PERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL
Sendify AB, xxx.xx 559102-5852 (“Sendify”), utvecklar och tillhandahåller en molnbaserad logistiktjänst på hemsidan xxx.xxxxxxx.xx (“Tjänsten”). Tjänsten är ett transportadministrationssystem, som bland annat möjliggör för företagskunder att söka, jämföra, boka och spåra transporter.
Kunden (“Kunden”) är kund till Sendify och använder Tjänsten, bland annat för att skicka försändelser till sina kunder, leverantörer och andra mottagare. Sendifys tillhandahållande och Kundens användning av Tjänsten regleras av Sendifys användarvillkor (“Tjänsteavtalet”).
Kundens användning av Tjänsten medför att Sendify behandlar personuppgifter för Kundens räkning. En beskrivning av behandlingen framgår av [tabellen längst ner] på denna sida.
Parterna har ingått detta personuppgiftsbiträdesavtal (“Biträdesavtalet”) som en bilaga till Tjänsteavtalet för att reglera parternas rättigheter och skyldigheter som följer med Sendifys behandling av personuppgifter, för att säkerställa att personuppgifterna behandlas i enlighet med tillämplig dataskyddslagstiftning.
Biträdesavtalet gäller från dagen som Kunden har godkänt det i Tjänsten och så länge som Sendify behandlar Personuppgifter för Kundens räkning enligt Tjänsteavtalet, eller tills parterna ersätter Biträdesavtalet med ett annat personuppgiftsbiträdesavtal.
Biträdesavtalets bestämmelser ska ha företräde framför Tjänsteavtalets bestämmelser, när det gäller frågor som rör personuppgifter.
1 DEFINITIONER
1.1 Följande begrepp ska i Biträdesavtalet ha den betydelse som anges nedan:
“Personuppgifter” avser personuppgifter (enligt definitionen i Tillämplig lag) som överförs till, lagras hos, eller på något annat sätt behandlas av Sendify på uppdrag av Xxxxxx, enligt Tjänsteavtalet.
“Tillämplig lag” avser Dataskyddsförordningen (EU) 2016/679 med tillhörande genomförandeförfattningar samt all annan eventuell lagstiftning (inklusive förordningar och föreskrifter) som är tillämplig på den personuppgiftsbehandling som sker under Biträdesavtalet, såsom denna kan komma att förändras över tid.
1.2 Begrepp som inte används med stor bokstav i Biträdesavtalet, såsom ”behandling”, ”registrerad”, ”personuppgiftsincident” m.fl., ska ha den betydelse som anges i Tillämplig lag. Begrepp som anges i singular ska ha motsvarande betydelse när det används i plural eller böjs på andra sätt.
2 KUNDENS ANSVAR
2.1 Kunden ska säkerställa att behandlingen av Personuppgifter är laglig. Kunden ansvarar för att informera registrerade om behandlingen av Personuppgifter samt för att, när det krävs, inhämta samtycke från registrerade.
2.2 Kunden ska tillhandhålla Sendify dokumenterade instruktioner och övriga anvisningar som krävs för att Sendify ska kunna uppfylla sina skyldigheter enligt Biträdesavtalet och Tillämplig lag. Kunden ska utan onödigt dröjsmål meddela Sendify om förhållanden som kan medföra behov av förändringar i det sätt som Sendify behandlar Personuppgifter.
3 BEHANDLING AV PERSONUPPGIFTER
3.1 Sendify får endast behandla Personuppgifter i enlighet med samt för att fullgöra Tjänsteavtalet, Biträdesavtalet, Tillämplig lag och Kundens dokumenterade instruktioner.
3.2 Om Sendify enligt rättslig förpliktelse är skyldig att behandla Personuppgifter för andra ändamål eller på andra sätt än som framgår av Kundens instruktioner, ska Sendify först informera Xxxxxx om detta, i den utsträckning det tillåts.
3.3 Om Sendify anser sig sakna instruktioner eller anser att befintliga instruktioner kan strida mot Tillämplig lag, ska Sendify utan dröjsmål informera Xxxxxx om detta och därefter invänta Xxxxxxx ytterligare instruktioner. Sendify har rätt att avbryta behandlingen till dess att Kunden återkommit med korrekta instruktioner.
4 SÄKERHET OCH SEKRETESS
4.1 Sendify ska genom lämpliga tekniska och organisatoriska åtgärder säkerställa en säkerhetsnivå som är lämplig i förhållande till risken och för att skydda Personuppgifter mot oavsiktlig eller olaglig förstöring, förlust eller ändring samt mot obehörigt röjande eller obehörig åtkomst. Frågan om lämpliga åtgärder ska bedömas med hänsyn till Tillämplig lag, särskilt artikel 32 i Dataskyddsförordningen (EU) 2016/679.
4.2 Sendify ska se till att alla personer eller tredje parter som får tillgång till Personuppgifter förbinder sig att iaktta sekretess eller omfattas av en lämplig lagstadgad tystnadsplikt, samt är informerade om hur Personuppgifter får behandlas.
4.3 Sendify ska assistera Xxxxxx med genomförande av konsekvensbedömningar avseende dataskydd samt förhandssamråd med behörig tillsynsmyndighet, i den mån det krävs enligt Tillämplig lag. Sendify har rätt att fakturera Kunden för Sendifys skäliga kostnader för att assistera Xxxxxx med detta.
5 PERSONUPPGIFTSINCIDENT
5.1 Sendify åtar sig att skriftligen meddela Xxxxxx om Sendify upptäcker någon personuppgiftsincident som berör Personuppgifter. Kunden ska meddelas utan onödigt dröjsmål och, om så är möjligt, inte senare än tjugofyra (24) timmar från att personuppgiftsincidenten upptäcktes av Sendify. Meddelandet ska innehålla all tillgänglig information som krävs för att
Kunden ska kunna fullgöra sin rapporterings- och informationsskyldighet till behörig tillsynsmyndighet samt berörda registrerade.
6 UNDERLEVERANTÖRER
6.1 Sendify får anlita en eller flera underleverantörer för behandling av Personuppgifter, utan att inhämta särskilt tillstånd från Xxxxxx i enskilda fall. Sendify ska se till att ingå ett skriftligt underbiträdesavtal med underleverantören, som medför att underleverantören har minst samma nivå av skyldigheter som Sendify har enligt Biträdesavtalet.
6.2 Sendify ska informera Xxxxxx innan en ny underleverantör anlitas för behandling av Personuppgifter. Kunden har rätt att invända mot att en ny underleverantör anlitas, om det finns godtagbara skäl för det och Kunden meddelar Sendify inom trettio (30) dagar, från att Sendify informerade Xxxxxx.
6.3 Sendify ska på Xxxxxxx begäran tillhandahålla kopia av relevanta delar av underbiträdesavtal med underleverantörer, som behövs för att utvisa att Sendify uppfyllt sina skyldigheter enligt Biträdesavtalet.
6.4 Sendify är fullt ansvarig gentemot Xxxxxx för sina underleverantörers skyldigheter i fråga om behandling av Personuppgifter, i enlighet med Biträdesavtalet.
7 ÖVERFÖRING TILL TREDJE LAND
7.1 Sendify har rätt att överföra Personuppgifter till ett land utanför EU/EES (tredjeland), under förutsättning att Sendify säkerställer att överföringen: sker på grundval av ett beslut om adekvat skyddsnivå, omfattas av lämpliga skyddsåtgärder eller annars är tillåten enligt Tillämplig lag.
7.2 Om överföringen kräver att särskilt avtal baserat på standardavtalsklausuler ingåtts, ska Sendify ingå ett avtal med underleverantören baserat på standardklausuler i enlighet med Europeiska kommissionens beslut C(2010)593 av den 5 februari 2010, eller andra godkända klausuler som ersätter dessa. För detta ändamål ger Kunden, genom att underteckna Biträdesavtalet, fullmakt till Sendify att ingå sådant avtal för Kundens räkning.
8 KOMMUNIKATION
8.1 Om en registrerad, behörig tillsynsmyndighet eller annan tredje part begär information från Sendify som rör behandlingen av Personuppgifter, ska Sendify hänvisa sådan förfrågan till Kunden och invänta Kundens instruktioner.
8.2 Sendify får inte företräda eller agera för Kundens räkning, eller utan instruktion från Kunden lämna ut Personuppgifter eller information om behandlingen av Personuppgifter, om det inte krävs till följd av rättslig förpliktelse. Sendify ska i så fall först informera Xxxxxx om den rättsliga förpliktelsen, i den utsträckning det tillåts.
8.3 Sendify ska, med tanke på behandlingens art, genom lämpliga tekniska och organisatoriska åtgärder, i den mån det går, hjälpa Xxxxxx med att fullgöra sin skyldighet att svara på begäran
om utövande av den registrerades rättigheter enligt Xxxxxxxxxx lag, bland annat rätten till tillgång och radering. Sendify har rätt att fakturera Kunden för Sendifys skäliga kostnader för detta, i enskilda fall.
9 GRANSKNING OCH KONTROLL
9.1 Kunden har rätt att på egen bekostnad, antingen på egen hand eller med hjälp av tredje part, få tillgång till information och register i syfte att kontrollera att Sendify uppfyller sina skyldigheter enligt Biträdesavtalet. Sendify är dock endast skyldig att bevilja Kunden, eller tredje man som Kunden anlitat, tillgång till lokaler och utrustning för inspektion om det kan ske utan säkerhets- eller integritetsrisker, eller om sådana inspektioner är nödvändiga för att fullgöra en rättslig förpliktelse.
9.2 Kunden ska meddela Sendify minst trettio (30) dagar innan en granskning eller inspektion påbörjas. Kunden får endast genomföra inspektioner under Sendifys normala arbetstider och på ett sådant sätt att det innebär minsta möjliga olägenhet för Sendify. Samtliga personer och företag som ska delta i att granska eller inspektera Sendify, ska först ingå sekretessförbindelser med Sendify. Sendify har rätt att helt eller delvis invända mot att ett företag eller en person deltar, om Sendify har skälig grund för detta (till exempel om det rör sig om en konkurrent till Sendify).
9.3 Sendify ska tillåta och bidra till inspektioner som behörig tillsynsmyndighet kan kräva för säkerställandet av en korrekt behandling av Personuppgifter, samt följa eventuella beslut av behörig tillsynsmyndighet om åtgärder för att uppfylla säkerhetskrav enligt Tillämplig lag.
9.4 Kunden ska ersätta Sendify för Sendifys kostnader i samband med granskningar och inspektioner, om inte dessa utvisar att Sendify grovt brustit i sina skyldigheter enligt Biträdesavtalet.
10 BITRÄDESAVTALETS UPPHÖRANDE
10.1 Sendify ska inom trettio (30) dagar från att Biträdesavtalet upphört, beroende på Kundens instruktion, antingen (i) permanent radera alla Personuppgifter eller (ii) överföra alla Personuppgifter till Kunden i ett allmänt och läsbart format och därefter radera alla befintliga kopior av Personuppgifter. Sendify är dock inte skyldig att radera Personuppgifter om och i den utsträckning Sendify för egen del är ansvarig för samma Personuppgifter, eller om åtgärden skulle strida mot lag.
11 ANSVAR FÖR SKADA
11.1 Om en registrerad, behörig tillsynsmyndighet eller annan tredje part riktar krav på skadestånd eller beslutar om sanktion mot Kunden, ska Sendify hålla Kunden skadeslös i den utsträckning som Sendifys handlande eller underlåtenhet i strid med Biträdesavtalet har bidragit till skadan.
11.2 Kunden ska på motsvarande sätt hålla Sendify skadeslös för krav på skadestånd eller beslut om sanktion som riktas mot Sendify, om kravet beror på Kunden eller något förhållande på Kundens sida (till exempel att Sendify har agerat i enlighet med Kundens instruktioner).
11.3 [Parts/Sendifys] totala skadeståndsansvar är, om inte uppsåt eller grov oaktsamhet föreligger, begränsat till [femhundratusen (500 000)] svenska kronor. Part ska dock aldrig, om inte uppsåt eller grov vårdslöshet föreligger, ansvara för indirekt skada eller förlust, såsom men inte begränsat till utebliven vinst, förlust av goodwill eller liknande förlust.
11.4 Parterna är endast skyldiga att ersätta skadestånd eller sanktion som slutligt har fastställts i ett beslut eller dom av behörig tillsynsmyndighet eller en domstol.
12 TILLÄGG OCH ÄNDRINGAR M.M.
12.1 Parterna är överens om att ändra och komplettera Biträdesavtalet i den utsträckning det krävs för att uppfylla kraven enligt Tillämplig lag, eller för det fall det är nödvändigt med hänsyn till kommande praxis eller riktlinjer från behörig tillsynsmyndighet.
12.2 Samtliga ändringar och tillägg till Biträdesavtalet ska göras skriftligen och undertecknas eller på annat sätt godkännas av parterna.
13 TILLÄMPLIG LAG OCH TVIST
13.1 Biträdesavtalet ska tolkas och tillämpas i enlighet med svensk rätt. Tjänsteavtalets bestämmelser om tvistelösning gäller även för Biträdesavtalet.
BESKRIVNING AV BEHANDLINGEN
Denna del specificerar den behandling av Personuppgifter som Sendify ska utföra för Kunden. Behandlingen kommer att ske inom ramen för Tjänsteavtalet och den tjänstebeskrivning som framgår däri.
Behandlingens art och ändamål | Sendify kommer att behandla Personuppgifter för ändamålet att tillhandahålla Tjänsten i enlighet med Tjänsteavtalet, samt i övrigt endast i enlighet med Kundens instruktioner. |
Kategorier av registrerade | Sendify kan komma att behandla Personuppgifter från: Personer som arbetar hos Kundens leverantörer, kunder, samarbetspartners, samt andra personer som Kunden använder Tjänsten för att skicka försändelser till, eller på annat sätt registrerar i Tjänsten. |
Typer av Personuppgifter | Sendify kommer att behandla följande typer av Personuppgifter: Namn, epost, telefonnummer, adress, jobbtitel, samt andra uppgifter som Xxxxxx tillhandahåller Sendify i Tjänsten. |
Behandlingens varaktighet | Behandlingen kommer att pågå så länge som Tjänsteavtalet löper (så länge Kunden har kvar sitt användarkonto i Tjänsten), samt för en begränsad tid därefter enligt Biträdesavtalet. Sendify kommer att arbeta tillsammans med Xxxxxx för att bestämma gallringstiderna för Personuppgifter i enskilda fall. |