Databehandlingsavtal

2018-05-06

 

Detta personuppgiftsavtal är mellan Triggerbee AB, Salmätargatan 8, 113 57 Stockholm och 556986-0850, Jacob Sjönander, jacob@triggerbee.com (”Personuppgiftsbiträdet”); och Kund enligt huvudavtalet (”Personuppgiftsansvarige”).

Personuppgiftsbiträdet och den Personuppgiftsansvarige benämns här nedan gemensamt för ”Parterna” eller var för sig ”Part”.

Uppdragets art och Avtalets syfte

Parterna har ingått ett avtal enligt vilken Personuppgiftsbiträdet ska bistå Personuppgiftsansvarige med att insamla personuppgifter ifrån digital marknadsföring, webbtrafik med mera (”Uppdragsavtalet”). Uppdraget medför att Personuppgiftsbiträdet behandlar personuppgifter, inklusive annan information, för Personuppgiftsansvariges räkning. Uppdragsavtalet löper från och med undertecknandet tills vidare

Syftet med detta Avtal är att reglera Parternas rättigheter och skyldigheter som följer med Uppdragsavtalet och uppdraget att behandla personuppgifter och annan information, för att på så vis säkerställa att personuppgifterna behandlas i enlighet med de bestämmelser som följer av personuppgiftslagen (1998:204) vilket även omfattar EU:s dataskyddsförordning (”GDPR”) och eventuell senare lagstiftning som ersätter eller kompletterar dessa.

I sin kapacitet av Personuppgiftsbiträde ska Personuppgiftsbiträdet behandla personuppgifter på uppdrag av Personuppgiftsansvarige och i enlighet med detta Avtal.

Personuppgiftsbehandlingens ändamål och omfattning

Syftet med behandlingen av personuppgifter är insamla personuppgifter ifrån digital marknadsföring, webbtrafik med mera. Personuppgiftsbiträdet kan samla in personuppgifter på följande sätt:  

Tracking av webbplatsbesökare

Triggerbee spelar in trafik ifrån den Personuppgiftsansvariges webbplats och lagrar information om besökare, IP-adress, geografisk position, tid, klick och intressen Om Personuppgiftsansvarige väljer att ha funktionen "Formulärslyssning" aktiverad så lyssnar Triggerbee av de formulär som finns på sajten och läser in uppgifter som namn, e-postadress, företag, telefon och sparar i Triggerbees databas.

Formulär publicerade ifrån Triggerbee

Det är även möjligt för Personuppgiftsansvarige att via Triggerbee skapa egna formulär som visas upp på webbplatsen. Dessa kan användas för att insamla personuppgifter.

Importera eller manuellt ange personuppgifter

Personuppgiftsansvarige kan själv eller med hjälp ifrån Triggerbee importera personuppgifter in i Triggerbees databas. Det kan ske indirekt via webbplatsen och e-postdriven trafik ifrån Personuppgiftsansvariges e-postutskick, eller genom att importera uppgifter direkt i Triggerbees gränssnitt.

Personuppgiftsansvarige kan även välja att aktivera tillägg för integrationer med andra system (e-post, CRM, eventsystem, chat). Dessa integrationer kan förse Triggerbee med personuppgifter.

Triggerbee ska därefter som personuppgiftsbiträde för Personuppgiftsansvarigs räkning utföra matchning mellan prenumerations/medlemsbaser i syfte att identifiera besökare på den Personuppgiftsansvariges webbplatser. Syftet med denna matchning är att konvertera de som man inte kan identifiera prenumerant/medlem och erbjuda de prenumeranter/medlemmar som man kan identifiera ett mer anpassat erbjudande.

Kategorier av registrerade

Följande kategorier av registrerade kan förekomma i behandlingen av personuppgifter som regleras i detta Avtal.

  • Besökare på Personuppgiftsansvariges webbplats
  • Kunder
  • Prospekts
  • Medlemmar

Kategorier av personuppgifter

Följande kategorier av personuppgifter kan förekomma i behandlingen av personuppgifter som regleras i detta Avtal.

  • Namn
  • e-postadress
  • Telefonnummer
  • Befattning
  • ip-adress
  • Köphistorik
  • Surfhistorik
  • Profilering baserat på beteende och intresse av innehållet på webbplatsen

 

Den Personuppgiftsansvariges skyldigheter

Allmänt

Den Personuppgiftsansvarige ska etablera rutiner i den egna verksamheten för bland annat följande:

  • säkerställa att det finns en rättslig grund enligt dataskyddslagstiftningen för att personuppgifterna behandlas för de ändamål som anges i punkten 2 ovan;
  • tillvarata de registrerades rätt till information och insyn, rätt till radering m.m.;
  • anmäla personuppgiftsincidenter till tillsynsmyndigheten; och
  • säkerställa att varje fysisk person som utför arbete under den Personuppgiftsansvarige överinseende och som får tillgång till personuppgifterna, endast behandlar dessa i enlighet med givna instruktioner, om inte annat åläggs personen enligt lag.]

Inga känsliga personuppgifter får föras in i det system som Personuppgiftsbiträdet tillhandahåller (om inte annat är överenskommet enligt detta Avtal) eftersom det kan påverka vilka säkerhetsåtgärder som Personuppgiftsbiträdet måste vidta.

Information till Personuppgiftsbiträdet

Den Personuppgiftsansvarige ska omedelbart och skriftligen anmäla till Personuppgiftsbiträdet alla förhållanden som kan medföra behov av förändringar i det sätt som Personuppgiftsbiträdet behandlar personuppgifterna.

Personuppgiftsbiträdets skyldigheter

Säkerhetsåtgärder

Personuppgiftsbiträdet ska etablera lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifterna behandlas i enlighet med kraven i dataskyddslagstiftningen och villkoren i Uppdragsavtalet och detta Avtal. Detta gäller såväl den Personuppgiftsansvariges som Personuppgiftsbiträdets skyldigheter, inklusive kravet på inbyggt dataskydd som standard. Säkerhetsåtgärderna ska minst motsvara den nivå som behöriga tillsynsmyndigheter normalt kräver för motsvarande behandlingar. Åtgärderna ska vara dokumenterade och ska utan onödigt dröjsmål lämnas till den Personuppgiftsansvarige på skriftlig begäran.

Instruktioner

Personuppgiftsbiträdet får endast behandla personuppgifterna för det ändamål som framgår av punkten 2 ovan, i enlighet med de instruktioner som den Personuppgiftsansvarige meddelat Personuppgiftsbiträdet i Uppdragsavtalet och enligt nedan, och endast i syfte att utföra sitt uppdrag enligt Uppdragsavtalet.

Personuppgiftsbiträdet ska säkerställa att varje fysisk person som utför arbete under dennes överinseende och som får tillgång till personuppgifterna som omfattas av detta Avtal, endast behandlar dessa i enlighet med givna instruktioner, om inte annat åläggs personen enligt lag.

Av instruktionerna enligt nedan, samt av Uppdragsavtalet, framgår bland annat vilka säkerhetsåtgärder som Personuppgiftsbiträdet ska tillämpa.

Om Personuppgiftsbiträdet anser att den Personuppgiftsansvariges instruktioner står i strid med tillämplig dataskyddslagstiftning, ska Personuppgiftsbiträdet skriftligen underrätta den Personuppgiftsansvarige om detta via den kontaktinformation som framgår av avtalsingressen.

Utlämnande av personuppgifter och användningen av underleverantörer

Personuppgiftsbiträdet får inte överföra eller ge åtkomst till personuppgifterna till en extern part utan den Personuppgiftsansvariges uttryckliga och skriftliga förhandstillstånd, i annat fall än när det föreligger en lagstadgad skyldighet för Personuppgiftsbiträdet att göra det. Om en sådan lagstadgad skyldighet föreligger, ska Personuppgiftsbiträdet skriftligen underrätta den Personuppgiftsansvarige om det, innan personuppgiftsbehandlingen påbörjas, eller åtkomst ges, under förutsättning att en sådan information inte är förbjuden enligt lag.

Personuppgiftsbiträdet får inte anlita underleverantörer för att utföra hela eller delar av behandlingen av personuppgifter utan att den Personuppgiftsansvarige på förhand har lämnat sitt skriftliga godkännande. Ett sådant godkännande ges härmed till de underleverantörer, och till den omfattning, som framgår av denna webbsida.

För det fall underleverantörer får användas enligt detta Avtal så ska Personuppgiftsbiträdet ingå ett skriftligt Avtal med sina underleverantörer, som binder underleverantören vid minst samma skyldigheter som Personuppgiftsbiträdet har enligt detta Avtal. Personuppgiftsbiträdet ansvarar fullt ut gentemot den Personuppgiftsansvarige för hur underleverantörerna behandlar personuppgifterna, inklusive underleverantörernas säkerhetsåtgärder. Det innebär bland annat att Personuppgiftsbiträdet ska hålla Personuppgiftsansvarige skadeslös för en underleverantörs brott mot tillämplig lagstiftning, Uppdragsavtalet och/eller detta Avtal, som om denne själv begått avtalsbrottet och/eller handlat i strid med tillämplig lagstiftning, allt i enlighet med bestämmelserna i detta Avtal.

Om en ny underleverantör tillkommer, eller vid byte av underleverantör, ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om detta via de kontaktuppgifter som framgår av avtalsingressen, minst 14 dagar innan förändringen sker, och inhämta dennes skriftliga godkännande. Godkännande ska ges utan onödigt dröjsmål. För det fall att förändringen inte kan godtas av den Personuppgiftsansvarige, ska följande gälla om inte Parterna skriftligen kommer överens om annat. För det fall att förändringen inte kan godtas av den Personuppgiftsansvarige, har Personuppgiftsbiträdet rätt att säga upp Avtalet, om den Personuppgiftsansvarige inte kan visa att förändringen leder till väsentlig nackdel för honom, ökar risken för att personuppgifterna behandlas med undermålig säkerhet eller liknande. Vid uppsägning enligt föregående mening föreligger ingen ersättningsskyldighet för Personuppgiftsbiträdet gentemot Personuppgiftsansvarig.

Krav på lokalisering och överföring av personuppgifter till tredjeland

Personuppgiftsbiträdet ska tillse att personuppgifterna endast lagras och i övrigt behandlas inom EU/EES om inte Parterna skriftligen kommer överens om något annat. Detsamma gäller all åtkomst till personuppgifterna, exempelvis för service, support, underhåll, utveckling, drift eller liknande hantering.

För det fall Parterna skriftligen kommer överens om överföring (inklusive åtkomst) av personuppgifter till tredje land ska Personuppgiftsbiträdet dessförinnan:

  • undersöka om det tredje landet säkerställer en adekvat skyddsnivå för personuppgifter enligt ett beslut meddelat av EU-kommissionen, och om så är fallet, får personuppgifter överföras till detta tredje land efter den Personuppgiftsansvariges skriftliga godkännande, vilket inte ska oskäligen fördröjas eller förvägras; och om sådant beslut inte föreligger;

  • säkerställa att det finns lämpliga skyddsåtgärder på plats enligt tillämplig personuppgiftslagstiftning, t.ex. standardiserade dataskyddsbestämmelser som antagits av EU-kommissionen, som omfattar överföringen och behandling av personuppgifterna; eller (i avsaknad av sådana skyddsåtgärder); och

  • undersöka om det är möjligt att förlita sig på något undantag enligt tillämplig personuppgiftslagstiftning för överföringen av personuppgifter och om så är fallet får personuppgifterna överföras till det tredje landet endast i den utsträckning (i) som det aktuella undantaget omfattar överföringen och behandlingen av personuppgifter, samt (ii) den Personuppgiftsansvariga skriftligen godkänner att det är möjligt att förlita sig på det aktuella undantaget, och ett sådant godkännande ska inte oskäligen fördröjas eller förvägras.

Till undvikande av tvivel får personuppgifter inte överföras till eller behandlas i tredje land om ingen av förutsättningarna ovan föreligger, och under förutsättning. att den Personuppgiftsansvarige i förväg skriftligen har godkänd överföringen och/eller behandlingen, sådant godkännande ska inte oskäligen fördröjas eller förvägras.

Tystnadsplikt och behörighet

Personuppgiftsbiträdet ska säkerställa att personer med behörighet att behandla personuppgifterna antingen omfattas av en lagstadgad tystnadsplikt eller har åtagit sig tystnadsplikt i ett bindande avtal. Tystnadsplikten ska gälla även efter det att detta Avtal har upphört att gälla. Åtkomst till personuppgifterna ska begränsas till sådana personer som behöver dem för att kunna utföra sina arbetsuppgifter.

Incidentrapportering

Personuppgiftsbiträdet ska skyndsamt underrätta den Personuppgiftsansvarige om säkerhetsincidenter som har medfört oavsiktlig eller olovlig förstörelse, förlust, ändring, obehörigt utlämnande av eller åtkomst till personuppgifterna. Alla sådana incidenter ska dokumenteras av Personuppgiftsbiträdet och dokumentationen ska överlämnas utan oskäligt dröjsmål till den Personuppgiftsansvarige på dess skriftliga begäran.

Om det är sannolikt att en personuppgiftsincident medför någon risk för den personliga integriteten hos de registrerade, ska Personuppgiftsbiträdet omedelbart efter att personuppgiftsincidenten kommit till Personuppgiftsbiträdets kännedom, vidta lämpliga avhjälpande åtgärder för att förhindra eller begränsa personuppgiftsincidentens potentiella negativa effekter.

I de fall en incident ska rapporternas till tillsynsmyndigheten, ska Personuppgiftsbiträdet samarbeta med och skyndsamt bistå den Personuppgiftsansvarige med all relevant information som efterfrågas och samarbeta med tillsynsmyndigheten (exempelvis genom att tillåta att tillsynsmyndigheten kan genomföra inspektion).

Bistånd för att fullgöra skyldigheter gentemot de registrerade

Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige att fullgöra sina skyldigheter när de registrerade utövar sin rätt till insyn, rättelse, radering, dataportabilitet etc. enligt dataskyddslagstiftningen. Detta ska ske utan oskäligt dröjsmål och senast inom tio (10) dagar från skriftlig anmodan. Den Personuppgiftsansvarige ska i dessa fall kontakta personuppgiftsbiträdet.

Radering av personuppgifter

För det fall att Personuppgiftsansvarige under avtalstiden skriftligen meddelar (t.ex. genom att trycka på ”deleteknappen”) att vissa personuppgifter ska raderas så ska Personuppgiftsbiträdet säkerställa att de aktuella uppgifterna förstörs, skrivs över eller på annat sätt skyndsamt raderas, dock senast inom 24 h.

När Uppdragsavtalet har avslutats ska Personuppgiftsbiträdet lämna tillbaka och/eller radera eller förstöra alla personuppgifter som omfattats av Uppdragsavtalet på det sätt som Personuppgiftsbiträdet finner lämpligt. Detta ska ske inom 40 dagar.

Revision

Personuppgiftsbiträdet ska tillse att den Personuppgiftsansvarige har möjlighet att, på egen hand, och på plats hos Personuppgiftsbiträdet och/eller dennes eventuella underleverantörer, kontrollera att Personuppgiftsbiträdet och dennes eventuella underleverantörer efterlever alla bestämmelser om behandlingen av personuppgifter enligt detta Avtal, Uppdragsavtalet och tillämplig dataskyddslagstiftning (t.ex. att samtliga berörda vidtar adekvata säkerhetsåtgärder för att skydda personuppgifterna).

För att en granskning ska initieras måste den Personuppgiftsansvarige minst fyra veckor före den föreslagna granskningen lämna in en detaljerad granskningsplan till Personuppgiftsbiträdet, där omfattning, varaktighet och föreslaget startdatum för granskningen redovisas.

Om granskningen ska utföras av tredje part måste detta som huvudregel avtalas mellan den Personuppgiftsansvarige och Personuppgiftsbiträde. Om behandling sker i en miljö med Personuppgifter härrörande från andra personuppgiftsansvariga eller liknande, kan Personuppgiftsbiträdet, efter eget gottfinnande, på grund av säkerhetsskäl besluta att granskningen ska utföras av ett allmänt väl ansett revisionsföretag som Personuppgiftsbiträdet väljer.

Om den begärda granskningen redan utförts och redovisats i en rapport enligt tillämplig kvalitetsstandard eller liknande av en kvalificerad tredjepartsgranskare under de senaste tolv månaderna, och Personuppgiftsbiträdet bekräftar att de granskade kontrollerna inte väsentligt förändrats, godtar den Personuppgiftsansvarige dessa resultat i stället för att begära en granskning av de kontroller som omfattas av rapporten.

Granskningen ska utföras under anläggningens normala kontorstider enligt Personuppgiftsbiträdets policyer och får inte på ett oskäligt sätt störa Personuppgiftsbiträdes verksamhet.

Den Personuppgiftsansvarige är ansvarig för alla direkta kostnader som uppkommer i samband med av den Personuppgiftsansvariges begärda granskning och Personuppgiftsbiträdets assistans i detta avseende.

Personuppgiftsbiträdet ska tillåta de inspektioner som Behörig Tillsynsmyndighet kan kräva för säkerställandet av en korrekt behandling av Relevanta Personuppgifter och följa eventuella beslut av Behörig Tillsynsmyndighet om åtgärder för att uppfylla den Gällande Dataskyddsreglering. Detta ska ske utan kostnad för den Personuppgiftsansvarige.

Övrigt

Den Personuppgiftsansvariga har naturligtvis även rätt att kräva en revision av Personuppgiftsbiträdet vid misstanke om att Personuppgiftsbiträdet inte agerar i enlighet med Avtalet och GDPR:s krav.

 

Instruktion till Personuppgiftsbiträdet

Informationssäkerhet

Personuppgiftsbiträdet är ansvarigt för att säkerställa personuppgifternas konfidentialitet och etablera minst sådana tekniska, fysiska, administrativa och organisatoriska säkerhetsåtgärder som är lämpliga i förhållande till den risk som behandlingen av personuppgifter kan medföra för de registrerade rättigheter och friheter, och för den Personuppgiftsansvariges verksamhet, allt i enlighet med den Personuppgiftsansvariges skriftliga instruktioner. Personuppgiftsbiträdet ska ta särskild hänsyn till risken för oavsiktlig eller olaglig förstöring, förlust eller ändring och till risken för obehörigt röjande av eller obehörig åtkomst till personuppgifterna samt till risken för andra personuppgiftsincidenter.

Tillgång till information

Personuppgiftsbiträdet ska se till att de personer som arbetar under dennes överinseende endast har tillgång till sådana personuppgifter som denne behöver för att kunna utföra sina arbetsuppgifter i förhållande till Personuppgiftsbiträdet. Utbildning

Personuppgiftsbiträdet ska tillhandahålla lämplig utbildning om integritetsskydd, konfidentialitet och om de krav på informationssäkerhet som ställs i detta Avtal till alla personer som arbetar under dennes överinseende och som har tillgång till personuppgifter som omfattas av detta Avtal.

Ansvarsbegränsningar och regressrätt m.m.

Personuppgiftsbiträdet ansvar under detta Avtal gentemot Personuppgiftsansvarige är begränsat till femtio (50) procent av den ersättning som Personuppgiftsansvarige erlagt till Personuppgiftsbiträdet under Uppdragsavtalet de senaste tolv (12) månaderna före skadehändelsen. Personuppgiftsbiträdet ansvarar inte i något avseende för indirekta skador eller följdskador, såsom förlorade intäkter, förlust av data eller eventuella sanktionsavgifter. För att Personuppgiftsbiträdet ska vara ansvarig gentemot Personuppgiftsansvarige krävs att Personuppgiftsbiträdet uppenbarligen ej genomfört sitt uppdrag i enlighet med de skriftliga instruktioner och anvisningar som tydligt framgår av detta Avtal och att detta i sin tur bevisligen har medfört att den Personuppgiftsansvarige drabbats av en direkt skada som är ersättningsgill enligt detta Avtal. Personuppgiftsbiträdet är inte ansvarig för eventuell skada för det fall den Personuppgiftsansvarige agerat på ett sätt som orsakat eller förvärrat skadan, helt eller delvis, och/eller för det fall Personuppgiftsbiträdet inte kunnat följa Avtalet och/eller de skriftliga instruktionerna på grund av force majeure-liknande händelser och Personuppgiftsbiträdet skriftligen underrättar Personuppgiftsansvarige om dessa.

Personuppgiftsbiträdet ska under Avtalets hela avtalstid inneha en för ändamålet lämplig och gällande ansvarsförsäkring. Kopia av försäkringspolicyn ska utan oskäligt dröjsmål översändas till Personuppgiftsansvarige på dennes skriftliga anmodan.

Rätt till omförhandling

Påkallande av omförhandling

Part har rätt att påkalla omförhandling av detta Avtal (inklusive instruktioner) för det fall:

  • den andre Partens ägarförhållanden ändras väsentligt; och/eller
  • tillämplig lagstiftning eller tolkningen av den, ändras på ett sätt som väsentligen påverkar behandlingen av personuppgifter som omfattas av detta Avtal.

Konsekvens av en omförhandling

Parterna har inte rätt att avbryta arbetet enligt detta Avtal och/eller Uppdragsavtalet endast av den anledningen att rätten till omförhandling åberopas eller att en omförhandling påbörjas.

Sekretess

Parterna åtar sig härmed, under Avtalets giltighetstid och därefter, att inte avslöja någon information till tredjeman avseende Avtalet eller annan information som Parterna har tagit del av med anledning av Avtalet, oavsett om informationen är skriftlig eller muntlig (”Konfidentiell Information”). Parterna är överens om att Konfidentiell Information enbart får användas för att fullgöra skyldigheter enligt Avtalet och Uppdragsavtalet, och inte för något annat syfte. Den mottagande Parten bekräftar även att den Parten, liksom dess företrädare, ledning, anställda, underkonsulter och liknande, kommer att tillämpa samma omsorgsplikt, men aldrig mindre än skälig omsorgsplikt, som används i förhållande till sin egen konfidentiella information för att undvika avslöjande eller användning av Konfidentiell Information.