Data Processing Agreement (DPA)

Ikraftträdandedatum: 20 augusti 2025
Senast Uppdaterad: 20 augusti 2025

Avtalets Bildande och Acceptans

Detta Tamio GmbH Databehandlingsavtal ("DPA") träder i kraft den 20 augusti 2025 och gäller för alla kunder som accepterar våra Användarvillkor på eller efter detta datum. Genom att klicka "Jag accepterar" eller liknande acceptansmekanism under registreringen samtycker du till att vara bunden av detta DPA, som inkorporerar de Standardavtalsklausuler som antagits av Europeiska kommissionen.

Detta DPA utgör en del av och är inkorporerat i Tamio GmbH:s Användarvillkor ("Avtalet"). DPA:n ska förbli i kraft under Avtalets hela löptid.

Inga fysiska underskrifter krävs: Detta DPA är juridiskt bindande vid din elektroniska acceptans under registreringen. Inga handskrivna eller fysiska underskrifter krävs för att detta avtal ska vara giltigt och verkställbart.

Syfte och Omfång

Syftet med denna DPA är att säkra lämpliga skydd så att skyddet av integriteten tillämpas och för att säkerställa att behandlingen av Personuppgifter sker i enlighet med Kontrollerarens och Behandlarens lagstadgade skyldigheter enligt tillämpliga dataskyddslagar.

DENNA DPA INNEHÅLLER:

  1. Standardavtalade klausuler, bifogade som BILAGA 1
  2. Bilaga 1 till de Standardavtalade Klausulerna (specifika datatransfer)
  3. Bilaga 2 till de Standardavtalade Klausulerna (tekniska och organisatoriska säkerhetsåtgärder)
  4. Lista över Underleverantörer, bifogad som BILAGA 2

Definitioner

"Kontrollerare" betyder den naturliga eller juridiska person, myndighet, byrå eller annan enhet som ensam eller tillsammans med andra bestämmer syften och medel för Behandling av Personuppgifter.

"Dataskyddslag" betyder all tillämplig lagstiftning som rör dataskydd och integritet inklusive utan begränsning GDPR, tillsammans med eventuella nationella genomförandelagar i varje medlemsstat i Europeiska unionen eller andra tillämpliga jurisdiktioner.

"Dataskyddsregistrerad" betyder den person som Personuppgifter hänför sig till.

"GDPR" betyder allmän dataskyddsförordning (EU) 2016/679.

"Instruktion" betyder den dokumenterade instruktion, utfärdad av Kontrollerare till Behandlaren, som riktar den att utföra en specifik handling med avseende på Personuppgifter.

"Personuppgifter" betyder all information som hänför sig till en identifierbar individ där sådan information finns i Kunddata och skyddas som personuppgifter enligt tillämplig Dataskyddslag.

"Personuppgiftsbrott" betyder ett säkerhetsbrott som leder till oavsiktlig eller olaglig förstörelse, förlust, förändring, oauktoriserat utlämnande eller åtkomst till Personuppgifter.

"Behandling" betyder any operation som utförs på Personuppgifter, inklusive insamling, registrering, organisering, strukturering, lagring, anpassning, hämtning, användning, utlämnande, anpassning, begränsning eller radering.

"Behandlare" betyder en naturlig eller juridisk person som behandlar Personuppgifter på uppdrag av Kontrolleraren.
"Standardavtalade Klausuler" betyder klausulerna bifogade som Exhibit 1 enligt beslut av europeiska kommissionen för adekvata dataskyddsåtgärder.

Detaljer om Behandlingen

Kategorier av Databehandlare: Kundens kontakter och slutanvändare inklusive anställda, entreprenörer, samarbetspartners, kunder, prospects, leverantörer och underleverantörer. Databehandlare inkluderar också personer som försöker kommunicera med eller överföra Personuppgifter till Kundens slutanvändare.

Typer av Personuppgifter: Kontaktuppgifter, navigationsdata, e-postdata, systemanvändningsdata, data för applikationsintegration och annan elektronisk data som lämnas in, lagras, skickas eller tas emot via våra tjänster.

Ämne och Syfte för Behandling: Tillhandahållande av e-handelsplattformstjänster som involverar Behandling av Personuppgifter som specificeras i Avtalet.

Syfte med Behandling: Personuppgifter kommer att behandlas för att tillhandahålla de tjänster som beskrivs i Avtalet.

Behandlingens Varaktighet: Under Avtalets giltighet, i enlighet med datahållning och raderingsbestämmelser nedan.

Kundansvar

Du, som Kontrollerare, är ensamt ansvarig för:

  • Följa alla tillämpliga krav på dataskydd
  • Säkerställa rättmätig utlämning och överföring av Personuppgifter till oss
  • Ge rättsliga instruktioner för Behandling
  • Informera oss om fel eller avvikelser relaterade till dataskyddskraven

Dina instruktioner för Behandling av Personuppgifter måste följa Dataskyddslagstiftningen. Denna DPA utgör din kompletta instruktion till Tamio GmbH angående Behandling av Personuppgifter. Ytterligare instruktioner kräver skriftligt avtal mellan parterna.

Vårt Ansvar som Behandlar

Uppföljning av Instruktioner

Vi kommer endast behandla Personuppgifter inom ramen för dina instruktioner. Om vi anser att en instruktion strider mot Dataskyddslagstiftningen kommer vi omedelbart att informera dig. Om vi inte kan behandla Personuppgifter enligt instruktioner på grund av juridiska krav, kommer vi:

  • Snabbt informera dig om det rättsliga kravet (där det är tillåtet)
  • Avsluta behandlingen tills du tillhandahåller föreskrivna instruktioner

Säkerhetsåtgärder

Vi implementerar lämpliga tekniska och organisatoriska åtgärder för att skydda Personuppgifter mot obehörig åtkomst, ändring, utlämnande eller förstöring, inklusive:

  • Fysiska accesskontroller till behandlingssystem
  • Logiska åtkomstkontroller som förhindrar obehörig systemanvändning
  • Datatillgångskontroller som säkerställer att behörig personal endast har tillgång till nödvändig data
  • Kontroller för överföring av data för säkert överförande och lagring
  • Ingångskontroller som dokumenterar data systemsåtkomst och ändringar
  • Instruktionskontroller som säkerställer behandling endast enligt dina instruktioner
  • Tillgänglighetskontroller som skyddar mot oavsiktlig förstöring eller förlust

Vi kommer att tillhandahålla detaljer om vårt nuvarande säkerhetsprogram på begäran och underlätta din efterlevnad av säkerhetsåtaganden enligt Artiklarna 32-34 i GDPR.

Sekretess

All personal som är behörig att behandla Personuppgifter omfattas av sekretessförpliktelser som överlever upphörandet av deras verksamhet.

AI och Automatiserad Behandling

Om våra tjänster inkluderar artificiell intelligens eller automatiserad beslutsfattande funktioner som behandlar Personuppgifter, kommer vi:

  • Ge tydlig information om logiken som används
  • Informera dig om betydelsen och förestående konsekvenser
  • Införa lämpliga skydd för användarnas rättigheter
  • Säkerställa mänsklig tillsyn där så krävs enligt tillämplig lag

Datavalutering och Uppehåll

Vi behåller Personuppgifter i enlighet med tillämpliga krav på datavalutering. På begäran kan vi ge information om var dina Personuppgifter lagras och behandlas.

Tidslinje för Brott mot Sekretess

Vi kommer att informera dig om varje Personuppbrått:

  • Utan onödig försening, och där det är möjligt inom 24 timmar efter att ha blivit medveten
  • Med all tillgänglig information vid tidpunkten för meddelandet
  • Med uppföljningsinformation när den blir tillgänglig

Begäran från Dataskyddsregistrerade

Vi kommer att ge rimlig hjälp så att du kan svara på Dataskyddsregistrerades begäran att utöva sina rättigheter enligt Dataskyddslagen. Om begäranden görs direkt till oss, kommer vi snabbt informera dig och hänvisa Registreringen att kontakta dig. Du är ensam ansvarig för att svara på Dataskyddsregistrerade begäran och kommer ersätta oss för kostnader som uppstår från sådan hjälp.

Underleverantörer

Vi kan anlita underleverantörer för att uppfylla våra åtaganden endast med ditt samtycke. Du samtycker till vår användning av anknytningsbolag och tredje parter listade i BILAGA 2.

För nya underleverantörer som inte är listade i BILAGA 2, ska vi:

  • Ge skriftligt meddelande (e-post till ditt kontosadress är tillräckligt)
  • Ge dig 30 dagar att invända på skälig grund
  • Om invändningar inte kan lösas, kan endera part säga upp Avtalet med skriftligt meddelande

Alla underleverantörer måste gå med på samma dataskyddsplikter som gäller för oss. Vi fortsätter vara ansvariga för underleverantörens uppfyllelse av dessa plikter.

Internationella Dataöverföringar

Personuppgifter kan överföras till Tamio GmbH i Tyskland och till underleverantörer på olika platser. Vi säkerställer lämpliga skyddsåtgärder för alla överföringar utanför EES genom:

  • Standardavtalade klausuler (nuvarande 2021-version, kommer att uppdateras till 2025-version när tillgänglig)
  • Adekvansbeslut där det är tillämpligt
  • Andra godkända överföringsmekanismer enligt Kapitell V GDPR
  • Regelbundna överföringspåverkansbedömningar (TIAs) som krävs

Vi övervakar regulatoriska utvecklingar beträffande internationella överföringar och kommer att införa eventuella ytterligare skyddsåtgärder som krävs av tillsynsmyndigheter.

Databevarande och Radering

Vid avslutande eller upphörande av Avtalet kommer vi att radera all Personuppgift såvida det inte krävs att behålla dem enligt lag. Om radering inte är möjlig av tekniska skäl kommer vi blockera data från vidare behandling. Du kan begära specifika återlämnings- eller raderingsprocedurer genom att ge instruktioner inom vår angivna tidsram. Ytterligare kostnader för dataåterlämning eller radering efter uppsägning bärs av dig.

Revisioner

Du kan granska våra tekniska och organisatoriska skyddsåtgärder genom att:

  • Be begära information från oss
  • Be begära befintliga certifieringar eller attesteringar
  • Genomföra platsinspektioner under öppettider med rimligt föregående meddelande

Vi kommer att tillhandahålla nödvändig revisionsinformation inom vår kontroll och som inte är förbjuden enligt lag eller sekretessförpliktelser.

Allmänna Bestämmelser

Ändringar: Denna DPA kan uppdateras enligt ändringsbestämmelserna i våra Användarvillkor. Vi kommer att ge meddelande om väsentliga ändringar.

Regeringsordning: Vid konflikt har denna DPA företräde framför det allmänna Avtalets villkor. Om någon bestämmelse är ogiltig, kvarstår övriga bestämmelser gällande.

Standardavtalade Klausuler: Där tillämpligt har Standardavtalsklausulerna i Bilaga 1 företräde framför eventuella motstridiga DPA-villkor. Europeiska kommissionen planerar att uppdatera SCC:erna under 2025, och vi kommer att inkorporera eventuella nödvändiga uppdateringar.

Ikraftträdande: Detta DPA inkorporerar nuvarande GDPR-krav och kommer att uppdateras för att återspegla eventuella nya regulatoriska krav.

Parter och Befogenhet

Genom att godkänna denna DPA under registreringen:

  • Du intygar att du är auktoriserad att godkänna denna DPA på uppdrag av din organisation
  • Du går endast in i avtal på uppdrag av Kontrolleringsenheten
  • Både du och Tamio GmbH blir parter till denna DPA och de införlivade Standardavtalade Klausuler

BILAGA 1: Standardavtalsklausuler (Biträden)

För ändamål enligt artikel 26(2) i direktiv 95/46/EG för överföringen av personuppgifter till behandlare som är etablerade i tredje länder som inte säkerställer en adekvat skyddsnivå,

Kunden ("data exporter")
Tamio GmbH ("data importer")

HAR KOMMIT ÖVERRENS om följande kontraktsklausuler för att tillhandahålla adekvata skydd för överföringen av personuppgifter som specificeras i bilaga 1.

Klausul 1: Definitioner

För klausulernas syften:

  1. ’personuppgifter’, ’särskilda kategorier av data’, ’behandla/behandling’, ’kontrollerare’, ’behandlare’, ’registrerad’ och ’myndighet’ ska ha samma betydelse som i Direktiv 95/46/EC av Europeiska parlamentet och rådet av den 24 oktober 1995 om skydd av fysiska personer beträffande behandlingen av personuppgifter och fri rörlighet för sådana uppgifter;
  2. ’data exporter’ avser den kontrollerare som överför de personuppgifter;
  3. ’data importer’ avser den behandlare som går med på att ta emot från data exporter personuppgifter avsedda för behandling å hans vägnar efter överföringen i enlighet med hans instruktioner och klausernas villkor och som inte är föremål för ett tredje lands system som säkerställer tillräckligt skydd enligt artikel 25(1) i direktiv 95/46/EC;
  4. ’underbehandlare’ avser varje behandlare som anlitats av data importer eller av någon annan underbehandlare av data importer som går med på att ta emot från data importer eller från någon annan underbehandlare av data importer personuppgifter avsedda endast för behandlingsaktiviteter som ska utföras å data exporter vägnar efter överföringen enligt hans instruktioner, klausernas villkor och det skriftliga underavtalet;
  5. ’tillämplig dataskyddslag’ betyder den lagstiftning som skyddar de grundläggande rättigheterna och friheterna hos individer och, i synnerhet, deras rätt till privatliv avseende behandlingen av personuppgifter tillämplig på en data kontrollant i medlemstaten där data exporter är etablerad;
  6. ’tekniska och organisatoriska säkerhetsåtgärder’ betyder de åtgärder som syftar till att skydda personuppgifter mot oavsiktlig eller olaglig förstöring eller förlust, ändring, oriktigt utlämnande eller åtkomst, särskilt när behandlingen inkluderar överföring av data över ett nätverk, och mot alla andra olagliga former av behandling.

Klausul 2: Detaljer om överföringen

Detaljerna finns angivna i Bilaga 1 som utgör en integrerad del av Klausulerna.

Klausul 3: Tredjemansförmånstagarklausul

Den registrerade kan genomdriva mot data exporter denna Klausul, Klaus 4(b) till (i), Klaus 5(a) till (e) och (g) till (j), Klaus 6(1) och (2), Klaus 7, Klaus 8(2) och Klaus 9 till 12 som tredje parts förmånstagare.

Den registrerade kan genomdriva mot data importer denna Klausul, Klaus 5(a) till (e) och (g), Klaus 6, Klaus 7, Klaus 8(2) och Klaus 9 till 12 i fall där data exporter faktiskt har upphört att existera eller inte längre existerar enligt lag såvida inget efterträdarbolag har antagit det fullständiga juridiska ansvaret för data exporter genom kontrakt eller genom rättsverkan, vilket resulterar i att den tar på sig rättigheterna och skyldigheterna som data exporter har, i vilket fall den registrerade kan uppta dem mot sådant företag.

Den registrerade kan genomdriva mot underbehandlar denna Klausul, Klaus 5(a) till (e) och (g), Klaus 6, Klaus 7, Klaus 8(2) och Klaus 9 till 12, i fall där både data exporter och data importer har upphört att existera eller inte längre existerar enligt lag eller har blivit insolventa, om inget efterträdande företag har antagit hela de juridiska skyldigheterna för data exporter eller data importer genom kontrakt eller genom rättsverkan. Sådan tredje parts ansvara av underbehandlaren är begränsad till dess egna bearbetningsaktiviteter under Klausulerna.

Parterna motsätter sig inte att en registrerad representeras av en förening eller annan enhet om den registrerade uttryckligen önskar så och om det tillåts enligt nationell lag.

Klausul 4: Ansvar för data exporter

Data exporter samtycker och garanterar:

  1. att behandlingen, inklusive själva överföringen av personuppgifterna, har utförts och kommer fortsättningsvis att göras i enlighet med relevanta bestämmelser i tillämplig dataskyddslag (och, där så är tillämpligt, har meddelats till relevanta myndigheter i den medlemsstat där data exporter är etablerad) och inte strider mot relevanta bestämmelser i den staten;
  2. att den har gett instruktioner och under hela varaktigheten av personuppgiftsbehandlingstjänsterna kommer att instruera data importer att behandla de överförda personuppgifterna endast å data exporters vägnar och i enlighet med tillämplig dataskyddslag och klausulerna;
  3. att data importer kommer att tillhandahålla tillräckliga garantier beträffande de tekniska och organisatoriska säkerhetsåtgärder som anges i Bilaga 2 till detta kontrakt;
  4. att efter bedömning av kraven i tillämplig dataskyddslag är säkerhetsåtgärderna lämpliga för att skydda personuppgifter mot oavsiktlig eller olaglig förstöring eller förlust, ändring, otillåtet utlämnande eller åtkomst, särskilt när behandlingen innebär överföring av data över ett nätverk, och mot alla andra olagliga former av behandling, och att dessa åtgärder säkerställer en säkerhetsnivå som motsvarar riskerna som behandlingen och arten av de uppgifter som ska skyddas med beaktande av tekniken i bruk och kostnaden för genomförandet;
  5. att den kommer att säkerställa efterlevnad av säkerhetsåtgärderna;
  6. att om överföringen involverar särskilda kategorier av data har den registrerade informerats eller kommer att informeras före eller så snart som möjligt efter överföringen att dess data kan överföras till ett tredje land som inte erbjuder tillräckligt skydd enligt direktiv 95/46/EC;
  7. att vidarebefordra eventuella meddelanden från data importer eller någon underbehandlare i enlighet med Klausul 5(b) och Klausul 8(3) till dataskyddsmyndigheten om data exporter beslutar att fortsätta överföringen eller lyfta suspensionsåtgärderna;
  8. att göra tillgängligt för de registrerade på begäran en kopia av klausulerna, med undantag för Bilaga 2, samt en sammanfattad beskrivning av säkerhetsåtgärderna, samt en kopia av vilket som helst kontrakt för underbehandling som måste göras i enlighet med klausulerna, om klausulerna eller kontraktet innehåller kommersiell information, i vilket fall den får ta bort sådan kommersiell information;
  9. att i händelse av underbehandling tidigare informera data exporter och erhålla deras skriftliga medgivande;
  10. att behandlingsservice av underbehandlaren kommer att utföras i enlighet med Klausul 11;
  11. att skicka genast en kopia av varje underbehandlaravtal den ingår under klauslerna till data exporter.

Klausul 5: Ansvar för data importer

Data importer samtycker och garanterar:

  1. att behandla personuppgifterna endast å data exporter vägnar och i överensstämmelse med dess instruktioner och klausurerna; om de inte kan uppfylla sådan överensstämmelse av vilka som helst skäl, samtycker de att omedelbart informera data exporter om oförmåga att följa, i vilket fall data exporter har rätt att suspendera överföringen av data och/eller säga upp kontraktet;
  2. att de inte har skäl att tro att den lagstiftning som gäller dem hindrar dem från att uppfylla instruktionerna som erhållits från data exporter och deras förpliktelser enligt kontraktet och att i händelse av förändring i denna lagstiftning som sannolikt har betydande negativ effekt på garantierna och förpliktelserna som tillhandahålls av klausulerna, de omgående kommer att informera data exporter om förändringen så snart de blir medvetna, i vilket fall data exporter har rätt att suspendera överföringen av data och/eller säga upp kontraktet;
  3. att de har implementerat de tekniska och organisatoriska säkerhetsåtgärderna som specificeras i Bilaga 2 innan behandlingen av de överförda personuppgifterna;
  4. att de omgående kommer att informera data exporter om: varje juridiskt bindande begäran om utlämnande av personuppgifter av en brottsbekämpande myndighet om inte annat tillåts, såsom ett förbud under straffrätt för att bevara sekretessen i en brottsutredning, varje oavsiktlig eller otillåten åtkomst; och varje begäran som tas direkt från de registrerade utan att svara på den begäran, såvida den inte har behörighet att göra det;
  5. att hantera snabbt och korrekt alla förfrågningar från data exporter rörande dess behandling av personuppgifter som omfattas av överföringen och att följa tillsynsmyndighetens råd i fråga om behandling av överförda uppgifter;
  6. på begäran av data exporter att lämna in sina databehandlingsanläggningar för revision av behandlingsaktiviteter som omfattas av klausulerna och som ska utföras av data exporter eller en revisionsorgan bestående av oberoende medlemmar och som innehar nödvändiga yrkesmässiga kvalifikationer bundna av sekretess, vald av data exporter, där det är tillämpligt i samråd med tillsynsmyndigheten;
  7. att tillgängliggöra för de registrerade på begäran en kopia av klausulerna, eller något befintligt avtal om underbehandling, såvida klausulerna eller kontraktet inte innehåller kommersiell information, i vilket fall den får ta bort sådan kommersiell information, med undantag för Bilaga 2 som ska ersättas av en sammanfattande beskrivning av säkerhetsåtgärderna i de fall där den registrerade inte kan få en kopia från data exporter;
  8. att i händelse av underbehandling har den tidigare informerat data exporter och erhållit deras föregående skriftliga samtycke;
  9. att behandlingsservice av underbehandlaren kommer att utföras enligt Klausul 11;
  10. att skicka genast en kopia av varje underbehandlaravtal den ingår under klauslerna till data exporter.

Klausul 6: Ansvarighet

Parterna är överens om att varje registrerad som har lidit skada till följd av överträdelser av skyldigheterna som nämns i Klausul 3 eller Klausul 11 av någon part eller underbehandlare har rätt till ersättning från data exporter för den skada som uppkommit.

Om en registrerad inte kan föra talan om ersättning i enlighet med stycke 1 mot data exporter som uppstår ur ett brott av data importer eller dess underbehandlare av någon av deras skyldigheter som nämns i Klausul 3 eller Klausul 11, eftersom data exporter faktiskt har upphört att existera eller upphört att existera i lag eller blivit insolvent, samtycker data importer att den registrerade får utfärda en talan mot data importer som om det vore data exporter, om inget efterträdande enhet har åtagit hela det juridiska ansvaret för data exporter genom kontrakt eller genom lag, i vilket fall den registrerade kan genomdriva sina rättigheter mot sådan enhet.

Data importer får inte luta sig mot ett brott av en underbehandlare för att undvika sina egna ansvarsområden.

Om en registrerad inte kan föra talan mot data exporter eller data importer som nämns i styckena 1 och 2, som uppstod ur ett brott av underbehandlaren av någon av deras skyldigheter som nämns i Klausul 3 eller Klausul 11 eftersom både data exporter och data importer har upphört att existera eller har blivit insolventa, samtycker underbehandlaren att den registrerade får utfärda en talan mot den underbehandlaren med hänsyn till sin egen behandlingsverksamhet enligt klauslerna som om den vore data exporter eller data importer, om inget efterträdande företag har antagit hela de juridiska skyldigheterna för data exporter eller data importer genom kontrakt eller genom rättsverkan, i vilket fall den registrerade kan genomdriva sina rättigheter mot sådant företag. Underbehandlarens ansvar ska vara begränsat till dess egna bearbetningsaktiviteter enligt klausulerna.

Klausul 7:  Medling och jurisdiktion

  1. Data importer överenskommer att om den registrerade åberopar mot den tredje parts förmånstagarsrättigheter och/eller kräver skadestånd enligt klausulerna, kommer data importer att acceptera beslutet från den registrerade:
  2. att hänvisa tvisten till medling, av en oberoende person eller, där tillämpligt, av tillsynsmyndigheten;
  3. att hänvisa tvisten till domstolarna i den medlemsstat där data exporter är etablerad.
  4. Parterna är överens om att det val som den registrerade gör inte ska påverka dess materiella eller processuella rätt att söka avhjälp enligt andra bestämmelser i nationell eller internationell lag.

Klausul 8: Samarbete med tillsynsmyndigheter

Data exporter samtycker till att lämna en kopia av detta avtal till tillsynsmyndigheten om sådan begäran görs eller om sådan deposition krävs enligt tillämplig dataskyddslag.

Parterna är överens om att tillsynsmyndigheten har rätt att genomföra en revision av data importer och av eventuella underbehandlare, som har samma omfattning och gäller under samma villkor som skulle gälla vid en revision av data exporter enligt tillämplig dataskyddslag.

Data importer ska omedelbart informera data exporter om förekomst av lagstiftning som är tillämplig på dem eller någon underbehandlare som hindrar genomförandet av en revision av data importer eller någon underbehandlare enligt stycke 2. I sådant fall ska data exporter ha rätt att vidta åtgärder som förutses i Klausul 5(b).

Klausul 9: Tillämplig lagstiftning

Klausulerna ska regleras av lagstiftningen i det land eller den stat där data exporter är etablerad.

Klausul 10:  Variation av kontraktet

Parterna förbinder sig att inte variera eller ändra Klausulerna. Detta utesluter inte parterna från att lägga till klausuler om affärsrelaterade frågor där det är nödvändigt så länge de inte motsäger Klauseln.

Klausul 11: Underbehandling

Data importer får inte underkontrahera någon av sina behandlingsaktiviteter som utförs på uppdrag av data exporter enligt klauslerna utan föregående skriftligt samtycke från data exporter. När data importer underkontraherar sina skyldigheter enligt klauslerna, med samtycke från data exporter, ska de endast göra det genom en skriftlig överenskommelse med underbehandlaren som ålägger samma skyldigheter på underbehandlaren som på data importer enligt klauslerna. Om underbehandlaren inte uppfyller sina dataskyddsskyldigheter enligt sådan skriftlig överenskommelse ska data importer fortfarande vara fullt ansvariga mot data exporter för uppfyllelsen av underbehandlarens skyldigheter enligt sådan överenskommelse.

Den föregående skriftliga kontrakt mellan data importer och underbehandlaren ska också ge en tredje parts förmån arvod enligt Klausul 3 i fall där den registrerade inte kan driva anspråk om ersättning som nämns i stycke 1 av Klausul 6 mot data exporter eller data importer eftersom de faktiskt har upphört att existera eller inte längre existerar enligt lag eller har blivit insolventa och inget efterträdande företag har antagit hela de juridiska skyldigheterna för data exporter eller data importer genom kontrakt eller genom rättsverkan. Sådan tredje parts ansvar hos underbehandlaren ska vara begränsad till dess egna bearbetningsaktiviteter enligt klauslerna.

Bestämmelserna som rör dataskyddsaspekter för underbehandling av kontraktet som nämns i stycke 1 ska regleras av lagstiftningen i medlemsstat där data exporter är etablerad.

Data exporter ska föra en lista över underbehandlingsavtal som ingåtts enligt klauslerna och som meddelats av data importer enligt Klausul 5(j), som ska vara

uppdaterad minst en gång per år. Listan ska vara tillgänglig för data exporterens dataskyddsmyndighet.

Klausul 12: Skyldighet efter avslutandet av personuppgiftsbehandlingstjänster

Parterna är överens om att vid uppsägning av tillhandahållandet av databehandlingstjänster, ska data importer och underbehandlaren, efter data exporters val, återlämna all överförd personuppgift och kopior därav till data exporter eller ska radera all personuppgift och certifiera för data exporter att sådant har gjorts, såvida lagstiftning inte förhindrar data importer från att återlämna eller radera all eller del av de överförda personuppgifterna. I sådant fall garanterar data importer sekretessen för de överförda uppgifterna och kommer inte aktivt behandla dem längre.

Data importer och underbehandlaren garanterar att på begäran av data exporter och/eller tillsynsmyndigheten, de ska lämna in sina databehandlingsanläggningar för en revision av de åtgärder som nämns i stycke 1.

EXHIBIT 2: Listan över Underbehandlare

UnderbehandlareBeskrivningIntegritetspolicy
Stripe Kreditkortsbetalninghttps://stripe.com/privacy
Meta (Facebook)Pixelspårning för besök och försäljninghttps://www.facebook.com/policy.php
Google AnalyticsWebbplatsens trafik och användarbeteende (anonymiserad)https://policies.google.com/privacy
Google OptimizeTestning av innehållsvarianter (anonymiserad)https://policies.google.com/privacy

APPENDIX 1: Dataöverföringsdetaljer

Data Exporter: Du, kundens enhet som godkänner denna DPA

Data Importer: Tamio GmbH, e-handelsplattformstjänster

Data Subjects: Dina anställda, entreprenörer, kunder och slutanvändare av din e-handelsplattform

Kategorier av Data: Användar-ID, e-postadresser, dokument, bilder, kalenderposter, uppgifter och annan elektronisk data som lämnas via våra tjänster

Särskilda kategorier: Eventuella särskilda kategorier av data som överförs av slutanvändare via tjänsterna

Behandlingsoperationer:

  • Tillhandahållande av e-handelsplattformstjänster
  • Upptäcka, förhindra och lösa säkerhetsproblem
  • Svara på kundsupportförfrågningar
  • Uppfylla skyldigheter enligt serviceavtalet

Term: Behandlingens varaktighet följer tjänsteavtalets term, med rimlig tillgång efter uppsägning för dataexport.

APPENDIX 2: Tekniska och organisatoriska säkerhetsåtgärder

Detta appendix utgör en del av Klausulerna.

Beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som implementerats av data importer i enlighet med Klausulerna 4(d) och 5(c) (eller dokument/lagstiftning bifogad):

Tamio GmbH följer för närvarande säkerhetspraxis som beskrivs i detta Appendix 2. Oaktat någon motpartsbestämmelse överenskommen av data exporter, kan Tamio GmbH ändra eller uppdatera dessa praxis efter eget gottfinnande förutsatt att sådan ändring och uppdatering inte leder till en väsentlig försämring av skyddet som dessa praxis erbjuder. Alla kapitalkonstruerade termer som inte definieras häri ska ha de betydelser som anges i överenskommelsen.

1. Åtkomstkontroll

Förening av Obehörig Produktåtkomst

Outsourcad behandling: Tamio GmbH värd sin tjänst med outsourcing av molninfrastrukturleverantörer. Dessutom upprätthåller Tamio GmbH avtal med leverantörer för att tillhandahålla tjänsten i enlighet med vår Databehandlingsavtal. Tamio GmbH förlitar sig på avtalsmässiga överenskommelser, sekretesspolicyer och leverantörsföljningsprogram för att skydda data som behandlas eller lagras av dessa leverantörer.

Fysisk och miljömässig säkerhet: Tamio GmbH värd sin produktinfrastruktur med multi-tenant, outsourcinginfrastrukturleverantörer. De fysiska och miljömässiga säkerhetskontrollerna granskas för ISO 27001-efterlevnad, bland andra certifieringar.

Autentisering: Tamio GmbH implementerade en enhetlig lösenordspolicy för sina kundprodukter. Kunder som interagerar med produkterna via användargränssnittet måste autentisera sig innan de får tillgång till icke-offentlig kunddata.

Auktorisering: Kunddata lagras i flerdock, som kunder kan komma åt endast via applikationsanvändargränssnitt och applikationsprogrammeringsgränssnitt. Kunder har inte direkt åtkomst till den underliggande applikationsinfrastrukturen. Auktoriseringsmodellen i varje TamioGmbH-produkt är utformad så att endast korrekt tilldelade individer kan få åtkomst till relevanta funktioner, vyer och anpassningsalternativ. Åtkomst till datamängder utförs genom att validera användarens behörigheter mot attributen som är kopplade till varje dataset.

API-åtkomst: Offentliga produkt-API:er kan nås med en API-nyckel eller genom OAuth-autentisering.

2. Förhindra obehörig produktanvändning

Tamio GmbH implementerar branschstandardens åtkomstkontroller och detekteringsförmåga för de interna nätverken som stöder dess produkter.

Aktiv kontroll av åtkomst: Nätverksåtkomstkontrollsmekanismer är utformade för att hindra nätverkstrafik som använder obehöriga protokoll från att nå produktinfrastrukturen. De tekniska åtgärderna varierar mellan infrastrukturleverantörer och inkluderar Virtual Private Cloud (VPC) implementationer, säkerhetsgruppstilldelning och traditionella brandväggsregler.

Intrångsdetektering och förebyggande: Tamio GmbH har implementerat en Web Application Firewall (WAF) för att skydda värdde kunders webbplatser och andra applikationer som är tillgängliga på internet. WAF är utformad för att identifiera och förhindra attacker mot offentligt tillgängliga nätverkstjänster.

Statisk kodanalys: Säkerhetsgranskningar av kod som lagras i Tamio GmbH:s källkodsförråd genomförs, med kontroll av kodningspraxis och identifierbara mjukvarufel.

Penetrationstester: Tamio GmbH upprätthåller relationer med bransch erkänta leverantörer av penetrationstester för fyra årliga tester. Syftet med testerna är att identifiera och lösa förutsebara angreppsvägar och potentiella missbruksscenarier.

Bug bounty: Ett bug bounty-program inbjuder och incentiverar oberoende säkerhetsforskare att etiskt upptäcka och avslöja säkerhetsbrister. Tamio GmbH implementerade ett bug bounty-program i ett försök att utvidga de tillgängliga möjligheterna att engagera sig med säkerhetsgemenskapen och förbättra produktens försvar mot sofistikerade attacker.

3. Begränsningar av privilegier och auktoriseringskrav

Produktåtkomst: En delmängd av Tamio GmbH:s anställda har åtkomst till produkterna och till kunddata via kontrollerade gränssnitt. Syftet med att ge åtkomst till en delmängd anställda är att tillhandahålla effektiv kundsupport, felsöka potentiella problem, upptäcka och reagera på säkerhetsincidenter och implementera datasäkerhet. Åtkomst möjliggörs genom "just in time"-förfrågningar om åtkomst; alla sådana förfrågningar loggas. Anställda beviljas åtkomst efter roll, och granskningar av högriskprivilegietilldelningar initieras dagligen. Anställdas roller granskas minst en gång var sjätte månad.

Bakgrundskontroller: Alla Tamio GmbH-anställda genomgår en tredjepartsbakgrundskontroll innan de erbjuds anställning, i enlighet med tillämpliga lagar. Alla anställda är skyldiga att uppföra sig på ett sätt som överensstämmer med företagets riktlinjer, sekretessrequirements och etiska standarder.

4. Överföringskontroll

Under transport: Tamio GmbH gör HTTPS-kryptering (även kallad SSL eller TLS) tillgänglig på alla sina inloggningsgränssnitt och gratis på varje kundwebbplats som hostas på Tamio GmbH:s produkter. Tamio GmbH:s HTTPS-implementation använder branschstandardalgoritmer och certifikat.

I vila: Tamio GmbH lagrar användarlösenord enligt policyer som följer branschstandardpraxis för säkerhet. Med verkan från 25 maj 2018 har Tamio GmbH implementerat teknologier för att säkerställa att lagrad data är krypterad i vila.

5. Indatakontroll

Upptäckt: Tamio GmbH designade sin infrastruktur för att logga omfattande information om systembeteende, mottagen trafik, systemautentisering och andra applikationsförfrågningar. Interna system aggregerar loggdata och varnar lämpliga anställda om skadliga, oavsiktliga eller avvikande aktiviteter. Tamio GmbH:s personal, inklusive säkerhets-, drift- och supportpersonal, är responsiva på kända incidenter.

Respons och spårning: Tamio GmbH upprätthåller ett register över kända säkerhetsincidenter som inkluderar beskrivning, datum och tider för relevanta aktiviteter och incidenthantering. Misstänkta och bekräftade säkerhetsincidenter utreds av säkerhets-, drift- eller supportpersonal; och lämpliga lösningssteg identifieras och dokumenteras. För alla bekräftade incidenter kommer Tamio GmbH att vidta lämpliga åtgärder för att minimera produkt- och kundskador eller obehörig avslöjande.

Kommunikation: Om Tamio GmbH blir medveten om olaglig åtkomst till kunddata som lagras inom dess produkter, kommer Tamio GmbH att: 1) meddela de berörda kunderna om incidenten; 2) tillhandahålla en beskrivning av de steg Tamio GmbH vidtar för att lösa incidenten; och 3) tillhandahålla statusuppdateringar till kundkontakten, som Tamio GmbH anser nödvändigt. Meddelande(n) om incidenter, om några, kommer att levereras till en eller flera av kundens kontakter i en form som Tamio GmbH väljer, vilket kan inkludera via e-post eller telefon.

6. Tillgänglighetskontroll

Infrastrukturtillgänglighet: Infrastrukturleverantörerna använder kommersiellt rimliga ansträngningar för att säkerställa minst 99,95% drifttid. Leverantörerna upprätthåller minst N+1 redundans för el-, nätverks- och HVAC-tjänster.

Feltolerans: Säkerhetskopierings- och replikeringsstrategier är utformade för att säkerställa redundans och failover-skydd under ett betydande bearbetningsfel. Kunddata säkerhetskopieras till flera hållbara datalager och replikeras över flera tillgänglighetszoner.

Online-replikor och säkerhetskopior: Där det är möjligt är produktionsdatabaser utformade för att replikera data mellan minst 1 primär och 1 sekundär databas. Alla databaser säkerhetskopieras och underhålls med minst branschstandardmetoder.

Tamio GmbH:s produkter är utformade för att säkerställa redundans och sömlös failover. Serverinstanserna som stödjer produkterna är också arkitekterade med målet att förhindra enskilda felpunkter. Denna design hjälper Tamio GmbH:s verksamhet att underhålla och uppdatera produktapplikationerna och backend samtidigt som stilleståndstiden begränsas.


Tamio GmbH
Rahmannstr. 11
65760 Eschborn, Germania
TVA: DE329477216
Director General: George Spitaliotis