Personuppgiftsbidträdesavtal

Denna bilaga reglerar det som gäller för TimeWave som Personuppgiftsbiträde och Företaget som Personuppgiftsansvarig. Detta sker i enlighet med tillämplig dataskyddslag.

Ändamål och Åtaganden

TimeWave behandlar endast personuppgifter enligt syftet som följer av TW-avtalet, såvida inte annat följer av tillämplig dataskydddslagstiftning. Ytterligare instruktioner från Företaget ska ske skriftligen av den som är utpekad som Systemadministratör.

Företaget ansvarar för personuppgifter i TimeWave enligt tillämplig dataskyddslagstiftning och TimeWave AB ska bistå Företaget vid fullgörandet av dennes skyldigheter. Med hjälp av tekniska och organisatoriska åtgärder assisteras Företaget, i möjligaste mån, i att fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III i Dataskyddsförordningen. För mer information om hur detta kan göras genom TimeWave, se: http://help.timewave.se/kategori/gdpr-dataskydd/. Om en registrerad person vänder sig till TimeWave för att begära ut information, hänvisas personen till Företaget.

TimeWave lämnar inte ut personuppgifter till tredje part om sådant utlämnande inte är tvingande under tillämplig dataskyddslag eller följer av svensk eller europeisk tillämplig lag, domstols- eller myndighetsbeslut. Om så skulle ske informerar vi er omgående, om inget annat följer av tillämpliga lagar eller myndighetsbeslut.

Systemadministratören på Företaget kan ändra eller utfärda ytterligare skriftliga instruktioner som det åligger TimeWave att följa. Om TimeWave anser att en instruktion, angående behandling av personuppgifter, från er strider mot tillämplig dataskyddslag ska detta så snabbt som möjligt informeras om. Då inväntar TimeWave ytterligare instruktioner från utsedd Systemadministratör

Känsliga uppgifter

Om Företaget kommer att behandla känsliga personuppgifter i sin verksamhet, är det ett krav att innan en sådan behandling påbörjas ta del av de säkerhetsåtgärder som kan komma att krävas vid sådan behandling av personuppgifter. Dessa säkerhetsåtgärder ska ha vidtagits innan Företaget låter TimeWave behandla de känsliga personuppgifterna. Vi har samlat information kring vilka uppgifter som kan anses känsliga på: http://help.timewave.se/kategori/gdpr-dataskydd/

Säkerhet och Sekretess

TimeWave och Företaget har båda ett ansvar att säkerställa säkerhet och sekretess. Båda parter ska vidta alla lämpliga tekniska och organisatoriska åtgärder för att säkerställa sekretess och en säkerhetsnivå som är lämplig i förhållande till risken och kostnadendetta för att skydda de personuppgifter som behandlas enligt TW-Avtalet. Det kan enligt dataskyddslagen innefatta, när det är lämpligt, att i de system som används och tjänster som erbjuds säkerställa;

  1. a) pseudonymisering och kryptering av personuppgifter,
  2. b) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft
  3. c) förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,
  4. d) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

Dessutom ska TimeWave se till att endast de personer som behöver åtkomst till personuppgifterna för att utföra sitt arbete har det. Samt att dessa behöriga personer ska även ha åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.

Det kan, i förekommande fall, vara aktuellt för TimeWave att göra en kopia av Företagets databas för att utföra tester i sådan kopia istället för direkt i Företagets databas. Denna kopia av Företagets databas kommer att sparas av TimeWave i max trettio (30) dagar efter slutförandet av sådana tester och kommer sedan att raderas av TimeWave.

Läs mer om TimeWave rutiner och åtgärder för säkerheten på: http://abouttime.se/gdpr/time-stodjer-gdpr/.

Personuppgiftsincident

Företaget är ansvarigt för att anmäla en personuppgiftsincident till ansvarig myndighet så snart som möjligt. Vid en misstanke om eller konstaterad personuppgiftsincident, i relation till personuppgifterna som behandlas på uppdrag av Företaget, ska TimeWave omedelbart informera Företaget. Dessutom ska TimeWave assistera i framtagandet av information och rapporter till registrerade personer och myndigheter, i den mån och utsträckning detta krävs under tillämplig dataskyddslag.

 

TimeWave har rätt att debitera Företaget för kostnader som uppstår med anledning av säkerhetsåtgärder och kostnader i samband med personuppgiftsincidenter utöver den ersättning som följer av TW-Avtalet och endast i den mån Företaget genom oaktsamhet orsakat kostnaderna.

Underbiträden och överföring till tredje land

TimeWave har rätt att anlita ett annat personuppgiftsbiträde (”Underbiträde”) för fullgörandet av TimeWaves åtaganden, förutsatt att (i) TimeWave informerar Företaget om sina avsikter att använda eller byta ut ett Underbiträde varpå Företaget har rätt att göra invändningar mot en sådan förändring, (ii) Underbiträdet ingår ett skriftligt underbiträdesavtal med TimeWave med villkor som motsvarar villkoren i detta avtal.

TimeWave ska säkerställa att Företaget har kännedom om vilka Underbiträden som behandlar personuppgifter. Och om Företaget begär det kunna ge Företaget korrekt och uppdaterad information om samtliga Underbiträden. Då specificeras för varje enskilt Underbiträde: (a) Fullständig kontaktinformation inklusive bolagsform, (b) Vilken tjänst Underbiträdet utför åt TimeWave, (c) På vilken geografisk plats Underbiträdet behandlar personuppgifter som omfattas av detta avtal. Detta för att Företaget ska kunna bedöma om underbiträdet kommer att säkerställa efterlevnaden av Företagets skyldigheter enligt detta avtal och tillämplig dataskyddslagstiftning

Om Underbiträdet inte uppfyller sina skyldigheter enligt underbiträdesavtal ska TimeWave förbli ansvarig gentemot Företaget för Underbiträdets uppfyllande av sina skyldigheter enligt detta avtal.

Avtalstid

Bestämmelserna i denna bilaga ska gälla så länge som TimeWave behandlar personuppgifter för vilka Företaget är personuppgiftsansvarig.

Om TW-Avtalet upphör, ska samtliga personuppgifter som behandlats för Företaget raderas.

Om TimeWave inte kan fullfölja sina åtaganden i detta avtal ska TimeWave omedelbart lämna meddelande till Företaget om det, varpå TimeWave om Företaget så begär omedelbart ska upphöra med behandlingen av personuppgifterna.

Överlåtelse av villkor

Förutom rätten att anlita underbiträden, enligt beskrivet tillvägagångssätt, äger TimeWave inte rätt att helt eller delvis överlåta sina åtaganden i detta avtal till tredje part utan skriftligt medgivande från Företaget.

Ansvarsbegränsning

TimeWave ska hålla Företaget skadelös för anspråk på ersättning från registrerad person eller administrativa sanktionsavgifter utfärdad av en behörig myndighet som denne drabbas av om TimeWave, eller av denne anlitat Underbiträde, vidtagit otillåten eller försumlig behandling av personuppgifter i strid med detta avtal eller tillämplig dataskyddslag.

Företaget ska ersätta TimeWave för sådana anspråk på ersättning från registrerad person eller administrativa avgifter utfärdad av en behörig myndighet till följd av Företagets underlåtenhet att tillförsäkra en laglig behandling, Företagets bristfälliga instruktioner, eller andra uttryckliga skyldigheter enligt dessa åtaganden.

Part som får anspråk på ersättning eller administrativa avgifter riktat mot sig, enligt beskrivningen ovan, ska utan oskäligt dröjsmål informera den andra parten. Båda parter är skyldiga att vidta skäliga åtgärder för att begränsa skadeverkningarna av det inträffade.

Lag, tvist

Tvist angående tolkning eller tillämpning av detta avtal avseende hantering av personuppgifter skall avgöras enligt TW-Avtalets bestämmelser om tvist.