Personuppgiftsbiträdesavtal
Senast uppdaterad: 2023-01-24
Detta personuppgiftsbiträdesavtal har ingåtts mellan “Leverantören” Vyer Technologies AB, org.nr 559089-5891, Sergels torg 12, 111 57 Stockholm, (Personuppgiftsbiträde) och “Kunden” (Personuppgiftsansvarig) i samband med Kundens godkännande av villkoren i Leverantörens Prenumerationsavtal vid den elektroniska signeringen av Beställningsformuläret avseende tjänsten “Vyer”. Avtalet innebär bland annat att Leverantören i egenskap av personuppgiftsbiträde kommer att behandla personuppgifter för Kundens räkning (Personuppgifter).
Definitioner
Begrepp som inte används med stor bokstav, t.ex. ”behandling”, ”registrerad”, ”personuppgiftsincident” m.fl. ska ha samma betydelse som i Europaparlamentet och Rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (”GDPR"). Övriga begrepp med stor bokstav som inte definieras i personuppgiftsbiträdesavtalet har samma betydelse som i Prenumerationsavtalet.
Behandlingen
GDPR
Parterna åtar sig att uppfylla sina skyldigheter enligt GDPR och lagar som implementerar eller kompletterar GDPR (”Tillämplig dataskyddslagstiftning”).
Ändamålsenlig
Leverantören får endast behandla Personuppgifter för ändamålen som framgår av bilaga A och/eller enligt Kundens skriftliga instruktioner. Leverantören ska omedelbart informera Kunden om Leverantören anser att Kundens instruktioner strider mot Tillämplig dataskyddslagstiftning.
Säkerhet och sekretess
Krav på behöriga
Leverantören ska implementera och upprätthålla alla åtgärder som krävs enligt artikel 32 GDPR. Leverantören ska se till att alla personer med behörighet att behandla Personuppgifter har förbundit sig att iaktta sekretess, eller omfattas av en lämplig lagstadgad tystnadsplikt.
Personuppgiftsincidenter
Förfarande
Leverantören ska utan onödigt dröjsmål (om möjligt, aldrig senare än 36 timmar) meddela Kunden om Leverantören upptäcker någon personuppgiftsincident som berör Personuppgifter. Meddelandet ska innehålla den information som krävs för att Kunden ska kunna fullgöra sina skyldigheter enligt artikel 33–34 GDPR.
Konsekvensbedömningar och förhandsamråd
Rådgivning
Leverantören ska hjälpa Kunden med konsekvensbedömningar avseende dataskydd och förhandssamråd med tillsynsmyndighet enligt artikel 35–36 GDPR, om Kunden begär det.
Kommunikation
Hänvisning
Om någon registrerad, tillsynsmyndighet eller annan utomstående kontaktar Leverantören rörande Personuppgifter, ska Leverantören omedelbart hänvisa förfrågan till Kunden.
Registrerades rättigheter
Rättigheter
Om möjligt och med hänsyn till behandlingens art, ska Leverantören genom lämpliga tekniska och organisatoriska åtgärder hjälpa Kunden med att fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter enligt GDPR.
Underbiträden
Förhandstillstånd
Leverantören får härmed ett allmänt förhandstillstånd att anlita underleverantörer för behandling av Personuppgifter (”Underbiträden”). Leverantören ska ingå skriftliga biträdesavtal med alla sina Underbiträden, med minst samma nivå av skyldigheter som Leverantören har enligt detta biträdesavtal.
Informationsskyldighet
Leverantören ska informera Kunden om eventuella planer på att anlita nya eller ersätta Underbiträden, så att Kunden har möjlighet att göra invändningar mot sådana förändringar. Sådan invändning måste meddelas Leverantören inom trettio (30) dagar från det att Leverantören informerade Kunden om sina planer, därefter ska Kunden anses ha accepterat Underbiträdet ifråga.
Undantag
I det fall Kundens invändning mot anlitande av ett Underbiträde, enligt Leverantörens mening, motverkar ett effektivt tillhandahållande av Leverantörens tjänster, får Leverantören frånträda Prenumerationsavtalet utan något ansvar eller skyldighet att betala vite på grund av sådant frånträdande med uppsägningstid på trettio (30) dagar.
Ansvar
Leverantören ansvarar för sina Underbiträden som om behandlingen hade utförts av Leverantören själv. En lista över underbiträden, som anses vara godkända när personuppgiftsbiträdesavtalet ingås, framgår av bilaga A.
Överföring utanför EU/EES
Skyddsåtgärder
Leverantören får enbart överföra Personuppgifter utanför EU/EES om Leverantören säkerställer att överföringen omfattas av lämpliga skyddsåtgärder, eller på annan grund är tillåten enligt Tillämplig dataskyddslagstiftning.
Tillåten överföringsmekanism
Om den överföringsmekanism som använts för att säkerställa att överföringen är tillåten enligt Tillämplig dataskyddslagstiftning skulle förklaras ogiltig eller olaglig av EU-domstolen, Europeiska kommissionen eller annan behörig EU-institution eller nationell domstol eller myndighet, ska Leverantören säkerställa att all behandling av Personuppgifter utanför EU/EES sker på grundval av annan tillåten överföringsmekanism enligt Tillämplig dataskyddslagstiftning.
Fullmakt
Genom att ingå detta biträdesavtal beviljar Kunden fullmakt åt Leverantören att representera Kunden vid undertecknande av standardkontraktsklausuler (bilaga till Europeiska Kommissionens beslut 2010/87/EU av den 5 februari 2010 gällande överföring av Personuppgifter utanför EU/EES, eller sådana godkända klausuler som ersätter eller kompletterar dessa, i Kundens namn och för Kundens räkning. Därtill godtar Kunden uttryckligen att Leverantören även får representera det ifrågavarande underbiträdet i förhållande till standardkontraktsklausulerna.
Granskning och kontroll
Kontroller
Leverantören ska ge Kunden tillgång till all information som Kunden behöver för att kontrollera att Leverantören uppfyller sina skyldigheter enligt detta biträdesavtal. Leverantören ska även möjliggöra och bidra till granskningar/inspektioner som Kunden, med minst tio (10)] dagars varsel, genomför själv eller med hjälp av tredje part (dock ej en konkurrent till Leverantören).
Sekretessförbindelser
Kunden får bara genomföra granskningar/inspektioner på plats hos Leverantören under Leverantörens normala kontorstider och ska utföras på ett sätt som inte utgör hinder för Leverantörens skyldigheter gentemot dess kunder, underleverantörer eller tredje parter. Kunden och andra som ska delta i att granska/inspektera Leverantören, ska först underteckna sedvanliga sekretessförbindelser med Leverantören.
Överföring och radering
Vid upphörande av avtal
När Prenumerationsavtalet upphör eller när Kunden begär det, ska Leverantören utan onödigt dröjsmål och enligt Kundens instruktion, radera alla Personuppgifter eller överföra alla Personuppgifter till Kunden och därefter radera befintliga kopior.
Undantag
Leverantören får spara/behandla Personuppgifter utan hinder av detta biträdesavtal om det krävs av Leverantören för att Leverantören ska kunna uppfylla sina rättsliga förpliktelser och Leverantören först informerar Kunden om det rättsliga kravet.
Tillämplig lag och tvist
Rättstillämpning
Svensk rätt gäller för detta biträdesavtal, med undantag för lagvalsregler som innebär tillämpning av utländsk rätt. Prenumerationsavtalets bestämmelser om tvistelösning gäller även för detta biträdesavtal.
Ansvar
Vid avtalsbrott
Leverantören ska ersätta kunden för dess skador i den utsträckning Leverantörens handlande inneburit brott mot personuppgiftsbiträdesavtalet eller Tillämplig dataskyddslagstiftning. I den utsträckning som Tillämplig dataskyddslagstiftning tillåter, ska Leverantörens ansvar under inga omständigheter överstiga 100 % av ersättningen erlagd av Kunden under ett kalenderår. I övrigt gäller samma ansvarsbegränsningar som anges i Prenumerationsavtalet.
Avtalstid
Giltighet
Detta biträdesavtal gäller fr.o.m. dagen det undertecknas av parterna och t.o.m. den dag Leverantören slutar behandla Personuppgifter.
Ersättning
Självkostnadspris
Leverantören har rätt att fakturera Kunden för sina kostnader (självkostnadspris) för att hjälpa Kunden med konsekvensbedömningar, förhandssamråd, enskilda begäranden om utövande av registrerades rättigheter samt för att överföra och radera Personuppgifter. Leverantören har även rätt att fakturera Kunden för Leverantörens kostnader (självkostnadspris) i samband med Kundens eventuella granskningar/inspektioner, om inte dessa utvisar att Leverantören grovt brustit i sina skyldigheter enligt detta biträdesavtal.
Tolkning
Tolkningsföreträde
Detta biträdesavtal ska ha företräde framför Prenumerationsavtalet i alla frågor som rör Personuppgifter.
Bilaga A
Föremålet för behandlingen
I samband med användande av tjänsten Vyer har Kunden och Kundens Användare möjlighet att spara information på sitt Organisationskonto, till exempel vid uppmärkning av detaljer i lokalen och felanmälan. Informationen kan komma att innehålla personuppgifter.
Behandlingens art och ändamål
Leverantören kommer att behandla Personuppgifter för ändamålet att:
Tillhandahålla tjänsten enligt Prenumerationsavtalet, samt i övrigt enligt Kundens dokumenterade instruktioner.
Lagra information åt Kunden som kunden väljer att spara på sitt Organisationskonto i tjänsten Vyer.
Kategorier av registrerade
Kundens anställda och andra personer vars uppgifter behövs för användning av tjänsten Vyer.
Kategorier av Personuppgifter
Namn
Telefon
Mail
Befattning
Ansvar
Behandlingstid - gallringsfrister
Leverantören kommer att behandla Personuppgifter som längst under tiden som Prenumerationsavtalet löper och för en begränsad tid därefter enligt detta biträdesavtal, om inte Personuppgifter raderas dessförinnan av Kunden.
Underbiträden
Google Cloud Services, Tyskland, lagring av byggnadsinformation
Sendgrid, USA, email-notiser
Intercom, USA (I process att migreras till EU), supportkommunikation
Flagsmith, UK, Styra access till särskilda funktioner
Mixpanel, EU, användningsanalys för förbättring av tjänst