Databehandlingsavtal
Gäller från den 29 september 2023 | Se en tidigare version av databehandlingsavtalet | Jämför ändringar
I enlighet med kraven i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (nedan kallat ”GDPR”) ingår Leverantören (nedan kallad ”Registerförare”) och Du (nedan kallad ”Registeransvarig”) ett avtalsförhållande om databehandling för att definiera villkoren för behandling av personuppgifter, sättet dessa ska skyddas på, samt för att definiera andra rättigheter och skyldigheter för båda parter vid behandlingen av personuppgifter för registrerade på uppdrag av den Registeransvariga under genomförandet av föremålet för dessa Villkor som huvudavtal.
1. Behandling av personuppgifter. De tjänster som tillhandahålls i enlighet med dessa Villkor inkluderar behandling av information om en identifierad eller identifierbar fysisk person angiven i Sekretesspolicyn (nedan kallat ”Personuppgifter”).
2. Godkännande. Den Registeransvariga godkänner att Registerföraren behandlar Personuppgifter, inklusive följande instruktioner:
(i) Syfte med behandling avser tillhandahållande av tjänster i enlighet med dessa villkor. Registerföraren är endast tillåten att behandla Personuppgifter för den Registeransvarigas räkning avseende tillhandahållande av tjänster som begärs av den Registeransvariga. All information som samlas in för ytterligare ändamål behandlas utanför avtalsförhållandet mellan Registerförare och Registeransvarig.
(ii) Behandlingsperiod avser perioden från det att samarbete ingås enligt dessa Villkor till dess att tjänsterna avslutas.
(iii) Omfattning och Personuppgiftskategorier. Tjänsterna är endast avsedda för behandling av allmänna personuppgifter. Den registeransvariga är dock ensam ansvarig för fastställandet av personuppgifternas omfattning.
(iv) Registrerad avser en fysisk person som behörig användare av Registerförarens enheter.
(v) Behandlingsaktiviteter avser alla åtgärder som är nödvändiga för bearbetning.
(vi) Dokumenterade instruktioner avser instruktioner som beskrivs i dessa Villkor, dess Bilagor, Sekretesspolicyn och tjänstedokumentation. Den Registeransvariga ska ansvara för att Registerförarens behandling av Personuppgifter är juridiskt tillåten enligt respektive tillämplig dataskyddslagstiftning.
3. Registerförarens skyldigheter. Registerföraren är skyldig att:
(i) behandla Personuppgifter endast på grundval av dokumenterade instruktioner och för det ändamål som definieras i Villkoren, dess Bilagor, Sekretesspolicyn och tjänstedokumentation
(ii) att instruera de personer som är behöriga att behandla Personuppgifterna (nedan kallade ”Behöriga personer”) om deras rättigheter och skyldigheter enligt GDPR, om deras ansvar i händelse av överträdelse och se till att Behöriga personer har åtagit sig att iaktta konfidentialitet och följer de dokumenterade instruktionerna
(iii) genomföra och följa de åtgärder som beskrivs i Villkoren, dess Bilagor, Sekretesspolicyn och tjänstedokumentation
(iv) hjälpa den Registeransvariga att svara på förfrågningar från Registrerade gällande deras rättigheter Registerföraren får inte rätta, radera eller begränsa behandlingen av Personuppgifter utan instruktion från den Registeransvariga Alla förfrågningar från Registrerade relaterade till Personuppgifter som behandlas för den Registeransvarigas räkning ska vidarebefordras till den Registeransvariga utan dröjsmål
(v) bistå den Registeransvariga med att meddela personuppgiftsincident till tillsynsmyndigheten och den Registrerade. Registerföraren ska underrätta den Registeransvariga om eventuella incidenter rörande behandling av Personuppgifter eller personuppgiftssäkerhet omedelbart efter upptäckten. Registerföraren ska i rimlig utsträckning samarbeta i en utredning och åtgärd kring sådan incident och vidta rimliga åtgärder för att begränsa ytterligare negativa konsekvenser
(vi) om den Registeransvariga så väljer, att ta bort eller återlämna alla Personuppgifter till den Registeransvariga efter Behandlingsperiodens slut. Den Registeransvariga åtar sig att informera Registerförare om sitt beslut inom tio (10) dagar efter Behandlingsperiodens slut. Denna bestämmelse ska inte påverka Registerförarens rätt att behålla Personuppgifterna i den utsträckning som är nödvändig för arkiveringsändamål av allmänt intresse, vetenskapliga forskningsändamål, statistiska ändamål eller för att fastställa, utöva eller försvara rättsliga fordringar
(vii) föra ett uppdaterat register över alla kategorier av Behandlingsaktiviteter som utförs för den Registeransvarigas räkning
(viii) göra all information som krävs för att demonstrera efterlevnad som en del av Villkoren, dess Bilagor, Sekretesspolicy och tjänstedokumentation tillgänglig för den registeransvariga. Vid granskning eller kontroll av behandlingen av Personuppgifter från den Registeransvarigas sida är den registeransvariga skyldig att skriftligen informera Registerföraren minst trettio (30) dagar före den planerade granskningen eller kontrollen.
4. Anlita en annan registerförare. Registerföraren har rätt att anlita en annan registerförare för att utföra specifika behandlingsaktiviteter, såsom tillhandahållande av molnlagring och infrastruktur för tjänsten i enlighet med Villkoren, dess Bilagor, Sekretesspolicyn och tjänstedokumentation. Microsoft tillhandahåller för närvarande molnlagring och infrastruktur som en del av molntjänsten Azure. I sådant fall förblir Registerföraren den enda kontaktpunkten och den part som ansvarar för efterlevnaden. Registerföraren åtar sig härmed att informera den Registeransvariga om eventuella tillägg eller byten av en annan registerförare i syfte att kunna invända mot en sådan ändring.
5. Territorium för behandling. Registerföraren säkerställer att behandlingen sker inom det Europeiska ekonomiska samarbetsområdet eller i ett land som har utsetts som säkert enligt Europeiska kommissionens beslut på grundval av den registeransvarigas beslut. Standardavtalsklausuler ska gälla vid överföringar och behandling utanför Europeiska ekonomiska samarbetsområdet eller ett land som utsetts som säkert genom beslut av Europeiska kommissionen på begäran av den Registeransvariga.
6. Säkerhet. Registerföraren är ISO 27001:2013-certifierad och använder ISO 27001-ramverket för att implementera en säkerhetsstrategi med försvar i flera lager när säkerhetskontroller tillämpas på nätverkslager, operativsystem, databaser, program, personal och driftsprocesser. Efterlevnaden av de regulatoriska och avtalsenliga kraven utvärderas och granskas regelbundet på samma sätt som annan infrastruktur och verksamhet hos Registerföraren, och nödvändiga åtgärder vidtas för att säkerställa efterlevnad på kontinuerlig basis. Registerföraren har organiserat datasäkerheten genom användning av ISMS baserat på ISO 27001. Säkerhetsdokumentationen omfattar främst policydokument avseende informationssäkerhet, fysisk säkerhet, utrustningssäkerhet, incidenthantering, hantering av dataläckor och säkerhetsincidenter osv.
7. Tekniska och organisatoriska åtgärder. Registerförarem ska skydda Personuppgifterna mot oavsiktlig och olaglig skada och förstörelse, tillfällig förlust, ändring, obehörig åtkomst och spridning. För detta ändamål ska Registerföraren vidta adekvata tekniska och organisatoriska åtgärder motsvarande behandlingssättet och den risk som föreligger för de Registrerades rättigheter i och med behandlingen i enlighet med kraven i GDPR. En detaljerad beskrivning av de tekniska och organisatoriska åtgärderna finns i Säkerhetspolicyn.
8. Registerförarens kontaktuppgifter. Alla meddelanden, förfrågningar, krav och annan kommunikation som rör skydd av personuppgifter ska skickas till ESET, spol. s.r.o., adresserat till: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.