Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal 

Uppdaterad: 2019-03-19 

 Detta Personuppgiftsbiträdesavtal (PUB) speglar parternas avtal i förhållande till de villkor som styr behandlingen av Personuppgifter under villkoren i Tjänsteavtalet (Avtalet). Detta PUB är ett tillägg till Avtalet och giltigt vid införandet i Avtalet, detta införande kan vara specificerat i Avtalet, i en Beställning eller ett tillägg till Avtalet. Vid införandet i Avtalet är detta PUB en del av Avtalet.   

Från tid till annan kan vi komma att uppdatera dessa villkor. Om du har ett aktivt konto så kommer vi att meddela dig via e-post.  

 Villkoren i detta PUB följer de villkor som definierats i Avtalet. Villkor som ej definierats i detta PUB skall ha den tolkning som definierats i Avtalet.  

Du kan hitta Underbiträden till oss här: https://brainnordic.com/sv/underbitrade. Detta är en lista på Underbiträden som vi använder i anslutning till tjänsten och i vår leverans av tjänsten till dig. 

1.   Definitioner 

”Ansvarig” betyder den juridiska person, offentliga institution, agent eller annan part, som ensamt eller tillsammans med andra, avgör syftet och sättet för behandlingen av Personuppgifter.  

 ”Dataskyddslagstiftning” betyder alla applicerbara lagar och förordningar som gäller dataskydd, integritet och personuppgiftsbehandling, inklusive men inte begränsat till EU:s Dataskyddsdirektiv 94/46/EC och alla lokala lagar och förordningar som ersätter eller gör tillägg till dem, inklusive GDPR. Detta tillsammans med alla nationella lagar i medlemsstater inom Europeiska Unionen eller där tillämpligt i något land som läggs till, tas bort, slås samman eller ersätts från tid till annan. Uttrycket ”behandla” och ”behandlad” kommer att tolkas i enlighet med sammanhang. 

  ”Registrerad” betyder den individ till vilken Personuppgifter kan kopplas.  

 ”GDPR” betyder General Data Protection Regulation (EU) 2016/679 till skydd för persondata och den fria rörligheten av sådana data.  

”Instruktion” betyder den skriftliga, dokumenterade instruktion, som utfärdats av Ansvarig till Biträde, som instruerar denna att utföra en specifik handling med hänsyn till Personuppgifter (inklusive men ej begränsat till pseudonymisering, anonymisering, blockering, borttagning, tillgängliggörande).  

 ”Personuppgifter” betyder information som kan kopplas till en nu levande individ, som ingår i Kunddata och skyddas på samma sätt som persondata eller personligt identifierbar information under gällande lagstiftning. 

  “Personuppgiftsincident” betyder ett intrång i säkerheten som leder till en oavsiktlig eller olaglig förstörelse av-, förlust av-, ändring av-, exponering av- eller tillgång till Personuppgifter som skickas, lagras eller behandlas i tjänsten. 

 ”Behandling” betyder alla handlingar eller processer som genomförs av Personuppgifter, där ingår insamling, lagring, organisering, strukturering, anpassning eller förändring, återhämtning, uppslagning, användning, exponering genom sändning eller på annat sätt tillgängliggörande, kombinera, begränsa eller radera Personuppgifter. 

”Biträde” betyder den juridiska person, offentliga institut, agent eller annan part som behandlar Personuppgifter på uppdrag av Ansvarig.   

”Underbiträden” betyder de Biträden som Brain har anlitat för att leverera tjänsten och finns listade på: https://brainnordic.com/sv/underbitrade 

2.   Beskrivning av behandling  

  1. Kategorier av Registrerade. Ansvarig kan skicka in Personuppgifter i tjänsten, i en utsträckning som kontrolleras och i helhet beslutas av Ansvarig och kan inkludera men ej begränsas till Ansvarigs kontakter och andra personer. Detta inkluderar Ansvarigs anställda, leverantörer, underleverantörer, kunder, potentiella kunder, konsulter och annan personal. Registrerade inkluderar även individer som genom egen handling överför Personuppgifter till Ansvarig via tjänsten.
  2. Typer av Personuppgifter. Kontaktinformation (som angivet i Tjänsteavtalet), i en utsträckning som kontrolleras och avgörs av Kunden, samt andra Personuppgifter såsom namn, adress, personliga identifierare, geografiska data (inklusive användning av hemsida), e-postinformation, systemanvändningsinformation, API-data och annan elektroniskt överförd, lagrad, skickad eller mottagen till Ansvarig, eller Ansvarigs användare, genom tjänsten.
  3. Syfte och behandlingens art. Syftet för Personuppgiftsbehandling av Biträdet är tillhandahållandet av tjänsten till Ansvarig som inbegriper behandling av Personuppgifter. De Personuppgifter som kommer att omfattas av behandling är angivna i Avtalet eller i Beställningen. Personuppgifter kommer att behandlas för syftet att tillhandahålla de tjänster som definierats och därpå lämnats instruktioner för av Ansvarig, i sin användning av Tjänsten och som avtalats i Avtalet eller i Beställningen.
  4. Personuppgifter kommer att behandlas under Avtalets giltighetstid, se sektion 4 av detta PUB. 

3.   Ansvarigs ansvar  

Inom detta Avtals omfattning och i sin användning av tjänsten skall Ansvarig vara ensamt ansvarig för att följa gällande dataskyddslagstiftning i förhållande till dataskydd, integritet och Personuppgifter, i synnerhet gällande exponering av- och överföring av Personuppgifter till Biträdet och behandlingen av Personuppgifter. Ansvarig är även ensamt ansvarig för att fastställa laglig grund för personuppgiftsbehandlingen som Biträdet gör på uppdrag av Ansvarig.  

För att undvika missförstånd, den Ansvariges instruktioner till Biträdet gällande personuppgiftsbehandling skall följa dataskyddslagstiftningen.  

Detta PUB är Kundens kompletta och slutgiltiga instruktion gällande Personuppgifter och ytterligare instruktioner utanför detta PUB skulle kräva i förtid skriftlig överenskommelse mellan Parterna. Instruktionerna skall initialt vara specificerade i Avtalet och kan från tid till annan därefter tilläggas, förstärkas eller ersättas av Ansvarig i separata skriftliga instruktioner (som individuella instruktioner).   

Ansvarig skall informera Biträdet utan fördröjning och i detaljerad omfattning alla fel eller oegentligheter i förhållande till lagstadgade bestämmelser vid behandlingen av Personuppgifter.   

4.   Biträdets skyldigheter  

a. Efterföljande av instruktionerna. Parterna erkänner och avtalar om att Kunden är Ansvarig för Personuppgifter och att Brain är Biträde i behandlingen av dessa data. Biträdet skall samla, behandla och använda Personuppgifter enbart i den utsträckning som Ansvarig instruerat. Om Biträdet tror att en instruktion från Ansvarig kränker de Registrerades rättigheter enligt gällande dataskyddslagstiftning skall Biträdet informera Ansvarig om detta omedelbart. Om Biträdet inte kan processa Personuppgifter i enlighet med instruktionerna på grund av juridiska skäl under gällande dataskyddslagstiftning skall Biträdet (i) skyndsamt meddela Ansvarig om de lagliga krav som krävs innan behandling sker i den utsträckning som tillåts av gällande dataskyddslagstiftning; och (ii) upphöra med all behandling (annat än att lagra och skydda de påverkade Personuppgifterna) till dess att Ansvarig utfärdar nya instruktioner som Biträdet kan följa. Om detta villkor åkallas skall Biträdet inte vara skyldig i förhållande till Ansvarig för att ej utfört sina skyldigheter under Avtalet, till dess att Ansvarig utfärdar nya instruktioner för behandlingen.   

b. Säkerhet. Biträdet skall iaktta lämpliga tekniska och organisatoriska åtgärder för att säkerställa adekvat skydd av Persondata mot oavsiktlig eller olaglig förstöring, förlust, förändring, otillbörlig exponering eller otillbörlig tillgång till Personuppgifter. Sådana åtgärder inkluderar, men är inte begränsat till (i) förebyggande av tillgång till Personuppgifter av obehöriga personer; (ii) förebyggande av systemtillgång till system för behandling av Personuppgifter av obehöriga personer; (iii) säkerställande att personer med tillgång till system för behandling av Personuppgifter endast får tillgång till uppgifter som de är auktoriserade att ha tillgång till och att i behandlingen av personuppgifter säkerställa att sådana uppgifter ej går att läsa, kopiera, ändra eller radera utan tillbörlig behörighet; (iv) säkerställa att Personuppgifter inte kan läsas, kopieras, ändras eller raderas utan auktorisering under elektronisk överföring, transport eller lagring och att mottagaren för informationen vid elektronisk överföring kan verifieras; (v) säkerställa en spårbarhet i behandlingen av Personuppgifter gällande vem som fått tillgång till-, ändrat i-, eller raderat Personuppgifter i de system som behandlat Personuppgifter; (vi) säkerställa att Personuppgifter enbart behandlas i enlighet med instruktionerna från Ansvarig; (vii) säkerställa att Personuppgifter skyddas mot oavsiktlig förstörelse eller förlust.   

Biträdet skall underlätta Ansvarigs efterföljande av Ansvarigs skyldigheter att fastställa säkerhetsåtgärder gällande personuppgifter (inklusive, om tillämpligt, Ansvarigs skyldigheter under Artikel 32 till 34 av GDPR, genom (i) implementering och underhåll av säkerhetsåtgärderna beskrivna i Tillägg 2; (ii) efterföljande av villkoren i sektion 4.d. (Personuppgiftsincidenter); och (iii) tillhandahållande av information till Ansvarig i anslutning till behandlingen i enlighet med Sektion 6 (Kontroller).   

c. Sekretess. Biträdet skall säkerställa att all personal som Biträdet auktoriserar att behandla personuppgifter på sitt uppdrag är bundna av sekretess gällande personuppgifter. Sekretess skall gälla även efter ovan nämnda aktiviteter.   

d.Personuppgiftsincidenter. Biträdet skall meddela Ansvarig utan onödig fördröjning då det upptäcker att det skett en personuppgiftsincident som påverkar personuppgifter. På Ansvarigs begäran skall Biträdet tillhandahålla Ansvarig all tänkbar hjälp nödvändig för att Ansvarig skall kunna meddela personuppgiftsincidenten till tillbörliga myndigheter och/eller de Registrerade som påverkats, om Ansvarig är bunden att göra så under lag.  

 e. Radering och återlämnande av personuppgifter. Förutom i den utsträckning som krävs för att följa dataskyddslagstiftningen, skall Biträdet vid Avtalets upphörande eller uppsägning radera eller återlämna alla personuppgifter (inklusive kopior) som behandlats i enlighet med detta PUB-avtal. Om Biträdet ej kan radera personuppgifter av tekniska eller andra skäl skall Biträdet säkerställa att ingen mer behandling sker av uppgifterna. Ansvarig skall, vid Avtalets upphörande eller uppsägning och genom en instruktion definiera rimliga åtgärder för återlämnandet eller raderingen av lagrad information, inom en tidsram som definierats av Biträdet. Alla eventuella kostnader som uppstår i samband med raderingen eller återlämnandet av personuppgifter efter att Avtalet upphört skall bäras av Ansvarig.   

Biträdet skall tillåta att Ansvarig kan radera personuppgifter gällande slutanvändare genom funktionalitet i tjänsten.  

f. Personuppgiftsincident – påverkansbedömning och kommunikation med övervakande myndigheter. I den utsträckning som information som krävs är tillgänglig för Biträdet och den Ansvarige inte har tillgång till efterfrågad information, skall biträdet ge rimlig assistans till Ansvarig i utvärderingen av personuppgiftsincidenten, då Ansvarig anser att detta rimligtvis krävs i enlighet med artikel 35 eller 36 av GDPR eller liknande dataskyddslagstiftning. I varje fall ensamt bedömt i relation till behandlingen av personuppgifter.   

5.   Begäran från Registrerade  

Biträdet skall möjliggöra för Ansvarig att respondera på begäran från Registrerade som önskar utöva sina rättigheter under dataskyddslagstiftningen och tillhörande europeiska förordningar. I den utsträckning som Ansvarig inte har möjlighet att respondera på begäran från de Registrerade skall Biträdet lämna rimlig assistans till Ansvarig så att denna kan svara upp mot de Registrerades begäran. Men endast i en utsträckning som är möjlig och nödvändig under gällande dataskyddslagstiftning. Ansvarig skall ersätta Biträdet för de kommersiellt rimliga kostnader som kan uppstå i samband med denna assistans.   

Biträdet skall lämna rimlig assistans, inklusive lämplig tekniska och organisatoriska åtgärder, där man tar hänsyn till behandlingens natur, till den Ansvarige då denne skall svara upp mot de Registrerades rättigheter under gällande dataskyddslagstiftning gällande personuppgifter (inklusive tillgång, rättning, begränsning, radering eller förflyttning av personuppgifter, där tillämpligt), i den utsträckning som är tillåtet under lag. Om en sådan begäran görs direkt till Biträdet skall Biträdet skyndsamt underrätta Ansvarig och informera den Registrerade att denne skall göra sin begäran till Ansvarig. Ansvarig skall ensamt vara ansvarig för att svara på och bemöta en begäran från de Registrerade.   

6.   Kontroller  

Biträdet skall i enlighet med gällande dataskyddslagstiftning och i respons till en rimlig skriftlig begäran från den Ansvarige göra information som är under Biträdets kontroll tillgänglig för Ansvarig i relation till Biträdets skyldigheter under gällande dataskyddslagstiftning i förhållande till behandlingen av personuppgifter. Ansvarig kan genom skriftlig begäran till Biträdet och med 30 dagars varsel, under kontorstid och utan att störa Biträdets dagliga arbete och affärer, genomföra en inspektion av Biträdets tjänsteleverans eller ha en inspektion göras av kvalificerad tredje part, som godkänts av Biträdet. Detta godkännande skall inte med rimlighet utebli.   

Biträdet skall på Ansvarigs skriftliga begäran och med minst 30 dagars varsel till Biträdet, tillhandahålla all information nödvändig för att genomföra en sådan kontroll, förutsatt att informationen ligger under Biträdets kontroll och att Biträdet inte är hindrad av lag, sekretess eller annan skyldighet mot tredje part att dela och göra tillgänglig sådan information.   

7.   Underbiträden  

a. Tillförordnande av Underbiträden. Ansvarig erkänner och avtalar om (a) att under Avtalet kan Brain anlita Underbiträden i dotterbolag och/eller från tredje part, som finns listade på vår hemsida, och (b) att Biträdet och Biträdets Underbiträden kan komma att anlita tredje parts Underbiträden i anslutning till leveransen av tjänsten.  

 Där Biträdet anlitar Underbiträden skall Biträdet ingå i avtal med Underbiträdet som innebär samma ansvar för Underbiträdet som för Biträdet under detta PUB. Där ett Underbiträde ej uppfyller de krav som ställts på dem under gällande dataskyddslagstiftning, skall Biträdet vara ansvarig gentemot Ansvarig för de handlingar som utförts av Underbiträdet.   

Där ett Underbiträde anlitas, skall Ansvarig ha rätten att överse och inspektera Underbiträdets aktiviteter i enlighet med detta PUB och gällande dataskyddslagstiftning. Inklusive rätten att få information från Biträdet, genom skriftlig begäran, gällande Underbiträdesavtalet och implementeringen av dataskyddsskyldigheterna under Underbiträdesavatlet, och där nödvändigt kunna inspektera den relevanta dokumentationen.  

Dessa förutsättningar I sektion 7 skall även gälla om Biträdet anlitar ett Underbiträde utanför Europeiska Unionen ekonomiska sfär (EEA) som inte erkänns av Europeiska Kommissionen att ha ett tillräckligt skydd för personuppgifter. Om Brain under detta PUB skulle överföra personuppgifter till ett Underbiträde utanför EEA skall Brain innan en sådan överföring säkerställa att juridiska förutsättningar finns på plats för att säkerställa tillräckligt skydd för behandlingen. 

  b. Lista över existerande Underbiträden och förbehåll mot nya Underbiträden. Om Biträdet avser att instruera Underbiträden andra än de som finns listade på hemsidan, skall Biträdet ge Ansvarig i förtid notifiering så att denna kan lämna förbehåll och protestera, inom 30 dagar. En protest måste bygga på rimlig grund. Om Biträdet och Ansvarig ej kan komma överens och lösa tvisten, kan bägge parter avsluta Avtalet genom skriftlig begäran till den andre Parten. Ansvarig skall erhålla ersättning för eventuella inbetalda avgifter som ej nyttjats, från uppsägningsdatumet.   

8. Dataöverföringar  

Ansvarig erkänner och avtalar att i anslutning till tjänsteleveransen under Avtalet så kommer personuppgifter att överföras till Brain och Brains dataanläggningar på Irland, hos Amazon Web Services. I den utsträckning som Ansvarig eller Biträdet förlitar sig på specifika lagstadgade mekanismer för att normalisera överförandet av data, och dessa mekanismer senare tas bort, eller hålls som ogiltiga i domstol, så kommer Ansvarig och Biträdet att samarbeta i god tro för att hitta en annan lämplig mekanism som kan stödja en laglig överföring av data. 

 

9.   Allmänna villkor  

Med hänsyn till uppdateringar och förändringar av detta PUB skall villkoren i ”Friskrivningar: Ansvarsbegränsningar” i Avtalet att gälla. Vid en konflikt skall detta PUB ha företräde över Avtalet. Där enskilda delar av detta PUB är ogiltiga eller ogenomförbara, skall andra delar av detta PUB inte påverkas.  

 

10. Parter i detta PUB  

Detta PUB är ett tillägg till- och en del av- Avtalet. Vid införandet av detta PUB i Avtalet innebär det att Ansvarig och Brain som bägge är Parter i Avtalet också är Parter till detta PUB. Och i de fall där Brain inte är Part i Avtalet så är Brain en Part i detta PUB, men endast i hänsyn till sektion 10 av detta PUB.   

Om Brain inte är en Part i Avtalet, skall sektionen i Avtalet som heter ” Friskrivningar; Ansvarsbegränsningar” gälla mellan Ansvarig och Brain oc i detta sammanhang skall ”Brain”, ”vi”, ”oss”, eller ”vår” inkludera Brain.   

Den juridiska part som avtalar med oss under detta PUB presenterar sig själv som auktoriserad att avtala om- och ingå i- detta PUB på Ansvarigs uppdrag, och att detta PUB enbart ingås på Ansvarigs uppdrag. 

 

Bilaga 1 

STANDARDAVTALSKLAUSULER (”registerförare”) 

 

Standardavtalsklausuler enligt artikel 26.2 i direktiv 95/46/EG för överföring av personuppgifter till registerförare i tredjeländer med otillräckligt uppgiftsskydd.  

 Kunden, som definierad i Tjänsteavtalet (Avtalet)  

(”Uppgiftsutföraren”)  

och  

Digital Brain Nordic AB (org.nr 556684-3610), Kungsportsavenyen 21, 411 36 Göteborg.  

(”Uppgiftsinföraren”)   

var och en ”part”, tillsammans ”parterna”.   

HAR ENATS om följande avtalsklausuler (”klausulerna”) för att säkerställa ett adekvat skydd för privatliv och grundläggande rättigheter och friheter för enskilda i samband med överföring från uppgiftsutföraren till uppgiftsinföraren av sådana personuppgifter som anges i tillägg 1.   

Klausul 1  

Definitioner  

I dessa klausuler gäller följande definitioner:  

a)

personuppgifter, särskilda kategorier av uppgifter, behandling, registeransvarig, registerförare, registrerad och tillsynsmyndighet: samma innebörd som i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (1).

 

b)

uppgiftsutförare: den registeransvarige som överför personuppgifterna.

 

c)

uppgiftsinförare: den registerförare som går med på att från uppgiftsutföraren ta emot personuppgifter för vidare behandling i enlighet med uppgiftsutförarens instruktioner och villkoren i klausulerna, och som inte omfattas av ett system i tredjeland som garanterar ett adekvat skydd i den mening som avses i artikel 25.1 i direktiv 95/46/EG.

  

d)

underentreprenör: registerförare som anlitats av uppgiftsinföraren eller av en annan av uppgiftsinförarens underentreprenörer och som går med på att från uppgiftsinföraren eller en annan av uppgiftsinförarens underentreprenör ta emot personuppgifter i den enda avsikten att efter överföringen behandla personuppgifter för uppgiftsutförarens räkning i enlighet med uppgiftsutförandens instruktioner, villkoren i klausulerna samt villkoren i det skriftliga underentreprenörsavtalet.

 

e)

tillämplig uppgiftsskyddslagstiftning: sådan lagstiftning som avser att skydda personers grundläggande fri- och rättigheter, särskilt deras personliga integritet i samband med behandling av personuppgifter, och som är tillämplig på registeransvariga i den medlemsstat där uppgiftsutföraren är etablerad

  

f)

tekniska och organisatoriska säkerhetsåtgärder: åtgärder avsedda att skydda personuppgifter mot oavsiktlig eller olaglig utplåning, oavsiktlig förlust, ändring, otillåtet utlämnande eller otillåten åtkomst, i synnerhet när behandlingen inbegriper överföring av uppgifter över ett nät, och mot varje annan form av olaglig behandling.

Klausul 2  

Information om överföringen

Information om överföringen, och i förekommande fall om särskilda kategorier av personuppgifter, anges i tillägg 1, vilket utgör en integrerad del av klausulerna. 

Klausul 3

Tredjepartsberättigande 

1.

Den registrerade kan i egenskap av berättigad tredjepart åberopa denna klausul och klausulerna 4 b–i, 5 a–e och 5 g–j, 6.1–2, 7, 8.2 samt klausulerna 9–12 gentemot uppgiftsutföraren.

 

2.

Den registrerade kan gentemot uppgiftsinföraren åberopa denna klausul, klausulerna 5 a–e och 5 g, klausulerna 6, 7, 8.2 samt klausulerna 9–12 i sådana fall där uppgiftsutföraren har upphört att existera i faktisk eller rättslig mening, såvida inte en annan enhet enligt avtal eller lag till fullo har övertagit uppgiftsutförarens rättsliga skyldigheter, och som en följd av detta påtar sig uppgiftsutförarens rättigheter och skyldigheter, i vilket fall den registrerade kan åberopa de ovannämnda klausulerna gentemot denna.

 

3.

Den registrerade kan gentemot underentreprenören åberopa denna klausul, klausulerna 5 a–e och 5 g, 6, 7, 8.2 samt klausulerna 9–12 i de fall där uppgiftsutföraren har upphört att existera i faktisk eller rättslig mening eller har hamnat på obestånd, såvida inte en annan enhet enligt avtal eller lag till fullo har övertagit uppgiftsutförarens rättsliga skyldigheter, och som en följd av detta övertar uppgiftsutförarens rättigheter och skyldigheter, i vilket fall den registrerade kan åberopa de ovannämnda klausulerna gentemot denna enhet. Skadeståndsansvaret ska i sådana fall vara begränsat till underentreprenörens egen behandling av uppgifter enligt klausulerna.

 

4.

Parterna har inget att invända mot att en registrerad företräds av sammanslutningar eller andra organ om denne uttryckligen så önskar och i den mån det är tillåtet enligt nationell rätt.

 Klausul 4  

Uppgiftsutförarens skyldigheter 

Uppgiftsutföraren godtar och garanterar

a)

att behandlingen, inbegripet själva överföringen, av personuppgifterna har skett och även i fortsättningen kommer att ske i enlighet med tillämplig uppgiftsskyddslagstiftning (och i förekommande fall anmäls till behöriga myndigheter i den medlemsstat där uppgiftsutföraren är etablerad) och inte strider mot gällande lagar eller andra författningar i den medlemsstaten,

 

b)

att han instruerat och under behandlingen av personuppgifter kommer att instruera uppgiftsinföraren att behandla de överförda personuppgifterna endast för uppgiftsutförarens räkning och i enlighet med tillämplig uppgiftsskyddslagstiftning och klausulerna,

 

c)

att uppgiftsinföraren kommer att ge tillräckliga garantier vad gäller de tekniska och organisatoriska säkerhetsåtgärder som anges i tillägg 2 till detta avtal 

 

d)

att han, mot bakgrund av tillämplig uppgiftsskyddslagstiftning, har funnit säkerhetsåtgärderna lämpliga för att skydda personuppgifter mot oavsiktlig eller olaglig utplåning, oavsiktlig förlust, ändring, otillåtet utlämnande eller otillåten åtkomst, i synnerhet när behandlingen inbegriper överföring av uppgifter över ett nät, och mot varje annan form av olaglig behandling, med hänsyn tagen till teknikens ståndpunkt, kostnaden för vidtagande av åtgärderna och de risker behandlingen innebär och karaktären hos de uppgifter som ska behandlas,

 

e)

att han kommer att se till att säkerhetsåtgärderna följs,

 

f)

att, om överföringen avser särskilda kategorier av uppgifter, de registrerade har informerats eller informeras senast när överföringen sker eller så snart som möjligt därefter om att deras uppgifter kan komma att överföras till ett tredjeland som inte tillhandahåller adekvat skydd i den mening som avses i direktiv 95/46/EG,

 

g)

att vidarebefordra anmälningar från uppgiftsinföraren eller eventuella underentreprenörer i enlighet med klausul 5 b och klausul 8.3 till tillsynsmyndigheten om uppgiftsutföraren beslutar att fortsätta överföringen eller häva avbrottet,

 

h)

att på begäran tillhandahålla de registrerade en kopia av klausulerna, med undantag för tillägg 2, och en sammanfattande beskrivning av säkerhetsåtgärderna, samt en kopia av eventuella underentreprenörsavtal som måste ingås enligt klausulerna, såvida inte klausulerna eller avtalet innehåller affärsinformation,

 

i)

att uppgiftsbehandlingen vid en eventuell utläggning på entreprenad utförs i enlighet med klausul 11 av en underentreprenör som tillhandahåller åtminstone samma skyddsnivå för personuppgifter och den registrerades rättigheter som uppgiftsinföraren ska göra enligt klausulerna, och 

 

j)

att han kommer att se till att klausul 4 a–i följs.

Klausul 5 

Uppgiftsinförarens skyldigheter  (2)

Uppgiftsinföraren godtar och garanterar 

a)

att behandla personuppgifter för uppgiftsutförarens räkning och enlighet med dennes instruktioner samt dessa klausuler; om han av något skäl inte kan fullgöra detta krav går han med på att omedelbart informera uppgiftsutföraren om detta, varvid uppgiftsutföraren har rätt att avbryta överföringen av uppgifter och/eller häva avtalet,  

 

b)

att han inte har anledning att förmoda att den lagstiftning som är tillämplig på honom hindrar honom från att fullfölja uppdragsutförarens instruktioner och sina skyldigheter enligt detta avtal; om lagstiftningen ändras på ett sätt som sannolikt har en avsevärt skadlig inverkan på de garantier som klausulerna innebär, ska han anmäla ändringen till uppgiftsutföraren, varvid uppgiftsutföraren har rätt att avbryta överföringen av uppgifter och/eller häva avtalet,

 

c)

att han har vidtagit de tekniska och organisatoriska säkerhetsåtgärder som anges i tillägg 2 innan de överförda personuppgifterna behandlas,

 

d)

att utan dröjsmål kommer att underrätta uppgiftsutföraren om

i)

varje rättsligt bindande begäran från rättsliga myndigheter om utlämnande av personuppgifterna, om inte detta är förbjudet på grund av exempelvis ett straffrättsligt förbud som syftar till att bevara sekretessen vid brottsutredningar,

 

ii)

varje oavsiktlig eller otillåten åtkomst, och

 

iii)

varje förfrågan direkt från de registrerade, utan att svara på dem om han inte givits tillstånd till det,

 

e)

att utan dröjsmål och korrekt handlägga alla frågor från uppgiftsutföraren om behandling av sådana personuppgifter som överförs och att rätta sig efter tillsynsmyndighetens rekommendationer med avseende på behandlingen av de uppgifter som överförs 

 

f)

att på uppgiftsutförarens begäran ställa sin databehandlingsutrustning till förfogande för granskning av den uppgiftsbehandling som dessa klausuler avser; granskningen ska genomföras av uppgiftsutföraren eller av ett inspektionsorgan med oberoende och sakkunniga ledamöter; de av tystnadsplikt bundna ledamöterna utses av uppgiftsutföraren, i förekommande fall enligt överenskommelse med tillsynsmyndigheten  

 

g)

att på begäran förse de registrerade med en kopia av klausulerna eller av eventuella befintliga underentreprenörsavtal, såvida inte klausulerna eller kontraktet innehåller känslig affärsinformation; i vilket fall uppgiftsinföraren kan ta bort dessa uppgifter; denna skyldighet omfattar dock inte tillägg 2, som ska ersättas av en sammanfattande beskrivning av säkerhetsåtgärderna i de fall där den registrerade inte kan erhålla en kopia från uppgiftsutföraren,

 

h)

att han, om uppgiftsbehandlingen läggs ut på entreprenad, i förväg har underrättat uppgiftsutföraren och utverkat skriftligt förhandstillstånd från denne,

 

i)

att den uppgiftsbehandling som utförs av underentreprenören utförs i enlighet med klausul 11,

 

j)

att omedelbart översända en kopia av eventuella underentreprenörsavtal som ingåtts enligt klausulerna till uppgiftsutföraren.

 Klausul 6

Ansvar

1.

Parterna är överens om att en registrerad som lidit skada till följd av att en part eller en parts underentreprenör brutit mot de skyldigheter som avses i klausul 3 eller klausul 11 har rätt till ersättning från uppgiftsutföraren.

 

2.

Om den registrerade, i situationer där uppgiftsinföraren eller dennes underentreprenör bryter mot någon av sina skyldigheter enligt klausulerna 3 eller 11, inte kan rikta skadeståndsanspråk mot uppgiftsutföraren i enlighet med punkt 1 på grund av att uppgiftsutföraren har upphört att existera i faktisk eller rättslig mening eller har hamnat på obestånd, ska uppgiftsinföraren godta att den registrerade kan rikta ett skadeståndsanspråk mot uppgiftsinföraren som om denne var uppgiftsutföraren, såvida inte en annan enhet enligt avtal eller lag till fullo har övertagit uppgiftsutförarens rättsliga skyldigheter, i vilket fall den registrerade kan göra sina rättigheter gällande gentemot denna enhet.

Uppgiftsinföraren kan inte åberopa att en underentreprenör har brustit i sina skyldigheter för att undvika eget ansvar.

 

3.

Om en registrerad, i situationer där en underentreprenör har brutit mot någon av sina skyldigheter enligt klausulerna 3 eller 11, inte kan rikta ett skadeståndsanspråk mot uppgiftsutföraren eller uppgiftsinföraren i enlighet med punkt 1 och 2 på grund av att såväl uppgiftsutföraren som uppgiftsinföraren har upphört att existera i faktisk eller rättslig mening eller har hamnat på obestånd, ska underentreprenören godta att den registrerade kan rikta ett skadeståndsanspråk mot underentreprenören, med avseende på dennes egen behandling av personuppgifter i enlighet med klausulerna, som om denne var uppgiftsutföraren eller uppgiftsinföraren, såvida inte en annan enhet enligt avtal eller lag till fullo har övertagit uppgiftsutförarens eller uppgiftsinförarens rättsliga skyldigheter, i vilket fall den registrerade kan göra sina rättigheter gällande gentemot denna enhet. Skadeståndsansvaret ska i sådana fall vara begränsat till underentreprenörens egen behandling av uppgifter enligt klausulerna.

Klausul 7  

Medling och forum 

1.

Uppgiftsinföraren samtycker till att, om den registrerade åberopar tredje parts rättigheter och/eller kräver ersättning för skador i enlighet med klausulerna, godta den registrerades beslut att

a)

inleda medling av tredje part eller, i tillämpliga fall, av tillsynsmyndigheten,

 

b)

hänskjuta tvisten till domstol i den medlemsstat där uppgiftsutföraren är etablerad.

 

2.

Parterna är överens om att den registrerades val inte påverkar dennes materiella eller processuella rätt att söka gottgörelse i enlighet med andra bestämmelser i nationell eller internationell lagstiftning.

 Klausul 8

Samarbetet med tillsynsmyndigheterna  

1.

Uppgiftsutföraren åtar sig att deponera ett exemplar av detta avtal hos tillsynsmyndigheten, om så föreskrivs i tillämplig uppgiftsskyddslagstiftning eller om tillsynsmyndigheten begär det.

 

2.

Parterna är överens om att tillsynsmyndigheten har rätt att genomföra inspektioner hos uppgiftsinföraren och uppgiftsinförarens eventuella underentreprenörer i samma omfattning och på samma villkor som skulle gälla för en revision hos uppgiftsutföraren enligt tillämplig uppgiftsskyddslagstiftning.

 

3.

Uppgiftsinföraren ska omedelbart underrätta uppgiftsutföraren om uppgiftsinföraren och dennes eventuella underentreprenörer omfattas av lagstiftning som förhindrar att de blir föremål för inspektion i enlighet med punkt 2. I sådant fall ska uppgiftsutföraren ha rätt att vidta de åtgärder som anges i klausul 5 b.

 Klausul 9

Tillämplig lag

Klausulerna omfattas av lagen i den medlemsstat där uppgiftsutföraren är etablerad, nämligen Sverige.  

Klausul 10  

Ändring av avtalet

Parterna åtar sig att inte ändra klausulerna. Detta hindrar inte parterna från att om nödvändigt lägga till klausuler om affärsrelaterade frågor, så länge dessa inte står i strid med någon klausul.  

Klausul 11

Utläggning på entreprenad 

1.

Uppgiftsinföraren får inte utan uppgiftsutförarens föregående samtycke på entreprenad lägga ut någon del av den behandling som uppgiftsinföraren utför för uppgiftsutförarens räkning i enlighet med klausulerna. Om uppgiftsinföraren, med uppgiftsutförarens samtycke, lägger över sina skyldigheter enligt dessa klausuler på en underentreprenör, får detta endast ske genom ingående av ett skriftligt avtal med underentreprenören, varigenom denne åläggs samma skyldigheter som enligt klausulerna åligger uppgiftsinföraren (3). Om underentreprenören inte uppfyller sina skyldigheter i fråga om uppgiftsbehandling enligt ett sådant avtal ska uppgiftsinföraren förbli fullt ansvarig gentemot uppgiftsutföraren för underentreprenörens uppfyllande av sina skyldigheter enligt avtalet.

 

2.

Det på förhand ingångna skriftliga avtalet mellan uppgiftsutföraren och uppgiftsinföraren ska även inbegripa en bestämmelse om berättigad tredje part i enlighet med klausul 3 i sådana fall där den registrerade inte kan rikta skadeståndsanspråk i enlighet med klausul 6.1 mot uppgiftsutföraren eller uppgiftsinföraren, eftersom dessa har upphört att existera i faktisk eller rättslig mening eller har hamnat på obestånd, och ingen annan enhet har till fullo övertagit uppgiftsutförarens eller uppgiftsinförares rättsliga skyldigheter enligt avtal eller lag. Skadeståndsansvaret ska i sådana fall vara begränsat till underentreprenörens egen behandling av uppgifter enligt klausulerna.

 

3.

Bestämmelserna om uppgiftsskyddsaspekter vid utläggning på entreprenad av det kontrakt som avses i punkt 1 på en underentreprenör ska omfattas av lagen i den medlemsstat där uppgiftsutföraren är etablerad, nämligen …

 

4.

Uppgiftsutföraren ska föra en förteckning över entreprenadavtal som ingåtts enligt klausulerna och anmälts av uppgiftsinföraren i enlighet med klausul 5 j. Förteckningen ska uppdateras minst en gång om året. Förteckningen ska vara tillgänglig för uppgiftsutförarens dataskyddsmyndighet.

 Klausul 12 

Skyldigheter efter det att behandlingen av personuppgifter har upphört  

1.

Parterna är överens om att uppgiftsinföraren och eventuella underentreprenörer efter behandlingens upphörande och beroende på vad uppgiftsutföraren beslutar antingen ska återlämna alla överförda personuppgifter och kopior av dessa till uppgiftsutföraren, eller förstöra alla personuppgifter och intyga för uppgiftsutföraren att så skett, såvida inte den på uppgiftsinföraren tillämpliga lagstiftningen helt eller delvis hindrar honom från att återlämna eller förstöra de överförda personuppgifterna. I så fall ska uppgiftsinföraren garantera att denne kommer att bevara sekretessen hos de överförda personuppgifterna och inte aktivt behandla de överförda personuppgifterna ytterligare.

 

2.

Uppgiftsinföraren och underentreprenören garanterar att de på uppgiftsutförarens och/eller tillsynsmyndighetens begäran kommer att ställa sin databehandlingsutrustning till förfogande för en granskning av de åtgärder som anges i punkt 1.

Tillägg 1 – Personuppgiftsbehandlingsspecifikation 

 Detta tillägg är en del av Klausulerna. Medlemsstater inom Europeiska Unionen kan komplettera eller specificera, i enlighet med nationella procedurer, vilken annan information som anses vara nödvändig i detta tillägg. 

  1. Data exportör 

 Exportör av data är Kunden, som definierad i Tjänsteavtalet (Avtalet).  

 2. Data importör  

Importör av data är Digital Brain Nordic AB, en leverantör av kundanalys, databerikning och marknadsföringstjänster.

  3. Registrerade  

Kategorier av Registrerade är definierade under sektion 2 av detta Personuppgiftsbiträdesavtal. 

 4. Kategorier av data  

Kategorier av data är definierade under sektion 2 av detta Personuppgiftsbiträdesavtal. 

 5. Särskilda kategorier av data (om tillämpligt)  

Parterna förväntas inte överföra eller behandla någon typ av data som kan klassas som särskild. 

6. Behandling av personuppgifter  

Behandlingar som görs finns beskrivna under sektion 2 av detta Personuppgiftsbiträdesavtal som klausulerna är tillagda i. 

 

Tillägg 2 – Tekniska och organisatoriska åtgärder  

Detta tillägg är en del av Klausulerna.  

Beskrivning av tekniska och organisatoriska säkerhetsåtgärder som implementerats av data importören:  

Brain efterföljer och övervakar de säkerhetsåtgärder som beskrivs i detta tillägg 2. Ej inklusive andra säkerhetsimplementationer som ingåtts på avtal med data exportören. Brain kan ändra eller uppdatera dessa åtgärder på eget bevåg förutsatt att sådana åtgärder och uppdateringar inte resulterar i väsentligt försvagande av säkerheten i de åtgärder som beskrivs. Alla villkor med versaler som ej återfinns här skall ha den betydelse som de getts i Avtalet. 

 a. Kontroll över tillgång 

 i. Förebyggande av ej auktoriserad tjänsteaccess  

Behandling hos underleverantör. Brain har sin tjänst placerad i moln-infrastruktur hos tredje part”. Dessutom har vi avtalsmässiga relationer med leverantörer för att leverera tjänsten i enlighet med vårt Personuppgiftsbiträdesavtal. Brain förlitar sig på kontraktsmässiga avtal, integritetspolicies och efterföljande program med leverantörer, för att skydda data som behandlas och lagras av dessa leverantörer.  

Fysisk och miljömässig säkerhet. Brain håller vår tjänst i en infrastruktur med redundans och multi-backup hos våra infrastruktursleverantörer. Den fysiska och miljömässiga säkerheten är reviderade för SOC 2 Typ II och ISO 27001, bland andra certifieringar.  

Autentisering. Brain har implementerat en universell policy för våra kundprodukter. Kunder som interagerar med produkterna via ett användargränssnitt måste autentisera sig innan de kan få tillgång till personuppgifter.  

Auktorisering. Kunddata lagras i databaser med separerad lagring som endast är tillgänglig via användargränssnitt och programmeringsapplikationer.  

Kunder tillåts inte få direct tillgång till den underliggande infrastrukturen för applikationerna. Auktoriseringsmodellen för alla Brains produkter är designade för att säkerställa att endast individer med korrekt behörighet kan få tillgång till tillbörlig del av applikationerna. Auktorisering till data utförs baserat på validering av användarrättigheterna mot de underliggande databaserna och/eller de individuella attributen.  

Application Programming Interface (API) tillgång: Publika product-API:er kan anropas genom att använda en API-nyckel.

  ii. Förebyggande av ej auktoriserad produktanvändning  

Brain har implementerat tillgångskontroller i enlighet med branschstandard och larmfunktioner för de interna processerna i tjänsten och nätverket som stödjer våra produkter.  

Tillgångskontroller: Nätverkskontrollmekanismer är designade för att blockera nätverkstrafik som använder ej auktoriserade protokoll, från att nå produktinfrastrukturen. De tekniska åtgärderna kan skilja sig åt mellan olika infrastruktursleverantörer. Men inkluderar Secure VPN, VPC implementationer, säkerhetsgrupperingar och traditionella brandväggar.  

Intrångslarm och förebyggande av intrång. Vi har använder oss av Amazon Web Services infrastruktur och övervakar publika accesspunkter genom en WAF (Web Application Firewall).  

Kodanalys och utvärdering: Vi genomför löpande utvärderingar av vår kod och uppdaterar den om svagheter skulle upptäckas.  

Penetrationstest. Vi har en god relation med marknadsledande förtag inom penetrationstestning och webbsäkerhet. Syftet med dessa penetrationstest är att identifiera svagheter I systemet och åtgärda dem.  

iii)    Begränsning av rättigheter och auktoriseringskrav  

Produkt tillgång: En begränsad del av Brains anställda har tillgång till tjänsterna och produkterna samt personuppgifter genom kontrollerade gränssnitt. Detta har vi gjort för att kunna optimera kundsupport, felsökning av potentiella problem, för att upptäcka och kunna agera på säkerhetsincidenter och implementeringen av datasäkerhet. Tillgång begränsas på kontobehörighetsnivå och all tillgång loggas av systemet. För att få tillgång måste man ha nödvändig utbildning och genomgått en säkerhetsutvärdering. Denna utvärdering görs minst var sjätte månad.  

Bakgrundskontroller: Alla anställda eller konsulter till Brain som ska få tillgång till systemet på denna nivå måste genomgå en bakgrundskontroll som genomförs av tredje part., i enlighet med gällande lagstiftning. Alla anställda skriver på en förbindelse om att genomföra sitt arbete på ett sätt där exponering av information minimeras, utöver sekretessförbindelser.  

b. Överföringssäkerhet  

Vid överföring: Brain gör krypterade anrop över HTTPS (även kallat SSL och TLS) genom alla login-punkter och sajter. Brain använder industristandard algoritmer och certifikat.  

Vid vila: Brain lagrar lösenord i enlighet med industristandard och har en implementerad policy gällande säkerhet. Brain har implementerat teknik som säkerställer att data som lagras är krypterad. 

c. Inmatningssäkerhet  

Övervakning: Brain har designat sin infrastruktur för att logga detaljerad information gällande systemet, trafik, autentisering och andra systemhändelser. Loggdata används för att övervaka interna processer, anställdas tillgång, begäran och hantering av systemet.  

Aktivering och mätning: Brain lagrar ett register över alla kända säkerhetsincidenter som inkluderar beskrivning, tidsstämpel och incidentens påverkansgrad. Misstänkta och bekräftade säkerhetsincidenter undersöks av datasäkerhetspersonal, tekniker och vår DPO. Vi tar lämpliga åtgärder så snart som en incident har identifierats och klassats I enlighet med gällande föreskrifter från dataskyddsmyndigheter.  

Kommunikation: Om Brain blir varse om otillåten tillgång till Kunddata som lagras i våra produkter och tjänster kommer vi att: 1) Meddela den påverkade Kunden, 2) leverera en beskrivning på vilka steg voi kommer att ta för att åtgärda incidenten, 3) tillhandahålla statusuppdateringar till Kundens kontaktperson, som vi ser det nödvändigt. Notifieringar av incident(er), om några, kommer att levereras till en eller flera kontaktpersoner på ett sätt som Brain väljer, vilket kan inkludera mejl eller telefon.  

d. Tillgångssäkerhet  

Infrastrukturtillgång: Brains mål är att ha en tillgång till tjänsterna och produkterna på 99,95%.  

Toleransnivåer: Backup strategier är designade för att säkerställa en redundans och incidentskydd mot avsevärda behandlingsfel. Kunddata har säkerhetsbackups till flera olika datalagringspunkter, i olika zoner.  

Dubbletter och backups: Där möjligt skall produktdatabaser ha 1 primär och en sekundär databas för säkerhetskopior. Alla databaser säkerhetskopieras enligt minst 1 standardmetod.  

Brains produkter är designade för att säkerställa redundans och sömlösa incidentöverlapp. Brains servrar hare n arkitektur som ska förhindra att kritiska fel baserat på en källa. Detta gör att Brain kan hålla tjänster och produkter tillgängliga i enlighet med våra mål.