Personuppgiftsbiträdesavtal

1 Bakgrund

Biträdesavtalet gäller för den behandling av personuppgifter som Ensotech utför för Kundens räkning vid tillhandahållande av Tjänsten avseende leads och superleads.se.

1.1 Ensotech är att anse som ensamt personuppgiftsansvarig för den behandling som sker av Ensotech innan det att Kunden får åtkomst till leads via Tjänsten. Kunden är däremot att betrakta som personuppgiftsansvarig för behandlingen av personuppgifter inom ramen för Tjänsten (d v s när Kunden får del av personuppgifter och/eller leads av Ensotech). Ensotech är att betrakta som personuppgiftsbiträde åt Kunden vid denna behandling. I egenskap av personuppgiftsbiträde ansvarar Ensotech för att utföra all behandling av personuppgifter för Kundens räkning i enlighet med Biträdesavtalet.

1.2 I händelse av konflikt mellan bestämmelser i detta Biträdesavtal och Villkoren ska detta Biträdesavtal äga företräde i frågor som rör behandling av personuppgifter.

1.3 Biträdesavtalet ska äga företräde framför alla tidigare avtal mellan Parterna där Ensotech är personuppgiftsbiträde åt Kunden och som rör personuppgiftsbehandling. Biträdesavtalet gäller så länge Ensotech behandlar personuppgifter för Kundens räkning.

Definitioner

Begreppen i detta Biträdesavtal, inklusive men inte begränsat till, ”personuppgifter”, ”behandling”, ”personuppgiftsansvarig”, ”personuppgiftsbiträde”, ”registrerad”, ”tredjeland”, ”pseudonymisering”, ”personuppgiftsincident” och ”tillsynsmyndighet”, ska ha samma betydelse som används i Dataskyddsförordningen.

Följande termer och definitioner ska ha nedan angiven lydelse, om inte omständigheterna uppenbart anger annat.

Dataskyddsförordningen

avser Europaparlamentets och Rådets Förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och annan tvingande relevant integritetslagstiftning som följer av nationell rätt.

Instruktionen

avser de instruktioner som Kunden tillhandahåller Ensotech enligt Underbilaga – Instruktionen och Kundens eventuella skriftliga uppdateringar av Instruktionen som godkänts av Ensotech.

2 Dokument

2.1 Biträdesavtalet består av detta dokument och Instruktionen.

2.2 För det fall det finns motsägelser mellan detta dokument och Instruktionen ska detta dokument äga företräde, om inte annat är särskilt stadgat eller omständigheterna tydligt föranleder annat.

3 Allmänt om Personuppgiftsbehandlingen

3.1 Ensotech har gett tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på sådant sätt att behandlingen av personuppgifter uppfyller kraven i Dataskyddsförordningen samt för att säkerställa att den registrerades rättigheter skyddas.

3.2 Ensotech ska, med beaktande av behandlingens art, assistera Kunden genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Kunden kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III i Dataskyddsförordningen.

4 Ändamål och typ av Personuppgifter m.m.

I Instruktionen ska bl.a. följande framgå: föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade.

5 instruktion

5.1 Ensotech får endast behandla personuppgifterna som omfattas av detta Biträdesavtal på de dokumenterade instruktionerna (inbegripet när det gäller överföringar av personuppgifter till ett tredjeland eller en internationell organisation, såvida inte denna behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Ensotech omfattas av, och i så fall ska Ensotech informera Kunden om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt relevant nationell rätt). Den skriftliga Instruktionen utgör Kundens samtliga instruktioner för behandling av personuppgifter med anledning av utförandet av Tjänsten.

5.2 Kunden har rätt att uppdatera Instruktionen från tid till annan. En uppdatering ska ske genom att Kunden sänder en ett skriftligt meddelande till Ensotech via e-post innehållandes kompletteringar till – eller avvikelser från – Instruktionen. Instruktionen ska anses uppdaterad efter Ensotechs skriftliga godkännande av Kundens kompletteringar till – eller avvikelser från – Instruktionen. Ensotech har endast rätt att neka en uppdatering av Instruktionen om kompletteringen eller avvikelsen går utöver de skyldigheter som följer av Dataskyddsförordningen och Ensotech inte kan utföra den begärda uppdateringen eller har sakliga skäl att motsätta sig en sådan uppdatering.

5.3 Vid en uppdatering av Instruktionen ska Ensotech, om uppdateringen innebär en viss omställning för Ensotech och den begärda uppdateringen inte följer av skyldigheter enligt Dataskyddsförordningen, ges skälig tid att genomföra en sådan uppdatering.

5.4 Ensotech äger rätt till skälig ersättning från Kunden om en uppdatering av Instruktionen medför en ökad kostnad eller merarbete för Ensotech.

5.5 Om Ensotech anser att Instruktionen från Kunden står i strid med Dataskyddsförordningen äger Ensotech rätt att omedelbart meddela Kunden detta och avvakta med behandlingen i syfte att invänta Kundens ändrade Instruktioner.

6 Ensotechs personal m.m.n

6.1 Ensotech, dess anställda och andra personer som utför arbete under Ensotechs överinseende, och som får del av personuppgifter som behandlas för Kundens räkning, får endast behandla dessa på Instruktion från Kunden, såvida denne inte är skyldig att göra det enligt unionsrätten eller svensk nationell rätt.

6.2 Ensotech ska tillse att dess anställda och samtliga övriga personer som Ensotech ansvarar för och som har behörighet att behandla personuppgifter som omfattas av detta Biträdesavtal åtagit sig att iaktta konfidentialitet (såvida inte denne person omfattas av lämplig lagstadgad tystnadsplikt).

7 Säkerhet

7.1 Ensotech ska vidta alla åtgärder avseende säkerhet som krävs enligt artikel 32 i Dataskyddsförordningen.

7.2 Med beaktande av typen av behandling och den information som Ensotech har att tillgå ska Ensotech bistå Kunden med att se till att skyldigheterna kring säkerhet – på sätt som följer av artikel 32 i Dataskyddsförordningen – kan fullgöras.

7.3 Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

8 Personuppgiftsincident

Ensotech ska, med beaktande av typen av behandling och den information som Ensotech har att tillgå, bistå Kunden med att tillse att skyldigheterna i samband med eventuell personuppgiftsincident kan fullgöras på sätt som följer av artikel 33-34, i Dataskyddsförordningen.

9 Konsekvensbedömning och förhandssamråd

Ensotech ska, med beaktande av behandlingens art och den information som är tillgänglig för Ensotech, bistå Kunden med att uppfylla dennes eventuella skyldigheter för utövandet av konsekvensbedömning och/eller förhandssamråd med tillsynsmyndighet enligt artikel 35 och 36 i Dataskyddsförordningen.

10 Underbiträde

10.1 Kunden godkänner att Ensotech anlitar de underbiträden som listas i Instruktionen för utförande av arbete enligt Biträdesavtalet. Ensotech får endast anlita ett nytt underbiträde eller byta ut ett befintligt underbiträde om Ensotech har informerat Kunden skriftligen om sina planer och Kunden inte skriftligen har invänt mot en sådan förändring inom tio (10) dagar från det att Ensotech lämnat ett skriftligt meddelat därom. Ett sådant meddelande från Kunden måste innehålla objektivt godtagbara skäl för att ett anlitande av ett nytt underbiträde ska kunna nekas. Objektivt godtagbart skäl är exempelvis att underbiträdet är en direkt konkurrent till Kunden eller att anlitandet av underbiträdet innebär en överföring av personuppgifter till ett tredje land som Kunden kan visa inte är ett tillåtet land eller region enligt Dataskyddsförordningen.

10.2 Om Ensotech har anlitat ett underbiträde för att utföra arbete för Kundens räkning ska Ensotech tillse att underbiträdet ingår ett skriftligt avtal innan det att underbiträdet påbörjar arbete som har anknytning till Kunden. Underbiträdet ska enligt ett sådant avtal, åläggas samma skyldigheter i fråga om dataskydd som de som fastställs i Biträdesavtalet mellan Kunden och Ensotech, och framför allt att ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i Dataskyddsförordningen.

10.3 Om underbiträdet inte fullgör sina skyldigheter i fråga om dataskydd ska Ensotech vara fullt ansvarig gentemot Kunden för utförandet av underbiträdets skyldigheter.

10.4 Ensotech är medvetet om att denne måste efterfölja och respektera vad som anges avseende anlitande av ett underbiträde.

11 Överföring till tredjeland

Ensotech får endast förflytta, förvara, överföra eller på annat sätt behandla personuppgifter tillhöriga Kunden inom EU/EES. Ensotech får endast överföra eller på annat sätt behandla personuppgifter tillhöriga Kunden utanför EU/EES om Kunden i förväg gett sitt skriftliga samtycke. En överföring till tredjeland förutsätter även att Ensotech, innan överföring till tredjeland påbörjas, uppfyller de krav och åtgärder som följer av Dataskyddsförordningen och medlemsstats nationella rätt vad avser tredjelandsöverföringar.

12 RÄTT TILL INSYN

12.1 Ensotech ska ge Kunden tillgång till all information som krävs för att visa att de skyldigheter som följer enligt artikel 28 i Dataskyddsförordningen har fullgjorts och för att möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Kunden eller en av Kunden utsedd revisor (som inte är en konkurrent till Ensotech). Om Kunden önskar genomföra en granskning eller inspektion ska Kunden skriftligen informera Ensotech om detta minst femton (15) arbetsdagar i förväg tillsammans med information om granskningens eller inspektionens innehåll och omfattning. Ensotech har rätt till skälig ersättning för kostnader i samband med en sådan granskning eller inspektion.

12.2 En granskning eller inspektion enligt punkten 13.1, förutsätter att Kunden eller av Kunden utsedd revisor, har träffat nödvändiga sekretessåtaganden och följer Ensotechs säkerhetsbestämmelser på platsen där inspektionen genomförs. En inspektion får endast genomföras en (1) gång per år och bara om den inte riskerar att hindra Ensotechs verksamhet eller skyddet för andra kunders information. Information som samlas in som en del av en granskning eller inspektion ska raderas efter fullgjord granskning eller inspektion när den inte längre behövs för ändamålet med granskningen eller inspektionen.

12.3 Ensotech ska omedelbart informera Kunden om Ensotech anser att information, inbegripet inspektioner, enligt punkten 13.1 inte krävs eller strider mot Dataskyddsförordningen eller mot andra av unionens eller medlemsstaternas dataskyddsbestämmelser. Om annat inte följer av Biträdesavtalet, får en inspektion endast utföras om krav på granskning enligt Dataskyddsförordningen inte kan fullgöras genom Ensotechs tillhandahållande av information.

13 Ersättning

Utöver vad som annars följer av Biträdesavtalet, ska Ensotech ha rätt till skälig ersättning för åtgärder som denna vidtar i samband med behandling av personuppgifter för Kundens räkning, som sker utöver de tvingande skyldigheter som framgår av Dataskyddsförordningen.

14 Ansvar

Parts ansvar enligt detta Biträdesavtal eller som en följd av den behandling som omfattas av Biträdesavtalet ska vara begränsat till tjugofem (25) procent av ersättningen för den berörda Tjänsten för de senaste tolv (12) månaderna. Parterna är medvetna om att ansvarsbegränsningen inte gäller (i) för det fall tillsynsmyndighet eller behörig domstol ålägger någon av Parterna att betala en administrativ sanktionsavgift till följd av att tillsynsmyndighet eller behörig domstol funnit att den berörda Parten underlåtit att fullgöra sina skyldigheter enligt Dataskyddsförordningen, (ii) Part har regressrätt gentemot den andra Parten i anledning av sådan Part fått betala skadestånd till en registrerad som rätteligen (eller genom solidariskt ansvar) skulle ålagts förstnämnda Part i enlighet med artikel 82 i Dataskyddsförordningen.

15 BITRÄDESavtalets upphörande

Parterna har överenskommit att Ensotech vid upphörandet av Tjänsterna ska radera alla personuppgifter som behandlats för Kundens räkning samt radera befintliga kopior innehållandes sådana personuppgifter såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt. Parterna är dock överens om att Ensotech inte har skyldighet att radera personuppgifter där Ensotech är att anse som personuppgiftsansvarig.

16 Överlåtelse av BITRÄDESAvtalet

Part har inte rätt att helt eller delvis överlåta sina rättigheter och/eller skyldigheter enligt Biträdesavtalet utan den andra Partens skriftliga i förväg lämnade godkännande.

16 Tillämplig lag och tvister

17.1 Svensk materiell rätt ska tillämpas på Avtalet.

17.2 Tvist som inte kan avgöras genom förhandling mellan Parterna ska slutligt avgöras av allmän domstol.


UNDERBILAGA – INSTRUKTIONEN

Denna Underbilaga – Instruktionen utgör en underbilaga till Biträdesavtalet och innehåller Kundens dokumenterade Instruktioner för Ensotechs behandling av personuppgifter enligt Biträdesavtalet. Definitioner och termer häri ska ha samma betydelse som i Biträdesavtalet, om inte omständigheterna uppenbart anger annat.

Denna Instruktion gäller för de behandlingar av personuppgifter som Ensotech utför för Kundens räkning.

1 BEHANDLING

1.1 Föremålet för behandlingen av personuppgifter är:

Tjänsten i form av superleads.se och eventuell annan tjänst som tillhandahålls Kunden.

1.2 Ändamålet/Ändamålen med den behandling av personuppgifter Ensotech utför för Kundens räkning är:

För att användaren skall kunna ta del av Tjänsten och använda denna på angivet sätt.

1.3 Ensotech kommer utföra följande kategorier av behandlingar:

Bearbetning, insamling, organisering, strukturering, bearbetning, läsning, användning, överföring. spridning, radering samt lagring.

2 PERSONUPPGIFTER

2.1 De kategorier av registrerade vars personuppgifter kommer behandlas är:

Anställda hos (och eventuella konsulter till) Kunden samt de som omfattas av databasen i form av leads (där Kunden är ensamt personuppgiftsansvarig).

2.2 De kategorier av personuppgifter som kommer behandlas är:

För- och efternamn, telefonnummer, e-post, inloggningsuppgifter.

3 VARAKTIGHET AV BEHANDLING

Ensotech kommer behandla personuppgifterna under följande period:

Fram tills att Kunden begär en borttagning av dennes uppgifter för anställda eller då Ensotech behöver radera uppgifterna p g a lag eller annat regelverk eller då uppgifterna inte behövs för angivet ändamål (då dock endast där Kunden är ensamt personuppgiftsansvarig).

4 SÄKERHETSÅTGÄRDER

4.1 Säkerhetsåtgärder skall vidtas med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt (i) pseudonymisering och kryptering av personuppgifter, (ii) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och Tjänsterna, (iii) förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident och (iv) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som skall säkerställa behandlingens säkerhet.

4.2 Utöver vad som framgår ovan ska Ensotech även vidta följande åtgärder vid sin behandling av personuppgifter för Kundens räkning:

  • Riktlinjer för lösenord (inkl. speciella tecken, minimum längd, ändra lösenord etc.)
  • Loggning
  • Säkerhetskopiering
  • Antivirusprogram

5 UNDERBITRÄDEN

Vid Biträdesavtalets ingående har Ensotech anlitat följande underbiträde/underbiträden:

N/A

6 Kontaktuppgifter

Ensotech är personuppgiftsansvarig för behandlingen av dina personuppgifter i enlighet med vad som nämnts ovan. Ensotechs kontaktuppgifter är följande:

Ensotech AB

Org.nr: 559265-9345

Adress: Sveavägen 1, 172 76 Sundbyberg

Tel: 010 551 8530

E-postadress: gdpr@ensotech.io