Avtal.
Allmänna villkor
2023-05-23
Definitioner
Tjänsten omfattar bland annat överenskomna konsulttjänster, Zendesklicenser, eller andra tjänster som är definierade i offert.
Konsulttjänster omfattar bland annat implementationsprojekt, utbildning, vidareutveckling, eller annan typ av konsultation som är överenskommet mellan parter.
Zendesklicenser innebär de användarlicenser som tillhandahålls av Zendesk i Kundens Zendeskinstans
1. Dessa allmänna villkor (“Avtalet”) gäller vid Happirel AB:s (”HappiRel”) leverans av tjänst och/eller supporttjänst till kund från och med ovan angivet datum. Bifogat personuppgiftsbiträdesavtal, Bilaga 1, ska tillämpas om HappiRel ska behandla personuppgifter åt kunden under utförandet av Tjänsterna. Kunden förbinder sig att följa dessa allmänna villkor för behandling av personuppgifter och samtycker till att Bilaga 1 tillämpas mellan parterna.
2. Vid köp av molntjänst, så som Zendesk, gäller molntjänstleverantörens villkor för beställd tjänst.
3. Omfattning och genomförande
HappiRel ska utföra den överenskomna tjänsten (”Tjänsten”) på ett fackmannamässigt sätt och med för ändamålet kvalificerade personer. HappiRel får anlita underleverantör för utförande av Tjänsten. Om HappiRel anlitar underleverantör ansvarar HappiRel för såväl HappiRels som underleverantörens arbete. Kunden ska ge HappiRel tillgång till all information och allt underlag som krävs för att HappiRel ska kunna utföra och leverera Tjänsten i enlighet med avtalet.
4. Ersättning m.m.
HappiRel har rätt till ersättning enligt HappiRels vid var tid gällande prislista. För närvarande är grundarvodet för Konsulttjänster 1.390 kr plus moms, per timme. Om Parterna har avtalat om annat pris än vid var tid gällande prislista har HappiRel rätt att en gång per kalenderår justera avtalade priser i enlighet med förändringar i Arbetskostnadsindex (AKI) kod J (Informations- och kommunikationsbolag). HappiRels ersättning anges exklusive moms och andra eventuella tillkommande skatter och avgifter hänförliga till Tjänsten. HappiRel har rätt till ersättning för utlägg enligt vad som överenskommits mellan Parterna. HappiRel har rätt till ersättning för resor och arbete utanför ordinarie arbetstid enligt vid var tid gällande prislista.
5. Till grund för de priser som anges i HappiRels offerter är priset för Zendesks licenser omräknat från USD till SEK enligt den för tillfället gällande valutakursen. Parterna godtar att HappiRel vid faktureringen debiterar ett belopp som motsvarar priset för licenserna omräknat från USD till SEK enligt den valutakurs som gäller vid tidpunkten för utställandet av fakturan. För det fall Zendesk skulle debitera HappiRel för Talk Credits som är kopplade till kundens licenser, får HappiRel debitera kunden samma belopp, omräknat från USD till SEK enligt den valutakurs som gäller vid tidpunkten för utställandet av fakturan.
Priset på Zendesklicenserna är de priser som framgår av Zendesk egna officiella listpris om inget annat är överenskommet mellan HappiRel och Kunden.
6. Förutom justering av pris enligt punkt 5, har HappiRel har rätt att även i andra avseende ändra eller göra tillägg till detta Avtal. Sådan ändring eller tillägg ska meddelas Kunden senast en (1) månad innan ikraftträdandet.
7. Betalningsvillkor och säkerhet
Faktura ska betalas så att fakturabeloppet finns tillgängligt på HappiRels bankkonto senast trettio (30) dagar från fakturadag.
8. Beställning och orderbekräftelse
Genom att beställa Tjänsten accepterar kunden dessa allmänna villkor. Bindande avtal kommer till stånd vid orderbekräftelse till kunden eller när Tjänsten görs tillgänglig. Kunden ska, i anslutning till att Tjänsten görs tillgänglig, och i övrigt i den utsträckning det behövs för att använda Tjänsten, godkänna Zendesks avtalsvillkor, policyer och annat. För det fall det skulle förekomma några avvikelser mellan HappiRels och Zendesks villkor, äger HappiRels villkor företräde.
9. Ansvar
Föreligger fel i Tjänsten som HappiRel ansvarar för åtar sig HappiRel att, efter eget val, avhjälpa felet genom reparation eller omleverans, förutsatt att reklamation har skett i enlighet med vad som anges i dessa allmänna villkor. Om HappiRel väljer att inte avhjälpa felet eller att inte genomföra en omleverans har kunden rätt till skäligt avdrag på ersättningen. HappiRel ansvarar inte för fel som beror på hårdvara, programvara eller annan utrustning som inte tillhandahållits av HappiRel. Om Tjänsten innefattar rådgivning är HappiRel ansvar begränsat till rådgivning baserad på information som kunden tillhandahållit. HappiRel tar inget ansvar för de beslut som kunden fattar baserat på den tillhandahållna rådgivningen. Det totala ansvar som kan uppkomma för HappiRel gentemot kund (inklusive ansvar för handlingar eller underlåtenhet av HappiRels anställda, representanter eller underleverantörer samt ansvar relaterat till prisavdrag, omleverans eller liknande) är begränsat till det totala pris som betalats av kunden för Tjänsten den senaste sex (6) månadsperioden. HappiRel ansvarar under inga omständigheter för (i) indirekta skador eller följdskador, såsom produktionsbortfall, utebliven vinst eller andra liknande indirekta skador, eller (ii) förlust av data. Kunden ansvarar för att skriftligen informera HappiRel om relevanta förändringar sker i kundens IT-miljö. HappiRel ansvarar inte för fel som uppkommer på grund av att förändringar inte meddelats eller meddelats men inte godkänts av HappiRel. HappiRels skadeståndsansvar är under alla förhållanden per kalenderår begränsat till ett sammanlagt belopp om 15 % av årsavgiften för berörd Tjänst i fråga.
10. Reklamation
Kunden förlorar sin rätt att framställa ersättningsanspråk om inte reklamation har skett skriftligen utan dröjsmål, dock senast tre (3) månader efter händelsen som reklameras.
11. Immateriella rättigheter
Kunden erhåller äganderätten till samtliga immateriella rättigheter som uppkommer vid Tjänstens utförande som en följd att HappiRel skriftligen åtagit sig att skapa eller utveckla dessa för kundens räkning. Om inte annat skriftligen avtalats, erhåller HappiRel en icke-exklusiv licens, utan begränsning i tid, till alla immateriella rättigheter som skapas av HappiRel för kundens räkning. Kunden förvärvar inte några immateriella rättigheter relaterade till Tjänsten som tillhör HappiRel eller tredje man. Kunden har inte heller rätt att ändra någon immaterialrättsligt skyddad produkt som tillhör HappiRel eller tredje man. För nyttjande av sådana produkter gäller de villkor som innehavaren av den aktuella immateriella rättigheten vid var tid tillämpar.
12. Intrång i immateriella rättigheter
Om kunden tillhandahåller sådant som är skyddat av immateriella rättigheter garanterar kunden att relevanta godkännanden finns. HappiRel garanterar att Tjänst som utförs av HappiRel och de immateriella rättigheter som HappiRel skapar eller tillhandahåller (med undantag för tredjepartstjänster eller produkter från HappiRels leverantörer), såvitt HappiRel känner till, inte gör intrång i tredje mans rätt. Kunden ska utan dröjsmål skriftligen meddela HappiRel om krav från tredje man angående intrång i immateriell rättighet
Vid ett påstående om intrång, för vilket HappiRel ansvarar (dvs. inte ett intrång på grund av modifiering av kunden eller tredjepartsprodukter eller liknande intrång), ska HappiRel ha rätt att på egen bekostnad överta tvisten och föra talan för kundens räkning samt på egen bekostnad antingen tillförsäkra kunden fortsatt nyttjande av Tjänsten eller byta ut omtvistad del av Tjänsten mot liknande godtagbar tjänst eller produkt.
Kunden har inte rätt att medge ansvar, ingå avtal, förlikning eller kompromiss med tredje man avseende sådant krav utan att ha erhållit HappiRels skriftliga samtycke, vilket inte oskäligen ska innehållas. Om HappiRel inte kan säkerställa kundens rätt till nyttjande av en liknande godtagbar tjänst eller produkt, har vardera parten rätt att som exklusiv påföljd i relation till sådant påstått intrång häva avtalet med den andra parten avseende sådan tjänst eller produkt och HappiRel åtar sig att i sådant fall återbetala det pris som betalats för sådan tjänst och produkt, förutsatt att kunden återlämnar produkten, med avdrag för den nytta kunden erhållit. HappiRel åtar sig att ersätta kunden för de ersättningar och skadestånd som kunden genom förlikning eller dom åläggs att erlägga för intrång, för vilket HappiRel ansvarar, i immateriell rättighet genom kundens nyttjande av Tjänsten. Därutöver har inte kunden rätt till annan ersättning för förlust som uppkommer till följd av immaterialrättsligt fel i Tjänsten och som HappiRel ansvarar för.
13. Avtalstid och upphörande
Om inte annat avtalats, gäller avtalet under en bestämd tid som är samma som den tid under vilken kundens licenser i Zendesk gäller. Avtalet kan sägas upp till upphörande vid avtalsperiodens slut av endera Parten med iakttagande av en uppsägningstid om sextio (60) dagar. Sker inte uppsägning senast sextio (60) dagar innan avtalsperiodens slut, förnyas avtalet automatiskt med en period som motsvarar den tid under vilken kundens Zendesk Licenser kommer fortsätta att gälla enligt Zendesks villkor. Avtal som löper månadsvis upphör att gälla vid slutet av den avtalsperiod som inträffar närmast efter sextio (60) dagar från uppsägningen.
Om kunden vill minska (”Nedgradera”) antalet licenser i Zendesk, ska kunden skriftligen meddela HappiRel om det senast sextio (60) dagar innan avtalsperiodens slut, vid vilken Nedgraderingen sker. För avtal som löper månadsvis sker Nedgraderingen vid slutet av den avtalsperiod som inträffar närmast efter sextio (60) dagar från meddelandet om Nedgradering.
Kunden ansvarar för att själv ta bort de användare i Zendesk som är kopplade till de Zendesk Licenser som ska tas bort, till det datum då licenserna slutar gälla. Underlåtenhet av kunden att ta bort användarna i Zendesk medför att kunden debiteras hela kostnaden för licenserna till dess kunden har tagit bort användarna och licenserna slutar gälla. Uppsägning och meddelande om nedgradering av antalet licenser i Zendesk ska ske skriftligen, och kommer skriftligen bekräftas tillbaka av HappiRel.
Oaktat det ovanstående kan vardera Part skriftligen säga upp avtalet till omedelbart upphörande om Part:
(a) i väsentligt avseende åsidosätter eller bryter mot bestämmelserna i avtalet och rättelse, där sådan kan ske, inte sker inom trettio (30) dagar efter skriftligt meddelande därom, eller
(b) försätts i konkurs eller likvidation, blir föremål för företagsrekonstruktion eller annars är på obestånd.
Kundens rätt att nyttja Tjänsten under avtalsperioden förutsätter att kunden fullgjort sin betalningsskyldighet.
SÄRSKILDA BESTÄMMELSER FÖR SUPPORT
14. Allmänt
Tjänsten gäller för den kontaktperson som anges vid tecknandet av abonnemanget eller som identifierats genom senare komplettering. Om inget annat är överenskommet mellan HappiRel och Kunden, har abonnemanget har en bindningstid som motsvarar avtalstiden för den/de tjänst(er) som supporteras.
15. Tjänstens omfattning
Supporten utförs via e-post, telefon eller via fjärrstyrning av kundens klient via internet och tillhandahålls helgfria vardagar kl. 09-17 samt omfattar följande delar:
Support vid problem och allmänna användarfrågor för sådana mjukvaror och tjänster som HappiRel tillhandahållit Kunden samt andra mjukvaror och tjänster som det särskilt träffats överenskommelse om.
16. Tjänstens utförande
HappiRel ska utföra tjänsten med för ändamålet lämpliga, kvalificerade och kompetenta medarbetare och på fackmannamässigt sätt. HappiRel får anlita underkonsult för utförande av tjänsten och ansvarar då för underleverantörens arbete såsom för sitt eget.
17. Ansvarsbegränsning
Om HappiRel orsakat fel, för vilket HappiRel har ansvaret, ska HappiRel skyndsamt avhjälpa felet där detta är möjligt. HappiRels maximala ansvar enligt eller i samband med detta avtal ska vara begränsat till direkt ekonomisk skada och skadeståndet ska inte överstiga de tidigare sammanlagda betalningar som slutanvändaren fullgjort för relevanta supporttjänster under den tolvmånaders-period som infaller före den handling eller underlåtenhet som utgör grunden för skadeståndsansvaret. Om fel inte kunnat avhjälpas inom en månad äger kunden rätt att säga upp avtalet till omedelbart upphörande och återfå avgift avseende outnyttjad tid. HappiRel svarar inte i något fall, oberoende av eventuell vårdslöshet eller grov vårdslöshet för förlust av data på grund av kundens underlåtenhet att ombesörja att ändamålsenlig säkerhetskopiering utförs.
Med ”Fel” avses att Kunden inte kan använda Tjänsten i enlighet med Avtalet. Som Fel anses inte sådana fel som inte hindrar Kunden från att använda Tjänsten eller som endast är av mindre betydelse för Kunden. HappiRel ska avhjälpa Fel i enlighet med vad som anges i Avtalet, eller, om detta inte anges särskilt, inom skälig tid. HappiRel ansvarar endast för Fel som förorsakats av HappiRel. HappiRel har exempelvis inte skyldighet att avhjälpa då Felet beror på driftstörningar, buggar eller likande problem i Zendesks produkter och tjänster eller på annat sätt förorsakat av Zendesk eller tredje man.
18. ALLMÄNNA BESTÄMMELSER
Om HappiRel är personuppgiftsansvarig
HappiRel kommer i anslutning till kundens beställningar av produkter och tjänster att behandla personuppgifter som erhålls i enlighet med gällande dataskyddslagstiftning.
19. Sekretess
19.1 Parterna förbinder sig att under avtalstiden och under 3 år därefter inte till utomstående lämna information avseende Avtalets innehåll och annan information som Parterna fått ta del av med anledning av Avtalet, oavsett om informationen lämnats skriftligen eller muntligen och oberoende av format (”Konfidentiell information”). Parterna förbinder sig att använda Konfidentiell information enbart i syfte att fullgöra sina åtaganden under Avtalet och inte för något annat ändamål. Mottagande Part förbinder sig vidare att vidta erforderliga åtgärder för att förhindra att anställd, underkonsult eller annan mellanman använder eller avslöjar Konfidentiell information för utomstående samt att använda samma nivå av aktsamhet (men inte lägre nivå än skälig aktsamhet) för att undvika utlämnande eller nyttjande av Konfidentiell information som Parten använder avseende sin egen konfidentiella eller upphovsrättsskyddade information.
19.2 Ovanstående gäller inte för sådan information som
a) vid tidpunkten för utlämnandet är eller senare blir tillgänglig för allmänheten på annat sätt än genom överträdelse mot Avtalet; eller
b) redan var tillgänglig för mottagande Part eller som denne på egen hand har utvecklat innan ingåendet av Avtalet och som inte, direkt eller indirekt, har erhållits genom överträdelse mot Avtalet.
19.3 Denna sekretessförbindelse förhindrar inte Part från att lämna sådan information som Part har skyldighet att lämna ut enligt lag, dom eller myndighetsbeslut eller avtal med börs eller annan marknadsplats. Om Part skulle ha eller åläggas skyldighet att lämna sådan information, åtar sig Parterna att omedelbart underrätta den andra Parten för att ge denne möjlighet att vidta skyddsåtgärder. Parterna ska göra sitt bästa för att tillse att information som lämnas i enlighet med denna punkt, så långt möjligt, behandlas konfidentiellt av mottagaren av informationen.
19.4 Regleringen i denna punkt ska äga giltighet tre (3) år efter Avtalets upphörande.
20. Om HappiRel agerar personuppgiftsbiträde åt kunden
I de fall HappiRel behandlar personuppgifter för kundens räkning under utförandet av Tjänsten är kunden personuppgiftsansvarig och HappiRel är personuppgiftsbiträde i enlighet med gällande lagstiftning. I dessa fall är personuppgiftsbiträdesavtal, bilaga 1, tillämplig mellan parterna.
21. Tillämplig lag och tvist
Svensk rätt ska tillämpas på dessa allmänna villkor. Tvist angående tolkning, tillkomsten eller tillämpningen av detta avtal, dess bilagor samt övriga tillhörande dokument, och därmed sammanhängande rättsförhållanden ska avgöras av svensk allmän domstol med Stockholms tingsrätt som första instans.
22. Force Majeure
HappiRel äger gentemot kunden rätt att utan ersättningsskyldighet inställa, inskränka eller uppskjuta leverans i den mån fullgörande av leveransen försvåras eller fördyras på grund av omständigheter utanför HappiRel kontroll, såsom t.ex. krigsliknande händelser, uppror och oroligheter, avbrott i datakommunikation eller allmänna förbindelser, export- och importrestriktioner, laglig reglering eller annat påbud av myndighet i Sverige eller utlandet, strejk, lockout, blockad eller annat arbetshinder, eldsvåda, explosion eller annan olyckshändelse, eller för fel eller försening i tjänster från underleverantör.
HappiRel AB
Bilaga 1
Personuppgiftsbiträdesavtal
2023-05-24
HappiRel AB(härefter benämnd “HappiRel” eller “Personuppgiftsbiträdet“), och Kunden (härefter benämnd “Kunden” eller den “Personuppgiftsansvarige“) (benämns härefter gemensamt som ”Parterna”) Parterna har ingått detta personuppgiftsbiträdesavtal (”Avtalet”).
Bakgrund
1.1 Parterna har tidigare – eller i samband med detta Avtal – ingått avtal avseende tjänster som HappiRel emellanåt utför (härefter benämnt ”Tjänsteavtalet”), till vilken HappiRels Allmänna villkor [för tjänster och mjukvaror] är gällande.
1.2 Inom åtagandena som följer av Tjänsteavtalet kan HappiRel komma att behandla personuppgifter samt annan information åt Kundens vägnar.
1.3 Med anledning av detta ingår Parterna detta Avtal för att reglera förutsättningarna för HappiRel behandling av personuppgifter vid utförande av tjänsterna som regleras i Tjänsteavtalet (härefter benämnt ”Tjänsterna”). Detta Avtal gäller för samtliga mellan Parterna tecknade avtal där HappiRel är Personuppgiftsbiträde till Kunden och Avtalet gäller så länge HappiRel behandlar personuppgifter för Kundens räkning.
Definitioner
2.1 De definitioner som anges i artikel 4 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (”Dataskyddsförordningen”) ska äga tillämpning på detta Avtal.
2.2 I övrigt ska nedan uppräknade begrepp ha nedanstående innebörd:
”Dataskyddslagstiftning” avser Dataskyddsförordningen jämte tillhörande europeiska och nationella genomförandeförfattningar, samt instruktioner och bindande beslut från EU:s dataskyddsmyndigheter.
”Underbiträde” avser sådant personuppgiftsbiträde (underleverantör) som anlitats av Personuppgiftsbiträdet och som behandlar personuppgifter för den Personuppgiftsansvariges räkning.
Avtalets omfattning
3.1 Personuppgiftsbiträdet tillhandahåller tjänster som avtalas om med den Personuppgiftsansvarige från tid till annan. Personuppgiftsbiträdets huvudsakliga verksamhetsställe är i Sverige.
3.2 Tjänsten innefattar lagring och överföring av användaruppgifter och innehåll som tillhandahålls av användarna av tjänsten. Dessa uppgifter kan direkt eller indirekt identifiera en fysisk person.
3.3 Personuppgiftsbiträdet kommer endast att behandla personuppgifter som tillhandahålls genom den Personuppgiftsansvarige för att kunna utföra åtaganden som följer av Tjänsteavtalet.
3.4 De personuppgifter som kan komma att behandlas av Personuppgiftsbiträdet åt den Personuppgiftsansvariges vägnar ska raderas permanent och automatiskt när Tjänsteavtalet upphör att gälla (såvida inte lagring av personuppgifterna krävs enligt nationell lagstiftning eller unionsrätten).
3.5 Parterna är eniga om att behandlingen, de kategorier av personuppgifter som behandlingen gäller, de registrerade eller behandlingens syfte närsomhelst genom en överenskommelse kan förtydligas avseende specifikation och/eller utvidgas avseende omfattning. Sådana ändringar ska göras skriftliga för att vara giltiga så snart som det är möjligt efter att de har blivit kända. Villkoren i detta avtal ska tillämpas på sådana ändringar, om inte parterna kommer överens om annat.
Personuppgiftbiträdets ansvar/skyldigheter
4.1 Den Personuppgiftsansvarige ska ha fullständig befogenhet över personuppgifterna.
4.2 Personuppgiftsbiträdet förbinder sig att:
a) endast behandla personuppgifter som omfattas av den Personuppgiftsansvariges dokumenterade instruktioner (”Instruktioner”), inbegripet överföringar av personuppgifter till ett tredjeland eller en internationell organisation, för de syften som anges i Tjänsteavtalet och är i enlighet med detta avtal och gällande lagstiftning på området,
b) genomföra de säkerhetsåtgärder som anges i Avtalet,
c) inte göra anspråk på några rättigheter till personuppgifterna,
d) inte använda personuppgifterna för något annat syfte än för utförandet av de förpliktelser som följer av detta Avtal, Tjänsteavtalet eller för felsökning i Personuppgiftbiträdets system, samt
e) inte behandla personuppgifter för sitt egna syfte utan föregående skriftligt intyg från den Personuppgiftsansvarige.
3 Om Personuppgiftsbiträdet anser att någon instruktion från den Personuppgiftsansvarige står i strid med Dataskyddsförordningen eller annan dataskyddslagstiftning, äger Personuppgiftbiträdet rätt att avvakta utförandet av instruktionen tills lagenligheten har bekräftats av behörig person utsedd av den Personuppgiftsansvarige eller tills instruktionen har skrivits om.
4.4 Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, med beaktande av behandlingens art och den information som är tillgänglig för Personuppgiftsbiträdet, så att den Personuppgiftsansvarige ska kunna fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III i Dataskyddsförordningen.
4.5 Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige med att se till att skyldigheterna enligt artiklarna 32-36 i Dataskyddsförordningen fullgörs, med beaktande av typen av behandling och information som Personuppgiftsbiträdet har att tillgå.
Anmälningsskyldighet för Personuppgiftsbiträdet
5.1 Personuppgiftsbiträdet ska omedelbart anmäla till den Personuppgiftsansvarige om Personuppgiftsbiträdet får kännedom om att någon obehörig åtkomst till personuppgifter och/eller oavsiktlig eller avsiktlig utlämnande av personuppgifter till tredje part har skett.
5.2 Personuppgiftsbiträdet ska omedelbart anmäla till den Personuppgiftsansvarige om varje väsentlig överträdelse av gällande dataskyddslagstiftning som den får kännedom om som har koppling till detta Avtal.
5.3 Om Personuppgiftsbiträdet anser att en instruktion från den Personuppgiftsansvarige strider mot Dataskyddslagstiftningen ska den omedelbart anmäla detta till den Personuppgiftsansvarige.
Personuppgiftsansvariges ansvar
6.1 Den Personuppgiftsansvarige ska tillhandahålla Personuppgiftsbiträdet instruktioner för behandlingen av personuppgifter. Instruktionerna måste vara skriftliga (antingen fysiska eller elektroniska).
6.2 I instruktionerna ska bl.a. framgå föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade.
6.3 Den Personuppgiftsansvarige har det enskilda ansvaret att informera den registrerade om behandlingen av personuppgifter som utförs av Personuppgiftsbiträdet och att säkerställa att den registrerade har kännedom om sina rättigheter enligt gällande lagstiftning.
6.4 Den Personuppgiftsansvarige är skyldig att utföra sina förpliktelser enligt gällande Dataskyddslagstiftning. Inget i detta Avtal ska tolkas som en överlåtelse av den Personuppgiftsansvariges ansvar, som följer av gällande dataskyddslagstiftning, till Personuppgiftsbiträdet.
Överföring till tredje land
7.1 I syfte att tillhandahålla de avtalade Tjänsterna har Personuppgiftsbiträdets servrar placerade i Finland och i ytterligare cirka 5 länder (både inom EU och i tredjeland).
7.2 Den Personuppgiftsansvarige är medveten om och accepterar att servrar som är placerade i tredjeland är omfattade av avtal för samlokalisering (co-location agreement) med samarbetspartners. Dessa parter har inte rätt att få åtkomst till personuppgifter på servrarna och begränsad rätt till materiell åtkomst till servrarna. När personuppgifter överförs mellan Personuppgiftsbiträdets servrar är personuppgifterna krypterade. Servrarna sköts av Personuppgiftsbiträdets underbiträde, direkt eller på distans.
7.3 Den Personuppgiftsansvarige åtar sig att tillse att de registrerade har fått information eller blir informerad om att hans eller hennes personuppgifter kan överföras till ett land utanför EU/EES innan Personuppgiftbiträdet påbörjar behandlingen av personuppgifterna.
7.4 Om överföringar av personuppgifter till ett tredjeland eller en internationell organisation krävs enligt unionsrätten eller en nationell rätt får Personuppgiftsbiträdet genomföra sådan behandling. I så fall ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida inte sådan information är förbjuden med hänvisning till ett viktigt allmänintresse enligt dataskyddslagstiftningen.
Revision
8.1 Personuppgiftbiträdet ska ge den Personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som följer av artikel 28 i Dataskyddsförordningen har fullgjorts och på den Personuppgiftsansvariges begäran tillåta granskning, inklusive inspektioner, för att se om Personuppgiftbiträdet uppfyller sina skyldigheter enligt dataskyddslagstiftningen och detta avtal. Personuppgiftbiträdet ska medverka och bistå den Personuppgiftsansvarige och den som utför granskningen så mycket som rimligen kan krävas i genomförandet av granskningen. Den Personuppgiftsansvarige är medveten om att det av säkerhetsskäl finns begränsningar och regleringar gällande vem som kan få tillträde till lokalerna där servrarna finns.
8.2 Parterna ska gemensamt komma överens om vilken organisation som ska utföra ovan granskning.
8.3 Den Personuppgiftsansvarige ska betala alla kostnader, avgifter och utgifter för den organisation som genomför granskningen.
Underbiträde
9.1 Den Personuppgiftsansvarige erkänner och samtycker till att, (a) bolag i samma koncern som Personuppgiftsbiträdet kan anlitas som Underbiträde; och (b) att Personuppgiftsbiträdet och bolag i samma koncern som Personuppgiftsbiträdet i sin tur kan ingå avtal med Underbiträden för att uppfylla leveransen av Tjänsterna. Personuppgiftsbiträdet har eller ska ingå skriftliga avtal med varje enskilt Underbiträde. Underbiträdet ska därvid åläggas att iaktta samma skyldigheter i fråga om dataskydd som fastställs i detta avtal. Underbiträdet ska i sådant personuppgiftsbiträdesavtal ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i Dataskyddsförordningen
9.2 Personuppgiftsbiträdet ska vid varje tid kunna tillhandahålla den Personuppgiftsansvarige en lista med fullständig, korrekt och uppdaterad information om samtliga Underbiträden. Denna lista ska inkludera Underbiträdens kontaktinformation och land det som det är placerat i. Om Personuppgiftsbiträdet ska anlita ett nytt Underbiträde ska den Personuppgiftsansvarige meddelas detta skriftligen innan det nya Underbiträdet får behörighet att behandla personuppgifter när den utför Tjänsterna.
9.3 Den Personuppgiftsansvarige kan invända mot användandet av ett nytt Underbiträde genom att skriftligen anmäla detta till Personuppgiftsbiträdet inom tio (10) arbetsdagar efter mottagandet av Personuppgiftsbiträdets meddelande. Om den Personuppgiftsansvarige har invänt mot ett nytt Underbiträde, ska Personuppgiftsbiträdet genom rimlig ansträngning tillgängliggöra en ändring av tjänsten för den Personuppgiftsansvarige eller rekommendera en kommersiellt rimlig ändring av användandet av Tjänsten för att undvika att det nya Underbiträdet behandlar personuppgifter, utan att det blir en oskälig belastning för den Personuppgiftsansvarige. Om Personuppgiftsbiträdet inte lyckas genomföra en sådan förändring inom en rimlig tid, som inte ska vara mer än trettio (30) dagar, kan den Personuppgiftsansvarige säga upp Tjänsteavtalet, genom ett skriftligt meddelande, avseende de tjänster som inte kan tillhandahållas av Personuppgiftsbiträdet utan användandet av det nya Underbiträdet.
9.4 För att den Personuppgiftsansvarige ska kunna invända mot ett Underbiträde enligt ovan ska den Personuppgiftsansvarige ha en befogad anledning till detta. Med befogad anledning avses omständigheter på det nya Underbiträdets sida som i betydande utsträckning påverkar, eller sannolikt riskerar att påverka, skyddet för den registrerades personliga integritet, såsom att det nya Underbiträdet inte uppfyller kraven i Dataskyddslagstiftningen.
9.5 Om Underbiträdet inte uppfyller de skyldigheter i fråga om behandling av personuppgifter som framgår av detta avtal, ska Personuppgiftsbiträdet förbli fullt ansvarig gentemot den Personuppgiftsansvarige för Underbiträdets underlåtelse att uppfylla skyldigheterna.
Säkerhet och sekretess
10.1 Personuppgiftsbiträdet har gett tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på sådant sätt att behandlingen av personuppgifter uppfyller kraven i dataskyddslagstiftningen samt säkerställer att den registrerades rättigheter skyddas.
10.2 Personuppgiftsbiträdet har implementerat och kommer upprätthålla åtgärder för att vidmakthålla säkerheten för Tjänsterna som de beskrivs i Tillägg A.
10.3 Parterna är överens om att de säkerhetsåtgärder som återges i Tillägg A till detta avtal är ändamålsenliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är adekvat gentemot potentiella risker, som skydd för personuppgifter gentemot oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. I beaktande härav tas den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter.
10.4 Personuppgiftsbiträdet förbinder sig att inte till tredje man lämna ut eller på annat sätt röja information om personuppgifter som omfattas av detta avtal. Sekretessåtagandet gäller även efter att detta avtal i övrigt upphört att gälla.
10.5 Om Personuppgiftsbiträdet är skyldig att röja personuppgifter till en tredje part eller myndighet för att uppfylla ett rättsligt krav eller svara på föreläggande eller beslut från relevant myndighet, ska Personuppgiftsbiträdet, såvida det inte är förbjudet enligt lag, utan opåkallat dröjsmål efter att skyldigheten att röja personuppgiften blivit känd, skriftligen underrätta den Personuppgiftsansvarige om det rättsliga kravet och vilken typ av röjande som är aktuellt. Personuppgiftsbiträdet ska, om det inte är förbjudet enligt lag, vänta på vidare instruktioner från den Personuppgiftsansvarige gällande röjandet.
10.6 Personuppgiftsbiträdet ska säkerställa att samtliga personer som givits behörighet att behandla personuppgifterna har ingått särskild sekretessförbindelse eller upplysts om att särskild tystnadsplikt föreligger enligt avtal eller gällande rätt.
10.7 Personuppgiftsbiträdet ska vidta alla åtgärder avseende säkerhet som krävs enligt artikel 32 i Dataskyddsförordningen.
11.Övrigt
11.1 Bestämmelserna i HappiRels allmänna villkor gällande avtalstid och upphörande, ansvar, tillämplig lag och behörig domstol, tillämpas på detta Avtal.
11.2 Tillägg och ändringar på detta Avtal måste vara skriftliga för att vara gällande. Med undantag för eventuella ändringar av detta Avtal, kommer detta Avtal att vara gällande. Om det är en konflikt mellan detta Avtal och Tjänsteavtalet, har detta Avtal företräde.
Tillägg A: Tekniska och organisatoriska åtgärder
HappiRel kommer att genomföra som minst nedanstående listade åtgärder, eller likvärdiga, under Avtalets giltighetstid:
Kontroll av åtkomst till lokalerna
Personuppgiftsbiträdet kommer genomföra lämpliga åtgärder i syfte att förhindra att obehöriga personer får tillgång till utrustning som behandlar personuppgifter genom att införa eller upprätthålla följande:
– Åtkomstkontroll och tillstånd för anställda och tredje parter
– Skydd och restriktioner för in och utgångar (begränsade nyckelkort och/eller passerkort)
– Skydd av relevanta lokaler (alarm och/eller säkerhetsvakter)
Kontroll av åtkomst till personuppgifterna och användarkontroll
Personuppgiftsbiträdet är skyldig att tillse att alla anställda och/eller andra personer med åtkomst till personuppgifter endast har det till den grad som är nödvändig för att kunna tillhandahålla Tjänsterna i Tjänsteavtalet, genom:
Samtliga personal använder förstärkt autentisering, 2FA för inloggning
Krav på användarbehörighet och strikt åtkomstkontroll
Sekretessförpliktelser
Anpassad åtkomstbehörighet
Kontrollerad förstöring och förflyttning av information på datalagringsmedier
Loggbok av händelser och aktiviteter (uppföljning av försök av obehöriga att ta sig in eller få åtkomst)
Utfärdande och säkringsförfarande av identifieringskoder
Användande av kryptering där Personuppgiftsbiträdet bedömer det lämpligt
Automatisk utloggning av användar-ID:n som inte har använts på en väsentlig tid
Försäkran om att kunder endast har åtkomst till sina egna uppgifter
Överföring av uppgifter
Personuppgiftsbiträdet kommer att skydda att personuppgifter som överförs och/eller behandlas enligt Tjänsteavtalet och Instruktioner, genom:
Riktlinjer som styr framställningen av säkerhetskopior
Dokumentation av överflyttnings-, hämtnings- och överföringsprogram
Attestinstruktioner
Kryptering av externa överföringar online
Radering av information innan byte av datalagringsmedia
Trafiken mellan användaren och tjänsten är med krypterad SSL certifikat
Personuppgifter överförs inte till tredje part utan den Personuppgiftsansvariges skriftliga medgivande, om det inte är ett rättsligt krav
Organisatorisk kontroll
Personuppgiftsbiträdet kommer att upprätthålla sin inre organisation på ett sätt som tillgodoser krav enligt dataskyddslagstiftning, genom att:
Bindande interna riktlinjer för de anställda och/eller konsulter gällande säkerhet och behandling av personuppgifter, och/eller instruktioner
Intern krisplan för återställande och skyddande av personuppgifter
Begränsad behörighet att få åtkomst till personuppgifter endast till den nivå som är nödvändig
Ingen kundinformation kommer att kopieras på externa enheter (USB-minne, CD etc.) utan nödvändiga säkerhetsåtgärder, som exempelvis kryptering eller lösenordsskydd.