Databehandlingsbilaga

 

Denna bilaga utgör en integrerad del av avtalet och ingås av:

 

  1. (i) Kunden (" Dataexportör ")
  2. (ii) POSTCODE (" Dataimportör ")

 

Var och en är ett " parti " och vanligtvis " parter ".

 

Inledning

VAR Dataimportören tillhandahåller professionella programvarutjänster, datorer och relaterade tjänster;

DÄR Dataimportören i enlighet med avtalet har gått med på att tillhandahålla dataexportören de tjänster som specificeras i avtalet (" Tjänsterna ");

DÄR, genom att tillhandahålla tjänsterna, dataimportören får eller drar nytta av tillgång till dataexportörens information eller information från andra personer som har en (potentiell) relation med dataexportören, kan sådan information betecknas som personuppgifter enligt förordningens mening (EU) 2016/679 från Europaparlamentet och rådet av den 27 april 2016 om skydd av individer när det gäller behandling av personuppgifter och om fri rörlighet för sådana uppgifter (" GDPR ") och andra tillämpliga dataskyddslagar.

DÄR detta bilaga innehåller de villkor som gäller för insamling, bearbetning och användning av sådana personuppgifter av dataimportören i dess egenskap av dataexportörens auktoriserade databehandlare, för att säkerställa att parterna följer tillämplig dataskyddslagstiftning .

 

DÄRFÖR, och för att göra det möjligt för parterna att fortsätta sitt förhållande lagligt, har parterna kommit fram till denna bilaga enligt följande:

Del 1

 

1. Dokumentets struktur och definitioner

1.1 Struktur

Denna bilaga består av olika delar enligt följande:

 

Del 1:

innehåller allmänna bestämmelser, t.ex. om definitionerna som används i denna bilaga, efterlevnad av lokala lagar, tidpunkt och uppsägning

Del 2:

innehåller huvuddelen av dokumentet med oförändrade standardavtalsklausuler

Bilaga 1.1 i del 2:

innehåller detaljerna om de behandlingar som dataimportören lämnar till dataexportören som auktoriserad databehandlare (inklusive behandlingen, arten och syftet med behandlingen, typen av personuppgifter och kategorierna av registrerade personer) enligt denna Bilaga

Bilaga 2 till del 2:

innehåller en beskrivning av Dataimportörens tekniska och organisatoriska säkerhetsåtgärder, som tillämpas i samband med all behandlingsverksamhet som beskrivs i Bilaga 1.1 i Del 2

Del 3:

innehåller underskrifter från de parter som är bundna av detta bilaga och identifierar varje dataimportör

 

1.2 Terminologi och definitioner

För ändamålen med denna bilaga är terminologin och definitionerna som används av GDPR tillämpliga (i huvuddelen av standardkontraktsklausuldokumentet i del 2, där definierade termer inte är versaler). 

 

"Medlemsstat"

betyder ett land som tillhör Europeiska unionen eller Europeiska ekonomiska samarbetsområdet

"Särskilda kategorier av (personliga) uppgifter"

avser personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, och genetiska uppgifter, biometriska uppgifter, om de behandlas i syfte att unikt identifiera en person, uppgifter om hälsa, uppgifter om en persons kön liv eller sexuell läggning

"Standardavtalsklausuler"

avser standardavtalsklausulerna för överföring av personuppgifter från ombud som är etablerade i tredjeländer, enligt kommissionens beslut 2010/87/EU den 5 februari 2010, som ändrades av kommissionens genomförandebeslut (EU) 2016/2297 den 16:e december 2016

"Dataprocessor"

avser varje behandlingsombud, belägen inom eller utanför EU/EES, som samtycker till att ta emot personuppgifter från Dataimportören eller någon annan bearbetare av Dataimportören för det exklusiva syftet med behandlingsaktiviteter som ska utföras av Dataexportören efter överföring i enlighet med dataexportörens instruktioner, villkoren i denna bilaga och kontraktet med dataimportören

 

 

2. Dataexportörens skyldigheter

2.1 Dataexportören har en skyldighet att säkerställa efterlevnad av alla tillämpliga skyldigheter enligt GDPR och alla andra tillämpliga dataskyddslagar som gäller för dataexportören och att visa sådan efterlevnad som krävs enligt artikel 5 (2) i GDPR. Dataexportören garanterar att Dataimportören har erhållit förhandsgodkännande från de registrerade i enlighet med artikel 6 (a) i GDPR och har uppfyllt sin skyldighet att informera de registrerade i enlighet med artikel 13 och 14 i GDPR.

2.2 Dataexportören måste förse dataimportören med respektive filer för bearbetningsaktiviteterna i enlighet med artikel 30 (1) i GDPR relaterade till tjänsterna enligt denna bilaga, i den utsträckning det är nödvändigt för att dataimportören ska kunna uppfylla skyldigheten enligt Artikel 30 (2) i GDPR.

2.3 Dataexportören måste utse ett dataskyddsombud eller ombud i den utsträckning som krävs enligt tillämplig dataskyddslag. Dataexportören är skyldig att lämna kontaktuppgifterna för dataskyddsombudet eller företrädaren, om någon, till dataimportören.

2.4. Dataexportören bekräftar före slutförandet av behandlingen, genom att godkänna denna bilaga, att dataimportörens tekniska och organisatoriska säkerhetsåtgärder, som anges i bilaga 2 till del 2, är lämpliga och tillräckliga för att skydda den registrerades rättigheter och bekräftar att Dataimportören tillhandahåller tillräckliga skyddsåtgärder i detta avseende.

 

3. Överensstämmelse med lokal lag

För att uppfylla kraven för genomförandet av bearbetningsagenterna enligt artikel 28 i GDPR är följande ändringar tillämpliga:

 

3.1 Instruktioner

  1. (i) Dataexportören instruerar dataimportören att endast behandla personuppgifter på uppdrag av dataexportören. Dataexportörens instruktioner finns i denna bilaga och i avtalet. Dataexportören har skyldighet att se till att alla instruktioner gavs till dataimportören följer tillämpliga dataskyddslagar. Dataimportören får endast behandla personuppgifter i enlighet med instruktionerna från dataexportören om inte annat krävs av Europeiska unionen eller lagstiftningen i medlemsstaten (i det senare fallet gäller del 1, punkt 3.2 (iv) (c)) .
  2. (ii) Alla andra instruktioner som går utöver instruktionerna i denna bilaga eller i kontraktet måste inkluderas i ämnet för detta bilaga och kontraktet. Om implementeringen av denna ytterligare instruktion innebär kostnader för Dataimportören, ska Dataimportören informera Dataexportören om sådana kostnader och ge en förklaring innan instruktionen implementeras. Först efter att Dataexportören har bekräftat godkännande av dessa kostnader för implementering av instruktionen ska Dataimportören implementera denna ytterligare instruktion. Dataexportören måste ge ytterligare instruktioner skriftligen om inte brådskande eller andra särskilda omständigheter kräver ett annat formulär (t.ex. muntligt, elektroniskt). Instruktioner i annan form än skriftliga måste bekräftas skriftligen och utan dröjsmål av Dataexportören.
  3. 1. Såvida inte dataexportören inte kan utföra rättelse, radering eller begränsning av personuppgifter på egen hand, kan instruktionerna även avse rättelse, radering och/eller begränsning av personuppgifter enligt del 1, punkt 3.3.
  4. 2. Dataimportören måste omedelbart informera dataexportören om, enligt dess uppfattning, en instruktion bryter mot GDPR eller andra tillämpliga dataskyddsbestämmelser i Europeiska unionen eller en medlemsstat (" Disputed Instruction"). Om Dataimportören anser att en Instruktion bryter mot GDPR eller andra tillämpliga dataskyddsbestämmelser i Europeiska Unionen eller en medlemsstat, är Dataimportören inte skyldig att följa den omtvistade Instruktionen. Om Dataexportören bekräftar den ifrågasatta Instruktionen mottagande av information från Dataimportören och erkänner sitt ansvar för den Ifrågasatta Instruktionen, ska Dataimportören implementera den Ifrågasatta Instruktionen, såvida inte den Ifrågasatta Instruktionen avser (i) genomförandet av tekniska och organisatoriska åtgärder, (ii) Datans rättigheter Ämnen eller (iii) engagemang av databehandlare. I fall (i) till (iii) kan dataimportören kontakta en behörig tillsynsmyndighet för att få den ifrågasatta Instruktionen juridiskt utvärderad av en sådan myndighet.Om tillsynsmyndigheten förklarar att den ifrågasatta Instruktionen är laglig, ska Dataimportören genomföra den ifrågasatta Instruktionen. Del 1 Klausul 3.1 (ii) ska förbli tillämplig.

 

3.2 Dataimportörens skyldigheter

  1. (i) Dataimportören måste säkerställa att personer som är auktoriserade av Dataimportören att behandla personuppgifter för Dataexportörens räkning, särskilt anställda hos Dataimportören och anställda hos någon Underleverantör, har åtagit sig att iaktta sekretess eller är föremål för en lämplig lagstadgad tystnadsplikt, och att sådana personer som har tillgång till personuppgifter behandlar dem i enlighet med Dataexportörens instruktioner.
  2. (ii) Dataimportören måste implementera de tekniska och organisatoriska säkerhetsåtgärder som anges i bilaga 2 till del 2 innan personuppgifterna behandlas på uppdrag av dataexportören. Dataimportören kan då och då ändra de tekniska och organisatoriska säkerhetsåtgärderna om de inte ger sämre skydd än de som anges i Bilaga 2 till Del 2.
  3. (iii) Dataimportören ska på begäran av dataexportören göra information tillgänglig för dataexportören för att visa att dataimportörens skyldigheter enligt detta bilaga efterlevs. Parterna är överens om att denna informationsskyldighet uppfylls genom att tillhandahålla dataexportören en revisionsrapport (som täcker principsäkerhet, systemtillgänglighet och konfidentialitet) ("revisionsrapport"). Om ytterligare revisionsaktiviteter krävs enligt lag, kan dataexportören begära att inspektioner utförs av dataexportören eller annan revisor som utsetts av dataexportören, under förutsättning att sådan revisor genomför ett sekretessavtal med dataimportören till dataimportörens rimlig tillfredsställelse ("Revision"). Denna revision är föremål för följande villkor:(i) det tidigare formella skriftliga godkännandet av dataimportören; och (ii) Dataexportören ska stå för alla kostnader relaterade till revisionen på plats för dataexportören och dataimportören. Dataexportören måste skapa en revisionsrapport som sammanfattar resultaten och observationerna från revisionen på plats ("revisionsrapport på plats"). Revisionsrapporterna på plats och revisionsrapporterna är konfidentiell information från dataimportören och får inte lämnas ut till tredje part såvida det inte krävs av tillämplig dataskyddslagstiftning eller i enlighet med dataimportörens samtycke.Revisionsrapporterna på plats och revisionsrapporterna är konfidentiell information från dataimportören och får inte lämnas ut till tredje part såvida det inte krävs av tillämplig dataskyddslagstiftning eller i enlighet med dataimportörens samtycke.Revisionsrapporterna på plats och revisionsrapporterna är konfidentiell information från dataimportören och får inte lämnas ut till tredje part såvida det inte krävs av tillämplig dataskyddslagstiftning eller i enlighet med dataimportörens samtycke.
  4. (iv) Dataimportören har en skyldighet att utan onödigt dröjsmål meddela dataexportören:
    1. a. angående varje rättsligt bindande begäran om utlämnande av personuppgifter från en brottsbekämpande myndighet, om inte annat är förbjudet, såsom ett förbud enligt strafflagstiftningen för att skydda sekretessen för en brottsbekämpande utredning
    2. b. angående klagomål och begäran som tas emot direkt från en registrerad (t.ex. angående åtkomst, rättelse, radering, begränsning av behandling, dataportabilitet, invändning mot databehandling, automatiserat beslutsfattande) utan att svara på den begäran, såvida inte dataimportören har fått tillstånd att göra det
    3. c. om dataimportören eller databehandlaren är skyldig att, enligt lagen i Europeiska unionen eller i den medlemsstat som dataimportören eller databehandlaren lyder under, behandla personuppgifterna utöver dataexportörens instruktioner, innan sådan behandling utförs efter instruktionerna, såvida inte lagar i Europeiska unionen eller i medlemsstaten förbjuder sådan behandling på grund av väsentliga allmänintressen, i vilket fall meddelandet till dataexportören ska specificera det rättsliga kravet enligt den lagstiftningen i Europeiska unionen eller i medlemsstaten; eller
    4. d. om Dataimportören inser ett intrång i personuppgifter, enbart på grund av sig själv eller sin underleverantör, vilket skulle påverka Dataexportörens personuppgifter som omfattas av detta avtal, i vilket fall Dataimportören kommer att bistå Dataexportören i dess skyldighet, gentemot tillämplig dataskyddslag, att informera de registrerade och, i förekommande fall, tillsynsmyndigheterna genom att tillhandahålla den information som står till dess förfogande, i enlighet med artikel 33.3 i GDPR.
    5. (v) At the request of the Data Exporter, the Data Importer shall be compelled to assist the Data Exporter in its obligation to carry out a data protection impact assessment that may be required by Article 35 of the GDPR and a prior consultation that may be required by Article 36 of the GDPR concerning the services provided by the Data Importer to the Data Exporter under this Appendix, providing the necessary and information to the Data Exporter. The Data Importer will only be obliged to provide such assistance if the Data Exporter cannot fulfill its obligation by other means. The Data Importer will advise the Data Exporter of the cost of such assistance. As soon as the Data Exporter has confirmed that it can bear this cost, the Data Importer will provide the Data Exporter with this help.
    6. (vi) Vid slutet av tillhandahållandet av tjänsterna kan Dataexportören begära att de personuppgifter som behandlas av Dataimportören enligt denna Bilaga återlämnas inom en månad efter tjänsterna. Såvida inte lagstiftningen i medlemsstaten eller Europeiska unionen kräver att dataimportören ska lagra eller behålla sådana personuppgifter, kommer dataimportören att radera alla sådana personliga eller icke-personliga uppgifter efter en månadsperiod, oavsett om de har returnerats till dataexportören på dennes begäran eller inte.

 

3.3 Berörda personers rättigheter

  1.  
    1. (i) Dataexportören hanterar och svarar på förfrågningar från registrerade. Dataimportören är inte skyldig att svara direkt till de registrerade.
    2. (ii) Om dataexportören behöver dataimportörens hjälp med att behandla och svara på den registrerades förfrågningar, ska dataexportören utfärda ytterligare instruktioner i enlighet med paragraf 3.1 (ii) i del 1. Dataimportören kommer att bistå dataexportören med följande lämpliga och tekniska organisatoriska åtgärder för att svara på förfrågningar om utövande av de registrerades rättigheter enligt kapitel III i GDPR enligt följande:
    3. a. När det gäller förfrågningar om information kommer dataimportören endast att förse dataexportören med den information som krävs enligt artiklarna 13 och 14 i PGRD som den kan ha till sitt förfogande om dataexportören inte kan hitta den på egen hand.
    4. b. När det gäller begäranden om åtkomst (artikel 15 i GDPR) kommer Dataimportören endast att förse Dataexportören med den information som är tänkt att lämnas till en registrerad för nämnda begäran om åtkomst, som den kan ha till sitt förfogande om den senare kan inte hitta den ensam.
    5. c. När det gäller begäranden om rättelse (artikel 16 i GDPR), begäran om radering (artikel 17 i GDPR), begränsning av begäranden om behandling (artikel 18 i GDPR) eller begäranden om portabilitet (artikel 20 i GDPR) och endast om Dataexportören inte själv kan rätta eller radera, begränsa eller överföra personuppgifterna till en annan tredje part, kommer Dataimportören att erbjuda Dataexportören möjligheten att rätta eller radera, begränsa eller överföra de berörda personuppgifterna till den andra tredje parten, eller om detta inte är möjligt, kommer den att ge hjälp att rätta eller radera, begränsa eller överföra de berörda personuppgifterna till den andra tredje parten.
    6. d. När det gäller meddelandet som avser rättelse, radering eller begränsning av behandling (artikel 19 i GDPR), kommer Dataimportören att bistå Dataexportören genom att meddela alla mottagare av personuppgifter som anlitats av Dataimportören som processorer om Dataexportören begär det och om Dataexportören inte kan åtgärda situationen på egen hand.
    7. e. När det gäller rätten till invändning som utövas av en registrerad (artiklarna 21 och 22 i GDPR) kommer dataexportören att avgöra om invändningen är legitim och hur den ska hanteras.
    8. (iii) Dataimportörens assistansskyldigheter är begränsade till personuppgifter som behandlas inom dess infrastruktur (t.ex. databaser, system, applikationer som ägs eller tillhandahålls av Dataimportören).
    9. (iv) Dataexportören ska avgöra huruvida en registrerad person får utöva rättigheterna för registrerade som anges i paragraf 3.1 i denna del 1 och ska informera dataimportören om i vilken utsträckning den hjälp som anges i paragraf 3.3 (ii), ( iii) av del 1 är nödvändig.
    10. (v) Om dataexportören begär ytterligare eller modifierade tekniska och organisatoriska åtgärder för att tillgodose rättigheterna för registrerade personer som går utöver den hjälp som tillhandahålls av dataimportören enligt underklausul 3.3 (ii), (iii) i del 1, uppgifterna Importören ska informera dataexportören om kostnaderna för att genomföra sådana ytterligare eller ändrade tekniska och organisatoriska åtgärder. Så snart Dataexportören har bekräftat att den kan stå för dessa kostnader, ska Dataimportören implementera sådana ytterligare eller modifierade tekniska och organisatoriska åtgärder för att hjälpa Dataexportören att svara på de Registrerades förfrågningar.
    11. (vi) Utan att begränsa omfattningen av paragraf 3.3 (v) i del 1, ska dataexportören vara skyldig att ersätta dataimportören för dess rimliga kostnader för att svara på de registrerades förfrågningar.

 

3.4 Delbearbetning

  1.  
    1. (i) Dataexportören godkänner Dataimportörens användning av underleverantörer för tillhandahållande av tjänster enligt detta bilaga. Dataimportören ska välja sådan databehandlare noggrant. Dataexportören godkänner den eller de databehandlare som anges i bilaga 1.1 i slutet av del 2.
    2. (ii) Dataimportören ska överföra sina skyldigheter enligt detta bilaga till databehandlaren(erna) i den utsträckning som är tillämplig på underleverantörstjänsterna.
    3. (iii) Dataimportören kan avskeda, ersätta eller utse en annan lämplig och pålitlig databehandlare efter eget gottfinnande. Om dataexportören skriftligen begär det, måste dataimportören följa proceduren nedan:
  1.  
    1. a. Dataimportören ska informera dataexportören innan några ändringar av listan över databehandlare som hänvisas till under punkt 3.4 (i) i del 1. Om dataexportören inte motsätter sig enligt punkt 3.4. (b) av del 1 trettio dagar efter att ha mottagit meddelande från dataimportören, ska de ytterligare databehandlare anses vara accepterade.
    2. b. Om Dataexportören har en berättigad anledning att invända mot ytterligare en Databehandlare kommer den att i förväg meddela Dataimportören skriftligen inom trettio dagar efter mottagandet av Dataimportörens meddelande och innan Dataimportörens tjänst sätts i drift. Om Dataexportören invänder mot användningen av en ytterligare Databehandlare, kan Dataimportören rensa invändningen genom ett av följande alternativ (valda efter eget gottfinnande): (A) Dataimportören kommer att avbryta sina planer på att använda en ytterligare databehandlare ang. dataexportörens personuppgifter; (B) Dataimportören kommer att vidta de korrigerande åtgärder som begärts av Dataexportören i sin invändning (avbryta invändningen) och använda den extra processorn angående Dataexportörens personuppgifter;(C) Dataimportören kan upphöra att tillhandahålla eller så kan Dataexportören gå med på att inte använda (tillfälligt eller permanent) en viss aspekt av tjänsten som skulle innebära användning av Dataexportörens ytterligare processor av Dataexportörens personuppgifter.
  1.  
    1. (iv) om databehandlaren är baserad utanför EU-EES i ett land som inte anses erbjuda en adekvat dataskyddsnivå efter ett beslut av Europeiska kommissionen, kommer dataimportören att vidta åtgärder för att följa en adekvat nivå av dataskydd i enlighet med GDPR (sådana åtgärder kan innefatta - bland annat och - användning av databehandlingskontrakt baserade på klausulerna i EU-modellen, överföring till självcertifierade databehandlare inom ramen för EU-US Protection Shield eller liknande program).

 

3.5 Upphörande

Upphörandet av detta bilaga är identiskt med utgångsdatumet för motsvarande kontrakt. Om inte annat anges i detta bilaga, ska rättigheterna och skyldigheterna i samband med uppsägning vara desamma som de som ingår i Kontraktet.

 

4. Ansvarsbegränsning

4.1 Varje part hanterar sina skyldigheter enligt denna bilaga och tillämplig dataskyddslagstiftning.

4.2 Allt ansvar som hänför sig till ett brott mot skyldigheterna enligt detta bilaga eller tillämplig dataskyddslagstiftning ska omfattas av och styras av ansvarsbestämmelserna som anges i eller är tillämpliga på kontraktet, utom om annat anges i detta bilaga. Om ansvar regleras av ansvarsbestämmelserna som anges i eller är tillämpliga på Kontraktet, för beräkning av ansvarsgränser eller fastställande av tillämpningen av andra ansvarsbegränsningar, ska varje ansvar som uppstår enligt detta bilaga anses uppkomma under Kontraktet.

 

5. Allmänna bestämmelser

5.1 Om det finns några inkonsekvenser eller avvikelser mellan delarna 1 och 2 i denna bilaga, ska del 2 ha företräde. Specifikt, även i ett sådant fall, ska del 1 som helt enkelt går längre än del 2 (dvs. villkoren i standardklausuler) utan att motsäga den förbli giltig.

5.2 Om någon diskrepans uppstår mellan bestämmelserna i detta bilaga och bestämmelserna i andra avtal som binder parterna, ska detta bilaga ha företräde beträffande parternas dataskyddsförpliktelser. Vid tvivel om huruvida klausuler i andra avtal rör parternas dataskyddsförpliktelser ska denna bilaga ha företräde.

5.3 Om någon bestämmelse i detta bilaga är ogiltig eller omöjlig att verkställa, ska resten av detta bilaga förbli i full kraft och verkan. Den ogiltiga eller icke verkställbara bestämmelsen kommer att (i) ändras för att säkerställa dess giltighet och verkställbarhet, samtidigt som parternas avsikt så långt som möjligt bevaras, eller - om detta inte är möjligt - (ii) tolkas som om den ogiltiga eller icke verkställbara delen hade aldrig varit en del av kontraktet. Ovanstående gäller även om det finns en underlåtenhet i denna bilaga.

5.5 I den utsträckning det är nödvändigt kan parterna begära ändringar i del 1, klausul 3 (efterlevnad av lokal lag) eller andra delar av bilagan för att följa tolkningar, direktiv eller order utfärdade av de behöriga myndigheterna i unionen eller Medlemsstater, nationella verkställighetsbestämmelser eller annan rättslig utveckling som rör GDPR eller andra villkor för delegering till enheter som är involverade i databehandling och specifikt angående användningen av standardavtalsklausulerna i GDPR. Villkoren i standardavtalsklausulerna får inte ändras eller ersättas om inte Europeiska kommissionen uttryckligen godkänner det (t.ex. genom nya adekvata klausuler och dataskyddsstandarder).

5.6 Alla hänvisningar i detta bilaga till "Klausulerna" ska tolkas som hänvisningar till alla bestämmelser i detta bilaga om inte annat anges.

5.7 Lagvalet i del 2, punkt 9 gäller för hela avtalet.

 

6.  Personuppgifter som överförs och behandlas av parterna för personliga ändamål (överföring från den personuppgiftsansvarige till den personuppgiftsansvarige)

6.1 Parterna vet fullt ut att vissa personuppgifter kommer att överföras från Dataexportören till Dataimportören och vice versa, och att sådana uppgifter behandlas av varje Part för sina egna syften. När det gäller sådana personuppgifter påverkar det inte övriga bestämmelser i detta bilaga (förutom denna klausul 6).

6.2 Dataexportören kan överföra personuppgifter som rör dataimportörens personal till dataimportören, inklusive information om säkerhetsincidenter, eller andra dokument eller filer som skapats eller upprättats av dataexportören i samband med de tjänster som tillhandahålls av personalen på dataimportören. Dataimportören kan behandla sådana personuppgifter för sina egna ändamål, särskilt i sina professionella relationer med Dataimportörens personal, för kvalitetskontroll och utbildning eller för affärsändamål.

6.3. Dataimportören kan överföra personuppgifter till Dataexportören, inklusive namn och kontaktuppgifter för Dataimportörens personal. Dataexportören kan behandla sådana personuppgifter för sina egna ändamål.

6.4 Båda parter ska följa alla tillämpliga dataskyddslagar, inklusive GDPR, vid insamling, bearbetning och användning av sådana personuppgifter som erhållits från den andra parten enligt klausul 1 i del 1. I synnerhet ska båda parter vidta lämpliga säkerhetsåtgärder, förutsatt att en liknande skyddsnivå som de säkerhetsåtgärder som anges i bilaga 2 till del 2. All tillgång till sådana personuppgifter ska begränsas till behovet av att känna till dem.

6.5 Båda parter måste radera sådana personuppgifter så snart som möjligt efter att målen har uppnåtts.

Del 2

 

KOMMISSIONENS BESLUT

den 5 februari 2010

om standardavtalsklausuler för överföring av personuppgifter till databehandlare etablerade i tredje parts länder enligt Europaparlamentets och rådets direktiv 95/46/EG

 

 

 

Klausul 1

Definitioner

I klausulernas mening:

a) ”personuppgifter”, ”särskilda kategorier av uppgifter”, ”bearbetning/bearbetning”, ”registeransvarig”, ”behandlare”, ”den registrerade” och ”tillsynsmyndighet” ska ha samma betydelse som i 95/46/EG Europaparlamentets och rådets direktiv av den 24 oktober 1995 om skydd av enskilda vid behandling av personuppgifter och om det fria flödet av sådana uppgifter (1);

b) "Dataexportören" är den personuppgiftsansvarige som överför personuppgifterna;

c) "Dataimportören" är den databehandlare som samtycker till att ta emot personuppgifter från dataexportören som är avsedda att behandlas på uppdrag av dataexportören efter överföringen i enlighet med dess instruktioner och enligt villkoren i dessa klausuler och som inte är under förutsättning att ett tredjelands mekanism säkerställer adekvat skydd i den mening som avses i artikel 25.1 i direktiv 95/46/EG. (d) "Databehandlare" avser den databehandlare som anlitas av Dataimportören eller av någon annan Dataimportörens Databehandlare som samtycker till att ta emot personuppgifter från Dataimportören eller någon annan Dataimportörs Dataimportörs personuppgifter uteslutande för behandlingsaktiviteter för att utföras på uppdrag av Dataexportören efter överföringen i enlighet med Dataexportörens instruktioner,under de villkor som anges i dessa klausuler och under villkoren i det skriftliga underleverantörskontraktet för databehandlingsavtalet;

e) "tillämplig dataskyddslagstiftning": den lagstiftning som skyddar individers grundläggande rättigheter och friheter, inklusive rätten till integritet när det gäller behandling av personuppgifter, och som gäller för en registeransvarig i den medlemsstat där dataexportören är etablerad.

f) "tekniska och organisatoriska åtgärder relaterade till säkerhet"? avser åtgärder som är avsedda att skydda personuppgifter mot oavsiktlig eller olaglig förstörelse eller oavsiktlig förlust, ändring, obehörigt röjande eller åtkomst, i synnerhet när behandlingen innefattar överföring av uppgifter över nätverk, och mot alla andra olagliga former av behandling.

Klausul 2

Detaljer om överföringen

Detaljerna för överföringen, inklusive i förekommande fall särskilda kategorier av personuppgifter, anges i bilaga 1, som utgör en integrerad del av dessa klausuler.

Klausul 3

Tredjepartsförmånstagaresklausul

1. Den registrerade kan göra gällande mot dataexportören denna klausul, klausul 4(b) till (i), klausul 5(a) till (e) och (g) till (j), klausul 6 (1) och (2) ), Klausul 7, Klausul 8(2) och Klausuler 9 till 12 som tredje parts förmånstagare

2. Den registrerade kan genomdriva denna klausul, klausul 5 (a) till (e) och (g), klausul 6, klausul 7, klausul 8 (2) och klausuler 9 till 12 mot dataimportören där dataexportören fysiskt har försvunnit eller har upphört att existera i lag, såvida inte alla hans rättsliga förpliktelser har överförts, genom avtal eller enligt lag, till den efterträdande enheten, till vilken dataexportörens rättigheter och skyldigheter därför återgår, och mot vilken uppgifterna föremål kan därför genomdriva nämnda klausuler.

Den registrerade kan genomdriva denna klausul, klausul 5 (a) till (e) och (g), klausul 6, klausul 7, klausul 8 (2) och paragraf 9 till 12 mot databehandlaren, men endast i de fall då uppgifterna Exportören och Dataimportören har fysiskt försvunnit, upphört att existera i lag eller har blivit insolventa, såvida inte alla juridiska skyldigheter för Dataexportören har överförts, genom avtal eller enligt lag, till den juridiska efterträdaren, till vilken rättigheterna och Dataexportörens skyldigheter är därför tilldelade, och mot vilken den registrerade därför kan genomdriva sådana klausuler. Sådant ansvar för databehandlaren måste begränsas till dess egen behandlingsverksamhet enligt dessa klausuler.

4. Parterna motsätter sig inte att den registrerade företräds av en förening eller annat organ om han eller hon så önskar och om nationell lagstiftning tillåter det.

Klausul 4

Dataexportörens skyldigheter

Dataexportören accepterar och garanterar följande:

a) behandlingen, inklusive den faktiska överföringen av personuppgifter, har utförts och kommer att fortsätta att utföras i enlighet med relevanta bestämmelser i tillämplig dataskyddslagstiftning (och, i tillämpliga fall, har anmälts till de behöriga myndigheterna i medlemsstaten där dataexportören är baserad) och inte bryter mot de relevanta bestämmelserna i den staten;

b) de har instruerat och kommer att instruera Dataimportören att behandla de personuppgifter som överförs på dataexportörens vägnar och i enlighet med tillämplig dataskyddslagstiftning och dessa klausuler under hela tiden för behandling av personuppgifter;

c) Dataimportören kommer att tillhandahålla tillräckliga skyddsåtgärder avseende de tekniska och organisatoriska säkerhetsåtgärder som anges i bilaga 2 till detta avtal;

d) efter utvärdering av kraven i den tillämpliga dataskyddslagstiftningen är säkerhetsåtgärderna tillräckliga för att skydda personuppgifter mot oavsiktlig eller olaglig förstörelse eller oavsiktlig förlust, ändring, obehörigt avslöjande eller åtkomst, särskilt när behandlingen innefattar överföring av data över ett nätverk och mot alla andra olagliga former av behandling och säkerställa en säkerhetsnivå som är lämplig för de risker som behandlingen utgör och arten av de uppgifter som ska skyddas, med hänsyn till tekniknivån och kostnaden för genomförandet;

e) De kommer att säkerställa efterlevnaden av säkerhetsåtgärder.

f) om överföringen avser särskilda kategorier av uppgifter, den registrerade har informerats eller kommer att informeras före överföringen, eller så snart som möjligt efter överföringen, att hans eller hennes uppgifter kan komma att överföras till ett tredjeland som inte erbjuder en adekvat skyddsnivå i den mening som avses i direktiv 95/46/EG.

g) de kommer att vidarebefordra alla meddelanden från dataimportören eller någon databehandlare enligt paragraf 5 (b) och 8 (3) till dataskyddstillsynsmyndigheten om den beslutar att fortsätta överföringen eller att häva avstängningen;

h) de ska tillhandahålla de registrerade, om de så begär, en kopia av dessa paragrafer, med undantag för bilaga 2, och en sammanfattande beskrivning av säkerhetsåtgärderna och en kopia av ytterligare underleverantörsavtal som ingåtts enligt dessa paragrafer om inte Klausuler eller avtalet innehåller kommersiell information, i vilket fall han kan dra tillbaka sådan information;

i) vid utkontraktering av databehandlingsprocessen utförs behandlingsaktiviteten i enlighet med paragraf 11 av en databehandlare som tillhandahåller minst samma skyddsnivå för personuppgifter och registrerades rättigheter som dataimportören enligt dessa paragrafer ; och

j) det kommer att säkerställa efterlevnad av klausul 4 (a) till (i).

Klausul 5

Dataimportörens skyldigheter

Dataimportören accepterar och garanterar följande:

a) de kommer att behandla personuppgifterna endast på uppdrag av dataexportören och enligt dataexportörens instruktioner och dessa klausuler; om den av någon anledning inte kan följa, samtycker de till att informera dataexportören om dess oförmåga så snart som möjligt, i vilket fall dataexportören kan avbryta dataöverföringen och/eller avsluta avtalet;

b) de inte har någon anledning att tro att den lag som är tillämplig på dem hindrar honom från att uppfylla instruktionerna från dataexportören och de skyldigheter som åligger honom enligt avtalet, och om sådan lag är föremål för en förändring som kan ha en väsentlig negativ påverka garantierna och skyldigheterna enligt klausulerna, ska han underrätta dataexportören om ändringen utan dröjsmål efter att ha blivit medveten om den, i vilket fall dataexportören kan avbryta dataöverföringen och/eller avsluta avtalet; (c) de har genomfört de tekniska och organisatoriska säkerhetsåtgärder som anges i bilaga 2 innan de behandlade de överförda personuppgifterna;

d) de kommer att meddela dataexportören utan dröjsmål:

i) varje bindande begäran om utlämnande av personuppgifter från en brottsbekämpande myndighet, om inte annat anges, såsom ett straffrättsligt förbud som syftar till att bevara sekretessen för en polisutredning;

ii) varje tillfällig eller obehörig åtkomst; och

iii) varje begäran som mottagits direkt från de berörda personerna utan att besvara den om han inte har fått tillstånd att göra det; administratörer

e) de kommer att omedelbart och korrekt hantera alla förfrågningar från dataexportören angående dess behandling av de personuppgifter som överförs och kommer att agera under tillsynsmyndighetens åsikt angående behandlingen av de överförda uppgifterna;

f) på begäran av dataexportören kommer de att utsätta dess databehandlingsanläggningar för en revision av de behandlingsaktiviteter som omfattas av dessa klausuler som ska utföras av dataexportören eller ett tillsynsorgan som består av oberoende medlemmar med erforderliga yrkeskvalifikationer, omfattas av en tystnadsplikt och som valts av dataexportören, i förekommande fall med tillsynsmyndighetens samtycke;

g) de kommer att göra tillgänglig för den registrerade, om denne så begär, en kopia av dessa klausuler eller någon befintlig underleverantör av databehandlingsavtalet, såvida inte klausulerna eller avtalet innehåller kommersiell information, i vilket fall den kan ta bort sådan information, med undantag för bilaga 2, som kommer att ersättas av en sammanfattande beskrivning av säkerhetsåtgärderna, där den registrerade inte kan få en kopia från dataexportören;

h) i fallet med konfidentiell ytterligare underleverantör av databehandlingen, kommer han att se till att han informerar dataexportören i förväg och inhämtar dataexportörens skriftliga medgivande;

i) de behandlingstjänster som tillhandahålls av databehandlaren ska följa paragraf 11;

j) de kommer omedelbart att skicka en kopia av alla underleverantörer av databehandlingsavtalet som ingåtts av den enligt dessa klausuler till dataexportören.

Klausul 6

Ansvar

1. Parterna är överens om att varje registrerad som har lidit skada på grund av att en part eller en databehandlare har brutit mot skyldigheterna enligt paragraf 3 eller punkt 11, kan få ersättning från dataexportören för skadan.

2. Om en registrerad är förhindrad att väcka en skadeståndstalan enligt punkt 1 mot Dataexportören för att Dataimportören eller dess Databehandlare inte har fullgjort någon av sina skyldigheter enligt punkt 3 eller punkt 11 på grund av att Uppgifterna Exportören fysiskt har försvunnit, upphört att existera i lag eller har blivit insolvent, samtycker Dataimportören till att den registrerade kan lämna in ett klagomål mot den som om den vore Dataexportören såvida inte alla juridiska skyldigheter för Dataexportören har överförts genom avtal eller enligt lag, till dess efterträdande enhet, mot vilken den registrerade sedan kan göra gällande sina rättigheter. Dataimportören får inte förlita sig på ett brott mot sina skyldigheter från en databehandlare för att undvika sitt eget ansvar.

3. Om en registrerad är förhindrad att väcka talan som avses i punkterna 1 och 2 mot dataexportören eller dataimportören för databehandlarens åsidosättande av sina skyldigheter enligt punkt 3 eller punkt 11 på grund av att dataexportören och dataimportören fysiskt har försvunnit, upphört att existera i lag eller har blivit insolvent, samtycker databehandlaren till att den registrerade kan lämna in ett klagomål mot denne angående sin egen behandlingsverksamhet i enlighet med dessa klausuler som om det vore Dataexportören eller Dataimportören om inte alla juridiska skyldigheter för dataexportören eller dataimportören har överförts, genom avtal eller enligt lag, till den juridiska efterträdaren, mot vilken den registrerade sedan kan hävda sina rättigheter.Databehandlarens ansvar måste begränsas till dess egen behandlingsverksamhet i enlighet med dessa paragrafer.

 

Klausul 7

Medling och jurisdiktion

1. Dataimportören samtycker till att om den registrerade enligt klausulerna åberopar den tredje parts förmånstagares rätt mot honom och/eller kräver ersättning för den skada som lidit, kommer han att acceptera den registrerades beslut:

a) att överlämna tvisten till medling av en oberoende person eller, i förekommande fall, tillsynsmyndigheten;

b) att väcka tvisten vid domstolarna i den medlemsstat där dataexportören är baserad.

2. Parterna är överens om att det val som den registrerade gör inte ska påverka den registrerades processuella eller materiella rätt att få rättelse i enlighet med andra bestämmelser i nationell eller internationell rätt.

Klausul 8

Samarbete med tillsynsmyndigheter

1. Dataexportören samtycker till att deponera en kopia av detta avtal hos tillsynsmyndigheten om den senare kräver det eller om sådan deponering föreskrivs i tillämplig dataskyddslag.

2. Parterna är överens om att tillsynsmyndigheten får utföra kontroller hos Dataimportören och eventuell Databehandlare i samma utsträckning och på samma villkor som vid kontroller som utförs hos Dataexportören i enlighet med gällande dataskyddslagstiftning.

3. Dataimportören ska informera Dataexportören så snart som möjligt om förekomsten av lagstiftning som rör dataimportören eller någon databehandlare som förhindrar verifiering hos dataimportören eller någon databehandlare i enlighet med punkt 2. I sådant fall ska Dataexportören får vidta de åtgärder som anges i punkt 5 (b).

Klausul 9

Tillämplig lag

Klausulerna gäller och regleras av lagen i den medlemsstat där dataexportören är baserad.

Klausul 10

Ändring av kontraktet

Parterna åtar sig att inte ändra dessa klausuler. Parterna står fritt att inkludera andra kommersiella klausuler som de anser nödvändiga, förutsatt att de inte strider mot dessa klausuler.

Klausul 11

Efterföljande underentreprenad

1. Dataimportören ska inte lägga ut någon av sina bearbetningsaktiviteter som utförs på uppdrag av dataexportören enligt dessa klausuler utan föregående skriftligt medgivande från dataexportören. Dataimportören ska endast lägga ut sina skyldigheter enligt dessa paragrafer, med dataexportörens samtycke, genom ett skriftligt avtal med databehandlaren som ålägger databehandlaren samma skyldigheter som de åläggs dataimportören enligt dessa paragrafer. Om databehandlaren inte kan uppfylla sina dataskyddsskyldigheter enligt det skriftliga avtalet, ska dataimportören förbli fullt ansvarig gentemot dataexportören för att dessa skyldigheter fullgörs.

2. Det tidigare skriftliga avtalet mellan Dataimportören och Databehandlaren ska även innehålla en tredje parts förmånstagareklausul enligt punkt 3 för fall där den registrerade är förhindrad att väcka skadeståndsanspråk som avses i punkt 6 (1) ), mot dataexportören eller dataimportören på grund av att dataexportören eller dataimportören fysiskt har försvunnit, upphört att existera i lag eller har blivit insolvent och alla juridiska skyldigheter för dataexportören eller dataimportören inte har överförts, genom avtal eller genom operation lag till en annan efterträdande enhet. Databehandlarens ansvar måste begränsas till dess egen behandlingsverksamhet i enlighet med dessa paragrafer.

3. Bestämmelserna om dataskyddsaspekterna av underleverantörer av databehandlingen av det avtal som avses i punkt 1 ska regleras av lagen i den medlemsstat där dataexportören är etablerad.

4. Dataexportören ska föra en förteckning över underleverantörer av databehandlingsavtal som ingåtts enligt dessa paragrafer och som meddelats av dataimportören i enlighet med punkt 5 (j), vilken ska uppdateras minst en gång om året. Denna förteckning ska göras tillgänglig för dataexportörens dataskyddstillsynsmyndighet.

Klausul 12

Skyldighet efter uppsägning av personuppgiftsbehandlingstjänster

1. Parterna är överens om att efter slutförandet av databehandlingstjänsterna kommer dataimportören och databehandlaren, när det passar dataexportören, att returnera alla överförda personuppgifter och kopior av dessa till dataexportören, eller förstöra alla sådana uppgifter och tillhandahålla bevis förstörelsen till Dataexportören, såvida inte lagstiftning som ålagts Dataimportören hindrar denne från att returnera eller förstöra hela eller delar av de överförda personuppgifterna. I så fall garanterar Dataimportören att den säkerställer sekretessen för de överförda personuppgifterna och att den inte längre aktivt kommer att behandla uppgifterna.

2. Dataimportören och databehandlaren ska se till att de, om så begärs av dataexportören och/eller tillsynsmyndigheten, utsätter sina metoder för databehandling för kontroll av de åtgärder som avses i punkt 1.

 

 

 

 

Bilaga 1.1 till del 2

Detaljer om överföringen

 

 

Dataexportör

Dataexportören är den kund som definieras i avtalsavtalet.

 

Dataimportör

Dataimportören är POSTCODEZIP och har i uppdrag att bearbeta data, tillhandahålla tjänster till dataexportören.

 

Ämnen för uppgifterna

De personuppgifter som överförs gäller följande kategorier av registrerade:

�? telefonabonnenter listade i den universella katalogen

â˜' Andra, inklusive:

 

Datakategorier

De personuppgifter som överförs gäller följande kategorier av uppgifter:

 

Kategorier av personuppgifter för dataexportörens registrerade, särskilt,

â˜?? Fullständiga namn

â˜' Postadress

�? Kontaktuppgifter (e-post, telefon, IP-adress, etc.)

â˜?? Uppgifter om marknadsföringsaktiviteter som rör telefonabonnenten

â˜' Andra, inklusive typen av bostäder, inkomst och medelålder som staden gjort anonymt

 

Särskilda kategorier av data (om tillämpligt)

De personuppgifter som överförs avser följande särskilda kategorier av uppgifter:

â˜' Överföring av särskilda kategorier av uppgifter är inte förutsedda

�? Ras eller etniskt ursprung

â˜?? Religiösa eller filosofiska övertygelser

â˜?? Medlemskap i fackförening

â˜?? Politiska åsikter

�? Genetisk information

�? Biometrisk information

â˜?? Information om sexuell läggning eller sexuellt liv

â˜?? Hälsodata

 

Bearbetningsaktiviteter

De personuppgifter som överförs kommer att omfattas av följande grundläggande behandlingsaktiviteter:

 

  •  
    • •  Syftet med behandlingen

Behandlingen som utförs på uppdrag av dataexportören baseras på följande ämnen, särskilt:

â˜' Ta hand om de produkter eller tjänster som erbjuds av dataexportören

â˜' Erbjudandet av en produkt eller tjänst som den uppringda personen kan begära

â˜' Beställningar tagna från de personer som kallas och vidare behandling av dessa beställningar

â˜' Studera frågeformulär och analyser

â˜' Telemarketing

�? Andra, inklusive:

 

  •  
    • • Bearbetningens art  och syfte

Dataimportören behandlar de registrerades personuppgifter på uppdrag av dataexportören för att tillhandahålla följande tjänster, och framför allt:

  • â˜' Automatisk ifyllning av formulär
  • â˜' Adresser valideringsformulär

â˜' Försäljning och marknadsföring

â˜' Andra, inklusive uppdatering av databaser över stadshus och politiska partier

 

  •  
    • •  Tillhandahållande av tjänster och anställning av tjänsteleverantörer

 

POSTCODEZIP kombinerar, centraliserar och tillhandahåller tjänster till dataexportören. Tjänsterna som tillhandahålls av den namngivna tjänsteleverantören kan vara strukturerade (bland annat vid behov) kring följande kringtjänster: (i) tillhandahållande av applikationer, verktyg, system och IT-infrastruktur i förhållande till de databehandlingscenter som används för att tillhandahålla och stödja tjänsterna, inklusive behandlingen av de registrerades personuppgifter enligt beskrivningen ovan, via sådana applikationer, verktyg och system, (ii) tillhandahållande av IT-stöd, underhåll och andra tjänster relaterade till sådana applikationer, verktyg, system och IT-infrastruktur, inklusive potentiell åtkomst till personuppgifter lagrade i sådana applikationer, verktyg och system, och (iii) tillhandahållande av dataskyddstjänster, skyddsövervakning och incidentresponstjänster,inklusive potentiell tillgång till personuppgifter när sådana skyddstjänster tillhandahålls. POSTCODEZIP kan anlita databehandlare enligt nedan för att tillhandahålla tjänsterna, inklusive kringtjänster.

 

  •  
    • • Externa tredjepartstjänsteleverantörer som underenheter tilldelade databehandling

 

POSTCODEZIP anlitar externa och tredje parts tjänsteleverantörer, som inte är dotterbolag till POSTCODEZIP, för att stödja tillhandahållandet av tjänster till dataexportören. Dataexportören godkänner sådana externa tredjepartstjänsteleverantörer som underenheter som tilldelas databehandling.

 

Om en underenhet som är involverad i databehandling är belägen utanför EU/EES, i ett land som bedöms inte ha en adekvat dataskyddsnivå enligt ett beslut av Europeiska kommissionen, kommer dataimportören att vidta åtgärder för att erhålla en adekvat nivå av dataskydd i enlighet med GDPR och avsnitt 3.4 (iv) i del 1.

 

 

Bilaga 2, del 2

Tekniska och organisatoriska skyddsåtgärder

 

Dataimportören ska vidta följande tekniska och organisatoriska skyddsåtgärder som bekräftats av Dataexportören, för att garantera en lämplig nivå av säkerhet för individers rättigheter och friheter, beroende på riskerna. Vid bedömningen av den berörda skyddsnivån har Dataexportören särskilt beaktat riskerna som är involverade i behandlingen, inklusive oavsiktlig eller olaglig förstörelse, ändring, obehörigt avslöjande eller tillgång till personuppgifter som överförts, lagrats eller på annat sätt behandlats. Genom förtydligande: Dessa tekniska och organisatoriska skyddsåtgärder gäller inte för applikationer, verktyg, system och/eller IT-infrastruktur som tillhandahålls av dataexportören.

1 Allmänna tekniska och organisatoriska skyddsåtgärder

1.1 Allmän information och dataskyddsstrategier

Följande steg bör vidtas för att följa allmänna data- och informationsskyddsstrategier:

  • a) vidta åtgärder för att utvärdera de som vidtagits avseende tekniskt och organisatoriskt skydd;
  • b) tillhandahålla utbildning för att öka medvetenheten bland anställda;
  • c) ha en beskrivning av de berörda systemen och ge tillträde till anställda;
  • d) upprätta en formell dokumentationsprocess närhelst system implementeras eller modifieras;
  • e) dokumentera organisationsstruktur, processer, ansvar och respektive utvärderingar;

1.2 Organisation av informationsskydd

Följande åtgärder bör vidtas för att samordna data- och informationsskyddsaktiviteter:

  • a) definierade ansvarsområden för skydd av information och data (t.ex. genom dataskyddshanteringspolicyn).
  • b) Nödvändig expertis för att skydda information och data som finns kvar.
  • c) alla anställda har åtagit sig att se till att personuppgifter hålls konfidentiella och har informerats om de potentiella konsekvenserna av att bryta mot detta åtagande.

1.3 Tillträdeskontroll till bearbetningsområden

Följande åtgärder måste vidtas för att förhindra att obehöriga personer får tillgång till databehandlingssystem (särskilt mjukvara och hårdvara) när personuppgifter behandlas, lagras eller överförs:

  • a) upprätta säkra områden;
  • b) skydda och begränsa åtkomsten till databehandlingssystem;
  • c) upprätta åtkomstbehörigheter för anställda och tredje part, inklusive respektive dokument;
  • d) all åtkomst till databehandlingscenter där personuppgifter lagras ska loggas.

1.4 Tillträdeskontroll till databehandlingssystem

Följande åtgärder måste vidtas för att förhindra obehörig åtkomst till databehandlingssystem:

  • a) policyer och procedurer för användarautentisering;
  • b) användning av lösenord på alla datorsystem;
  • c) Fjärråtkomst till nätverket kräver multifaktorautentisering och beviljas den berörda personen i enlighet med dennes ansvar och efter tillstånd;
  • d) åtkomst till specifika funktioner baseras på jobbfunktioner och/eller attribut som individuellt tilldelas en användares konto;
  • e) åtkomsträttigheter relaterade till personuppgifter ses över regelbundet;
  • f) register över ändringar av åtkomsträttigheter hålls uppdaterade.

1.5 Kontrollera tillgången till särskilda användningsområden för databehandlingssystem

Följande åtgärder måste vidtas för att säkerställa att behöriga personer med rätt att använda databehandlingssystemet endast kan komma åt data inom sina respektive ansvarsområden och åtkomstbehörigheter och att personuppgifter inte kan läsas, kopieras, ändras eller raderas utan tillstånd:

  1. 1. 
    1. a) policyer, instruktioner och utbildning av anställda, angående var och en av dems skyldigheter om konfidentialitet, rätt till tillgång till personuppgifter och omfattningen av behandlingen av personuppgifter;
  • b) Disciplinära åtgärder mot personer som får tillgång till personuppgifter utan tillstånd;
  • c) Tillgång till personuppgifter ska endast beviljas till auktoriserade personer, på grund av att de behöver veta.
  • d) föra en lista över systemadministratörer och vidta lämpliga åtgärder för att övervaka systemadministratörer;
  • e) att inte kopiera eller reproducera personuppgifter på något lagringssystem för att göra det möjligt för obehöriga personer att ta bort informationen från upphovsmannen;
  • f) kontrollerad och dokumenterad radering eller förstöring av data;
  • g) att på ett säkert sätt lagra alla personuppgifter som måste sparas av lagliga eller regulatoriska skäl (t.ex. skyldigheter att behålla data), och endast så länge som krävs enligt lag.

1.6 Transmissionskontroll

Följande åtgärder måste vidtas för att förhindra att personuppgifter läses, kopieras, ändras eller raderas av obehöriga tredje parter under överföring eller transport av datalagringsenheter (beroende på behandlingen av personuppgifter som utförs):

  1. 1. 
    1. a) användning av brandväggar;
  • b) undvika lagring av personuppgifter på mobila lagringsenheter för transportändamål, eller kryptera enheterna;
  • c) endast använda på bärbara datorer och andra mobila enheter efter att krypteringsskyddet har aktiverats;
  • d) loggning av överföringar av personuppgifter.

1.7 Kontroll av datainmatning

Följande åtgärder måste vidtas för att säkerställa att det är möjligt att verifiera och avgöra om personuppgifter har införts eller raderats från databehandlingssystem och av vem:

  1. 1. 
    1. a) en policy för att tillåta läsning, ändring och radering av lagrad data;
  • b) skyddsåtgärder avseende läsning, ändring och radering av lagrade data.

1.8 Arbetskontroll

Vid delegerad behandling av personuppgifter ska följande åtgärder vidtas för att säkerställa att sådana uppgifter behandlas i enlighet med tillsynsmannens instruktioner:

  1. 1. 
    1. a) enheter eller underenheter som tilldelats databehandling, valda med omsorg (tjänsteleverantörer som behandlar personuppgifter på uppdrag av den registeransvarige);
  • b) instruktioner om omfattningen av all behandling av personuppgifter till de anställda, enheter eller underenheter som tilldelats databehandlingen;
  • c) revisionsrättigheter som överenskommits med de enheter eller underenheter som tilldelats databehandlingen.
  • d) ingångna avtal med de enheter eller underenheter som har tilldelats att behandla uppgifterna.

1.9 Separation från behandling för andra ändamål

Följande åtgärder måste vidtas för att säkerställa att uppgifter som samlas in för andra ändamål kan behandlas separat:

  1. 1. 
    1. a) separat åtkomst till personuppgifter i enlighet med användarnas befintliga rättigheter;
  • b) gränssnitt, batchbearbetning och rapportering är för andra ändamål och funktioner, så att data som samlas in för andra ändamål kan behandlas separat.

1.10 Pseudonymisering

Följande åtgärder måste vidtas när det gäller pseudonymisering av personuppgifter:

  1. 1. 
    1. a) Om Dataexportören beställer en specifik behandlingsoperation eller om detta anses lämpligt av Dataimportören i enlighet med gällande dataskyddslagar avseende viss behandlingsverksamhet, kommer behandlingen av personuppgifter att utföras på ett sådant sätt att uppgifter kan inte längre hänföras till en specifik person utan användning av ytterligare information. Denna ytterligare information kommer att hållas separat;
  • b) användning av pseudonymiseringstekniker, inklusive randomisering av tilldelningslistor; värdeskapande i form av vassa.

1.11 Kryptering

Följande steg bör vidtas för att kryptera personuppgifter i applikationer och överföringar som stöder kryptering:

  1.  
    1. a) användning av krypteringstekniker;
  • b) upprättande av krypteringshantering för att stödja de krypteringstekniker som är tillåtna att användas;
  • c) stödja användningen av kryptografi genom procedurer och protokoll för att generera, modifiera, återkalla, förstöra, distribuera, certifiera, lagra, fånga, använda och arkivera kryptografiska nycklar för att skydda mot obehörig modifiering och avslöjande.

1.12 Databehandlingssystem och -tjänster är fullständiga

Följande åtgärder måste vidtas för att säkerställa fullständigheten hos databehandlingssystem och tjänster:

  1. 1. a) Skydd av databehandlingssystem mot manipulation eller förstörelse på lämpligt sätt (t.ex. antivirusprogram, programvara för förebyggande av dataförluster och programvara mot skadlig programvara, programkorrigeringar, brandväggar och hanterat skrivbordsskydd).
  • b) förbjuda installation av någon tjänst eller programvara som är skadlig för databehandlingssystem, tjänster eller manipulation av personuppgifter;
  • c) användning av ett system för upptäckt och förebyggande av nätverksintrång i själva nätverkets struktur.

1.13 Tillgång till databehandlingssystem och -tjänster och möjligheten att återställa åtkomst till och användning av personuppgifter i händelse av en materiell eller teknisk incident

Följande åtgärder måste vidtas för att säkerställa tillgängligheten till databehandlingssystem, samt för att snabbt kunna återställa tillgången till och tillgången till personuppgifter, i händelse av en materiell eller teknisk incident (särskilt genom att säkerställa att personuppgifter skyddas mot oavsiktlig förstörelse eller förlust):

  • a) ha kontrollmedel för att behålla säkerhetskopior och återställa förlorade eller raderade data;
  • b) Infrastrukturell redundans och prestandatestning;
  • c) fysiskt skydd av datorresurser.
  • d) Användning av verktyg för att övervaka det interna nätverkets status och tillgänglighet;
  • e) incidentrapportering och responspolicyer som styr incidenthanteringsproceduren och upprepande av efterlevnaden av dessa policyer som en del av regelbunden utbildning;
  • f) säkerhetskopior (ibland utanför anläggningen) för att återställa systemet så att det kan utföra sina funktioner igen;
  • g) Planer för affärskontinuitet/katastrofåterställning

1.14 Resiliens hos databehandlingssystem och -tjänster

Följande åtgärder måste vidtas för att säkerställa motståndskraften hos databehandlingssystem och -tjänster:

  • a) system och harmoniskt konfigurerade med hjälp av godkända säkerhetsparametrar;
  • b) nätverksredundans;
  • c) Inneslutningsskydd av kritiska system.

1.15 Procedur för att regelbundet testa, utvärdera och utvärdera effektiviteten av tekniska och organisatoriska åtgärder för att säkerställa säkerheten för databehandling

Procedur för att regelbundet testa, utvärdera och utvärdera effektiviteten av tekniska och organisatoriska åtgärder för att skydda databehandling.

  • a) vidta nödvändiga åtgärder för att bedöma risker och begränsningsstrategier;
  • b) IT-avdelningens serviceanalysmöten för att behandla aktuella frågor;
  • c) Planer för affärskontinuitet/katastrofåterställning uppdateras regelbundet.

 

Del 3

Parternas underskrifter och förteckning över dataimportörer

 

När du fyller i onlinebeställningsformuläret och validerar det genom att kryssa i rutan för att acceptera de allmänna användarvillkoren, upprättas avtalet som reglerar förhållandet mellan kunden och POSTCODEZIP.

Att skicka betalningen till POSTCODEZIP kommer att betrakta det avtal som överenskommits och upprättats.

Notera: Denna text har översatts från franska. Den ursprungliga franska versionen, som är giltig och juridiskt restriktiv, finns tillgänglig  här .