• No results found

Avtal för databearbetning. mellan. Kunden (hädanefter kallad "kontrollant") och. Synology (hädanefter kallad bearbetare ).

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Avtal för databearbetning. mellan. Kunden (hädanefter kallad "kontrollant") och. Synology (hädanefter kallad bearbetare )."

Copied!
13
0
0

Loading.... (view fulltext now)

Download now ( 13 Page )

Full text

(1)

Avtal för databearbetning

mellan

Kunden

(hädanefter kallad "kontrollant")

och Synology

(hädanefter kallad ”bearbetare”).

Den här översättningen är endast avsedd att vara informativ. I händelse av avvikelser gäller den engelska versionen.

1. Definitioner

Avtal avser detta avtal om databearbetning.

Medgivande från datasubjektet innebär alla fritt givna, specifika, informerade och otvetydiga indikationer på datasubjektets önskemål genom vilka han eller hon, genom ett uttalande eller genom en tydlig jakande åtgärd, godkänner bearbetningen av personuppgifter som rör honom eller henne.

Kontrollant avser den fysiska eller juridiska personen, den offentliga myndigheten, byrån eller annat organ som, ensam eller tillsammans med andra, fastställer syftena och medlen för bearbetning av personuppgifter, där syftet med och medlen för sådan bearbetning fastställs av unionens eller medlemsstatens lagstiftning, kontrollanten eller där de specifika kriterierna för nomineringen kan tillhandahållas enligt lag i unionen eller medlemsstaten.

Gränsöverskridande bearbetning innebär antingen:

1. bearbetning av personuppgifter som sker i samband med aktiviteter i fler än en medlemsstat för en kontrollant eller bearbetare i unionen där kontrollanten eller bearbetaren är etablerad i mer än en medlemsstat, eller

2. bearbetning av personuppgifter som sker i samband med aktiviteter i en enda etablering av en kontrollant eller bearbetare i unionen, men som i hög grad påverkar eller sannolikt kommer att påverka datasubjekt i fler än en medlemsstat.

(2)

Dataskyddstjänsteman innebär en expert inom datasekretess som arbetar självständigt för att säkerställa att en enhet följer de policyer och procedurer som anges i den allmänna dataskyddsförordningen (GDPR).

Datasubjekt är en fysisk person vars personuppgifter behandlas av en kontrollant eller bearbetare.

Krypterade data innebär personuppgifter som skyddas genom tekniska åtgärder för att säkerställa att data endast är tillgängliga för/kan läsas av personer med särskild åtkomst.

Den allmänna dataskyddsförordningen (GDPR) avser EU-förordningen 2016/679 av Europaparlamentet och rådet den 27 april 2016 om skyddet för fysiska personer med avseende på bearbetning av personuppgifter och den fria rörligheten av sådana data samt upphävande av direktiv 95/46/EG.

Personuppgifter avser all information som rör en identifierad eller identifierbar fysisk person ("datasubjekt"); en identifierbar fysisk person är en person som kan identifieras, direkt eller indirekt, i synnerhet genom hänvisning till en identifierare som ett namn, ett

identifikationsnummer, platsdata, en onlineidentifierare eller en eller flera faktorer som är specifika för den fysiska, fysiologiska, genetiska, mentala, ekonomiska, kulturella eller sociala identiteten hos den fysiska personen.

Intrång i personuppgifter innebär ett brott mot säkerheten som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt utlämnande av eller åtkomst till

personuppgifter som överförs, lagras eller på annat sätt bearbetas.

Inbyggt dataskydd är en princip som kräver att dataskydd inkluderas när system utformas, snarare än att det utgör ett tillägg.

Bedömning av påverkan på sekretessen är ett verktyg som används för att identifiera och minska sekretessriskerna för enheter genom att analysera de personuppgifter som bearbetas och de policyer som finns på plats för att skydda data.

Bearbetning avser alla åtgärder eller uppsättningar av åtgärder som utförs på

personuppgifter eller på uppsättningar av personuppgifter, oavsett om de utförs automatiskt eller inte, till exempel insamling, inspelning, organisering, strukturering, lagring, anpassning eller ändring, hämtning, konsultation, användning, utlämnande via överföring, spridning eller på annat sätt tillgängliggöra, inriktning eller kombination, begränsning, radering eller

förstörelse.

Bearbetare är en fysisk eller juridisk person, offentlig myndighet, byrå eller annat organ som bearbetar personuppgifter å kontrollantens vägnar.

Profilering innebär automatisk bearbetning av personuppgifter som är avsedd att utvärdera, analysera eller förutsäga datasubjektets beteende.

Pseudonymisering innebär bearbetning av personuppgifter på ett sådant sätt att

personuppgifterna inte längre kan tillskrivas ett specifikt datasubjekt utan användning av ytterligare information, förutsatt att sådan ytterligare information förvaras separat och är föremål för tekniska och organisatoriska åtgärder för att säkerställa att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.

(3)

Mottagare avser en fysisk eller juridisk person, offentlig myndighet, byrå eller annat organ, till vilket personuppgifterna lämnas ut, oavsett om det är en tredje part. Offentliga

myndigheter som kan ta emot personuppgifter i samband med en viss förfrågan i enlighet med unionens eller medlemsstaternas lagstiftning ska dock inte betraktas som mottagare.

Bearbetning av dessa data av de offentliga myndigheterna ska ske i enlighet med tillämpliga dataskyddsregler i enlighet med bearbetningens syften.

Representant avser en fysisk eller juridisk person i unionen som skriftligen utsetts av kontrollanten eller bearbetaren, enligt artikel 27, som representerar kontrollanten eller bearbetaren med avseende på deras respektive skyldigheter gentemot den allmänna dataskyddsförordningen (GDPR).

Å terförsäljare avser en tjänsteleverantör från tredje part som prenumererar på Synology C2- tjänsten och betalar kostnaden för tjänsten direkt till bearbetaren å kontrollantens vägnar.

Bestämmelser avser den allmänna dataskyddsförordningen (GDPR) och andra allmänt bindande juridiska bestämmelser angående personuppgiftsskydd.

Tredje part innebär en fysisk eller juridisk person, offentlig myndighet, byrå eller organ utöver datasubjektet, kontrollanten, bearbetaren och personer som lyder direkt under kontrollanten eller bearbetaren, som har behörighet att bearbeta personuppgifter

Tillsynsmyndighet avser en oberoende offentlig myndighet som fastställs av en medlemsstat i enlighet med artikel 51 om den allmänna dataskyddsförordningen (GDPR).

2. Avtalets ämne och varaktighet (1) Ämne

Ämnet för detta avtal är hämtat från tjänsteavtalet för Synology C2 som finns på https://c2.synology.com/en-global/legal/terms_conditions (hädanefter kallat ”tjänsteavtalet”).

(2) Varaktighet

Varaktigheten för detta avtal motsvarar tjänsteavtalets varaktighet.

3. Avtalets natur och syfte

(1) Den avsedda databearbetningens natur och syfte

Naturen hos och syftet med bearbetningen av personuppgifter av bearbetaren för kontrollanten definieras exakt i tjänsteavtalet.

(2) Typ av data

Ämnet för bearbetningen av personuppgifter omfattar följande datatyper/kategorier:

(4)

o Personliga huvuddata: Kontrollanten kan lagra data av alla slag på den hyrda servern efter eget gottfinnande. Synology har ingen påverkan på eller åtkomst till detta.

o Avtalsfakturerings- och betalningsdata: Inom ramen för utförandet av tjänsteavtalet för Synology C2 ska Synology samla in personliga avtalsdata, inklusive kontaktadress, information om betalningsmetod och kontaktperson.

(3) Kategorier av datasubjekt

Datasubjektkategorierna består av kunder och kontaktpersoner hos återförsäljarna.

4. Bearbetarens skyldigheter

(1) Bearbetaren bearbetar personuppgifter enbart och i full överensstämmelse med bestämmelserna och instruktionerna från kontrollanten eller som på annat sätt krävs i detta avtal. Denna skyldighet gäller även överföringar av bearbetaren för personuppgifter till ett tredje land eller en internationell organisation, såvida inte bearbetaren är skyldig att göra det enligt de regler eller lagar som gäller för bearbetaren. I sådana fall ska bearbetaren informera kontrollanten om sådana juridiska krav före bearbetning, om inte lagen förbjuder sådan information på grund av offentliga intressen.

(2) Bearbetaren och kontrollanten godkänner att detta avtal och tjänsteavtalet för Synology C2 representerar kontrollantens fullständiga och slutliga instruktioner till bearbetaren. Bearbetning som inte omfattas av detta avtal (om sådan finns) kräver ett skriftligt avtal mellan båda parter i förväg med ytterligare instruktioner för bearbetning. Kontrollanten kan säga upp detta avtal om bearbetaren inte följer de instruktioner som begärs av kontrollanten som inte omfattas av detta avtal.

(3) I samband med detta avtal ska kontrollanten omedelbart och skriftligen bekräfta eventuella muntliga instruktioner.

(4) Kopior eller dubbletter av data som bearbetas å kontrollantens vägnar får aldrig skapas utan kontrollantens kännedom, med undantag för säkerhetskopior som är nödvändiga för att säkerställa korrekt databearbetning, samt data som krävs för att uppfylla regelkrav för att lagra data enligt föreskrifterna.

(5) Bearbetaren får inte på egen hand korrigera, radera eller begränsa bearbetningen av data som bearbetas på uppdrag av kontrollanten eller porta/överföra sådana data till tredje part, utan endast göra detta med dokumenterade instruktioner från kontrollanten. När ett datasubjekt kontaktar bearbetaren direkt angående korrigering, radering eller begränsning av bearbetning eller för att utöva rätten till bärbarhet vidarebefordrar bearbetaren omedelbart datasubjektets begäran till kontrollanten. I de fall detta ingår i tjänsternas omfattning ska raderingspolicyn, "rätt att glömmas bort", korrigering, dataportabilitet och åtkomst utan dröjsmål säkerställas av bearbetaren i enlighet med dokumenterade instruktioner från kontrollanten.

(6) Bearbetaren ska omedelbart informera kontrollanten om bearbetaren anser att en instruktion från kontrollanten bryter mot den allmänna dataskyddsförordningen (GDPR) (med avseende på art. 28 paragraf 3 mening 3) eller föreskrifterna. Bearbetaren har då rätt att avbryta utförandet av de relevanta instruktionerna tills kontrollanten bekräftar eller ändrar dem.

(5)

(7) Utöver att följa reglerna i detta avtal ska bearbetaren följa de lagstadgade kraven i artikel 28 till 33 om den allmänna dataskyddsförordningen (GDPR). Därför garanterar bearbetaren att följande krav i synnerhet uppfylls:

a) Bearbetaren litar endast på sådana anställda med den databearbetning som beskrivs i det här avtalet som är bundna till konfidentialitet och som tidigare har bekantats med de dataskyddsåtgärder som är relevanta för deras arbete. Bearbetaren och alla personer som agerar enligt dess auktoritet och har åtkomst till personuppgifter får inte bearbeta dessa data om inte instruktionerna från kontrollanten, som inkluderar de krafter som ges i detta avtal, såvida det inte krävs enligt lag (Artikel 28 paragraf 3 mening 2 punkt b, Artikel 29 och 32 paragraf 4 om den allmänna dataskyddsförordningen (GDPR)).

b) Bearbetaren måste hjälpa kontrollanten att uppfylla begäranden från personer som utövar sin rätt att få åtkomst till, korrigera, porta, radera eller invända mot bearbetningen av sina personuppgifter.

c) Bearbetaren måste hjälpa kontrollanten att uppfylla krav från tillsynsmyndigheten.

Kontrollanten och bearbetaren ska, på begäran, samarbeta med tillsynsmyndigheten under utförandet av deras uppgifter.

d) Beteckning för dataskyddstjänsteman/kontaktperson/representant

Kontakta Synologys dataskyddsteam på

https://www.synology.com/form/privacy_issue. Kontrollanten ska omedelbart informeras om eventuella ändringar av dataskyddstjänstemannen..

e) Kontrollanten ska omedelbart informeras om eventuella inspektioner och åtgärder som utförs av relevant tillsynsmyndighet enligt beskrivningen i punkt 9 i detta avtal, i den mån de rör bearbetningen av detta avtal.

f) Om en tillsynsmyndighet utför en inspektion, en administrativ eller sammanfattning av brott eller brottslig process, ett skadeståndsanspråk från ett datasubjekt eller av en tredje part eller något annat anspråk i samband med bearbetning av avtalsdata, ska bearbetaren göra allt för att stödja kontrollanten. Ytterligare hjälpskyldigheter beskrivs i punkt 8 i detta avtal.

g) Bearbetaren ska hjälpa kontrollanten att säkerställa att skyldigheterna följs i enlighet med artikel 32 till 36 enligt beskrivningen i punkt 9 i detta avtal.

h) Implementering av och efterlevnad för alla tekniska och organisatoriska åtgärder som krävs för detta avtal i enlighet med artikel 28 paragraf 3 mening 2 punkt c, artikel 32 om den allmänna dataskyddsförordningen (GDPR), enligt detaljerna i bilagan.

5. Meddelandeskyldighet

(1) Bearbetaren ska omedelbart meddela kontrollanten om eventuella intrång i personuppgifter begås. Alla rimligen misstänkta incidenter ska också rapporteras. Alla meddelanden måste åtminstone innehålla den information som anges i artikel 33 avsnitt 3 i den allmänna dataskyddsförordningen (GDPR).

(2) Kontrollanten måste även meddelas omedelbart om eventuella betydande avbrott när uppgiften utförs, samt om brott mot bestämmelserna om juridiskt dataskydd eller bestämmelserna i detta avtal som utförs av bearbetaren eller någon person som han/hon har anställt.

(6)

(3) Bearbetaren ska omedelbart informera kontrollanten om eventuella inspektioner eller åtgärder som utförs av tillsynsmyndigheter eller annan tredje part, om de rör den beställda databearbetningen.

(4) Bearbetaren ska säkerställa att kontrollanten stöds i dessa skyldigheter, i enlighet med artikel 33 och artikel 34 i den allmänna dataskyddsförordningen (GDPR), i den omfattning som krävs.

6. Tekniska och organisatoriska åtgärder och datasäkerhet

(1) Innan bearbetningen påbörjas och innan avtalet har upprättats ska bearbetaren implementera och följa de tekniska och organisatoriska åtgärderna (”Tekniska och organisatoriska åtgärder”) i enlighet med artikel 28 paragraf 3 punkt c och artikel 32 om den allmänna dataskyddsförordningen (GDPR), i synnerhet i samband med artikel 5 paragraf 1 och paragraf 2 om den allmänna dataskyddsförordningen (GDPR). De åtgärder som ska vidtas är åtgärder för datasäkerhet samt åtgärder som säkerställer en lämplig skyddsnivå som kan uppnås genom tekniska och organisatoriska åtgärder. Åtgärderna tar hänsyn till omständigheterna och syftena med bearbetningen samt den beräknade sannolikheten för och allvarlighetsgraden av ett möjligt brott mot lagen som ett resultat av säkerhetsrisker och möjliggör omedelbar upptäckt av relevanta händelser i samband med intrång. De åtgärder som ska vidtas ska garantera en skyddsnivå som är lämplig för riskerna vad gäller sekretess, integritet, tillgänglighet och motståndskraften hos systemen. Den senaste tekniken, implementeringskostnader, beskaffenhet, omfattning och syften för bearbetning, såväl som sannolikhet för förekomst och risk för rättigheter och friskrivningar från fysiska personer inom innebörden i artikel 32 paragraf 1 om den allmänna dataskyddsförordningen (GDPR) måste beaktas.

(2) Tekniska och organisatoriska åtgärder är föremål för tekniska framsteg och vidareutveckling.

Därför ska bearbetaren regelbundet övervaka de interna processerna och de tekniska och organisatoriska åtgärderna, för att säkerställa att bearbetningen inom hans eller hennes ansvarsområde överensstämmer med kraven i föreskrifterna och skyddet av datasubjektets rättigheter. I det avseendet är bearbetaren skyldig att implementera aktuella, toppmoderna åtgärder eller ersätta lämpliga åtgärder. Större förändringar måste dokumenteras.

(3) De tekniska och organisatoriska åtgärderna beskrivs i detalj i Bilaga 1 i detta avtal

7. Underleverantörer

(1) Att anlita underleverantörer för detta avtal ska anses utgöra tjänster som är direkt kopplade till tillhandahållandet av den huvudsakliga tjänsten. Detta omfattar inte dotterbolagstjänster, såsom telekommunikationstjänster, post-/transporttjänster, underhåll och användarsupporttjänster eller avyttring av databärare, samt andra åtgärder för att säkerställa sekretess, tillgänglighet, integritet och motståndskraft hos maskin- och programvara för databearbetningsutrustning.

Bearbetaren ska dock vara skyldig att skapa lämpliga och juridiskt bindande avtalsplaner och vidta lämpliga inspektionsåtgärder för att säkerställa dataskydd och datasäkerhet för kontrollantens data, även om det gäller outsourcade dotterbolagstjänster.

(2) Bearbetaren får endast anlita underleverantörer efter föregående skriftligt eller dokumenterat medgivande från kontrollanten. Utan hinder av ovanstående ska kontrollanten inte hålla inne sitt medgivande utan objektivt motiverade skäl.

(3) Outsourcing till underleverantörer eller byte av befintlig underleverantör är tillåtet när:

(7)

o Bearbetaren skickar en sådan outsourcing till en underleverantör till kontrollanten skriftligen eller i textform, med lämpligt förhandsmeddelande; och

o kontrollanten inte har invänt mot den planerade outsourcingen, skriftligen eller i textformat, när data lämnas över till bearbetaren; och

o samma dataskyddsskyldigheter som anges i detta avtal ska åläggas den andra bearbetaren (underleverantören) genom ett kontrakt/avtal eller om outsourcingen baseras på ett avtalsenligt avtal i enlighet med artikel 28 paragraf 2–4 i den allmänna dataskyddsförordningen (GDPR).

(4) Bearbetaren skall skriftligen ålägga tillämpliga avtalsenliga skyldigheter till underleverantören som inte är mindre skyddande än detta avtal eller de juridiska krav som fastställts av den allmänna dataskyddsförordningen (GDPR), inklusive relevanta avtalsenliga skyldigheter avseende sekretess, dataskydd, datasäkerhet och granskningsrättigheter.

(5) Ö verföring av personuppgifter från kontrollanten till underleverantören och underleverantörernas påbörjande av databearbetningen ska endast utföras efter att alla efterlevnadskrav har uppfyllts.

(6) Bearbetaren kommer att begränsa underleverantörens åtkomst till data endast till vad som är nödvändigt för att underhålla underleverantörens tjänst och kommer att hindra underleverantören från att komma åt data för något annat ändamål.

(7) Bearbetaren är fortfarande ansvarig för uppfyllandet av skyldigheterna i detta avtal och för eventuella handlingar eller utelämnanden från underleverantören som gör att bearbetaren bryter mot sina skyldigheter i enlighet med detta avtal.

(8) Om underleverantören tillhandahåller den avtalade tjänsten utanför EU/EES måste bearbetaren med lämpliga åtgärder säkerställa att föreskrifterna följs. Detsamma gäller om tjänsteleverantörer ska användas inom innebörden av paragraf 1 mening 2 i den allmänna dataskyddsförordningen (GDPR).

(9) Vidare outsourcing av underleverantören kräver uttryckligt medgivande från bearbetaren (minst i textform). Alla avtalsvillkor i detta avtal ska kommuniceras och avtalas med varje ytterligare underleverantör.

8. Kontrollantens skyldigheter, rättigheter och tillsyn

(1) Kontrollanten är ensam ansvarig för att bedöma den begärda bearbetningens tillåtlighet och för de berörda parternas rättigheter.

(2) Kontrollanten har rätt att utföra inspektioner av bearbetaren eller att låta en granskare genomföra dem, som utses i varje enskilt fall. Kontrollanten har rätt att kontrollera att bearbetaren i sin verksamhet följer detta avtal genom slumpmässiga kontroller, som vanligtvis meddelas i rimlig tid.

(3) Inspektioner i bearbetarens lokaler måste utföras utan störningar i driften av bearbetningens verksamhet, om sådana kan undvikas. Om inget annat anges av brådskande orsaker, som måste dokumenteras av kontrollanten, ska inspektioner utföras efter lämpligt förhandsmeddelande och under bearbetarens arbetstid, inte oftare än var 12:e månad. Om bearbetaren påvisar att de överenskomna dataskyddsåtagandena är korrekt implementerade, enligt kapitel 8 (5) i detta avtal, ska inspektionerna begränsas till stickprover.

(8)

(4) Bearbetaren ska säkerställa att kontrollanten kan verifiera att bearbetaren uppfyller kraven i enlighet med artikel 28 i den allmänna dataskyddsförordningen (GDPR). Bearbetaren åtar sig att ge kontrollanten den information som krävs på begäran för att demonstrera utförandet av de tekniska och organisatoriska åtgärderna.

(5) Bevis på sådana åtgärder, som inte bara rör detta avtal, kan tillhandahållas av den aktuella granskarens certifikat, rapporter eller utdrag från rapporter som tillhandahålls av oberoende organ (t.ex. granskare, dataskyddstjänsteman, IT-säkerhetsavdelning, datasekretessgranskare, kvalitetsgranskare).

(6) Bearbetaren kan kräva ersättning för att möjliggöra kontrollantens inspektioner.

9. Bearbetarens assistans och informationsskyldigheter

(1) Bearbetaren ska bistå kontrollanten i att uppfylla skyldigheterna kring personuppgifternas säkerhet, rapportera krav på dataintrång, bedöma dataskyddspåverkan och tidigare konsultationer, som hänvisas till i artikel 32 till 36 i den allmänna dataskyddsförordningen (GDPR).

Dessa inkluderar:

a. Att säkerställa en lämplig skyddsnivå genom tekniska och organisatoriska åtgärder som tar hänsyn till omständigheterna och syftet med bearbetningen samt den beräknade sannolikheten för och allvarlighetsgraden av ett möjligt brott mot lagen, som ett resultat av säkerhetsrisker och som möjliggör omedelbar upptäckt av relevanta händelser som rör intrång.

b. Skyldigheten att omedelbart rapportera ett intrång i personuppgifter till kontrollanten.

c. Skyldigheten att assistera kontrollanten med avseende på kontrollantens skyldighet att tillhandahålla information till berört datasubjekt och att omedelbart förse kontrollanten med all relevant information i detta avseende.

d. Skyldigheten att assistera kontrollanten med avseende på kontrollantens skyldighet att tillhandahålla information till tillsynsmyndigheten. Kontrollanten ska, på begäran, samarbeta med tillsynsmyndigheten under utförandet av deras uppgifter.

e. Stödja kontrollanten med bedömning av dataskyddspåverkan.

f. Stödja kontrollanten med avseende på tidigare konsultation av tillsynsmyndigheten.

(2) Kontrollanten ska omedelbart informeras om eventuella inspektioner och åtgärder som utförs av en tillsynsmyndighet, i den mån de avser bearbetning av data som är relaterade till detta avtal.

Detta gäller även i den mån bearbetaren utreds eller deltar i en undersökning av en behörig myndighet i samband med intrång i lagar eller administrativa regler eller i förordningarna om bearbetning av data i samband med bearbetning av detta avtal. Om en kontrollanten är föremål för en inspektion av tillsynsmyndighet, administrativ utredning, brottsutredning, skadeståndsanspråk från ett datasubjekt eller från tredje part eller något annat anspråk i samband med bearbetning av avtalsdata, ska bearbetaren göra allt för att stödja kontrollanten och tillhandahålla all dokumentation, resurser och stöd som kontrollanten kan behöva. Om data som rör detta avtal utsätts för konfiskering under konkurs eller insolvensförfarande, eller liknande åtgärder från tredje part, medan de bearbetas av bearbetaren, kommer bearbetaren att informera kontrollanten utan dröjsmål. Bearbetaren kommer, utan dröjsmål, att meddela och uppdatera

(9)

kontrollanten om all utveckling och uppdatering av sådana åtgärder, och ska vidta alla åtgärder som svar på sådana handlingar som krävs av kontrollanten.

(3) Bearbetaren kan begära ersättning för supporttjänster som inte ingår i beskrivningen av tjänsterna häri och som inte kan härledas till fel hos bearbetaren, förutsatt att sådan kompensation godkänns skriftligen i förväg av kontrollanten.

10. Avgifter

Bearbetarens kostnad för de tjänster som tillhandahålls enligt detta avtal fastställs slutgiltigt i tjänsteavtalet. Det finns ingen separat kostnad eller återbetalning i det här avtalet.

11. Ansvar och skadeersättning

(1) Kontrollanten och bearbetaren är ansvariga för skador som orsakas av obehörig part eller för felaktig databearbetning inom ramen för detta avtal i enlighet med gällande lagar.

(2) Bearbetaren ska bära ansvaret för att bevisa att skadorna inte orsakats av omständigheter som bearbetaren är ansvarig för, i den mån relevanta data har bearbetats under detta avtal. Om detta bevis inte har tillhandahållits ska bearbetaren, när han eller hon först begärdes att utföra detta, fria kontrollanten från alla anspråk som lämnas mot den senare i samband med databearbetningen enligt detta avtal.

(3) Bearbetaren ska vara ansvarig gentemot kontrollanten, ska helt ersätta kontrollanten för alla direkta skador som kontrollanten ådrar sig, och ska hålla kontrollanten skyddad mot alla direkta skador som orsakas av bearbetaren, bearbetarens anställda eller utsedda underleverantörer i samband med att bearbetaren utför tjänster i enlighet med detta avtal.

(4) Ingen part ska under några omständigheter hållas ansvarig gentemot den andra för indirekta, straffbara, speciella, tillfälliga eller följdskador i samband med eller relaterade till detta avtal (inklusive utebliven vinst, användning, data eller andra ekonomiska fördelar). Det kan dock uppstå, oavsett om det gäller brott mot detta avtal, inklusive garantibrott eller skadestånd, även om den parten tidigare har informerats om möjligheten till sådan skada.

(5) Avsnitt 11 (2) och 11 (3) ska inte gälla i den utsträckning som skador uppstått till följd av att bearbetaren på ett korrekt sätt implementerar tjänsterna på det sätt som krävs eller instruerats av kontrollanten.

12. Rätt till särskild uppsägning

(1) Kontrollanten kan när som helst säga upp tjänsteavtalet eller detta avtal utan föregående meddelande ("särskild uppsägning") om ett allvarligt intrång i reglerna eller bestämmelserna i detta avtal föreligger hos bearbetaren, om bearbetaren inte kan eller kommer att genomföra kontrollantens juridiska instruktioner eller om bearbetaren inte accepterar kontrollantens tillsynsrättigheter, i strid med detta avtal.

(2) Ett allvarligt intrång ska anses ha inträffat om bearbetaren inte har uppfyllt eller misslyckats med att uppfylla de skyldigheter som anges i detta avtal, i synnerhet de tekniska och organisatoriska åtgärderna.

(10)

(3) Vid obetydliga överträdelser ska kontrollanten ge bearbetaren en rimlig tidsperiod på högst trettio (30) dagar för att lösa situationen. Om situationen inte åtgärdas inom en sådan tidsperiod har kontrollanten rätt till särskild uppsägning enligt vad som anges här.

13. Uppsägning, retur och radering av data

(1) Efter uppsägning av detta avtal eller uppsägning av det underliggande tjänsteavtalet, eller på begäran av kontrollanten, skall bearbetaren överlämna till kontrollanten eller – i enlighet med föregående medgivande från kontrollanten – förstöra alla data, resultat av bearbetning och användning samt datauppsättningar relaterade till det här avtalet eller tjänsteavtalet som har kommit i bearbetarens ägo, på ett sätt som överensstämmer med dataskyddsreglerna. Samma sak gäller alla anslutna test, avfall samt redundant och kasserat material. Loggen för förstöring eller borttagning ska tillhandahållas kontrollanten när förstöringen eller raderingen är slutförd, eller när som helst på begäran av kontrollanten.

(2) Dokumentation som används för att demonstrera korrekt databearbetning i enlighet med detta avtal ska lagras av bearbetaren efter avtalets varaktighet i enlighet med respektive lagringsperiod i reglerna. Bearbetaren kan lämna över sådan dokumentation till kontrollanten i slutet av avtalets varaktighet eller när som helst på begäran av kontrollanten.

(3) Bearbetaren är skyldig att omedelbart säkerställa att data från underleverantörer returneras eller tas bort.

(4) Bearbetaren måste tillhandahålla bevis för att data förstörs på ett korrekt sätt av bearbetaren eller underleverantörerna och omedelbart skicka detta bevis till kontrollanten.

14. Ö vrigt

(1) Båda parterna är skyldiga att behandla all kunskap om affärshemligheter och datasäkerhetsåtgärder, som har inhämtats från den andra parten inom ramen för den avtalsenliga relationen, konfidentiellt, även efter att detta avtal har upphört. Om du är osäker på om informationen är föremål för konfidentialitet ska den behandlas konfidentiellt till mottagandet av ett skriftligt godkännande från den andra parten. Inget ägarintresse för immateriella rättigheter övergår från kontrollanten till bearbetaren i enlighet med detta avtal.

(2) Alla ändringar i detta avtal ska vara skriftliga och godkännas av båda parterna.

(3) Undantag från rätten till kvarhållande enligt gällande lagar avskrivs härmed med avseende på bearbetade data och associerade databärare.

(4) Om delar av detta avtal skulle vara ogiltiga kommer detta inte att påverka giltigheten för återstoden av detta avtal.

(5) Detta avtal ska regleras av och tolkas i enlighet med lagarna i [det land där bearbetaren finns], utan hänsyn till lagen om lagkonflikter.

(6) Alla tvister som uppstår från eller i samband med det här avtalet faller inom Tysklands myndighetsområde och är föremål för kraven i internationell civilrätt, undantaget FN:s konvention

angående avtal om internationella köp av varor.

Om kunden är en handlare enligt § 1 stycke 1 i tyska konsumentlagen (HGB), en juridisk enhet i

(11)

offentlig rätt eller en investeringsfond inom offentlig rätt är domstolarna i Düsseldorf det myndighetsområde som råder över alla tvister som uppstår av eller i anslutning till det här avtalsmässiga förhållandet.

(12)

Bilaga – Tekniska och organisatoriska åtgärder

1. Konfidentialitet (Artikel 32 paragraf 1 punkt b i den allmänna dataskyddsförordningen (GDPR))

 Fysisk åtkomstkontroll

Ingen obehörig åtkomst till databearbetningslokaler, till exempel magnetiska kort eller chipkort, nycklar, elektroniska dörröppnare, säkerhetstjänster för anläggningar eller säkerhetspersonal vid entré, larmsystem, video-/CCTV-system

 Elektronisk åtkomstkontroll

Ingen obehörig användning av databehandlings- och datalagringssystem, till exempel (säkra) lösenord, automatiska spärr-/låsmekanismer, tvåfaktorsautentisering, kryptering av databärare/lagringsmedier

 Intern åtkomstkontroll (behörigheter för användarrättigheter för åtkomst till och ändring av data)

Ingen obehörig läsning, kopiering, ändring eller borttagning av data i systemet, till exempel behovsbaserade åtkomsträttigheter, loggning av systemåtkomsthändelser

 Isoleringskontroll

Isolerad bearbetning av data, som samlas in i olika syften, till exempel sandlåda;

 Pseudonymisering (artikel 32, paragraf 1, punkt a i den allmänna dataskyddsförordningen (GDPR), artikel 25, paragraf 1 i den allmänna dataskyddsförordningen (GDPR))

Bearbetning av personuppgifter på ett sådant sätt att data inte kan associeras med ett specifikt datasubjekt utan hjälp av ytterligare information, förutsatt att denna ytterligare information lagras separat och är föremål för lämpliga tekniska och organisatoriska åtgärder.

2. Integritet (Artikel 32, paragraf 1, punkt b i den allmänna dataskyddsförordningen (GDPR))

 Dataöverföringskontroll

Ingen obehörig läsning, kopiering, ändring eller borttagning av data via elektronisk överföring eller transport, till exempel kryptering, virtuella privata nätverk (VPN), elektronisk signatur;

 Datainmatningskontroll

Verifiering, om och av vilka personuppgifter anges i ett databearbetningssystem, ändras eller tas bort, till exempel loggning, dokumenthantering

3. Tillgänglighet och motståndskraft (Artikel 32, paragraf 1 punkt b i den allmänna dataskyddsförordningen (GDPR))

 Tillgänglighetskontroll

Förhindra oavsiktlig eller avsiktlig förstörelse eller förlust, till exempel säkerhetskopieringsstrategi (online/offline, på plats/annan plats), avbrottsfri strömförsörjning (UPS), virusskydd, brandvägg, rapporteringsprocedurer och beredskapsplanering

 Snabb återställning (artikel 32, paragraf 1, punkt c i den allmänna dataskyddsförordningen (GDPR));

4. Procedurer för regelbunden testning, bedömning och utvärdering (artikel 32, paragraf 1, punkt d i den allmänna dataskyddsförordningen (GDPR), artikel 25, paragraf 1 i den allmänna dataskyddsförordningen (GDPR))

 Dataskyddshantering;

 Hantering av incidentrespons;

 Dataskydd efter design och standard (artikel 25, paragraf 2 i den allmänna dataskyddsförordningen (GDPR));

 Order- eller kontraktskontroll

(13)

Ingen bearbetning av data från tredje part enligt artikel 28 i den allmänna dataskyddsförordningen (GDPR) utan motsvarande instruktioner från kontrollanten, t.ex.

tydliga och otvetydiga avtalskonstruktioner, formaliserad orderhantering, strikta kontroller för val av tjänsteleverantör, skyldighet att utföra utvärdering i förväg, uppföljningskontroller för övervakning.

References

Download now ( PDF - 13 Page - 510.53 KB )

Related documents

Yttrande Malmö stad tillstyrker förslaget om att beslut om lov ska gälla omedelbart

Istället för att kodifiera gällande praxis att beslut om lov gäller omedelbart infördes dock den nuvarande regeln i 9 kap 42a § PBL om verkställighet fyra veckor efter kungörelse

Synology Network Video Recorder DVA3221. Hårdvaruinstallationsguide

Ovanstående garantier och garantiskyldigheter gäller inte Produkter som (a) har installerats eller används på ett sätt som inte avses eller beskrivs i Produkten eller dess

Sammanträdesprotokoll omedelbart justerad vid sammanträdet

Nämnden ger direktör Marianne Lidman Hägnesten, enhetschef Ulrika Wahlström och enhetschef Malin Urby, samt miljö- och hälsoskydds- inspektörerna Fredrik Ahlin,

Synology NAS DS220+ Hårdvaruinstallationsguide

Ovanstående garantier och garantiskyldigheter gäller inte Produkter som (a) har installerats eller används på ett sätt som inte avses eller beskrivs i Produkten eller dess

Synology DiskStation DS2415+ Snabb installationsguide

SYNOLOGYS GARANTIER, SKYLDIGHETER, OCH ANSVAR SAMT KUNDENS RÄTTIGHETER ENLIGT DET SOM ANGES I DENNA GARANTI ÄR EXKLUSIVA OCH ERSÄTTER, OCH HÄVER HÄRMED, ALLA ÖVRIGA GARANTIER,

Paragrafen justeras omedelbart

Socialnämnden beslu- tade den 28 november att antalet ledamöter i respektive utskott ska vara 5 ordinarie ledamöter och 2 ersättare, varav en ordförande och två vice ordfö- rande

2. Beslutet justeras omedelbart.

Kommunstyrelsen har remitterat ett förslag till Biblioteksplan för Stockholms stad till utbildningsnämnden.. I förslaget stakas riktningen ut för stadens folkbiblioteksverksamhet

Protokoll omedelbart justerat (pdf)

Ulricehamnsbygdens ridklubb (UBRK) har i en skrivelse till kommunen inkommit med en ansökan gällande driftsbidrag. Förvaltningen ser att det är möjligt att bevilja ett