Databehandlingsavtal

Sharefox-plattformen | Bilaga 1 | Databehandlingsavtal

 

Detta databehandlingsavtal (hädanefter: " DPA ") utgör en integrerad och oskiljaktig del av det avtal som ingås mellan Sharefox, (hädanefter: "Behandlare") och kunden (nedan: "Kontrollansvarig") angående användningen av tjänsterna;

nedan gemensamt benämnda ”parterna” och separat ”Party”;

med hänsyn till att:

  • Den personuppgiftsansvarige har tillgång till olika individers personuppgifter (hädanefter: " Registrerade ");
  • Den personuppgiftsansvarige vill att Behandlaren ska utföra vissa typer av behandling i enlighet med Avtalet;
  • Parterna i denna dataskyddsförordning antar innebörden av definitionerna som beskrivs i den allmänna dataskyddsförordningen (hädanefter: " GDPR ");
  • under genomförandet av Avtalet kan Databehandlaren behandla personuppgifter i enlighet med artikel 4.1 i GDPR på den personuppgiftsansvariges begäran;
  • Den registeransvarige anses vara en personuppgiftsansvarig i den mening som avses i artikel 4.7 i GDPR;
  • Behandlare anses vara en processor i den mening som avses i artikel 4.8 i GDPR;
  • GDPR en skyldighet för den personuppgiftsansvarige att säkerställa att databehandlaren ger tillräckliga garantier med avseende på de tekniska och organisatoriska säkerhetsåtgärderna med avseende på den behandling som ska utföras;
  • dessutom ålägger GDPR en skyldighet för den registeransvarige att säkerställa efterlevnad av dessa åtgärder; Parter vill ange sina rättigheter och skyldigheter skriftligen med hjälp av denna DPA med vederbörlig iakttagande av kraven i artikel 28.3 i GDPR.

1. Syfte med behandlingen

1.1. Databehandlaren samtycker, enligt villkoren i detta databehandlingsavtal, att behandla personuppgifter på uppdrag av den personuppgiftsansvarige. Behandlingen ska endast ske för syftet med avtalet och alla ändamål som är förenliga med detta eller som bestäms gemensamt. Dessutom kan behandlingen ske på grundval av en rättslig skyldighet.

1.2. Behandlingen ser ändamålen som fastställda av den personuppgiftsansvarige, med avseende på kategorierna av personuppgifter och registrerade som anges i bilaga A till detta databehandlingsavtal.

  1. Processorbindningar

2.1. Databehandlaren ska endast behandla personuppgifterna för de ändamål som nämns i artikel 1 i detta databehandlingsavtal.

2.2. När det gäller behandlingar som avses i artikel 1 ska processorn följa GDPR.

2.3. Databehandlaren ska informera den personuppgiftsansvarige om enligt dennes uppfattning en instruktion från personuppgiftsbiträdet skulle bryta mot gällande lagstiftning om behandling av personuppgifter eller på annat sätt är orimlig.

2.4. Databehandlaren ska, i den mån detta ligger inom dennes kontroll och i den mån det är nödvändigt, ge assistans till den personuppgiftsansvarige för att fullgöra den personuppgiftsansvariges rättsliga skyldigheter enligt GDPR. Detta gäller tillhandahållande av hjälp för att fullgöra sina skyldigheter enligt artiklarna 32 till 36 i GDPR.

2.5. Alla skyldigheter för Databehandlaren enligt detta databehandlande avtal ska gälla lika för alla personer som behandlar personuppgifter under överinseende av Databehandlaren, inklusive men inte begränsat till anställda.

  1. Sekretessskyldigheter

3.1. Databehandlaren ska upprätthålla sekretessen för personuppgifter som tillhandahålls av den personuppgiftsansvarige. Databehandlaren säkerställer att de personer som är behöriga att behandla personuppgifterna är avtalsenligt skyldiga att upprätthålla sekretessen för de personuppgifter som han eller hon hanterar.

3.2. Sekretessskyldigheten ska inte gälla i den mån den personuppgiftsansvarige har gett uttryckligt tillstånd att lämna informationen till tredje part, tillhandahållandet till tredje part är rimligen nödvändigt med hänsyn till arten av uppdraget till Databehandlaren eller tillhandahållandet är lagstadgat.

  1. Avisering och kommunikation

4.1. Den personuppgiftsansvarige är alltid ansvarig för att anmäla eventuella personuppgiftsintrång, enligt artikel 4 punkt 12 i GDPR (nedan: " Persondataintrång "), till den behöriga tillsynsmyndigheten, och för eventuell kommunikation om personuppgiftsintrånget till registrerade.

4.2. För att göra det möjligt för den personuppgiftsansvarige att följa detta lagkrav, ska personuppgiftsbiträdet meddela den personuppgiftsansvarige utan onödigt dröjsmål och, i alla fall, inom en period av högst 48 timmar, efter att ha upptäckt ett personuppgiftsintrång. Databehandlaren kommer att vidta rimliga åtgärder för att begränsa konsekvenserna av personuppgiftsintrånget och för att förhindra ytterligare och framtida personuppgiftsintrång.

4.3. En anmälan enligt föregående klausul ska alltid göras, men endast för faktiska personuppgiftsintrång.

4.4. Om det är nödvändigt och rimligt kommer Databehandlaren att ge assistans till den personuppgiftsansvarige, med beaktande av skäligheten i begäran, behandlingens art och den information som är tillgänglig för honom med avseende på (ny utveckling om) personuppgiftsintrånget.

4.5. Meddelandet till personuppgiftsansvarig ska, så vitt det är känt vid den tidpunkten, åtminstone innehålla:

  1. arten av personuppgiftsintrånget;
  2. de (sannolika) konsekvenserna av personuppgiftsintrånget;
  3. de berörda kategorierna av personuppgifter;
  4. om och vilka säkerhetsåtgärder som har vidtagits för att skydda personuppgifterna;
  5. de åtgärder som vidtagits eller föreslås vidtas för att ta itu med personuppgiftsintrånget och förhindra framtida personkategorier av berörda registrerade;
  6. kategorierna av berörda registrerade;
  7. ungefärligt antal berörda registrerade; och
  8. vid behov avvikande kontaktuppgifter för att adressera anmälan.
  9. Rättigheter för registrerade

5.1. Om en registrerad gör en begäran om att utöva sina lagliga rättigheter enligt GDPR (Artikel 15-22) till Databehandlaren, ska Databehandlaren vidarebefordra en sådan begäran till den personuppgiftsansvarige inom en period av högst tre arbetsdagar efter att begäran mottogs. Databehandlaren kan informera den registrerade om att en sådan begäran vidarebefordras. Kontrollören kommer sedan att behandla begäran vidare oberoende.

5.2. I händelse av att en registrerad gör en begäran om att utöva sina lagliga rättigheter gentemot den personuppgiftsansvarige, kommer databehandlaren, om den personuppgiftsansvarige kräver detta, att samarbeta så långt det är möjligt och rimligt.

  1. Säkerhetsåtgärder

6.1. Databehandlaren ska vidta rimliga ansträngningar för att implementera lämpliga tekniska och organisatoriska åtgärder för att säkra den involverade bearbetningsverksamheten mot förlust eller någon form av olaglig behandling (särskilt mot oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt röjande av eller tillgång till överförda personuppgifter , lagras eller på annat sätt bearbetas).

6.2. Bearbetaren ska göra sitt bästa för att säkerställa en säkerhetsnivå som är lämplig för risken med hänsyn till den senaste tekniken, kostnaderna för genomförandet och bearbetningens art, omfattning, sammanhang och syften samt risken för varierande sannolikhet och svårighetsgrad för fysiska personers rättigheter och friheter.

6.3. Den personuppgiftsansvarige ska endast lämna personuppgifter till Databehandlaren för behandling om denne har säkerställt att nödvändiga säkerhetsåtgärder har vidtagits.

  1. Granska

7.1. Den personuppgiftsansvarige har rätt att verifiera att Databehandlaren efterlevs av alla punkter under detta databehandlingsavtal genom en granskning utförd av en oberoende tredje part, som är bunden av sekretessskyldigheter. Granskningen får endast utföras vid skälig och välgrundad misstanke om brott mot detta Databehandlingsavtal, som skriftligen meddelas Databehandlaren, och får utföras en gång per år.

7.2. Om en oberoende tredje part redan har genomfört en granskning under det senaste året, kan Databehandlaren fullgöra sin skyldighet genom att ge tillgång till relevanta delar av revisionsrapporten för det året, endast om en verifiering av efterlevnaden av Databehandlarens skyldigheter i dessa uppgifter Handläggningsavtal begärs inom samma år.

7.3. Databehandlare och registeransvarig bestämmer gemensamt datum, tid och omfattning för granskningen.

7.4. Bearbetaren ska ge sitt fulla samarbete med revisionen och ska göra tillgängliga anställda och all rimligt relevant information, inklusive stödjande data såsom systemloggar.

7.5. Revisionsresultaten ska bedömas av parterna i gemensamt samråd och kan eller får inte genomföras av någon av parterna eller gemensamt.

7.6. Kostnaderna för revisionen ska bäras av Behandlaren om revisionen avslöjar avvikelser i Bearbetarens efterlevnad av detta Databearbetningsavtal, vilka är direkt hänförliga till Behandlaren. I alla andra fall ska kostnaderna för revisionen bäras av den registeransvarige.

7.7. Revisionen och resultaten av den kommer att behandlas konfidentiellt av den registeransvarige.

  1. Inblandning av underhandläggare

8.1. Den personuppgiftsansvarige auktoriserar Databehandlaren att involvera underordnare i tillhandahållandet av tjänsterna enligt detta databehandlande avtal.

8.2. En lista över de underbehandlare som anlitas av Behandlare vid tidpunkten för ingåendet av detta databehandlande avtal finns i bilaga B till detta databehandlande avtal.

8.3. En uppdaterad lista över de underbehandlare som anlitas av Processorn finns i Bilaga 1B . Dessutom kommer Processorn att meddela Controller om alla uppdateringar.

8.4 Den personuppgiftsansvarige har rätt att skriftligen på rimliga grunder invända mot en viss ny eller ändring av underdatabehandlare inom två veckor efter det att Databehandlaren har skickat meddelandet. Om den registeransvarige gör en invändning kommer parterna att samråda för att nå en lösning.

8.5. Databehandlaren ålägger den/de anlitade underdatabehandlaren minst samma skyldigheter som överenskommits mellan den personuppgiftsansvarige och databehandlaren i detta databehandlingsavtal.

8.6. Databehandlaren ska säkerställa att dessa tredje parter följer skyldigheterna enligt detta databehandlingsavtal och är ansvarig för eventuella skador som orsakats av överträdelser av dessa tredje parter som om den själv begått överträdelsen.

9. Överföring av personuppgifter

9.1. Behandlare kan behandla personuppgifterna i vilket land som helst inom Europeiska ekonomiska samarbetsområdet (EES).

9.2. Dessutom kan Databehandlaren överföra personuppgifterna till ett land utanför EES, förutsatt att landet säkerställer en adekvat skyddsnivå för personuppgifter och uppfyller andra skyldigheter som åläggs det enligt detta databehandlingsavtal och GDPR, inklusive tillgången till lämpliga skyddar och verkställbara registrerade rättigheter och effektiva rättsmedel för registrerade.

9.3. Den personuppgiftsansvarige ger härmed personuppgiftsbiträde tillstånd att vid behov ingå ett modellavtal i den registeransvariges namn rörande överföring av personuppgifter från en personuppgiftsansvarig inom Europeiska unionen till en registerförare i ett tredjeland, i enlighet med kommissionens beslut av den 5 februari 2010 (2010/87 / EU) eller gällande lag i varje ögonblick.

9.4. En lista över behandlingsplatserna vid tidpunkten för ingåendet av detta databehandlingsavtal finns i bilaga B till detta databehandlingsavtal.

9.5. En uppdaterad lista över bearbetningsplatserna finns i bilaga 1B

10. Ansvar

10.1. Parterna är uttryckligen överens om att vad gäller ansvar gäller de bestämmelser som anges i villkoren.

11 . Tid och uppsägning

11.1. Detta databehandlingsavtal ingås för den tid som anges i avtalet.

11.2. Avvikelser från detta databehandlande avtal är endast bindande om de uttryckligen skriftligen har överenskommits mellan parterna.

11.3. Om ändringar i lagar eller förordningar ger anledning till förändringar ska detta bedömas av Parterna i samråd och eventuellt genomföras.

11.4. Detta databehandlande avtal kan ändras på samma sätt som avtalet.

11.5. Vid uppsägning av databehandlingsavtalet ska Sharefox, på begäran och på bekostnad av den personuppgiftsansvarige:

  1. returnera alla personliga uppgifter som är tillgängliga för den registeransvarige i originalformat; eller
  2. förstöra alla personliga uppgifter som den har tillgång till.

Följande bilagor har lagts till i Databehandlingsavtalet: