Tillägg för

orderhantering Dessa bestämmelser för orderhantering utgör ett tillägg till de allmänna villkoren för Jungherz GmbH i egenskap av operatör för varumärket AppConfector (nedan kallad ”Uppdragstagaren”). Genom att klicka på den fasta länken till dessa villkor godkänner du som kund (nedan kallad ”Uppdragsgivaren”) automatiskt tillägget inom ramen för en affärsrelation. I händelse av motstridighet mellan dessa bestämmelser och de allmänna villkoren har dessa bestämmelser företräde för orderhantering.

Uppdragstagaren och kunden benämns hädanefter gemensamt ”parterna”.

Parterna är överens om att samtidigt som detta avtal om uppdragsbehandling träder i kraft, ska det befintliga avtalet om uppdragsbehandling mellan parterna enligt § 11 i den tyska federala dataskyddslagen samt eventuella andra avtal om uppdragsbehandling sägas upp i samförstånd och ersättas av detta nya avtal om uppdragsbehandling.

1. Allmänt

(1) Uppdragstagaren behandlar personuppgifter på uppdrag av Kunden i den mening som avses i artikel 4 nr 8 och artikel 28 i förordning (EU) 2016/679 – den allmänna dataskyddsförordningen (GDPR). Detta avtal reglerar parternas rättigheter och skyldigheter i samband med behandlingen av personuppgifter.

(2) I den mån termen ”databehandling” eller ”behandling” (av data) används i detta avtal ska definitionen av ”behandling” i den mening som avses i artikel 4 nr 2 i GDPR gälla.

(3) Alla hänvisningar i detta avtal till GDPR (Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (den allmänna dataskyddsförordningen)) avser GDPR i dess nuvarande lydelse.

2. Uppdragets föremål

Föremålet för behandlingen, typen och syftet med behandlingen, typen av personuppgifter och kategorierna av registrerade anges i bilaga 1 till detta avtal.

3. Kundens rättigheter och skyldigheter

(1) Kunden är den registeransvarige i den mening som avses i artikel 4.7 i GDPR för behandlingen av uppgifter på uppdrag av personuppgiftsbiträden. I enlighet med artikel 4.5 i detta avtal har den senare rätt att informera kunden om uppdraget och/eller en instruktion avser en behandling som enligt dennes uppfattning är rättsligt otillåten.

(2) Kunden ansvarar för skyddet av de berörda personernas rättigheter. Behandlaren ska utan dröjsmål informera kunden om de registrerade gör gällande sina rättigheter gentemot behandlaren.

(3) Kunden har rätt att när som helst ge ytterligare instruktioner till behandlaren angående typ, omfattning och förfarande för databehandlingen. Instruktioner kan ges i textform (t.ex. e-post).

(4) Bestämmelser om eventuell ersättning för extra kostnader som uppkommer för uppdragstagaren till följd av kompletterande instruktioner från kunden påverkas inte.

5. Uppdragsgivaren ska utan dröjsmål informera uppdragstagaren om denne upptäcker fel eller oegentligheter i samband med uppdragstagarens behandling av personuppgifter.

(6) Om det föreligger en skyldighet att informera tredje part i enlighet med artiklarna 33 och 34 i GDPR eller någon annan lagstadgad anmälningsskyldighet som gäller för kunden, är kunden ansvarig för att denna skyldighet uppfylls.

4. Allmänna skyldigheter för uppdragstagaren

(1) Behandlaren behandlar personuppgifter uteslutande inom ramen för de ingångna avtalen och/eller i enlighet med eventuella kompletterande instruktioner från kunden. Undantagna från detta är rättsliga bestämmelser som kan ålägga behandlaren att behandla uppgifterna på annat sätt. I ett sådant fall ska behandlaren underrätta uppdragsgivaren om dessa rättsliga krav före behandlingen, såvida inte den aktuella lagen förbjuder sådan underrättelse av ett viktigt allmänintresse. Syftet, arten och omfattningen av databehandlingen ska i övrigt regleras enbart av detta avtal och/eller uppdragsgivarens instruktioner. All databehandling som avviker från detta är förbjuden för den personuppgiftsansvarige, så

vida inte

den personuppgiftsansvarige har gett sitt skriftliga samtycke.

(2) Den personuppgiftsansvarige åtar sig att utföra databehandlingen på uppdrag av kunden endast inom Europeiska ekonomiska samarbetsområdet, såvida inte annat krävs av tekniska skäl.

(3) När det gäller behandling av personuppgifter i enlighet med uppdraget garanterar uppdragstagaren att alla överenskomna åtgärder genomförs enligt avtalet.

(4) Uppdragstagaren är skyldig att utforma sin verksamhet och sina arbetsrutiner på ett sådant sätt att de uppgifter som uppdragstagaren behandlar på kundens vägnar säkras i den utsträckning som är nödvändig i varje enskilt fall och skyddas mot obehörig åtkomst av tredje part. Denna ska i förväg komma överens med kunden om ändringar i organisationen av databehandlingen på uppdrag av kunden som är väsentliga för datasäkerheten.

(5) Uppdragstagaren ska utan dröjsmål informera kunden om han anser att en instruktion från kunden strider mot lagstadgade bestämmelser. Behandlaren har rätt att avbryta utförandet av den aktuella instruktionen tills den bekräftas eller ändras av uppdragsgivaren. Om behandlaren kan påvisa att behandling i enlighet med kundens instruktioner kan leda till ansvar för behandlaren enligt artikel 82 i GDPR, har behandlaren rätt att avbryta vidare behandling i detta avseende tills ansvaret mellan parterna har klargjorts.

(6) Behandling av uppgifter

på uppdrag av

kunden utanför den personuppgiftsbehandlares eller underleverantörens affärslokaler är endast tillåten med kundens skriftliga eller textbaserade samtycke. Behandling av uppgifter för kunden i privata hem är endast tillåten med kundens skriftliga eller textbaserade samtycke i enskilda fall.

(7) Den personuppgiftsbehandlaren ska behandla de uppgifter som den behandlar på uppdrag av kunden separat från andra uppgifter. En fysisk åtskillnad är inte obligatorisk.

5.

Dataskyddsombud

hos uppdragstagaren

(1) Uppdragstagaren bekräftar att denne har utsett ett dataskyddsombud i enlighet med artikel 37 i GDPR. Uppdragstagaren ska säkerställa att dataskyddsombudet har nödvändiga kvalifikationer och expertis. Uppdragstagaren ska separat i textform informera kunden om namnet på och kontaktuppgifterna till sitt dataskyddsombud.

(2) Skyldigheten att utse en dataskyddsombud enligt punkt 1 kan efter uppdragsgivarens gottfinnande undantas om uppdragstagaren kan bevisa att denne inte är juridiskt skyldig att utse en dataskyddsombud och uppdragstagaren kan bevisa att det finns operativa arrangemang som säkerställer att personuppgifter behandlas i enlighet med lagbestämmelserna, bestämmelserna i detta avtal och eventuella ytterligare instruktioner från uppdragsgivaren.

6. Uppdragstagarens rapporteringsskyldigheter

(1) Behandlaren är skyldig att utan dröjsmål underrätta kunden om varje överträdelse av dataskyddsbestämmelser eller av de ingångna avtalsvillkoren och/eller de instruktioner som givits av kunden, som har inträffat i samband med behandlingen av uppgifter av denne eller av andra personer som är involverade i behandlingen. Detsamma gäller varje överträdelse av skyddet av personuppgifter som behandlas av behandlaren på uppdrag av kunden.

(2) Vidare ska uppdragstagaren utan dröjsmål informera kunden om en tillsynsmyndighet enligt artikel 58 i GDPR vidtar åtgärder mot uppdragstagaren och detta även kan avse en kontroll av den behandling som uppdragstagaren utför på kundens vägnar.

(3) Behandlaren är medveten om att kunden kan vara skyldig att anmäla enligt artiklarna 33 och 34 i GDPR, vilket innebär att en anmälan till tillsynsmyndigheten ska göras inom 72 timmar efter upptäckten. Personuppgiftsbiträdet ska stödja kunden i fullgörandet av anmälningsskyldigheterna. Personuppgiftsbiträdet ska i synnerhet utan dröjsmål, men senast inom 48 timmar efter att ha fått kännedom om sådan åtkomst, underrätta kunden om varje obehörig åtkomst till personuppgifter som behandlas på kundens vägnar. Personuppgiftsbiträdets anmälan till kunden måste i synnerhet innehålla följande information:

  • en beskrivning av arten av personuppgiftsincidenten, om möjligt med angivande av kategorier och ungefärligt antal berörda personer, berörda kategorier och ungefärligt antal berörda personuppgiftsposter;
  • en beskrivning av de åtgärder som den personuppgiftsbiträdande har vidtagit eller föreslagit för att åtgärda överträdelsen av personuppgiftsskyddet och, i förekommande fall, åtgärder för att mildra dess eventuella negativa effekter.

7. Behandlarens skyldigheter att samarbeta

(1) Den anlitade behandlaren ska stödja kunden i dennes skyldighet att besvara ansökningar om utövande av den registrerades rättigheter i enlighet med artiklarna 12–23 i GDPR. Bestämmelserna i avsnitt 11 i detta avtal ska tillämpas.

(2) Behandlaren ska delta i upprättandet av förteckningarna över behandlingsverksamheter som utförs av den uppdragsgivande enheten. Behandlaren ska på lämpligt sätt förse kunden med nödvändig information.

(3) Med beaktande av typen av behandling och den information som står till hans förfogande ska behandlaren bistå kunden i uppfyllandet av de skyldigheter som anges i artiklarna 32–36 i dataskyddsförordningen.

(4) Behandlaren har rätt att kräva en lämplig kostnadsbaserad ersättning från kunden för dessa tjänster.

8. Kontrollbefogenheter

(1) Kunden har rätt att när som helst i nödvändig utsträckning kontrollera att uppdragstagaren följer de lagstadgade bestämmelserna om dataskydd och/eller att de avtalsbestämmelser som parterna har kommit överens om och/eller att uppdragstagaren följer kundens instruktioner.

Bevis på att de skyldigheter som åligger en uppdragstagare enligt GDPR uppfylls ska i första hand tillhandahållas genom oberoende testrapporter och certifiering.

Om kunden, på grundval av faktiska bevis, har rimliga tvivel om att testrapporterna eller certifieringarna är otillräckliga eller felaktiga, eller om särskilda händelser i den mening som avses i artikel 33.1 i GDPR i samband med utförandet av kundens uppdrag motiverar detta, får kunden utföra inspektioner i enlighet med punkt 8. (2).

(2) För att kunden ska kunna genomföra en inspektion av uppdraget och i synnerhet kontrollera de tekniska och organisatoriska åtgärder som vidtagits hos den anlitade personuppgiftsbiträdet före påbörjandet av och regelbundet under databehandlingen, ska den anlitade personuppgiftsbiträdet tillåta inspektion av en neutral tredje part (auktoriserad revisor) som anlitats av kunden. Den anlitade personuppgiftsbiträdet har rätt att fastställa datum för en inspektion i enlighet med de operativa möjligheterna. Inspektionen ska möjliggöras inom en rimlig tidsperiod efter begäran. Alternativt kan den

anlitade databehandlaren

också tillmötesgå kundens rätt till granskning genom att tillhandahålla en granskningsrapport som upprättats av en oberoende, auktoriserad revisor på den anlitade databehandlarens vägnar. Utövandet av rätten till granskning får inte på ett otillbörligt sätt störa den anlitade databehandlarens affärsverksamhet eller vara missbrukande.

(3) Den anlitade databehandlaren har rätt att kräva skälig ersättning från kunden för granskningar i den mening som avses i punkt 8. (2).

9. Andel underleverantörer

(1) Anlita underleverantörer är endast tillåtet med kundens skriftliga samtycke. Uppdragstagaren ska i bilaga 2 till detta avtal specificera alla underleverantörsrelationer som redan existerar vid avtalets ingående.

(2) Uppdragstagaren ska noggrant välja underleverantör och före uppdragets tilldelning kontrollera att underleverantören kan uppfylla de överenskommelser som träffats mellan kunden och uppdragstagaren. I synnerhet ska underleverantören i förväg och regelbundet under avtalets giltighetstid kontrollera att underleverantören har vidtagit de tekniska och organisatoriska åtgärder som krävs enligt artikel 32 i GDPR för skydd av personuppgifter. Resultatet av kontrollen ska dokumenteras av underleverantören och på begäran ställas till kundens förfogande.

(3) Behandlaren är skyldig att inhämta en bekräftelse från underleverantören om att denne har utsett ett dataskyddsombud i enlighet med artikel 37 i GDPR. Om underleverantören inte har utsett något dataskyddsombud ska behandlaren informera kunden om detta och tillhandahålla information som visar att underleverantören inte är juridiskt skyldig att utse ett dataskyddsombud.

(4) Behandlaren ska säkerställa att de bestämmelser som överenskommits i detta avtal och eventuella kompletterande instruktioner från kunden även gäller för underleverantören.

(5) Behandlaren ska ingå ett avtal med underleverantören som uppfyller kraven i artikel 28 i GDPR. Dessutom ska behandlaren ålägga underleverantören samma skyldigheter avseende skydd av personuppgifter som de som fastställts mellan huvudmannen och behandlaren.

(6) I synnerhet ska den part som behandlar uppdraget genom avtalsbestämmelser säkerställa att kundens och tillsynsmyndigheternas kontrollbefogenheter (punkt 8 i detta avtal) även gäller underleverantören och att motsvarande kontrollrättigheter överenskommits av kunden och tillsynsmyndigheterna. Vidare ska det avtalsenligt överenskommas att underleverantören ska tolerera dessa kontrollåtgärder och eventuella inspektioner på plats.

(7) Underleverantörsförhållanden i den mening som avses i punkterna 1–6 ska inte anses vara tjänster som den personuppgiftsansvarige erhåller från tredje part som en rent underordnad tjänst för att bedriva sin affärsverksamhet. Sådana tjänster omfattar till exempel städtjänster, rena telekommunikationstjänster utan någon specifik hänvisning till tjänster som den personuppgiftsansvarige tillhandahåller för huvudmannen, post- och budtjänster, transporttjänster samt säkerhetstjänster. Den personuppgiftsbehandlande är dock skyldig att säkerställa, även när det gäller kompletterande tjänster som tillhandahålls av tredje part, att lämpliga försiktighetsåtgärder samt tekniska och organisatoriska åtgärder har vidtagits för att säkerställa skyddet av personuppgifter. Underhåll och service av IT-system eller applikationer utgör ett underleverantörsförhållande och orderbehandling i den mening som avses i artikel 28 i GDPR, vilket kräver godkännande om underhållet och testningen avser sådana IT-system som även används i samband med tillhandahållandet av tjänster för uppdragsgivaren och om personuppgifter som behandlas på

uppdrag av

uppdragsgivaren kan nås under underhållet.

10. Sekretessplikt

(1) Vid behandling av uppgifter på uppdrag av uppdragsgivaren är uppdragstagaren skyldig att iaktta sekretess avseende uppgifter som denne erhåller eller får kännedom om i samband med uppdraget.

Uppdragstagaren

förbinder sig att iaktta samma regler för sekretess som gäller för uppdragsgivaren.

Uppdragsgivaren

är skyldig att informera uppdragstagaren om eventuella särskilda regler

för

sekretess.

(2) Uppdragstagaren försäkrar att han känner till de tillämpliga dataskyddsbestämmelserna och att han är förtrogen med deras tillämpning. Uppdragstagaren garanterar vidare att han har informerat sina anställda om de dataskyddsbestämmelser som gäller för dem och har ålagt dem att iaktta sekretess. Uppdragstagaren garanterar vidare att han särskilt har ålagt sina anställda som är involverade i utförandet av arbetet att iaktta sekretess och har informerat dem om uppdragsgivarens instruktioner.

(3) De anställdas skyldighet enligt punkt 2 måste på begäran styrkas för uppdragsgivaren.

11. Skydd av de berördas rättigheter

(1) Kunden är ensam ansvarig för att skydda de berörda personernas rättigheter. Behandlaren är skyldig att stödja kunden i dennes skyldighet att behandla ansökningar från registrerade i enlighet med art. 12–23 i GDPR. I synnerhet ska behandlaren säkerställa att den information som krävs i detta avseende tillhandahålls kunden utan dröjsmål, så att kunden kan fullgöra sina skyldigheter enligt art. 12.3 i GDPR.

(2) I den mån det är nödvändigt att den anlitade personuppgiftsbiträdet samarbetar för att uppdragsgivaren ska kunna skydda de registrerades rättigheter – särskilt rätten till information, rättelse, spärrning eller radering – ska det anlitade personuppgiftsbiträdet vidta de åtgärder som krävs i enlighet med uppdragsgivarens instruktioner. Om möjligt ska personuppgiftsbiträdet stödja uppdragsgivaren med lämpliga tekniska och organisatoriska åtgärder för att denne ska kunna fullgöra sin skyldighet att besvara begäranden om utövande av de registrerades rättigheter. Den

anlitade

databehandlaren har rätt att kräva skälig ersättning från kunden för dessa tjänster.

(3) Detta påverkar inte eventuella bestämmelser om eventuell ersättning för ytterligare kostnader som den anlitade databehandlaren ådrar sig till följd av samarbetstjänster i samband med utövandet av de registrerades rättigheter gentemot kunden.

12. Sekretessförpliktelser

(1) Båda parter förbinder sig att behandla all information som erhålls i samband med fullgörandet av detta avtal som konfidentiell under obegränsad tid och att endast använda den för fullgörandet av avtalet. Ingen av parterna har rätt att använda denna information, helt eller delvis, för andra ändamål än de just nämnda eller att göra denna information tillgänglig för tredje part.

(2) Ovanstående skyldighet gäller inte information som en av parterna bevisligen har erhållit från tredje part utan att vara skyldig att iaktta sekretess eller som är allmänt känd.

13. Bearbetning

Uppdragstagaren ska inte erhålla någon separat ersättning för detta avtal.

14. Tekniska och organisatoriska åtgärder för datasäkerhet

(1) Uppdragstagaren förbinder sig gentemot kunden att vidta de tekniska och organisatoriska åtgärder som krävs för att uppfylla gällande dataskyddsbestämmelser. Detta omfattar särskilt kraven i artikel 32 i GDPR.

(2) Statusen för de tekniska och organisatoriska åtgärder som gällde vid avtalets ingående bifogas detta avtal som bilaga 3. Parterna är överens om att ändringar av de tekniska och organisatoriska åtgärderna kan bli nödvändiga för att anpassa sig till tekniska och rättsliga förhållanden. Väsentliga ändringar som kan påverka integriteten, konfidentialiteten eller tillgängligheten av personuppgifter ska i förväg avtalas mellan uppdragstagaren och kunden. Åtgärder som endast innebär mindre tekniska eller organisatoriska förändringar och som inte påverkar integriteten, konfidentialiteten och tillgängligheten av personuppgifterna negativt får genomföras av personuppgiftsbiträdet utan att kunden konsulteras. Kunden kan när som helst begära en uppdaterad version av de tekniska och

organisatoriska

åtgärder

som vidtagits av

personuppgiftsbiträdet.

(3) Uppdragstagaren ska regelbundet och även vid behov kontrollera effektiviteten hos de tekniska och organisatoriska åtgärder som han har vidtagit. Om det finns behov av optimering och/eller ändring ska den anlitade databehandlaren informera kunden.

15. Uppdragets varaktighet

(1) Avtalet träder i kraft vid uppdragets tilldelning och ingås på obestämd tid.

(2) Avtalet upphör vid uppsägning av huvudavtalet (ett app-paket eller någon tjänst) utan att någon separat uppsägning krävs.

Eventuella skyldigheter avseende radering och återlämnande efter uppsägning av detta avtal regleras i punkt 16.

(3) Uppdragsgivaren får säga upp avtalet när som helst utan uppsägningstid om det föreligger ett allvarligt brott mot de dataskyddsbestämmelser som gäller för uppdragstagaren eller mot skyldigheter enligt detta avtal, om uppdragstagaren inte kan eller vill utföra en instruktion från uppdragsgivaren eller om uppdragstagaren vägrar tillträde för uppdragsgivaren eller den behöriga tillsynsmyndigheten i strid med avtalet.

16. Uppsägning

(1) Efter avtalets upphörande ska den anlitade personuppgiftsbiträdet, efter kundens val, återlämna till kunden eller radera alla dokument, uppgifter och skapade bearbetnings- eller användningsresultat som kommit i hans besittning i samband med avtalsförhållandet. Raderingen ska dokumenteras på lämpligt sätt. Eventuella lagstadgade bevarandeförpliktelser eller andra skyldigheter att lagra uppgifterna påverkas inte. När det gäller datamedier måste dessa förstöras vid en radering som begärs av kunden, varvid minst säkerhetsnivå 3 enligt DIN 66399 måste uppfyllas; kunden måste lämna bevis på förstörelsen med hänvisning till säkerhetsnivån enligt DIN 66399.

(2) Kunden har rätt att kontrollera att uppgifterna återlämnas och raderas fullständigt och i enlighet med avtalet hos den uppdragsmottagande databehandlaren. Detta kan även ske genom inspektion av databehandlingsutrustningen hos uppdragstagaren. Inspektionen på plats ska anmälas av kunden med rimligt varsel.

17. Retentionsrätt

Parterna är överens om att uppdragstagarens invändning om retentionsrätt enligt § 273 BGB (tysk civilrätt) avseende de behandlade uppgifterna och tillhörande datamedier är utesluten.

18. Slutbestämmelser

(1) Om kundens egendom hotas i uppdragstagarens lokaler genom åtgärder från tredje part (t.ex. beslag eller konfiskering), genom insolvensförfaranden eller genom andra händelser, ska uppdragstagaren utan dröjsmål informera kunden. Uppdragstagaren ska utan dröjsmål informera fordringsägarna om att uppgifterna behandlas inom ramen för uppdraget.

(2) Särskilda avtal kräver skriftlig form.

(3) Om enskilda delar av detta avtal är ogiltiga, påverkar detta inte giltigheten av avtalets övriga bestämmelser.

Bilaga 1 – Uppdragets föremål

1. Föremål och syfte med behandlingen

Kundens uppdrag till uppdragstagaren omfattar följande arbete och/eller tjänster: Tillhandahållande av mobilapplikationer (beskrivs närmare i respektive gällande tjänstebeskrivning), samt webbsidor med liknande innehåll. Detta inkluderar insamling, behandling och vidarebefordran av registrerade uppgifter.

2. Typ(er) av personuppgifter

Följande typer av uppgifter behandlas regelbundet: Trafikuppgifter, innehållsuppgifter, kontaktuppgifter, personliga stamuppgifter och kommunikationsuppgifter (namn, adress, telefonnummer, faxnummer, e-postadress).

3. Krets av berörda personer

Krets av personer som berörs av databehandlingen: Användare av ditt konto, uppringande och uppringda deltagare eller avsändare/mottagare av SMS/fax, anställda, kunder, affärspartners, intressenter och tjänsteleverantörer till kunden.

Om kunden är en partner till den som utför behandlingen: Kontakt-, person- och kommunikationsuppgifter (namn, adress, telefonnummer, faxnummer, e-postadress) för de entreprenörer/företag som hänvisats av den partner som har lagt ordern.

Kunden är skyldig att informera användarna av kontot och – vid behov – företagsrådet eller motsvarande företrädare om behandlingen av de uppgifter som nämns i punkt 2.

4. Plats för databehandling:

All data behandlas på servrar inom Europeiska ekonomiska samarbetsområdet.

Bilaga 2 – Underleverantör

För behandling av uppgifter på uppdrag av huvudmannen använder den personuppgiftsansvarige tjänster från tredje part som behandlar uppgifter på hans vägnar (”underleverantörer”).

Den personuppgiftsansvarige använder olika underleverantörer för att tillhandahålla sina tjänster

. Dessa underleverantörer är inledningsvis följande företag som tillhör den personuppgiftsansvarige och utför förarbete för genomförandet av den personuppgiftsansvariges tjänster. De nödvändiga avtalsmässiga överenskommelserna för behandling av dessa uppgifter finns på plats mellan företagen.

Dessa är följande företag:

Jungherz LLC, 1621 Central Ave, Cheyenne, WY 82001

Mailjet GmbH, c/o Mindspace, Friedrichstraße 68, 10117 Berlin,

netcup GmbH, Daimlerstraße 25, D-76185 Karlsruhe

OVH Groupe SAS, 2 Rue Kellermann Roubaix, 59100 Frankrike

Digistore24 GmbH, St.-Godehard-Str. 32, 31139 Hildesheim

CopeCart GmbH, Ufnaustrasse 10, 10553 Berlin

Stripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Dublin, D02 H210, Irland

Bilaga 3 – Tekniska och organisatoriska åtgärder hos uppdragstagaren

Uppdragstagaren ska vidta följande tekniska och organisatoriska åtgärder för datasäkerhet i enlighet med artikel 32 i GDPR.

1. Sekretess

Åtkomstkontroll

För att förhindra obehörig åtkomst till de databehandlingssystem med vilka data behandlas eller används har uppdragstagaren och dess underleverantörer, såsom Netcup och Google Cloud Division, implementerat omfattande formella åtkomstkontrollprocesser.

De anläggningar som används rymmer serverrum och ett rum för serverteknik. För åtkomst utfärdas elektroniska nycklar till utvalda anställda hos underleverantören. Nycklarna ger endast den respektive underleverantörens anställda behörighet att öppna/stänga enskilda dörrar som har godkänts för detta ändamål. Alla öppnings- och stängningsåtgärder med en nyckel loggas elektroniskt tillsammans med nyckelns unika ID. Endast anställda hos underleverantören som är direkt bemyndigade av ledningen ansvarar för hanteringen av nycklarna.

Serverrummet är alltid låst och får endast beträdas av utvalda anställda hos underleverantören.

Inom byggnaden på respektive plats är underleverantörens anställdas åtkomsträttigheter – även för dem som har en nyckel – begränsade till vad som är nödvändigt för den specifika uppgift som ska utföras.

Under kontorstid sker en kontroll av personer som kommer in i byggnaden vid den permanent bemannade receptionen. Utanför kontorstid är alla ingångar till byggnaden låsta och larmskyddade. Byggnaden skyddas dessutom av en säkerhetstjänst. Alla larm från larmsystemet rapporteras direkt till en säkerhetstjänst.

Standardiserade säkerhetsåtgärder tillämpas i alla datacenter. Dessa motsvarar den senaste tekniken och branschens bästa praxis. Dessa inkluderar elektroniska passersystem med loggning, där endast behöriga personer tillåts komma in i byggnaden, larmsystem, videoövervakning inomhus/utomhus, säkerhetspersonal dygnet runt, larmsystem, säkring av byggnaden med taggtråd samt skydd av externa säkerhetsföretag som automatiskt informeras via en dedikerad larmlinje vid larm.

Nycklarna till de enskilda rummen och burarna i datacentret måste alltid hämtas hos säkerhetspersonalen.

Åtkomstkontroll

För att säkerställa att de som är behöriga att använda ett system för databehandling endast kan få tillgång till de uppgifter som omfattas av deras åtkomstbehörighet och att lagrade eller bearbetade uppgifter inte kan läsas, kopieras, ändras eller tas bort av obehöriga personer, använder uppdragstagaren ett centralt system för hantering av åtkomstbehörigheter. Alla åtkomsthändelser lagras lokalt och på den centrala loggservern. Administratörsrättigheter kan endast utövas via ett centralt administrationsprogram.

Åtkomsten till alla uppgifter är begränsad till den omfattning som är nödvändig för att alla behöriga personer ska kunna utföra sina specifika uppgifter. De rättsliga dataskyddskraven, särskilt kraven i den allmänna dataskyddsförordningen (GDPR) och TKG, iakttas.

Separation

Behandlaren behandlar uppgifterna på serversystem som är logiskt separerade genom ett system av logiska och fysiska åtkomstkontroller i nätverket.

2. Integritet

Inmatningskontroll

För att säkerställa att orderbehandlaren i efterhand kan kontrollera och fastställa om och av vem uppgifter har matats in, ändrats eller tagits bort i databehandlingssystemen, loggas alla åtkomsthändelser till kundens lagrade uppgifter lokalt och på den centrala loggservern.

Kontroll av vidarebefordran

För att säkerställa att data inte kan läsas, kopieras, ändras eller tas bort av obehöriga personer under elektronisk överföring, transport eller lagring, och att det är möjligt att verifiera vart data är avsedda att överföras av dataöverföringssystem, är åtkomst till alla system som behandlar kunddata föremål för effektiva åtkomstkontroller. Dessa åtkomstkontrollmekanismer beskrivs redan mer detaljerat ovan under 3.

3. Tillgänglighet och motståndskraft

Personuppgiftsbiträdet använder en kombination av redundanta system och säkerhetskopieringslösningar i alla system för att skydda de lagrade uppgifterna och kunna återställa dem vid behov. Dessa system drivs uteslutande i lokaler som är säkrade och utrustade enligt den senaste tekniken, som har nödvändiga luftkonditionerings-, brand- och röklarmsystem och för vilka det finns detaljerade beredskapsplaner.

4. Rutiner för regelbunden granskning, bedömning och utvärdering

Alla våra egna anställda och underleverantörens anställda utbildas regelbundet i dataskyddsfrågor. Dessa utbildningar genomförs helt internt, så att en exakt anpassning till de frågor som är relevanta för orderbehandlaren är möjlig. Enskilda frågor behandlas också i detalj under dessa utbildningar.

Alla anställda hos uppdragstagaren som i sitt arbete kommer i kontakt med behandling av personuppgifter är skyldiga att behandla personuppgifter konfidentiellt. Detta sker regelbundet vid anställning av nya medarbetare genom en avtalsenlig förpliktelseförklaring som varje anställd måste avge.

Uppdragstagaren har utsett ett dataskyddsombud. Tillsammans med sina ställföreträdare ska dataskyddsombudet säkerställa att förfrågningar från registrerade besvaras i god tid.

Behandlaren ska föra ett register över behandlingsverksamheter i den mening som avses

i

artikel 30.1 och 30.2 i GDPR. Denna förteckning över behandlingsverksamheter är inte offentlig.

(per den 16 februari 2022)