Avtal om databehandling i enlighet med GDPR

Avtal om databehandling, i enlighet med GDPR, mellan Personuppgiftsbiträdet, B2Brouter Global S.L., och Personuppgiftsansvarig.

___________________

Ingress

Detta avtal fastställer de avtalsslutande parternas ansvar när det gäller skydd av personuppgifter. Dessa ansvar följer av alla nuvarande och framtida avtal som innebär behandling av personuppgifter och har ett liknande avtalsinnehåll, såsom skapande och överföring av elektroniska dokument eller elektroniska fakturor via olika nätverk, format och standarder. De specifika detaljerna kommer att fastställas enligt den fördelning eller tilldelning av ansvar som avtalats.

Detta avtal ska tillämpas på alla aktiviteter som rör sådana avtal där Entreprenörens anställda eller av denne utsedda personuppgiftsbiträden (nedan ”Underbiträden”) behandlar Kundens personuppgifter.

1. Avtalets syfte

Detta avtal utgör en integrerad del av Huvudavtalet.

Personuppgiftsbiträdet ska behandla personuppgifter för den Personuppgiftsansvariges räkning.

Ändamålen med behandlingen av personuppgifter anges i de relevanta avtalen. I huvudsak utför Personuppgiftsbiträdet följande aktiviteter:

  • Hosting av IT-infrastruktur
  • Utveckling och implementering av programvara
  • Support- och tjänsteaktiviteter för mjukvaruapplikationer

Varaktighet för databehandlingen:

Detta avtals löptid styrs av Huvudavtalets varaktighet, såvida inte villkoren i detta avtal ålägger skyldigheter som sträcker sig längre än denna period.

När tillhandahållandet av de tjänster som omfattas av detta avtal har avslutats, och om Personuppgiftsbiträdet har lagrat personuppgifter eller andra dokument och/eller media som tillhandahållits på något sätt, ska dessa – efter den Personuppgiftsansvariges val – återlämnas, raderas eller överföras till ett nytt personuppgiftsbiträde, inklusive befintliga kopior. Personuppgiftsbiträdet ska utfärda ett intyg om återlämning eller förstöring om den Personuppgiftsansvarige begär det. Radering av uppgifter ska inte ske när lagstadgad skyldighet att bevara dem föreligger; i sådant fall ska Personuppgiftsbiträdet bevara uppgifterna genom att blockera dem och begränsa behandlingen i den utsträckning som krävs för att hantera eventuella ansvarsförhållanden som kan uppstå ur relationen med den Personuppgiftsansvarige. Personuppgiftsbiträdet är fortsatt bundet av tystnads- och sekretessplikt även efter det att den relation som omfattas av detta avtal har upphört.

Kategori av uppgifter:

  • Personuppgifter: namn, efternamn, postadress, telefonnummer.
  • Arbetsrelaterade uppgifter: avdelning, personalnummer.
  • Åtkomstloggar
  • Övrigt:

Kategori av registrerade:

  • Ledning, chefer
  • Anställda, inklusive volontärer, studenter, ombud, tidsbegränsat anställda.
  • Kunder och användare.
  • Affärskontakter
  • Leverantörer
  • Entreprenörer och deras anställda.

Detta Avtal reglerar de åtgärder som ska avtalas mellan Personuppgiftsansvarig och Personuppgiftsbiträde för att skydda personuppgifter i enlighet med artikel 28 i GDPR.

Varaktighet för databehandlingen:

Giltighetstiden för detta Avtal styrs av Huvudavtalets löptid, såvida inte villkoren i detta Avtal ålägger skyldigheter som sträcker sig längre än denna period.

När tillhandahållandet av de tjänster som omfattas av detta avtal har avslutats, och om Personuppgiftsbiträdet har lagrat personuppgifter eller andra dokument och/eller media som tillhandahållits på något sätt, ska dessa – enligt den Personuppgiftsansvariges beslut – återlämnas, raderas eller överföras till ett nytt personuppgiftsbiträde, inklusive befintliga kopior. Personuppgiftsbiträdet ska utfärda ett intyg om återlämning eller förstöring om den Personuppgiftsansvarige begär det. Radering av uppgifter ska inte ske när det finns en lagstadgad skyldighet att bevara dem; i sådant fall ska Personuppgiftsbiträdet bevara uppgifterna genom att blockera dem och begränsa behandlingen i den utsträckning som krävs för att hantera eventuella ansvarsförhållanden som kan uppstå i relationen med den Personuppgiftsansvarige. Personuppgiftsbiträdet ska upprätthålla tystnads- och sekretessplikten även efter det att den relation som omfattas av detta avtal har upphört.

Kategori av uppgifter:

  • Personuppgifter: namn, efternamn, postadress, telefonnummer.
  • Arbetsrelaterade uppgifter: avdelning, personalnummer.
  • Åtkomstloggar
  • Övrigt:

Kategori av registrerade:

  • Ledning, chefer
  • Anställda, inklusive volontärer, studenter, ombud, tidsbegränsat anställda.
  • Kunder och användare.
  • Affärskontakter
  • Leverantörer
  • Entreprenörer och deras anställda.

Detta Avtal reglerar de åtgärder som ska avtalas mellan Personuppgiftsansvarig och Personuppgiftsbiträde för att skydda personuppgifter i enlighet med artikel 28 i GDPR.

2. Den Personuppgiftsansvariges rättigheter och skyldigheter

Den PERSONUPPGIFTSANSVARIGE garanterar att de uppgifter som lämnas till PERSONUPPGIFTSBITRÄDET har inhämtats på laglig väg och att de är adekvata, relevanta och begränsade till vad som är nödvändigt för ändamålen med behandlingen.

Den PERSONUPPGIFTSANSVARIGE ska tillhandahålla PERSONUPPGIFTSBITRÄDET all information som krävs för att utföra de tjänster som omfattas av uppdraget. Den PERSONUPPGIFTSANSVARIGE upplyser PERSONUPPGIFTSBITRÄDET om att om denne självständigt bestämmer ändamålen med och medlen för behandlingen, kommer han att anses vara Personuppgiftsansvarig och måste uppfylla kraven i tillämplig lagstiftning.

Personuppgiftsansvarig ska omedelbart informera Personuppgiftsbiträdet om denne upptäcker fel eller oegentligheter i den behandling av personuppgifter som utförs av Personuppgiftsbiträdet för dennes räkning. Personuppgiftsbiträdet ska i sin tur utan dröjsmål informera Personuppgiftsansvarig om eventuella rättelser som utförts eller åtgärder som krävs för att avhjälpa sådana fel eller oegentligheter.

Om en registrerad lämnar in ett anspråk mot någon av de avtalsslutande parterna i enlighet med artikel 82 i GDPR, avseende behandling av personuppgifter som omfattas av detta Avtal, ska den berörda parten omedelbart underrätta den andra parten. Parterna åtar sig att samarbeta vid försvaret mot sådana anspråk.

3. Personuppgiftsbiträdets skyldigheter

3.1. Personuppgiftsbiträdet ska behandla personuppgifter för den Personuppgiftsansvariges räkning, i enlighet med vad som anges i Kontraktet och enligt detta Avtal.

Om Personuppgiftsbiträdet, i strid med Personuppgiftsansvariges instruktioner, själv fastställer ändamålen med och medlen för behandlingen av personuppgifter, kommer Personuppgiftsbiträdet att anses vara Personuppgiftsansvarig. I ett sådant fall bär han fullt ansvar för denna behandling, med alla tillhörande skyldigheter enligt GDPR och annan tillämplig lagstiftning.

3.2. Personuppgiftsbiträdet får endast behandla personuppgifter om registrerade inom ramen för de uppgifter som anges i Kontraktet och detta Avtal, och i enlighet med den Personuppgiftsansvariges dokumenterade instruktioner. Detta gäller om inte en rättslig skyldighet kräver annat; i sådant fall ska Personuppgiftsbiträdet, i enlighet med artikel 28.3 a) i GDPR, informera Personuppgiftsansvarig, såvida inte sådan kommunikation är förbjuden enligt lag.

3.3. Personuppgiftsbiträdet ska organisera sin interna struktur på ett sätt som uppfyller de särskilda kraven för dataskydd inom ramen för sitt ansvar. Han ska vidta nödvändiga tekniska och organisatoriska åtgärder för att skydda den Personuppgiftsansvariges uppgifter på ett lämpligt sätt, i enlighet med artikel 32 i GDPR.

Dessa åtgärder ska säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft i de system och tjänster som är kopplade till behandlingen av uppgifter, även på lång sikt. Personuppgiftsbiträdet ska även vidta åtgärder för att kunna återställa tillgänglighet och åtkomst till personuppgifter i skälig tid efter en fysisk eller teknisk incident. Dessutom ska han införa rutiner för att regelbundet granska och utvärdera effektiviteten hos dessa tekniska och organisatoriska åtgärder för att säkerställa en säker behandling.

De åtgärder som ska genomföras inkluderar, när det är nödvändigt för att säkerställa en lämplig skyddsnivå, pseudonymisering och kryptering av personuppgifter. De tekniska och organisatoriska åtgärder som Personuppgiftsbiträdet har vidtagit, såsom de beskrivs i Bilaga 1, har granskats av Personuppgiftsansvarig, som bekräftar att de är bindande. Personuppgiftsansvarig ansvarar för att dessa åtgärder uppfyller de specifika kraven på dataskydd.

3.4. Personuppgiftsbiträdet ska säkerställa att samtliga åtgärder som anges i detta Avtal genomförs vid behandlingen av personuppgifter. Han ska informera Personuppgiftsansvarig om ny teknik som han får kännedom om och som kan förbättra skyddet av personuppgifter.

3.5. Personuppgiftsbiträdet ska upprätta, uppdatera och föra ett register över alla kategorier av behandlingsaktiviteter som utförs för den Personuppgiftsansvariges räkning, inklusive de specifikationer som krävs enligt artikel 30.2 i GDPR.

3.6. Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig, i enlighet med artikel 28.3 e) i GDPR, i den utsträckning det är möjligt, genom att genomföra lämpliga tekniska och organisatoriska skyddsåtgärder. Detta ska göra det lättare för Personuppgiftsansvarig att uppfylla sina skyldigheter att besvara registrerades begäranden enligt kapitel III i GDPR. Sådant stöd kan bland annat omfatta att tillhandahålla information och tillgång till registrerade, rättelse eller radering av uppgifter, begränsning av behandling, säkerställande av rätten att bli bortglömd, underlättande av dataportabilitet och hantering av invändningar mot behandling.

Personuppgiftsbiträdet ska, i enlighet med artikel 28.3 f) i GDPR, bistå Personuppgiftsansvarig med att säkerställa uppfyllandet av säkerhetskraven i artikel 32 i GDPR. Han ska även underlätta hanteringen av anmälningar om personuppgiftsincidenter enligt artikel 33 i GDPR och, när det är nödvändigt, kommunikationen till registrerade enligt artikel 34 i GDPR. Personuppgiftsbiträdet ska dessutom, på begäran, tillhandahålla Personuppgiftsansvarig de uppgifter och handlingar som krävs för detta ändamål.

Personuppgiftsbiträdet ska även bistå, i enlighet med artikel 28.3 f) i GDPR, vid genomförandet av konsekvensbedömningar avseende dataskydd enligt artikel 35 i GDPR, och vid behov vid förhandssamråd med tillsynsmyndigheter enligt artikel 36 i GDPR. Han ska tillhandahålla Personuppgiftsansvarig de uppgifter och handlingar som krävs när denne begär det.

3.7. Personuppgiftsbiträdet ska utse ett dataskyddsombud och en kontaktperson för att hantera Personuppgiftsansvariges frågor om dataskydd inom ramen för Kontraktet och detta Avtal. Alla ändringar av kontaktpersonen ska utan dröjsmål meddelas Personuppgiftsansvarig.

3.8. Personuppgiftsbiträdet ska inte använda personuppgifter för andra ändamål än de som fastställts av Personuppgiftsansvarig, och inte bevara dem längre än den lagstadgade perioden. Inga kopior eller dupliceringar av uppgifterna får skapas utan Personuppgiftsansvariges kännedom och godkännande.

3.9. Personuppgiftsbiträdet ska, i enlighet med Personuppgiftsansvariges skriftliga instruktioner, säkerställa registrerades rättigheter, inklusive radering (rätten att bli bortglömd), rättelse, dataportabilitet, begränsning av behandling, invändning och tillgång, och göra detta utan onödigt dröjsmål.

3.10. Personuppgiftsbiträdet ska omedelbart underrätta Personuppgiftsansvarig eller dennes Dataskyddsombud i följande fall:

  • Om de säkerhetsåtgärder som införts inte uppfyller de krav som fastställs i detta Avtal.
  • Om det sker betydande förändringar i de operativa rutinerna.
  • Vid överträdelser av dataskyddsregler eller bestämmelserna i detta Avtal från Personuppgiftsbiträdets eller dess personals sida.
  • Vid misstanke om personuppgiftsincident eller oegentligheter i behandlingen.

Personuppgiftsbiträdet ska vidta lämpliga säkerhetsåtgärder, i enlighet med Personuppgiftsansvariges instruktioner, för att minimera eventuella negativa effekter för de registrerade.

Detta inkluderar att säkerställa att Personuppgiftsansvarig kan uppfylla sina skyldigheter enligt artiklarna 33 och 34 i GDPR, avseende anmälan av personuppgiftsincidenter till tillsynsmyndigheter och, när det är tillämpligt, till de registrerade. Personuppgiftsbiträdet åtar sig att aktivt samarbeta med Personuppgiftsansvarig för att uppfylla dessa skyldigheter.

Personuppgiftsbiträdet ska anmäla alla personuppgiftsincidenter till Personuppgiftsansvarig via e-post till [gdpr@b2brouter.net](mailto:gdpr@b2brouter.net). Anmälan ska åtminstone innehålla följande information:

  • Beskrivning av incidenten: förklaring av incidentens art, inklusive kategorier av berörda uppgifter och ungefärligt antal berörda personer och poster.
  • Kontaktuppgifter: namn och kontaktuppgifter till den person som kan lämna ytterligare information.
  • Sannolika konsekvenser: beskrivning av de eventuella effekterna av incidenten för de berörda personerna.
  • Vidtagna åtgärder: förteckning över vidtagna eller planerade åtgärder för att åtgärda eller mildra effekterna av incidenten.

Denna process säkerställer tydlig och effektiv kommunikation, vilket gör det möjligt för Personuppgiftsansvarig att uppfylla sina rättsliga skyldigheter enligt GDPR.

3.11. Personuppgiftsansvarig har rätt att, såsom anges i punkt 3.3, inspektera de tekniska och organisatoriska åtgärder som Personuppgiftsbiträdet ska vidta innan någon behandling påbörjas. Han kan dessutom regelbundet kontrollera dessa åtgärder med jämna mellanrum. Inspektionerna kan utföras direkt av Personuppgiftsansvarig eller genom revisioner utförda av en tredje part utsedd av denne, i syfte att säkerställa efterlevnad av dataskyddsreglerna.

3.12. Personuppgiftsbiträdet ska omedelbart underrätta Personuppgiftsansvarig i följande fall:

  • Åtgärder från tillsynsmyndighet: i enlighet med artiklarna 55 ff. och 31 i GDPR, liksom vid varje utredning från tillsynsmyndigheten gentemot Personuppgiftsbiträdet enligt artiklarna 58.2 och 83 ff. i GDPR.
  • Begäranden från registrerade: som rör utövandet av deras rättigheter enligt kapitel III i GDPR, såsom rätt till rättelse, radering, begränsning av behandling, tillgång, dataportabilitet och invändning. Personuppgiftsbiträdet ska vidarebefordra sådana begäranden till Personuppgiftsansvarig utan dröjsmål och samarbeta vid handläggningen.

Personuppgiftsbiträdet får inte, utan föregående skriftlig instruktion från Personuppgiftsansvarig, lämna information till registrerade eller tredje parter om behandlingen av personuppgifter, i enlighet med artikel 15 i GDPR.

3.13. Personuppgifter som används för teständamål ska förvaras på ett säkert sätt. Dessa uppgifter ska inte vara åtkomliga förrän Personuppgiftsansvarig instruerar Personuppgiftsbiträdet att förstöra, radera eller återlämna dem. Radering eller förstöring av uppgifterna ska bekräftas skriftligen till Personuppgiftsansvarig, med angivande av datum för åtgärden.

3.14. När detta Avtal upphör ska Personuppgiftsbiträdet till Personuppgiftsansvarig återlämna eller, på dennes begäran, oåterkalleligt radera all information, dokumentation och alla uppgifter som tillhandahållits av Personuppgiftsansvarig, inklusive personuppgifter och resultatet av det arbete som genererats inom ramen för detta Avtal, förutsatt att det inte finns någon lagstadgad skyldighet att bevara uppgifterna enligt EU-rätten eller nationell rätt i en medlemsstat (se artikel 28.3 g) i GDPR). Personuppgiftsbiträdet ska senast 30 dagar efter begäran bekräfta återlämning, förstöring, radering och blockering av all information och alla register. Samma sak ska gälla för underbiträden.

3.14.1. Personuppgiftsbiträdet får endast lämna ut behandling av uppgifter till tredje part som underbiträde med föregående skriftligt samtycke från Personuppgiftsansvarig. De underbiträden som utsetts av Personuppgiftsbiträdet anges i Bilaga 2 till detta Avtal. För de underbiträden som anges i Bilaga 2 ska samtycket anses lämnat genom undertecknandet av detta Avtal. Personuppgiftsbiträdet ska i förväg informera Personuppgiftsansvarig om alla förändringar, tillägg eller byten av underbiträde, så att Personuppgiftsansvarig ges möjlighet att invända.

3.14.2. Personuppgiftsbiträdet ska säkerställa att underbiträdet väljs med omsorg vad gäller lämpligheten hos de tekniska och organisatoriska åtgärder som tillämpas. Personuppgiftsbiträdet ska säkerställa att avtalet med underbiträdet (i den del som avser behandling av personuppgifter) innehåller villkor som är i allt väsentligt likvärdiga och under alla omständigheter inte mindre stränga än de som anges i detta Avtal.

3.14.3. Överföring av uppgifter är endast tillåten när underbiträdet uppfyller samtliga kraven i artikel 28 i GDPR, inklusive säkerhetsåtgärderna i artikel 32 i GDPR.

3.14.4. I avtalet mellan Personuppgiftsbiträdet och underbiträdet ska de element som anges i punkt 1 tydligt specificeras, så att ansvarsområdena mellan Personuppgiftsbiträde och underbiträde är klart avgränsade. Denna princip ska även gälla för fördelningen av ansvar mellan olika underbiträden.

3.14.5. Personuppgiftsbiträdet ska informera Personuppgiftsansvarig om de väsentliga delarna i de avtal som ingåtts med underbiträden och om hur de dataskyddsskyldigheter som avtalats där genomförs. Vid behov ska avtalet lämnas till Personuppgiftsansvarig för genomgång.

3.14.6. Underleverans enligt detta Avtal omfattar inte stödtjänster som Personuppgiftsbiträdet anlitar från tredje part för att underlätta genomförandet av Avtalet, till exempel telekommunikationstjänster, städtjänster, revisioner eller destruktion av media. För att säkerställa skydd och säkerhet för personuppgifter ska Personuppgiftsbiträdet dock:

  • ingå lämpliga avtal som uppfyller tillämplig lagstiftning,
  • övervaka dessa tredje parters aktiviteter för att säkerställa att de uppfyller de dataskyddsstandarder som anges i detta Avtal.

3.15. Varje överföring av uppgifter till ett tredjeland kräver föregående godkännande från Personuppgiftsansvarig och får endast ske om kraven i artiklarna 44 och följande i GDPR uppfylls.

3.16. Om Personuppgiftsansvariges personuppgifter som innehas av Personuppgiftsbiträdet äventyras genom utmätning, beslag, insolvensförfarande, konkurs eller andra åtgärder eller förfaranden av tredje part, ska Personuppgiftsbiträdet omedelbart underrätta Personuppgiftsansvarig. Personuppgiftsbiträdet ska dessutom utan dröjsmål informera alla berörda parter om att ensam rådighet och äganderätt till personuppgifterna tillkommer Personuppgiftsansvarig, i enlighet med GDPR.

4. Konfidentialitet och integritet

4.1. Personuppgiftsbiträdet ska säkerställa att alla personer som är behöriga att behandla personuppgifter har undertecknat ett skriftligt sekretessåtagande innan de påbörjar någon aktivitet, i enlighet med artikel 5.1 f) i GDPR. På motsvarande sätt ska Personuppgiftsansvarig se till att dennes personal är korrekt informerad om de skyldigheter som följer av detta Avtal, av GDPR och av andra relevanta krav på dataskydd. Personuppgiftsansvarig ska även säkerställa att personalen känner till hans instruktioner. Personuppgiftsansvarig ska övervaka efterlevnaden av dataskyddsreglerna och villkoren i detta Avtal.

4.2. Skyldigheten att upprätthålla konfidentialitet och integritet kvarstår även efter det att anställningsförhållandet har upphört.

4.3. Personuppgiftsansvarig är skyldig att respektera sekretessen kring alla affärshemligheter och dataskyddsåtgärder som tillhör Personuppgiftsbiträdet och som denne får kännedom om under den avtalsmässiga relationen.

5. Ansvar och skadestånd

Personuppgiftsbiträdet är ansvarigt gentemot Personuppgiftsansvarig för varje skada eller förlust som orsakas av obehörig eller felaktig behandling av personuppgifter, oavsett om detta sker inom ramen för avtalsförhållande eller utomobligatoriskt ansvar, i enlighet med GDPR och annan tillämplig dataskyddslagstiftning. Detta innefattar särskilt:

  • Behandling av uppgifter i strid med Personuppgiftsansvariges instruktioner.
  • Felaktig behandling till följd av Personuppgiftsbiträdets underlåtenhet att uppfylla sina skyldigheter enligt detta Avtal.

Personuppgiftsbiträdet åtar sig att ersätta Personuppgiftsansvarig och att

friställa denne från alla anspråk från tredje part i detta sammanhang, i enlighet med

artikel 82.3 i GDPR.

6. Avtalets varaktighet

6.1. Detta Avtals varaktighet bestäms av Huvudavtalets löptid, förutsatt att bestämmelserna i detta Avtal inte ger upphov till skyldigheter som sträcker sig längre. Detta Avtal kan sägas upp med tre (3) månaders skriftligt uppsägningstid till den andra parten.

6.2. Om Personuppgiftsbiträdet inte uppfyller de skyldigheter som anges i punkt 3 i detta Avtal, eller inte tillhandahåller de tjänster som beskrivs i punkt 1, och om den motsvarande begäran eller tillsägelsen från Personuppgiftsansvarig inte får effekt inom en period om sextio (60) dagar, har Personuppgiftsansvarig rätt, utan att det påverkar andra rättigheter, att när som helst skriftligen säga upp detta Avtal med omedelbar verkan utan uppsägningstid.

6.3. Om överföringen av personuppgifter enbart grundas på ett adekvansbeslut enligt artikel 45 i GDPR, förbehåller sig Personuppgiftsansvarig rätten att säga upp Avtalet i förtid om verkan av ett sådant adekvansbeslut har upphävts, ändrats eller återkallats i enlighet med artikel 45.3 andra stycket jämfört med punkt 5 i GDPR.

7. Delbarhet

Om någon bestämmelse i detta Avtal är eller blir ogiltig, helt eller delvis, ska detta inte påverka giltigheten av Avtalets övriga bestämmelser.

Den ogiltiga bestämmelsen ska ersättas med en rättsligt giltig bestämmelse som, i den utsträckning det är möjligt, bäst återspeglar den ekonomiska innebörden och syftet med den ursprungliga bestämmelsen.

8. Allmänna bestämmelser

8.1. Alla ändringar eller tillägg till detta Avtal och till någon av dess beståndsdelar (inklusive de garantier som lämnats av Personuppgiftsbiträdet) ska ske skriftligen. Detta kan ske i elektroniskt format, under förutsättning att det tydligt anges att det är en skriftlig överenskommelse som ändrar eller kompletterar detta Avtal. Denna bestämmelse ska även gälla vid avstående från kraven avseende denna form.

8.2. Vid motstridigheter eller inkonsekvenser mellan bestämmelserna i detta Avtal och bestämmelserna i Huvudavtalet ska villkoren i detta Avtal ha företräde.

8.3. Detta Avtal ska regleras av europeisk lagstiftning. Exklusiv jurisdiktion ska tillkomma domstolarna i Barcelona, Spanien.

B2Brouter Global S.L.

Personuppgiftsbiträde Personuppgiftsansvarig

Bilaga 1: Tekniska och organisatoriska åtgärder / säkerhetskoncept

Följande tekniska och organisatoriska åtgärder (TOM) har avtalats mellan Personuppgiftsansvarig och Personuppgiftsbiträde och specificeras i detta enskilda fall. För ytterligare referenser kan exempellistan konsulteras.

1. Åtgärder för att säkerställa konfidentialitet (art. 32.1 b GDPR)

  • Fysisk åtkomstkontroll

Obehörig åtkomst till system för databehandling är inte tillåten.

  • Logisk åtkomstkontroll

Otillåten användning av systemet är inte tillåten.

Åtkomst sker via säkra kanaler, autentiserade med publik/privat nyckel via bastion-server.

  • Åtkomstkontroll till data

Förhindrande av obehörig läsning, kopiering, ändring eller radering inom systemet.

  • Separationskontroll

Separat behandling av uppgifter som samlats in för olika ändamål.

Kunddata är logiskt separerade.

  • Radering av data

Utrangerade diskar eller servrar raderas flera gånger i enlighet med policyn för säker radering.

2. Åtgärder för att säkerställa integritet (art. 32.1 b GDPR)

  • Överföringskontroll

Förhindrande av obehörig läsning, kopiering, ändring eller radering under elektronisk överföring eller transport.

Överföring av data sker via säkra, krypterade kanaler.

All personal utbildas och är skyldig att behandla personuppgifter i enlighet med gällande dataskyddsstandard.

  • Inmatningskontroll

Fastställande av om och av vem personuppgifter har matats in, ändrats eller raderats i behandlingssystemen (t.ex. loggning, dokumenthantering).

3. Åtgärder för att säkerställa tillgänglighet och motståndskraft (art. 32.1 b GDPR)

  • Tillgänglighetskontroll

Skydd mot oavsiktlig skada, förstörelse eller förlust genom backup- och återställningsstrategier.

System och data är distribuerade mellan olika datacenter belägna i olika länder inom Europeiska unionen (Tyskland och Finland).

Kontinuitetsplaner för kritiska aktiviteter och katastrofåterställningsplaner.

  • Ingen behandling av uppgifter för Personuppgiftsansvarigs räkning sker enligt art. 28 GDPR utan dennes instruktioner.
  • Motståndskraft

System och tjänster (t.ex. lagring, åtkomst, nätkapacitet osv.) är utformade för att säkerställa drift även vid hög, intermittent eller konstant belastning.

System och tjänster är implementerade i en högtilgänglig arkitektur och övervakas kontinuerligt.

Alla servrar har speglade diskar.

Säkerhetssystem som brandväggar, antivirus, antispam och kryptering används.

4. Åtgärder för pseudonymisering av personuppgifter

  • Separation av kunders masterdata och kunders användardata.
  • Personuppgifter pseudonymiseras när det är nödvändigt.

5. Åtgärder för att snabbt återställa tillgängligheten av personuppgifter efter en fysisk eller teknisk incident

  • Redundant lagring av data
  • Redundant IT-infrastruktur
  • Reservdatacenter

6. Rutiner för regelbunden granskning, utvärdering och bedömning (art. 32.1 d och art. 25.1 GDPR)

  • Integritetsskyddshantering
  • Incidenthantering
  • Dataskydd som standard (art. 25.2 GDPR)
  • Utvärdering av CISO, IT-säkerhetsrevisioner
  • Extern utvärdering, revisioner, ISO27001-certifieringar.

Bilaga 2: Underbiträden

Utsedd verksamhet Uppdragets omfattning Plats för behandling Typ av uppgifter
INGENT SYSTEM SL Outsourcing av programmerings- och IT-aktiviteter Vilafranca del Penedès (Spanien) Uppgifter relaterade till kundkonton (e-postadresser, namn, bankkonton osv.)
Hetzner Online GmbH Outsourcing av servrar Gunzenhausen (Tyskland) Ingen åtkomst till personuppgifter
×
Cookies
Vi använder cookies. Om du är nöjd med detta klickar du bara på "Acceptera alla". Du kan också välja vilken typ av cookies du vill ha genom att klicka på "Inställningar". Läs vår cookiepolicy
Justeringar Avvisa allt Acceptera alla och stäng
Cookies
Välj vilken typ av cookies du vill acceptera. Ditt val sparas i ett år. Läs vår cookiepolicy
Spara Avvisa allt Acceptera alla och stäng