Databehandlingstillägg

Senast uppdaterat: 21 mars 2023

Det här databehandlingstillägget (DPA, Data Processing Addendum) gäller mellan dig, användaren, tillsammans med eventuella företag eller affärsenheter du representerar (gemensamt kallade “Kunden”) och VistaPrint som avtalad part för avtalet (“VistaPrint”) och införlivas genom hänvisning och tillägg, samt omfattas av de villkor som styr användningen av olika VistaPrint-tjänster som då och då kan komma att ändras (gemensamt kallat “Avtalet”). Databehandlingstillägget tillämpas i den utsträckning där VistaPrint har rollen som personuppgiftsbiträde eller tjänsteleverantör (om tillämpligt) som behandlar personuppgifter för kundens räkning inom avtalet. Databehandlingstillägget ersätter och åsidosätter eventuella tidigare villkor relaterade till ämnet fr.o.m. avtalets startdatum och ska tillämpas tills avtalet avslutats.

1. DEFINITIONER

“Lämpligt land” innebär (om tillämpligt) (i) där EU-dataskyddslagen tillämpas, EES (Europeiska ekonomiska samarbetsområdet) eller inom länder och områden som anses tillhandahålla tillräcklig skyddsnivå av Europeiska kommissionen, (ii) där dataskyddsförordningen för Storbritannien tillämpas, Storbritannien eller länder och områden som anses tillhandahålla tillräckliga dataskydd i enlighet med avsnitt 17A i den brittiska dataskyddsförordningen från 2018, (iii) där Schweiz dataskyddsförordning Federal Act on Data Protection (FADP) tillämpas, inklusive eventuella ändringar eller ersättningar, Schweiz eller länder och områden utanför Schweiz som anses ha tillräcklig skyddsnivå via det federala dataskyddet och informationskommissionär.

”Affärsmässigt syfte” är det begränsade syftet, som anges i bilaga I, för vilket VistaPrint mottar eller får åtkomst till personuppgifter.

”Dataskyddslagar” innebär alla tillämpliga dataskydds- och sekretesslagar och -förordningar som är tillämpliga för en part, inklusive men inte begränsat till, dataskyddslagar inom EU och USA, samt övrigt områdesbaserat eller nationellt dataskydd, dataskydds- och sekretesslagar som är tillämpliga för tjänsterna, vilka kan komma att ändras, åsidosättas eller ersättas.

”Slutanvändarnas personuppgifter” är de personuppgifter som tillhör besökare och användare av kundens tjänster och som behandlas av VistaPrint för kundens räkning för att kunna tillhandahålla tjänsterna.

”Dataskyddslagar inom EU” omfattar (i) Europaparlamentets och rådets förordning 2016/679 om att skydda privatpersoner vid hantering av personuppgifter och fri överföring av dessa uppgifter, och upphäver direktivet 95/46/EG (förordning om allmänt dataskydd eller “EU-dataskyddsförordningen”), (ii) den dataskyddsförordning som inkluderas inom brittisk lag enligt avsnitt 3 i EU-förordningen (utträde) från 2018 (“den brittiska dataskyddsförordningen), (iii) den schweiziska federala lagen av den 19 juni 1992 och motsvarande stadga (“FADP”), (iv) EU-direktivet 2002/58/EG om integritetsskydd och elektronisk kommunikation samt (v) lagar inom EU-medlemsländer eller Storbritannien som fastställts i enlighet med eller för artiklar (i)–(iii), vilka kan komma att ändras, åsidosättas eller ersättas.

”Personuppgifter”, ”Registrerad”, ”Process” eller “Behandling”, “Personuppgiftsansvarig” och ”Personuppgiftsbiträde” ska överensstämma med tillämpliga dataskyddslagar eller om inte angivna, dataskyddsförordningen, och villkoren för “Verksamhet” och ”Tjänsteleverantör” ska överensstämma med definitionen i California Consumer Privacy Act (CCPA).

”Tjänster” innebär de olika tjänster som VistaPrint tillhandahåller till kunden via deras hemsida i den utsträckning där VistaPrint har rollen som personuppgiftsbiträde eller tjänsteleverantör (om tillämpligt) för kundens räkning inom relevant avtal, inklusive men inte begränsat till, avtalet för ProAdvantage-programmet och användarvillkoren för ProShop.
”Standardavtalsklausuler” eller ”SCC:er” omfattar (i) där EU-dataskyddsförordningen och/eller den schweiziska FADP tillämpas, EU-standardavtalsklausuler som godkänts via EU-kommissionens genomförandebeslut 2021/914 av den 4 juni (”EU SCC:er”), och (ii) där den brittiska dataskyddsförordningen tillämpas och EU SCC:er enligt ändringar i det internationella dataöverföringstillägget för EU-kommissionens standardavtalsklausuler i enlighet med den brittiska informationskommissionärsavdelningen (”tillägg för Storbritannien), vilka kan komma att ändras, åsidosättas eller ersättas. EU SCC:er och tillägget för Storbritannien införlivas genom hänvisning och är en väsentlig del av det här databehandlingstillägget.

”Underbiträde” innebär enheter som för VistaPrints räkning, inklusive dotterbolag, uppfyller dess skyldigheter i enlighet med avtalet eller databehandlingstillägget.

”Överföringsriskbedömning” innebär ytterligare garantier utöver de som tillhandahålls via SCC:er och tillägget för Storbritannien.

”Dataskyddslagar inom USA” omfattar alla tillämpliga lagar och förordningar inom samtliga amerikanska jurisdiktioner i relation till sekretess, dataskydd och -säkerhet (vilka kan komma att ändras, åsidosättas eller ersättas), inklusive men inte begränsat till, California Consumer Privacy Act (CCPA) i enlighet med ändringar i California Privacy Rights Act tillsammans med de förordningar som utfärdats inom denna (gemensamt kallade ”CCPA”), Virginia Consumer Data Protection Act, Colorado Privacy Rights Act; Connecticut Data Privacy Act och Utah Consumer Privacy Act.

Övriga termer som anges med versaler som används men inte definieras i det här databehandlingstillägget tilldelas den betydelse som anges i avtalet.

2. ROLLER OCH BEHANDLINGSOMFATTNING

2.1. Parternas roller. Parterna samtycker, enligt behandling av slutanvändarnas personuppgifter inom det här databehandlingstillägget, till att kunden agerar som personuppgiftsansvarig eller företag (om tillämpligt) och att VistaPrint agerar som personuppgiftsbiträde eller tjänsteleverantör (om tillämpligt).

Kunden samtycker till att VistaPrint agerar fristående personuppgiftsansvarig för de personuppgifter som samlas in direkt från kunder och besökare via deras konsumentinriktade program och tjänster.

2.2. Behandlingsomfattning. Samtliga parter måste vara förenliga med alla tillämpliga dataskyddslagar och motsvarande skyldigheter i enlighet med avtalet och det här databehandlingstillägget, och i relation till avsnittet om behandling av slutanvändarnas personuppgifter i bilaga I. Utan begränsning till det föregående ska VistaPrint tillhandahålla likvärdigt sekretesskydd som krävs för företag som anges i CCPA.

3. PARTERNAS SKYLDIGHETER

3.1. Kundens skyldigheter. Vid användning av tjänster som tillhandahålls av VistaPrint gäller följande:

(i) Kunden representerar och garanterar att de har uppmärksammat de registrerade och har etablerat alla lagliga grunder och nödvändigt samtycke i enlighet med de dataskyddslagar som gäller för VistaPrint och deras underleverantörer för hantering av behandling av slutanvändarnas personuppgifter för deras räkning, och tillhandahållit tjänsterna i enlighet med avtalet och det här databehandlingstillägget.

(ii) Kunden är ytterst ansvarig för att personuppgifterna från slutanvändarna är riktiga och att de har samlats in, delats och behandlats på lagligt sätt. Kunden ansvarar själv för att tillämpliga dataskyddslagar följs vid egen insamling och behandling av personuppgifter som inte är del av tjänsterna.

(iii) Kunden ska instruera VistaPrint i hur slutanvändarnas personuppgifter ska hanteras för deras räkning i enlighet med det här databehandlingstillägget, och ska säkerställa att anvisningar uppfyller tillämpliga dataskyddslagar. Det här databehandlingstillägget och avtalet omfattar kundens fullständiga och slutgiltiga anvisningar till VistaPrint. Anvisningar utanför ramarna för databehandlingstillägget eller avtalet måste bestämmas skriftligen mellan parterna och inkludera eventuella ytterligare avgifter som kunden kan behöva betala VistaPrint för att utföra dessa ytterligare anvisningar.

3.2. VistaPrints skyldigheter. Vid behandling av slutanvändarnas personuppgifter ska VistaPrint göra följande:

(i) VistaPrint ska endast behandla slutanvändarnas personuppgifter i affärsmässigt syfte och i enlighet med kundens anvisningar, i den utsträckning som anvisningarna överensstämmer med avtalet och databehandlingstillägget.

(ii) VistaPrint ska endast behandla slutanvändarnas personuppgifter som konfidentiell information och endast i den utsträckning och på det sätt som krävs för att uppfylla skyldigheterna inom avtalet och i de syften som beskrivs bilaga I nedan. VistaPrint får inte behandla slutanvändarnas personuppgifter i andra syften såvida inte detta krävs enligt lag. I sådana fall måste VistaPrint skriftligen informera kunden om de lagmässiga kraven för behandling av personuppgifterna, såvida denna information inte delas på grund av viktiga allmänintressen.

(iii) VistaPrint ska hjälpa kunden att säkerställa att deras skyldigheter enligt tillämpliga dataskyddslagar uppfylls. Dessa kan inkludera, men är inte begränsade till, obligatoriska bedömningar av sekretessinverkan eller tidigare rådgivning från relevanta dataskyddsmyndigheter baserat på rimlig begäran från kunden.

(iv) VistaPrint ska informera kunden om de anser att kundens behandlingsanvisningar strider mot tillämpliga dataskyddslagar. I sådana fall har VistaPrint rätt att avbryta behandlingen av slutanvändarnas personuppgifter tills kunden tillhandahåller nya anvisningar, och VistaPrint ansvarar inte för eventuella fel som uppstår i de tjänster som omfattas av avtalet under denna period,

(v) VistaPrint ska säkerställa att den personal och de underbiträden som har åtkomst till slutanvändarnas personuppgifter uppfyller lämpliga skyldigheter avseende konfidentialitet.

(vi) VistaPrint ska informera kunden om eventuella beslut om skyldigheterna inom databehandlingstillägget eller dataskyddslagar som inte längre uppfylls.

(vii) VistaPrint ska omedelbart informera kunden om eventuella begäranden från registrerade eller verkställande organ i relation till behandling av slutanvändarnas personuppgifter, så att kunden har möjlighet att svara på dessa.

(viii) VistaPrint ska omedelbart be om rimlig hjälp och samarbete från kunden att uppfylla skyldigheterna enligt dataskyddslagarna i relation till begäranden från registrerade eller från tillämplig tillsynsmyndighet.
I den utsträckning som tillämpliga dataskyddslagar tillåter, kan VistaPrint använda aggregerade och anonyma uppgifter från slutanvändarnas personuppgifter (”Anonyma uppgifter”) för att skapa och förbättra kvaliteten på tjänsterna, såvida de anonyma uppgifterna inte klassas som personuppgifter enligt de tillämpliga dataskyddslagarna.

3.3. Behandlingsaktiviteter som VistaPrint inte får utföra. VistaPrint får inte göra följande:

(i) sälja eller dela (enligt definition i CCPA) slutanvändarnas personuppgifter, behålla, använda eller avslöja dem i kommersiella syften (enligt definition i CCPA) eller utanför den direkt affärsrelationen med kunden, och endast med skriftlig godkännande från kunden

(ii) blanda eller kombinera enligt slutanvändarnas personuppgifter med egna data eller data från tredje part på sätt som inte är obligatoriska för att kunna utföra tjänsterna.
VistaPrint intygar att de förstår och följer de begränsningar som gäller vid användning av slutanvändarnas personuppgifter i samband med de tjänster som omfattas av databehandlingstillägget.

4. DEN REGISTRERADES RÄTTIGHETER

I den utsträckning VistaPrint har möjlighet och i linje med tillämpliga lagar, ska VistaPrint ta hänsyn till typen av behandling, tillhandahålla tillräcklig hjälp för att kunden ska kunna besvara på begäranden från registrerade som vill nyttja sina rättigheter enligt tillämpliga dataskyddslagar. Kunden står för alla kostnader som VistaPrint drar på sig i samband med provision för sådan hjälp. Om sådan begäran skickas direkt till VistaPrint ska VistaPrint informera kunden om detta, såvida VistaPrint inte får göra detta enligt lag, och kunden är ensamt ansvarig för att besvara sådana begäranden. VistaPrint ansvarar inte för den information som tillhandahålls till kunden i god tro i enlighet med det här avsnittet.

5. UNDERBITRÄDEN

5.1. Allmänt godkännande. Kunden ger härmed VistaPrint sitt allmänna godkännande att ta hjälp av underbiträden (inklusive deras dotterbolag) för att behandla slutanvändarnas personuppgifter i syfte att tillhandahålla tjänsterna och uppfylla deras skyldigheter enligt avtalet och databehandlingstillägget. VistaPrint tillhandahåller, i enlighet med avsnitten om konfidentialitet och på kundens begäran, en lista över de underbiträden som används.

5.2. Skyldigheter. De underbiträden som VistaPrint använder har samma avtalsmässiga skyldigheter som VistaPrint omfattas av inom det här databehandlingstillägget, i den utsträckning som det är tillämpligt för den typ av tjänst som varje underbiträde erbjuder.

5.3. Rätt att invända mot nya underbiträden. Vid användning av nya underbiträden måste VistaPrint meddela kunden i förväg, så fort detta är rimligt möjligt, i de fall då detta utförs för att tillhandahålla tillämpliga tjänster.

5.3.1. Kunden kan invända mot VistaPrint´s utnämning eller byte av underbiträde skriftligen inom en period av tio (10) arbetsdagar från mottagandet av meddelandet baserat på rimliga skäl relaterade till tillämpliga dataskyddslagar. I en sådan händelse kan VistaPrint, efter eget gottfinnande, välja att använda kommersiellt rimliga ansträngningar (men är inte skyldig att göra det) för att göra en alternativ lösning tillgänglig för dig för att undvika att slutanvändarnas personuppgifter behandlas av den nya eller ersättande underbiträdet. Fram till dess att VistaPrint fattar ett beslut om kundens invändning kan VistaPrint vara tvunget att tillfälligt avbryta behandlingen av slutanvändarnas personuppgifter, inklusive, om så krävs i detta ärende, avbryta eller begränsa tillgången till kundens konto eller avbryta eller begränsa vissa funktioner i de tjänster som erbjuds kunden. Om VistaPrint rimligen kan tillhandahålla tjänsterna till kunden i enlighet med avtalet utan att använda underbiträdet och beslutar att göra det, kommer kunden inte att ha några ytterligare rättigheter enligt detta avsnitt med avseende på den föreslagna användningen av underbiträdet.

5.3.2. Om VistaPrint, efter eget gottfinnande, kräver användning av underbiträdet och inte kan tillgodose kundens invändning angående den föreslagna användningen av det nya eller ersättande underbiträdet inom trettio (30) dagar från mottagandet av din giltiga motiverade invändning, kan kunden säga upp det tillämpliga avtalet med verkan från och med det datum VistaPrint börjar använda ett sådant nytt eller ersättande underbiträde enbart med avseende på de tjänster som kommer att använda det föreslagna nya underbiträdet för behandlingen av personuppgifter genom att lämna ett skriftligt meddelande till VistaPrint. En sådan uppsägning kommer inte att påverka eventuella avgifter som kunden har betalat före uppsägningen av de berörda tjänsterna och kunden kommer inte att ha några ytterligare krav mot VistaPrint i samband med uppsägningen av de berörda tjänsterna.

5.3.3. Om kunden inte skriftligen protesterar mot VistaPrint´s utnämning av en ny underbiträde inom tio (10) arbetsdagar från mottagandet av meddelandet, samtycker kunden till att det kommer att anses ha samtyckt till det nya underbiträdet.

5.4. Ansvar. VistaPrint förblir ansvarigt för varje brott mot detta dataskyddsavtal som orsakas av en handling eller underlåtenhet av dess underbiträden, i samma utsträckning som VistaPrint är ansvarigt för sina egna, utom i de fall då annat anges i avtalet.

6. INTERNATIONELLA DATAÖVERFÖRINGAR

6.1. Allmänt. Genom att tillhandahålla tjänsterna samtycker kunden till att VistaPrint, deras dotterbolag och underbiträden lagrar, behandlar och överför slutanvändarnas personuppgifter på och till samtliga platser i världen där VistaPrint och deras dotterbolag och underbiträden behandlar data. VistaPrint får enbart behandla eller tillåta behandling av personuppgifter inom EU-området, Storbritannien och Schweiz som överförs utanför EES-området, Storbritannien eller Schweiz om följande villkor uppfylls:

a) personuppgifter från slutanvändare inom EU-området, Storbritannien och Schweiz överförs till lämpligt land eller

b) om det finns standardavtalsklausuler mellan VistaPrint och kunden och/eller VistaPrint och underbiträdet samt att överföringsriskbedömning har utförts (om tillämpligt).

6.2. Överföring av personuppgifter inom EU-området. EU SCC:er omfattas av det här databehandlingstillägget i den utsträckning då personuppgifter överförs från en EES-jurisdiktion där internationella överföringar styrs av dataskyddsförordningen, och anses slutförda enligt följande:

(i) Villkoren för modul två (personuppgiftsansvarig till personuppgiftsbiträde) tillämpas om kunden agerar personuppgiftsansvarig och exportör av personuppgifter, och VistaPrint agerar personuppgiftsbiträde och importör av dessa personuppgifter.

(ii) Villkoren för modul tre (personuppgiftsbiträde till personuppgiftsbiträde) tillämpas om VistaPrint agerar personuppgiftsbiträde för den personuppgiftsansvarigas räkning och är exportör av personuppgifter, och underbiträdet agerar personuppgiftsbiträde och importör av dessa personuppgifter.

(iii) Klausul 7 (a)–(c) tillämpas.

(iv) Klausul 9, alternativ 2 tillämpas och tidsperioden som gäller för att meddela i förväg angående ändringar av underbiträde sätts i enlighet med meddelandeprocessen som anges i avsnitten om underbiträden i det här databehandlingstillägget.

(v) Klausul 11 tillämpas inte.

(vi) Klausul 17, alternativ 1 tillämpas och EU SCC:er lyder under den lag som anges i avtalet, såvida lagen härrör från ett EU-medlemsland och erkänner tredje parts rättigheter. I annat fall tillämpas nederländsk lag.

(vii) Klausul 18 (b), eventuella tvister ska lösas i de domstolar som anges i avtalet, såvida domstolarna finns i ett EU-medlemsland. Annars gäller domstolarna i Nederländerna. Oavsett ska val av forum enligt klausul 17 och 18 (b) vara konsekventa och jurisdiktionen lyda under landet styrande lagar.

(viii) Bilagorna för EU SCC:er ska innehålla relevant information från bilaga I, II och III i det här databehandlingstillägget.
(ix) Om EU SCC:er motstrider avsnitt i databehandlingstillägget, är det EU SCC:er som gäller i dessa konflikter.

6.3. Överföring av personuppgifter inom Storbritannien. De EU SCC:er som hänvisas i avsnitt 6.2 ovan i den utsträckning då personuppgifter inom Storbritannien överförs där internationella överföringar styrs av den brittiska dataskyddsförordningen, ska tillämpas med tillägget för Storbritannien och anses slutförda enligt följande:

(i) Tabellerna 1 till 3 i avsnitt 1 av tillägget för Storbritannien anses slutförda med hjälp av informationen i bilagorna till det här databehandlingstillägget.

(ii) Tabell 4 i avsnitt 2 av tillägget för Storbritannien anses slutförd vid val av “importör”.

(iii) Eventuella konflikter som uppstår mellan EU SCC:er och tillägget för Storbritannien åtgärdas i enlighet med avsnitt 10 och 11 i tillägget för Storbritannien.

6.4. Överföring av personuppgifter inom Schweiz. I den utsträckning som personuppgifter överförs från Schweiz på sätt som omfattas av skyldigheter under FADP (den schweiziska federala dataskyddsförordningen), tillämpas EU SCC:er, och går att ändra för att inkludera relevanta referenser och definitioner där dessa EU SCC:er anses vara ett lämpligt överföringsverktyg enligt FADP, inklusive men inte begränsat till följande:

(i) Den kompetenta tillsynsmyndigheten i bilaga I.C i EU SCC är enligt klausul 13 federal dataskyddskommissionär för dataskydd i Schweiz.

(ii) Tillämplig lag för avtalsförpliktelser enligt klausul 17 i EU SCC är schweizisk lag eller den lag som gäller för det land som tillåter och beviljar berättigad tredje part.

(iii) Termen ”medlemsland” som används i EU SCC innebär inte att registrerade i Schweiz fråntas möjligheten att vidta rättsliga åtgärder angående sina rättigheter i det land där de är bofasta (Schweiz), enligt klausul 18 (c).

(iv) EU SCC:er skyddar även personuppgifter som tillhör juridiska personer tills reviderad FADP tas i bruk.

6.5 Ytterligare säkerhetsåtgärder. I den utsträckning som VistaPrint behandlar personuppgifter för registrerade som befinner sig i länder som omfattas av dataskyddslagar för EES-området, Storbritannien eller Schweiz eller lyder under dessa, implementerar VistaPrint ett flertal ytterligare säkerhetsåtgärder vid överföring av personuppgifter från dessa jurisdiktioner. VistaPrint genomför en överföringsriskbedömning som tillhandahålls kunden vid skriftlig begäran via [email protected].

7. DATASÄKERHET OCH DATAINTRÅNGSMEDDELANDE

7.1. Säkerhetsåtgärder. VistaPrint har implementerat och tillhandahåller lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda slutanvändarnas personuppgifter mot att obehöriga eller bedragare får åtkomst till dem och mot förlust och ändringar (“Säkerhetsincident”). VistaPrint har framförallt implementerat de tekniska och organisatoriska åtgärder som anges i bilaga II.

7.2. Dataintrångsmeddelande. I händelse att VistaPrint uppmärksammar en säkerhetsincident som påverkar slutanvändarnas personuppgifter, ska VistaPrint vidta lämpliga steg för att meddela kunden omedelbart och ska göra följande:

(i) tillhandahålla tillräcklig information om säkerhetsincidenten till kunden, med typen av tjänster, den information som är tillgänglig för VistaPrint och eventuella sekretessbegränsningar gällande avslöjande av information i åtanke

(ii) på kundens begäran tillhandahålla rimlig hjälp att meddela lämpliga myndigheter eller de registrerade personer som påverkas, i enlighet med tillämpliga dataskyddslagar.

Säkerhetsincidenter inkluderar inte misslyckade försök eller aktiviteter som inte påverkar säkerheten för slutanvändarnas personuppgifter. VistaPrints sätt att meddela eller åtgärda en säkerhetsincident är inte ett erkännande av fel eller ansvarsskyldighet i relation till säkerhetsincidenten i fråga.

8. GRANSKNINGAR

8.1. Granskningsrapporter. VistaPrint tillhandahåller, på kundens begäran och inom rimliga intervall (som mest en gång om året) samt i enlighet med sekretessbegränsningar, en kopia av deras senaste sammanfattningar av tredjepartsgranskare, certifieringar eller rapporter (om tillämpligt). Parterna är överens om att kundens granskningsrättigheter som omfattas av tillämpliga dataskyddslagar uppfylls genom VistaPrints tillhandahållande av sådana sammanfattningar och/eller rapporter.

8.2. Granskning av tillsynsmyndighet. VistaPrint ska ge kunden åtkomst, inom rimliga gränser, till deras dokument och system vid eventuella granskningar som krävs av tillämplig tillsynsmyndighet för efterlevnad av tillämpliga dataskyddslagar.

8.3. Konfidentiell information. All information som tillhandahålls av VistaPrint enligt avsnitt 8 är konfidentiell information. VistaPrint är inte skyldiga att avslöja kommersiella hemligheter, som algoritmer, källkoder, affärshemligheter och liknande.

9. BORTTAGNING AV DATA

Parterna är överens om att VistaPrint vid avslutande av det här databehandlingstillägget eller på kundens begäran ska se till att samtliga underbiträden förstör slutanvändarnas personuppgifter och kopior av dessa så fort som möjligt i enlighet med avtalets villkor och tillämpliga lagar. Trots det ovan sagda, kan VistaPrint behålla slutanvändarnas personuppgifter (fullständiga eller delvisa) om detta krävs enligt avtalsbestämmelserna eller tillämpliga lagar och förordningar (inklusive tillämpliga dataskyddslagar), såvida slutanvändarnas personuppgifter skyddas enligt villkoren för databehandlingstillägget och tillämpliga dataskyddslagar.

10. DIVERSE

10.1. Hierarki. Om motsägelser eller konflikter uppstår mellan innehållet i det här databehandlingstillägget och avsnitten i avtalet, har innehållet i databehandlingstillägget företräde om konflikten handlar om behandlingen av slutanvändarnas personuppgifter. Om konflikt uppstår mellan standardavtalsklausuler (om tillämpligt), databehandlingstillägget eller avtalet har standardavtalsklausulerna företräde.

10.2. Uppdateringar av databehandlingstillägget. VistaPrint kan komma att ändra det här databehandlingstillägget och publicerar i sådana fall den mest aktuella versionen på webbplatsen. Eventuella ändringar eller justeringar tas i bruk vid publiceringen. Kunden samtycker att lyda under det ändrade databehandlingstillägget vid fortsatt användning eller åtkomst till tjänsterna efter att ändringarna tas i bruk.

10.3. Styrande lag. Det här databehandlingstillägget har utformats och lyder under styrande lagar och avtalets jurisdiktionsavsnitt, såvida inget annat krävs enligt tillämpliga dataskyddslagar.

10.4. Ansvarsbegränsning. Samtliga aktiviteter som omfattas av databehandlingstillägget (inklusive men inte begränsat till behandling av slutanvändarnas personuppgifter) och tillämplig ansvarsbegränsning som anges i avtalet.

10.5 Kontakt. Kontakta dataskyddsombudet via [email protected] vid frågor om det här databehandlingstillägget. VistaPrint åtgärdar eventuella klagomål angående användning av slutanvändarnas personuppgifter i enlighet med det här databehandlingstillägget och avtalet.

BILAGA I – BESKRIVNING AV BEHANDLING/ÖVERFÖRING

A. LISTA ÖVER PARTERNA

Dataexportör(er):

  • Namn: Personen identifieras som “Kunden” eller via namnet som angetts i kundkontot.
  • Adress: Kundens faktureringsadress som angetts i deras konto.
  • Namn, plats och kontaktuppgifter till kontaktpersonen: Kontaktuppgifterna som angetts i kundens konto.
  • Relevanta aktiviteter för dataöverföring i enlighet med de här klausulerna: Alla aktiviteter som är relevanta för att använda VistaPrints tjänster i enlighet med avtalet.
  • Signatur och datum: Dataexportören måste godkänna och underteckna de standardavtalsklausuler och bilagor som omfattas databehandlingstillägget från dess startdatum för att ta del av databehandlingstillägget.
  • Roll (personuppgiftsansvarig/-biträde): Personuppgiftsansvarig

Dataimportör(er):

  • Namn: VistaPrint som avtalad part inom avtalet.
  • Adress: Adress till VistaPrint som avtalad part inom avtalet.
  • Namn, plats och kontaktuppgifter till kontaktpersonen: [email protected].
  • Relevanta aktiviteter för dataöverföring i enlighet med de här klausulerna: Behandling av personuppgifter i samband med kundens användning av VistaPrints tjänster.
  • Signatur och datum: Dataimportören måste godkänna och underteckna de standardavtalsklausuler och bilagor som omfattas av databehandlingstillägget från dess startdatum för att ta del av databehandlingstillägget.
  • Roll (personuppgiftsansvarig/-biträde): Personuppgiftsbiträde

B. BESKRIVNING AV ÖVERFÖRING

Kategorier av registrerade: Registrerade inkluderar men är inte begränsade till följande:

  • slutanvändare (som är privatpersoner) som befintliga eller eventuella kunder, klienter eller besökare som använder kundens tjänst
  • kundens befintliga, tidigare eller eventuella representanter, anställda, kandidater, agenter, konsulter, frilansare, affärspartners, underentreprenörer och/eller samarbetspartners (som är privatpersoner)
  • individer från tredje part som kunden väljer att samarbeta med via tjänsten.

Kategorier av personuppgifter: Personuppgifter som skickas inom den omfattning och det syfte som anges av personuppgiftsansvariga.

Känsliga uppgifter som överförs (om tillämpligt) där begränsningar och säkerhetsåtgärder tillämpas: Parterna deltar inte i överföring av känsliga uppgifter.

Överföringsfrekvens: Frekvensen varierar beroende på kundens användning av tjänsterna.

Behandlingstyp: Tjänsternas prestanda enligt avtalet.

Syfte(n) med dataöverföring och vidare behandling: Det är möjligt att vi använder dina personuppgifter i följande syften (och uppgifter relaterade till dessa) som utförs i enlighet med avtalet och på ett sätt som är lämpligt för och respekterar slutanvändarnas personuppgifter:

  • vid tillhandahållande av tjänsterna
  • vid åtgärder som utförs enligt dina anvisningar
  • vid utförande och styrkande av avtalet och det här databehandlingstillägget
  • för att försvara våra rättigheter
  • för att förhindra, undersöka och minska datasäkerhetsrisker och incidenter, bedrägeri, fel och/eller olagliga eller förbjudna aktiviteter
  • för att efterleva tillämpliga lagar och förordningar.

Den tidsperiod som personuppgifterna behålls eller om detta inte är möjligt, de kriterier som används för att fastställa denna tidsperiod: VistaPrint behåller personuppgifterna till avtalets slut och i enlighet med avsnitt 9 i databehandlingstillägget, såvida inget annat bestämts inom avtalet.

Ange även ämne, typ och varaktighet för behandlingen vid överföring till personuppgiftsbiträden och underbiträden: Underbiträden behandlar personuppgifterna för att kunna utföra tjänsterna i enlighet med avtalet under avtalets varaktighet, såvida inte annat skriftligen avtalats.

C. KOMPETENT TILLSYNSMYNDIGHET

Identifiera kompetent(a) tillsynsmyndighet(er) i enlighet med klausul 13: Den nederländska dataskyddsmyndigheten, såvida ingen annan krävs enligt avsnitt 6 i databehandlingstillägget.

BILAGA II – TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER INKLUSIVE TEKNISKA OCH ORGANISATORISKA SÄKERHETSÅTGÄRDER VID HANTERING AV DATA

VistaPrint tillämpar följande tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifternas integritet. Obs! VistaPrint kan på eget initiativ ändra dessa metoder. Eventuella ändringar som utförs förminskar inte det omfattande skyddet och säkerheten för personuppgifterna.

1- Vidta följande åtgärder för att förhindra att obehöriga får åtkomst till framförallt system där personuppgifter behandlas eller används (fysisk åtkomstkontroll):

  • kontrollera åtkomst till viktiga delar och de som innehåller känslig information
  • incidentloggar
  • automatiserade åtkomstkontrollsystem
  • ID- eller smartkortsläsare
  • utbildning inom säkerhetsmedvetenhet.

2- Vidta följande åtgärder för att framförallt förhindra att databehandlingssystem används utan godkännande (logisk åtkomstkontroll):

  • använd nätverksenheter som intrångsdetekteringssystem, routrar och brandväggar
  • säkra inloggningen med unika användar-ID:n/lösenord som uppfyller krav för svåra lösenord och multifaktorautentisering vid behov
  • kräv att obevakade arbetsstationer ska låsas. Skärmlösenord implementeras automatiskt för att låsa arbetsstationen om användaren glömmer detta
  • inloggning och systemanvändningsanalys
  • rollbaserad åtkomst till viktiga system som innehåller personuppgifter
  • regelbundna systemuppdateringsprocesser för kända sårbarheter
  • kryptering av hårddiskar hos bärbara datorer
  • övervakning av säkerhetssårbarheter i viktiga system
  • driftsättning och uppdatering av antivirusprogram
  • använd nätverksenheter som intrångsdetekteringssystem, routrar och brandväggar
  • efterlevnad av datasäkerhetsstandarder inom betalkortsbranschen.

3- Vidta följande åtgärder för att framförallt säkerställa att personerna som får åtkomst till systemen endast får tillgång till de uppgifter de har behörighet för, och att personuppgifterna varken går att läsa, kopiera, ändra eller radera vid behandling, användning eller efter lagring utan godkännande (åtkomstkontroll för data):

  • använd nätverksenheter som intrångsdetekteringssystem, routrar och brandväggar
  • säkra inloggningen med unika användar-ID:n/lösenord som uppfyller krav för svåra lösenord och multifaktorautentisering vid behov
  • inloggning och systemanvändningsanalys
  • rollbaserad åtkomst till viktiga system som innehåller personuppgifter
  • kryptering av hårddiskar hos bärbara datorer
  • driftsättning och uppdatering av antivirusprogram
  • efterlevnad av datasäkerhetsstandarder inom betalkortsbranschen.

4- Vidta följande åtgärder för att säkerställa att personuppgifterna varken går att läsa, kopiera, ändra eller raderas vid elektronisk överföring, transport eller lagring utan godkännande:

  • säkra inloggningen med unika användar-ID:n/lösenord som uppfyller krav för svåra lösenord och multifaktorautentisering vid behov
  • säkra överföringsprotokollen
  • inloggning och systemanvändningsanalys
  • rollbaserad åtkomst till viktiga system som innehåller personuppgifter
  • använd nätverksenheter som intrångsdetekteringssystem, routrar och brandväggar
  • använd VPN.

5- Vidta följande åtgärder för att säkerställa att personuppgifterna endast behandlas enligt företagets policy:

  • gör säkerhets- och sekretessmedvetenhetsutbildning obligatorisk för alla anställda
  • tillämpa anställningsmetoder med utförliga ansökningsformulär för viktig personal som får åtkomst till viktiga personuppgifter, om tillåtet enligt lokala lagar
  • välj personal och tjänsteleverantörer med omsorg
  • ingå i lämpliga databehandlingsvillkor med underbiträden, som inkluderar passande tekniska och organisatoriska säkerhetsåtgärder.

6- Vidta följande åtgärder för att framförallt säkerställa att personuppgifterna skyddas mot att förstöras eller förloras av misstag (tillgänglighetskontroll):

  • testa säkerhetsåtgärdernas effektivitet regelbundet
  • säkerhetskopiera tillvägagångssätt och återställningssystem
  • förvara föråldrade servrar på en enskild plats
  • ta hjälp av avbrottsfri strömförsörjning och ha en strömenhet i reserv
  • fjärrlagra
  • övervaka och kontrollera servermiljön
  • driftsättning och uppdatering av antivirusprogram
  • ha en haveriberedskapsplan vid nödsituationer.

7- Vidta följande åtgärder för att framförallt säkerställa att de data som samlas in för olika ändamål går att behandla separat (separationskontroll):

  • rollbaserad åtkomst till viktiga system som innehåller personuppgifter
  • separera testdata från data i realtid
  • efterlevnad av datasäkerhetsstandarder inom betalkortsbranschen.

BILAGA III – LISTA ÖVER UNDERBITRÄDEN

Lista över de underbiträden vi arbetar med och varför är tillgänglig vid begäran från kunden.