Personuppgiftsbiträdesavtal

Detta personuppgiftsbiträdesavtal (”Avtalet”) utgör en del av de allmänna villkoren och gäller i den mån Seviranta — ett handelsnamn för 1Star BV, Zonnehorst 5, 7207 BT Zutphen, KvK 65195876 (”Personuppgiftsbiträdet”) — behandlar personuppgifter på uppdrag av Kunden (”den Personuppgiftsansvarige”) inom ramen för den betalda tjänsten. Begrepp har den betydelse som följer av den allmänna dataskyddsförordningen (”GDPR”).

1. Föremål, art och varaktighet

Personuppgiftsbiträdet behandlar personuppgifter uteslutande för att leverera den avtalade tjänsten: att testa och löpande övervaka Kundens webbplats(er) med avseende på tillgänglighet, att spara de tillhörande Rapporterna/Dossiern och att hantera kontot och faktureringen. Avtalet gäller så länge Personuppgiftsbiträdet behandlar personuppgifter för Kunden.

2. Typer av personuppgifter och registrerade

• Uppgifter: konto- och kontaktuppgifter (namn, e-postadress, företagsnamn), faktureringsuppgifter (fakturaadress, momsnummer) samt användnings-/prenumerationsuppgifter. De skannade webbsidorna är offentliga och testas uteslutande tekniskt med avseende på tillgänglighet.
• Registrerade: Kundens kontaktpersoner och användare.
• Inga särskilda kategorier av personuppgifter behandlas.

3. Instruktioner

Personuppgiftsbiträdet behandlar personuppgifterna uteslutande enligt skriftliga instruktioner från Kunden — däribland detta Avtal och användningen av tjänsten — såvida inte en rättslig förpliktelse föreskriver annat. Anser Personuppgiftsbiträdet att en instruktion strider mot GDPR meddelas detta.

4. Sekretess

Personuppgiftsbiträdet säkerställer att personer som behandlar personuppgifterna omfattas av sekretess.

5. Säkerhet

Personuppgiftsbiträdet vidtar lämpliga tekniska och organisatoriska åtgärder (GDPR art. 32), däribland kryptering under överföring (TLS), krypterad lagring av lösenord, åtkomst utifrån behov (least privilege), åtkomstkontroll på radnivå i databasen samt behandling företrädesvis inom EU.

6. Underbiträden

Kunden ger ett allmänt godkännande för anlitande av underbiträden. Personuppgiftsbiträdet ålägger varje underbiträde minst samma skyldigheter som i detta Avtal och väljer i första hand partner med datalagring i EU. Funktionellt rör det sig bland annat om: en databas-/autentiserings-/lagringspartner, skannings- och övervakningsinfrastruktur, webbhosting, en betalleverantör, en leverantör av transaktionsmejl och en infrastruktur-/säkerhetspartner.

En aktuell lista över de specifika underbiträdena (med namn, funktion och plats) finns tillgänglig för Kunden på begäran. Vid en planerad ändring av underbiträden informerar Personuppgiftsbiträdet Kunden i förväg, så att denne kan invända.

7. Bistånd

Personuppgiftsbiträdet ger Kunden, med beaktande av behandlingens art, rimligt bistånd vid besvarandet av de registrerades förfrågningar (tillgång, rättelse, radering m.m.) och vid fullgörandet av skyldigheterna enligt GDPR art. 32–36 (säkerhet, personuppgiftsincidenter, konsekvensbedömning avseende dataskydd).

8. Personuppgiftsincidenter

Personuppgiftsbiträdet informerar Kunden utan onödigt dröjsmål efter att ha fått kännedom om en personuppgiftsincident, med den relevanta information som finns tillgänglig, så att Kunden kan fullgöra sin anmälningsskyldighet.

9. Återlämnande och radering

Efter avslutat avtal raderar Personuppgiftsbiträdet personuppgifterna eller återlämnar dem, enligt Kundens val, med undantag för uppgifter som Personuppgiftsbiträdet enligt lag måste bevara (såsom fakturor enligt den skatterättsliga bevarandeplikten). Kunden kan själv exportera Dossiern före avslutet.

10. Revisioner

Personuppgiftsbiträdet ställer den information till Kundens förfogande som behövs för att visa att detta Avtal efterlevs och medverkar vid rimliga revisioner, efter överenskommelse och med beaktande av sekretess och tjänstens kontinuitet.

11. Överföring utanför EES

Om ett underbiträde behandlar uppgifter utanför Europeiska ekonomiska samarbetsområdet sker det med lämpliga skyddsåtgärder enligt GDPR:s krav (till exempel Europeiska kommissionens standardavtalsklausuler).

12. Tillämplig dataskyddslagstiftning (internationella regimer)

Detta Avtal är upprättat med GDPR som högsta standard. I den mån annan dataskyddslagstiftning är tillämplig på en behandling gäller bestämmelserna i detta Avtal i tillämpliga delar även enligt den lagstiftningen — däribland UK GDPR (Storbritannien), den schweiziska lagen (nFADP) och tillämpliga amerikanska delstatslagar (såsom CCPA/CPRA). För internationella överföringar gäller motsvarande erkända mekanismer i den mån de är relevanta: EU:s standardavtalsklausuler (SCC), UK International Data Transfer Addendum (IDTA) och det schweiziska tillägget. Personuppgiftsbiträdet föredrar datalagring i EU.

13. Kalifornien (CCPA/CPRA)

I den mån Personuppgiftsbiträdet behandlar personuppgifter som omfattas av California Consumer Privacy Act (CCPA), i dess lydelse enligt CPRA, agerar Personuppgiftsbiträdet som ”service provider”. Personuppgiftsbiträdet: (a) säljer eller delar inte dessa uppgifter (ingen ”sale” eller ”share” i CCPA:s mening); (b) behandlar dem uteslutande för de affärsändamål som beskrivs i detta Avtal och inte för egna kommersiella ändamål; (c) bevarar, använder eller lämnar inte ut dem utanför den direkta affärsrelationen med Kunden; och (d) ger Kunden rimligt bistånd vid registrerades förfrågningar enligt CCPA.

14. Avslutande bestämmelser

Vid konflikt mellan detta Avtal och de allmänna villkoren har detta Avtal företräde vad gäller behandlingen av personuppgifter. Nederländsk rätt är tillämplig på detta Avtal. Frågor eller ett undertecknat exemplar? info@seviranta.com.