Version 2.1 | Ikraftträdandedatum: 13 juli 2026
Detta DPA gäller för alla handlare som ingår ett avtal med Yabie AB. Vid frågor om detta DPA, kontakta privacy@yabie.com.
I detta dataskyddstillägg (”DPA”) avses med:
1.1 ”Avtal” det ramavtal om tjänster, de allmänna villkor eller det andra avtal som reglerar Yabies tillhandahållande av Tjänsterna till Handlaren.
1.2 ”Tillämplig dataskyddslagstiftning” alla lagar och regler som är tillämpliga på Behandlingen av Personuppgifter enligt Avtalet, inklusive men inte begränsat till: förordning (EU) 2016/679 (GDPR); UK GDPR och Data Protection Act 2018; samt nationella lagar som genomför eller kompletterar ovanstående, i deras vid var tid gällande lydelse.
1.3 ”Personuppgiftsansvarig” den enhet som bestämmer ändamålen och medlen för Behandlingen av Personuppgifter.
1.4 ”Personuppgiftsbiträde” den enhet som behandlar Personuppgifter för den Personuppgiftsansvariges räkning.
1.5 ”Handlaren” den kundorganisation som ingår Avtalet med Yabie och som agerar Personuppgiftsansvarig för Personuppgifter.
1.6 ”Personuppgifter” all information som avser en identifierad eller identifierbar fysisk person och som behandlas inom ramen för Avtalet.
1.7 ”Registrerad” en identifierad eller identifierbar fysisk person vars Personuppgifter behandlas.
1.8 ”Behandling” / ”Behandla” varje åtgärd eller serie av åtgärder som vidtas i fråga om Personuppgifter, oavsett om de utförs automatiserat eller inte, inklusive insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, hämtning, läsning, användning, utlämning, spridning, justering, begränsning, radering eller förstöring.
1.9 ”Personuppgiftsincident” en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt utlämnande av eller obehörig åtkomst till Personuppgifter som överförts, lagrats eller på annat sätt behandlats.
1.10 ”Underbiträde” en tredje part som Yabie anlitar för att Behandla Personuppgifter för Handlarens räkning.
1.11 ”Tillsynsmyndighet” en oberoende offentlig myndighet inrättad enligt Tillämplig dataskyddslagstiftning.
1.12 ”Standardavtalsklausuler” eller ”SCC” de standardavtalsklausuler för överföring av Personuppgifter till tredjeländer som antagits av Europeiska kommissionen enligt artikel 46 GDPR (kommissionens genomförandebeslut (EU) 2021/914 och eventuella framtida versioner), i deras vid var tid gällande lydelse.
2.1 Uppdrag som personuppgiftsbiträde
Detta DPA tillämpas i den utsträckning Yabie Behandlar Personuppgifter för Handlarens räkning i samband med Tjänsterna. Parterna bekräftar och accepterar att:
Ingenting i detta DPA ska tolkas som att det skapar ett gemensamt personuppgiftsansvar mellan parterna. Detta DPA gäller enbart för Personuppgifter som Yabie behandlar i egenskap av Personuppgiftsbiträde. För uppgifter som Yabie behandlar i egenskap av Personuppgiftsansvarig i eget namn gäller Yabies Integritetspolicy.
2.2 Föremål för och varaktighet av behandlingen
Föremålet för Behandlingen är tillhandahållandet av Tjänsterna enligt Avtalet. Behandlingen varar under Avtalets löptid och fram till dess att Personuppgifter raderas eller återlämnas i enlighet med avsnitt 9 i detta DPA.
2.3 Behandlingens art, ändamål och omfattning
Yabie ska Behandla Personuppgifter enbart i syfte att tillhandahålla Tjänsterna till Handlaren och i enlighet med Handlarens dokumenterade instruktioner enligt: Avtalet; detta DPA; och eventuella lagliga skriftliga instruktioner från Handlaren som är förenliga med Avtalet. Uppgifter om Behandlingen, inklusive kategorier av Registrerade och Personuppgifter, framgår av Bilaga I.
Yabie ska inte Behandla Personuppgifter för egna ändamål och ska inte sälja, dela eller på annat sätt utnyttja Personuppgifter utöver vad som krävs för att tillhandahålla Tjänsterna eller vad som krävs enligt lag.
För tydlighetens skull: produktanvändningsanalys – inklusive händelsedata för funktionsanvändning och applikationsloggar – som Yabie samlar in för egna produktutvecklingsändamål behandlas av Yabie som Personuppgiftsansvarig i eget namn och omfattas av Yabies Integritetspolicy, inte detta DPA.
2.4 Handlarens ansvar
Handlaren ska säkerställa att den har uppfyllt och kommer att uppfylla Tillämplig dataskyddslagstiftning; att den har en rättslig grund för Behandlingen av Personuppgifter; att den har lämnat alla nödvändiga upplysningar till Registrerade; och att instruktionerna till Yabie är lagliga och inte strider mot Tillämplig dataskyddslagstiftning. Yabie är inte ansvarigt för att bedöma lagligheten av Handlarens Behandlingsverksamhet.
2.5 Instruktioner som strider mot lag
Om Yabie blir medveten om att en instruktion från Handlaren strider mot Tillämplig dataskyddslagstiftning ska Yabie informera Handlaren utan onödigt dröjsmål. Yabie är inte skyldigt att följa en instruktion som Yabie rimligen bedömer vara olaglig.
Yabie ska säkerställa att all personal som är behörig att Behandla Personuppgifter: är underkastad lämpliga sekretessförpliktelser, oavsett om dessa är avtalsenliga eller lagstadgade; är bunden att Behandla Personuppgifter enbart i enlighet med Handlarens dokumenterade instruktioner och detta DPA; och är underkastad lämpliga åtkomstkontroller som begränsar åtkomst till dem som behöver den för att utföra Tjänsterna. Yabie ska vidta lämpliga åtgärder för att säkerställa att relevant personal är medveten om sina dataskyddsskyldigheter och ska säkerställa att åtkomst omedelbart återkallas vid avslutad anställning eller när behovet av åtkomst upphör.
4.1 Allmän säkerhetsskyldighet
Yabie ska implementera och upprätthålla lämpliga tekniska och organisatoriska åtgärder som är utformade för att skydda Personuppgifter mot oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt utlämnande av eller obehörig åtkomst till Personuppgifter. Sådana åtgärder ska vara lämpliga i förhållande till de risker som Behandlingen medför, med beaktande av den aktuella tekniken, kostnaderna för genomförandet samt Behandlingens art, omfattning, sammanhang och ändamål.
4.2 Säkerhetsåtgärder
Yabies säkerhetsåtgärder ska i förekommande fall innefatta:
En beskrivning av Yabies nuvarande säkerhetsåtgärder finns i Bilaga II. Yabie kan uppdatera eller ändra sina säkerhetsåtgärder från tid till annan, förutsatt att sådana uppdateringar inte väsentligt minskar den sammantagna skyddsnivån för Personuppgifter.
4.3 Friskrivning avseende säkerhet
Parterna erkänner att inga säkerhetsåtgärder kan eliminera alla säkerhetsrisker. Yabie ska genomföra rimliga och lämpliga skyddsåtgärder men garanterar inte att Tjänsterna är immuna mot alla säkerhetshot.
4.4 Underrättelse om säkerhetsincident
Yabie ska underrätta Handlaren utan onödigt dröjsmål efter att ha fått kännedom om en bekräftad Personuppgiftsincident som berör Personuppgifter som behandlas för Handlarens räkning. Underrättelse kan lämnas i etapper allt eftersom information blir tillgänglig och ska, i den utsträckning den är känd vid tidpunkten, innefatta: en beskrivning av incidentens art; de kategorier och det ungefärliga antal Registrerade och poster med Personuppgifter som berörs; och de åtgärder som vidtagits eller planerats för att hantera incidenten.
Underrättelse om en Personuppgiftsincident enligt detta avsnitt ska inte tolkas som ett erkännande av ansvar från Yabies sida. Vid drifts- eller infrastrukturincidenter som inte utgör Personuppgiftsincidenter ska Yabie underrätta Handlaren utan onödigt dröjsmål om sådana incidenter väsentligt påverkar Tjänsternas tillgänglighet eller integritet.
5.1 Allmänt godkännande
Handlaren lämnar ett allmänt godkännande för Yabie att anlita Underbiträden för att Behandla Personuppgifter för Handlarens räkning i samband med Tjänsterna. En aktuell förteckning över Underbiträden görs tillgänglig av Yabie via webbplatsen yabie.com/legal/sub-processors och uppdateras i enlighet med avsnitt 5.2.
5.2 Ändringar av underbiträden
Yabie kan från tid till annan anlita nya Underbiträden. Yabie ska uppdatera den publicerade förteckningen över Underbiträden och underrätta Handlaren om eventuella ändringar via e-post (till den kontakt som angetts i Avtalet eller Handlarens kontoinställningar) minst 30 dagar innan ändringen träder i kraft.
5.3 Rätt att invända
Handlaren kan invända mot anlitandet av ett nytt Underbiträde på rimliga dataskyddsgrunder, inklusive en väsentlig risk för bristande efterlevnad av Tillämplig dataskyddslagstiftning eller detta DPA, i enlighet med artikel 28.2 GDPR. En eventuell invändning måste: framföras skriftligen inom trettio (30) dagar från det att Handlaren fick underrättelse; och tydligt ange de specifika dataskyddsgrunderna för invändningen. Om Handlaren inte invänder inom den fristen anses Handlaren ha godkänt det nya Underbiträdet.
5.4 Lösning
Om parterna inte kan lösa en giltig invändning inom rimlig tid kan Handlaren säga upp de berörda Tjänsterna i enlighet med Avtalets uppsägningsbestämmelser. Yabie har ingen skyldighet att anlita ett alternativt Underbiträde.
5.5 Underbiträdenas skyldigheter
När Yabie anlitar ett Underbiträde ska Yabie: ingå ett skriftligt avtal som ålägger Underbiträdet dataskyddsskyldigheter som inte är mindre skyddande än de som anges i detta DPA; och kvarstå ansvarigt för Underbiträdets efterlevnad av dess dataskyddsskyldigheter i enlighet med Tillämplig dataskyddslagstiftning.
Yabie ska inte överföra Personuppgifter till ett land utanför Europeiska ekonomiska samarbetsområdet (”EES”) eller Förenade kungariket om inte sådana överföringar sker i enlighet med Tillämplig dataskyddslagstiftning, med stöd av ett lagligt överföringsverktyg såsom ett beslut om adekvat skyddsnivå eller standardavtalsklausuler.
När Personuppgifter överförs utanför EES till ett land som inte omfattas av ett beslut om adekvat skyddsnivå gäller standardavtalsklausulerna (Modul 2: Personuppgiftsansvarig till personuppgiftsbiträde) i den form de inarbetats i Bilaga IV. Vid överföringar som omfattas av UK GDPR till länder som inte är föremål för en brittisk adekvansförordning gäller UK ICO:s International Data Transfer Addendum i den form det inarbetats i Bilaga IV. När så krävs ska Yabie genomföra kompletterande tekniska och organisatoriska åtgärder för att säkerställa att överförda Personuppgifter ges ett likvärdigt skydd.
Om Yabie mottar en rättsligt bindande begäran från en offentlig myndighet om att lämna ut Personuppgifter ska Yabie uppfylla sina rättsliga skyldigheter och, i den mån det är rättsligt tillåtet, underrätta Handlaren. Vid eventuell konflikt mellan detta DPA och SCC ska SCC ha företräde.
Du kan begära ytterligare information om tillämpliga överföringsskyddsåtgärder genom att kontakta privacy@yabie.com.
7.1 Begäranden från registrerade som inkommer till Yabie
Om Yabie mottar en begäran från en Registrerad avseende Personuppgifter som behandlas för Handlarens räkning ska Yabie omedelbart underrätta Handlaren och ska inte besvara en sådan begäran direkt, utom om det krävs enligt Tillämplig dataskyddslagstiftning.
7.2 Biträdesskyldighet
Med beaktande av Behandlingens art ska Yabie, genom lämpliga tekniska och organisatoriska åtgärder, ge Handlaren rimlig assistans för att möjliggöra att Handlaren uppfyller sina skyldigheter enligt artiklarna 15–22 och 34 GDPR (eller motsvarande bestämmelser i Tillämplig dataskyddslagstiftning), inom rimlig tid med beaktande av Handlarens lagstadgade frister. Sådan assistans ska begränsas till Personuppgifter som Yabie behandlar för Handlarens räkning och ska inte sträcka sig till begäranden som är uppenbart ogrundade, orimliga eller upprepade.
7.3 Handlarens ansvar
Handlaren ansvarar för att: bedöma giltigheten av de Registrerades begäranden; kommunicera svar till de Registrerade; och säkerställa efterlevnad av Tillämplig dataskyddslagstiftning avseende sådana begäranden.
7.4 Kostnader och assistans vid konsekvensbedömningar
Yabie ska tillhandahålla rimlig assistans vid konsekvensbedömningar avseende dataskydd (DPIA) enligt artikel 35 GDPR utan tilläggsavgift för standardbegäranden, inklusive tillhandahållande av tillämplig säkerhetsdokumentation, information om underbiträden och standardplattformsdokumentation. Om en begäran kräver väsentlig ytterligare insats utöver standarddokumentation – såsom skräddarsydda tekniska bedömningar eller dedikerat engagemang utöver Tjänsternas normala omfattning – ska parterna i förväg skriftligen komma överens om omfattning och eventuella kostnader. Yabies skyldighet att tillhandahålla rimlig assistans enligt artikel 28.3 f GDPR begränsas inte av denna bestämmelse.
8.1 Underrättelseskyldighet
Yabie ska underrätta Handlaren om en bekräftad Personuppgiftsincident som berör Personuppgifter som behandlas för Handlarens räkning utan onödigt dröjsmål efter att ha fått kännedom om incidenten. Om information ännu inte är fullständigt tillgänglig kan Yabie lämna en inledande underrättelse följd av uppdateringar allt eftersom ytterligare information blir tillgänglig.
8.2 Information som ska tillhandahållas
I den utsträckning informationen rimligen är tillgänglig ska Yabie ge Handlaren information som är tillräcklig för att Handlaren ska kunna uppfylla sina skyldigheter enligt Tillämplig dataskyddslagstiftning, inklusive: en beskrivning av Personuppgiftsincidentens art; de kategorier av Registrerade som berörs; de kategorier av Personuppgifter som berörs; och de åtgärder som vidtagits eller planerats för att hantera incidenten och begränsa dess eventuella negativa konsekvenser.
8.3 Samarbete och inget erkännande av ansvar
Yabie ska ge Handlaren rimligt samarbete i samband med utredning och avhjälpande av en Personuppgiftsincident, med beaktande av Behandlingens art och den information som finns tillgänglig för Yabie. Underrättelse om en Personuppgiftsincident ska inte tolkas som ett erkännande av ansvar från Yabies sida.
8.4 Myndighetskommunikation och kostnader
Handlaren ansvarar för att avgöra om en Tillsynsmyndighet eller Registrerade ska underrättas om en Personuppgiftsincident. Yabie ska inte underrätta någon Tillsynsmyndighet eller Registrerad direkt om det inte krävs enligt Tillämplig dataskyddslagstiftning. Om inte Personuppgiftsincidenten orsakats av Yabies brott mot detta DPA eller Tillämplig dataskyddslagstiftning ska Handlaren bära sina egna kostnader till följd av en Personuppgiftsincident.
9.1 Radering eller återlämning vid upphörande
När Avtalet upphör eller löper ut ska Yabie, på Handlarens skriftliga begäran, antingen: återlämna Personuppgifter till Handlaren i ett strukturerat, allmänt använt och maskinläsbart format; eller på ett säkert sätt radera Personuppgifterna, om inte Tillämplig dataskyddslagstiftning kräver lagring av Personuppgifterna.
9.2 Tidsfrist och standardradering
Om Handlaren lämnar in en skriftlig begäran efter Avtalets upphörande ska radering eller återlämning av aktiva Personuppgifter slutföras inom 30 dagar från begäran, om inte annat skriftligen avtalats. Om ingen skriftlig begäran inkommer ska Yabie hantera Personuppgifter i enlighet med sina tillämpliga lagringsriktlinjer och eventuella lagstadgade skyldigheter. Personuppgifter som inte längre behövs och som inte är föremål för en laglig lagringsförpliktelse ska raderas eller anonymiseras i enlighet med Yabies standardlagringsscheman, såsom beskrivs i Yabies Integritetspolicy på yabie.com.
9.3 Lagringsförpliktelse enligt lag
Om Yabie är skyldigt att lagra Personuppgifter enligt Tillämplig dataskyddslagstiftning ska Yabie: fortsätta att skydda sådana Personuppgifter; och inte Behandla sådana Personuppgifter ytterligare om det inte krävs enligt lag.
9.4 Säkerhetskopieringssystem
Parterna erkänner att restexemplar av Personuppgifter kan finnas kvar i Yabies säkerhetskopieringssystem efter radering av aktiva uppgifter. Sådana restexemplar ska raderas i enlighet med Yabies standardlagringsscheman för säkerhetskopior. Under denna period är sådana uppgifter skyddade i enlighet med detta DPA och behandlas inte aktivt.
9.5 Intyg
På skriftlig begäran ska Yabie tillhandahålla skriftlig bekräftelse på att radering har slutförts i enlighet med detta avsnitt.
10.1 Tillhandahållande av information
Yabie ska på skriftlig begäran (begränsad till en gång per tolvmånadersperiod, utom om Tillämplig dataskyddslagstiftning kräver annat, om en Tillsynsmyndighet kräver det, eller efter en bekräftad Personuppgiftsincident som direkt berör Handlarens Personuppgifter) göra tillgänglig information som rimligen krävs för att visa Yabies efterlevnad av sina skyldigheter enligt detta DPA. Sådan information kan innefatta sammanfattningar av säkerhetsåtgärder, policyer, certifieringar, revisionsrapporter eller annan dokumentation som rimligen krävs enligt artikel 28 GDPR. Sådana begäranden får inte oskäligt störa Yabies affärsverksamhet.
10.2 Revisionsrapporter från tredje part
Yabie anlitar kvalificerade oberoende tredjepartsrevisorer för att genomföra bedömningar mot erkända standarder. På skriftlig begäran ska Yabie förse Handlaren med kopior av de senast tillgängliga revisionsrapporterna eller ledningssammanfattningarna från penetrationstestresultat, med förbehåll för lämpliga sekretessförpliktelser. Parterna är eniga om att den information och de rapporter som tillhandahålls enligt avsnitten 10.1 och 10.2 ska tillgodose Handlarens revisionsrättigheter enligt artikel 28.3 h GDPR i det ordinära förfarandet.
10.3 Rätt till revision på plats
Utan hinder av avsnitt 10.2 har Handlaren rätt att begära en revision eller inspektion på plats om:
En revision på plats enligt detta avsnitt ska vara föremål för: minst 20 arbetsdagars skriftligt förhandsbesked med angivande av revisionens omfattning; en ömsesidigt avtalad omfattning, tidsplan och sekretessförpliktelse; högst en revision på plats per kalenderår (om inte en Tillsynsmyndighet kräver annat); och genomförande under ordinarie arbetstid med minimal störning av Yabies verksamhet.
Revisioner på plats som genomförs med stöd av det första eller andra strecket ovan ska bekostas av Yabie på rimlig basis. Revisioner på plats som genomförs med stöd av det tredje strecket ska bekostas av Handlaren, inklusive Yabies skäliga tidbaserade avgifter för att tillhandahålla assistans.
11.1 Ansvarsbegränsning
I den maximala utsträckning som Tillämplig dataskyddslagstiftning tillåter ska det totala sammanlagda ansvaret för Yabie AB (inklusive dess närstående bolag och Underbiträden) som uppkommer till följd av eller i samband med detta DPA, oavsett om det grundas på avtal, utomobligatoriska skadeståndsregler (inklusive vårdslöshet) eller annat, begränsas till det totala belopp som Handlaren betalat till Yabie för Tjänsterna under de tolv (12) månader som omedelbart föregick den händelse som gav upphov till anspråket.
11.2 Undantag för indirekt skada
Yabie är inte under några omständigheter ansvarigt för indirekt, oavsiktlig, speciell, följdmässig eller exemplarisk skada, inklusive men inte begränsat till utebliven vinst, förlust av goodwill eller förlust av affärsmöjlighet, även om Yabie informerats om möjligheten för sådan skada.
11.3 Undantag från ansvarsbegränsning
Avsnitten 11.1 och 11.2 ska inte gälla eller begränsa:
11.4 Ansvar gentemot registrerade
Ingenting i detta avsnitt 11 är avsett att begränsa eller undanta endera partens ansvar gentemot Registrerade eller Tillsynsmyndigheter i den utsträckning en sådan begränsning är förbjuden enligt Tillämplig dataskyddslagstiftning (inklusive Standardavtalsklausulerna).
11.5 Fördelning av böter
Som mellan parterna är Handlaren ansvarig för böter eller sanktioner som åläggs av en Tillsynsmyndighet till följd av Handlarens bristande efterlevnad av sina skyldigheter som Personuppgiftsansvarig eller till följd av att Handlaren lämnat olagliga instruktioner till Yabie.
12.1 Tillämplig lag
Detta DPA ska regleras av och tolkas i enlighet med svensk lagstiftning, utan att det påverkar tillämpningen av tvingande bestämmelser i Standardavtalsklausulerna eller Tillämplig dataskyddslagstiftning. Som mellan Yabie och Handlaren enbart ska Stockholms domstol ha exklusiv jurisdiktion över eventuella tvister som uppkommer enligt detta DPA. För tydlighetens skull begränsar ingenting i denna klausul rätten för Registrerade att väcka talan vid domstolarna på sin hemvistort eller inför behörig tillsynsmyndighet, i enlighet med SCC, UK Addendum och Tillämplig dataskyddslagstiftning.
12.2 Rangordning
Vid eventuell konflikt mellan: (1) Standardavtalsklausulerna (i tillämpliga fall); (2) detta DPA; och (3) Avtalet, ska rangordningen vara: i första hand Standardavtalsklausulerna; i andra hand detta DPA; i tredje hand Avtalet.
12.3 Ändringar
Yabie kan uppdatera detta DPA utan Handlarens förhandsgodkännande om det krävs för att uppfylla ändringar i Tillämplig dataskyddslagstiftning eller bindande tillsynsvägledning, förutsatt att Yabie lämnar minst 14 dagars skriftligt förhandsbesked om sådana ändringar, utom om ändringen har omedelbar verkan på grund av tillämplig lag eller behörig myndighet, i vilket fall besked ska lämnas så snart det rimligen är möjligt. För övriga ändringar ska Yabie lämna minst 30 dagars skriftligt förhandsbesked. Om Handlaren inte invänder skriftligen inom beskedsperioden ska Handlaren anses ha godkänt ändringarna. Ingen ändring får väsentligt minska skyddsnivån för Personuppgifter enligt detta DPA.
12.4 Avskiljbarhet
Om någon bestämmelse i detta DPA förklaras ogiltig eller ogenomförbar ska de återstående bestämmelserna fortsätta att gälla fullt ut.
12.5 Fortsatt giltighet
Bestämmelserna om sekretess, ansvar, internationella överföringar och återlämning eller radering av Personuppgifter ska fortsätta att gälla efter Avtalets upphörande så länge Yabie Behandlar Personuppgifter för Handlarens räkning.
A. Parternas uppgifter
Personuppgiftsansvarig (exportör): Handlaren, enligt definition i Avtalet.
Personuppgiftsbiträde (importör): Yabie AB, organisationsnummer 559083-2092, Sverige. Kontaktperson för dataskydd: privacy@yabie.com.
B. Föremål för behandlingen
Behandling av Personuppgifter i samband med tillhandahållandet av kassasystem, onlinebutik och relaterade programvarutjänster enligt Avtalet.
C. Varaktighet
Behandlingen pågår under Avtalets löptid och fram till dess att Personuppgifter raderas eller återlämnas i enlighet med avsnitt 9 i detta DPA.
D. Behandlingens art och ändamål
Yabie ska Behandla Personuppgifter för ändamålet att:
Behandlingsåtgärder innefattar: insamling (via Handlarens system); registrering; organisering och strukturering; lagring och förvaring; hämtning och läsning; överföring; begränsning; radering eller förstöring. Yabie ska inte Behandla Personuppgifter för egna kommersiella ändamål.
För tydlighetens skull behandlas produktanvändningsanalys som Yabie samlar in för egna produktutvecklingsändamål av Yabie som Personuppgiftsansvarig och omfattas inte av detta DPA.
E. Kategorier av registrerade
F. Kategorier av personuppgifter
Angående kortuppgifter: Yabie lagrar inte fullständiga kortnummer (PAN), CVV-koder, spårdata eller annan känslig autentiseringsdata. Inga kortuppgifter i klartext passerar Yabies applikationslager.
G. Känsliga uppgifter
Parterna förutser inte Behandling av särskilda kategorier av Personuppgifter (artikel 9 GDPR) eller uppgifter om lagöverträdelser inom ramen för detta DPA. Om Handlaren i strid med detta DPA laddar upp eller tillhandahåller sådana uppgifter är Handlaren ensamt ansvarig för att säkerställa efterlevnad av Tillämplig dataskyddslagstiftning.
Yabie implementerar och upprätthåller tekniska och organisatoriska åtgärder som är utformade för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken i enlighet med artikel 32 GDPR. Nedanstående åtgärder beskriver de viktigaste kontrollerna. Yabie kan uppdatera dessa åtgärder från tid till annan förutsatt att den sammantagna skyddsnivån inte väsentligt minskar.
| Kontrollområde | Genomförda åtgärder |
|---|---|
| Organisatorisk säkerhet | Informationssäkerhetspolicyer som reglerar skyddet av Personuppgifter. Definierade roller och ansvar för informationssäkerhet och dataskydd. Sekretessförpliktelser som binder personal med åtkomst till Personuppgifter. Säkerhetsmedveten- hets- och dataskyddsutbildning för berörd personal. Dokumenterade incidenthanteringsprocedurer och eskalationsprocesser. |
| Åtkomstkontroll | Rollbaserade åtkomstkontroller som begränsar åtkomst till Personuppgifter efter behov. Multifaktorsautentisering krävs för icke-konsolåtkomst till produktionssystem. Starka autentiseringskrav för interna system. Processer för att bevilja, granska och återkalla åtkomsträttigheter. Periodiska åtkomstgranskningar och omedelbar återkallelse av åtkomst vid anställningens upphörande eller vid ändrad roll. |
| Kryptering och dataskydd | Kryptering av Personuppgifter under transport med aktuella branschstandard- protokoll. Kryptering av Personuppgifter i vila med aktuella branschstandardalgoritmer. Säkra nyckelhanteringspraxis inklusive periodisk nyckelrotation. Logisk segregering av kundmiljöer i tillämpliga fall. |
| Nätverks- och infrastruktursäkerhet | Nätverkssegmentering och åtkomstbegränsningar. Brandväggar och trafikfiltreringsmekanismer. Övervakning av nätverks- och systemaktivitet. Skydd mot skadlig kod och obehörig åtkomst. |
| Övervakning och loggning | Loggning av administrativa aktiviteter och aktiviteter med förhöjda behörigheter. Övervakningssystem utformade för att upptäcka avvikande eller misstänkt aktivitet. Procedurer för utredning och hantering av säkerhetshändelser. Revisionsloggar som sparas i enlighet med Yabies lagringsscheman och görs tillgängliga för Handlaren på skriftlig begäran (se avsnitt 10). |
| Sårbarhetshantering | Regelbundna automatiserade sårbarhetsbedömningar av produktionsinfrastruktur och applikationer. Periodiska penetrationstester av oberoende, kvalificerade säkerhetsexperter – ledningssammanfattningar tillgängliga för Handlaren på skriftlig begäran med förbehåll för sekretessförpliktelser. Ett dokumenterat åtgärdsprogram med definierade allvarlighetsklassificeringar och måltidsramar för åtgärdande. |
| Säker utveckling | Processer för säker mjukvaruutveckling (SDLC) baserade på branschstandarder. Kodgranskningspraxis för säkerhetskänsliga ändringar. Testprocedurer utformade för att identifiera säkerhetssårbarheter inför driftsättning. |
| Affärskontinuitet och tillgänglighet | Säkerhetskopieringsprocedurer utformade för att skydda Personuppgifter. Åtgärder för att återställa systemtillgänglighet efter incidenter. Periodisk testning av säkerhetskopierings- och återställningsprocesser. |
| Incidenthantering | Dokumenterade procedurer för att upptäcka, rapportera och hantera säkerhetsincidenter. Interna utrednings- och avhjälpningsprocesser. Definierade kommunikationskanaler för säkerhetshändelser. |
| Tillsyn av underbiträden | Due diligence-förfaranden vid anlitande av Underbiträden. Avtalsenliga dataskyddsskyldigheter som åläggs samtliga Underbiträden. Periodisk säkerhetsgranskning av kritiska Underbiträden, inklusive genomgång av säkerhetscertifieringar (t.ex. ISO 27001, SOC 2, PCI-DSS AoC) eller sammanfattningar av penetrationstester. Resultaten sparas och görs tillgängliga för Handlaren på skriftlig begäran. |
Yabie anlitar Underbiträden i samband med Tjänsterna. Den aktuella och uppdaterade förteckningen över godkända Underbiträden är offentligt tillgänglig på:
https://yabie.com/legal/sub-processors
Yabie ska underrätta Handlaren om eventuella tillägg eller ändringar i denna förteckning minst 30 dagar i förväg i enlighet med avsnitt 5.2 i detta DPA. Yabie genomför periodiska säkerhetsgranskningar av kritiska Underbiträden; resultaten sparas och görs tillgängliga för Handlaren på skriftlig begäran.
A. EU:s standardavtalsklausuler (Modul 2 – Personuppgiftsansvarig till personuppgiftsbiträde)
I den utsträckning det krävs enligt avsnitt 6 i detta DPA inarbetas standardavtalsklausulerna (Modul 2: Personuppgiftsansvarig till personuppgiftsbiträde), i enlighet med kommissionens genomförandebeslut (EU) 2021/914, härmed genom hänvisning i och utgör de en del av detta DPA. SCC gäller enbart i den utsträckning Personuppgifter överförs till ett tredjeland som inte är föremål för ett beslut om adekvat skyddsnivå enligt Tillämplig dataskyddslagstiftning.
Den fullständiga texten till SCC finns på: https://eur-lex.europa.eu/legal-content/SV/TXT/?uri=CELEX:32021D0914
För SCC:s ändamål: Modul Två (Personuppgiftsansvarig till personuppgiftsbiträde) tillämpas; Handlaren agerar dataexportör och Yabie agerar dataimportör; Bilaga I till detta DPA kompletterar SCC Bilaga I; Bilaga II till detta DPA kompletterar SCC Bilaga II; Bilaga III till detta DPA kompletterar SCC Bilaga III; tillämplig lag för klausul 17 är Sverige; och behörig tillsynsmyndighet för klausul 13 är Integritetsskyddsmyndigheten (IMY), eftersom Yabie AB är etablerat i Sverige. Vid eventuell konflikt mellan detta DPA och SCC ska SCC ha företräde.
B. UK International Data Transfer Addendum
I den utsträckning Personuppgifter omfattas av UK GDPR och överförs till ett land utanför Förenade kungariket som inte är föremål för en brittisk adekvansförordning inarbetas International Data Transfer Addendum to the EU Commission Standard Contractual Clauses utfärdat av UK Information Commissioner’s Office (”UK Addendum”) härmed genom hänvisning i detta DPA.
UK Addendum finns på: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/
För UK Addendums ändamål: Tabell 1 (parter) är i enlighet med Bilaga I; Tabell 2 (valda SCC) är de godkända EU SCC (Modul 2) som inarbetats ovan; Tabell 3 (bilageinformation) är i enlighet med Bilaga I, II och III; och Tabell 4 (avslutande av addendum) – endera parten kan säga upp i enlighet med avsnitt 19 i UK Addendum. Vid eventuell konflikt mellan UK Addendum och detta DPA ska UK Addendum ha företräde i den utsträckning UK GDPR kräver det.
| Personuppgiftsbiträde | Yabie AB, 559083-2092, Sverige |
| Dataskyddskontakt | privacy@yabie.com |
| Förteckning över underbiträden | yabie.com/legal/sub-processors |
| Tillsynsmyndighet (SE) | Integritetsskyddsmyndigheten (IMY) — imy.se |
| Tillsynsmyndighet (UK) | Information Commissioner’s Office (ICO) — ico.org.uk |