EquipmentLoop Personuppgiftsbiträdesavtal

1.  Parter

1.1.     Kund enligt Avtalet (”Kund” eller “Personuppgiftsansvarig”)

1.2.     Equipmentloop AB, organisationsnummer 559078-2602 (”EquipmentLoop” eller “Personuppgiftsbiträde”)

Var och en av Kund respektive EquipmentLoop kan hädanefter även komma att benämnas ”Part” eller gemensamt ”Parterna”.

2.         Bakgrund

A.         Detta personuppgiftsbiträdesavtal ("Biträdesavtalet") reglerar EquipmentLoops behandling av personuppgifter för Kundens räkning i enlighet med det avtal avseende tillhandahållande av EquipmentLoops tjänst som träffats mellan Kunden och EquipmentLoop ("Avtalet").

B.         Genom att teckna Avtalet blir Kunden och EquipmentLoop bundna av detta Biträdesavtal vilket utgör en integrerad del av Avtalet.

C.         Kunden bestämmer ändamålen och medlen för behandlingen av Personuppgifterna. I enlighet med Tillämplig dataskyddsreglering (enligt definition nedan) är Kunden därför personuppgiftsansvarig för behandlingen.

D.         Vid tillhandahållandet av tjänster enligt Avtalet kan EquipmentLoop komma att behandla Personuppgifter för Kundens räkning. EquipmentLoop är därför i enlighet med Tillämplig dataskyddsreglering personuppgiftsbiträde för behandlingen.

E.         I Tillämplig dataskyddsreglering uppställs krav på att personuppgiftsbiträde och personuppgiftsansvarig ingår skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. I syfte att efterkomma denna skyldighet ingår Parterna detta Biträdesavtal i enlighet med Tillämplig dataskyddsreglering.

3.         Dataskyddsförordningen

Den 27 april 2016 antogs Europaparlamentets och Rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (”Dataskyddsförordningen”). Dataskyddsförordningen kommer att ersätta de nationella datasyddslagstiftningarna i samtliga EU-länder och tillämpas likvärdigt i alla EU-länder med undantag för mindre särreglering. Reglerna i Dataskyddsförordningen skiljer sig inte nämnvärt från dagens regler gällande behandling av personuppgifter enligt personuppgiftslagen (1998:204), med undantag för att det införs mer omfattande skyldigheter för personuppgiftsbiträden och att det införs högre sanktionsavgifter för brott mot Dataskyddsförordningen. Enligt beslutet gäller Dataskyddsförordningen från och med den 25 maj 2018. Bestämmelserna i detta Biträdesavtal är ämnade att reflektera bestämmelserna i Dataskyddsförordningen.

4.         Definitioner

I detta Biträdesavtal ska följande termer ha den innebörd som framgår nedan: "Avtalsdagen" är den dag då Avtalet godkänts av Kunden.

"Behandling" är varje åtgärd eller serie av åtgärder som vidtas i fråga om Personuppgifter, vare sig det sker på automatisk väg eller inte. Exempel på Behandling är insamling, lagring, bearbetning, ändring, utlämnande genom översändande eller tillgängliggörande, sammanställning eller samkörning, blockering och radering.

"Personuppgifter" avser personuppgifter såsom det definieras enligt Tillämplig dataskyddsreglering och vilka Personuppgiftsbiträdet, eller av denne anlitade underleverantörer, behandlar för den Personuppgiftsansvariges räkning.

Registrerade” de fysiska personer som Personuppgifter hänför sig till.

Tillämplig dataskyddsreglering” avser tillämplig nationell lagstiftning som genomför direktiv 95/46/EG och annan tillämplig nationell lagstiftning, direkt i eller förordning som justerar, ersätter eller på annat sätt förändrar sådant direkt, inklusive Dataskyddsförordningen.

Övriga begrepp i detta Biträdesavtal ska, om inte annat anges, ha samma betydelse som i Avtalet eller, om tillämpligt, tolkas i enlighet med Tillämplig dataskyddsreglering.

5.         Personuppgiftsbiträdets ansvar för behandlingen enligt Biträdesavtalet

5.1.     Personuppgiftsbiträdet åtar sig att endast behandla Personuppgifter i enlighet med den Personuppgiftsansvariges instruktioner enligt detta Biträdesavtal, Personuppgiftsbiträdets vid var tid gällande policys gällande behandling av personuppgifter samt skriftligt givna instruktioner från den Personuppgiftsansvarige, såvida inte sådan behandling är nödvändigt enligt tillämplig lag, varvid Personuppgiftsbiträdet ska informera den Personuppgiftsansvarige om det rättsliga kravet innan behandlingen vidtas (förutsatt att sådan information inte är förbjuden enligt tillämplig lagstiftning).

5.2.     Personuppgiftsbiträdet åtar sig att behandla Personuppgifter i enlighet med vid var tid Tillämplig dataskyddsreglering, samt att snarast efterkomma beslut och domar meddelade av Datainspektionen, annan behörig myndighet, domstol eller, i förekommande fall, skiljenämnd avseende Personuppgifterna.

5.3.     Personuppgiftsbiträdet förbinder sig även att:

a)       inte utan föregående skriftligt godkännande från den Personuppgiftsansvarige överföra eller tillgängliggöra Personuppgifter till tredje part;

b)      hålla samtliga Personuppgifter strikt konfidentiella och tillse att de personer som har behörighet att behandla Personuppgifter har åtagit sig att iaktta konfidentialitet;

c)     föra register över Personuppgiftsbiträdets behandling av Personuppgifter i enlighet med de krav som ställs i Tillämplig Dataskyddsreglering; samt

d)    på den Personuppgiftsansvariges begäran tillhandahålla relevant information och dokumentation som anger vilka åtgärder Personuppgiftsbiträdet tagit för att uppfylla i Biträdesavtalet föreskrivna åtgärder.

5.4.     Skulle Personuppgiftsbiträdet anse att instruktioner från den Personuppgiftsansvarige strider mot Tillämplig dataskyddsreglering, ska Personuppgiftsbiträdet omedelbart upphöra med behandlingen av Personuppgifter baserat på instruktionerna och meddela den Personuppgiftsansvarige om detta, för att därefter invänta vidare instruktioner.

5.5.     Personuppgiftsbiträdet ska snarast informera den Personuppgiftsansvarige vid misstanke om obehörig, oavsiktlig eller olaglig åtkomst, förstörelse eller ändring av Personuppgifter hos Personuppgiftsbiträdet, samt informera om övriga omständigheter i samband med Personuppgiftsbiträdets behandling av Personuppgifterna som kan antas vara av väsentlig betydelse för den Personuppgiftsansvarige.

6.         Underbiträden

6.1.     Personuppgiftsbiträdet har rätt att anlita underbiträden för att utföra Behandling av Personuppgifter för den Personuppgiftsansvariges räkning.

6.2.     Skulle Personuppgiftsbiträdet anlita underbiträde ska Personuppgiftsbiträdet ingå ett skriftligt avtal med underbiträdet som innehåller skyldigheter som motsvarar, eller är minst lika långtgående som Personuppgiftsbiträdets åtaganden enligt detta Biträdesavtal samt vid var tid gällande instruktioner och policys gällande behandling av personuppgifter från den Personuppgiftsansvarige.

6.3.     Personuppgiftsbiträdet ska meddela Personuppgiftsansvarig minst två (2) veckor innan ett underbiträde börjar behandla Personuppgifter. Den Personuppgiftsansvarige har rätt att motsätta sig att Personuppgifter behandlas av underbiträdet i de fall det är befogat med hänsyn till Tillämplig dataskyddsreglering eller annan bindande rättslig reglering som den Personuppgiftsansvarige är bunden av. Skulle den Personuppgiftsansvarige motsätta sig att Personuppgifter behandlas av underbiträdet ska Personuppgiftsbiträdet inte tillhandahålla Tjänsten i de delar som rör Behandlingen som utförs av underbiträdet, men ska i övrigt tillhandahålla resterande delar av Tjänsten enligt Avtalet.

7.         Personuppgiftsbiträdets ansvar gentemot Personuppgiftsansvarig

7.1.     Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige i den utsträckning som krävs för att den Personuppgiftsansvarige ska kunna uppfylla den Registrerades rättigheter enligt Tillämplig dataskyddsreglering, så som att rätta, radera och begränsa behandling av Personuppgifter och lämna registerutdrag till den Registrerade.

7.2.     Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige i den utsträckning som krävs för att den Personuppgiftsansvarige ska kunna uppfylla sina skyldigheter att bland annat rapportera personuppgiftsincidenter till tillsynsmyndigheten och den Registrerade, utföra konsekvensbedömningar avseende dataskydd och samråda med tillsynsmyndigheten, i enlighet med Tillämplig dataskyddsreglering.

8.         Överföring av Personuppgifter utanför EU och EES

8.1.     Personuppgiftsbiträdet får överföra Personuppgifter utanför EU/EES förutsatt att överföringen sker i enlighet med Tillämplig dataskyddsreglering och att Personuppgiftsbiträdet vidtar alla nödvändiga åtgärder för att sådan överföring ska anses tillåten enligt Tillämplig dataskyddsreglering, t.ex. genom undertecknande av Kommissionens standardavtalsklausuler (SCC). Personuppgiftsbiträdet ska ha rätt att ingå sådana standardavtalsklausuler för den Personuppgiftsansvariges räkning.

8.2.     Vid meddelande om nytt underbiträde enligt punkten 6.3 har den Personuppgiftsansvarige rätt att motsätta sig eventuell förändring avseende underbiträde vilken innebär en överföring av Personuppgifter utanför EU/EES i de fall det är befogat med hänsyn till Tillämplig dataskyddsreglering eller annan bindande rättslig reglering som den Personuppgiftsansvarige är bunden av. Skulle den Personuppgiftsansvarige motsätta sig sådan överföring av Personuppgifter till land utanför EU/EES och Parterna inte kan enas om en lösning, ska den Personuppgiftsansvarige ha rätt att skriftligen säga upp Avtalet med trettio (30) dagars uppsägningstid.

9.         Utlämnande av Personuppgifter

9.1.     Skulle den Registrerade begära tillgång till eller uppgifter om sina Personuppgifter som Personuppgiftsbiträdet behandlar, ska Personuppgiftsbiträdet vidarebefordra en sådan förfrågan till den Personuppgiftsansvarige.

9.2.     Personuppgiftsbiträdet äger inte rätt att utlämna eller bereda tillgång till de Registrerades Personuppgifter till tredje part. Skulle en förfrågan om ett sådant utlämnande riktas mot Personuppgiftsbiträdet ska Personuppgiftsbiträdet vidarebefordra denna förfrågan till Personuppgiftsansvarig. Skulle förfrågan komma från myndighet, domstol eller liknande tredje part som Personuppgiftsbiträdet har en skyldighet att utlämna Personuppgifterna till, ska Personuppgiftsbiträdet inte vara skyldig att informera den Personuppgiftsansvarige om en sådan förfrågan, utlämnande eller tillträde.

10.      Rätten till granskning och inspektioner

10.1.        Den Personuppgiftsansvarige har rätt att efter begäran och utan extra kostnad, få en skriftlig rapport från Personuppgiftsbiträdet som specificerar vilka åtgärder Personuppgiftsbiträdet har vidtagit för att uppfylla i Biträdesavtalet föreskrivna åtaganden.

10.2.        Den Personuppgiftsansvarige äger rätt att genom en oberoende tredje part granska och inspektera Personuppgiftsbiträdets behandling av Personuppgifter och kontrollera att Personuppgiftsbiträdets behandling av Personuppgifter sker i enlighet med Biträdesavtalet samt i enlighet med Tillämplig dataskyddsreglering. En sådan skyldighet innefattar, men är inte begränsad till, att ge tillträde till Personuppgiftsbiträdets lokaler och datorutrustning i erforderlig omfattning för detta ändamål. Den Personuppgiftsansvarige ska dock senast sju (7) dagar innan inspektionen lämna skriftligt meddelande om inspektionen till Personuppgiftsbiträdet. Inspektionen ska ske under normal arbetstid.

10.3.        Vardera part ska stå sina egna kostnader för revision enligt punkt 10.2.

11. Tekniska och organisatoriska åtgärder

11.1.        Personuppgiftsbiträdet åtar sig att upprätta och vidmakthålla lämpliga tekniska och organisatoriska åtgärder i syfte att skydda de Personuppgifter som behandlas mot obehörig, oavsiktlig eller olaglig åtkomst, spridning, förlust, förstörelse eller skada på sådana Personuppgifter. Sådana åtgärder ska vidtas med beaktande av (i) de tekniska möjligheter som finns, (ii) kostnader för att genomföra åtgärderna, (iii) de särskilda risker som finns med behandlingen, och (iv) graden av känslighet de behandlade Personuppgifterna har. Sådana åtgärder inkluderar men är inte begränsade till att föra loggar över uppgifterna, en säker IT-miljö samt fysiska säkerhetsåtgärder och säkerhetsrutiner.

11.2.        Personuppgiftsbiträdet åtar sig att endast medge tillgång till Personuppgifter till sådana anställda eller andra personer vilka ett avslöjande är nödvändigt för att Personuppgiftsbiträdet ska kunna fullgöra sina förpliktelser enligt Avtalet. Personuppgiftsbiträdet åtar sig vidare att tillse att samtliga av Personuppgiftsbiträdets anställda och andra personer som får tillgång till Personuppgifter förbinder sig att följa bestämmelserna i detta Biträdesavtal. Personuppgiftsbiträdet ska vidare tillse att uppgifter om all åtkomst till Personuppgifterna registreras genom loggar i sådan utsträckning och på sådant sätt att det utan dröjsmål, på inrådan av den Personuppgiftsansvarige, kan kontrolleras om någon obehörig, och i sådant fall vem, fått eller berett sig tillgång till Personuppgifterna.

11.3.        Ovan nämnda tekniska och organisatoriska åtgärder ska innefatta, men inte vara begränsade till:

    • antagande av en företagsomfattande säkerhetspolicy och instruktioner för behandling av Personuppgifter inom Personuppgiftsbiträdets organisation.
    • återkommande utbildning av anställda och annan personal involverade i behandlingen av Personuppgifterna, avseende såväl säkerhetspolicyn, instruktioner som annan Tillämplig dataskyddsreglering.
    • inrättande av en säker IT-miljö, innefattande bland annat erforderliga säkerhetsrutiner, krypteringssystem, användarauktorisation samt back-up rutiner, innefattande lagring av back-up kopior.
    • införande av erforderliga fysiska säkerhetsåtgärder, så som inpasseringskontrollsystem, brand-, vatten-, och inbrottslarm mm. 

12.      Ansvarsbegränsning

Personuppgiftsbiträdets skadeståndsansvar enligt detta Biträdesavtal är begränsat i omfattning och belopp som framgår av i första hand Avtalet, och i andra hand de Allmänna Villkoren, om inget annat framgår i detta Biträdesavtal.

13.      Ersättning

Parterna är ense om att den eller de avgifter som den Personuppgiftsansvarige erlägger till Personuppgiftsbiträdet enligt Avtalet innefattar kompensation för Personuppgiftsbiträdets åtaganden enligt Biträdesavtalet. Skulle den Personuppgiftsansvarige efterfråga åtgärder utöver detta Biträdesavtal ska ytterligare ersättning för detta utgå.

14.      Biträdesavtalets ikraftträdande och upphörande

14.1.  Biträdesavtalet träder i kraft på Avtalsdagen och ska ha samma giltighetstid som Avtalet. Förtida upphörande av Avtalet innebär att detta Biträdesavtal automatiskt upphör att gälla.

14.2.  Personuppgiftsbiträdet ska vid Avtalets upphörande och i enlighet med Personuppgiftsansvariges instruktioner utan dröjsmål återlämna, eller för det fall den Personuppgiftsansvarige så begär, förstöra samtliga Personuppgifter (inklusive kopior därav) som omfattas av Avtalet. Återlämnandet, eller förstörandet i tillämpliga fall, ska ske på sådant sätt att Personuppgiftsbiträdet därefter inte har tillgång till sådana Personuppgifter. Personuppgiftsbiträdet ska därefter till den Personuppgiftsansvarige skriftligen intyga att återlämnade eller förstörelse skett.

15.      Avtalsdokument och ändringar

15.1.  Ändringar av och tillägg till Biträdesavtalet ska vara skriftliga och undertecknade av båda Parter för att vara bindande.

15.2.  Vid bristande överensstämmelse mellan andra dokument inom Avtalet och Biträdesavtalet avseende Behandling av Personuppgifter, ska bestämmelserna i detta Biträdesavtal äga företräde.

15.3.  Detta Biträdesavtal utgör hela avtalet mellan Parterna avseende de frågor som Biträdesavtalet berör och ersätter alla tidigare skriftliga eller muntliga åtaganden.

16.      Lagval och tvistlösning

Svensk rätt ska tillämpas på Avtalet. Tvist angående tillämpning eller tolkning av Avtalet ska prövas av Stockholms tingsrätt som första instans. Språket för förfarandet ska vara svenska, om Parterna inte har överenskommit något annat. 

 

Bilaga 1

1.         Kategorier av Registrerade

Personuppgiftsbiträdet ska behandla följande Personuppgifter om följande kategorier av Registrerade för den Personuppgiftsansvariges räkning:

 i.           Användare av tjänsterna,

ii.           Kontaktpersoner hos kund

2.          Kategorier av Registrerade

Personuppgiftsbiträdet ska behandla följande kategorier av Personuppgifter för den Personuppgiftsansvariges räkning:

            i.           namn,

          ii.           telefonnummer,

         iii.           e-postadress,

         iv.           arbetsgivare/uppdragsgivare,

          v.           projekt,

         vi.           bild,

        vii.           aktiviteter i Tjänsten, så som uppskattning av slutdatum, ändring av slutdatum, markering som återlämningsbar, tilldelning av ansvar, taggning, etc, som personen utför,

      viii.           olika typer av ansvar för åtgärder och mått av prestationer på arbetsplatsen,

         ix.           teknisk data, vilket kan inkludera det URL genom vilket du får åtkomst till hemsidan, din IP-adress, unique device ID, språk, typ och version av telefon, och

          x.           lokaliseringsuppgifter.

 

3.         Ändamål med Behandlingen

Personuppgiftsbiträdet ska behandla Personuppgifter för följande ändamål för den Personuppgiftsansvariges räkning:

            i.           namn - för att kunna identifiera ansvar och sammanställa kontaktuppgifter,

          ii.           telefonnummer - för identifiering vid inloggning för att säkerställa att obehöriga inte får tillgång till Tjänsten och för att kunna kontakta personen,

         iii.           e-postadress - för att vi ska kunna skicka en inbjudan till Tjänsten, för att skicka meddelanden och notifieringar och för att informera om uppdateringar,

         iv.           arbetsgivare/uppdragsgivare - för att kunna aggregera statistik och tillhandahålla beslutsunderlag,

          v.           projekt – för att begränsa vilka artiklar som visualiseras för användaren, för att kunna aggregera statistik och tillhandahålla beslutsunderlag,

         vi.           bild -  för att kunna identifiera specifik person ute på arbetsplatsen,

        vii.           aktiviteter i Tjänsten – för att förbättra och utveckla Tjänsten, utveckla nya tjänster och produkter, samt att analysera din användning av Tjänsten,

      viii.           teknisk data-  för att förbättra och utveckla Tjänsten, utveckla nya tjänster och produkter, samt att analysera din användning av Tjänsten, för att säkerställa de tekniska funktionerna hos Tjänsten och för att förhindra användning av Tjänsterna i strid med Avtalet, och

         ix.           lokaliseringsuppgifter - för språkinställningar, tidszon, att kunna identifiera plats på artiklarna, och identifiera närliggande projekt

4. Underbiträden

Vid ingåendet av detta Biträdesavtal anlitar Personuppgiftsbiträdet följande underbiträden i syfte att Behandla Personuppgifter för den Personuppgiftsansvariges räkning:

            i.           Intercom, Inc

          ii.           Mixpanel, Inc

         iii.           Amazon Web Services Inc

         iv.           Toyger Soft LLC (Kaiten)

          v.           Atlassian Corporation Plc (Trello)

         vi.           Functional Software, Inc (Sentry)

        vii.           Google LLC (Firebase)

 

Senast uppdaterad: 2018-06-07