Skydd av personuppgifter

Ett personuppgiftsbiträdesavtal är ett juridiskt bindande dokument som reglerar personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. FirstAgenda är personuppgiftsbiträde i samband med leverans av sina lösningar och ni som kunder är personuppgiftsansvariga.

För att säkerställa efterlevnad av GDPR är det nödvändigt att ingå ett avtal som reglerar behandlingens omfattning och varaktighet. Observera att du som personuppgiftsansvarig har det övergripande ansvaret.

FirstAgenda tillhandahåller lösningarna Prepare, Publication, Live, Management och LetDialog.

Observera att det är nödvändigt att avtalet om databehandling ingås på produktnivå, eftersom behandlingsaktiviteten varierar mellan de olika lösningarna.

Om er organisation använder flera lösningar kommer ni att behöva ingå ett motsvarande antal personuppgiftsbiträdesavtal. Till exempel kommer det att vara nödvändigt att ingå två databehandlingsavtal om er organisation använder både Prepare och Publication.

Vid användning av FirstFirstAgenda Publication sker en behandling av personuppgifter enligt definitionen i GDPR art. 4. Vid denna behandling av personuppgifter måste du som personuppgiftsansvarig vara medveten om att behandlingen skiljer sig från FirstAgenda Prepare , varför vi som personuppgiftsbiträde är skyldiga enligt GDPR art. 28 att ta emot instruktioner och ändamål för utövandet av dessa behandlingsaktiviteter i vårt tillhandahållande av FirstFirstAgenda Publication

Det finns formaliserade förfaranden på plats för att säkerställa att FirstAgenda genomför en riskbedömning för att uppnå lämplig säkerhet. Den genomförda riskbedömningen är aktuell och omfattar den aktuella behandlingen av personuppgifter. FirstAgenda har genomfört de tekniska åtgärderna för att säkerställa lämplig säkerhet i enlighet med riskbedömningen.

Vi erhåller en årlig ISAE3000-rapport från en oberoende revisor, som bland annat testar att riskbedömningar har utförts. Förklaringarna görs tillgängliga på webbplatsen och fungerar som dokumentation av vår efterlevnad av den allmänna dataskyddsförordningen och bestämmelserna i avtalet om databehandling.

Uppgifterna lagras i enlighet med ett avtal om databehandling. Vi utför löpande screening och kontroll av våra underbiträden för att säkerställa lämplig behandlingssäkerhet.

Vi har genomfört lämpliga organisatoriska och tekniska säkerhetsåtgärder för att säkerställa att inga oavsiktliga överföringar till tredje land sker, inklusive men inte begränsat till krypteringsåtgärder i enlighet med EDPB:s rekommendationer i detta avseende.

På FirstAgenda har vi köpt en tjänst som innebär att AWS är skyldigt att behandla uppgifter inom dataregionen EU-WEST (Irland) och därmed inom EU/EES.

FirstAgenda har, i enlighet med ovanstående, vidtagit ytterligare åtgärder för att säkerställa att personuppgifterna är föremål för adekvat säkerhet och därför inte kan nås av obehöriga tredje parter. Krypteringsåtgärder har vidtagits i enlighet med EDPB:s rekommendationer för detta ändamål, vilket säkerställer att krypteringsnyckeln lagras separat så att inte ens AWS har möjlighet att dekryptera

FirstAgendas dataset. Av säkerhetsskäl vill vi inte offentliggöra den exakta platsen där krypteringsnyckeln lagras, eftersom detta skulle kunna utnyttjas.

Observera att EU-kommissionen den 10 juli 2023 antog ett beslut om adekvat skyddsnivå som öppnar upp för överföring av personuppgifter till USA utan användning av andra överföringsgrunder. Detta kräver dock att mottagaren är certifierad enligt det nya EU-U.S. Data Privacy Framework av U.S. Department of Commerce, vilket AWS är. https://www.dataprivacyframework.gov/s/participant-search

Av säkerhetsskäl vill vi inte offentliggöra den exakta platsen där krypteringsnycklarna lagras, eftersom detta skulle kunna utnyttjas med negativa konsekvenser. Krypteringsnycklarna lagras separat på platser som inte ens AWS känner till.

Binero har sitt huvudkontor i Sverige, vilket är anledningen till att all hosting sker på platser i Sverige. Med Binero får du ett europeiskt upplägg där du också garanteras en hög säkerhetsnivå, vilket återspeglas i deras certifieringar och deklarationer.

AWS är enligt sitt standardavtal för underbiträden skyldig att behandla uppgifter inom dataregionen EU-WEST (Irland). AWS har en toppmodern installation, vilket återspeglas i deras många certifieringar och deklarationer.

Vi har redovisat kvalifikationer i vår senaste ISAE3000-rapport. Detta beskrivs närmare nedan:

Avvikelser i ISAE3000-rapporten

Som personuppgiftsbiträde erbjuder vi lösningar för dig som personuppgiftsansvarig. Det är den personuppgiftsansvarige som måste följa GDPR artikel 12, 13 och 14. I vissa av våra lösningar erbjuder vi dig som personuppgiftsansvarig att följa informationsplikten, särskilt genom att stödja en undersida där du har möjlighet att tillhandahålla den lagstadgade informationen.

Som kund måste ni vara medveten om vem som måste följa vad i vilken roll. Detta innebär att när du besöker FirstAgendas webbplats(er) har dessa webbplatser inget att göra med leveransen av lösningarna och därmed är FirstAgenda personuppgiftsansvarig för den behandling av personuppgifter som sker på webbplatserna.

Ingen cookie-teknik används i själva lösningarna.