Dataskyddsvillkor Dataskyddsvillkor | Shipit.fi | Shipit

Dataskyddsvillkor

Senast uppdaterad 31.3.2022 förtydligande av terminologi och borttagning av överflödigt innehåll.

Parter och bakgrund

Detta personuppgiftsbiträdesavtal (DPA) är mellan Shipit Oy Ab 2705721-8 (fortsättningsvis även tjänsteleverantör, person- och registeruppgiftsbiträde samt Shipit) och kunden som gör en försändelse, möjligen gör en försändelse, registrerar sig som kund hos Shipit, avser att registrera sig som kund hos Shipit eller frågar om andra saker som kan leda till kundrelation med Shipit. Detta gäller även förskottsbetalande kunder förutom marknadsföring. Shipit fungerar i situationen som personuppgiftsbiträde och behandlar den personuppgiftsansvariges (fortsättningsvis även kundens) uppgifter för att säkerställa leverans av försändelser samt utveckling av tjänster. Syftet med detta avtal är att säkerställa dataskydd, datasäkerhet och behandlingsnivå för personuppgifter. Denna avtalsbilaga är en väsentlig och oskiljbar del av Shipit Oy Ab:s avtalsvillkor.

Shipit Oy Ab Askonkatu 9 A, 15100, Lahtis Finland. Postadress PB 60, 22101 Mariehamn, Åland Finland.

Detta personuppgiftsbiträdesavtal är definierat enligt (EU) 679/2016 (GDPR) och träder i kraft 25.5.2018, om de allmänna avtalsvillkoren och personuppgiftsbiträdesavtalet står i konflikt med varandra tillämpas i första hand personuppgiftsbiträdesavtalet.

Definitioner

De begrepp som används i denna avtalsbilaga får den innebörd som de tilldelats i Europeiska Unionens förordning om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter ("Dataskyddsförordningen").

Sådana begrepp är särskilt termerna:

  • Lagstiftning. Europeiska unionens dataskyddsförordning (2016/679, "GDPR") från och med dess tillämpningsdag (25.5.2018) och eventuell framtida, vid var tid gällande lagstiftning

  • Personuppgiftsansvarig. Kunden som fastställer ändamålen och medlen för Behandlingen av Personuppgifter. Exklusive fysiska personer som behandlar försändelser via Shipit

  • Registrerad. En fysisk person som avses i lagstiftningen

  • Personuppgifter. All information som rör en identifierad eller identifierbar fysisk person

  • Personuppgiftsbiträde. Tjänsteleverantören som Behandlar Personuppgifter för Kundens räkning

  • Behandling. Varje åtgärd eller serie av åtgärder som vidtas beträffande Personuppgifter

  • Underleverantör/underbiträde. Den som på uppdrag av Tjänsteleverantören utför denna bilagas Behandling för Tjänsteleverantörens och Kundens räkning

  • Standardavtalsklausul. Europeiska kommissionens godkända standardavtalsklausuler för överföring av personuppgifter från personuppgiftsansvariga inom EU till personuppgiftsbiträden i tredje länder (beslut 2002/16 EG)

Syfte

Med denna bilaga avtalar parterna om att Tjänsteleverantören som personuppgiftsbiträde under avtalets giltighetstid Behandlar personuppgifter för Kundens, den personuppgiftsansvariges, räkning.


Shipit kan behandla personuppgifter för kundens räkning som kan hänvisa till identifiering av en fysisk person (fortsättningsvis även den registrerade). Direkta och indirekta uppgifter t.ex. personens namn, adressuppgifter, IP-adress, platsdata, nätidentifierare, telefonnummer, e-post, förmedlingsuppgifter och meddelanden. Shipit behandlar inte personnummer på sina sidor men kan vid behov hjälpa kunden att förmedla detta till transportföretaget t.ex. för export- eller importklarering.

Om inte annat definierats genom kundens skriftliga instruktion kan Shipit behandla alla uppgifter relaterade till direkta eller indirekta parter i försändelsen.

Kundens skyldigheter

Kunden fungerar som Personuppgiftsansvarig enligt tillämplig lagstiftning avseende de personuppgifter om sina kunder, anställda eller andra personer som Tjänsteleverantören behandlar i Tjänsten för dess genomförande ("Kundens Personuppgifter").

Kunden definierar hur personuppgifter används, utbyts eller på annat sätt behandlas. Det är Kundens uppgift att säkerställa att alla registrerade har informerats på lämpligt sätt och att de har fått nödvändig information om behandlingen av deras Personuppgifter, samt att Kunden har nödvändiga rättigheter och samtycken för behandling av Personuppgifter. Kunden är som personuppgiftsansvarig även ansvarig för att upprätta en beskrivning av behandlingen.

Kunden överför till tjänsten och systemen endast sådan information som den har rätt att behandla enligt vid var tid tillämplig dataskyddslagstiftning.

Kunden är skyldig att informera Tjänsteleverantören om alla sådana omständigheter (inklusive särskilda risker eller personuppgiftskategorier) som kan kräva ytterligare tekniska eller organisatoriska skyddsåtgärder.

Kunden är även ansvarig för sina anställda som använder Tjänsten och personer som Kunden har gett åtkomst- eller användarrättigheter till Tjänsterna. Kunden är ansvarig för behandling som bekräftats i detta personuppgiftsbiträdesavtal om en tredje part obehörigen får tillgång till dess Personuppgifter eller Tjänst.

Personuppgiftsbiträdets skyldigheter

Shipit och dess personal behandlar Personuppgifter för Kundens räkning endast enligt avtalet och bilagorna samt eventuella särskilt överenskomna skriftliga instruktioner, om inte tillämplig lagstiftning kräver annat.

Shipit behandlar Kundens personuppgifter konfidentiellt och säkerställer att personer som har rätt att behandla personuppgifter har åtagit sig att iaktta sekretess.

  • Behandlingen av personuppgifter baserar sig på den personuppgiftsansvariges eller tredje parts berättigade intresse

  • Den fysiska parten har fått lämplig information om behandlingen av personuppgifter

  • Den personuppgiftsansvarige har rätt att överföra och hantera personuppgifter i det aktuella fallet

  • Den personuppgiftsansvarige behandlar uppgifterna enligt tillämplig dataskyddslagstiftning.

Behandling av uppgifter och åtgärder

Shipit genomför lämpliga åtgärder så att behandlingen uppfyller kraven i tillämplig lagstiftning och skyddsåtgärder som syftar till att förhindra oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till uppgifterna. I dessa åtgärder beaktas säkerställande av säkerhetsnivå motsvarande risken.

  • Granskning av personuppgifter lämnar alltid spår i Shipits system

  • Uppgifter som den personuppgiftsansvarige lämnat förvaras inom lagens ramar

  • Shipits anställda är bundna av sekretess gällande personuppgifter

  • Pseudonymisering och kryptering av personuppgifter

  • Hantering av åtkomsträttigheter

  • Säkerhetstestning av system och lösenordslösningar för kryptering av dataöverföring

  • Riskhantering

  • Säkerhetskontroller av personal

Försändelseuppgifter kan i nödvändig omfattning även behandlas av transportföretag som Shipit använder som underleverantörer.

Slutligt godkännande av dessa villkor sker alltid när kunden skapar en försändelse via Shipit eller när kunden överlämnar uppgifter för Shipits behandling t.ex. i transportförfrågningar.

Shipit hjälper i mån av möjlighet den personuppgiftsansvarige med lämpliga tekniska och organisatoriska åtgärder att besvara förfrågningar som rör den registrerades rättighetsutövning. Kunden är skyldig att ersätta Shipit för kostnader som uppstår av detta arbete enligt Shipits vid tidpunkten gällande prislista.

Shipit hjälper den personuppgiftsansvarige att säkerställa att skyldigheter relaterade till personuppgifternas säkerhet samt konsekvensbedömning avseende dataskydd och förhandssamråd följs. Kunden är skyldig att ersätta Shipit för kostnader som uppstår av detta arbete enligt Shipits vid tidpunkten gällande prislista.

Beroende på kundens begäran raderar eller återlämnar Shipit alla personuppgifter till kunden inom 60 dagar efter att behandlingstjänsten har slutförts om inte EU eller EU-medlemsstatens lagstiftning anger annat. Om återlämning av uppgifterna inte är möjlig eller skulle kräva oproportionerliga åtgärder ska uppgifterna raderas inom samma tidsram.

Användning av underleverantörer

Kunden ger Shipit tillstånd att även använda underleverantörer för att utföra funktionerna, mellan Shipit och underleverantören finns ett avtal som förpliktar underleverantören att agera enligt detta personuppgiftsbiträdesavtal. Shipit ansvarar även för att underleverantören agerar enligt avtalet.

Om kunden upptäcker en brist i underleverantörens verksamhet eller underleverantören på annat sätt inte följer de definitioner som ställts för underleverantören, har kunden rätt att av motiverad anledning skriftligen kräva att denna underleverantör inte används för behandling av denna kunds uppgifter. Underleverantören ska i en sådan situation antingen radera eller återlämna kundens uppgifter.

För tydlighetens skull konstateras att Shipit är kundens enda avtalspartner och att Kunden via Shipit kan beställa tjänster från Shipits underleverantörer (transportföretag), i samband med vilka uppgifter överförs till tredje part som behandlar Kundens personuppgifter för Shipits räkning.

Personuppgiftsincidenter

Båda parter meddelar utan onödigt dröjsmål om säkerhetsavvikelser och -incidenter som kommer till deras kännedom och som har, eller kan ha, påverkan på behandlingen av personuppgifter.

Shipit bistår den personuppgiftsansvarige om verksamheten blir föremål för myndighetsutredning. I dessa fall är kunden skyldig att kompensera Shipit enligt vid tidpunkten gällande prislista. Shipit informerar kunden i dessa ärenden om inte lagen förpliktar annat t.ex. på grund av brottsutredning.

Shipit är skyldig att meddela kunden om förfrågningar från tredje parter gällande behandling av personuppgifter.

Om Shipit får kännedom om en personuppgiftsincident informerar Shipit om detta utan dröjsmål till kunden - med uppgifter som krävs för att göra myndighetsanmälan - dock senast 36 timmar efter att ha fått kännedom om saken. Shipit hjälper även inom rimlighetens gränser med åtgärder för att få ärendet slutfört med myndigheterna och för att lindra skadeverkningar.

Shipit lämnar åtminstone följande uppgifter till kunden vid en incident:

  • Beskrivning av personuppgiftsincidenten

  • Ansvarig person som kan ge ytterligare information i ärendet

  • Sannolika konsekvenser av incidenten

  • Åtgärder som Shipit har vidtagit eller planerar och som personuppgiftsbiträdet skulle föreslå att den personuppgiftsansvarige vidtar.

Båda parter utreder personuppgiftsincidenten inom sitt ansvarsområde och vidtar lämpliga åtgärder för att stoppa incidenten, lindra dess effekter samt förhindra andra liknande personuppgiftsincidenter. Parterna ska dokumentera och meddela den andra parten resultaten av sina utredningar och vidtagna åtgärder. Parterna samarbetar i rimlig omfattning för att kunna uppfylla sina skyldigheter enligt dataskyddsbilagan och lagstiftningen.

Granskningar

Kunden har tillstånd att på egen bekostnad eller med hjälp av tredje part utreda att Shipit följer detta personuppgiftsbiträdesavtal. Sådana utredningar ska göras på ett sätt som inte stör Shipits övriga verksamhet mer än nödvändigt. Shipit har rätt att bestämma att utredningar görs av en professionell part som kan göra en sådan granskning om åtgärderna kan leda till att känsliga uppgifter äventyras eller om tredje part konstateras vara inkompetent att hantera ärendet. Om kunden upptäcker stora brister i behandlingen av personuppgifter som inte kan åtgärdas inom 30 dagar från upptäckten har kunden rätt att häva avtalet utan dröjsmål. Om endast små fel upptäcks har Shipit rätt till skälig ersättning på grund av granskningen.

Ansvarsbegränsningar

Tjänsteleverantören är som personuppgiftsbiträde ansvarig för skada som orsakats av behandlingen endast om den inte har följt de skyldigheter i dataskyddslagstiftningen som specifikt riktar sig till personuppgiftsbiträden eller om den har agerat i strid med den personuppgiftsansvariges lagliga instruktioner. Tjänsteleverantören ansvarar inte för indirekta eller följdskador, såsom förlust av inkomst eller vinst.

Lokalisering och överföring av uppgifter

Shipits datacenter, där alla personuppgifter lagras och behandlas, finns i Finland. Shipit kan dock överföra personuppgifter till datacenter eller underbiträden som finns inom EU/EES-området eller i länder som Europeiska kommissionen har beslutat har en adekvat skyddsnivå.

Överföring av uppgifter till tredje länder

Om händelsen förpliktar Shipit att överföra personuppgifter till ett företag som verkar utanför EU eller till en nationell organisation som verkar utanför EU/EES är kunden själv skyldig att kontrollera att nödvändiga skyddsåtgärder finns på plats enligt GDPR artikel 46. Shipit är inte skyldig att slutföra överföring av personuppgifter om säkerhetsåtgärderna inte är på plats. Shipit kan för överföring av uppgifter utanför EU/EES-området även använda standardavtalsklausuler och lämpliga dataskyddsåtgärder.

Konfidentialitet

Alla personuppgifter som Shipit behandlar för den personuppgiftsansvariges räkning betraktas som den personuppgiftsansvariges konfidentiella uppgifter och ska inte lämnas ut eller avslöjas till någon tredje part eller användas för annat än överenskommet ändamål. Shipit förbinder sig även att inte lämna ut och avslöja personuppgifter inom sin egen organisation till andra än sådana anställda eller andra personer (inkl. eventuella underleverantörer) som behöver känna till uppgifterna för det överenskomna ändamålet och som genom tjänste- eller andra avtal eller enligt lag är skyldiga att behandla uppgifterna konfidentiellt.

Avtalsbilagens ikraftträdande och effekter av avtalets upphörande

Denna bilaga träder i kraft 25.5.2018 och förblir i kraft enligt villkoren för avtalets giltighet tills en part säger upp tjänsteavtalet med iakttagande av uppsägningstiden eller avtalet av annan anledning upphör. Kunden har skyldighet att framställa begäran till Shipit om uppgifterna ska återlämnas till den före avtalsförpliktelserna upphör.

När avtalet upphör raderar personuppgiftsbiträdet Kundens personuppgifter enligt sina rutiner. Personuppgiftsbiträdet har dock rätt att bevara Kundens personuppgifter även efter att avtalet upphört så länge som är nödvändigt för att fullgöra Tjänsteleverantörens egna lagstadgade skyldigheter, säkerställa tjänsternas säkerhet eller utreda missbruk, utan att i övrigt fortsätta behandlingen av personuppgifter och fortsatt iaktta de sekretessförpliktelser som beskrivs i denna bilaga.