1. Bakgrund och syfte
Denna Dataskyddsbilaga tillämpas på avtalsförhållandet mellan Leverantören och Kunden som ingått ett avtal med Leverantören, när Leverantören i egenskap av personuppgiftsbiträde behandlar personuppgifter för Kundens räkning, i egenskap av personuppgiftsansvarig.
Syftet med denna Dataskyddsbilaga är att beakta de ansvar och skyldigheter som fastställs i Dataskyddsförordningen.
Kunden är personuppgiftsansvarig för de Personuppgifter som behandlas i samband med den Tjänst som avtalats i Användarvillkoren. Kunden fastställer ändamålen och medlen för behandlingen av Personuppgifterna. Leverantören är personuppgiftsbiträde och behandlar dessa Personuppgifter för Kundens räkning och på uppdrag av Kunden på det sätt som avtalas i denna Dataskyddsbilaga. I denna Dataskyddsbilaga avtalar Parterna om kategorier av registrerade, de behandlingar som Leverantören utför, säkerhetsrutiner samt i vilka syften Leverantören behandlar Kundens Personuppgifter.
Parterna förstår att myndigheter kan utfärda föreskrifter och anvisningar inom Dataskyddsförordningens tillämpningsområde även efter att denna Dataskyddsbilaga trätt i kraft. Parterna förbinder sig att vid behov komplettera denna Dataskyddsbilaga i enlighet med sådana föreskrifter och anvisningar.
”Personuppgift” avser varje upplysning som avser en identifierad eller identifierbar fysisk person. Som identifierbar anses en person som direkt eller indirekt kan identifieras, särskilt genom en identifierare såsom namn, personbeteckning, lokaliseringsuppgifter eller nätverksidentifierare, eller genom en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
”Användarvillkor” avser det avtal till vilket denna Dataskyddsbilaga är fogad.
”Behandling” avser en åtgärd eller en serie åtgärder som vidtas i fråga om Personuppgifter eller uppsättningar av Personuppgifter, oavsett om det sker automatiserat eller manuellt, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, hämtning, läsning, användning, utlämnande genom överföring, spridning eller tillgängliggörande, sammanförande eller samkörning, begränsning, radering eller förstöring.
”Tjänsten” avser den tjänst som definieras i Användarvillkoren och som Leverantören tillhandahåller Kunden.
”Avtalet” avser det avtalsförhållande som definieras i Användarvillkoren mellan Kunden och Leverantören.
”Dataskyddsbilaga” avser denna bilaga som reglerar behandlingen av Personuppgifter.
”Dataskyddsförordningen” avser Europeiska unionens allmänna dataskyddsförordning 2016/679, vars tillämpning inleddes 25.5.2018.
”Dataskyddslagstiftning” avser den vid var tid gällande lagstiftningen om behandling av personuppgifter: personuppgiftslagen (523/1999) fram till 25.5.2018 och Dataskyddsförordningen från och med 25.5.2018.
”Personuppgiftsincident” avser en händelse som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt utlämnande av eller obehörig åtkomst till behandlade Personuppgifter.
Kunden behandlar Personuppgifter i enlighet med Dataskyddslagstiftningen. Kunden ansvarar under hela Avtalets giltighetstid för de Personuppgifter som lämnas till Leverantören samt för att behandlingen av dessa är laglig. Kunden ansvarar för att alla registrerade, vars Personuppgifter behandlas, har fått nödvändig och lagstadgad information om behandlingen av deras Personuppgifter. Leverantören övervakar inte innehållet, kvaliteten eller aktualiteten hos de Personuppgifter som lämnas.
Kunden ansvarar för att behandlingen av Personuppgifter, dess syfte och rättsliga grund uppfyller Dataskyddslagstiftningens krav. Kunden ansvarar dessutom för att Personuppgifter har samlats in i enlighet med Dataskyddslagstiftningen och att Kunden har rätt att överföra Personuppgifterna till Leverantören för behandling enligt denna Dataskyddsbilaga.
Det är inte Parternas avsikt att genom denna Dataskyddsbilaga överföra några av personuppgiftsansvarigs lagstadgade skyldigheter till Leverantören som agerar som personuppgiftsbiträde.
Med beaktande av behandlingens natur bistår Leverantören Kunden genom valda tekniska och organisatoriska åtgärder med att uppfylla Kundens skyldigheter att besvara begäranden rörande de registrerades rättigheter enligt kapitel 3 i Dataskyddsförordningen (förutsatt att den registrerade har rättigheter enligt förordningen):
En Part ska utan dröjsmål och senast följande arbetsdag (må–fr) informera den andra Parten om en begäran om utövande av registrerades rättigheter, om uppfyllandet av begäran kräver åtgärder av den andra Parten. Parten ska samtidigt lämna all information som behövs för att kunna uppfylla begäran. Leverantören har rätt att debitera Kunden för alla åtgärder relaterade till registrerades rättigheter enligt timdebitering enligt gällande prislista.
Med beaktande av behandlingens natur och den information som Leverantören har tillgång till bistår Leverantören Kunden med att uppfylla skyldigheter enligt artiklarna 32–36 i Dataskyddsförordningen, såsom:
Leverantören är skyldig att bistå Kunden endast i den utsträckning skyldigheterna gäller ett personuppgiftsbiträde enligt Dataskyddslagstiftningen. Leverantören har rätt att debitera Kunden för dessa åtgärder enligt gällande timprislista.
Leverantören ska i förväg skriftligen få Kundens godkännande för åtgärder och därmed förknippade kostnader.
5. Syftet med behandlingen av personuppgifter
Kunden överför till Leverantören och till Leverantörens system endast sådan information som Kunden har rätt att behandla enligt vid var tid gällande dataskyddslagstiftning. Leverantören behandlar Personuppgifter enbart för att tillhandahålla tjänster för införande, utveckling, underhåll, analys, kundsupport, utbildning och konsultation.
Leverantören utför följande behandlingar av Personuppgifter: insamling, registrering, organisering, strukturering, lagring, bearbetning, hämtning, läsning, tillgängliggörande, sammanförande eller samkörning, begränsning, radering eller förstöring samt säkerhetskopiering.
Leverantören har rätt att använda Kundens material för att utveckla Tjänsterna samt för att skapa och tillhandahålla nya tjänster, förutsatt att Kundens material anonymiseras på ett sådant sätt att varken Kunden eller enskilda personers Personuppgifter kan identifieras eller härledas från uppgifterna.
Leverantören behandlar personuppgifter för Kundens räkning endast enligt Användarvillkoren och denna Dataskyddsbilaga, såvida inte tillämplig lagstiftning kräver annat. Om Leverantören upptäcker att skriftliga instruktioner är lagstridiga ska Leverantören informera Kunden om den lagstadgade skyldigheten innan behandlingen, såvida inte sådan information är förbjuden enligt lag på grund av viktiga allmänintressen.
Om gällande dataskyddslagstiftning kräver det ska Leverantören som personuppgiftsbiträde föra register över behandlingsaktiviteter för tillsynsmyndigheten.
6. Kategorier av registrerade och typer av personuppgifter som behandlas
Leverantören behandlar kategorier av registrerade och typer av personuppgifter som lagrats i Tjänsten och som kan omfatta exempelvis uppgifter relaterade till medlemskap, anställning eller andra Personuppgifter kopplade till Kundens verksamhet. De Personuppgifter som behandlas kan innehålla registrerades personliga uppgifter, såsom namn, kontaktuppgifter och födelsedatum.
De behandlade uppgifterna kan innehålla personbeteckningar eller uppgifter som tillhör särskilda kategorier av Personuppgifter enligt Dataskyddsförordningen. Kunden har inte rätt att lagra i systemet sådana hälsouppgifter eller kreditkortsuppgifter som definieras i artikel 4 i Dataskyddsförordningen.
7. Informationssäkerhet
Parterna förbinder sig att avtala om och implementera tekniska och organisatoriska åtgärder som allmänt används inom branschen för att skydda Personuppgifter. Vid planering och genomförande av sådana åtgärder ska hänsyn tas till den senaste tekniken, kostnaderna för genomförandet, behandlingens natur, omfattning, sammanhang och ändamål samt de risker av varierande sannolikhet och allvar som behandlingen medför för fysiska personers rättigheter och friheter. Vid bedömning av en lämplig säkerhetsnivå ska Parterna även beakta riskerna som behandlingen innebär, särskilt obehörig eller olaglig behandling av Personuppgifter samt oavsiktlig förlust, förstöring eller skada på Personuppgifter.
Sådana åtgärder kan till exempel vara:
Ovanstående åtgärder är exempel på hur Parterna kan säkerställa säkerheten vid behandling av Personuppgifter. I denna Dataskyddsbilaga fastställs vilka säkerhetsåtgärder och andra informationssäkerhetsrutiner Leverantören ska genomföra vid behandlingen av Personuppgifter. Kunden ansvarar för att säkerställa ändamålsenlig och tillräcklig informationssäkerhet för den utrustning och IT-miljö som ligger under Kundens ansvar. Leverantören ansvarar för säkerhetskopiering av Personuppgifter som lagras i Leverantörens driftmiljö samt för kontroll av säkerhetskopiornas funktionalitet.
Kunden är skyldig att informera Leverantören om alla omständigheter relaterade till de Personuppgifter som tillhandahålls Leverantören — såsom riskbedömningar eller behandling av särskilda kategorier av Personuppgifter — och som påverkar de tekniska och organisatoriska åtgärder som ska genomföras enligt denna bilaga. För tydlighetens skull fastställs att eventuella ändringar av de överenskomna säkerhetsrutinerna, kostnadseffekterna av sådana ändringar samt möjligheterna att genomföra dem alltid ska avtalas skriftligen i förväg.
Leverantören säkerställer att personer som behandlar Personuppgifter är bundna av tystnadsplikt eller omfattas av en lämplig lagstadgad sekretesskyldighet. Leverantören vidtar nödvändiga åtgärder för att säkerställa att dessa personer behandlar Personuppgifter endast i de syften som definieras i denna Dataskyddsbilaga.
Leverantören följer sina vid var tid gällande interna informationssäkerhetsanvisningar vid behandlingen av Personuppgifter. Av säkerhetsskäl är Leverantörens informationssäkerhetsanvisningar sekretessbelagda, men Leverantören presenterar anvisningarnas innehåll för Kunden på begäran.
8. Överföring av personuppgifter
Leverantören har rätt att, för genomförandet av Tjänsten, överföra Personuppgifter inom Europeiska unionen, Europeiska ekonomiska samarbetsområdet eller till andra länder som Europeiska kommissionen har bedömt garantera en adekvat skyddsnivå. Leverantören har rätt att överföra Personuppgifter utanför EU/EES för genomförandet av Tjänsten i enlighet med de uttryckliga överföringsgrunderna i Dataskyddslagstiftningen.
9. Underbiträden
Leverantören har rätt att använda underbiträden för genomförandet av Tjänsten och den därtill hörande behandlingen av Personuppgifter. Leverantören uppger använda underbiträden för Kunden på begäran. Leverantören ansvarar för att underbiträdet behandlar Personuppgifter i enlighet med denna bilaga och Dataskyddslagstiftningen.
Leverantören informerar Kunden om Leverantören planerar att byta ut eller lägga till underbiträden som deltar i behandlingen av Personuppgifter. Kunden har rätt att motsätta sig sådana ändringar av motiverad anledning. Kunden ska meddela sitt motstånd utan onödigt dröjsmål efter att ha mottagit informationen från Leverantören. Om Kunden inte godkänner bytet eller tillägget av ett underbiträde har Leverantören rätt att säga upp Avtalet med 30 dagars uppsägningstid.
10. Personuppgiftsincidenter
En Part ska utan onödigt dröjsmål informera den andra Parten om en Personuppgiftsincident som blivit känd för Parten. Kunden ska i samband med rapporteringen av en Personuppgiftsincident lämna all information som kan vara till hjälp för att utreda, begränsa eller förhindra incidenten. Leverantören gör anmälan till den kontaktperson som anges i Kundens beställningsuppgifter. Kunden anmäler en Personuppgiftsincident genom att ringa Leverantörens säkerhetsjournummer. Säkerhetsjournumret får användas endast för ärenden som rör Personuppgiftsincidenter. För kontakter som inte gäller Personuppgiftsincidenter debiterar Leverantören en administrativ avgift om 100 euro (moms tillkommer enligt gällande bestämmelser).
I samband med anmälan om en Personuppgiftsincident ska Leverantören, i den mån det är möjligt, tillhandahålla Kunden:
Om Personuppgiftsincidenten beror på en orsak som faller inom Kundens ansvar, ansvarar Kunden för kostnaderna för incidenten och för rapporteringen av denna. Leverantören har rätt att debitera Kunden för kostnader som uppstår vid utredningar som påbörjats på Kundens begäran och som visar sig vara obefogade, enligt Leverantörens vid var tid gällande prislista.
Kunden ansvarar för att anmäla Personuppgiftsincidenter till tillsynsmyndigheten och till de registrerade i enlighet med Dataskyddsförordningen.
11. Granskningsrätt
Kunden eller en av Kunden utsedd oberoende expert, som inte får vara Leverantörens konkurrent, har under denna Dataskyddsbilagas giltighetstid rätt att granska att Leverantören följer de skyldigheter som åläggs Leverantören i denna Dataskyddsbilaga. Granskningen får omfatta nödvändigt material som rör Leverantörens behandling av Kundens Personuppgifter samt de system och lokaler som Leverantören använder vid behandlingen av Personuppgifter. Granskningen får utföras högst en gång per år och ska anmälas skriftligen till Leverantören minst 30 dagar i förväg. Oavsett detta ska Leverantören alltid tillåta granskningar av behandlingsaktiviteter som utförs av en tillsynsmyndighet som övervakar Kundens verksamhet. Denna Dataskyddsbilaga tillämpas i tillämpliga delar även vid sådana myndighetsgranskningar.
Leverantören deltar i genomförandet av granskningen och tillhandahåller granskaren den information som krävs för att visa att Leverantören uppfyller de skyldigheter som fastställs i denna Dataskyddsbilaga. Granskningen får inte orsaka störningar i Leverantörens tjänsteproduktion, och granskaren har inte rätt att få tillgång till uppgifter som tillhör Leverantörens kunder eller samarbetspartner. Om granskningen utförs av någon annan än Kunden ska granskaren och Leverantören ingå ett sekretessavtal innan granskningen genomförs.
Kunden ansvarar för alla kostnader som uppstår till följd av granskningen och ersätter Leverantören för kostnader som Leverantören åsamkats på grund av granskningen. Om granskningen påvisar betydande brister i Leverantörens verksamhet står Leverantören för sina egna kostnader relaterade till granskningen.
12. Skador som uppstår till följd av behandling av personuppgifter
Om en registrerad lider skada på grund av en överträdelse av Dataskyddsförordningen ansvarar vardera Part själv för den skada som uppstått för den registrerade i enlighet med artikel 82 i Dataskyddsförordningen. Vardera Part ansvarar även själv för eventuella administrativa sanktionsavgifter som åläggs av tillsynsmyndigheten enligt artikel 83 i Dataskyddsförordningen.
Ansvarsbegränsningsklausulen i Tjänstens Användarvillkor tillämpas på denna Dataskyddsbilaga.
13. Behandlingens upphörande
Leverantören raderar Personuppgifterna när Avtalet upphör och tjänsten som avser behandlingen av Personuppgifter avslutas eller när skyldigheterna enligt denna Dataskyddsbilaga upphör. Leverantören raderar dessutom alla befintliga kopior av Personuppgifterna när Avtalet eller skyldigheterna enligt denna Dataskyddsbilaga upphör, såvida inte lag eller myndighetsföreskrift kräver att Leverantören bevarar sådana Personuppgifter. Uppgifterna raderas från alla lagringssystem utan onödigt dröjsmål och från Leverantörens säkerhetskopior inom sex (6) månader.
Kaikki seurojen ja yhdistysten tarvitsemat ominaisuudet löydät nyt Yhdistysavaimesta. Aloita käyttö veloituksetta ja laajenna tarpeidenne mukaan. Yhdistysavain vapauttaa aikaanne – ja voitte tehdä silläkin ajalla jotakin oikeasti mukavaa ja mielenkiintoista. Tervetuloa!
