Uppdaterad 2024-05-28
1 Inledning
2 Överenskommelser Dokument
3 Behandling av personuppgifter
4 Säkerhetsåtgärder
5 Överföring utanför EU/EES
6 Användning av underbiträden
7 Personuppgiftsbiträdets skyldigheter
8 Personuppgiftsincident
9 Konfidentialitet
10 Ersättning
11 Ansvar
12 Löptid och uppsägning
13 Återlämnande och förstöring av personuppgifter
14 Tillämplig lag och tvistlösning
Bilaga I - Förteckning över parter och beskrivning av behandling
Bilaga II - Tekniska och organisatoriska åtgärder
Bilaga III - Förteckning över underprocessorer
Detta personuppgiftsbiträdesavtal ("DPA") utgör en del av Avtalet mellan 360Player AB ("Personuppgiftsbiträdet"), i egenskap av personuppgiftsbiträde, och kunden som är part i Avtalet ("Personuppgiftsansvarig"), i egenskap av personuppgiftsansvarig. Om det finns någon konflikt mellan detta DPA och Avtalet ska detta DPA ha företräde i förhållande till behandlingen av personuppgifter.
Personuppgiftsansvarig och Personuppgiftsbiträdet benämns gemensamt "Parterna" och var och en av dem "Part".
1.1 För att kunna fullgöra sina skyldigheter enligt Avtalet kommer Personuppgiftsbiträdet att behandla personuppgifter för den Personuppgiftsansvariges räkning. Detta dataskyddsavtal är en bilaga till avtalet och reglerar behandling av personuppgifter i enlighet med bestämmelserna i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning "GDPR") och all nationell lagstiftning ellerEU-lagstiftningsom är tillämplig från tid till annan ("Tillämplig dataskyddslagstiftning").
1.2 I händelse av konflikt eller inkonsekvens mellan avtalet och detta dataskyddsavtal avseende behandling av personuppgifter ska bestämmelserna i dataskyddsavtalet ha företräde.
2.1 Följande bilagor införlivas härmed genom hänvisning i detta DPA:
Bilaga I - ´Beskrivning av behandlingen
Bilaga II - Tekniska och organisatoriska åtgärder
Bilaga III - Förteckning över underbearbetningsföretag
3.1 Föremålet för, varaktigheten av, arten av och syftet med behandlingen anges i bilaga I (Beskrivning av behandlingen)
3.2 Den personuppgiftsansvarige ansvarar för att säkerställa att behandlingen sker i enlighet med tillämplig dataskyddslagstiftning och för att förse personuppgiftsbiträdet med korrekta och tillräckliga instruktioner.
3.3 Personuppgiftsbiträdet åtar sig att endast behandla personuppgifter i enlighet med instruktionerna i detta Personuppgiftsbiträdesavtal, Avtalet och dokumenterade instruktioner som från tid till annan ges av Personuppgiftsansvarig, såvida inte behandlingen krävs enligt Tillämplig Dataskyddslagstiftning. I sådant fall ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om behandlingen och de rättsliga krav som behandlingen baseras på innan personuppgifterna behandlas, såvida inte tillhandahållandet av sådan information är förbjudet enligt Tillämplig Dataskyddslagstiftning.
3.4 Personuppgiftsbiträdet ska omedelbart informera Personuppgiftsansvarig om:
(i) Personuppgiftsbiträdet inte kan fullgöra sina skyldigheter enligt dataskyddsförordningen;
(ii) Personuppgiftsbiträdet anser att instruktionerna från den Personuppgiftsansvarige strider mot Tillämplig Dataskyddslagstiftning; eller
(iii) Personuppgiftsbiträdet anser att instruktionerna från den Personuppgiftsansvarige är otillräckliga eller felaktiga.
I sådant fall ska Controller justera sina instruktioner.
4.1 Parterna ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder som är nödvändiga för att säkerställa en säkerhetsnivå som är lämplig med hänsyn till riskerna vid behandling av personuppgifter, och vid behov genomföra och upprätthålla de tekniska och organisatoriska säkerhetsåtgärder som anges i artikel 32 i GDPR.
4.2 De tekniska och organisatoriska säkerhetsåtgärder som Parterna har kommit överens om framgår av Bilaga II (Tekniska och organisatoriska åtgärder). Personuppgiftsansvarig ska säkerställa att sådana åtgärder uppfyller bestämmelserna i Tillämplig Dataskyddslagstiftning.
5.1 Personuppgiftsbiträdet kan vid vissa tillfällen överföra personuppgifter till ett land utanför EU/EES i enlighet med instruktioner från den Personuppgiftsansvarige, enligt vad som närmare anges i bilagorna till detta Personuppgiftsbiträdesavtal som uppdateras från tid till annan. Om personuppgifter överförs till ett land utanför EU/EES ska Parterna säkerställa att överföringen omfattas av en adekvat överföringsmekanism i enlighet med kapitel V i GDPR, till exempel genom att tillämpa den tillämpliga modulen i EU-kommissionens godkända standardavtalsklausuler eller bindande företagsregler. I den mån det är nödvändigt för att säkerställa ett adekvat skydd av personuppgifter ska Parterna komma överens om ytterligare skyddsåtgärder i Bilaga III (Förteckning över underbiträden).
6.1 Personuppgiftsbiträdet erhåller härmed ett allmänt skriftligt tillstånd från den personuppgiftsansvarige att använda underbiträden för att behandla personuppgifter för den personuppgiftsansvariges räkning. Förteckningen över underbiträden som godkänts av personuppgiftsansvarig för behandling av personuppgifter på ikraftträdandedatumet för detta DPA anges i Bilaga III (Förteckning över underbiträden). Personuppgiftsbiträdet ska skriftligen informera Personuppgiftsansvarig om tillägg eller byte av underbiträden minst 30 dagar innan ändringen äger rum, för att ge Personuppgiftsansvarig möjlighet att invända mot ändringen.
6.2 Den personuppgiftsansvarige ska ha rätt att skriftligen invända inom 20 dagar från det att personuppgiftsbiträdet har informerat den personuppgiftsansvarige om ändringen. Personuppgiftsansvarig får endast invända mot användningen av ett underbiträde om det finns anledning att tro att underbiträdet inte uppfyller kraven i Tillämplig Dataskyddslagstiftning och ange skälen för invändningen. Personuppgiftsbiträdet ska förse den Personuppgiftsansvarige med den information som är nödvändig för att den Personuppgiftsansvarige ska kunna utöva sin rätt att göra invändningar.
6.3 Personuppgiftsbiträdet ska säkerställa att ett skriftligt avtal ålägger underbiträden minst likvärdiga skyldigheter avseende behandling av personuppgifter som de som åläggs Personuppgiftsbiträdet enligt detta DPA. Personuppgiftsbiträdet ska vara fullt ansvarigt gentemot den personuppgiftsansvarige för underbiträdets fullgörande av sina skyldigheter, på samma sätt som för sina egna skyldigheter enligt detta DPA.
7.1 Personuppgiftsbiträdet ska, på den Personuppgiftsansvariges rimliga begäran, så långt det är rimligt möjligt och med hänsyn till behandlingens art, bistå den Personuppgiftsansvarige med att fullgöra sina skyldigheter att besvara förfrågningar från registrerade om att utöva sina rättigheter enligt Tillämplig Dataskyddslagstiftning. Personuppgiftsbiträdet ska inom 30 dagar meddela den personuppgiftsansvarige om Personuppgiftsbiträdet mottar någon begäran från registrerade. Personuppgiftsbiträdet får inte besvara några förfrågningar utan den Personuppgiftsansvariges särskilda skriftliga förhandsinstruktion om detta.
´7.2 Personuppgiftsbiträdet ska, i den utsträckning det är möjligt, med beaktande av behandlingens art och den information som är tillgänglig för Personuppgiftsbiträdet, bistå den Personuppgiftsansvarige med att fullgöra dennes skyldigheter enligt artiklarna 32-36 i GDPR.
7.3 ´Bearbetningsföretaget ska, på den Personuppgiftsansvariges rimliga begäran, förse den Personuppgiftsansvarige med den information som är nödvändig för att visa att skyldigheterna enligt dataskyddsförordningen uppfylls.
7.4 ´I händelse av att Personuppgiftsbiträdet, enligt Tillämplig Dataskyddslagstiftning, är skyldigt att lämna ut personuppgifter som Personuppgiftsbiträdet behandlar för den Personuppgiftsansvariges räkning till tillsynsmyndigheter, ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om detta och begära sekretess i samband med utlämnandet av den begärda informationen.
7.5 ´På rimlig begäran av den personuppgiftsansvarige eller av en extern revisor utsedd av den personuppgiftsansvarige ska personuppgiftsbiträdet tillåta en revision i syfte att verifiera att personuppgiftsbiträdets behandling av personuppgifter sker i enlighet med tillämplig dataskyddslagstiftning och detta dataskyddsavtal. Eventuell tredjepartsrevisor bekostas av den personuppgiftsansvarige.
8.1 Personuppgiftsbiträdet ska utan onödigt dröjsmål skriftligen underrätta den Personuppgiftsansvarige efter att ha fått kännedom om en personuppgiftsincident avseende personuppgifter som behandlas av Personuppgiftsbiträdet för den Personuppgiftsansvariges räkning. Personuppgiftsbiträdet ska, i den mån en sådan incident har ägt rum hos Personuppgiftsbiträdet, förse Personuppgiftsansvarige med en beskrivning av incidenten, dess art, dess sannolika konsekvenser och information om de åtgärder som vidtagits eller föreslås vidtas för att avhjälpa och begränsa konsekvenserna av incidenten.
8.2 Om Personuppgiftsansvarig anmäler ett brott till tillsynsmyndigheten ska Personuppgiftsbiträdet på Personuppgiftsansvarigs rimliga begäran bistå Personuppgiftsansvarig och tillhandahålla den begärda informationen.
9.1 Personuppgiftsbiträdet åtar sig att inte lämna ut eller på annat sätt göra personuppgifter som behandlas enligt detta DPA tillgängliga för någon tredje part utan föregående skriftligt medgivande från Personuppgiftsansvarig, med undantag för underbiträden som anlitas i enlighet med detta DPA.
9.2 Personuppgiftsbiträdet ska säkerställa att endast personal och andra representanter som behöver tillgång till personuppgifter har tillgång till sådan information. Personuppgiftsbiträdet ska säkerställa att sådana personer är bundna av sekretessåtaganden eller omfattas av en lagstadgad sekretessplikt.
9.3 Personuppgiftsbiträdet åtar sig att säkerställa att sekretessavtal finns på plats med alla underbiträden som anlitas enligt detta DPA.
10.1 Personuppgiftsbiträdet har rätt till skälig ersättning för kostnader och arbete som Personuppgiftsbiträdet ådragit sig till följd av sina skyldigheter enligt nedan:
(i) Den Personuppgiftsansvarige justerar sina instruktioner enligt punkt 3.1 ovan.
(ii) Controller justerar sina instruktioner enligt punkt 4.2 ovan.
(iii) Personuppgiftsbiträdet bistår Personuppgiftsansvarig vid en revision i enlighet med avsnitt 7.5 ovan.
11.1 Parterna bekräftar att de är ansvariga, redovisningsskyldiga och ansvariga i sina respektive roller som personuppgiftsansvarig och personuppgiftsbiträde enligt de krav som anges i GDPR och detta DPA. Eventuella administrativa böter, avgifter eller sanktioner som åläggs av tillsynsmyndigheten och/eller kompensation till registrerade ska omfattas av de ansvarsbestämmelser som anges i artiklarna 82-84 i GDPR. Om en part behandlar personuppgifter i strid med detta dataskyddsavtal eller tillämplig dataskyddslagstiftning ska parten kompensera den andra parten för direkta skador som lidits på grund av sådan felaktig behandling och/eller överträdelse av detta dataskyddsavtal i enlighet med de ansvarsbegränsningar som anges i avtalet.
12.1 Detta DPA träder i kraft när Avtalet undertecknas av båda Parter och gäller därefter så länge som Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning.
12.2 Personuppgiftsbiträdet har rätt att omedelbart säga upp DPA genom skriftligt meddelande till den personuppgiftsansvarige om instruktioner som lämnats av den personuppgiftsansvarige strider mot tillämplig dataskyddslagstiftning och den personuppgiftsansvarige, efter att ha underrättats om sådana omständigheter, därefter insisterar på att tillämpa sådana instruktioner.
13.1 Vid uppsägning eller upphörande av detta DPA ska Personuppgiftsbiträdet utan onödigt dröjsmål upphöra med behandlingen av personuppgifter och på den Personuppgiftsansvariges skriftliga begäran radera alla personuppgifter om den Personuppgiftsansvarige och radera alla kvarvarande kopior, såvida inte detta krävs enligt Tillämplig dataskyddslagstiftning.
14.1 Detta DPA ska regleras av svensk lag, med undantag för tillämpliga lagvalsregler.
14.2 Alla tvister som uppstår på grund av eller i samband med DPA ska slutligt avgöras i enlighet med bestämmelserna om tvistlösning i Avtalet.
1 Inledning
Bilaga I (Beskrivning av behandling) beskriver behandlingen av personuppgifter enligt dataskyddsförordningen.
2 Beskrivning av bearbetningen
För personuppgiftsansvariga med lokal lagstiftning om integritetspolicy är det viktigt att förstå vilka uppgifter som har särskild klassificering i den lokala lagstiftningen om integritet. Det rekommenderas att minimera insamlingen av känsliga uppgifter och 360Player kommer alltid att kräva att användarna samtycker till användarvillkor och integritetspolicy.
Kategorier av registrerade
Följande kategorier av registrerade kommer att omfattas av behandlingen:
☐ Controllers anställda/personal
☐ Personuppgiftsansvarigas medlemmar och medlemmarnas förmyndare
Kategorier av personuppgifter som den personuppgiftsansvarige kommer att behandla
Följande personuppgifter kommer att behandlas:
☐ Namn
☐ Födelsedatum
☐ E-post
☐ Telefonnummer
☐ Adress
Särskilda kategorier av personuppgifter som personuppgiftsansvariga får behandla
Följande särskilda kategorier av personuppgifter kommer att omfattas av behandlingen:
☐ Genetiska data
☐ Biometriska data
☐ Uppgifter om hälsa
☐ Andra uppgifter som den personuppgiftsansvarige behöver samla in (anpassade datafält)
Behandlingens art och syfte
Personuppgiftsbiträdet behandlar personuppgifter för följande ändamål:
Personuppgifterna kommer att behandlas för att den personuppgiftsansvarige ska kunna använda systemet i enlighet med plattformens syfte.
Bearbetningens varaktighet
Personuppgifter kommer att behandlas i enlighet med följande:
Behandlingens varaktighet motsvarar avtalets varaktighet eller tills den personuppgiftsansvarige raderar uppgifterna. Därefter kommer personuppgifterna att behandlas så länge som krävs enligt tillämplig dataskyddslagstiftning.
1 Inledning
I Bilaga II (Tekniska och organisatoriska åtgärder) anges de tekniska och organisatoriska åtgärder som vidtagits för att säkerställa en hög säkerhetsnivå för behandlingen av personuppgifter.
2 Förteckning över tekniska och organisatoriska åtgärder
Följande säkerhetsåtgärder har uttryckligen överenskommits mellan parterna:
1 Inledning
I Bilaga III (Förteckning över underbiträden) anges de underbiträden till Personuppgiftsbiträdet som godkänts av Personuppgiftsansvarig. SCC står för "Standardavtalsklausuler" och avser den senaste versionen av standardavtalsklausulerna för överföring av personuppgifter till personuppgiftsbiträden etablerade i tredje land enligt GDPR.
2 Förteckning över underprocessorer
Den personuppgiftsansvarige har godkänt de underbiträden som anges i tabellen nedan på det datum då dataskyddsavtalet trädde i kraft. Tabellen uppdateras från tid till annan: