Databehandlingsavtal
I enlighet med artikel 28.3 i förordning 2016/679 (General Data Protection Regulation) avseende Personuppgiftsbiträdets behandling av personuppgifter mellan användaren av IPA PeopleSuite och IPA Nordic ApS CVR 40700048 Borgvold 3 8260 Viby J i det följande kallad "Personuppgiftsbiträdet" var och en individuellt en "Part" och tillsammans "Parterna" Har kommit överens om följande standardavtalsklausuler ("Klausulerna") för att följa General Data Protection Regulation och för att säkerställa skydd för personers integritet och grundläggande rättigheter och friheter 2. Inledning Dessa Klausuler beskriver Personuppgiftsbiträdets rättigheter och skyldigheter när det utför behandling av personuppgifter för Kontoansvarigs räkning. Dessa Klausuler har utarbetats för att Parterna ska uppfylla artikel 28.3 i förordning (EU) 2016/679 av Europaparlamentet och rådet av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter samt om upphävande av direktiv 95/46/EG (General Data Protection Regulation). I samband med Personuppgiftsbiträdets tillhandahållande av tjänster till Kontoansvarig, behandlar Personuppgiftsbiträdet personuppgifter för Kontoansvarigs räkning enligt dessa Klausuler. Dessa Klausuler har företräde framför eventuella liknande bestämmelser i andra avtal mellan Parterna. Fyra bilagor är bifogade till dessa Klausuler, och bilagorna är en integrerad del av Klausulerna. Bilaga A innehåller detaljerad information om behandlingen av personuppgifter, inklusive syftet och arten av behandlingen, typen av personuppgifter, kategorierna av registrerade och behandlingens varaktighet. Bilaga B innehåller Kontoansvarigs villkor för Personuppgiftsbiträdets användning av underbiträden och en lista över underbiträden som godkänts av Kontoansvarig. Bilaga C innehåller Kontoansvarigs instruktioner avseende Personuppgiftsbiträdets behandling av personuppgifter, en beskrivning av de säkerhetsåtgärder som Personuppgiftsbiträdet minst skall implementera, och hur övervakning av Personuppgiftsbiträdet och eventuella underbiträden utförs. Bilaga D innehåller bestämmelser relaterade till andra aktiviteter som inte omfattas av Klausulerna. Klausulerna med bilagor ska hållas skriftligt, även elektroniskt, av båda Parterna. Dessa Klausuler befriar inte Personuppgiftsbiträdet från skyldigheter som ålagts Personuppgiftsbiträdet under General Data Protection Regulation eller någon annan lagstiftning. 3. Kontoansvarigs rättigheter och skyldigheter Kontoansvarig ansvarar för att säkerställa att behandling av personuppgifter sker i enlighet med General Data Protection Regulation (se artikel 24 i förordningen), dataskyddsbestämmelser i annan EU-lagstiftning eller EES-medlemsstaters nationella lagar och dessa Klausuler. Kontoansvarig har rätt och skyldighet att fatta beslut om ändamålen och metoderna för behandling av personuppgifter. Kontoansvarig ansvarar bland annat för att säkerställa att det finns en rättslig grund för behandlingen av personuppgifter som Personuppgiftsbiträdet instrueras att utföra. 4. Personuppgiftsbiträdet agerar på instruktioner Personuppgiftsbiträdet får endast behandla personuppgifter på dokumenterad instruktion från Kontoansvarig, om inte annat krävs enligt EU-lag eller EES-medlemsstaters nationella lag som Personuppgiftsbiträdet är föremål för. Sådan instruktion ska specificeras i Bilagorna A och C. Efterföljande instruktioner kan också ges av Kontoansvarig under pågående behandling av personuppgifter, men instruktionen ska alltid dokumenteras och hållas skriftligt, inklusive elektroniskt, tillsammans med dessa Klausuler. Personuppgiftsbiträdet ska omedelbart informera Kontoansvarig om en instruktion enligt dess uppfattning strider mot General Data Protection Regulation eller dataskyddsbestämmelser i annan EU-lagstiftning eller EES-medlemsstaters nationella lag. 5. Tystnadsplikt Personuppgiftsbiträdet får endast ge tillgång till personuppgifter behandlade för Kontoansvarigs räkning till personer som är föremål för Personuppgiftsbiträdets befogenhet som har åtagit sig tystnadsplikt eller är under en lämplig lagstadgad tystnadsplikt, och endast i den utsträckning det är nödvändigt. Listan över personer med tillgång ska kontinuerligt granskas. Baserat på denna granskning kan tillgång till personuppgifter återkallas om tillgången inte längre är nödvändig, och personuppgifterna ska därefter inte längre vara åtkomliga för dessa personer. På begäran från Kontoansvarig ska Personuppgiftsbiträdet kunna visa att de berörda personerna som står under Personuppgiftsbiträdets befogenhet är bundna av den ovan nämnda tystnadsplikten. 6. Säkerhet i behandlingen Artikel 32 i General Data Protection Regulation anger att, med hänsyn till den tekniska utvecklingen, implementationskostnader och behandlingens art, omfattning, sammanhang och syften samt risken för varierande sannolikhet och allvar för fysiska personers rättigheter och friheter, ska Kontoansvarig och Personuppgiftsbiträdet införa lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för risken. Kontoansvarig ska bedöma riskerna för fysiska personers rättigheter och friheter som behandlingen utgör och vidta åtgärder för att hantera dessa risker. Beroende på deras relevans kan detta inkludera: Pseudonymisering och kryptering av personuppgifter Förmåga att säkerställa fortlöpande konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystem och tjänster Förmåga att återställa tillgängligheten av och tillgången till personuppgifter i god tid vid en fysisk eller teknisk incident En process för regelbundet testande, bedömning och utvärdering av effektiviteten hos tekniska och organisatoriska åtgärder för att säkerställa säkerheten i behandlingen Enligt artikel 32 i förordningen ska Personuppgiftsbiträdet också – oberoende av Kontoansvarig – bedöma riskerna för fysiska personers rättigheter och friheter som behandlingen utgör och vidta åtgärder för att hantera dessa risker. För syftet med denna bedömning ska Kontoansvarig tillhandahålla nödvändig information till Personuppgiftsbiträdet för att göra det möjligt för dem att identifiera och bedöma sådana risker. Vidare ska Personuppgiftsbiträdet bistå Kontoansvarig i att säkerställa efterlevnad av Kontoansvarigs förpliktelser enligt artikel 32 i förordningen genom att bland annat tillhandahålla Kontoansvarig den nödvändiga informationen om de tekniska och organisatoriska säkerhetsåtgärder som redan implementerats av Personuppgiftsbiträdet enligt artikel 32 och all annan information som är nödvändig för Kontoansvarigs efterlevnad av sina förpliktelser enligt artikel 32. Om hanteringen av de identifierade riskerna – i Kontoansvarigs bedömning – kräver införande av ytterligare åtgärder utöver de som redan implementerats av Personuppgiftsbiträdet, ska Kontoansvarig specificera de ytterligare åtgärder som ska implementeras i Bilaga C. 7. Användning av underbiträden Personuppgiftsbiträdet ska uppfylla de villkor som avses i artikel 28.2 och 28.4 i General Data Protection Regulation för att kunna använda en annan behandlare (ett underbiträde). Personuppgiftsbiträdet får därför inte använda ett underbiträde för att uppfylla detta Avtal utan föregående generell skriftlig auktorisation från Kontoansvarig. Personuppgiftsbiträdet har Kontoansvarigs generella auktorisation att använda underbiträden. Personuppgiftsbiträdet ska informera Kontoansvarig skriftligt om alla avsedda förändringar avseende tillägget eller ersättandet av underbiträden med minst en månads varsel och därmed ge Kontoansvarig möjlighet att invända mot sådana förändringar innan användningen av de berörda underbiträdena. Längre varselperioder för specifika behandlingsaktiviteter kan specificeras i Bilaga B. Listan över underbiträden som redan godkänts av Kontoansvarig framgår i Bilaga B. När Personuppgiftsbiträdet använder ett underbiträde i samband med utförandet av specifika behandlingsaktiviteter för Kontoansvarigs räkning ska Personuppgiftsbiträdet genom avtal eller annan rättsakt under EU-lagstiftning eller EES-medlemsstaternas nationella lagstiftning ålägga underbiträdet samma dataskyddsskyldigheter som fastställs i dessa Klausuler, vilket ger särskilt tillräckliga garantier för att underbiträdet kommer att implementera lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i dessa Klausuler och General Data Protection Regulation. Personuppgiftsbiträdet ansvarar därför för att kräva att underbiträdet åtminstone efterlever Personuppgiftsbiträdets skyldigheter enligt dessa Klausuler och General Data Protection Regulation. Underbiträdesavtalet och eventuella ändringar däri ska – på Kontoansvarigs begäran – tillhandahållas i kopia till Kontoansvarig och därmed möjliggöra för Kontoansvarig att säkerställa att likvärdiga dataskyddsskyldigheter enligt dessa Klausuler har ålagts underbiträdet. Bestämmelser avseende kommersiella villkor som inte påverkar den rättsliga dataskyddsinnehållet i underbiträdesavtalet ska inte tillhandahållas Kontoansvarig. Om underbiträdet inte uppfyller sina dataskyddsskyldigheter ska Personuppgiftsbiträdet förbli fullt ansvarigt mot Kontoansvarig för fullgörandet av underbiträdets skyldigheter. Detta påverkar inte de registrerades rättigheter enligt General Data Protection Regulation, inklusive särskilt artiklarna 79 och 82, gentemot Kontoansvarig och Personuppgiftsbiträdet, inklusive underbiträdet. 8. Överföring till tredje land eller internationella organisationer Eventuell överföring av personuppgifter till tredje land eller internationella organisationer ska endast genomföras av Personuppgiftsbiträdet på grundval av dokumenterad instruktion från Kontoansvarig och ska alltid ske i enlighet med kapitel V i General Data Protection Regulation. Om överföring av personuppgifter till tredje land eller internationella organisationer, som Personuppgiftsbiträdet inte anvisats att genomföra av Kontoansvarig, krävs enligt EU-lagstiftning eller EES-medlemsstaters nationella lagstiftning som Personuppgiftsbiträdet är föremål för, ska Personuppgiftsbiträdet informera Kontoansvarig om denna rättsliga skyldighet innan behandlingen, såvida inte sådan lag förbjuder sådan information av viktiga allmänna intressen. Utan dokumenterad instruktion från Kontoansvarig får Personuppgiftsbiträdet därför inte inom ramen för dessa Klausuler: överföra personuppgifter till en personuppgiftsansvarig eller behandlare i ett tredje land eller en internationell organisation anförtro behandling av personuppgifter till ett underbiträde i ett tredje land behandla personuppgifterna i ett tredje land Kontoansvarigs instruktioner avseende överföring av personuppgifter till ett tredje land, inklusive överföringsgrund som avses i kapitel V i General Data Protection Regulation, ska specificeras i Bilaga C.6. Dessa Klausuler ska inte förväxlas med standardavtalsklausuler som avses i artikel 46.2 c och d i General Data Protection Regulation, och dessa Klausuler utgör inte någon överföringsgrund enligt kapitel V i General Data Protection Regulation. 9. Bistånd till Kontoansvarig Med hänsyn till behandlingens karaktär ska Personuppgiftsbiträdet, så långt som möjligt, bistå Kontoansvarig genom lämpliga tekniska och organisatoriska åtgärder i uppfyllandet av Kontoansvarigs skyldighet att svara på begäran om att utöva de registrerades rättigheter enligt kapitel III i General Data Protection Regulation. Detta innebär att Personuppgiftsbiträdet så långt som möjligt ska bistå Kontoansvarig i att säkerställa efterlevnad av: skyldigheten att ge information vid insamling av personuppgifter från den registrerade skyldigheten att ge information där personuppgifter inte har inhämtats från den registrerade rätten till tillgång rätten till rättelse rätten till radering ("rätten att bli glömd") rätten till begränsning av behandling skyldigheten att meddela om rättelse eller radering av personuppgifter eller begränsning av behandling rätten till dataportabilitet rätten att göra invändningar rätten att inte bli föremål för beslut baserat enbart på automatisk behandling, inklusive profilering Utöver Personuppgiftsbiträdets skyldighet att bistå Kontoansvarig enligt Klausul 6.3, ska Personuppgiftsbiträdet dessutom, med hänsyn till behandlingens karaktär och den information som finns tillgänglig för Personuppgiftsbiträdet, bistå Kontoansvarig med: Kontoansvarigs skyldighet, utan onödigt dröjsmål och, där det är möjligt, senast 72 timmar efter att ha blivit medveten om det, att anmäla en personuppgiftsincident till den behöriga tillsynsmyndigheten (Danmark: Datatilsynet), såvida inte personuppgiftsincidenten sannolikt inte utgör en risk för fysiska personers rättigheter och friheter Kontoansvarigs skyldighet att utan onödigt dröjsmål kommunicera en personuppgiftsincident till den registrerade när incidenten sannolikt resulterar i en hög risk för fysiska personers rättigheter och friheter Kontoansvarigs skyldighet att före behandlingen genomföra en bedömning av konsekvenserna av de planerade behandlingsoperationerna på skyddet av personuppgifter (en konsekvensbedömning av dataskydd) Kontoansvarigs skyldighet att konsultera den behöriga tillsynsmyndigheten (Danmark: Datatilsynet) före behandling där en konsekvensbedömning av dataskydd indikerar att behandlingen skulle resultera i en hög risk utan åtgärder vidtagna av Kontoansvarig för att mildra risken 10. Anmälan om personuppgiftsincident Personuppgiftsbiträdet ska informera Kontoansvarig utan onödigt dröjsmål efter att ha blivit medveten om att en personuppgiftsincident inträffat. Personuppgiftsbiträdets anmälan till Kontoansvarig ska ske utan onödigt dröjsmål och, där det är möjligt, senast 24 timmar efter att ha blivit medveten om incidenten, så att Kontoansvarig kan uppfylla sin skyldighet att anmäla personuppgiftsincidenten till den behöriga tillsynsmyndigheten, avseende artikel 33 i General Data Protection Regulation. Enligt Klausul 9.2(a) ska Personuppgiftsbiträdet bistå Kontoansvarig i att göra anmälan till den behöriga tillsynsmyndigheten. Detta innebär att Personuppgiftsbiträdet ska bistå med att tillhandahålla följande information, som enligt artikel 33.3 ska ingå i Kontoansvarigs anmälan om incidenten till den behöriga tillsynsmyndigheten: personuppgiftsincidentens karaktär, inklusive, där det är möjligt, kategorierna och det ungefärliga antalet berörda registrerade och kategorierna och det ungefärliga antalet berörda personuppgiftsposter sannolika konsekvenser av personuppgiftsincidenten åtgärder som vidtagits eller föreslagits att vidtas av Kontoansvarig för att hantera personuppgiftsincidenten, inklusive, där det är relevant, åtgärder för att mildra dess möjliga negativa effekter Parterna ska specificera i Bilaga C den information som ska tillhandahållas av Personuppgiftsbiträdet i samband med dess bistånd till Kontoansvarig i Kontoansvarigs skyldighet att anmäla personuppgiftsincidenter till den behöriga tillsynsmyndigheten. 11. Radering och återlämning av data Vid avslutandet av tillhandahållandet av tjänster relaterade till behandling av personuppgifter ska Personuppgiftsbiträdet vara skyldigt att radera alla personuppgifter som behandlats för Kontoansvarigs räkning och bekräfta till Kontoansvarig att uppgifterna har raderats, om inte EU-lag eller EES-medlemsstaternas nationella lag kräver lagring av personuppgifterna. 12. Revision, inklusive inspektion Personuppgiftsbiträdet ska göra all nödvändig information tillgänglig för Kontoansvarig för att visa efterlevnad av artikel 28 i General Data Protection Regulation och dessa Klausuler och ska godkänna och bidra till revisioner, inklusive inspektioner, utförda av Kontoansvarig eller annan revisor utsedd av Kontoansvarig. I Bilaga C specificeras förfarandena för Kontoansvarigs revisioner, inklusive inspektioner, av Personuppgiftsbiträdets och underbiträdenas behandling av personuppgifter. Personuppgiftsbiträdet ska vara skyldigt att ge tillsynsmyndigheter, som enligt tillämplig lagstiftning har tillgång till Kontoansvarigs eller Personuppgiftsbiträdets anläggningar, eller representanter som agerar på tillsynsmyndighetens vägnar, tillgång till Personuppgiftsbiträdets fysiska anläggningar mot uppvisande av lämplig identifikation. 13. Ikraftträdande och uppsägning Klausulerna träder i kraft vid båda Parternas undertecknande. Båda Parterna kan begära att Klausulerna omförhandlas om förändringar i lagen eller opraktiska förhållanden i Klausulerna ger anledning därtill. Klausulerna ska gälla så länge Personuppgiftsbiträdet tillhandahåller tjänster relaterade till behandling av personuppgifter. Under denna period kan Klausulerna inte sägas upp om inte andra bestämmelser som styr tillhandahållandet av tjänster relaterade till behandling av personuppgifter avtalas mellan Parterna. Om tillhandahållandet av tjänster relaterade till behandling av personuppgifter upphör och personuppgifterna har raderats eller återsänts till Kontoansvarig i enlighet med Klausul 11.1 och Bilaga C.4, kan Klausulerna sägas upp av båda Parterna genom skriftlig anmälan. Bilaga A – Information om behandlingen A.1. Syftet med Personuppgiftsbiträdets behandling av personuppgifter för Kontoansvarigs räkning Syftet med behandlingen av personuppgifter är driften av Personuppgiftsbiträdets Tjänst, som görs tillgänglig för Kontoansvarig enligt avtal. I Tjänsten, baserat på information som anges av Kontoansvarig och användares svar på frågor, kan personlighetstester, teamledaranalyser och rollstilade analyser och variationer därav upprättas. A.2. Personuppgiftsbiträdets behandling av personuppgifter för Kontoansvarigs räkning gäller främst (behandlingens karaktär) Förberedelse av personlighetstester och lagring av dessa. Användning av icke-personligt identifierbar och anonym information för statistik och förbättring av Tjänsten. A.3. Behandlingen inkluderar följande typer av personuppgifter angående de registrerade Namn, (eventuell) titel, födelsedatum, kontaktuppgifter (inklusive e-postadress) Svar på frågor för syftet med personlighetstest Personlighetstest A.4. Behandlingen inkluderar följande kategorier av registrerade Kontoansvarigs administratörer Användare, som kan vara anställda av Kontoansvarig eller kandidater till en tjänst hos Kontoansvarig eller kandidater till en tjänst hos en kund till Kontoansvarig A.5. Personuppgiftsbiträdets behandling av personuppgifter för Kontoansvarigs räkning kan påbörjas efter Klausulernas ikraftträdande. Behandlingen har följande varaktighet Behandlingen av personuppgifter ska pågå så länge Kontoansvarig använder Personuppgiftsbiträdets Tjänst. Bilaga B – Underbiträden B.1. Godkända underbiträden Vid Clausulernas ikraftträdande har Kontoansvarig godkänt användningen av följande underbiträden: skyPIM A/S 21396648 Boulevarden 19E 7100 Vejle Hosting och teknisk drift av Tjänsten. Behandlingsland: Danmark, Tyskland. Vid Clausulernas ikraftträdande har Kontoansvarig godkänt användningen av ovan nämnda underbiträden för den beskrivna behandlingsaktiviteten. Personuppgiftsbiträdet får inte – utan Kontoansvarigs skriftliga godkännande – använda ett underbiträde för en annan behandlingsaktivitet än den beskrivna och avtalade eller använda ett annat underbiträde för denna behandlingsaktivitet. Bilaga C – Instruktioner avseende behandling av personuppgifter C.1. Föremål för behandlingen/instruktion Personuppgiftsbiträdets behandling av personuppgifter för Kontoansvarigs räkning består av att Personuppgiftsbiträdet utför följande: Baserat på Kontoansvarigs användning av Tjänsten som tillhandahålls enligt avtalet mellan Kontoansvarig och Personuppgiftsbiträdet, ska Personuppgiftsbiträdet samla in information om Kontoansvarig eller Kontoansvarigs användare när sådan information anges i Tjänsten och därmed förbereda personlighetstester för användning av Kontoansvarig, och sådana tester ska också lagras av Kontoansvarig. C.2. Säkerhet i behandlingen Säkerhetsnivån ska återspegla: Att behandlingen inte gäller känsliga personuppgifter, men information som kan uppfattas av de registrerade som ha en viss känslighet. Personuppgiftsbiträdet har därefter rätt och skyldighet att fatta beslut om vilka tekniska och organisatoriska säkerhetsåtgärder som ska genomföras för att fastställa den nödvändiga säkerhetsnivån. Om Kontoansvarig önskar att andra eller ytterligare säkerhetsåtgärder ska implementeras, inklusive där detta baseras på revision/inspektion, ska Kontoansvarig stå för eventuella extrakostnader för Personuppgiftsbiträdet som detta kan medföra. C.3 Bistånd till Kontoansvarig Där Personuppgiftsbiträdet tillhandahåller bistånd till Kontoansvarig för att uppfylla Kontoansvarigs skyldigheter, har Personuppgiftsbiträdet rätt att debitera ersättning för sådant arbete enligt sin gällande timtaxa. C.6 Instruktioner avseende överföring av personuppgifter till tredje land Om Kontoansvarig inte i dessa Klausuler eller senare tillhandahåller en dokumenterad instruktion avseende överföring av personuppgifter till ett tredje land, har inte Personuppgiftsbiträdet, inom ramen för dessa Klausuler, rätt att genomföra sådana överföringar. C.7 Förfaranden för Kontoansvarigs revisioner, inklusive inspektioner, av behandlingen av personuppgifter anförtrodda till Personuppgiftsbiträdet/underbiträden På Kontoansvarigs begäran ska Personuppgiftsbiträdet, på Kontoansvarigs bekostnad, erhålla en revisionsrapport från en oberoende tredje part avseende Personuppgiftsbiträdets/underbiträdets efterlevnad av General Data Protection Regulation, dataskyddsbestämmelser i annan EU-lag eller EES-medlemsstaternas nationella lag och dessa Klausuler. Parterna kommer överens om att följande typer av revisionsrapporter kan användas i enlighet med dessa Klausuler: ISAE 3000 granskningsrapport eller liknande typ av assuransrapport. Kontoansvarig eller en representant för Kontoansvarig ska dessutom ha tillgång att utföra inspektioner, inklusive fysiska inspektioner, av lokaler från vilka Personuppgiftsbiträdet/underbiträden behandlar personuppgifter, inklusive fysiska lokaler och system som används för eller i samband med behandlingen. Sådana inspektioner kan utföras när Kontoansvarig bedömer det som nödvändigt. Eventuella kostnader för Personuppgiftsbiträdet och underbiträden i samband med övervakning av personuppgiftsbehandlingen hos Personuppgiftsbiträdet eller underbiträden eller fysisk inspektion av Personuppgiftsbiträdets eller underbiträdens lokaler ska bäras av Kontoansvarig. [1] Hänvisningar till "Medlemsstat" i dessa Klausuler ska förstås som hänvisningar till "EES-medlemsstater".
Villkor
IPA VILLKOR OCH BESTÄMMELSER Dessa villkor gäller för IPA Nordic ApS' ("IPA") tjänster som tillhandahålls till kunden. 1. Användningsrätt 1.1 Genom att ingå ett avtal med IPA erhåller kunden rätt, i enlighet med dessa villkor, att använda IPA:s tjänst i den överenskomna versionen ("tjänsten"). Om inget annat särskilt avtalats, har kunden rätt att använda tjänsten internt inom sitt företag, inklusive när kunden utför rekryteringsarbete åt tredje part, under förutsättning att kunden kan ge användare utanför sitt företag, som är kandidater för anställning hos kunden eller hos ett företag för vilket kunden utför rekryteringsarbete, tillgång till tjänsten i samband med att besvara frågor, se punkt 1.2. 1.2 Kunden har rätt att använda tjänsten som avsett och kan ge anställda och andra ("kundens användare") tillgång till tjänsten och relaterade analyser som erbjuds. Användare kan vara vanliga användare som besvarar frågor för användning i tjänsten eller administratörer med tillgång till cockpit och förberedda analyser. 1.3 Kundens administratörer måste vara anställda av kundens företag och måste alltid vara certifierade i användningen av de analyser som kunden har tillgång till via tjänsten. IPA tillhandahåller certifiering i de analyser som täcks av tjänsten som specificeras på IPA:s webbplats eller annars kommuniceras. 2. Implementering 2.1 IPA eller en av IPA:s partners implementerar tjänsten för kunden, vilket innebär att kunden kan få tillgång till tjänsten som överenskommet vid den överenskomna tiden. 2.2 IPA eller IPA:s partner har rätt att, inom rimlig omfattning, göra ändringar i den överenskomna implementationstiden, förutsatt att sådana ändringar kommuniceras till kunden. 2.3 Kunden måste, i relevant omfattning, delta i genomförandet, inklusive att tillhandahålla IPA eller IPA:s partner nödvändig och korrekt information som krävs för genomförandet samt ge tillgång till IT-resurser efter behov. 3. Drift 3.1 Tjänsten är värd och nås online av kunden. IPA kommer att försöka säkerställa att tjänsten är tillgänglig för kunden när som helst men garanterar inte någon specifik drifttid. 3.2 Kunden är ansvarig för att tillhandahålla den utrustning, de applikationer och nätverksanslutningar som behövs för användning av tjänsten. På kundens begäran kommer IPA att ge information om eventuella speciella specifikationer för utrustning, applikationer etc. 3.3 IPA kan, utan ansvar, tillfälligt eller delvis avbryta kundens eller kundens användares tillgång till tjänsten: a) om det är nödvändigt för underhåll, reparation eller uppdatering av tjänsten. Sådana avbrott kommer så långt som möjligt att genomföras utanför normala arbetstider och meddelas till kunden i förväg, även om det i vissa situationer kan vara nödvändigt att avbryta tillgången utan förvarning, även under normala arbetstider. b) om det finns anledning att tro att kundens eller kundens användares tillgång missbrukas av tredje part. Återställning av tillgång kan kräva att kundens användares användarnamn och/eller lösenord ändras. c) om kundens handlingar eller omständigheter, för vilka kunden annars är ansvarig, har orsakat eller förväntas orsaka skada på tjänsten, inklusive för andra kunder eller användare av tjänsten, eller om tjänsten rimligen tros användas för olagliga ändamål. Tillgång till tjänsten återställs när dessa frågor har lösts till IPAs tillfredsställelse. d) om kunden inte uppfyller certifieringskravet för administratörer, se punkt 1.3, och kravet inte har uppfyllts inom 60 dagar. e) om kunden är i betalningsmora till IPA. 3.4 Om IPA avbryter tillgången enligt punkt 3.3, kommer IPA att meddela kunden så snart som möjligt, inklusive orsaken till avbrottet och när och under vilka förhållanden tillgång kan återställas. Sådant avbrott utgör inte ett brott mot avtalet och ger inte kunden rätt till återbetalning eller andra påföljder för avtalsbrott. 3.5 Kunden ansvarar för att säkerhetskopiera all data som behandlas i tjänsten. IPA kan, enligt ett separat avtal, hjälpa kunden med att skapa säkerhetskopior och återställa data från säkerhetskopior. IPA har rätt till ersättning för sådant arbete baserat på IPAs gällande timtaxor och eventuella kostnader från tredje part. 4. Användning av tjänsten 4.1 Kunden ansvarar för att ange sin egen information i tjänsten och säkerställa att data är korrekt och giltig. IPA ansvarar inte för om tjänsten och dess användning är lämplig för kundens ändamål. Detta ansvar ligger helt hos kunden. 4.2 IPA ansvarar för att säkerställa att IPAs tjänst följer dansk lag. Kunden ansvarar för att säkerställa att dess användning av tjänsten, inklusive databehandling, är laglig och uppfyller alla lagkrav, inklusive dataskydd, och för all användning av tjänsten under de användarnamn och lösenord som tilldelats kunden och kundens användare. 4.3 Kunden och kundens användare måste alltid skydda sina användarnamn och lösenord för tjänsten. Om kunden blir medveten om eller misstänker missbruk av tillgången eller att tredje part har fått användarnamn eller lösenord, måste kunden omedelbart anmäla detta till IPA. 4.4 IPA har rätt att övervaka användningen av tjänsten och använda all information från tjänsten i anonymiserad form för statistiska ändamål och underhåll av tjänsten. 5. Förändringar i tjänsten 5.1 IPA har rätt att göra ändringar i tjänsten och dess utformning. IPA kommer att försöka meddela kunden om sådana ändringar med minst 30 dagars varsel före ändringarna träder i kraft, även om varsel kan vara kortare i vissa fall, t.ex. för säkerhetsrelaterade ändringar. 5.2 Om IPA gör betydande förändringar i tjänsten så att den inte längre kan betraktas som samma tjänst (t.ex. om grundläggande eller ofta använda funktioner tas bort), kan kunden säga upp avtalet med 30 dagars varsel och få en proportionerlig återbetalning av eventuella förbetalda avgifter för perioden efter uppsägning. 6. Andra rådgivningstjänster 6.1 IPA tillhandahåller rådgivningstjänster utöver implementering, som separat avtalats. Rådgivningstjänster tillhandahålls i enlighet med god praxis utan resultatansvar, och kunden är ansvarig för att säkerställa att tjänsten är lämplig för sina syften. 6.2 Sådana rådgivningstjänster anses vara levererade när IPA bekräftar slutförandet eller när kunden börjar använda resultaten. 7. Priser och betalning 7.1 Kunden betalar för tillgång till tjänsten för en tolvmånadersperiod i förväg från genomförandedatumet, om inget annat avtalats. 7.2 Implementeringstjänster faktureras av IPA eller IPA:s partner vid leverans. Certifieringstjänster kan faktureras vid kundens beställning. Andra rådgivningstjänster faktureras vid leverans eller månadsvis i efterskott. 7.3 IPAs fakturor ska betalas 14 dagar efter utfärdande. Sen betalning medför ränta på 2 % per månad. 7.4 Eventuella avtalade reducerade priser gäller i 12 månader från avtalsdatumet, varefter IPAs standardprislista gäller. 7.5 IPA kan justera sin prislista en gång per år baserat på nettoprisindex och dessutom på grund av lagändringar eller förändringar i tredje parts produkter som krävs för leverans. IPA kommer att ge minst 30 dagars varsel om sådana förändringar. 8. Immateriella rättigheter 8.1 IPA äger och behåller alla äganderätter och immateriella rättigheter, inklusive upphovsrätter, till tjänsten och relaterade material, såsom manualer och guider. Tjänsten och relaterade material kan innehålla element eller komponenter som tredje part har immateriella rättigheter till. I sådana fall har IPA nödvändiga rättigheter att göra tjänsten och relaterade material tillgängliga för kunden. 8.2 Kunden, baserat på avtalet, se punkt 1, och under dess löptid, erhåller en användningsrätt för tjänsten och relaterade material som tillhandahålls av IPA för de avsedda ändamålen. Kunden förvärvar inga rättigheter utöver den angivna användningsrätten till processer eller liknande element som ingår i tjänsten. 8.3 Kunden erhåller en obegränsad användningsrätt för material som produceras via tjänsten baserat på kundens data och användning av tjänsten. Detta inkluderar rätten att ändra och reproducera sådant material. 8.4 Kunden behåller äganderätt och immateriella rättigheter till data som anges i tjänsten. Kunden ger IPA en icke-exklusiv, royaltyfri rätt att använda sådan data för att fullgöra avtalet. 8.5 För rådgivningstjänster, inklusive deras resultat, som levereras av IPA till kunden, behåller IPA äganderätt och immateriella rättigheter, med respekt för kundens rättigheter och konfidentialitet. Kunden ges en användningsrätt under avtalet att tillämpa rådgivningstjänster och resultat internt inom sitt företag. 9. Konfidentialitet 9.1 Varje part måste hålla konfidentialiteten för den andra partens interna information, inklusive affärshemligheter och avtal, och får inte använda eller avslöja sådan information för andra syften än avsedda i samband med tillhandahållandet av information, utan föregående medgivande. IPA bevarar också konfidentialiteten för personuppgifter som anges i tjänsten av kunden som beskrivs i databehandlingsavtalet mellan parterna. 9.2 Oaktat punkt 9.1 kan IPA avslöja kundens information, inklusive intern information, till IPA:s underleverantörer i den mån det är nödvändigt för att leverera IPA:s tjänster, förutsatt att sådana underleverantörer är bundna av liknande sekretessförpliktelser. Parterna har också rätt att avslöja information om det krävs genom domstolsbeslut eller ett giltigt myndighetskrav. 9.3 Sekretessförpliktelser gäller inte information som är allmänt tillgänglig, mottagen från tredje part utan sekretessförpliktelser, erhållen oberoende utan att använda den andra partens information, eller utvecklad självständigt. 9.4 Sekretessbestämmelserna i denna punkt förblir i kraft i 5 år efter uppsägning av avtalet, oavsett anledning till uppsägning. 10. Databehandling 10.1 IPA behandlar personuppgifter i tjänsten, inklusive data som anges av kunden. Personuppgiftsbehandlingen regleras i databehandlingsavtalet mellan kunden och IPA. 11. Brott 11.1 Om kunden vill göra anspråk på fel i IPAs tjänster, måste detta göras omedelbart, och för rådgivning- eller implementeringstjänster, senast 30 dagar efter leverans. IPA har alltid rätt att utföra en omprövning. 11.2 Om en part väsentligt bryter mot avtalet och brottet inte avhjälps inom 30 dagar efter anmälan av den icke-brottsliga parten, har den icke-brottsliga parten rätt att säga upp avtalet skriftligen. 12. Ansvar 12.1 Parterna är ansvariga gentemot varandra enligt dansk lag med följande begränsningar. 12.2 IPAs totala ansvar gentemot kunden ska aldrig överstiga de avgifter som kunden betalat till IPA för tjänsten under de 6 månader som föregick anspråket. IPA ansvarar aldrig för indirekta förluster, inklusive men inte begränsat till förlorade vinster, förlorade intäkter, förväntade besparingar eller förlust av goodwill. 12.3 Begränsningen i punkt 12.2 gäller inte vid grov vårdslöshet eller avsikt. 13. Force Majeure 13.1 Ingen part är ansvarig för att uppfylla skyldigheter enligt avtalet om bristande fullgörande beror på force majeure, definierat som omständigheter bortom partens rimliga kontroll, inklusive underleverantörers force majeure, vilket parten inte kunde ha förutsett vid ingåendet av avtalet. Om en force majeure-situation varar längre än 30 dagar, kan den påverkade parten säga upp avtalet utan varsel. 14. Avtalets Uppsägning 14.1 Kunden kan när som helst säga upp avtalet med 12 månaders varsel vid slutet av en kalendermånad. Uppsägning kan inte ske före 12 månader, vilket innebär att den totala minsta perioden är 24 månader. IPA kan säga upp avtalet med minst 12 månaders varsel vid slutet av en kalendermånad. 14.2 Förbetalda avgifter är inte återbetalningsbara vid kundens uppsägning. Om IPA säger upp avtalet, ges en proportionerlig återbetalning av förbetalda avgifter motsvarande perioden efter uppsägning. 15. Överföring av Data till Kunden 15.1 Vid kundens begäran kommer IPA att hjälpa till med att överföra all kunddata i tjänsten till kunden eller en utsedd tredje part i ett allmänt använt format, förutsatt att kunden begär detta senast vid avtalets uppsägning. 15.2 IPA kan ta ut avgifter för tid spenderad vid dataöverföring enligt IPAs gällande timtaxor och kostnader. IPA kan också kräva att eventuella uteblivna betalningar och en rimlig handpenning för assistans betalas. 16. Marknadsföring 16.1 IPA har rätt att använda kundens namn och varumärke som referens i allmänna fysiska och/eller digitala marknadsföringsmaterial. 16.2 Om IPA önskar hänvisa potentiella kunder till att kontakta kunden för referenssamtal eller möten, måste detta avtalas separat. 17. Underleverantörer 17.1 IPA kan använda underleverantörer för att uppfylla sina skyldigheter gentemot kunden. IPA ansvarar för underleverantörers tjänster som de vore dess egna. Underleverantörer måste bevara konfidentialitet för kundens information, se punkt 9.1. 18. Överlåtelse 18.1 Ingen part får överlåta sina rättigheter eller skyldigheter enligt avtalet till tredje part utan den andra partens skriftliga medgivande. Sådant medgivande får inte oskäligen nekas. IPA kan dock överlåta rättigheter och skyldigheter i samband med en komplett eller partiell försäljning eller företagsomstrukturering. 19. Ändringar 19.1 Avtalet kan endast ändras av parterna genom skriftligt avtal, såvida inget annat anges i avtalet. 20. Tvistlösning 20.1 Vid tvist som uppstår från avtalet, måste parterna försöka lösa det i godo. Om det inte löses inom rimlig tid, kan endera parten hänskjuta tvisten till de ordinarie danska domstolarna med IPAs jurisdiktion som plats. 20.2 Avtalet styrs av dansk lag, exklusive danska lagvalsregler.
Datasäkerhet och etik
Datasäkerhet och etik vid användningen av IPA Nordic personlighetstester – information för testdeltagare IPA Nordic och de individer som använder våra analyser åtar sig att följa ett antal regler och riktlinjer gällande hanteringen av personuppgifter och etiken vid användningen av arbetsrelaterade personlighetstester. Som testdeltagare har du enligt lagen om hantering av personuppgifter, bland annat, följande rättigheter: Ditt analysresultat måste hållas konfidentiellt och får endast avslöjas med ditt samtycke. Ditt analysresultat får inte lagras längre än en bestämd tidsperiod. Du har rätt att när som helst begära att dina analysresultat anonymiseras. IPA Nordic har, i samarbete med ett antal andra bedömningsleverantörer och intresseorganisationer, fastställt en uppsättning kvalitetskrav gällande professionell personlig bedömning i offentliga och privata företag. Dessa kvalitetskrav inkluderar Dansk Psykologförbunds etiska riktlinjer för användningen av personlighetstester i affärssammanhang och berör både kvaliteten på bedömningsverktyget i sig samt rättvisan vid feedback och tolkning/användning av dina analysresultat. Till exempel anges det att: Du måste ha explicit kännedom om vad som rapporteras och hur det rapporteras från bedömningsprocessen. Du måste informeras om konsekvenserna av att avstå från bedömningen innan du beslutar om du vill delta. Analysresultatet måste betraktas som en uppsättning hypoteser som utgör grunden för vidare dialog och beslut eller råd får aldrig baseras enbart på analysresultatet. Personen som ger feedback på analysen måste kommunicera med respekt för dig och eventuella andra inblandade parter. Muntlig och skriftlig rapportering av analysresultat och innehållet i feedbacksamtalet får endast inkludera information relevant för det syfte för vilket du har blivit bedömd. Det måste finnas överensstämmelse mellan valet av analys och syftet med testet, och personen som administrerar testet måste ha gedigen kännedom om testet, inklusive medvetenhet om dess styrkor och svagheter. Det måste finnas dokumentation för analysens giltighet, och dina testresultat måste utvärderas baserat på jämförelse med testresultat från en relevant grupp. Alla individer som är auktoriserade att använda IPA Nordics personlighetstester är utbildade och examinerade i användningen av testerna av IPA Nordic och har erhållit sin auktorisation under förutsättning att ovanstående riktlinjer följs. När det gäller krav rörande testverktygets kvalitet utför IPA Nordic kontinuerlig validering och dokumentation av testerna samt tillhandahåller ett uppdaterat jämförelseunderlag av individuella testresultat. Testverktygets kvalitet i dessa områden är av ömsesidigt intresse för både dig och den som testar dig: hög kvalitet motverkar felaktiga tolkningar och slumpmässighet vid bedömningen av dina testresultat. Du kan bekanta dig med den fullständiga ordalydelsen av lagen om hantering av personuppgifter och de kvalitetskrav för personlig bedömning som IPA Nordic följer genom att följa länkarna nedan. Om du fortsätter läsa på denna sida kommer IPA Nordic att fördjupa sig i aspekter relaterade till sekretess och lagring av dina testresultat och försöka klargöra några av de frågor du som testdeltagare kan ha i samband med testvillkoren. Datatilsynet (här hittar du "lagen om hantering av personuppgifter") www.personvurdering.dk (etiska riktlinjer och kvalitetskrav) Hur länge lagras information om mig? Ditt namn och dina kontaktuppgifter raderas automatiskt från systemets databas 6 månader efter din inloggning. Därefter kommer inte företaget som testar dig ha någon möjlighet att återhämta dig eller dina testresultat igen i systemet. Om företaget skriver ut rapporter och lagrar dem för senare bruk måste den ansvariga för testet informera dig om hur länge dessa dokument lagras innan de förstörs. Eftersom testresultaten har begränsad giltighet, finns det sällan rättfärdigande för att lagra dem längre än 6 månader. Observera också att du har rätt att när som helst få dina testresultat raderade, oavsett om de finns i pappersform eller elektronisk form. Om du vill att dina testresultat ska raderas måste du kontakta personen som testade dig. Vem har tillgång till mina testresultat? Den enda person som automatiskt har tillgång till dina personliga testresultat i systemet är personen som testar dig och som har skickat en testlänk till dig via e-post. Systemet möjliggör för denna person att ge en eller flera andra användare tillgång till dina testresultat, till exempel om testprocessen sker i samarbete mellan flera personer, eller om personen är oförmögen att ge feedback och måste överföra uppgiften till en kollega. För utskrifter från systemet gäller samma regler för lagring och konfidentialitet som för elektroniska data. Tillgången måste begränsas till betrodd personal, och dina testresultat måste förvaras säkert under lås. Sekretessen för dina testresultat – dvs. vilka personer/företag som har tillgång till dina testresultat, vilka personer som informeras om dem och i vilken utsträckning – måste i alla fall specificeras för dig av den ansvariga för ditt test. Eventuell senare spridning av information om dig till personer eller företag som inte ursprungligen angivits kan endast ske med ditt föregående samtycke. Personen/personerna och företaget/företagen ansvariga för ditt test och din feedback är ansvariga för att säkerställa att lagstiftningen gällande sekretess och lagring följs i förhållande till auktoriserad tillgång och utskrifter av testresultat. Överträdelse kommer att få konsekvenser för testanvändarens rätt att använda IPA Nordics personlighetstester och kan anmälas till Datatilsynet. Hur säkras elektronisk tillgång till mina testresultat? Det är IPA Nordics ansvar att implementera säkerhetsåtgärder för att säkerställa tillgången till data med avseende på elektronisk lagring i vårt datasystem. IPA Nordic måste se till att endast auktoriserade personer kan få tillgång till systemet och att kommunikationen mellan din dator och systemets server inte kan avlyssnas av tredje part. Systemet är säkrat i alla steg med hjälp av lösenord, vilket säkerställer full kontroll över vem som har tillgång till vad och i vilken utsträckning. Som en extra säkerhetsåtgärd är all kommunikation mellan systemet och din dator krypterad. Krypteringen sker med hjälp av så kallad SSL (Secure Socket Layer), symboliserad av ett litet hänglås i det nedre högra hörnet av webbläsaren. SSL-kryptering säkerställer att den data som överförs mellan din dator och IPA Nordics server är meningslös för någon som eventuellt skulle avlyssna denna kommunikation från en tredje part. Det säkerställer även att meddelandena du får från vår server inte härstammar från en tredje part. Du kan därför vara säker på att du faktiskt är inloggad på IPA Nordics webbplats och att dina data inte hamnar på annat håll. SSL-kryptering finns tillgänglig i olika styrkor. IPA Nordic använder en krypteringsstyrka (256-bit) som för närvarande anses praktiskt taget okrossbar. Om du använder en mycket gammal webbläsarversion, kan den endast stödja en svagare krypteringsstandard (128-bit), men detta uppfyller ändå kraven från Datatilsynet för den typ av data som bearbetas i detta system. Dock bör du om du har en äldre webbläsarversion överväga att uppgradera till en nyare version, då en högre säkerhetsnivå även kommer att gynna dig i andra sammanhang. Jag måste ge samtycke för att mina svar ska inkluderas i IPA Nordics statistik. Vad kommer IPA Nordic använda detta till, och vilken information ingår i statistiken? När du avslutar ett test, överförs dina svar till IPA Nordics statistiska databas. Alla svar du ger i samband med testet – exklusive ditt namn, användarnamn, lösenord och kontaktdetaljer – lagras i denna databas. Detta inkluderar kön, ålder, utbildningsnivå, befattning (frivillig), jobbnivå, etc. Dessa data används för att fastställa genomsnitt för olika befolkningsgrupper och är nödvändiga för vårt arbete med att säkerställa testernas kvalitet och deras vidare utveckling. Det är inte möjligt att identifiera dig personligen i denna databas, och den är endast tillgänglig för de individer på IPA Nordic som arbetar med att säkerställa den statistiska kvaliteten på testerna. Eftersom data endast finns i anonymiserad form i denna databas är det inte möjligt att specificera radering av svar för en identifierad individ, och till skillnad från ditt personliga testsvar kan vi inte dra tillbaka dina testsvar från vår statistik när testet är slutfört. Vi hoppas att du har funnit svar på eventuella frågor du kan ha rörande testvillkoren eller skyddet av dina testsvar och känner dig trygg med att använda vårt system. Om du har ytterligare frågor angående datasäkerhet, konfidentialitet eller etik är du välkommen att kontakta IPA Nordic direkt. Du kan kontakta dem via e-postadressen steen@ipanordic.dk.
