Den nya EU-förordningen för datasäkerhet, GDPR.
Förordningen träder i kraft
den 25 maj 2018 och kommer då
att ersätta den svenska personuppgiftslagen.

Vi på InfoMediaTech värdesätter er som kunder samt våra användares personuppgifter högt. Därför vill vi att ni ska veta att vi har arbetat med att säkerställa att vi som företag följer de nya direktiv som snart träder i kraft. Vi har under Q1 jobbat för att vara i linje med GDPR:s huvudområden; privacy by default och privacy by design. Även efter att GDPR börjar gälla kommer vi självklart fortsätta att ständigt utveckla och förfina våra datahanteringsprocesser.

Dokumenten som godkänns har skrivits om och förenklats för att på ett lättbegripligt sätt förklara hur vi hanterar våra användares uppgifter.

För att göra det enkelt för er har vi uppdaterat våra allmänna kundvillkor och i dessa inkluderat ett personuppgiftsbiträdesavtal (Pub-avtal). Pub-avtalet behövs dels för att uppfylla de nya kraven och för att säkerställa att persondata som genereras via våra kanaler inte används på ett sätt som går emot GDPR.
Hör gärna av dig till din kontaktperson på InfoMediaTech om du har några frågor om avtalets innehåll.

Vänligen, IMT

ALLMÄNNA VILLKOR  1. ALLMÄNT

InfoMediaTech AB utvecklar och driver utbildning. Söktjänsterna gör det möjligt för besökarna att finna information om kurser, utbildningar, produktion och aktiviteter (gemensamt ”utbildningar​” eller ”produktion”) som tillhandahålls av Kunden.

1.2. Kunden tillhandahåller utbildningar och önskar möjliggöra för besökare att söka och boka utbildningar via söktjänsten på vår hemsida.

Vi har nyhetsmail som ligger så man kan registrera sig via hemsidan, där godkänner man även reglerna för GDPR.

1.3. Genom att

Bilaga 1 Personuppgiftsbiträdesavtal

Detta Personuppgiftsbiträdesavtal (detta “Avtal”) är träffat mellan: (1)IMT InfoMediaTech AB, Organisationsnummer 556874- 8043 (“Personuppgiftsansvarig/ PuA”) och (2) Kunden ] (“Personuppgiftsbiträde/PuB”). Härefter enskild benämnd “Part” och tillsammans “Parterna”. Detta Avtal ska anses utgöra en del av det Avtal som slutits mellan Parterna. Detta Avtal har företräde framför andra avtal mellan Parterna för de fall motsägande uppgifter existerar.

1 Bakgrund Detta Avtal reglerar PuA:s rättigheter och skyldigheter i egenskap av PuA och PuB:s rättigheter och skyldigheter i egenskap av PuB när PuB behandlar Personuppgifter.

2 Definitioner De begrepp som används i Avtalet ska ha följande innebörd: ”Behandla/Behandling” avser en åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, oberoende av om de utförs automatiserat eller inte (t.ex. insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring). ”Personuppgifter” avser varje upplysning om en identifierad eller identifierbar fysisk person (där identifierbar fysisk person är en person som kan identifieras direkt eller indirekt). ”Personuppgiftsansvarig/PuA” avser den juridiska person (IMT) som bestämmer ändamål och medel för Behandling under Avtalet. ”Personuppgiftsbiträde/PuB” avser den juridiska person som enligt Avtalet utför Behandling för PuA:s räkning. ”Registrerad” avser den fysiska person vars Personuppgifter Behandlas. ”Tillämplig Dataskyddslag Reglering” avser nationell och internationell lagstiftning eller föreskrift avseende dataskydd som vid var tidpunkt gäller under Avtalets giltighetstid. Begreppet inkluderar Europaparlamentets och Rådets Dataskyddsförordning som träder i kraft den 25 maj 2018 (”GDPR”) samt tillkommande lokal anpassning och reglering avseende dataskydd. Innan GDPR träder ikraft inkluderas personuppgiftslagen (1998:204) och personuppgiftsförordningen (1998:1191).

3 Behandling av personuppgifter

3.1 PuB och den eller de personer som arbetar under PuB:s ledning förbinder sig att endast Behandla Personuppgifter enligt dokumenterade instruktioner från PuA och i enlighet med Tillämplig Dataskyddsreglering. PuA:s ursprungliga instruktioner till PuB om Behandlingens föremål och varaktighet, Behandlingens karaktär och ändamål, typ av Personuppgifter och kategorier av Registrerade anges här: Ändamål PuB har rätt att lagra personuppgifter, tillhandahålla erbjudna tjänster, kommunicera med personen, fullfölja avtalsenliga förpliktelser, tillgodose med nyhetsbrev och annan riktad kommunikation, analysera. Kategorier av Personuppgifter Samtliga personuppgifter som samlats in via IMT’s webbsidor och kanaler. Exempelvis: Namn, Adress, Kön, Ålder, Telefonnummer, e-postadress, intresseområde, utbildningsbakgrund och liknande uppgifter som behövs för att utföra tjänsten. Kategorier av Registrerade Utbildningssökande, kunder till IMT,
E-handelskunder. Personer som fyller i formulär på IMT’s webbsidor.

3.2 PuA bekräftar att PuB:s skyldigheter enligt detta Avtal med undantag för eventuella skriftliga instruktioner som lämnats i enskilda fall, utgör de fullständiga och kompletta instruktioner som ska följas av PuB.

3.3 För det fall att PuB saknar instruktioner som PuB bedömer är nödvändiga för att genomföra uppdrag som PuB erhållit från PuA under Avtalet ska PuB, utan dröjsmål, informera PuA om sin inställning och invänta de instruktioner som PuA bedömer erfordras. Från och med ikraftträdandet av GDPR får Behandling även ske om sådan Behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som PuB eller Underbiträde omfattas av. I sådana fall ska PuB eller Underbiträdet (om tillämpligt) informera PuA om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt aktuell rätt.
PuB åtar sig även att från och med ikraftträdandet av GDPR omedelbart informera PuA om PuB anser att en instruktion strider mot Tillämplig Dataskyddsreglering.

3.4 Personuppgiftsbiträdet ska, i den utsträckning som krävs enligt Tillämplig Dataskyddsreglering och enligt PuA:s instruktioner i varje enskilt fall, bistå PuA vid fullgörandet av dennes skyldigheter enligt Tillämplig Dataskyddsreglering.

Detta inkluderar men är inte begränsat till förpliktelsen att svar på förfrågningar avseende Registrerades rätt att erhålla information (registerutdrag) samt att på Registrerad begäran rätta, blockera eller radera Personuppgifter.

4 Utlämnande av personuppgifter

4.1 Om en Registrerad begär information från PuB om Behandlingen av Personuppgifter ska PuB utan onödigt dröjsmål hänskjuta sådan begäran till PuA.

4.2 Om behörig myndighet begär information från PuB om Behandlingen av Personuppgifter ska PuB utan onödigt dröjsmål informera PuA om detta. PuB får inte i något avseende handla för PuA:s räkning eller som ombud för denne, och får inte utan föregående medgivande från PuA överföra eller på annat sätt lämna ut Personuppgifter eller andra uppgifter rörande Behandlingen av Personuppgifter till tredje part, om annat inte följer av svensk eller europeisk lag, domstols- eller myndighetsbeslut.

4.3 Om det enligt tillämpliga svenska eller europeiska lagar och regelverk begärs att PuB ska utlämna Personuppgifter som PuB behandlar för PuA:s räkning, är PuB skyldig att omgående meddela PuA om detta, om annat inte följer av aktuell lag, domstols- eller myndighetsbeslut, och att i samband med utlämnandet begära att uppgifterna behandlas med sekretess.

4.4 PuB ska vid begäran från PuA kunna lämnas ut Personuppgifter till PuA i ett strukturerat, allmänt använt och maskinläsbart format.

5 Uppföljning av Behandling

5.1 PuB åtar sig att senast från och med dagen för ikraftträdande av GDPR:
a) att föra skriftligt register över behandling av Personuppgifter under detta Avtal med det innehåll som anges i Artikel 30.2 GDPR vilket bland annat inbegriper information om föremålet för Behandlingen, Behandlingens varaktighet, art och ändamål, typen av Personuppgifter och kategorier av Registrerade; med beaktande av PuB:s specifika arbets- och ansvarsuppgifter inom ramen för den Behandling som ska utföras och risken med avseende på de Registrerades rättigheter och friheter; b)att samarbeta med tillsynsmyndigheten och på dennas begäran göra sådant register som anges i punkten

a) ovan tillgängligt, så att det kan tjäna som grund för tillsynsmyndighetens övervakning av Behandlingen av Personuppgifterna; respektive c) att bistå PuA med att se till att skyldigheterna enligt artiklarna 32–36 i GDPR fullgörs (för rapportering av personuppgiftsincidenter gäller särskilt vad som anges i avsnitt 9 nedan), med beaktande av typen av Behandling och den information som PuB har att tillgå.

5.2 PuB åtar sig att på PuA:s begäran redogöra för vilka åtgärder, överväganden och bedömningar som PuB gjort för att uppfylla sina åtaganden enligt detta Avtal. PuB åtar sig att från och med dagen för ikraftträdande av GDPR på PuA:s begäran bistå PuA med fullgörande av PuA:s skyldighet att utföra konsekvensbedömningar avseende dataskydd för behandlade Personuppgifter och eventuellt deltagande i förhandssamråd med tillsynsmyndigheten.

6 Överföringar utanför EES-området

6.1 PuB åtar sig att inte utan PuA:s på förhand skriftliga medgivande överföra Personuppgifter till en plats utanför EES-området (eller tillåta någon att ha tillgång till Personuppgifter från en sådan plats.) I den mån Parterna har avtalat om att Personuppgifter ska få Behandlas av PuB eller PuB:s Underbiträden på en plats utanför EES-området ska den/de parter som Behandlar Personuppgifter utanför EES alltid uppfylla vid var tid gällande krav för sådan överföring enligt Tillämplig Dataskyddsreglering. Vid detta Avtals ingående kan sådant krav i förhållande till vissa länder t ex uppfyllas genom att PuB tillser att ett direktavtal enligt EU:s standardavtalsklausuler (2010/87/EU) ingås. PuB är skyldig att löpande hålla PuA informerad om sådan grund för överföring. PuA har rätt att på saklig grund återkalla tidigare lämnat samtycke till överföring till land utanför EES-området. Om så sker ska PuB omedelbart upphöra med överföringen samt på PuA:s begäran lämna skriftlig bekräftelse härom.

7 Datasäkerhet och sekretess

7.1 I syfte att bistå PuA med att uppfylla sina rättsliga förpliktelser, inklusive men inte begränsat till bedömning av säkerhetsåtgärder och dataskyddsrisker, ska PuB vidta tekniska och organisatoriska åtgärder för att skydda de Personuppgifter som Behandlas och därvid följa de skriftliga informationssäkerhetskrav och policys som PuA vid var tidpunkt meddelar. Åtgärderna ska åtminstone medföra en säkerhetsnivå som är lämplig med hänsyn till:

(a) befintliga tekniska möjligheter;

(b) kostnaden för att genomföra åtgärderna;

(c) de särskilda risker som är förenade med Behandlingen; och

(d) graden av känslighet för de Personuppgifter som Behandlas. PuB ska upprätthålla en adekvat säkerhetsnivå och skydda Personuppgifterna från förstöring, ändring, obehörigt röjande och obehörig åtkomst. Personuppgifterna ska även skyddas från all annan form av olaglig Behandling. Med beaktande av den senaste utvecklingen, genomförande kostnaderna och Behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska de tekniska och organisatoriska åtgärder som PuB vidtar, om lämpligt, inkludera:

(a) pseudonymisering och kryptering av Personuppgifter;

(b) förmåga att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos de system som Behandlar Personuppgifter

(c) förmåga att återställa tillgänglighet och tillgång till Personuppgifter i rimlig tid vid en fysisk eller teknisk incident; och

(d) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa Behandlingens säkerhet.

7.2 PuB förbinder sig att inte till tredje man lämna ut eller på annat sätt röja information om Behandling av Personuppgifter. Detta åtagande gäller inte information som PuB föreläggs utge till myndighet eller enligt Tillämplig Dataskyddsreglering. PuB åtar sig att omedelbart meddela PuA skriftligen om föreläggande om sådant utlämnande har utfärdats eller om PuB har anledning att misstänka att sådant föreläggande kommer att begäras och/eller utfärdas.

7.3 Sekretessåtagandet gäller även efter det att detta Avtal i övrigt har upphört att gälla.

8 Notifieringar vid dataintrång

8.1 PuB ska omedelbart och senast inom 24 timmar underrätta PuA efter att ha fått vetskap om en personuppgiftsincident.

8.2PuB ska bistå PuA med den information som rimligen kan krävas för att uppfylla dennes skyldighet att anmäla personuppgiftsincidenter, enligt vad som framgår av artikel 33 GDPR.

9 Ansvar

9.1 För den händelse en eller flera Registrerade, tillämplig tillsynsmyndighet eller annan tredje part riktar krav mot PuA på grund av PuB eller dess Underbiträdes Behandling av personuppgifter ska PuB hålla PuA skadelöst för sådana krav (inklusive men inte uttömmande skadestånd, administrativa sanktionsavgifter, böter, kostnad för juridisk hjälp) som är hänförliga till PuB:s eller dess Underbiträdes behandling av Personuppgifter i strid med Tillämplig Dataskyddsreglering, detta Avtal eller instruktioner från PuA. Denna punkt gäller oaktat tjänsteavtalets eventuella ansvarsbegränsningar.

10 Avtalstid

10.1 Bestämmelserna i detta Avtal ska gälla från undertecknande och så länge som PuB behandlar Personuppgifter för PuA:s räkning.

11 Ändringar i avtalet

11.1 PuA äger ensidigt rätt att ändra innehållet i detta Avtal i den mån så erfordras för att krav som följer av Tillämplig Dataskyddsreglering ska kunna tillgodoses. Sådan ändring träder i kraft senast 30 dagar efter att PuA har översänt ändringsmeddelande till PuB. Övriga ändringar av och tillägg till Avtalet ska för att vara bindande upprättas skriftligen och vara behörigen undertecknad av Parterna.

12 Tillämplig lag och tvister

12.1 Denna punkt regleras utifrån svensk rätt i svensk allmän domstol. Senaste uppdatering av Villkoren [2018-04-23]

Mvh InfoMediaTech AB