1. Parter
1. Företaget AB, org. nr XXXXXX-XXXX, med adress Gatan 17, 11160 Staden,
nedan benämnd ”Personuppgiftsansvarige”; och
2. Rule Communication – Nordic AB, org. Nr 556740-1293, med adress
Kammakargatan 48, 111 60 Stockholm, nedan benämnd
”Personuppgiftsbiträdet”.
3. Den Personuppgiftsansvarige och Personuppgiftsbiträdet benämns enskilt
såsom ”Part”, tillsammans såsom ”Parterna”.
2. Bakgrund och syfte
2.1 Gällande Dataskyddsreglering kräver ett skriftligt avtal som reglerar under vilka omständigheter och villkor ett personuppgiftsbiträde får behandla personuppgifter för en personuppgiftsansvariges räkning.
2.2 Parterna har ingått avtal rörande tjänsten Rule (”Huvudavtalet”), som innebär att Personuppgiftsbiträdet kommer att behandla personuppgifter för den Personuppgiftsansvariges räkning. Om bestämmelser i Avtalet (”Avtalet”) står i strid med Huvudavtalet ska bestämmelserna i Avtalet ha företräde.
2.3 Personuppgiftsansvarige ger härmed Personuppgiftsbiträdet i uppdrag att spara personuppgifter ifrån digital marknadsföring, webbtrafik med mera och kommunicera resultatet av dessa till Personuppgiftsansvarige. Personuppgiftsbiträdet kan samla in personuppgifter på följande sätt:
Digital Kommunikation:
Personuppgiftsbiträdet sparar all information kring digital kommunikation från Personuppgiftsansvariges konto i Rule och lagrar information om besökares e-postadress, mobilnummer, profil, geografisk position, user-agent, tid och klick.
Formulär publicerade från Rule:
Det är även möjligt för Personuppgiftsansvarige att via Rule skapa egna formulär (”Widgets”) som visas upp på webbplatsen. Dessa kan användas för att samla in personuppgifter.
Importera eller manuellt ange personuppgifter:
Personuppgiftsansvarige kan själv eller med hjälp ifrån Personuppgiftsbiträdet importera personuppgifter in i Rules databas. Det kan ske indirekt via webbplatsen, genom digital kommunikation, genom att importera uppgifter direkt i Rules gränssnitt eller via API. Personuppgiftsansvarige kan även välja att aktivera tillägg för integrationer med andra system (e-post, CRM, eventsystem, etc.). Dessa integrationer kan förse Rule med personuppgifter.
2.4 I Rule kan Personuppgiftsansvarige utföra matchning mellan prenumerations/medlemsbaser i syfte att identifiera beteenden.
2.5 Syftet med denna matchning är att kunna rikta mer relevant digital kommunikation till prenumerant/medlem och erbjuda de prenumeranter/medlemmar som kan identifieras ett mer anpassat erbjudande. Rule kommer därför som en del av detta matchningsuppdrag att för Personuppgiftsansvariges räkning behandla personuppgifter.
2.6 Skyddet för Personuppgiftsansvariges kunders personliga integritet är av stor etisk och kommersiell betydelse för Personuppgiftsansvarige, därför ska Personuppgiftsbiträdet behandla Personuppgifterna i enlighet med detta avtal, tillämplig lag, föreskrifter och branschnormer.
3. Definitioner
3.1 Med ”Personuppgifter” avses nedan all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet och som genom utförande av tjänsten Rule behandlas för Personuppgiftsansvariges räkning.
3.2 Med ”Registrerad” avses nedan den person som en Personuppgift avser.
3.3 Med ”Behandling” avses nedan varje åtgärd eller serie av åtgärder som vidtas i fråga om Personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.
3.4 Med ”Dataskyddsreglering” avses Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmändataskyddsförordning), också kallat GDPR. Med ”Dataskyddsreglering” avses även kompletterande nationella författningar, föreskrifter och allmänna råd ifrån nationell tillsynsmyndighet (Datainspektionen) och EU- organisationer samt vägledande avgöranden från svensk domstol och EU-domstolen.
4. Personuppgiftsbiträdets åtaganden
4.1 Syftet med Avtalet är att Personuppgiftsbiträdet säkerställer att Behandling av Personuppgifter sker enligt Dataskyddsregleringen och tillämpliga föreskrifter och branschnormer.
4.2 Personuppgiftsbiträdet och den eller de personer som arbetar under dennes ledning får bara Behandla Personuppgifter i enlighet med de instruktioner som från tid till annan lämnas av Personuppgiftsansvarige.
4.3 Personuppgiftsbiträdet får endast samla in Personuppgifter i enlighet med instruktioner utfärdade av Personuppgiftsansvarige. Då Personuppgiftsbiträdet endast levererar verktygen för insamlingen av Personuppgifter är det Personuppgiftsansvariges ansvar att behandling sker på laglig grund, exempelvis att erforderliga samtycken inhämtats av Registrerade och att de Registrerade erhåller information i enlighet med Dataskyddsförordningens krav. Personuppgiftsbiträdet ska på begäran av Personuppgiftsansvarige utan dröjsmål överlämna de uppgifter Personuppgiftsansvarige behöver för att kunna visa att de Registrerade informerats, för de fallen Personuppgiftsbiträdet innehar dessa uppgifter.
4.4 Personuppgiftsbiträdet ska vidta de tekniska och organisatoriska åtgärder som erfordras enligt Dataskyddsregleringen för att skydda de Personuppgifter som Behandlas mot obehörig åtkomst, förstörelse och ändring. Personuppgiftsbiträdet ska då särskilt iaktta vid var tid gällande utfärdade allmänna råd eller andra föreskrifter såsom Datainspektionens allmänna råd "Säkerhet för personuppgifter" eller andra
föreskrifter som ersätter de förutnämnda. Personuppgiftsbiträdet ska se till att all data är krypterad.
4.5 För det fall att Registrerad, Datainspektionen eller annan tredje man begär information från Personuppgiftsbiträdet som rör Behandling av Personuppgifter ska Personuppgiftsbiträdet hänvisa till Personuppgiftsansvarige. Personuppgiftsbiträdet får inte lämna ut Personuppgifter eller annan information om Behandlingen av Personuppgifter utan uttrycklig instruktion från Personuppgiftsansvarige.
4.6 Personuppgiftsansvarige har rätt att på egen bekostnad själv eller genom tredje man kontrollera att Personuppgiftsbiträdet följer Avtalet. Personuppgiftsbiträdet ska möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Personuppgiftsansvarige eller av annan revisor som bemyndigats av Personuppgiftsansvarige.
4.7 Personuppgiftsbiträdet ska när Avtalet upphör att gälla tillgängliggöra Personuppgifter till Personuppgiftsansvarige genom tjänsten Rule och efter Personuppgiftsansvarige meddelat Personuppgiftsbiträdet att Personuppgifterna är hämtade skriftligen begära att Personuppgifterna utplånats. Personuppgiftsbiträdet ska i varje fall senast 30 dagar efter Avtalets upphörande se till att det inte finns några Personuppgifter kvar hos Personuppgiftsbiträdet, om inte annat överenskommits mellan Personuppgiftsbiträdet och Kund.
4.8 Personuppgiftsbiträde ska efter att biträdet fått vetskap om en personuppgiftsincident, som omfattar den Personuppgiftsansvariges Personuppgifter, utan onödigt dröjsmål underrätta den Personuppgiftsansvarige om incidenten. Underrättelsen ska innehålla den information som krävs för att den Personuppgiftsansvarige ska kunna fullgöra sina skyldigheter enligt Dataskyddsregleringen att anmäla personuppgiftsincidenten till tillsynsmyndigheten samt att underrätta Registrerade om personuppgiftsincidenten. En sådan underrättelse ska ges till den kontaktperson som Personuppgiftsbiträdet har hos den Personuppgiftsansvarige.
4.9 Personuppgiftsbiträdet ansvarar för att de Personuppgifter som hanteras Behandlas inom EU/EES.
4.10 Personuppgiftsbiträdet ska vid behov hjälpa Personuppgiftsansvarige med genomförandet av konsekvensbedömningar avseende dataskydd samt eventuella förhandssamråd med tillsynsmyndigheten.
5. Sekretess
5.1 Personuppgiftsbiträdet förbinder sig att inte till tredje man lämna ut eller på annat sätt röja information om Behandling av Personuppgifter som omfattas av Avtalet eller annan information som Personuppgiftsbiträdet erhållit till följd av Avtalet. Personuppgiftsbiträdet åtar sig vidare att inte utnyttja Personuppgifterna för egna ändamål.
5.2 Åtagandet i punkten 5.1 första mening gäller inte
a) information som part kan visa var allmänt känd vid tidpunkt för mottagandet, eller
b) information som part föreläggs utge till myndighet. Sekretessåtagandet gäller även efter det att Avtalet i övrigt upphört att gälla.
5.3 Personuppgiftsbiträdet ska tillse att samtliga fysiska personer som arbetar under dess ledning, vilka deltar i Behandlingen, är bundna av sekretessförbindelse avseende Behandlingen. Detta krävs dock inte om dessa redan omfattas av en straffsanktionerad tystnadsplikt som följer av lag. Personuppgiftsbiträdet åtar sig även att tillse att det finns sekretessavtal med Underbiträdet samt sekretessförbindelser mellan Underbiträdet och samtliga fysiska personer som arbetar under dess ledning, vilka deltar i Behandlingen.
6. Immateriella rättigheter m m
6.1 Samtliga immateriella rättigheter till insamlingen av Personuppgifter tillkommer Personuppgiftsansvarige och Personuppgiftsansvarige upplåter endast en icke-exklusiv rätt för Personuppgiftsbiträdet att nyttja Personuppgifterna för utförandet av uppdrag enligt Avtalet.
7. Anlitande av Underbiträden
7.1 Om Personuppgiftsbiträdet, med Personuppgiftsansvariges godkännande, lägger över sina skyldigheter enligt Avtalet på ett underbiträde, får detta endast ske genom ingående av ett skriftligt avtal med underbiträdet, varigenom denne åläggs samma skyldigheter som enligt Avtalet åligger Personuppgiftsbiträdet.
7.2 Personuppgiftsbiträdet ska underrätta Personuppgiftsansvarig skriftligen om avsikten att teckna avtal med en underleverantör. Om Personuppgiftsansvarig inte lämnar en skriftlig invändning mot detta, som är sakligt motiverad, inom 14 dagar från mottagandet av underrättelsen, är Personuppgiftsbiträdet fri att anlita underbiträdet. Vid tidpunkten för tecknande av Avtalet är de underbiträden som framgår i Bilaga 1 godkända av Personuppgiftsansvarig.
7.3 För det fall att Behandlingar av Personuppgifter kommer att utföras av underbiträde i tredje land ger Personuppgiftsansvarig Personuppgiftsbiträdet mandat att teckna personuppgiftsbiträdesavtal för Personuppgiftsansvariges räkning med underbiträden i tredje land, i enlighet med Kommissionens beslut (2010/87/EU) om standardavtalsklausuler för överföring av personuppgifter till tredje land. Personuppgiftsbiträdet ska därvid till Personuppgiftsansvarig redovisa i vilket land Behandlingen äger rum. Kraven i Kapitel V GDPR ska dessutom uppfyllas.
7.4 Om underbiträdet inte uppfyller sina skyldigheter i fråga om Behandling enligt ett underbiträdesavtal ska Personuppgiftsbiträdet förbli fullt ansvarig gentemot Personuppgiftsansvarig för underbiträdets uppfyllande av sina skyldigheter enligt Avtalet.
8. Ersättning
8.1 Personuppgiftsbiträdet har inte rätt till särskild ersättning för Behandling av Personuppgifter enligt Avtalet.
9. Ansvarsbegränsning
9.1 För det fall registrerad, eller annan tredje man riktar anspråk mot Personuppgiftsansvarige på grund av Personuppgiftsbiträdet Behandling av Personuppgifter ska Personuppgiftsansvarige anmäla detta till Personuppgiftsbiträdet.
9.2 Om Personuppgiftsbiträdet inte följt sina åtagande enligt Avtalet äger Personuppgiftsansvarige rätt till ersättning. Personuppgiftsbiträdet ansvar i relation till Personuppgiftsansvarige under Avtalet är begränsat till 50% av från av Personuppgiftsansvarige mottagen betalning enligt Huvudavtalet under den senaste 12-månadersperioden efter det att anmälan skett.
10. Force majeure
10.1 Ingen av parterna ansvarar för skada eller försening, som uppkommer till följd av arbetskonflikt, myndighetsbeslut eller annan omständighet utanför sådan parts kontroll.
11. Avtalstid
11.1 Avtalet gäller från dess undertecknande och så länge Personuppgiftsbiträdet Behandlar Personuppgifter enligt Huvudavtalet.
12. Tillämplig lag och tvistlösning
12.1 Avtalet och all Behandling av personuppgifter som sker under Avtalet regleras av svensk lag, med undantag för tillämpliga lagvalsregler. Tvist angående tolkning eller tillämpning av Avtalet ska avgöras enligt Huvudavtalets bestämmelser om tvistlösning.