Skip to Content
Go back
BAS-IP / ANEXO DE PROCESAMIENTO DE DATOS

Senast uppdaterad: [10.12.2025]

Detta tillägg om databehandling (hädanefter ’DPA’) ingår mellan dig (hädanefter ’Kund’, ’du’, ’din’) och BAS-IP DISTRIBUTION LTD (hädanefter ’Företag’, ’BAS-IP’, ’vi’, ’oss’ eller ’vår’), hädanefter kallat individuellt ’Part’ eller tillsammans ’Fester. Detta DPA kompletterar villkoren ( hädanefter ’Avtalet’) som ingåtts mellan parterna.

Detta DPA reglerar behandlingen av personuppgifter som klienten tillhandahåller till BAS-IP i samband med användning av BAS-IP:s produkter och tjänster (tillsammans kallade ’Tjänster’), samt all personlig data som BAS-IP erhåller under utförandet av tjänsterna för klienten.

Om inget annat definieras i denna DPA kommer alla versaler som används i denna DPA att ha de betydelser som anges i avtalet. Detta DPA ska förbli i kraft tills avtalet mellan dig och oss som reglerar din användning av tjänsterna upphör. Vid eventuell konflikt mellan detta DPA och avtalet ska bestämmelserna i detta DPA gälla för behandling av personuppgifter.

1. Definitioner

För ändamålen med denna DPA ska följande definitioner tillämpas:

Klientdata” avser all personlig data som klienten laddar upp, överför eller på annat sätt tillhandahåller till BAS-IP i samband med tjänsterna, samt all personlig data som BAS-IP behandlar under utförandet av tjänsterna.

Dataskyddslagar” avser alla tillämpliga lagar och regler som rör behandling av kunddata, inklusive de från Europeiska unionen, Europeiska ekonomiska samarbetsområdet och dess medlemsstater, Storbritannien, såsåsom:

  • EU:s allmänna dataskyddsförordning (EU GDPR);
  • den brittiska allmänna dataskyddsförordningen (UK GDPR);
  • dataskyddslagen 2018;
  • Data (Use and Access) Act 2025 (DUAA);
  • alla andra tillämpliga dataskyddslagar och föreskrifter, i den mån de gäller för parterna och bearbetningsaktiviteterna enligt denna DPA övriga tillämpliga lagar och föreskrifter.

Dataöverföringsmekanism” avser varje juridiskt erkänd mekanism, instrument eller ram som tillåter överföring av klientdata från en jurisdiktion till en annan i enlighet med tillämpliga dataskyddslagar, inklusive, utan begränsning, EU:s standardavtalsklausuler och det brittiska tillägget.

EU:s SCC:er” avser EU:s standardavtalsklausuler för överföring av kunddata till tredje land enligt förordning (EU) 2016/679 från Europaparlamentet och rådet, godkänd genom Europeiska kommissionens genomförandebeslut (EU) 2021/914 den 4 juni 2021, såsom den för närvarande anges i https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.

Allmän dataskyddsförordning (GDPR)” avser förordning (EU) 2016/679 från Europaparlamentet och rådet av den 27 april 2016 om skydd av fysiska personer avseende behandling av personuppgifter och om fri rörlighet för sådana uppgifter, samt upphävande av direktiv 95/46/EG.

Internationell dataöverföring” avser varje överföring av klientdata från ett land där data samlas in till ett land utanför den jurisdiktionen, där tillämpliga dataskyddslagar kräver lämpliga skyddsåtgärder för sådan överföring.

Offentlig myndighet” avser en statlig myndighet eller brottsbekämpande myndighet, inklusive rättsliga myndigheter.

Känsliga klientdata” avser klientdata som avslöjar ras- eller etniskt ursprung, politiska åsikter, religiösa eller filosofiska övertygelser, fackföreningsmedlemskap, genetiska data eller biometriska data i syfte att unikt identifiera en fysisk person, data om hälsa, en persons sexliv eller sexuella läggning, eller data relaterade till brottsdomar och brott.

Tjänster” avser de tjänster som företaget tillhandahåller till kunden.

Tillsynsmyndighet” betyder en oberoende offentlig myndighet som ansvarar för att övervaka tillämpningen av dataskyddslagstiftningen.

Tekniska och organisatoriska säkerhetsåtgärder” avser åtgärder som syftar till att skydda personuppgifter mot oavsiktlig förstörelse eller oavsiktlig förlust, förändring, obehörig utlämnande eller åtkomst, särskilt där behandlingen innebär överföring av data via ett nätverk, samt mot alla andra olagliga former av behandling.

UK GDPR” avser den bevarade versionen av EU:s allmänna dataskyddsförordning eftersom den ingår i brittisk lag, tillsammans med eventuella ändringar som gjorts genom Data Protection Act 2018 och annan tillämplig brittisk lagstiftning som reglerar behandling av personuppgifter.

UK Addendum” betyder International Data Transfer Addendum till EU:s standardavtalsklausuler som har utfärdats av Information Commissioner for Parties Making Restricted Transfers i den brittiska dataskyddslagstiftningens mening, såsom de för närvarande anges i https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.

personuppgiftsansvarig”, ”behandlare”, ”underbehandlare”, ”datasubjekt”, ”personuppgifter” och ”behandling” har de betydelser som anges i dataskyddslagarna.

2. Roller och ansvar

När BAS-IP behandlar klientdata för din räkning i samband med tjänster, bekräftar och godkänner du att du är en personuppgiftsansvarig eller behandlare när det gäller behandlingen av klientdata, och vi är en behandlare eller underbehandlare (enligt dataskyddslagarna) som agerar på dina vägnar. En beskrivning av sådan behandling finns i schema 1 i denna DPA. Denna DPA ska gälla i enlighet med etablerade roller och inte i situationer där vi agerar som konsument i enlighet med BAS-IP:s integritetspolicy.

Om klienten är en handläggare, ger kunden BAS-IP fullmakt att klientens instruktioner och handlingar avseende personuppgifter, inklusive att utse BAS-IP som underbehandlare och, där det är tillämpligt, att sluta att EU-SCC:er eller andra tillägg enligt avsnitt 9 i denna DPA (inklusive vad de kan ändras i avsnitt 9 nedan), har varit (och kommer att,  för denna DPA:s varaktighet, fortsätta) auktoriserad av relevant tredje parts kontrollant.

3. Instruktioner

Parterna är överens om att detta DPA och det tillämpliga avtalet utgör klientens fullständiga och slutgiltiga dokumenterade instruktioner rörande behandling av klientdata (hädanefter ’Instruktionerna’) där klienten agerar som personuppgiftsansvarig eller handläggare och BAS-IP agerar som behandlare eller underbehandlare enligt dataskyddslagar.

Eventuella ytterligare eller alternativa instruktioner måste godkännas skriftligen av parterna och ska vara förenliga med detta DPA och avtalet.

4. Beskrivning av bearbetning

Behandlingen av klientdata för klientens räkning i samband med tjänster beskrivs i bilaga 1 i denna DPA. Vi förbehåller oss rätten att uppdatera beskrivningen av handläggningen då och då för att återspegla ny funktionalitet som ingår i tjänsterna.

5. Klientens skyldigheter

5.1. Kontrollantens skyldigheter

Inom ramen för DPA, när klienten agerar som personuppgiftsansvarig, ska kunden vara ansvarig för att uppfylla alla krav som gäller för klienten som personuppgiftsansvarig enligt dataskyddslagarna.

När du agerar som controller måste du:

(a) upprätthålla noggrannhet, kvalitet, sekretess och säkerhet för kunddata;

(b) följa och fullgöra dina skyldigheter enligt dataskyddslagar, inklusive vad gäller de insattas rättigheter, datasäkerhet och sekretess, samt säkerställa att du har en lämplig rättslig grund för behandling av personuppgifter;

(c) endast tillhandahålla kunddata som lagligen har erhållits och säkerställa att sådan data är tillräcklig, relevant och proportionerlig mot de avsedda ändamålen;

(d) säkerställa att dina instruktioner till BAS-IP gällande behandling av klientdata följer dataskyddslagarna, inklusive principerna för dataminimering, ändamålsbegränsning och lagringsbegränsning.

5.2. Behandlarens skyldigheter

Inom ramen för DPA:n, när klienten agerar som handläggare, ska klienten vara ansvarig för att uppfylla alla krav som gäller för kunden som handläggare enligt dataskyddslagarna.

När du agerar som Processor måste du:

(a) endast tillhandahålla BAS-IP bearbetningsinstruktioner som noggrant återspeglar de dokumenterade instruktionerna från respektive kontrollant;

(b) endast tillhandahålla BAS-IP klientdata som lagligen har erhållits från respektive konsument och som är tillräckliga, relevanta och begränsade till vad som är nödvändigt för de tillåtna ändamålen;

(c) upprätthålla transparens med respektive kontrollant angående engagemang av BAS-IP och eventuella underprocessorer;

(d) uppfylla alla skyldigheter enligt tillämpliga dataskyddslagar i egenskap av handläggare;

(e) säkerställa att din personal eller någon tredje part som får tillgång till kunddata följer detta DPA och avtalet.

6. BAS-IP-skyldigheter

6.1. Allmänna skyldigheter

När BAS-IP agerar som processor/underprocessor måste vi:

(a) behandla kunddata enligt dina instruktioner och uteslutande för de angivna ändamålen;

(b) informera dig om, enligt BAS-IP:s rimliga bedömning:

(i) dina instruktioner bryter mot eller kan bryta mot tillämpliga dataskyddslagar; eller

(ii) BAS-IP kan inte följa dina instruktioner;

(c) implementera och upprätthålla lämpliga tekniska och organisatoriska åtgärder för att säkerställa konfidentialiteten kring kunddata;

(d) följa alla tillämpliga dataskyddslagar, inklusive skyldigheter relaterade till de registrerades rättigheter, datasäkerhet och sekretess;

(e) säkerställer, genom skriftliga avtal eller andra juridiskt bindande medel, att varje underbehandlare som arbetar med klientdata på BAS-IP:s vägnar omfattas av motsvarande dataskyddsskyldigheter enligt denna DPA och avtalet;

(f) upprätthålla korrekta register över alla bearbetningsaktiviteter som utförts för din räkning enligt denna DPA och tillhandahålla sådana handlingar till dig på begäran;

(g) utan oskäligt dröjsmål meddela dig om BAS-IP blir medveten om att någon kunddata som tillhandahålls av dig är felaktig, ofullständig eller föråldrad;

(g) tillämpa lämpliga och nödvändiga skyddsåtgärder eller begränsningar vid hantering av känsliga klientdata, enligt dataskyddslagar eller instruktionerna;

(h) ge dig all information som rimligen är nödvändig för att visa att BAS-IP följer sina skyldigheter enligt tillämpliga dataskyddslagar.

6.2. Meddelanden till en klient

När vi blir medvetna om detta ska vi informera dig om alla juridiskt bindande begäranden om utlämnande av kunddata från en offentlig myndighet, om vi inte annars är förbjudna enligt lag att informera klienten, till exempel för att bevara sekretessen i en utredning av en offentlig myndighet. Vi informerar dig om BAS-IP får kännedom om någon notis, förfrågan eller utredning från en tillsynsmyndighet angående behandlingen av klientdata enligt denna DPA som genomförts mellan dig och oss.

6.3. Sekretess

Vi kommer inte att få tillgång till, använda eller lämna ut någon kunddata till någon tredje part, utom, i varje fall, som nödvändigt för att underhålla eller tillhandahålla tjänsterna eller för att uppfylla avtals- och juridiska skyldigheter eller ett bindande beslut från en offentlig instans (såsom en stämning eller domstolsbeslut).

Vi ska säkerställa att varje anställd/entreprenör som vi ger tillstånd att få tillgång till kunddata å våra vägnar omfattas av lämpliga sekretessskyldigheter, kontraktsmässiga eller lagstadgade skyldigheter avseende klientdata.

6.4. Säkerhetsåtgärder

Vi ska implementera och upprätthålla lämpliga tekniska och organisatoriska åtgärder för att skydda kunddata från dataintrång, såsom faktisk eller misstänkt oavsiktlig eller olaglig förstörelse, förlust, förändring, obehörig utlämnande av eller åtkomst till kunddata som överförts, lagrats eller på annat sätt bearbetats (hädanefter ’säkerhetsincidenter’) i enlighet med våra säkerhetsstandarder som anges i bilaga 2 i denna DPA.

Du erkänner att säkerhetsåtgärder är föremål för teknisk utveckling, så att vi kan ändra eller uppdatera Bilaga 2 i denna DPA efter eget gottfinnande, förutsatt att sådan ändring eller uppdatering inte leder till en väsentlig försämring av de säkerhetsåtgärder som erbjuds i Bilaga 2 i denna DPA.

6.5. Säkerhetsincident

När vi blir medvetna om en säkerhetsincident ska vi:

  • meddela dig utan onödigt dröjsmål efter att vi blivit medvetna om säkerhetsincidenten;
  • tillhandahålla aktuell information om säkerhetsincidenten (typen av personuppgifter, kategorier och potentiellt antal berörda individer eller register) när det blir känt eller som rimligen begärs av dig; och
  • vidta snabbt rimliga åtgärder för att begränsa och undersöka varje säkerhetsincident så att du kan informera behöriga myndigheter och/eller berörda datapersoner om säkerhetsincidenten.

Vår anmälan eller respons på en säkerhetsincident ska inte tolkas som ett erkännande från vår sida av något fel eller ansvar i samband med säkerhetsincidenten.

6.6. Återlämnande eller radering av klientdata

Vid uppsägning eller utgång av avtalet mellan dig och oss kommer vi att radera eller återställa all kunddata som vi har eller kontrollerar. Detta krav gäller inte i den mån vi enligt tillämplig lag eller respektive avtalsenliga skyldigheter är skyldiga att behålla delar eller alla kunduppgifter.

6.7. Rimlig hjälp

Vi samtycker till att ge rimlig hjälp till klienten rörande:

(a) varje begäran från en dataperson angående tillgång till eller korrigering, radering, begränsning, portabilitet, blockering eller radering av klientdata som vi hanterar å klientens vägnar. Om en dataperson skickar en sådan begäran direkt till oss, ska avsnitt 7 i denna DPA tillämpas;

(b) utredning av säkerhetsincidenten och kommunikation av nödvändiga meddelanden om sådana säkerhetsincidenter, med förbehåll för avsnitt 6.5 i denna DPA;

(c) upprättande av dataskyddsbedömningar (’DPIAs’) och, vid behov, samråd med kunden med tillsynsmyndigheten enligt artiklarna 35 och 36 i GDPR.

6.8 Revision och certifiering

6.8.1 Revision av tillsynsmyndigheter

Om en tillsynsmyndighet kräver en revision av våra databehandlingsanläggningar som vi använder för att behandla kunddata för att fastställa eller övervaka klientens efterlevnad av dataskyddslagarna, samarbetar vi med revisionen. Klienten ansvarar för alla kostnader och avgifter relaterade till sådan revision, inklusive alla rimliga kostnader och avgifter för all tid vi lägger ner på en sådan revision, utöver de avgifter som utförs av oss.

6.8.2 Revisioner

Kunden kan, innan handläggningen påbörjas och med jämna mellanrum, därefter granska de tekniska och organisatoriska åtgärder vi vidtagit. Om kunden är personuppgiftsansvarig för de personuppgifter som vi behandlar för hans räkning, efter rimligt och tidsenligt överenskommelse, under ordinarie kontorstid och utan avbrott i vår verksamhet, kan vi tillhandahålla all nödvändig information för att visa efterlevnad av dess skyldigheter enligt artikel 28 i GDPR samt möjliggöra och bidra till revisioner,  inklusive inspektioner, utförda av kunden eller en annan revisor som klienten beordrat i samband med sådan hantering.

Vi ska, på Klientens skriftliga begäran och inom rimlig tid, tillhandahålla all information som behövs för sådan revision, i den mån denna information ligger inom vår kontroll och vi inte är förhindrade från att lämna ut den enligt tillämplig lag, tystnadsplikt eller någon annan skyldighet gentemot tredje part.

7. Begäran om den registrerade personen

Om en dataperson kontaktar oss angående utövandet av sina rättigheter enligt dataskyddslagen (särskilt begäran om tillgång till, rättelse eller radering av klientdata), kommer vi att göra alla rimliga ansträngningar för att vidarebefordra sådana förfrågningar till dig. Om vi är juridiskt skyldiga att svara på en sådan begäran kommer vi omedelbart att meddela dig och ge dig en kopia av begäran, om vi inte är lagligt förbjudna att göra det.

8. Subprocessorer

BAS-IP har den allmänna skriftliga auktorisationen från kunden för att engagera underprocessorer från en överenskommen lista. BAS-IP samtycker till att informera klienten om eventuella avsedda ändringar i den listan rörande tillägg eller ersättning av underprocessorer minst 10 dagar före engagemanget av den aktuella underprocessorn, vilket ger klienten möjlighet att invända mot sådana ändringar. BAS-IP ska förse klienten med den information som krävs för att klienten ska kunna utöva rätten att invända.

Om avsnitt 9 i denna DPA är tillämpligt, ska förfarandet för att engagera underbehandlare styras av relevanta bestämmelser i avsnitt 9 i detta DPA. I ett sådant fall ska bestämmelserna i avsnitt 9 gälla.

Den överenskomna listan över underprocessorer anges i schema 3 i denna DPA.

9. Överföringar av klientdata

9.1. Allmänt

Du erkänner och godkänner att användning av BAS-IP-tjänster kan innebära överföring av klientdata till andra jurisdiktioner, i enlighet med tillämpliga dataskyddslagar.

När sådana överföringar kräver lämpliga skyddsåtgärder ska tillämpliga dataöverföringsmekanismer användas, såsom EU:s SCC:er och det brittiska tillägget. Dessa dataöverföringsmekanismer är integrerade i och utgör en integrerad del av denna DPA, vilket beskrivs vidare i avsnitt 9.2. och 9,3.

Vid någon konflikt mellan bestämmelserna i denna DPA och tillämpliga dataöverföringsmekanismer, ska bestämmelserna i den relevanta dataöverföringsmekanismen endast gälla i den mån sådan konflikt förekommer.

9.2. Överföringar enligt GDPR

När behandlingen av kunddata för dina räkningar i samband med tjänster utgör en ”överföring” enligt GDPR, gäller standardavtalsklausuler.

När du är en controller, och vi är en processor, gäller Modul Två av EU:s SCC:er, och när du är en processor, och vi är en underprocessor, gäller Modul Tre av EU:s SCC:er.

För EU:s SCC:er är BAS-IP en ”Data Importör”, och du är en ”Data Exporter”.

De relevanta bestämmelserna i EU:s SCC:er är införlivade genom referens och utgör en integrerad del av detta DPA. Klausuler och bilagor till EU:s högsta säkerhetsråd anses vara fullbordade enligt följande:

(i) i klausul 7 ska den frivilliga dockningsklausulen inte tillämpas;

(ii) i klausul 9, alternativ 2 (allmän skriftlig auktorisation) ska gälla. För syftet med klausul 9(a) ska tidsfristen för att informera dataexportören vara 10 dagar;

(iii) i klausul 11 ska den frivilliga bestämmelsen inte tillämpas;

(iv) i klausul 13 ska ett särskilt alternativ tillämpas beroende på det specifika fallet;

(v) i klausul 17 ska alternativ 1 tillämpas. EU:s högsta domstolar ska styras av lagen i Förbundsrepubliken Tyskland;

(vi) i punkt 18(b) ska tvister avgöras av domstolarna i Förbundsrepubliken Tyskland;

(vii) Bilaga I till EU:s SCC anses vara komplett med informationen som anges i bilaga 1 till denna DPA;

(viii) Bilaga II till EU:s SCC anses vara kompletterad med informationen som anges i bilaga 2 till denna DPA.

9.3. Överföringar enligt det brittiska dataskyddsramverket

När behandlingen av kunddata för dina räkningar i samband med tjänster utgör en ”begränsad överföring” enligt brittiska dataskyddslagar, ska det brittiska tillägget tillämpas.

När du är controller och BAS-IP är en processor, gäller modul två av EU:s SCC:er, och när du är processor, och vi är en underprocessor, gäller modul tre av EU:s SCC:er, enligt punkt 9.2. av denna DPA.

För syftet med det brittiska tillägget är BAS-IP en ”importör”, och du är en ”exportör”.

De relevanta bestämmelserna i det brittiska tillägget är införlivade genom referens och utgör en integrerad del av denna DPA. Tabeller i det brittiska tillägget anses vara fyllda enligt följande:

(i) Tabell 1 i del 1 anses vara komplett med informationen som anges i bilaga 1 till denna DPA, och importörens officiella registreringsnummer är 328138502, och exportörens officiella registreringsnummer finns i kundens konto, om något;

(ii) Tabell 2 i del 1 anses vara kompletterad i enlighet med informationen som anges i underavsnitt 9.2. av denna DPA;

(iii) Tabell 3 i del 1 anses vara komplett med informationen som anges i bilagorna 1, 2 och 3 i denna DPA;

(iv) i tabell 4 i del 1 får ingen av parterna avsluta detta tillägg enligt avsnitt 19 i det brittiska tillägget.

BILAGA 1 – BESKRIVNING AV HANDLÄGGNING

LISTA ÖVER PARTIER

Client (dataexportör)

Namn: Du, ’klient’

Adress: den relevanta informationen finns i kundens konto.

Kontaktpersonens namn, position och kontaktuppgifter: relevant information finns i kundens konto.

Aktiviteter relevanta för de data som överförs enligt dessa klausuler: tillhandahållande av tjänsterna.

Underskrift och datum: parterna är överens om att undertecknandet av avtalet av dataexportören ska utgöra genomförandet av detta DPA av både dataimportören och dataexportören. Datumet för registreringen av kontot på plattformen ska betraktas som datumet för genomförandet av detta DPA.

Roll: kontroller eller processor

BAS-IP DISTRIBUTION LTD (Dataimportör)

Namn: BAS-IP DISTRIBUTION LTD

Adress: Crown House 27 Old Gloucester Street, London, England

Kontaktpersonens namn, position och kontaktuppgifter: [vänligen, infoga namn, position och kontaktuppgifter, t.ex. e-post]

Aktiviteter relevanta för de data som överförs enligt dessa klausuler: tillhandahållande av tjänsterna.

Underskrift och datum: parterna är överens om att undertecknandet av avtalet av dataexportören ska utgöra genomförandet av detta DPA av både dataimportören och dataexportören. Datumet för registreringen av kontot på plattformen ska betraktas som datumet för genomförandet av detta DPA.

Roll: processor eller subprocessor

BESKRIVNING AV ÖVERFÖRINGEN

1. Kategorier av registrerade personer vars personuppgifter överförs:

  • Klientens kunder;
  • andra registrerade personer vars personuppgifter överförs under de tjänster som företaget tillhandahåller till kunden.

2. Kategorier av överförda personuppgifter:

  • personuppgifter relaterade till kundens kunder;
  • andra personuppgifter som kan överföras under de tjänster som företaget tillhandahåller till kunden.

1. Känsliga data överförs (om tillämpligt) och tillämpas restriktioner eller skyddsåtgärder som fullt ut tar hänsyn till datans art och de risker som är involverade:

Dataimportören får endast tillgång till känslig data när sådan information tillhandahålls av kunden och endast i den utsträckning som krävs för tjänsternas utförande. I sådana fall genomför dataimportören de tekniska och organisatoriska åtgärder som anges i bilaga 2, tillsammans med andra lämpliga och nödvändiga skyddsåtgärder eller restriktioner, med hänsyn till den känsliga datans natur och risker kopplade till dess behandling, i enlighet med tillämpliga lagar och föreskrifter.

2. Frekvensen av överföringen:

Personuppgifter överförs kontinuerligt.

3. Bearbetningens natur:

Behandlingen av personuppgifter består av följande: insamling, registrering, organisation, strukturering, lagring, anpassning eller förändring, hämtning, konsultation, samordning eller kombination, begränsning, radering eller förstörelse.

4. Syfte(r) med dataöverföringen och vidare bearbetning:

Syftet med databehandlingen enligt dessa klausuler är att Data Importören utför tjänsterna för Data Exportern enligt avtalet mellan Data Importören och Dataexportören.

5. Den period för vilken personuppgifterna kommer att sparas, eller, om det inte är möjligt, kriterierna som används för att fastställa den perioden:

Personuppgifterna ska lagras under hela denna DPA som ingåtts mellan dataimportören och dataexportören, om inget annat skriftligen avtalats eller dataimportören enligt tillämplig lag är skyldig att behålla delar eller alla överförda personuppgifter.

6. För överföringar till (sub-)processorer, ange även ämnet, arten och längden av bearbetningen:

Ämne: Utförandet av tjänster

Natur: Samling, registrering, organisation, strukturering, lagring, anpassning eller förändring, återvinning, konsultation, anpassning eller kombination, begränsning, radering eller förstörelse.

varaktighet: utförandet av tjänsterna för dataimportören av (sub)processorn enligt tjänsteavtalet som ingåtts mellan dataimportören och (sub)processorn.

KOMPETENT TILLSYNSMYNDIGHET

I enlighet med klausul 13 bestäms den behöriga tillsynsmyndigheten enligt dessa klausuler beroende på vilken version av klausul 13(a) som gäller för dataexportören.

SCHEMA 2 – TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER

TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER, INKLUSIVE TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER FÖR ATT SÄKERSTÄLLA DATASÄKERHETEN

Beskrivning av de tekniska och organisatoriska åtgärder som vidtagits av dataimportören/dataimportörerna för att säkerställa en lämplig säkerhetsnivå, med hänsyn till behandlingens natur, omfattning, kontext och syfte samt riskerna för naturliga personers rättigheter och friheter:

  • Data Importer är engagerad i att bevara sekretessen, integriteten, tillgängligheten och motståndskraften hos all persondata under hela sin bearbetning samt att säkerställa att personuppgifter skyddas mot förlust och förstörelse genom att införa lämpliga interna informationssäkerhetspolicyer, rutiner och andra lämpliga åtgärder.
  • Data Importer ger tillgång till personuppgifter strikt på need-to-know-basis, och sådan data är endast tillgänglig för auktoriserad personal.
  • Data Importer har implementerat rollbaserade åtkomstkontroller och åtkomstkontrolllistor för att säkerställa strikt separation av användarens åtkomsträttigheter.
  • Data Importers informationssäkerhetsrutiner genomgår regelbundna granskningar.
  • Data Importer använder pålitliga tjänsteleverantörer och övervakar vilka tekniska och organisatoriska åtgärder de har på plats för att säkerställa att personuppgifter alltid skyddas.
  • Data Importer har infört åtgärder som syftar till att skydda sekretessen och integriteten hos personuppgifter under dataöverföringar.
  • Data Importer har implementerat tekniska och organisatoriska åtgärder som syftar till att begränsa säkerhetsincidenter och förhindra ytterligare dataförlust och skador.

SCHEMA 3 – UNDERPROCESSORER

Kontrollanten har godkänt användningen av följande underprocessorer:

Subprocessor 1

Namn: Hetzner Online GmbH / Hetzner Finland Oy

Adress: Industriestr. 25, 91710 Gunzenhausen, Tyskland / Huurrekuja 10, 04360 Tuusula (Helsingfors / Tuusula), Finland

Kontaktpersonens namn, position och kontaktuppgifter: [email protected] 

Beskrivning av bearbetning: värd för data på servrarna hos Hetzner Online GmbH / Hetzner Finland Oy

Subprocessor 2

Namn: DigitalOcean, LLC

Adress: 105 Edgeview Drive, Ste. 425, Broomfield, CO 80021, USA

Kontaktpersonens namn, position och kontaktuppgifter: [email protected] 

Beskrivning av bearbetning: värd för data på servrarna hos DigitalOcean, LLC