Personuppgiftsbiträdesavtal

Denna version är en översättning av den engelska versionen endast i informationssyfte. I händelse av diskrepanser är det den engelska versionen som gäller.

Personuppgiftsansvarig: Kund inom EU (“personuppgiftsansvarig“) och

(Personuppgiftsbiträde)
(separat kallad en “Part” och kollektivt “Parter”) 

har ingått detta:

Personuppgiftsbiträdesavtal

(“Avtalet“)
avseende personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning.

1. De behandlade personuppgifterna

1.1 Detta avtal (“Avtalet“) har ingåtts i samband med Personuppgiftsansvarig:s användning av Personuppgiftsbiträde:s tjänster som en del av abonnemang och tilläggstjänster som beskrivs i One.com:s allmänna villkor (“”Huvudsakligt avtal”). 

1.2 Personuppgiftsbiträdet behandlar de typer av personuppgifter för den Personuppgiftsansvariges räkning som anges i Bilaga 1 i förhållande till berörda registrerade. Personuppgifterna avser de registrerade som anges i Bilaga 1. 

1.3 Personuppgiftsbiträdet får påbörja behandling av personuppgifter för den Personuppgiftsansvariges räkning efter att Huvudavtalet trätt i kraft. Vid upphörande av Huvudavtalet ska behandlingen upphöra och personuppgifterna raderas i enlighet med instruktionerna i Bilaga 1 i avtalet.

1.4 Avtalet och huvudavtalet är beroende av varandra och kan inte sägas upp separat. Avtalet kan dock ersättas med ett annat giltigt personuppgiftsbiträdesavtal utan att huvudavtalet sägs upp.

2. Syfte

2.1 Personuppgiftsbiträdet får endast behandla personuppgifter för ändamål som är nödvändiga för att fullgöra personuppgiftsbiträdets skyldigheter och därigenom tillhandahålla de tjänster som anges i huvudavtalet.

3. Den personuppgiftsansvariges skyldigheter

3.1 Den personuppgiftsansvarige garanterar att personuppgifterna behandlas för legitima och objektiva ändamål och att personuppgiftsbiträdet inte behandlar fler personuppgifter än vad som krävs för att uppfylla sådana ändamål.

3.2 Den personuppgiftsansvarige ansvarar för att det finns en giltig rättslig grund för behandlingen vid tidpunkten för överföringen av personuppgifterna till personuppgiftsbiträdet. På personuppgiftsbiträdets begäran åtar sig den personuppgiftsansvarige skriftligen att redogöra för och/eller tillhandahålla dokumentation av grunden för behandlingen. 3.3 Dessutom garanterar den personuppgiftsansvarige att de registrerade som personuppgifterna avser har fått tillräcklig information om behandlingen av deras personuppgifter.

4. Personuppgiftsbiträdets skyldigheter

4.1 All behandling av personuppgiftsbiträdet av de personuppgifter som tillhandahålls av den personuppgiftsansvarige måste ske i enlighet med instruktioner som utarbetats av den personuppgiftsansvarige, och personuppgiftsbiträdet är dessutom skyldigt att följa all dataskyddslagstiftning som gäller från tid till annan. Om unionsrätten eller unionsrätten i en EU-medlemsstat som personuppgiftsbiträdet är föremål för föreskriver att personuppgiftsbiträdet är skyldigt att behandla de personuppgifter som anges i förteckning 1, måste personuppgiftsbiträdet informera den personuppgiftsansvarige om detta rättsliga krav innan behandlingen. Detta gäller dock inte om denna lagstiftning förbjuder sådan information av viktiga skäl av allmänt intresse. Personuppgiftsbiträdet måste omedelbart informera den personuppgiftsansvarige om en instruktion enligt personuppgiftsbiträdet bryter mot EU:s allmänna dataskyddsförordning eller dataskyddsbestämmelserna i en EU-medlemsstat.

4.2 Personuppgiftsbiträdet måste vidta alla nödvändiga tekniska och organisatoriska säkerhetsåtgärder, inklusive eventuella ytterligare åtgärder, som krävs för att säkerställa att personuppgifterna inte oavsiktligt eller olagligt förstörs, förloras eller försämras eller förs till kännedom om obehörig tredje part, missbrukas eller på annat sätt behandlas på ett sätt som strider mot den dataskyddslagstiftning som är i kraft när som helst. Dessa åtgärder beskrivs mer i detalj i förteckning 2.

4.3 Personuppgiftsbiträdet måste se till att anställda som är behöriga att behandla personuppgifterna har åtagit sig sekretess eller omfattas av lämplig lagstadgad tystnadsplikt.

4.4 Om den personuppgiftsansvarige begär det måste personuppgiftsbiträdet ange och/eller dokumentera att personuppgiftsbiträdet uppfyller kraven i tillämplig dataskyddslagstiftning, inklusive dokumentation om personuppgiftsbiträdets dataflöden samt förfaranden/policyer för behandling av personuppgifter.

4.5 Med hänsyn till behandlingens art måste personuppgiftsbiträdet i möjligaste mån bistå den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder för att fullgöra den personuppgiftsansvariges skyldighet att besvara begäran om utövandet av den registrerades rättigheter i enlighet med kapitel 3 i den allmänna dataskyddsförordningen.

4.6 Personuppgiftsbiträdet eller ett annat personuppgiftsbiträde (personuppgiftsbiträde som underleverantör) måste skicka förfrågningar och invändningar från registrerade till den personuppgiftsansvarige för den personuppgiftsansvariges fortsatta behandling av dessa, såvida inte personuppgiftsbiträdet har rätt att hantera en sådan begäran själv. På begäran av den personuppgiftsansvarige måste personuppgiftsbiträdet hjälpa den personuppgiftsansvarige att besvara sådana förfrågningar och/eller invändningar.

4.7 Om personuppgiftsbiträdet behandlar personuppgifter i ett annat EU-land måste personuppgiftsbiträdet följa lagstiftningen om säkerhetsåtgärder i den medlemsstaten.

4.8 Personuppgiftsbiträdet ska underrätta den Personuppgiftsansvarige vid driftavbrott, misstanke om att dataskyddsregler har överträtts eller andra oegentligheter i samband med behandlingen av personuppgifterna. Personuppgiftsbiträdets tidsfrist för att underrätta den Personuppgiftsansvarige om en säkerhetsöverträdelse är 48 timmar från det att Personuppgiftsbiträdet fått kännedom om överträdelsen. Om den Personuppgiftsansvarige begär det, ska Personuppgiftsbiträdet bistå den Personuppgiftsansvarige med att klargöra omfattningen av säkerhetsöverträdelsen, inklusive upprättande av eventuell anmälan till relevant tillsynsmyndighet och/eller registrerade.

4.9 Personuppgiftsbiträdet ska tillhandahålla den Personuppgiftsansvarige all information som är nödvändig för att visa efterlevnad av artikel 28 i dataskyddsförordningen och Avtalet. I detta syfte medger och bidrar Personuppgiftsbiträdet till revisioner, inklusive inspektioner, som genomförs av den Personuppgiftsansvarige eller annan revisor utsedd av den Personuppgiftsansvarige. Kostnaden för eventuell revision eller inspektion ska bäras av den Personuppgiftsansvarige.

4.10 Utöver ovanstående måste personuppgiftsbiträdet hjälpa den personuppgiftsansvarige att säkerställa att den personuppgiftsansvariges skyldigheter enligt artikel 32–36 i dataskyddsförordningen uppfylls. Detta stöd kommer att ta hänsyn till behandlingens art och den information som personuppgiftsbiträdet har tillgång till.

5. Överföring av uppgifter till underleverantör eller tredje part

5.1 Personuppgiftsbiträdet måste uppfylla villkoren i artikel 28.2 och 4 i den allmänna dataskyddsförordningen för att anlita ett annat personuppgiftsbiträde (underleverantör). Detta innebär att personuppgiftsbiträdet inte får involvera ett annat personuppgiftsbiträde (underleverantör) till avtalets fullgörande utan föregående specifikt eller allmänt skriftligt godkännande från den personuppgiftsansvarige.

5.2 Den personuppgiftsansvarige ger härmed personuppgiftsbiträdet en allmän fullmakt att ingå avtal med personuppgiftsbiträden. Personuppgiftsbiträdet måste meddela den personuppgiftsansvarige om eventuella ändringar som rör tillägg eller utbyte av underleverantörer senast 30 dagar före ett nytt personuppgiftsbiträde påbörjar behandling av personuppgifterna. Den personuppgiftsansvarige kan göra rimliga och relevanta invändningar mot sådana ändringar inom 14 dagar från mottagandet av anmälan. Om personuppgiftsbiträdet fortsätter att vilja använda en underleverantör som den personuppgiftsansvarige har invänt mot, har parterna rätt att säga upp avtalet, se klausul 7.

5.3 När den personuppgiftsansvarige har godkänt att personuppgiftsbiträdet kan använda en underleverantör måste personuppgiftsbiträdet ålägga personuppgiftsbiträdet som är underleverantör samma skyldigheter som anges i avtalet. Detta verkställs genom ett avtal eller en annan rättsakt enligt EU-lagstiftningen eller en medlemsstats lagstiftning. Det måste t.ex. säkerställas att det finns tillräckliga garantier från personuppgiftsbiträdet som agerar underleverantör för att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i den allmänna dataskyddsförordningen (back-to-back”- villkoren).

5.4 Om underleverantören underlåter att uppfylla sina dataskyddsskyldigheter förblir personuppgiftsbiträdet fullt ansvarig gentemot den personuppgiftsansvarige för fullgörande av underleverantörens skyldigheter.

5.5 Utlämnande, överföring och intern användning av den personuppgiftsansvariges personuppgifter till tredje land eller internationella organisationer får endast ske i enlighet med dokumenterade instruktioner från den personuppgiftsansvarige – såvida det inte föreskrivs i EU-lagstiftningen eller lagstiftningen i en medlemsstat där personuppgiftsbiträdet är föremål för detta. Om så är fallet måste personuppgiftsbiträdet meddela den personuppgiftsansvarige om detta rättsliga krav före behandlingen, såvida inte lagen förbjuder sådan anmälan av viktiga skäl av allmänt intresse.

5.6 Om de personuppgifter som anges i förteckning 1 överförs till personuppgiftsbiträden utanför EU/EES måste det i nämnda avtal anges att den dataskyddslagstiftning som gäller i den personuppgiftsansvariges land gäller för personuppgiftsbiträden. Om den mottagande underleverantören är etablerad inom EU/EES ska det vidare anges i nämnda databehandlaravtal att det mottagande EU-landets specifika lagstadgade krav på 4 personuppgiftsbiträden, t.ex. avseende krav på anmälan till nationella myndigheter ska efterlevas.

5.7 Personuppgiftsbiträdet är skyldig att ingå skriftliga personuppgiftsbiträdesavtal med underbiträden inom EU/EES. När det gäller underbiträden utanför EU/EES ska Personuppgiftsbiträdet säkerställa lämpliga skyddsåtgärder, exempelvis den senaste versionen av EU-kommissionens standardavtalsklausuler, och ingå ett personuppgiftsbiträdesavtal.

5.8 När detta avtal undertecknas anlitar personuppgiftsbiträdet underleverantörerna som är listade i förteckning 3.

6. Ansvar

6.1 Parternas ansvar regleras av huvudavtalet.

6.2 Parternas skadeståndsansvar enligt detta avtal regleras av huvudavtalet.

7. Giltighetsdatum och uppsägning

7.1 Detta avtal träder i kraft samtidigt som huvudavtalet. Vid uppsägning av huvudavtalet kommer detta avtal också att upphöra. Personuppgiftsbiträdet omfattas dock av de skyldigheter som anges i detta avtal så länge personuppgiftsbiträdet behandlar personuppgifter för den personuppgiftsansvariges räkning.

7.2 Efter avslutad behandling är personuppgiftsbiträdet skyldigt att på begäran av den personuppgiftsansvarige radera eller returnera alla personuppgifter till den personuppgiftsansvarige samt att radera befintliga kopior, såvida inte lagring av personuppgifterna föreskrivs i EU-lagstiftningen eller nationell lagstiftning.

8. Reglerande lag och jurisdiktion

8.1 Varje fordran eller tvist som uppstår till följd av eller i samband med detta avtal måste avgöras av en behörig domstol i första instans i samma jurisdiktion och med samma rättsval som anges i huvudavtalet.

9. Underskrifter

Bilaga 1

Kategorier av registrerade, typer av personuppgifter och instruktioner

1. Kategorier av registrerade:

• Personuppgiftsbiträdet kommer att behandla kontaktuppgifter för den Personuppgiftsansvariges webbplatsbesökare samt nuvarande, potentiella eller tidigare kunder och/eller medlemmar, anställda, leverantörer, affärs- och samarbetspartners samt koncernbolag.
• Personuppgiftsbiträdet tillhandahåller sitt system till den Personuppgiftsansvarige som en hostad tjänst, och det är inte möjligt för Personuppgiftsbiträdet att fastställa samtliga kategorier av registrerade. Om den Personuppgiftsansvarige lagrar data om ytterligare kategorier av registrerade hos Personuppgiftsbiträdet, är det den Personuppgiftsansvariges skyldighet att registrera denna information.

2. Typer av personuppgifter:

Generellt behandlas all personuppgifter som hanteras via den Personuppgiftsansvariges webbplats av Personuppgiftsbiträdet. Den nedanstående icke uttömmande listan inkluderar de vanligaste typerna av personuppgifter som behandlas via webbplatser. Den Personuppgiftsansvarige beslutar vilka personuppgifter som han eller hon väljer att behandla via Personuppgiftsbiträdets infrastruktur. Detta kan inkludera särskilda kategorier av personuppgifter som anges i artikel 9 i GDPR.

• Kontakt- och identifieringsinformation inklusive e-post
• IP-adresser
• Domännamn
• Användarnamn
• Medlemskapsinformation
• Analys- och användningsdata
• Orderhistorik och information
• Avtal 
• Kommunikation
• Support 
• Bilderna
• Samtyckesstatus för marknadsföring
• Personuppgifter som ingår i e-postmeddelanden
• Ytterligare typer av personuppgifter kan förekomma 

3. Instruktioner

Tjänst

Personuppgiftsbiträdet får behandla personuppgifter om de registrerade i syfte att leverera, utveckla, hantera, administrera och sköta tjänsterna enligt Huvudavtalet, inklusive att säkerställa stabilitet och drifttid för våra servrar samt uppfylla rättsliga krav.

Lagringsperiod

De personuppgifter som lagras/hostas i våra system raderas eller anonymiseras inom skälig tid efter det att den Personuppgiftsansvarige helt har avslutat Huvudavtalet.

Plats för behandling 

Behandling av personuppgifter som omfattas av Avtalet får inte ske utan den Personuppgiftsansvariges föregående skriftliga medgivande på andra platser än Personuppgiftsbiträdets datacenter i Köpenhamn och platserna för underbiträdena enligt förteckningen i Bilaga 3. 

Bilaga 2

Säkerhetsåtgärder

Domän	Praxis
Organisation av informationssäkerhet	Säkerhetsansvarig. One.com har utsett en säkerhetsansvarig med ansvar för samordning och övervakning av säkerhetsreglerna och säkerhetsrutinerna. En styrning bestående av individer på c-nivå bistår och vägleder säkerhetsansvarig. Säkerhetsroller och ansvar. One.com-personal med tillgång till kunddata omfattas av sekretesskrav, vilket betonas vid anställning och ökar medvetenheten. Riskhantering. One.com utför kontinuerlig riskbedömning, en del av riskhanteringen, före behandling av kunduppgifter eller lansering av tjänster. Riskhanteringen möjliggör fokus på relevanta hot genom att prioritera, strukturera och minska risker utöver vad som anses vara acceptabelt. Säkerhetskopiering implementeras. Personuppgiftsbiträdet ska behålla sina säkerhetsdokument i enlighet med lagringskraven efter att de inte längre har någon verkan.
Hantering av tillgångar	Inventering av tillgångar. Personuppgiftsbiträdet upprätthåller en inventering av alla medier där kunduppgifter lagras. Tillgång till inventeringar av sådana medier är begränsad till personuppgiftsbiträdets personal som skriftligen har behörighet att ha sådan tillgång. Hantering av tillgångar – One.com klassificerar kunduppgifter för att hjälpa till att identifiera dem och för att möjliggöra att tillträdet till den begränsas på lämpligt sätt. – Personuppgiftsbiträdets personal måste erhålla auktorisering för behandling av uppgifter innan kunddata lagras på bärbara enheter, innan de får fjärråtkomst till kunddata eller får bearbeta kunddata utanför personuppgiftsbiträdets anläggningar.
Personalsäkerhet	Säkerhetsutbildning. One.com informerar sin personal om relevanta säkerhetsrutiner och deras respektive roller, samt tar itu med nya hot etc. där de anställda spelar en viktig roll.
Fysisk och miljömässig säkerhet	Fysisk åtkomst till faciliteter. One.com begränsar tillgången till anläggningar där informationssystem som behandlar kunddata finns, till identifierade behöriga personer. Fysisk åtkomst till komponenter. One.com säkerställer tillräckliga begränsningar av media som innehåller kunddata. Skydd mot störningar. One.com använder en mängd olika branschstandardsystem för att skydda mot förlust av data på grund av strömavbrott, översvämning, brand eller störningar i ledningar. Komponenthantering. One.com använder branschstandardprocesser för att ta bort kunddata när de inte längre behövs.
Kommunikations- och driftledning	Verksamhetspolicy. One.com upprätthåller säkerhetsdokument som beskriver säkerhetsåtgärder och relevanta förfaranden och ansvar för den personal som har tillgång till kunddata. Förfaranden för dataåterställning – One.com lagrar kopior av kunddata och dataåterställningsförfaranden på en annan plats än där den primära datorutrustningen som behandlar kunddata finns. -One.com har särskilda rutiner för tillgång till kopior av kunddata. Skadlig programvara. One.com har kontroller mot skadlig kod för att undvika att skadlig programvara får obehörig åtkomst till kunddata, inklusive skadlig programvara som kommer från offentliga nätverk. Antivirus har också implementerats. Händelseloggning. One.com loggar eller gör det möjligt för kunder att logga, komma åt och använda informationssystem som innehåller kunddata, registrera åtkomst-ID, tid, auktorisering beviljad eller nekad och relevant aktivitet. Kryptering. Kommunikationen via internet mellan system som hanterar personuppgifter krypteras.
Åtkomstkontroll	Åtkomstprincip. One.com upprätthåller ett register över säkerhetsprivilegier för personer som har tillgång till kunddata. Åtkomstauktorisering – One.com inaktiverar autentiseringsuppgifter som inte har använts under en tidsperiod som inte får överstiga sex månader. – One.com identifierar den personal som kan bevilja, ändra eller avbryta behörig åtkomst till data och resurser. – One.com säkerställer att om mer än en individ har tillgång till system som innehåller kunddata har individerna separata identifierare/inloggningar. Lägsta behörighet – One.com begränsar åtkomsten till kunddata till endast de individer som behöver sådan åtkomst för att utföra sin jobbfunktion. Integritet och konfidentialitet – One.com instruerar sin personal att inaktivera administrativa sessioner när de lämnar lokaler eller när datorer på annat sätt lämnas obevakade. – One.com lagrar lösenord på ett sätt som gör dem obegripliga medan de är i kraft. Autentisering – One.com använder branschstandardpraxis för att identifiera och autentisera användare som försöker komma åt informationssystem. – När autentiseringsmekanismer baseras på lösenord kräver databehandlaren att lösenorden förnyas regelbundet. – One.com säkerställer att avaktiverade eller utgångna identifierare inte beviljas andra personer. – One.com övervakar, eller gör det möjligt för kunder, att övervaka, upprepade försök att få tillgång till informationssystemet med ett ogiltigt lösenord. – One.com upprätthåller branschstandardprocedurer för att inaktivera lösenord som har skadats eller oavsiktligt avslöjats. – One.com använder branschstandard för lösenordsskydd, inklusive metoder som är utformade för att upprätthålla lösenordens konfidentialitet och integritet när de tilldelas och distribueras och under lagring. Nätverksdesign. One.com har kontroller för att undvika att individer antar åtkomsträttigheter som de inte har tilldelats för att få tillgång till kunddata som de inte har behörighet att komma åt.
Hantering av incidenthantering av informationssäkerhet	Incidentsvarsprocess – One.com upprätthåller ett register över säkerhetsöverträdelser med en beskrivning av överträdelsen, tidsperioden, konsekvenserna av överträdelsen, reporterns namn och till vilken överträdelsen rapporterades och förfarandet för att återställa data. – För varje säkerhetsöverträdelse som är en säkerhetsincident kommer anmälan från One.com att göras utan onödigt dröjsmål och under alla omständigheter inom 72 timmar. – One.com spårar, eller gör det möjligt för kunden att spåra, utlämnande av kunddata, inklusive vilka uppgifter som har lämnats ut, till vem och vid vilken tidpunkt.
Hantering av kontinuitet i verksamheten	– One.com upprätthåller beredskaps- och beredskapsplaner för de anläggningar där databehandlares informationssystem som behandlar kunddata finns. – One.com har redundant lagring och procedurer för återställning av data är utformade för att försöka rekonstruera kunddata i sitt ursprungliga eller senast replikerade tillstånd från innan det förlorades eller förstördes.

Bilaga 3

Förteckning över underbiträden

Masshostingprodukt

Leverantör	Plats	Funktion
Global Connect A/S	DK	Datacenter
Digital Realty Trust Inc.	DK	Datacenter (säkerhetskopiering)
One.com A/S*	DK	Systemövervakning
One.com India pvt. Ltd.*	IN	Systemövervakning

Unmanaged VPS

Leverantör	Plats	Funktion
Envia TEL GmbH	DE	Datacenter
Dogado GmbH*	DE	Systemövervakning

Managed VPS

Leverantör	Plats	Funktion
Global Connect A/S	DK	Datacenter
Digital Realty Trust Inc	DK	Datacenter (säkerhetskopiering)
WebPros International GmbH (Plesk)	CH (Schweiz)	Leverantör av kontrollpanel
One.com A/S*	DK	Systemövervakning
One.com India pvt. Ltd.*	IN	Systemövervakning
Acronis International GmbH	CH (Schweiz)	Leverantör av säkerhetskopiering

Hemsideprogram

Leverantör	Plats	Funktion
Global Connect A/S	DK	Datacenter
Digital Realty Trust Inc	DK	Datacenter (säkerhetskopiering)
Amazon Web Services Inc.	US/DE	Testfunktioner för Hemsideprogram (DE-kluster)
SiteWit corp. (Kliken)	US	Hemsideanalys
Termly Inc.*	US	Samtyckeshantering
Shore GmbH*	DE	Bokningar
Google Inc.	US	Captcha
One.com A/S*	DK	Systemövervakning
One.com India pvt. Ltd.*	IN	Systemövervakning

Premium Care

Leverantör	Plats	Funktion
Liven Studio Ltd. (WP Umbrella)	US	Övervakningsprogramvara för WordPress

WP.one

Leverantör	Plats	Funktion
Google Inc.	US/NL	Google Cloud (NL-kluster)

*Enheter markerade med * är en del av Group.one