Meny
- Hundkoppel
- Hundträning
- Hundhalsband
- Hundleksaker
- Brodyrmärken
- Hundselar
- Omvårdnad
- Apporter
- Munkorgar
- Skyddsärmar
- Övriga Hundartiklar
- T-Shirts med Hundmotiv,
- Broddar & Halkskydd
Det är GERT STRAND AB (org.nr. 556171-3420) som är ansvarig för dina personuppgifter ("personuppgiftsansvarig"). Kontaktinformation till oss finner du längst ner i policyn.
Personuppgiftsansvarig är den som bestämmer ändamålen och medlen för personuppgiftshanteringen.
Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning, dvs. i många fall en leverantör av IT-tjänster, redovisningsbyrå eller liknande. Den personuppgiftsansvarige kan inte delegera sitt ansvar och är alltid ytterst ansvarig för att behandlingen sker i enlighet med GDPR. Ett personuppgiftsbiträde kan bli skadeståndsansvarigt om denne bryter mot regler eller instruktioner, eller behandlar uppgifter i strid med GDPR.
När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde ska ett skriftligt avtal, ett så kallat personuppgiftsbiträdesavtal, upprättas. Det är den ansvariges skyldighet att detta sker.
I grunden ska avtalet specificera varför och hur länge personuppgifterna behandlas, ändamål för behandlingen, typen av personuppgifter och kategorier av registrerade som personuppgifterna avser.
Enligt GDPR ska personuppgiftsbiträdet i avtalet åta sig att:
Här är en genomgång av de punkter som finns med i personuppgiftsbiträdesavtalet. Tänk på att varje avtal är unikt och att detta endast är ett exempel. Du kan behöva anpassa avtalet till just din situation. Avtalet bör dock täcka de flesta fall med normala omständigheter.
Det är brukligt att i början av avtalet skriva parternas namn och gärna organisationsnummer. Parternas fullständiga namn behöver inte upprepas i de övriga klausulerna. Det räcker med att använda benämningarna personuppgiftsansvarig och personuppgiftsbiträde.
GDPR och personuppgiftsbiträdesavtalet innehåller flera svåra begrepp och det kan vara lämpligt att förklara dessa i början av avtalet. På så sätt underlättas läsningen och tolkningen av avtalet.
Det är bra att i början av avtalet skriva lite om bakgrunden, innehållet och syftet med avtalet. Är det ett komplext avtal kan detta ge en bra överblick och göra det lättare att förstå innehållet.
Personuppgiftsbiträdet får enbart behandla personuppgifterna i enlighet med de instruktioner och för de syften som den personuppgiftsansvarige angett i avtalet. Instruktionerna kan finnas i en bilaga, på den personuppgiftsansvariges hemsida eller i tjänsteavtalet.
Instruktionerna ska vara tydliga och tillräckliga för att personuppgiftsbiträdet ska kunna uppfylla GDPR:s krav. De bör innehålla syfte, ändamål, kategorier av personuppgifter och behandlingsverksamheter.
Biträdesavtalet ska även föreskriva att biträdet omedelbart ska informera den personuppgiftsansvarige om en instruktion strider mot GDPR eller andra dataskyddsregler.
Om personuppgiftsbiträdet börjar behandla personuppgifterna för andra syften än de instruktioner den fått, blir biträdet personuppgiftsansvarig för dessa.
För överföring av personuppgifter till länder utanför EU och EES gäller särskilda regler. GDPR möjliggör fri överföring inom EU/EES, men för tredje land krävs adekvat skyddsnivå eller tillstånd från tillsynsmyndigheter.
Personuppgiftsbiträdet kan i avtalet bestämma att överföringar kräver den personuppgiftsansvariges samtycke.
Ett personuppgiftsbiträde har ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en tillräcklig säkerhetsnivå för personuppgifterna.
Detta kan inkludera pseudonymisering, kryptering, kontinuerlig säkerhetsövervakning, återställning av data vid incidenter och regelbundna tester av säkerhetsåtgärder.
De personer som behandlar personuppgifter ska ha tystnadsplikt, och detta ska regleras i avtalet. Alla involverade ska vara informerade om hur behandling av personuppgifterna får ske.
Ett personuppgiftsbiträde kan anlita underbiträden (underleverantörer). Det ska finnas ett avtal mellan biträdet och underbiträdet som säkerställer att underbiträdet följer samma skyldigheter.
Underbiträdet ska också omfattas av samma skyldigheter som det ursprungliga biträdet vad gäller dataskydd och säkerhet.
Biträdet ska hjälpa den personuppgiftsansvarige att svara på begäran om tillgång, rättelse, radering och dataportabilitet samt att säkerställa att skyldigheterna enligt GDPR fullgörs, inklusive säkerhetsåtgärder och incidentrapportering.
Den personuppgiftsansvarige har rätt att genomföra revision och kontroll av personuppgiftsbiträdets behandling av personuppgifterna. Biträdet ska bistå vid denna granskning.
Incidenter som innebär att personuppgifter röjs, förstörs eller obehörigen röjs ska anmälas till den personuppgiftsansvarige omedelbart och senast inom 72 timmar. Biträdet ska omedelbart underrätta den ansvarige om en incident inträffar.
När behandlingen avslutas ska biträdet radera eller återlämna personuppgifterna, såvida inte laglig skyldighet kräver annat. Instruktioner för radering ska finnas tydligt reglerade.
Eventuella tillägg eller ändringar av avtalet ska göras skriftligen och i samförstånd mellan parterna. Tillägg ska inte strida mot det ursprungliga avtalet.
Tvister som inte kan lösas i samförstånd ska lösas i domstol eller genom skiljemän, enligt vad som anges i avtalet eller enligt tillämplig lag.
Begrepp i detta avtal ska ha samma betydelse som i GDPR och tillämplig dataskyddslagstiftning, inklusive "Behandling", "Personuppgifter", "Personuppgiftsansvarig", "Personuppgiftsbiträde" och "Personuppgiftsincident".
Avser en åtgärd eller kombination av åtgärder beträffande personuppgifter, såsom insamling, lagring, användning, utlämning, radering, etc.
Avser EU:s dataskyddsförordning (EU 2016/679) och nationella lagar, samt vägledningar, rekommendationer och beslut från tillsynsmyndigheter.
Den som på egen hand eller tillsammans med andra fastställer ändamål och medel för behandlingen av personuppgifter.
Den som behandlar personuppgifter på uppdrag av den Personuppgiftsansvarige.
Varje upplysning som avser en identifierad eller identifierbar fysisk person, t.ex. namn, personnummer, IP-adress, eller andra identifierare.
En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring eller obehörig röjning eller åtkomst till personuppgifter.
Den Personuppgiftsansvarige garanterar att denne har rätt att behandla personuppgifter och att behandlingen sker i enlighet med tillämplig dataskyddslagstiftning. Personuppgiftsbiträdet åtar sig att endast behandla personuppgifter enligt avtalet och instruktioner, och att följa dataskyddslagstiftningen.
Biträdet ska omedelbart informera den personuppgiftsansvarige om det saknas instruktion eller om instruktionen strider mot GDPR eller andra regler.
Det är förbjudet att samla in, lämna ut, ändra metoder eller behandla personuppgifter för andra syften än de som anges i avtalet, utan skriftligt tillstånd.
Överföring av personuppgifter till länder utanför EU/EES kräver skriftligt samtycke och att villkoren i dataskyddslagstiftningen är uppfyllda.
Biträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna. Åtgärder kan inkludera pseudonymisering, kryptering, back-up, säkerhetskontroller och regelbundna tester av säkerheten.
Personer som behandlar personuppgifterna ska ha tystnadsplikt och vara informerade om hur behandling får ske. De ska också vara bundna av sekretess under anställning eller uppdrag.
Biträdet kan anlita underbiträden, men måste först inhämta skriftligt tillstånd. Underbiträden ska ha ett avtal som säkerställer att de följer samma dataskyddsskyldigheter.
Biträdet ska kunna visa att dessa skyldigheter är uppfyllda, och vid behov visa kopior av underbiträdesavtal.
Biträdet ska hjälpa den personuppgiftsansvarige att svara på begäran om rättigheter (t.ex. tillgång, rättelse, radering), säkerhetsåtgärder och incidenthantering.
Den personuppgiftsansvarige har rätt att genomföra revision och kontroll av biträdet. Biträdet ska bistå vid detta.
Vid en incident som innebär att personuppgifter röjs eller obehörigen röjs, ska biträdet omedelbart underrätta den personuppgiftsansvarige. Incidenten ska utredas och åtgärder vidtas för att begränsa skadan.
När avtalet avslutas ska biträdet radera eller återlämna alla personuppgifter, såvida inte laglig skyldighet kräver annat. Instruktionerna för detta ska vara tydliga i avtalet.
Ändringar och tillägg till avtalet ska göras skriftligen och i samförstånd. Det är viktigt att ändringarna inte strider mot det ursprungliga avtalet.
Tvister som inte kan lösas i samförstånd ska lösas i domstol eller enligt skiljeförfarande, enligt vad som anges i avtalet eller tillämplig lag.
Begrepp som används i detta avtal ska ha samma betydelse som i GDPR och tillämplig dataskyddslagstiftning, inklusive: