Personuppgiftsbiträdesavtal
1. Bakgrund
Leverantören och Kunden har ingått ett avtal som inkluderar de tjänster som listas i huvudavtalet ("Avtalet") och som köpts av Kunden ("Tjänsterna"). Under Avtalet och i enlighet med detta PBA (enligt definitionen nedan) kan Leverantören komma att behandla personuppgifter för Kundens räkning för vilka Kunden är personuppgiftsansvarig.
2. Definitioner
"Kundutrustning" betyder datorer och annan utrustning som ägs, hyrs eller leasas av Kunden eller Kundens driftsleverantör.
"Leverantör" betyder relevant Dustinbolag inom Dustinkoncernen i enlighet med bilaga A, och när tillämpligt, varje person/enhet behörig att utföra arbete för ett bolag listat i bilaga A.
"Leverantörsutrustning" betyder datorer och annan utrustning som ägs, hyrs eller leasas av Leverantören eller av Leverantörens driftsleverantör.
"PBA" betyder detta personuppgiftsbiträdesavtal jämte samtliga härtill hörande bilagor samt alla eventuella ändringar till de omnämnda dokumenten som tillkommit på grund av bestämmelser i Avtalet.
“DPA” means this data processing agreement and attached appendices, as well as all changes to the aforementioned resulting from provisions of the Agreement.
"Säkerhetsåtgärder" betyder de tekniska och organisatoriska åtgärder som krävs för att uppfylla Tillämplig Personuppgiftslagstiftning och som är listade i bilaga A, eller som på annat sätt är nödvändiga för att skydda de personuppgifter som behandlas mot personuppgiftsincidenter.
"Tillämplig Personuppgiftslagstiftning" betyder, om inte Parterna skriftligen överenskommits om annat; (i) Dataskyddsförordningen; (ii) nationell personuppgiftslagstiftning i Sverige, Danmark, Norge och/eller Finland, som tillämpligt för Tjänsterna; och (iii) behörig tillsynsmyndighets föreskrifter och beslut som är tillämplig på behandlingen av personuppgifter i enlighet med detta PBA i Sverige, Danmark, Norge och/eller Finland.
"Tredje Land" betyder stat som inte ingår i EU eller är anslutet till EES.
3. Behandling av personuppgifter
3.1 Instruktioner
I sin roll som personuppgiftsansvarig är Kunden ansvarig för att behandling av personuppgifter utförs i enlighet med Tillämplig Personuppgiftslagstiftning. Kunden ska säkerställa att Leverantören inte behandlar andra kategorier av personuppgifter för Kundens räkning än de kategorier av personuppgifter som listas i bilaga A för relevant Tjänst och inom den omfattning som framgår däri. Om inte annat uttryckligen framgår av bilaga A ska Leverantören vid tillhandahållande av Tjänsterna:
(a) enbart behandla personuppgifter för de kategorier av registrerade som omfattas av Tjänsterna och som av sin natur anses harmlösa, såsom kontaktuppgifter för kunder och anställda;
(b) inte behandla personuppgifter som utgör särskilda kategorier av personuppgifter såsom uppgifter om hälsa eller andra känsliga personuppgifter.
Leverantören ska enbart behandla personuppgifter i enlighet med dokumenterade instruktioner från Kunden om inte Leverantören på annat sätt ska behandla personuppgifter enligt tillämplig svensk, dansk, norsk, finsk lag och/eller EU-rätt. I sådana fall ska Leverantören, i den utsträckning tillåtet enligt tillämplig lag, informera Kunden om sådant rättsligt krav innan behandlingen påbörjas.
Båda Parter ska säkerställa att den andra Parten har rätt att behandla kontaktuppgifter och andra typer av personuppgifter om den andra Partens anställda och i den utsträckning sådan behandling är nödvändig för att kunna tillhandahålla Tjänsterna.
Leverantören ska inte behandla personuppgifter för eget ändamål eller för andra ändamål än som framgår av detta PBA och Avtalet. Leverantören är berättigad att behandla personuppgifter i syfte att tillhandahålla och upprätthålla Tjänsterna samt att tillhandahålla support relaterat därtill.
Detta PBA och Kundens användning av Tjänsterna är Kundens fullständiga och slutliga instruktioner till Leverantören avseende behandling av personuppgifter med undantag för eventuella skriftliga instruktioner som Kunden är förpliktigad att tillhandhålla Leverantören för att uppfylla Tillämplig Personuppgiftslagstiftning. Alla andra ändringar ska avtalas skriftligen mellan Parterna, inklusive men inte begränsat till ändringar av bilaga A. Om Leverantören accepterar de justerade instruktionerna är Leverantören berättigad till skälig ersättning för anpassningar till de nya instruktionerna. Om Leverantören informerar Kunden inom skälig tid att Leverantören inte kan följa Kundens justerade instruktioner som tagits fram för att uppfylla Tillämplig Personuppgiftslagstiftning är Leverantören inte bunden av de föreslagna instruktionerna och Kunden har rätt att säga upp Avtalet i enlighet med punkt 11.2.
3.2 Security Measures
3.2.1 Allmänt
Leverantören har implementerat och följer de Säkerhetsåtgärder som listas i bilaga A eller som framgår av Avtalet i samband med tillhandahållandet av Tjänsterna. Leverantörens vid var tid gällande IT-säkerhetspolicy tillämpas på leveransen av Tjänsterna och Leverantören kan komma att justera denna policy under avtalstiden.
Kunden är ansvarig för att säkerställa att Säkerhetsåtgärderna uppfyller Kundens förpliktelser avseende adekvat skyddsnivå för personuppgifter som behandlas i enlighet med Tillämplig Personuppgiftslagstiftning. Om Kunden begär en ändring av Säkerhetsåtgärderna ska samma bestämmelser gälla som vid ändring av instruktion på begäran av Kunden enligt sista stycket i punkt 3.1. Om Leverantören begär ändringar av de överenskomna Säkerhetsåtgärderna ska vad som framgår av nedanstående stycke gälla.
Om Leverantören blir medveten om att Säkerhetsåtgärderna helt eller delvis står i strid med Tillämplig Personuppgiftslagstiftning ska Leverantören inom skälig tid informera Kunden om detta och tillhandahålla justerade skriftliga instruktioner för lämpliga Säkerhetsåtgärder i enlighet med ovan för Kundens godkännande. Godkänner inte Kunden de justerade instruktionerna inom skälig tid efter att Leverantören informerat Kunden om behovet av justerade instruktioner, är Leverantören berättigad att vidta skäliga och nödvändiga Säkerhetsåtgärder för att uppfylla Tillämplig Personuppgiftslagstiftning på Kundens bekostnad.
4. Rapportering av personuppgiftsincident
Om Leverantören blir medveten om en personuppgiftsincident ska Leverantören informera Kunden om detta utan onödigt dröjsmål och i enlighet med Tillämplig Personuppgiftslagstiftning.
5. Underbiträden och överföring till Tredje Land
Leverantören får anlita annat personuppgiftsbiträde (”underbiträde”) för att behandla personuppgifterna enligt detta PBA, både inom och utanför EU/EES. Kunden godkänner härmed att behandling av personuppgifter får ske av de underbiträden som finns listade i Bilaga A och i de länder som anges där. Leverantören förblir fullt ansvarig gentemot den personuppgiftsansvarige för fullgörandet av sådant underbiträdes skyldigheter. Leverantören är ansvarig att underleverantörer är bundna av skriftliga avtal som ger minst samma nivå av dataskydd som skyldigheterna enligt detta PBA. Om ett underbiträde inte uppfyller skyldigheterna enligt ovan är Leverantören ansvarig för att underbiträdets skyldigheter inte uppfylls.
Leverantören ska informera Kunden om planerade ändringar gällande underbiträden, genom att i förväg skriftligt meddela Kunden därom. Sådant meddelande ska innehålla namnet på underbiträdet och underbiträdets geografiska plats och var personuppgifterna kan behandlas. Kunden har rätt att, inom fjorton dagar från det att meddelandet erhållits från Leverantören, lämna in en skriftlig invändning mot ändringen. Skulle Leverantören trots Kundens invändning fortfarande önska göra ändringen, har Kunden rätt att säga upp Avtalet i enlighet med punkt 11.2.
Leverantören måste säkerställa att det finns en giltig överföringsmekanism på plats för en överföring av personuppgifter till ett Tredje Land. Sådan överföringsmekanism kan vara, vid var tid tillämpliga, Standardavtalsklausuler eller andra likvärdiga bestämmelser under Dataskyddsförordningens kapitel V.
6. Bistånd vid begäran från registrerade
I tillägg till vad som framgår av punkt 3.2 ska Leverantören implementera lämpliga tekniska och organisatoriska åtgärder för att, vid en skriftlig begäran från Kunden, kunna bistå Kunden vid uppfyllandet av de rättigheter som tillkommer de registrerade i enlighet med Dataskyddsförordningen. Leverantörens skyldighet enligt denna punkt gäller endast i den mån sådan hjälp är skäligen möjlig och i den mån behandlingen av personuppgifter kräver sådan skyldighet.
I tillägg till ovan och med tanke på behandlingens art och informationen tillgänglig för Leverantören, ska Leverantören vid en skriftlig begäran från Kunden bistå så att Kunden kan fullgöra de skyldigheter som ålagts Kunden avseende säkerhet för personuppgifter, personuppgiftsincidenter, konsekvensbedömning avseende dataskydd föregående samråd i enlighet med och Tillämplig Personuppgiftslagstiftning.
Leverantören är berättigad till skälig ersättning för tillhandahållen hjälp under denna punkt 6.
7. Sekretess och utlämnande av personuppgifter
Personuppgifter för vilka Kunden är personuppgiftsansvarig och vilka Leverantören behandlar i enlighet med detta PBA omfattas av de sekretessåtaganden som framgår av Avtalet.
Leverantören får inte lämna ut Kundens personuppgifter under detta PBA till en registrerad eller tredje part om inte annat framgår av Avtalet eller genom lag, domslut eller officiellt beslut. Om Leverantören lämnar ut sådan information på grund av krav enligt lag, domslut eller ett officiellt beslut ska Leverantören informera Kunden om utlämnandet förutsatt att det inte är förbjudet enligt den tillämpliga lagen, domslutet eller det officiella beslutet.
Leverantören ska utan onödigt dröjsmål informera Kunden för det fall att den registrerade begär information relaterad till behandling av personuppgifter under detta PBA och hänvisa den registrerade till Kunden. Leverantören kommer att bistå Kunden vid svar på sådan begäran i enlighet med punkt 6 ovan.
Leverantören och dess företrädare är skyldiga under Tillämplig Personuppgiftslagstiftning att samarbeta med behörig tillsynsmyndighet. Leverantören kommer att informera Kunden om sådan begäran utan onödigt dröjsmål om begäran specifikt rör behandling av personuppgifter under detta PBA. Leverantören kommer inte att representera Kunden eller agera för Kundens räkning vid sådan begäran från behörig tillsynsmyndighet. Leverantören är berättigad till skälig ersättning för dess arbete med förfrågningar relaterade till Kunden förutsatt att förfrågningen inte kommer utav Leverantörens brott mot dess skyldigheter under detta PBA.
8. Ersättning
I tillägg till vad som framgår av detta PBA är Leverantören berättigad till skälig ersättning för uppfyllande av Kundens skriftliga instruktioner om inte den begärda åtgärden är specifikt reglerad i Avtalet. Om Leverantören är berättigad till ersättning för utfört arbete ska Leverantörens vid var tid gällande prislista gälla om inte annat är specifikt reglerat i Avtalet.
9. Ansvar och ansvarsbegränsning
9.1 Allmänt
Om Leverantören är ansvarig för att betala skadestånd till en eller flera registrerade i enlighet med Tillämplig Personuppgiftslagstiftning och Kunden har deltagit i den behandling av personuppgifter som ligger till grund för de registrerades krav, ska Kunden ersätta Leverantören för den del av skadeståndet som Leverantören är skyldigt att betala till den registrerade och som kan tillskrivas Kundens bristande uppfyllande av skyldigheter eller Kundens instruktion till Leverantören. Därtill ska Kunden ersätta Leverantören för de skäliga kostnader som kan hänföras till Leverantörens försvar mot de registrerades krav (inklusive vad Leverantören har blivit skyldigt att betala till de registrerade).
Om Kunden är ansvarig för att betala skadestånd till en eller flera registrerade i enlighet med Tillämplig Personuppgiftslagstiftning och Leverantören har deltagit i den behandling av personuppgifter som ligger till grund för den registrerades krav, ska Leverantören ersätta Kunden för den del av skadeståndet som Kunden är skyldig att betala till den registrerade och som kan tillskrivas Leverantörens bristande uppfyllande skyldigheter i enlighet med Tillämplig Personuppgiftslagstiftning eller detta PBA. Därtill ska Leverantören ersätta Kunden för de skäliga kostnader som kan hänföras till Kundens försvar mot de registrerades krav (inklusive vad Kunden har blivit skyldig att betala till de registrerade). Leverantörens totala ersättningsansvar under detta PBA är begränsat till 150 procent av avgiften för Tjänsten för de första tolv månaderna av Tjänsterna såvida inte Leverantören har orsakat skadan uppsåtligen eller med grov oaktsamhet. Parts ansvar för skador annat än vad som uttryckligen framgår häri regleras genom Avtalet.
Parts ansvar för skador annat än vad som uttryckligen framgår häri regleras genom Avtalet.
9.2 Anmälan, rätt till information m.m.
Part som är föremål för krav från registrerade ska inom skälig tid (i) informera den andra Parten skriftligen om eventuella krav som kan komma att omfatta krav mot den andra Parten i enlighet med denna punkt 9; och (ii) ge den andra Parten insyn till eventuella handlingar i en sådan process, både från Parten och från de registrerade samt ge den andra Parten möjlighet att inge kommentarer på sådana handlingar.
Part som är föremål för krav från registrerade ska inom skälig tid (i) informera den andra Parten skriftligen om eventuella krav som kan komma att omfatta krav mot den andra Parten i enlighet med denna punkt 9; och (ii) ge den andra Parten insyn till eventuella handlingar i en sådan process, både från Parten och från de registrerade samt ge den andra Parten möjlighet att inge kommentarer på sådana handlingar.
10. Revision (granskning)
Leverantör ska ge Kunden tillgång till all information som skäligen kan behövas för att visa att de skyldigheter som tillkommer personuppgiftsbiträden under Tillämplig Personuppgiftslagstiftning har fullgjorts. Detta inkluderar tillhandahållande av skälig hjälp vid granskning och inspektion utförd av Kunden eller en revisor som bemyndigats av Kunden. Inspektion får endast utföras om en granskning inte kan fullgöras genom Leverantörens tillhandahållande av information. Leverantören ska informeras om en inspektion i god tid före det tilltänkta datumet för inspektionen med angivande av omfattningen och syftet med inspektionen. Leverantören är berättigad till skälig ersättning för kostnader i samband med genomförandet av sådan granskning eller inspektion.
Före en granskning eller en inspektion ska Kunden eller den revisor som bemyndigats av Kunden uppfylla nödvändiga sekretesskrav och följa Leverantörens säkerhetspolicy på platsen för inspektionen. Inspektionen får inte hindra Leverantörens verksamhet eller riskera skyddet av andra kunders information. Information som har samlats in som en del av en granskning ska raderas efter färdig granskning eller när informationen inte längre är nödvändig för syftet med granskningen.
11. Avtalsperiod och upphörande
11.1 Allmänt
Detta PBA är giltigt så länge Leverantören behandlar personuppgifter för Kundens räkning och upphör automatiskt tillsammans med Avtalet när Leverantören inte längre tillhandhåller några Tjänster till Kunden, dock kvarstår Parternas ansvar under detta PBA även efter Avtalets upphörande.
Vid upphörande av detta PBA ska Leverantören radera eller återlämna Kundens personuppgifter till Kunden eller till en tredje part i enlighet med instruktion från Kunden, inklusive personuppgifter som behandlas på Leverantörsutrustning men exklusive personuppgifter som behandlas på Kundutrustning. Personuppgifter som lagras elektroniskt kan tillhandahållas elektroniskt i enlighet med Kundens instruktion om detta kan anses skäligt. Kundens begäran om radering eller återlämnande ska framställas inom sextio dagar efter att detta PBA har upphört att gälla. Efter utgången av ovanstående period, och om inte annat krävs i enlighet med svensk, dansk, norsk, finsk lag och/eller EUrätt, som tillämpligt, kan Leverantören radera existerande kopior av personuppgifter. Efter återlämnandet av personuppgifter, eller om en begäran om återlämnande inte har gjorts av Kunden under den ovanstående perioden ska Leverantören radera Kundens personuppgifter inom skälig tid men inte senare än sex månader efter att detta PBA har upphört att gälla.
Leverantören får inte behandla personuppgifter för något annat syfte än för att radera personuppgifter eller för att skydda personuppgifterna mot personuppgiftsincidenter efter att detta PBA har upphört att gälla om inte annat gäller enligt svensk, dansk, norsk, finsk lag och/eller EU-rätt. Leverantören är berättigad till skälig ersättning för arbete utfört enligt denna punkt 11.1.
11.1 Konsekvenser av förtida upphörande
Kunden har rätt att säga upp Avtalet i enlighet med punkt 3.1 och 5 i relation till de Tjänster som omfattas och med beaktande av en uppsägningstid om 90 dagar. Om delvis uppsägning av Avtalet inte är möjlig på grund av tekniska skäl ska uppsägning av någon Tjänst appliceras på hela Avtalet och/eller alla Tjänster som omfattas. Om Avtalet upphör att gälla i enlighet med ovan ska Leverantören vid uppsägningstidens slut återbära eventuella förutbetalda avgifter för Tjänster som inte kommer att användas efter Avtalets upphörande. Om Kunden har ett giltigt skäl för invändning mot det tilltänkta nya underbiträdet ska Leverantören inte anlita det aktuella underbiträdet under uppsägningsperioden. Om Kunden inte kan visa att Kunden har ett giltigt skäl för att invända mot det aktuella underbiträdet är uppsägningen att ses som en ogiltig förtida uppsägning av PBA och Leverantören berättigad till ersättning motsvarande tjugofem procent av det kvarvarande kontraktsvärdet. Därtill, om Tjänsterna inkluderar produkter som är nödvändiga för tillhandahållandet av Tjänsterna och vilka har köpts in av Leverantören specifikt för Kunden, åtar sig Kunden att köpa dessa produkter från Leverantören för det fall att Kunden begär förtida uppsägning i enlighet med denna punkt. Exempel på produkter som kan omfattas inkluderar nätverksprodukter som ägs eller leasas av Leverantören och som har installerats på Kundens ställe men inkluderar inte produkter som är relaterade till privata eller publika molntjänster och som är installerade i Leverantörens eller dess partners lokaler.
Med "giltigt skäl" enligt denna punkt avses omständigheter från underbiträdets sida som väsentligen påverkar eller som sannolikt kan påverka skyddet av de registrerades personuppgifter, exempelvis att det nya underbiträdet inte uppfyller de skyldigheter som ställs på personuppgiftsbiträden enligt Tillämplig Personuppgiftslagstiftning.
BILAGA A. TILL PERSONUPPGIFTSBITRÄDESAVTAL
Specification over processing of personal data in connection with Takeback Services
INSTRUKTIONER | ||
|---|---|---|
1.1 Kort beskrivning av Tjänsterna och syftet med behandlingen | Uppge alla ändamål för vilka personuppgifter kommer att behandlas av Leverantören: Leverantören kommer att behandla personuppgifter i den mån nödvändigt för att utföra Tjänsterna i enlighet med Avtalet och såsom vidare specificerats i beskrivningen av Tjänsterna, samt enligt instruktion från Kunden i dess användning av Tjänsterna. | |
1.2 Kategorier av personuppgifter | Lista alla typer av personuppgifter som kommer att behandlas av Leverantören: Leverantören kommer att behandla (radera) personuppgifter som lagras i kundens IT-utrustning i enlighet med Tjänstebeskrivningen. Innehållet i lT-utrustning som tillhandahålls av kunden beror på hur användarna använder utrustningen, och är därför inte känt av Leverantören och kan bestå av alla typer av uppgifter. Lista alla typer av särskilda kategorier av personuppgifter som kommer att behandlas av Leverantören (om några): Personuppgifter som lagras i kundens IT-utrustning som tillhandahålls Leverantören inom ramen för Tjänsten är beroende på hur användarna använder utrustningen. På grund av detta kan särskilda kategorier av personuppgifter behandlas (raderas). | |
1.3 Kategorier av registrerade | Lista kategorierna av registrerade som Leverantören kommer att behandla personuppgifter om och omfattningen av behandlingen: Innehållet i IT-utrustning som tillhandahålls av kunden beror på hur användarna använder utrustningen, och därför är det inte känt vilka personer som personuppgifterna kan komma att behandlas. | |
1.4 Typer av behandling (lagring, administrering m.m.) | Lista typerna av behandling som kommer att utföras av Leverantören: Radering av innehåll på IT-utrustning som tillhandahålls av Kunden, antingen genom säker överskrivning av medierna eller säker förstöring av innehållet/utrustningen. | |
1.5 Plats för behandling | Lista alla länder i vilka personuppgifter kommer att lagras och/eller behandlas av Leverantören: Personuppgifter för de köpta Tjänsterna behandlas av leverantören i Sverige. |
SÄKERHETSÅTGÄRDER | ||
|---|---|---|
Ange alla organisatoriska och tekniska åtgärder som kommer att implementeras av Leverantören | ||
2.1 Fysisk åtkomstkontroll | Åtgärder för att hindra fysisk åtkomstkontroll från obehöriga personer till IT-system som hanterar personuppgifter: Tillträde till byggnader är begränsat med hjälp av personliga passerkort med personlig pinkod och tillträde ges endast under vissa tider på dygnet. Detta gäller både kontors- och produktionsmiljöer. Tillträdet till produktionsområdet är begränsat ytterligare genom att det endast omfattar auktoriserad personal som arbetar för att tillhandahålla tjänsten. Byggnaderna är skyddade av larm på säkerhetsnivå 2 och är anslutna till ett tredjeparts säkerhetsföretag. Lokalerna låses varje kväll och låses upp varje morgon av säkerhetsvakter på plats. Larmet aktiveras automatiskt och ställs in vid en viss tidpunkt på kvällen. | |
2.2 Systemåtkomstkontroll | Åtgärder för att hindra obehöriga personer från att använda IT-system och processer: Åtkomsträttigheter tillämpas på grundval av behov av information, vilket säkerställer att personalen endast har tillgång till information som de behöver för att kunna utföra sina uppgifter inom ramen för sina roller. Åtkomsträttigheter granskas regelbundet inom förbestämda intervaller för att säkerställa att åtkomsträttigheterna förblir aktuella och relevanta. | |
2.3 Uppgiftsåtkomstkontroll | Åtgärder för att säkerställa att personer som är behöriga att använda IT-systemen enbart har tillgång till sådana personuppgifter i enlighet med deras användningsrätt: På grund av Tjänstens karaktär kommer Leverantören inte att ha tillgång till uppgifterna. Leverantören kommer inte att behandla uppgifterna förutom radering. | |
2.4 Överföringsåtkomstkontroll | Åtgärder för att säkerställa att personuppgifter inte kan läsas, kopieras, ändras eller raderas av obehöriga personer under elektronisk överföring eller under transport eller lagring på databärare och att dessa områden kan kontrolleras och identifieras när överföring av personuppgifter genomförs via dataöverföringssystem: På grund av Tjänstens karaktär kommer Leverantören inte att överföra personuppgifter elektroniskt. Enheterna transporteras i låsta säkerhetsskåp med olika pinkoder för varje säkerhetsskåp. Produktionsteamet skannar de tillämpliga lådnumren och kopplar säkerhetsskåpen till den specifika beställningen. Säkerhetsskåpen är låsta när de skickas ut tomma och kunden ansvarar för att låsa säkerhetsskåpen innan de skickas tillbaka till Leverantören. säkerhetsskåpen öppnas när de anländer till leverantören och foton tas för att dokumentera innehållet i säkerhetsskåpen. Låskoderna byts ut med en förbestämd intervall för att förhindra obehörig åtkomst till säkerhetsskåpen. | |
2.5 Tillträdeskontroll | Åtgärder för att säkerställa att det i efterhand kan granskas och fastslås om och från vem som personuppgifter har lagts till, ändrats eller raderats i IT-systemet: Tillgång till system loggas och övervakas för att skapa ett spår för granskningar och revision för säkerhet och processer för ansvarsskyldighet. | |
2.6 Tillgänglighetskontroll | Åtgärder för att säkerställa att personuppgifterna är skyddade mot oavsiktlig förstörelse eller förlust: På grund av Tjänstens karaktär är avsikten alltid att radera data som lagras på enheter som Kunden tillhandahåller Leverantören. | |
2.7 Separationskontroll | Åtgärder för att säkerställa att personuppgifter som samlats in för olika ändamål kan behandlas separat: Icke tillämpbart eftersom Leverantören inte kommer att behandla personuppgifter för Kundens räkning i andra syften än radering. | |
2.8 Processkontroller för säker radering | Processen för återlämning, radering och vidare leverans har byggts upp för att garantera en säker hantering av de returnerade föremålen vid alla tillfällen. De viktigaste säkerhetsåtgärderna är följande:
| |
2.9 Lagringsregler | Åtgärder för att säkerställa att personuppgifter raders eller förstörs på ett adekvat sätt när användningen av personuppgifterna inte längre är rimlig eller nödvändig: Under avtalsperioden: Leverantören kommer att radera eller förstöra personuppgifterna som en del av leverans av Tjänsten inom två månader från det att produkterna överlämnades till Dustin. Efter avtalsperiodens upphörande: Leverantören kommer inte att behandla personuppgifterna i något annat syfte än radering. Radering eller återlämnande av personuppgifterna efter det att avtalets giltighet har löpt ut kommer därför inte att gälla för Tjänsten. |