Webbhuset Finland Oy Ab

Bilaga till allmänna avtalsvillkor

Dataskyddsvillkor 25.5.2018

 

Denna bilaga är en integrerad del av Webbhuset Finland Oy Ab:s (nedan kallat "Webbhuset") allmänna avtalsvillkor. Denna bilaga och dessa dataskyddsvillkor gäller i när Webbhuset fungerar enligt EU: dataskyddsförordning (2016/679) som personuppgiftsbiträde och kunden som personuppgiftsanvarig och kunden har utlokaliserat behandlingen av personuppgifter till någon del till Webbhuset. Om Webbhusets allmänna avtalsvillkor står i strid med dessa dataskyddsvillkor ska de allmänna villkoren gälla.

 

Definitioner

De termer som används i denna bilaga får den betydelse som de har i EU: förordning 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Sådana begrepp är speciellt personuppgiftsansvarig, personuppgiftsbiträde, personuppgifter, behandling, registrering och hantering av personuppgiftsincident.

 

Avsikt

Webbhuset är ett tjänsteleverantör som tillhandahåller webbtjänster och -program. En kund är ett företag, en förening, en stiftelse, annan organisation eller en privatperson som behöver och förvärvar webbtjänster och -program från Webbhuset. Denna bilaga är ett avtal om att parterna är överens om att Webbhuset som personuppgiftsbiträde behandlar personuppgifter åt kunden som personuppgiftsansvarig.

Personuppgiftsbiträde behandlar personuppgifter endast för att förverkliga webbtjänster och -program, andra skyldigheter som beskrivs i avtalet och för att tillhandahålla och leverera tjänster i enlighet med kundens skriftliga instruktioner. Personuppgiftsbiträde har inte rätt att behandla personuppgifter för något annat ändamål eller för någon annan part. Personuppgiftsbiträde har rätt att överföra personuppgifter till ett land utanför EU eller EES, endast under förutsättning att överföringen görs i enlighet med dataskyddsförordningen och med hjälp av lämpliga skyddsmekanismer.

Personuppgiftsbiträde skall omedelbart underrätta den personuppgiftsansvarige om personuppgiftsbiträde anser att den personuppgiftsansvariges skriftliga instruktioner om behandling av personuppgifter bryter mot dataskyddsförordningen eller någon annan bestämmelse om personuppgiftsskydd i EU eller i en medlemsstat.

Utöver villkoren i denna bilaga, åtar sig vardera parten att följa gällande nationella lagar om dataskydd och bestämmelserna i dataskyddsförordningen i sin verksamhet.

 

Underleverantörer

Webbhuset använder underleverantörer för att förverkliga de tjänster Webbhuset ansvarar för. I det fall en underleverantör får tillgång till data som kan innehålla personuppgifter fungerar underleverantören som ett personuppgiftsbiträde. Det är Webbhusets ansvar att säkerställa underleverantören behandlar personuppgifterna enligt samma dataskyddsskyldigheter som beskrivs i denna bilaga.

 

Sekretess

Alla personuppgifter som personuppgiftsbiträde behandlar på uppdrag av den personuppgiftsansvarige anses vara konfidentiell information och personuppgiftsbiträde går med på att hålla informationen konfidentiell och att inte avslöja eller att lämna ut dem till tredje part eller använda informationen för andra ändamål än det avsedda ändamålet. Personuppgiftsbiträde åtar sig att inte avslöja eller lämna ut personlig information, till sina anställda eller andra personer inom den egna organisationen (inkl. eventuella underleverantörer), utöver det som är nödvändigt för dem att känna till för att fullfölja tjänstens syfte eller för att följa andra avtal eller lagar.

Sekretessförpliktelserna är giltiga trots uppsägning av kontraktet.

 

Säkerhet

Personuppgiftsbiträde ansvarar för att ha alla lämpliga tekniska och organisatoriska åtgärder på plats för att förhindra att personuppgifter oavsiktligt eller olagligt förstörs, försvinner, ändras, att säkerheten äventyras eller att obehöriga får tillgång till uppgifterna.

 

Åtgärder bör planeras med hänsyn till den senaste tekniken och implementeringskostnader, typ av behandling, omfattning, sammanhang och syften, samt mot risker för fysiska personers rättigheter och friheter, som enligt sannolikhet och svårighetsgrad kan variera, såsom

 
  • pseudonymisering och kryptering av personuppgifter
  • förmåga att säkerställa behandlingen och tjänsternas konfidentialitet, integritet, tillgänglighet, och feltolerans;
  • förmåga att snabbt återställa tillgängligheten och tillgången till data i händelse av fysisk eller teknisk funktionsstörning av data;
  • förfarande som testar, undersöker och utvärdera effektiviteten hos tekniska och organisatoriska åtgärder för att säkerställa säkerheten vid behandlingen.
 

Personuppgiftsincident

Personuppgiftsbiträde ska informera om personuppgiftsincident som kommit till den personuppgiftsbiträdes kännedom utan onödigt dröjsmål så att personuppgiftsansvarige kan uppfylla de rapporteringskrav som anges i dataskyddsförordningen i god tid. Personuppgiftsbiträde bör ge tillräcklig information om en säkerhetsöverträdelse och hjälpa personuppgiftsansvarige att uppfylla de förpliktelser som anges i dataskyddsförordningen. Personuppgiftsbiträde måste också vidta nödvändiga uppföljningsåtgärder till personuppgiftsincidenten som kan minska eller förhindra framtida kränkningar.

 

Skyldighet att tillhandahålla kundsupport

Under avtalstiden kan kunden skriftligen begära att Webbhuset hjälper personuppgiftsansvarige att fullgöra sina skyldigheter kring lagstiftningen om skydd av personuppgifter. Detta förutsätter att skyldigheterna ingår i de tjänster kunden avtalat om med Webbhuset och inom vilka Webbhuset har skyldighet att hjälpa den personuppgiftsansvarige. Detta gäller speciellt att hjälpa till vid personuppgiftsincidenter och uppfyllande av den registrerades rättigheter. När Webbhuset hjälper kunden står kunden för Webbhusets kostnader. Om inget annat avtalats har Webbhuset rätt att fakturera kunden för utfört arbete enligt Webbhusets gällande prislista.

 

Konsekvensbedömning av sekretess

Om personuppgiftsbiträde blir medveten om att föreslagen behandling av personuppgifter medför en hög risk för fysiska personers rättigheter och friheter, måste personuppgiftsbiträde underrätta personuppgiftsansvarige och vid behov bistå den senare i genomförandet av konsekvensbedömningen.

 

Genomförande av den registrerades rättigheter

Med hänsyn till behandling av personuppgifter måste personuppgiftsbiträde rimligt och utan onödigt dröjsmål hjälpa personuppgiftsansvarige med lämpliga tekniska och organisatoriska åtgärder att svara på förfrågningar som gäller för utövandet av registrerades rättigheter som anges i dataskyddsförordningen. Sådana rättigheter kan bland annat vara, enligt definitionen i dataskyddsförordningen, den registrerades rätt att få tillgång till information, rätt att få korrigera uppgifter, rätt att förbjuda behandling, rätten att radera data (sk. "Rätten att glömmas bort '), rätt till begränsning av behandling och rätten att erhålla data som överförs från ett system till ett annat. Om sådana krav presenteras direkt till personuppgiftsbiträde måste den omedelbart underrätta personuppgiftsansvarige.

 

Kundens ansvar

Kunden fungerar som personuppgiftsansvarig i enlighet med dessa avtalsvillkor för dataskydd. Kunden ansvarar för att uppfylla de krav som ställs på personuppgiftsansvarig enligt EU:s dataskyddsförordning (såsom bl.a. information till den registrerade, utarbetande av  sekretesspolicy, säkerställande av säker och laglig behandling personuppgifter och förvärv av samtycke). Kunden ansvarar också för att anvisningar för behandling av personuppgifter som ges till Webbhuset är lagliga.

Kunden är skyldig att anmäla till Webbhuset om sådan omständighet (inklusive särskilda risker eller kategorier av personuppgifter) som kan kräva definition och förverkligande av extra tekniska eller organisatoriska skyddsåtgärder.

Kunden bestämmer om och är ensam ansvarig för den information (inklusive personlig information) som kunden lagrar i Webbhusets webbprogram och-tjänster. Kunden definierar och är också ansvarig för vilka personuppgifter som sparas, för vilket ändamål och hur uppgifterna används, byts eller behandlas, vilken information som lämnas ut och till vem och hur man säkerställer kvaliteten, aktualiteten och elimineringen eller anonymiseringen av informationen.

Kunden ansvarar också för integriteten, säkerheten, underhållet och det korrekta skyddet av personuppgifter och för att säkerställa att kunden följer alla gällande lagar och föreskrifter om integritet och säkerhet.

 

Övriga villkor

Webbhuset ansvarar inte, inför den personuppgiftsansvarige, för direkta eller indirekta skador som orsakats av kontraktsbrott eller krav från tredje part. För dessa villkor gäller begränsad skadeståndsskyldighet i enlighet med Webbhusets allmänna avtalsvillkor.

 

Bilagans ikraftträdande och effekten av uppsägning av kontrakt

Denna bilaga är en del av Webbhusets allmänna avtalsvillkor och förblir i kraft i enlighet med villkoren för avtalets giltighet.

Inom rimlig tid efter utgången av avtalet raderar eller återställer personuppgiftsbiträdet alla personuppgifter till den personuppgiftsansvarige och raderar alla befintliga kopior, förutom om EU eller nationell lagstiftning kräver att personuppgifterna bevaras. I sådant fall har personuppgiftsbiträde rätt att behandla personuppgifter endast i enlighet med lagen och skyldighet att fortsätta följa sekretessförpliktelserna som beskrivs i denna bilaga. Den personuppgiftsansvarige ansvarar för att besitta behövliga kopior av informationen före utgången av avtalet.

 

Krav för behandling

Behandlingens art: Behandling av personuppgifter gäller tillhandahållande och leverans av tjänster som tillhandahålls av Webbhuset, såsom webbtjänster och -program. Webbhuset samlar, lagrar och behandlar personuppgifterna om kunden och agerar som personuppgiftsansvarige i enlighet med avtalet, dessa villkor och gällande lag.

Kunden bestämmer vilka personuppgifter som lagras i Webbhusets tjänster och program. Webbhuset kontrollerar eller verifierar inte på något sätt denna information (och har ingen skyldighet till det). Kunden kan lagra all information den anser nödvändig i Webbhusets tjänster.