← NUITEQ Integritetsportal

NUITEQ Stage Sverige – Konsekvensbedömning av dataöverföringar och Schrems II-råd (så kallad Transfer Impact Assessment, "TIA")

Versionsdatum: 13 december 2021

Bakgrund

När en person besöker https://NUITEQStage.se ombeds de att godkänna cookies enligt NUITEQ Stage Sveriges Cookie Policy (“Cookie Policy”).

En person som registrerar sig för NUITEQ Stage Sverige (“Stage”) godkänner också NUITEQ Stage Swedens användarvillkor (“Allmänna Villkor”) på https://nuiteq.com/sv/privacy. Dessa Allmänna Villkor inkluderar att acceptera överföring av video- och ljudinformation för att leverera videokonferenstjänsten med hjälp av Twilio. De samtycker också till att använda Hydro 66 (H66) som databehandlare enligt de Allmänna Villkoren.

Varje överföring är föremål för NUITEQ Stage Sverige personuppgiftsbiträdesavtal (Data Processing Agreement, DPA), NUITEQ Stage Sverige Konsekvensbedömning av dataöverföringar (Transfer Impact Assessment, TIA) visas i bilagan nedan.

BILAGA

FÖRKLARANDE ANTECKNING:

Det måste vara möjligt att tydligt särskilja den information som är tillämplig för varje överföring eller kategori och, i detta avseende, att fastställa parternas respektive roll(er) som dataexportör(er) och/eller dataimportör(er). Detta kräver inte nödvändigtvis att man fyller i och undertecknar separata bilagor för varje överföring/kategori av överföringar och/eller avtalsförhållande, där denna insyn kan uppnås genom en bilaga. Där det är nödvändigt för att säkerställa tillräcklig tydlighet bör dock separata bilagor användas.

TILLÄGG I

A. FÖRTECKNING ÖVER PARTER

MODUL ETT: Överföring mellan personuppgiftsansvarig till personuppgiftsansvarig

  • NUITEQ fungerar som personuppgiftsansvarig både avsende överföring och personuppgifterna

MODUL TVÅ: Överföring personuppgiftsansvarig till personuppgiftsbiträde

  • NUITEQ fungerar som personuppgiftsansvarig för överföringen och Twilio som personuppgiftsbiträde

MODUL TRE: Överföring personuppgiftsansvarig till personuppgiftsansvarig

  • Hydro 66 fungerar som överföringsprocessor till Twilio som processor

MODUL FYRA: Överföring personuppgiftsbiträde till personuppgiftsansvarig

  • Hydro 66 fungerar som överföringsprocessor till NUITEQ som datakontrollant.

Dataexportör(er): [Identitet och kontaktuppgifter för dataexportören(erna) och, i tillämpliga fall, dess/deras dataskyddsombud och/eller representant i Europeiska unionen]

  • Namn: NUITEQ
  • Adress: Laboratorgrand 11, SE-93177 Skellefteå, Sverige.
  • Kontaktpersons namn, position och kontaktuppgifter: Edward Tse, Privacy Officer, et@nuiteq.com
  • Aktiviteter som är relevanta för de uppgifter som överförs enligt dessa klausuler: Implementering av teknisk integritet
  • Signatur och datum: Edward Tse, 13 december 2021
  • Roll (kontrollant/behandlare): Datakontrollant

Dataimportör(er): [Identitet och kontaktuppgifter för dataimportörerna, inklusive eventuell kontaktperson med ansvar för dataskydd]

  • Namn: NUITEQ
  • Adress: Laboratorgrand 11, SE-93177 Skellefteå, Sverige
  • Kontaktpersons namn, position och kontaktuppgifter: Edward Tse, Privacy Officer, et@nuiteq.com
  • Aktiviteter som är relevanta för de uppgifter som överförs enligt dessa klausuler: Implementering av teknisk integritet
  • Signatur och datum: Edward Tse, 13 december 2021
  • Roll (kontrollant/behandlare): Datakontrollant

B. BESKRIVNING AV ÖVERFÖRINGAR

MODUL ETT: Överföring mellan personuppgiftsansvarig till personuppgiftsansvarig

  • NUITEQ Stage Sweden får en förfrågan om att starta en videokonferens, en video- och ljudkonferens startas från Hydro 66.

MODUL TVÅ: Överföring personuppgiftsansvarig till personuppgiftsbiträde

  • Hydro 66 överför krypterad data från minnet till processorn Twilio.

MODUL TRE: Överföring personuppgiftsansvarig till personuppgiftsansvarig

  • Hydro 66 slutför den krypterade överföringen från minnet till Twilio

MODUL FYRA: Överföring personuppgiftsbiträde till personuppgiftsansvarig

  • Twilio uppdaterar video- och ljudbilden så att videokonferensen kan delas. Datakontroll återgår till NUITEQ.

Kategorier av registrerade vars personuppgifter överförs

  • NUITEQ Stage Sweden Användare

Kategorier av personuppgifter som överförs

  • Användarvideo
  • Användarljud

Känsliga uppgifter som överförs (om tillämpligt) och tillämpade begränsningar eller skyddsåtgärder som fullt ut tar hänsyn till uppgifternas natur och de risker som är involverade, såsom till exempel strikt ändamålsbegränsning, åtkomstbegränsningar (inklusive åtkomst endast för personal som har följt specialiserad utbildning), hålla ett register över åtkomst till uppgifterna, restriktioner för vidare överföringar eller ytterligare säkerhetsåtgärder.

  • Användardata överförs mellan två servrar som NUITEQ kontrollerar.

Överföringsfrekvensen (t.ex. om uppgifterna överförs på engångsbasis eller kontinuerligt).

  • Överföringen är en engångsföreteelse för den videokonferens som användaren väljer att delta i med medvetenhet och samtycke om att denna data kommer att överföras till USA.

Bearbetningens art

  • Leverera den begärda videokonferenstjänsten.

Syfte(n) med dataöverföringen och vidarebearbetningen

  • Leverera den begärda videokonferenstjänsten.

Den period under vilken personuppgifterna kommer att bevaras, eller, om det inte är möjligt, de kriterier som används för att fastställa den perioden

  • Data sparas inte

För överföringar till (under) processorer, ange även ämnet, arten och varaktigheten av behandlingen

  • En kopia av videon och ljudet delas med Twilio.

C. BEHÖRIG TILLSYNSMYNDIGHET

MODUL ETT: Överföring mellan personuppgiftsansvarig till personuppgiftsansvarig

  • NUITEQ Data Controller initierar via en användarförfrågan en NUITEQ Stage Sweden Videokonferens. NUITEQ fungerar som överföringskontroller.

MODUL TVÅ: Överföring personuppgiftsansvarig till personuppgiftsbiträde

  • NUITEQ fungerar som överföringskontroller och använder Hydro 66 som processor för att överföra till processorn Twilio.

MODUL TRE: Överföring personuppgiftsansvarig till personuppgiftsansvarig

  • Hydro 66 avslutar bearbetningen av överföringen och Twilio bearbetar videon genom att starta videokonferensen.

Identifiera de behöriga tillsynsmyndigheterna i enlighet med klausul 13. Huvudregeln är att det är den personuppgiftsansvariges tillsynsmyndighet som är behörig i samtliga ovanstående fall.

Namn: Integritetsskyddsmyndigheten

Adress: Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm

E-post: imy@imy.se

TILLÄGG II

TEKNISKA OCH ORGANISATIONELLA ÅTGÄRDER INKLUSIVE TEKNISKA OCH ORGANISATIONELLA ÅTGÄRDER FÖR ATT FÖRSÄKRA DATASÄKERHETEN

MODUL ETT: Överföring mellan personuppgiftsansvarig till personuppgiftsansvarig

  • NUITEQ Data Controller initierar via en användarförfrågan en NUITEQ Stage Sweden Videokonferens. NUITEQ fungerar som överföringskontroller.

MODUL TVÅ: Överföring personuppgiftsansvarig till personuppgiftsbiträde

  • NUITEQ fungerar som överföringskontroller och använder Hydro 66 som processor för att överföra till processorn Twilio.

MODUL TRE: Överföring personuppgiftsansvarig till personuppgiftsansvarig

  • Hydro 66 avslutar bearbetningen av överföringen och Twilio bearbetar uppladdningen genom att starta videokonferensen.

FÖRKLARANDE ANTECKNING:

De tekniska och organisatoriska åtgärderna måste beskrivas i specifika (och inte generiska) termer. Se även den allmänna kommentaren på första sidan i bilagan, särskilt om behovet av att tydligt ange vilka åtgärder som gäller för varje överföring/uppsättning överföringar.

Beskrivning av de tekniska och organisatoriska åtgärder som genomförts av dataimportören (inklusive eventuella relevanta certifieringar) för att säkerställa en lämplig säkerhetsnivå, med hänsyn till behandlingens art, omfattning, sammanhang och syfte samt riskerna för rättigheterna och fysiska personers friheter.

  • Data krypterad under lagring (såväl tillfällig som eventuell långvarig) med AES-256
  • Data krypterad under överföring med SSL
  • Säkerhetsansvarig – Johan Larsson
  • Integritetsombud – Edward Tse
  • Pseudonymisering av icke-nödvändiga spårningsdata för prestandaförbättringar och marknadsföringssyften
  • Regelbunden övervakning av intrång, med automatiserade meddelanden till senior teknisk personal
  • Begränsad tillgång till servrar
  • Företagspolicy för 2-faktorautentisering
  • Amazon DPA (personuppgiftsbiträdesavtal) och standardavtalsklausuler för dataöverföring.
  • Meddelanden om dataintrång för registrerade på https://www.nuiteq.com/breachnotifications
  • Formulär för innehållsändring på https://www.nuiteq.com/contentchange/
  • Mer information i denna presentation
  • Inventering av datakällor
  • Data Residency Map
  • Databehandlare listade i vår Integritetspolicy
  • Spårningscookies beskrivs i vår Cookiepolicy

TILLÄGG III

LISTA ÖVER UNDERPROCESSORER:

MODUL TVÅ: Överföring personuppgiftsansvarig till personuppgiftsbiträde

  • NUITEQ öppnar en Single Sign-on-dialog när användaren begär en specifik enkel inloggningsleverantör, begäran behandlas av motsvarande underbehandlare (t.ex. Microsoft SSO)

MODUL TRE: Överföring personuppgiftsansvarig till personuppgiftsansvarig

  • Efter att inloggningsförfrågan är klar delar underbehandlaren ett e-postmeddelande och en autentiseringsbekräftelse till Hydro 66 som påbörjar inloggningsprocessen.

FÖRKLARANDE ANTECKNING:

[Denna bilaga måste fyllas i för modul 2 och 3, om det är fråga om specifik auktorisation av underordnare (klausul 9(a), alternativ 1).]

Den personuppgiftsansvarige har godkänt användningen av följande biträden:

  • Namn: NUITEQ
  • Adress: Laboratorgrand 11, SE-93177 Skellefteå, Sverige
  • Kontaktpersons namn, position och kontaktuppgifter: Edward Tse, Privacy Officer, et@nuiteq.com
  • Beskrivning av behandlingen (inklusive en tydlig avgränsning av ansvarsområden om flera underbehandlare är auktoriserade): Användarinloggning