Vemendo följer EU:s dataskyddsförordning – GDPR

Vid leverans av vår tjänster Contact Sync, Contact Identity och Contact Manager kan vi komma att hantera våra kunders personuppgifter och blir då enligt GDPR ett Personuppgiftsbiträde och kunden blir då Personuppgiftsansvarig.

Kunden och Vemendo tecknar i så fall ett Personuppgiftsbiträdesavtal som reglerar parternas skyldigheter på ett betryggande sätt.

Personuppgiftbiträdets skyldigheter

(Förkortad version av Personuppgiftsbiträdesavtalet) 

Säkerhetsåtgärder

Personuppgiftsbiträdet ska etablera tekniska och organisatoriska åtgärder för att säkerställa att personuppgifterna behandlas i enlighet med kraven i dataskydds lagstiftningen. 

Åtgärderna ska vara dokumenterade och ska utan onödigt dröjsmål lämnas till Personuppgiftsansvarig vid anmodan. 

Instuktioner

Personuppgiftsbiträdet får endast behandla personuppgifterna för de ändamål som framgår av Personuppgiftsbiträdesavtalet. 

Om Personuppgiftsbiträdet anser att Personuppgiftsansvarigs instruktioner står i strid med tillämplig dataskyddslagstiftning, ska Personuppgiftsbiträdet skyndsamt underrätta Personuppgiftsansvarig om detta. 

Utlämning av personuppgifter och användningen av underleverantörer 

Personuppgiftsbiträdet får inte överföra eller ge åtkomst till personuppgifterna till en extern part utan Personuppgiftsansvarigs uttryckliga förhandstillstånd. 

Personuppgiftsbiträdet får inte anlita underleverantörer för att utföra hela eller delar av behandlingen av personuppgifter utan att Personuppgiftsansvarig på förhand har lämnat sitt skriftliga godkännande. 

Personuppgiftsbiträdet ska ingå ett skriftligt avtal med sina underleverantörer, som binder underleverantören vid minst samma skyldigheter som Personuppgiftsbiträdet har enligt Uppdragsavtalen. 

Krav på lokalisering och överföring av personuppgifter till tredjeland 

Personuppgiftsbiträdet ska tillse att personuppgifterna lagras inom EU/EES om inte parterna skriftligen kommer överens om något annat. Detsamma gäller åtkomst till personuppgifterna för exempelvis service, support, underhåll, utveckling, drift eller liknande hantering. 

Tystnadsplikt och behörigheter 

Personuppgiftsbiträdet ska säkerställa att personer med behörighet att behandla personuppgifterna antingen omfattas av en lagstadgad tystnadsplikt eller har åtagit sig det i ett bindande avtal. Tystnadsplikten ska gälla även efter det att Vemendo 2021 Sida 1 av 2 GDPR samarbetet upphört att gälla. Åtkomst till personuppgifterna skall begränsas till sådana personer som behöver dem för att kunna utföra sina arbetsuppgifter. 

Incidentrapportering 

Personuppgiftsbiträdet ska skyndsamt underrätta Personuppgiftsansvarig om säkerhetsincidenter som har medfört oavsiktlig eller olovlig förstörelse, förlust, ändring, obehörigt utlämnande av eller åtkomst till personuppgifterna. Alla sådana incidenter ska dokumenteras av Personuppgiftsbiträdet och dokumentationen ska överlämnas utan oskäligt dröjsmål till Personuppgiftsansvarig vid anmodan. 

Radering av personuppgifter 

Om Personuppgiftsansvarig meddelar Personuppgiftsbiträdet att personuppgifter ska raderas ska de därefter förstöras, skrivas över eller på annat sätt raderas av Personuppgiftsbiträdet. 

Personuppgiftsbiträdet ska skicka en skriftlig bekräftelse på att radering/förstöring har skett till Personuppgiftsansvarig inom 30 dagar efter radering, via de kontaktuppgifter som framgår av avtalsingressen. 

Revision 

Personuppgiftsbiträdet ska ge Personuppgiftsansvarig tillgång till all information som krävs för att visa att Personuppgiftsbiträdet och dennes underleverantörer efterlever alla bestämmelser om behandlingen av personuppgifter enligt Uppdragsavtalen och tillämplig dataskyddslagstiftning. Personuppgiftsbiträdet ska också möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Personuppgiftsansvarig eller annan revisor som bemyndigats av Personuppgiftsansvarig. 

Ansvar 

Parterna är skyldiga att inneha och fortsätta inneha eventuella licenser, medgivanden och tillstånd som krävs för att uppfylla skyldigheten enligt Uppdragsavtalen samt följa gällande lagar, regler, förordningar och myndighetsbeslut.