Personuppgiftsbiträdesavtal (DPA)
Detta avtal är giltigt från och med 1 april 2022. Du kan se föregående version här.
Se en jämförelse av det gamla och nya avtalet med en översikt av ändringarna här.
Mellan SuperOffice Sweden AB (“Personuppgiftsbiträde”) och Kunden (“Personuppgiftsansvarig”)
1. Ändamål och Definitioner
Ändamålet med detta Personuppgiftsbiträdesavtal är att reglera Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning vid tillhandahållandet av SuperOffice CRM Online-tjänster (“Tjänsten”) såsom vidare beskrivs i SuperOffice CRM Online Abonnemangsavtal (“Abonnemangsavtalet”).
Detta Personuppgiftsbiträdesavtal reglerar Personuppgiftsbiträdets rättigheter och skyldigheter för att säkerställa att all behandling av personuppgifter utförs i enlighet med gällande dataskyddslagstiftning.
Behandling av personuppgifter (såsom definierat nedan) är föremål för krav och skyldigheter enligt gällande rätt. När den Personuppgiftsansvarige är en etablerad juridisk enhet inom EU kommer tillämplig dataskyddslagstiftning att omfatta nuvarande EU- förordningen 2016/679 av 27 April 2016 och kompletterande nationell lagstiftning. Parterna är överens om att justera detta Personuppgiftsbiträdeavtal i den omfattning som krävs med anledning av EU-förordningen 2016/679 och uppdaterad EU-förordning om elektronisk kommunikation (”ePrivacy”) såsom den gäller i Sverige.
“Personuppgifter” avser varje upplysning som avser en identifierad eller identifierbar fysisk person, såsom vidare definieras i tillämplig lag och i EU-förordningen 2016/679.
“Behandling” av Personuppgifter ska avse varje användning, åtgärd eller kombination av åtgärder beträffande Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, överföring, lagring, ändring, utlämning såsom vidare definieras i tillämplig lag och EU-förordningen 2016/679.
“Tredjeland” avser länder utanför EU/EES-området vilka inte anses säkerställa en adekvat skyddsnivå för behandling av Personuppgifter.
2. Personuppgiftsansvariges ansvar
För att kunna använda Tjänsten, måste den Personuppgiftsansvarige lämna vissa uppgifter till Personuppgiftsbiträdet, inbegripet användarnas korrekta namn, kontaktinformation och e-postadress. Därutöver måste användarna av Tjänsten låta Personuppgiftsbiträdet lagra och hämta användarinformation genom användandet av “cookies” vilket är nödvändigt för att möjliggöra in-/utloggningsförfarandet som används i Tjänsten och för att säkerställa att obehöriga personer inte får tillgång till Tjänsten.
Den Personuppgiftsansvarige bekräftar och accepterar att alla Personuppgifter som den Personuppgiftsansvarige laddar upp i Tjänsten, såsom uppladdade Personuppgifter avseende den Personuppgiftsansvariges egna kunder, kan överföras till en tredje part (personuppgiftsunderbiträde) baserad inom Europeiska Ekonomiska Samarbetet (EES) som kommer att hysa Tjänsten, samt även tillhandhålla hårdvara, infrastruktur, datalagring och kommunikationslinjer. Den tredje partens skyldighet i förhållande till Personuppgifter regleras i ett separat personuppgiftsbiträdesavtal mellan Personuppgiftsbiträdet och tredje parten inom ramen för detta Personuppgiftsbiträdesavtal. All data uppgifter i Tjänsten är lagrade på servrar belägna i Europa.
Den Personuppgiftsansvarige intygar att den Personuppgiftsansvarige:
- har erforderlig rättslig grund för behandling av Personuppgifter;
- får använda Personuppgiftsbiträdet för behandling av Personuppgifter.
- har ansvaret för Personuppgifternas korrekthet, integritet, innehåll, pålitlighet och legalitet;
- iakttar tillämplig lag gällande anmälan till, och tillstånd av, relevanta myndigheter;
- har informerat de Registrerade i enlighet med tillämplig lag
Den Personuppgiftsansvarige ska:
- svara på de Registrerades förfrågningar angående Behandlingen av Personuppgifter enligt detta Personuppgiftsbiträdesavtal;
- bedöma nödvändigheten av de specifika åtgärder som nämns i detta Personuppgiftsbiträdesavtal p. 3.3.2 och 3.3.4, och begära sådana åtgärder av Personuppgiftsbiträdet
Den Personuppgiftsansvarige ska genomföra tillräckliga tekniska och organisatoriska åtgärder för att säkerställa och visa överensstämmelse med EU-förordningen 2016/679 från och med den tidpunkt då den träder i kraft.
Den Personuppgiftsansvarige har en skyldighet att anmäla personuppgiftsincident till behörig tillsynsmyndighet och, om nödvändigt, meddela de Registrerade utan onödigt dröjsmål i enlighet med tillämplig lag.
3. Personuppgiftsbiträdets ansvar
3.1 Efterlevnad
Personuppgiftsbiträdet ska iaktta alla bestämmelser avseende skydd för Personuppgifter som anges i detta Personuppgiftsbiträdesavtal och i gällande dataskyddslagstiftning tillämplig på Behandling av Personuppgifter. Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige för att säkerställa och dokumentera att den Personuppgiftsansvarige uppfyller kraven enligt gällande dataskyddslagstiftning.
Personuppgiftsbiträdet ska iaktta de instruktioner och rutiner som den Personuppgiftsansvarige utfärdat avseende Behandling av Personuppgifter.
3.2 Begränsning av användning
Personuppgiftsbiträdet ska bara Behandla Personuppgifter på, och i enlighet med den Personuppgiftsansvariges instruktioner. Personuppgiftsbiträdet ska inte Behandla Personuppgifter utan att dessförinnan ha tecknat skriftligt avtal med den Personuppgiftsansvarige eller utan skriftliga instruktioner från den Personuppgiftsansvarige utöver vad som är nödvändigt för att uppfylla åtagandena enligt Avtalet med den Personuppgiftsansvarige.
3.3 Informationssäkerhet
3.3.1 Skyldighet att säkerställa informationssäkerhet
Personuppgiftsbiträdet ska genom planerade, systematiska, organisatoriska och tekniska åtgärder säkerställa lämplig informationssäkerhet med hänsyn till konfidentialitet, integritet och tillgänglighet i samband med Behandlingen av Personuppgifter i enlighet med bestämmelser om informationssäkerhet i tillämplig dataskyddslagstiftning.
Åtgärderna och dokumentationen avseende intern kontroll ska göras tillgängliga för den Personuppgiftsansvariges på dennes begäran .
3.3.2 Bedömning av åtgärder
Vid avgörandet av vilka tekniska och organisatoriska åtgärder som ska vidtas, ska Personuppgiftsbiträdet, i samråd med den Personuppgiftsansvarige, ta hänsyn till:
- den senaste utvecklingen,
- genomförandekostnad,
- behandlingens art och omfattning,
- sammanhanget och ändamål med behandlingen,
- riskerna för fysiska personers rättigheter och friheter vid Behandling av Personuppgifter
Personuppgiftsbiträdet ska, i samråd med den Personuppgiftsansvarige, överväga:
- implementering av pseudonymisering och kryptering av Personuppgifter,
- förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndighetskraft hos behandlingsystemen och tjänsterna,
- förmågan att återställa tillgängligheten och tillgången till Personuppgifter i rimlig tid vid en fysisk eller teknisk incident,
- ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa Behandlingens säkerhet.
3.3.3 Förfrågningar från de Registrerade
Med tanke på Behandlingens art, ska Personuppgiftsbiträdet genom lämpliga tekniska och organisatoriska åtgärder hjälpa den Personuppgiftsansvarige så att denne kan fullgöra sin skyldighet att svara på begäran om utövande av de Registrerades rättigheter.
3.3.4 Bistånd till Personuppgiftsansvarige
Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige med att säkerställa överensstämmelse med tillämplig lag, inklusive att bistå den Personuppgiftsansvarige med att:
- genomföra tekniska och organisatoriska åtgärder enligt ovan;
- iaktta skyldigheten att anmäla en personuppgiftsincident till tillsynsmyndigheten och de Registrerade;
- utföra konsekvensbedömning av datasäkerhet,
- rådfråga tillsynsmyndigheten när en konsekvensbedömning så kräver;
- informera den Personuppgiftsansvarige om Personuppgiftsbiträdet anser att en instruktion från den Personuppgiftsansvarige strider mot tillämplig dataskyddslagstiftning.
Bistånd som anges ovan ska utföras i den utsträckning som är nödvändig med hänsyn till den Personuppgiftsansvariges behov, behandlingens karaktär och den information som är tillgänglig för Personuppgiftsbiträdet.
3.3.5 Ersättning
Bistånd från Personuppgiftsbiträde som anges i detta Personuppgiftsbiträdesavtal, liksom bistånd avseende specifika rutiner och instruktioner som föreskrivs av den Personuppgiftsansvarige, ska ersättas av den Personuppgiftsansvarige i enlighet med Personuppgiftsbiträdets vanliga villkor och priser.
3.4 Avvikelser och meddelande om personuppgiftsincidenter
Användning av informationssystemen och Personuppgifterna som inte stämmer överens med etablerade rutiner, instruktioner från den Personuppgiftsansvarige eller tillämplig dataskyddslagstiftning, liksom eventuella säkerhetsöverträdelser, ska ses som en avvikelse.
Personuppgiftsbiträde ska ha rutiner och systematiska processer för att följa upp avvikelser, vilket ska inkludera återställande av det normala tillståndet, eliminerande av orsaken till avvikelsen och förhindrande av dess återkomst.
Personuppgiftsbiträdet ska omedelbart meddela den Personuppgiftsansvarige om eventuella brott mot detta Personuppgiftsbiträdesavtal eller vid oavsiktlig, olaglig eller obehörig tillgång till Personuppgifter, användande eller avslöjande av Personuppgifter, eller om Personuppgifterna kan ha blivit komprometterade eller att Personuppgifternas integritet har kränkts. Personuppgiftsbiträdet ska tillhandahålla den Personuppgiftsansvarige med all information som är nödvändig för att den Personuppgiftsansvarige ska kunna att iaktta gällande personuppgiftslagstiftning och att svara på frågor från tillsynsmyndigheten. Det är den Personuppgiftsansvariges ansvar att anmäla avvikelser till tillsynsmyndigheten I enlighet med gällande lag.
3.5 Sekretess
Personuppgiftsbiträdet ska iaktta sekretess avseende alla Personuppgifter och annan konfidentiell information. Personuppgiftsbiträdet ska säkerställa att varje person som arbetar för Personuppgiftsbiträdet, oavsett om denne är anställd eller inhyrd, som har tillgång till eller är involverad i Behandlingen av Personuppgifter enligt Abonnemangsavtalet (i) åtar sig att iaktta sekretess och (ii) är informerad om och iakttar de skyldigheter som följer av detta Personuppgiftsbiträdesavtal. Skyldigheten att iaktta sekretess ska äga tillämpning även efter att Abonnemangsavtalet eller detta Personuppgiftsbiträdesavtal upphör.
3.6 Granskningar av säkerhet
Personuppgiftsbiträde ska regelbundet utföra revisioner av säkerhet I system och liknande som är relevant för Behandlingen av Personuppgifter som omfattas av detta Personuppgiftsbiträdesavtal. Rapporter som dokumenterar säkerhetsrevisionerna ska hållas tillgängliga för den Personuppgiftsansvarige.
Den Personuppgiftsansvarige äger rätt att kräva revisoner som ska utföras av en oberoende tredje part valda av Personuppgiftsbiträde. Den tredje parten ska tillhandahålla en rapport som ska presenteras för den Personuppgiftsansvarige på begäran. Den personuppgiftsansvarige accepterar att Personuppgiftsbiträdet kan komma att begära ersättning för sådan revision.
3.7 Användning av underleverantörer (sub-processors)
Personuppgiftsbiträdet får använda underleverantörer och den Personuppgiftsansvarige godkänner användandet av underleverantörer. En lista över i förväg godkända underleverantörer är tillgängliga i SuperOffice Integritetscenter. Personuppgiftsbiträdet ska, enligt skriftligt avtal med alla underleverantörer, säkerställa att Behandling av Personuppgifter som utförs av underleverantör är föremål för samma skyldigheter och begräsningar som åligger Personuppgiftsbiträdet enligt detta Personuppgiftsbiträdesavtal.
Om Personuppgiftsbiträdet avser att ändra underleverantörer eller avser att använda en ny underleverantör, ska Personuppgiftsbiträdet meddela den Personuppgiftsansvarige skriftligen med 4 månaders varsel innan den nye underleverantören behandlar Personuppgifter, och den Personuppgiftsansvarige har rätt att inom 1 månad invända mot ändringen av underleverantör. Om den Personuppgiftsansvarige invänder mot sådan ändring, får den Personuppgiftsansvarige säga upp Abonnemangsavtalet med 3 månaders varsel. För det fall den Personuppgiftsansvarige inte säger upp Abonnemangsavtalet ska ändringen av underleverantör anses accepterad.
3.8 Överföring av Personuppgifter till tredjeland
Om Personuppgiftsbiträdet anlitar underleverantörer utanför EU/EES-området för att Behandla Personuppgifter, måste sådan Behandling ske i enlighet med EU:s Standardavtalsvillkor för överföring till tredje länder, eller annan specifikt angiven laglig grund för överföring av Personuppgifter till tredjeland. Till undvikande av missförstånd gäller detsamma om data lagras inom EU/EES men där åtkomst kan ske från platser utom EU/EES.
I det fall den Personuppgiftsansvarige godkänner sådan överföring av Personuppgifter, är Personuppgiftsbiträdet skyldig att samarbeta med den Personuppgiftsansvarige för att säkerställa lagenliga överföringar. Om grunden för överföringen är EU: s standardavtalsklausuler (“SCC”) för personuppgiftsbiträden, godkänner den personuppgiftsansvarige härmed personuppgiftsbiträdet att ingå sådana SCC:er med tredje part på uppdrag av den personuppgiftsansvarige.
4. Ansvar, överträdelse
Vid överträdelse av detta Personuppgiftsbiträdesavtal, eller ett åsidosättande av skyldigheter enligt tillämplig lag om Behandling av Personuppgifter, ska relevanta bestämmelser om överträdelse i Abonnemangsavtalet tillämpas.
Anspråk från en part med anledning av den andre partens bristande fullgörelse av Personuppgiftsbiträdesavtalet ska vara föremål för samma begränsningar som i Abonnemangsavtalet. Vid en bedömning av huruvida begränsningen i Abonnemangsavtalet är uppnådd, ska anspråk enligt detta Personuppgiftsbiträdesavtal och Abonnemangsavtalet granskas i ett sammanhang, och begränsningen i Abonnemangsavtalet ska ses som en fullständig begränsning.
Personuppgiftsbiträdet ska utan onödigt dröjsmål meddela den Personuppgiftsansvarige om denne kommer att, eller har anledning att tro att denne kommer att, vara oförmögen att uppfylla sina skyldigheter enligt detta Personuppgiftsbiträdesavtal.
5. Avtalstid och uppsägning av Personuppgiftsbiträdesavtalet, ändringar
Detta Personuppgiftsbiträdesavtal ska gälla från dagen för undertecknande av båda parter och gälla till dess Personuppgiftsbiträdets förpliktelser med avseende på Abonnemangsavtalet upphör, förutom de bestämmelser i Abonnemangsavtalet och Personuppgiftsbiträdesavtalet som fortsätter att gälla även efter sådant upphörande.
När detta Personuppgiftsavtal upphör ska Personuppgifterna/data återlämnas i ett standardiserat format och medium tillsammans med nödvändiga instruktioner för att underlätta för den Personuppgiftsansvariges fortsatta användning av Personuppgifterna/data. Personuppgiftsbiträdet ska först återlämna och därefter radera alla Personuppgifter och annan data. Personuppgiftsbiträdet (och dess underleverantörer) ska omedelbart upphöra med Behandling av Personuppgifter från datum som angivits av den Personuppgiftsansvarige.
Som alternativt till att återlämna Personuppgifterna (eller annan data), står det den Personuppgiftsansvarige fritt att skriftligen instruera Personuppgiftsbiträdet om att alla eller delar av Personuppgifterna (eller annan data) ska raderas av Personuppgiftsbiträde, om inte Personuppgiftsbiträdet är förhindrad därtill på grund av bindande lagstiftning.
Personuppgiftsbiträdet har ingen rätt att behålla en kopia av någon data tillhandahållen av den Personuppgiftsansvarige med anknytning till Abonnemangsavtalet eller detta Personuppgiftsbiträdesavtal i något format, och all fysisk och logisk tillgång till sådana Personuppgifter eller annan data ska raderas.
Personuppgiftsbiträdet ska förse den Personuppgiftsansvarige med en skriftlig förklaring genom vilken den Personuppgiftsansvarige intygar att alla Personuppgifter eller annan ovan nämnd data har återlämnats eller raderats i enlighet med den Personuppgiftsansvariges instruktioner och att Personuppgiftsbiträdet inte har behållit någon kopia, utskrift eller behållit data på något medium.
Skyldigheterna enligt punkt 3.5 and 4 ska äga tillämpning även efter Avtalets upphörande. Därutöver ska bestämmelserna i Personuppgiftsbiträdesavtalet tillämpas fullt ut på Personuppgifter som Personuppgiftsbiträdet behåller i strid med detta avsnitt 5.
Parterna ska göra ändringar i detta Personuppgiftsbiträdesavtal vid relevanta ändringar i tillämplig lag.
6. Tvist och jurisdiktion
Detta Personuppgiftsbiträdesavtal ska lyda under tillämplig lag utifrån vilken verksamhetsdel av SuperOffice som Kunden ingår avtal med:
Om du är etablerad i: | Kunden ingår avtal med: | Meddelanden ska skickas till: | Tillämplig lag är: | Behörig domstol med exklusiv jurisdiktion är: |
Danmark | SuperOffice Danmark A/S | Delta Park 46, DK-2665 Vallensbæk Strand, Danmark | Dansk | Köpenhamn, Danmark |
Finland coh Sverige | SuperOffice Sweden AB | Ynglingagatan 14,SE-113 47 Stockholm, Sverige | Svensk | Stockholm, Sverige |
Norge | SuperOffice Norge AS | Wergelandsveien 27 NO-0167 Oslo, Norge |
Norsk | Oslo, Norge |
Tyskland | SuperOffice GmbH | Phoenixseestrasse 17, D-44263 Dortmund, Germany | Tysk | Dortmund, Tyskland |
Storbritannien och Irland | SuperOffice Software Ltd. | The Pinnacle, MK9 1BP, Milton Keynes, United Kingdom | Brittisk | Milton Keynes, Storbritannien |
Schweiz | SuperOffice AG | Uferstrasse 90, 4057 Basel, Switzerland | Schweizisk | Basel, Schweiz |
Nederländerna, Belgien och Luxemburg | SuperOffice Benelux B.V. | Emmasingel 29.41, 5611 AZ Netherlands | Holländsk | Oost-Brabant, locatie Eindhoven, Nederländerna |
Det lands lag som specificeras i tabellen ovan är inte, och är inte ämnade att utgöra, undantag till bestämmelser gällande territoriellt tillämpningsområde i artikel 3 i EU:s Dtaskyddsförordning eller annan tillämplig lagstiftning.
Lista över på förhand godkända underleverantörer (Underbiträden)
Enligt punkt 3.7 i detta avtal, kommer SuperOffice att ha en lista över redan godkända Underleverantörer. Denna lista finns tillgänglig på SuperOffice Integritetscenter.