Cloud-applikationer til adgangskontrol
Databehandlingsaftale
Denne databehandlingsaftale (“DPA”) supplerer Saltos Servicevilkår for cloud-applikationer til adgangskontrol, Salto Space Software licensaftale eller Salto XS4 Face servicevilkår, som relevant, som opdateret fra tid til anden indgået mellem kunden og Salto i forbindelse med behandling af personlige oplysninger. Denne databehandlingsaftale er en aftale indgået mellem dig og den enhed, du repræsenterer (“kunde”, “du” eller “din”) og Salto Systems, S.L. (herefter benævnt “Salto”).
1 Definitioner
1.1. I forbindelse med denne databehandlingsaftale betyder de vilkår, der er angivet heri, følgende:
- Gældende databeskyttelseslovgivning: Betyder alle love og bestemmelser, der gælder for Saltos behandling af personlige oplysninger i henhold til aftalen.
- Kunde: En juridisk eller fysisk person, der fungerer som fagperson eller virksomhed (er ikke forbruger), og som indgår aftalen med Salto om brug og adgang til tjenesterne.
- Kundekontooplysninger: Personlige oplysninger, der vedrører kundens forhold til Salto, herunder navne eller kontaktoplysninger på medarbejdere, repræsentanter eller kontaktpersoner hos kunden.
- Dataansvarlig (også som dataansvarlig): Den fysiske eller juridiske person, offentlige myndighed, agentur eller andet organ, der alene eller sammen med andre bestemmer formålene med og midlerne til behandling af personlige oplysninger.
- Databehandlingsaftale (også som DPA): Betyder denne supplerende aftale indgået af Salto og kunden (hvis påkrævet af den til enhver tid gældende lovgivning), og som udgør grundlaget i henhold til hvilket, Salto vil behandle personlige oplysninger.
- Den registrerede: En identificeret eller identificerbar fysisk person.
- International dataoverførsel: Behandling, der indebærer overførsel af de personlige oplysninger uden for Det Europæiske Økonomiske Samarbejdsområde, enten ved videregivelse af oplysninger eller kommunikation eller ved behandling af personlige oplysninger udført af en databehandler, der er etableret uden for EØS på vegne af en dataansvarlig, der er etableret i EØS.
- Personlige oplysninger: Betyder alle personlige oplysninger vedrørende en identificeret eller identificerbar fysisk person, der introduceres, indsamles eller indhentes via platformen.
- Databeskyttelsespolitik: Betyder Saltos databeskyttelsespolitik.
- Behandling: Betyder enhver handling eller sæt af handlinger, der udføres på personlige oplysninger eller på sæt af personlige oplysninger, uanset om det sker ved hjælp af automatiserede midler, såsom indsamling, registrering, organisering, strukturering, opbevaring, tilpasning eller ændring, retablering, konsultation, brug, videregivelse via transmission, formidling eller på anden måde gøres tilgængelig, justering eller kombination, begrænsning, sletning eller tilintetgørelse.
- Databehandler (også “databehandler”): En fysisk eller juridisk person, offentlig myndighed, agentur eller andet organ, der behandler personlige oplysninger på vegne af den dataansvarlige.
- Sikkerhedshændelse: Uautoriseret eller ulovlig adgang til eller erhvervelse, ændring, brug, videregivelse eller tilintetgørelse af brugeroplysninger.
- Standardkontraktbestemmelser (også betegnet SCC): Betyder den overførselsmekanisme, der er godkendt af Europa-Kommissionen via dennes gennemførelsesafgørelse (EU) 2021/914 af 4. juni 2021 om standardkontraktbestemmelser for overførsel af personlige oplysninger til tredjelande i henhold til Europa-Parlamentets og Rådets forordning (EU) 2016/679.
- Løbetid: Betyder den tidsperiode, hvori databehandlingsaftalen vil være gyldig, eksigibel og gældende som angivet i afsnit 3.
- Bruger(e): Fysisk(e) person(er), der er autoriseret af kunden til at få adgang til og bruge tjenesterne.
- Brugeroplysninger: Personlige data om brugere.
1.2. Ethvert begreb, der bruges i denne databehandlingsaftale og ikke er inkluderet i listen ovenfor, vil have den betydning, der er tildelt det i servicevilkårene, og hvis det ikke er defineret deri, skal det have den betydning, der er fastlagt i artikel 4 i den generelle forordning om databeskyttelse.
2. Anvendelighed og ændringer
2.1. Denne databehandlingsaftale gælder, når Salto behandler brugeroplysninger på vegne af kunden. I denne sammenhæng fungerer Salto som databehandler for disse data, mens kunden kan fungere som dataansvarlig eller databehandler for brugeroplysninger. Når kunden fungerer som databehandler, vil Salto være underdatabehandler.
2.2. Denne databehandlingsaftale er en del af aftalen, hvori den er inkorporeret ved henvisning.
3. Løbetid
Denne databehandlingsaftale er gældende i den periode, som er nødvendig for at levere tjenesterne til kunden i henhold til aftalen. Ikke desto mindre er parterne enige om, at alle punkter i nærværende databehandlingsaftale, som udtrykkeligt eller underforstået er tilsigtet fortsat at være gældende efter dens opsigelse, fortsat vil være gældende og bindende for parterne i overensstemmelse med det relevante punkt.
4. Ansvarsbegrænsning
4.1. Hver parts erstatningsansvar er underlagt afsnittet Ansvar i Saltos servicevilkår, som tilladt ved gældende lov.
5. Parternes forhold
5.1. I det omfang Salto har adgang til brugeroplysninger, vil Salto behandle dem som databehandler, mens kunden kan fungere som dataansvarlig eller databehandler for brugeroplysningerne. Når kunden fungerer som databehandler, vil Salto være underdatabehandler.
5.2. Uanset ovenstående vil Salto fungere som dataansvarlig med hensyn til kundekontooplysninger og andre specifikke oplysninger som beskrevet for hver type af tjenester i databeskyttelsespolitikken. Denne behandling skal udføres i overensstemmelse med og som oplyst i databeskyttelsespolitikken.
6. Salto som databehandler
6.1. Formål med behandlingen: De personlige oplysninger, der behandles af Salto på vegne af kunden, behandles kun for at udføre leveringen af tjenesterne i overensstemmelse med aftalen, hvilket kan indebære tekniske supportaktiviteter, hvis kunden anmoder om det i overensstemmelse med servicevilkårene. Hvis databehandleren finder det nødvendigt at behandle personlige oplysninger til et andet formål, skal denne indhente forudgående skriftlig tilladelse fra kunden. Hvis en sådan tilladelse ikke indhentes, må behandlingen ikke finde sted.
6.2. Beskrivelse af behandlingen: Salto behandler personlige oplysninger i overensstemmelse med specifikationerne i bilag 1, herunder karakter af og formål med behandlingen, behandlingsaktiviteter, behandlingens varighed, typer af personlige oplysninger og kategorier af registrerede.
6.3. Kundens forpligtelser: Kunden er ansvarlig for at sikre, at denne overholder gældende databeskyttelseslovgivning i sin brug af tjenesterne og sin egen behandling af personlige oplysninger, og at kunden har ret til at give Salto adgang til personlige oplysninger til behandling i overensstemmelse med aftalen og denne databehandlingsaftale. Kunden er ansvarlig for nøjagtigheden af de personlige oplysninger, der stilles til rådighed for Salto.
6.4. Kundens instruktioner: Databehandleren forpligter sig til at behandle brugeroplysninger i overensstemmelse med kundens instruktioner som angivet i aftalen, og som ellers nødvendigt for at levere tjenesterne til kunden, og hvor det er nødvendigt at gøre det for at overholde gældende lov. Yderligere instruktioner ud over ovennævnte skal aftales skriftligt af parterne. Kunden skal sikre, at enhver behandling, der udføres i henhold til dennes instruktioner, er i overensstemmelse med gældende love og forordninger. Salto forpligter sig til at informere kunden, hvis denne bliver opmærksom på eller med rimelighed mener, at kundens instruktioner overtræder gældende lov.
6.5. Fortrolighed: Salto sikrer, at dennes medarbejdere, der beskæftiger sig med behandling af brugeroplysninger i henhold til aftalen, informeres og er bundet af fortrolighedsforpligtelser.
6.6. Sikkerhedsforanstaltninger: Salto garanterer implementering af passende tekniske og organisatoriske foranstaltninger for at opnå et sikkerhedsniveau, der er passende for risikoen, under hensyntagen til den nyeste teknologi, omkostningerne ved implementeringen såvel som karakteren, omfanget, sammenhængen og formålene med behandlingen såvel som risiciene for varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder som følge af behandlingen.
Ved vurderingen af det passende sikkerhedsniveau vil Salto tage højde for de risici, der forekommer ved behandlingen, især i forbindelse med utilsigtet eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personlige oplysninger, der sendes, opbevares eller på anden måde behandles, eller uautoriseret kommunikation eller adgang til de pågældende oplysninger.
Bilag 2 indeholder yderligere oplysninger om Saltos tekniske og organisatoriske sikkerhedsforanstaltninger til beskyttelse af brugeroplysninger.
6.7. Underentreprise: Kunden bemyndiger udtrykkeligt Salto til at udlicitere til de virksomheder, der udgør en del af Salto-koncernen, og i den forbindelse give dem adgang til de personlige oplysninger efter behov for at levere alle eller en del af tjenesterne, herunder vedligeholdelse og teknisk support efter kundens anmodning.
Derudover bemyndiger kunden udtrykkeligt databehandleren til at ansætte yderligere underdatabehandlere (herefter benævnt “underdatabehandlere”), med forbehold af følgende bestemmelser:
- Salto har en liste over sine underdatabehandlere tilgængelig her. Salto skal holde denne liste opdateret og inkludere enhver ny underdatabehandler mindst tredive (30) dage, før starten på samarbejdet med den pågældende. Salto kan give kunden en mekanisme til at abonnere på notifikationer om nye underdatabehandlere. Kunden kan med rimelighed gøre indsigelse mod en eventuel ny underdatabehandler i perioden på tredive (30) dage fra opdateringen af listen. Hvis kunden med rimelighed gør indsigelse mod en ny underdatabehandler, kan enten kunden eller Salto opsige den del af aftalen, der er relateret til de tjenester, som eventuelt ikke længere kan leveres uden den fravalgte nye underdatabehandler.
- Salto forpligter sig til, at alle underdatabehandlere er kontraktligt bundet af de samme eller tilsvarende databeskyttelsesforpligtelser som dem, der er fastsat i denne databehandlingsaftale med databehandleren.
- Salto forbliver fuldt ud ansvarlig over for kunden for opfyldelse af underdatabehandlerens forpligtelser.
6.8. Registreredes rettigheder: Under hensyntagen til karakteren af behandlingen vil Salto bistå kunden med passende tekniske og organisatoriske foranstaltninger, i det omfang det er muligt, for at opfylde kundens forpligtelse til at svare på anmodninger om udøvelse af den registreredes databeskyttelsesrettigheder. Hvis en registreret fremsætter en anmodning direkte til Salto i forbindelse med brugeroplysninger, vil Salto uden unødig forsinkelse videresende den til kunden til den e-mailadresse, der er registreret på platformen.
6.9. Bistand: Under hensyntagen til karakteren af behandlingen og de oplysninger, der er tilgængelige for Salto, vil Salto med rimelighed samarbejde med kunden om udarbejdelse af konsekvensanalyser vedrørende databeskyttelse og konsultationer med tilsynsmyndigheder, der kræves i overensstemmelse med databeskyttelsesbestemmelserne.
6.10. Returnering eller sletning af brugeroplysninger: Salto vil slette eller returnere alle de personlige oplysninger, der behandles på dennes vegne, til kunden efter sidstnævntes valg efter afslutningen af leveringen af tjenesterne, og slette alle eksisterende kopier, medmindre opbevaring af de personlige oplysninger er påkrævet ved lov. Som en del af tjenesterne vil Salto, når løbetiden for levering af tjenesterne bestående af smart lås-løsninger til døre og adgangskontroller er udløbet, blokere de personlige oplysninger i en periode på en (1) måned for at muliggøre genaktivering af de pågældende tjenester.
6.11. Revisioner: Salto vil, på kundens anmodning og for kundens regning, med rimelige mellemrum og under ingen omstændigheder mere end én gang (1) hvert år, stille de oplysninger til rådighed, der er nødvendige for at påvise overholdelse af gældende databeskyttelsesforpligtelser, samt give mulighed for at udføre revisioner. Kunden skal give Salto mindst to (2) måneders forudgående skriftligt varsel om enhver påtænkt revision. Denne revision kan udføres enten af kunden eller af en uafhængig revisor udpeget af kunden, der er bundet af rimelige fortrolighedsbegrænsninger, og som under ingen omstændigheder må være, eller vil handle på vegne af, en konkurrent til Salto. Omfanget af revisionen skal begrænses til Saltos systemer, processer og dokumentation, der er relevant for behandlingen på vegne af kunden, og rapporterne og resultaterne af revisionen vil være fortrolige oplysninger tilhørende Salto. Ved afslutningen af revisionen skal kunden informere Salto om eventuelle opfattede manglende overholdelse eller sikkerhedsproblemer, der opdages under revisionen.
6.12. Sikkerhedshændelse: Salto forpligter sig til at underrette kunden via e-mail til den e-mailadresse, kunden har registreret på platformen, uden unødig forsinkelse efter at være blevet opmærksom på eventuel uautoriseret eller ulovlig adgang til eller erhvervelse, ændring, brug, videregivelse eller tilintetgørelse af brugeroplysninger (herefter benævnt “sikkerhedshændelse”). Salto vil yde rimelig assistance til kunden i tilfælde af, at kunden i henhold til gældende databeskyttelseslovgivning er forpligtet til at underrette en tilsynsmyndighed eller eventuelle registrerede, der påvirkes af en sikkerhedshændelse.
6.13. Overførsel af personlige oplysninger: I visse tilfælde kan behandlingen af personlige oplysninger udføres uden for Det Europæiske Økonomiske Samarbejdsområde (EØS), især:
- Når kunden tilgår platformen fra et land uden for EØS,
- Når kunden abonnerer på tekniske døgnsupporttjenester, hvilket indebærer, at teknikere bosat i visse lande uden for EØS er involveret i løsning af hændelsen, og
- I forbindelse med behandlingen, der udføres af underdatabehandlerne, som er angivet nedenfor.
I ovennævnte tilfælde vil overførsler af brugeroplysninger fra EØS til uden for EØS (enten direkte eller via videreoverførsel) ske på grundlag af Europa-Kommissionens afgørelser om tilstrækkelighed. I det omfang de områder, hvortil brugeroplysningerne overføres, ikke har tilstrækkelige standarder for databeskyttelse som fastlagt af Europa-Kommissionen, accepterer parterne, at standardkontraktbestemmelserne finder anvendelse og vil blive anset for at være indgået (og indarbejdet i denne databehandlingsaftale ved denne henvisning) og udfyldt som angivet nedenfor:
(i) Modul tre (databehandler til databehandler) i SCC vil gælde, hvis kunden er databehandler af brugeroplysninger uden for EØS, og Salto fungerer som underdatabehandler og behandler brugeroplysninger i EØS.
(ii) Modul fire (databehandler til dataansvarlig) i SCC vil gælde, hvor kunden som dataansvarlig behandler brugeroplysninger uden for EØS, og Salto er databehandler, der behandler brugeroplysninger i EØS.
I forbindelse med hvert enkelt modul i standardkontraktbestemmelserne, hvor relevant:
- Punkt 7: Den valgfrie dockingklausul finder ikke anvendelse.
- Punkt 9: Valgmulighed 2 gælder med den opsigelsesperiode, der er fastsat i punkt 6.7 i denne databehandlingsaftale.
- Punkt 11: Det valgfrie afsnit vedrørende indgivelse af klager fra registrerede til uafhængige bilæggelsesorganer finder ikke anvendelse,
- Punkt 17: Valgmulighed 1 vil gælde, og standardkontraktbestemmelserne vil være underlagt spansk lovgivning,
- Punkt 18 (b): Enhver tvist, der opstår som følge af standardkontraktbestemmelserne, skal afgøres ved domstolene i Spanien,
- Bilag I, del A:
- Dataeksportør: Salto.
- Kontaktoplysninger: privacy@saltosystems.com
- Dataeksportørens rolle: Dataeksportørens rolle er angivet i afsnit 4 (Parternes forhold) i denne databehandlingsaftale.
- Underskrift og dato: Ved indgåelse af aftalen anses dataeksportøren for at have underskrevet disse standardkontraktbestemmelser, der er inkorporeret heri, herunder deres bilag, på datoen for accept af aftalen.
- Dataimportør: Kunden
- Kontaktoplysninger: Den e-mailadresse, som kunden har angivet for at melde sig til tjenesten, vil blive betragtet som kontakt-e-mailen i forbindelse hermed.
- Dataimportørens rolle: Dataimportørens rolle er angivet i afsnit 2 i denne databehandlingsaftale.
- Underskrift og dato: Ved indgåelse af aftalen anses dataimportøren for at have underskrevet disse standardkontraktbestemmelser, der er indarbejdet heri, herunder deres bilag, pr. ikrafttrædelsesdatoen for aftalen.
- Bilag I, del B:
- Kategorierne af registrerede, overførte følsomme oplysninger, karakteren af behandlingen, formålet med behandlingen og den periode, hvor de personlige oplysninger opbevares, er beskrevet i bilag 1 i denne databehandlingsaftale.
- Overførslens hyppighed er på løbende basis i hele aftalens løbetid til levering af de tjenester, der består af smart lås-løsninger til døre og adgangskontroller, og til vedligeholdelses- og teknisk supporttjenester sker overførslen på individuel basis.
- Overførsler til underdatabehandlere, genstanden for, karakteren og varigheden af behandlingen er angivet på https://saltosystems.com/en/legal-data/software-terms/access-control-cloud-applications/list-of-sub-pocessors/.
- Bilag I, del C: Den spanske databeskyttelsesmyndighed (Agencia Española de Protección de Datos) vil være den kompetente tilsynsmyndighed.
- Bilag II: Bilag 2 til denne databehandlingsaftale.
Kunden indvilliger i at underrette Salto, hvis denne modtager en juridisk bindende anmodning fra en offentlig myndighed, herunder retslige myndigheder, i henhold til lovgivningen i destinationslandet om videregivelse af personlige oplysninger, der overføres i henhold til SCC. En sådan underretning skal ske mindst 48 timer i forvejen, og under alle omstændigheder før eventuel videregivelse finder sted, og den skal indeholde oplysninger om de personlige oplysninger, der anmodes om, den anmodende myndighed, retsgrundlaget for anmodningen og det svar, der blev givet.
I tilfælde af eventuel uoverensstemmelse mellem standardkontraktbestemmelserne og eventuelle andre vilkår i aftalen eller databeskyttelsespolitikken, skal bestemmelserne i standardkontraktbestemmelserne have forrang.
6.14. Jurisdiktionsspecifikke vilkår: I det omfang Salto behandler personlige oplysninger, der stammer fra og er beskyttet af gældende databeskyttelseslovgivning i en af de jurisdiktioner, der er angivet i bilag 3 i denne databehandlingsaftale, vil vilkårene angivet i nærværende bilag 3 med hensyn til de(n) gældende jurisdiktion(er) gælde ud over vilkårene i denne databehandlingsaftale.
BILAG 1 | Oplysninger om behandling
A. Cloud-applikationer til adgangskontrol
- Behandlingens karakter og formål
Salto behandler personlige oplysninger efter behov for at levere tjenesterne i henhold til aftalen. I denne forstand vil Salto behandle brugeroplysninger som databehandler i henhold til kundens instruktioner som angivet i afsnit 6.4 i denne databehandlingsaftale.
Når kunden kontraherer Cloud-applikationer til adgangskontrol, vil Salto specifikt behandle personoplysninger med følgende formål:
- Til tilmelding af slutbrugeren i applikationen.
- Til at udføre adgangskontroltjenesterne (herunder ved hjælp af ansigtsgenkendelsesteknologier hvis funktionerne i Salto XS4 Face er kontraherede). Til at levere de nødvendige vedligeholdelses- og tekniske supporttjenester.
- Til at modtage og overføre brugeroplysningerne fra og til tredjepartsplatformen, når kunden bruger tjenesterne via en tredjepartsplatform og/eller har aktiveret integrationen mellem platformen og tredjepartsplatformen.
- Til at modtage og overføre brugeroplysningerne til og fra tredjepartsplatformen, hvis kunden bruger tjenesterne via en tredjepartsplatform og/eller har aktiveret integrationen mellem platformen og tredjepartsplatformen.
- Behandlingsaktiviteter
Indsamling, registrering, bevarelse, overførsel til kunden og sletning eller tilintetgørelse af personlige oplysninger, i det omfang det er nødvendigt for passende levering af tjenesterne.
Hvis kunden bruger tjenesterne via en tredjepartsplatform og/eller har aktiveret integrationen mellem platformen og tredjepartsplatformen, vil behandlingsaktiviteterne også omfatte overførsel og indsamling af brugeroplysninger til og fra tredjepartsplatformen. I dette tilfælde anerkender kunden, at udbyderen af tredjepartsplatformen vil fungere som en ikke-associeret, uafhængig tjenesteudbyder og databehandler, der behandler brugeroplysningerne på vegne af kunden og følger dennes anvisninger. For at undgå tvivl er Salto ikke ansvarlig for databeskyttelse, sikkerhed eller integritet af sådanne data, der behandles inden for tredjepartsplatformen. Denne datakommunikation udføres af Salto på vegne af kunden, som er ansvarlig for at overholde de gældende lovkrav for behandlingen som dataansvarlig eller databehandler.
- Varighed af behandlingen
Salto behandler brugeroplysninger på vegne af kunden i tjenesternes varighed som fastlagt i aftalen. Som en del af tjenesterne vil Salto, når varigheden af leveringen af tjenesterne bestående af smart lås-løsninger til døre og adgangskontroller er udløbet, blokere de personlige oplysninger i en periode på en (1) måned for at muliggøre genaktivering af de pågældende tjenester.
Med hensyn til levering af vedligeholdelses- og tekniske supporttjenester vil de brugeroplysninger, som Salto har adgang til, kun blive behandlet så længe det er nødvendigt for at løse problemet.
Når aftalen er opsagt, kan Salto opbevare en kopi af de personlige oplysninger, der er behørigt blokeret inden for forældelsesfristen for relaterede overtrædelser. Når denne periode er udløbet, sletter Salto alle kopier af de personlige oplysninger.
- Kategorier af registrerede
Brugeroplysninger: Kundens slutbrugere.
- Kategorier af personlige oplysninger
- Identifikationsoplysninger
- Kontaktoplysninger
- Adgangstilladelser
- Registrering af adgang
- Profilbillede (valgfrit)
- Følsomme oplysninger eller særlige kategorier af oplysninger
Salto behandler ikke særlige kategorier af oplysninger på vegne af kunden, da behandlingen relateret til eventuel ansigtsgenkendelse finder sted lokalt (uden Saltos deltagelse i behandlingen).
B. Space-system integreret med Salto XS4 Face
-
Behandlingens karakter og formål
Salto behandler personlige oplysninger efter behov for at levere tjenesterne i henhold til aftalen. I denne forstand vil Salto behandle brugeroplysninger som databehandler i henhold til kundens instruktioner som angivet i afsnit 6.4 i denne databehandlingsaftale.
Når kunden kontraherer Salto XS4 Face med henblik på brug af ansigtsgenkendelsesteknologien, der er integreret i Space-systemet, vil Salto helt konkret behandle personoplysninger med følgende formål:
-
Til administration af kundens abonnementer og brugere af Salto XS4 Face-konsollen (dvs. facilitetsadministratorer).
-
Til tilmelding af slutbrugeren.
-
Til at levere de nødvendige vedligeholdelses- og tekniske supporttjenester.
-
Behandlingsaktiviteter
Indsamling, brug, overførsel til kunden og sletning eller tilintetgørelse af personlige oplysninger, i det omfang det er nødvendigt for passende levering af tjenesterne
-
Varighed af behandlingen
Salto behandler brugeroplysninger på vegne af kunden i tjenesternes varighed som fastlagt i aftalen. Som en del af tjenesterne vil Salto, når varigheden af leveringen af tjenesterne bestående af adgangskontrol drevet af ansigtsgenkendelsesteknologi er udløbet, blokere de personlige oplysninger i en periode på tre (3) måneder for at muliggøre genaktivering af de pågældende tjenester.
Med hensyn til levering af vedligeholdelses- og tekniske supporttjenester vil de brugeroplysninger, som Salto har adgang til, kun blive behandlet så længe det er nødvendigt for at løse problemet.
Når aftalen er opsagt, kan Salto opbevare en kopi af de personlige oplysninger, der er behørigt blokeret inden for forældelsesfristen for relaterede overtrædelser. Når denne periode er udløbet, sletter Salto alle kopier af de personlige oplysninger.
-
Kategorier af registrerede
Brugerdata: Kundens slutbrugere og systemadministratorer.
-
Kategorier af personlige oplysninger
-
Kontaktoplysninger: e-mailadresse på systemadministratorer og slutbrugere.
-
Navn på systemadministratorer.
-
Følsomme oplysninger eller særlige kategorier af oplysninger
Salto behandler ikke særlige kategorier af oplysninger på vegne af kunden, da behandlingen relateret til eventuel ansigtsgenkendelse finder sted lokalt (uden Saltos deltagelse i behandlingen).
BILAG 2 | Tekniske og organisatoriske sikkerhedsforanstaltninger
De tekniske og organisatoriske foranstaltninger, der gælder, er beskrevet i afsnittet om det dedikerede websted .
BILAG 3 | Jurisdiktionsspecifikke vilkår
I det omfang Salto behandler personlige oplysninger, der stammer fra og er beskyttet af gældende databeskyttelseslovgivning i en af de jurisdiktioner, der er angivet i bilag 3 i nærværende databehandlingsaftale, vil de vilkår, der er angivet i dette bilag 3 med hensyn til de(n) gældende jurisdiktion(er), gælde ud over vilkårene i denne databehandlingsaftale.
- Californien
- Definitionen af gældende databeskyttelseslovgivning omfatter California Consumer Privacy Act (CCPA).
- Definitionen af personlige oplysninger omfatter “personoplysninger” som defineret i gældende databeskyttelseslovgivning.
- Definitionen af registrerede omfatter “forbruger” som defineret i gældende databeskyttelseslovgivning. Alle registreredes rettigheder, som beskrevet i afsnit 6.8 (Registreredes rettigheder) i denne databehandlingsaftale, gælder for forbrugerrettigheder.
- Definitionen af den dataansvarlige omfatter “forretning” som defineret i gældende databeskyttelseslovgivning.
- Definitionen af databehandler omfatter "tjenesteudbyder" som defineret i gældende databeskyttelseslovgivning.
- Salto vil kun behandle, opbevare, bruge og videregive personlige oplysninger, hvis det er nødvendigt for at levere tjenesterne i henhold til aftalen, hvilket udgør et forretningsformål.
- Salto vil ikke sælge brugeroplysninger.
- Salto vil ikke opbevare, bruge eller videregive brugeroplysninger til andre kommercielle formål end levering af tjenesterne.
- Salto vil ikke opbevare, bruge eller videregive brugeroplysninger uden for aftalens anvendelsesområde.
- Salto certificerer, at dennes underdatabehandlere, som beskrevet i afsnit 6.7 i denne databehandlingsaftale, er tjenesteudbydere i henhold til gældende databeskyttelseslovgivning, og at de forud for indgåelse af kontrakt er evalueret korrekt.
- Schweiz
- Definitionen af gældende databeskyttelseslovgivning omfatter den føderale lov om databeskyttelse af 1992 (FADP).
- Definitionen af personlige oplysninger omfatter personlige oplysninger vedrørende juridiske enheder.
- Storbritannien
- Definitionen af gældende databeskyttelseslovgivning omfatter Storbritanniens generelle forordning om databeskyttelse (UK GDPR).
- Hvis den dataansvarlige, hvad angår afsnit 6.3 af databehandlingsaftalen, er etableret i Storbritannien, og Salto overfører brugeroplysninger fra Storbritannien til uden for Storbritannien (enten direkte eller via videreoverførsel) til lande uden tilstrækkelighedsbestemmelser, skal en sådan overførsel være dækket af SCC sammen med det internationale dataoverførselstillæg eller det godkendte tillæg, som vil være skabelontillæg B.1.0 udstedt af ICO og forelagt Parlamentet i overensstemmelse med s119A i databeskyttelsesloven af 2018 den 28. januar 2022 (herefter benævnt: “IDTA”), som er inkorporeret i denne databehandlingsaftale ved henvisning.
- Med hensyn til IDTA:
- Tabel 1 og 2 udfyldes med punkt 6.13 i denne databehandlingsaftale.
- Med hensyn til tabel 2 kombineres personlige oplysninger modtaget fra importøren ikke med personlige oplysninger indsamlet af eksportøren
- Tabel 4: Eksportøren.
- Australien
- Definitionen af gældende databeskyttelseslovgivning omfatter Australian Federal Privacy Act 1988 og Australian Privacy Principles.
Sidste opdatering: December 2024
© Salto Systems, S.L., 2024. Alle rettigheder forbeholdes.