Bitradesavtal
Avtalet gäller fr.o.m. 240104
PARTER
W app Media AB, 559361-9892, (nedan kallad ”Leverantören”) och kunder som använder våra tjänster, (nedan kallad ”Kunden”).
ALLMÄNT
Detta Personuppgiftsbiträdesavtal utgör en integrerad del av avtalet som ingåtts mellan Leverantören och Kunden fr.o.m. det Kunden beställt en tjänst av Leverantören (nedan kallad ”Avtalet”).
Leverantören kommer vid fullföljandet av Avtalet att behandla personuppgifter som Kunden är personuppgiftsansvarig för och/eller som Kundens kunder är personuppgiftsansvariga för. I de fall Kunden är personuppgiftsansvarig, behandlar Leverantören personuppgifter såsom Kundens personuppgiftsbiträde. I de fall Kundens kunder är personuppgiftsansvariga behandlar Leverantören Personuppgifter såsom underbiträde åt Kunden som i sin tur behandlar personuppgifterna såsom personuppgiftsbiträde åt sina kunder. De skyldigheter som Leverantören har gentemot Kunden enligt detta Personuppgiftsbiträdesavtal (och de rättigheter som tillkommer Kunden enligt detta Personuppgiftsbiträdesavtal) ska då även föreligga gentemot (och tillkomma) Kundens kunder i den mån det krävs för att följa Dataskyddsregleringen.
Om någon annan tillsammans med Kunden är personuppgiftsansvarig för de aktuella personuppgifterna ska Kunden informera Leverantören om detta.
Syftet med detta Personuppgiftsbiträdesavtal är att Parterna ska uppfylla vid var tid gällande krav på Personuppgiftsbiträdesavtal och förpliktelser enligt Dataskyddsreglering samt att säkerställa ett adekvat skydd för personlig integritet och grundläggande rättigheter för enskilda i samband med överföring av Personuppgifter från Kunden till Leverantören inom ramen för den verksamhet som bedrivs av Leverantören i rollen som webbyrå samt därtill tillhörande support- och tilläggstjänster till Kunden.
Detta Personuppgiftsbiträdesavtal ersätter eventuella tidigare personuppgiftsbiträdesavtal mellan Parterna och har företräde framför Avtalet vad gäller föremålet för detta Personuppgiftsbiträdesavtal, oavsett vad som anges i Avtalet.
DEFINITIONER
Begrepp och definitioner i detta Avtal ska ha motsvarande betydelse som i Europaparlamentets och Rådets förordning (EU) 2016/679 (nedan kallad dataskyddsförordningen) samt tolkas och tillämpas i enlighet med Tillämplig dataskyddslagstiftning. Detta innebär bland annat följande:
Behandling
avser en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Tillämplig dataskyddslagstiftning
avser Europaparlamentets och Rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG och de nationella lagar som stiftas till följd av denna förordning. ”Tillämplig dataskyddslagstiftning” inkluderar även bindande vägledningar, utlåtanden, rekommendationer och beslut från tillsynsmyndigheter, domstol eller annan myndighet.
Personuppgiftsansvarig
den som på egen hand eller tillsammans med andra, fastställer ändamål och medel för behandlingen av personuppgifterna.
Personuppgiftsbiträde
avser den som behandlar personuppgifter på uppdrag av den Personuppgiftsansvarige
Underbiträde
avser den som behandlar personuppgifter på uppdrag av Personuppgiftsbiträdet.
Personuppgifter
varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med hänvisning till en identifikator som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorereller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Personuppgiftsincident
avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
INNEHÅLL OCH SYFTE
Kunden och Leverantören har ingått ett avtal (nedan kallat Tjänsteavtal) angående de tjänster som Leverantören ska tillhandahålla Kunden. Med anledning av detta Tjänsteavtal kommer Leverantören att behandla personuppgifter för Kundens räkning. Detta Avtal har upprättats för att bland annat uppfylla kravet i artikel 28 i dataskyddsförordningen om att det ska finnas ett skriftligt avtal mellan en personuppgiftsansvarig och ett personuppgiftsbiträde och/eller underbiträde för behandlingen av personuppgifter.
BEHANDLING AV PERSONUPPGIFTER
Kunden garanterar att denne har rätt att behandla personuppgifter samt att behandlingen är i enlighet med Tillämplig dataskyddslagstiftning.
Leverantören åtar sig att endast behandla personuppgifter i enlighet med Tjänsteavtalet och med Kundens instruktioner enligt bilaga 1 i detta Avtal. Leverantören ska vid behandlingen av personuppgifter följa Tillämplig dataskyddslagstiftning.
Leverantören ska omedelbart informera Kunden om Leverantören saknar instruktion om hur denne ska behandla personuppgifter i en specifik situation eller om en instruktion enligt detta Avtal eller i annat fall strider mot Tillämplig dataskyddslagstiftning.
Leverantören får inte, utan föreläggande från relevant myndighet eller tvingande lagstiftning:
- samla in eller lämna ut personuppgifter från eller till någon tredje part om inte annat skriftligen har överenskommits,
- ändra metod för behandling,
- kopiera eller återskapa personuppgifter eller
- på något annat sätt behandla personuppgifter för andra ändamål än de som anges i Tjänsteavtalet.
ÖVERFÖRING TILL TREDJE LAND
Överföring av personuppgifter till en stat utanför EU och EES kräver Kundens skriftliga samtycke i förväg och får endast ske de om villkor för överföring till tredje länder som framgår av Tillämplig dataskyddslagstiftning har uppfyllts.
SÄKERHET
Leverantören ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska innebära en säkerhetsnivå som överensstämmer med Tillämplig dataskyddslagstiftning och som är lämplig med beaktande av:
- de tekniska möjligheter som finns,
- vad det skulle kosta att genomföra åtgärderna,
- de särskilda risker som finns med behandlingen av personuppgifterna och
- hur pass känsliga de behandlade personuppgifterna är.
Avtalade åtgärder, vilka uppfyller denna punkt, ska åstadkomma en säkerhetsnivå som Kunden bedömer lämplig.
Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter, ska Leverantören vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt
- pseudonymisering och kryptering av personuppgifter,
- förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos de system och tjänster som behandlar personuppgifter,
- förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident, och
- ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.
SEKRETESS
Leverantörenär skyldigt att säkerställa att endast personer som har ett direkt behov av tillgång till Personuppgifter för att kunna infria Leverantörenåtaganden i enlighet med Tjänsteavtalet har tillgång till sådan information. Leverantören ska se till att samtliga anställda, konsulter och övriga som är involverade i behandlingen är bundna av sekretess samt att de är informerade om hur behandling av personuppgifterna får ske.
UNDERBITRÄDEN
För att Leverantören ska kunna uppfylla skyldigheterna enligt Tjänsteavtalet och detta Avtal har Leverantören rätt att anlita underbiträde. Kunden samtycker till att de underbiträden som listas i bilaga 2 till detta Avtal kan komma att anlitas som underbiträde. Om Leverantören avser att ändra, ta bort eller lägga till ett underbiträde kommer Leverantören att informera om detta så att Kunden har möjlighet att göra invändningar mot sådana förändringar.
Om Leverantören anlitar underbiträde ska Leverantören ingå särskilt person uppgiftsbiträdesavtal med sådant underbiträde vad avser underbiträdets behandling av personuppgifter. I ett sådant avtal ska det framgå att underbiträdet har motsvarande skyldigheter som Leverantören har enligt detta Avtal. Leverantören ska på Kundens begäran tillhandahålla kopia av de delar av Leverantörens avtal med underbiträde som krävs för att utvisa att Leverantören uppfyllt sina åtaganden enligt detta Avtal.
ASSISTANS
Leverantörenska, med hänsyn taget till Behandlingens art, hjälpa Kunden genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Kunden kan fullgöra sin skyldighet att svara när den Registrerade vill utöva sina rättigheter.
Leverantörenska bistå Kunden med att se till att Kunden kan uppfylla sina rättsliga skyldigheter som personuppgiftsansvarig enligt Tillämplig dataskyddslagstiftning.
GRANSKNING
Kunden äger rätt att, själv eller genom tredje man, genomföra revision gentemot Leverantören eller på annat sätt kontrollera att Leverantörens behandling av personuppgifter följer detta Avtal. Vid sådan revision eller kontroll ska Leverantören ge Kunden den assistans som behövs för genomförandet.
PERSONUPPGIFTSINCIDENT
Vid en personuppgiftsincident som omfattar personuppgifter som behandlas på uppdrag av Kunden ska Leverantören omedelbart undersöka incidenten och vidta lämpliga åtgärder för att mildra dess potentiella negativa effekt och förhindra upprepning. Leverantören ska även omedelbart tillhandahålla Kunden en beskrivning av incidenten. Beskrivningen ska åtminstone
- beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,
- förmedla namnet på den person som kan tillhandahålla mer information eller svara på frågor,
- beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och
- beskriva de åtgärder som Leverantören har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.
AVTALETS UPPHÖRANDE
Villkoren i detta Avtal ska gälla så länge Leverantören behandlar personuppgifter på uppdrag av Kunden.
Om detta Avtal upphör att gälla ska Leverantören upphöra med Behandlingen av Personuppgifter och, efter Kundens önskemål, radera eller återsända alla Personuppgifter till Kunden och radera befintliga kopior, såvida inte Tillämplig dataskyddslagstiftning eller nationell rätt kräver att Personuppgifterna lagras. Leverantören ska säkerställa att Underbiträde vidtar samma åtgärder.
ÄNDRINGAR
Ändringar eller tillägg till Avtalet ska göras skriftligen och undertecknas av båda Parterna.
TVIST
Tvist angående tolkning eller tillämpning av detta Avtal ska avgöras enligt svensk lag och Tjänsteavtalets bestämmelse om tvist. Om Tjänsteavtalet inte innehåller någon sådan bestämmelse gäller att tvist ska avgöras av svensk allmän domstol.
BILAGOR
Bilaga 1 – Instruktioner för behandling av personuppgifter:
https://wappmedia.se/om-oss/bitradesavtal/bitradesavtal-bilaga1/
Bilaga 2 – Användande av Underbiträden / Underleverantörer (tredje parter):
https://wappmedia.se/om-oss/bitradesavtal/bitradesavtal-bilaga2/