ARIBAS DATAPOLICY OCH SEKRETESSPOLICY

Detta dokument beskriver Aribas policy för hantering, behandling, lagring och annan behandling av transaktionsuppgifter och andra uppgifter som tillhör Aribas kunder (hädanefter kallade "Du" eller Köparens organisation), uppgifter som tillhör Leverantörer (hädanefter kallade "Du" eller "Leverantörer") och uppgifter som kopplas till enskilda användare och anställda i Köparens och Leverantörens organisationer (gemensamt och enskilt även kallade "Du" och "Dina" i denna Datapolicy) när denna skickas till Ariba som en del av din användning av lösningen.

INNEHÅLL
Definitioner
Hantering av transaktionsuppgifter

• Aribas användning av uppgifter
• Information om affärskontakt
• Främja din organisation
• Transaktionsuppgifter och tredje parter
• Aribas åtagande för datasäkerhet

Hantering av personuppgifter och sekretess

• Personuppgifter
• Aribas användning av personuppgifter
• Andra företagsenheter
• Medgivande
• Överföring
• Ändring av kontoinformation (Utöva rätten att få del av egna personuppgifter)
• Röjande för tredje parter
• Säkerhet
• Lagring av uppgifter
• Ändringar
• Safe Harbor-program

Frågor (inklusive TrustE-policy)
Övrigt

Definitioner
"Lösning" innebär följande tjänster (om kunden har fått tjänsten överförd och betalat):

1) Ariba Network ("ASN") (samt erbjudande om "Supplier Connectivity") (https://service.ariba.com),

2) Erbjudanden om On-Demand Basic och On-Demand Professional från Ariba (även kallade "Ariba Technology Features", "Ariba OnDemand Solutions" eller "Ariba Application Services" ) (https://s1.ariba.com),

3) Projektledning, marknadsbearbetning, och tjänster för strategisk upphandling från Aribas globala upphandlingsteam ("Ariba Sourcing Services") (https://www.sourcingservice.com), samt

4) Ariba Hosting Service(s) (åtkomst via kundspecifika webbadresser).

"Handelspartner" innebär en enhet med vilken du eller ditt företag gör transaktioner via lösningen.

Aribas kunder kan hädanefter i detta dokument kallas "du" eller "Köpare" eller "Leverantör". Enskilda användare av lösningen (oavsett om det är anställda av köpar- eller leverantörsorganisationerna) kan hädanefter gemensamt eller enskilt kallas "du" och "din" i detta dokument.

När du använder lösningen samlar Ariba in uppgifter som du, din arbetsgivare eller en Handelspartner, eller andra uppgiftskällor skickar till lösningen (t.ex. IP-adresser, transaktionsrelaterade uppgifter och användarens kontouppgifter). Uppgifterna kan delas i två kategorier, Transaktionsuppgifter (se definition nedan) och Personuppgifter (uppgifter som kan identifiera en person eller kopplas till en enskild persons identitet).

Hantering av transaktionsuppgifter
Ariba är införstådda med att de transaktionsuppgifter som du eller din organisation lämnar ut när du använder lösningen är känsliga. Transaktionsuppgifter kan innehålla uppgifter som du lämnar ut till Ariba eller din handelspartner vid registrering, katalogisering, visning, anskaffning/förhandling, beställning eller via e-post eller annan kommunikation från dig till lösningen såväl som annan information som du lagrar i lösningen. Den kan även innehålla uppgifter för transaktioner som skickats av dina handelspartners till dig via lösningen eller av dig till din handelspartner via lösningen. Transaktionsuppgifter kan innehålla personuppgifter som beskrivs mer detaljerat nedan. Du godkänner att transaktionsuppgifterna inte innehåller uppgifter som är reglerade i ITAR (International Traffic in Arms Regulations), en uppsättning regler uppställda av USA för att reglera export och import av varor relaterade till militärt bruk).

Aribas användning av uppgifter
Ariba hanterar dina transaktionsuppgifter konfidentiellt och använder den endast för att: underlätta användningen av lösningen och tillhörande tjänster; ge dig en bättre upplevelse när du använder lösningen och tillhörande webbplatser; utföra interna spårnings- och lösningsförbättringar; analysera hur mycket du använder lösningen (t.ex. mängd och historik); ge oss möjlighet att kontakta dig samt behandla dina transaktioner via lösningen. Ariba kan använda budgivningsinformation som skickats in av leverantörer under Ariba Sourcing Services-projekt för att fastställa allmänna prisutvecklingar i olika leverantörsbranscher, för att skapa förutsägande analyser som är användbara för att uppskatta sannolika marknadspriser och för att bedöma leverantörers lämplighet för eventuell framtida utläggshanteringsprojekt på liknande marknader. Ariba kan även använda sådan budgivningsinformation vid publiceringen av resultat för "avancerade" anskaffningsprojekt, under förutsättning att sådan publicering (i) varken direkt eller indirekt identifierar leverantörens eller köparens namn eller förser en tredje part med tillräcklig information för att den ska kunna identifiera leverantören eller köparen, (ii) slås ihop med uppgifter från minst fyra (4) jämförbara leverantörer från ett enskilt projekt, (iii) inte specifikt identifierar leverantörens produkter eller tjänster eller priserna på de produkterna eller tjänsterna och (iv) inte identifierar leverantören som deltagare i något specifikt projekt. Om du är leverantör och inte vill lämna ut transaktionsuppgifter till din handelspartner via lösningen kan du kontakta handelspartnern direkt för att undersöka lämpliga alternativ (t.ex. att skicka uppgifter på annat sätt än via Aribas lösning, med hjälp av anonym kontaktinformation etc.).

Information om affärskontakter
När en representant för en köpares eller leverantörs organisation skapar ett företagskonto i lösningen frågar Ariba efter namn och kontaktinformation på en kontoadministratör. Ariba behöver administratörens information för att kunna skicka meddelanden, tjänsteerbjudanden och kontakta företaget i olika administrativa frågor när det gäller lösningen. Om så önskas kan din organisation kan lämna ytterligare kontakter. Beroende på lösning och de synlighetsalternativ du eller ditt företag valt kan dina användarnamn, telefonnummer och e-postadresser och annan profilinformation vara synlig för andra köpare och leverantörer som använder lösningen. Till exempel kan leverantörer som använder Ariba Network välja att visa sin kontaktinformation för endast vissa köparorganisationer eller för alla köparorganisationer.

Du bör endast lämna ut sådan information om affärskontakter som är offentlig. Information om enskilda kontakter som skickats till lösningen bör inte innehålla privat adress- eller telefonnummer. Du godkänner att inte lämna ut känslig information som kan kopplas till enskilda personer (t.ex. personnummer) i lösningen eller skicka dokument via lösningen som innehåller liknande information. Personnamn och personuppgifter som associeras med en person kallas nedan "Personuppgifter".

Främja din organisation
Du kan ges tillfälle att göra reklam för din organisation för andra användare. Dessutom kan andra användare av lösningen göra en sökning i lösningen med hjälp av olika kriterier (t.ex. information i din organisations profil eller annan information som du väljer att ha synlig och sökbar för andra användare) och hitta din organisation. I syfte att framhålla leverantörer för köpare kan Ariba komplettera leverantörsprofiler med uppgifter från Ariba-system eller genom att låta andra ge feedback på din organisation (liknande eBaysâ„¢ feedbacksystem för köpare/säljare). Du kan välja att inte visa vissa typer av sådan organisationsinformation.

Transaktionsuppgifter och tredje parter
Genom att använda lösningen är du införstådd med att Ariba skickar dina transaktionsuppgifter till dina handelspartnert (eller andra som du eller dina handelspartnert godkänner) och Aribas tjänsteleverantörer för att underlätta dina transaktioner. Din handelspartner kan få åtkomst till statiska rapporter om din handelshistorik med den handelspartnern och fastställa om du är aktiv hos andra handelsorganisationer. Dessutom kan statistiska rapporter på hög nivå som är knutna till lösningen använda transaktionsuppgifter så länge rapporterna endast innehåller anonyma samlade uppgifter så ditt företag eller vissa specifika transaktionsuppgifter inte kan identifieras, och sådana rapporter kan rapporteras offentligt.

Aribas löfte om datasekretess
ASN-programmet (Ariba Network); de delade tjänsteerbjudandena från Ariba Category Management (ACM), programmen Ariba Enterprise Sourcing (AES), Ariba Analysis, Ariba Spend Visibility, Ariba Procure to Pay (P2P), Ariba Travel and Expense samt Electronic Invoice Presentation and Payment (EIPP) har WebTrust-granskats för överensstämmelse med tillgänglighet, sekretess, behandling av uppgifter och säkerhet. Information om Aribas medverkan i WebTrust-programmet finns på http://www.ariba.com/legal/ariba_webtrust.cfm. Allmän information om WebTrust-programmet finns på http://www.webtrust.org. Ariba vidtar nödvändiga åtgärder för att skydda kreditkort och överföringsinformation med hjälp av standardiserade krypteringsmetoder. Vi har skapat våra tjänster så att dessa informationskategorier endast kan visas inifrån lösningen. Vi ger dig möjligheten att använda olika roller för att begränsa åtkomsten till de användare som behöver se sådan information. Läs våra säkerhetsmeddelanden (finns sist i varje lösning) för ytterligare information om vilka åtgärder Ariba vidtar för att göra lösningen säker.

Hantering av personuppgifter och sekretess

Personuppgifter
"Personuppgifter" är en persons namn och uppgifter som kan identifiera honom eller henne till skillnad från uppgifter som kan kopplas till ett företag. Personuppgifter som t.ex. namn, företagsadress, företagse-post och kreditkort som används av enskilda personer i tjänsten, kan krävas för att få använda vissa funktioner i lösningen som Aribas tjänst Resor och utgifter. Om du inte vill lämna ut personuppgifter till Ariba eller vill att Ariba ska ta bort dina personuppgifter från lösningen kontaktar du din arbetsgivares kontoadministratör hos Ariba för att ta reda på om du kan använda affärsfunktionen på ett annat sätt, utan att lämna ut personuppgifter. Om du är Ariba-kund kan det finnas möjlighet att använda lösningen för att spåra vilka av dina handelspartners som har särskild ägarstatus eller uppfyller vissa andra kriterier. Om du inte vill skicka in den sammanfattande informationen till din handelspartner via lösningen, kontakta handelspartnern direkt för att undersöka alternativ.

Aribas användning av personuppgifter
Dina personuppgifter hos Ariba är konfidentiella och används endast för att: göra det enklare att använda lösningen och dess tjänster; föbättra din upplevelse av lösningen och därtill hörande webbplatser; göra interna spårnings- och lösningsförbättringar; göra det möjligt för oss att kontakta dig; behandla transaktioner via lösningen (inklusive användning av mallar och dokumentskapande) samt analysera historik och hur mycket lösningen används. En del av våra lösningsområden använder cookies i samma syfte. Du kan välja att inte använda cookies, men detta kan påverka möjligheterna att använda lösningen i samma utsträckning som en användare som accepterar cookies. Vi kopplar inte information som lagras i cookies till personuppgifter du lämnar ut när du använder lösningen.

Andra företagsenheter
Ariba kan dela med sig av personuppgifter till våra globala moderbolag, dotterbolag, återförsäljare och tjänsteleverantörer ("Dotterbolag") som samarbetar för att kunna erbjuda dig lösningen och därtill hörande tjänster, i hela världen. Våra dotterbolag följer bästa metoder som är minst lika beskyddande av alla användare av lösningen som de metoder som beskrivs in denna Datapolicy, i den utsträckning gällande lag tillåter. I händelse av att Ariba och/eller dess dotterbolag köps upp av en annan företagsenhet bör du godkänna att Ariba vidarebefordrar vissa eller samtliga av dina personuppgifter för att du ska kunna fortsätta använda lösningen. Du får information om något sådan skulle ske och vi kräver att den nya sammanslagna enheten följer den praxis som beskrivs i denna datapolicy.

Medgivande
När du skickar personuppgifter till lösningen godkänner du att Ariba samlar in, behandlar, lagrar och använder uppgifterna i enlighet med denna datapolicy. Innan du skickar, eller tillåter en anställd att lämna ut, personuppgifter till lösningen måste du få den personens godkännande för samla in, överföra, behandla och använda uppgifterna i enlighet med denna Datapolicy (och Ariba Networks användarvillkor, om ASN används).

Överföra
Lösningen finns i första hand i, och drivs från, USA. Den som kontrollerar behandlingen av personuppgifter i lösningen är Ariba, Inc. med huvudkontor på 807 11th Avenue, Sunnyvale, CA 94089. När du skickar uppgifter till lösningen godkänner du att dessa överförs till USA eller andra platser där lösningen används och som valts ut av Ariba och Aribas behöriga tjänsteleverantörer. Aribas dotterbolag kontrolleras av Ariba, Inc. och finns utanför och inom EES (Europeiska ekonomiska samarbetsområdet). Ariba måste bekräfta att tillräckligt skydd finns, samt ett så kallat dataöverföringsavtal baserat på paragrafer i standardavtal, enligt godkännande från Europakommissionen innan personuppgifter överförs från EES till Aribas dotterbolag i länder utanför EES som kanske inte uppfyller den sekretessnivå som krävs enligt det europeiska dataskyddsdirektivet.

Ändring av kontoinformation (Utöva rätten att få del av egna personuppgifter)
Du har rätt att få ta del av och ändra dina personuppgifter samt radera personuppgifter i enlighet med inskränkningarna nedan. För att utöva denna rätt har Ariba processer för att du ska kunna uppdatera personuppgifter när så är lämpligt. I de flesta lösningar kan ditt företags administrativa kontakt ändra de flesta kontaktuppgifter direkt genom att logga in på lösningen och hantera din kontoprofil direkt. I vissa lösningar kan ändringar göras via Aribas kundtjänst. För att radera personuppgifter kan godkännande av din arbetsgivare krävas (t.ex. uppgifter i utgiftsrapporter) samt kräva assistans från Ariba. Vissa begäran om radering av uppgifter måste göras till Ariba via administratören för ditt företag. Ariba kan neka åtkomst till lösningen av lagliga orsaker inklusive bristande betalningar för kontot, rättstvister eller av säkerhetsskäl. Om du inte kan ändra, uppdatera eller radera personuppgifter på grund av att du inte längre är anställd i det företag som är kontohavare, eller på grund av att ditt konto avslutats kontaktar du Aribas sekretessansvarige på adressen nedan. I varje fall vidtar Ariba rimliga åtgärder för att hjälpa dig eller svara skriftligen med en juridisk orsak till varför din begäran nekats inom trettio (30) dagar.

Röjande för tredje part
Ariba röjer inga personuppgifter för tredje parter, förutom vid undantag som nämns i denna policy och i avtalen med våra kunder, om inte (1) du begär eller godkänner det; (2) sådant röjande är nödvändigt för att genomföra transaktioner eller tillhandahålla tjänster som du har begärt (t.ex. PCARD-behandling med kreditkortsföretag eller betaltjänster hos banker eller anställdas resebokningar via en intern resebyrå); (3) myndigheter, reglerande organ, stämning eller liknande begäran från myndigheter eller för att etablera eller försvara ett rättsanspråk kräver det av Ariba; eller (4) tredje parten är agent eller underleverantör för utförande av tjänster (t.ex. Ariba använder en tredje parts teletjänstföretag).

Säkerhet
Ariba använder branschens standardåtgärder för säkerhet för att skydda pesonliga uppgifter från att röjas utan godkännande. Läs vårt Säkerhetsmeddelande för information om vilka åtgärder Ariba vidtar för att säkerställa lösningens säkerhet och skydda personuppgifter. Information om Aribas medverkan i WebTrust-programmet finns på http://www.ariba.com/legal/ariba_webtrust.cfm. Allmän information om WebTrust-programmet finns på http://www.webtrust.org/.

Lagring av uppgifter
Ariba lagrar personuppgifter i aktiva databaser olika länge beroende på lösning, typ av uppgift, och tillämplig lagstiftning. Policyn för lagring av uppgifter för varje lösning finns i dokumentationen eller villkoren för varje lösning. I linje med Aribas processer för säkerhetskopiering och lagring och på grund av den täta integreringen av uppgifter i lösningen kan Ariba lagra personuppgifter i säkerhetskopieringsloggar och -filer så länge som krävs enligt lagstiftning eller för syften angivna i denna policy. Ariba gör dock inga förbindelser att lagra sådana uppgifter permanent. Så länge du abonnerar på lösningen kan du få åtkomst till dina personuppgifter under en bestämd tid, baserat på vilken lösning du har köpt och vilken policy som gäller för den lösningen och vi rekommenderar att frågor ställs via ditt företags administratör till den som är ansvarig för personuppgifter på Ariba på den adress som anges nedan.

Ändringar i denna policy
Från tid till annan kommer Ariba att behöva göra ändringar i denna policy. Några ändringar kommer att göras till följd av ändringar i gällande lagar och bestämmelser. Dessutom kommer Ariba, allteftersom man lägger till nya funktioner och nya tjänster till lösningen, att fortsätta hantera personuppgifter i enlighet med denna policy, men vissa ändringar eller förtydliganden kan krävas. Om Ariba vill göra en materiell ändring i policyn för att tillåta att användning personuppgifter i ett tidigare okänt syfte dokumenterar Ariba denna ändring i sin datapolicy (datum för senaste uppdatering sist i policyn) och meddela administratören för varje köpare och leverantör som Ariba har kontakt med. Du uppmanas regelbundet läsa igenom denna policy för att hålla ajour med ändringar i densamma och med hantering av personuppgifter. För betydande och materiella ändringar i Datapolicyn gör Ariba skäliga ansträngningar för att meddela samtliga användare som påverkas och förslå att dessa användare granska den uppdaterade Datapolicyn.

Safe Harbor-program
Med avseende på Ariba Network, Ariba OnDemand Solutions och Ariba Hosting Service har Ariba officiellt anslutit sig till det Safe Harbor-program som hanteras av USA:s handelsministerium och har förbundit sig att följa Safe Harbors sekretessprinciper vad gäller insamling, användning och lagring av personuppgifter från EU. Mer information om Safe Harbor eller tillgång till Aribas certifieringsmeddelande finns på http://www.export.gov/safeharbor/.

Frågor
Om du har frågor om denna datapolicy, skicka e-post till privacy@ariba.com, tillhanda: Ariba Privacy Coordinator, eller kontakta Ariba Privacy Coordinator, Legal Department, Ariba, Inc., 807 11th Avenue, Sunnyvale, CA 94089 skriftligen. Ariba, Inc. är licensinnehavare av TRUSTe:s sekretessprogram. TRUSTe är en oberoende ideell organisation som möjliggör förtroende baserat på sekretess beträffande personuppgifter på Internet. Avsnittet "Hantering och sekretess för personuppgifter" i denna datapolicy täcker de lösningar (och webbplatser) som identifieras ovan enligt definitionen "Lösning" (https://service.ariba.com, https://s1.ariba.com, https://www.sourcingservice.com) och kundspecifika webbadresser). Då man på dessa webbplatser vill tydliggöra den sekretess som Ariba förbundit sig till har Ariba röjt sina sekretessmetoder för att få dem granskade av TRUSTe.

Om du har frågor om avsnittet Hantering och sekretess för personuppgifter i denna policy ska du först kontakta ditt företags administratör eller Aribas sekretessansvarige som anges ovan (privacy@ariba.com). Om du inte får en bekräftelse på din fråga eller frågan inte besvarats tillfredsställande bör du kontakta TRUSTe på http://www.truste.org/consumers/watchdog_complaint.php. TRUSTe fungerar då som kontaktperson med Ariba för att lösa tvisten i fråga om hanteringen av personuppgifter.

Övrigt
Den engelska versionen av detta avtal gäller i händelse av stridande villkor eller omfattande skillnader vid översättning till andra språk än engelska. Ariba erbjuder produkter och tjänster på B2B-marknaden. De uppgifter Ariba samlar in om enskilda användare berör endast deras roll i företaget och inte dem som enskilda personer eller konsument. Ariba samlar dock in personers namn, information om affärskontakt (t.ex. e-post, telefonnummer och faxnummer i arbetet) och roll i företaget. Ariba har två andra sekretesspolicies. Detta dokument är Aribas Datapolicy och Sekretesspolicy och riktar sig till företag som köper och använder Aribas produkter och tjänster. Ariba har även en intern Sekretesspolicy som riktar sig till anställda, leverantörer m.fl. och en särskild Sekretesspolicy för Internet som riktar sig till marknadsföringswebbplatser (e.g. www.ariba.com). Dessa övriga policies är skilda från de verksamheter som styrs av denna policy.

Landspecifika villkor

Italien:Denna sekretesspolicy för uppgiftshantering av den registrerade (dvs. avsnittet "Hantering och sekretess för personuppgifter" ovan plus den här paragrafen) tillhandahålls i enlighet med Avsnitt 13 i Italiens dataskyddslag och lagdekret nr 196 (30 juni 2003) tillsammans ("Italiens sekretesslag"). Ariba, Inc. informerar härmed dig om att behandlingen av dina personuppgifter via lösningen enligt ovan definition kommer att ske i enlighet med denna sekretesspolicy och i överensstämmelse med Italiens sekretesslag. Ariba, Inc., 807 11th Avenue, Sunnyvale, CA 94089, USA och din arbetsgivare kontrollerar uppgiftshanteringen. Om du har frågor eller funderingar om den här policyn kan du skicka e-post till Ariba på enligt ovan eller skriva till den lokala sekretessansvarige för Ariba på: Mark Lubienski, Ariba Italia Srl, Largo G. Tartini, 3/4, 00198 Roma, Italy.

******

Datapolicy v15.1 5 september 2007 (rättningar 19 maj 2008)