PERSONUPPGIFTSBITRÄDESAVTAL

Bilaga

Detta personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtalet”) utgör en bilaga till de vid var tid gällande Allmänna villkoren för Unseald CDP (”Huvudavtalet”) som reglerar förhållandet mellan Personuppgiftsbiträdet och Personuppgiftsansvarige.

De definitioner som används i Huvudavtalet ska ha motsvarande innebörd i detta Personuppgiftsbiträdesavtal. Vid motsägelser eller avvikelser mellan detta Personuppgiftsbiträdesavtal och Huvudavtalet ska bestämmelserna i detta Personuppgiftsbiträdesavtal ha företräde i den utsträckning motsägelsen avser behandling av personuppgifter eller dataskyddsåtgärder.

Definitioner

I den mån Europaparlamentets och rådets förordning (EU) 2016/679, hädanefter dataskyddsförordningen, innehåller begrepp som motsvarar dem som används i Avtalet ska sådana begrepp tolkas och tillämpas i enlighet med dataskyddsförordningen.

I detta Personuppgiftsbiträdesavtal ska nedan angivna termer ha följande betydelse:

Med Personuppgiftsbiträdesavtal avses detta dokument.

Med Behandling avses en åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Med Parterna avses gemensamt Personuppgiftsbiträdet och Personuppgiftsansvarig.

Med Personuppgift avses varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Med Personuppgiftsbiträde avses Unseald AB med organisationsnummer 559328–5363 som på uppdrag av Personuppgiftsansvarig ska Behandla Personuppgifter.

Med Personuppgiftsincident avses en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt Behandlats.

Med Tillämpliga bestämmelser avses bestämmelser och praxis hänförlig till dataskyddsförordningen, nationell kompletteringslagstiftning till dataskyddsförordningen, tillsynsmyndigheters inklusive Europeiska dataskyddsstyrelsen föreskrifter och yttranden och kommissionens rättsakter på personuppgiftsområdet.

Med Tredjeland avses ett land utanför EU/EES.

Med Underbiträde avses den som Behandlar Personuppgifter enligt instruktioner av Personuppgiftsbiträdet.

1 Syfte

Personuppgiftsbiträdet har genom Avtalet och detta Personuppgiftsbiträdesavtal förbundit sig att Behandla Personuppgifter för Personuppgiftsansvariges räkning. Parterna har kommit överens om att reglera omfattningen och den närmare utformningen av Behandlingen genom upprättandet av detta Personuppgiftsbiträdesavtal.

2 Personuppgiftsansvariges skyldigheter

2.1 Behandling i enlighet med Tillämpliga bestämmelser

2.1.1 Behandling enligt Avtalet och Tillämpliga bestämmelser

Personuppgiftsansvarige ansvarar för att all Behandling av Personuppgifter sker i enlighet med Personuppgiftsbiträdesavtalet och Tillämpliga bestämmelser.

2.1.2 Tillhandahållande av Personuppgifter

Personuppgiftsansvarige ska tillhandahålla Personuppgiftsbiträdet med den information och de Personuppgifter som behövs och är ändamålsenliga för att denne ska kunna fullgöra sina skyldigheter enligt Avtalet, Personuppgiftsbiträdesavtalet och Tillämpliga bestämmelser.

2.1.3 Korrekta uppgifter

Om Personuppgiftsbiträdet saknar eller anser sig ha mottagit felaktiga instruktioner från Personuppgiftsansvarige ska Personuppgiftsbiträdet utan onödigt dröjsmål underrätta Personuppgiftsansvarige därom och upphöra med den berörda Behandlingen tills Personuppgiftsbiträdet erhåller tydliga och korrekta instruktioner.

2.2 Dokumenterade instruktioner

Personuppgiftsbiträdet får endast samla in Personuppgifter i enlighet med instruktioner utfärdade av Personuppgiftsansvarige. Eftersom Personuppgiftsbiträdet tillhandahåller verktyg för insamling av Personuppgifter, är det Personuppgiftsansvariges ansvar att säkerställa att Behandlingen sker på laglig grund i enlighet med Dataskyddsförordningens krav. Personuppgiftsbiträdet behandlar endast personuppgifter i syfte att tillhandahålla, drifta och utveckla Tjänsten samt för att uppfylla sina skyldigheter enligt Huvudavtalet.

2.3 Samtycke och informationsskyldighet

Personuppgiftsansvarige ansvarar för att nödvändig information lämnas till registrerade och att eventuellt samtycke inhämtas enligt tillämplig dataskydds- och cookie-lagstiftning innan insamling av personuppgifter sker genom de tekniska lösningar som tillhandahålls inom ramen för tjänsten.

Personuppgiftsbiträdet förlitar sig på att sådan information och samtyckeshantering sker innan behandling påbörjas. Personuppgiftsbiträdet har ingen självständig skyldighet att inhämta samtycke från registrerade eller att visa cookie- eller samtycksbanner i samband med användningen av tjänsten.

3 Personuppgiftsbiträdets ansvarsområden

3.1 Behandling av Personuppgifter

3.1.1 Behandling enligt Personuppgiftsbiträdesavtalet och Tillämpliga bestämmelser

Personuppgiftsbiträdet ska endast Behandla Personuppgifter för Personuppgiftsansvariges räkning enligt Personuppgiftsbiträdesavtalet och Tillämpliga bestämmelser. Personuppgiftsbiträdet får inte utan Personuppgiftsansvariges samtycke, föreläggande från relevant tillsynsmyndighet eller tvingande lagstiftning

  • samla in eller lämna ut Personuppgifter från eller till någon tredje part om inte annat skriftligen överenskommits,
  • ändra metod för Behandling,
  • kopiera eller återskapa Personuppgifter eller
  • på något annat sätt Behandla Personuppgifter för andra ändamål än dem som anges i de dokumenterade instruktionerna.

3.1.2 Lagring och gallring

Personuppgiftsbiträdet ska säkerställa att de grundläggande principerna för Behandling av Personuppgifter efterlevs, däribland särskilt lagringsminimering. Personuppgiftsbiträdet ansvarar för att Personuppgifter som inte längre behövs för ändamålet gallras. Den Personuppgiftsansvarige ska upprätta rutiner för hur Personuppgifter gallras, vilka Personuppgifter som gallras och hur ofta gallring ska ske.

3.1.3 Överföring av Personuppgifter till Tredjeland

Vid överföring av Personuppgifter till Tredjeland ansvarar Personuppgiftsbiträdet för att överföringen och Behandlingen sker enligt Tillämpliga bestämmelser. Överföring får endast ske om laglig överföringsmekanism finns, såsom beslut om adekvat skyddsnivå eller Europeiska kommissionens standardavtalsklausuler i tillämplig modul tillsammans med nödvändiga kompletterande skyddsåtgärder baserat på en överföringsbedömning.

  • Personuppgiftsansvarige lämnar härmed ett generellt godkännande till att Personuppgiftsbiträdet anlitar underbiträden i tredjeland under förutsättning att ovanstående krav uppfylls. Personuppgiftsbiträdet ska underrätta Personuppgiftsansvarige om tillägg eller ändring av mottagare eller underbiträde i tredjeland på lämpligt sätt, exempelvis genom information på Personuppgiftsbiträdets webbplats eller i annan kanal som Parterna använder för avtalsrelaterad kommunikation. Personuppgiftsansvarige har rätt att inom trettio (30) dagar från sådan underrättelse framföra motiverad invändning.
  • Personuppgiftsbiträdet ska dokumentera vald överföringsmekanism samt vidtagna skyddsåtgärder och hålla en uppdaterad förteckning över underbiträden och mottagare i tredjeland tillgänglig på sin webbplats. Uppdateringar av förteckningen utgör inte en ändring av detta Avtal.

3.1.4 Skriftligt samtycke vid överföring

En överföring som inte omfattas av ovanstående kräver Personuppgiftsansvariges skriftliga samtycke och ett säkerställande av att sådan överföring sker i överensstämmelse med Tillämpliga bestämmelser.

3.1.5 Genomförande av förändringar

Personuppgiftsbiträdet ska genomföra ändringar, raderingar, begränsningar och överföringar på Personuppgiftsansvariges uttryckliga begäran, dock inte om en sådan begäran strider mot Personuppgiftsbiträdesavtalet eller Tillämpliga bestämmelser.

3.2 Tekniska och organisatoriska åtgärder

3.2.1 Vidta tekniska och organisatoriska åtgärder

Med beaktande av den senaste utvecklingen, genomförandekostnaderna och Behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska Personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken inbegripet, när det är lämpligt,

  • pseudonymisering och kryptering av Personuppgifter
  • förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos Behandlingssystemen och -tjänsterna,
  • förmågan att återställa tillgängligheten och tillgången till Personuppgifter i rimlig tid vid en fysisk eller teknisk incident,
  • ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa Behandlingens säkerhet.
  • Personuppgiftsbiträdet ska säkerställa att endast de personer som behöver tillgång till personuppgifter för att kunna fullgöra sina arbetsuppgifter ges sådan åtkomst. Samtliga personer som behandlar personuppgifter för Personuppgiftsbiträdets räkning omfattas av sekretessförpliktelse, antingen genom lag, avtal eller motsvarande.

3.3 Upprättande av förteckning

3.3.1 Upprätta en förteckning

Personuppgiftsbiträdet ska föra en förteckning över alla kategorier av Behandling som utförs för Personuppgiftsansvariges räkning, som omfattar följande:

  • Namn och kontaktuppgifter för Personuppgiftsbiträdet och Personuppgiftsansvarige för vars räkning Personuppgiftsbiträdet agerar, och, i tillämpliga fall, för Personuppgiftsansvariges eller Personuppgiftsbiträdets företrädare samt dataskyddsombudet.
  • De kategorier av Behandling som har utförts för Personuppgiftsansvariges räkning.
  • I tillämpliga fall, överföringar av Personuppgifter till ett Tredjeland eller en internationell organisation, inbegripet identifiering av Tredjelandet eller den internationella organisationen och dokumentationen av lämpliga skyddsåtgärder.
  • Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna.

3.3.2 Skriftlig förteckning

Personuppgiftsbiträdet ska upprätta förteckningen skriftligen, inbegripet i elektronisk form.

3.4 Underrättelseskyldighet

3.4.1 Underrättelse

Personuppgiftsbiträdet ska utan onödigt dröjsmål underrätta Personuppgiftsansvarige i händelse av att Personuppgiftsbehandlingen strider mot Personuppgiftsbiträdesavtalet, dataskyddsförordningen eller annan lagstiftning. Personuppgiftsbiträdet ska därefter invänta instruktioner från Personuppgiftsansvarige.

3.5 Information

3.5.1 Utlämnande av Personuppgifter

Personuppgiftsbiträdet får inte lämna ut Personuppgifter eller information om Behandlingen av Personuppgifter utan medgivande i förväg från Personuppgiftsansvarige utom för det fall föreläggande finns därom från relevant tillsynsmyndighet eller om Personuppgiftsbiträdet är skyldig att göra det enligt Tillämpliga bestämmelser.

3.5.2 Underrättelseskyldighet vid kontakt

Personuppgiftsbiträdet ska utan onödigt dröjsmål meddela Personuppgiftsansvarige om Personuppgiftsbiträdet kontaktas av behörig tillsynsmyndighet, registrerad eller tredje part i syfte att få tillgång till Personuppgifter som Personuppgiftsbiträdet Behandlar.

3.6 Revision

3.6.1 Kontroll av efterlevnad

Personuppgiftsansvarige har rätt att en gång per tolvmånadersperiod, samt vid välgrundad misstanke om bristande efterlevnad, efter skriftligt förhandsmeddelande om minst sextio (60) kalenderdagar, genomföra eller låta genomföra revision av Personuppgiftsbiträdets efterlevnad av detta Personuppgiftsbiträdesavtal. Parterna ska i god tid samråda om revisionens omfattning, metod och tidsplan. Personuppgiftsansvarige står för sina egna kostnader och ska ersätta Personuppgiftsbiträdets för på förhand överenskomna kostnader som uppstår till följd av revisionen. Om Personuppgiftsansvarige anlitar en extern part för att genomföra revisionen ska Personuppgiftsansvarige säkerställa att den externa parten, innan revisionen påbörjas, åtar sig sekretessförpliktelser som är minst lika omfattande som dem som gäller för Parterna enligt detta Personuppgiftsbiträdesavtal och Avtalet.

3.6.2 Tillgång till lokaler och utrustning

Personuppgiftsbiträdet ska bereda Personuppgiftsansvarige tillgång till lokaler och utrustning för inspektion i syfte att säkerställa att Personuppgiftsbiträdet uppfyller sina skyldigheter enligt Personuppgiftsbiträdesavtalet och Tillämpliga bestämmelser. Personuppgiftsansvarige har dock inte sådan rätt när tillgången och/eller inspektionen kan medföra säkerhets- eller integritetsrisker för de registrerade.

3.6.3 Visa efterlevnad av Personuppgiftsbiträdesavtalet och Tillämpliga bestämmelser

Personuppgiftsbiträdet ska på begäran och utan onödigt dröjsmål visa att förpliktelserna enligt Personuppgiftsbiträdesavtalet och Tillämpliga bestämmelser efterlevs. Detta innefattar bland annat men inte uteslutande, en skyldighet att tillhandahålla dokumentation, möjliggöra och bidra till att Personuppgiftsansvarige kan utföra nödvändiga granskningar och inspektioner.

3.6.4 Tillgång till Personuppgifter

Personuppgiftsbiträdet ska ge Personuppgiftsansvarige tillgång till alla de Personuppgifter som Personuppgiftsbiträdet Behandlar för Personuppgiftsansvariges räkning. Detta innefattar även tillgång till upplysningar och handlingar som Personuppgiftsansvarige behöver för att utöva kontroll över Personuppgiftsbiträdets efterlevnad av Personuppgiftsbiträdesavtalet och Tillämpliga bestämmelser. En sådan tillgång ska ges utan oskäligt dröjsmål, men inte senare än tjugo (20) dagar från Personuppgiftsansvariges uttryckliga och skriftliga begäran.

  • Personuppgiftsbiträdet är dock inte skyldig att ge tillgång till Personuppgifter, upplysningar eller handlingar som Personuppgiftsansvarige på egen hand har tillgång till genom de tjänster som Personuppgiftsbiträdet tillhandahåller.

3.7 Säkerhet och sekretess

3.7.1 Utvärdera risker

Personuppgiftsbiträdet ska utvärdera riskerna med Behandlingen och vidta åtgärder, såsom kryptering, för att minska dem. Åtgärderna bör säkerställa en lämplig säkerhetsnivå, inbegripet konfidentialitet, med beaktande av den senaste utvecklingen och genomförandekostnader i förhållande till riskerna och vilken typ av Personuppgifter som ska skyddas.

3.7.2 Vidta säkerhetsåtgärder

Personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje fysisk person och juridisk person som utför arbete under Personuppgiftsbiträdets överinseende, och som får tillgång till Personuppgifter, endast Behandlar dessa på instruktion från den Personuppgiftsansvarige.

  • Säkerhetsåtgärderna omfattar såväl tekniska som organisatoriska åtgärder. Omfattningen av åtgärderna ska vidtas med beaktande av den senaste utvecklingen, genomförandekostnaderna och Behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter. Den säkerhetsnivå som ska säkerställas ska vara lämplig i förhållande till riskerna.

3.7.3 Tillräcklig kunskap och utbildning

Personuppgiftsbiträdet ansvarar för att varje fysisk person som har tillgång till Personuppgifterna som Behandlas enligt Personuppgiftsbiträdesavtalet har tillräckliga kunskaper för att på ett säkert och ändamålsenligt sätt Behandla Personuppgifterna.

3.7.4 Förändringar av Personuppgiftsbehandling

Om Personuppgiftsbiträdet avser att genomföra förändringar av hur Personuppgifter Behandlas eller i övrigt genomföra förändringar som kan påverka säkerheten för de registrerade, de registrerades rättigheter eller efterlevnaden av Personuppgiftsbiträdesavtalet eller gällande rätt ska Personuppgiftsbiträdet skriftligen informera Personuppgiftsansvarige i förväg. Personuppgiftsansvarige ska ge sitt samtycke till sådana förändringar.

3.7.5 Sekretess och tystnadsplikt

Personuppgiftsbiträdet förbinder sig att Behandla Personuppgifter och annan information som uppvisar samband med Personuppgiftsbiträdesavtalet i enlighet med gällande sekretesslagstiftning och Tillämpliga bestämmelser. Personalen som Behandlar Personuppgifter har ingått särskilda sekretessförbindelser samt upplysts om att tystnadsplikt föreligger enligt Avtalet, Personuppgiftsbiträdesavtalet eller nationell rätt.

3.7.6 Ändamålsenliga sekretessåtaganden

Personuppgiftsbiträdet ska tillse att samtliga anställda, konsulter och övriga som Personuppgiftsbiträdet svarar för och som Behandlar Personuppgifter är bundna av ett ändamålsenligt sekretessåtagande samt att de är informerade om hur Behandling av Personuppgifterna får ske.

3.7.7 Information till personer med åtkomst

Personuppgiftsbiträdet ansvarar för att de personer som har åtkomst till Personuppgifterna är informerade om hur de får Behandla Personuppgifterna i enlighet med de dokumenterade instruktionerna från Personuppgiftsansvarige. Personuppgiftsbiträdet ska även säkerställa en adekvat behörighetsstyrning.

3.8 Personuppgiftsincidenter

3.8.1 Vidta skadebegränsande åtgärder

Vid en misstänkt eller upptäckt Personuppgiftsincident ska Personuppgiftsbiträdet omedelbart undersöka incidenten och vidta lämpliga åtgärder för att mildra dess potentiella negativa effekter.

3.8.2 Beskrivning av Personuppgiftsincident

Om Personuppgiftsansvarige begär det ska en beskrivning av Personuppgiftsincidenten lämnas till Personuppgiftsansvarig inom sjuttiotvå (72) timmar. En sådan beskrivning ska åtminstone innehålla

3.8.3 Bistå med skyldigheter gällande Personuppgiftsincidenter

Personuppgiftsbiträdet ska bistå Personuppgiftsansvarige med att se till att dennes skyldigheter enligt Tillämpliga bestämmelser om Personuppgiftsincidenter fullgörs, med beaktande av typen av Behandling och den information som Personuppgiftsbiträdet har att tillgå. Detta gäller även om Personuppgiftsansvarige misstänkt eller upptäckt en Personuppgiftsincident.

3.8.4 Underrättelse om Personuppgiftsincident

Personuppgiftsbiträdet ska underrätta Personuppgiftsansvarige utan onödigt dröjsmål, dock senast inom sjuttiotvå (72) timmar, efter att ha fått vetskap om en Personuppgiftsincident.

3.8.5 Information om Personuppgiftsincident

En underrättelse enligt ovan ska innehålla all den information som Personuppgiftsansvarige behöver för att uppfylla sina skyldigheter i förhållande till tillsynsmyndigheten.

3.8.6 Ovillkorlig underrättelseskyldighet

Ovanstående underrättelseskyldighet till Personuppgiftsansvarige gäller även om Personuppgiftsbiträdet av någon annan anledning inte kan uppfylla åtaganden enligt Personuppgiftsbiträdesavtalet eller de dokumenterade instruktionerna alternativt får kännedom om att Personuppgifter har Behandlats i strid med Personuppgiftsbiträdesavtalet.

3.9 Bistå Personuppgiftsansvarige

3.9.1 Konsekvensbedömningar och förhandssamråd

Personuppgiftsbiträdet ska vid behov och på begäran bistå Personuppgiftsansvarige med fullgörande av de skyldigheter som denne har och som härrör från bestämmelserna i dataskyddsförordningen angående utförandet av konsekvensbedömningar avseende dataskydd och förhandssamråd med tillsynsmyndigheten.

3.9.2 Fullgörande av skyldigheter gällande registrerades rättigheter

Personuppgiftsbiträdet ska vid behov och på begäran bistå den Personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att den Personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter enligt dataskyddsförordningen.

3.9.3 Kostnader för Personuppgiftsbiträdets bistånd gentemot Personuppgiftsansvarige

Personuppgiftsbiträdet äger rätt att debitera skälig ersättning för sådant bistånd enligt punkterna i 3.8 och 3.9, enligt sina vid var tid gällande konsulttaxor, såvida Parterna inte skriftligen har avtalat om annat.

4 Personuppgiftsbiträdets anlitande av Underbiträde

4.1 Generellt tillstånd för anlitande av Underbiträde

Personuppgiftsansvarige lämnar härmed ett generellt, skriftligt förhandsgodkännande för Personuppgiftsbiträdets anlitande av Underbiträden. Personuppgiftsbiträdet ska hålla en uppdaterad och tillgänglig förteckning över samtliga Underbiträden. Aktuell förteckning över Underbiträden lämnas av Personuppgiftsbiträdet till Personuppgiftsansvarige vid förfrågan.

4.2 Riskfördelning

Personuppgiftsbiträdets anlitande av Underbiträde sker på egen risk. Det medför ingen förändring beträffande den ansvarsfördelning som gäller mellan Parterna enligt Personuppgiftsbiträdesavtalet.

4.3 Tillräcklig skyddsnivå

Om Personuppgiftsansvarige godkänner Personuppgiftsbiträdets ansökan om anlitande av Underbiträde ska Personuppgiftsbiträdet vidta de åtgärder som krävs för att säkerställa att Underbiträdet upprätthåller en tillräcklig skyddsnivå för de Personuppgifter som Behandlas samt i övrigt följer tillämpliga delar av Personuppgiftsbiträdesavtalet och gällande dataskyddslagstiftning.

4.4 Kundaktiverade mottagare

För tydlighets skull klargör Parterna att mottagare, plattformar eller andra externa system som Personuppgiftsansvarige själv väljer, ansluter eller aktiverar via tjänsten inte ska anses utgöra Personuppgiftsbiträdets Underbiträden. Personuppgiftsbiträdet tillhandahåller endast de tekniska gränssnitt och funktioner som möjliggör överföring eller aktivering av Personuppgifter i enlighet med Personuppgiftsansvariges dokumenterade instruktioner och utövar ingen självständig kontroll över ändamål eller medel för behandlingen hos sådana mottagare.

Personuppgiftsansvarige ansvarar för att sådan aktivering eller överföring sker lagligt, inklusive att erforderliga avtal och överföringsmekanismer finns med respektive mottagare samt att informationsskyldighet gentemot de registrerade uppfylls enligt Tillämpliga bestämmelser.

Personuppgiftsbiträdet behandlar inte Personuppgifter för egen räkning i samband med dessa aktiveringar eller överföringar och mellanlagrar inte uppgifterna annat än vad som krävs för att tekniskt möjliggöra processen enligt tjänstens funktion.

4.5 Betalningsleverantör

För hantering av betalningar använder Personuppgiftsbiträdet betalningsleverantören Stripe. Stripe behandlar personuppgifter i egenskap av självständig personuppgiftsansvarig för att möjliggöra betalningstransaktioner och uppfylla sina egna rättsliga skyldigheter som betaltjänstleverantör.

Personuppgiftsbiträdet ansvarar inte för Stripes behandling av personuppgifter men informerar Personuppgiftsansvarige om att sådan behandling sker i enlighet med Stripes vid var tid gällande integritetspolicy, tillgänglig via Stripes officiella webbplats.

4.6 Underrättelse om anlitande eller byte av Underbiträde

Personuppgiftsbiträdet ska underrätta Personuppgiftsansvarige skriftligen minst trettio (30) kalenderdagar före tillägg eller byte av Underbiträde. Personuppgiftsansvarige äger rätt att inom denna tidsfrist meddela motiverade invändningar. Om Parterna inte kan lösa invändningen inom trettio (30) kalenderdagar från det att Personuppgiftsbiträdet mottagit invändningen äger Parterna rätt att säga upp Avtalet och detta Personuppgiftsbiträdesavtal med trettio (30) dagars uppsägningstid.

5 Ansvar för skada

5.1 Personuppgiftsbiträdets ansvar

Personuppgiftsbiträdet ska i förhållande till Personuppgiftsansvarige ansvara för skada uppkommen till följd av Behandling av Personuppgifter endast om denne inte har fullgjort de skyldigheter enligt Tillämpliga bestämmelser som specifikt riktar sig till Personuppgiftsbiträdet eller agerat utanför eller i strid med Personuppgiftsbiträdesavtalet.

Personuppgiftsbiträdet ska undgå ansvar enligt ovan om det visar att det inte på något sätt är ansvarigt för den händelse som orsakade skadan.

5.2 Personuppgiftsansvariges ansvar

Personuppgiftsansvarige ska ersätta Personuppgiftsbiträdet för de anspråk som riktas mot Personuppgiftsbiträdet, under förutsättning att anspråket har sin grund i Personuppgiftsansvariges bristfälliga eller felaktiga instruktioner till Personuppgiftsbiträdet.

5.3 Ansvar gentemot registrerade

Parternas ansvar i förhållande till de registrerade följer de ansvarsbegränsningar som anges i Avtalet. Ingenting i denna klausul eller i Avtalet ska tolkas som att inskränka de rättigheter som följer av artikel 82 GDPR. Parternas ansvar enligt detta Personuppgiftsbiträdesavtal ska vara begränsat i enlighet med den ansvarsbegränsning som framgår av Huvudavtalet, om inte annat följer av tvingande lag.

6 Avtalets varaktighet samt ändringar i Personuppgiftsbiträdesavtalet

6.1 Varaktighet

Personuppgiftsbiträdesavtalet gäller från dess att det har undertecknats av Parterna och under den tid Personuppgiftsbiträdet Behandlar Personuppgifter i enlighet med Personuppgiftsansvariges instruktioner.

6.2 Återlämnande eller radering av Personuppgifter

Efter det att Behandlingen på Personuppgiftsansvariges vägnar har avslutats, ska Personuppgiftsbiträdet återlämna eller radera Personuppgifterna, såvida inte lagring av Personuppgifterna krävs enligt lag som Personuppgiftsbiträdet omfattas av. Om Personuppgifterna ska återlämnas ska det ske utan onödigt dröjsmål och i ett allmänt och läsbart elektroniskt format.

Vid Avtalets upphörande ska Personuppgiftsbiträdet, på begäran av Personuppgiftsansvarige, radera eller återlämna alla personuppgifter som behandlats inom ramen för Tjänsten. Om sådan begäran inte görs inom trettio (30) dagar efter avtalets upphörande har Personuppgiftsbiträdet rätt att radera uppgifterna permanent.

6.3 Personuppgiftsansvariges rätt att företa ändringar

Personuppgiftsansvarige får endast företa ändringar i Personuppgiftsbiträdesavtalet i den mån det behövs för att efterleva Tillämpliga bestämmelser.

6.4 Förändring av Personuppgiftsbiträdesavtalet

En förändring av Personuppgiftsbiträdesavtalet börjar gälla trettio (30) dagar efter att underrättelsen om ändring kommit Personuppgiftsbiträdet tillhanda. Personuppgiftsbiträdet äger rätt att inom denna tidsfrist meddela motiverade invändningar. Om Parterna inte kan lösa invändningen inom trettio (30) kalenderdagar från det att Personuppgiftsansvarige mottagit invändningen äger Parterna rätt att säga upp Avtalet och detta Personuppgiftsbiträdesavtal med trettio (30) dagars uppsägningstid.

6.5 Personuppgiftsbiträdets rätt att företa ändringar

Personuppgiftsbiträdet har rätt att föreslå ändringar i Personuppgiftsbiträdesavtalet. Sådana ändringar träder i kraft efter skriftligt godkännande från Personuppgiftsansvarige eller, om ingen invändning sker inom trettio (30) dagar, anses de vara accepterade. Om Parterna inte kan lösa invändningen inom trettio (30) kalenderdagar från det att Personuppgiftsbiträdet mottagit invändningen äger Parterna rätt att säga upp Avtalet och detta Personuppgiftsbiträdesavtal med trettio (30) dagars uppsägningstid.

6.6 Samtycke vid nya typer av Behandlingar

För det fall Personuppgiftsansvarige avser att utöka Personuppgiftsbiträdets Behandling av Personuppgifter till att avse nya typer av Behandlingar kräver detta Personuppgiftsbiträdets uttryckliga samtycke.

7 Tvist

Detta Personuppgiftsbiträdesavtal ska tolkas och tillämpas i enlighet med svensk rätt.

Tvist som uppstår i anledning av eller i samband med detta Personuppgiftsbiträdesavtal eller Parternas behandling av personuppgifter ska slutligt avgöras genom skiljeförfarande administrerat av Stockholms Handelskammares Skiljedomsinstitut (SCC). Reglerna för Förenklat skiljeförfarande ska tillämpas, om inte SCC med hänsyn till tvistens värde, komplexitet eller övriga omständigheter beslutar att Regler för Skiljeförfarande ska tillämpas.

Säte för skiljeförfarandet ska vara Stockholm, Sverige, och språket ska vara svenska.

Parterna åtar sig att inte avslöja information som framkommer under skiljeförfarandet. Domen är slutlig och bindande för båda Parter.

8 Undertecknande

Detta Personuppgiftsbiträdesavtal kan ingås genom (i) digital signatur, (ii) elektroniskt godkännande i samband med registrering, anslutning till Plattformen eller betalning via Unsealds plattform eller därtill ansluten betalningslösning, eller (iii) genom undertecknande av ett separat Tilläggsavtal eller annat skriftligt avtal som hänvisar till detta Personuppgiftsbiträdesavtal.

För kunder som registrerar sig via Unsealds plattform eller via betalning genom Stripe anses detta avtal ingånget automatiskt i samband med att kontot aktiveras eller betalning genomförs. Vid digital signering sker undertecknande i enlighet med Europaparlamentets och rådets förordning (EU) nr 910/2014 (eIDAS). Vid elektroniskt godkännande anses detta Personuppgiftsbiträdesavtal bindande från den tidpunkt då Kunden godkänt villkoren och bekräftat att denne tagit del av de Allmänna villkoren samt detta Personuppgiftsbiträdesavtal. Unseald sparar bekräftelsen elektroniskt som bevis på avtalets ingående.

9 Hela avtalet och skiljbarhet

9.1 Hela avtalet

Detta Avtal, tillsammans med Huvudavtalet och eventuella bilagor, utgör parternas fullständiga reglering av frågor rörande behandling av personuppgifter.

9.2 Skiljbarhet

Om någon bestämmelse i detta Avtal skulle befinnas ogiltig eller inte kunna verkställas ska detta inte påverka giltigheten av övriga bestämmelser. En sådan bestämmelse ska i stället tolkas på ett sätt som ligger så nära den ursprungliga avsikten som möjligt.

INSTRUKTIONER

Underbilaga till Personuppgiftsbiträdesavtal

Som tillägg till de instruktioner till Personuppgiftsbiträdet som i övrigt framgår av detta Personuppgiftsbiträdesavtal ska de instruktioner och den information som följer nedan iakttas vid Behandling av Personuppgifterna. Uppdatering av dessa instruktioner kan göras via e-post till utsedd kontaktperson, för det fall båda Parter bekräftar den uppdaterade skrivningen.

Behandlingens syfte

Personuppgiftsbiträdet Behandlar Personuppgifterna för att leverera tjänster till Personuppgiftsansvarig. Behandling ska även ske för felsökning, åtgärdande av fel, att hålla tjänsten uppdaterad, att säkerställa att tjänsten fungerar, samt för att förbättra användarproduktivitet, tillförlitlighet, effektivitet, kvalitet och säkerhet avseende tjänsten. Personuppgiftsbiträdet kan även komma att Behandla Personuppgifter på andra sätt när Personuppgiftsbiträdet utför tjänster i enlighet med Avtalet eller senare skriftliga överenskommelser mellan Parterna.

Kategorier av Personuppgifter

Följande Personuppgifter ska Behandlas av Personuppgiftsbiträdet:

  • Namn
  • Adress
  • E-postadress
  • Telefonnummer
  • Kön
  • Platsinformation
  • Uppgifter om enhet (till exempel typ, operativsystem, webbläsare)
  • IP-adress och annan tekniska metadata
  • Identifierare såsom kund-ID, cookie-ID, användar-ID eller annons-ID
  • Användarbeteende på webbplats, e-handel och andra digitala kanaler
  • Kommunikationsinteraktioner (till exempel öppningar, klick, avregistreringar)
  • Köpbeteende och transaktionshistorik (till exempel ordervärde, produktkategorier, varukorgar)
  • Preferenser och intressen baserat på användarens aktivitet

Kategori/kategorier av registrerade

Personuppgiftsbiträdet ska Behandla Personuppgifter för följande kategorier av registrerade:

  1. Användare av tjänsten, vilka utgörs av Personuppgiftsansvariges anställda och konsulter, samt andra personer vars Personuppgifter Personuppgiftsansvarige väljer att Behandla inom ramen för tjänsten.
  2. Slutanvändare som förekommer inuti tjänsten, vilka utgörs av personer som är kunder till Personuppgiftsansvarige och som lämnat medgivande till att deras Personuppgifter Behandlas för det syfte som tjänsten avser.

Behandlingens art och natur

Behandlingen omfattar, genom tjänsten, lagring, organisering, strukturering, anpassning, hämtning, sammanställning, delning, radering, felsökning, support och annan bearbetning av den information som skickas till/laddas upp/läggs in/skapas och på annat sätt hanteras av Personuppgiftsansvarige, i tillämpliga fall Personuppgiftsansvariges kund, samt Personuppgiftsbiträdet inom ramen för tjänsten. Loggar som genereras automatiskt vid användning av tjänsten (till exempel systemloggar och säkerhetsloggar) kan behandlas i syfte att säkerställa drift, felsökning och informationssäkerhet.

Behandlingens varaktighet

Behandlingen ska fortgå så länge Avtalet föreskriver, eller för att Behandlingen är nödvändig enligt tillämplig lagstiftning.