Avtal om databehandling
Uppdaterad 21.9.2023
1. Bakgrund
(A) Detta databehandlingsavtal (“DPA“) utgör en integrerad och oskiljaktig del av serviceavtalet eller, i förekommande fall, sekretessavtalet (“avtalet“), enligt vilket kunden har samtyckt till att köpa eller prova och företaget har samtyckt till att tillhandahålla tjänsterna (enligt definitionen i avtalet) till kunden.
(B) Detta DPA gäller för behandling av personuppgifter som utförs av företaget på uppdrag av kunden inom ramen för tjänsterna.
2. Definitioner
I detta dataskyddsavtal ska de versala termerna “personuppgifter“, “personuppgiftsansvarig“, “personuppgiftsbiträde“, “behandling” (som häri även omfattar det avledda verbet “behandla“) och “personuppgiftsincident” ha de betydelser som anges i den allmänna dataskyddsförordningen (EU) 2016/679 (“GDPR“), om inte annat uttryckligen anges eller framgår av sammanhanget. Singular (där så är lämpligt) ska inkludera plural och vice versa. I övrigt ska definitionerna i Avtalet gälla.
3. Parter och roller
3.1 Kunden ska vara Personuppgiftsansvarig för Personuppgifterna och Bolaget ska vara Personuppgiftsbiträde för Personuppgifterna. Föremålet för och varaktigheten av Behandlingen, Behandlingens art och syfte, typen av Personuppgifter och kategorier av Registrerade framgår av Bilaga 1 (Tjänstebeskrivning) till Avtalet.
3.2 För tydlighetens skull, när behandling utförs för ändamål och med medel som beslutas av företaget, ska det vara personuppgiftsansvarig för alla berörda personuppgifter, och sådan behandling faller utanför tillämpningsområdet för detta DPA. Sådan behandling inkluderar till exempel behandling av loggdata för ändamål relaterade till datasäkerhet.
4. Behandling av personuppgifter
4.1 Kunden är ansvarig för den lagliga grunden för Behandlingen, inklusive att Bolaget har rätt att Behandla Personuppgifter enligt Avtalet. Bolaget ska endast Behandla Personuppgifter i enlighet med Kundens dokumenterade och lagliga instruktioner. Avtalet ska tolkas som Kundens slutliga och fullständiga instruktioner, och eventuella ytterligare instruktioner ska avtalas separat mellan Parterna. Bolaget får avstå från att följa Kundens instruktioner om Bolaget anser att en instruktion strider mot tillämplig lagstiftning eller annan myndighetsvägledning. I sådant fall ska Bolaget underrätta Kunden om sådant lagkrav, utom i de fall då tillämplig lagstiftning förbjuder sådan underrättelse.
4.2 Bolaget ska säkerställa att de personer som är behöriga att behandla Personuppgifter har förbundit sig till sekretess eller omfattas av en lämplig lagstadgad sekretessförpliktelse. Bolaget får inte överföra eller på något sätt göra Personuppgifter tillgängliga för tredje part utan skriftligt tillstånd från Kunden.
4.3 Bolaget ska genomföra de tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som Parterna anser vara lämplig med hänsyn till den senaste utvecklingen, kostnaderna för genomförandet och Behandlingens art, omfattning, sammanhang och ändamål samt risken av varierande sannolikhet och allvar för de Registrerades rättigheter och friheter. Dessa åtgärder kan innefatta, men är inte begränsade till:
- Kryptering
- Granskning av loggning
- Säkerhetsloggning och hotdetektering
- Regelbunden penetrationstestning av tredje part
- Regelbunden utbildning i säkerhet och dataskydd för personalen
- Kontroll av nätverksåtkomst
- Säkerhetskopior
- Stark multifaktorautentisering krävs för åtkomst till produktionsdata
5. Underbearbetning
5.1 Bolaget får anlita, och Kunden bemyndigar härmed (generellt bemyndigande) Bolaget att anlita Underbiträden vid Behandlingen av Personuppgifter, under förutsättning att Bolaget ålägger sådana Underbiträden samma skyldigheter avseende dataskydd som anges i detta Personuppgiftsbiträdesavtal.
5.2 Bolaget ska informera Kunden om samtliga Underbiträden som Bolaget anlitar för Behandling av Personuppgifter på Avtalets ikraftträdandedag samt om eventuella planerade ändringar av dessa. Lista över Underbiträden finns tillgänglig på https://www.snowfox.ai/legal/subprocessors. Eventuella ändringar i listan över Underbiträden kommer att meddelas Kunden via e-post. Kunden har rätt att på sakliga och vägande skäl invända mot byte av Underbiträde inom fjorton (14) dagar från underrättelsen, annars anses Underbiträdet vara godkänt. Om Kunden invänder mot ett byte av Underbiträde får Bolaget begränsa Kundens användning av Tjänsterna i den utsträckning som påverkas av Kundens invändning, och sådan begränsning ska inte tolkas som ett brott mot Avtalet. På motsvarande sätt har Kunden rätt att avstå från att göra några betalningar i den utsträckning som Kundens användning av Tjänsterna har begränsats, till dess att Parterna har kommit överens om tillräckliga åtgärder för att minimera de negativa effekter som ligger till grund för att Kunden har invänt mot bytet av Underbiträde eller har nått en annan ömsesidigt tillfredsställande lösning.
5.3 Om ett Underbiträde som anlitas av Bolaget för Behandling av Personuppgifter för Kundens räkning underlåter att fullgöra sina skyldigheter avseende dataskydd enligt punkt 5.1, ska Bolaget förbli fullt ansvarigt gentemot Kunden för fullgörandet av sådant Underbiträdes skyldigheter.
6. Plats för behandling av personuppgifter
6.1 Bolaget ska vidta lämpliga tekniska och avtalsmässiga åtgärder för att säkerställa att Personuppgifter i första hand behandlas inom EU/EES. På grund av att underleverantörer anlitas för Behandling av Personuppgifter kan Personuppgifter komma att Behandlas utanför EU/EES för att underlätta vissa tjänster. Personuppgifter överförs endast till länder för vilka Europeiska kommissionen har utfärdat ett beslut om adekvat skyddsnivå för personuppgifter (beslut om adekvat skyddsnivå).
6.2 På Kundens begäran ska Bolaget tillhandahålla Kunden skriftlig information om platsen eller platserna för behandlingen av personuppgifter i enlighet med detta dataskyddsavtal.
7. Bolagets förpliktelser
7.1 Bolaget ska bistå Kunden genom lämpliga tekniska och organisatoriska åtgärder, i den mån det är rimligt möjligt med hänsyn till Behandlingens art, vid fullgörandet av Kundens skyldighet att svara på Registrerades begäran om att utöva sina rättigheter enligt GDPR. Om de Registrerade gör sådana förfrågningar direkt till Bolaget ska Bolaget vidarebefordra förfrågningarna till Kunden.
7.2 Vid Dataintrång ska Bolaget informera Kunden utan onödigt dröjsmål efter att ha fått kännedom om Dataintrånget och vidta alla nödvändiga åtgärder för att mildra eventuella negativa effekter som uppstår till följd av sådant Dataintrång. Med hänsyn till behandlingens art och den information som är tillgänglig för företaget ska det i möjligaste mån hjälpa kunden med att anmäla ett personuppgiftsincident till tillsynsmyndigheten och kommunicera detta till de registrerade.
7.3 Bolaget ska bistå med konsekvensbedömningar avseende dataskydd och förhandssamråd med tillsynsmyndigheten i enlighet med GDPR, förutsatt att nödvändig information finns tillgänglig för Bolaget.
7.4 Bolaget ska göra all information tillgänglig för Kunden som är nödvändig för att visa att Bolaget uppfyller de skyldigheter som fastställs för Bolaget i detta DPA. Bolaget ska också tillåta och bidra till revisioner som utförs av Kunden eller annan revisor som bemyndigats av Kunden och godkänts av Bolaget. Kunden ska skriftligen meddela Bolaget om varje revision trettio (30) dagar i förväg. Vardera parten ska svara för de kostnader som parten har haft för att medverka i revisionen. Om revisionen visar att Bolaget väsentligen har brutit mot detta DPA, ska Bolaget ersätta Kunden för de tredjepartskostnader som uppkommit för att inspektera de rapporterade bristerna enligt revisorns faktura. Med undantag för vad som krävs enligt tvingande bestämmelser i tillämplig lagstiftning, ska Bolaget inte ha någon skyldighet att avslöja någon Konfidentiell Information från Bolaget till Kunden eller revisorn i eller i samband med någon revision.
7.5 I den mån den arbetsinsats som krävs av Bolaget för att fullgöra sina skyldigheter enligt denna punkt 7 överstiger en persondag per månad, har Bolaget rätt att ta ut skäliga kostnader av Kunden för fullgörandet av sina skyldigheter enligt denna punkt 7.
8. Uppsägning
8.1 Detta Dataskyddsavtal träder i kraft vid undertecknandet av Serviceavtalet för Leverantörsreskontra och gäller så länge Bolaget behandlar Personuppgifter för Kundens räkning inom ramen för Tjänsterna.
8.2 Vid Avtalets upphörande och på Kundens begäran ska Bolaget (inklusive eventuella underleverantörer) radera eller återlämna samtliga Kundens Personuppgifter till Kunden efter trettio (30) dagar. Bolaget har rätt att debitera Kunden för skäliga kostnader som uppstår i samband med återlämnandet av Personuppgifterna. Bolaget ska radera befintliga kopior av Personuppgifter efter att Bolaget har återlämnat Personuppgifterna till Kunden (om tillämpligt) eller om Kunden inte har begärt att Bolaget ska återlämna Personuppgifterna inom tre (3) månader från Avtalets upphörande. Oaktat det föregående kan Bolaget avstå från att radera Personuppgifter om lagring är nödvändig för att följa tillämplig lagstiftning eller för att fastställa, utöva eller försvara ett rättsligt anspråk. Bolaget ska skriftligen bekräfta raderingen och eventuell ytterligare lagring av uppgifter till Kunden.