Mellan

Kunden (företag, förening eller organisation)
[företag.namn]
[person.namn]
[deal.adress]
[deal.postnummer] [deal.stad]
Org. nummer [deal.org]

(hädanefter ”Dataansvarige”, ”Huvudanvändare”)

MarketingPlatform AB
Vinsta Skolgränd 4
162 70 Vällingby
Org-nr. 559201-8799
(hädanefter ”Datahanteraren”)

(Den Dataansvarige och Datahanteraren kommer även att bli benämnda som ”Part” och tillsammans som ”Parter/Parterna”)

Dagens datum: … [dagens.datum] …… har följande Datahanteringsavtal ingåtts.

1. BAKGRUND OCH FORMALIA

1.1 Parterna har kommit överens om att förse vissa tjänster från Datahanteraren till Dataansvarige, vilka beskrivs mer detaljerat i Datahanterarens Förpliktelser, som är accepterade av Kunden. Bilaga 1 till detta avtal beskriver tjänster som är täckta av denna överenskommelse (hädanefter “Huvudfördelarna”).

1.2 I denna förbindelse behandlar Datahanteraren personupplysningar på vägnar av den Dataansvarige, varför Parterna har ingått detta Datahanteringsavtal med tillhörande bilagor (hädanefter ”Datahanteringsavtalet”)

1.3 Datahanteringsavtalet har som syfte att säkra, att Datahanteraren följer den till var tid gällande persondatarättsliga regler:

  • Dataskyddsförordningen (GDPR , The General Data Protection Regulation (EU) 2016/L119, 4 maj 2016).
  • Persondataförordningen (Europaparlamentets förordning (EU) 2016/679, 27 april 2016).

Se www.datainspektionen.se/lagar–regler/dataskyddsforordningen/

2. OMFATTNING

2.1 Datahanteraren ges mandat att hantera behandling av personupplysningar på den Dataansvariges vägnar på de villkor som är definierade i Datahanteringsavtalet.

2.2 Datahanteraren får endast hantera personlig data i enlighet med dokumenterade instruktioner från Dataansvarige (hädanefter “Instruktioner”) inkluderat förflyttningen av personlig data till en tredjepart eller internationell organisation, om det inte krävs av EU eller nationell lag hos Datahanteraren; i det fallet skall Datahanteraren informera Dataansvarige om dess juridiska krav innan hantering, om inte domstol i fråga förbjuder sådana notifikationer för viktiga samhällsintressen. Datahanteringsavtalet inklusive bilagor utgör Instruktionen vid datum för signering.

2.3 Instruktionen kan till var tid ändras eller konkretiseras närmare av Dataansvarig.

2.4 Datahanteraren får, om inget annat framgår av Datahanteringsavtalet, använda alla relevanta hjälpmedel (IT-system).

3. GILTIGHETSTID

3.1 Datahanteringsavtalet är giltigt till:

a) Samarbetsavtalet för leverans av tjänster upphör – eller –

b) Datahanteringsavtalet skriftligen uppsäges eller upphävs.

3.2. Oavsett varaktigheten av Datahanteringsavtalet skall Datahanteringsavtalet fortsätta att appliceras så länge Datahanteraren de facto hanterar personlig data på uppdrag av Dataansvarige.

4. DATAHANTERARENS FÖRPLIKTELSER

4.1 Tekniska och organisatoriska säkerhetsåtgärder

4.1.1 Datahanteraren har ansvar för att genomföra nödvändiga tekniska och organisatoriska säkerhetsåtgärder för att säkerställa en tillräckligt hög säkerhetsnivå. Säkerhetsåtgärderna skall genomföras under hänsyn taget till den aktuella tekniska nivån, implementeringsomkostnader och den berörda behandlingens karaktär, omfattning, sammansättning och syfte samt efter riskbedömning hur fysisk persons rättigheter kan påverkas. Datahanteraren skall bl.a. ta kategorin personupplysningar beskrivet i bilaga 1 i betraktning vid fastställande av dessa åtgärder.

4.1.2 Datahanteraren genomför de nödvändiga tekniska och organisatoriska åtgärder på ett sätt, att Datahanterarens behandling av personupplysningar uppfyller kraven i den till var tid gällande persondataförordning.

4.2 Ansvar för anställda

4.2.1 Datahanteraren skall säkerställa att de personer, som behandlar personupplysningar, för Datahanteraren, har förpliktat sig till konfidentialitet eller är arbetar under tystnadsplikt.

4.2.2 Datahanteraren skall säkra, att tillgången till personupplysningarna begränsas till de personer, som det är nödvändigt att behandla personupplysningar för att kunna uppfylla Datahanterarens förpliktelser gentemot den Dataansvarige.

4.2.3 Datahanteraren skall säkerställa, att de personer, som behandlar personupplysningar för Datahanteraren, behandlar dessa i enlighet med Instruktionen.

4.2.4 Om Datahanteraren anser att en instruktion från Dataansvarige bryter mot förordningen om Personuppgifter eller bestämmelser om dataskydd i annan EU-lagstiftning eller i en medlemsstats lagstiftning, måste Datahanteraren omedelbart, i skrift, informera Datahanteraren om detta.

4.3 Dokumentation av överensstämmelse

4.3.1 Datahanteraren skall på skriftlig anmodan dokumentera gentemot den Dataansvarige, att Datahanteraren:

a) Uppfyller sina skyldigheter enligt Datahanteringsavtalet och instruktionerna, och

b) Överensstämmer med bestämmelserna i gällande personuppgiftsreglering när som helst med avseende på de personuppgifter som behandlas för Dataansvariges räkning.

4.3.2 Om Dataansvarige önskar att få ytterligare dokumentation enligt punkt 4.3.1 måste Dataansvarige upprätta och specificera vilken dokumentation som krävs.
Datahanteraren är emellertid alltid skyldig att tillhandahålla all information som är nödvändig för att den Dataansvarige ska kunna bevisa överensstämmelse med myndighetskraven. Dessutom måste Datahanteraren tillhandahålla och bidra till revisioner, inklusive inspektioner utförda av Dataansvarige eller andra revisorer som är auktoriserade av Dataansvarige.

4.4 Säkerhetsöverträdelse

4.4.1 Datahanteraren skall underrätta den Dataansvariga om brott mot persondatasäkerheten, som potentiellt kan leda till oavsiktlig eller olaglig förstörelse, förlust, ändring, oauktoriserad spridning av eller tillgång till personupplysningarna behandlat för den Dataansvarige (hädanefter ”Säkerhetsöverträdelse”).

4.4.2 Säkerhetsöverträdelse skall meddelas Dataansvarige skyndsamt.

4.4.3 Datahanteraren skall kunna tillhandahålla en översikt över alla säkerhetsöverträdelser. Översikten skall som minimum dokumentera följande:

a) De faktiska omständigheterna kring Säkerhetsöverträdelser,

b) Säkerhetsöverträdelsens omfattning, och

c) Vidtagna åtgärder.

4.4.4. Översikten skall efter skriftlig anmodan vara behjälplig för Dataansvarige och tillsynsmyndighet.

4.5 Bistånd

4.5.1 Datahanteraren skall i nödvändig och rimlig omfattning bistå Dataansvariges uppfyllelse av dennes förpliktelser vid behandling av personupplysningarna, som är omfattad av Datahanteringsavtalet, vid:

a) med beaktande av bearbetningens art kommer Dataansvarige att hjälpa till med hanteringen av begäranden från en registrerad enligt kapitel III i personuppgiftsförordningen. Datahanteraren måste genomföra lämpliga tekniska och organisatoriska åtgärder för att hjälpa Dataansvarige med uppgiften att uppfylla sin skyldighet att svara på sådana förfrågningar,

b) Säkerhetsöverträdelse,

c) på begäran av Dataansvarige ska den tillhandahålla all nödvändig information för en konsekvensanalys enligt artiklarna 35-36, inklusive

d) Föregående samråd av tillsynsmyndigheterna.

4.5.2 Datahanteraren skall inklusive att erhålla den information som måste ingå i en anmälan till tillsynsmyndigheten i den mån dataprocessorn är närmast detta.

4.5.3 Datahanteraren har rätt till betalning för tid och förbrukat material som används i tillhandahållande av stöd enligt detta avsnitt 4.5, under förutsättning att stödet görs på förfrågan från det Dataansvarige. Datahanteraren kan dock inte kräva betalning för assistans enligt 4.5.1.b i den utsträckning, och i händelse av att det finns säkerhetsöverträdelser som uppstår med Datahanteraren.

5. DATAANSVARIGES FÖRPLIKTELSER

5.1 Dataansvarige måste se till att det finns en rättslig grund för behandlingen av personuppgifter av Datahanteraren på uppdrag av Dataansvarige.

6. DATABEHANDLING AV UNDERLEVERANTÖRER

6.1 Datahanteraren har rätt att använda en tredjepart för behandling av personupplysningar för den Dataansvarige (”Underleverantör”) i den omfattning som framgår av:

a) Bilaga 2 till detta Datahanteringsavtal, eller

b) Instruktion från Dataansvarige.

6.2 Datahanteraren och Underleverantören skall ingå ett skriftligt avtal, som förpliktar Underleverantören samma dataskyddsförpliktelser, som åligger Datahanteraren (inkluderat i Datahanteringsavtalet).

6.3 Dataansvarige skall på skriftlig anmodan dela alla Underleverantörsavtal som omfattas av punkt 3 som är ingångna med eventuella underleverantörer.

6.4 Underleverantörens avtal skall vara ett eget avtal mellan Underleverantören och Dataansvarige. Kommunikation med Underleverantören kan
av Datahanteraren, om inget annat avtalats. Eventuella ändringar i avtalet eller i Instruktionen från Dataansvarige skall videreförmedlas av Datahanteraren till Underleverantören.

6.5 Datahanteraren är ansvarig för Underleverantörens behandling av personupplysningar på samma sätt som hantering av Datahanteraren själv.

7. TREDJELAND OCH INTERNATIONELLA ORGANISATIONER

7.1 Datahanteraren måste kunna överföra personupplysningar till tredjeland eller internationella organisationer i den omfattning detta framgår av Instruktionen från Dataansvarige.

7.2 Överföringar av personupplysningar skall vid varje tillfälle endast ske i den omfattning som är tillåtet enligt den till var tid gällande Persondataförordningen.

7.3 I den utsträckning överföringen inte sker på grundval av en specifik instruktion från Dataansvarige måste Datahanteraren se till att det finns en laglig överföringsgrund för överföring av personuppgifter till ett tredjeland eller till internationella organisationer, oavsett om detta är i form av vanliga EU-kommissionskontrakt för överföring av personuppgifter till tredje land eller annan rättslig grund.

8. DATABEHANDLING UTANFÖR AVTALET

8.1 Datahanteraren kan behandla personupplysningar utanför avtalet i undantagsfall, när det krävs av EU-rätten eller nationell rätt, som Datahanteraren är underlagd.

8.2 Vid behandling av personupplysningar utanför avtalet skall Datahanteraren underrätta Dataansvarige om orsaken till detta. Underrättelsen skall ske, innan behandlingen genomförs och skall innehålla en hänvisning till de rättsliga krav som ligger till grund för behandlingen.

8.3 Underrättelse skall inte ske, om underrättelse är i strid med EU rätten eller nationell rätt.

9. AVTALSBROTT

9.1 Uppgörelsen av standard i kontraktet för tillhandahållandet av Huvudavtalet (bilaga 1) gäller även för detta Datahanteringsavtal, som om detta Datahanteringsavtal var en integrerad del av det.

Om avtalet för tillhandahållandet av Huvudtjänsterna inte fattar ett beslut, gäller det allmänna brottet mot tillämplig lag för denna Datahanteringsavtal.

10. ANSVAR OCH ANSVARSBEGRÄNSNING

10.1 Reglering av ansvar och ansvarsbegränsningar i MarketingPlatforms Affärsvillkor gäller även för denna Datahanteringsavtal, som om detta Datahanteringsavtal var en integrerad del av det.

11. FORCE MAJEURE

11.1 Förordningen om force majeure i MarketingPlatforms Affärsvillkor gäller även för detta Datahanteringsavtal, som om detta Datahanteringsavtal var en integrerad del av det.

12. UPPSÄGNING OCH UPPHÖRANDE

12.1 Datahanteringsavtalet kan kan endast uppsägas i enlighet med bestämmelserna om uppsägning och upphörande i de MarketingPlatforms Affärsvillkor.

13. UPPHÖRANDE EFFEKT

13.1 Datahanterarens behörighet att behandla personuppgifter på Dataansvariges vägnar upphör att gälla vid uppsägning av Datahanteringsavtalet, oavsett anledning. Uppsägning regleras genom uppsägningstiden och utförandet, vilket regleras i MarketingPlatforms Affärsvillkor.

13.2 Datahanteraren måste återlämna, som i praktiken sker enligt reglerna i MarketingPlatforms Affärsvillkor, till alla personupplysningar (med undantag av information som berikats på Datahanteraren plattform och statistik och beteendeuppgifter) som Datahanteraren har behandlat enligt detta Datahanteringsavtal, till Dataansvarige vid uppsägning av Datahanteringsavtalet. I den mån Dataansvarige inte redan har personuppgifterna. Datahanteraren är då skyldig att inom de tidsgränser som anges i MarketingPlatforms Affärsvillkor, radera all personlig data från Datahanteraren. Dataansvarige kan begära nödvändig bevisning för att detta har hänt. I praktiken sker denna borttagning genom en radering av Dataansvariges åtkomst till Datahanterarens plattform.

Utöver detta utförs det aktuella backup-proceduren 10 dagar av Datahanteraren och Underleverantörer.

14. FÖRETRÄDE

14.1 Om det finns en konflikt mellan detta Datahanteringsavtal och Huvudavtalet (bilaga 1) angående tillhandahållandet av huvudtjänsterna, har Huvudavtalet (bilaga 1) företräde, om inte annat följes direkt av Datahanteringsavtalet.

14.2. I händelse av avvikelser mellan bestämmelserna i detta Datahanteringsavtal och andra skriftliga eller muntliga avtal som ingåtts mellan parterna, ska bestämmelserna i detta Datahanteringsavtal ha företräde. I händelse av avvikelser ska bestämmelserna i detta Datahanteringsavtal emellertid inte ha företräde i den utsträckning som det ställs strängare skyldigheter för Datahanteraren och / eller dess underdatabehandlare med kommissionens standardkontrakt för överföring av personuppgifter till tredje land.

Datahanteringsavtal, bilaga 1 – INFORMATION OM DATAHANTERING

Datahanteraren förser Dataansvarige med en plattform för e-mailmarknadsföring och marketing automation, som kan användas för att sända ut nyhetsbrev, övrig marknadskommunikation samt kampanjer i relation till dess kunder och potentiella kunder. Plattformen heter MarketingPlatform.

Datahanterarens hantering av personlig data på uppdrag av Datakontrollanten inkluderar att Datahanteraren gör MarketingPlatforms system tillgängligt för Dataansvarige, och därigenom lagerför data för Dataansvarige på företagets servrar.
Användande inkluderar hantering av följande typer av data om de registrerade prenumeranterna:
– generell personlig data

Hantering inkluderar, men är inte limiterad till följande kategorier av personlig data:
– Namn, e-mailadress, telefonnummer, mobilnummer, adress, kundnummer och övrig kontaktinformation
– Köphistorikinformation, inklusive frekvens och övrig information om produktpreferenser
– Information om marknadsföringspreferenser och behörigheter

Hantering inkluderar följande kategorirer av registrerade prenumeranter:
Personer som är eller har varit i kontakt med Dataansvarige och/eller personer som har gett sitt medgivande att ta emot email från Dataansvarige.

Dataansvarige kan skapa och ta bort fält i datamodellen för sig själv, på så vis expandera eller limitera den mängd och typ av personlig data som lagras.

Datahanterarens hantering av personlig data på uppdrag av Dataansvarige kan komma att påbörjas efter det att Datahanteringsavtalet träder i kraft.

Behandlingen har följande varaktighet: Behandlingen är inte tidsinställd och varar förrän Datahanteringsavtalet sägs upp eller avslutas av en av Parterna.

Trots det formella Datahanteringsavtalet måste Datahanteringsavtalet förbli i kraft så länge Datahanteraren behandlar personuppgifterna för Dataansvarige.

Datahanteringsavtal, bilaga 2 – TREDJEPARTS DATAHANTERARE

1. TREDJEPARTS DATAHANTERARE

1.1 Dataansvarige ger härmed sitt godkännande till, att Datahanteraren använder följande
Underleverantörer:

a) Sentia Solutions A/S, Smedeland 32 2600 Glostrup, CVR.nr. 25464737 (leverar fysisk infrastruktur, hosting, samt serverkapacitet och säkerhet).

b) Google Cloud Platform, placerad inom EU med planerad överflytning till Norden så snart detta center öppnar (planerat 2020). CVR nr. 28866984

1.2 Den Dataansvarige meddelar med Databehandlingsavtalet sitt generella skriftliga godkännande till, att Datahanteraren har rätt att använda Underleverantörer. Datahanteraren måste meddela Dataansvarige skriftligen om användningen av en tredjeparts datahanterare innan applikationen påbörjas med en 30-dagars varsel. I tillägg skall Datahanteraren underrätta Dataansvarige om användandet av en Underleverantör upphör.

1.3 Dataansvarige har möjlighet att göra invändningar mot användning av Underleverantör i den omfattning detta är praktiskt möjligt.

Särskilda villkor

2.1 Dataansvarige accepterar att Datahanteraren använder standardapplikationer (Cloud Hosting i EU endast hos Google), lösningar och hårdvara från t.ex. Apple, Google och Microsoft. I den utsträckning som sådana standardapplikationer används för att hantera personuppgifter på uppdrag av Dataansvarige och i fallet med en tredjeparts datahanterare för datahantering är Datahanteraren skyldig att informera Dataansvarige om detta och att lista upp leverantör enligt punkt 1.1. i tillägg 2. Dataansvarige har endast accepterat att de personuppgifter som behandlas för hans räkning kommer att behandlas på platser som anges under bilaga 2, punkt 1.1 och Datahanterarens plats i Danmark. Godkännandet enligt denna punkt 2.1 är därför inte ett godkännande av att personuppgifterna som behandlas på uppdrag av Dataansvarige kan behandlas på andra platser eller överföras till länder utanför EU / EES.

[101366]
[101366]