Resurser /

Tryggt och säkert

Här hittar ni information om allt som rör integration, säkerhet, GDPR och tillgänglighet. 

Mediaflow standardiserar PUBA enligt SKR

Mediaflow tillhandahåller ett standardiserat Personuppgiftsbiträdesavtal (PUBA) som är anpassat för tjänsten. Majoriteten av våra kunder är myndigheter och offentliga verksamheter med höga krav. Efter flera av våra stora kunders önskemål har vi valt att uppdatera vårt PUBA enligt Sveriges Kommuner och Regioners senaste avtalsmall (SKR, 2020). Syftet med att använda just SKR:s etablerade PUBA är att det underlättar samarbetet om GDPR för både privata och offentliga aktörer. Vi håller vårt Standard PUBA för tjänsten Mediaflow uppdaterat och anpassat. Det kan därför upprättas omgående med er som kund.

Om avtalet

  • Det är framtaget för att täcka hela tjänsten.

  • Det är betryggande att förhålla sig till en offentligt rekommenderad standard för PUBA.

  • PUBA som inte är framtagna specifikt för Mediaflow kan sakna information, innehålla avtalsklausuler som inte är anpassade till tjänsten, eller stå i konflikt med andra kunders klausuler.

  • PUB-avtalet uppdateras när nya tjänster introduceras eller vid uppdaterad dataskyddslagstiftning. Vid eget PUBA så kompliceras detta.

  • PUB-avtalet är noggrant anpassat för tjänsten utifrån gällande dataskyddslagstiftning av erfarna GDPR-jurister och är därmed klart att signeras.

Frågor och svar

Kan vi som kund skicka vårt eget ”standardiserade” PUBA till Mediaflow för signering?

Mediaflow tillhandahåller ett offentligt rekommenderat standard-PUBA som är anpassat för tjänsten och som uppfyller aktuell dataskyddslagstiftning och GDPR. Eftersom det finns ett nära samband mellan tjänsterna, villkoren för tjänsterna och PUBA är det viktigt att dessa villkor och PUBA gäller specifikt för tjänsterna från Mediaflow.

Standard PUBA från den beställande organisationen täcker sällan Mediaflows tjänster och reglerar inte på ett adekvat sätt behandlingen av personuppgifter som följer av tjänsterna.

Mediaflow begär därför att PUBA som kommer från oss reglerar tjänsterna från Mediaflow, behandlingen av personuppgifter till följd av dessa, samt att inget annat PUBA skickas till Mediaflow. PUBA som erhålls av Mediaflow som inte omfattar Mediaflows tjänster kan inte ingås.

Har det gjorts ändringar i villkoren i avtalet för att anpassa till uppdaterad dataskyddslagstiftning?
Vi har reviderat våra processer och vårt PUBA uppfyller nödvändiga anpassningar. PUBA uppdateras fortlöpande i enlighet med gällande dataskyddslagstiftning.
Har ni tillräckligt bra åtkomstkontroll som säkrar våra personuppgifter?
Mediaflow har åtkomstkontroll som uppfyller gällande säkerhetskrav. Behörighetskontroll inom systemet styrs av kunden och Mediaflow säkerställer att organisatoriska och tekniska säkerhetsåtgärder genomförs.
Använder Mediaflow underleverantörer (underbiträden)?

Mediaflow Europe AB anlitar underleverantörer (underbiträden) för vissa tilläggstjänster. I den mån dessa underleverantörer har tillgång till personuppgifter har Mediaflow ingått PUBA (Underbiträdesavtal) med dem i enlighet med kraven i GDPR. En lista över våra underleverantörer hålls uppdaterad i PUBA.

För Mediaflow Europe AB:s dotterbolag (om ni som kund har avtal med något av Mediaflow Europe AB:s dotterbolag) kommer Mediaflow Europe AB att vara avtalspart för PUBA.

Mediaflow Europe AB dotterbolag i Norden är: Mediaflow Norge AS
Nydalsveien 33
N-0484 Oslo
Sentralbord: 22 15 55 00
Org.nr: 928 123 693

Överför Mediaflow våra personuppgifter till länder utanför EU/EES och godkända tredjeländer?

Nej, uppgifterna behandlas inom EU/EES-området i tjänsten Mediaflow. Mediaflow Europe AB behandlar och lagrar all data på servrar i Sverige.

Från och med april 2021 har vi drift i egen regi co-location hos Interxion i MSB-III klassade serverhallar i Stockholm med SLA på 99.99%. Det ger oss också redundant internet- och elförsörjning, möjlighet till distribuerat CDN och en compliant driftsmiljö. Interxion är certifierade enligt ISO 27001 och ISO 22301. Mediaflow har påbörjat processen att blir certifierade enligt ISO 27001.

Underbiträden inom EU/EES
Inom systemet sker inga överföringar av filer, data eller personuppgifter till underleverantörer i eller utanför Sverige. Om kunden önskar använda funktionen att automatiskt skapa undertexter (“transkribera”) till video med vår modul Video Manager använder vi Lingsoft (Finland) som standard underleverantör för att kunna tillhandahålla den tjänsten. De har i sin tur inga underleverantörer och hanterar all data i sina datacenter i Finland.

Som en del av tilläggstjänsten tillhandahåller vi även särskild funktionalitet för textning/transkribering som utförs av Amberscript (Nederländerna) som underleverantör. Mediaflows underbiträden har tecknat ett särskilt partneravtal med Mediaflow Europe AB samt ett Underbiträdesavtal (PUBA/DPA) enligt GDPR, där det explicit framgår att inga personuppgifter får överföras till Tredje land utanför EU/EES. Utöver detta har Mediaflow Europe AB genomfört en rad säkerhetsåtgärder och riskanalyser för att säkerställa att behandlingen ständigt är i linje med uppdaterade krav i GDPR. 

Aktuella underbiträden garanterar att personuppgiftsbehandling sker inom EU/EES. 
När användaren lägger in exempelvis bilder, filmer ljudklipp, dokument eller andra filer i tjänsten kan de innehålla olika typer av personuppgifter. Som personuppgiftsansvarig kan ni ställa in behörigheter i tjänsten och skapa grupper med olika rättigheter. 

Vilka åtgärder vidtar Mediaflow för att anmälningsplikten till oss som kund ska uppfyllas vid personuppgiftsincidenter?

Mediaflow har etablerade rutiner för avisering av personuppgiftsincidenter relaterade som uppfyller kraven i PUBA. Dessa aviseringsrutiner säkerställer att alla krav i dataskyddsförordningen uppfylls. PUBA beskriver aviseringsfrister i linje med dataskyddsförordningen samt kontaktvägar.

Andra faktorer som påverkar oss som kund hos Mediaflow när det kommer till GDPR?

Vårt PUBA uppdateras fortlöpande enligt Dataskyddsförordningen, (GDPR). Det uppdaterade avtalet ska godkännas av kunden innan bestämmelserna träder i kraft. Rent praktiskt kommer godkännande av de uppdaterade villkoren för de flesta kunder att ske via den kontaktperson hos kunden som får informationsbrevet, har nödvändiga behörigheter, godkänner PUBA för den beställda tjänsten och ser till att PUBA blir signerat.

Vilka personuppgifter lagras?

Svaret på denna fråga beror först och främst på vilka av Mediaflow produkter/tjänster kunden har avtal med Mediaflow. De olika tjänstebilagorna i Mediaflows PUBA har listat de personuppgifter som behandlas inom de olika tjänsteleveranserna.

Är de registrerade informerade om insamlingen/registreringen av personuppgifterna?

Mediaflow som personuppgiftsbiträde i samband med våra system har ingen kontroll över om de registrerade faktiskt är informerade om insamling/registrering av informationen i de tjänster vi erbjuder våra kunder. Det är Mediaflows kund (som personuppgiftsansvarig) som ska informera de registrerade om insamling/registrering av de uppgifter som läggs in i systemen eller registreras.

Är de registrerade medvetna om var personuppgifterna lagras?

Uppgifter till registrerade är det kunden (som är personuppgiftsansvarig) och inte Mediaflow (som är biträde) som har kontroll över.

Finns det rutiner för att radera personuppgifter?

Som biträde agerar vi enligt instruktioner från/avtal med vår kund (som personuppgiftsansvarig), även vad gäller när uppgifter raderas.

Har Mediaflow ett eget dataskyddsombud?

Ja, Mediaflow har ett eget dataskyddsombud/Data Protection Officer, (DPO) som är registrerat hos Integritetsskyddsmyndigheten (IMY) och en Dataskyddsgrupp bestående av fem personer i bolaget som träffas regelbundet och har kontinuerliga avstämningar med expertjurister för dessa frågor.

Har integritetskonsekvenserna utvärderats? Har en risk- och sårbarhetsanalys relaterad till systemet utförts?

Bedömning av integritetskonsekvenser (DPIA) samt risk- och sårbarhetsanalyser i linje med ny dataskyddslagstiftning och uppdaterade regelverk kring GDPR ingår som en central del i det arbete Mediaflow har initierat för anpassning till GDPR. Alla nya behandlingar, ny funktionalitet eller nya tjänster som initieras kommer att bli föremål för en risk- och sårbarhetsanalys, i det fall det är nödvändigt kommer en DPIA (Data Protection Impact Assessment) att utföras enligt beskrivningen i förordningen och artikel 29-gruppen.

Har du fler frågor om PUBA eller GDPR?
Kontakta: dataskydd@mediaflow.com