Public 360° Online - dataprocessoravtal
Version oktober 2016
1
Dataprocessorn måste ge kontrollern åtkomst till
Avsikten med avtalet
dess säkerhetsdokumentation och tillhandahålla
Avsikten med avtalet är att reglera rättigheter och
hjälp så att kontrollern kan uppfylla sitt eget ansvar i
skyldigheter enligt lokala persondatalagen relaterad
enlighet med lagstiftning och bestämmelser.
till behandling av personliga data samt Europa-
Såvida inget annat avtalas eller föreskrivs i lag har
direktiv 95/46/EU beträffande skydd av personliga
kontrollern rätt till att komma åt och inspektera
data (dataskyddsdirektivet). Avtalet är avsett att
personliga data som bearbetas och systemen som
säkerställa
används för detta ändamål. Dataprocessorn tar på sig
att
registrerade
personers
personuppgifter inte används på olagligt sätt eller
röjs för obehöriga personer.
att tillhandahålla den nödvändiga hjälpen för detta.
Dataprocessorn har en skyldighet att behandla den
Avtalet reglerar dataprocessorns användning av
dokumentation och de personuppgifter som den får
personuppgifter - inklusive insamling, registrering,
tillgång till under detta avtal konfidentiellt. Denna
kompilering, lagring och leverans eller kombinationer
bestämmelsefortsätter att gälla efter avtalet har
av dessa - på uppdrag från den person eller
upphört.
organisation som är ansvarig för behandlingen av
uppgifter.
4
Enligt detta avtal är leverantören ”dataprocessorn"
och kunden är ”kontrollern”.
2


dataprocessorn, måste detta avtalas med kontrollern
skriftligen innan behandlingen av personuppgifter
Leverantören tillhandahåller tjänsterna på
påbörjas.
det sätt som anges i huvudavtalet
Ett dataprocessoravtal, vilket gäller behandlingen av
beträffande tjänster.
personuppgifter i enlighet med avtalet, har ingåtts
Förvaring av personuppgifter i
med Microsoft, som behandlar personuppgifter i
molntjänsterna, såväl som besiktning av
enlighet
personuppgifter relaterad till underhåll och
dataskyddsdirektivet.
support.
behandling kräver ett databehandlingsavtal baserat
Personuppgifter får inte användas på något
annat sätt än i syfte att underlätta
måste
personuppgiftslagen
I
den
mån
och
Microsofts
på EU:s standardavtal, ger kontrollern dataprocessorn
befogenhet att ingå sådana avtal på dess vägnar.
här.
Dataprocessorns skyldigheter
Dataprocessorn
med
Avtalad Bilaga 2 till det avtalet bifogas som Bilaga 1
tjänsterna.
3
Om dataprocessorn använder underleverantörer eller
andra personer som inte vanligtvis är anställda av
Syfte

Användning av underleverantör
följa
rutinerna
5
och
anvisningarna för behandling som kontrollern har
beslutat ska gälla vid en viss tid.
Säkerhet
Dataprocessorn
enligt
måste
gällande
dataskyddsdirektiv.
uppfylla
säkerhetskraven
personuppgiftslag
Dataprocessorn
och
måste
dokumentera rutiner och andra åtgärder för att
Version oktober 2016
Sidan 1 av 8
uppfylla dessa krav. Denna dokumentation måste
med avtalet inom en skälig tidsperiod och senast 3
göras tillgänglig på kontrollerns begäran.
månader efter avtalet har upphört.
Meddelanden
om
bestämmelser
enligt
avvikelser
till
avtalets
personuppgiftslagen
dataskyddsdirektivet
dataprocessorn
från
måste
eller
skickas
kontrollern.
av
Kontrollern
avtalets
bestämmelser
till
den
kommer att faktureras till dataprocessorns timtaxa
vid tiden ifråga.
är
ansvarig för att skicka meddelandet om avvikelser
från
Kostnader med att returnera och/eller radera data
lokala
9
Val av lag och laga domstol
dataskyddsmyndigheten.
Avtalet är underkastat kontrollerns jurisdiktion och
6
avtalet.
laga domstol. Detta gäller även efter uppsägelse av
Säkerhetsgranskningar
Regelbundna
säkerhetsgranskningar
utförs
på
systemen och dylikt som täcks av avtalet.
Granskningen kan bestå av en granskning av rutiner,
punktkontroller, mer utförliga besiktningar och andra
lämpliga kontrollåtgärder. Kontrollern åtar sig att
betala alla kostnaderna för sådana granskningar. Om
granskningen avslöjar väsentliga fel eller defekter
måste
dataprocessorn
betala
kostnaderna
för
granskningen.
_______________________
Christian Schøyen
Country Manager
Tieto Norway AS
7
Avtalets längd
Detta avtal gäller så länge dataprocessorn behandlar
personuppgifter på uppdrag från kontrollern.
Vid brott mot detta avtal, personuppgiftslagen eller
dataskyddsdirektivet, har kontrollern rätt att beordra
dataprocessorn
att
avbryta
eventuell
vidare
behandling av data med omedelbar verkan.
8
Vid uppsägelse av avtalet
Vid uppsägelse av avtalet måste dataprocessorn
lämna
tillbaka
alla
personuppgifter
som
har
mottagits på kontrollerns vägnar och som täcks av
detta avtal.
Dataprocessorn måste, på ett sätt som ska avtalas, ta
bort eller förstöra alla dokument, data, diskar, cdskivor etc som innehåller information som täcks av
detta
avtal.
Detsamma
gäller
eventuella
säkerhetskopior.
Dataprocessorn måste dokumentera skriftligen att
borttagning och/eller förstörelse har utförts i enlighet
Version september 2016
Bilaga 2
till standardavtalet
Denna bilaga utgör en del av klausulerna i
avtalet och måste fyllas i och undertecknas av
parterna.
Beskrivning av de tekniska och
organisationsmässiga säkerhetsåtgärderna som
har implementerats av dataimportören i
enlighet med klausul 4(d) och 5(c) (eller bifogat
dokument/lagstiftning):
1. Allmänna villkor
a.
Parternas
avsikt.
Med
avseende
på
plattformstjänsterna
är
Microsoft
en
dataprocessor
underprocessor)
som
(eller
agerar på kundens uppdrag. I egenskap av
dataprocessor (eller underprocessor) handlar
Microsoft enbart på kundens anvisningar.
Windows Azure DPA och registrering (inklusive
villkoren som inkorporeras däri) är kundens
fullständiga och slutgiltiga anvisningar till
Microsoft
beträffande
behandlingen
av
kunddata. Eventuella ytterligare eller alternativa
anvisningar måste godkännas enligt förfarandet
antingen: (1) ge kunden möjlighet att korrigera,
ta bort eller spärra kunddata eller (2) göra
sådana korrigeringar, borttagningar eller
blockeringar på kundens vägnar.
e. Dataskyddsansvarig. Microsofts
dataskyddsrepresentant för Europeiska
ekonomiska samarbetsområdet samt Schweiz
kan nås på följande adress:
Microsoft Ireland Operations Ltd.
Attn: Privacy Officer
Carmenhall Road
Sandyford, Dublin 18, Ireland
2. Säkerhet
a.
Allmänna
rutiner.
Microsoft
har
implementerat och kommer att underhålla för
plattformtjänsterna
lämpliga
tekniska
och
organisationsmässiga
åtgärder,
kontroller
informationsmässiga
och
interna
säkerhetsrutiner avsedda att skydda kunddata
mot oavsiktlig förlust, förstörelse eller ändring;
obehörigt röjande eller åtkomst; eller olaglig
förstörelse. Kunden är fullständigt ansvarig för
att
implementera
och
upprätthålla
säkerhetsåtgärder inuti eventuella program som
för ändring av kundens registrering.
tillhandahålls av kunden eller på kundens
b. Databehandlingens längd och ändamål.
Databehandlingens längd ska vara den
tidsperiod som anges vid registreringen.
Databehandlingens ändamål är utförandet av
plattformstjänsterna.
b.
c. Databehandlingens omfattning och
ändamål. Omfattningen och ändamålet med
behandlingen av kunddata, inklusive eventuella
personuppgifter som ingår i kunddata, beskrivs
i detta Windows Azure DPA och registreringen.
d. Åtkomst till kunddata. Under den
tidsperiod som anges vid registreringen
kommer Microsoft, vid dess val och efter
behov enligt gällande lag som implementerar
artikel 12(b) av EU:s dataskyddsdirektiv,
Version september 2016
uppdrag, för användning i plattformstjänsterna.
Basplattformstjänster.
basplattformstjänster
har
För
Microsoft
implementerat och kommer att upprätthålla
följande:
(i)
Domän:
organisation
av
informationssäkerhet.
1) Säkerhetsansvarig. Microsoft har utsett en
eller fler säkerhetsansvariga som är ansvariga
för att samordna och övervaka säkerhetsregler
och -rutiner.
2) Säkerhetsroller och -ansvar. Microsoft-
A. Microsoft informerar sin personal
personal med åtkomst till kunddata är skyldiga
beträffande relevanta säkerhetsrutiner
att behandla information konfidentiellt.
och deras respektive roller. Microsoft
informerar
3) Riskhanteringsprogram. Microsoft har utfört
B. Microsoft använder endast anonyma
4) Microsoft behåller dess säkerhetsdokument
bestämmelser
personal
säkerhetsregler och rutiner.
eller basplattformstjänsterna startas.
dess
sin
beträffande möjliga följder av brott mot
en riskbedömning innan kunddata behandlas
enligt
även
data i utbildningssyfte.
beträffande
dokumentbevarande efter de har upphört att
gälla.
(iv)
Domän:
fysisk
säkerhet
och
miljösäkerhet.
1)
(ii) Domän: tillgångsförvaltning.
1) Tillgångsinventering. Microsoft har en
inventering över alla media där kunddata finns
lagrade. Tillgång till inventeringarna av sådana
media är begränsade till Microsoft-personal
med skriftligt tillstånd till sådan åtkomst.
A. Microsoft begränsar åtkomsten till
kunddata. Kunden kan implementera
kryptering av kunddata inuti kundens
program. Microsoft begränsar utskrift
av kunddata och har rutiner för att
utskrivna
material
som
innehåller kunddata.
B. Microsoft-personal måste erhålla
tillstånd från Microsoft innan kunddata
lagras på portabla enheter, kommer åt
kunddata
från
annan
plats
eller
åtkomst
Microsoft
till
begränsar
anläggningar
där
anläggningarna.
åtkomsten
informationssystem
till
som
behandlar kunddata finns till identifierade
behöriga individer.
2) Fysisk åtkomst till komponenter. Microsoft
sparar
2) Tillgångshantering.
kassera
Fysisk
uppgifter
om
inkommande
och
utgående media som innehåller kunddata,
inklusive
typen
av
media,
behörig
sändare/mottagare, datum och tid, antalet
media samt typerna av kunddata de innehåller.
3) Skydd från avbrott. Microsoft använder
flera olika industristandardsystem för att skydda
mot förlust av data p.g.a. strömavbrott eller
störningar på linjen.
4) Kassering av komponenter. Microsoft
använder standardmässiga rutiner för att ta bort
kunddata när de inte längre behövs.
behandlar kunddata utanför Microsofts
anläggningar. Detta inkluderar flyttbara
medier (t.ex. USB-minnen och cd-romskivor) samt dokument som innehåller
kunddata från Microsofts anläggningar.
(v)
Domän:
kommunikations-
och
verksamhetshantering.
1)
Driftspolicy.
Microsoft
säkerhetsdokument
som
upprätthåller
beskriver
dess
säkerhetsmått och dess personals relevanta
(iii) Domän: säkerhet på personalavdelning.
1) Säkerhetsutbildning.
rutiner och
kunddata.
2)
skyldigheter
åtkomst
till
Dataåterställningsrutiner.
Plattformstjänsterna
Version september 2016
vid
inkluderar
kopieringsfunktioner
som
underlättar
3)
Skadlig
programvara.
kontroller
maskin
Microsoft-
programvara får obehörig tillgång till kunddata,
datacenter. Kunder är ansvariga för att vidta
inklusive skadlig programvara med ursprung i
offentliga nätverk.
kluster
inuti
ytterligare
åtgärder
för
feltolerans,
såsom
att
säkerhetskopior
av
ett
att
tillhandahålla
skapa
historiska
kunddata,
lagra
säkerhetskopior av kunddata från plattformen,
implementera redundanta beräkningsinstanser
inom
och
mellan
datacenter
eller
säkerhetskopiera tillstånd och data inuti en
förhindrar
att
har
återställning av kunddata vid haveri av en viss
eller
som
Microsoft
skadlig
4) Data bortom gränser.
A. Microsoft ger kunden möjlighet att
kryptera kunddata som överförs till och
från Microsofts datacenter via offentliga
nätverk.
virtuell maskin.
A. På kontinuerlig basis, men under alla
omständigheter inte mindre ofta än en
gång i veckan (såvida inga kunddata har
uppdaterats under den tidsperioden),
upprätthåller Microsoft flera kopior av
kunddata från vilka kunddata kan
återställas.
Microsoft
sparar
inte
Microsoft
använder
kryptering
för
kopiering av icke-offentliga kunddata
mellan Microsofts datacenter.
B. Microsoft begränsar åtkomsten till
kunddata i media som lämnar dess
anläggningar (t.ex. via kryptering).
tillstånd eller data inuti en virtuell
maskin som ska återställas till sitt
ursprungliga tillstånd.
B. Microsoft lagrar kopior av kunddata
och dataåterställningsrutiner på en
annan
plats
än
var
datorutrustningen
den
som
primära
behandlar
(vi) Domän: åtkomstkontroll.
1) Policy beträffande åtkomst. Microsoft har
ett register över säkerhetsbehörigheter för
personer med åtkomst till kunddata.
2) Behörig åtkomst.
kunddata finns.
A.
C. Microsoft har specifika rutiner som
uppdaterar ett register över personal
reglerar
tillgången
till
kopior
av
kunddata.
D.
Microsoft
går
dataåterställningsrutiner
igenom
minst
var
sjätte månad.
E.
Microsoft
dataåterställningsarbeten,
loggar
inklusive
beskrivningen av de återställda data,
samt i tillämpliga fall, ansvarig person
samt vilka data (om sådana finns) som
behövde matas in manuellt under
dataåterställningen.
Version september 2016
Microsoft
upprätthåller
och
som är behörig att komma åt Microsoftsystem som innehåller kunddata.
B.
Microsoft
autentiseringsuppgifter
avaktiverar
som
inte
används under en viss tid, högst sex
månader.
C. Microsoft identifierar den personal
som kan bevilja, ändra eller avbryta
behörig åtkomst till data och resurser.
3) Minimal behörighet.
A. Teknisk support-personal får endast
ha åtkomst till kunddata när det behövs.
B. Microsoft begränsar åtkomsten till
lösenorden
kunddata till enbart de personer som
distribueras, samt vid lagring.
kräver sådan åtkomst för att utföra sin
jobbfunktion.
när
de
tilldelas
och
6) Nätverksdesign. Microsoft har kontroller
som förhindrar att personer antar behörigheter
som de inte har tilldelats för att få åtkomst till
4) Integritet och konfidentialitet. Microsoft
instruerar Microsofts personal att avaktivera
administrativa
sessioner
vid
utträde
kunddata som de inte har behörighet att
komma åt.
från
anläggning som Microsoft kontrollerar eller när
datorer i övrigt lämnas utan tillsyn.
(vii)
5) Autentisering.
1) Incidentrespons. Microsoft har ett register
Domän:
hantering
av
informationssäkerhetsincident.
A. Microsoft använder standardrutiner
över
för
autentisera
beskrivning av överträdelsen, tidsperioden,
användare som försöker komma åt
följderna av överträdelsen, anmälarens namn
informationssystem.
och
B. När autentiseringsmekanismer är
överträdelsen anmäldes
återställande av data.
att identifiera och
baserade på lösenord kräver Microsoft
2)
att lösenorden förnyas regelbundet.
C. När autentiseringsmekanismer är
baserade på lösenord kräver Microsoft
att lösenordet innehåller minst åtta
säkerhetsöverträdelser,
namnet
på
personen
samt
Serviceövervakning.
med
till
en
vilken
rutinen
för
Microsofts
säkerhetspersonal verifierar loggar minst var
sjätte månad för att föreslå lämpliga åtgärder
vid behov.
tecken.
D.
Microsoft
avaktiverade
säkerställer
eller
att
upphörda
identifierare inte tilldelas de andra
personerna.
E. Microsoft övervakar eller gör det
möjligt
för
kunden
att
övervaka
upprepade försök att få tillgång till
kunddata med ett ogiltigt lösenord.
F.
Microsoft
standardmässiga
upprätthåller
rutiner
för
att
avaktivera lösenord som har skadats
eller röjts oavsiktligt.
G. Microsoft använder standardmässiga
rutiner för att skydda lösenord, inklusive
rutiner som är avsedda att upprätthålla
konfidentialiteten och integriteten hos
Version september 2016
(viii) Domän: Kontinuitet i verksamheten.
1) Microsoft har nödsituations- och
beredskapsplaner för anläggningar med
Microsoft-informationssystem som behandlar
kunddata.
2) Microsofts redundanta lagring och dess
rutiner för återställande av data är avsedda att
rekonstruera kunddata till dess senast
kopierade tillstånd före tidpunkten då det
förlorades eller förstördes. Återställande av
virtuella maskiner sker till deras originalbild.
(ix) Säkerhetsåtgärderna som beskrivs i del 4
är Microsofts enda ansvar med avseende på
säkerheten hos kunddata. För kunddata
ersätter dessa åtgärder eventuella
konfidentialitetsskyldigheter som ingick i
registreringen eller i annat avtal mellan
Microsoft och kunden beträffande icke-röjande
av uppgifter.
(x) Datasäkerhetspolicy. Microsoft har
upprättat och samtycker till att upprätthålla en
datasäkerhetspolicy som uppfyller ISO 27001standarder för upprättande, implementering,
kontroll och förbättring av
informationssäkerhetshanteringssystemet och
ISO/IEC 27002 koden för bästa praxis för
informationssäkerhetshantering (“Windows
Azure informationssäkerhetspolicy”). På en
konfidentiell och behovsenlig basis, samt
underkastat kundens samtycke till de
skyldigheter gällande icke-avslöjande av
uppgifter som Microsoft specificerar, gör
Microsoft Windows Azure
informationssäkerhetspolicyn tillgänglig till
kunden, tillsammans med annan information
som tillbörligt begärs av kunden beträffande
Microsofts säkerhetsrutiner och -policyer.
Kunden är ensamt ansvarig för att förnya
Windows Azure informationssäkerhetspolicyn,
utföra en självständig bedömning av huruvida
Windows Azure informationssäkerhetspolicyn
uppfyller kundens krav samt för att säkerställa
att kundens personal och konsulter följer
riktlinjerna som tillhandahålls beträffande
datasäkerhet.
c. Certifieringar och revisioner.
(i) Microsoft kommer att utföra revision av
säkerheten hos datorer och datamiljön som
används vid behandlingen av kunddata
(inklusive personuppgifter) på
basplattformtjänsterna (revisionen täcker för
närvarande inte tjänster utanför
basplattformtjänsterna) och de fysiska
datacenter från vilka Microsoft tillhandahåller
alla plattformstjänster utom
innehållsleveransnätverket. Denna revision: (1)
kommer att utföras mins en gång om året; (2)
kommer att utföras i enlighet med ISO 27001
eller andra branschstandarder; (3) kommer att
utföras av tredje parts säkerhetspersonal enligt
Microsofts utbud och på dess bekostnad; (4)
kommer att resultera i skapande av en
revisionsrapport (“Microsoft revisionsrapport”),
vilken är Microsofts konfidentiella information;
samt (5) kan utföras för andra ändamål
Version september 2016
förutom att uppfylla kraven i detta avsnitt (t.ex.
som del av Microsofts reguljära interna
säkerhetsrutiner eller för att uppfylla andra
skyldigheter under avtalet).
(ii) Om kunden begär skriftlig revision kommer
Microsoft att tillhandahålla kunden en
konfidentiell sammanfattning av Microsofts
revisionsrapport (“sammanfattningsrapport”) så
att kunden skäligen kan verifiera Microsofts
efterlevnad av säkerhetsskyldigheterna enligt
denna Windows Azure DPA.
Sammanfattningsrapporten är konfidentiell
information tillhörande Microsoft.
(iii) Microsoft kommer att göra en skälig
ansträngning i god tro för att åtgärda (1)
eventuella fel som identifieras i en Microsoft
revisionsrapport som skäligen kan förmodas ha
en negativ inverkan på kundens användning av
plattformstjänsterna och (2) väsentliga
kontrollbrister som identifierats i Microsofts
revisionsrapport.
(iv) Revisionsskyldigheterna som beskrivs i del
2 C (i-iii) görs på kundens begäran för att
säkerställa en reguljär och konsekvent
revisionsprocess och ska gälla, utan
begränsning, behandling av kunddata
(inklusive personuppgifter) av Microsoft
Corporation enligt det standardmässiga avtalet
mellan kunden och Microsoft Corporation i
fullständig uppfyllelse av kundens rättigheter
som dataexportör enligt klausul 5, paragraf f
och klausul 12, paragraf 2 av det
standardmässiga avtalet för att utföra en
revision av databehandlingsanläggningarna
som används av Microsoft Corporation. För att
upprätthålla denna regelbundenhet och
konsekvens måste ändringar eller tillägg till
dessa revisionsskyldigheter göras i enlighet
med det standardmässiga avtalet. Microsoft
Corporation är en avsedd tredje parts
förmånstagare för denna del 2 C (iv).
3. Diverse
a. Konfidentialitet. Kunden ska behandla
innehållet i Säkerhetspolicy för Windows Azure
Information, Microsoft revisionsrapport och
sammanfattningsrapporten konfidentiellt och
ska inte avslöja innehållet för tredje part utom
kundens revisorer eller konsulter om de
behöver tillgång till innehållet i syfte att
upprätthålla detta affärsförhållande enligt
detta Windows Azure DPA samt registreringen.
b. Avtalstid och uppsägning. Detta Windows
Azure
DPA
sägs
upp
automatiskt
när
registreringen sägs upp eller upphör att gälla.
c. Företrädesordning. Om det finns en konflikt
mellan någon del av detta Windows Azure DPA
och
någon
del
av
registreringsavtalet,
Enterprise-avtalet eller tillämpligt Microsoft
Business-avtal/Microsoft Business and Servicesavtal ska detta Windows Azure DPA ha
företräde.
Dataexportör
Namn:
..............................................................................................
Behöriga namnteckningar
..............................................................................................
Dataimportör
Namn:
Behöriga namnteckningar
.............................................................................................
Version september 2016