Mediaflows PUBA

Mediaflow tillhandahåller ett offentligt rekommenderat standard-PUBA som är anpassat för tjänsten och som uppfyller aktuell dataskyddslagstiftning och GDPR. Eftersom det finns ett nära samband mellan tjänsterna, villkoren för tjänsterna och PUBA är det viktigt att dessa villkor och PUBA gäller specifikt för tjänsterna från Mediaflow.

Standard PUBA från den beställande organisationen täcker sällan Mediaflows tjänster och reglerar inte på ett adekvat sätt behandlingen av personuppgifter som följer av tjänsterna.

Mediaflow begär därför att PUBA som kommer från oss reglerar tjänsterna från Mediaflow, behandlingen av personuppgifter till följd av dessa, samt att inget annat PUBA skickas till Mediaflow. PUBA som erhålls av Mediaflow som inte omfattar Mediaflows tjänster kan inte ingås.

Vi har reviderat våra processer och vårt PUBA uppfyller nödvändiga anpassningar. PUBA uppdateras fortlöpande i enlighet med gällande dataskyddslagstiftning.

Mediaflow har åtkomstkontroll som uppfyller gällande säkerhetskrav. Behörighetskontroll inom systemet styrs av kunden och Mediaflow säkerställer att organisatoriska och tekniska säkerhetsåtgärder genomförs.

Mediaflow Europe AB anlitar underleverantörer (underbiträden) för vissa tilläggstjänster. I den mån dessa underleverantörer har tillgång till personuppgifter har Mediaflow ingått PUBA (Underbiträdesavtal) med dem i enlighet med kraven i GDPR. En lista över våra underleverantörer hålls uppdaterad i PUBA.

För Mediaflow Europe AB:s dotterbolag (om ni som kund har avtal med något av Mediaflow Europe AB:s dotterbolag) kommer Mediaflow Europe AB att vara avtalspart för PUBA.

Mediaflow Europe AB dotterbolag i Norden är: Mediaflow Norge AS
Nydalsveien 33
N-0484 Oslo
Sentralbord: 22 15 55 00
Org.nr: 928 123 693

Nej, uppgifterna behandlas inom EU/EES-området i tjänsten Mediaflow. Mediaflow Europe AB behandlar och lagrar all data på servrar i Sverige.

Från och med april 2021 har vi drift i egen regi co-location hos Interxion i MSB-III klassade serverhallar i Stockholm med SLA på 99.99%. Det ger oss också redundant internet- och elförsörjning, möjlighet till distribuerat CDN och en compliant driftsmiljö. Interxion är certifierade enligt ISO 27001 och ISO 22301. Mediaflow har påbörjat processen att blir certifierade enligt ISO 27001.

Underbiträden inom EU/EES
Inom systemet sker inga överföringar av filer, data eller personuppgifter till underleverantörer i eller utanför Sverige. Om kunden önskar använda funktionen att automatiskt skapa undertexter (“transkribera”) till video med vår modul Video Manager använder vi Lingsoft (Finland) som standard underleverantör för att kunna tillhandahålla den tjänsten. De har i sin tur inga underleverantörer och hanterar all data i sina datacenter i Finland.

Som en del av tilläggstjänsten tillhandahåller vi även särskild funktionalitet för textning/transkribering som utförs av Amberscript (Nederländerna) som underleverantör. Mediaflows underbiträden har tecknat ett särskilt partneravtal med Mediaflow Europe AB samt ett Underbiträdesavtal (PUBA/DPA) enligt GDPR, där det explicit framgår att inga personuppgifter får överföras till Tredje land utanför EU/EES. Utöver detta har Mediaflow Europe AB genomfört en rad säkerhetsåtgärder och riskanalyser för att säkerställa att behandlingen ständigt är i linje med uppdaterade krav i GDPR. 

Aktuella underbiträden garanterar att personuppgiftsbehandling sker inom EU/EES. 
När användaren lägger in exempelvis bilder, filmer ljudklipp, dokument eller andra filer i tjänsten kan de innehålla olika typer av personuppgifter. Som personuppgiftsansvarig kan ni ställa in behörigheter i tjänsten och skapa grupper med olika rättigheter. 

Mediaflow har etablerade rutiner för avisering av personuppgiftsincidenter relaterade som uppfyller kraven i PUBA. Dessa aviseringsrutiner säkerställer att alla krav i dataskyddsförordningen uppfylls. PUBA beskriver aviseringsfrister i linje med dataskyddsförordningen samt kontaktvägar.

Vårt PUBA uppdateras fortlöpande enligt Dataskyddsförordningen, (GDPR). Det uppdaterade avtalet ska godkännas av kunden innan bestämmelserna träder i kraft. Rent praktiskt kommer godkännande av de uppdaterade villkoren för de flesta kunder att ske via den kontaktperson hos kunden som får informationsbrevet, har nödvändiga behörigheter, godkänner PUBA för den beställda tjänsten och ser till att PUBA blir signerat.

Svaret på denna fråga beror först och främst på vilka av Mediaflow produkter/tjänster kunden har avtal med Mediaflow. De olika tjänstebilagorna i Mediaflows PUBA har listat de personuppgifter som behandlas inom de olika tjänsteleveranserna.

Mediaflow som personuppgiftsbiträde i samband med våra system har ingen kontroll över om de registrerade faktiskt är informerade om insamling/registrering av informationen i de tjänster vi erbjuder våra kunder. Det är Mediaflows kund (som personuppgiftsansvarig) som ska informera de registrerade om insamling/registrering av de uppgifter som läggs in i systemen eller registreras.

Uppgifter till registrerade är det kunden (som är personuppgiftsansvarig) och inte Mediaflow (som är biträde) som har kontroll över.

Som biträde agerar vi enligt instruktioner från/avtal med vår kund (som personuppgiftsansvarig), även vad gäller när uppgifter raderas.

Ja, Mediaflow har ett eget dataskyddsombud/Data Protection Officer, (DPO) som är registrerat hos Integritetsskyddsmyndigheten (IMY) och en Dataskyddsgrupp bestående av fem personer i bolaget som träffas regelbundet och har kontinuerliga avstämningar med expertjurister för dessa frågor.

Bedömning av integritetskonsekvenser (DPIA) samt risk- och sårbarhetsanalyser i linje med ny dataskyddslagstiftning och uppdaterade regelverk kring GDPR ingår som en central del i det arbete Mediaflow har initierat för anpassning till GDPR. Alla nya behandlingar, ny funktionalitet eller nya tjänster som initieras kommer att bli föremål för en risk- och sårbarhetsanalys, i det fall det är nödvändigt kommer en DPIA (Data Protection Impact Assessment) att utföras enligt beskrivningen i förordningen och artikel 29-gruppen.