Personuppgiftsbiträdesavtal
1. Bakgrund
Skrappy och Klienten har ingått avtal avseende Klientens användning av Skrappys Tjänster (så som de definieras i de Allmänna Villkoren) hädanefter benämnt ”Huvudavtalet”.
Inom åtagandena som följer av Huvudavtalet kan Skrappy komma att behandla personuppgifter samt annan information för Klientens räkning.
Med anledning av detta ingår Parterna detta Avtal för att reglera förutsättningarna för Skrappys behandling av – och tillgång till – personuppgifter tillhöriga Klienten. Avtalet gäller så länge Skrappy behandlar personuppgifter för Klientens räkning.
Om inte omständigheterna tydligt utvisar annat ska definition eller begrepp som används i detta Avtal, och som inte har angivits på annat sätt i Avtalet, ha motsvarande definition som följer av artikel 4 i GDPR.
2. Behandlingen av personuppgifter
Klienten är personuppgiftsansvarig för de personuppgifter som behandlas inom ramen för Huvudavtalet, och kan även nedan benämnas som ”personuppgiftsansvarige”. Skrappy är att betrakta som personuppgiftsbiträde åt Klienten och kan även nedan benämnas som ”personuppgiftsbiträdet”.
Parterna är överens om att Skrappy som personuppgiftsbiträde ska:
i) behandla personuppgifter endast på dokumenterade instruktioner från den personuppgiftsansvarige, inbegripet när det gäller överföringar av personuppgifter till ett tredjeland eller en internationell organisation, såvida inte denna behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas av, och i så fall ska personuppgiftsbiträdet informera den personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt;
ii) säkerställa att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt;
iii) vidta alla säkerhetsåtgärder som krävs enligt artikel 32 i GDPR;
iv) hjälpa den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt och med beaktande av behandlingens art, så att den personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III i GDPR;
v) bistå den personuppgiftsansvarige med att se till att skyldigheterna enligt artiklarna 32–36 i GDPR fullgörs, med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå;
vi) radera eller återlämna samtliga personuppgifter till den personuppgiftsansvarige (baserat på den personuppgiftsansvariges begäran) efter det att tillhandahållandet av tjänster har avslutats, och radera befintliga kopior såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt; och
vii) ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som fastställs i artikel 28 i GDPR har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den personuppgiftsansvarige eller av en annan revisor som bemyndigats av den personuppgiftsansvarige.
Personuppgiftsbiträdet ska omedelbart informera den personuppgiftsansvarige om denne anser att en instruktion strider mot GDPR eller mot andra av unionens eller medlemsstaternas dataskyddsbestämmelser.
Skrappy åtar sig att endast behandla de personuppgifter som är nödvändiga för att uppnå ändamålet med respektive behandling. Detta åtagande rör till exempel mängden personuppgifter, omfattningen av behandlingen, hur länge personuppgifterna behandlas och dess tillgänglighet.
3. Specifikation och instruktion
Skrappys tjänst består av tillhandahållandet av en lösning som möjliggör beställningar från slutkund direkt till åkerier (Klienten) . För att administrera slutkunds- och orderinformationen som finns i lösningen behandlar Skrappy namn, personnummer (om slutkunden är en privatperson), telefonnummer och adress för Klientens räkning. Slutkunders data sparas under abonnemangstiden och raderas vid sista abonnemangsdagen.
Klienten är införstådd med och godkänner att Skrappy, i sin roll som personuppgiftsbiträde, behandlar personuppgifter enligt ovan.
4. Underbiträden
Skrappy har rätt att anlita underbiträden för att utföra arbetet enligt Avtalet.
Klient kan välja att prenumerera på att få uppdateringar om nya underbiträden Skrappy avser anlita, eller om existerande underbiträde ska bytas ut mot annan, genom att fylla i detta formulär. Klienten har på så sätt möjlighet att göra invändningar mot en sådan förändring. Klienten har rätt att invända om det finns rimlig anledning att anta att underbiträdet inte kommer att behandla personuppgifter i enlighet med GDPR. För det fall Klienten inte har invänt inom tjugo (20) dagar från informationen anses Klienten ha godkänt ändringen. För det fall Klienten invänder ska Parterna diskutera en lösning. Om ingen lösning identifieras som Parterna gemensamt kan acceptera äger Skrappy säga upp Huvudavtalet.
Skrappy ska tillse att ett skriftligt personuppgiftsbiträdesavtal har ingåtts med underbiträdet innehållande minst de åtaganden och skyldigheter som följer av Avtalet. Underbiträden ska i sådant personuppgiftsbiträdesavtal ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i detta Avtal och GDPR.
I avtalet mellan Skrappy och underbiträde ska särskilt regleras att underbiträdet inte får anlita annat underbiträde utan skriftligt godkännande av Klienten i förhand.
Klienten är införstådd med och accepterar att Skrappy har de underbiträden vid avtalets ingående som listas här: Underbiträden.
5. Ansvar
För Parts brott mot detta Avtal gäller ansvarsbegränsningen enligt Huvudavtalet.
Personuppgiftsbiträdesavtal: Senast uppdaterad: 2022-11-08