Common use of Dataskydd Clause in Contracts

Dataskydd. 15.1 Informationen som samlas in av CCEP, inklusive, utan begränsning, kontaktuppgifter till (företrädare och kontaktpersoner hos) Leverantören och uppgifter som erfordras för fakturering, behandlas omsorgsfullt helt i enlighet med gällande dataskyddslagar, i synnerhet EU förordning 2016/679 av den 27 april 2016 (dataskyddsförordningen, också benämnd ”GDPR”). 15.2 Både Leverantören och CCEP anses vara personuppgiftsansvariga inom gällande dataskyddslagstiftning: Leverantören som den part som lämnar informationen till CCEP inom ramen för affärsavtalet mellan parterna (hädanefter ”Avtalet”), och CCEP som den part som använder informationen inom ramen för ▇▇▇▇▇▇▇. 15.3 Dessa personuppgifter behandlas av CCEP i syfte att säkerställa överensstämmelse med gällande ▇▇▇▇▇ samt för de legitima affärsintressen som beskrivs nedan. 15.4 Leverantören åtar sig att informera sina företrädare/kontaktpersoner eller andra personer vars personuppgifter tillhandahållits CCEP (”registrerade”) om uppgiftsbehandlingen inom ramen för Avtalet, inkluderande bland annat: • uppgifter om Leverantören och CCEP som personuppgiftsansvariga inom ramen för detta Avtal; • syftet med uppgiftsbehandling (se nedan); • de rättsliga grunderna för behandlingen (se ovan); • potentiella tredje parter som deltar eller kan komma att delta vid genomförandet av Avtalet, och även kan behandla (dvs. personuppgiftsbiträden) eller ta emot (dvs. mottagarna) personuppgifter i detta sammanhang; • regleringen avseende längden på den period under vilken personuppgifter kommer att behandlas och/eller lagras; • möjligheten att lämna in ett klagomål hos en dataskyddsmyndighet, • kontaktuppgifter till Data Protection Officer (DPO); och • den berörda registrerades rättigheter att få tillgång till och erhålla rättelse radering, begränsning och dataportabilitet (vid giltiga skäl därtill enligt GDPR).

Dataskydd. 15.1 Informationen I denna punkt 20 ska uttrycket ”Dataskyddslagar” från och med den 25 maj 2018 innebära Europaparlamentet och rådets förordning (EU) 2016/679 (”GDPR”) och/eller andra gällande lagar om dataskydd som samlas in tillämpligt. 20.1 Uttrycken ”behandla/behandlar/behandlad”, ”personuppgiftsansvarig”, ”personuppgiftsbiträde”, ”registrerad person”, ”personuppgifter” och ”personuppgiftsintrång” ska ha samma betydelser som i Dataskyddslagarna. 20.2 Kunden förbinder sig att inte tillhandahålla eller på annat sätt tillgängliggöra personuppgifter för Bolaget, förutom personuppgifter i form av CCEPnamn och kontaktinformation (till exempel telefonnummer, inklusivebefattning och e-postadress) till Kundens kontaktpersoner om inte något annat krävs för att det ska gå att utföra Tjänsterna. Sådana ytterligare personuppgifter ska i så fall specifikt identifieras i förväg av Kunden och godkännas skriftligt av Bolaget. 20.3 Om personuppgifter behandlas av en part under eller i samband med Avtalet ska den parten i egenskap av personuppgiftsbiträde: 20.3.1 inte behandla, utan begränsningöverföra, kontaktuppgifter modifiera, göra tillägg i eller ändra personuppgifterna eller lämna ut eller tillåta utlämnande av personuppgifterna till någon tredje part utöver vad som krävs för att följa den andra partens (företrädare som personuppgiftsansvarig) lagenliga, dokumenterade och kontaktpersoner hos) Leverantören och uppgifter rimliga instruktioner (som erfordras om inget annat avtalats ska vara att behandla personuppgifter så som det är nödvändigt för fakturering, behandlas omsorgsfullt helt att tillhandahålla Tjänsterna i enlighet med gällande villkoren i detta Avtal), såvida det inte krävs enligt någon lag som personuppgiftsbiträdet är underkastat, varvid personuppgiftsbiträdet ska informera personuppgiftsansvarig om detta lagkrav före behandlingen såvida inte den aktuella lagen förbjuder sådan information på grundval av viktiga ändamål av allmänintresse. Specifikt instruerar personuppgiftsansvarig personuppgiftsbiträdet att överföra uppgifter utanför EES endast på villkor att personuppgiftsbiträdet uppfyller kraven i artikel 45 till 49 i GDPR; 20.3.2 då denne blir medveten om ett personuppgiftsincident: (a) meddela personuppgiftsansvarig utan onödigt dröjsmål; och (b) i rimlig utsträckning samarbeta med personuppgiftsansvarig (på personuppgiftsansvarigs bekostnad) i samband med personuppgiftsincidenten; 20.3.3 då denne tar emot någon begäran, något klagomål eller någon kommunikation som gäller personuppgiftsansvarigs skyldigheter enligt dataskyddslagarna: (a) meddela personuppgiftsansvarig så snart som rimligen är praktiskt möjligt; (b) bistå personuppgiftsansvarig genom att införa lämpliga tekniska och organisatoriska åtgärder så att personuppgiftsansvarig kan efterleva registrerads utövande av rättigheter enligt dataskyddslagar i fråga om personuppgifter som behandlas av personuppgiftsbiträdet under detta Avtal eller uppfylla någon utvärdering, någon förfrågan, något meddelande eller någon utredning enligt dataskyddslagar, på villkor att personuppgiftsansvarig i synnerhet EU förordning 2016/679 respektive fall ersätter personuppgiftsbiträdet för alla kostnader som personuppgiftsbiträdet rimligen ådrar sig vid uppfyllandet av sina skyldigheter enligt denna punkt 20.3.3; 20.3.4 försäkra sig om att lämpliga tekniska och organisatoriska åtgärder så som krävs enligt artikel 32 vid alla tillfällen är införda; 20.3.5 försäkra sig om att de av dess anställda som kan ha tillgång till personuppgifterna är underkastade lämpliga sekretessåtaganden; 20.3.6 införa lämpliga organisatoriska och tekniska åtgärder för att hjälpa personuppgiftsansvarig att uppfylla sina skyldigheter vad gäller artikel 33 till 36 i GDPR med hänsyn till behandlingens natur och den 27 april 2016 information som är tillgänglig för personuppgiftsbiträdet; 20.3.7 inte låta någon underleverantör behandla personuppgifterna (dataskyddsförordningen”Underbiträde”) annat än med i förväg inhämtat skriftligt tillstånd av personuppgiftsansvarig, också benämnd ”GDPR”)med erkännande av att personuppgiftsansvarig samtycker till att underbiträden, från tid till annan, utses av personuppgiftsbiträdet och som i respektive fall är underkastade villkor mellan personuppgiftsbiträdet och underbiträdet som ger ett minst lika starkt skydd som villkoren i denna punkt 20 förutsatt att personuppgiftsbiträdet meddelar personuppgiftsansvarig om identiteten av sådana underbiträden och när de eventuellt ändras; och 20.3.8 upphöra med behandlingen av personuppgifterna inom nittio (90) dagar efter avslutandet eller utgången av detta Avtal eller, om detta inträffar tidigare, den Tjänst som Avtalet gäller och så snart som möjligt därefter (efter personuppgiftsansvarigs godtycke) antingen returnera eller säkert radera från sitt system personuppgifterna och eventuella kopior av dem eller den information de innehåller, förutom i den utsträckning som personuppgiftsbiträdet måste spara personuppgifterna på grund av ett juridiskt krav, myndighetskrav eller krav från en ackrediteringsorganisation. 15.2 Både Leverantören 20.4 Den personuppgiftsansvarige ska, om sådan information och CCEP anses vara personuppgiftsansvariga inom gällande dataskyddslagstiftning: Leverantören instruktioner inte har tillhandahållits genom Avtalet eller på annat sätt, skriftligen informera personuppgiftsbiträdet om föremålet för behandlingen och behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade som den part som lämnar informationen till CCEP inom ramen för affärsavtalet mellan parterna (hädanefter ”Avtalet”), och CCEP som den part som använder informationen inom ramen för ▇▇▇▇▇▇▇omfattas av personuppgiftsbiträdets behandling. 15.3 Dessa personuppgifter behandlas 20.5 Personuppgiftsbiträdet ska göra tillgänglig för personuppgiftsansvarig sådan vidare information och (i den mån tillämpligt) tillåta och bidra till eventuell granskning eller revision som genomförs av CCEP i syfte personuppgiftsansvarig eller en revisor som utses av personuppgiftsansvarig för att säkerställa överensstämmelse med gällande ▇▇▇▇▇ samt att personuppgiftsansvarig uppfyller de skyldigheter som anges i denna punkt 20, alltid under förutsättning att sådan granskning eller revision inte ska medföra att personuppgiftsbiträdet måste tillhandahålla eller tillåta åtkomst av information om: (i) personuppgiftsbiträdets interna prisinformation; (ii) information som gäller personuppgiftsbiträdets övriga kunder; (iii) personuppgiftsbiträdets icke-offentliga externa rapporter; eller (iv) interna rapporter framställda av personuppgiftsbiträdets interna funktioner för de legitima affärsintressen som beskrivs nedan. 15.4 Leverantören åtar sig att informera sina företrädare/kontaktpersoner revision eller efterlevnad. Personuppgiftsbiträdet ska omedelbart meddela personuppgiftsansvarig om någon instruktion från personuppgiftsansvarig under detta Avtal enligt personuppgiftsbiträdets uppfattning innebär brott mot GDPR eller andra personer vars personuppgifter tillhandahållits CCEP (”registrerade”) regler om uppgiftsbehandlingen inom ramen dataskydd för Avtalet, inkluderande bland annat: • uppgifter om Leverantören och CCEP som personuppgiftsansvariga inom ramen för detta Avtal; • syftet med uppgiftsbehandling (se nedan); • de rättsliga grunderna för behandlingen (se ovan); • potentiella tredje parter som deltar EU eller kan komma att delta vid genomförandet av Avtalet, och även kan behandla (dvs. personuppgiftsbiträden) eller ta emot (dvs. mottagarna) personuppgifter i detta sammanhang; • regleringen avseende längden på den period under vilken personuppgifter kommer att behandlas och/eller lagras; • möjligheten att lämna in ett klagomål hos en dataskyddsmyndighet, • kontaktuppgifter till Data Protection Officer (DPO); och • den berörda registrerades rättigheter att få tillgång till och erhålla rättelse radering, begränsning och dataportabilitet (vid giltiga skäl därtill enligt GDPR)medlemsstat.

Dataskydd. 15.1 Informationen 12.1 Personuppgifter avseende individer som samlas in av CCEP, inklusive, utan begränsning, kontaktuppgifter är knutna till Säljföretaget (företrädare kontaktpersoner osv.) kommer att behandlas med Nets som personuppgiftsansvarig i) för att göra det möjligt att tillhandahålla tjänsterna och kontaktpersoner hos) Leverantören och uppgifter som erfordras för fakturering, behandlas omsorgsfullt helt i enlighet med gällande dataskyddslagar, i synnerhet EU förordning 2016/679 av den 27 april 2016 (dataskyddsförordningen, också benämnd ”GDPR”). 15.2 Både Leverantören och CCEP anses vara personuppgiftsansvariga inom gällande dataskyddslagstiftning: Leverantören som den part som lämnar informationen till CCEP inom ramen för affärsavtalet mellan parterna (hädanefter ”Avtalet”), och CCEP som den part som använder informationen inom ramen för upp- fylla åtaganden enligt ▇▇▇▇▇▇▇, ii) för kundanalyser och affärsuppföljning, iii) för affärs- och metodutveckling samt företagande av riskbedömningar och förvaltning av dessa, iv) för marknadsföringsändamål (i enlighet med tillämplig lag) av Nets koncernbolag till Säljföretaget. De personuppgifter som samlas in inkluderar information om kontaktpersoner för introduktionsprocesser, sup- port osv., personuppgifter som behandlas som en del av AML-åtgärder, eller på grund av andra rättsliga skyldig- heter. Säljföretaget åtar sig att informera sina anställda och andra företrädare på Säljföretaget om att denna information lämnas ut till Nets som en del av avtalet för ovanstående ändamål. 15.3 Dessa personuppgifter 12.2 Personuppgifter avseende individer som är kunder till Säljföretaget kommer att behandlas av CCEP Nets som person- uppgiftsansvarig. 12.3 Personuppgifter kan också komma att behandlas av 13.1 All information som rör avtalsförhållandet mellan Sälj- företaget och Nets ska behandlas konfidentiellt av parterna. Förpliktelsen att behandla all information konfidentiellt gäller såvida inte annat avtalats, en part enligt lag, föreskrifter eller myndighetsbeslut är skyldig att lämna upplysningar, eller om uppgifterna är allmänt kända och finns tillgängliga på marknaden utan den andra partens brott. 13.2 Säljföretaget får under inga omständigheter vidare- befordra Kort- och/eller transaktionsdata till andra, om det inte är nödvändigt i syfte att säkerställa överensstämmelse samband med rättelser av Kortbetalningar, eller vid krav i enlighet med gällande lagstiftning. 13.3 Nets har rätt att vidarebefordra information om Säljföre- taget till Kortorganisationerna, tekniska leverantörer och andra företag under förutsättning att det är nödvändigt för att Nets ska kunna efterleva gällande compliance och säkerhetskrav, och för att kunna leverera tjänsten för inlösen till Säljföretaget. Om Nets och Säljföretaget har ingått ett Avtalet baserat på en referens, en hänvisning, eller förmedling eller liknande från en samarbetspartner till Nets, har Nets dessutom rätt att förmedla nödvändig information om Avtalet och samarbetet avseende inlö- sen till samarbetspartnern (såsom till exempel Säljföre- tagets namn, adress, information avseende de kort som accepterats etc.) för att Nets ska fullgöra sina förpliktel- ser avseende rapportering till samarbetspartnern och för ett beräkna en eventuell förmedlingsavgift. 13.4 Säljföretaget samtycker till att Nets vidarebefordrar upplysningar om Säljföretaget (t.ex. kontaktinformation, information om Avtalet och avtalsförhållandet med Nets) till andra företag i samma koncern som Nets för användning vid t.ex. intern koncernrapportering, mark- nadsföring, och försäljning av produkter och tjänster. En översikt över företag i samma koncern som Nets finns tillgänglig på ▇▇▇▇.▇▇. 13.5 Om Avtalet upphävs på grund av att Säljföretaget har brutit mot Avtalet eller på grund av att Säljföretaget har möjliggjort eller medverkat till bedrägeri är Nets skyldigt att anmäla Säljföretaget till Kortorganisationerna. Nets får även lägga till Säljföretaget och relevanta person med koppling till Säljföretaget i Nets interna övervaknings- lista. 13.6 Denna bestämmelse gäller även efter att ▇▇▇▇▇▇▇ samt för de legitima affärsintressen som beskrivs nedanhar upphört. 15.4 Leverantören åtar sig att informera sina företrädare/kontaktpersoner eller andra personer vars personuppgifter tillhandahållits CCEP (”registrerade”) om uppgiftsbehandlingen inom ramen för Avtalet, inkluderande bland annat: • uppgifter om Leverantören och CCEP som personuppgiftsansvariga inom ramen för detta Avtal; • syftet med uppgiftsbehandling (se nedan); • de rättsliga grunderna för behandlingen (se ovan); • potentiella tredje parter som deltar eller kan komma att delta vid genomförandet av Avtalet, och även kan behandla (dvs. personuppgiftsbiträden) eller ta emot (dvs. mottagarna) personuppgifter i detta sammanhang; • regleringen avseende längden på den period under vilken personuppgifter kommer att behandlas och/eller lagras; • möjligheten att lämna in ett klagomål hos en dataskyddsmyndighet, • kontaktuppgifter till Data Protection Officer (DPO); och • den berörda registrerades rättigheter att få tillgång till och erhålla rättelse radering, begränsning och dataportabilitet (vid giltiga skäl därtill enligt GDPR).

Dataskydd. 15.1 Informationen Inbyggt dataskydd (privacy by design) innebär att man tar hänsyn till integritetsskydds- reglerna redan när man utformar it-system och rutiner. Det är ett sätt att se till att kraven i dataskyddsförordningen uppfylls och att den registrerades rättigheter skyddas. Kravet på dataskydd som standard (privacy by default) innebär i korthet att den som behandlar personuppgifter ska se till att personuppgifter i standardfallet inte behandlas i onödan. Det kan till exempel handla om att de förvalda inställningarna i en tjänst för sociala media är satta så att inte mer information än nödvändigt samlas in in, delas ut eller visas. Med beaktande av CCEPden senaste utvecklingen, inklusivegenomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige, både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder. Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan begränsningden enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer. Exempel på åtgärder är: • Pseudonymisering och kryptering • Backup • Regelbundna tester/undersökningar av teknik och organisation • Säkerhetsnivå baserad på risken för oavsiktlig eller olaglig förstöring, kontaktuppgifter förlust eller ändring eller till (företrädare obehörigt röjande av eller obehörig åtkomst. • Biträden och kontaktpersoner hos) Leverantören och uppgifter andra endast behandlar personuppgifter efter personuppgiftsansvarigs instruktion. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som erfordras för fakturering, behandlas omsorgsfullt helt i enlighet med gällande dataskyddslagarbehandling medför, i synnerhet EU förordning 2016/679 från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av den 27 april 2016 (dataskyddsförordningeneller obehörig åtkomst till de personuppgifter som överförts, också benämnd ”GDPR”)lagrats eller på annat sätt behandlats. Bolagets principer för dataskydd framgår av Stockholm stads allmänna regler för dataskydd där krav ställs på åtkomst, loggning, rutiner, backup, kryptering, hantering m.m. 15.2 Både Leverantören och CCEP anses vara personuppgiftsansvariga inom gällande dataskyddslagstiftning: Leverantören som den part som lämnar informationen till CCEP inom ramen för affärsavtalet mellan parterna (hädanefter ”Avtalet”), och CCEP som den part som använder informationen inom ramen för ▇▇▇▇▇▇▇. 15.3 Dessa personuppgifter behandlas av CCEP i syfte att säkerställa överensstämmelse med gällande ▇▇▇▇▇ samt för de legitima affärsintressen som beskrivs nedan. 15.4 Leverantören åtar sig att informera sina företrädare/kontaktpersoner eller andra personer vars personuppgifter tillhandahållits CCEP (”registrerade”) om uppgiftsbehandlingen inom ramen för Avtalet, inkluderande bland annat: • uppgifter om Leverantören och CCEP som personuppgiftsansvariga inom ramen Riktlinje för detta Avtal; informationssäkerhet • syftet med uppgiftsbehandling (se nedan); Handbok för informationsklassificering. • de rättsliga grunderna för behandlingen (se ovan); • potentiella tredje parter som deltar eller kan komma att delta vid genomförandet av Avtalet, och även kan behandla (dvs. personuppgiftsbiträden) eller ta emot (dvs. mottagarna) personuppgifter i detta sammanhang; • regleringen avseende längden på den period under vilken personuppgifter kommer att behandlas och/eller lagras; • möjligheten att lämna in ett klagomål hos en dataskyddsmyndighet, • kontaktuppgifter till Data Protection Officer (DPO); och • den berörda registrerades rättigheter att få tillgång till och erhålla rättelse radering, begränsning och dataportabilitet (vid giltiga skäl därtill enligt GDPR).Kryptorekommendationer

Dataskydd. 15.1 Informationen som samlas in av CCEP, inklusive, utan begränsning, kontaktuppgifter till (företrädare och kontaktpersoner hos) Leverantören och uppgifter som erfordras för fakturering, behandlas omsorgsfullt helt 12. 1 Verifone förbinder sig i enlighet med avtalen mellan Verifone och Tillhandahållare av betalningsinstrument att genomföra t jänsten så att den uppfyller vid varje t i l l fälle gällande dataskyddslagar, i synnerhet EU förordning 2016/679 av den 27 april 2016 (dataskyddsförordningen, också benämnd ”GDPR”)obligatoriska dataskyddsföreskrifter och standarder. 15.2 Både Leverantören 12. 2 Verifone och CCEP anses vara personuppgiftsansvariga Handlaren ansvarar båda för sina respektive datasystems del för att dataskyddet i dem har ordnats på erforderligt sätt och att systemen på ett t i l l förlitligt sätt är skyddade mot obehörig användning. 12. 3 Användarnamnet och lösenordet t i l l administrationsgränssnittet i Betaltjänsten och andra motsvarande inloggningsuppgifter (”Autentiseringsuppgifter”) ska hållas hemliga och endast ges t i l l de personer som verkar för Handlarens del och som har ett grundat behov av att känna t i l l dessa uppgifter. Handlaren ansvarar för att Autentiseringsuppgifterna används på ett korrekt sätt. Handlaren är skyldig att omedelbart meddela Verifone om Autentiseringsuppgifterna har kommit t i l l en tredje parts kännedom samt andra dataskyddsrisker som Handlaren får kännedom om. 12. 4 Handlaren förbinder sig att omedelbart och senast inom gällande dataskyddslagstiftning: Leverantören ett dygn meddela Verifone om dataintrång eller försök t i l l dataintrång, som Handlaren har fått kännedom om eller misstänker, riktade t i l l elektroniska eller fysiska ko pior som hör t i l l Handlaren själv, dess ombud, underleverantörer eller andra instanser vars t jänster, system eller kontouppgiftsinnehåll, som tar emot eller hanterar Handlarens betalningstransaktioner eller kontouppgifter, samt missbruk eller försök t i l l m issbruk av t jänsten, kort eller kontouppgifter som den part har fått kännedom om eller misstänker som lämnar informationen till CCEP inom ramen för affärsavtalet mellan parterna (hädanefter ”Avtalet”), och CCEP som den part som använder informationen inom ramen för ▇▇▇▇▇▇▇. 15.3 Dessa personuppgifter behandlas av CCEP i syfte att säkerställa överensstämmelse med gällande ▇▇▇▇▇ samt för de legitima affärsintressen som beskrivs nedan. 15.4 Leverantören åtar sig att informera sina företrädare/kontaktpersoner eller andra personer vars personuppgifter tillhandahållits CCEP (”registrerade”) om uppgiftsbehandlingen inom ramen för Avtalet, inkluderande bland annat: • uppgifter om Leverantören och CCEP som personuppgiftsansvariga inom ramen för detta Avtal; • syftet med uppgiftsbehandling (se nedan); • de rättsliga grunderna för behandlingen (se ovan); • potentiella tredje parter som deltar har orsakat eller kan komma att delta vid genomförandet orsaka skada för kortinnehavarna, Verifone eller Tillhandahållaren av Avtalet, och även kan behandla (dvs. personuppgiftsbiträden) eller ta emot (dvs. mottagarna) personuppgifter i detta sammanhang; • regleringen avseende längden på den period under vilken personuppgifter kommer att behandlas och/eller lagras; • möjligheten att lämna in ett klagomål hos en dataskyddsmyndighet, • kontaktuppgifter till Data Protection Officer (DPO); och • den berörda registrerades rättigheter att få tillgång till och erhålla rättelse radering, begränsning och dataportabilitet (vid giltiga skäl därtill enligt GDPR)betalningsinstrumenten.

Dataskydd. 15.1 Informationen som samlas in av CCEP, inklusive, utan begränsning, kontaktuppgifter till (företrädare och kontaktpersoner hos) Leverantören och uppgifter som erfordras för fakturering, behandlas omsorgsfullt helt 12. 1 Verifone förbinder sig i enlighet med avtalen mellan Verifone och Tillhandahållare av betalningsinstrument att genomföra t jänsten så att den uppfyller vid varje t i l l fälle gällande dataskyddslagar, i synnerhet EU förordning 2016/679 av den 27 april 2016 (dataskyddsförordningen, också benämnd ”GDPR”)obligatoriska dataskyddsföreskrifter och standarder. 15.2 Både Leverantören 12. 2 Verifone och CCEP anses vara personuppgiftsansvariga Handlaren ansvarar båda för sina respektive datasystems del för att dataskyddet i dem har ordnats på erforderligt sätt och att systemen på ett t i l l förlitligt sätt är skyddade mot obehörig användning. 12. 3 Användarnamnet och lösenordet t ill administrationsgränssnittet i Betaltjänsten och andra motsvarande inloggningsuppgifter (”Autentiseringsuppgifter”) ska hållas hemliga och endast ges t i l l de personer som verkar för Handlarens del och som har ett grundat behov av att känna t i l l dessa uppgifter. Handlaren ansvarar för att Autentiseringsuppgifterna används på ett korrekt sätt. Handlaren är skyldig att omedelbart meddela Verifone om Autentiseringsuppgifterna har kommit t i l l en tredje parts kännedom samt andra dataskyddsrisker som Handlaren får kännedom om. 12. 4 Handlaren förbinder sig att omedelbart och senast inom gällande dataskyddslagstiftning: Leverantören ett dygn meddela Verifone om dataintrång eller försök t i l l dataintrång, som Handlaren har fått kännedom om eller misstänker, riktade t i l l elektroniska eller fysiska kopior som hör t i l l Handlaren s jälv, dess ombud, underleverantörer eller andra instanser vars t jänster, system eller kontouppgiftsinnehåll, som tar emot eller hanterar Handlarens betalningstransaktioner eller kontouppgifter, samt missbruk eller försök t i l l missbruk av t jänsten, kort eller kontouppgifter som den part har fått kännedom om eller misstänker som lämnar informationen till CCEP inom ramen för affärsavtalet mellan parterna (hädanefter ”Avtalet”), och CCEP som den part som använder informationen inom ramen för ▇▇▇▇▇▇▇. 15.3 Dessa personuppgifter behandlas av CCEP i syfte att säkerställa överensstämmelse med gällande ▇▇▇▇▇ samt för de legitima affärsintressen som beskrivs nedan. 15.4 Leverantören åtar sig att informera sina företrädare/kontaktpersoner eller andra personer vars personuppgifter tillhandahållits CCEP (”registrerade”) om uppgiftsbehandlingen inom ramen för Avtalet, inkluderande bland annat: • uppgifter om Leverantören och CCEP som personuppgiftsansvariga inom ramen för detta Avtal; • syftet med uppgiftsbehandling (se nedan); • de rättsliga grunderna för behandlingen (se ovan); • potentiella tredje parter som deltar har orsakat eller kan komma att delta vid genomförandet orsaka skada för kortinnehavarna, Verifone eller Tillhandahållaren av Avtalet, och även kan behandla (dvs. personuppgiftsbiträden) eller ta emot (dvs. mottagarna) personuppgifter i detta sammanhang; • regleringen avseende längden på den period under vilken personuppgifter kommer att behandlas och/eller lagras; • möjligheten att lämna in ett klagomål hos en dataskyddsmyndighet, • kontaktuppgifter till Data Protection Officer (DPO); och • den berörda registrerades rättigheter att få tillgång till och erhålla rättelse radering, begränsning och dataportabilitet (vid giltiga skäl därtill enligt GDPR)betalningsinstrumenten.

Dataskydd. 15.1 Informationen 8.1 I denna punkt 8 ska termerna "personuppgiftsansvarig", "personuppgiftsbiträde", "personuppgifter", och "behandling" anses motsvara definitionerna i EG-direktivet om personuppgifter 95/46/EC ("Direktivet"), vars innehåll kan ändras eller ersättas från tid till annan. 8.2 I den utsträckning Slutkunden och Partnern fungerar som samlas in av CCEP, inklusive, utan begränsning, kontaktuppgifter till (företrädare och kontaktpersoner hos) Leverantören och uppgifter personuppgiftsansvariga för personuppgifter som erfordras för fakturering, behandlas omsorgsfullt helt i enlighet med gällande dataskyddslagareller i anslutning till Slutkundsavtalet, ska varje part efterleva de villkor och skyldigheter som de åläggs enligt Direktivet. 8.3 Som personuppgiftsansvarig bekräftar Slutkunden att denna har erhållit alla tillstånd som krävs för lagenlig behandling av personuppgifterna, innan dessa vidarebefordras till Partnern eller till Dell. I den utsträckning Partnern och/eller Dell behandlar personuppgifter som personuppgiftsbiträde för Slutkunden, i synnerhet EU förordning 2016/679 av den 27 april 2016 (dataskyddsförordningenenlighet med eller i anslutning till Slutkundsavtalet, också benämnd ”GDPR”)ska Partnern och/eller Dell säkerställa att sådana personuppgifter har lämpligt skydd. 15.2 Både Leverantören 8.4 Kunden godkänner att Partnern och/eller Dell får inhämta, använda, lagra och CCEP anses vara personuppgiftsansvariga inom gällande dataskyddslagstiftning: Leverantören överföra de personuppgifter som den part som lämnar informationen till CCEP inom ramen för affärsavtalet mellan parterna (hädanefter ”Avtalet”), och CCEP som den part som använder informationen inom ramen för ▇▇▇▇▇▇▇. 15.3 Dessa personuppgifter behandlas av CCEP Slutkunden tillhandahåller Partnern och/eller Dell i syfte att utföra Tjänsterna i enlighet med Slutkundsavtalet. 8.5 Dell får, i den dagliga verksamheten, överföra personuppgifter över hela världen i sina företagssystem, till andra juridiska enheter, agenter och underleverantörer i samma företagsgrupp, eller till andra relevanta företagspartners, som kan ha tillfällig tillgång till personuppgifter. När Dell gör sådana överföringar ska Dell säkerställa överensstämmelse med gällande ▇▇▇▇▇ samt att det finns lämpligt skydd för de legitima affärsintressen personuppgifter som beskrivs nedanöverförs i enlighet med eller i anslutning till utförandet av Tjänsterna. 15.4 Leverantören åtar sig att informera sina företrädare/kontaktpersoner 8.6 Varken Partnern eller andra personer Dell ska hållas ersättningsskyldiga för krav från Slutkunden eller någon vars personuppgifter tillhandahållits CCEP (”registrerade”) om uppgiftsbehandlingen inom ramen för Avtalet, inkluderande bland annat: • uppgifter om Leverantören och CCEP registrerats som personuppgiftsansvariga inom ramen för detta Avtal; • syftet med uppgiftsbehandling (se nedan); • de rättsliga grunderna för behandlingen (se ovan); • potentiella tredje parter uppkommer som deltar ett resultat av en åtgärd eller kan komma att delta vid genomförandet underlåtenhet av Avtalet, och även kan behandla (dvs. personuppgiftsbiträden) Partnern eller ta emot (dvs. mottagarna) personuppgifter Dell i detta sammanhang; • regleringen avseende längden på den period under vilken personuppgifter kommer att behandlas och/mån en sådan åtgärd eller lagras; • möjligheten att lämna in ett klagomål hos en dataskyddsmyndighet, • kontaktuppgifter till Data Protection Officer (DPO); och • den berörda registrerades rättigheter att få tillgång till och erhålla rättelse radering, begränsning och dataportabilitet (vid giltiga skäl därtill enligt GDPR)underlåtenhet föranletts av Slutkundens instruktioner.