Genom att klicka på "Acceptera" samtycker du till lagring av cookies på din enhet för att förbättra webbplatsnavigeringen, analysera webbplatsanvändningen och hjälpa till i våra marknadsföringsinsatser. Se vår integritetspolicy för mer information.

Avtal om databehandling

Uppdaterad 2024-05-28

Innehållsförteckning

1 Inledning

2 Överenskommelser Dokument

3 Behandling av personuppgifter

4 Säkerhetsåtgärder

5 Överföring utanför EU/EES

6 Användning av underbiträden

7 Personuppgiftsbiträdets skyldigheter

8 Personuppgiftsincident

9 Konfidentialitet

10 Ersättning

11 Ansvar

12 Löptid och uppsägning

13 Återlämnande och förstöring av personuppgifter

14 Tillämplig lag och tvistlösning

Bilagor

Bilaga I - Förteckning över parter och beskrivning av behandling

Bilaga II - Tekniska och organisatoriska åtgärder

Bilaga III - Förteckning över underprocessorer

Detta personuppgiftsbiträdesavtal ("DPA") utgör en del av Avtalet mellan 360Player AB ("Personuppgiftsbiträdet"), i egenskap av personuppgiftsbiträde, och kunden som är part i Avtalet ("Personuppgiftsansvarig"), i egenskap av personuppgiftsansvarig. Om det finns någon konflikt mellan detta DPA och Avtalet ska detta DPA ha företräde i förhållande till behandlingen av personuppgifter.

Personuppgiftsansvarig och Personuppgiftsbiträdet benämns gemensamt "Parterna" och var och en av dem "Part".

1 - Inledning

1.1 För att kunna fullgöra sina skyldigheter enligt Avtalet kommer Personuppgiftsbiträdet att behandla personuppgifter för den Personuppgiftsansvariges räkning. Detta dataskyddsavtal är en bilaga till avtalet och reglerar behandling av personuppgifter i enlighet med bestämmelserna i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning "GDPR") och all nationell lagstiftning ellerEU-lagstiftningsom är tillämplig från tid till annan ("Tillämplig dataskyddslagstiftning").

1.2 I händelse av konflikt eller inkonsekvens mellan avtalet och detta dataskyddsavtal avseende behandling av personuppgifter ska bestämmelserna i dataskyddsavtalet ha företräde.

2 - Dokument om överenskommelser

2.1 Följande bilagor införlivas härmed genom hänvisning i detta DPA:

Bilaga I - ´Beskrivning av behandlingen

Bilaga II - Tekniska och organisatoriska åtgärder

Bilaga III - Förteckning över underbearbetningsföretag

3 - Behandling av personuppgifter

3.1 Föremålet för, varaktigheten av, arten av och syftet med behandlingen anges i bilaga I (Beskrivning av behandlingen)

3.2 Den personuppgiftsansvarige ansvarar för att säkerställa att behandlingen sker i enlighet med tillämplig dataskyddslagstiftning och för att förse personuppgiftsbiträdet med korrekta och tillräckliga instruktioner.

3.3 Personuppgiftsbiträdet åtar sig att endast behandla personuppgifter i enlighet med instruktionerna i detta Personuppgiftsbiträdesavtal, Avtalet och dokumenterade instruktioner som från tid till annan ges av Personuppgiftsansvarig, såvida inte behandlingen krävs enligt Tillämplig Dataskyddslagstiftning. I sådant fall ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om behandlingen och de rättsliga krav som behandlingen baseras på innan personuppgifterna behandlas, såvida inte tillhandahållandet av sådan information är förbjudet enligt Tillämplig Dataskyddslagstiftning.

3.4 Personuppgiftsbiträdet ska omedelbart informera Personuppgiftsansvarig om:

(i) Personuppgiftsbiträdet inte kan fullgöra sina skyldigheter enligt dataskyddsförordningen;

(ii) Personuppgiftsbiträdet anser att instruktionerna från den Personuppgiftsansvarige strider mot Tillämplig Dataskyddslagstiftning; eller

(iii) Personuppgiftsbiträdet anser att instruktionerna från den Personuppgiftsansvarige är otillräckliga eller felaktiga.

I sådant fall ska Controller justera sina instruktioner.

4 - Säkerhetsåtgärder

4.1 Parterna ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder som är nödvändiga för att säkerställa en säkerhetsnivå som är lämplig med hänsyn till riskerna vid behandling av personuppgifter, och vid behov genomföra och upprätthålla de tekniska och organisatoriska säkerhetsåtgärder som anges i artikel 32 i GDPR.

4.2 De tekniska och organisatoriska säkerhetsåtgärder som Parterna har kommit överens om framgår av Bilaga II (Tekniska och organisatoriska åtgärder). Personuppgiftsansvarig ska säkerställa att sådana åtgärder uppfyller bestämmelserna i Tillämplig Dataskyddslagstiftning.

5 - Överföring utanför EU/EES

5.1 Personuppgiftsbiträdet kan vid vissa tillfällen överföra personuppgifter till ett land utanför EU/EES i enlighet med instruktioner från den Personuppgiftsansvarige, enligt vad som närmare anges i bilagorna till detta Personuppgiftsbiträdesavtal som uppdateras från tid till annan. Om personuppgifter överförs till ett land utanför EU/EES ska Parterna säkerställa att överföringen omfattas av en adekvat överföringsmekanism i enlighet med kapitel V i GDPR, till exempel genom att tillämpa den tillämpliga modulen i EU-kommissionens godkända standardavtalsklausuler eller bindande företagsregler. I den mån det är nödvändigt för att säkerställa ett adekvat skydd av personuppgifter ska Parterna komma överens om ytterligare skyddsåtgärder i Bilaga III (Förteckning över underbiträden).

6 - Användning av underbiträden

6.1 Personuppgiftsbiträdet erhåller härmed ett allmänt skriftligt tillstånd från den personuppgiftsansvarige att använda underbiträden för att behandla personuppgifter för den personuppgiftsansvariges räkning. Förteckningen över underbiträden som godkänts av personuppgiftsansvarig för behandling av personuppgifter på ikraftträdandedatumet för detta DPA anges i Bilaga III (Förteckning över underbiträden). Personuppgiftsbiträdet ska skriftligen informera Personuppgiftsansvarig om tillägg eller byte av underbiträden minst 30 dagar innan ändringen äger rum, för att ge Personuppgiftsansvarig möjlighet att invända mot ändringen.

6.2 Den personuppgiftsansvarige ska ha rätt att skriftligen invända inom 20 dagar från det att personuppgiftsbiträdet har informerat den personuppgiftsansvarige om ändringen. Personuppgiftsansvarig får endast invända mot användningen av ett underbiträde om det finns anledning att tro att underbiträdet inte uppfyller kraven i Tillämplig Dataskyddslagstiftning och ange skälen för invändningen. Personuppgiftsbiträdet ska förse den Personuppgiftsansvarige med den information som är nödvändig för att den Personuppgiftsansvarige ska kunna utöva sin rätt att göra invändningar.

6.3 Personuppgiftsbiträdet ska säkerställa att ett skriftligt avtal ålägger underbiträden minst likvärdiga skyldigheter avseende behandling av personuppgifter som de som åläggs Personuppgiftsbiträdet enligt detta DPA. Personuppgiftsbiträdet ska vara fullt ansvarigt gentemot den personuppgiftsansvarige för underbiträdets fullgörande av sina skyldigheter, på samma sätt som för sina egna skyldigheter enligt detta DPA.

7 - Personuppgiftsbiträdets skyldigheter

7.1 Personuppgiftsbiträdet ska, på den Personuppgiftsansvariges rimliga begäran, så långt det är rimligt möjligt och med hänsyn till behandlingens art, bistå den Personuppgiftsansvarige med att fullgöra sina skyldigheter att besvara förfrågningar från registrerade om att utöva sina rättigheter enligt Tillämplig Dataskyddslagstiftning. Personuppgiftsbiträdet ska inom 30 dagar meddela den personuppgiftsansvarige om Personuppgiftsbiträdet mottar någon begäran från registrerade. Personuppgiftsbiträdet får inte besvara några förfrågningar utan den Personuppgiftsansvariges särskilda skriftliga förhandsinstruktion om detta.

´7.2 Personuppgiftsbiträdet ska, i den utsträckning det är möjligt, med beaktande av behandlingens art och den information som är tillgänglig för Personuppgiftsbiträdet, bistå den Personuppgiftsansvarige med att fullgöra dennes skyldigheter enligt artiklarna 32-36 i GDPR.

7.3 ´Bearbetningsföretaget ska, på den Personuppgiftsansvariges rimliga begäran, förse den Personuppgiftsansvarige med den information som är nödvändig för att visa att skyldigheterna enligt dataskyddsförordningen uppfylls.

7.4 ´I händelse av att Personuppgiftsbiträdet, enligt Tillämplig Dataskyddslagstiftning, är skyldigt att lämna ut personuppgifter som Personuppgiftsbiträdet behandlar för den Personuppgiftsansvariges räkning till tillsynsmyndigheter, ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om detta och begära sekretess i samband med utlämnandet av den begärda informationen.

7.5 ´På rimlig begäran av den personuppgiftsansvarige eller av en extern revisor utsedd av den personuppgiftsansvarige ska personuppgiftsbiträdet tillåta en revision i syfte att verifiera att personuppgiftsbiträdets behandling av personuppgifter sker i enlighet med tillämplig dataskyddslagstiftning och detta dataskyddsavtal. Eventuell tredjepartsrevisor bekostas av den personuppgiftsansvarige.

8 - Personuppgiftsincident

8.1 Personuppgiftsbiträdet ska utan onödigt dröjsmål skriftligen underrätta den Personuppgiftsansvarige efter att ha fått kännedom om en personuppgiftsincident avseende personuppgifter som behandlas av Personuppgiftsbiträdet för den Personuppgiftsansvariges räkning. Personuppgiftsbiträdet ska, i den mån en sådan incident har ägt rum hos Personuppgiftsbiträdet, förse Personuppgiftsansvarige med en beskrivning av incidenten, dess art, dess sannolika konsekvenser och information om de åtgärder som vidtagits eller föreslås vidtas för att avhjälpa och begränsa konsekvenserna av incidenten.

8.2 Om Personuppgiftsansvarig anmäler ett brott till tillsynsmyndigheten ska Personuppgiftsbiträdet på Personuppgiftsansvarigs rimliga begäran bistå Personuppgiftsansvarig och tillhandahålla den begärda informationen.

9 - Konfidentialitet

9.1 Personuppgiftsbiträdet åtar sig att inte lämna ut eller på annat sätt göra personuppgifter som behandlas enligt detta DPA tillgängliga för någon tredje part utan föregående skriftligt medgivande från Personuppgiftsansvarig, med undantag för underbiträden som anlitas i enlighet med detta DPA.

9.2 Personuppgiftsbiträdet ska säkerställa att endast personal och andra representanter som behöver tillgång till personuppgifter har tillgång till sådan information. Personuppgiftsbiträdet ska säkerställa att sådana personer är bundna av sekretessåtaganden eller omfattas av en lagstadgad sekretessplikt.

9.3 Personuppgiftsbiträdet åtar sig att säkerställa att sekretessavtal finns på plats med alla underbiträden som anlitas enligt detta DPA.

10 - Ersättning

10.1 Personuppgiftsbiträdet har rätt till skälig ersättning för kostnader och arbete som Personuppgiftsbiträdet ådragit sig till följd av sina skyldigheter enligt nedan:

(i) Den Personuppgiftsansvarige justerar sina instruktioner enligt punkt 3.1 ovan.

(ii) Controller justerar sina instruktioner enligt punkt 4.2 ovan.

(iii) Personuppgiftsbiträdet bistår Personuppgiftsansvarig vid en revision i enlighet med avsnitt 7.5 ovan.

11 - Ansvarighet

11.1 Parterna bekräftar att de är ansvariga, redovisningsskyldiga och ansvariga i sina respektive roller som personuppgiftsansvarig och personuppgiftsbiträde enligt de krav som anges i GDPR och detta DPA. Eventuella administrativa böter, avgifter eller sanktioner som åläggs av tillsynsmyndigheten och/eller kompensation till registrerade ska omfattas av de ansvarsbestämmelser som anges i artiklarna 82-84 i GDPR. Om en part behandlar personuppgifter i strid med detta dataskyddsavtal eller tillämplig dataskyddslagstiftning ska parten kompensera den andra parten för direkta skador som lidits på grund av sådan felaktig behandling och/eller överträdelse av detta dataskyddsavtal i enlighet med de ansvarsbegränsningar som anges i avtalet.

12 - Villkor och uppsägning

12.1 Detta DPA träder i kraft när Avtalet undertecknas av båda Parter och gäller därefter så länge som Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning.

12.2 Personuppgiftsbiträdet har rätt att omedelbart säga upp DPA genom skriftligt meddelande till den personuppgiftsansvarige om instruktioner som lämnats av den personuppgiftsansvarige strider mot tillämplig dataskyddslagstiftning och den personuppgiftsansvarige, efter att ha underrättats om sådana omständigheter, därefter insisterar på att tillämpa sådana instruktioner.  

13 - Återlämnande och förstöring av personuppgifter

13.1 Vid uppsägning eller upphörande av detta DPA ska Personuppgiftsbiträdet utan onödigt dröjsmål upphöra med behandlingen av personuppgifter och på den Personuppgiftsansvariges skriftliga begäran radera alla personuppgifter om den Personuppgiftsansvarige och radera alla kvarvarande kopior, såvida inte detta krävs enligt Tillämplig dataskyddslagstiftning.

14 - Tillämplig lag och tvistlösning

14.1 Detta DPA ska regleras av svensk lag, med undantag för tillämpliga lagvalsregler.

14.2 Alla tvister som uppstår på grund av eller i samband med DPA ska slutligt avgöras i enlighet med bestämmelserna om tvistlösning i Avtalet.

Bilaga I - Beskrivning av bearbetningen

1 Inledning

Bilaga I (Beskrivning av behandling) beskriver behandlingen av personuppgifter enligt dataskyddsförordningen.

2 Beskrivning av bearbetningen

För personuppgiftsansvariga med lokal lagstiftning om integritetspolicy är det viktigt att förstå vilka uppgifter som har särskild klassificering i den lokala lagstiftningen om integritet. Det rekommenderas att minimera insamlingen av känsliga uppgifter och 360Player kommer alltid att kräva att användarna samtycker till användarvillkor och integritetspolicy.

Kategorier av registrerade

Följande kategorier av registrerade kommer att omfattas av behandlingen:

Controllers anställda/personal

Personuppgiftsansvarigas medlemmar och medlemmarnas förmyndare

Kategorier av personuppgifter som den personuppgiftsansvarige kommer att behandla

Följande personuppgifter kommer att behandlas:

Namn

Födelsedatum

E-post

Telefonnummer

Adress

Särskilda kategorier av personuppgifter som personuppgiftsansvariga får behandla

Följande särskilda kategorier av personuppgifter kommer att omfattas av behandlingen:

☐ Genetiska data

Biometriska data

Uppgifter om hälsa

Andra uppgifter som den personuppgiftsansvarige behöver samla in (anpassade datafält)

Behandlingens art och syfte

Personuppgiftsbiträdet behandlar personuppgifter för följande ändamål:

Personuppgifterna kommer att behandlas för att den personuppgiftsansvarige ska kunna använda systemet i enlighet med plattformens syfte.

Bearbetningens varaktighet

Personuppgifter kommer att behandlas i enlighet med följande:

Behandlingens varaktighet motsvarar avtalets varaktighet eller tills den personuppgiftsansvarige raderar uppgifterna. Därefter kommer personuppgifterna att behandlas så länge som krävs enligt tillämplig dataskyddslagstiftning.

Bilaga II - Tekniska och organisatoriska åtgärder

1 Inledning

I Bilaga II (Tekniska och organisatoriska åtgärder) anges de tekniska och organisatoriska åtgärder som vidtagits för att säkerställa en hög säkerhetsnivå för behandlingen av personuppgifter.

2 Förteckning över tekniska och organisatoriska åtgärder

Följande säkerhetsåtgärder har uttryckligen överenskommits mellan parterna:

  • 360Player är hostad med högsta säkerhetsprotokoll på Microsoft Azure och tvåfaktorsautentisering.
  • Trafiken inom appen använder SSL-kryptering (TLS 1.2).
  • 360Player personalen omfattas av sekretessavtal och har begränsad tillgång till den personuppgiftsansvariges uppgifter.
  • Organisationsanvändare kan struktureras så att de får begränsad tillgång till data inom plattformen.
  • 360Player stöder Single Sign On (SSO) och katalogsynkronisering för användarnas livscykel och provisionering.
  • 360Player och dess tjänster följer GDPR fullt ut och vidtar kvartalsvisa åtgärder för att kontrollera efterlevnaden.
  • Protokoll finns på plats för rapportering av användargenererat innehåll.
  • Revisionsspår finns på konto- och användarnivå.
  • Det är möjligt att övervaka chattar där minderåriga är inblandade.
  • SLA tillgängligt på begäran.

Bilaga III - Förteckning över underprocessorer

1 Inledning

I Bilaga III (Förteckning över underbiträden) anges de underbiträden till Personuppgiftsbiträdet som godkänts av Personuppgiftsansvarig. SCC står för "Standardavtalsklausuler" och avser den senaste versionen av standardavtalsklausulerna för överföring av personuppgifter till personuppgiftsbiträden etablerade i tredje land enligt GDPR.

2 Förteckning över underprocessorer

Den personuppgiftsansvarige har godkänt de underbiträden som anges i tabellen nedan på det datum då dataskyddsavtalet trädde i kraft. Tabellen uppdateras från tid till annan:

FÖRETAGETS NAMN
ADRESSA
Plats för behandlingen (land)
Beskrivning av bearbetning
Kategorier av personuppgifter.
Överföringsmekanism (för överföring utanför EU/EES)
Sendgrid
USA
Transaktionsmeddelanden
E-post, namn
SCC
Hjälpscout
USA
Support för CUSTOmer
EMAIL, NAMN
SCC
Duda
IRLAND
Webbhotell
N.A
N.A
Microsoft
Attn: Data Protection, One Microsoft Place South County Business Park, Leopardstown. Dublin 18, D18 P521, Irland
IRLAND
Molnlagring och hosting
N.A
N.A
WOrk os
support@workos.com
eu, usa
sso
na
scc
Nuvei
attn: data protection officer, 4th floor, 8 bloomsbury street london, wc1b 3qd, united kingdom
globala
betalningsleverantör
namn, e-post, produkter
scc
grafana
raintank inc dba. grafana labs, 165 broadway, 23rd floor, new york, ny, 10006, usa
globala
mätvärden och analyser
n.a
scc
holid
holid ab, united spaces, götgatan 22a, 118 46, stockholm, sverige
Sverige
Annons
kön, ålder, familj
n.a
sinch, postorder
paris hq, 4 rue jules lefebvre, 75009 paris, frankrike
tyskland och belgien
e-post
namn, e-post
n.a
mixpanel
mixpanel inc, one front street, 28th floor, san fransico, ca 94111
eu
mätvärden och analyser
n.a
n.a