Databehandlingsavtal
Schema F. databehandlingsavtal
1.1 Den registeransvariga har gett sitt samtycke till att utse registerföraren för att tillhandahålla programvara och tjänster till den registeransvariga inom ramen för avtalsvillkoren.
1.2 För att kunna tillhandahålla programvaran och tjänsterna måste registerföraren behandla personuppgifter som kan vara kopplade till specifika fysiska personer enligt beskrivningen i bilaga A.
1.3 Databehandlingsavtalet specificerar villkoren som gäller registerförarens behandling av personuppgifter.
2.1 Följande ord och uttryck har de betydelser som specificeras nedan i databehandlingsavtalet, såvida inte sammanhanget ger dem en annan betydelse.
Appendix | Syftar på bilagor till detta databehandlingsavtal.
|
Vardag | En annan dag är lördag, söndag eller allmän helgdag
|
Kontorstid | 09:00 till 17:00 på vardagar
|
Avtal | Avser avtalet mellan distributören och kunden om tillhandahållande av tjänster, och registerförarens allmänna villkor inklusive eventuella scheman, bilagor och tillägg.
|
Registeransvarig | Kunden enligt definition i avtalet och enligt definitionen i tillämplig dataskyddslag.
|
Databehandlingsavtal | Detta avtal inklusive bilagor
|
Databehandlingstjänster | Tjänsterna som beskrivs i bilaga A
|
Dataskyddslag | Lagstiftningen, med tillägg, som skyddarindividers fundamentala rättigheter och frihet och, i synnerhet, deras rätt till integritet i fråga om behandling av personuppgifter som är tillämplig för en registeransvarig i EEA-landet där den registeransvarige har sitt säte, inklusive GDPR enligt 2018 maj 2002/58. En referens till en dataskyddslag fortsätter att vara en referens till den även om den får tillägg, utökas eller förändras.
|
Registrerade | En identifierad eller identifierbar fysisk person (en identifierbar person är en som kan identifieras, direkt eller indirekt, i synnerhet genom att referera till en identifierare som namn, id-nummer, platsuppgifter, online-identifierare eller till en eller flera faktorer som är specifika för denna fysiska persons fysiska, fysiologiska, genetiska, mentala, ekonomiska, kulturella eller sociala identitet).
|
Förstörelse | Innebär att personuppgifter raderas permanent från alla lagringsmedier där de sparats och att personuppgifterna inte kan återställas på något sätt, inte heller av eventuella underentreprenörer till registerföraren. Detta gäller för alla lagringsmedier som används i samband med behandlingen och innefattar alla befintliga kopior. |
Distributör | Avser [ange namn, momsregistreringsnummer och adress till den aktuella distributören]. |
EES | Europeiska Ekonomiska Samarbetsområdet. |
Slutanvändarlicens | Avtalet mellan Planday och alla registrerade som har tillgång till schemaprogrammet ”Planday” och/eller relaterad programvara. |
GDPR | Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) |
Personuppgifter | vilken som helst information, i vilken form som helst, som berör den registrerade och som vidare definieras i Dataskyddslagen. |
Personuppgiftsintrång | Ett säkerhetsintrång som leder till oavsiktlig eller olaglig förstörelse, förlust, anpassning, obehörigt röjande av eller tillgång till personuppgifter som överförs, lagras eller behandlas på annat sätt. |
Behandling | En process eller serie av processer som utförs för personuppgifter eller grupper av personuppgifter, oavsett om det sker på automatiskt sätt eller inte, såsom insamling, registrering, organisering, strukturering, lagring, anpassning eller ändring, hämtning, konsultation, användning, röjande genom överföring, spridning eller andra former av tillgängliggörande, gruppering eller aggregering, begränsning, radering eller förstörelse. |
Behandlingsprocesser | Enligt definitionen i bilaga A |
Registerförare
|
Syftar på Planday enligt definition i databehandlingsavtalet och enligt definitionen i tillämplig dataskyddslag. |
Återlämning | Innebär att alla personuppgifter återlämnas fysiskt eller elektroniskt till den registeransvarige och att eventuella kopior därav osv. som registerföraren kan ha i sin ägo eller som registerföraren kan ha tillgång till, inklusive personuppgifter som vidarebefordrats till underentreprenörerna till registerföraren, förstörs. |
Underentreprenör till registerföraren | Syftar på en annan registerförare som anlitas av registerföraren i syfte att utföra specifik behandling på uppdrag av den registeransvarige. |
Plandays system | Eventuella IT-system eller system där databehandlingstjänsterna utförs i enlighet med detta databehandlingsavtal. |
2.2 Om sammanhanget inte anger motsatsen, ska ord i singular innefatta plural och ord i plural innefatta singular.
2.3 Alla ord som följer på begreppen ”inklusive”, ”inkludera”, ”i synnerhet” eller ”till exempel” eller liknande fraser ska betraktas som illustrativa och ska inte begränsa allmängiltigheten hos de relaterade allmänna orden.
2.4 Eventuella undantag eller begränsningar av ansvaret inom ramen för avtalet ska även gälla registerförarens ansvar inom ramen för detta databehandlingsavtal.
3.1 Databehandlingsavtalet gäller alla former av behandling av personuppgifter som utförs av registerföraren i samband med att databehandlingstjänsterna utförs för den registeransvarige enligt bilaga A (sakfrågan).
3.2 Kunden och Planday bekräftar att kunden är den registeransvarige och att Planday är registerföraren i förhållande till de personuppgifter som överlämnas till Planday av eller på uppdrag av kunden, inklusive personuppgifter som beskrivs i bilaga A, i samband med tillhandahållandet av databehandlingstjänsterna.
3.3 Typen av och syftet med behandlingen, typerna av personuppgifter och kategorierna av registrerade specificeras i bilaga A.
3.4 Ingenting i detta databehandlingsavtal ska begränsa Plandays rättigheter och skyldigheter som specificeras i slutanvändarlicensen.
a) Endast behandla personuppgifter enligt dokumenterade anvisningar från den registeransvarige enligt detta databehandlingsavtal och för de syften som specificeras i bilaga A
b) Utföra sin verksamhet inom ramen för detta databehandlingsavtal med vederbörlig kompetens, noggrannhet och flit
c) Föra register enligt beskrivning under art. 30 i GDPR som normal verksamhetsplats för all behandling av personuppgifter som utförs inom ramen för databehandlingstjänsterna och överensstämmelsen med skyldigheterna som specificeras i detta databehandlingsavtal (”register”)
d) Säkerställa att personer som är behöriga att behandla personuppgifterna har gett samtycke till sekretess eller är belagda med lämplig lagstadgad sekretess
e) Vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna mot oavsiktlig eller otillbörlig förstörelse eller oavsiktliga förluster, anpassning, obehörigt röjande eller obehörig åtkomst och mot alla övriga olagliga former av behandling inklusive kraven i fråga om sådana åtgärder inom ramen för dataskyddslagen enligt specifikation i klausul 6;
f) Endast göra kopior av personuppgifterna i den mån det rimligen är nödvändigt, vilket bland annat kan innefatta säkerhetskopiering, spegling, säkerhet, katastrofåterställning och testning av personuppgifter
g) Endast anlita underentreprenörer i enlighet med kraven i klausul 7;
h) Omedelbart informera den registeransvarige om, enligt vederbörandes bedömning, en instruktion bryter mot dataskyddslagen
i) Hjälpa den registeransvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, för att den registeransvarige ska kunna uppfylla sin skyldighet att respondera när den registrerade åberopar sina icke-exklusiva rättigheter till åtkomst, rättelse, radering och dataportabilitet så som dessa specificeras i dataskyddslagen;
j) Enligt den registeransvariges önskemål förstöra eller återlämna alla personuppgifter till den registeransvarige antingen under eller efterdetta databehandlingsavtalets löptid, jfr. klausul 11;
k) Göra all information, som behövs för att visa att dataskyddslagen följs, t.ex. intyg från årlig granskning från, i förekommande fall, registerförarens externa revisorer, för den registeransvarige
l) I linje med klausul 4.1(k), i den mån detta är juridiskt och tekniskt möjligt, möjliggöra och bidra till granskningar, inklusive inspektioner som utförs av den registeransvarige eller en annan person som utses av den registeransvarige enligt klausul 8;
m) Följa skyldigheterna enligt dataskyddslagen inklusive, om tillämpligt, utse en dataskyddsansvarig.
4.2 Om registerföraren mottar ett klagomål, ett meddelande eller kommunikation som är direkt eller indirekt kopplat till behandlingen av personuppgifter eller till endera partens efterlevnad av dataskyddslagen, ska vederbörande omedelbart underrätta den registeransvarige och erbjuda den registeransvarige fullt samarbete och assistans i fråga om klagomålet, meddelandet eller kommunikationen.
4.3 Registerförarens ansvar enligt avtalet, inklusive databehandlingsavtalet, definieras och begränsas av villkoren i avtalet.
4.4 Registerföraren ska omgående informera den registeransvarige om ett personuppgiftsintrång kommer till registerförarens kännedom.
4.5 Registerföraren har rätt att debitera den registeransvarige separat för eventuella kostnader (inklusive interna resurser med registerförarens standardtaxa) som kan uppstå i samband med assistans enligt klausul 4.1(a)-(m).
5.1 Den registeransvarige är ensam ansvarig och skyldig att efterleva den tillämpliga lagen i egenskap av registeransvarig. Innan programvaran och tjänsterna används inom ramen för avtalet ska den registeransvarige försäkra att vederbörande följer dataskyddslagen, på ett sätt som överensstämmer med hela dataskyddslagen, t.ex. rörande tillhandahållande av nödvändig information/underrättande av och/eller godkännande från registrerade och/eller tillsynsmyndigheter avseende behandlingen.
5.2 Den registeransvarige ska omgående informera registerföraren om det kommer till dennes kännedom att behandlingen av den registeransvariges personuppgifter är i strid med dataskyddslagen.
5.3 Den registeransvarige garanterar att registerförarens strikta efterlevnad av alla instruktioner från den registeransvarige i fråga om behandling av personuppgifter inte leder till brott mot den tillämpliga dataskyddslagen.
5.4 Den registeransvarige ska hålla registerföraren skadeslös för eventuella förluster som beror på den registeransvariges oförmåga att uppfylla vederbörandes skyldigheter nedan.
6.1 Registerföraren är skyldig att implementera lämpliga tekniska och organisatoriska åtgärder för att säkerställa att säkerhetsnivån står i paritet med riskerna, som förekommer i behandlingen, i synnerhet för oavsiktlig eller olaglig förstörelse, förlust, förändring, otillåtet utlämnande av, eller åtkomst till överförda personuppgifter, lagrade eller på annat sätt behandlade, med beaktande av den senaste tekniken, kostnaderna av implementeringen och karaktären, omfånget, sammanhanget och syftena för behandlingen samt riskerna av varierande sannolikhets- och allvarlighetsgrad för rättigheterna och friheterna för fysiska personer, bland annat om tillämpligt:
a) pseudonymisering och kryptering av personuppgifter
b) möjlighet att säkerställa kontinuerlig sekretess, integritet, tillgänglighet och stabilitet hos behandlingssystemen och tjänsterna
c) möjlighet att inom rimlig tid återställa tillgängligheten och åtkomsten till personuppgifter i händelse av fysiska eller tekniska incidenter
d) en process för regelbunden testning, bedömning och utvärdering av effektiviteten hos tekniska och organisatoriska åtgärder för att säkerställa säkerheten i behandlingen
6.2 Registerföraren ska vidta åtgärder för att säkerställa att en fysisk person som agerar på uppdrag av registerföraren, som har tillgång till personuppgifterna, inte behandlar dessa personuppgifter, utom om vederbörande instruerats av den registeransvarige att göra så, såvida han eller hon inte är skyldig att göra så enligt dataskyddslagen.
6.3 De specifika tekniska och organisatoriska säkerhetsåtgärderna som vidtas av registerföraren specificeras i bilaga B (Säkerhetsåtgärder).
7.1 Den registeransvarige berättigar härmed registerföraren att anlita underentreprenörer, inkluderande utan begränsning till de underentreprenörer som specificeras i bilaga A, för behandling av personuppgifter, under förutsättning att registerföraren ingår ett skriftligt avtal med varje underentreprenör. Detta avtal ska ålägga underentreprenörerna till registerföraren samma skyldigheter som registerföraren inom ramen för detta avtal. Den registeransvarige har när som helst, om detta inom rimlig tid meddelas skriftligt på förhand, rätt att begära en kopia av registerförarens databehandlingsavtal med varje underentreprenör.
7.2 Registerföraren ska på förhand informera den registeransvarige om planerad ny tillsättning eller ersättning av en underentreprenör via e-post så att den registeransvarige/den registrerade har möjlighet att invända och/eller ge sitt informerade samtycke. Sådant godkännande ska dock inte oskäligen innehållas. Den registeransvarige kan inte invända utan ett berättigat och objektivt skäl, om lagen inte så kräver. Om den registeransvarige invänder mot tillsättning eller ersättning av en underentreprenör till registerföraren, under förutsättning att invändningen har ett berättigat och objektivt skäl, är registerföraren berättigad att (i) skriftligt säga upp databehandlingsavtalet med omedelbar verkan.
7.3 Om en underentreprenör till registerföraren inte uppfyller sina dataskyddsåtaganden inom ramen för databehandlingsavtalet, som klausul 7.1 hänvisar till, ska registerföraren överta hela ansvaret gentemot den registeransvarige för att generellt uppfylla underentreprenörens dataskyddsåtaganden.
8.1 I syfte att granska registerförarens efterlevnad av dennes skyldigheter inom ramen för detta databehandlingsavtal ska registerföraren låta den registeransvarige utföra granskningar. Registerföraren ska meddelas skriftligt inte mindre än trettio (30) dagar i förväg under normal kontorstid, men inte meddelas om det föreligger skäliga misstankar om brott mot detta databehandlingsavtal av registerföraren:
a) Få åtkomst för att inspektera och göra kopior av registren och annan information som förvaras i registerförarens anläggningar eller i registerförarens system som är relaterad till databehandlingstjänsterna och
b) Få åtkomst för att kunna inspektera registerförarens system.
8.2 Det skriftliga meddelandet ska innefatta en föreslagen granskningsplan. Om en del av den begärda granskningens avgränsning ligger inom avgränsningen för en granskningsrapport från en kvalificerad extern granskare inom de senaste tolv månaderna, kan registerföraren tillfråga den registeransvarige om denna rapport kan användas som ersättning för granskningen. Registerföraren är berättigad att föreslå datum och tidpunkt för granskningen för att minimera störningarna i verksamheten och att föreslå att granskningen kombineras med granskningar från andra registeransvariga. Den registeransvarige kan inte avböja sådana förslag från registerföraren om vederbörande inte har en objektiv orsak att göra så.
8.3 På begäran av registeransvarig enligt klausul 8.1 och8.2, kommer registeransvarig (eller ett kontrollorgan bestående oberoende medlemmar som besitter de erforderliga yrkesmässiga kvalifikationerna med tystnadsplikt, som utsetts av den registeransvariga eller tillsynsorgan) kommer att ha rätt att genomföra granskningar av den registeransvarigas installationer och säkerhetsrutiner i direkt anslutning till behandling av personuppgifter enligt avtalet för att övervaka att detta databehandlingsavtal efterlevs. Sådan granskning ska begränsas till en granskning per tolvmånadersperiod, såvida det inte föreligger någon skälig misstanke om brott mot detta databehandlingsavtal, eller ifall det på annat sätt är tillåtligt genom gällande lagstiftning.
8.4 Den registeransvarige ska betala samtliga kostnader som uppstår med anledning av granskningen, och registerföraren ska ha rätt att debitera registeransvarige separat för samtliga kostnader (inklusive interna resurser till registerförarens standardtaxor).
8.5 Varje granskning ska genomföras i enlighet med registerförarens företagsinterna riktlinjer, och samtliga deltagare ska vara bundna av lämpligt utformade sekretessförpliktelser. I den utsträckning det tillåts av gällande lag ska registerföraren tillhandahålla registeransvarige ett exemplar av granskningsrapporten, och denna ska ha rätt att använda den rapporten avgiftsfritt i relation till andra registeransvariga.
8.6 Den registeransvarige får endast använda informationen som samlas in under en granskning i syfte att uppfylla sina skyldigheter inom ramen för dataskyddslagen, och detta inbegriper eventuella granskningsrapporter. Ett tydliggörande: den registeransvarige får inte offentliggöra några delar av granskningsrapporten utan att skriftligt tillstånd först har inhämtats från registerföraren, såvida inte detta är krävs enligt lag.
8.7 Registerföraren ska ge nödvändig assistans för att dessa granskningar ska kunna utföras under avtalsperioden (enligt klausul 11) i detta databehandlingsavtal.
8.8 Den registeransvarige, eller dess externa representanter enligt klausul 8.3, får utföra granskningar av registerförarens underentreprenörer ifall detta är möjligt enligt villkoren och bestämmelserna i den vid tidpunkten giltiga och tillämpliga versionen av underentreprenörens “Allmänna villkor”
9.1 Registerföraren får endast behandla personuppgifter i länder utanför EES enligt de dokumenterade instruktioner från den registeransvarige som specificeras i bilaga A.
9.2 Om registerföraren har för avsikt att behandla personuppgifter i ett annat land ska vederbörande informera den registeransvarige om sådana överföringar i förväg, så att den registeransvarige har möjlighet att göra invändningar.
a) registerföraren har erbjudit tillräckliga skyddsåtgärder (inklusive alla aktuella juridiska mekanismer) som finns i relation till överföringen;
b) den registrerade har genomdrivbara rättigheter och effektiva juridiska möjligheter till avhjälpande;
c) Registerföraren tillhandahåller tillräcklig säkerhetsnivå för varje form av personuppgifter som ska överföras; och
d) registerföraren följer upp med rimliga instruktioner som har meddelats i förväg av den registeransvarige avseende processande av personuppgifter.
10.1 Registerföraren bekräftar att personerna som är behöriga att behandla personuppgifter är bundna av sekretess, och detta inbegriper all information som är relaterad till avtalet och parternas verksamhet.
10.2 Sekretessbestämmelserna fortsätter att gälla efter det att detta databehandlingsavtal upphör.
11.1 Detta datahanteringsavtal kommer att träda i kraft vid det ikraftträdandedatum som anges i kontraktet, eller vid det datum då registerförarens lämnar sin underskrift på underskriftssidan, vilket som än kommer först i tiden, och det ska fortsätta gälla under den avtalsenliga perioden.
11.2 Det datum då detta avslutas, ska även detta databehandlingsavtal avslutas
11.3 Obeaktat klausulen 11.2 ovantill, ska detta databehandlingsavtal inte upphöra att gälla förrän registerföraren har mottagit och bekräftat den raderingsrelaterade dokumentation som beskrivs i klausul 11.6(b). Detta är förbehållet att den registeransvarige inte specifikt godtar ett annat förfarande.
11.4 Varje bestämmelse i detta datahanteringsavtal som, antingen uttryckligen eller underförstått, planeras träda i kraft, eller fortsätta gälla, eller efter avtalets uppsägning, ska fortsätta gälla i fullständig utsträckning.
11.5 Uppsägning av detta databehandlingsavtal ska inte påverka de rättigheter, rättsmedel, skyldigheter eller ansvarsskyldigheter som parterna har vid uppsägningen.
11.6 Om detta databehandlingsavtal av något skäl avslutas:
a) registerföraren ska snarast möjligt återbörda eller radera (enligt den registeransvarige instruktioner) samtliga personuppgifter och informationer som har erhållits från den registeransvarige, eller för dennes räkning, i anslutning till detta databearbetningsavtal;
b) om den registeransvarige väljer alternativet att förstöra material istället för att återlämna det enligt klausul 11.6(a) ska registerföraren, så snart det är praktiskt möjligt, säkerställa att förstörandet har genomförts och att samtliga personuppgifter har raderats från programvaran och Planday-systemet. Obeaktat det ovanstående, ska förstörandet inte äga rum förrän registeransvarige har informerat registerföraren om vilken metod som planeras för att genomföra förstörandet, och därefter har fått ett godkännande för att förstöra uppgifterna med hjälp av den metoden. Om dataansvarige skulle anse att den övervägda förstörelsemetoden inte är tillräckligt effektiv, kommer dataansvarige att informera registerföraren om en lämpligt effektiv metod för detta ändamål.
11.7 Den registeransvarige ska tillhandahålla skriftlig bekräftelse om efterlevnad av klausul 11 (a) senast 14 dagar efter att detta databehandlingsavtal har avslutats.
12.1 Om det sker några ändringar av förpliktigande dataskyddslagstiftning har registerföraren rätt att ändra detta databehandlingsavtal i enlighet med de lagstiftningsändringarna.
13.1 Detta databehandlingsavtal lyder under dansk lag och kommer att tolkas i enlighet med denna. Lagkonflikter ska dock ej beaktas i den mån sådana regler inte är obligatoriska.
13.2 Varje tvist som uppstår på grund av detta databehandlingsavtal, inklusive varje tvist som uppstår rörande förekomsten av, eller giltigheten i detta databehandlingsavtal, ska avgöras i dansk domstol.
Bilaga A till databehandlingsavtalet
Med anledning av registerförarens tjänsteleveranser och värdtjänster avseende personuppgifter för den registeransvariges räkning, ger registerföraren instruktioner till registerföraren och rätten att använda personuppgifterna för följande ändamål:
1. Allmän beskrivning och syftet med databehandlingsverksamheten
Databehandlingsverksamhet:
Registerföraren behandlar den registeransvariges personuppgifter för att leverera tjänster inom området arbetsledning
2. Olika uppgiftskategorier
Uppgiftskategorierna kan komma att ändras då och då, i den mån personuppgiftsbehandling och syftena med den fortsätter att omfattas av den allmänna beskrivningen.
(i) Anställda
(ii) Potentiella anställda
(iii) Tidigare anställda
3. Olika typer av personuppgifter
Beskrivning av de olika typerna personuppgifter för varje uppgiftskategori
Fullständigt namn och initialer, e-postadress, telefon, kön, personnummer/organisationsnummer, bankuppgifter, fullständiga namn och telefonnummer till närmast anhöriga, uppgifter från lönelista, information om arbetsavtal, lönebeskedsuppgifter, uppgifter som har fyllts i kundfält som har skapats av kund och som kan innehålla känslig information, däribland medicinskt relaterade uppgifter
4. Vem har åtkomst till personuppgifter hos den registeransvarige
Endast personer som hanterar syftena till varför personuppgifterna behandlas kommer att vara behöriga att tillgå och behandla personuppgifterna, däribland medarbetare som tillhandahåller:
• Supporttjänster
• Underhåll och säkerhetskopior
• Personal för operativsystem- och supporttjänster
5. Vilka externa parter (förutom den registeransvarige) har åtkomst till samtliga eller delar av personuppgifterna (underentreprenörer), av vilket (-a) skäl, och vilken är deras geografiska belägenhet (däribland även om det är utanför EES)?
Registerförare | Beskrivning | Besöksadress | Organisations-nummer: | Kontakt |
Netgroup | Infrastructure Hosting Services | Netgroup A/S Hørskætten 52630 Taastrup Denmark | 26 09 35 03/td> | privacy@salesforce.com |
Salesforce | Registerförare krävs för försäljnings- och supportaktiviteter | Floor 26 Salesforce Tower 110 Bishopsgate London Storbritannien EC2N 4AY | 05 09 40 83 | privacy@salesforce.com |
Intercom | Chat-support i realtid inom produkter ut till kund och notifikationer rörande inkommande | 3:e våningen, Stephens Ct.18- 21 St. Stephen’s Green Dublin 2 Irland | 538158 | compliance@intercom.com |
Amazon Web Services | Infrastructure Hosting Services – data lagrad inom EU/EEA | One Burlington Plaza, Burlington Road, Dublin 4 Ireland | 566018
|
https://aws.amazon.com/contact-us/ |
Microsoft Azure | Infrastructure Hosting Services – data lagrad inom EU/EEA | One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Ireland | 256796 | https://azure.microsoft.com/en-gb/support/options/ |
Bilaga B till databehandlingsavtalet
Säkerhetsåtgärder
Den registeransvarige kommer att genomföra lämpliga tekniska och organisationsmässiga åtgärder för att säkerställa en säkerhetsmetod för riskerna med uppgiftsbehandlingen. Dessa åtgärder inkluderar, men begränsas inte till:
1. Åtkomstkontroll till lokaler och anläggningar (fysiska)
1.1 Registerföraren kommer att upprätthålla ekonomiskt rimliga fysiska säkerhetssystem vid alla databehandlingscentra och administrationsanläggningar som används för att bearbeta personuppgifter;
1.2 Registerföraren ska försäkra sig om att upprätthålla kontrakt att kontrollera att fysisk tillgångskontroll implementeras för alla underregisterförare eller inhysta datacenter (vilket inkluderar, endast exempelvis, genom att verifiera tillgångskontroll till datacentra med underprocessor, till exempel ifall oauktoriserad tillgång till datacentra är förbjudet av personal på platsen, eller att biometrisk skanning eller säkerhetskameror som krävs finns på plats, eller att vändkors är integrerade med tillgångskontroll-läsare för att kontrollera fysiskt tillträde till alla platser vid alla tider genom att begära av de anställda att de visar upp id-brickor med foto innan de släpps in på en sådan plats);
1.3 Registerföraren ska vidmakthålla rutiner vid datacentra för att utfärda id-brickor till behörig personal och kontrollera den fysiska åtkomsten till system inom vederbörandes kontroll
1.4 Besökare måste få ett förhandsgodkännande innan de kommer till behandlingsanläggningar som används för bearbetning av personuppgifter, och de kommer att ombes att identifiera sig och/eller underteckna en besökslogg, samt åtföljas under hela besöket på anläggningen.
2. Åtkomstkontroll för system (virtuell)
2.1 Registerföraren ska implementera och upprätthålla skydd mot oavsiktlig eller obehörig åtkomst till, förstörelse av eller ändring av personuppgifter i vederbörandes system som används för behandling av personuppgifter:
2.1.1 tillträde ska garanteras personal utifrån minst privilegium och särskilda uppgifter, genom procedurer för begäran om tillgång;
2.1.2 åtkomstkontroller aktiveras i operativsystemet, databasen eller programmet
2.1.3 administrativ åtkomst är begränsad för att förhindra ändringar i system eller program
2.1.4 användare ska tilldelas ett enkelt konto med multifaktor-autentisering där så är tillåtet, och vara förbjudna att dela konton.
3. Åtkomstkontroll för enheter och bärbara datorer
3.1 Registerföraren ska implementera och upprätthålla ekonomiskt försvarbara säkerhetsåtgärder i fråga om mobila enheter och bärbara datorer som används för behandling av personuppgifter.
4. Åtkomstkontroll till personuppgifter
4.1 Åtkomst tilldelas endast efter behandling av ett godkänt ”åtkomstkontrollformulär”, dvs. LAN-användarnamn, program-id eller liknande identifikation.
4.2 Användarna tilldelas unika användarnamn och lösenord.
4.3 När användarna autentiserats tilldelas de olika åtkomstnivåer på basis av deras arbetsuppgifter.
5. Reglering av överlämning och röjande av information
5.1 Registerföraren ska implementera och upprätthålla åtgärder för att förhindra att personuppgifter läses, kopieras, ändras eller tas bort utan auktorisering under elektronisk överföring eller transport och för att göra det möjligt för registerföraren att med hjälp av dataöverföringsfunktioner kontrollera och fastställa vilka enheter som personuppgifterna överförs till.
5.2 Registerföraren ska använda teknik och processer som är utformade för att minimera åtkomst för otillbörlig behandling, inklusive teknik för kryptering av personuppgifter
6. Indatakontroll
6.1 Registerföraren ska administrera system- och databasloggar för åtkomst till alla personuppgifter som vederbörande kontrollerar.
6.2 Alla av registerförarens system måste vara konfigurerade för händelseloggning för att identifiera systemintrång, obehörig åtkomst eller andra säkerhetsöverträdelser. Loggarna ska skyddas mot obehörig åtkomst eller ändring
6.3 Kunden/registerföraren ska använda indatakontroller i vederbörandes system.
7. Jobbkontroll
7.1 Registerföraren ska implementera rutiner för att säkerställa de anställdas pålitlighet och att en person som arbetar för vederbörande som kan komma i kontakt med eller på annat sätt kan få tillgång till och behandla personuppgifter, t.ex. genom att begära ett intyg om god vandel (”VOG”) före anställning.
7.2 Registerföraren ska införa rutiner för att säkerställa att vederbörandes personal är medveten om sina ansvarsområden inom ramen för avtalet. Registerföraren ska instruera och utbilda all personal som auktoriseras för att åtkomst till personuppgifter om dataskyddslagstiftningen samt relevanta säkerhetsstandarder och förbinda sig skriftligt till att följa datasekretess, dataskyddslagstiftningen och andra relevanta säkerhetsstandarder.
7.3 Registerföraren ska snabbt upphäva kundens/registerförarens åtkomst till personuppgifter på grund av uppsägning, förändring av arbetsuppgifter eller till följd av användarinaktivitet eller längre frånvaro.
7.4 Registerföraren ska tillämpa en dataskyddspolicy och en policy för arkivering av dokument som personalen måste följa.
8. Incidenthantering
8.1 Registerföraren ska implementera och upprätthålla en rutin för incidenthantering som gör det möjligt för registerföraren att informera den registeransvarige om eventuella säkerhetsintrång inom den nödvändiga tidsramen.
8.2. Om ett säkerhetsintrång (potentiellt) påverkar personuppgifter ska registerföraren informera den registeransvarige i enlighet med klausul 4 i databehandlingsavtalet.
8.3 Rutiner för incidenthantering inbegriper periodisk utvärdering av återkommande problem som kan tyda på ett säkerhetsintrång.
8.4 Registerföraren ska periodvis undersöka eventuella inträffade incidenter för att se vilka slutsatser som kan dras av det.
9. Tillgänglighetskontroll
9.1 Registerföraren ska skydda personuppgifterna mot oavsiktlig förstörelse eller förlust genom att sörja för att:
9.1.1 Arbetsstationerna skyddas av kommersiella antivirusprogram och programvara för skydd mot skadlig kod som regelbundet uppdateras med nya definitioner
9.1.2 När ett virus eller skadlig kod upptäcks ska registerföraren omedelbart vidta åtgärder för att förhindra spridning och skador genom virus eller skadlig programvara och för att utplåna viruset eller den skadliga programvaran.
9.1.3 Servrar ska skyddas genom kommersiella brandväggar och system som förhindrar intrång.
10. Hantering av verksamhetskontinuitet
10.1 Registerföraren ska implementera och upprätthålla en kontinuitetsplan som, bland annat, gör det möjligt för registerföraren att i tid återställa tillgängligheten och åtkomsten till personuppgifterna. Parterna som är involverade i en fysisk eller teknisk händelse ska komma överens om denna.
10.2 Registerföraren ska implementera ändringshantering för att kontrollera organisationen, businessprocesser, system och relationer med underentreprenörer som påverkar informationssäkerheten.
10.3 Som en del av proceduren kring ändringshantering, utvärderar registerföraren eventuell potentiell påverkan på säkerheten som omger personuppgifter för att se vad man kan lära sig av det.
11. Kontroll över instruktioner
11.1 Registerföraren ska implementera och upprätthålla rutinerna för att säkerställa att personuppgifterna endast behandlas i enlighet med den registeransvariges anvisningar.
12. Separationskontroll
12.1 Registerföraren ska implementera och upprätthålla rutiner för att säkerställa att personuppgifterna som samlas in för olika syften ska behandlas separat i den omfattning att registerföraren uttryckligen har informerats om dessa olika syften och instruerats att göra så och under förutsättning att registerföraren får fakturera för sin arbetstid och utgifter för att denna begäran ska kunna tillgodoses.
13. Regelbunden testning av säkerhetsåtgärder
13.1 Registerföraren ska implementera och upprätthålla rutiner för att säkerställa att personuppgifterna som samlas in för olika syften ska behandlas separat i den omfattning att registerföraren uttryckligen har informerats om dessa olika syften och instruerats att göra så och under förutsättning att registerföraren får fakturera för sin arbetstid och utgifter för att denna begäran ska kunna tillgodoses.