Personuppgiftsbiträdesavtal enligt GDPR

REGISTER OCH DATASKYDDSBESKRIVNING

Detta är företagets register- och dataskyddsbeskrivning i enlighet med EU:s allmänna dataskyddsförordning (GDPR).
Upprättad 10.9.2021 och uppdaterad 12.5.2022.

Denna dataskyddsbeskrivning redogör för insamling och behandling av personuppgifter i anslutning till Rowly Oy.

1. PERSONUPPGIFTSANSVARIG

RowlyGO
FO-nummer: 3320839-3
Kisällinkatu 8
70780 Kuopio
FINLAND

2. KONTAKTUPPGIFTER FÖR DATASKYDDSFRÅGOR

Dataskyddsansvarig
Pasi Pesonen
pasi.pesonen@rowly.fi
+358 10 582 7302

3. INLEDNING OCH SYFTE MED AVTALET

3.1 Detta personuppgiftsbiträdesavtal (”Bilagan”) tillämpas på avtal mellan Rowly Oy (”Leverantören”) och kunden (”Kunden”) avseende RowlyGO:s produkter och tjänster, där behandling av personuppgifter som tillhör Kunden och/eller Kundens kunder förekommer (”Avtalet”).

3.2 Denna Bilaga fastställer dataskydd och informationssäkerhet för personuppgifter som behandlas inom Leverantörens tjänster. Den utgör ett skriftligt avtal mellan parterna enligt EU:s dataskyddsförordning (679/2016) avseende behandling av personuppgifter.

3.3 Vid eventuella motstridigheter mellan denna Bilaga och Avtalet i fråga om behandling av personuppgifter ska bestämmelserna i denna Bilaga ha företräde.

4. DEFINITIONER

I denna Bilaga avses med:

Personuppgiftsansvarig: Kunden, som fastställer ändamål och medel för behandlingen av personuppgifter.

Personuppgiftsbiträde: Leverantören, som behandlar personuppgifter för den personuppgiftsansvariges räkning enligt Avtalet.

Behandling: Varje åtgärd eller kombination av åtgärder avseende personuppgifter, oavsett om de utförs automatiserat eller manuellt, såsom insamling, registrering, organisering, lagring, ändring, användning, utlämnande eller radering.

Personuppgifter: All information som avser en identifierad eller identifierbar fysisk person (registrerad).

Personuppgiftsincident: En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till personuppgifter.

5. DATASKYDD OCH BEHANDLING AV PERSONUPPGIFTER

5.1 Leverantörens och Kundens ansvar

5.1.1 Leverantören behandlar Kundens personuppgifter för Kundens räkning och enligt Kundens instruktioner i enlighet med Avtalet. Uppgifterna kan avse medlemmar, anställda eller andra fysiska personer. Kunden är personuppgiftsansvarig och Leverantören är personuppgiftsbiträde. Parterna förbinder sig att följa tillämplig lagstiftning och myndighetsföreskrifter inom Finland och EU.

5.1.2 Kunden ansvarar för att det finns rättslig grund och nödvändiga samtycken för behandlingen. Kunden ansvarar även för att upprätta och tillhandahålla integritetspolicy, informera registrerade samt vid behov göra anmälningar till tillsynsmyndighet.

5.1.3 Leverantören får endast behandla personuppgifter i enlighet med Avtalet, denna Bilaga och Kundens dokumenterade instruktioner, och endast i den omfattning som krävs för att tillhandahålla tjänsten.

5.2 Radering eller återlämnande av uppgifter

Vid Avtalets upphörande ska Leverantören, enligt Kundens val, återlämna eller radera samtliga personuppgifter och kopior av dessa, om inte lag kräver fortsatt lagring.

5.3 Underleverantörer

Leverantören har rätt att anlita underleverantörer för behandling av personuppgifter. Leverantören ansvarar för deras behandling och ska säkerställa att motsvarande dataskyddsavtal ingås.

5.4 Biståndsskyldighet

Leverantören ska bistå Kunden vid hantering av registrerades rättigheter, såsom begäran om tillgång, rättelse, radering eller invändning, genom lämpliga tekniska och organisatoriska åtgärder, i den mån det är möjligt.

6. BEHANDLING UTANFÖR EU/EES

Leverantören och dess underleverantörer får inte behandla personuppgifter utanför EU/EES utan Kundens skriftliga godkännande.

7. REVISION

Kunden eller en av Kunden utsedd oberoende revisor har rätt att granska behandlingen enligt denna Bilaga.

8. INFORMATIONSSÄKERHET

Leverantören ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder med hänsyn till riskerna och behandlingens art.

9. RAPPORTERING AV PERSONUPPGIFTSINCIDENTER

Leverantören ska utan onödigt dröjsmål underrätta Kunden om personuppgiftsincidenter.

Kunden ansvarar för eventuell anmälan till tillsynsmyndighet och registrerade.

10. ÖVRIGA VILLKOR

Vardera parten ansvarar för sin egen efterlevnad av tillämplig dataskyddslagstiftning.