Personuppgiftsbiträdesavtal (DPA)

Detta avtal är giltigt från och med 25 maj 2018. Du kan se föregående version här (på engelska).

Se en jämförelse av det gamla och nya avtalet med en översikt av ändringarna här.

Mellan SuperOffice Sweden AB (“Personuppgiftsbiträde”) och Kunden (“Personuppgiftsansvarig”)

1.      Ändamål och Definitioner

Ändamålet med detta Personuppgiftsbiträdesavtal är att reglera Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning vid tillhandahållandet av SuperOffice CRM Online-tjänster (“Tjänsten”) såsom vidare beskrivs i SuperOffice CRM Online Abonnemangsavtal (“Abonnemangsavtalet”).

Detta Personuppgiftsbiträdesavtal reglerar Personuppgiftsbiträdets rättigheter och skyldigheter för att säkerställa att all behandling av personuppgifter utförs i enlighet med gällande dataskyddslagstiftning.

Behandling av personuppgifter (såsom definierat nedan) är föremål för krav och skyldigheter enligt gällande rätt. När den Personuppgiftsansvarige är en etablerad juridisk enhet inom EU kommer tillämplig dataskyddslagstiftning att omfatta nuvarande EU- förordningen 2016/679 av 27 April 2016 och kompletterande nationell lagstiftning. Parterna är överens om att justera detta Personuppgiftsbiträdeavtal i den omfattning som krävs med anledning av EU-förordningen 2016/679 och uppdaterad  EU-förordning om elektronisk kommunikation (”ePrivacy”) såsom den gäller i Sverige.

Personuppgifter” avser varje upplysning som avser en identifierad eller identifierbar fysisk person, såsom vidare definieras i tillämplig lag och i  EU-förordningen 2016/679.

Behandling” av Personuppgifter ska avse varje användning, åtgärd eller kombination av åtgärder beträffande Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, överföring, lagring, ändring, utlämning såsom vidare definieras i tillämplig lag och EU-förordningen 2016/679.

Tredjeland” avser länder utanför EU/EES-området vilka inte anses säkerställa en adekvat skyddsnivå för behandling av Personuppgifter.

2.    Personuppgiftsansvariges ansvar

För att kunna använda Tjänsten, måste den Personuppgiftsansvarige lämna vissa uppgifter till Personuppgiftsbiträdet, inbegripet användarnas korrekta namn, kontaktinformation och e-postadress. Därutöver måste användarna av Tjänsten låta Personuppgiftsbiträdet lagra och hämta användarinformation genom användandet av “cookies” vilket är nödvändigt för att möjliggöra in-/utloggningsförfarandet som används i Tjänsten och för att säkerställa att obehöriga personer inte får tillgång till Tjänsten.

Den Personuppgiftsansvarige bekräftar och accepterar att alla Personuppgifter som den Personuppgiftsansvarige laddar upp i Tjänsten, såsom uppladdade Personuppgifter avseende den Personuppgiftsansvariges egna kunder, kan överföras till en tredje part (personuppgiftsunderbiträde) baserad inom Europeiska Ekonomiska Samarbetet (EES) som kommer att hysa Tjänsten, samt även tillhandhålla hårdvara, infrastruktur, datalagring och kommunikationslinjer. Den tredje partens skyldighet i förhållande till Personuppgifter regleras i ett separat personuppgiftsbiträdesavtal mellan Personuppgiftsbiträdet och tredje parten inom ramen för detta Personuppgiftsbiträdesavtal. All data uppgifter i Tjänsten är lagrade på servrar belägna i Europa.

Den Personuppgiftsansvarige intygar att den Personuppgiftsansvarige:

  • har erforderlig rättslig grund för behandling av Personuppgifter;
  • får använda Personuppgiftsbiträdet för behandling av Personuppgifter.  
  • har ansvaret för Personuppgifternas korrekthet, integritet, innehåll, pålitlighet och legalitet;
  • iakttar tillämplig lag gällande anmälan till, och tillstånd av, relevanta myndigheter;
  • har informerat de Registrerade i enlighet med tillämplig lag

Den Personuppgiftsansvarige ska:

  • svara på de Registrerades förfrågningar angående Behandlingen av Personuppgifter enligt detta Personuppgiftsbiträdesavtal;
  • bedöma nödvändigheten av de specifika åtgärder som nämns i detta Personuppgiftsbiträdesavtal p. 3.3.2 och 3.3.4, och begära sådana åtgärder av Personuppgiftsbiträdet

Den Personuppgiftsansvarige ska genomföra tillräckliga tekniska och organisatoriska åtgärder för att säkerställa och visa överensstämmelse med EU-förordningen 2016/679 från och med den tidpunkt då den träder i kraft.

Den Personuppgiftsansvarige har en skyldighet att anmäla personuppgiftsincident till behörig tillsynsmyndighet och, om nödvändigt, meddela de Registrerade utan onödigt dröjsmål i enlighet med tillämplig lag.

3.    Personuppgiftsbiträdets ansvar

3.1 Efterlevnad

Personuppgiftsbiträdet ska iaktta alla bestämmelser avseende skydd för Personuppgifter som anges i detta Personuppgiftsbiträdesavtal och i gällande dataskyddslagstiftning tillämplig på Behandling av Personuppgifter. Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige för att säkerställa och dokumentera att den Personuppgiftsansvarige uppfyller kraven enligt gällande dataskyddslagstiftning.

Personuppgiftsbiträdet ska iaktta de instruktioner och rutiner som den Personuppgiftsansvarige utfärdat avseende Behandling av Personuppgifter.

3.2 Begränsning av användning

Personuppgiftsbiträdet ska bara Behandla Personuppgifter på, och i enlighet med den Personuppgiftsansvariges instruktioner. Personuppgiftsbiträdet ska inte Behandla Personuppgifter utan att dessförinnan ha tecknat skriftligt avtal med den Personuppgiftsansvarige eller utan skriftliga instruktioner från den Personuppgiftsansvarige utöver vad som är nödvändigt för att uppfylla åtagandena enligt Avtalet med den Personuppgiftsansvarige.

3.3 Informationssäkerhet

3.3.1 Skyldighet att säkerställa informationssäkerhet

Personuppgiftsbiträdet ska genom planerade, systematiska, organisatoriska och tekniska åtgärder säkerställa lämplig informationssäkerhet med hänsyn till konfidentialitet, integritet och tillgänglighet i samband med Behandlingen av Personuppgifter i enlighet med bestämmelser om informationssäkerhet i tillämplig dataskyddslagstiftning.

Åtgärderna och dokumentationen avseende intern kontroll ska göras tillgängliga för den Personuppgiftsansvariges på dennes begäran .

3.3.2 Bedömning av åtgärder

Vid avgörandet av vilka tekniska och organisatoriska åtgärder som ska vidtas, ska Personuppgiftsbiträdet, i samråd med den Personuppgiftsansvarige, ta hänsyn till:

  • den senaste utvecklingen,
  • genomförandekostnad,
  • behandlingens art och omfattning,
  • sammanhanget och ändamål med behandlingen,
  • riskerna för fysiska personers rättigheter och friheter vid Behandling av Personuppgifter

Personuppgiftsbiträdet ska, i samråd med den Personuppgiftsansvarige, överväga:

  • implementering av pseudonymisering och kryptering av Personuppgifter,
  • förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndighetskraft hos behandlingsystemen och tjänsterna,
  • förmågan att återställa tillgängligheten och tillgången till Personuppgifter i rimlig tid vid en fysisk eller teknisk incident,
  • ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa Behandlingens säkerhet.

3.3.3 Förfrågningar från de Registrerade

Med tanke på Behandlingens art, ska Personuppgiftsbiträdet genom lämpliga tekniska och organisatoriska åtgärder hjälpa den Personuppgiftsansvarige så att denne kan fullgöra sin skyldighet att svara på begäran om utövande av de Registrerades rättigheter.

3.3.4 Bistånd till Personuppgiftsansvarige

Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige med att säkerställa överensstämmelse med tillämplig lag, inklusive att bistå den Personuppgiftsansvarige med att:

  • genomföra tekniska och organisatoriska åtgärder enligt ovan;
  • iaktta skyldigheten att anmäla en personuppgiftsincident till tillsynsmyndigheten och de Registrerade;
  • utföra konsekvensbedömning av datasäkerhet,
  • rådfråga tillsynsmyndigheten när en konsekvensbedömning så kräver;
  • informera den Personuppgiftsansvarige om Personuppgiftsbiträdet anser att en instruktion från den Personuppgiftsansvarige strider mot tillämplig dataskyddslagstiftning.

Bistånd som anges ovan ska utföras i den utsträckning som är nödvändig med hänsyn till den Personuppgiftsansvariges behov, behandlingens karaktär och den information som är tillgänglig för Personuppgiftsbiträdet.

3.3.5 Ersättning

Bistånd från Personuppgiftsbiträde som anges i detta Personuppgiftsbiträdesavtal, liksom bistånd avseende specifika rutiner och instruktioner som föreskrivs av den Personuppgiftsansvarige, ska ersättas av den Personuppgiftsansvarige i enlighet med Personuppgiftsbiträdets vanliga villkor och priser.

3.4 Avvikelser och meddelande om personuppgiftsincidenter

Användning av informationssystemen och Personuppgifterna som inte stämmer överens med etablerade rutiner, instruktioner från den Personuppgiftsansvarige eller tillämplig dataskyddslagstiftning, liksom eventuella säkerhetsöverträdelser, ska ses som en avvikelse.

Personuppgiftsbiträde ska ha rutiner och systematiska processer för att följa upp avvikelser, vilket ska inkludera återställande av det normala tillståndet, eliminerande av orsaken till avvikelsen och förhindrande av dess återkomst.

Personuppgiftsbiträdet ska omedelbart meddela den Personuppgiftsansvarige om eventuella brott mot detta Personuppgiftsbiträdesavtal eller vid oavsiktlig, olaglig eller obehörig tillgång till Personuppgifter, användande eller avslöjande av Personuppgifter, eller om Personuppgifterna kan ha blivit komprometterade eller att Personuppgifternas integritet har kränkts. Personuppgiftsbiträdet ska tillhandahålla den Personuppgiftsansvarige med all information som är nödvändig för att den Personuppgiftsansvarige ska kunna att iaktta gällande personuppgiftslagstiftning och att svara på frågor från tillsynsmyndigheten. Det är den Personuppgiftsansvariges ansvar att anmäla avvikelser till tillsynsmyndigheten I enlighet med gällande lag.

3.5 Sekretess

Personuppgiftsbiträdet ska iaktta sekretess avseende alla Personuppgifter och annan konfidentiell information. Personuppgiftsbiträdet ska säkerställa att varje person som arbetar för Personuppgiftsbiträdet, oavsett om denne är anställd eller inhyrd, som har tillgång till eller är involverad i Behandlingen av Personuppgifter enligt Abonnemangsavtalet (i) åtar sig att iaktta sekretess och (ii) är informerad om och iakttar de skyldigheter som följer av detta Personuppgiftsbiträdesavtal. Skyldigheten att iaktta sekretess ska äga tillämpning även efter att Abonnemangsavtalet eller detta Personuppgiftsbiträdesavtal upphör.

3.6 Granskningar av säkerhet

Personuppgiftsbiträde ska regelbundet utföra revisioner av säkerhet I system och liknande som är relevant för Behandlingen av Personuppgifter som omfattas av detta Personuppgiftsbiträdesavtal. Rapporter som dokumenterar säkerhetsrevisionerna ska hållas tillgängliga för den Personuppgiftsansvarige.

Den Personuppgiftsansvarige äger rätt att kräva revisoner som ska utföras av en oberoende tredje part valda av Personuppgiftsbiträde. Den tredje parten ska tillhandahålla en rapport som ska presenteras för den Personuppgiftsansvarige på begäran. Den personuppgiftsansvarige accepterar att Personuppgiftsbiträdet kan komma att begära ersättning för sådan revision.

3.7 Användning av underleverantörer (sub-processors)

Personuppgiftsbiträdet får använda underleverantörer och den Personuppgiftsansvarige godkänner användandet av underleverantörer. En lista över i förväg godkända underleverantörer är tillgängliga i SuperOffice Integritetscenter. Personuppgiftsbiträdet ska, enligt skriftligt avtal med alla underleverantörer, säkerställa att Behandling av Personuppgifter som utförs av underleverantör är föremål för samma skyldigheter och begräsningar som åligger Personuppgiftsbiträdet enligt detta Personuppgiftsbiträdesavtal.

Om Personuppgiftsbiträdet avser att ändra underleverantörer eller avser att använda en ny underleverantör, ska Personuppgiftsbiträdet meddela den Personuppgiftsansvarige skriftligen med 4 månaders varsel innan den nye underleverantören behandlar Personuppgifter, och den Personuppgiftsansvarige har rätt att inom 1 månad invända mot ändringen av underleverantör. Om den Personuppgiftsansvarige invänder mot sådan ändring, får den Personuppgiftsansvarige säga upp Abonnemangsavtalet med 3 månaders varsel. För det fall den Personuppgiftsansvarige inte säger upp Abonnemangsavtalet ska ändringen av underleverantör anses accepterad.

 3.8 Överföring av Personuppgifter till tredjeland

Om Personuppgiftsbiträdet anlitar underleverantörer utanför EU/EES-området för att Behandla Personuppgifter, måste sådan Behandling ske i enlighet med EU:s Privacy Shield-regelverket, EU:s Standardavtalsvillkor för överföring till tredje länder, eller annan specifikt angiven laglig grund för överföring av Personuppgifter till tredjeland. Till undvikande av missförstånd gäller detsamma om data lagras inom EU/EES men där åtkomst kan ske från platser utom EU/EES.

I det fall den Personuppgiftsansvarige godkänner sådan överföring av Personuppgifter, är Personuppgiftsbiträdet skyldig att samarbeta med den Personuppgiftsansvarige för att säkerställa lagenliga överföringar.

4.    Ansvar, överträdelse

Vid överträdelse av detta Personuppgiftsbiträdesavtal, eller ett åsidosättande av skyldigheter enligt tillämplig lag om Behandling av Personuppgifter, ska relevanta bestämmelser om överträdelse i Abonnemangsavtalet tillämpas.

Anspråk från en part med anledning av den andre partens bristande fullgörelse av Personuppgiftsbiträdesavtalet ska vara föremål för samma begränsningar som i Abonnemangsavtalet. Vid en bedömning av huruvida begränsningen i Abonnemangsavtalet är uppnådd, ska anspråk enligt detta Personuppgiftsbiträdesavtal och Abonnemangsavtalet granskas i ett sammanhang, och begränsningen i Abonnemangsavtalet ska ses som en fullständig begränsning.  

Personuppgiftsbiträdet ska utan onödigt dröjsmål meddela den Personuppgiftsansvarige om denne kommer att, eller har anledning att tro att denne kommer att, vara oförmögen att uppfylla sina skyldigheter enligt detta Personuppgiftsbiträdesavtal.  

5.    Avtalstid och uppsägning av Personuppgiftsbiträdesavtalet, ändringar

Detta Personuppgiftsbiträdesavtal ska gälla från dagen för undertecknande av båda parter och gälla till dess Personuppgiftsbiträdets förpliktelser med avseende på Abonnemangsavtalet upphör, förutom de bestämmelser i Abonnemangsavtalet och Personuppgiftsbiträdesavtalet som fortsätter att gälla även efter sådant upphörande.

När detta Personuppgiftsavtal upphör ska Personuppgifterna/data återlämnas i ett standardiserat format och medium tillsammans med nödvändiga instruktioner för att underlätta för den Personuppgiftsansvariges fortsatta användning av Personuppgifterna/data. Personuppgiftsbiträdet ska först återlämna och därefter radera alla Personuppgifter och annan data. Personuppgiftsbiträdet (och dess underleverantörer) ska omedelbart upphöra med Behandling av Personuppgifter från datum som angivits av den Personuppgiftsansvarige.

Som alternativt till att återlämna Personuppgifterna (eller annan data), står det den Personuppgiftsansvarige fritt att skriftligen instruera Personuppgiftsbiträdet om att alla eller delar av Personuppgifterna (eller annan data) ska raderas av Personuppgiftsbiträde, om inte Personuppgiftsbiträdet är förhindrad därtill på grund av bindande lagstiftning.

Personuppgiftsbiträdet har ingen rätt att behålla en kopia av någon data tillhandahållen av den Personuppgiftsansvarige med anknytning till Abonnemangsavtalet eller detta Personuppgiftsbiträdesavtal i något format, och all fysisk och logisk tillgång till sådana Personuppgifter eller annan data ska raderas.

Personuppgiftsbiträdet ska förse den Personuppgiftsansvarige med en skriftlig förklaring genom vilken den Personuppgiftsansvarige intygar att alla Personuppgifter eller annan ovan nämnd data har återlämnats eller raderats i enlighet med den Personuppgiftsansvariges instruktioner och att Personuppgiftsbiträdet inte har behållit någon kopia, utskrift eller behållit data på något medium.  

Skyldigheterna enligt punkt 3.5 and 4 ska äga tillämpning även efter Avtalets upphörande. Därutöver ska bestämmelserna i Personuppgiftsbiträdesavtalet tillämpas fullt ut på Personuppgifter som Personuppgiftsbiträdet behåller i strid med detta avsnitt 5.

Parterna ska göra ändringar i detta Personuppgiftsbiträdesavtal vid relevanta ändringar i tillämplig lag.

6.    Tvist och jurisdiktion

Detta Personuppgiftsbiträdesavtal ska lyda under tillämplig lag utifrån vilken verksamhetsdel av SuperOffice som Kunden ingår avtal med:

Om du är etablerad i: Kunden ingår avtal med: Meddelanden ska skickas till: Tillämplig lag är: Behörig domstol med exklusiv jurisdiktion är:
Danmark SuperOffice Danmark A/S Delta Park 46, DK-2665 Vallensbæk Strand, Danmark Dansk Köpenhamn, Danmark
Finland coh Sverige SuperOffice Sweden AB Ynglingagatan 14,SE-113 47 Stockholm, Sverige Svensk Stockholm, Sverige
Norge SuperOffice Norge AS Wergelandsveien 27
NO-0167 Oslo, Norge
Norsk Oslo, Norge
Tyskland SuperOffice GmbH Martin-Schmeißer-Weg 3b, D-44227 Dortmund, Germany Tysk Dortmund, Tyskland
Storbritannien och Irland SuperOffice Software Ltd. Cranfield Innovation Centre, Cranfield University Technology Park, University Way, Cranfield, Bedfordshire, MK43 0BT, United Kingdom Brittisk Milton Keynes, Storbritannien
Schweiz SuperOffice AG Uferstrasse 90, 4057 Basel, Switzerland Schweizisk Basel, Schweiz
Nederländerna, Belgien och Luxemburg SuperOffice Benelux B.V. Emmasingel 29.41, 5611 AZ  Netherlands Holländsk Oost-Brabant, locatie Eindhoven,
Nederländerna

 

Det lands lag som specificeras i tabellen ovan är inte, och är inte ämnade att utgöra, undantag till bestämmelser gällande territoriellt tillämpningsområde i artikel 3 i EU:s Dtaskyddsförordning eller annan tillämplig lagstiftning.

Lista över på förhand godkända underleverantörer (Underbiträden)

Enligt punkt 3.7 i detta avtal, kommer SuperOffice att ha en lista över redan godkända Underleverantörer. Denna lista finns tillgänglig på SuperOffice Integritetscenter.