Databehandlingsvillkor

WeCloud och Kunden har ingått ett avtal rörande tillhandahållandet av vissa WeCloud-tjänster (vilka kan ändras, kompletteras eller förnyas då och då ”Avtalet”).

Denna bilaga ingås av WeCloud och kunden och fastställer de databehandlingsvillkorsom gäller för de tjänster som tillhandahålls i avtalet (”Tjänsterna”) och utgör en integrerad del av och är föremål för avtalet, inklusive de allmänna handelsvillkoren.
 
Detta schema har verkan senast den (i) avtalets datum, och (ii) 25 maj 2018.
Villkor som inte definieras i dessa databehandlingsvillkor ska ha den betydelse som beskrivs i avtalet.
 

1. DEFINITIONER

I dessa databehandlingsvillkor avser:
 
”dotterbolag” en enhet som direkt eller indirekt styr, styrs av eller är under gemensam kontroll av en part
 
”kunduppgifter” elektronisk post, meddelanden och annan data och information som kunden eller användarna har åtkomst till, har kommunicerat, erhållit, mottagit eller skickat via tjänsterna. tjänsterna
 
”personliga kunduppgifter” personuppgifter som ingår i kunduppgifterna
 
”kundrepresentant” den person som utsetts av partnern för att med jämna mellanrum agera som partnerns primära kontakt vad gäller genomförandet av avtalet
 
”databehandlingsvillkor” de villkor som anges i denna bilaga
 
”dataskyddslag” det som är tillämpligt: (a) GDPR (från den 25 maj 2018 och framåt) och/eller (b) tillämpliga svenska dataskyddslagar. I båda fall kan dessa ändras eller kompletteras efterhand
 
”WeCloud” WeCloud AB.
 
”GDPR” avser Europaparlamentets och rådets förordning (EU) 2016/679.
 
”Underställda personuppgiftsbiträden” avser tredje parter i dessa databehandlingsvillkor för att behandla personliga kunduppgifter för att tillhandahålla delar av tjänsterna och teknisk support för dessa.
 
”Användare” avser en enskild anställd eller kundrepresentant som använder tjänsterna i kundernas kommersiella syften.
 
Termerna ”personuppgiftsansvarig”, ”registrerad”, ”personuppgifter”, ”behandling”, ”personuppgiftsbiträde” och ”tillsynsmyndighet” används i dessa databehandlingsvillkor i samma betydelse som i den GDPR.
 

2. VARAKTIGHET

 
Dessa databehandlingsvillkor träder i kraft dagen datum som anges ovan och avslutas automatiskt när de personliga kunduppgifterna raderas av WeCloud som beskrivet i dessa databehandlingsvillkor.
 

3. KARAKTÄR OCH SYFTE FÖR BEHANDLING

 
3.1 
Kunden godkänner och samtycker till att WeCloud inte har någon kontroll eller inflytande över innehållet i kunduppgifterna, som bland annat kan innehålla: personuppgifter och känsliga personuppgifter (enligt definitionen i den GDPR) relaterade till kundens eller kundens egna klienter, kunder, leverantörer, anställda, annan personal eller andra registrerade enligt definitionen i den GDPR). De typer av personuppgifter som ingår i kunduppgifterna och de kategorier av registrerade till vilka sådana personuppgifter hör, kan omfatta allt det ovan nämnda och kan inte anges närmare i dessa databehandlingsvillkor  och om kunden önskar ytterligare kategorisera dessa kan den när som helst meddela WeCloud
 
3.2 
Tillhandahållandet av tjänsterna ska omfatta insamling, registrering, organisering, strukturering, lagring, ändring, hämtning, användning, avslöjande, sammansättning, radering och förstöring av personliga kunduppgifter i syfte att tillhandahålla tjänsterna och relaterad teknisk support till kunden.
 
3.3 
I samband att WeCloud tillhandahåller tjänsterna ska partnern eller dess kund vara och förbli personuppgiftsansvarig och WeCloud ska vara och förbli personuppgiftsbiträde. I händelse av att kunden betecknas som personuppgiftsbiträde, kommer WeCloud att agera som dess underställda personuppgiftsbiträde och kunden garanterar WeCloud att kundinstruktioner och -åtgärder avseende personliga kunduppgifter, inklusive att utse WeCloud som ett ytterligare personuppgiftsbiträde, har godkänts av behörig kunduppgiftsansvarig.
 
3.4 
FUSEMAIL behandlar endast kundens personuppgifter i enlighet med kundens instruktioner. Kunden uppdrar WeCloud att behandla personliga kunduppgifter i enlighet med avtalet och i övrigt enligt instruktioner från de kontaktpersoner som utsetts av kunden eller en tredje part som kunden har skriftligen har bekräftat har behörighet att ge sådana instruktioner (ett “bemyndigat ombud”), som tar tjänsternas karaktär i beaktande, i samtliga fall enbart i syfte att genomföra sina skyldigheter enligt avtalet, inklusive eventuell teknisk support och under avtalets varaktighet. FUSEMAIL ska omedelbart informera Kunden om en instruktion enligt hans uppfattning bryter mot lagen om uppgiftsskydd. Kunden bär alltid det fulla ansvaret för instruktioner som har getts av dess kontaktperson(er) eller ett bemyndigat ombud.
 
3.5 
Parterna godkänner och samtycker till att alla instruktioner kan ges via e-post eller muntligen då kunden eller bemyndigat ombud använder WeCloud tekniska supportteam, under förutsättning att WeCloud registrerar sådana muntliga instruktioner.
 
3.6 
Kunden godkänner och samtycker dessutom till att kunden (och/eller dess kund om även denna betecknas som personuppgiftsansvarig) ansvarar för att besluta om syftena och tillvägagångssätten på vilka kundens personuppgifter behandlas och åtar sig härmed att kunden och, om tillämpligt, dess kund har vidtagit och kommer att vidta alla åtgärder gällande de personliga kunduppgifterna för att säkerställa efterlevnad av sina skyldigheter enligt dataskyddslagen, inklusive den behandlingsverksamhet som genomförs genom tjänsterna och alla godkännanden som krävs avseende tillhandahållandet av sådana tjänster av WeCloud i enlighet med dessa databehandlingsvillkor.
 

4. WECLOUD PERSONAL

4.1 
WeCloud kommer att ålägga och behålla avtalsskyldigheter angående sekretess för all personal som godkänts av WeCloud att ha åtkomst till personliga kunduppgifter.

4.2 
WeCloud kommer att implementera och behålla åtkomstkontroller och policyer för att begränsa WeCloudS personal att behandla personliga kunduppgifter endast till dem i WeCloudS personal som behöver behandla personliga kunduppgifter för att tillhandahålla tjänsterna till kunden.
 

5. SÄKERHETSÅTGÄRDER

5.1 
WeCloud har implementerat och kommer att bibehålla tekniska och organisatoriska säkerhetsåtgärder för att förhindra obehörig åtkomst till kundernas personuppgifter, obehörig eller olaglig förändring, avslöjande, förstöring eller olaglig behandling av kundernas personuppgifter eller oavsiktlig förlust av, förstöring av eller skador på de personliga kunduppgifterna, i samtliga fall med hänsyn till den senaste tekniska utvecklingen, kostnaderna för implementeringen och karaktär, mål, kontext och syften med behandlingen för tjänsterna.
 
5.2 
Kunden är ensamt ansvarig för sin användning av tjänsterna, inklusive att säkra identitetshandlingar för konto, system och enheter som kunden och användare använder för att få åtkomst till tjänsterna.
 

6. LAGRING OCH ÖVERFÖRING AV PERSONUPPGIFTER

6.1 
Utan kundens godkännande får WeCloud endast behandla kundens personuppgifter inom EES eller i ett tredje land som täcks av första stycket i artikel 45 i den GDPR.
 
6.2 
Om och i den utsträckning som kunden godkänner överföring av personliga kunduppgifter till ett land, förutom dem som ingår i punkt 6.1, ska WeCloud endast göra detta i enlighet med erkända säkerhetsstandarder i dataskyddslagen för laglig överföring av personuppgifter till det berörda landet (inklusive t.ex. EU:s standardavtalsklausuler eller bindande företagsbestämmelser) och på begäran tillhandahålla kunden relevant information angående den standard som har implementerats.
 
6.3 
WeCloud rekommenderar att alla överföringar av kundernas personuppgifter sker via en säker anslutning som HTTPS eller SFTP. Om kunden väljer ett annat överföringssätt ska WeCloud underrättas senast samma datum som tjänsterna ska utföras. Om kunden, vid uppsägning, ber WeCloud överlämna en kopia av kundens personuppgifter ska vederbörande göra detta i ett strukturerat och allmänt vedertaget format som kan läsas maskinellt (till exempel CSV-filer). Sådana data ska överföras via en säker anslutning som HTTPS eller SFTP, om kunden inte ger andra anvisningar. Om kunden begär att WeCloud överlämnar personuppgifterna på annat sätt än via en krypterad VPN är kunden ensam ansvarig för överföringssättet och destinationen för dessa data. 


7. UNDERSTÄLLDA PERSONUPPGIFTSBITRÄDEN

7.1 
Kunden ger härmed särskilt tillstånd till WeCloud att utse valfritt dotterbolag att bli underställt personuppgiftsbiträde.
 
7.2 
Kunden ger också WeCloud ett allmänt tillstånd att använda tredje parts underställda personuppgiftsbiträden, förutsatt att:
 
(a) 
WeCloud begränsar det underställda personuppgiftsbiträdets behandling av personliga kunduppgifter till behandling som är nödvändig för att tillhandahålla eller upprätthålla tjänsterna.

(b) 
WeCloud ingår avtalsmässiga överenskommelser att sådana underställda personuppgiftsbiträden måste garantera motsvarande nivå av efterlevnad av dataskydd och informationssäkerhet som föreskrivs i detta avtal så långt det är tillämpligt för den behandlingsverksamhet som tillhandahålls av det underställda personuppgiftsbiträdet.

(c) 
Om ett underställt personuppgiftsbiträde inte fullgör sina dataskyddsskyldigheter ska WeCloud hållas fullt ansvarigt gentemot kunden för det underställda personuppgiftsbiträdets agerande (eller bristande agerande). 
 
7.3 
WeCloud ska upprätthålla en aktuell lista över sina underställda personuppgiftsbiträden för alla tjänster som WeCloud tillhandahåller kunden. WeCloud ska tillhandahålla kunden listan på skriftlig begäran.
 
7.4 
WeCloud ska, genom skriftligt meddelande till kundrepresentanten, meddela kunden om något nytt underställt personuppgiftsbiträde tillsätts under avtalstiden och kunden ska ha möjlighet att motsätta sig användningen av ett sådant underställt personuppgiftsbiträde. Om kunden:
 
(a) 
inte svarar skriftligen inom 30 dagar från meddelandedatumet, kommer det att anses som att kunden godkänt användningen av det underställda personuppgiftsbiträdet
 
(b) 
svarar genom att inte godkänna (skriftligen) det underställda personuppgiftsbiträdet och en gemensam lösning inte står att finna, kan det resultera i uppsägning av avtalet eller tjänsten eller den del av tjänsten som tillhandahålls av WeCloud med användning av det berörda underställda personuppgiftsbiträdet. Denna uppsägningsrätt är enbart kundens och den enda utvägen om kunden motsätter sig någon ny tredje parts underställda personuppgiftsbiträde.

7.5 
WeCloud kommer att ålägga och behålla lämpliga avtalsskyldigheter angående sekretess för alla underställda personuppgiftsbiträden som godkänts av WeCloud att ha åtkomst till personliga kunduppgifter.
 
7.6 
Trots punkterna 7.1 till 7.4 ovan och i enlighet med tillämpliga lagar, kan WeCloud fritt använda underställda personuppgiftsbiträden eller leverantörer som inte betecknas som personuppgiftsansvariga i enlighet med dataskyddslagen, inklusive men inte begränsat till energileverantörer, utrustningsleverantörer, transportleverantörer, tekniska serviceleverantörer, maskinvaruleverantörer etc.) utan att behöva informera eller på förhand söka godkännande från kunden.


8. BISTÅND VID BEGÄRANDEN FRÅN REGISTRERADE

8.1 
Kunden godkänner och samtycker till att kunden är ansvarig för att efterleva begäranden från de registrerade i enlighet med dataskyddslagen.
 
8.2 
WeCloud godkänner att tillhandahålla rimligt bistånd till kunden utan onödigt dröjsmål, med tjänsternas karaktär och funktionalitet i beaktande, i förhållande till kundens eller dess kunders skyldigheter avseende:
 
(a) 
begäranden från registrerade beträffande åtkomst till eller korrigering, radering, begränsning, blockering eller borttagning av personliga kunduppgifter, på villkor att partnern bekräftar att det inte drabbar tjänsternas funktionalitet, ska sådana åtgärder utföras av kunden eller ett bemyndigat ombud för dennes räkning och inte av WeCloud
 
(b) 
utredning av alla incidenter som ger upphov till obehörigt avslöjande, förlust, förstöring eller förändring av personliga kunduppgifter och meddelande till tillsynsmyndigheten och de registrerade beträffande sådana incidenter
 
(c) 
på kundens kunds bekostnad, förbereda konsekvensbedömningar av uppgiftsskydd och, om tillämpligt, samråda med tillsynsmyndigheten.
 

9. UPPVISANDE AV EFTERLEVNAD

9.1 
WeCloud kan använda oberoende tredje parts-revisorer för att periodvis granska att de säkerhetskontroller som ingår i tjänsterna är tillräckliga. Dessa granskningar kommer att:

(a) genomföras enligt en erkänd säkerhetsstandard
(b) genomföras periodvis enligt den tillämpliga standarden
(c) genomföras av kvalificerade och ansedda oberoende fackmän som tredje part
(d) kommer att rendera i ett intyg på efterlevnad.
 
9.2 
Kunden ska ha rätt att granska att WeCloud efterlever dessa databehandlingsvillkor genom att:
(a)  begära en kopia av intyg som gjorts tillgängligt enligt punkt 9.1.
(b) om kunden, inom rimliga gränser, kan visa intyget från punkt 9.2 är inte tillräckligt för att bevisa
 
WeCloudS efterlevnad av uppgiftslagstiftningen eller sådant intyg visar otillräckliga säkerhetsåtgärder/inte är tillgängliggjort, då accepterar WeCloud begäran och på bekostnad av kunden att göra (inklusive WeCloud’S redoviska kostnader och utgifter) sådan eller annan information och dokument som kunden eller kundens bemyndigade ombud rimligen kan begära för att granska efterlevnad av skyldigheterna enligt uppgiftsskyddslagstiftningen.
.
9.3 
WeCloud ska inte ha skyldighet att avslöja några företagshemligheter eller kommersiellt känslig information, andra kunders information eller information som rimligen skulle kunna användas för att äventyra säkerheten eller integriteten av dess system.
 

10. DATAINTRÅNG

10.1 
Om FUSEMAIL blir medveten om ett säkerhetsbrott i förhållande till kundens personuppgifter som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörig avslöjande eller tillgång till kundens personuppgifter, ska WeCloud meddela kunden utan onödigt dröjsmål och ge tillräcklig information för att kunden ska kunna bedöma vilka skyldigheter kunden har i samband med intrånget att meddela tillsynsmyndigheter eller de registrerade enligt dataskyddslagen. Ett sådant meddelande ska tillhandahållas av kundrepresentanten. För att undvika oklarheter, WeCloud har inte skyldighet att meddela kunden om misslyckade försök eller verksamhet som inte äventyrar de personliga kunduppgifterna. Detta omfattar misslyckade inloggningsförsök, ping-attacker, portskanningar, överbelastningsattacker och andra nätverksattacker mot brandväggar eller nätverkssystem.
 
10.2 
Kunden är ensamt ansvarig för att efterleva lagar om incidentrapportering som är tillämpliga för kunden under dataskyddslagen. Trots det ovannämnda, kommer parterna att samarbeta och ge varandra all rimlig hjälp när det gäller att efterleva kraven på incidentrapportering till tredje parter enligt dataskyddslagen.
 
10.3 
WeCloud rapportering av eller svar på en dataintrångsincident under denna punkt 10 ska inte betraktas som en bekräftelse av att WeCloud eller något av dess dotterbolag har något ansvar eller någon skuld beträffande dataintrånget.
 

11. RADERING AV KUNDUPPGIFTER

Kunden uppdrar härmed WeCloud och dess eventuella underställda personuppgiftsbiträden att inom tre månader från att de till en kund tillhandahållna tjänsterna avslutas, radera alla kundens personuppgifter och att på begäran tillhandahålla en skriftlig bekräftelse till partnern att sådana åtgärder vidtagits.
 
Om inte annat anges i detta avtal, gäller fortsatt alla övriga avtalsvillkor. Om skillnader uppdagas mellan dessa databehandlingsvillkor och återstoden av avtalet, är det dessa databehandlingsvillkor som gäller.