommer att samlas in, hanteras och användas av Personuppgiftsbiträdet under detta Biträdesavtal:
Kundens anställda;
Kundens underentreprenörer;
anställda hos Xxxxxxx Xxxxxx, leverantörer och underentreprenörer;
andra personer som tillhandahåller information via lösningen för fordonshantering (Fleet Management Solution), inklusive personer som samarbetar och kommunicerar med Kundens slutanvändare.
Bevarande av uppgifter
Personuppgiftsbiträdet ska inte behålla Personuppgifter i ett format som möjliggör identifiering av de Registrerade individerna längre än vad som är nödvändigt för det syfte i vilket Personuppgiftsbiträdet hanterar Personuppgifterna via Transics Fleet Management Solution, om inte så erfordras eller tillåts i Dataskyddslagar eller annan tillämplig lagstiftning. Kunden ska uttryckligen instruera Transics att fastställa
lagringsperioden till 1 år för att garantera att alla uppgifter alltid är tillgängliga för Kunden. Efter denna period har Transics möjlighet att radera dessa Personuppgifter eller göra dem otillgängliga. Före utgången av denna period ska Kunden exportera alla nödvändiga uppgifter via Transics tooling. Transics är inte skyldig att radera kopior av Personuppgifter som sparas i automatiska säkerhetskopior som genereras av Transics och som kommer att sparas i största möjliga utsträckning för att säkerställa kontinuitet, men som kommer att raderas inom 14 månader efter det att de skapades. Sådana säkerhetskopior omfattas av detta Personuppgiftsbiträde Tillägg och Avtalet tills de förstörs. Utan att åsidosätta den Personuppgiftsansvariges rättigheter som anges i artikel 4.i nedan har Transics rätt att anonymisera Personuppgifter som samlats in, genererats och/eller lagrats som en del av tillhandahållandet av Transics Tjänster samt att fortsätta använda således anonymiserade personuppgifter för statistiska, analytiska, kommersiella och jämförande ändamål.
4. Personuppgiftsbiträdets skyldigheter
I de fall Transics (i rollen av Personuppgiftsbiträde) hanterar Personuppgifter åt Xxxxxx (i rollen av Personuppgiftsansvarig), ska Transics:
a. Hantera eller få Personuppgifterna hanterade i enlighet med de Dataskyddslagar som reglerar uppdraget som Personuppgiftsbiträde.
b. Hantera – och säkerställa att alla personer som agerar under Transics bemyndigande hanterar – Personuppgifter å den Personuppgiftsansvariges vägnar och i enlighet med dennes dokumenterade instruktioner, om inte hanteringen erfordras av lagstiftning inom EU eller en medlemsstat i EU under vilken Personuppgiftsbiträdet lyder. I sådant fall ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om lagkravet innan hanteringen inleds, om inte nämnda lagstiftning på goda grunder och i allmänhetens intresse förbjuder sådan information. Detta Biträdesavtal är liktydigt med dokumenterade instruktioner från den Personuppgiftsansvarige till Personuppgiftsbiträdet. På begäran från den Personuppgiftsansvarige ska Personuppgiftsbiträdet även korrigera, rätta eller blockera registrerade Personuppgifter samt säkerställa att endast personal med lämplig utbildning har tillgång till Personuppgifterna.
c. Med beaktande av hanteringens beskaffenhet och den information som finns tillgänglig för Personuppgiftsbiträdet, stötta den Personuppgiftsansvarige när det gäller att uppfylla dennes skyldigheter under tillämpliga Dataskyddslagar, inklusive när det gäller att utföra eventuellt nödvändiga konsekvensbedömningar avseende dataskydd.
d. Vidta lämpliga tekniska och organisatoriska åtgärder enligt vad som erfordras i tillämpliga Dataskyddslagar för att skydda Personuppgifterna mot oavsiktlig eller rättsstridig förstörelse eller förlust, förändring, otillåten åtkomst, offentliggörande eller överföring, missbruk och alla andra former av otillåten hantering, samt vidta åtminstone följande säkerhetsåtgärder:
i. Pseudonymisering och kryptering av Personuppgifter;
ii. Kapacitet att säkerställa löpande sekretess, integritet, tillgänglighet och motståndskraft hos system och tjänster;
iii. Kapacitet att återställa åtkomsten till Personuppgifterna inom rimlig tid i det fall en fysisk eller teknisk incident skulle inträffa;
iv. Rutiner för regelbunden testning, bedömning och utvärdering av effektiviteten hos de tekniska och organisatoriska åtgärderna för att säkerställa säker hantering.
I Bilaga 1 dokumenterar Personuppgiftsbiträdet implementeringen av tekniska och organisatoriska åtgärder.
e. Ge den Personuppgiftsansvarige tillgång till all information som krävs för att uppvisa efterlevnad av Personuppgiftsbiträdets skyldigheter att följa tillämpliga Dataskyddslagar samt tillåta och bidra till granskningar, inklusive inspektioner, som utförs av den
Personuppgiftsansvarige eller annan granskare som arbetar under den Personuppgiftsansvariges bemyndigande. Den Personuppgiftsansvariges rätt till granskning förutsätter att Personuppgiftsbiträdet meddelas skriftligt om detta minst fyra (4) veckor innan granskningen.
f. Rörande punkt (e) ovan, omedelbart meddela den Personuppgiftsansvarige om Personuppgiftsbiträdet anser att någon av instruktionerna från den Personuppgiftsansvarige bryter mot Dataskyddslagarna.
g. Med beaktande av hanteringens beskaffenhet och den information som finns tillgänglig, så långt det är möjligt stötta den Personuppgiftsansvarige med lämpliga tekniska och organisatoriska åtgärder för att uppfylla den Personuppgiftsansvariges skyldighet att tillhandahålla information om insamling, hantering eller användning av Personuppgifter till Registrerade individer och svara på frågor från Registrerade som vill utöva sina rättigheter. Förfrågningar från Registrerade
låta Personuppgifter som sparas under detta Biträdesavtal överföras till och hanteras av en Underentreprenör, ska följande villkor gälla:
a) Transics ska endast göra detta med hjälp av en skriftlig överenskommelse som binder Underentreprenören till samma skyldigheter som Personuppgiftsbiträdet har enligt detta Biträdesavtal, särskilt avseende skyldigheten att vidta lämpliga tekniska och organisatoriska åtgärder på sådant sätt att hanteringen uppfyller erforderliga krav i tillämpliga Dataskyddslagar.
b) Om Personuppgifter överförs eller kommer att överföras utanför EES till ett land som inte erbjuder en adekvat dataskyddsnivå ska EU:s standardavtalsklausuler för bearbetningsföretag ingås mellan Underleverantören och den Personuppgiftsansvarige (i förekommande fall med Transics som agerar för den Personuppgiftsansvariges räkning) eller andra adekvata mekanismer för dataöverföring införas i enlighet med tillämplig dataskyddslagstiftning, och Kunden godkänner härmed uttryckligen Transics att ingå standardavtalsklausuler med Underleverantörerna som förtecknas i de relevanta Bilagorna för Kundens räkning.
9. Tillämplig lag och jurisdiktion
Detta Personuppgiftsbiträdesavtal lyder under samma lag som reglerar det relevanta Tjänsteavtalet (om detta val av lag är ogiltigt under gällande lagstiftning i det land där den relevanta Personuppgiftsansvarige är etablerad ska valet av lag vara lagen i det land där den relevanta Personuppgiftsansvarige är etablerad).
Den behöriga domstolen för avtalsenliga eller icke avtalsenliga tvister som uppstår med anledning av eller i samband med detta Biträdesavtal ska vara densamma som den som avtalats i Tjänsteavtalet. Detta stycke påverkar dock inte någon av Parternas respektive obligatoriska skyldigheter under tillämpliga Dataskyddslagar.
ÖVERENSKOMMET mellan Parterna genom deras vederbörligen bemyndigade företrädare på den dag då båda Parter har skrivit under detta Personuppgiftsbiträdesavtal.
För och på uppdrag av:
Transics
individer direkt till Personuppgiftsbiträdet ska
vidarebefordras till den Personuppgiftsansvarige.
c) Om Underentreprenören inte uppfyller skyldigheterna
gällande dataskydd under en sådan skriftlig
h. Omedelbart meddela den Personuppgiftsansvarige vid Personuppgiftsincidenter som rör Personuppgifter som hanteras av Personuppgiftsbiträdet och, med beaktande av hanteringens beskaffenhet och den information som finns tillgänglig, så långt det är möjligt stötta den Personuppgiftsansvarige i uppfyllandet av dennes skyldigheter i händelse av en Personuppgiftsincident.
i. Efter beslut av den Personuppgiftsansvarige radera eller tillbakalämna alla Personuppgifter till den Personuppgiftsansvarige när tillhandahållandet av tjänsterna med koppling till hanteringen avslutas samt radera befintliga kopior om inte lagstiftning inom EU eller någon av EU:s medlemsstater kräver att Personuppgifterna sparas. Om inga val eller instruktioner har lämnats in 3 månader efter det att Tjänsterna har avslutats kommer Transics inte längre att göra Personuppgifterna tillgängliga eller radera dem. Kunden ska exportera de nödvändiga uppgifterna via Transics tooling inom 3 månader efter det att Tjänsterna har avslutats.
j. Säkerställa att personer (till exempel anställda) som har behörighet att hantera Personuppgifterna är bundna av sekretess eller har lagfäst skyldighet att bevara uppgifterna konfidentiella.
k. Utan att upphäva den Personuppgiftsansvariges skyldigheter som anges i artikel 6.4 nedan, upprätthålla ett register över alla kategorier av hanteringsaktiviteter som utförts å den Personuppgiftsansvariges vägnar i enlighet med dataskyddsförordningen.
Personuppgiftsbiträdet har rätt att kräva ersättning för bistånd som tillhandahålls den Personuppgiftsansvarige och som överskrider kraven i Dataskyddslagar och detta Biträdesavtal.
5. Hantering som utförs av Underentreprenörer
1. Genom detta Biträdesavtal ger den Personuppgiftsansvarige Personuppgiftsbiträdet en allmän skriftlig tillåtelse att anlita en annan Part för att sköta hela eller delar av hanteringen under detta Biträdesavtal.
2. Parterna är eniga om att alla Underentreprenörer som listas i Bilaga 2 är uttryckligen godkända.
3. Personuppgiftsbiträdet ska meddela den Personuppgiftsansvarige om planerade ändringar gällande tillägg eller ersättning av andra hanterande Parter och därmed ge den Personuppgiftsansvarige möjlighet att invända mot sådana ändringar. Om den Personuppgiftsansvarige har sakliga och legitima skäl att motsätta sig den specifika Underentreprenören ska Personuppgiftsbiträdet informeras om dessa invändningar så snart som möjligt efter mottagandet av Personuppgiftsbiträdets meddelande rörande nämnda Underentreprenör.
4. Om Transics, med den Personuppgiftsansvariges allmänna samtycke enligt ovan, vidtar åtgärder för att eller överväger att
överenskommelse ska Personuppgiftsbiträdet förbli fullt ansvarigt gentemot den Personuppgiftsansvarige när det gäller uppfyllandet av Underentreprenörens skyldigheter, föremål för de ansvarsbegränsningar som avtalats i detta Biträdesavtal.
6. Den Personuppgiftsansvariges skyldigheter
1. Den Personuppgiftsansvarige beslutar om syftet med och metoder för att hantera Personuppgifter med hjälp av Transics Fleet Management Solution.
2. Den Personuppgiftsansvarige garanterar att:
a. Personuppgiftsbiträdet får tillstånd att använda Personuppgifterna för hanteringsändamål enligt vad som anges i detta Biträdesavtal gällande Personuppgiftshantering.
b. Personuppgifterna har lagligen samlats in och hanterats i enlighet med Dataskyddslagar.
c. Det garanteras att tillämpliga Dataskyddslagar efterlevs när den Personuppgiftsansvarige överför Personuppgifter till Personuppgiftsbiträdet för att uppfylla detta Biträdesavtal och när instruktioner ges till Personuppgiftsbiträdet avseende hanteringen av Personuppgifterna.
3. Den Personuppgiftsansvarige ska säkerställa att uppgifterna hanteras på ett sätt som garanterar tillräcklig säkerhet, inklusive skydd mot otillåten eller rättsstridig hantering och mot oavsiktlig förlust, förstörelse eller skada, med hjälp av lämpliga tekniska och organisatoriska åtgärder.
4. Den Personuppgiftsansvarige ska under eget ansvar och i enlighet med dataskyddsförordningen upprätthålla ett register över hanteringsaktiviteter där Transics Fleet Management Solutions ingår.
7. Överlåtelse
Personuppgiftsbiträdet ska inte överlåta sina skyldigheter under detta Biträdesavtal utan föregående skriftligt samtycke från den Personuppgiftsansvarige utom i det fall då överlåtelse sker till ett dotterbolag eller en självständig filial som ingår i ZF- koncernen, i vilket fall inget föregående skriftligt samtycke erfordras från den Personuppgiftsansvarige. Om Personuppgiftsbiträdet överlåter detta
Personuppgiftsbiträdesavtal, med den Personuppgiftsansvariges samtycke, ska detta endast ske genom en skriftlig överenskommelse med den övertagande Parten där denne binds till samma skyldigheter som Personuppgiftsbiträdet har under detta Biträdesavtal.
8. Ansvar
Parternas respektive ansvarsskyldigheter gentemot varandra gällande överträdelse av detta Biträdesavtal samt deras ersättningsskyldigheter gentemot varandra vid tredjepartsanspråk på en Part, på grund av en avtalsenlig eller icke avtalsenlig överträdelse av detta Biträdesavtal eller Dataskyddslagar av någon Part, regleras av de ansvars- och ersättningsvillkor som anges i Tjänsteavtalet mellan Transics och Kunden avseende de relevanta Tjänsterna.
Namn: Xxxxxxx Xxxxxx Funktion: DCS BU Leader
Kunden
Namn: Funktion: Datum:
Bilaga 1: Tekniska och organisatoriska åtgärder
Denna bilaga är till för Kunder och affärspartner och presenterar tekniska och organisatoriska åtgärder för att skydda Personuppgifter mot otillåten åtkomst, korruption och förlust i enlighet med Dataskyddslagar.
Detta dokument tillhandahåller vidare information om de tekniska och organisatoriska åtgärder som Personuppgiftsbiträdet har implementerat i syfte att skydda Personuppgifter.
SÄKERHET AVSEENDE NÄTVERK OCH DATORHALLAR
Den datorhall som Transics använder är en datorhall på nivå 3:
• Tjänstenivåavtal för 100 % strömtillgänglighet
• Tjänstenivåavtal gällande temperatur
Mål: Grundtemperaturen i datorhallen ska kontinuerligt hållas på 18–27 grader Celsius till en utomhustemperatur på under 40 grader Celsius och i enlighet med ASHRAE:s riktlinjer.
• Tjänstenivåavtal gällande luftfuktighet
Mål: Luftfuktigheten i datorhallen ska hållas på 40–60 procent
• Anläggning
Högdensitetslösningar finns tillgängliga Ständig anläggningsdrift (dygnet runt, året runt)
Upphöjt golv på 800 millimeter med 3,5 meter till tak med plenum
Täckt lastkaj med lastbryggor och säkra lagerutrymmen
Golvbelastning 12 kN per kvadratmeter
• Strömförsörjning
Dubbel ströminmatning N+1-generatorer
2N avbrottsfri kraftförsörjning
• Säkerhet
Ständig platsbevakning (dygnet runt, alla dagar i veckan)
Kortläsare och biometri
Grind som förhindrar tailgating
Tre meter högt staket runt anläggningen Övervakningskameror inomhus och utomhus – 90 dagars inspelning
• Efterlevnad och certifieringar
Uptime Institute-certifierad datorhall på nivå 3
Uppfyller kraven för ISO27001, PCI DSS och BREEAM-certifiering
Uppfyller ASHRAE:s standarder och riktlinjer för datorhallar
• Avkylning
Indirekt, adiabatisk lösning med utomhusluft Ingen konventionell mekanisk nedkylning krävs
Inget vatten i datorhallens utrymme för IT- utrustning
TRANSICS ANLÄGGNINGAR
1. Åtkomstkontroll (byggnader, kontor och datorhallar)
Personuppgiftsbiträdet har bland annat men inte enbart implementerat följande åtgärder för att förhindra otillåten tillgång till datasystem som hanterar Personuppgifter:
Anställda har personliga kort / nycklar för att komma in i byggnaden.
Ej behöriga personer ska förhindras från att få fysisk tillgång till anläggningar, byggnader eller rum som innehåller datasystem som hanterar och/eller använder Personuppgifter.
2. Åtkomstkontroll (system) Personuppgiftsbiträdet har bland annat men inte enbart implementerat följande åtgärder för att förhindra att ej behöriga personer otillåtet använder datasystem som hanterar personuppgifter:
Företagsomfattande informationssystem övervakas ständigt av Transics IT-avdelning.
Varje medarbetare har en egen arbetsstation med ett personligt användarnamn och lösenord.
Det finns en automatisk tidsgräns för hur länge arbetsstationen kan lämnas oanvänd. För att åter öppna arbetsstationen krävs användarnamn och lösenord.
Automatisk avstängning av användarnamnet efter att flera felaktiga lösenord har angetts, loggfil över händelser (övervakning av inbrottsförsök).
Samtliga anställda är bundna till sekretessavtal. Tillgång till icke offentliga uppgifter ges endast vid behov och övervakas. Användarna utbildas löpande om vikten av datasäkerhet inom branschen.
Tillgång till produktionssystem sker via flerfaktorsautentisering.
Transics använder funktionsbaserad åtkomst, vilket innebär att bland annat utvecklingsteam, hosting-team och Kundtjänstteam har rollbaserade behörigheter med regelbunden översikt av gruppmedlemskap.
3. Åtkomstkontroll (personuppgifter) Personuppgiftsbiträdet har bland annat men inte enbart implementerat följande åtgärder för att säkerställa att behöriga användare av system för personuppgiftshantering endast får tillgång till uppgifter som de har behörighet till och för att förhindra att Personuppgifter läses utan behörighet under det att uppgifterna används, flyttas eller vilar:
Xxxxxxxxxxxxxxxx autentiseras med hjälp av flerfaktorsautentisering.
Användning av en central inloggningsportal som har säker tillgång till kundapplikationer med Single Sign On, vilket kan kombineras med tvåfaktorsautentisering.
4. Överföringskontroll
Personuppgiftsbiträdet har bland annat men inte enbart implementerat följande åtgärder för att säkerställa att Personuppgifter inte kan läsas, kopieras eller ändras under elektronisk överföring eller vid överflyttning eller lagring till hårddisk. Även följande åtgärder har vidtagits för att kontrollera och styra till vilka instanser som det är tillåtet att överföra Personuppgifter som tillhandahålls via datakommunikationsutrustning:
All kundinteraktion via internet sker med SSL- / TSL-säkra anslutningar
Alla anslutningar till databasen är krypterade
Säkerhetskopior och inaktiva uppgifter är krypterade
5. Inmatningskontroll
Personuppgiftsbiträdet har bland annat men inte enbart implementerat följande åtgärder för att säkerställa, vid ett senare tillfälle kontrollera och avgöra om och av vem som Personuppgifter har matats in, ändrats eller raderats i systemet för personuppgiftshantering:
en auktoriseringspolicy för inmatning av data till minnet samt för läsning, ändring och radering av lagrade uppgifter;
autentisering av anställda med behörighet;
skyddsåtgärder för inmatning av data till minnet samt för läsning, ändring och radering av lagrade uppgifter;
användning av användarkoder (lösenord);
användning av en rutin som innebär att alla Transics anställda som har tillgång till Personuppgifter som hanteras åt Kunden ska välja nya lösenord minst var 90:e dag;
åtgärder som innebär att ingångar till datahanteringsanläggningar (de utrymmen där datorhårdvara och kringutrustning finns) går att låsa;
automatisk utloggning av användare som är inaktiva sedan en viss tid.
6. Beställningskontroll
Personuppgiftsbiträdet har bland annat men inte enbart implementerat följande åtgärder för att säkerställa att Personuppgifter som hanteras av ett Personuppgiftsbiträde på begäran av dataägaren endast ska hanteras enligt
dataägarens instruktioner:
Dataägaren har när som helst rätt att kontrollera att arbetet utförs korrekt enligt beställningen. Transics ska förse Xxxxxx med korrekt information om det arbete som utförs.
7. Tillgänglighetskontroll
Personuppgiftsbiträdet har bland annat men inte enbart implementerat följande åtgärder för att säkerställa att Personuppgifterna skyddas mot oavsiktlig förstörelse eller förlust:
Se avsnittet ”Datorhallar”.
8. Segregerad hantering
Personuppgiftsbiträdet har bland annat men inte enbart implementerat följande åtgärder för att säkerställa att Personuppgifter som samlas in för olika ändamål kan hanteras separat:
För behöriga användare är tillgången till uppgifterna uppdelad med hjälp av applikationssäkerhet;
Separata miljöer för utveckling, kvalitetsarbete och produktion;
Separata miljöer för test och reell drift.
9. Dataskyddsombud
I enlighet med dataskyddsförordningen har Personuppgiftsbiträdet utsett ett dataskyddsombud. Denna person ska säkerställa att dataskyddsförordningen och andra Dataskyddslagar efterlevs. Eventuella frågor kan skickas till dataskyddsombudet via e-post till xxxxxxx.xxxxxxx@xx.xxx.
Bilaga 2: Lista på Underentreprenörer
En översikt över den aktuella listan med Underprocessorer som används av Transics kan hittas via följande länk: xxxxx://xxx.xx.xxx/xxxxx/xxxxxxxxxxxxx