compliance

Personuppgiftsbiträdesavtal

För personuppgifter. Förklarar hur Safespring hanterar data för kundens räkning, vilka instruktioner som gäller och vilka underbiträden som kan vara involverade.

Texten är automatiskt översatt för din bekvämlighet, du kan läsa texten på:

Engelska (original) Ge feedback
.

Personuppgiftsbiträdet behandlar personuppgifter för den personuppgiftsansvariges räkning vid tillhandahållande av tjänsten.

Detta personuppgiftsbiträdesavtal (“DPA”) mellan kunden (nedan “Personuppgiftsansvarig”) och Safespring AB (559075-0245) (nedan “Personuppgiftsbiträdet”) utgör en del av Avtalet, enligt vilket Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning vid tillhandahållande av tjänsten. Den Personuppgiftsansvarige är personuppgiftsansvarig för behandlingen av personuppgifterna. Personuppgiftsbiträdet är personuppgiftsbiträde.

1. Dokument

1.1 Denna DPA består av detta huvuddokument och bilaga 1, Instruktioner och underbiträden.

2. Definitioner och tolkning

2.1 I denna DPA ska termer med versaler ha de betydelser som anges nedan eller om det inte definieras häri, betydelserna som anges i Tillämplig Lagstiftning eller avtalet.

TILLÄMPLIG LAGSTIFTNING betyder

  1. GDPR och
  2. eventuell tillämplig tilläggslagstiftning till GDPR.

GDPR betyder Europaparlamentets förordning (EU) 2016/679 och rådet som ändrat, kompletterat och/eller varierat från tid till annan.

PERSONUPPGIFTER avser personuppgifterna (enligt definitionen i Tillämplig lagstiftning), specificerad i bilaga 1 härtill.

3. Instruktioner

3.1 Behandlaren ska behandla personuppgifterna i enlighet med artikel 28.3 och registeransvariges skriftliga instruktioner som anges i bilaga 1.

3.2 Behandlaren får inte behandla personuppgifterna för någon annan ändamål eller på något annat sätt än enligt instruktioner från den personuppgiftsansvarige från då och då. Parterna ska uppdatera bilaga 1 vid nya resp ändrade instruktioner.

3.3 Utan hinder av ovanstående kan Personuppgiftsbiträdet åta sig rimliga dagliga handlingar med personuppgifterna utan att behöva erhållit specifika skriftliga instruktioner från den registeransvarige att Databehandlaren agerar för och inom ramen för de angivna ändamålen i bilaga 1.

3.4 I händelse av att Personuppgiftsbiträdet anser att någon instruktion bryter mot tillämplig lagstiftning ska Databehandlaren avstå från att agera på sådana instruktioner och ska omedelbart meddela den registeransvarige och avvakta ändrade instruktioner.

4. Den registeransvariges skyldighet att behandla uppgifter lagligt

4.1 Den registeransvarige ska säkerställa att en laglig grund erkänd enligt Tillämplig lagstiftning gäller för behandling av personuppgifterna. Den Den registeransvarige ska vidare uppfylla alla andra skyldigheter för en registeransvarig enligt tillämplig lagstiftning.

4.2 Den personuppgiftsansvariges instruktioner för behandlingen av Personlig Data ska följa tillämplig lagstiftning. Kontrollanten ska ha ensamt ansvar för noggrannheten, kvaliteten och lagligheten av Personuppgifter och på vilket sätt den har förvärvat personuppgifterna.

5. Säkerhetsåtgärder

5.1 Personuppgiftsbiträdet ska upprätthålla lämpliga tekniska och organisatoriska åtgärder i enlighet med artikel 32 i GDPR för att säkerställa att Personuppgifterna är skyddade mot förstörelse, modifiering och spridning. Databehandlaren ska vidare säkerställa detta Personuppgifter är skyddade mot obehörig åtkomst och den åtkomsten händelser loggas och kan spåras.

5.2 Personuppgiftsbiträdet ska säkerställa

  1. att endast behöriga anställda har tillgång till personuppgifterna,
  2. att de behöriga anställda behandlar Personuppgifterna endast i i enlighet med denna DPA och den registeransvariges instruktioner och
  3. att varje behörig anställd är bunden av en sekretess åtagande gentemot Databehandlaren i förhållande till Personuppgifterna.

5.3 Personuppgiftsbiträdet ska meddela den personuppgiftsansvarige utan onödigt dröjsmål och, där det är möjligt, inom 48 timmar efter att ha blivit medveten om ett personuppgiftsintrång. Sådan underrättelse ska, om möjligt, åtminstone innehålla den information som beskrivs i artikel 33.3 i GDPR.

5.4 Personuppgiftsbiträdet ska upprätthålla en informationssäkerhetshantering system anpassat till ISO 27001 eller motsvarande standard.

6. Bearbetarens skyldigheter att bistå

6.1 Behandlaren ska bistå den personuppgiftsansvarige med fullgörandet av den registeransvariges skyldighet att se till att de registrerade ev utöva sina rättigheter enligt tillämplig lagstiftning genom att säkerställa lämpliga tekniska och organisatoriska åtgärder. Personuppgiftsbiträdet ska utan onödigt dröjsmål och med hänsyn till behandlingens art vidare assistera den registeransvarige i förhållande till den registeransvariges skyldigheter enligt artiklarna 32-36 i GDPR.

7. Underbehandlare

7.1 Bearbetaren kan anlita tredje part för att behandla det personliga Data eller någon del därav på dess vägnar (“underbehandlare”). Där Personuppgiftsbiträdet har för avsikt att anlita en ny underbehandlare, måste den registeransvarige vara skriftligen informeras om detta. Den nya underbehandlaren kan behandla

Personuppgifter om den personuppgiftsansvarige inte har invänt skriftligen 30 dagar efter att sådan information lämnats. Underprocessorer är listade i Bilaga 1, som ska uppdateras vid ändringar av den Underprocessorer.

7.2 Personuppgiftsbiträdet ska ingå ett skriftligt avtal med varje Underbehandlare, där varje underbehandlare åtar sig förpliktelser vid minst återspeglar de som bearbetaren åtar sig under denna DPA. Den Databehandlaren är ansvarig gentemot den personuppgiftsansvarige för sina underbehandlare handlingar och försummelser som för sina egna.

7.3 I händelse av att Personuppgiftsansvarig invänder mot någon ny underbehandlare i I enlighet med avsnitt 7.1 ska Databehandlaren avstå från att använda sådan Underprocessor. Om det inte är praktiskt eller kommersiellt rimligt enligt Databehandlaren ska Databehandlaren efter eget gottfinnande vara har rätt till antingen

8. Överföringar till tredje land

8.1 Behandlaren har rätt att överföra personuppgifter utanför EU/EES, eller anlita en underbehandlare för att behandla personuppgifter utanför EU/EES, Databehandlaren kan överföra personuppgifter utanför EU/EES där lämpliga skyddsåtgärder finns på plats i enlighet med Tillämpligt lagstiftning och som Databehandlaren har en tillämplig laglig grund för sådan överföring. Databehandlaren ska på den registeransvariges begäran tillhandahålla dokumenterade bevis som visar den tillämpliga rättsliga grunden för överföringen.

8.2 Parterna erkänner att lagar, praxis och annat relevant omständigheter i tredjeländer, inklusive förfrågningar från offentliga myndigheter, kan ändras under detta avtals löptid. Om sådana förändringar inträffar, Lämpligheten hos de tekniska och organisatoriska åtgärderna ska omprövas för att säkerställa att personuppgifter fortsätter att skyddas i enlighet med EU-data skyddsstandarder.

9. Revision

9.1 På den registeransvariges begäran kommer processorn att tillhandahålla Den registeransvarige information som är nödvändig för att visa processorns efterlevnad av sina skyldigheter enligt tillämplig lagstiftning och detta DPA.

9.2 Om den registeransvarige, trots att han tagit emot den information som anges i Avsnitt 9.1 ovan, har en berättigad anledning att misstänka att Databehandlaren inte uppfyller sina skyldigheter enligt tillämplig lagstiftning och detta DPA ska den personuppgiftsansvarige ha rätt till med 30 dagars skriftligt varsel genomföra en granskning av Databehandlarens behandling av personuppgifterna och information som är relevant i det avseendet. Revisioner ska begränsas till en gång per år och ska inte störa Bearbetarens verksamhet. Personuppgiftsbiträdet ska bistå den personuppgiftsansvarige och lämna ut all information som är nödvändig för att för den registeransvarige att utföra sådan revision. Den registeransvarige ska bära kostnader för sådan revision.

9.3 Om en dataskyddsmyndighet utför en revision av Behandlare som kan involvera behandling av personuppgifter, den Databehandlaren ska omedelbart meddela den personuppgiftsansvarige om detta.

10. Kostnader

10.1 Databehandlaren ska ha rätt till ersättning när som helst spenderas för att följa avsnitt 6 i enlighet med tjänsteavgiften för Professionella tjänster som anges i tjänsteordern eller på annat sätt som anges i Handläggarens allmänna prislista för konsulttjänster. Den personuppgiftsansvarige ska vidare stå för alla kostnader som Databehandlaren ådragit sig på grund av eventuella ändrade eller ytterligare instruktioner utfärdade av den registeransvarige angående behandlingen av personuppgifterna.

11. Ansvarsbegränsning

11.1 Personuppgiftsbiträdets ansvar som härrör från eller relaterat till denna DPA omfattas av de bestämmelser om ansvarsbegränsning som anges i den Avtal.

12. Sekretess

12.1 Personuppgiftsbiträdet åtar sig att inte avslöja eller tillhandahålla några Personuppgifter, eller all information relaterad till personuppgifterna, till någon tredje part. För att undvika tvivel ska ingen underbehandlare vara det anses vara en tredje part för ändamålen i detta avsnitt 12. Detta tystnadsplikten kommer att fortsätta att gälla även efter den uppsägning av denna DPA utan tidsbegränsning.

12.2 Trots avsnitt 12.1 ovan kan processorn avslöja sådan information om Databehandlaren är skyldig härtill enligt lag, bedömning av domstol eller genom beslut av en behörig myndighet. När sådan skyldighet uppstår, ska Databehandlaren omedelbart meddela den personuppgiftsansvarige skriftligen före offentliggörande, såvida det inte är begränsat från att göra det enligt Tillämpligt Lagstiftning.

12.3 Behandlaren ska tillhandahålla en kontaktpunkt för dataskydds- och säkerhetsfrågor.

gdpr@safespring.com

13. Retur och radering av data

13.1 Den personuppgiftsansvarige ska vid uppsägning av Avtalet eller detta DPA instruerar processorn skriftligen om att överföra eller inte Personuppgifter till den personuppgiftsansvarige (sådan överföring ska göras i en gemensam maskinläsbart format). Databehandlaren kommer att radera personuppgifterna från dess system tidigast 30 dagar och senast 40 dagar efter giltighetsdatum för uppsägning av avtalet. Personuppgiftsbiträdet ska bekräfta radering skriftligen på begäran.

14. Termin

14.1 Denna dataskyddsmyndighet ska, trots villkoren i avtalet, träder i kraft när Databehandlaren börjar behandla personuppgifter på uppdrag av den personuppgiftsansvarige och ska avslutas när Databehandlaren har raderade personuppgifterna i enlighet med avsnitt 13 ovan.

Innehåll

Innehåll

Safespring är en snabb och flexibel moln- och IT-infrastrukturtjänst.

Som en svensk lösning gör Safespring det enklare för dig att uppfylla lagar och regler, som GDPR.

Utforska

Se demo

Låt en av våra Cloud Architects visa dig vår plattform.

Se demo
×
Safespring Linkedin Safespring X Safespring GitHub Safespring YouTube Safespring Facebook

Välj språk

Svenska flag English flag Norsk (Bokmål) flag Dansk flag

Certifieringar

ISO 27001 FR2000

© Safespring AB (559075-0245) 2017-2026