Databehandlingsvillkor

1. Roller och omfattning

Kunden är personuppgiftsansvarig och Schedulyn är personuppgiftsbiträde enligt GDPR art. 28 för personuppgifter som förs in i Tjänsten. Behandlingen begränsas till vad som krävs för att leverera, underhålla, skydda och supporta Tjänsten.

2. Behandlingsuppgifter (art. 28.3)

• Ämne: molnbaserad personalplanering och tillhörande supporttjänster.
• Varaktighet: under tjänsteavtalets löptid och avtalad period för export/radering.
• Behandlingens art: insamling, lagring, strukturering, åtkomst, analys, optimering och radering.
• Ändamål: leverans av schemaprocesser, bemanningsplanering, användaradministration och spårbarhet.
• Kategorier av registrerade: anställda, chefer, administratörer och behöriga kundanvändare.
• Kategorier av uppgifter: identitets-/kontaktdata, pass- och tillgänglighetsdata, auditmetadata.

3. Dokumenterade instruktioner

Schedulyn behandlar personuppgifter endast enligt dokumenterade instruktioner från Kunden, om inte unionsrätt eller medlemsstatsrätt kräver annat. Om sådan rättslig skyldighet finns informerar Schedulyn Kunden, såvida information inte är förbjuden enligt lag.

4. Sekretess och personalkontroller

Personal med behörighet att behandla personuppgifter omfattas av sekretessförpliktelser och utbildas i säkerhets- och dataskyddsansvar.

5. Säkerhet i behandlingen (art. 32)

• Åtkomstkontroll och princip om minsta behörighet.
• Kryptering i transport och integritetsskydd för produktionsmiljöer.
• Loggning, övervakning och processer för incidenthantering.
• Backup- och återställningskontroller för motståndskraft och tillgänglighet.
• Löpande översyn av säkerhetsåtgärder utifrån risk och systemförändringar.

6. Underbiträden

Kunden lämnar ett generellt godkännande för Schedulyn att använda underbiträden som krävs för att leverera Tjänsten. Schedulyn ålägger underbiträden dataskyddsskyldigheter motsvarande detta PUB/DPA och ansvarar för underbiträdens behandling i enlighet med GDPR.

7. Biträde vid registrerades rättigheter

Med hänsyn till behandlingens art bistår Schedulyn Kunden i rimlig omfattning så att Kunden kan uppfylla skyldigheter kopplade till registrerades rättigheter enligt GDPR kapitel III.

8. Personuppgiftsincidenter

Schedulyn informerar Kunden utan onödigt dröjsmål efter att ha fått kännedom om en personuppgiftsincident som påverkar Kundens data och tillhandahåller tillgänglig information som Kunden rimligen behöver för juridisk bedömning och eventuella anmälningar.

9. Stöd vid DPIA och tillsynsärenden

Schedulyn bistår i rimlig omfattning vid konsekvensbedömningar (DPIA) och eventuell förhandssamrådsskyldighet där sådan hjälp krävs och är relevant för den behandling Schedulyn utför.

10. Revision och informationsrätt

Schedulyn tillhandahåller information som rimligen krävs för att visa efterlevnad och stödjer, enligt överenskommelse, revisioner utförda av Kunden eller oberoende revisor under villkor om sekretess, proportionalitet och rimlig framförhållning.

11. Internationella överföringar

Överföringar utanför EES/Storbritannien regleras genom giltiga skyddsmekanismer (t.ex. SCC) och kompletterande åtgärder där det behövs enligt GDPR kapitel V.

12. Återlämning och radering

När avtalsrelationen upphör raderar eller återlämnar Schedulyn personuppgifter (inklusive kopior), om inte unionsrätt eller medlemsstatsrätt kräver fortsatt lagring.

13. Kontakt

PUB/DPA- och compliancefrågor: sales@schedulyn.com och [PLACEHOLDER: DPA/juridisk kontakt].