Dansk
Deutsch
English
Español
Français
Italiano
Nederlands
Norsk
SuomiDATABEHANDLINGSAVTAL
MELLAN
Kunden enligt definitionen i de allmänna villkoren (hädanefter kallad: "Personuppgiftsansvarig"),
OCH
XD Connects enligt definitionen i de allmänna villkoren (hädanefter kallad "Behandlaren").
Hädanefter individuellt ”Part” och gemensamt ”Parter”
HAR ENATS OM FÖLJANDE.
1. Föremål för detta databehandlingsavtal
1.1. Detta databehandlingsavtal gäller uteslutande för behandling av personuppgifter inom ramen för avtalet som definieras i de allmänna villkoren, på uppdrag av den personuppgiftsansvarige som beskrivs närmare i punkt 1.3 och bilaga 1 del A i detta databehandlingsavtal.
1.2. Termer som definieras i den allmänna dataskyddsförordningen (2016/679/EU, nedan kallad "GDPR") såsom "behandling", "personuppgifter", "personuppgiftsansvarig", "behandlare" och "personuppgiftsincident" ska ha samma betydelse som i GDPR. Villkor som definieras i de allmänna villkoren kommer att ha samma innebörd, om inte annat uttryckligen anges.
1.3. Behandlaren kommer att behandla personuppgifter för den Personuppgiftsansvariges räkning under genomförandet av Avtalet (nedan kallat: "Personuppgifterna"). En översikt över detaljerna i behandlingen av personuppgifter finns i bilaga 1 del A. För all annan behandling av personuppgifter i samband med tillhandahållande av sina tjänster som inte anges i detta databehandlingsavtal är XD Connects personuppgiftsansvarig i sig.
2. Den personuppgiftsansvarige och behandlaren
2.1. Behandlaren kommer att fungera som behandlaren och Personuppgiftsansvarig kommer att fungera som personuppgiftsansvarig. Behandlaren kommer att agera i enlighet med dokumenterade instruktioner från den Personuppgiftsansvarige, enligt vad som anges i Avtalet och detta databehandlingsavtal. Den Personuppgiftsansvarige garanterar att den har en rättslig grund för behandling inom ramen för Avtalet, inklusive påvisbart samtycke vid behov.
2.2. Behandlaren kommer endast att behandla personuppgifterna på ett sådant sätt som - och i den utsträckning som - detta är nödvändigt för tillhandahållandet av tjänsterna enligt Avtalet eller för att uppfylla en rättslig skyldighet som behandlaren är föremål för, i vilket fall behandlaren kommer att underrätta den personuppgiftsansvarige om sådan rättslig skyldighet, såvida inte den lagen förbjuder sådan underrättelse av viktiga skäl av allmänt intresse.
2.3. Den personuppgiftsansvarige garanterar att dess instruktioner till behandlaren inte strider mot eller kommer att orsaka brott mot detta databehandlingsavtal eller tillämplig lagstiftning, inklusive GDPR.
3. Sekretess
3.1. Utan att det påverkar eventuella befintliga avtalsarrangemang mellan parterna, kommer behandlaren att se till att den ska behandla alla personuppgifter som strikt konfidentiella. Behandlaren ska säkerställa att alla personer som är behöriga att behandla personuppgifterna är bundna av sekretess. Dessa skyldigheter kommer inte att hindra behandlaren från att dela information med en tredje part i enlighet med avtalet, detta databehandlingsavtal eller i den utsträckning sådant utlämnande är obligatoriskt enligt tillämplig lag.
4. Säkerhet
4.1. Behandlaren ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för risken för behandlingen av personuppgifterna. Dessa åtgärder avtalas av parterna i bilaga 2. Behandlaren kan ändra dessa från tid till annan, förutsatt att sådana ändringar inte kommer att resultera i en lägre skyddsnivå.
5. Information och revision
5.1. På begäran av den personuppgiftsansvarige ska behandlaren tillhandahålla den information som är absolut nödvändig för att den personuppgiftsansvarige ska kunna uppfylla sina skyldigheter enligt GDPR.
5.2. Den personuppgiftsansvarige har rätt att utföra en revision av behandlaren en gång per tolv månader i syfte att fastställa i vilken utsträckning behandlaren följer bestämmelserna i databehandlingsavtalet. Sådan revision kommer att utföras av en oberoende tredje part och kommer att äga rum vid en tidpunkt som definieras av båda parter tillsammans. Behandlaren ska ge revisorn tillgång – på begäran av revisorn – till de anläggningar, personal, policyer och dokument som rimligen är nödvändiga för revisionens syfte. Den personuppgiftsansvarige ska bära kostnaderna för en sådan revision.
5.3. Behandlaren kommer omedelbart att informera den personuppgiftsansvarige om en begäran från (granskaren av) den personuppgiftsansvarige strider mot lagen.
6. Internationell dataöverföring
6.1. Behandlaren ska endast överföra personuppgifter till ett land utanför Europeiska ekonomiska samarbetsområdet om det följer kapitel V i GDPR.
6.2. Den personuppgiftsansvarige samtycker till att när behandlaren anlitar en underbehandlare i enlighet med klausul 7 för att utföra specifika behandlingsaktiviteter (på den personuppgiftsansvariges vägnar) och dessa behandlingsaktiviteter innebär en överföring av personuppgifter i den mening som avses i kapitel V i GDPR, kan behandlaren och underbehandlaren säkerställa överensstämmelse med detta genom att använda standardavtalsklausuler som antagits av Europeiska kommissionen i enlighet med artikel 46(2) i GDPR.
7. Underbehandlare
7.1. Den personuppgiftsansvarige ger behandlaren särskilt tillstånd att anlita de underbehandlare som anges i bilaga 1 del B.
7.2. Den personuppgiftsansvarige ger behandlaren allmänt tillstånd att anlita andra underbehandlare. Behandlaren ska informera den personuppgiftsansvarige i förväg om anlitandet av en underbehandlare, i vilket fall den personuppgiftsansvarige har rätt att invända mot anlitandet av denna underbehandlare inom fyra veckor. Om den personuppgiftsansvarige inte har gjort en invändning inom dessa fyra veckor, antas den personuppgiftsansvarige ha gett sitt specifika tillstånd till anställningen av denna underbehandlare.
7.3. Behandlaren ska förbli ansvarig gentemot den personuppgiftsansvarige för utförandet av – eller underlåtenheten att utföra – de skyldigheter som anges i detta databehandlingsavtal av underbehandlare, i enlighet med artikel 10.
7.4. Behandlaren ska säkerställa att underbehandlaren skriftligen är bunden av liknande skyldigheter som behandlaren enligt detta databehandlingsavtal.
8. Dataintrång och samarbete med registrerades rättigheter
8.1. Vid personuppgiftsincident ska behandlaren meddela personuppgiftsansvarig utan oskäligt dröjsmål efter upptäckt.
8.2. Om behandlaren mottar ett klagomål eller en begäran från en fysisk person med avseende på personuppgifterna, enligt beskrivningen i kapitel 3 i GDPR, ska behandlaren meddela den personuppgiftsansvarige inom en vecka efter mottagandet av klagomålet eller begäran.
9. Återlämnande eller förstörande av personuppgifter
9.1. Om inte tillämplig lag kräver att uppgifterna behålls, ska behandlaren radera personuppgifterna i enlighet med lagringsperioden som anges i bilaga A. På skriftlig begäran av den personuppgiftsansvarige ska behandlaren återlämna personuppgifterna till den personuppgiftsansvarige.
10. Ansvar och skadestånd
10.1. Behandlaren är ensamt ansvarig om och i den omfattning som anges i avtalet. Behandlarens ansvar för skador som uppstår på grund av eller i samband med behandlingen av personuppgifter är vidare begränsat till endast direkta skador som orsakas enbart av ett brott mot databehandlingsavtalet av behandlaren och utesluter eventuella indirekta skador. Indirekta skador inkluderar under alla omständigheter: förlust av data, krav från tredje part, inklusive kunder, böter för tillsynsmyndigheter och förlorad omsättning eller vinst.
10.2. Det maximala belopp för vilket behandlaren kan hållas ansvarigt per händelse, där en serie relaterade händelser räknas som en enda händelse, är lika med de totala avgifter som den personuppgiftsansvarige betalat till behandlaren under de tolv månader som föregår den händelsen.
11. Varaktighet och uppsägning
11.1. Detta databehandlingsavtal träder i kraft och upphör att gälla samtidigt med avtalet.
11.2. Uppsägning eller upphörande av detta databehandlingsavtal ska inte befria behandlaren från dess skyldigheter som är avsedda att överleva uppsägning eller upphörande av databehandlingsavtalet, inklusive de skyldigheter som följer av artikel Sekretess, 4, 8, 9 och 10 i detta databehandlingsavtal.
12. Övrigt
12.1. I händelse av bristande överensstämmelse mellan bestämmelserna i detta databehandlingsavtal och bestämmelserna i avtalet ska bestämmelserna i detta databehandlingsavtal ha företräde.
12.2. Eventuella meddelanden som utförs enligt detta databehandlingsavtal av behandlaren till den personuppgiftsansvarige, till exempel meddelanden enligt artiklarna 7 och 8, ska skickas via e-post till den personuppgiftsansvariges kontaktinformation som finns tillgänglig på XD Connects. Det är den personuppgiftsansvariges ansvar att se till att kontaktuppgifterna alltid är korrekta och uppdaterade.
12.3. Detta databehandlingsavtal regleras av lagarna i Nederländerna. Eventuella tvister som härrör från eller i samband med detta databehandlingsavtal ska uteslutande väckas vid den behöriga domstolen i Haag.
Bilaga 1:
A) Uppgifter om behandlingen av personuppgifter
Kategorier av registrerade vars personuppgifter behandlas
• Mottagare när denna verksamhet inte är en juridisk person; och
• Mottagare som får dropshipping-produkter.
Kategorier av personuppgifter som behandlas
• (Företags) namn
• (Företags) e-postadress
• (Företags) telefonnummer
• (Företags) adress
Känsliga uppgifter som behandlas (om tillämpligt)
Ej tillämpligt
Behandlingens art
Behandlaren är leverantör av reklamartiklar och gåvor. Den personuppgiftsansvarige (kunden) kan beställa dessa artiklar via behandlarens digitala portal. När en beställning görs är behandling av mottagarens (personliga) uppgifter nödvändig för att slutföra och skicka beställningen. Om mottagaren till vilken personuppgiftsansvarig skickar en beställning är ett företag utan juridisk person eller en fysisk person som mottagare av dropshipping-tjänster, behandlas personuppgifter för vilka behandlaren (XD Connects) är behandlare.
Syfte(n) för vilka personuppgifterna behandlas för den Personuppgiftsansvariges räkning
• För att skicka beställningar till mottagare
Behandlingens varaktighet
Behandlingen varar från det att beställningen görs till slutet av lagringsperioden. Lagringen för personuppgifter är följande:
• Mottagarinformation i beställningsdetaljer: 2 år
• Mottagarinformation i dropshipping-översikt: 2 år
B) Underbehandlare
Underbehandlare som anlitas av behandlaren:
• B2C Europe (Maersk) för leverans av dropshippingbeställningar
• Elanders Sverige AB för lagerlokaler
• Early Bird Sverige för leverans av beställningar
Bilaga 2:
Säkerhetsåtgärder
Behandlaren ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för risken för behandlingen av personuppgifterna, med hänsyn till den senaste tekniken, kostnaderna för genomförandet och arten, omfattningen, sammanhanget och syftet med behandlingen samt risken för varierande sannolikhet och svårighetsgrad för fysiska personers rättigheter och friheter. De säkerhetsåtgärder som implementeras av behandlaren inkluderar:
• Åtkomstsäkerhet
Till exempel: åtkomst till personuppgifter beviljas endast till personer med behov av att veta för utförandet av sin roll och åtkomsträttigheter utvärderas regelbundet, starkt lösenordskrav och användning av lösenordsverktyg, användning av MFA med fastställda slutpunktskrav.
• Dataintegritet
Till exempel: data säkerhetskopieras regelbundet baserat på 1-2-3-principen, datainmatning valideras. Personuppgifter förstörs i slutet av lagringsperioden.
• Organisationssäkerhet
Till exempel: klassificering av information, tillhandahålla information till personalen med tillgång till personuppgifter och disciplinära konsekvenser, kontrollera användningen av nätverkspolicy och sanering av oanvända policyer.
• Fysisk säkerhet
Till exempel: begränsad tillgång till fysisk lagringsplats, övervakning av områden där personuppgifterna lagras, förebyggande, upptäckt och driftsförfarande i händelse av nödsituationer (såsom brand, intrång och vatten) och redundanta system.
• Nätverks- och datasäkerhet
Till exempel: omfattande segmentering av nätverket baserat på ZTN, med hjälp av brandväggar och EDR, som använder och ständigt uppdaterar antivirusprogram, använda säkra kommunikationskanaler och använda ett intrångsdetekterings- och förebyggande system.
• Hantering av säkerhetsincidenter
Till exempel: utbildning i incidenthantering och utveckling av en säkerhetsincidentplan och kontinuitetsplan.
• Provnings- och utvärderingsförfaranden
Till exempel: rutiner för att regelbundet utvärdera och förbättra effektiviteten hos säkerhetsåtgärderna, till exempel en oberoende extern revisionscykel och certifiering för relevanta säkerhetsstandarder.
• Bortskaffande av data
Till exempel: Personuppgifter raderas oåterkalleligt när de inte längre är nödvändiga och kasserad lagringshårdvara raderas i enlighet med branschpraxis.
DATABEHANDLINGSAVTAL
MELLAN
Kunden enligt definitionen i de allmänna villkoren (hädanefter kallad: "Personuppgiftsansvarig"),
OCH
XD Connects enligt definitionen i de allmänna villkoren (hädanefter kallad "Behandlaren").
Hädanefter individuellt ”Part” och gemensamt ”Parter”
HAR ENATS OM FÖLJANDE.
1. Föremål för detta databehandlingsavtal
1.1. Detta databehandlingsavtal gäller uteslutande för behandling av personuppgifter inom ramen för avtalet som definieras i de allmänna villkoren, på uppdrag av den personuppgiftsansvarige som beskrivs närmare i punkt 1.3 och bilaga 1 del A i detta databehandlingsavtal.
1.2. Termer som definieras i den allmänna dataskyddsförordningen (2016/679/EU, nedan kallad "GDPR") såsom "behandling", "personuppgifter", "personuppgiftsansvarig", "behandlare" och "personuppgiftsincident" ska ha samma betydelse som i GDPR. Villkor som definieras i de allmänna villkoren kommer att ha samma innebörd, om inte annat uttryckligen anges.
1.3. Behandlaren kommer att behandla personuppgifter för den Personuppgiftsansvariges räkning under genomförandet av Avtalet (nedan kallat: "Personuppgifterna"). En översikt över detaljerna i behandlingen av personuppgifter finns i bilaga 1 del A. För all annan behandling av personuppgifter i samband med tillhandahållande av sina tjänster som inte anges i detta databehandlingsavtal är XD Connects personuppgiftsansvarig i sig.
2. Den personuppgiftsansvarige och behandlaren
2.1. Behandlaren kommer att fungera som behandlaren och Personuppgiftsansvarig kommer att fungera som personuppgiftsansvarig. Behandlaren kommer att agera i enlighet med dokumenterade instruktioner från den Personuppgiftsansvarige, enligt vad som anges i Avtalet och detta databehandlingsavtal. Den Personuppgiftsansvarige garanterar att den har en rättslig grund för behandling inom ramen för Avtalet, inklusive påvisbart samtycke vid behov.
2.2. Behandlaren kommer endast att behandla personuppgifterna på ett sådant sätt som - och i den utsträckning som - detta är nödvändigt för tillhandahållandet av tjänsterna enligt Avtalet eller för att uppfylla en rättslig skyldighet som behandlaren är föremål för, i vilket fall behandlaren kommer att underrätta den personuppgiftsansvarige om sådan rättslig skyldighet, såvida inte den lagen förbjuder sådan underrättelse av viktiga skäl av allmänt intresse.
2.3. Den personuppgiftsansvarige garanterar att dess instruktioner till behandlaren inte strider mot eller kommer att orsaka brott mot detta databehandlingsavtal eller tillämplig lagstiftning, inklusive GDPR.
3. Sekretess
3.1. Utan att det påverkar eventuella befintliga avtalsarrangemang mellan parterna, kommer behandlaren att se till att den ska behandla alla personuppgifter som strikt konfidentiella. Behandlaren ska säkerställa att alla personer som är behöriga att behandla personuppgifterna är bundna av sekretess. Dessa skyldigheter kommer inte att hindra behandlaren från att dela information med en tredje part i enlighet med avtalet, detta databehandlingsavtal eller i den utsträckning sådant utlämnande är obligatoriskt enligt tillämplig lag.
4. Säkerhet
4.1. Behandlaren ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för risken för behandlingen av personuppgifterna. Dessa åtgärder avtalas av parterna i bilaga 2. Behandlaren kan ändra dessa från tid till annan, förutsatt att sådana ändringar inte kommer att resultera i en lägre skyddsnivå.
5. Information och revision
5.1. På begäran av den personuppgiftsansvarige ska behandlaren tillhandahålla den information som är absolut nödvändig för att den personuppgiftsansvarige ska kunna uppfylla sina skyldigheter enligt GDPR.
5.2. Den personuppgiftsansvarige har rätt att utföra en revision av behandlaren en gång per tolv månader i syfte att fastställa i vilken utsträckning behandlaren följer bestämmelserna i databehandlingsavtalet. Sådan revision kommer att utföras av en oberoende tredje part och kommer att äga rum vid en tidpunkt som definieras av båda parter tillsammans. Behandlaren ska ge revisorn tillgång – på begäran av revisorn – till de anläggningar, personal, policyer och dokument som rimligen är nödvändiga för revisionens syfte. Den personuppgiftsansvarige ska bära kostnaderna för en sådan revision.
5.3. Behandlaren kommer omedelbart att informera den personuppgiftsansvarige om en begäran från (granskaren av) den personuppgiftsansvarige strider mot lagen.
6. Internationell dataöverföring
6.1. Behandlaren ska endast överföra personuppgifter till ett land utanför Europeiska ekonomiska samarbetsområdet om det följer kapitel V i GDPR.
6.2. Den personuppgiftsansvarige samtycker till att när behandlaren anlitar en underbehandlare i enlighet med klausul 7 för att utföra specifika behandlingsaktiviteter (på den personuppgiftsansvariges vägnar) och dessa behandlingsaktiviteter innebär en överföring av personuppgifter i den mening som avses i kapitel V i GDPR, kan behandlaren och underbehandlaren säkerställa överensstämmelse med detta genom att använda standardavtalsklausuler som antagits av Europeiska kommissionen i enlighet med artikel 46(2) i GDPR.
7. Underbehandlare
7.1. Den personuppgiftsansvarige ger behandlaren särskilt tillstånd att anlita de underbehandlare som anges i bilaga 1 del B.
7.2. Den personuppgiftsansvarige ger behandlaren allmänt tillstånd att anlita andra underbehandlare. Behandlaren ska informera den personuppgiftsansvarige i förväg om anlitandet av en underbehandlare, i vilket fall den personuppgiftsansvarige har rätt att invända mot anlitandet av denna underbehandlare inom fyra veckor. Om den personuppgiftsansvarige inte har gjort en invändning inom dessa fyra veckor, antas den personuppgiftsansvarige ha gett sitt specifika tillstånd till anställningen av denna underbehandlare.
7.3. Behandlaren ska förbli ansvarig gentemot den personuppgiftsansvarige för utförandet av – eller underlåtenheten att utföra – de skyldigheter som anges i detta databehandlingsavtal av underbehandlare, i enlighet med artikel 10.
7.4. Behandlaren ska säkerställa att underbehandlaren skriftligen är bunden av liknande skyldigheter som behandlaren enligt detta databehandlingsavtal.
8. Dataintrång och samarbete med registrerades rättigheter
8.1. Vid personuppgiftsincident ska behandlaren meddela personuppgiftsansvarig utan oskäligt dröjsmål efter upptäckt.
8.2. Om behandlaren mottar ett klagomål eller en begäran från en fysisk person med avseende på personuppgifterna, enligt beskrivningen i kapitel 3 i GDPR, ska behandlaren meddela den personuppgiftsansvarige inom en vecka efter mottagandet av klagomålet eller begäran.
9. Återlämnande eller förstörande av personuppgifter
9.1. Om inte tillämplig lag kräver att uppgifterna behålls, ska behandlaren radera personuppgifterna i enlighet med lagringsperioden som anges i bilaga A. På skriftlig begäran av den personuppgiftsansvarige ska behandlaren återlämna personuppgifterna till den personuppgiftsansvarige.
10. Ansvar och skadestånd
10.1. Behandlaren är ensamt ansvarig om och i den omfattning som anges i avtalet. Behandlarens ansvar för skador som uppstår på grund av eller i samband med behandlingen av personuppgifter är vidare begränsat till endast direkta skador som orsakas enbart av ett brott mot databehandlingsavtalet av behandlaren och utesluter eventuella indirekta skador. Indirekta skador inkluderar under alla omständigheter: förlust av data, krav från tredje part, inklusive kunder, böter för tillsynsmyndigheter och förlorad omsättning eller vinst.
10.2. Det maximala belopp för vilket behandlaren kan hållas ansvarigt per händelse, där en serie relaterade händelser räknas som en enda händelse, är lika med de totala avgifter som den personuppgiftsansvarige betalat till behandlaren under de tolv månader som föregår den händelsen.
11. Varaktighet och uppsägning
11.1. Detta databehandlingsavtal träder i kraft och upphör att gälla samtidigt med avtalet.
11.2. Uppsägning eller upphörande av detta databehandlingsavtal ska inte befria behandlaren från dess skyldigheter som är avsedda att överleva uppsägning eller upphörande av databehandlingsavtalet, inklusive de skyldigheter som följer av artikel Sekretess, 4, 8, 9 och 10 i detta databehandlingsavtal.
12. Övrigt
12.1. I händelse av bristande överensstämmelse mellan bestämmelserna i detta databehandlingsavtal och bestämmelserna i avtalet ska bestämmelserna i detta databehandlingsavtal ha företräde.
12.2. Eventuella meddelanden som utförs enligt detta databehandlingsavtal av behandlaren till den personuppgiftsansvarige, till exempel meddelanden enligt artiklarna 7 och 8, ska skickas via e-post till den personuppgiftsansvariges kontaktinformation som finns tillgänglig på XD Connects. Det är den personuppgiftsansvariges ansvar att se till att kontaktuppgifterna alltid är korrekta och uppdaterade.
12.3. Detta databehandlingsavtal regleras av lagarna i Nederländerna. Eventuella tvister som härrör från eller i samband med detta databehandlingsavtal ska uteslutande väckas vid den behöriga domstolen i Haag.
Bilaga 1:
A) Uppgifter om behandlingen av personuppgifter
Kategorier av registrerade vars personuppgifter behandlas
• Mottagare när denna verksamhet inte är en juridisk person; och
• Mottagare som får dropshipping-produkter.
Kategorier av personuppgifter som behandlas
• (Företags) namn
• (Företags) e-postadress
• (Företags) telefonnummer
• (Företags) adress
Känsliga uppgifter som behandlas (om tillämpligt)
Ej tillämpligt
Behandlingens art
Behandlaren är leverantör av reklamartiklar och gåvor. Den personuppgiftsansvarige (kunden) kan beställa dessa artiklar via behandlarens digitala portal. När en beställning görs är behandling av mottagarens (personliga) uppgifter nödvändig för att slutföra och skicka beställningen. Om mottagaren till vilken personuppgiftsansvarig skickar en beställning är ett företag utan juridisk person eller en fysisk person som mottagare av dropshipping-tjänster, behandlas personuppgifter för vilka behandlaren (XD Connects) är behandlare.
Syfte(n) för vilka personuppgifterna behandlas för den Personuppgiftsansvariges räkning
• För att skicka beställningar till mottagare
Behandlingens varaktighet
Behandlingen varar från det att beställningen görs till slutet av lagringsperioden. Lagringen för personuppgifter är följande:
• Mottagarinformation i beställningsdetaljer: 2 år
• Mottagarinformation i dropshipping-översikt: 2 år
B) Underbehandlare
Underbehandlare som anlitas av behandlaren:
• B2C Europe (Maersk) för leverans av dropshippingbeställningar
• Elanders Sverige AB för lagerlokaler
• Early Bird Sverige för leverans av beställningar
Bilaga 2:
Säkerhetsåtgärder
Behandlaren ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för risken för behandlingen av personuppgifterna, med hänsyn till den senaste tekniken, kostnaderna för genomförandet och arten, omfattningen, sammanhanget och syftet med behandlingen samt risken för varierande sannolikhet och svårighetsgrad för fysiska personers rättigheter och friheter. De säkerhetsåtgärder som implementeras av behandlaren inkluderar:
• Åtkomstsäkerhet
Till exempel: åtkomst till personuppgifter beviljas endast till personer med behov av att veta för utförandet av sin roll och åtkomsträttigheter utvärderas regelbundet, starkt lösenordskrav och användning av lösenordsverktyg, användning av MFA med fastställda slutpunktskrav.
• Dataintegritet
Till exempel: data säkerhetskopieras regelbundet baserat på 1-2-3-principen, datainmatning valideras. Personuppgifter förstörs i slutet av lagringsperioden.
• Organisationssäkerhet
Till exempel: klassificering av information, tillhandahålla information till personalen med tillgång till personuppgifter och disciplinära konsekvenser, kontrollera användningen av nätverkspolicy och sanering av oanvända policyer.
• Fysisk säkerhet
Till exempel: begränsad tillgång till fysisk lagringsplats, övervakning av områden där personuppgifterna lagras, förebyggande, upptäckt och driftsförfarande i händelse av nödsituationer (såsom brand, intrång och vatten) och redundanta system.
• Nätverks- och datasäkerhet
Till exempel: omfattande segmentering av nätverket baserat på ZTN, med hjälp av brandväggar och EDR, som använder och ständigt uppdaterar antivirusprogram, använda säkra kommunikationskanaler och använda ett intrångsdetekterings- och förebyggande system.
• Hantering av säkerhetsincidenter
Till exempel: utbildning i incidenthantering och utveckling av en säkerhetsincidentplan och kontinuitetsplan.
• Provnings- och utvärderingsförfaranden
Till exempel: rutiner för att regelbundet utvärdera och förbättra effektiviteten hos säkerhetsåtgärderna, till exempel en oberoende extern revisionscykel och certifiering för relevanta säkerhetsstandarder.
• Bortskaffande av data
Till exempel: Personuppgifter raderas oåterkalleligt när de inte längre är nödvändiga och kasserad lagringshårdvara raderas i enlighet med branschpraxis.