Personuppgiftsbiträdesavtal
Senast uppdaterad: 2020-12-11.
Önskas en e-signerad version av detta avtal? Vänligen kontakta: info@leadpilot.com.
Avtal enligt dataskyddsförordningen (EU 2016/679).
Önskas en e-signerad version av detta avtal? Vänligen kontakta: info@leadpilot.com.
Avtal enligt dataskyddsförordningen (EU 2016/679).
Parter
Personuppgiftsansvarig
Bolagsnamn: Organisationsnummer:
Postadress: Postnr + Postort:
Namn på personuppgiftsansvarig: E-postadress:
Personuppgiftsbiträde
Bolagsnamn: Organisationsnummer:
LeadPilot AB 559203-9704
Postadress: Postnr + Postort:
Sankt Eriksgatan 63 B 112 34 Stockholm
Bolagsnamn: Organisationsnummer:
Postadress: Postnr + Postort:
Namn på personuppgiftsansvarig: E-postadress:
Personuppgiftsbiträde
Bolagsnamn: Organisationsnummer:
LeadPilot AB 559203-9704
Postadress: Postnr + Postort:
Sankt Eriksgatan 63 B 112 34 Stockholm
Definitioner
Avtalet
Detta huvuddokument och vid var tid gällande bilagor, vilket inkluderar användarvillkoren.
Personuppgift
Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Behandling
En åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Personuppgiftsincident
En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt Behandlats.
Tillämplig lag
Bestämmelser och praxis hänförlig till Dataskyddsförordningen, nationell kompletteringslagstiftning till Dataskyddsförordningen, tillsynsmyndigheters inkl. Europeiska dataskyddsstyrelsen föreskrifter och yttranden och kommissionens rättsakter på personuppgiftsområdet.
Underbiträde
Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som i egenskap av underleverantör till Personuppgiftsbiträdet Behandlar Personuppgifter för Personuppgiftsansvariges räkning.
Registrerad
En fysisk person vars Personuppgifter Behandlas.
1. Syfte
Detta Avtal reglerar Personuppgiftsbiträdets Behandling av Personuppgifter åt den Personuppgiftsansvarige i syfte att säkerhetsställa Registrerades rättigheter vid Behandling, enligt Tillämplig lag.
Behandlingen är påkallad inom ramen för tillhandahållandet av LeadPilots tjänster.
Behandlingen är påkallad inom ramen för tillhandahållandet av LeadPilots tjänster.
2. Den Personuppgiftsansvariges skyldigheter
2.1. Behandling av Personuppgifter
Den Personuppgiftsansvarige ska ansvara för att det vid var tid finns laglig grund för Behandling av Personuppgifter och att Behandling sker i enlighet med Avtalet och Tillämplig lag.
Den Personuppgiftsansvarige ansvarar för att informera de Registrerade om Behandlingen och för att tillvarata Registrerades rättigheter enligt Tillämplig lag samt vidta varje annan åtgärd som åligger den Personuppgiftsansvarige enligt Tillämplig lag.
Den Personuppgiftsansvarige ansvarar för att informera de Registrerade om Behandlingen och för att tillvarata Registrerades rättigheter enligt Tillämplig lag samt vidta varje annan åtgärd som åligger den Personuppgiftsansvarige enligt Tillämplig lag.
2.2. Tillhandahållande av Personuppgifter
Den Personuppgiftsansvarige ska tillhandahålla Personuppgiftsbiträdet med korrekt och uppdaterad information, instruktioner och Personuppgifter som behövs och är ändamålsenliga för att denne ska kunna uppfylla sina avtalsenliga förpliktelser gentemot Personuppgiftsansvarige.
3. Personuppgiftsbiträdets ansvar
3.1. Behandling av Personuppgifter
Personuppgiftsbiträdet förbinder sig att endast utföra Behandling av Personuppgifter enligt det tjänsteavtal ni ingår, detta Avtal, Tillämplig lag samt enligt personuppgiftsansvariges dokumenterade instruktioner. Personuppgiftsbiträdet förbinder sig även att fortlöpande hålla sig informerad om Tillämplig lag och angränsande lagstiftning av relevans för den avtalade Behandlingen.
Personuppgiftsbiträdet skall meddela den ansvarige om en instruktion anses strida mot Tillämplig lag. I det fall skall Personuppgiftsbiträdet skall då avvakta vidare instruktion.
Personuppgiftsbiträdet skall meddela den ansvarige om en instruktion anses strida mot Tillämplig lag. I det fall skall Personuppgiftsbiträdet skall då avvakta vidare instruktion.
3.2. Överföring av Personuppgifter
Personuppgiftsbiträdet har inte rätt att överföra några personuppgifter till en stat utanför EU-området eller till en stat som inte omfattas av undantagen till förbud mot överföring till tredje land enligt Tillämplig lag, såvida inte denna Behandling krävs enligt unionsrätten eller enligt den medlemstats nationella rätt som Personuppgiftsbiträdet omfattas av. I detta fall skall den Personuppgiftsansvarige informeras om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt.
Omfattas en överföring ej av ovanstående krävs den Personuppgiftsansvariges skriftliga samtycke och att sådan överföring sker i enlighet med Tillämplig lag.
Omfattas en överföring ej av ovanstående krävs den Personuppgiftsansvariges skriftliga samtycke och att sådan överföring sker i enlighet med Tillämplig lag.
3.3. Säkerhetsåtgärder
Personuppgiftsbiträdet ska vidta alla tekniska och organisatoriska säkerhetsåtgärder som krävs för att förhindra Personuppgiftsincidenter, genom att säkerställa att Behandlingen uppfyller kraven i Dataskyddsförordningen och att den Registrerades rättigheter skyddas.
Personuppgiftsbiträdet ska systematiskt testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa Behandlingens säkerhet och säkerställa att säkerhetsåtgärderna medför en lämplig nivå av konfidentialitet, integritet, tillgänglighet och motståndskraft.
Personuppgiftsbiträdet ska systematiskt testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa Behandlingens säkerhet och säkerställa att säkerhetsåtgärderna medför en lämplig nivå av konfidentialitet, integritet, tillgänglighet och motståndskraft.
3.4. Underrättelseskyldighet
Personuppgiftsbiträdet ska utan dröjsmål informera den Personuppgiftsansvarige om eventuella kontakter från den Registrerade, tillsynsmyndighet eller tredje man som rör eller kan vara av betydelse för Behandlingen av Personuppgifter.
Information om Behandlingen får inte lämnas till den Registrerade, tillsynsmyndighet eller tredje man utan skriftligt medgivande från den Personuppgiftsansvarige, såvida det inte framgår av tvingande lag att information ska lämnas. Personuppgiftsbiträdet ska bistå med förmedling av den informationen som omfattas av ett medgivande eller lagkrav.
Information om Behandlingen får inte lämnas till den Registrerade, tillsynsmyndighet eller tredje man utan skriftligt medgivande från den Personuppgiftsansvarige, såvida det inte framgår av tvingande lag att information ska lämnas. Personuppgiftsbiträdet ska bistå med förmedling av den informationen som omfattas av ett medgivande eller lagkrav.
3.5. Kontrollering
Den Personuppgiftsansvarige har rätt att på egen bekostnad själv eller genom tredje man kontrollera att Personuppgiftsbiträdet följer detta Avtal och Tillämplig lag.
Personuppgiftsbiträdet ska därvid lämna den Personuppgiftsansvarige den assistans som behövs.
Kontrollering skall annonseras i förväg av den Personuppgiftsansvarige, i sådan tid att Personuppgiftsbiträdet har möjlighet att tillgodose de resurser som krävs för att lämna den assistans som behövs vid kontrolleringen.
Personuppgiftsbiträdet ska därvid lämna den Personuppgiftsansvarige den assistans som behövs.
Kontrollering skall annonseras i förväg av den Personuppgiftsansvarige, i sådan tid att Personuppgiftsbiträdet har möjlighet att tillgodose de resurser som krävs för att lämna den assistans som behövs vid kontrolleringen.
3.6. Tillhandahållande av Personuppgifter
Personuppgiftsbiträdet tillhandahåller Personuppgiftsansvarige all information som krävs för att visa att Personuppgiftsbiträdet fullgör sina skyldigheter enligt Dataskyddsförordningens artikel 28. Detta innefattar tillgång till upplysningar och handlingar som Personuppgiftsansvarige behöver för att utöva kontroll över Personuppgiftsbiträdets efterlevnad av Avtalet och Tillämplig lag. En sådan tillgång ska ges utan oskäligt dröjsmål, men inte senare än 30 dagar, från Personuppgiftsansvariges begäran.
3.7. Förändringar av Behandlingen
Om Personuppgiftsbiträdet avser att genomföra förändringar av Behandlinngen eller i övrigt genomföra förändringar som kan påverka säkerheten för de Registrerade, de Registrerades rättigheter eller efterlevnaden av Avtalet eller gällande rätt ska Personuppgiftsbiträdet skriftligen informera Personuppgiftsansvarige i förväg. Personuppgiftsansvarige ska ge sitt samtycke till sådana förändringar.
3.8. Säkerhet
Personuppgiftsbiträdet ska utvärdera riskerna med behandlingen och vidta åtgärder, såsom kryptering, för att minska dem. Åtgärderna bör säkerställa en lämplig säkerhetsnivå, inbegripet konfidentialitet, med beaktande av den senaste utvecklingen och genomförandekostnader i förhållande till riskerna och vilken typ av personuppgifter som ska skyddas.
Personuppgiftsbiträdet ska vidta skäliga tekniska och organisatoriska för att säkerställa att varje fysisk person och juridisk person som utför arbete under Personuppgiftsbiträdets överinseende, och med åtkomst till Personuppgifter, endast Behandlar dessa på i enlighet med detta Avtal och Tillämplig lag.
För att skydda Personuppgifter mot obehörig åtkomst, förstörelse och ändring i enlighet med Förordningens krav, med särskilt beaktande av kraven i artikel 32. Personuppgiftsbiträdet ska därvid särskilt iaktta Datainspektionens instruktioner i dess allmänna råd ”Säkerhet för personuppgifter” eller andra föreskrifter som Datainspektionen ger ut.
Personuppgiftsbiträdet ska vidta skäliga tekniska och organisatoriska för att säkerställa att varje fysisk person och juridisk person som utför arbete under Personuppgiftsbiträdets överinseende, och med åtkomst till Personuppgifter, endast Behandlar dessa på i enlighet med detta Avtal och Tillämplig lag.
För att skydda Personuppgifter mot obehörig åtkomst, förstörelse och ändring i enlighet med Förordningens krav, med särskilt beaktande av kraven i artikel 32. Personuppgiftsbiträdet ska därvid särskilt iaktta Datainspektionens instruktioner i dess allmänna råd ”Säkerhet för personuppgifter” eller andra föreskrifter som Datainspektionen ger ut.
3.9. Sekretess
Personuppgiftsbiträdet förbinder sig att säkerställa att samtliga fysiska personer som arbetar under dess ledning som behandlar Personuppgifter åtagit sig att iaktta konfidentialitet. Personuppgiftsbiträdet ska även säkerställa att adekvat behörighetsstyrning.
3.10. Personuppgiftsincidenter
Vid en misstänkt eller upptäckt personuppgiftsincident ska Personuppgiftsbiträdet omedelbart undersöka incidenten och vidta lämpliga åtgärder för att mildra dess potentiella negativa effekter.
Personuppgiftsbiträdet ska bistå Personuppgiftsansvarige med att se till att dennes skyldigheter enligt Tillämplig lag om personuppgiftsincidenter fullgörs, med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå. Detta gäller även om Personuppgiftsansvarige misstänkt eller upptäckt en personuppgiftsincident.
Vid upptäckt av en personuppgiftsincident, ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om detta utan onödigt dröjsmål. En sådan underrättelse skall innehålla den in information som Personuppgiftsansvarige behöver för att uppfylla sina skyldigheter i förhållande till tillsynsmyndigheten. Om och i den utsträckning det inte är möjligt att tillhandahålla informationen samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.
Underrättelseskyldighet gäller även om Personuppgiftsbiträdet av någon annan anledning inte kan uppfylla åtaganden enligt Avtalet eller de dokumenterade instruktionerna alternativt får kännedom om att personuppgifter har behandlats i strid med Avtalet.
Personuppgiftsbiträdet ska bistå Personuppgiftsansvarige med att se till att dennes skyldigheter enligt Tillämplig lag om personuppgiftsincidenter fullgörs, med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå. Detta gäller även om Personuppgiftsansvarige misstänkt eller upptäckt en personuppgiftsincident.
Vid upptäckt av en personuppgiftsincident, ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om detta utan onödigt dröjsmål. En sådan underrättelse skall innehålla den in information som Personuppgiftsansvarige behöver för att uppfylla sina skyldigheter i förhållande till tillsynsmyndigheten. Om och i den utsträckning det inte är möjligt att tillhandahålla informationen samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.
Underrättelseskyldighet gäller även om Personuppgiftsbiträdet av någon annan anledning inte kan uppfylla åtaganden enligt Avtalet eller de dokumenterade instruktionerna alternativt får kännedom om att personuppgifter har behandlats i strid med Avtalet.
3.11. Bistå den Personuppgiftsansvarige
Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige med att se till att skyldigheterna enligt artiklarna 32-26 i Dataskyddsförordningen fullgörs, med beaktande av typen av behandling och den information som Personuppgiftsbiträdet har att tillgå.
3.12. Tillhandahållande av information
Personuppgiftsbiträdet ska, med tanke på Behandlingens art, hjälpa den Personuppgiftsansvarige att genomföra lämpliga tekniska och organisatoriska åtgärder (i den mån detta är möjligt) så att den Personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den Registrerades rättigheter i enlighet med kapitel III i Dataskyddsförordningen.
4. Underbiträden
4.1. Anlitande av Underbiträde
Personuppgiftsbiträdet ska ej anlita ett annat personuppgiftsbiträde (“Underbiträde”) än vad som stadgas i detta Avtal utan att ett särskilt eller allmänt skriftligt medgivande har erhållits av Personuppgiftsansvarige. Genom undertecknande av detta avtal anses den Personuppgiftsansvarige ge ett särskilt skriftligt medgivande för anlitande av underbiträdena som anges i 4.4.
Personuppgiftsbiträdet skall informera den Personuppgiftsansvarige om både tilltänka nya biträden och ändringar i anlitandet av de gamla biträdena. Personuppgiftsansvarige har möjlighet att rikta invändningar mot Personuppgiftsbiträdets förslag om förändring av dess underbiträden. En sådan invändning utgör hinder för Personuppgiftsbiträdet att genomföra föreslagen förändring.
Personuppgiftsbiträdet skall informera den Personuppgiftsansvarige om både tilltänka nya biträden och ändringar i anlitandet av de gamla biträdena. Personuppgiftsansvarige har möjlighet att rikta invändningar mot Personuppgiftsbiträdets förslag om förändring av dess underbiträden. En sådan invändning utgör hinder för Personuppgiftsbiträdet att genomföra föreslagen förändring.
4.2. Ansvarsfördelning
Anlitande av Underbiträde sker på Personuppgiftsbiträdets ansvar. Det resulterar inte någon förändring gällande den ansvarsfördelning som gäller mellan Parterna enligt Avtalet.
4.3. Säkerhetsställande av Underbiträdes skydd
Utöver de begrepp som definieras i dataskyddsförordningen (EU 2016/679), hädanefter Dataskyddsförordningen, ska dessa definitioner oavsett om de används i plural eller singular, i bestämd eller obestämd form, ha nedanstående innebörd i när de anges med versal som begynnelsebokstav.
4.4. Underbiträden
Företag Syfte
Google, LLC Serverkapacitet, molntjänster och IT-infrastruktur.
Nylas, Inc. E-post integration.
LogRocket, Inc. Felsökning, support och i syfte att förbättra tjänsten.
Google, LLC Serverkapacitet, molntjänster och IT-infrastruktur.
Nylas, Inc. E-post integration.
LogRocket, Inc. Felsökning, support och i syfte att förbättra tjänsten.
5. Ansvar för skada
- För det fall en Registrerad, Tillsynsmyndighet eller annan tredje man väcker talan mot Personuppgiftsansvarige avseende Personuppgiftsbiträdets, eller av denne anlitad underleverantörs, behandling av omfattade personuppgifter ska Personuppgiftsbiträdet, utan begränsning, ersätta Personuppgiftsansvarige för sådan förlust eller kostnad (inklusive skadestånd, administrativ sanktionsavgift och rimliga ombudskostnader) som har förorsakats Personuppgiftsansvarige. Ovanstående är villkorat av att Personuppgiftsansvarige kan visa att anspråket hade kunnat undvikas genom Personuppgiftsbiträdets uppfyllande av sina skyldigheter såson personuppgiftsbiträde, sina skyldigheter enligt detta Personuppgiftsbiträdesavtal och av skriftliga instruktioner som utfärdats av Personuppgiftsansvarige.
- För det fall en Registrerad, Tillsynsmyndighet eller annan tredje man väcker talan mot Personuppgiftsbiträdet avseende behandling av omfattade personuppgifter ska Personuppgiftsansvarige, utan begränsning, ersätta Personuppgiftsbiträdet för sådan förlust eller kostnad (inklusive skadestånd, administrativ sanktionsavgift och rimliga ombudskostnader) som har förorsakats Personuppgiftsbiträdet. Ovanstående är villkorat av att Personuppgiftsbiträdet kan visa att anspråket inte hade kunnat undvikas genom Personuppgiftsbiträdets uppfyllande av sina skyldigheter så som personuppgiftsbiträde, sina skyldigheter enligt detta Personuppgiftsbiträdesavtal och av skriftliga instruktioner som utfärdas av Personuppgiftsansvarige.
6. Avtalstid och upphörande
Avtalet gäller från dess undertecknande och så länge som Personuppgiftsbiträdet Behandlar Personuppgifter för den Personuppgiftsansvariges räkning.
Vid avtalets upphörande skall Personuppgiftsbiträdet säkerställa att alla Personuppgifter som behandlas för Personuppgiftsansvariges räkning destrueras på ett säkert sätt, såvida inte lagring av Personuppgifterna krävs enligt lag som Personuppgiftsbiträdet omfattas av.
Vid avtalets upphörande skall Personuppgiftsbiträdet säkerställa att alla Personuppgifter som behandlas för Personuppgiftsansvariges räkning destrueras på ett säkert sätt, såvida inte lagring av Personuppgifterna krävs enligt lag som Personuppgiftsbiträdet omfattas av.
7. Ändringar av Avtalet
Om så krävs på grund av lagstiftning på området eller bindande föreskrifter från myndighet, ska parterna utan onödigt dröjsmål förnya detta avtal på så sätt att det är följsamt med den lagstiftning som föranledde omformuleringen.
8. Underrättelser
Underrättelser och meddelanden enligt Avtalet ska ske skriftligen. Underrättelser till Personuppgiftsansvarig sker enligt kontaktuppgifterna angivna under sektionen Parter. Underrättelser till Personuppgiftsbiträdet sker enligt nedan nämnda kontaktuppgifter.
Personuppgiftsbiträdet, LeadPilot AB
Felix Kollin, personuppgiftsombud, dpo@leadpilot.com
Sankt Eriksgatan 63 B
112 34 Stockholm
Personuppgiftsincidenter ska anmälas via e-post till support@leadpilot.com.
Personuppgiftsbiträdet, LeadPilot AB
Felix Kollin, personuppgiftsombud, dpo@leadpilot.com
Sankt Eriksgatan 63 B
112 34 Stockholm
Personuppgiftsincidenter ska anmälas via e-post till support@leadpilot.com.
9. Tvist
9.1. Tolkning och tillämpning
Avtalet ska tolkas och tillämpas i enlighet med svensk rätt. Tvist gällande tolkning eller tillämpning av Avtalet ska lösas i allmän domstol i Sverige, under förutsättning att inte annan myndighet eller domstol i annan jurisdiktion har exklusiv behörighet att lösa tvisten.