Avtal om databehandling
mellan
Kund i enlighet med Allmänna Villkor som Personuppgiftsansvarig (nedan "Personuppgiftsansvarig"),
och
Spreadly GmbH, Forstenrieder Weg 1G, 82065 Baierbrunn, Deutschland som personuppgiftsbiträde (nedan "personuppgiftsbiträdet", personuppgiftsansvarig och personuppgiftsbiträdet gemensamt "parterna")
Inledning
Den Personuppgiftsansvarige har i Allmänna villkor (nedan kallat "Huvudavtalet") gett Personuppgiftsbiträdet i uppdrag att utföra de tjänster som anges i detta. En del av genomförandet av avtalet är behandlingen av personuppgifter. I synnerhet artikel. 28 GDPR särskilda krav på sådan behandling på uppdrag. För att uppfylla dessa krav ingår parterna följande databehandlingsavtal (nedan kallat "avtalet"), vars genomförande inte ska ersättas separat, såvida inte detta uttryckligen avtalats.
1 § Definitioner
(1) I enlighet med art. 4 (7) GDPR är den personuppgiftsansvarige den enhet som ensam eller tillsammans med andra personuppgiftsansvariga fastställer ändamålen och medlen för behandlingen av personuppgifter.
(2) I enlighet med art. 4 (8) GDPR är ett personuppgiftsbiträde en fysisk eller juridisk person, myndighet, institution eller annat organ som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige.
(3) I enlighet med art. 4 (1) GDPR avses med personuppgifter all information som rör en identifierad eller identifierbar fysisk person (nedan kallad "den registrerade"); en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, platsdata, en onlineidentifierare eller till en eller flera faktorer som är specifika för den fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identiteten hos den fysiska personen.
(4) Personuppgifter som kräver särskilt skydd är personuppgifter enligt art. 9 GDPR som avslöjar den registrerades ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse eller medlemskap i fackförening, personuppgifter enligt art. 10 GDPR om fällande domar i brottmål och lagöverträdelser eller relaterade säkerhetsåtgärder, samt genetiska uppgifter enligt art. 4 (13) GDPR, biometriska uppgifter enligt art. 4 (14) GDPR, hälsouppgifter enligt art. 4 (15) GDPR och uppgifter om en fysisk persons sexualliv eller sexuella läggning.
(5) Enligt artikel 4.2 i GDPR är behandling varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, arkivering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, begränsning, radering eller förstöring.
(6) I enlighet med artikel 4.21 i GDPR är tillsynsmyndigheten ett oberoende statligt organ som inrättats av en medlemsstat i enlighet med artikel 51 i GDPR.
2 § Avtalets föremål
(1) Personuppgiftsbiträdet tillhandahåller de tjänster som anges i huvudavtalet för den personuppgiftsansvarige. Därvid får Personuppgiftsbiträdet tillgång till personuppgifter som Personuppgiftsbiträdet behandlar för den Personuppgiftsansvariges räkning uteslutande på uppdrag av och i enlighet med den Personuppgiftsansvariges instruktioner. Omfattningen av och syftet med Personuppgiftsbiträdets behandling av personuppgifter framgår av Huvudavtalet och eventuella tillhörande tjänstebeskrivningar. Den Personuppgiftsansvarige ska ansvara för att bedöma om personuppgiftsbehandlingen är tillåten.
(2) Parterna ingår detta avtal för att specificera de ömsesidiga rättigheterna och skyldigheterna enligt dataskyddslagstiftningen. I tveksamma fall ska bestämmelserna i detta avtal ha företräde framför bestämmelserna i huvudavtalet.
(3) Bestämmelserna i detta avtal ska gälla för all verksamhet som är relaterad till Huvudavtalet där Personuppgiftsbiträdet och dess anställda eller personer som Personuppgiftsbiträdet har bemyndigat kommer i kontakt med personuppgifter som härrör från den Personuppgiftsansvarige eller som samlas in för den Personuppgiftsansvariges räkning.
(4) Detta avtals giltighetstid ska regleras av huvudavtalets giltighetstid, såvida inte följande bestämmelser ger upphov till ytterligare skyldigheter eller uppsägningsrätt.
3 § Rätt till undervisning
(1) Personuppgiftsbiträdet får endast samla in, behandla eller använda uppgifter inom ramen för Huvudavtalet och i enlighet med den Personuppgiftsansvariges instruktioner. Om Personuppgiftsbiträdet är skyldigt att utföra ytterligare behandling enligt lagstiftningen i Europeiska unionen eller de medlemsstater som det omfattas av, ska Personuppgiftsbiträdet underrätta den Personuppgiftsansvarige om dessa rättsliga krav innan behandlingen påbörjas.
(2) Den Personuppgiftsansvariges instruktioner ska inledningsvis fastställas genom detta Avtal. Därefter får de ändras, kompletteras eller ersättas av den Personuppgiftsansvarige skriftligen eller i textform genom individuella instruktioner (Individuella Instruktioner). Den Personuppgiftsansvarige ska ha rätt att när som helst utfärda sådana instruktioner. Detta inkluderar instruktioner om rättelse, radering och blockering av uppgifter.
(3) Alla instruktioner som utfärdas ska dokumenteras av den personuppgiftsansvarige. Instruktioner som går utöver den tjänst som avtalats i Huvudavtalet ska behandlas som en begäran om ändring av tjänsten.
(4) Om personuppgiftsbiträdet anser att en instruktion från den personuppgiftsansvarige strider mot bestämmelserna om dataskydd, ska personuppgiftsbiträdet utan onödigt dröjsmål underrätta den personuppgiftsansvarige om detta. Personuppgiftsbiträdet ska ha rätt att avbryta genomförandet av den relevanta instruktionen tills den bekräftas eller ändras av den personuppgiftsansvarige. Personuppgiftsbiträdet kan vägra att utföra en uppenbarligen olaglig instruktion.
4 § Typer av uppgifter som behandlas, grupp av registrerade, tredje land
(1) Personuppgiftsbiträdet ska inom ramen för genomförandet av Huvudavtalet ha tillgång till de personuppgifter som närmare anges i bilaga 1..
(2) Den grupp av registrerade som påverkas av databehandlingen förtecknas i bilaga 1..
(3) En överföring av personuppgifter till ett tredjeland får ske enligt villkoren i art. 44 och följande. GDPR.
5 § Personuppgiftsbiträdets skyddsåtgärder
(1) Personuppgiftsbiträdet är skyldigt att följa de lagstadgade bestämmelserna om dataskydd och att inte lämna ut information som erhållits från den personuppgiftsansvariges domän till tredje part eller utsätta den för deras åtkomst. Dokument och uppgifter ska skyddas mot att lämnas ut till obehöriga personer, med beaktande av den senaste tekniken.
(2) Personuppgiftsbiträdet ska organisera den interna organisationen inom sitt ansvarsområde på ett sådant sätt att den uppfyller de särskilda kraven på dataskydd. Det ska ha vidtagit de tekniska och organisatoriska åtgärder som anges i bilaga 2 för att på ett adekvat sätt skydda den personuppgiftsansvariges uppgifter i enlighet med art. 32 GDPR, vilka den Personuppgiftsansvarige erkänner som adekvata. Personuppgiftsbiträdet förbehåller sig rätten att ändra de vidtagna säkerhetsåtgärderna och samtidigt säkerställa att den avtalade skyddsnivån inte underskrids.
(3) De personer som är anställda av personuppgiftsbiträdet för behandling av personuppgifter är förbjudna att samla in, behandla eller använda personuppgifter utan tillstånd. Personuppgiftsbiträdet ska ålägga alla personer som anförtrotts behandling och fullgörande av detta avtal (nedan kallade "anställda") detta (tystnadsplikt, art. 28 (3) lit. b GDPR) och ska säkerställa att denna skyldighet uppfylls med vederbörlig omsorg.
(4) Personuppgiftsbiträdet har utsett ett dataskyddsombud. Personuppgiftsbiträdets dataskyddsombud är heyData GmbH, Schützenstr. 5, 10117 Berlin, datenschutz@heydata.eu, www.heydata.eu.
6 § Personuppgiftsbiträdets informationsskyldighet
(1) I händelse av störningar, misstänkta överträdelser av dataskyddet eller brott mot personuppgiftsbiträdets avtalsförpliktelser, misstänkta säkerhetsrelaterade incidenter eller andra oegentligheter i behandlingen av personuppgifter hos personuppgiftsbiträdet, hos personer som är anställda av personuppgiftsbiträdet inom ramen för avtalet eller hos tredje part, ska personuppgiftsbiträdet utan onödigt dröjsmål informera den personuppgiftsansvarige. Detsamma ska gälla för granskningar av Personuppgiftsbiträdet som utförs av tillsynsmyndigheten för dataskydd. Anmälan om en personuppgiftsincident ska innehålla minst följande information:
(a) En beskrivning av personuppgiftsincidentens art, inklusive, i den mån det är möjligt, de kategorier och det antal registrerade som berörs, de kategorier som berörs och det antal personuppgiftsregister som berörs;
(b) en beskrivning av de åtgärder som personuppgiftsbiträdet har vidtagit eller föreslagit för att åtgärda överträdelsen och, i tillämpliga fall, åtgärder för att mildra dess eventuella negativa effekter;
(c) En beskrivning av de sannolika följderna av personuppgiftsincidenten.
(2) Personuppgiftsbiträdet ska omedelbart vidta nödvändiga åtgärder för att säkra uppgifterna och för att mildra eventuella negativa konsekvenser för de registrerade, informera den personuppgiftsansvarige om detta och begära ytterligare instruktioner.
(3) Personuppgiftsbiträdet ska dessutom vara skyldigt att tillhandahålla den personuppgiftsansvarige information när som helst i den utsträckning som den personuppgiftsansvariges uppgifter påverkas av en överträdelse enligt punkt 1.
(4) Personuppgiftsbiträdet ska informera den personuppgiftsansvarige om alla betydande ändringar av säkerhetsåtgärderna enligt avsnitt 5 (2).
7 § Kontrollrätt för den personuppgiftsansvarige
(1) Den personuppgiftsansvarige kan försäkra sig om personuppgiftsbiträdets tekniska och organisatoriska åtgärder innan personuppgiftsbehandlingen påbörjas och därefter regelbundet på årsbasis. För detta ändamål kan den personuppgiftsansvarige t.ex. inhämta information från personuppgiftsbiträdet, inhämta befintliga intyg från experter, certifieringar eller interna revisioner eller, efter vederbörlig samordning, personligen inspektera personuppgiftsbiträdets tekniska och organisatoriska åtgärder under normala öppettider eller låta dem inspekteras av en kompetent tredje part, förutsatt att den tredje parten inte står i ett konkurrensförhållande till personuppgiftsbiträdet. Den personuppgiftsansvarige ska endast utföra kontroller i den utsträckning som är nödvändig och får inte störa personuppgiftsbiträdets verksamhet på ett oproportionerligt sätt under processen.
(2) Personuppgiftsbiträdet åtar sig att på den personuppgiftsansvariges muntliga eller skriftliga begäran och inom rimlig tid förse den personuppgiftsansvarige med all information och alla bevis som krävs för att genomföra en kontroll av personuppgiftsbiträdets tekniska och organisatoriska åtgärder.
(3) Den personuppgiftsansvarige ska dokumentera resultatet av inspektionen och underrätta personuppgiftsbiträdet om detta. Om den personuppgiftsansvarige upptäcker fel eller oegentligheter, i synnerhet vid granskningen av kontrollresultaten, ska den personuppgiftsansvarige utan onödigt dröjsmål informera personuppgiftsbiträdet. Om det under kontrollen framkommer omständigheter som för att undvikas i framtiden kräver ändringar i det beställda förfarandet, ska den personuppgiftsansvarige utan dröjsmål underrätta personuppgiftsbiträdet om de nödvändiga ändringarna i förfarandet.
8 § Anlitande av tjänsteleverantörer
(1) De avtalsenliga tjänsterna ska utföras med medverkan av de tjänsteleverantörer som anges i bilaga 3 (nedan kallade "underbiträden"). Den personuppgiftsansvarige ger personuppgiftsbiträdet sitt allmänna tillstånd i enlighet med artikel 28.2 s. 1 GDPR att anlita ytterligare underbiträden inom ramen för sina avtalsenliga skyldigheter eller att ersätta underbiträden som redan anlitats.
(2) Personuppgiftsbiträdet ska informera den personuppgiftsansvarige före varje planerad förändring när det gäller involvering eller utbyte av ett underbiträde. Den personuppgiftsansvarige kan invända mot den avsedda involveringen eller ersättningen av ett underbiträde av ett viktigt skäl enligt dataskyddslagstiftningen.
(3) Invändningen mot det avsedda deltagandet eller utbytet av en underbiträde måste göras inom två veckor efter det att informationen om ändringen har mottagits. Om ingen invändning görs ska involveringen eller ersättningen anses vara godkänd. Om det finns ett viktigt skäl enligt dataskyddslagstiftningen och en lösning i godo inte är möjlig mellan den personuppgiftsansvarige och personuppgiftsbiträdet, har den personuppgiftsansvarige en särskild uppsägningsrätt vid utgången av den månad som följer på invändningen.
(4) Vid anlitande av underbiträden ska personuppgiftsbiträdet ålägga dem att följa bestämmelserna i detta avtal.
(5) Ett underbiträdesförhållande i den mening som avses i dessa bestämmelser föreligger inte om personuppgiftsbiträdet ger tredje part i uppdrag att tillhandahålla tjänster som betraktas som rena sidotjänster. Hit hör t.ex. post-, transport- och sjöfartstjänster, städtjänster, telekommunikationstjänster utan någon specifik hänvisning till tjänster som personuppgiftsbiträdet tillhandahåller den personuppgiftsansvarige samt bevakningstjänster. Underhålls- och testtjänster utgör underbiträdesrelationer som kräver samtycke i den mån de tillhandahålls för IT-system som också används i samband med tillhandahållande av tjänster för den personuppgiftsansvarige.
9 § Registrerades begäranden och rättigheter
(1) Personuppgiftsbiträdet ska stödja den personuppgiftsansvarige med lämpliga tekniska och organisatoriska åtgärder för att fullgöra den personuppgiftsansvariges skyldigheter enligt artiklarna 12-22 och 32-36 i GDPR.
(2) Om en registrerad gör gällande rättigheter, såsom rätten till tillgång, rättelse eller radering avseende sina uppgifter, direkt mot personuppgiftsbiträdet, ska det senare inte reagera självständigt utan hänvisa den registrerade till den personuppgiftsansvarige och invänta den personuppgiftsansvariges instruktioner.
§ 10 Ansvar
(1) I det interna förhållandet med personuppgiftsbiträdet ska den personuppgiftsansvarige ensam vara ansvarig gentemot den registrerade för ersättning för skada som en registrerad har lidit på grund av otillåten eller felaktig behandling av uppgifter enligt dataskyddslagar eller användning inom ramen för den beställda behandlingen.
(2) Personuppgiftsbiträdet ska ha obegränsat ansvar för skada i den mån orsaken till skadan baseras på ett uppsåtligt eller grovt oaktsamt åsidosättande av skyldigheter av personuppgiftsbiträdet, dess juridiska representant eller ställföreträdare.
(3) Personuppgiftsbiträdet ska endast vara ansvarigt för oaktsamt uppträdande i händelse av brott mot en skyldighet vars uppfyllande är en förutsättning för att avtalet ska kunna fullgöras korrekt och vars efterlevnad den personuppgiftsansvarige regelbundet förlitar sig på och kan förlita sig på, men begränsat till den genomsnittliga skada som är typisk för avtalet. I alla andra avseenden ska Personuppgiftsbiträdets ansvar - inklusive för dess ställföreträdare - vara uteslutet.
(4) Ansvarsbegränsningen enligt § 10.3 gäller inte för skadeståndsanspråk som grundar sig på skada på liv, kropp eller hälsa eller på grund av att en garanti har övertagits.
§ 11 Uppsägning av Huvudavtalet
(1) Efter att Huvudavtalet har upphört att gälla ska Personuppgiftsbiträdet återlämna alla handlingar, uppgifter och databärare som har tillhandahållits Personuppgiftsbiträdet till den Personuppgiftsansvarige eller - på begäran av den Personuppgiftsansvarige, såvida det inte finns en skyldighet att lagra personuppgifterna enligt unionsrätten eller lagen i Förbundsrepubliken Tyskland - radera dem. Detta ska även gälla för eventuella säkerhetskopior av uppgifter hos Personuppgiftsbiträdet. Personuppgiftsbiträdet ska på begäran tillhandahålla dokumenterat bevis på att uppgifterna har raderats på ett korrekt sätt.
(2) Den personuppgiftsansvarige ska ha rätt att på lämpligt sätt kontrollera att personuppgiftsbiträdet fullständigt och avtalsenligt återlämnar eller raderar uppgifterna.
(3) Personuppgiftsbiträdet ska vara skyldigt att sekretessbelägga de uppgifter som denne har fått kännedom om i samband med Huvudavtalet även efter Huvudavtalets upphörande. Detta Avtal ska gälla även efter Huvudavtalets upphörande så länge Personuppgiftsbiträdet förfogar över personuppgifter som Personuppgiftsbiträdet har fått av den Personuppgiftsansvarige eller som Personuppgiftsbiträdet har samlat in för den Personuppgiftsansvariges räkning.
12 § Slutbestämmelser
(1) I den mån Personuppgiftsbiträdet inte uttryckligen utför supportåtgärder enligt detta Avtal kostnadsfritt, får Personuppgiftsbiträdet debitera den Personuppgiftsansvarige en rimlig avgift för detta, såvida inte Personuppgiftsbiträdets egna åtgärder eller försummelser har gjort sådan support direkt nödvändig.
(2) Ändringar av och tillägg till detta avtal ska göras skriftligen. Detta ska även gälla för varje avstående från detta formkrav. Prioriteten för enskilda avtalsöverenskommelser ska inte påverkas.
(3) Om enskilda bestämmelser i detta avtal är eller blir helt eller delvis ogiltiga eller ogenomförbara, ska detta inte påverka giltigheten av de återstående bestämmelserna.
(4) Detta avtal är underkastat tysk lag.
Bilaga 1 - Beskrivning av uppgifterna/uppgiftskategorierna och de berörda registrerade/grupperna av berörda registrerade
| Kundtyp | Kategorier av registrerade | Kategorier av uppgifter |
|---|---|---|
| Företagets räkenskaper | Anställda | Namn, kontaktuppgifter, befattning, avdelning, foto, företagsuppgifter, länkar till sociala medier |
| Företagskonton & enskilda användare | Intresserade parter | IP-adress (stad, land), kontaktuppgifter, namn, företag, meddelande (valfritt) |
Bilaga 2 - Tekniska och organisatoriska åtgärder hos personuppgiftsbiträdet
1. Inledning
Detta dokument sammanfattar de tekniska och organisatoriska åtgärder som vidtagits av Personuppgiftsbiträdet i enlighet med Art. 32 para. 1 GDPR. Detta är åtgärder som vidtagits av Personuppgiftsbiträdet för att skydda personuppgifter. Syftet med dokumentet är att hjälpa den personuppgiftsansvarige att fullgöra sin ansvarsskyldighet enligt art. 5 para. 2 GDPR.
2. Konfidentialitet (artikel 32.1 b i GDPR)
2.1 Kontroll av inpassering
Följande åtgärder har vidtagits för att förhindra att obehöriga får tillgång till databehandlingssystemen:
-
Arbeta hemifrån: obehöriga har ingen tillgång till medarbetarnas hem
-
Arbeta i hemmakontoret: instruktion till medarbetarna att om möjligt arbeta i ett separat kontor från vardagsrummet
2.2 Tillträdeskontroll
Följande åtgärder har vidtagits för att förhindra att obehöriga får tillgång till databehandlingssystemen:
-
Autentisering med användare och lösenord
-
Användning av brandväggar
-
Användning av hantering av mobila enheter
-
Kryptering av datamedier
-
Automatiskt skrivbordslås
-
Hantering av användarbehörigheter
-
Skapa användarprofiler
-
Centrala regler för lösenord
-
Användning av 2-faktorautentisering
-
Företagets policy för säkra lösenord
-
Allmän instruktion för att manuellt låsa skrivbordet när du lämnar arbetsstationen
2.3 Åtkomstkontroll
Följande implementerade åtgärder säkerställer att obehöriga personer inte har tillgång till personuppgifter:
-
Loggning av åtkomst till applikationer (särskilt vid inmatning, ändring och radering av uppgifter)
-
Antalet administratörer hålls så litet som möjligt
-
Hantering av användarrättigheter av systemadministratörer
-
Instruktion till anställda om att uppgifter endast kommer att raderas efter samråd
2.4 Separationskontroll
Följande åtgärder säkerställer att personuppgifter som samlas in för olika ändamål behandlas separat:
-
Fysiskt åtskild lagring på separata system eller databärare
-
Separering av produktions- och testsystem
-
Logisk klientseparation (på mjukvarusidan)
-
Definition av databasrättigheter
-
Intern instruktion om att anonymisera/pseudonymisera personuppgifter i händelse av utlämnande eller efter utgången av den lagstadgade raderingsperioden, om möjligt.
3. Integritet (artikel 32.1 b i GDPR)
3.1 Överföringskontroll
Det säkerställs att personuppgifter inte obehörigen kan läsas, kopieras, ändras eller tas bort under överföring eller lagring på databärare och att det är möjligt att kontrollera vilka personer eller organ som har mottagit personuppgifter. Följande åtgärder har vidtagits för att säkerställa detta:
-
WLAN-kryptering (WPA2 med starkt lösenord)
-
Loggning av åtkomst och hämtning
-
Tillhandahållande av data via krypterade anslutningar som SFTP eller HTTPS
-
Förbud mot att ladda upp företagsdata till externa servrar
3.2 Inmatningskontroll
Följande åtgärder säkerställer att det är möjligt att kontrollera vem som har behandlat personuppgifter i databehandlingssystem och vid vilken tidpunkt:
-
Loggning av inmatning, ändring och radering av uppgifter
-
Manuell eller automatisk styrning av stockarna
-
Spårbarhet för inmatning, ändring och radering av data genom enskilda användarnamn (inte användargrupper)
-
Tydliga ansvarsområden för raderingar
legal.dpa.latest.annexes.2.3.2.text.6
4. Tillgänglighet och motståndskraft (artikel 32.1 b i GDPR)
Följande åtgärder säkerställer att personuppgifterna skyddas mot oavsiktlig förstörelse eller förlust och alltid är tillgängliga för kunden:
-
Brandsläckare i serverrum
-
Enheter för övervakning av temperatur och luftfuktighet i serverrum
-
Luftkonditionering i serverrum
-
Skyddande uttagslister i serverrum
-
Avbrottsfri strömförsörjning (UPS)
-
Videoövervakning i serverrum
-
Larm vid obehörigt tillträde till serverrum
-
Regelbundna säkerhetskopior
-
Kontroll av säkerhetskopieringsprocessen
-
Lagring av säkerhetskopior av data på en säker plats utanför anläggningen
-
Regelbundna tester av dataåterställning och loggning av resultaten
-
Inga sanitära anläggningar i eller ovanför serverrummet
-
Hosting (åtminstone av de viktigaste uppgifterna) hos en professionell hoster
5. Förfaranden för regelbunden granskning, bedömning och utvärdering (artikel 32.1 d i GDPR; artikel 25.1 i GDPR)
5.1 Hantering av dataskydd
Följande åtgärder syftar till att säkerställa att organisationen uppfyller de grundläggande kraven i dataskyddslagstiftningen:
-
Användning av heyData-plattformen för hantering av dataskydd
-
Utnämning av dataskyddsombud heyData
-
Anställdas skyldighet att hålla uppgifter hemliga
-
Regelbunden utbildning i dataskydd för anställda
-
Upprätthålla en översikt över behandlingsaktiviteter (art. 30 GDPR)
5.2 Hantering av incidenter
Följande åtgärder är avsedda att säkerställa att rapporteringsprocesser utlöses i händelse av dataskyddsöverträdelser:
-
Rapporteringsprocess för dataskyddsöverträdelser i enlighet med art. 4 nr 12 GDPR till tillsynsmyndigheterna (art. 33 GDPR)
-
Anmälningsprocess för dataintrång i enlighet med art. 4 nr 12 GDPR till de registrerade (art. 34 GDPR)
-
Dataskyddsombudets medverkan vid säkerhetsincidenter och dataintrång
-
Användning av brandväggar
5.3 Dataskyddsvänliga standardinställningar (art. 25.2 GDPR)
Följande åtgärder är avsedda att säkerställa att rapporteringsprocesser utlöses i händelse av dataskyddsöverträdelser:
-
Rapporteringsprocess för dataskyddsöverträdelser i enlighet med art. 4 nr 12 GDPR till tillsynsmyndigheterna (art. 33 GDPR)
-
Anmälningsprocess för dataintrång i enlighet med art. 4 nr 12 GDPR till de registrerade (art. 34 GDPR)
5.4 Orderkontroll
Följande åtgärder säkerställer att personuppgifterna endast kan behandlas i enlighet med instruktionerna:
-
Skriftliga instruktioner till uppdragstagaren eller instruktioner i textform (t.ex. genom ett personuppgiftsbiträdesavtal)
-
Säkerställa att data förstörs efter att ordern har slutförts, t.ex. genom att begära motsvarande bekräftelser
-
Bekräftelse från entreprenörer att de förbinder sina egna anställda till datasekretess (vanligtvis i databehandlingsavtalet)
-
Noggrannt urval av entreprenörer (särskilt med avseende på datasäkerhet)
-
Löpande granskning av entreprenörer och deras verksamhet
-
Säkerställa att data förstörs efter att ordern har slutförts, t.ex. genom att begära motsvarande bekräftelser
Bilaga 3 - Aktuella underbiträden
Alla amerikanska underbiträden är certifierade enligt [Data Privacy Framework] (https://www.dataprivacyframework.gov/).
| Namn | Adress | Funktion | Serverns placering |
|---|---|---|---|
| Hetzner Online GmbH | Industriestr. 25, 91710 Gunzenhausen, Germany | Hosting och infrastruktur | EU |
| Cloudflare, Inc. | 101 Townsend Street, San Francisco, CA 94107, USA | Innehållsleveransnätverk och säkerhet | Global, beroende på var användaren befinner sig |
| ActiveCampaign, LLC | 1 N Dearborn St., 5th Floor, Chicago, Illinois 60602, USA | Leverans av e-post | USA |
| Functional Software, Inc. | 132 Hawthorne Street San Francisco, CA 94107, USA | Felrapportering och övervakning | EU |
| Microsoft Ireland Operations, Ltd. | One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Ireland | Kundservice och kommunikation | EU |
| HubSpot, Inc. | 25 1st Street Cambridge, MA 0214, USA | Kundservice och kommunikation | EU |
Version 1.3, gällande från den 10 april 2024
| Namn: | |
| Position: | |
| E-post: | |
| Datum: | |
| Underskrift: |
| Namn: | Florian Theimer |
| Position: | Founder & CEO |
| E-post: | privacy@spreadly.app |
| Datum: | |
| Underskrift: |
Skriv ut detta databehandlingsavtal och skicka en undertecknad version till privacy@spreadly.app med ditt kundnummer bifogat. Du kommer att få en undertecknad version från oss inom de närmaste arbetsdagarna.
Vill du ha en undertecknad kopia av vårt personuppgiftsbiträdesavtal?
Skriv ut detta databehandlingsavtal och skicka en undertecknad version till privacy@spreadly.app med ditt kundnummer bifogat.
Du kommer att få en undertecknad version från oss inom de närmaste arbetsdagarna.