DATABEHANDLINGSAVTAL (”DPA”)

DATABEHANDLINGSAVTAL (”DPA”)

I) Allmänt

1. Omfattning

Detta DPA införlivas genom hänvisning i, och utgör en integrerad del av, Avtalet (enligt definitionen i Villkoren), såvida inte parterna ingår ett separat databehandlingsavtal som en del av specifika avtal. I händelse av inkonsekvens mellan detta DPA och andra villkor i Xxxxxxx ska detta DPA ha företräde.

Detta DPA gäller när TD SYNNEX behandlar personuppgifter på Köparens vägnar i egenskap av personuppgiftsbiträde och i enlighet med Köparens instruktioner, om Köparen för egen räkning eller å sina kunders eller deras slutanvändares vägnar (”Klienter”) agerar som personuppgiftsansvarig. Det gäller

också om Köparen skulle behandla personuppgifter, i egenskap av personuppgiftsbiträde på uppdrag av och i enlighet med instruktioner från TD SYNNEX om TD SYNNEX [för egen eller tredje parts räkning] agerar som personuppgiftsansvarig.

Detta DPA gäller inte när TD SYNNEX och Köparen delar personuppgifter med varandra som separata eller gemensamma personuppgiftsansvariga.

TD SYNNEX agerar vanligtvis som en separat personuppgiftsansvarig om:

(a) TD SYNNEX samlar in personuppgifter i samband med Köparens verksamhet (t.ex. personuppgifter relaterade till Köparens medarbetare)

(b) TD SYNNEX behandlar slutanvändares personuppgifter som tillhandahållits av Köparens kund för att:

(i) utföra kontroller avseende bedrägeri, penningtvätt, sanktioner och andra kontroller, inklusive kontroll mot förteckningar över nekade parter, utreda och lagföra brott som bedrägeri, penningtvätt eller överträdelse av sanktioner i samband med upprättande och underhåll av klientrelation och tillhandahållande av tjänster

(ii) efterleva rättsliga och lagstadgade skyldigheter

(iii) anonymisera och/eller utföra dataanalys

(iv) fullgöra Avtalet, inklusive direktleveranser och, om nödvändigt för fullgörandet av Avtalet, överföra sådana personuppgifter till tredje parter som agerar som en personuppgiftsansvarig, såsom transportörer, tillverkare eller tredje parts tjänsteleverantörer.

2. Definitioner

Alla termer som inte definieras i detta DPA eller i andra delar av Avtalet ska ha den betydelse som tillskrivs dem enligt den Allmänna dataskyddsförordningen (EU 2016/679) (”GDPR”). Hänvisningar till artiklar i GDPR häri [Artikel. GDPR] ska

endast gälla i den utsträckning som behandlingen omfattas av GDPR – för alla andra relevanta jurisdiktioner gäller tillämpliga motsvarande dataskyddslagar.

”Tredje land” avser varje land som varken är en medlemsstat i den Europeiska unionen (”EU”) eller det Europeiska

ekonomiska samarbetsområdet (”EES”) och för vilket den Europeiska kommissionen inte fattat beslut om att

tillhandahålla en adekvat skyddsnivå för personuppgifter i enlighet med Artikel 45(3) i GDPR.

”Behandling av EES-personuppgifter” innebär med avseende på detta DPA, behandling av personuppgifter som omfattas av GDPR eller integritetslagar i Storbritannien eller Schweiz.

”Standardavtalsklausuler” eller ”SCC:er” (Standard Contractual Clauses, SCC) avser standardavtalsklausuler för överföring av personuppgifter till tredje land enligt kommissionens genomförandebeslut (EU) 2021/914 av den 4 juni 2021 eller efterföljande eller kompletterande beslut.

”Integritetsskyddslagstiftning” avser alla tillämpliga lagar och förordningar som rör behandling av personuppgifter och integritet som kan finnas i de relevanta jurisdiktionerna. För EU:s eller EES:s medlemsstater inkluderar detta GDPR.

”XXX:er” (Technical and Organizational Measures, TOM) avser tekniska och organisatoriska åtgärder i förhållande till Integritetslagar.

”Underbiträde” eller ”Underordnat (under) personuppgiftsbiträde” avser tredje parter som är auktoriserade enligt detta DPA att ha logisk access till och behandla personuppgifter i enlighet med Avtalet.

”Dataöverföring” avser när parter överför eller ger tillgång till personuppgifter.

”Exportör” avser en part i en Dataöverföring som är belägen i EES, Storbritannien eller Schweiz.

II) Särskilda villkor för TD SYNNEX när det är ett personuppgiftsbiträde

Detta avsnitt II gäller när TD SYNNEX, behandlar personuppgifter på Köparens vägnar i egenskap av personuppgiftsbiträde och i enlighet med Köparens instruktioner, om Köparen för sin egen räkning eller på sina Xxxxxxxxx vägnar agerar som personuppgiftsansvarig.

Det gäller utöver avsnitt III nedan. I händelse av bristande överensstämmelse mellan avsnitt II och III ska detta avsnitt II ha företräde.

1. Elektronisk kommunikation. TD SYNNEX kan inom ramen för detta DPA förse Köparen med information och underrättelser elektroniskt, inklusive via e-post, via TD SYNNEXs standardwebbplats eller via en webbplats som TD SYNNEX identifierar.

2. Information om behandling. Genom att använda tjänsterna samtycker Köparen till uppgiftsbehandlingen, inklusive typ, ändamål och behandlingens sakfråga, kategorier av registrerade, typer av personuppgifter, särskilda kategorier av personuppgifter, TOM:er och andra personuppgiftsbiträden – i förekommande fall – enligt definitionen i Avtalet (inklusive detta DPA) och som på annat sätt görs tillgängligt och kommuniceras av TD SYNNEX elektroniskt, inklusive via e-post, via TD

SYNNEXs standardwebbplats eller via en webbplats som TD SYNNEX identifierar.

3. Standardavtalsklausuler. SCC:er, om tillämpligt mellan TD SYNNEX och Köparen, finns att läsa på TD SYNNEXs standardwebbplats eller via en webbplats som TD SYNNEX anger.

4. TD SYNNEXs och Köparens skyldigheter.

4.1. TD SYNNEX kommer att följa all Integritetsskyddslagstiftning som gäller för företaget i dess roll som personuppgiftsbiträde. TD SYNNEX ansvarar inte för att följa lagar eller förordningar som är tillämpliga på Köparens eller dess Klienters bransch och som inte

är allmänt tillämpliga på leverantörer av respektive Produkter. TD SYNNEX avgör inte om Köparens eller dess Klienters uppgifter omfattar information som är föremål för någon specifik lag eller förordning.

4.2. Köparen ska utvärdera och fastställa lämpligheten och efterlevnaden av Köparens eller dess Klienters användning av Produkterna i förhållande till lagar och förordningar, inklusive Integritetsskyddslagstiftning, särskilt vad gäller TOM:er, andra inblandade behandlare, datacenterplats och relevant överföring av data enligt beskrivningen i Avtalet, inklusive DPA och informationen om behandlingen.

4.3. Om Köparen själv inte är den personuppgiftsansvarige för personuppgifterna utan behandlar personuppgifter på uppdrag av Klienter, garanterar Köparen att alla kontrakt finns på plats och att Köparen beviljats alla nödvändiga tillstånd och behörigheter från Klient(-er) för att:

– agera som personuppgiftsansvarig i förhållande till TD SYNNEX enligt detta DPA och utöva alla rättigheter som personuppgiftsansvarig gentemot TD SYNNEX och dess andra personuppgiftsbiträden med avseende på detta DPA

– använda TD SYNNEX som personuppgiftsbiträde för att behandla personuppgifter enligt vad som anges i Avtalet, inklusive detta DPA och informationen om behandlingen

– vara den enda kontaktpunkten för TD SYNNEX för alla instruktioner, meddelanden, information och kommunikation i samband med detta DPA och för att

kommunicera relevant kommunikation mellan Klienter och TD SYNNEX, där så krävs enligt lag. TD SYNNEX ska vara befriat från alla skyldigheter att informera eller meddela en Klient när TD SYNNEX har tillhandahållit sådan information eller sådant meddelande till Köparen. TD SYNNEX kommer att fungera som den enda kontaktpunkten med avseende på TD SYNNEXs andra personuppgiftsbiträden.

– utöva Exportörens rättigheter enligt standardavtalsklausulerna – i förekommande fall – gentemot (i) TD SYNNEX och/eller (ii) dess andra personuppgiftsbiträden via TD SYNNEX på Exportörens vägnar.

III) Allmänna behandlingsvillkor

Detta avsnitt III gäller utöver avsnitt II när TD SYNNEX behandlar personuppgifter på Köparens vägnar i egenskap av personuppgiftsbiträde och i enlighet med Köparens

instruktioner, om Köparen för sin egen räkning eller på sina Xxxxxxxxx vägnar agerar som personuppgiftsansvarig. Det gäller också om Köparen skulle behandla personuppgifter, i egenskap av personuppgiftsbiträde på uppdrag av och i enlighet med instruktioner från TD SYNNEX om TD SYNNEX [för egen eller tredje parts räkning] agerar som personuppgiftsansvarig.

1. Personuppgiftsansvariges skyldigheter

1.1. Den personuppgiftsansvarige ska ensam vara ansvarig för att efterleva alla lagstadgade skyldigheter som

en personuppgiftsansvarig har med avseende på behandlingen i enlighet med Integritetslagar. Den personuppgiftsansvarige ska, när Xxxxxxx sägs upp eller upphör att gälla och genom att utfärda en instruktion, fastställa åtgärder för att återlämna databärarande medier, inklusive personuppgifter, eller för att radera lagrade personuppgifter, och ska utan skäligt dröjsmål underrätta personuppgiftsbiträdet om eventuella fel eller oegentligheter som denne får kännedom om i samband med behandlingen av personuppgifter.

1.2. Den personuppgiftsansvarige kommer inte att använda Produkterna i samband med personuppgifter i den utsträckning detta skulle bryta mot Integritetslagar och kommer att kräva detsamma av sina Klienter.

2. Personuppgiftsbiträdets skyldigheter

2.1. Efterlevnad av ett personuppgiftsbiträdes skyldigheter. Personuppgiftsbiträdet kommer att uppfylla alla skyldigheter som gäller för personuppgiftsbiträden i enlighet med EES

Integritetsskyddslagstiftning. Personuppgiftsbiträdet ansvarar inte för att fastställa kraven i lagar som är tillämpliga för den personuppgiftsansvariges eller Klientens verksamhet eller bransch eller för att de Produkter personuppgiftsbiträdet tillhandahåller uppfyller kraven i sådana lagar.

2.2. Instruktioner. Personuppgiftsbiträdet ska endast behandla personuppgifter i enlighet med den personuppgiftsansvariges skriftliga instruktioner, som definieras i Avtalet, inklusive detta DPA och dess bilagor, – om tillämpligt – personuppgiftsansvariges auktoriserade användning och konfiguration av Produkterna eller annat som meddelas skriftligen.

Personuppgiftsbiträdet ska omedelbart informera den personuppgiftsansvarige om personuppgiftsbiträdet anser att den personuppgiftsansvariges instruktion strider mot tillämplig dataskyddslag och/eller mot avtalsförpliktelser enligt Avtalet, inklusive detta DPA. Personuppgiftsbiträdet har rätt att avbryta genomförandet av sådana instruktioner tills de har granskats av den personuppgiftsansvarige och därefter bekräftats eller ändrats. Personuppgiftsbiträdet får behandla personuppgifter utan den personuppgiftsansvariges instruktion om detta krävs

enligt unionsrätten eller enligt en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas av. I sådana fall ska personuppgiftsbiträdet informera den personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse.

2.3. Utlämnande/tillgång. Personuppgiftsbiträdet får inte lämna ut personuppgifter till någon tredje part, såvida detta inte godkänts av den personuppgiftsansvarige

eller krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt. Om sådan lag kräver att tillgång ska beviljas tredje part, eller en myndighet, domstol eller tillsynsmyndighet som, baserat på sådan lag, kräver tillgång till personuppgifter, kommer personuppgiftsbiträdet att meddela den personuppgiftsansvarige före utlämnande, såvida detta inte är förbjudet enligt lag på grund av ett viktigt allmänintresse. Om inte annat följer av unionsrätten eller enligt en medlemsstats nationell rätt, får personuppgiftsbiträdet inte lämna ut eller frisläppa några personuppgifter som svar på en sådan begäran som delges personuppgiftsbiträdet utan att först samråda med den personuppgiftsansvarige. Om den

personuppgiftsansvariges personuppgifter blir föremål för efterforskning och beslag, förverkande under konkurs- eller insolvensförfaranden, eller liknande händelser

eller åtgärder från tredje part medan de behandlas, ska personuppgiftsbiträdet utan skäligt dröjsmål informera den personuppgiftsansvarige.

2.4. Tystnadsplikt. Personuppgiftsbiträdet kräver att all dess personal och personer som anförtros behandlingen av personuppgifter, förbinder sig att iaktta sekretess

– såvida inte en tillämplig lagstadgad tystnadsplikt gäller – och att inte behandla sådana personuppgifter för något annat ändamål än enligt instruktioner från den personuppgiftsansvarige eller som annars krävs enligt unionsrätten eller enligt en medlemsstats nationell rätt.

2.5. Registrerades rättigheter. Personuppgiftsbiträdet ska på den personuppgiftsansvariges begäran och enligt vad som krävs enligt lag på ett rimligt sätt bistå den personuppgiftsansvarige, genom att ge registrerade tillgång och svara på begäranden, klagomål eller annan

kommunikation från en registrerad, inklusive begäranden från registrerade som vill utöva sina rättigheter enligt Integritetslagar. Om en sådan begäran, klagomål eller kommunikation mottas av eller på annat sätt ställs till personuppgiftsbiträdet, ska personuppgiftsbiträdet utan skäligt dröjsmål informera den personuppgiftsansvarige, om personuppgiftsbiträdet kan sammankoppla registrerad med personuppgiftsansvarig.

2.6. Personuppgiftsincident. Om ett personuppgiftsbiträde blir medveten om en personuppgiftsincident (”Personuppgiftsincident”) som påverkar den personuppgiftsansvariges personuppgifter, ska personuppgiftsbiträdet utan oskäligt dröjsmål

underrätta den personuppgiftsansvarige om detta. Personuppgiftsbiträdet ska vidta rimliga åtgärder för att avhjälpa eller mildra effekterna av Personuppgiftsincidenten och ska bistå den

personuppgiftsansvarige med att säkerställa efterlevnad av dess skyldighet, enligt tillämplig Integritetslag, att underrätta tillsynsmyndigheterna och de registrerade om Personuppgiftsincidenten med hänsyn tagen till typen

av behandling och den information som är tillgänglig

för personuppgiftsbiträdet. Personuppgiftsbiträden ska i synnerhet samarbeta med den personuppgiftsansvarige genom att tillhandahålla regelbundna uppdateringar

och annan information som i rimlig utsträckning begärs. Alla pressmeddelanden, underrättelser, offentliga eller regulatoriska tillkännagivanden eller kommunikation om en Personuppgiftsincident ska lämnas av den personuppgiftsansvarige efter eget gottfinnande, om inte annat krävs enligt tillämpliga lagar.

2.7. Bistånd med personuppgiftsansvariges skyldigheter. Personuppgiftsbiträdet ska på den personuppgiftsansvariges begäran lämna rimligt bistånd avseende den personuppgiftsansvariges skyldigheter när det gäller säkerhet vid behandling, konsekvensbedömningar avseende dataskydd och föregående samråd med hänsyn till den information som är tillgänglig för TD SYNNEX och behandlingens art. Personuppgiftsbiträdet kommer att bistå i samband

med revision som utförs av en behörig tillsynsmyndighet, i den utsträckning som sådan revision avser personuppgiftsbiträdets behandling av personuppgifter enligt detta Avtal och som i rimlig utsträckning begärs

av den personuppgiftsansvarige. Biståndet från personuppgiftsbiträdet kan vara föremål för en rimlig avgift såvida inte personuppgiftsbiträdets bistånd redan ingår i Avtalet.

2.8. När Avtalet upphört. Personuppgiftsbiträdet ska, beroende på vad den personuppgiftsansvarige väljer, radera eller återlämna alla personuppgifter till den personuppgiftsansvarige, vid uppsägning av Avtalet eller när Avtalet upphör, och radera befintliga kopior såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller en medlemsstats nationella rätt.

3. Tekniska och organisatoriska säkerhetsåtgärder

3.1. Personuppgiftsbiträde och personuppgiftsansvarig ska implementera och upprätthålla TOM:er enligt vad som krävs i tillämplig Integritetsskyddslagstiftning. Detta inkluderar implementering och underhåll av TOM:er för att säkerställa en lämplig säkerhetsnivå i förhållande till risker eller skador på personuppgifter, den skada som kan uppstå till följd av otillåten eller olaglig behandling eller oavsiktlig förlust, förstörelse eller skada och vilken typ

av personuppgifter som ska skyddas, med beaktande av den tekniska utvecklingen och genomförandekostnaderna för eventuella åtgärder (dessa åtgärder kan omfatta, i förekommande fall, pseudonymisering och kryptering

av personuppgifter, säkerställa konfidentialitet, integritet, systemens och tjänsternas tillgänglighet och motståndskraft).

3.2. TOM:er är föremål för teknisk utveckling och vidareutveckling. Personuppgiftsbiträdet förbehåller sig rätten att modifiera de åtgärder och skyddsåtgärder som implementeras, dock under förutsättning att Produkternas funktionalitet och säkerhet inte försämras. Den personuppgiftsansvarige ska underrättas om alla väsentliga säkerhetsrelaterade beslut avseende organisationen av databehandlingen och de förfaranden som tillämpas.

3.3. Genom att använda en Produkt bekräftar den personuppgiftsansvarige de TOM:er som anges i Avtalet och/eller som tillhandahålls av personuppgiftsbiträdet och bekräftar att dessa TOM:er ger en adekvat skyddsnivå

med avseende på de risker som är förknippade med behandlingen av personuppgifter.

4. Dokumentations- och revisionsskyldigheter

4.1. På den personuppgiftsansvariges begäran ska personuppgiftsbiträdet ge den personuppgiftsansvarige, eller en behörig tredje part som agerar på den personuppgiftsansvariges vägnar, tillgång till information som är nödvändig för att den personuppgiftsansvarige eller Klienterna ska kunna uppfylla sina egna revisionsskyldigheter enligt tillämpliga dataskyddslagar eller en tillsynsmyndighets begäran, och ska tillåta

och bidra till granskningar och revisioner, inklusive inspektioner enligt vad som anges nedan.

4.2. Den personuppgiftsansvarige kan begära att personuppgiftsbiträdet tillhandahåller relevant information om TOM:er, inklusive – om tillgängligt – intyg från revisor, rapporter eller utdrag från rapporter som tillhandahålls

av oberoende organ (t.ex. revisor, dataskyddsombud, IT-säkerhetsavdelning, dataintegritetsgranskare, kvalitetsgranskare).

4.3. I den utsträckning det inte är möjligt att på annat sätt uppfylla en granskningsskyldighet som föreskrivs i tillämplig Integritetslag, kan den personuppgiftsansvarige eller dess utsedda revisor utföra personliga granskningar på plats på den personuppgiftsansvariges bekostnad

på individuell basis, vanligtvis inte oftare än en gång per år, under ordinarie arbetstid, med rimlig påverkan på personuppgiftsbiträdets verksamhet och med rimligt varsel. Personuppgiftsbiträdet kan besluta att sådana revisioner och inspektioner är föremål för ett

sekretessåtagande som skyddar andra kunders uppgifter och konfidentialiteten hos de TOM:er och skyddsåtgärder som implementerats.

4.4. Den personuppgiftsansvarige ska utan skäligt dröjsmål informera personuppgiftsbiträdet om eventuella fel eller oegentligheter som upptäcks under en revision.

5. Underbiträden

5.1. Den personuppgiftsansvarige ger härmed personuppgiftsbiträdet tillstånd att överföra personuppgifter till eller ge underbiträden som denne anlitar, åtkomst till personuppgifter (och tillåta underbiträden att göra detta i enlighet med denna klausul

5) för ändamålet att tillhandahålla Produkterna som är föremål för den personuppgiftsansvariges skyldigheter enligt denna klausul 5. Ovanstående godkännande utgör den personuppgiftsansvariges föregående skriftliga samtycke till att personuppgiftsbiträdet anlitar underbiträden om sådant samtycke krävs

enligt standardavtalsklausulerna eller relevant Integritetsskyddslagstiftning. Personuppgiftsbiträdet förblir ansvarigt för sina underbiträdens efterlevnad av skyldigheterna i detta DPA. Personuppgiftsbiträdet

ska göra en aktuell förteckning över sina underbiträden tillgänglig för den personuppgiftsansvarige, t.ex. på sin webbplats.

5.2 Den personuppgiftsansvarige ska ha rätt att invända mot anlitandet av ett nytt underbiträde inom 10 dagar efter

underrättelse. I annat fall ska den personuppgiftsansvarige anses ha godkänt ett sådant nytt eller ändrat underbiträde.

Om det finns en väsentlig anledning till en invändning och om parterna inte kan lösa frågan i godo, ska den personuppgiftsansvarige ha rätt att säga upp Avtalet med avseende på den berörda Produkten.

5.3 Personuppgiftsbiträdet ingår skriftliga avtal med varje underbiträde det anlitar som inte får vara mindre skyddande än vad som anges i detta DPA. Ett sådant avtal ska i synnerhet föreskriva att tillräckliga garantier ges om att implementera lämpliga TOM:er.

6. Internationell dataöverföring

6.1. Den personuppgiftsansvarige godkänner härmed att personuppgiftsbiträdet överför eller ger tillgång till personuppgifterna i samband med de tjänster som beskrivs i Avtalet, information om behandling och/eller, i förekommande fall, SCC:erna.

6.2. All behandling av personuppgifter utanför det land eller den region där den personuppgiftsansvarige finns är föremål för en adekvat mekanism för

dataöverföring om så krävs och då i enlighet med relevant Integritetsskyddslagstiftning.

6.3. För internationella dataöverföringar i samband med behandling av personuppgifter i EES måste SCC:er upprättas mellan TD SYNNEX och Köparen om den part som överför eller ger tillgång till personuppgifter är

belägen i EES, Storbritannien eller Schweiz och den andra parten, som mottar eller har tillgång till sådana uppgifter, är belägen i ett Tredje land. Villkoren i detta DPA är inte avsedda att ändra eller modifiera SCC:erna utan ska ge klarhet i processer och förfaranden för efterlevnad av SCC:erna. I händelse av konflikt mellan villkoren i detta DPA och SCC:erna ska SCC:erna ha företräde.

6.4. För dataöverföringar i förbindelse med att personuppgiftsbiträden anlitar underbiträden ingår personuppgiftsbiträdet de tillämpliga

standardavtalsklausulerna (personuppgiftsbiträde till personuppgiftsbiträde) med underbiträdena och binder underbiträdena i enlighet därmed med avseende på vidareöverföringar.

7. Konfidentialitet

Parter får inte avslöja konfidentiell information som delas i förbindelse med detta DPA förutom (i) enligt vad som

krävs i detta DPA eller parters instruktion (ii) enligt vad som krävs enligt lag (iii) i svar till en behörig myndighet eller tillsynsmyndighet eller myndighetsorgan (iv) för avslöjanden till dess medarbetare, ombud och entreprenörer som är bundna av konfidentialitet på basis av ”kännedomsbehov” (need-to- know).