Mash Integritetspolicy - Handlare

Privacy
1. DEFINITIONER

Med ”Behandling” avses vilken som helst åtgärd av Partnern, en part till denne, eller av underleverantörer som används för att behandla personuppgifter, såsom insamlande av information, lagring, sammanföring, ordnande, ändring, beräkning, analys, användning, som genomförs genom överlåtelse, distribution, tömning och radering. Vid behov kan instruktioner och praxis för behandling överenskommas i en separat bilaga.

Med ”Personuppgiftsansvarig” avses den fysiska eller juridiska person som definierar ändamålet och medlen för behandlingen av personuppgifter.

Med ”Personuppgiftsbiträde” avses den enhet som hanterar personuppgifter på uppdrag av den personuppgiftsansvarige.

Med ”Personuppgiftslagstiftning” avses EUs Dataskyddsförordning 2016/679, annan unionsrätt avseende behandling av personuppgifter, kompletterande svensk dataskyddslagstiftning samt Tillsynsmyndighetens vid var tid gällande beslut, råd och rekommendationer.

Med ”Personuppgifter” avses sådana personuppgifter som Biträdet behandlar för Personuppgiftsansvarigs räkning i enlighet med denna bilaga. Personuppgifter är sådana uppgifter som utgör personuppgifter enligt vid var tid gällande personuppgiftslagstiftning.

Med ”Personuppgiftsincident” avses en säkerhetsöverträdelse som leder till ofrivillig eller olaglig förstörelse, förlust, förändring, otillåtet avslöjande eller användning av överlåtna, lagrade eller på annat sätt behandlade personuppgifter.

Med ”Registrerad” avses den fysiska person som en Personuppgift avser.

Med ”Standardklausuler” avses Europeiska kommissionens beslut 2010/87/EU av den 5 februari 2010 gällande standardklausuler som utarbetats i enlighet med EU-direktiv och de ändringar och tillägg som gjorts av Europeiska kommissionen om överlåtelse av ikraftvarande personuppgifter till personuppgiftsansvariga etablerade i tredjeländer.

Med ”Tjänster” avses de tjänster som Partnern i enlighet med Avtalet tillhandahåller Mash.

Med ”Tekniska och organisatoriska skyddsåtgärder” avses de åtgärder, vars uppgift är att skydda personuppgifter mot oavsiktlig eller olaglig förstörelse eller oavsiktlig förlust, ändring, otillåtet avslöjande eller användning, i synnerhet då processen innebär överföring av information via nätet, och samtliga andra otillåtna former av behandling.

Med ”Tillsynsmyndigheten” betyder den eller de myndigheter som utövar tillsyn avseende behandling av personuppgifter under Personuppgiftslagstiftningen. Vid tidpunkten för ingående av denna bilaga är Datainspektionen den myndighet som utövar sådan tillsyn i Sverige.

Med ”Tredje part” avses en annan fysisk eller juridisk person, inklusive den registrerade, officiell myndighet, institution eller annat organ som inte är den personuppgiftsansvarige eller personuppgiftsbiträde.

2. BEHANDLING AV PERSONUPPGIFTER

1.1. Parternas roller

Parterna förstår och accepterar att Mash är Personuppgiftsansvarig och Partnern Personuppgiftsbiträde i samband med Behandling av Personuppgifter i enlighet med denna Dataskyddsbilaga och i enlighet med den uppdelningen som framgår av punkten 5 i Avtalet.

1.2. Behandling av personuppgifter

Partnern förbinder sig att följa föreskrifterna i all Personuppgiftslagstiftning. Partnern måste också följa (och försäkra sig om att dess eventuella underleverantör följer) av Mash eller Tillsynsmyndigheten tillhandahållna skriftliga instruktioner gällande till exempel Behandlingen och skyddet och integriteten kring Personuppgifter. Partnern har inte rätt att kräva tilläggsavgifter för efterlevandet av dessa instruktioner i den mån instruktionerna är nödvändiga för att Mash eller Partnern ska uppfylla sina lagstadgade skyldigheter. Om Mash så önskar ska Partnern bistå Mash med konsekvensanalyser samt att konsultera Tillsynsmyndigheten innan någon Behandlingen av Personuppgifter sker om konsekvensanalysen visar på en hög risknivå.

Om annat inte följer av tvingande lagstiftning har Partnern inte rätt att använda eller Behandla Personuppgifter i något som helst annat syfte än det som bestämts eller instruerats av Mash. Partnern ska se till att Personuppgifterna hålls konfidentiella och erhåller inga rättigheter till Personuppgifterna. Partnern får inte under Avtalets giltighetstid eller därefter avslöja eller överlåta Personuppgifter eller möjliggöra åtkomst till dem eller dess användning till tredje part utan Mash skriftliga samtycke. För undvikande av missförstånd får dock Partnern överlåta Personuppgifter till av Mash på förhand skriftligt godkända underleverantörer i enlighet med Dataskyddsbilagans förpliktelser. Partnern får inte avslöja information som härrör från Personuppgifter eller använda sig av dem för egna ändamål.

1.3. Användning av underleverantörer

Partnern har inte rätt att använda sig av underleverantörer utan Mash föregående skriftliga samtycke. Om Mash har godkänt Partnerns användning av underleverantör eller underleverantörer för Behandling av Personuppgifter ska a) uppdraget i fråga överenskommas skriftligen mellan Partnern och underleverantören och b) underleverantören i underleverantörsavtalet följa minst samma nivå av förpliktelser som Partnern i enlighet med denna Dataskyddsbilaga och Avtal och gällande Personuppgiftslagstiftning. Partnern är fullt ut ansvarig gentemot Mash för underleverantörer.

1.4. Radering av uppgifter då Avtalet upphävs

Då Avtalet upphävs eller leveransen av Tjänsterna avslutas ska Partnern omedelbart återlämna alla Personuppgifter till Mash, och därefter radera Personuppgifterna från Partnerns datorutrustning använd för Behandling av Personuppgifter (inklusive lagringsmedia), programvara och databaser samt förse Mash med en skriftlig bekräftelse på att dessa åtgärder har genomförts. Partnern ska därtill försäkra sig om att dess underleverantörer utför motsvarande åtgärder.

1.5. Avslöjande av uppgifter

Partnern ska omgående informera Mash om eventuell myndighetsbegäran gällande Personuppgifter som den behandlar på uppdrag av Mash, förutsatt att inte tvingande lagstiftning förhindrar sådan anmälan. Partnern ska inte svara på sådana förfrågningar utan Mash föregående skriftliga samtycke.

3. ÖVERLÅTELSE AV PERSONUPPGIFTER

Partnern får inte överlåta eller Behandla (och ska se till att inte heller dess underleverantörer överlåter eller Behandlar) Personuppgifter utanför EES utan Mash föregående skriftliga samtycke. Om Mash ger sitt samtycke till överlåtelse av Personuppgifter utanför EES-länderna ska Partnern försäkra sig om att de förpliktelser som gällande Personuppgiftslagstiftning föreskriver för Behandling av Personuppgifter utanför EES-länderna respekteras.

Då lagarna så kräver ska Partnern använda sig av korrekta Standardklausuler och säkerställa att dess underleverantörer gör detsamma. Standardklausulernas oförändrade versioner ska anses ingå i denna Dataskyddsbilaga, och kommer att tillämpas, om Partnern eller dess underleverantör antingen a) inom det Europeiska ekonomiska Avtalsområdet använder sig av Personuppgifter på distans från ett land som inte tillhör EES eller b) överlåter Personuppgifter eller använder Personuppgifter från andra än EES-länder.

4. DATASÄKERHET OCH SKYDDSÅTGÄRDER

Partnern ska upprätta och kontinuerligt upprätthålla tillräckliga, lämpliga organisatoriska, operativa, administrativa, fysiska och tekniska åtgärder för att skydda Personuppgifter och Mash eventuella andra uppgifter från oavsiktlig, otillåten eller olaglig förstörelse, förlust, ändring, publicering, distribution eller användning på ett sådant sätt att all Behandling sker i enlighet med Lagarna och Mash skriftliga instruktioner, speciellt vad gäller överföring av Personuppgifter via nätet. Partnern ska garantera en säkerhetsnivå som är i enlighet med riskerna förknippade med Behandlingen av uppgifterna och deras karaktär, med hänsyn till aktualiteten hos åtgärderna och dess kostnader.

De tekniska skyddsåtgärderna ska inkludera alla de tekniska skyddsmetoder som Partnern har definierat och som baseras på ISO/IEC 27000-seriens rekommendationer eller motsvarande, såsom SSAE-16(2). Partnern ska begränsa åtkomsten till Personuppgifter till auktoriserade och sakenligt utbildade personer, med ett klart definierat behov av användningen av Personuppgifter och som är bundna av lämplig sekretess. Partnern ska också tekniskt och organisatoriskt säkerställa, att Personuppgifter inte Behandlas för andra syften (till exempel till förmån för Partnerns andra kunder) och att Personuppgifterna Behandlas separat från Partnerns andra kunders och egna kunders uppgifter.

Partnern försäkrar att den vid tillhandahållandet av Tjänster i enlighet med Avtalet följer alla säkerhetsföreskrifter för att förhindra förlust och ändring av Personuppgifter, obehörig användning av Mash IT-system, åtkomst för virus till Mash-system och IT-system samt olovligt utlämnande och felaktig användning av Mash konfidentiella information.

5. REVISION OCH KONTROLLER

Under avtalstiden har Mash rätt att begära eller utföra halvårskontroller från Partnern i form av säkerhetsdokumentation och/eller en egen skriftlig utvärdering av Partnerns efterlevnad av denna Dataskyddsbilaga, Avtalet samt Personuppgiftslagstiftning.

Dessutom har Mash (eller oberoende tredje part på dess uppdrag) rätt att kontrollera Partnerns och dess underleverantörers behandlingsförfarande i enlighet med en godkänd kontrollplan genom att skriftligen meddela om detta tolv (12) dagar i förväg. Om kontrollen vid någon tidpunkt visar att Tjänsterna inte utförs i enlighet med denna Dataskyddsbilaga, Avtalet eller Personuppgiftslagstiftningen, ska Partnern på egen bekostnad utföra alla nödvändiga åtgärder för att säkerställa att Tjänsterna överensstämmer med förpliktelserna i gällande regler, Personuppgiftslagstiftning och instruktioner. Mash har rätt att efter korrigerande åtgärder vidtagits kontrollera överensstämmelsen genom ett utföra en andra kontroll vid självvald tidpunkt.

Mash ska stå för kostnaderna för kontrollen. Om kontrollen från Partnerns sida visar en brist eller överträdelse av denna Dataskyddsbilaga eller Avtalet, ska Partnern dock omgående ersätta kostnaderna för kontrollen samt åtgärda kränkningen eller försummelsen.

6. HANTERING AV PERSONUPPGIFTSINCIDENTER

Om det i samband med hanteringen av Personuppgifter inträffar en Personuppgiftsincident, ska Partnern efter mottagandet av denna information omgående skriftligen informera Mash, dock senast inom tjugofyra (24) timmar. Partnern ska sedan utföra de överenskomna åtgärderna för att lösa situationen så snabbt som möjligt och för att förhindra ytterligare skada. Partnern ska även informera de Registrerade och myndigheterna när så krävs enligt tillämplig Personuppgiftslagstiftning.

Partnern ska också om Mash så önskar utföra lämpliga korrigerande åtgärder.

7. DE REGISTRERADES RÄTTIGHETER

För att tillgodose de enligt Personuppgiftslagstiftningen föreskrivna förpliktelserna ska Partnern, om Mash så önskar, i rimlig mån, och enligt de faktiska antalet arbetstimmar: a) omgående förse Mash med en kopia av den registrerades Personuppgifter i fysisk och/eller elektronisk form, b) utan dröjsmål korrigera, förhindra eller radera den Registrerades Personuppgifter, c) utan dröjsmål förse Mash med information och ingå ett rimligt samarbete för avtalsenlig Behandling av Personuppgifterna och d) inom rimlig begäran av Mash tillhandahålla de Registrerade, vars Personuppgifter Behandlas, information angående Behandlingen.

8. SKADEERSÄTTNING

Partnern ska hålla Mash skadelös från krav från tredje part till Mash eller dess parter som har orsakats av försummelse av Partnern att följa denna Dataskyddsbilagas förpliktelser.

En eventuell i Avtalet överenskommen begränsning av ansvar tillämpas inte vid skada eller förlust som uppstår till följd av brott mot denna Dataskyddsbilaga.

9. GILTIGHET

Denna Dataskyddsbilaga gäller under hela Avtalets giltighetstid och därefter så länge det är nödvändigt för att genomföra åtgärder efter att Avtalet upphör gälla. Om Partnern Behandlar eller av någon anledning på Personuppgiftsansvariges vägnar Behandlar Personuppgifter efter upphävt eller avslutat Avtal, hålls denna Dataskyddsbilaga i kraft för sådan Behandling så länge Behandlingen pågår.

Partnerns (eller dennes eventuella underleverantörers) brott mot förpliktelserna i denna Dataskyddsbilaga ses som ett väsentligt avtalsbrott.

Förpliktelser, som på grund av sin natur förblir i kraft även efter att Avtalets och denna Dataskyddsbilagas giltighet upphör, fortsätter således gälla.

I händelse av konflikt mellan denna Dataskyddsbilaga och Avtalets villkor tillämpas Dataskyddsbilagans villkor. Eventuella ändringar av Dataskyddsbilagan ska skriftligen godkännas av båda Parter för att vara giltiga.