Tillägg om databehandling

Tillägg om databehandling

Detta tillägg om databehandling (”DPA”) avser det underliggande avtalet om molnhosting (”Avtalet”) enligt vilket ISVHost (”Tjänsteleverantören”) tillhandahåller molnhostingtjänster till kunden (”Företaget”) och utgör en del av Avtalet.  

MED BEAKTANDE AV ATT tjänsteleverantören utför vissa tjänster åt företaget enligt avtalet (”tjänsterna”);  

SOM BEAKTAR att tjänsteleverantören, som en del av de tjänster som denne tillhandahåller företaget enligt avtalet, kommer att erhålla eller få tillgång till personuppgifter, i den mening som termen används och förstås enligt dataskyddslagstiftningen (definierad nedan);

PARTERNA AVSER ATT INFÖRA ETT DPA SOM UPPFYLLER KRAVEN I DATASKYDDSLAGARNA.  

DÄRFÖR HAR MAN ENATS OM FÖLJANDE:  

  1. Definitioner
  1. Med ”kontextöverskridande beteendebaserad reklam” avses riktad reklam till en konsument som baseras på dennes personuppgifter, vilka hämtas från konsumentens aktiviteter hos olika företag, webbplatser med eget varumärke, applikationer eller tjänster, utöver det företag, den webbplats med eget varumärke, den applikation eller den tjänst som konsumenten avsiktligt interagerar med.  
  1. Med ”konsument” avses en fysisk person som är bosatt i en jurisdiktion där tillämpliga dataskyddslagar gäller, inbegripet men inte begränsat till en ”konsument” enligt definitionen i California Consumer Privacy Act, i dess lydelse enligt California Privacy Rights Act, Virginia Consumer Data Protection Act, Colorado Privacy Act, Connecticut Data Privacy Act, Utah Consumer Privacy Act, Texas Data Privacy and Security Act, Oregon Consumer Privacy Act samt andra tillämpliga delstatliga dataskyddslagar.
  1. Med ”lagar om dataskydd” avses alla tillämpliga lagar, regler, föreskrifter och andra rättsliga eller självreglerande krav i alla jurisdiktioner som rör integritet, dataskydd, datasäkerhet, anmälan av dataintrång eller behandling (enligt definitionen nedan) av personuppgifter.
  1. Med ”personuppgifter” avses all information som identifierar en person enligt definitionen i gällande dataskyddslagstiftning.
  1. Med ”behandling” och ”behandla” avses varje åtgärd eller varje serie av åtgärder som utförs i samband med personuppgifter, inklusive men inte begränsat till insamling, lagring och användning av personuppgifter.  
  1. Med ”profilering” avses varje form av automatiserad behandling av personuppgifter i syfte att utvärdera, analysera eller förutsäga en persons ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller rörelsemönster.
  1. Med ”säkerhetsöverträdelse” avses obehörig eller olaglig förstörelse, förlust, ändring, utlämnande eller behandling av personuppgifter.  
  1. Med ”försäljning”, ”sälja” eller ”tredje part” avses de betydelser som anges i § 1798.140 i Kaliforniens civillag, i dess ändrade lydelse, samt motsvarande definitioner i andra tillämpliga dataskyddslagar.
  1. Med ”känsliga uppgifter” eller ”känsliga personuppgifter” avses personuppgifter som avslöjar ras eller etniskt ursprung, religiös övertygelse, diagnos av psykisk eller fysisk hälsa, sexuell läggning, medborgarskap eller invandringsstatus; genetiska eller biometriska uppgifter som behandlas i syfte att entydigt identifiera en person; personuppgifter som samlats in från ett barn vars identitet är känd; eller exakta geolokaliseringsuppgifter, enligt närmare definition i tillämplig dataskyddslagstiftning.
  1. Med ”tjänsteleverantör” avses även begreppet ”uppdragstagare” och liknande begrepp, och dessa begrepp ska ha samma innebörd som definieras i tillämplig dataskyddslagstiftning.
  1. Med ”dela”, ”delat” eller ”delning” avses de betydelser som anges i § 1798.140 i Kaliforniens civillag, i dess ändrade lydelse, samt motsvarande definitioner i andra tillämpliga dataskyddslagar.
  1. Med ”underleverantör” avses varje underleverantör som behandlar personuppgifter för tjänsteleverantörens räkning.
  1. Tjänsteleverantörens skyldigheter
  1. Tjänsteleverantören ska behandla personuppgifter enbart i det syfte som krävs för att tillhandahålla de tjänster till Företaget som anges i Avtalet eller enligt andra skriftliga instruktioner från Företaget. All behandling av personuppgifter som utförs av Tjänsteleverantören ska ske i enlighet med dataskyddslagstiftningen.  
  1. Utan att det påverkar vad som anges ovan får tjänsteleverantören inte: (i) sälja personuppgifter; (ii) dela personuppgifter för beteendebaserad annonsering över flera sammanhang; (iii) lagra, använda eller lämna ut personuppgifter för något annat ändamål, inklusive kommersiella ändamål, än de affärsändamål som anges i avtalet eller som på annat sätt godkänts skriftligen av företaget; (iv) behålla, använda eller lämna ut personuppgifter till någon tredje part utanför den direkta affärsrelationen mellan företaget och tjänsteleverantören; (v) bryta mot några tillämpliga begränsningar som anges i dataskyddslagar, inklusive sådana som gäller kombination av personuppgifter som tjänsteleverantören erhåller från, eller på uppdrag av, företaget med personuppgifter som tjänsteleverantören erhåller från, eller på uppdrag av, en eller flera andra personer, eller som tjänsteleverantören samlar in från någon interaktion mellan sig själv och någon individ; förutsatt dock att ovanstående inte hindrar tjänsteleverantören från att kombinera avidentifierade uppgifter (enligt definitionen nedan) med andra avidentifierade eller anonymiserade uppgifter för tjänsteleverantörens interna analys-, forsknings- eller produktförbättringsändamål; eller (vi) bedriva någon behandling av personuppgifter som är förbjuden eller inte tillåten för ”personuppgiftsbiträden” eller ”tjänsteleverantörer” enligt dataskyddslagstiftningen.
  1. Utan hinder av vad som anges ovan får tjänsteleverantören avidentifiera, anonymisera eller aggregera personuppgifter som mottagits från företaget, förutsatt att: (i) sådan avidentifiering, anonymisering eller aggregering utförs i enlighet med tillämplig dataskyddslagstiftning; (ii) de resulterande uppgifterna (”avidentifierade uppgifter”) inte rimligen kan användas för att identifiera någon enskild person eller kopplas tillbaka till någon enskild person; (iii) tjänsteleverantören implementerar tekniska skyddsåtgärder och affärsprocesser för att förhindra återidentifiering; och (iv) tjänsteleverantören avtalsenligt förbjuder alla mottagare i senare led att försöka återidentifiera uppgifterna. Tjänsteleverantören får använda, lagra och kombinera avidentifierade data för egna interna ändamål avseende analys, forskning, benchmarking och förbättring av produkter eller tjänster. Tjänsteleverantören får inte försöka återidentifiera några avidentifierade data eller någon annan pseudonymiserad, anonymiserad, aggregerad eller avidentifierad information.
  1. Om tjänsteleverantören är juridiskt skyldig att lämna ut personuppgifter till en tredje part ska: (i) tjänsteleverantören omedelbart ge företaget en rimlig möjlighet att bestrida den juridiska skyldigheten eller begära skydd mot utlämnandet; och (ii) tjänsteleverantören, efter samråd med företaget och dess juridiska ombud, endast lämna ut den minsta mängd personuppgifter som krävs för att uppfylla den juridiska skyldigheten.
  1. Tjänsteleverantören ska inom fem (5) arbetsdagar underrätta Företaget om Tjänsteleverantören konstaterar att den inte längre kan fullgöra sina skyldigheter enligt detta DPA eller dataskyddslagstiftningen, eller att den har åsidosatt någon av sina skyldigheter enligt detta DPA eller brutit mot någon dataskyddslag.  
  1. Med undantag för vad som kan vara nödvändigt för att uppfylla lagstadgade skyldigheter ska tjänsteleverantören radera all personlig information från sina system när de tjänster som avser behandlingen upphör. Om tjänsteleverantören enligt lag är skyldig att bevara sådan personlig information ska tjänsteleverantören underrätta företaget om detta. Därefter får sådan personlig information fortsätta att lagras i tjänsteleverantörens system, men får inte behandlas på något annat sätt och ska uppfylla alla tillämpliga dataskyddslagar.  
  1. Tjänsteleverantören ger Företaget rätt att, efter rimligt varsel, vidta rimliga och lämpliga åtgärder för att stoppa och åtgärda all obehörig användning av personuppgifter.  
  1. Parterna ska samarbeta på ett rimligt sätt för att ändra eller komplettera detta databehandlingsavtal om nya eller ändrade dataskyddslagar kräver sådana ändringar eller tillägg.  
  1. Känsliga uppgifter och begränsningar avseende profilering. Följande ytterligare krav gäller för tjänsteleverantörens behandling av känsliga uppgifter och all profilering:
  1. Tjänsteleverantören får inte behandla känsliga uppgifter, utom i den utsträckning som är absolut nödvändig för att utföra tjänsterna och endast med företagets förhandsgodkännande, där det anges vilka kategorier av känsliga uppgifter som ska behandlas samt syftet med behandlingen.
  1. Tjänsteleverantören ska införa och upprätthålla förstärkta tekniska och organisatoriska säkerhetsåtgärder för känsliga uppgifter som är anpassade till den förhöjda risk som är förknippad med sådana uppgifter, inklusive kryptering både vid lagring och överföring, åtkomstkontroller som begränsar åtkomsten till behörig personal samt loggning av all åtkomst till känsliga uppgifter.
  1. Tjänsteleverantören bekräftar att konsumenterna har rätt att begränsa användningen och utlämnandet av sina känsliga uppgifter enligt gällande dataskyddslagstiftning och ska efterkomma alla sådana begäranden om begränsning som överlämnas av företaget.
  1. Tjänsteleverantören får inte bedriva profilering av konsumenter med hjälp av personuppgifter som erhållits från företaget, såvida inte: (i) sådan profilering är absolut nödvändig för att utföra tjänsterna; (ii) företaget har lämnat ett skriftligt förhandsgodkännande för sådan profilering; och (iii) profileringen inte medför rättsliga eller liknande betydande konsekvenser för konsumenterna utan lämpliga skyddsåtgärder.
  1. Tjänsteleverantören ska förse företaget med tillräcklig information för att företaget ska kunna genomföra eventuella nödvändiga konsekvensbedömningar avseende dataskydd eller liknande bedömningar i samband med profilering enligt gällande dataskyddslagstiftning.
  1. Om tjänsteleverantören mottar en begäran från en konsument om att avstå från profilering, antingen direkt eller via företaget, ska tjänsteleverantören omedelbart upphöra med all profilering avseende den konsumentens personuppgifter och skriftligen bekräfta detta för företaget.
  1. Hjälp med behandlingen. Om tjänsteleverantören anlitar en underleverantör eller annan person för att bistå vid behandlingen av personuppgifter, ska denne underrätta företaget om detta, och sådana underleverantörer eller anlitade personer ska:  
  1. har valts ut genom åtgärder som på ett rimligt sätt är utformade för att säkerställa underleverantörens eller personens tillförlitlighet, kompetens och trovärdighet, inbegripet genomförande av lämpliga bakgrundskontroller i de fall det är lagligt möjligt;
  1. har genomgått den utbildning som krävs för att underlätta tjänsteleverantörens efterlevnad av detta databehandlingsavtal;
  1. har ingått ett lämpligt skriftligt avtal som förpliktar sådan underleverantör eller person att följa dataskyddslagstiftningen och att behandla personuppgifter endast i den utsträckning som tillåts enligt detta DPA; och
  1. Få tillgång till personuppgifter från tjänsteleverantören endast i den utsträckning som sådan tillgång är nödvändig för att underleverantören eller personen ska kunna fullgöra de åtaganden för vilka underleverantören eller personen har anlitats.
  1. Stöd vid efterlevnad av dataskyddslagstiftningen. Parterna ska på ett rimligt sätt samarbeta och bistå varandra för att säkerställa att de uppfyller sina respektive skyldigheter enligt dataskyddslagstiftningen, med beaktande av arten av tjänsteleverantörens behandling och den information som tjänsteleverantören har tillgång till. Utan att begränsa det ovanstående:
  1. Tjänsteleverantören ska underrätta företaget så snart som möjligt, dock senast inom tre (3) arbetsdagar efter att ha mottagit en förfrågan eller ett klagomål som rör personuppgifter.  
  1. Tjänsteleverantören får inte besvara sådana förfrågningar om inte Företaget skriftligen har gett Tjänsteleverantören tillstånd att göra detta, såvida inte Tjänsteleverantören enligt tillämplig lag är skyldig att svara direkt.  
  1. Om tjänsteleverantören enligt tillämplig lag är skyldig att svara direkt ska denne, såvida det inte är förbjudet enligt lag, underrätta företaget om detta krav innan den första anmälan görs och följa företagets rimliga anvisningar vid besvarandet av en sådan begäran.
  1. Om företaget begär att tjänsteleverantören ska radera eller ändra personuppgifter, ska tjänsteleverantören omedelbart efterkomma detta och vidarebefordra sådana begäranden om radering eller ändring till efterföljande parter i enlighet med dataskyddslagstiftningen.
  1. Säkerhet. Tjänsteleverantören ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå för personuppgifterna som står i proportion till risken, och dessa åtgärder ska i samtliga fall vara förenliga med gällande dataskyddslagstiftning.
  1. Säkerhetsöverträdelse. Tjänsteleverantören ska uppfylla alla skyldigheter avseende säkerhetsöverträdelser som åligger denne enligt dataskyddslagstiftningen. Med beaktande av behandlingens art och den information som står till tjänsteleverantörens förfogande ska denne ge företaget rimlig hjälp att uppfylla sina skyldigheter i samband med säkerhetsöverträdelser.

Avtalsparterna försäkrar härmed att de är behöriga att juridiskt binda respektive part till villkoren i detta databehandlingsavtal.

Minska kostnaderna och komplexiteten för att leverera din Windows-app

Prenumerera på vårt nyhetsbrev
Tack för att du vill ta del av vårt nyhetsbrev.
Oops! Något gick fel när du skickade in formuläret.