BILAGA nr 3 till användarvillkoren: Databehandlingsavtal

Gäller från och med den 26 november 2025

Detta databehandlingsavtal gäller mellan dig och ESET när du behandlar personuppgifter som personuppgiftsansvarig genom användning av ESET-tjänster som tillhandahålls enligt villkoren, och ESET behandlar sådana personuppgifter för din räkning som personuppgiftsbiträde.

I enlighet med kraven i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (”GDPR”) ingår ESET (”Registerförare”) och du (”Registeransvarig”) ett avtalsförhållande om databehandling för att definiera villkoren för behandling av personuppgifter, sättet dessa ska skyddas på, samt för att definiera andra rättigheter och skyldigheter för båda parter vid behandlingen av personuppgifter för registrerade på uppdrag av den Registeransvariga under genomförandet av föremålet för dessa Villkor som huvudavtal.

1. Behandling av personuppgifter. De tjänster som tillhandahålls i enlighet med dessa Villkor inkluderar behandling av information om en identifierad eller identifierbar fysisk person på uppgift av den Registeransvariga, i enlighet med Sekretesspolicyn (”Personuppgifter”).

2. Godkännande. Den Registeransvariga godkänner att Registerföraren behandlar Personuppgifter, inklusive följande instruktioner:

(i) Syfte med behandling avser tillhandahållande av tjänster i enlighet med dessa Villkor och dokumentation. Registerföraren är endast tillåten att behandla Personuppgifter för den Registeransvarigas räkning avseende tillhandahållande av tjänster som begärs av den Registeransvariga. All information som samlas in för ytterligare ändamål behandlas utanför avtalsförhållandet mellan Registerförare och Registeransvarig.

(ii) Behandlingsperiod avser perioden från det att samarbete ingås enligt dessa Villkor till dess att samarbetet avslutas.

(iii) Omfattning och kategorier av personuppgifter avser alla personuppgifter som tillhandahålls eller görs tillgängliga av den registeransvariga under tillhandahållandet av tjänster. Tjänsterna är endast avsedda för behandling av allmänna personuppgifter. Den registeransvariga är dock ensam ansvarig för fastställandet av personuppgifternas omfattning.

(iv) Registrerad avser en fysisk person som behörig användare av Registerförarens enheter för vilka tjänsterna tillhandahålls.

(v) Behandlingsaktiviteter avser alla åtgärder som är nödvändiga för bearbetning.

(vi) Dokumenterade instruktioner avser instruktioner som beskrivs i dessa Villkor, dess Bilagor, Sekretesspolicyn och dokumentation. Den Registeransvariga ska ansvara för att Registerförarens behandling av Personuppgifter är juridiskt tillåten enligt respektive tillämplig dataskyddslagstiftning.

3. Registerförarens skyldigheter. Registerföraren är skyldig att:

(i) behandla Personuppgifter endast på grundval av dokumenterade instruktioner och i enlighet med ändamålet med behandlingen

(ii) instruera de personer som är behöriga att behandla Personuppgifterna (”Behöriga personer”) om deras rättigheter och skyldigheter enligt GDPR, om deras ansvar i händelse av överträdelse och se till att Behöriga personer har åtagit sig att iaktta konfidentialitet och följer de dokumenterade instruktionerna

(iii) vidta alla åtgärder som rör säkerheten för behandling i enlighet med artikel 32 i GDPR, med hänsyn tagen till status, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål, samt risken för varierande sannolikhet och svårighetsgrad för fysiska personers rättigheter och friheter, för att säkerställa en säkerhetsnivå vid behandling av den registeransvarigas personuppgifter som är lämplig för risken

(iv) hjälpa den Registeransvariga att svara på förfrågningar från Registrerade gällande deras rättigheter, med hänsyn tagen till behandlingens art. Registerföraren får inte rätta, radera eller begränsa behandlingen av Personuppgifter utan instruktion från den Registeransvariga Alla förfrågningar från Registrerade relaterade till Personuppgifter som behandlas för den Registeransvarigas räkning ska vidarebefordras till den Registeransvariga utan dröjsmål

(v) bistå den Registeransvariga med att meddela personuppgiftsincident till tillsynsmyndigheten och den Registrerade. Registerföraren ska underrätta den Registeransvariga om eventuella incidenter rörande behandling av Personuppgifter eller personuppgiftssäkerhet omedelbart efter upptäckten. Registerföraren ska i rimlig utsträckning samarbeta i en utredning och åtgärd kring sådan incident och vidta rimliga åtgärder för att begränsa ytterligare negativa konsekvenser

(vi) om den Registeransvariga så väljer, att ta bort eller återlämna alla Personuppgifter till den Registeransvariga efter Behandlingsperiodens slut. Den Registeransvariga åtar sig att informera Registerförare om sitt beslut inom tio (10) dagar efter Behandlingsperiodens slut. Denna bestämmelse ska inte påverka Registerförarens rätt att behålla Personuppgifterna i den utsträckning som är nödvändig för arkiveringsändamål av allmänt intresse, vetenskapliga forskningsändamål, statistiska ändamål eller för att fastställa, utöva eller försvara rättsliga fordringar

(vii) föra ett uppdaterat register över alla kategorier av Behandlingsaktiviteter som utförs för den Registeransvarigas räkning

(viii) göra all information som krävs för att demonstrera efterlevnad som en del av Villkoren, dess Bilagor, Sekretesspolicy och dokumentation tillgänglig för den registeransvariga. Vid granskning eller kontroll av behandlingen av Personuppgifter från den Registeransvarigas sida är den registeransvariga skyldig att skriftligen informera Registerföraren minst trettio (30) dagar före den planerade granskningen eller kontrollen.

4. Anlita en annan registerförare. Registerföraren har vanligtvis rätt att anlita en annan registerförare för att utföra specifika behandlingsaktiviteter, såsom tillhandahållande av molnlagring och infrastruktur för tjänsten i enlighet med Villkoren, dess Bilagor, Sekretesspolicyn och dokumentation. I sådant fall förblir Registerföraren den enda kontaktpunkten och den part som ansvarar för efterlevnaden. Registerföraren åtar sig härmed att informera den Registeransvariga om eventuella tillägg eller byten av en annan registerförare i syfte att kunna invända mot en sådan ändring. De underregisterförare som för närvarande är inblandade anges i registerförarens sekretesspolicy.

5. Territorium för behandling. Registerföraren säkerställer att behandlingen sker inom det Europeiska ekonomiska samarbetsområdet eller i ett land som har utsetts som säkert enligt Europeiska kommissionens beslut på grundval av den registeransvarigas beslut. Standardavtalsklausuler ska gälla vid överföringar och behandling utanför Europeiska ekonomiska samarbetsområdet eller ett land som utsetts som säkert genom beslut av Europeiska kommissionen på begäran av den Registeransvariga.

6. Säkerhet. Registerföraren är ISO 27001-certifierad och använder ISO 27001-ramverket för att implementera en säkerhetsstrategi med försvar i flera lager när säkerhetskontroller tillämpas på nätverkslager, operativsystem, databaser, program, personal och driftsprocesser. Efterlevnaden av de regulatoriska och avtalsenliga kraven utvärderas och granskas regelbundet på samma sätt som annan infrastruktur och verksamhet hos Registerföraren, och nödvändiga åtgärder vidtas för att säkerställa efterlevnad på kontinuerlig basis. Registerföraren har organiserat datasäkerheten genom användning av ISMS baserat på ISO 27001. Säkerhetsdokumentationen omfattar främst policydokument avseende informationssäkerhet, fysisk säkerhet, utrustningssäkerhet, incidenthantering, hantering av dataläckor och säkerhetsincidenter osv.

7. Tekniska och organisatoriska åtgärder. Registerförarem ska skydda Personuppgifterna mot oavsiktlig och olaglig skada och förstörelse, tillfällig förlust, ändring, obehörig åtkomst och spridning. För detta ändamål ska Registerföraren vidta adekvata tekniska och organisatoriska åtgärder motsvarande behandlingssättet och den risk som föreligger för de Registrerades rättigheter i och med behandlingen i enlighet med kraven i GDPR. En detaljerad beskrivning av de tekniska och organisatoriska åtgärderna finns i Säkerhetspolicy.

8. Registerförarens kontaktuppgifter. Alla meddelanden, förfrågningar, krav och annan kommunikation som rör skydd av personuppgifter ska skickas till ESET, spol. s.r.o., adresserat till: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.