PERSONUPPGIFTSBITRÄDESAVTAL - DM

Transkript

1 1 Microsoft AB ( Microsoft ), Box 27, KISTA och ( Personuppgiftsbiträdet ) har denna dag träffat följande PERSONUPPGIFTSBITRÄDESAVTAL - DM Bakgrund Personuppgiftslagen ställer krav på skriftligt avtal när personuppgiftsbiträden skall behandla personuppgifter för en personuppgiftsansvarigs räkning. Personuppgiftsbiträdet skall för Microsofts räkning utföra distributions- och administrationstjänster och kommer som en del av detta uppdrag att för Microsofts räkning behandla personuppgifter. Skyddet för kundernas personliga integritet är av stor etisk och kommersiell betydelse för Microsoft och syftet med detta avtal är att tillse att Personuppgiftsbiträdet behandlar personuppgifterna i enlighet med Microsofts anvisningar och i enlighet med tillämplig lag, föreskrifter och branschnormer. 1 Definitioner 1.1 Med "personuppgifter" avses nedan all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet och som behandlas för Microsofts räkning. 1.2 Med registrerad avses nedan den som en personuppgift avser. 1.3 Med behandling avses nedan varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. 2 Personuppgiftsbiträdets åtaganden 2.1 Personuppgiftsbiträdet accepterar att följa personuppgiftslagen, tillämpliga föreskrifter och branschnormer, SWEDMAs regler för direktmarknadsföring Bilaga 1, Swedmas regler för NIX adresserat, Bilaga 2 och Internationella Handelskammarens regler om direktmarknadsföring Bilaga 3 och att hålla sig informerad om desamma. 2.2 Personuppgiftsbiträdet och den eller de personer som arbetar under dennes ledning får bara behandla personuppgifter i enlighet med de instruktioner som anges i Bilaga 4 eller som från tid till annan lämnas av Microsoft. Om Personuppgiftsbiträdet saknar instruktioner som han bedömer är nödvändiga för att genomföra uppdrag han erhållit från Microsoft skall Personuppgiftsbiträdet, utan

2 2 dröjsmål, informera Microsoft om sin inställning och invänta de instruktioner som Microsoft bedömer erfordras. 2.3 För det fall att Registrerad, Datainspektionen eller annan tredje man begär information från Personuppgiftsbiträdet som rör behandling av personuppgifter skall Personuppgiftsbiträdet hänvisa till Microsoft. Av punkten 2.2 ovan och punkten 3.1 nedan följer bland annat att Personuppgiftsbiträdet inte får lämna ut personuppgifter eller annan information om behandlingen av personuppgifter utan uttrycklig instruktion från Microsoft. 2.4 Personuppgiftsbiträdet skall utan dröjsmål informera Microsoft om eventuella kontakter från Datainspektionen som rör eller kan vara av betydelse för behandling av personuppgifter. Personuppgiftsbiträdet har inte rätt att företräda Microsoft eller agera för Microsofts räkning gentemot Datainspektionen. 2.5 Punkten 2.2 ovan innebär att Personuppgiftsbiträdet endast får samla in personuppgifter i enlighet med instruktioner utfärdade av Microsoft. Personuppgiftsbiträdet skall om inte annat skriftligen angivits av Microsoft vid sådant insamlande särskilt se till att erforderliga samtycken inhämtas av registrerade och att de erhåller information i enlighet med personuppgiftslagens krav. Personuppgiftsbiträdet skall på begäran från Microsoft utan dröjsmål överlämna såväl inhämtade samtycken som de uppgifter Microsoft behöver för att kunna visa att de registrerade informerats. 2.6 Personuppgiftsbiträdet skall vidta de tekniska och organisatoriska åtgärder som erfordras enligt personuppgiftslagen för att skydda de personuppgifter som behandlas mot obehörig åtkomst, förstörelse och ändring. Personuppgiftsbiträdet skall därvid särskilt iaktta Datainspektionens allmänna råd Säkerhet för personuppgifter eller andra föreskrifter som ersätter de förutnämnda. 2.7 Microsoft har rätt att på egen bekostnad själv eller genom tredje man kontrollera att Personuppgiftsbiträdet följer detta avtal. Personuppgiftsbiträdet skall lämna Microsoft den assistans som behövs. 2.8 Personuppgiftsbiträdet skall när detta avtal upphör att gälla överlämna personuppgifter på av Microsoft angivet medium och se till att det inte finns några personuppgifter kvar hos Personuppgiftsbiträdet.

3 3 3 Sekretess 3.1 Personuppgiftsbiträdet förbinder sig att inte till tredje man lämna ut eller eljest röja information om behandling av personuppgifter som omfattas av detta avtal eller annan information som Personuppgiftsbiträdet erhållit till följd av detta avtal. Personuppgiftsbiträdet åtar sig vidare att inte utnyttja personuppgifterna för egna ändamål. 3.2 Åtagandet i punkten 3.1 första meningen gäller inte a) information som part kan visa var allmänt känd vid tidpunkt för mottagandet, eller b) information som part föreläggs utge till myndighet. Sekretessåtagandet gäller även efter att detta avtal i övrigt upphört att gälla. 4 Immateriella rättigheter 4.1 Samtliga immateriella rättigheter till samlingen av Personuppgifter tillkommer Microsoft. Microsoft upplåter en icke-exklusiv rätt för Personuppgiftsbiträdet att nyttja Personuppgifterna för utförande av uppdrag enligt detta avtal. 4.2 Vid avtalets upphörande skall Personuppgiftsbiträdet omedelbart utplåna Personuppgifterna och skriftligen bekräfta för Microsoft att så skett. Personuppgiftsbiträdet har inte rätt att efter avtalets upphörande nyttja hela eller delar av samlingen av Personuppgifter. 5 Ersättning 5.1 Personuppgiftsbiträde har inte rätt till särskild ersättning för behandling av personuppgifter under detta avtal. 6 Ansvar gentemot tredje man 6.1 För den händelse registrerad, eller annan tredje man riktar krav mot Microsoft på grund av Personuppgiftsbiträdets behandling av personuppgifter skall Personuppgiftsbiträdet hålla Microsoft skadeslös för sådana krav som följer av att Personuppgiftsbiträdet inte efterföljt detta avtal. 7 Avtalstid 7.1 Avtalet gäller från dess undertecknande och så länge som Personuppgiftsbiträdet behandlar personuppgifter.

4 4 8 Ändringar i avtalet 8.1 Microsoft får i den mån så erfordras för att krav som följer av personuppgiftslagen skall kunna tillgodoses ändra innehållet i detta avtal. Sådan ändring träder ikraft senast trettio (30) dagar efter att Microsoft översänt ändringsmeddelande till Personuppgiftsbiträdet. För det fall Personuppgiftsbiträdet inte accepterar sådan ändring, äger Microsoft rätt att omedelbart skriftligen säga upp samtliga avtal med Personuppgiftsbiträdet av vilket följer att Personuppgiftsbiträdet skall behandla personuppgifter. Övriga ändringar av och tillägg till avtalet skall för att vara bindande upprättas skriftligen och vara behörigen undertecknade av parterna. Detta avtal har upprättats i två exemplar, varav parterna har tagit var sitt. (Ort datum) (Ort datum) MICROSOFT AB (Underskrift) (Namnförtydligande) (Underskrift) (Namnförtydligande)

5 5 Bilaga 1

6 6

7 7

8 8

9 9

10 10

11 11

12 12

13 13

14 14

15 15

16 16 Bilaga 2 Regler För NIX adresserat gäller följande regler. 1. Syfte Som en egenåtgärd har Swedish Direct Marketing Association (Swedma) inrättat spärregistret NIX adresserat i syfte att konsumenter skall kunna göra känt att de motsätter sig att få adresserade meddelanden per post i marknadsföringssyfte (ADR) och att näringslivet skall ha tillgång till ett centralt register över konsumenter som anmält att de motsätter sig att få ADR. NIX adresserat administreras på Swedmas vägnar av Swedma Service AB. 2. Anmälan till NIX adresserat Anmälan till NIX adresserat skall innehålla uppgift om konsumentens för- och efternamn, personnummer samt postutdelningsadress. Anmälan, som är kostnadsfri, görs skriftligen och skall vara egenhändigt undertecknad. Den skall sändas med betald post till angiven adress. 3. Innehåll i och utformning av NIX adresserat NIX adresserat skall innehålla uppgift om konsumentens namn, personnummer, postutdelningsadress, närmast föregående postutdelningsadress samt anmälningsdatum. Uppgifter om en konsument tas bort ur NIX adresserat dels om konsumenten begär det skriftligen och dels, såvitt gäller personer som är under 18 år, sedan personen fyllt 18 år. NIX adresserat skall föras elektroniskt och uppdateras veckovis mot det statliga personadressregistret SPAR såvitt avser namn- och adressuppgifter. 4. God marknadsföringssed kräver kontroll mot NIX adresserat Swedma anser att det inte är förenligt med god marknadsföringssed att vid marknadsföring sända ADR till konsument vars namn och adress är införda i NIX adresserat. I nedan angivna fall strider det dock inte mot god marknadsföringssed att i marknadsföringssyfte sända ADR till konsument vars uppgifter är införda i NIX adresserat. - Uttryckligt medgivande till ADR Även om uppgifter om en viss konsument finns i NIX adresserat får ADR sändas till sådan konsument som lämnat sitt uttryckliga medgivande därtill. - Etablerat kundförhållande Om det föreligger ett etablerat kundförhållande (ingånget avtal) mellan marknadsföraren och konsumenten strider det inte mot god marknadsföringssed att genom ADR lämna erbjudanden om samma typ av varor eller tjänster, även om konsumentens uppgifter finns i NIX adresserat. Ett kundförhållande enligt ovan skall anses bestå även en tid efter det att avtalsförpliktelserna fullgjorts men inte mer än tre år om inte särskilda skäl föreligger. - Konsumenten har lämnat personuppgifter I samband med att personuppgifter inhämtas från en konsument kräver god marknadsföringssed att konsumenten dels informeras om vilka kontaktvägar (brev, telefon, etc.) som marknadsföraren kan önska använda och dels ges möjlighet att avböja viss eller vissa kontaktvägar för marknadsföring.

17 17 Möjligheten att avböja skall alltid ges vid inhämtande av personuppgifter från konsument, således även då uppgifter inhämtas t.ex. från kunder, medlemmar i bonus- och kundklubbar samt personer som förekommer i intresseregister eller som beställt information. Om dessa krav uppfyllts då personuppgifter inhämtas från en konsument strider det inte mot god marknadsföringssed att sända ADR till en konsument även om dennes uppgifter finns i NIX adresserat. 5. Kontrollen mot NIX adresserat Marknadsförare kan mot ersättning erhålla en kopia av NIX adresserat för att kontrollera huruvida vissa konsumenter förekommer däri. Sådana kopior av NIX adresserat skall endast innehålla uppgift om konsumenternas namn och postutdelningsadresser. Om uppgifter om en konsument finns i NIX adresserat får inte ADR sändas till denne senare än tre månader efter dagen för den version av NIX adresserat mot vilken kontroll gjorts. 6. Information till konsumenter och näringsidkare Swedma kommer att sprida information till konsumenter om förekomsten och betydelsen av NIX adresserat. Swedma kommer också att verka för att näringsidkare får information om NIX adresserat och för att branschorganisationer i gemen tillhåller sina medlemmar att vid marknadsföring som riktar sig till konsumenter i allt följa dessa regler. 7. Avsteg från dessa regler Avsteg från dessa regler kan behandlas bl.a. av Etiska nämnden för direktmarknadsföring DM-nämnden.

18 18 Bilaga 3

19 19

20 20

21 21

22 22

23 23

24 24

25 25

26 26

27 27

28 28

29 29 Bilaga 4 INSTRUKTION RÖRANDE BEHANDLING AV PERSONUPPGIFTER Personuppgiftsbiträdet skall behandla Microsofts personuppgifter i enlighet med följande: 1. Behandling av personuppgifter Personuppgiftsbiträdet skall på Microsofts uppdrag genomföra följande åtgärder: 2. Säkerhet 2.1 Behörighetskontroll Personuppgiftsbiträdet skall tillse att endast behörig personal kan åtkomma Personuppgifterna genom att skydda Personuppgifterna med behörighetssystem. Personalen skall instrueras att hantera och förvara användaridentitet och lösenord med försiktighet och att använda lösenord som inte har anknytning till person eller på annat sätt med lätthet kan forceras. Lösenord skall bytas regelbundet och personalen skall logga ut från sina respektive klientdatorer när de inte används. Antalet personer som ges systemadministrationsaccess skall vara klart begränsat. 2.2 Datasäkerhet Personuppgiftsbiträdet skall tillse att Personuppgiftsbiträdets datasystem är skyddade från extern åtkomst genom följande: 1. Brandvägg 2. Inloggningskontroll vid extern access via Internet eller modem 2.3 Säkerhetskopiering Personuppgiftsbiträdet skall minst en gång i månaden framställa säkerhetskopior av de register eller liknande som Personuppgiftsbiträdet skapar som ett led i åtgärderna en-

30 30 ligt punkt 1 ovan. Säkerhetskopian skall sparas i minst tre (3) månader och skall förvaras utanför Personuppgiftsbiträdets lokaler. 2.4 Fysisk säkerhet Personuppgiftsbiträdet skall tillse att dess datorresurser fysiskt är skyddade från åtkomst utifrån genom lås, larm och andra fysiska säkerhetsåtgärder som Personuppgiftsbiträdet finner lämpliga. Personuppgiftsbiträdet skall vidare tillse att det finns brandskyddsteknik i lokalerna. 2.5 Loggning Personuppgiftsbiträdet skall föra loggar över de behandlingar som sker i samband med att Personuppgiftsbiträdet genomför åtgärder enligt avtal mellan parterna. 2.6 Virusskydd Personuppgiftsbiträdet skall tillse att Personuppgiftsbiträdets datasystem är skyddat mot skadegörande programvara såsom virus genom exempelvis programvara som skyddar Personuppgiftsbiträdets datasystem från inkommande virus. 2.7 Överföring och kommunikation Personuppgiftsbiträdet skall tillse att dataöverföring och kommunikation till tredje part är skyddad genom exempelvis kryptering, säkra överföringsstandarder eller liknande åtgärder som Microsoft anser vara lämpliga för att åstadkomma en adekvat skyddsnivå. 2.8 Gallring av personuppgifter Personuppgiftsbiträdet skall tillse att register och liknande som Personuppgiftsbiträdet upprättar inte innehåller ofullständiga uppgifter eller registerposter. Personuppgiftsbiträdet skall vidare blockera eller radera Uppgifterna i enlighet med Microsofts instruktioner. Personuppgiftsbiträdet skall tillse att uppgifter som är mer än ett år gamla inte används för utskick av direktmarknadsföring.

31 Kontroll mot NIX-register Personuppgiftsbiträdet skall genomföra kontroll mot NIX Adresserat i enlighet med SWEDMAs föreskrifter som för närvarande finns tillgängliga på adressen NIX-tjanster miljo/nix_adresserat/regler/