StoreSprint Personuppgiftsbiträdesavtal
StoreSprint Personuppgiftsbiträdesavtal
Detta personuppgiftsbiträdesavtal ("Biträdesavtal") har denna dag ingåtts mellan Storesprint AB (org. nr.: 559123-6657)(”Personuppgiftsbiträdet”) och Kund X (”Personuppgiftsansvarig”) där företagsuppgifter framgår av bilagt formulär.
Detta Biträdesavtal är en bilaga till parternas huvudavtal.
1. Definitioner
1.1 "Personuppgifter" är all information som rör en identifierad eller identifierbar fysisk person, inklusive en identifierare såsom ett namn, identifikationsnummer, platsdata, en online-identifierare eller en eller flera faktorer som är specifika för den fysiska, fysiologiska, genetiska, mentala, ekonomiska, kulturella eller sociala identiteten hos den fysiska personen.
1.2 "Den registrerade" är en fysisk person som kan identifieras med hjälp av Personuppgifterna.
1.3 "Behandling" eller "att bearbeta" är varje åtgärd eller uppsättning åtgärder som utförs på Personuppgifter eller på uppsättningar av Personuppgifter, oavsett om det sker på automatiserad väg eller inte, såsom insamling, registrering, organisation, strukturering, lagring, anpassning eller förändring, hämtning, samråd, användning, utlämning genom överföring, spridning eller på annat sätt göra tillgänglig, anpassning eller kombination, begränsning, radering eller förstörelse.
1.4 "Dataskyddslagstiftning", avses:
a) i EU-länder, den allmänna dataskyddsförordningen (förordning (EU) 2016/679) (GDPR),
b) i länder utanför EU, liknande eller likvärdiga lagar, förordningar eller regler som rör personuppgifter;
c) alla verkställbara riktlinjer och uppförandekoder utfärdade av någon lokal tillsynsmyndighet som ansvarar för administrationen av dataskyddslagar; och / eller
d) eventuella ändringar, återföranden eller ändringar av de punkter som beskrivs i (a) till (c) ovan vid var tid.
1.5 "Underbiträde" är någon tredje part som anlitas av Personuppgiftsbiträde eller av en av Personuppgiftsbiträdets Underbiträden, för att behandla Personuppgifter på uppdrag av den Personuppgiftsansvarig.
1.6 "SCC" avser standardavtalsklausuler för överföring av personuppgifter till
personuppgiftsansvariga som är etablerade i tredjeländer, antagna av Europeiska kommissionen.
1.7 Utöver ovan ska detta Biträdesavtal ha samma definitioner som återges i enlighet med GDPR.
2. Personuppgiftsansvariges rättigheter och skyldigheter
2.1 Den personuppgiftsansvarige ansvarar för att Behandlingen av personuppgifter sker i enlighet med GDPR (se artikel 24 i GDPR), tillämpliga dataskyddsbestämmelser i EU eller medlemsstaterna och detta avtal.
2.2 Den personuppgiftsansvarige har rätten och skyldigheten att fatta beslut om syften och medel för Behandling av personuppgifter.
2.3 Den personuppgiftsansvarige ska bland annat ansvara för att Behandlingen av personuppgifter, som personuppgiftsbiträdet är instruerad att utföra, har en laglig grund och ett giltigt syfte.
3. Personuppgiftsbiträdets skyldigheter
3.1 Personuppgiftsbiträdet samtycker till att följa tillämplig Dataskyddslagstiftning, och annan tillämplig lag i den mån det inte står i konflikt med tillämplig Dataskyddslagstiftning.
3.2 Personuppgiftsbiträdet ska endast Behandla Personuppgifterna i enlighet med de instruktioner som anges i tillägg 1A till detta Biträdesavtal eller andra dokumenterade instruktioner som tillhandahålls av den Personuppgiftsansvarige från tid till annan. Om Dataskyddslagstiftning ställer krav på ytterligare Behandling, ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om sådana rättsliga krav före Behandling, såvida inte detta är förbjudet enligt Dataskyddslagstiftning.
3.3 Om den Personuppgiftsansvariges
anvisningar inkräktar på tillämplig Dataskyddslagstiftning ska Personuppgiftsbiträdet meddela den personuppgiftsansvarige och invänta den personuppgiftsansvariges vidare instruktioner.
3.4 Personuppgiftsbiträdet ska utan onödigt dröjsmål ge Personuppgiftsansvarige tillgång till de Personuppgifter som den har i sin besittning och göra begärda rättelser, radering, begränsningar eller överföringar av Personuppgifterna. Nödvändiga åtgärder för att förhindra återvinning av Personuppgifter ska vidtas efter det att Personuppgiftsansvarig eller Personuppgiftsbiträdet har raderat Personuppgifter.
3.5 Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige i kontakterna med tillsynsmyndigheter. Personuppgiftsbiträdet får inte lämna ut Personuppgifter eller någon information om Behandling av Personuppgifter utan uttryckliga instruktioner från den Personuppgiftsansvarige.
3.6 Om en Registrerad begär information från Personuppgiftsbiträdet rörande Behandling av personuppgifter, ska Personuppgiftsbiträdet vidarebefordra begäran till den Personuppgiftsansvarig och bistå den Personuppgiftsansvarige att besvara sådana förfrågningar i enlighet med Tillämplig dataskyddslagstiftning.
3.7 skaPersonuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje person som utför arbete under övervakning av Personuppgiftsbiträdet och som har tillgång till Personuppgifterna, endast behandlar Personuppgifterna i enlighet med den Personuppgiftsansvariges instruktioner, om inte annat krävs enligt Tillämplig dataskyddslagstiftning.
3.8 Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige med att säkerställa att den Personuppgiftsansvariges skyldigheter enligt tillämplig Dataskyddslagstiftning uppfylls. Detta innebär att i den mån detta är möjligt, bistå Personuppgiftsansvarige med lämpliga tekniska och organisatoriska åtgärder så att Personuppgiftsansvarige kan fullgöra sina skyldigheter vid förfrågningar från de Registrerade, konsekvensbedömningar av
dataskydd ("DPIA") (inklusive förhandssamråd), och i situationer som innebär en personuppgiftsincident, omedelbart meddela den Personuppgiftsansvarige och hjälpa den Personuppgiftsansvarige att anmäla till tillsynsmyndigheten och de berörda Registrerade.Personuppgiftsbiträdet ska föra ett register över all Behandling som utförs för den Personuppgiftsansvariges räkning. På den Personuppgiftsansvariges begäran ska Personuppgiftsbiträdet göra en läsbar avskrift av registret tillgänglig för den Personuppgiftsansvarige i ett allmänt läsbart elektroniskt format. Följande information ska minst ingå:
a) Namn och kontaktuppgifter till Personuppgiftsbiträdet och, i tillämpliga fall, gemensamma Personuppgiftsansvariga, samt Personuppgiftsbiträdets dataskyddsombud med kontaktuppgifter.
b) ändamålen med Behandlingen;
c) en beskrivning av kategorierna av Registrerade och kategorierna av Personuppgifter;
d) de kategorier av mottagare till vilka Personuppgifterna har lämnats ut eller kommer att lämnas ut till;
e) I tillämpliga fall, överföringar av personuppgifter till ett tredjeland inklusive identifiering av detta tredjeland och lämpliga skyddsåtgärder som används för att säkerställa en adekvat skyddsnivå för den Registrerade.
f) En allmän beskrivning av de tekniska och organisatoriska åtgärder som vidtagits för att säkerställa en lämplig säkerhetsnivå.
g) Om möjligt, de planerade tidsfristerna för radering av de olika kategorierna av Personuppgifter.
4. Säkerhet
4.1 Personuppgiftsbiträdet ska genomföra lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda Personuppgifter i enlighet med tillämplig
Dataskyddslagstiftning. Personuppgiftsbiträdet ska iaktta relevanta uppförandekoder, best practice för industrin, och riktlinjer som utfärdas eller godkänns av tillsynsmyndigheter i tillämpliga fall.
4.2 När det är lämpligt ska de tekniska och organisatoriska åtgärderna inbegripa:
a) pseudonymisering och kryptering av personuppgifter,
b) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och
-tjänsterna,
c) förmågan att återställa tillgängligheten och tillgången till Personuppgifter i rimlig tid vid en fysisk eller teknisk incident,
d) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.
4.3 Personuppgiftsbiträdet ska säkerställa att personal, inklusive konsulter och Underbiträden, med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.
5. Personuppgiftsbiträdet ska utan onödigt dröjsmål meddela den Personuppgiftsansvarige efter det att Personuppgiftsbiträdet fått kännedom om oavsiktlig eller olaglig förstörelse, förlust, växling, obehörigt röjande av eller tillgång till Personuppgifter.
6. Revision
6.1 På den Personuppgiftsansvariges begäran ska Personuppgiftsbiträdet förse den Personuppgiftsansvarige med alla uppgifter som krävs för att visa att Personuppgiftsbiträdet har fullgjort sina skyldigheter enligt detta Biträdesavtal, inklusive ett intyg om överensstämmelse med
IT-säkerhetskrav som är tillämpliga på tjänsterna, om sådana finns tillgängliga.
6.2 Den Personuppgiftsansvarige, eller
en tredje part på begäran av den Personuppgiftsansvarige, kan genomföra revisioner för att säkerställa att Personuppgiftsbiträdet följer detta Biträdesavtal och tillämplig Dataskyddslagstiftning. Detta inkluderar tillgång till Personuppgiftsbiträdets fysiska lokaler.
6.3 För att kunna begära en revision måste den Personuppgiftsansvarige lämna in en revisionsplan minst två veckor före det föreslagna granskningsdatumet till Personuppgiftsbiträdet, som beskriver syftet med granskningen, startdatumet samt förväntad omfattning och varaktighet.
6.4 Varje part ska bära sina egna kostnader i samband med revision som begärs av den Personuppgiftsansvarige.
7. Underbiträden
7.1 Personuppgiftsansvarige godkänner att Personuppgiftsbiträdet kan anlita ett Underbiträde.
7.2 Personuppgiftsbiträdet ska informera den Personuppgiftsansvarige innan några Personuppgifter överförs till ett nytt Underbiträde. Efter sådan information meddelats ska den Personuppgiftsansvarige meddela Personuppgiftsbiträdet om dess eventuella invändningar till det nya Underbiträdet. Om Personuppgiftsansvarige inte motsätter sig Underbiträdet inom trettio
(30) dagar efter att ha tagit emot informationen har Personuppgiftsansvarige godkänt Underbiträdet.
7.3 Om den Personuppgiftsansvarige rimligen har invänt mot det nya Underbiträdet, och parterna har misslyckats med att komma överens om en lösning inom rimlig tid, ska den Personuppgiftsansvarige ha rätt att säga upp detta Biträdesavtal och alla avtal som rör Behandlingen med en uppsägningstid som bestäms av den Personuppgiftsansvarige, utan att det påverkar eventuella andra rättsmedel som är tillgängliga enligt lag eller avtal. Under uppsägningsperioden är det inte tillåtet för Personuppgiftsbiträdet att överföra några Personuppgifter till Underbiträdet.
7.4 Personuppgiftsbiträdet ska ingå skriftliga avtal med alla sina Underbiträden
på villkor som motsvarar detta Biträdesavtal, inklusive, utan begränsning, den Personuppgiftsansvariges rätt att genomföra revisioner av Underbiträderna i enlighet med avsnitt 6.3 ovan. Detta innebär att Underbiträdes ska åläggas samma skyldigheter i fråga om dataskydd som de som fastställts i detta Biträdesavtal. Personuppgiftsbiträdet ska förbli fullt ansvarig gentemot den Personuppgiftsansvarige för utförandet eller icke-utförandet av Underbiträdets skyldigheter.
7.5 På den Personuppgiftsansvariges begäran är Personuppgiftsbiträdet skyldig att lämna information avseende eventuell Underbiträden, inklusive namn, adress och den Behandling som utförs av Underbiträdet.
8. Överföring av personuppgifter utanför EU/EES
8.1 Behandling av Personuppgifter enligt detta Biträdesavtal ska endast ske inom EU/EES, om inget annat särskilt har avtalats separat med den Personuppgiftsansvarige.
8.2 Om den Behandling som utförs av Personuppgiftsbiträdet innefattar överföring av Personuppgifter till ett land utanför EU/EES som inte erkänns av Europeiska kommissionen för att ha en adekvat skyddsnivå i enlighet med tillämplig Dataskyddslagstiftning, ska den Personuppgiftsansvarige och Personuppgiftsbiträdet ingå ett kompletterande avtal som innehåller SCC.
8.3 Om Behandling av Personuppgifter enligt detta Biträdesavtal omfattar överföring av Personuppgifter till en Underbiträde som befinner sig i ett land utanför EU/EES som inte är erkänt av Europeiska kommissionen att ha en adekvat skyddsnivå i enlighet med tillämplig Dataskyddslagstiftning, ska Personuppgiftsbiträdet vara berättigad och skyldig att ingå ett kompletterande avtal med Underbiträden som innehåller SCC , i namn och på uppdrag av den Personuppgiftsansvarige, innan några Personuppgifter överförs till Underbiträde. Personuppgiftsbiträdet ska förse
Personuppgiftsansvarig med en kopia av sådant undertecknat SCC-avtal. Om och i den mån detta Biträdesavtal och SCC är motstridiga, ska bestämmelserna i SCC gälla.
9. Avtalstid och upphörande av Avtal
9.1 DettaBiträdesavtal ska träda i kraft samma dag som båda parter undertecknat Biträdesavtalet.
9.2 Biträdesavtalet gäller så länge tjänster för Behandling av Personuppgifter tillhandahålls enligt huvudavtalet.
9.3 Vid uppsägning eller upphörande av de tjänster som gäller Behandlingen ska Personuppgiftsbiträdet returnera alla Personuppgifter till den Personuppgiftsansvarige i ett lämpligt och läsbart format. Personuppgiftsbiträdet ska därefter genom att radera alla Perosnuppgifter se till att det inte finns några Personuppgifter kvar hos Personuppgiftsbiträdet eller någon av dess Underbiträden.
9.4 Detta Biträdesavtal är tillämpligt från dagen för dess utförande och tills alla Personuppgifter återlämnats och raderats i enlighet med avsnitt 8.3 ovan.
10. Tillämplig lag och Tvistelösning
10.1 Detta Biträdesavtal ska tillämpas och tolkas i enlighet med svensk rätt. Tvister ska avgöras i svensk domstol. .
Appendix 1 - Instruktioner för att behandla personuppgifter
Personuppgiftsansvariges instruktioner till Personuppgiftsbiträdet.
1. Bearbetningens natur och syften
Behandlingen av Personuppgifter är nödvändig för följande ändamål:
● Tillhandahålla de produkter och tjänster som anges i mellan parterna träffat huvudavtal.
● Kommunicera information kopplat till de produkter och tjänster som anges i huvudavtalet genom exempelvis digitala nyhetsbrev och utskick.
2. Kategorier av Personuppgifter
De personuppgifter som kommer att behandlas faller inom följande kategorier:
● Namn
● Telefonnummer
● IP-adress
● Enhetsinformation
3. Registrerade
De Personuppgifter som ska behandlas gäller följande kategorier av Registrerade:
● Anställd och inhyrd personal till Personuppgiftsansvarig.
4. Plats för behandling av personuppgifter
Personuppgifter behandlas av Personuppgiftsbiträdet och dess Underbiträden inom EU/EES och inget annat särskilt har avtalats.
5. Säkerhet
Med förbehåll för tillämpliga begränsningar garanterar Personuppgiftsbiträdet att Tjänsten enligt huvudavtalet ska uppfylla kraven för att vara kompatibel för att behandla Personuppgifter enligt tillämplig Dataskyddslagstiftning, och att Personuppgiftsbiträdet kommer att radera eventuella Personuppgifter i enlighet med Personuppgiftsansvariges instruktioner och att Personuppgiftsbiträdet säkerställer spårbarhet i utförandet av sitt arbete som Personuppgiftsansvarige kan granska.
6. Tidsgräns för lagring
Personuppgifterna får användas under avtalsperioden samt:
● Efter utgången eller uppsägningen av avtalet ska Personuppgiftsbiträdet returnera och/eller permanent radera alla Personuppgifter (se Biträdesavtal). Den fullständiga permanenta raderingen ska ske så snart som möjligt från Personuppgiftsbiträdets begäran och senast inom sextio (60) dagar från begäran.
7. I förväg godkända Underbiträden
Underbiträde | Geografisk plats för servers | Ändamål |
EU/EES | Servers, Backups | |
Auth0 | EU/EES | Autentisering |
Mixpanel | EU/EES | Analys, utveckling och support |
Adobe | EU/EES | Filhantering |
PostHog | EU/EES | Analys, utveckling och support |