Verkar från 1 maj 2018
1. Avtalets omfattning och innehåll
Detta Uppgiftsbehandlingsavtal ("UBA") återger parternas överenskommelse avseende villkoren för behandling av Personuppgifter under IBANCOMs användarvillkor ("Villkoren"). Detta UBA är en ändring av Villkoren och verkar från dess införlivande i Villkoren, vars införlivande kan specificeras i en Order eller en verkställd ändring av Villkoren. Vid dess införlivande i Villkoren bildar UBA en del av Villkoren.
2. Definitioner
I detta avtal:
(a) « Tjänster » betyder de tjänster som tillhandahålls för kunden under Villkoren ;
(b) « Personuppgifter » betyder all information rörande en identifierad eller identifierbar fysisk person ("registrerad");
(c) « Kund », « Dataregisteransvarig » eller « du » betyder fysisk eller juridisk person, offentlig myndighet, institution eller annan instans vilken, ensam eller tillsammans med andra, bestämmer avsikter och medel för behandlingen av personuppgifter;
(d) « Registerförare », « IBANCOM » or « vi » betyder en fysisk eller juridisk person, offentlig myndighet, institution eller annan instans vilken behandlar personupphifter åt dataregisteransvarig;
(e) « Behandla/Behandling » betyder all aktivitet som utförs på personuppgift eller en mängd av personuppgifter, vare sig eller ej på automatisk väg, såsom insamling, registrering, organisering, strukturering, lagring, anpassning eller förändring, hämtning, konsulterande, användande, avslöjande genom sändning, spridning eller på annat sätt göra tillgänglig, justering eller sammanförande, begränsning, radering eller förstörande ;
(f) « Underentreprenör » or « Underleverantör » betyder en tredje parts underleverantör anlitad av Registerföraren vilken, som en del av underleverantörens roll av levererandes tjänster, Behandlar Kundens Personuppgifter ;
(g) « Tekniska och organisatoriska säkerhetsåtgärder » betyder de åtgärder som syftar till att garantera en säkerhetsnivå som är lämplig för risken inklusive bland annat pseudonymisering och kryptering av personuppgifter, förmågan att garantera den fortlöpande konfidentialiteten, integriteten, tillgängligheten och tåligheten hos behandlande system och tjänster, förmågan att återskapa och få tillgång till personuppgifter i tid i händelse av en fysisk eller teknisk incident, en process för att regelbundet testa, bedöma och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärderna för att garantera säkerheten hos behandlingen.
(h) “Uppgiftsskyddslagstiftning” betyder alla lagar och förordningar, inklusive lagar och förordningar från den Europeiska Unionen, det Europeiska ekonomiska samarbetsområdet och dess Medlemsländer, som är tillämpliga på Behandlingen av Personuppgifter enligt detta Avtal.
3. Tillämpningen av detta avtal
Detta avtal skall tillämpas för:
a) alla Uppgifter som skickas från detta avtals datum från Kunden till IBANCOM för Behandling;
b) alla Uppgifter åtkomna av IBANCOM på uppdrag av Kunden för Behandling från detta avtals datum; and
c) alla Uppgifter som för övrigt erhålles av IBANCOM för Behandling på Kundens vägnar;
avseende Tjänsterna.
4. Personuppgiftskategorier och syfte med Personuppgiftsbehandlingen
För att verkställa Avtalet, och speciellt för att utföra Tjänsterna på Kundens vägnar, auktoriserar Kunden och begär att IBANCOM behandlar följande Personuppgiftsinformation: information som vi kan komma att samla in genom sitt användande av IBANCOMs hemsidor och din interaktion med oss i frånkopplat tillstånd såsom :
• Kontaktinformation : namn, hemadress, telefon eller mobiltelefonnummer, e-postadress och lösenord.
• Finansielll information : kreditkortnummer och faktureringsinformation (skattenummer, momsnummer för betalaren, faktureringsadress, faktureringse-postadress, vart fakturorna skickas) ; Kreditkortsnummer hanteras av Avangate (vår betalningsgateway), av Paypal, eller andra typer av betalningar ; IBANCOM debiterar bara ditt kreditkort för betalningar.
• Kontaktinformation för anställning, inklusive : arbetsgivarnamn, jobbtitel och funktion, affärskontaktdetaljer; IBANCOM hanterar kundinformation enligt villkoren på vår generella integritetspolicy.
Tjänsteuppgifter : uppgifter som ligger på IBANCOMs, kunds eller tredje parts system till vilka IBANCOM har givit åtkomst för att utföra tjänster.
• Uppgifter lagrade och behandlade av användare, såsom: uppgifter sända för behandling, användares användarhistorik.
• Loggfilinformation: Tre typer av loggar lagras av IBANCOMs system: Upkopplingsloggar vilka i grunden är loggar från varje begäran till var applikation. Dessa uppkopplingsloggar kan inkludera information såsom webbförfrågan, Internet Protocol("IP")-adress, webbläsartyp, hänvisande / utgångssidor och URLer, antal klick, domännamn, landningssidor, besökta sidor och annan sådan information. Den andra typen av loggar är applikationsloggar, vilka produceras av vår mjukvara under uppgiftsbehandling. Applikationsloggarnas loggar är ett register över alla inmatningsuppgifter som skickats för behandling till våra servrar som kan hjälpa IBANCOM att identifiera och diagnosticera källan till nuvarande systemproblem och hjälpa till att förutse framtida problem.
IBANCOM behandlar Kundinformation enligt villkoren i sin Integritetspolicy, och hanterar tjänsteuppgifter som konfidentiella i enlighet med villkoren på din order för våra tjänster
Kategorier av Registrerade: Registrerade innefattar Kunds representanter och slutanvändare, såsom anställda, arbetssökande, entreprenörer, medarbetare, partners och kunder till Kunden. Registrerad kan även innefatta individer som försöker att kommunicera eller överföra Personuppgifter till användare av Tjänsterna.
5. IBANCOMs ansvar
IBANCOM ska Behandla Personuppgift enbart för att tillhandahålla Tjänsterna, och samtycker till att :
• (a) Behandla och använda Personuppgift för syften angivna i detta Avtal eller enbart på dokumenterade instruktioner från Kunden och för inget annat syfte förutom det som uttryckligen givits skriftligen i förväg av Kunden, eller
• (b) Inte avslöja Uppgifter till tredje part förutom till de av sina anställda, agenter eller underleverantörer som är involverade i Behandling av Uppgifterna och som omfattas av bindande skyldigheter eller förutom vad som kan krävas av någon lag eller förordning;
• (c) Implementera lämpliga tekniska och organisatoriska åtgärder för att skydda Uppgifterna från otillåten eller olaglig Behandling eller förlust av misstag, förstörelse eller skada och att ta hänsyn till det teknologiska utveckligsläget och kostnaden för att implementera några åtgärder, där sådana åtgärder ska garantera en säkerhetsnivå lämplig för att skadan som kan resultera av otillåten eller olaglig behandling eller förlust av misstag, förstörelse eller skada och för uppgifternas art ska vara skyddade;
• (d) Informera Kunden så snart som möjligt i det fall Registrerad utövar någon av sina rättigheter under uppgiftsbehandlingslagarna relaterat till Uppgifterna, och, om så är nödvändigt, hjälpa Kunden att följa kraven att svara på dessa förfrågningar med hänsyn tagen till åtaganden enligt artikel 7 ;
• (e) Inte Behandla eller överföra Uppgifterna utanför den Europeiska Unionen förutom med Kunds uttryckliga samtycke skriftligen givet i förväg och att säkerställa att sådana överföringar sker i enlighet med lämplig.
6. Kundansvar
Tjänstens Kund, såsom Dataregisteransvarig, måste samtycka att ta ansvar för att följa tillämplig uppgiftsskyddslagstiftning. I synnerhet har Kunden ett ansvar att bedöma lagenligheten av behandling av personuppgifter lagrade på Plattformen.
Kunden samtycker att de alltid skall säkerställa följande av tillämplig uppgiftsskyddslag, och, speciellt, att Kunden skall säkerställa att alla avslöjanden av Personuppgift som görs av dem till IBANCOM görs med registrerads samtycke eller så är det olagligt. Kontroll av Personuppgift ligger kvar hos Kunden, och som mellan Kund och IBANCOM, skall Kunden alltid vara Dataregisteransvarig avseende Tjänsterna, Villkoren och detta Uppgiftsbehandlingsavtal. Kunden är ansvrig för att dess åtaganden följs som Dataregisteransvarig enligt tillämplig dataskyddslag, speciellt för motiveringen av alla sändningar av Personuppgifter till IBANCOM (inklusive att tillhandahålla alla krävda meddelanden och att insamla alla krävda samtycken), och för dess beslut avseende Behandlingen och användning av uppgifterna.
7. Registrerads rättigheter
IBANCOM kommer att ge Kund elektronisk åtkomst till Plattformsmiljön som rymmer Personuppgifter för att tillåta Kund att radera, frisläppa, korrigera eller blockera åtkomst till specifik Personuppgift eller, om detta inte är genomförbart och så långt tillåtet enligt tillämplig lag, följa Kunds detaljerade skriftliga instruktioner för att radera, frisläppa, korrigera eller blockera åtkomst till Personuppgift.
IBANCOM skall skicka vidare till Kund alla begäran från en individuellt registrerad att radera, frisläppa, korrigera eller blockera Personuppgift Behandlad enligt detta Avtal.
8. Uppgiftsöverföring över gränser och vidaresändning av uppgifter
IBANCOM hanterar alla Personuppgifter på ett sätt som är förebligt med kraven enligt tillämplig dataskyddslag och detta Uppgiftsbehandlingavtal på alla platser runt om i världen.
Uppgifter lagras av IBANCOM hos datacentra lokaliserade i Tyskland och under drift av dess underleverantör Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Tyskland
Tel.: +49 (0)9831 505-0*
Fax: +49 (0)9831 505-3
Datacentra är lokaliserade hos
Hetzner Online AG
Am Datacenterpark 1
08223 Falkenstein
Avseende Personuppgifter lagrade av IBANCOM hos datacentra inom EEA skall säkerställa efterlevnad av dess Underentreprenörer enligt karven från tillämplig dataskyddslag som följer:
• (i) IBANCOM har ingått avtal med Underentreprenörer vilka ger att Underentreprenören kommer att åta sig uppgiftsskydd och konfidentialitetsåtaganden överensstämmande med tillämpliga dataskyddslagar;
• (ii) vidare, där en Underentreprenör behandlar Personuppgift i eller från ett land som inte har givits en "lämplighetsbedömning", kommer IBANCOM att kräva att Underentreprenören verkställer standardklausuler som innefattar säkerhetskrav förenliga med de som finns i detta UBA.
9. Underentreprenörsavtal
IBANCOM skall inte lägga ut någan av sina uppgiftsbehandlingar som utförs på Kunds vägnar enligt Avtalet och Villkoren utan att först skaffa skriftligt samtycke från Kunden.
Där IBANCOMs lägger ut sina åtaganden enligt detta Avtal, med Kunds samtycke, ska det göra så enbart genom ett skriftligt avtal med underentreprenören vilket påför samma åtaganden på underentreprenören som är påförda IBANCOM enligt Avtalet. Där underentreprenören underlåter att uppfylla dess dataskyddsåtaganden under sådant skriftligt avtal skall IBANCOM fortfarande vara full ansvariga gentemot Kunden för utförandet av underentreprenörens åtaganden enligt sådant avtal.
Kunden som Dataregisteransvarig kan komma att begära att IBANCOM granskar Underentreprenören eller tillhandahåller bekräftelse att sådan granskning har skett (eller, när så är tillgängligt, erhålla eller hjälpa Dataregisteransvarig att erhålla en granskningsrapport från en tredje part avseende Underentreprenörens verksamhet) för att säkerställa överensstämmelse med sådana åtaganden. Den Registeransvarige kommer även att vara berättigad, efter skriftlig begäran, att få kopior på relevanta villkor från IBANCOMs avtal med Underentreprenörer som kan komma att behandla Personuppgift, om inte avtalet innehåller konfidentiell information, i vilket fall IBANCOM kan komma att tillhandahålla en censurerad version av avtalet.
Bestämmelser avsedda för dataskyddsapekter för underentreprenörer av avtalet som hänvisas till i paragraf 1 skall vara underkastade lagarna i den Medlensstat i vilken Kunden är etablerad.
10. Tekniska och operationella åtgärder
När Personuppgifter behandlas på Kunds vägnar i samband med Tjänsterna, skall IBANCOM säkerställa att de inför och upprätthåller efterlevnad med lämpliga tekniska och organisatoriska säkerhetsåtgärder för Behandlingen av dessa uppgifter. I enlighet därmed kommer IBANCOM att införa följande åtgärder:
• a) För att motverka att otillåtna personer får åtkomst till uppgiftsbehandlingssystemen i vilka Personuppgifter Behandlas (fysisk åtkomstkontroll), skall IBANCOM vidta åtgärder för att motverka fysisk åtkomst, såsom säkerhetspersonal och säkrade byggnads och fabrikslokaler.
• b) För att motverka att uppgiftsbehandlingssystem används utan tillstånd (systemåtkomstkontroll) kan det följande, bland andra kontroller, komma att bli införda beroende på den speciella typen av Tjänster som beordrats: autentisering med lösenord och loggning av åtkomst på flera nivåer.
För API-Tjänster som erbjuds hos IBANCOM: (i) logisk åtkomst av datacentra är begränsad och skyddad av brandvägg/VLAN; och (ii) följande säkerhetsprocesser används: centraliserad loggning och larmning, och iii) brandväggar.
• c) För att säkerställa att individer som har rätt att använda ett uppgiftsbehandlingssystem bara har tillgång till de Personuppgifter till vilka de har åtkomsträtt, och att Personuppgifterna inte kan läsas, kopieras, modifieras eller tas bort utan auktorisation under Behandling och/eller efter förvaring (uppgiftåtkomstkontroll), är Personuppgifter bara åtkomliga och hanterbara av korrekt auktoriserad personal, direkt databasfrågeåtkomst är begränsad och applikationsåtkomsträttigheter är fastställda och genomdrivna.
Förutom reglerna för åtkomstkontroll som anges ovan, verkställer IBANCOM en åtkomstpolicy enligt vilken Dataregisteransvarigas begränsar åtkomst av dess API-Tjänstmiljö och till Personuppgifter och andra uppgifter till dess behöriga personal.
• d) För att säkerställa att Personuppgift inte kan läsas, kopieras, modifieras eller tas bort utan behörighet under elektronisk överföring eller transport, och att det är möjligt att kontrollera och etablera till vilka enheter överföringen av Personuppgifter via dataöverföringsfaciliteter förutses (överföringskontroll), kommer IBANCOM att följa följande krav: Förutom för vad som annars specificerats för API-Tjänsterna är överföring av data utanför Tjänstemiljön krypterad (HTTPS). Kommunikationsinnehållet (inklusive sändar och mottagaradresser) som skickas genom några e-post eller meddelandetjänster kan komma att vara okrypterad när det väl tagits emot via en sådan tjänst. Dataregisteransvarig är enskilt ansvarig för resultatet från dess beslut att använda icke-krypterade kommunikationer eller överföringar.
• e) För att säkerställa att det är möjligt att kontrollera och fastslå huruvida och av vem Personuppgift har matats in i uppgiftbehandlingssystemet, modifierat eller tagit bort (inmatningskontroll), kommer IBANCOM att följa följande krav: Personuppgiftskälla är under Kunds kontroll, och Personuppgiftsintegrationen i systemet hanteras via säkrad filöverföring (dvs. via nättjänster eller matas in i applikationen) från Kunden.
• f) För att säkerställa att Personuppgift skyddas mot oavsiktlig förstörelse eller förlust: säkerhetskopior görs regelbundet; säkerhetskopior är krypterade och är säkrade.
• g) För att säkerställa att Personuppgift vilken är insamlad för ett annorlunda ändamål ska kunna behandlas separat är uppgifter från olika Dataregistreringsmiljöer logiskt segregerade på IBANCOMs system.
11. Granskningsrättigheter
Kunden kan granska IBANCOMs efterföljande med villkoren på Avtalet och detta Uppgiftsbehandlingsavtal upp till en gång om året.
Kunden kan komma att utföra mera frekventa granskningar av Tjänstedatasystemen som Behandlar Personuppgifter enligt vad som krävs enligt lag giltig hos Kunden. Om en tredje part utför granskningen måste den tredje parten vara ömsesidigt överenskommen med båda parterna och måste verkställa ett skriftligt konfidentialitetsavtal som IBANCOM kan acceptera innan granskningen genomförs.
För att begära en granskning måste Kunden sända in en detaljerad granskningsplan minst 4 veckor i förväg av det föreslagna granskningsdatumet där föreslagen omfattning, varaktighet och startdatum för granskningen beskrivs. IBANCOM kommer att se över granskningsplanen och meddela Dataregisteransvarig eventuella problem eller frågor (till exempel alla frågor avseende information som skulle kunna skada IBANCOMs säkerhets, integritets eller anställningspolicies).
Granskningsrapporterna är Konfidentiell Information från parterna enligt Avtalet. Alla granskning är på Dataregisteransvarigs bekostnad.
Alla begäran till IBANCOM att tillhandahålla hjälp med en granskning anses som en separat tjänst om sådan granskningsassistens kräver användandet av annorlunda eller ytterligare resurser. IBANCOM kommer att begära Dataregisteransvarigs godkännande och samtycke att betala alla relaterade uppgifter innan sådan granskningsassistens utförs.
12. Incidenthantering och anmälan om överträdelser
IBANCOM utvärderar och svarar på incidenter som skapar misstankar om otillåten åtkomst till eller behandling av Personuppgift.
Kunden är informerad om sådana incidenter och, beroende på aktivitetens art, definierar upptrappningsvägar och svarsteam för att behandla dessa incidenter. IBANCOM kommer att arbeta med Kunden, med lämpliga tekniska team och, när så är nödvändigt, med utomstående brottsbekämpande myndigheter för att svara på incidenten. Målet för incidentssvaret kommer att vara att återskapa konfidentialiteten, integriteten och tillgängligheten på Tjänstemiljön, och att etablera grundläggande orsaker och steg för att korrigera detta.
IBANCOMs driftspersonal är instruerade att reagera på incidenter där hantering av personuppgifter kan ha blivit auktoriserad.
IBANCOM skall meddela Kunden utan onödigt dröjsmål efter att ha blivit medveten om en överträdelse avseende personuppgift. IBANCOM skall genast undersöka alla säkerhetsöverträdelser och vidta rimliga åtgärder för att identifiera grundorsaken/orsakerna och motverka att det sker igen. Allt eftersom information insamlas eller på annat sät blir tillgängligt, med mindre än att det är förbjudet enligt lag, kommer IBANCOM att tillhandahålla Dataregisteransvarig med en beskrivning av säkerhetsöverträdelsen, typen av uppgifter som var föremål för överträdelsen och annan information som Dataregisteransvarig rimligtvis kan begära avseende berörda personer. Parterna samtycker att samarbeta i god tro med att utveckla innehåller an alla relaterade officiella uttalanden eller alla krävda meddelanden för de berörda personerna.
13. Lagstadgade upplysningar
Förutom enligt vad som annars krävs av lagen kommer IBANCOM genast att meddela Kunden om varje stämning, domstolsföreläggande, förvaltningsbeslut eller skiljeförfarande från en myndighet eller förvaltning eller annan statlig myndighet ("krav") som det mottar och vilket berör Personuppgifter IBANCOM Behandlar på Kunds vägnar. På Kunds begäran kommer IBANCOM att tillhandahålla rimlig information som det har som kan vara svarandes på kravet och all hjälp som rimligtvis behövs för Kunden att svara på kravet i tid. Kunden medger att IBANCOM inte har något ansvar att direkt samverka med enheten som ställer kravet.
14. Skyldigheter efter upphörandet av personuppgiftbeahdlingstjänster
Parterna samtycker att vid upphörandet av tillhandahållandet av uppgiftsbehandlingstjänster kommer IBANCOM att göra det möjligt för Kunds Personuppgift lagrad i Plattformsmiljön att bli återhämtad eller på annat sätt återförd till Kund, om inte lagstiftning giltig för parterna förhindrar dess återförande eller förstörande av alla eller delar av personuppgifterna som överförts. I detta fall garanterar parterna att de kommer att garantera konfidentialiteten hos personuppgifter som överförts och kommer inte att aktivt behandla personuppgift som överförts längre.
15. Tillämplig lag
Detta avtal ska vara underkastat lagen i den Medlemsstat i vilken J´Kunden är etablerad.