Arrangemang för gemensamt personuppgiftsansvar
Detta arrangemang om gemensamt personuppgiftsansvar (”Arrangemanget”) reglerar det gemensamma personuppgiftsansvaret som gäller mellan kund som ingått ramavtal om bokningsuppdrag (”Kunden”) med Avisita AB (”Avisita”).
Parterna ovan benämns härefter gemensamt som ”Parterna” och var för sig som ”Part”.
1. Arrangemangets omfattning
1.1 Detta Arrangemang beskriver Parternas gemensamma personuppgiftsansvar som gäller när Kunden använder Avisitas kundportal.
1.2 Parterna är gemensamt ansvariga för de behandlingar som sker i eller delas till Avisitas kundportal. I kundportalen kan följande kategorier av personuppgifter komma att hanteras: namn, personnummer, adress, telefonnummer, yrkesroll, medlemsnummer, uppgifter om individens resa och information om särskilda preferenser.
2. Parts respektive ansvar
2.1 Avista ansvarar för att:
a) ha huvudansvaret för kundportalen och att tekniska och organisatoriska säkerhetsåtgärder vidtas i relation till kundportalen i enlighet med GDPR artikel 32;
b) anlita eventuella personuppgiftsbiträden som behandlar personuppgifter i kundportalen, inklusive säkerställa att biträdesavtal ingås med dessa;
c) tillhandahålla information till registrerade enligt GDPR artiklarna 13 och 14 (inklusive väsentliga delar i detta Arrangemang); och
d) vid en eventuell personuppgiftsincident anmäla till IMY och informera de registrerade i enligt GDPR artikel 33 och 34.
2.2 Kunden ansvarar för att:
a) säkerställa att dess anställda vidtar lämpliga säkerhetsåtgärder i relation till dess inloggning i kundportalen, till exempel skyddar sina inloggningsuppgifter;
b) följa ramavtalets skrivningar om kundportalen, till exempel säkerställa att uppgifter i kundportalen hålls uppdaterade; och
c) säkerställa att alla registrerade tar del av den informationstext som Avisita tar fram enligt punkt 2.2 b) ovan.
2.3 Vardera Part ansvarar för att följa tillämpliga Dataskyddsregler, specifikt följande:
a) ansvara för sina och sina anställdas inmatningar och andra åtgärder som sker i kundportalen och/eller delas till denna (exempelvis via ett API) samt de behandlingar som Part ger den andre Parten instruktioner om att göra, till exempel ansvarar Kunden för de behandlingar som Kunden ger Avisita instruktioner om;
b) säkerställa att sin behandling av personuppgifter sker i enlighet med lag, och vidmakthålla ett register över behandlingar under dess ansvar;
c) vara kontaktyta gentemot registrerade och svara på deras frågor angående behandlingen av deras personuppgifter;
d) utöver vad som framgår ovan upprätthålla en lämplig säkerhetsnivå för personuppgifterna genom att vidta alla tekniska- och organisatoriska säkerhetsåtgärder som anges i artikel 32 i GDPR; och
e) ge varandra all rimlig support som krävs för att visa efterlevnad av Dataskyddsreglerna, inklusive GDPR artikel 24.
2.4 Parterna är medvetna om att en registrerad, oavsett villkoren i detta Arrangemang, kan utöva sina rättigheter enligt Dataskyddsreglerna mot alla Parter.
3. Giltighetstid och ändringar i arrangemanget
3.1 Detta Arrangemang gäller tills vidare.
3.2 Avisita får när som helst informera berörda Parter om ändringar i detta Arrangemang, exempelvis på grund av ändringar i lag eller Avisitas upplägg i kundportalen. Sådana ändringar ska träda i kraft trettio (30) dagar efter Avisita skriftligen meddelat Kund, under förutsättning att inte Kund invänt mot dessa ändringar skriftligt inom samma period.
2024-10-02