DENIOS IoT-tjänsters användningsvillkor

Dessa användningsvillkor gäller för alla avtal för användning av DENIOS IoT-tjänster som består av webbaserade och mobila applikationer (hädanefter: "app") och, i förekommande fall, tillhörande hårdvara (hädanefter: "hårdvara", "enhet" eller "utrustning" ), som tillhandahålls användaren ("du", "er", "din") av DENIOS SE, Dehmer Straße 54-66, 32549 Bad Oeynhausen, Tyskland ("DENIOS", "vi", "vår", "oss").

1. Begränsning till företagare

DENIOS IoT-tjänsten tillhandahålls DENIOS endast företagare i enlighet med tyska civilrättslagen (BGB) 14 §. DENIOS IoT-tjänsterna har inte utvecklats för konsumenter och är inte heller lämpliga att användas av dessa.

2. Omfattningen av DENIOS IoT-tjänster

DENIOS IoT-tjänsten består av en hårdvarukomponent, en användningskomponent och ett Application Programming Interface ("API") baserat på denna, som tillhandahålls av DENIOS . I den mån du använder IoT-tjänsten gäller för dig dessa bestämmelser för respektive prestandakomponenter.

2.1 Omfattningen och komponenterna i de tjänster som DENIOS tillhandahåller dig baseras på den tjänstebeskrivning som gällde vid tidpunkten för avtalets ingående.

2.2 Noggrannheten, fullständigheten, riktigheten etc. hos de data som överförs från hårdvaran via API garanteras endast vid fackmässig användning.

2.3 DENIOS förbehåller sig rätten att ändra IoT-tjänsternas erbjudna prestationer och därmed även beskrivningen av tjänsterna, i den mån detta är rimligt för dig. DENIOS har i synnerhet rätt att lägga till, anpassa eller ta bort funktioner eller begränsa antalet transaktioner som bearbetas via API för att undvika överbelastningar (rate limit). Omfattningen och typen av IoT-tjänsternas funktioner kommer därvid inte att underskrida de funktioner som enligt beskrivningen av tjänsterna tillhandahålls vid tidpunkten för avtalets ingående.

2.4 DENIOS förbehåller sig rätten att avbryta alla eller delar av IoT-tjänsternas funktioner med en förhandsanmälan på fyra veckor. Om du har köpt hårdvara hos oss som enligt avtal inkluderar IoT-tjänsterna kommer vi inte att avbryta loT-tjänsternas funktioner förrän avtalstiden eller garantitiden är slut, beroende på vilket som inträffar senare.

3. Användning av IoT-tjänsten

Beroende på typ av IoT-tjänster kan de användas antingen via en webbaserad eller mobil användning (app) eller vid behov för vissa tjänster via båda varianterna parallellt.

3.1 Användning av appen

3.1.1 Appen kan laddas ner från antingen Apple App Store för iOS-enheter eller Google Play Store för Android-enheter (tillsammans: "App Stores"). Nedladdningen sker via respektive nedladdningsknapp eller en liknande funktion i App Store. 

3.1.2 Att ladda ner och använda denna app är gratis och inte begränsat till ett visst antal personliga enheter.

3.1.3 Funktionerna i appen kan dock inte användas utan en aktiv internetuppkoppling. I samband med användningen av dessa enskilda funktioner i appen via Internet kan kostnader uppstå som beror på ditt avtal med din kommunikationsleverantör.

3.2 Användning av den webbaserade lösningen

Den webbaserade versionen kan anropas via en tillhandahållen länk med hjälp av en webbläsare.

3.3 Användning av hårdvaran

Användningen av hårdvaran beskrivs och regleras i dess respektive giltiga bruksanvisning och allmänna affärsvillkor. Dessa förblir opåverkade av dessa användarvillkor.

3.4 Tillgång till IoT-tjänsterna

3.4.1 För att permanent kunna använda IoT-tjänsternas funktioner måste du skapa ett användarkonto ("Konto"). Registrering kan göras via appen. Vi kan be dig i ett e-postmeddelande att bekräfta din e-postadress och kontoinställningar genom att klicka på bekräftelselänken i ett e-postmeddelande som DENIOS skickat till dig; i detta fall kommer registreringen endast att ske efter att du har klickat på denna länk och DENIOS bekräftat att registreringsprocessen har slutförts.

3.4.2 Åtkomstdata för användning av IoT-tjänsterna måste behandlas konfidentiellt och är uteslutande avsedda att användas av användaren. I synnerhet får åtkomstuppgifterna inte vidarebefordras till tredje part. Du är själv ansvarig för att hålla inloggningsuppgifterna till ditt konto, i synnerhet lösenordet, hemliga. Om du har anledning att tro att ditt konto inte längre är säkert (till exempel om tredje part känner till ditt lösenord) är du skyldig att omedelbart informera DENIOS om detta.

3.4.3 Genom att skapa ditt konto garanterar du att den information som krävs för registrering är korrekt, uppdaterad och fullständig. Vid eventuella ändringar kommer du omedelbart att ändra dina uppgifter i appen.

3.4.4 Vi förbehåller oss rätten att, efter eget gottfinnande, tillfälligt stänga av din åtkomst och användning av någon tjänst om vi identifierar, misstänker eller upptäcker någon skada på DENIOS IoT-tjänsterna i samband med ditt konto eller användning av någon tjänst av dig, agenter eller slutanvändare. 

3.5 Varaktighet för möjligheten att hantera hårdvarukomponenter

3.5.1 Enskilda hårdvarukomponenter som är integrerade i IoT-tjänsterna kan hanteras med hjälp av IoT-tjänsterna under hårdvarukomponentens livslängd i enlighet med uppgifterna i tillämpliga bruksanvisningar och avtalsvillkor. Vid slutet av livslängden upphör hanteringsmöjligheten.

3.5.2 Upp till fyra veckor efter slutet på livslängden för den senast hanterade enheten kan du fortfarande komma åt loT-tjänsternas webbgränssnitt eller app för att hämta uppgifterna från dina hårdvarukomponenter. DENIOS har därefter rätt att radera uppgifterna samt att inaktivera dina inloggningsuppgifter.

4. Inkluderande av användningsvillkoren

4.1 Dessa användningsvillkor kommer att bli en del av avtalsförhållandet mellan dig och oss när du registrerar dig för våra IoT-tjänster eller på annat sätt ingår ett avtal med oss om IoT-tjänsterna. Dina avvikande affärsvillkor kommer inte att bli en del av avtalet, utom när vi uttryckligen godkänner dem skriftligen. Om vi utför tjänster utan invändningar innebär detta inte att vi accepterar några av dina affärsvillkor.

4.2 Vi kommer att behålla en kopia av dessa användarvillkor. Du kan hämta en kopia av dessa användningsvillkor via vår webbplats på www.denios.se.

4.3 Du säkerställer att användningsvillkoren också följs för varje ytterligare användare av IoT-tjänsterna utan ytterligare bekräftelse.

5. Ändringar av användningsvillkoren

5.1 DENIOS förbehåller sig rätten att ändra dessa användningsvillkor fyra (4) veckor i förväg om detta visar sig vara nödvändigt, till exempel på grund av appens vidareutveckling, införande av nya funktioner, tekniska eller operativa frågor eller på grund av lagändringar. Detta omfattar inte väsentliga förändringar av tjänsternas grundläggande funktioner. DENIOS kommer att tillkännage respektive ändring via e-post. Samtidigt informeras du uttryckligen om att respektive ändring kommer att bli föremål för avtalet mellan DENIOS och dig på grundval av dessa användningsvillkor om du inte gör invändningar gällande mot denna ändring inom fyra (4) veckor efter ändringens tillkännagivande. Om du invänder har varje part rätt att säga upp avtalet med en uppsägningstid om fyra (4) veckor skriftligen eller via e-post.

5.2 Automatiska uppdateringar och uppgraderingar tillhandahålls av DENIOS antingen via appbutikerna eller via automatisk uppdatering av webbanvändningen och kan, beroende på enhetsinställningarna, installeras utan ditt separata medgivande.

6. IoT-tjänsternas tillgänglighet

6.1 DENIOS strävar efter att säkerställa en kontinuerlig tillgänglighet av de tjänster som krävs för detta, men kan inte garantera att det inte blir några avbrott.

6.2 Möjliga är i synnerhet tillfälliga avbrott i tillgängligheten på grund av underhållsarbeten, störningar på internet hos externa nätoperatörer, andra tekniska orsaker och force majeure.

6.3 Den specifika tillgängligheten beror på den tillhörande hårdvaran eller tjänstemodellen.

7. Uppgiftsskydd

7.1 Om DENIOS vid tillhandahållandet av tjänsterna får tillgång till dina personuppgifter kommer DENIOS att iaktta de tillämpliga dataskyddsbestämmelserna, i synnerhet behandla personuppgifter uteslutande i syfte att tillhandahålla tjänsterna, säkerställa att våra anställda endast har tillgång till uppgifterna när det absolut är nödvändigt och dessutom se till att de anställda som har åtkomst till dina personuppgifter som en del av IoT-tjänsten, skriftligen förbinder sig till datasekretess och instrueras om vilka dataskyddsbestämmelser som ska iakttas. Detta ska kunna bevisas för kunden på förfrågan. DENIOS kommer att skydda de personuppgifter som behandlas inom ramen för IoT-tjänsterna i enlighet med den senaste tekniken.

7.2 För det fall att personuppgifter behandlas av DENIOS för din räkning gäller automatiskt bestämmelserna i personuppgiftsbiträdesavtalet i Bilaga 1. Bilaga 1 blir automatiskt en del av detta avtal när du registrerar ett användarkonto.

8. Immateriella rättigheter

8.1 Appen samt bilder och annat innehåll som görs tillgängligt via appen (tillsammans "innehåll") skyddas av upphovsrätten och närstående rättigheter i Tyskland och andra länder. DENIOS ger dig en begränsad, icke-exklusiv, icke-överlåtbar och icke-underlicensierbar rätt att använda appen och innehållet.

8.2 I övrigt gäller de lagstadgade bestämmelserna om upphovsrätt för programvara och andra verk samt närstående rättigheter. Såvida DENIOS inte uttryckligen har samtyckt till det eller obligatoriska lagstadgade bestämmelser tillåter det, får du i synnerhet inte: 

8.2.1 Kopiera appen eller respektive innehåll, förutom (i) i den utsträckning det krävs för att ladda ner, installera och använda appen på dina enheter, för att skapa ett rimligt antal säkerhetskopior, eller (ii) i den utsträckning som annars är tillåten enligt dessa användningsvillkor;

8.2.2 Sälja, hyra ut eller på annat sätt distribuera appen till tredje part.

8.2.3 Bearbeta eller på annat sätt förändra appen.

8.2.4 Dekryptera, demontera, dekompilera eller på annat sätt utföra reverse engineering av appen, om inte förutsättningarna i upphovsrättslagen (§ 69e UrhG) gäller.

8.2.5 Försöka någon av åtgärderna enligt punkt 7.2.1 till 7.2.4.

9. Missbruk

Du får inte använda DENIOS app eller databehandlingssystem för kriminella handlingar, begå andra kriminella handlingar på bekostnad av DENIOS eller begå andra handlingar i syfte att orsaka DENIOS skada på ett rättsstridigt sätt. I synnerhet får du inte:

9.1 Hacka, sabotera eller på annat sätt försämra eller göra de databehandlingssystem obrukbara som används av DENIOS för att tillhandahålla appen eller innehållen. Det samma gäller för andra databehandlingssystem på DENIOS.

9.2 Överdriven användning av appen eller på annat sätt överdriven åtkomst till databehandlingssystemen, det vill säga i en omfattning som vida överstiger normal användning för att överbelasta systemen på DENIOS (så kallad denial-of-service attack).

9.3 Kringgå tekniska begränsningar för appen för att få åtkomst till innehåll eller funktioner som inte är licensierade till dig.

9.4 Försöka någon av åtgärderna enligt punkt 8.1 till 8.3.

10. Uppsägning

10.1 Om det inte finns några andra avtalsförpliktelser, har DENIOS rätt att säga upp avtalet för användning av IoT-tjänsterna i enlighet med dessa användningsvillkor med en uppsägningstid på fyra (4) veckor.

10.2 DENIOS har dessutom rätt att säga upp avtalet av viktiga skäl, i synnerhet om du:

10.2.1 Vid registreringen i motsats till punkt 3.5 lämnat felaktiga eller ofullständiga uppgifter eller inte uppdaterat dina uppgifter och (i) inte har korrigerat eller kompletterat dina uppgifter inom en period på minst trettio dagar som meddelats av oss i textform, eller (ii) vi inte har kunnat kontakta dig eftersom e-postadressen du angett var ogiltig.

10.2.2 Om du i motsats till punkt 7.2 gör intrång på rättigheter som tillhör DENIOS eller tredje parter.

10.2.3 Om du i motsats till punkt 8 använder appen på ett otillåtet sätt eller skadar DENIOS.

10.2.4 På annat sätt i väsentlig omfattning bryter mot användningsvillkoren.

10.3 Du kan säga upp ditt konto och därmed dessa användningsvillkor när som helst genom att skicka din begäran om uppsägning till e-postadressen sales@denios.com. Vi vill påpeka att fullständig radering endast sker efter utgång av lagstadgade lagringsskyldigheter och - utanför ett personuppgiftsbiträdesavtal enligt punkt 7.2 - även efter att lagring för andra legitima ändamål har upphört; information om detta finns i vår integritetspolicy.

11. DENIOS ansvar

11.1 DENIOS ansvarar obegränsat för uppsåt och grov vårdslöshet vid skador på liv, kropp eller hälsa, vid brott mot en garanti, anspråk enligt produktansvarslagen och i fall av obligatoriskt lagstadgat ansvar (till exempel produktsäkerhetslagen) för all skada som orsakats.

11.2 Vid enkel vårdslöshet ansvarar DENIOS endast vid överträdelse av väsentliga avtalsförpliktelser. I dessa fall begränsas ansvaret till beloppet för den förutsebara skada som man typiskt sett måste förvänta för avtal av denna typ. En väsentlig avtalsförpliktelse i ovannämnd mening är en förpliktelse som är väsentlig för att avtalets syfte ska uppnås eller vars fullgörande krävs för att möjliggöra ett korrekt genomförande av avtalet och på vars iakttagande användaren regelbundet kan lita på. Den förutsebara, avtalstypiska skadan är sådan som typiskt sett kan förväntas i ett normalt skadeförlopp.

11.3 Vid initiala defekter är ansvar utan vållande för DENIOS uteslutet. DENIOS ansvarar i detta sammanhang endast vid grov vårdslöshet eller uppsåt.

11.4 I övrigt är ansvar för DENIOS uteslutet.

11.5 DENIOS ansvarar inte vid force majeure. Force majeure är alla omständigheter och händelser som ligger utanför DENOIS ansvarsområde, såsom till exempel strejker, lockouter, naturfenomen, katastrofer, myndighetsingrepp, lagstadgade förbud, epidemier eller andra händelser som orsakar att DENIOS utan egen förskyllan hindras i utförandet av sina prestationer.

12. Driftföretagets skyldigheter

12.1 De krävs för att lagstadgade föreskrifter ska kunna iakttas vid användning av DENIOS IoT-tjänster och måste dessutom säkerställa iakttagandet av detta användningsavtal vid användning av tjänster från tredje parter (till exempel kontaktdon).

12.2 Även när du använder IoT-tjänsterna som tillhandahålls av DENIOS är du enligt lag skyldig att iaktta dina skyldigheter som driftföretag. DENIOS ansvarar inte för efterlevnaden av driftföretagets skyldigheter. För tydlighetens skull påpekas att DENIOS inte ansvarar för skador som orsakas av:

• Att ingen internetanslutning är tillgänglig.

• Underlåtenhet att leverera ett larmmeddelande i händelse av tekniska fel.

• Icke fackmässig användning av hårdvaran.

• Användningsfel genom användaren av IoT-tjänsterna.

13. Slutbestämmelser

13.1 Om enskilda klausuler i dessa användningsvillkor är eller blir helt eller delvis ogiltiga eller omöjliga att verkställa, ska detta inte påverka giltigheten av de återstående bestämmelserna.

13.2 Dessa användningsvillkor omfattas av lagarna i Förbundsrepubliken Tyskland. FN-konventionen från 1980 angående avtal om internationella köp av varor är inte tillämplig.

13.3 Såvida du är en köpman, en juridisk person enligt offentlig rätt eller öronmärkta kontomedel, är laga domstol Bad Oeynhausen. Vi har dock fortfarande rätt att väcka talan vid din behöriga domstol.

Dessa bestämmelser i personuppgiftsbiträdesavtalet reglerar parternas rättigheter och skyldigheter när det gäller behandlingen av personuppgifter genom DENIOS för din, "Kundens", räkning enligt användningsvillkoren för DENIOS IoT-tjänster ("Avtal"). Bestämmelser om behandling av personuppgifter är en bindande del av avtalet.

§ 1 Uppdragets föremål, typ, omfattning och syfte

1.1. Föremål, typ, omfattning och syfte med databehandlingen anges i avtalet.

1.2. All överföring av personuppgifter inom ramen för avtalet till ett tredjeland är föremål för iakttagande av de särskilda kraven i artiklarna 44 till 49 i GDPR. I alla fall där parterna använder standardavtalsklausulerna för överföring av personuppgifter till ett personuppgiftsbiträde som har sitt säte i ett tredjeland i enlighet med Europaparlamentets och rådets direktiv 95/46/EG (EGT. L 39 från 22.12.2010, sid 5 ff.) eller en annan version, som ersätter denna version (nedan: standardavtalsklausuler), ska bestämmelserna i standardavtalsklausulerna i händelser av konflikt ha företräde framför klausulerna i detta personuppgiftsbiträdesavtal.

§ 2 Uppdragets varaktighet

2.1 Uppdragets löptid beror på avtalets löptid och slutar med radering av all data.

2.2 Kunden kan säga upp detta personuppgiftsbiträdesavtal med omedelbar verkan om det finns en viktig anledning, i synnerhet om DENIOS bryter mot väsentliga skyldigheter i detta personuppgiftsbiträdesavtal eller om DENIOS begår ett allvarligt brott mot tillämplig uppgiftsskyddslagstiftning.

§ 3 Typ av data som ska behandlas

De uppgifter som tillhandahålls DENIOS eller görs tillgängliga inkluderar personuppgifter i enlighet med GDPR. I synnerhet behandlas följande kategorier av uppgifter:

• Internetanvändningsdata (information om webbläsaren, operativsystemet, kontrollerade funktioner, datum och tid för åtkomst, användarnamn, IP-adresser, transaktionsloggar, inloggningsuppgifter)

• Kontaktuppgifter (namn, (mobil-) telefonnummer, e-post-adresser, adresser)

§ 4 Registrerade personer

De grupper av registrerade som berörs av databehandlingen som utförs av DENIOS inkluderar:

• Nuvarande/tidigare användare av IoT-tjänster

• Nuvarande/tidigare anställda i företaget, som använder IoT-tjänsterna

• Eventuellt nuvarande/tidigare anställda i anslutna företag om deras personuppgifter behandlas av företaget som använder IoT-tjänsterna

§ 5 Skyldigheter som åligger DENIOS

5.1. DENIOS åtar sig gentemot kunden att med största omsorg iaktta tillämplig uppgiftsskyddslagstiftning och bestämmelserna i detta personuppgiftsbiträdesavtal.

5.2. DENIOS vidtar lämpliga tekniska och organisatoriska åtgärder i enlighet med artikel 24 i GDPR för att iaktta tillämplig uppgiftsskyddslagstiftning, i synnerhet för att säkerställa behandlingens säkerhet i överensstämmelse med artikel 32 i GDPR.

5.3. DENIOS övervakar och dokumenterar fullgörandet av sina skyldigheter enligt avtalsbestämmelserna och uppgiftsskyddslagstiftningen och förser kunden på begäran med nödvändig information och lämpliga bevis. Detta omfattar även övervakningen av utförandet av databehandlingen inom ramen för uppdraget och de tekniska och organisatoriska åtgärder som vidtas.

5.4. DENIOS säkerställer att uppgifternas konfidentialitet upprätthålls. För detta ändamål kommer DENIOS att göra alla anställda som inom ramen för personuppgiftsbiträdesavtalet har tillgång till kundens personuppgifter bekanta med gällande uppgiftsskyddslagstiftning och kommer att ålägga dem skriftligen att inte behandla dessa personuppgifter utan behörighet. På kundens begäran kommer DENIOS att visa kunden dessa förklaringar.

5.5. DENIOS använder de uppgifter som tillhandahållits uteslutande på grundval av nämnda personuppgiftsbiträdesavtal. All ytterligare behandling eller användning av uppgifterna för ett annat ändamål än det i avtalet (till exempel för egna ändamål DENIOS eller för tredje parters ändamål) samt överföring av uppgifterna till tredje part är uttryckligen utesluten, om inget annat skriftligen överenskommits och såvida inte uppgifterna har anonymiserats före sådan behandling.

5.6. Därutöver får DENIOS inte kopiera de uppgifter som tillhandahållits till datamedier eller kopiera dem på annat sätt eller göra dem tillgängliga för tredje part, utan att kunden har gett sitt uttryckliga skriftliga samtycke.

5.7. Om tillsynsmyndigheter kräver information från kunden eller vidtar åtgärder mot denne, kommer DENIOS på kundens begäran att tillhandahålla stöd i den utsträckning det är nödvändigt för att lösa ärendet.

5.8. Dessutom kommer DENIOS att tillhandahålla kunden lämpligt stöd för att uppfylla de skyldigheter som anges i artiklarna 32 till 36 i GDPR, i den mån databehandlingen sker enligt personuppgiftsbiträdesavtalet och i synnerhet förse kunden med all nödvändig information.

§ 6 Behandlingens säkerhet

6.1 DENIOS skyddar de uppgifter som tillhandahållits mot obehörig vidarebefordran och manipulation genom lämpliga tekniska och organisatoriska åtgärder i överensstämmelse med artikel 32 i GDPR. Uppgifter och system ska bland annat skyddas mot otillåten eller oavsiktlig förstörelse, oavsiktlig radering, tekniska defekter, förfalskning, stöld, olaglig användning, obehörig åtkomst samt obehörig ändring och otillåten kopiering, radering, vidarebefordran, åtkomst och annan typ av obehörig behandling. Dessutom måste DENIOS säkerställa att lämpliga åtgärder vidtas för att omedelbart återställa tillgången till personuppgifter och åtkomsten till dem i händelse av tekniska störningar och måste göra det möjligt att kontrollera effektiviteten av de tekniska och organisatoriska åtgärder som vidtas.

6.2 DENIOS säkerställer att de uppgifter som görs tillgängliga för behandling är strikt separerade från alla andra dataposter. Lagringsmedier som kunden tillhandahåller DENIOS måste märkas på motsvarande sätt. Mottagande och retur av sådana lagringsmedier ska dokumenteras.

6.3 DENIOS skapar ett säkerhetskoncept med de vidtagna åtgärderna och överför detta till kunden innan databehandlingen påbörjas. En dokumentation av åtgärderna ska bifogas personuppgiftsbiträdesavtalet som bilaga 1.

6.4 De tekniska och organisatoriska åtgärder som DENIOS ska vidta är föremål för ständig uppdatering och anpassning till den aktuella tekniska och organisatoriska standarden. Kunden ska informeras om alla väsentliga förändringar i samband med de tekniska och organisatoriska åtgärderna.

§ 7 Förfrågningar från registrerade

7.1 DENIOS kan endast korrigera, radera, blockera eller överföra uppgifter som behandlas inom ramen för avtalet efter kundens instruktion.

7.2 Om en registrerad vänder sig direkt till DENIOS för att göra sina rättigheter gällande, i synnerhet de som nämns i artiklarna 12 till 23 i GDPR, i samband med behandlingen av personuppgifter, kommer DENIOS att vidarebefordra dessa förfrågningar till kunden omedelbart. DENIOS får endast vidarebefordra information till tredje part eller en registrerad om kundens i förväg lämnat sitt skriftliga samtycke. Detta gäller inte om DENIOS enligt lag är skyldig att vidarebefordra uppgifterna.

7.3 Om en registrerad kontaktar kunden kommer DENIOS att tillhandahålla kunden tillräckligt stöd för att kunna svara på den registrerades begäran. För detta ändamål måste DENIOS vidta lämpliga tekniska och organisatoriska åtgärder. 

§ 8 Överlåtelse av behandlingen av personuppgifter

8.1 DENIOS har rätt att anlita en tredje part för behandlingen av personuppgifterna. Den underleverantör som anlitats vid tidpunkten för ingåendet av detta personuppgiftsbiträdesavtal är:

ROBIOTIC GmbH

Oberes Feld 6

33106 Paderborn, Tyskland

8.2 DENIOS kommer att informera kunden om eventuella förändringar i sammanhang med tillägg av ny eller ersättning av befintlig underleverantör med hjälp av "Notification Bell" i webbgränssnittet. Kunden har rätt att invända mot dessa ändringar inom 10 dagar efter mottagandet av meddelande om ändringen. Om kunden inte invänder mot ändringen anses denna vara godkänd. Kunden kan endast göra invändningar av viktiga skäl, som dessutom måste styrkas gentemot DENIOS. Om kunden gör invändningar gällande har DENIOS rätt att säga upp detta personuppgiftsbiträdesavtal med en uppsägningstid om en månad från mottagandet av invändningen.

8.3 Avtalet mellan DENIOS och underleverantören ska i huvudsak innebära samma skyldigheter för underleverantören som DENIOS åläggs inom ramen för detta personuppgiftsbiträdesavtal. Parterna är överens om att detta krav är uppfyllt om avtalet har en skyddsnivå som motsvarar detta personuppgiftsbiträdesavtal eller om underleverantören uppfyller kraven i artikel 28.3 i GDPR.

8.4 Tjänster som DENIOS tar i anspråk från tredje part som en underordnad tjänst avsedd som stöd vid genomförande och behandling är inga underleverantörstjänster i enlighet med ovanstående bestämmelser. Till dessa hör till exempel telekommunikationstjänster, städtjänster, provningstjänster eller, under vissa omständigheter även underhållstjänster. För att säkerställa skyddet och säkerheten för kundens uppgifter och även för att säkerställa konfidentialiteten, åtar sig DENIOS, att ingå motsvarande och lämpliga avtal med externt anlitade underordnade tjänsteleverantörer och vidta kontrollåtgärder.

8.5 Vi har inte för avsikt att överföra personuppgifter till tredjeländer. Inom ramen för vårt samarbete med ROBIOTIC GmbH kan dina personuppgifter eventuellt överföras till Storbritannien och USA. Denna överföring utförs konsekvent på grundval av Standardavtalsklausuler från EU-kommissionen. Du ger oss därför behörighet att för din räkning ge ROBIOTIC GmbH behörighet att ingå motsvarande standardavtalsklausuler till din förmån.

§ 9 Kundens rätt till granskning

9.1 Kunden har rätt att i erforderlig utsträckning kontrollera om avtalsbestämmelserna och tillämplig uppgiftsskyddslagstiftning iakttas. Detta gäller i synnerhet även för de av DENIOS enligt detta personuppgiftsbiträdesavtal vidtagna tekniska och organisatoriska åtgärder. Om den information som tillhandahålls av DENIOS inom ramen för denna kontroll ger anledning till oro, för att DENIOS inte uppfyller en väsentlig skyldighet när det gäller avtalet eller uppgiftsskyddet, omfattar granskningsrätten även rätten att när som helst på plats få möjlighet att övertyga sig om att uppgifterna behandlas korrekt i överensstämmelse med uppgiftsskydds- och avtalsbestämmelserna samt att de tekniska och organisatoriska åtgärderna genomförs och efterlevs. Kunden har rätt att själv utföra dessa kontroller i samråd med DENIOS eller, i enskilda fall, låta utföra dem av tredje part som åläggs att iaktta konfidentialitet.

9.2 DENIOS kommer att på ett adekvat sätt stödja kunden vid utförandet av sådana kontroller, i synnerhet genom att ge tillträde till de lokaler där den relevanta behandlingen av personuppgifterna äger rum samt genom att tillhandahålla åtkomst till relevanta system och dokument. För detta ändamål ska kunden lämna en skriftlig ansökan minst två veckor i förväg.

9.3 Kostnaderna för en inspektion på plats betalas av kunden (inklusive samtliga resekostnader, samt det stöd för inspektionen genom DENIOS skyddsombud), förutsatt att inga betydande överträdelser av DENIOS mot denna bilaga 1 fastställs.

§ 10 Meddelanden genom DENIOS

10.1 DENIOS kommer omedelbart att informera kunden om alla förfrågningar från tillsynsmyndigheterna, i synnerhet om meddelade uppgiftsskyddskontroller, om databehandling berörs inom ramen för detta personuppgiftsbiträdesavtal.

10.2 DENIOS kommer omedelbart att informera kunden om allvarliga störningar vid behandlingen har inträffat, om det finns misstanke om brott mot uppgiftsskyddet, om ett brott mot bestämmelserna i detta personuppgiftsbiträdesavtal föreligger eller om andra oegentligheter har inträffat vid behandlingen av personuppgifter. Detta gäller i synnerhet förlust av personuppgifter som DENIOS har behandlat, obehörig eller oavsiktlig åtkomst av tredje part och/eller obehörig vidarebefordran av personuppgifter. Informationsskyldighet uppstår när det finns misstanke om att det finns en viss sannolikhet att störningar, överträdelser eller oegentligheter kan ha ägt rum.

10.3 DENIOS kommer i samråd med kunden omedelbart att vidta lämpliga åtgärder för att skydda uppgifterna och minska eventuella negativa konsekvenser för de registrerade. Om kunden omfattas av skyldigheter i enlighet med artikel 33 och/eller artikel 34 i GDPR måste DENIOS tillhandahålla kunden stöd på motsvarande sätt.

§ 11 Befogenhet att ge instruktioner

11.1 Behandlingen av personuppgifter som utförs av DENIOS, DENIOS anställda och respektive underleverantörer, som har åtkomst till dessa uppgifter, sker uteslutande inom ramen för avtalet och utifrån kundens dokumenterade instruktioner (jämför artikel 29 i GDPR). Kunden har en omfattande rätt att ge instruktioner om typ, omfattning och metod för databehandlingen. Detta kan specificeras i individuella instruktioner. I den mån DENIOS är föremål för en lagstadgad skyldighet som även tillåter annan behandling, kommer DENIOS att informera kunden om respektive lagstadgade krav, såvida inte ett sådant meddelande är förbjudet enligt lag.

11.2 DENIOS dokumenterar kundens instruktioner på lämpligt sätt. Instruktioner som ges muntligt måste omedelbart bekräftas skriftligen av kunden.

11.3 DENIOS kommer att informera kunden omedelbart om DENIOS anser att en instruktion bryter mot avtalsbestämmelser eller lagstadgade uppgiftsskyddsregler. Det finns ingen materiell lagstadgad skyldighet för DENIOS när det gäller att kontrollera instruktionerna från kunden. Om kunden bekräftar instruktionen och befriar DENIOS från konsekvenserna, kommer DENIOS att iaktta instruktionen.

§ 12 Radering eller återlämnande av uppgifter

12.1 Efter löptidens utgång, eller tidigare på kundens begäran, men senast vid den tidpunkt då uppdraget slutförs, måste DENIOS beroende på kundens val antingen lämna tillbaka alla personuppgifter som är associerade med uppdraget – oavsett om de befinner sig i dokument, i genererade behandlings- eller användningsresultat eller i dataposter – i allmänt läsbar form. En annan möjlighet är att med föregående samtycke, förstöra eller radera uppgifterna i enlighet med bestämmelserna i uppgiftsskyddslagstiftningen, såvida det inte finns en lagstadgad skyldighet att lagra dessa personuppgifter. Förstörelsen respektive raderingen måste bekräftas skriftligen gentemot kunden. När det gäller elektroniska uppgifter överförs behandlings- och användningsresultaten eller dataposterna i ett format som parterna kommer överens om eller – om ingen överenskommelse har träffats – på kommersiellt tillgängliga datamedier i ett standardiserat format som möjliggör strukturerad läsning.

12.2 Det finns ingen rätt till lagring av personuppgifter som har gjorts tillgängliga, insamlats eller behandlats av DENIOS inom ramen för detta avtalsförhållande. Det samma gäller för motsvarande datamedier.

§ 13 Övrigt

13.1 Dokument som styrker uppdragsenlig och korrekt databehandling ska av DENIOS även lagras efter avtalets utgång under respektive lagringstid.

13.2 Om kundens uppgifter hos DENIOS äventyras av åtgärder som vidtas av tredje part, till exempel på grund av utmätning, insolvens- eller ackordsförfarande eller en liknande händelse, måste DENIOS omedelbart informera kunden om detta.

13.3 I händelse av motstridigheter mellan avtalet och detta personuppgiftsbiträdesavtal ska personuppgiftsbiträdesavtalet ha företräde när det gäller frågor om uppgiftsskydd.

13.5 I tveksamma fall är den tyska formuleringen av detta personuppgiftsbiträdesavtal avgörande.

13.6 Tysk lag är tillämplig för detta personuppgiftsbiträdesavtal. Den behöriga domstolen beror på avtalet.

enligt artikel 28.3 (c), artikel 32 i GDPR i förening med artikel 5.1 stycke 2 i GDPR

1. Konfidentialitet

1.1 Åtkomstkontroll

Obehöriga ska nekas tillgång till databehandlingssystem med vilka personuppgifter behandlas och används.

Åtgärder som måste vidtas hos uppdragstagaren:

• Nyckelhantering / dokumentation av nyckeltilldelning

• Dörrlås (elektriska dörröppnare) i anslutning till passersystem

• Staketanläggningar

• Säkerhetsdörrar och -fönster

• Larmsystem

• Övervakningskamera

• Visuella kontroller och besöksbok i receptionen

1.2 Tillträdeskontroll

Det måste förhindras att databehandlingssystem kan användas av obehöriga.

Åtgärder som måste vidtas hos uppdragstagaren:

• Personlig och individuell användarinloggning vid inloggning på systemet respektive företagets nätverk

• Lösenordsprocedur (specifikation av lösenordsparametrar när det gäller komplexitet och uppdateringsintervall)

• Blockering av klienter efter en viss tid utan användaraktivitet (även lösenordsskyddad skärmsläckare eller automatisk pauskoppling)

1.3 Åtkomstkontroll

Det måste säkerställas att de som har behörighet att använda ett databehandlingssystem endast kan få åtkomst till de uppgifter som omfattas av deras åtkomstbehörighet och att personuppgifter vid behandlingen, användningen och efter lagringen inte kan läsas, kopieras eller förändras utan behörighet.

Åtgärder som måste vidtas hos uppdragstagaren:

• Administration av behörigheter

• Differentierade behörigheter

• Profil- och rollkoncept

• Dokumentation av behörigheter

1.4 Kontroll vid vidarebefordran

Det måste säkerställas att personuppgifter vid den elektroniska överföringen eller transporten eller lagringen på datamedier inte kan läsas, kopieras, förändras eller tas bort utan behörighet och att det kan kontrolleras och fastställas vid vilka punkter överföringen av personuppgifter är avsedd att genomföras med utrustning för dataöverföring.

Åtgärder som måste vidtas hos uppdragstagaren:

• Tunnlade datafjärrförbindelser (VPN = Virtuellt privat nätverk)

• Säker överföring av data på Internet genom SSL-kryptering (https)

1.5 Delningskontroll

Det måste säkerställas att uppgifter som samlas in för olika ändamål kan behandlas åtskilda.

Åtgärder som måste vidtas hos uppdragstagaren:

• Åtskilda system (logisk klientdelning)

• Åtkomsträttigheter

• Delning av test- och utvecklingssystem

1.6 Kryptering

Behandlingen av personuppgifter bör ske på ett sätt som förhindrar oavsiktligt eller olagligt eller obehörigt offentliggörande. För detta ändamål används säkra krypteringsmekanismer som motsvarar den aktuella tekniska standarden.

Åtgärder som måste vidtas av uppdragstagaren:

• Krypterad dataöverföring (till exempel e-postkryptering, VPN, krypterade internetanslutningar)

2. Integritet

2.1 Inmatningskontroll

Det måste vara möjligt att i efterhand kontrollera och avgöra om och av vem personuppgifter har matats in, ändrats eller tagits bort i databehandlingssystem.

Åtgärder som måste vidtas hos uppdragstagaren:

• Åtkomsträttigheter

• Loggning på systemsidan

• Spårbarhet när det gäller inmatning, ändring och radering av data genom individuella användarnamn

2.2 Kontroll vid vidarebefordran

Åtgärderna för kontroll vid vidarebefordran enligt 1.4 är också avsedda att säkerställa integriteten.

3. Tillgänglighet och belastningsförmåga

3.1 Tillgänglighetskontroll

Det måste säkerställas att personuppgifter skyddas mot oavsiktlig förstörelse eller förlust.

Åtgärder som måste vidtas hos uppdragstagaren:

• Säkerhetskopiering

• Hårddiskspegling

• Antivirus / brandvägg

• Förvaring av säkerhetskopior på en säker, utlokaliserad plats

• Branddetekterings- och brandlarmsystem

3.2 Snabb återställbarhet

Åtgärder måste vidtas för att snabbt återställa tillgängligheten till personuppgifterna och åtkomsten till dessa i händelse av en fysisk eller teknisk incident.

Åtgärder som uppdragstagaren måste vidta:

• IT-beredskapsplaner och återstartsplaner

• Regelbundna och dokumenterade dataåterställningar

4. Andra åtgärdsområden

4.1 Hanteringssystem för uppgiftsskydd

En process för regelbunden granskning, bedömning och utvärdering av uppgiftsskyddet och effektiviteten av de specificerade tekniska och organisatoriska åtgärderna måste implementeras.

Åtgärder som måste vidtas hos uppdragstagaren:

• Incident-response-system för att kunna spåra säkerhetsöverträdelser och problem

• Genomförande av regelbundna IT-sårbarhetsanalyser (till exempel penetrationstest)

• Genomförande av regelbundna interna granskningar

4.2 Kontroll av behandlingen av personuppgifter

Det ska säkerställas att personuppgifter som behandlas för någons räkning endast kan behandlas i enlighet med uppdragsgivarens instruktioner.

Åtgärder som måste vidtas hos uppdragstagaren:

• Skriftligt personuppgiftsbiträdesavtal enligt artikel 28 i GDPR med föreskrifter om uppdragstagarens rättigheter och skyldigheter

• Utbildning för alla medarbetare med åtkomsträttigheter. Regelbundna uppföljningsutbildningar.

• Skyldighet att upprätthålla sekretess i enlighet med artikel 28.3 (b), artikel 29, artikel 32.4 i GDPR

• Regelbundna dataskyddsrevisioner av företagets dataskyddsombud, utnämning av ett dataskyddsombud