Prenumerationsavtal för Acre Intrusion Connect

Download

Prenumerationsavtal för Acre Intrusion Connect

Datum: 15 maj 2024

av och mellan

Vanderbilt International AB
Englundavägen 7
Fält 1275
17124 Solna
Sverige

och

Du, slutanvändaren eller tjänsteleverantören, prenumererar på och/eller använder Acre Intrusion Connect Software Service

Prenumerationsavtal

§ 1 Tillämpningsområde

  1. Följande Prenumerationsavtal gäller för Acre Intrusion Connect Software Service och tillhörande tjänster som tillhandahålls av Vanderbilt International (SWE) AB (nedan kallat ”Vanderbilt”) till Slutanvändare och/eller Tjänsteleverantörer.
  2. Vid tillämpningen av detta abonnemangsavtal
    a. ”Acre Intrusion Connect Software Service” avser den molnbaserade lösningen som är utformad för övervakning, hantering och underhåll av Acre Intrusion Panels på distans; för närvarande omfattar Acre Intrusion Connect Software Service en webbapplikation (via internetwebbläsare) samt mobilappar för Android- och Apple-plattformen;
    b. en ”Acre Intrusion Panel” ska bestå av minst en del av Acre Intrusion-panelhårdvara som tillverkas eller distribueras av Acre-koncernen (se https://acresecurity.com/);
    c. ”Slutanvändare” avser individer eller enheter som använder Acre Intrusion Connect Software Service för att övervaka, hantera och underhålla en Acre Intrusion Panel för egen räkning;
    d. ”Tjänsteleverantörer” avser individer eller enheter som använder Acre Intrusion Connect Software Service för att övervaka, hantera och underhålla Acre Intrusion Panels på uppdrag av Slutanvändare eller för att hjälpa Slutanvändare att göra det; och
    e. ”Kunder” avser antingen Slutanvändare respektive Tjänsteleverantörer.
  3. Detta Prenumerationsavtal ska åsidosätta alla erbjudanden, order, bekräftelser eller andra liknande dokument eller avtal som innehåller avvikande villkor eller hänvisar till andra villkor än detta Prenumerationsavtal, inklusive Kundens allmänna villkor.

§ 2 Tjänsternas omfattning

  1. Vanderbilt ska tillhandahålla Acre Intrusion Connect Software Service enligt Vanderbilts servicespecifikationer, om inte annat överenskommits. Trots ovanstående kan Vanderbilt kontinuerligt utveckla Acre Intrusion Connect Software Service, utan att vara skyldig att göra det. Detta ska göras bland annat för att ta hänsyn till tekniska framsteg, förbättra säkerheten, funktionaliteten och driften av Acre Intrusion Connect Software Service eller för att säkerställa efterlevnad av tillämplig lag (”Kontinuerlig innovation”). Sådana ändringar ska vara tillåtna utan kundens samtycke om ämnet och prestandan för Acre Intrusion Connect Software Service åtminstone upprätthålls och kundens intressen inte oskäligt försämras. Vanderbilt ska regelbundet informera om den kontinuerliga innovationen, t.ex. via e-post, genom release-anteckningar eller inom Acre Intrusion Connect Software Service själv.
  2. Enligt tillämpliga servicespecifikationer inkluderar systemtillgängligheten för Acre Intrusion Connect Software Service regelbundet schemalagda underhållsperioder under vilka det inte finns någon skyldighet att utföra.
  3. Platsen för prestanda och överföring av risk för Acre Intrusion Connect Software Service ligger vid överföringspunkten för internetanslutningen till respektive server som används av Vanderbilt för att tillhandahålla Acre Intrusion Connect Software Service.

§ 3 Användningsrätt

  1. Slutanvändaren och/eller slutanvändarens eventuella anställda ska beviljas en icke-exklusiv rätt att använda Acre Intrusion Connect Software Service för att övervaka, hantera och underhålla en Acre Intrusion Panel för egen räkning, förutsatt att han och/eller hans anställda samt respektive Acre Intrusion Panel är registrerade i Acre Intrusion Connect Software Service.
  2. Tjänsteleverantören och/eller Tjänsteleverantörens eventuella anställda ska beviljas en icke-exklusiv rätt att använda Acre Intrusion Connect Software Service för att övervaka, hantera och underhålla Acre Intrusion Panels på uppdrag av tredje part eller för att hjälpa tredje part att göra det, förutsatt att han och/eller hans anställda samt respektive Acre Intrusion Panels och tredje parter är registrerade i Acre Intrusion Connect Software Service. För att undvika tvivel kan tjänsteleverantören debitera dessa tredje parter för sina tjänster eller inte.
  3. Med avseende på Acre Intrusion Connect Software Service-mobilappar ska rätten att använda inkludera nedladdning, installation och körning av dessa appar för de ändamål som nämns i punkterna 1. och 2 ovan.
  4. Rätten att använda Acre Intrusion Connect Software Service är inte överförbar och berättigar inte slutanvändaren eller tjänsteleverantören att bevilja rättigheter till tredje part.
  5. Användning av Acre Intrusion Connect Software Service för andra ändamål än de som beskrivs ovan är förbjudet. Kunden får i synnerhet inte kopiera, använda, distribuera eller på annat sätt tillgängliggöra allt innehåll i Acre Intrusion Connect Software Service, inklusive men inte begränsat till programvara, bilder, grafer, texter och/eller varumärken.

§ 4 Ersättning

  1. För slutanvändare ska Acre Intrusion Connect Software Service vara kostnadsfri, om inte annat överenskommits.
  2. För tjänsteleverantörer debiteras Acre Intrusion Connect Software Service enligt tillämplig prenumerationsplan eller annat överenskommet pris.
  3. Återkommande abonnemangsavgifter ska betalas i förskott under de två första veckorna av varje prenumerationsperiod.
  4. Alla priser är exklusive moms, andra skatter och/eller myndighetsavgifter, som ska betalas utöver priserna, om tillämpligt.
  5. Om Kunden försummar betalning av vederbörlig ersättning har Vanderbilt rätt till ränta från den dag då betalningen förfallit. Räntesatsen ska vara 8 procentenheter högre än den ränta för Europeiska centralbankens huvudsakliga refinansieringsfacilitet som gäller på förfallodagen för betalningen. Vid försenad betalning kan Vanderbilt, efter att ha meddelat Kunden, avbryta fullgörandet av avtalet tills betalning mottagits eller säga upp avtalet och kräva ersättning för den förlust Vanderbilt har ådragit sig.
  6. Kunden får inte, baserat på ett krav som den har mot Vanderbilt, behålla hela eller en del av det förfallna beloppet, eller kvitta någon av den betalningen, utan Vanderbilts föregående godkännande.

§ 5 Dataskydd och databehandling

Bestämmelserna i avtalet om behandling av uppgifter för räkning i tillägg A ska utgöra en integrerad del av detta avtal och ska tillämpas på behandling av personuppgifter.

§ 6 Kundens skyldigheter

  1. Kunden åtar sig att använda Acre Intrusion Connect Software Service endast för juridiska ändamål eller tjänster. Genom att göra detta ska han följa lagarna i Sverige såväl som lagarna i de länder där kunden är belägen, liksom lagarna i de länder där respektive Acre Intrusion Panel (er) och/eller servade tredje parter är belägna.
  2. Kunden ska ersätta Vanderbilt, dess dotterbolag samt dess leverantörer från fordringar som hävdats av tredje part på grund av intrång i rättigheter, särskilt upphovsrätt, industriell äganderätt eller personuppgiftsrätt, i den mån överträdelsen orsakades av Kunden eller dess anställda.

§ 7 Garanti

  1. Kunden ska utan onödigt dröjsmål meddela Vanderbilt om eventuella fel som förekommer i Acre Intrusion Connect Software Service. Ett sådant meddelande får under inga omständigheter lämnas senare än två (2) veckor efter det att felet inträffat. Om Kunden underlåter att meddela Vanderbilt inom ovannämnda tidsfrist förlorar Kunden sina rättigheter enligt garantin.
  2. Vanderbilt ska hantera eventuella fel inom rimlig tid. Felhantering i den mening som avses i detta avtal innefattar avgränsning av orsaken till felet, feldiagnos samt eliminering av felet eller undvikande av dess effekter som försämrar funktionaliteten hos Acre Intrusion Connect Software Service. Felhantering kan i synnerhet tillhandahållas i form av korrigeringar, uppdateringar eller uppgraderingar, instruktioner om hur man kringgår felet eller, efter samråd med kunden, även genom att tillhandahålla en nyare större version av Acre Intrusion Connect Software Service. Vanderbilt ska efter eget gottfinnande, på grundval av en professionell bedömning, besluta om typen och omfattningen av den felhantering som ska tillhandahållas, varvid Vanderbilt ska ta hänsyn till kundens intresse av Acre Intrusion Connect-programvarutjänstens funktionalitet.
  3. Kunden ska omedelbart informera Vanderbilt om alla anspråk som hävdar att Vanderbilts Acre Intrusion Connect Software Service kränker upphovsrätten eller industriella och immateriella rättigheter för en tredje part. I sådant fall och förutsatt att Vanderbilt har haft en rimlig möjlighet att presentera sitt ärende, ska Vanderbilt efter eget gottfinnande erhålla kunden rätten att använda Acre Intrusion Connect Software Service, ändra Acre Intrusion Connect Software Service på ett sådant sätt att överträdelsen elimineras, ersätta Acre Intrusion Connect Software Service med en annan tjänst av motsvarande kvalitet och effektivitet eller avsluta Acre Intrusion Connect Software Service och återbetala dess ersättning minus en ersättning skäligt avdrag för tillfällig användning .
  4. Kundens anspråk på fel och defekter i allmänhet preskriberas ett år efter det att felet eller defekten uppstått. Preskriptionstiden på ett år gäller inte ansvar för skada som orsakats på grund av skada på liv, kropp eller hälsa, eller för ansvar för annan skada vid avsiktligt brott mot skyldigheten, eller i den mån Vanderbilt uppsåtligt har underlåtit att avslöja felet eller defekten eller gett en garanti för objektets kvalitet, eller inom ramen för ett ansvar enligt produktansvarslagstiftningen.

§ 8 Ansvarsbegränsning, begränsningsföreskrifter

  1. Vanderbilt ansvarar utan begränsning för skuldlöst orsakad skada orsakad av skada på liv, kropp eller hälsa. Vanderbilt ska också hållas ansvarigt utan begränsning i händelse av avsiktligt brott mot skyldigheten, och i den mån Vanderbilt uppsåtligt underlåtit att avslöja felet, och i den omfattning av ansvaret enligt tillämplig produktansvarslagstiftning. I den mån Vanderbilt har tagit på sig en garanti för kvaliteten eller hållbarheten hos Acre Intrusion Connect Software Service, om sådan finns, ska Vanderbilt också vara ansvarigt utan begränsning, men endast i den utsträckning som omfattas av garantin.
  2. Följande gäller för annan skada: Vanderbilt ansvarar inte för indirekta skador och följdskador, förlust av vinst, produktionsförlust, driftavbrott, avtalsenliga fordringar från tredje part, förlust av användning eller finansieringsutgifter. Vanderbilts totala ansvar för skada, likviderade skador/påföljder, krav på ersättning och skadestånd, oavsett den rättsliga grunden för anspråken och med hänvisning till alla skador i avtalet får under inga omständigheter överstiga 25.000, - EUR (med ord: tjugofemtusen euro) per händelse och totalt sett. Under alla omständigheter ska Vanderbilts totala ansvar enligt avtalet (enligt vad som anges i denna klausul) upphöra vid utgången av tillämplig preskriptionstid för Acre Intrusion Connect Software Service.
  3. Invändningen om medverkande vårdslöshet (t.ex. överträdelse av kundens skyldigheter) förblir öppen.
  4. När det gäller ansvar för fel och brister i allmänhet gäller den preskriptionstid som föreskrivs i § 7 punkt 4 i detta Abonnemangsavtal.

§ 9 Sekretess

  1. ”Konfidentiell information” i den mening som avses i detta Prenumerationsavtal ska förstås som all information som Vanderbilt eller Kunden skyddar mot obegränsat utlämnande till tredje part genom lämpliga åtgärder, som är markerad som sådan eller som ska betraktas som konfidentiell beroende på omständigheterna för utlämnandet eller dess innehåll.
  2. Parterna förbinder sig att skydda all konfidentiell information från den andra parten som erhållits före och under fullgörandet eller genomförandet av avtalet under obegränsad tid på samma sätt som de skyddar sina egna jämförbara konfidentiella uppgifter genom lämpliga åtgärder och att behandla dem konfidentiellt. Utlämnande av den mottagande parten till tredje part ska endast vara tillåtet i den utsträckning som är nödvändig för utövandet av den mottagande partens rättigheter eller för fullgörandet av avtalet, och sådana personer omfattas av sekretessskyldigheter som är väsentligen jämförbara med dem som anges häri. Duplikat av konfidentiell information från respektive annan part ska - så långt det är tekniskt möjligt - innehålla alla meddelanden och anteckningar om dess konfidentiella eller hemliga karaktär som finns i originalet.
  3. Skyldigheten att upprätthålla konfidentialitet ska inte gälla information som a) har utvecklats oberoende av den mottagande parten, b) lagligen har lämnats till den mottagande parten av en tredje part utan brott mot detta avtal eller något annat avtal, c) var känd för den mottagande parten utan begränsning vid tidpunkten för utlämnandet, eller d) var allmänt tillgänglig vid tidpunkten för utlämnandet eller därefter blir allmänt tillgänglig utan att den mottagande parten åsidosatte sin skyldighet.

§ 10 Löptid, uppsägning

  1. Om inte annat överenskommits ska kontraktet löpa i tolv månader från det att det började (avtalsåret), om inte annat avtalats. Avtalet ska automatiskt förlängas med ytterligare ett år i varje enskilt fall om det inte sägs upp av någon av de avtalsslutande parterna minst tre månader före utgången av respektive avtalsår.
  2. Uppsägning utan föregående meddelande av goda skäl ska förbli opåverkad.
  3. Kunden ska säkerställa att allt innehåll och data (inklusive personuppgifter) som lagrats av honom eller hans kunder på Vanderbilts servrar har hämtats av honom eller hans kunder inom tre månader efter avtalets utgång och på annat sätt säkrats av honom. Tre månader efter avtalets utgång upphör Vanderbilts skyldighet att lagra sådant innehåll och data och Vanderbilt kan radera allt innehåll och data (inklusive personuppgifter). Före raderingen ska Vanderbilt dock informera Kunden om den förestående raderingen skriftligen eller i textform med en uppsägningstid på två veckor eller mer.

§ 11 Bekämpning av mutor och korruption

Kunden ska (i) följa alla tillämpliga lagar, förordningar, koder och sanktioner relaterade till anti-mutor och antikorruption inklusive men inte begränsat till UK Bribery Act och US Foreign and Corrupt Practice Act (”relevanta krav”), (ii) ha infört och upprätthålla sina egna policyer och rutiner för bekämpning av mutor och korruption, (iii) omgående rapportera till Vanderbilt alla förfrågningar eller krav om otillbörlig ekonomisk eller annan fördel alla slag som mottagits av kunden i samband med detta avtal, (iv) omedelbart meddela Vanderbilt om Utländsk offentlig tjänsteman blir tjänsteman eller anställd hos Kunden eller förvärvar ett direkt eller indirekt intresse i Kunden (och Kunden garanterar att denne inte har några utländska offentliga tjänstemän som tjänstemän, anställda eller direkta eller indirekta ägare) och (v) inte bedriva någon verksamhet, praxis eller uppförande som skulle utgöra ett brott enligt Relevanta Krav. Kunden ska tillhandahålla sådana stödjande bevis på överensstämmelse som Vanderbilt rimligen kan begära. Brott mot denna klausul ska anses vara ett väsentligt brott som berättigar Vanderbilt att omedelbart säga upp avtalet och kräva ersättning för eventuella förluster som Vanderbilt har ådragit sig.

§ 12 Force Majeure

Vanderbilt ska ha rätt att omedelbart avbryta fullgörandet av sina skyldigheter enligt avtalet i den utsträckning sådant utförande hindras eller görs orimligt betungande av någon av följande omständigheter: arbetstvister och andra omständigheter utanför Vanderbilts kontroll såsom brand, krig, omfattande militär mobilisering, uppror, rekvisition, beslag, embargo, begränsningar i användningen av ström och defekter eller förseningar i leveranser orsakade av underleverantörer av sådana omständigheter som avses i denna klausul.

§ 13 Tvister och tillämplig lag

  1. Avtalet regleras av svensk lag, utan hänsyn till dess lagvalsbestämmelser. Förenta nationernas konvention om avtal om internationell försäljning av varor ska inte tillämpas.
  2. Tvist, kontrovers eller anspråk som uppstår till följd av eller i samband med avtalet, eller överträdelse, uppsägning eller ogiltighet därav, ska slutgiltigt avgöras genom skiljedom i enlighet med Skiljedomsreglerna för Stockholms Handelskammares Skiljedomsinstitut. Skiljedomstolen ska bestå av tre skiljemän. Skiljedomsplatsen ska vara Stockholm. Det språk som ska användas i skiljeförfarandet ska vara engelska.
  3. Parterna förbinder sig att på obestämd tid inte avslöja förekomsten eller innehållet i någon dom eller beslut som rör eller i samband med avtalet eller någon information om förhandlingar, skiljeförfaranden eller medling i samband med detta. Detta tystnadsåtagande ska inte tillämpas på information som en part enligt lag är skyldig att lämna ut, enligt ett beslut av en statlig myndighet, enligt tillämpliga börsregler, eller som kan krävas för verkställigheten av en dom eller en skiljedom. Utan hinder av ovanstående har Vanderbilt rätt att vända sig till Stockholms tingsrätt som första instans beträffande fordringar om förfallna betalning.

Tillägg A

Avtal om behandling av uppgifter för uppdrag

för Acre Intrusion Connect

mellan

Du, slutanvändaren eller tjänsteleverantören, som använder programvarutjänsten Acre Intrusion Connect

- nedan kallad ”personuppgiftsansvarig ”

och

Vanderbilt International AB
Englundavägen 7
Fält 1275
17124 Solna
Sverige

- nedan ”Processor” -.

Klausul 1

Föremål för avtalet

  1. Processorn kommer att tillhandahålla Acre Intrusion Connect Software Service, en molnbaserad lösning utformad för övervakning, hantering och underhåll av Acre Intrusion Panels på distans; för närvarande omfattar Acre Intrusion Connect Software Service en webbapplikation (via internetwebbläsare) samt mobilappar för Android- och Apple-plattformarna (hädanefter kallad ”Acre Intrusion Connect Software Service”). Personuppgiftsbiträdet behandlar personuppgifterna uteslutande på uppdrag av och enligt instruktioner från den personuppgiftsansvarige i den mening som avses i artikel 4 nr 8 och artikel 28 i GDPR (behandling på uppdrag).
  2. Detta avtal reglerar parternas rättigheter och skyldigheter i samband med behandling av personuppgifter och har i detta avseende företräde framför alla andra avtal mellan parterna. De bifogade standardavtalsklausulerna är en integrerad del av detta avtal. I händelse av en motsägelse mellan dessa klausuler och bestämmelserna i relaterade avtal mellan parterna som existerade vid den tidpunkt då dessa klausuler avtalas eller ingås därefter, ska dessa klausuler ha företräde.
  3. I detta Avtal avses med ”Slutanvändare” individer eller enheter som använder Acre Intrusion Connect Software Service för att övervaka, hantera och underhålla en Acre Intrusion Panel för egen räkning. ”Tjänsteleverantörer” avser individer eller enheter som använder Acre Intrusion Connect Software Service för att övervaka, hantera och underhålla AAcre Intrusion Panels på uppdrag av Slutanvändare eller för att hjälpa Slutanvändare att göra det; och ”Personuppgiftsansvarig” avser antingen en Slutanvändare respektive Tjänsteleverantör. Den Personuppgiftsansvarige och Personuppgiftsbiträdet kan hänvisas till som en ”part” eller tillsammans som ”parterna” i detta avtal.
  4. Parterna förstår att ”GDPR” betyder förordning (EU) 2016/679 - även känd som den allmänna dataskyddsförordningen.
  5. Detta avtal baseras på definitionerna enligt artikel 4 GDPR, särskilt vad gäller termerna ”Databehandling” eller ”Behandling” (av data) enligt artikel 4 nr 2 i GDPR.
  6. Med ”Personuppgifter” i den mening som avses i detta avtal förstår parterna de personuppgifter som Personuppgiftsbiträdet behandlar för den Personuppgiftsansvariges räkning, varvid det är irrelevant om Personuppgiftsbiträdet har mottagit dessa från den Personuppgiftsansvarige, från de registrerade eller från tredje part och om behandlingen sker inom ramen för Personuppgiftsbiträdets prestationsåtaganden eller på annat sätt, i den mån de härrör från den personuppgiftsansvariges område.

Klausul 2

Varaktighet

  1. Personuppgiftsbiträdets tjänster till den personuppgiftsansvarige ska härröra från det avtal som ingåtts separat mellan parterna nedan kallat ”Huvudavtalet”.
  2. Behandlingens varaktighet ska motsvara huvudavtalets löptid. Detta avtal ska förbli giltigt efter huvudavtalets slut så länge Personuppgiftsbiträdet innehar Personuppgifter för den Personuppgiftsansvariges räkning.
  3. Personuppgiftsbiträdet ska inte förvärva några rättigheter till Personuppgifterna och ska vara skyldig att överlämna Personuppgifterna i en form som kan läsas och vidarebehandlas av den Personuppgiftsansvarige när som helst på första begäran. Personuppgiftsbiträdets lagringsrätt med avseende på personuppgifterna och tillhörande databärare är uteslutna.
  4. Efter tre månader efter det att huvudavtalet löpt ut eller på den personuppgiftsansvariges begäran ska Personuppgiftsbiträdet radera alla personuppgifter och databärare som tillhandahålls eller behandlas på uppdrag av den Personuppgiftsansvarige. Personuppgiftsbiträdet ska dokumentera raderingen av eventuella Personuppgifter som fortfarande finns och tillhandahålla sådan dokumentation på begäran av Personuppgiftsansvarig. Före raderingen ska Personuppgiftsbiträdet dock informera den Personuppgiftsansvarige om den förestående raderingen skriftligen eller i textform med en uppsägningstid på två veckor eller mer.

Klausul 3

Diverse

  1. Ändringar och tillägg till detta avtal måste göras skriftligen eller i textform. Detta ska också gälla alla undantag från detta formella krav.
  2. Om enskilda bestämmelser i detta avtal är eller blir ogiltiga eller ogenomförbara helt eller delvis, påverkar detta inte giltigheten av de återstående bestämmelserna. Parterna åtar sig att ersätta den ogiltiga bestämmelsen med en lagligt tillåten bestämmelse som närmast syftet med den ogiltiga bestämmelsen och bäst uppfyller kraven i artikel 28 GDPR.
  3. This Agreement is governed by Swedish law, without regard to its conflict of law provisions.
  4. Any dispute, controversy or claim arising out of or in connection with the contract, or the breach, termination or invalidity thereof, shall be finally settled by arbitration in accordance with the Arbitration Rules of the Arbitration Institute of the Stockholm Chamber of Commerce. The arbitral tribunal shall be composed of three arbitrators. The seat of arbitration shall be Stockholm. The language to be used in the arbitral proceedings shall be English.
  5. The parties undertake, indefinitely, not to disclose the existence or contents of any judgment or decision related to or in connection with the contract or any information regarding negotiations, arbitral proceedings or mediation in connection therewith. This confidentiality undertaking shall not apply in relation to information which a party is required to disclose by law, pursuant to an order of a governmental authority, pursuant to applicable stock exchange rules, or which may be required for the enforcement of a judgment or an award.

***

Standard Contractual Clauses

SECTION I

Clause 1

Purpose and scope

  1. The purpose of these Standard Contractual Clauses (the Clauses) is to ensure compliance with Article 28(3) and (4) of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data.
  2. The controllers and processors listed in Annex I have agreed to these Clauses in order to ensure compliance with Article 28(3) and (4) of Regulation (EU) 2016/679 and/or Article 29 (3) and (4) Regulation (EU) 2018/1725.
  3. These Clauses apply to the processing of personal data as specified in Annex II.
  4. Annexes I to IV are an integral part of the Clauses.
  5. These Clauses are without prejudice to obligations to which the controller is subject by virtue of Regulation (EU) 2016/679 and/or Regulation (EU) 2018/1725.
  6. These Clauses do not by themselves ensure compliance with obligations related to international transfers in accordance with Chapter V of Regulation (EU) 2016/679 and/or Regulation (EU) 2018/1725.

Clause 2

Invariability of the Clauses

  1. The Parties undertake not to modify the Clauses, except for adding information to the Annexes or updating information in them.
  2. This does not prevent the Parties from including the standard contractual clauses laid down in these Clauses in a broader contract, or from adding other clauses or additional safeguards provided that they do not directly or indirectly contradict the Clauses or detract from the fundamental rights or freedoms of data subjects.

Clause 3

Interpretation

  1. Where these Clauses use the terms defined in Regulation (EU) 2016/679 or Regulation (EU) 2018/1725 respectively, those terms shall have the same meaning as in that Regulation.
  2. These Clauses shall be read and interpreted in the light of the provisions of Regulation (EU) 2016/679 or Regulation (EU) 2018/1725 respectively.
  3. These Clauses shall not be interpreted in a way that runs counter to the rights and obligations provided for in Regulation (EU) 2016/679 / Regulation (EU) 2018/1725 or in a way that prejudices the fundamental rights or freedoms of the data subjects.

Clause 4

Hierarchy

In the event of a contradiction between these Clauses and the provisions of related agreements between the Parties existing at the time when these Clauses are agreed or entered into thereafter, these Clauses shall prevail.

Clause 5

Docking clause

  1. Any entity that is not a Party to these Clauses may, with the agreement of all the Parties, accede to these Clauses at any time as a controller or a processor by completing the Annexes and signing Annex I.
  2. Once the Annexes in (a) are completed and signed, the acceding entity shall be treated as a Party to these Clauses and have the rights and obligations of a controller or a processor, in accordance with its designation in Annex I.
  3. The acceding entity shall have no rights or obligations resulting from these Clauses from the period prior to becoming a Party.

SECTION II – OBLIGATIONS OF THE PARTIES

Clause 6

Description of processing(s)

The details of the processing operations, in particular the categories of personal data and the purposes of processing for which the personal data is processed on behalf of the controller, are specified in Annex II.

Clause 7

Obligations of the Parties

7.1. Instructions

  1. The processor shall process personal data only on documented instructions from the controller, unless required to do so by Union or Member State law to which the processor is subject. In this case, the processor shall inform the controller of that legal requirement before processing, unless the law prohibits this on important grounds of public interest. Subsequent instructions may also be given by the controller throughout the duration of the processing of personal data. These instructions shall always be documented.
  2. The processor shall immediately inform the controller if, in the processor’s opinion, instructions given by the controller infringe Regulation (EU) 2016/679 / Regulation (EU) 2018/1725 or the applicable Union or Member State data protection provisions.

7.2. Purpose limitation

The processor shall process the personal data only for the specific purpose(s) of the processing, as set out in Annex II, unless it receives further instructions from the controller.

7.3. Duration of the processing of personal data

Processing by the processor shall only take place for the duration specified in Annex II.

7.4. Security of processing

  1. The processor shall at least implement the technical and organisational measures specified in Annex III to ensure the security of the personal data. This includes protecting the data against a breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorised disclosure or access to the data (personal data breach). In assessing the appropriate level of security, the Parties shall take due account of the state of the art, the costs of implementation, the nature, scope, context and purposes of processing and the risks involved for the data subjects.
  2. The processor shall grant access to the personal data undergoing processing to members of its personnel only to the extent strictly necessary for implementing, managing and monitoring of the contract. The processor shall ensure that persons authorised to process the personal data received have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.

7.5. Sensitive data

If the processing involves personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data or biometric data for the purpose of uniquely identifying a natural person, data concerning health or a person’s sex life or sexual orientation, or data relating to criminal convictions and offences (“sensitive data”), the processor shall apply specific restrictions and/or additional safeguards.

7.6 Documentation and compliance

  1. The Parties shall be able to demonstrate compliance with these Clauses.
  2. The processor shall deal promptly and adequately with inquiries from the controller about the processing of data in accordance with these Clauses.
  3. The processor shall make available to the controller all information necessary to demonstrate compliance with the obligations that are set out in these Clauses and stem directly from Regulation (EU) 2016/679 and/or Regulation (EU) 2018/1725. At the controller’s request, the processor shall also permit and contribute to audits of the processing activities covered by these Clauses, at reasonable intervals or if there are indications of non-compliance. In deciding on a review or an audit, the controller may take into account relevant certifications held by the processor.
  4. The controller may choose to conduct the audit by itself or mandate an independent auditor. Audits may also include inspections at the premises or physical facilities of the processor and shall, where appropriate, be carried out with reasonable notice.
  5. The Parties shall make the information referred to in this Clause, including the results of any audits, available to the competent supervisory authority/ies on request.

7.7. Use of sub processors

  1. The processor shall not subcontract any of its processing operations performed on behalf of the controller in accordance with these Clauses to a sub-processor, without the controller’s prior specific written authorisation. The processor shall submit the request for specific authorisation at least three months prior to the engagement of the sub processor in question, together with the information necessary to enable the controller to decide on the authorisation. The list of sub-processors authorised by the controller can be found in Annex IV. The Parties shall keep Annex IV up to date.
  2. Where the processor engages a sub-processor for carrying out specific processing activities (on behalf of the controller), it shall do so by way of a contract which imposes on the sub-processor, in substance, the same data protection obligations as the ones imposed on the data processor in accordance with these Clauses. The processor shall ensure that the sub-processor complies with the obligations to which the processor is subject pursuant to these Clauses and to Regulation (EU) 2016/679 and/or Regulation (EU) 2018/1725.
  3. At the controller’s request, the processor shall provide a copy of such a sub processor agreement and any subsequent amendments to the controller. To the extent necessary to protect business secret or other confidential information, including personal data, the processor may redact the text of the agreement prior to sharing the copy.
  4. The processor shall remain fully responsible to the controller for the performance of the sub-processor’s obligations in accordance with its contract with the processor. The processor shall notify the controller of any failure by the sub-processor to fulfil its contractual obligations.
  5. The processor shall agree a third party beneficiary clause with the sub-processor whereby - in the event the processor has factually disappeared, ceased to exist in law or has become insolvent - the controller shall have the right to terminate the sub processor contract and to instruct the sub-processor to erase or return the personal data.

7.8. International transfers

  1. Any transfer of data to a third country or an international organization by the processor shall be done only on the basis of documented instructions from the controller or in order to fulfil a specific requirement under Union or Member State law to which the processor is subject and shall take place in compliance with Chapter V of Regulation (EU) 2016/679 or Regulation (EU) 2018/1725.
  2. The controller agrees that where the processor engages a sub-processor in accordance with Clause 7.7. for carrying out specific processing activities (on behalf of the controller) and those processing activities involve a transfer of personal data within the meaning of Chapter V of Regulation (EU) 2016/679, the processor and the sub processor can ensure compliance with Chapter V of Regulation (EU) 2016/679 by using standard contractual clauses adopted by the Commission in accordance with of Article 46(2) of Regulation (EU) 2016/679, provided the conditions for the use of those standard contractual clauses are met.

Clause 8

Assistance to the controller

  1. The processor shall promptly notify the controller of any request it has received from the data subject. It shall not respond to the request itself, unless authorised to do so by the controller.
  2. The processor shall assist the controller in fulfilling its obligations to respond to data subjects’ requests to exercise their rights, taking into account the nature of the processing. In fulfilling its obligations in accordance with (a) and (b), the processor shall comply with the controller’s instructions
  3. In addition to the processor’s obligation to assist the controller pursuant to Clause 8(b), the processor shall furthermore assist the controller in ensuring compliance with the following obligations, taking into account the nature of the data processing and the information available to the processor:
         1. the obligation to carry out an assessment of the impact of the envisaged processing operations on the protection of personal data (a ‘data protection impact assessment’) where a type of processing is likely to result in a high risk to the rights and freedoms of natural persons;
         2. the obligation to consult the competent supervisory authority/ies prior to processing where a data protection impact assessment indicates that the processing would result in a high risk in the absence of measures taken by the controller to mitigate the risk;
         3. the obligation to ensure that personal data is accurate and up to date, by informing the controller without delay if the processor becomes aware that the personal data it is processing is inaccurate or has become outdated;
         4. the obligations in Article 32 Regulation (EU) 2016/679.
  4. The Parties shall set out in Annex III the appropriate technical and organisational measures by which the processor is required to assist the controller in the application of this Clause as well as the scope and the extent of the assistance required.

Clause 9

Notification of personal data breach

In the event of a personal data breach, the processor shall cooperate with and assist the controller for the controller to comply with its obligations under Articles 33 and 34 Regulation (EU) 2016/679 or under Articles 34 and 35 Regulation (EU) 2018/1725, where applicable, taking into account the nature of processing and the information available to the processor.

9.1 Data breach concerning data processed by the controller

In the event of a personal data breach concerning data processed by the controller, the processor shall assist the controller:

  1. in notifying the personal data breach to the competent supervisory authority/ies, without undue delay after the controller has become aware of it, where relevant/(unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons);
  2. in obtaining the following information which, pursuant to Article 33(3) Regulation (EU) 2016/679, shall be stated in the controller’s notification, and must at least include:
         1. the nature of the personal data including where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of personal data records concerned;
         2. the likely consequences of the personal data breach;
         3. the measures taken or proposed to be taken by the controller to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects.
    Where, and insofar as, it is not possible to provide all this information at the same time, the initial notification shall contain the information then available and further information shall, as it becomes available, subsequently be provided without undue delay.
  3. in complying, pursuant to Article 34 Regulation (EU) 2016/679, with the obligation to communicate without undue delay the personal data breach to the data subject, when the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons.

9.2 Data breach concerning data processed by the processor

In the event of a personal data breach concerning data processed by the processor, the processor shall notify the controller without undue delay after the processor having become aware of the breach. Such notification shall contain, at least:

  1. a description of the nature of the breach (including, where possible, the categories and approximate number of data subjects and data records concerned);
  2. the details of a contact point where more information concerning the personal data breach can be obtained;
  3. its likely consequences and the measures taken or proposed to be taken to address the breach, including to mitigate its possible adverse effects.

Where, and insofar as, it is not possible to provide all this information at the same time, the initial notification shall contain the information then available and further information shall, as it becomes available, subsequently be provided without undue delay.

The Parties shall set out in Annex III all other elements to be provided by the processor when assisting the controller in the compliance with the controller’s obligations under Articles 33 and 34 of Regulation (EU) 2016/679.

SECTION III – FINAL PROVISIONS

Clause 10

Non-compliance with the Clauses and termination

  1. Without prejudice to any provisions of Regulation (EU) 2016/679 and/or Regulation (EU) 2018/1725, in the event that the processor is in breach of its obligations under these Clauses, the controller may instruct the processor to suspend the processing of personal data until the latter complies with these Clauses or the contract is terminated. The processor shall promptly inform the controller in case it is unable to comply with these Clauses, for whatever reason.
  2. The controller shall be entitled to terminate the contract insofar as it concerns processing of personal data in accordance with these Clauses if:
         1. the processing of personal data by the processor has been suspended by the controller pursuant to point (a) and if compliance with these Clauses is not restored within a reasonable time and in any event within one month following suspension;
         2. the processor is in substantial or persistent breach of these Clauses or its obligations under Regulation (EU) 2016/679 and/or Regulation (EU) 2018/1725;
    3. Personuppgiftsbiträdet underlåter att följa ett bindande beslut av en behörig domstol eller den behöriga tillsynsmyndigheten angående dess skyldigheter enligt dessa klausuler eller förordning (EU) 2016/679 och/eller förordning (EU) 2018/1725.
  3. Personuppgiftsbiträdet ska ha rätt att säga upp avtalet i den mån det gäller behandling av personuppgifter enligt dessa klausuler om den personuppgiftsansvarige, efter att ha informerat den personuppgiftsansvarige om att dess instruktioner strider mot tillämpliga lagkrav i enlighet med klausul 7.1 (b), insisterar på att instruktionerna följs.
  4. Efter uppsägning av avtalet ska personuppgiftsbiträdet, efter den personuppgiftsansvariges val, radera alla personuppgifter som behandlas för den personuppgiftsansvariges räkning och intyga till den personuppgiftsansvarige att det har gjort det, eller återlämna alla personuppgifter till den personuppgiftsansvarige och radera befintliga kopior, såvida inte unionslagstiftningen eller medlemsstatens lagstiftning kräver lagring av personuppgifterna. Till dess att uppgifterna raderas eller returneras ska personuppgiftsbiträdet fortsätta att säkerställa efterlevnaden av dessa klausuler.

***

BILAGA I FÖRTECKNING ÖVER PARTER

Styrenhet:

Du, slutanvändaren eller tjänsteleverantören, prenumererar på och/eller använder Acre Intrusion Connect Software Service

Processor:

Vanderbilt International AB
Englundavägen 7
Fält 1275
17124 Solna
Sverige

BILAGA II: BESKRIVNING AV BEARBETNINGEN

Kategorier av registrerade vars personuppgifter behandlas

Personuppgiftsansvariga eller personuppgiftsansvarigas anställda, slutanvändare eller slutanvändares anställda.

Kategorier av personuppgifter som behandlas

Allmänna uppgifter:
  • För- och efternamn
  • Andra namn
  • Adress
  • Postnummer
  • Telefonnummer
  • Användarnamn
  • Lösenord
  • E-postadress (er)
  • Språk
  • Information om säkerhetsfrågor
  • Betalningsinformation, inklusive kreditkortsnummer och/eller bankkontouppgifter, om tillämpligt
  • Mobiltelefonidentifierare (för push-meddelanden)
  • Information om installationsföretag
  • Information om åtkomstkontroll (användarbild, kortinformation, PIN-kod, användarrättigheter)
  • Verifieringsdata för larm, inklusive ljud- och/eller videofilmer (om larmet utlöstes, ingen biometrisk detektering, ingen kontinuerlig lagring)
  • Säkerhetsmeddelanden om Acre Intrusion-Panels
  • Granskningsinformation
Prenumerationsdata:
  • För- och efternamn
  • Adress
  • Postnummer
  • Telefonnummer
  • Användarnamn
  • Lösenord
  • E-postadress (er)
  • Språk
  • Information om säkerhetsfrågor
  • Betalningsinformation, inklusive kreditkortsnummer och/eller bankkontouppgifter, om tillämpligt
Känsliga uppgifter som behandlas (i förekommande fall) och tillämpliga begränsningar eller skyddsåtgärder som fullt ut tar hänsyn till uppgifternas art och de risker som är förknippade med dem, till exempel strikt ändamålsbegränsning, åtkomstbegränsningar (inklusive åtkomst endast för personal som har genomgått specialutbildning), registrering av tillgång till uppgifterna, begränsningar för vidareöverföringar eller ytterligare säkerhetsåtgärder:

Ingen.

Beskrivning och typ av behandling

  • Komplett fjärrprogrammering av Acre Intrusion Panels
  • ”Alltid på” -kommunikation som möjliggör omedelbar åtkomst
  • Organisationsstruktur för att stödja företagets arbetsflöde
  • Definierbara roller och ansvarsområden för tjänsteleverantörernas supporttjänster
  • Övervakning av kommunikation
  • Underhållsrapporter
  • Underhåll av konfigurationsfiler
  • Automatiserade säkerhetskopieringstjänster
  • Fjärråtkomst från vilken dator, telefon eller surfplatta som helst

Ändamål för vilka personuppgifterna behandlas för den personuppgiftsansvariges räkning

Tillhandahållande och användning av Acre Intrusion Connect Software Service, en molnbaserad lösning utformad för övervakning, hantering och underhåll av Acre Intrusion Panels på distans som tillhandahålls av Vanderbilt.

Behandlingens varaktighet

Under registreringsperioden för den personuppgiftsansvarige

För behandling som utförs av (under-) personuppgiftsbiträden, föremålet och arten av behandlingen

Processor:

Vanderbilt International AB behandlar Allmänna Data och Abonnemangsuppgifter enligt Bilaga II för att tillhandahålla Acre Intrusion Connect Software Service.

Underprocessorer:
1.

Vanderbilt International (IRL) Ltd.
Clonshaugh affärs- och teknikpark
Dublin D17 KV 84
irland

Beskrivning av behandlingen (inklusive en tydlig ansvarsfördelning om flera underbiträden är auktoriserade):
Underprocessorn kör och hanterar tekniskt Vanderbilts Acre Intrusion-Services på molntjänster som tillhandahålls av subprocessor nr 2. Den behandlar allmänna uppgifter och prenumerationsdata enligt bilaga II.

2.

Microsoft Ireland Operations Limited
Ett Microsoft Place, South County affärspark, Leopardstown,
Dublin 18, D18 P521
irland

Beskrivning av behandlingen (inklusive en tydlig ansvarsfördelning om flera underbiträden är auktoriserade):
Underprocessorn tillhandahåller värdar de molntjänster som används av processor och subprocessor nr 1 för att köra och hantera Vanderbilts Acre Intrusion-Services. Den behandlar allmänna uppgifter och prenumerationsdata enligt bilaga II.

3.

Grey Matter Ltd.
De gamla maltingarna
Prigg Meadow, Ashburton, Devon, TQ13 7DF
Förenade kungariket

Beskrivning av behandlingen (inklusive en tydlig ansvarsfördelning om flera underbiträden är auktoriserade):
Underprocessorn ger teknisk support till subprocessor nr 1. Den behandlar allmänna uppgifter och prenumerationsdata enligt bilaga II.

4.

Chargebee Inc.
340 S Citronavenyn, #1537
Walnut, Kalifornien 91789, USA
privacy@chargebee.com

Beskrivning av behandlingen (inklusive en tydlig ansvarsfördelning om flera underbiträden är auktoriserade):
Prenumerations-, konto- och faktureringshantering tillhandahålls av denna underprocessor. Den behandlar prenumerationsdata enligt bilaga II.

5.

Ayden
Postbox 10095
1001 EB
Amsterdam
Nederländerna

Deras sekretesspolicy kan ses på https://www.adyen.com/policies-and-disclaimer/applicant-privacy-notice

Beskrivning av behandlingen (inklusive en tydlig ansvarsfördelning om flera underbiträden är auktoriserade):
Betalningshantering tillhandahålls av denna underprocessor. Den behandlar betalningsuppgifter enligt bilaga II.

6.

Stripe, Inc.
354 Oyster Point Boulevard
Södra San Francisco, Kalifornien, 94080, USA
Uppmärksamhet: Stripe Legal
Stripe Payments Europe Limited
1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland

Deras sekretesspolicy kan ses på https://stripe.com/us/privacy

Beskrivning av behandlingen (inklusive en tydlig ansvarsfördelning om flera underbiträden är auktoriserade):
Betalningshantering tillhandahålls av denna underprocessor. Den behandlar betalningsuppgifter enligt bilaga II.

BILAGA III TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER, INBEGRIPET TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER FÖR ATT SÄKERSTÄLLA UPPGIFTERNAS SÄKERHET

Vanderbilt har implementerat och kommer att upprätthålla följande säkerhetsåtgärder för personuppgiftsansvariga i Acre Intrusion Connect Software Service, vilka i samband med säkerhetsåtagandena i detta avtal (inklusive GDPR-villkoren) är Vanderbilts enda ansvar med avseende på säkerheten för dessa uppgifter.

I. Organisation av informationssäkerhetspraxis

Säkerhetsägande. Vanderbilt har utsett en eller flera säkerhetstjänstemän med ansvar för att samordna och övervaka säkerhetsreglerna och förfarandena.

Säkerhetsroller och ansvar. Vanderbilts personal med tillgång till personuppgiftsansvarig omfattas av sekretessskyldigheter.

Riskhanteringsprogram. Vanderbilt utförde en riskbedömning innan behandlingen av Personuppgiftsansvarig eller lanserade Acre Intrusion Connect Software Service.

Vanderbilt behåller sina säkerhetsdokument i enlighet med sina lagringskrav efter att de inte längre är i kraft.

II. Tillgångsförvaltningspraxis

Tillgångsinventering. Vanderbilt upprätthåller en inventering av alla medier på vilka Personuppgiftsansvariga lagras, om sådana finns. Tillgång till inventeringarna av sådana medier är begränsad till Vanderbilt-personal som skriftligen har behörighet att ha sådan åtkomst. För det mesta, om inte uteslutande, lagras personuppgiftsansvariga hos Vanderbilts underbiträde, som är värd för Acre Intrusion Connect Software Service (se detaljer i bilaga IV).

Tillgångshantering

  • Vanderbilt klassificerar personuppgiftsansvariga för att hjälpa till att identifiera dem och för att tillåta åtkomst till dem att begränsas på lämpligt sätt.
  • Vanderbilt ställer restriktioner på tryckning av personuppgiftsansvarigas data och har rutiner för bortskaffande av tryckt material som innehåller sådana uppgifter.
  • Vanderbilts personal måste erhålla tillstånd från Vanderbilt innan de lagrar Personuppgiftsansvarigas data på bärbara enheter, fjärråtkomst till sådana uppgifter eller behandlar sådana uppgifter utanför Vanderbilts anläggningar.

III. Personalresurser Säkerhetspraxis

Säkerhetsutbildning. Vanderbilt informerar sin personal om relevanta säkerhetsrutiner och deras respektive roller. Vanderbilt informerar också sin personal om möjliga konsekvenser av brott mot säkerhetsreglerna och förfarandena.

IV. Fysisk och miljömässig säkerhetspraxis

Fysisk tillgång till anläggningar. Vanderbilt begränsar tillgången till anläggningar där informationssystem som behandlar personuppgiftsansvariga får åtkomst till eller lokaliseras till identifierade behöriga personer.

Fysisk tillgång till komponenter. Vanderbilt upprätthåller register över inkommande och utgående media som innehåller Personuppgiftsansvarig, om sådana finns, inklusive typ av media, auktoriserad avsändare/mottagare, datum och tid, antalet media och vilka typer av sådana uppgifter de innehåller.

Skydd mot störningar. Vanderbilt och/eller dess underprocessor (er) använder en mängd olika branschstandardsystem för att skydda mot förlust av data på grund av strömavbrott eller ledningsstörningar.

Komponentbortskaffande. Vanderbilt och/eller dess underbiträde använder industristandardprocesser för att radera personuppgiftsansvariga när de inte längre behövs.

V. Kommunikations- och verksamhetsledningspraxis

Operativ politik. Vanderbilt upprätthåller säkerhetsdokument som beskriver sina säkerhetsåtgärder och relevanta rutiner och ansvar för dess personal som har tillgång till personuppgiftsansvarig.

Förfaranden för dataåterställning

  • Löpande, men under inga omständigheter mindre ofta än en gång i veckan (såvida inga uppdateringar har skett under den perioden), upprätthåller Vanderbilt och/eller dess underbiträde flera kopior av personuppgiftsansvarigas data från vilka sådana uppgifter kan återställas.
  • Vanderbilt och/eller dess underbiträde lagrar kopior av personuppgiftsansvarigas data och dataåterställningsförfaranden på en annan plats än där den primära datorutrustning som behandlar personuppgiftsansvarig finns.
  • Vanderbilt och/eller dess underbiträde har särskilda förfaranden för åtkomst till kopior av Personuppgiftsansvarigas uppgifter.
  • Vanderbilt och/eller dess underbiträde granskar förfaranden för dataåterställning minst var tolfte månad.
  • Vanderbilt och/eller dess underbehandlare loggar återställningsinsatser, inklusive ansvarig person, beskrivning av de återställda uppgifterna och, i förekommande fall, den ansvariga personen och vilka uppgifter (i förekommande fall) som måste matas in manuellt i dataåterställningsprocessen.

Skadlig programvara. Vanderbilt och/eller dess underbiträde har kontroller mot skadlig programvara för att förhindra att skadlig programvara får obehörig åtkomst till personuppgiftsansvarigas data, inklusive skadlig programvara som härrör från offentliga nätverk.

Data bortom gränserna

  • Vanderbilt och/eller dess underbiträde krypterar, eller gör det möjligt för Personuppgiftsansvarig att kryptera, Personuppgiftsansvarig som överförs via offentliga nätverk.
  • Vanderbilt och/eller dess underbiträde begränsar tillgången till personuppgiftsansvariga i media som lämnar sina anläggningar.

Händelseloggning. Vanderbilt och/eller dess underbiträde loggar, eller gör det möjligt för Personuppgiftsansvarig att logga, komma åt och använda informationssystem som innehåller Personuppgiftsansvarig, registrera åtkomstID, tid, beviljat eller nekat tillstånd och relevant aktivitet.

VI. Åtkomstkontrollrutiner

Åtkomstpolicy. Vanderbilt och/eller dess underbiträde upprätthåller ett register över säkerhetsrättigheter för individer som har tillgång till personuppgiftsansvarig.

Åtkomstbehörighet

  • Vanderbilt och/eller dess underbiträde upprätthåller och uppdaterar ett register över personal som har behörighet att komma åt Vanderbilt och/eller dess underbiträdessystem som innehåller Personuppgiftsansvariga.
  • Vanderbilt och/eller dess underbiträde inaktiverar autentiseringsuppgifter som inte har använts under en tidsperiod som inte överstiger sex månader.
  • Vanderbilt och/eller dess underbiträde identifierar den personal som kan bevilja, ändra eller avbryta behörig åtkomst till data och resurser.
  • Vanderbilt och/eller dess underbiträde säkerställer att när mer än en individ har tillgång till system som innehåller personuppgiftsansvariga har individerna separata identifierar/inloggningar.

Minsta privilegium

  • Teknisk supportpersonal får endast ha tillgång till personuppgiftsansvarig och uppgifter om professionella tjänster vid behov.
  • Vanderbilt och/eller dess underbiträde begränsar tillgången till personuppgiftsansvariga till endast de personer som behöver sådan åtkomst för att utföra sin jobbfunktion.

Integritet och konfidentialitet

  • Vanderbilt instruerar Vanderbilts personal att inaktivera administrativa sessioner när de lämnar lokaler Vanderbilt-kontroller eller när datorer på annat sätt lämnas obevakade.
  • Vanderbilt lagrar lösenord på ett sätt som gör dem obegripliga medan de är i kraft.

Autentisering

  • Vanderbilt och/eller dess underbiträde använder branschstandardmetoder för att identifiera och autentisera användare som försöker komma åt informationssystem.
  • Där autentiseringsmekanismer är baserade på lösenord kräver Vanderbilt att lösenorden förnyas regelbundet.
  • Om autentiseringsmekanismer är baserade på lösenord kräver Vanderbilt att lösenordet är minst åtta tecken långt.
  • Vanderbilt säkerställer att avaktiverade eller utgångna identifierare inte beviljas andra individer.
  • Vanderbilt och/eller dess underbiträde övervakar, eller gör det möjligt för Personuppgiftsansvarig att övervaka, upprepade försök att få tillgång till informationssystemet med ett ogiltigt lösenord.
  • Vanderbilt och/eller dess underbiträde upprätthåller branschstandardprocedurer för att inaktivera lösenord som har skadats eller oavsiktligt avslöjats.
  • Vanderbilt och/eller dess underbiträde använder branschstandard för lösenordsskydd, inklusive metoder som är utformade för att upprätthålla sekretessen och integriteten för lösenord när de tilldelas och distribueras, och under lagring.

Nätverksdesign. Vanderbilt och/eller dess underbiträde har kontroller för att undvika att individer antar åtkomsträttigheter som de inte har tilldelats för att få tillgång till personuppgiftsansvariga som de inte har behörighet att få tillgång till.

VII. Metoder för hantering av incidenter för informationssäkerhet

Incidenthanteringsprocess

  • Vanderbilt upprätthåller ett register över säkerhetsöverträdelser med en beskrivning av överträdelsen, tidsperioden, konsekvenserna av överträdelsen, namnet på reportern, och till vem överträdelsen rapporterades, och förfarandet för att återställa data.
  • För varje säkerhetsöverträdelse som är en säkerhetsincident kommer Vanderbilt (enligt beskrivningen i avsnittet ”Meddelande om säkerhetsincidenter” ovan) att göras utan onödigt dröjsmål och under alla omständigheter inom 72 timmar.
  • Vanderbilt spårar, eller gör det möjligt för Personuppgiftsansvarig att spåra, avslöjanden av Personuppgiftsansvarig, inklusive vilka uppgifter som har lämnats ut, till vem och vid vilken tidpunkt.

Serviceövervakning. Vanderbilt och/eller dess underbiträde säkerhetspersonal verifierar loggar minst var tolfte månad för att föreslå åtgärder vid behov.

VIII. Verksamhetskontinuitetshantering

  • Vanderbilt upprätthåller nöd- och beredskapsplaner för de anläggningar där Vanderbilts informationssystem som behandlar personuppgiftsansvarig nås eller finns.
  • Vanderbilts och/eller dess underpersonuppgiftsbiträdes redundanta lagring och dess procedurer för återställning av data är utformade för att försöka rekonstruera Personuppgiftsansvarigas data i dess ursprungliga eller senast replikerade tillstånd från innan de förlorades eller förstördes.

BILAGA IV: FÖRTECKNING ÖVER UNDERFÖRÄDLARE

Den personuppgiftsansvarige har godkänt användningen av följande underpersonella personuppgiftsbiträden:

1.

Vanderbilt International (IRL) Ltd.
Clonshaugh affärs- och teknikpark
Dublin D17 KV 84
irland

Beskrivning av behandlingen (inklusive en tydlig ansvarsfördelning om flera underbiträden är auktoriserade):
Underprocessorn kör och hanterar tekniskt Vanderbilts AAcRE Intrusion-Services på molntjänster som tillhandahålls av subprocessor nr 2. Den behandlar allmänna uppgifter och prenumerationsdata enligt bilaga II.

2.

Microsoft Ireland Operations Limited
Ett Microsoft Place, South County affärspark, Leopardstown,
Dublin 18, D18 P521
irland

Beskrivning av behandlingen (inklusive en tydlig ansvarsfördelning om flera underbiträden är auktoriserade):
Underprocessorn tillhandahåller värdar molntjänster som används av processor och underprocessor nr 1 för att köra och hantera Vanderbilts Acre Intrusion-Services. Den behandlar allmänna uppgifter och prenumerationsdata enligt bilaga II.

3.

Grey Matter Ltd.
De gamla maltingarna
Prigg Meadow, Ashburton, Devon, TQ13 7DF
Förenade kungariket

Beskrivning av behandlingen (inklusive en tydlig ansvarsfördelning om flera underbiträden är auktoriserade):
Underprocessorn ger teknisk support till underprocessor nr 1. Den behandlar allmänna uppgifter och prenumerationsdata enligt bilaga II.

4.

Chargebee Inc.
340 S Citronavenyn, #1537
Walnut, Kalifornien 91789, USA
privacy@chargebee.com

Beskrivning av behandlingen (inklusive en tydlig ansvarsfördelning om flera underbiträden är auktoriserade):
Prenumerations-, konto- och faktureringshantering tillhandahålls av denna underprocessor. Den behandlar prenumerationsdata enligt bilaga II.

BILAGA V: Tredje länder

Förutom behandling av personuppgifter i en medlemsstat i Europeiska unionen eller i en annan avtalsslutande stat i avtalet om det europeiska ekonomiska samarbetsområdet, samtycker kunden till behandling av personuppgifter av underpersonuppgiftsbiträden i följande land/region:

Förenade kungariket, med avseende på allmänna uppgifter och prenumerationsdata enligt bilaga II.

Den adekvata skyddsnivån där fastställs i) KOMMISSIONENS GENOMFÖRDA BESLUT av 28.6.2021 i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 om adekvat skydd av personuppgifter i Förenade kungariket; och/eller ii) genom standardklausuler om dataskydd (artikel 46.2 lit. c och d GDPR).

Amerikas förenta stater (USA) med avseende på prenumerationsdata enligt bilaga II.

Den adekvata skyddsnivån där fastställs genom standardklausuler om dataskydd (artikel 46 punkt 2 lit. c och d GDPR).

Mannen i en vit skjorta ler och tittar ner.
Anslut till vårt team för att utforska skalbara, framtidsklara lösningar som är utformade för att skydda dina medarbetare, lokaler och data.

Låt oss säkra vad som är nästa - tillsammans.

Anslut till vårt team för att utforska skalbara, framtidsklara lösningar som är utformade för att skydda dina medarbetare, lokaler och data.
Prata med vårt team
Sömlöst integrerad
Framtidsförberedd plattform
Byggd för val
Betrodda av Fortune 500-företag