Avtal för databearbetning
Detta avtal ingås mellan Synology Inc., ett Taiwan-bolag med sitt registreringskontor på 9F, No. 1, Yuan Dong Rd., Banqiao, New Taipei 220632, Taiwan ("personuppgiftsbiträdet") och dig enligt definitionen i det allmänna tjänsteavtalet för Synology C2-tjänster ("personuppgiftsansvarig").
Detta avtal införlivas härmed i och utgör en del av det allmänna tjänsteavtalet för Synology C2-tjänster (nedan kallat "tjänsteavtal").
I. Definitioner
Avtal avser detta avtal om databearbetning.
Medgivande från registrerad innebär alla fritt givna, specifika, informerade och otvetydiga indikationer på registrerads önskemål genom vilka han eller hon, genom ett uttalande eller genom en tydlig jakande åtgärd, godkänner behandlingen av personuppgifter som rör honom eller henne.
Personuppgiftsansvarig avser den fysiska eller juridiska personen, den offentliga myndigheten, byrån eller annat organ som, ensam eller tillsammans med andra, fastställer syftena och medlen för bearbetning av personuppgifter, där syftet med och medlen för sådan bearbetning fastställs av unionens eller medlemsstatens lagstiftning, personuppgiftsansvarig eller där de specifika kriterierna för nomineringen kan tillhandahållas enligt lag i unionen eller medlemsstaten.
Gränsöverskridande bearbetning innebär antingen:
- bearbetning av personuppgifter som sker i samband med aktiviteter i fler än en medlemsstat för en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen där personuppgiftsansvarig eller personuppgiftsbiträdet är etablerad i mer än en medlemsstat, eller
- bearbetning av personuppgifter som sker i samband med aktiviteter i en enda etablering av en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen, men som i hög grad påverkar eller sannolikt kommer att påverka registrerade i fler än en medlemsstat.
Dataskyddstjänsteman innebär en expert inom datasekretess som arbetar självständigt för att säkerställa att en enhet följer de policyer och procedurer som anges i den allmänna dataskyddsförordningen (GDPR).
Registrerad är en fysisk person vars personuppgifter behandlas av en personuppgiftsansvarig eller ett personuppgiftsbiträde.
Den allmänna dataskyddsförordningen (GDPR) avser EU-förordningen 2016/679 av Europaparlamentet och rådet den 27 april 2016 om skyddet för fysiska personer med avseende på bearbetning av personuppgifter och den fria rörligheten av sådana data samt upphävande av direktiv 95/46/EG.
Personuppgifter avser all information som rör en identifierad eller identifierbar fysisk person ("registrerad"); en identifierbar fysisk person är en person som kan identifieras, direkt eller indirekt, i synnerhet genom hänvisning till en identifierare som ett namn, ett identifikationsnummer, platsdata, en onlineidentifierare eller en eller flera faktorer som är specifika för den fysiska, fysiologiska, genetiska, mentala, ekonomiska, kulturella eller sociala identiteten hos den fysiska personen.
Intrång i personuppgifter innebär ett brott mot säkerheten som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt utlämnande av eller åtkomst till personuppgifter som överförs, lagras eller på annat sätt bearbetas.
Bearbetning avser alla åtgärder eller uppsättningar av åtgärder som utförs på personuppgifter eller på uppsättningar av personuppgifter, oavsett om de utförs automatiskt eller inte, till exempel insamling, inspelning, organisering, strukturering, lagring, anpassning eller ändring, hämtning, konsultation, användning, utlämnande via överföring, spridning eller på annat sätt tillgängliggöra, inriktning eller kombination, begränsning, radering eller förstörelse.
Ppersonuppgiftsbiträdet är en fysisk eller juridisk person, offentlig myndighet, byrå eller annat organ som bearbetar personuppgifter å personuppgiftsansvarigs vägnar.
Pseudonymisering innebär behandling av personuppgifter på ett sådant sätt att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan användning av ytterligare information, förutsatt att sådan ytterligare information förvaras separat och är föremål för tekniska och organisatoriska åtgärder för att säkerställa att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.
Mottagare avser en fysisk eller juridisk person, offentlig myndighet, byrå eller annat organ, till vilket personuppgifterna lämnas ut, oavsett om det är en tredje part. Offentliga myndigheter som kan ta emot personuppgifter i samband med en viss förfrågan i enlighet med unionens eller medlemsstaternas lagstiftning ska dock inte betraktas som mottagare. Bearbetning av dessa data av de offentliga myndigheterna ska ske i enlighet med tillämpliga dataskyddsregler i enlighet med bearbetningens syften.
Representant avser en fysisk eller juridisk person i unionen som skriftligen utsetts av personuppgiftsansvarig eller personuppgiftsbiträdet, enligt artikel 27, som representerar personuppgiftsansvarig eller personuppgiftsbiträdet med avseende på deras respektive skyldigheter gentemot den allmänna dataskyddsförordningen (GDPR).
Återförsäljare avser en tjänsteleverantör från tredje part som prenumererar på Synology C2-tjänsten och betalar kostnaden för tjänsten direkt till personuppgiftsbiträdet å personuppgiftsansvarigs vägnar.
Bestämmelser avser den allmänna dataskyddsförordningen (GDPR) och andra allmänt bindande juridiska bestämmelser angående personuppgiftsskydd.
Tredje part innebär en fysisk eller juridisk person, offentlig myndighet, byrå eller organ utöver registrerad, personuppgiftsansvarig, personuppgiftsbiträdet och personer som lyder direkt under personuppgiftsansvarig eller personuppgiftsbiträdet, som har behörighet att bearbeta personuppgifter.
Med standardavtalsklausuler avses de standardavtalsklausuler som anges i Bilaga 1 för överföring av personuppgifter från en personuppgiftsansvarig inom Europeiska ekonomiska samarbetsområdet till personuppgiftsbiträden etablerade i tredjeländer i den form som anges i bilagan till kommissionens genomförandebeslut (EU) 2021/914 av den 4 juni 2021, ändrat genom att införliva beskrivningen av de personuppgifter som ska överföras och de tekniska och organisatoriska åtgärder som ska genomföras enligt tillägget.
Tillsynsmyndighet avser den myndighet som ansvarar för de relevanta frågor som berörs av detta avtal.
II. Avtalets varaktighet
Det här avtalets varaktighet ska sammanfalla med tjänsteavtalet.
III. Avtalets natur och syfte
- Den avsedda databehandlingens natur och syfte
Naturen hos och syftet med behandlingen av personuppgifter av personuppgiftsbiträdet för personuppgiftsansvarig definieras exakt i tjänsteavtalet. - Typ av data
Ämnet för behandlingen av personuppgifter omfattar följande datatyper/kategorier:- Personliga huvuddata: Personuppgiftsansvarig kan lagra data av alla slag på den hyrda servern efter eget gottfinnande. Synology har ingen påverkan på eller åtkomst till sådana data.
- Avtalsfakturerings- och betalningsdata: Inom ramen för utförandet av tjänsteavtalet ska Synology samla in personliga avtalsdata, inklusive kontaktadress, information om betalningsmetod och kontaktperson för det relevanta tjänsteavtalet.
- Kategorierna för registrerade
Kategorierna för registrerade består av kunder och kontaktpersoner hos återförsäljarna.
IV. Personuppgiftsbiträdets skyldigheter
- Personuppgiftsbiträdet bearbetar personuppgifter enbart och i full överensstämmelse med bestämmelserna och instruktionerna från personuppgiftsansvarig eller som på annat sätt krävs i detta avtal. Denna skyldighet gäller även överföringar av personuppgiftsbiträdet för personuppgifter till ett tredje land eller en internationell organisation, såvida inte personuppgiftsbiträdet är skyldigt att göra det enligt de regler eller lagar som gäller för personuppgiftsbiträdet. I sådana fall ska personuppgiftsbiträdet informera personuppgiftsansvarig om sådana juridiska krav före bearbetning, om inte lagen förbjuder sådan information på grund av offentliga intressen.
- Personuppgiftsbiträdet och personuppgiftsansvarig godkänner att detta avtal och tjänsteavtalet representerar personuppgiftsansvarigs fullständiga och slutliga instruktioner till personuppgiftsbiträdet. Bearbetning som inte omfattas av detta avtal (om sådan finns) kräver ett skriftligt avtal mellan båda parter i förväg med ytterligare instruktioner för bearbetning. Personuppgiftsansvarig kan säga upp detta avtal om personuppgiftsbiträdet inte följer de instruktioner som begärs av personuppgiftsansvarig som inte omfattas av detta avtal.
- I samband med detta avtal ska personuppgiftsansvarig omedelbart och skriftligen bekräfta eventuella muntliga instruktioner.
- Kopior eller dubbletter av data som bearbetas å personuppgiftsansvarigs vägnar får aldrig skapas utan personuppgiftsansvarigs kännedom, med undantag för säkerhetskopior som är nödvändiga för att säkerställa korrekt databearbetning, samt data som krävs för att uppfylla regelkrav för att lagra data enligt föreskrifterna.
- Personuppgiftsbiträdet får inte på egen hand korrigera, radera eller begränsa bearbetningen av data som bearbetas på uppdrag av personuppgiftsansvarig eller porta/överföra sådana data till tredje part, utan endast göra detta med dokumenterade instruktioner från personuppgiftsansvarig. När en registrerad kontaktar personuppgiftsbiträdet direkt angående korrigering, radering eller begränsning av behandling eller för att utöva rätten till bärbarhet vidarebefordrar personuppgiftsbiträdet omedelbart registrerads begäran till personuppgiftsansvarig. I de fall detta ingår i tjänsternas omfattning ska raderingspolicyn, "rätt att glömmas bort", korrigering, dataportabilitet och åtkomst utan dröjsmål säkerställas av personuppgiftsbiträdet i enlighet med dokumenterade instruktioner från personuppgiftsansvarig.
- Personuppgiftsbiträdet ska omedelbart informera personuppgiftsansvarig om personuppgiftsbiträdet anser att en instruktion från personuppgiftsansvarig bryter mot förordningarna. Personuppgiftsbiträdet har då rätt att avbryta utförandet av de relevanta instruktionerna tills personuppgiftsansvarig bekräftar eller ändrar dem.
- Utöver att följa reglerna i detta avtal ska personuppgiftsbiträdet följa de lagstadgade kraven i förordningarna. Därför garanterar personuppgiftsbiträdet att följande krav i synnerhet uppfylls:
- Personuppgiftsbiträdet litar endast på sådana anställda med den databearbetning som beskrivs i det här avtalet som är bundna till konfidentialitet och som tidigare har bekantats med de dataskyddsåtgärder som är relevanta för deras arbete. Personuppgiftsbiträdet och alla personer som agerar enligt dess auktoritet och har åtkomst till personuppgifter får inte bearbeta dessa data om inte instruktionerna från personuppgiftsansvarig, som inkluderar de krafter som ges i detta avtal, såvida det inte krävs enligt förordningarna.
- Personuppgiftsbiträdet måste hjälpa personuppgiftsansvarig att uppfylla begäranden från personer som utövar sin rätt att få åtkomst till, korrigera, porta, radera eller invända mot bearbetningen av sina personuppgifter.
- Personuppgiftsbiträdet måste hjälpa personuppgiftsansvarig att uppfylla krav från tillsynsmyndigheten. Personuppgiftsansvarig och personuppgiftsbiträdet ska, på begäran, samarbeta med tillsynsmyndigheten under utförandet av deras uppgifter.
- Utnämning av dataskyddsombud, kontaktperson, representant
Synologys dataskyddsgrupp kan kontaktas på https://www.synology.com/form/privacy_issue. Personuppgiftsansvarig ska omedelbart informeras om eventuella ändringar av dataskyddsombudet. - Personuppgiftsansvarig ska omedelbart informeras om eventuella inspektioner och åtgärder som utförs av relevant tillsynsmyndighet enligt beskrivningen i punkt IX i detta avtal, i den mån de rör bearbetningen av detta avtal.
- Om en tillsynsmyndighet utför en inspektion, en administrativ eller sammanfattning av brott eller brottslig process, ett skadeståndsanspråk från en registrerad eller av en tredje part eller något annat anspråk i samband med bearbetning av avtalsdata, ska personuppgiftsbiträdet göra allt för att stödja personuppgiftsansvarig. Ytterligare hjälpskyldigheter beskrivs i punkt X i detta avtal.
- Personuppgiftsbiträdet ska hjälpa personuppgiftsansvarig att säkerställa att skyldigheterna följs enligt beskrivningen i punkt IX i detta avtal.
- Implementering av och efterlevnad för alla tekniska och organisatoriska åtgärder som krävs för detta avtal, enligt detaljerna i tillägget.
V. Meddelandeskyldighet
- Personuppgiftsbiträdet ska omedelbart meddela personuppgiftsansvarig om eventuella intrång i personuppgifter begås. Alla rimligen misstänkta incidenter ska också rapporteras. Alla meddelanden måste åtminstone innehålla den information som anges i förordningarna.
- Personuppgiftsansvarig måste även meddelas omedelbart om eventuella betydande avbrott när uppgiften utförs, samt om brott mot bestämmelserna om juridiskt dataskydd eller bestämmelserna i detta avtal som utförs av personuppgiftsbiträdet eller någon person som han/hon har anställt.
- Personuppgiftsbiträdet ska omedelbart informera personuppgiftsansvarig om eventuella inspektioner eller åtgärder som utförs av tillsynsmyndigheter eller annan tredje part, om de rör den beställda databearbetningen.
- Personuppgiftsbiträdet ska säkerställa att personuppgiftsansvarig stöds i dessa skyldigheter, i enlighet med förordningarna, i den omfattning som krävs.
VI. Internationell överföring av personuppgifter
- Uppgifter som Synology behandlar för kundens räkning i egenskap av personuppgiftsbiträde kan lagras antingen inom Europeiska unionen (EU) eller utanför den, baserat på kundens val av datacenter.
- När personuppgifter överförs internationellt till personuppgiftsbiträden i länder som saknar adekvat dataskydd gäller följande:
- Parterna åtar sig standardavtalsklausuler (bilaga 1) för att underlätta överföringen av personuppgifter till länder som inte erbjuder adekvat dataskydd. Dessa klausuler antas för att säkerställa lämpliga skyddsåtgärder för integritet, liksom för grundläggande rättigheter och friheter för enskilda personer. Inom dessa klausuler fungerar "personuppgiftsansvarig" som "uppgiftsutförare" och "personuppgiftsbiträde" som "uppgiftsinförare". I händelse av konflikt mellan standardavtalsklausuler och detta databehandlingsavtal ska standardavtalsklausuler ha företräde.
- På den personuppgiftsansvariges begäran ska parterna ersätta standardavtalsklausulerna och verkställa nya för dataöverföring till personuppgiftsbiträden i tredjeländer, som fastställts i GDPR artikel 46 (2) (c) eller (d).
- Om, och så länge som, personuppgifter överförs till ett land med ett beslut om adekvat skyddsnivå enligt artikel 45(3) i GDPR, krävs inga standardavtalsklausuler. Om detta beslut om adekvat skyddsnivå upphävs eller avbryts, tillämpas klausulerna (a) och (b) automatiskt.
VII. Tekniska och organisatoriska åtgärder och datasäkerhet
De tekniska och organisatoriska åtgärderna beskrivs närmare i Bilaga ─ Annex II.
VIII. Underleverantörer
- Att anlita underleverantörer för detta avtal ska anses utgöra tjänster som är direkt kopplade till tillhandahållandet av den huvudsakliga tjänsten. Detta omfattar inte dotterbolagstjänster, såsom telekommunikationstjänster, post-/transporttjänster, underhåll och användarsupporttjänster eller avyttring av databärare, samt andra åtgärder för att säkerställa sekretess, tillgänglighet, integritet och motståndskraft hos maskin- och programvara för databehandlingsutrustning. Personuppgiftsansvarig ska dock vara skyldig att skapa lämpliga och juridiskt bindande avtalsplaner och vidta lämpliga inspektionsåtgärder för att säkerställa dataskydd och datasäkerhet för personuppgiftsansvarigs data, även om det gäller outsourcade dotterbolagstjänster.
- Personuppgiftsbiträdet får endast anlita underleverantörer efter föregående skriftligt eller dokumenterat medgivande från personuppgiftsansvarig. Utan hinder av ovanstående ska personuppgiftsansvarig inte hålla inne sitt medgivande utan objektivt motiverade skäl. Vid invändning från den personuppgiftsansvarige om utnämning eller ersättning av underleverantör, kommer personuppgiftsbiträdet antingen inte att utnämna eller ersätta underleverantörerna eller, om detta inte är möjligt, får den personuppgiftsansvarige avbryta eller avsluta tjänsten/tjänsterna utan att det påverkar eventuella avgifter som den personuppgiftsansvarige ådragit sig innan sådant avbrott eller avslut.
- Outsourcing till underleverantörer eller byte av befintlig underleverantör är tillåtet när:
- personuppgiftsbiträdet skickar en sådan outsourcing till en underleverantör till personuppgiftsansvarig skriftligen eller i textform, med lämpligt förhandsmeddelande; och
- personuppgiftsansvarig inte har invänt mot den planerade outsourcingen, skriftligen eller i textformat, när data lämnas över till personuppgiftsbiträdet; och
- samma dataskyddsskyldigheter som anges i detta avtal ska åläggas det andra personuppgiftsbiträdet (underleverantören) genom ett kontrakt/avtal eller om outsourcingen baseras på ett avtalsenligt avtal i enlighet med förordningarna.
- Personuppgiftsbiträdet ska skriftligen ålägga tillämpliga avtalsenliga skyldigheter till underleverantören som inte är mindre skyddande än detta avtal eller de juridiska krav som fastställts av förordningarna, inklusive relevanta avtalsenliga skyldigheter avseende sekretess, dataskydd, datasäkerhet och granskningsrättigheter.
- Överföring av personuppgifter från personuppgiftsansvarig till underleverantören och underleverantörernas påbörjande av databearbetningen ska endast utföras efter att alla efterlevnadskrav har uppfyllts.
- Personuppgiftsbiträdet kommer att begränsa underleverantörens åtkomst till data endast till vad som är nödvändigt för att underhålla underleverantörens tjänst och kommer att hindra underleverantören från att komma åt data för något annat ändamål.
- Personuppgiftsbiträdet är fortfarande ansvarigt för uppfyllandet av skyldigheterna i detta avtal och för eventuella handlingar eller utelämnanden från underleverantören som gör att personuppgiftsbiträdet bryter mot sina skyldigheter i enlighet med detta avtal.
- Om underleverantören tillhandahåller den avtalade tjänsten utanför EU/EES måste personuppgiftsbiträdet med lämpliga åtgärder säkerställa att föreskrifterna följs.
- Vidare outsourcing av underleverantören kräver uttryckligt medgivande från personuppgiftsbiträdet (minst i textform). Alla avtalsvillkor i detta avtal ska kommuniceras och avtalas med varje ytterligare underleverantör.
IX. Personuppgiftsansvarigs skyldigheter, rättigheter och tillsyn
- Personuppgiftsansvarig är ensam ansvarig för att bedöma den begärda bearbetningens tillåtlighet och för de berörda parternas rättigheter.
- Personuppgiftsansvarig har rätt att utföra inspektioner av personuppgiftsbiträdet eller att låta en ömsesidigt överenskommen granskare genomföra dem, som utses i varje enskilt fall och bekostas av personuppgiftsansvarig. Personuppgiftsansvarig har rätt att kontrollera att personuppgiftsbiträdet i sin verksamhet följer detta avtal genom slumpmässiga kontroller, som vanligtvis meddelas i rimlig tid.
- Inspektioner i personuppgiftsbiträdets lokaler måste utföras utan störningar i driften av personuppgiftsbiträdets verksamhet, om sådana kan undvikas. Om inget annat anges av brådskande orsaker, som måste dokumenteras av personuppgiftsansvarig, ska inspektioner utföras efter lämpligt förhandsmeddelande och under personuppgiftsbiträdets arbetstid, inte oftare än var 12:e månad. Om personuppgiftsbiträdet påvisar att de överenskomna dataskyddsåtagandena är korrekt implementerade, enligt kapitel IX.-5 i detta avtal, ska inspektionerna begränsas till stickprover.
- Personuppgiftsbiträdet ska säkerställa att personuppgiftsansvarig kan verifiera att personuppgiftsbiträdet uppfyller kraven i enlighet med förordningarna. Personuppgiftsbiträdet åtar sig att ge personuppgiftsansvarig den information som krävs på begäran för att demonstrera utförandet av de tekniska och organisatoriska åtgärderna.
- Bevis på sådana åtgärder, som inte bara rör detta avtal, kan tillhandahållas av den aktuella granskarens certifikat, rapporter eller utdrag från rapporter som tillhandahålls av oberoende organ (t.ex. granskare, dataskyddstjänsteman, IT-säkerhetsavdelning, datasekretessgranskare, kvalitetsgranskare).
- Personuppgiftsbiträdet kan kräva ersättning för att möjliggöra personuppgiftsansvarigs inspektioner.
X. Personuppgiftsbiträdets assistans- och informationsskyldigheter
- Personuppgiftsbiträdet ska bistå personuppgiftsansvarig i att uppfylla skyldigheterna kring personuppgifternas säkerhet, rapportera krav på dataintrång, bedöma dataskyddspåverkan och tidigare konsultationer. Dessa inkluderar:
- Att säkerställa en lämplig skyddsnivå genom tekniska och organisatoriska åtgärder som tar hänsyn till omständigheterna och syftet med bearbetningen samt den beräknade sannolikheten för och allvarlighetsgraden av ett möjligt brott mot lagen, som ett resultat av säkerhetsrisker och som möjliggör omedelbar upptäckt av relevanta händelser som rör intrång.
- Skyldigheten att omedelbart rapportera ett intrång i personuppgifter till personuppgiftsansvarig.
- Skyldigheten att assistera personuppgiftsansvarig med avseende på personuppgiftsansvarigs skyldighet att tillhandahålla information till berörd registrerad och att omedelbart förse personuppgiftsansvarig med all relevant information i detta avseende.
- Skyldigheten att assistera personuppgiftsansvarig med avseende på personuppgiftsansvarigs skyldighet att tillhandahålla information till tillsynsmyndigheten. Personuppgiftsansvarig ska, på begäran, samarbeta med tillsynsmyndigheten under utförandet av deras uppgifter.
- Stödja personuppgiftsansvarig med bedömning av dataskyddspåverkan.
- Stödja personuppgiftsansvarig med avseende på tidigare konsultation av tillsynsmyndigheten.
- Personuppgiftsansvarig ska omedelbart informeras om eventuella inspektioner och åtgärder som utförs av en tillsynsmyndighet, i den mån de avser bearbetning av data som är relaterade till detta avtal. Detta gäller även i den mån personuppgiftsbiträdet utreds eller deltar i en undersökning av en behörig myndighet i samband med intrång i lagar eller administrativa regler eller i förordningarna om bearbetning av data i samband med bearbetning av detta avtal. Om en personuppgiftsansvarig är föremål för en inspektion av tillsynsmyndighet, administrativ utredning, brottsutredning, skadeståndsanspråk från en registrerad eller från tredje part eller något annat anspråk i samband med bearbetning av avtalsdata, ska personuppgiftsbiträdet göra allt för att stödja personuppgiftsansvarig och tillhandahålla all dokumentation, resurser och stöd som personuppgiftsansvarig kan behöva. Om data som rör detta avtal utsätts för konfiskering under konkurs eller insolvensförfarande, eller liknande åtgärder från tredje part, medan de bearbetas av personuppgiftsbiträdet, kommer personuppgiftsbiträdet att informera personuppgiftsansvarig utan dröjsmål. Personuppgiftsbiträdet kommer, utan dröjsmål, att meddela och uppdatera personuppgiftsansvarig om all utveckling och uppdatering av sådana åtgärder, och ska vidta alla åtgärder som svar på sådana handlingar som krävs av personuppgiftsansvarig.
- Personuppgiftsbiträdet kan begära ersättning för supporttjänster som inte ingår i beskrivningen av tjänsterna häri och som inte kan härledas till fel hos personuppgiftsbiträdet, förutsatt att sådan kompensation godkänns skriftligen i förväg av personuppgiftsansvarig.
XI. Avgifter
Personuppgiftsbiträdet kostnad för de tjänster som tillhandahålls enligt detta avtal fastställs slutgiltigt i tjänsteavtalet. Det finns ingen separat kostnad eller återbetalning i det här avtalet.
XII. Ansvar och skadeersättning
- Personuppgiftsansvarig och personuppgiftsbiträdet är ansvariga för skador som orsakas av obehörig part eller för felaktig databearbetning inom ramen för detta avtal i enlighet med gällande lagar.
- Ingen part ska under några omständigheter hållas ansvarig gentemot den andra för indirekta, straffbara, speciella, tillfälliga eller följdskador i samband med eller relaterade till detta avtal (inklusive utebliven vinst, användning, data eller andra ekonomiska fördelar). Det kan dock uppstå, oavsett om det gäller brott mot detta avtal, inklusive garantibrott eller skadestånd, även om den parten tidigare har informerats om möjligheten till sådan skada.
XIII. Uppsägning, retur och radering av data
- Efter uppsägning av detta avtal eller uppsägning av det underliggande tjänsteavtalet, eller på begäran av personuppgiftsansvarig, ska personuppgiftsbiträdet överlämna till personuppgiftsansvarig eller – i enlighet med föregående medgivande från personuppgiftsansvarig – förstöra alla data, resultat av behandling och användning samt datauppsättningar relaterade till det här avtalet eller tjänsteavtalet som har kommit i personuppgiftsbiträdets ägo, på ett sätt som överensstämmer med förordningarna. Samma sak gäller alla anslutna test, avfall samt redundant och kasserat material. Loggen för förstöring eller borttagning ska tillhandahållas personuppgiftsansvarig när förstöringen eller raderingen är slutförd, eller när som helst på begäran av personuppgiftsansvarig.
- Dokumentation som används för att demonstrera korrekt databearbetning i enlighet med detta avtal ska lagras av personuppgiftsbiträdet efter avtalets varaktighet i enlighet med respektive lagringsperiod i reglerna. Personuppgiftsbiträdet kan lämna över sådan dokumentation till personuppgiftsansvarig i slutet av avtalets varaktighet eller när som helst på begäran av personuppgiftsansvarig.
- Personuppgiftsbiträdet är skyldigt att omedelbart säkerställa att data från underleverantörer returneras eller tas bort.
- Personuppgiftsbiträdet måste tillhandahålla bevis för att data förstörs på ett korrekt sätt av personuppgiftsbiträdet eller underleverantörerna och omedelbart skicka detta bevis till personuppgiftsansvarig.
XIV. Diverse
- Båda parterna är skyldiga att behandla all kunskap om affärshemligheter och datasäkerhetsåtgärder, som har inhämtats från den andra parten inom ramen för den avtalsenliga relationen, konfidentiellt, även efter att detta avtal har upphört. Om du är osäker på om informationen är föremål för konfidentialitet ska den behandlas konfidentiellt till mottagandet av ett skriftligt godkännande från den andra parten. Inget ägarintresse för immateriella rättigheter övergår från personuppgiftsansvarig till personuppgiftsbiträdet i enlighet med detta avtal.
- Alla ändringar i detta avtal ska vara skriftliga och godkännas av båda parterna.
- Undantag från rätten till kvarhållande enligt gällande lagar avskrivs härmed med avseende på bearbetade data och associerade databärare.
- Om delar av detta avtal skulle vara ogiltiga kommer detta inte att påverka giltigheten för återstoden av detta avtal.
- Detta avtal ska regleras av och tolkas i enlighet med lagarna i Tyskland, utan hänsyn till principer inom lagkonflikter.
- Alla tvister som uppstår från eller i samband med det här avtalet ska hänvisas till och slutligen lösas av domstolen i behörig jurisdiktion i Düsseldorf, Nordrhein-Westfalen, Tyskland, undantaget FN:s konvention angående avtal om internationella köp av varor. Om kunden är en handlare enligt § 1 stycke 1 i tyska konsumentlagen (HGB), en juridisk enhet i offentlig rätt eller en investeringsfond inom offentlig rätt är domstolarna i Düsseldorf det myndighetsområde som råder över alla tvister som uppstår av eller i anslutning till det här avtalsmässiga förhållandet.
Ladda ned
Anmäl dig till C2-nyhetsbrevet
Registrera dig nu för att få de senaste uppdateringarna om C2-tjänster, tekniska insikter, aktiviteter och evenemang.
För att säkerställa att du får vårt nyhetsbrev skapar vi ett Synology-konto åt dig med hjälp av den angivna e-postadressen.