Personuppgiftsbiträdesavtal
Mellan dig (”Personuppgiftsansvarig” och kund till PAAM) och Keys & Objects AB , org.nr. 559209-2927, Änggatan 62, 702 24 Örebro (”Personuppgiftsbiträde”) tillsammans med utsedda underlicensinnehavare som finns på kontaktsidan.
Bakgrund
Europaparlamentets och rådets förordning 2016/679 (Allmän Dataskyddsförordning), nedan kallad Dataskyddsförordningen eller Förordningen ställer krav på skriftligt personuppgiftsbiträdesavtal när en part ska Behandla Personuppgifter för annan parts räkning. Personuppgiftsbiträdesavtalet är ett tillägg till det redan existerande Avtalet mellan parterna, eller den beställning som är gjord enligt villkoren som anges i Offert, Servicenivå-avtal och/eller Hosting-avtalet.
1. Definitioner
1.1. Med ”Personuppgifter” avses varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
1.2. Med ”Registrerad” avses nedan den som en personuppgift avser.
1.3. ”Behandling” eller ”Behandla” avses enligt förordningen en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
1.4. Med ”Förordningen” avses GDPR (Dataskyddsförordningen)
1.5. Med ”Instruktion” eller ”Instruktionen” avses den skriftliga instruktion angående Personuppgiftshantering som den Personuppgiftsansvarige har tillhandahållit Personuppgiftsbiträdet.
1.6. I övrigt skall begrepp enligt detta avtal tolkas i enlighet med Förordningen.
2. Hantering av personuppgifter
2.1. Personuppgiftsbiträdet kommer i och med leverans av Huvudtjänsten till den Personuppgiftsansvarige Behandla viss typ av Personuppgifter på uppdrag av den Personuppgiftsansvarige. Det är generella Personuppgifter såsom namn, kontaktuppgifter som e-postadress , telefonnummer och postadress till kundens personal och kundens kund.
2.2. Personuppgiftsbiträdet ska endast Behandla Personuppgifter på uppdrag av den Personuppgiftsansvarige som föranleds av Avtalet eller om Huvudtjänsten på något sätt kräver åtgärd. Behandling görs endast på begäran av den Personuppgiftsansvarige, utom de fall Personuppgiftsansvarig även har Hosting-tjänsten, där Behandling också innefattar lagring av Personuppgifter.
2.3. Personuppgiftsbiträdet ska ha och underhålla ett register innehållande Behandlingsaktiviteter i enlighet med GDPR, artikel 32.
3. Instruktion
3.1. Personuppgiftsbiträdet får endast behandla Personuppgifter på det sätt som är dokumenterat i Instruktionen, såvida inte Personuppgiftsbiträdet måste Behandla Personuppgifterna enligt gällande lag. Instruktionen vid tidpunkten då detta Personuppgiftsbiträdesavtal träder i kraft är att Personuppgiftsbiträdet endast ska behandla Personuppgifter med syfte att leverera Produkten beskrivet i Huvudavtalet. Åtskilt från villkoren kan den Personuppgiftsansvarige utfärda ytterligare skriftliga instruktioner, dock förenliga med villkoren enligt gällande lag. Den Personuppgiftsansvarige är ansvarig för att de individer som förser Personuppgiftsbiträdet med skriftliga instruktioner är behörig att göra det.
4. Personuppgiftsbiträdets åtagande
4.1. Personuppgiftsbiträdet förbinder sig att följa Dataskyddsförordningen, samt att hålla sig informerad om Förordningen och angränsande lagstiftning av relevans för den avtalade Behandlingen.
4.2. Personuppgiftsbiträdet och den eller de personer som arbetar under dennes ledning får endast Behandla Personuppgifter i enlighet med de Instruktioner som anges i detta Avtal eller som från tid till annan lämnas av den Personuppgiftsansvarige. För det fall Personuppgiftsbiträdet saknar instruktioner som Personuppgiftsbiträdet bedömer är nödvändiga för att genomföra det uppdrag Personuppgiftsbiträdet erhållit från den Personuppgiftsansvarige, eller om instruktionerna bryter mot Förordningen, ska Personuppgiftsbiträdet, utan dröjsmål, informera den Personuppgiftsansvarige om sin inställning och invänta de instruktioner som den Personuppgiftsansvarige bedömer erfordras. Mottagna instruktioner skall dokumenteras.
4.3. Personuppgiftsbiträdet ska endast Behandla Personuppgifter på utrustning som fysiskt befinner sig inom EES, inbegripet nyttjandet av molntjänster. Personuppgiftsbiträdet äger rätt att flytta utrustningen eller Behandla Personuppgifter på annan utrustning då detta ses som nödvändigt ur säkerhetsaspekt eller för att säkerställa drift, dock endast efter samråd med Personuppgiftsansvarig.
4.4. För de fall att en Registrerad, relevant myndighet eller annan tredjeman begär information från Personuppgiftsbiträdet som för Behandling av Personuppgifter ska Personuppgiftsbiträdet hänvisa till den Personuppgiftsansvarige. Personuppgiftsbiträdet ska utan dröjsmål informera Personuppgiftsansvarige om en sådan kontakt ägt rum. Personuppgiftsbiträdet får inte lämna ut Personuppgifter eller annan information om Behandlingen av Personuppgifter utan uttrycklig instruktion från den Personuppgiftsansvarige.
4.5. Personuppgiftsbiträdet ska då det är relevant, bistå den Personuppgiftsansvarige med att förbereda en konsekvensbedömning i enlighet med GDPR, artikel 35, tillsammans med förhandssamråd enligt GDPR, artikel 36.
4.6. Om den Personuppgiftsansvarige mottar en begäran från en Registrerad att utöva dess rättighet i enlighet med gällande lag och begäran kräver Personuppgiftsbiträdets hjälp ska Personuppgiftsbiträdet tillhandahålla nödvändig information och dokumentation. Personuppgiftsbiträdet ska ges rimlig tid att bistå den Personuppgiftsansvarige med sådana förfrågningar.
4.7. Vid upptäckt av en personuppgiftsincident, ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om detta utan onödigt dröjsmål, samt i övrigt bistå den Personuppgiftsansvarige med att se till att dennes skyldigheter gällande personuppgiftsincidenter kan fullgöras.
4.8. Personuppgiftsbiträdet ska, i den mån det är relevant med hänsyn till Behandlingens art, omfattning, sammanhang och ändamål, utföra en konsekvensbedömning avseende den planerade behandlingens konsekvenser för skyddet av personuppgifter, om det är sannolikt att Behandlingen kan leda till hög risk för fysiska personers rättigheter och friheter. Konsekvensbedömningens utformande ska göras med utgångspunkt i artikel 35 i Förordningen. Personuppgiftsbiträdet ska samråda med Datainspektionen, om konsekvensbedömningen visar att Behandlingen sannolikt leder till hög risk för Registrerade.
4.9. Personuppgiftsbiträdet ska när detta avtal upphör att gälla överlämna Personuppgifter på av den Personuppgiftsansvarige angivet medium om det av något skäl inte har gått att extrahera dessa via den inbyggda funktionen. Sedan detta har skett ska Personuppgiftsbiträdet radera Personuppgifterna på ett sådant sätt att de inte kan återskapas och därvid se till att det inte finns några Personuppgifter kvar hos Personuppgiftsbiträdet, såvida det inte av annan gällande lag krävs av Personuppgiftsbiträdet att sådana uppgifter sparas. Villkoren i detta avtal fortsätter att gälla för sådana Personuppgifter.
5. Underbiträden
5.1. Personuppgiftsbiträdet ges generellt tillstånd att anlita tredjepart för Behandlingen av Personuppgifter (”Underbiträde”) utan att få ytterligare skriftligt, specifikt godkännande från den Personuppgiftsansvarige, under förutsättning att Personuppgiftsbiträdet skriftligt meddelar den Personuppgiftsansvarige innan det potentiella Underbiträdet ingår avtal eller någon Behandling görs av Underbiträdet. Om den Personuppgiftsansvarige invänder mot anlitandet av Underbiträdet, ska denne skriftligen meddela detta inom femton (15) dagar från mottagandet av anmälan från Personuppgiftsbiträdet.
5.2. Om den Personuppgiftsansvarige invänder mot ett nytt Underbiträde och Personuppgiftsbiträdet inte kan tillmötesgå invändningen, kan den Personuppgiftsansvarige avsluta Tjänsten genom att skriftligt meddela Personuppgiftsbiträdet.
5.3. Personuppgiftsbiträdet ska ingå ett skriftligt avtal med samtliga Underbiträden. Ett sådant avtal ska minst möta de villkor som gäller för Personuppgiftsbiträdet gentemot den Personuppgiftsansvarige, inklusive skyldigheterna i detta Personuppgiftsbiträdesavtal.
5.4. Personuppgiftsbiträdet använder sig för närvarande av Underbiträdet Digital Ocean (Gäller endast för kunder som använder tjänsten Hosting). Om Personuppgiftsbiträdet anlitar ett nytt Underbiträde kommer det att läggas till här.
6. Säkerhet
6.1. Personuppgiftsbiträdet ska vidta rimliga tekniska och organisatoriska åtgärder för att skydda Personuppgifter mot obehörig åtkomst, förstörelse och ändring i enlighet med kraven i Förordningen med avseende GDPR, artikel 32. Detta efterföljs genom att; (i) begränsa åtkomst till system och servrar genom både fysisk och digital behörighetsstyrning, (ii) kryptera trafik, lagring, enheter och servrar så långt det är möjligt, (iii) använda multifaktor autentisering för alla system, servrar och enheter där det är möjligt.
7. Sekretess
7.1. Personuppgiftsbiträdet förbinder sig att inte till tredje man lämna ut eller på annat sätt röja information om Behandlingen av Personuppgifter som omfattas av detta avtal eller annan information som Personuppgiftsbiträdet erhållit till följd av detta Avtal eller annan information som Personuppgiftsbiträdet erhållit i sin roll som Personuppgiftsbiträde. Detta åtagande gäller inte information som Personuppgiftsbiträdet föreläggs utge till myndighet. Sekretessåtagandet gäller även efter att detta Avtal i övrigt upphört att gälla.
7.2. Personuppgiftsbiträdet ska behandla alla Personuppgifter som strikt konfidentiell information. Personuppgifterna får inte kopieras, överföras eller på annat sätt behandlas i strid mot Instruktionen, såvida inte den Personuppgiftsansvarige skriftligen har gett tillstånd till det.
7.3. Personuppgiftsbiträdet förbinder sig att säkerställa att personer med behörighet att Behandla Personuppgifter åtar sig att iaktta samma nivå av konfidentialitet som gäller för Personuppgiftsbiträdet enligt detta Avtal eller annan lag.
8. Den Personuppgiftsansvariges ansvar
8.1. Den Personuppgiftsansvarige ska tillse att Behandlingen sker i enlighet med Förordningen. Den Personuppgiftsansvarige ansvarar bland annat för att informera de Registrerade om Behandlingen, för att i nödvändiga fall inhämta samtycke från de Registrerade och för att i tillämpliga fall samråda avseende Behandlingen till Datainspektionen.
8.2. Den Personuppgiftsansvarige ska utan dröjsmål informera Personuppgiftsbiträdet om förändringar i Behandlingen som påverkar Personuppgiftsbiträdets.
9. Ersättning och kostnader
9.1. Den Personuppgiftsansvarige ska ersätta Personuppgiftsbiträdet för den tid och material som krävs för att anta och ändra metoden för Behandlingen vid eventuell ändring i Instruktionen, inklusive implementationskostnader och extra kostnader som krävs för att leverera Huvudtjänsterna.
9.2. Personuppgiftsbiträdet är befriad från ansvar som beskrivs i Huvudavtalet om skyldigheterna i Huvudavtalet skulle strida mot Instruktionen eller avtalsenlig leverans om den ändrade Instruktionen är omöjlig. Detta kan till exempel vara fallet; (i) om ändringarna i Instruktionen inte kan genomföras tekniskt, praktiskt eller juridiskt, (ii) där den Personuppgiftsansvarige kräver att ändringarna i Instruktionen ska tillämpas innan ändringarna kan genomföras och (iii) under tiden tills Huvudavtalet ändras för att återspegla de nya Instruktionerna och villkoren i den.
10. Ansvar
10.1. För den händelse en Registrerad, eller annan tredje man, riktar krav mot den Personuppgiftsansvarige på grund av Personuppgiftsbiträdets Behandling av Personuppgifter ska Personuppgiftsbiträdet hålla den Personuppgiftsansvarige skadelös för sådana krav som följer av att Personuppgiftsbiträdet inte efterföljt detta avtal eller av den Personuppgiftsansvarige meddelade instruktioner.
11. Avtalets omformulering
11.1. Om så krävs, på grund av ny lagstiftning i området eller bindande föreskrifter från myndighet, ska Avtalet utan onödigt dröjsmål förnyas på så sätt att det är överensstämmer med den lagstiftning som orsakade omformuleringen.
12. Avtalstid
12.1. Avtalet gäller så länge som Personuppgiftsbiträdet Behandlar Personuppgifter för den Personuppgiftsansvariges räkning. Detta regleras i separat avtal som beskriver vilken typ av tjänst Behandlingen avser..
Integritetspolicy
Allmänt
Dina enskilda rättigheter och integritet är viktig för oss. Den här integritetspolicyn beskriver hur vi samlar in, använder, lagrar och delar personuppgifter. Policyn är ett komplement till våra allmänna villkor och ev. tjänstespecifika villkor och SLA, samt vårt personuppgiftsbiträdesavtal. Denna policy gäller från den 25 maj 2018.
Integritetspolicyn gäller då PAAM Systems tillhandahåller tjänster och produkter i anslutning till köp, serviceärenden och övrig kontakt med PAAM Systems, till exempel besök på webbplats.
Vilken information samlar vi in?
Vi samlar in information om dig som du direkt eller indirekt lämnat när du kontaktar vår kundtjänst eller använder våra webbtjänster/formulär där du uppger personuppgifter. Kontaktuppgifter och leveransadress är avgörande vid beställning av en fysisk produkt. För att kunna erbjuda dig support, skicka faktura eller på annat sätt kontakta dig i viktiga frågor måste vissa uppgifter samlas in. Dessa uppgifter är namn, företagsadress, faktureringsuppgifter, email, telefonnummer och befattning om inte något annat är överenskommet.
Användardata från vår hemsida samlas in för att säkerställa drift och för att upptäcka eller förebygga hot som kan äventyra säkerheten. Vi sparar därför din IP-adress med tidsstämplar och navigationsinformation under en begränsad tid.
Hur skyddar vi dina personuppgifter?
Vi har vidtagit tekniska och organisatoriska åtgärder för att behandla och skydda dina uppgifter från förlust, manipulation och obehörig åtkomst. Vi anpassar våra säkerhetsrutiner i enlighet med utvecklingen på det tekniska området. Vi väljer våra leverantörer med omsorg för att se till att de håller samma höga standard på datahantering som vi gör. Genom begränsning och rollbaserad access till de system som innehåller personuppgifter minimerar vi tillgången till dina personuppgifter. Kryptering, flerfaktorsautentisering och lösenordspolicy används så långt det är möjligt för varje system.
Hur länge sparar vi dina uppgifter?
Vi lagrar persondata så länge det är nödvändigt för att utföra våra åtaganden gentemot dig som kund och så länge det krävs enligt lagstadgade lagringstider. När avtalet upphör att gälla raderas eller anonymiseras uppgifterna.
Vem ansvarar för dina personuppgifter?
PAAM Systems är personuppgiftsansvarig när du som kund eller intressent är registrerad i våra CRM-system. När du använder våra produkter är du personuppgiftsansvarig och PAAM Systems är personuppgiftsbiträde.
Vem kan få tillgång till dina uppgifter?
Vi lämnar inte ut personuppgifter utan att du som kund är informerad om detta. Vi måste ge ut viss information till tredje part om till exempel en leverans av en produkt ska kunna ske eller om vi är skyldiga att lämna ut uppgifter till myndigheter enligt lag.
Vilken rätt har du som registrerad?
information
Som registrerad har du rätt att ta del av den information vi samlat om dig och få instruktioner om hur du kan få tillgång till den.
Rättelse
Förändring av registrerade uppgifter sker genom kommunikation med oss där vi då hjälper till att genomföra förändringen.
Begränsning
Om du har invändningar mot riktigheten i de uppgifter som vi har registrerade kan du begära att vi begränsar behandlingen av dessa uppgifter till endast lagring. Vi kan då stoppa all annan behandling (vilket också innebär att vi måste stoppa leveransen av våra tjänster) till dess att en korrigering har utförts eller tills det går att fastslå vad som är korrekt och inte.
Dataportabilitet
För personuppgifter som har behandlats och insamlats automatiserat (med stöd av samtycke/avtal) har du rätt att få ut dessa i ett maskinläsbart format.
Radering
Under vissa omständigheter har du rätt att begära radering av dina personuppgifter. Dessa kan vara t.ex.
- Om det saknas rättslig grund för behandlingen, eller behandlingen är olaglig
- Det saknas ett berättigat skäl för fortsatt behandling
- Du invänder mot behandling för direkt marknadsföring
En förutsättning för att vi skall kunna utföra ovan är att vi erhåller fullgoda underlag för identifikation från dig som registrerad. Din begäran om att utöva dina rättigheter ovan bedöms från fall till fall utifrån rådande omständigheter. Vi kan också vara tvungna att behålla dina uppgifter om det behövs för att uppfylla rättsliga förpliktelser, hävda ett rättsligt anspråk eller genomdriva våra aktiva avtal.
Förändringar i policyn
Denna policy kan komma att redigeras från tid till annan för att följa gällande lagar och säkerhetsuppdateringar. Om större förändringar sker kommer det att meddelas till den registrerade via e-post. För att hålla dig uppdaterad rekommenderar vi ändå att du läser igenom denna policy regelbundet.
Kontakt
Om du har kommentarer eller frågor angående policyn är du välkommen att kontakta vår kundservice via mail, telefon eller via vår hemsida.
Om Cookies
Vad är cookies?
Internet är konstruerat på ett sådant sätt att all kommunikation som standard är ”stateless”. Detta innebär att varje gång du besöker en webbplats i din webbläsare behandlas kommunikationen som en oberoende transaktion. Således kan själva ”Internet” inte veta att det är just du som besöker en specifik webbplats för första eller hundratjugofjärde gången.
På vår webbplats – www.paam-systems.se – erbjuder vi vissa funktioner till dig som besökare som ”kräver” att vi vet om du har besökt oss förr. Detta har vi löst genom att använda oss utav något som kallas för Cookies. Detta är en vedertagen lösning som används över hela Internet. Har du någonsin använt dig av till exempel Google, Facebook, Twitter, Aftonbladet eller liknande så har du garanterat redan minst en cookie på din dator nu.
Rent tekniskt kan en cookie beskrivas som en liten fil som skickas från webbplatsen du besöker till din dator. Denna lagras på din dator antingen i arbetsminnet (session-cookies) eller som en liten textfil (permanenta cookies). Vi använder oss av båda dessa typer på www.paam-systems.se i syftet att ”känna igen” besökare som har vart hos oss förr. Vi sparar alltså ingen form av personlig information om dig, utan bara en ”flagga” för att hålla koll på att din webbläsare har besök www.paam-systems.se tidigare.
Du kan själv välja om du vill acceptera cookies från www.paam-systems.se genom att ändra inställningarna i din webbläsare. Om din webbläsare är inställd på att inte acceptera cookies kommer inte samtliga funktioner på vår webbplats att fungera.