Detta tillägg till avtalet om databehandling för slutanvändare ("tillägg") är införlivat i villkoren för informationsdelning och bifogas i licensavtalet och profil- och beställningsformuläret (tillsammans "EULSA") mellan InterSystems ("InterSystems") och slutanvändaren ("slutanvändaren"), enligt vad som anges i EULSA. InterSystems och slutanvändaren är parter i detta tillägg (var och en för sig "en part", tillsammans "parterna"). Med hänsyn till de ömsesidiga överenskommelser och löften som ingår i detta tillägg och andra goda och värdefulla motprestationer, vars mottagande och tillräcklighet härmed bekräftas av parterna i detta tillägg, är parterna överens om följande:
Alla termer med stora bokstäver, som används i detta tillägg och som inte är definierade någon annanstans i detta tillägg eller i EULSA ska ha samma innebörd som de termer som används eller definieras i GDPR, enligt definitionen nedan. Villkoren i detta tillägg ersätter alla motstridiga villkor i EULSA och alla andra villkor om dataskydd eller behandling av information.
Parterna är medvetna om att de tjänster som InterSystems tillhandahåller enligt EULSA inte är avsedda att leda till att InterSystems skapar, tar emot, underhåller, överför, använder, avslöjar eller på annat sätt behandlar personuppgifter som rör en registrerad person i en operativ kontext som utgör uppgifter om slutanvändare, enligt definitionen nedan; eftersom slutanvändaren, under vissa omständigheter, kan vara tvungen att följa GDPR, enligt definitionen nedan, kräver slutanvändaren att dess tjänsteleverantörer som kan komma i kontakt med uppgifter om slutanvändare ska ingå ett avtal om behandling av uppgifter med slutanvändaren, och InterSystems är villigt att ingå ett sådant avtal i den osannolika händelse att InterSystems behandlar uppgifter om slutanvändare utan att medge att InterSystems generellt sett är en personuppgiftsbiträde till slutanvändaren. Parterna är överens om att när det gäller andra personuppgifter som behandlas av InterSystems och som inte är slutanvändaruppgifter ("InterSystems uppgifter") är InterSystems personuppgiftsansvarig och att parterna inte är gemensamt ansvariga för InterSystems uppgifter.
- Definitioner.
1.1. I detta tillägg ska uttrycken "personuppgifter", "personuppgiftsansvarig", "personuppgiftsbiträde", "behandling" och "process" ha den betydelse som de har enligt den allmänna dataskyddsförordningen, förordning (EU) 2016/679.
1.2. Personuppgiftsansvarig. "Personuppgiftsansvarig" (Data Controller) betyder, när det används i detta tillägg, hänvisning till slutanvändaren, även om slutanvändaren är en beredaren för en personuppgiftsansvarig när det gäller de behandlade personuppgifterna.
1.3. Uppgiftsägare. "Datainnehavare: med avseende på varje personuppgift i slutanvändardata, slutanvändaren eller, om slutanvändaren är en personuppgiftsbiträde för en personuppgiftsansvarig med avseende på personuppgifterna, en sådan personuppgiftsansvarig.
1.4. Personuppgiftsbiträde. "Personuppgiftsbiträde" ska i allmänhet ha samma betydelse som Personuppgiftsbiträde enligt GDPR och när (1) InterSystems och slutanvändaren ömsesidigt kommer överens om att InterSystems agerar i egenskap av personuppgiftsbiträde för slutanvändaren enligt definitionen i specifika och individuella regler för uppdrag och (2) InterSystems inte på annat sätt agerar i egenskap av tjänsteleverantör, tredjepartsleverantör till slutanvändaren eller personuppgiftsansvarig.
1.5. Lagstiftning om dataskydd. "Dataskyddslagstiftning: GDPR och de nationella genomförandelagstiftningarna, den schweiziska federala dataskyddslagen (i dess ändrade och ersatta lydelse från tid till annan), Storbritanniens dataskyddslag (i dess ändrade och ersatta lydelse från tid till annan) och EES-ländernas dataskyddslagar (i dess ändrade och ersatta lydelse från tid till annan, i förekommande fall).
1.6. Uppgifter om slutanvändare. "Slutanvändaruppgifter" betyder personuppgifter för vilka slutanvändaren eller, om slutanvändaren är en personuppgiftsbiträde för en personuppgiftsansvarig, bestämmer den personuppgiftsansvarige ensam ändamålen och medlen för behandlingen av sådana personuppgifter och som tillhandahålls av eller för slutanvändarens räkning av InterSystems; förutsatt att slutanvändaruppgifter inte ska omfatta personuppgifter som definieras som InterSystems uppgifter ovan.
1.7. GDPR. "GDPR: den allmänna dataskyddsförordningen (förordning (EU) 2016/679)
- Äganderätt till uppgifter.
2.1. Slutanvändaruppgifter som personuppgiftsbiträdet behandlar för den personuppgiftsansvariges räkning kommer alltid att förbli dataägarens egendom.
2.2. Om någon part av någon anledning skulle säga upp EULSA, kommer slutanvändaren att besluta om varje enskild uppgift om slutanvändaren, i den mån databehandlaren fortfarande behåller dessa uppgifter, kommer att återlämnas till slutanvändaren eller raderas. All behandling som utförs av personuppgiftsbiträdet kommer att upphöra, med undantag för behandling som krävs enligt lag eller som är nödvändig för att avsluta EULSA.
2.3. Den personuppgiftsansvarige kan när som helst kräva att personuppgiftsbiträdet slutar behandla slutanvändaruppgifter och raderar eller återlämnar slutanvändaruppgifterna till den personuppgiftsansvarige.
2.4. Om personuppgiftsbiträdet fastställer att det inte är möjligt att återlämna eller förstöra slutanvändaruppgifterna i enlighet med detta avsnitt, ska personuppgiftsbiträdet utvidga skyddet i detta tillägg till att omfatta sådana slutanvändaruppgifter och begränsa ytterligare behandling av sådana slutanvändaruppgifter till de ändamål som gör återlämnande eller förstöring omöjligt, så länge personuppgiftsbiträdet behåller sådana slutanvändaruppgifter. - Personuppgiftsbiträdets skyldigheter och aktiviteter.
3.1. Personuppgiftsbiträdet samtycker till att behandla slutanvändaruppgifter med tekniska och organisatoriska säkerhetsåtgärder som, om personuppgiftsbiträdet vore den personuppgiftsansvarige för sådana uppgifter, skulle uppfylla GDPR artikel 32, Säkerhet vid behandling, dvs. "Med hänsyn till den senaste tekniken, kostnaderna för genomförandet och behandlingens art, omfattning, sammanhang och ändamål samt risken med varierande sannolikhet och svårighetsgrad för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken" och vidta rimliga åtgärder för att se till att dessa åtgärder följs.
3.2. Personuppgiftsbiträdet samtycker till att behandla sådana slutanvändaruppgifter endast i enlighet med instruktioner från slutanvändaren som slutanvändaren skriftligen tillhandahåller från tid till annan.
3.3. Personuppgiftsbiträdet samtycker till att uppfylla alla skyldigheter enligt artikel 32 i GDPR som om personuppgiftsbiträdet vore den personuppgiftsansvarige med avseende på sådana slutanvändaruppgifter.
3.4. Personuppgiftsbiträdet samtycker till att se till att alla anställda, ombud, entreprenörer och andra som har tillgång till slutanvändaruppgifter informeras om att uppgifterna är konfidentiella och inte får lämnas ut till någon som inte omfattas av en verkställbar tystnadsplikt i fråga om detta. Endast personal etc. som har ett operativt behov av att få tillgång till slutanvändaruppgifter ska vara auktoriserade och (när det gäller logiska, fysiska eller andra säkerhetsåtgärder) ha möjlighet att göra det.
3.5. Om personuppgiftsbiträdet vill lägga ut behandlingen av slutanvändaruppgifter på underleverantörer, måste de ålägga alla underleverantörer samma avtalsförpliktelser i fråga om dataskydd och säkerhet som har fastställts i enlighet med detta tillägg.
3.6. Personuppgiftsbiträdet samtycker till att omedelbart informera den personuppgiftsansvarige om eventuella säkerhetsöverträdelser som rör slutanvändaruppgifter inom sin egen eller någon underleverantörs organisation.
3.7. Personuppgiftsbiträdet samtycker till att se till att all personal som är involverad i behandlingen av slutanvändaruppgifter får lämplig utbildning i dataskyddsförfaranden, identifiera och föra register över den utbildning som sådan personal har fått och innehållet i alla kurser. Personuppgiftsbiträdet ska se till att inga andra ombud eller anställda hos personuppgiftsbiträdet får tillgång till slutanvändaruppgifter.
3.8. Personuppgiftsbiträdet samtycker till att den personuppgiftsansvariges data inte ska överföras till ett land eller territorium utanför Europeiska ekonomiska samarbetsområdet utan skriftligt godkännande från slutanvändaren, om inte (1) det landet eller territoriet säkerställer en adekvat skyddsnivå för rättigheterna och friheterna för registrerade i samband med behandlingen av personuppgifter som bestämts av lämplig dataskyddsmyndighet; (2) utan något underförstått brott mot denna bestämmelse, om databehandlaren har ingått standardavtalsklausuler, som godkänts av Europeiska kommissionen, med avseende på sådan överföring; eller (3) Personuppgiftsbiträdet har åtagit sig att följa bindande företagsregler som godkänts eller accepterats av en relevant dataskyddsmyndighet; förutsatt att slutanvändaren kan begränsa sådana överföringar enligt specifika och individuella engagemangsregler, så länge som slutanvändaren samtycker till att InterSystems inte ska bryta mot sina skyldigheter enligt EULSA, om InterSystems fastställer att sådana överföringar är nödvändiga för att tillhandahålla nödvändig service eller support. - Slutanvändarens skyldigheter.
4.1. Slutanvändaren ska endast tillhandahålla slutanvändaruppgifter till InterSystems när det är absolut nödvändigt för EULSA:s syften och i full överensstämmelse med dataskyddslagstiftningen och samtycker till att endast tillhandahålla det minimum av nödvändiga personuppgifter som är relevanta för den tjänst eller support som tillhandahålls.
4.2. Slutanvändaren får inte be eller kräva att personuppgiftsbiträdet behandlar slutanvändaruppgifter på ett sätt som slutanvändaren inte skulle kunna göra som personuppgiftsansvarig eller personuppgiftsbiträde för en personuppgiftsansvarig, förutsatt att InterSystems omedelbart skriftligen underrättar slutanvändaren och lämnar tillräcklig information för att beskriva invändningen, om InterSystems anser att någon av slutanvändarens instruktioner bryter mot dataskyddslagstiftningen. Om slutanvändaren håller med InterSystems om att slutanvändarens instruktioner strider mot dataskyddslagstiftningen ska slutanvändaren meddela InterSystems detta och InterSystems ska inte vara skyldigt att följa denna instruktion och InterSystems ska inte heller anses bryta mot EULSA, för att ha underlåtit att följa en sådan instruktion. Om slutanvändaren motsätter sig InterSystems beslut om att slutanvändarens instruktioner strider mot dataskyddslagstiftningen ska slutanvändaren ge en skriftlig förklaring till varför instruktionen är förenlig med dataskyddslagstiftningen och InterSystems kan förlita sig på denna förklaring för att utföra slutanvändarens instruktioner.
4.3. Slutanvändaren försäkrar och garanterar att denne (eller i det fall slutanvändaren är en databehandlare, den relevanta dataägaren) får behandla slutanvändaruppgifter på det sätt som databehandlaren har rätt att behandla personuppgifter enligt detta tillägg.
4.4. Slutanvändaren ska vara ansvarig för att alltid använda administrativa, fysiska och tekniska skyddsåtgärder för att upprätthålla och säkerställa sekretess, integritet och säkerhet för slutanvändaruppgifter som överförs till personuppgiftsbiträdet i enlighet med standarderna och kraven i dataskyddslagstiftningen, tills dessa slutanvändaruppgifter tas emot av personuppgiftsbiträdet.
4.5. Slutanvändaren ska inhämta alla samtycken eller godkännanden som kan krävas enligt tillämplig lag för att databehandlaren ska kunna tillhandahålla sina tjänster enligt EULSA
- Diverse.
5.1. Referenser. En hänvisning i detta tillägg till språk i GDPR avser språket i dess gällande eller ändrade lydelse och från och med det tillämpliga datumet för efterlevnad.
5.2. Ändringar i detta tillägg. Slutanvändaren samtycker till att InterSystems i god tro kan ändra detta tillägg eller EULSA vid behov för att följa eventuella ändringar i dataskyddslagstiftningen.
5.3. Fortlevnad. Personuppgiftsbiträdets och den personuppgiftsansvariges respektive rättigheter och skyldigheter ska fortsätta att gälla efter uppsägningen så länge som antingen personuppgiftsbiträdet eller den personuppgiftsansvarige behandlar slutanvändaruppgifter enligt detta tillägg eller EULSA.
5.4. Tolkning. Eventuella tvetydigheter i detta tillägg ska lösas så att parterna kan följa dataskyddslagstiftningen
- Rättigheterna och skyldigheterna enligt detta tillägg gäller utöver och inte i stället för eventuella rättigheter eller skyldigheter som uppstår mellan parterna enligt andra avtal eller enligt allmän lag
- Om någon person bryter eller misstänks bryta mot en sekretessförpliktelse som personen är skyldig någon av parterna i detta avtal, med avseende på slutanvändaruppgifter som personen har eller har haft tillgång till, som en följd av detta tillägg, förbinder sig den part som är skyldig att göra sitt bästa för att genomdriva skyldigheten i fråga