Avtal.

HappiRel AB

Allmänna villkor

 

2021-01-14

Dessa allmänna villkor gäller vid Happirel AB:s (”HappiRel”) leverans av produkt, tjänst och/ eller supporttjänst till kund från och med ovan angivet datum. Bifogat personuppgiftsbiträdesavtal, Bilaga 1, ska tillämpas om HappiRel ska behandla personuppgifter åt kunden under utförandet av Tjänsterna. Kunden förbinder sig att följa dessa allmänna villkor för behandling av personuppgifter och samtycker till att Bilaga 1 tillämpas mellan parterna.

SÄRSKILDA BESTÄMMELSER AVSEENDE LEVERANS AV PRODUKT

  1. Priser och frakt

Priserna anges i SEK och exklusive moms. Kostnad för frakt tillkommer.

  1. Betalningsvillkor och säkerhet

Faktura ska betalas senast trettio (30) dagar från fakturadatum. Produkterna förblir HappiRels egendom till dess full betalning erlagts.

  1. Beställning och orderbekräftelse

Genom att genomföra ett köp hos HappiRel accepterar kunden dessa allmänna villkor. Bindande avtal kommer till stånd vid orderbekräftelse till kunden.

4. Reklamation

Kunden ska vid mottagandet kontrollera produkten/leveransen. För att få åberopa att en produkt är felaktig ska kund omedelbart efter det att denne upptäckt felet reklamera. HappiRel förbehåller sig rätt att debitera av testavgift om produkten inte är felaktig.

  1. Garanti

Garantier på varor är de som lämnas av produkternas respektive tillverkare.

  1. Ansvar

Föreligger fel som HappiRel ansvarar för åtar sig HappiRel att, efter eget val, avhjälpa felet genom reparation, utföra omleverans eller återbetalning av köpeskillingen. HappiRel har rätt att hänvisa kund direkt till tillverkare eller serviceverkstad för felets åtgärdande. HappiRel ansvar vid fel i produkt är begränsat till vad som anges ovan. HappiRel ansvarar under inga omständigheter för (i) indirekta skador eller följdskador, såsom produktionsbortfall, utebliven vinst eller andra liknande skador till följd av svårighet att använda datorer eller information, eller (ii) förlust av data. Det totala ansvar som kan uppkomma för HappiRel gentemot kund är begränsat till det totala pris som betalats av kunden för produkter under den senaste tolv (12) månadsperioden.

  1. Särskilda villkor för programvaror

Vid köp av licens till programvara gäller respektive licensgivares villkor och HappiRel tar inget ansvar rörande frånvaro av fel, lämplighet eller immateriella rättigheter.

  1. Särskilt för molntjänster

Vid köp av molntjänst gäller molntjänstleverantörens villkor för beställd tjänst.

SÄRSKILDA BESTÄMMELSER FÖR LEVERANS AV TJÄNST

  1. Omfattning och genomförande

HappiRel ska utföra den överenskomna tjänsten (”Tjänsten”) på ett fackmannamässigt sätt och med för ändamålet kvalificerade personer. HappiRel får anlita underleverantör för utförande av Tjänsten. Om HappiRel anlitar underleverantör ansvarar HappiRel för såväl HappiRels som underleverantörens arbete. Kunden ska geHappiRel tillgång till all information och allt underlag som krävs för att HappiRel ska kunna utföra och leverera Tjänsten i enlighet med avtalet.

  1. Ersättning m.m.

HappiRel har rätt till ersättning enligt HappiRels vid var tid gällande prislista. För närvarande är grundarvodet för konsulttjänster 1.390 kr plus moms. Om Parterna har avtalat om annat pris än vid var tid gällande prislista harHappiRel rätt att en gång per kalenderår justera avtalade priser i enlighet med förändringar i Arbetskostnadsindex (AKI) kod J (Informations- och kommunikationsbolag).HappiRels ersättning anges exklusive moms och andra eventuella tillkommande skatter och avgifter hänförliga till Tjänsten. HappiRel har rätt till ersättning för utlägg enligt vad som överenskommits mellan Parterna. HappiRel har rätt till ersättning för resor och arbete utanför ordinarie arbetstid enligt vid var tid gällande prislista.

  1. Betalningsvillkor och säkerhet

Faktura ska betalas så att fakturabeloppet finns tillgängligt på HappiRels bankkonto senast trettio (30) dagar från fakturadag.

  1. Beställning och orderbekräftelse

Genom att beställa Tjänsten accepterar kunden dessa allmänna villkor. Bindande avtal kommer till stånd vid orderbekräftelse till kunden eller när Tjänsten görs tillgänglig.

  1. Ansvar

Föreligger fel i Tjänsten som HappiRel ansvarar för åtar sig HappiRel att, efter eget val, avhjälpa felet genom reparation eller omleverans, förutsatt att reklamation har skett i enlighet med vad som anges i dessa allmänna villkor. Om HappiRel väljer att inte avhjälpa felet eller att inte genomföra en omleverans har kunden rätt till skäligt avdrag på ersättningen. HappiRel ansvarar inte för fel som beror på hårdvara, programvara eller annan utrustning som inte tillhandahållits av HappiRel. Om Tjänsten innefattar rådgivning är HappiRel ansvar begränsat till rådgivning baserad på information som kunden tillhandahållit. HappiRel tar inget ansvar för de beslut som kunden fattar baserat på den tillhandahållna rådgivningen. Det totala ansvar som kan uppkomma för HappiRel gentemot kund (inklusive ansvar för handlingar eller underlåtenhet av HappiRels anställda, representanter eller underleverantörer samt ansvar relaterat till prisavdrag, omleverans eller liknande) är begränsat till det totala pris som betalats av kunden för Tjänsten den senaste sex (6) månadsperioden. HappiRel ansvarar under inga omständigheter för (i) indirekta skador eller följdskador, såsom produktionsbortfall, utebliven vinst eller andra liknande indirekta skador, eller (ii) förlust av data. Kunden ansvarar för att skriftligen informera HappiRel om relevanta förändringar sker i kundens IT-miljö. HappiRel ansvarar inte för fel som uppkommer på grund av att förändringar inte meddelats HappiRel.

  1. Reklamation

Kunden förlorar sin rätt att framställa ersättningsanspråk om inte reklamation har skett skriftligen utan dröjsmål, dock senast tre (3) månader efter händelsen som reklameras.

  1. Immateriella rättigheter

Kunden erhåller äganderätten till samtliga immateriella rättigheter som uppkommer vid Tjänstens utförande som en följd att HappiRel skriftligen åtagit sig att skapa eller utveckla dessa för kundens räkning. Om inte annat skriftligen avtalats, erhåller HappiRel en icke-exklusiv licens, utan begränsning i tid, till alla immateriella rättigheter som skapas av HappiRel för kundens räkning. Kunden förvärvar inte några immateriella rättigheter relaterade till Tjänsten som tillhör HappiRel eller tredje man utöver vad som anges ovan. Kunden har inte heller rätt att ändra någon immaterialrättsligt skyddad produkt som tillhör HappiRel eller tredje man. För nyttjande av sådana produkter gäller de villkor som innehavaren av den aktuella immateriella rättigheten vid var tid tillämpar.

  1. Intrång i immateriella rättigheter

Om kunden tillhandahåller sådant som är skyddat av immateriella rättigheter garanterar kunden att relevanta godkännanden finns. HappiRel garanterar att Tjänst som utförs av HappiRel och de immateriella rättigheter som HappiRel skapar eller tillhandahåller (med undantag för tredjepartstjänster eller produkter från HappiRels leverantörer), såvitt HappiRel känner till, inte gör intrång i tredje mans rätt. Kunden ska utan dröjsmål skriftligen meddela HappiRel om krav från tredje man angående intrång i immateriell rättighet

Vid ett påstående om intrång, för vilket HappiRel ansvarar (dvs. inte ett intrång på grund av modifiering av kunden eller tredjepartsprodukter eller liknande intrång), ska HappiRel ha rätt att på egen bekostnad överta tvisten och föra talan för kundens räkning samt på egen bekostnad antingen tillförsäkra kunden fortsatt nyttjande av Tjänsten eller byta ut omtvistad del av Tjänsten mot liknande godtagbar tjänst eller produkt.

Kunden har inte rätt att medge ansvar, ingå avtal, förlikning eller kompromiss med tredje man avseende sådant krav utan att ha erhållit HappiRels skriftliga samtycke, vilket inte oskäligen ska innehållas. Om HappiRel inte kan säkerställa kundens rätt till nyttjande av en liknande godtagbar tjänst eller produkt, har vardera parten rätt att som exklusiv påföljd i relation till sådant påstått intrång häva avtalet med den andra parten avseende sådan tjänst eller produkt och HappiRel åtar sig att i sådant fall återbetala det pris som betalats för sådan tjänst och produkt, förutsatt att kunden återlämnar produkten, med avdrag för den nytta kunden erhållit. HappiRel åtar sig att ersätta kunden för de ersättningar och skadestånd som kunden genom förlikning eller dom åläggs att erlägga för intrång, för vilket HappiRel ansvarar, i immateriell rättighet genom kundens nyttjande av Tjänsten. Därutöver har inte kunden rätt till annan ersättning för förlust som uppkommer till följd av immaterialrättsligt fel i Tjänsten och som HappiRel ansvarar för.

  1. Avtalstid och upphörande

Om inte annat avtalats, gäller avtalet tillsvidare med en ömsesidig uppsägningstid om tre månader. Uppsägning ska ske skriftligen. Oaktat det ovanstående kan vardera Part skriftligen säga upp avtalet till omedelbart upphörande om Part:

(a) i väsentligt avseende åsidosätter eller bryter mot bestämmelserna i avtalet och rättelse, där sådan kan ske, inte sker inom 30 dagar efter skriftligt meddelande därom, eller

(b) försätts i konkurs eller likvidation, blir föremål för företagsrekonstruktion eller annars är på obestånd.

Kundens rätt att nyttja Tjänst under uppsägningstid förutsätter att kunden fullgjort sin betalningsskyldighet.

SÄRSKILDA BESTÄMMELSER FÖR SUPPORT

  1. Allmänt

Tjänsten gäller för den kontaktperson samt klient (PC, Mac eller surfplatta) som anges vid tecknandet av abonnemanget eller som identifierats genom senare komplettering. Abonnemanget har en bindningstid som motsvarar avtalstiden för den/de tjänst(er) som supporteras.

  1. Tjänstens omfattning

Supporten utförs via telefon eller via fjärrstyrning av kundens klient via internet och tillhandahålls helgfria vardagar kl. 09-17 samt omfattar följande delar:

(a) Support vid problem och allmänna användarfrågor för sådana mjukvaror och tjänster som HappiRel tillhandahållit Kunden samt andra mjukvaror och tjänster som det särskilt träffats överenskommelse om.

(b) Återställande av lösenord (förutsatt användaradministration erhållits).

  1. Tjänstens utförande

HappiRel ska utföra tjänsten med för ändamålet lämpliga, kvalificerade och kompetenta medarbetare och på fackmannamässigt sätt. HappiRel får anlita underkonsult för utförande av tjänsten och ansvarar då för underleverantörens arbete såsom för sitt eget.

  1. Ansvarsbegränsning

Om HappiRel orsakat fel, för vilket HappiRel har ansvaret, ska HappiRel skyndsamt avhjälpa felet där detta är möjligt. HappiRels maximala ansvar enligt eller i samband med detta avtal ska vara begränsat till direkt ekonomisk skada och skadeståndet ska inte överstiga de tidigare sammanlagda betalningar som slutanvändaren fullgjort för relevanta supporttjänster under den tolvmånaders-period som infaller före den handling eller underlåtenhet som utgör grunden för skadeståndsansvaret. Om fel inte kunnat avhjälpas inom en månad äger kunden rätt att säga upp avtalet till omedelbart upphörande och återfå avgift avseende outnyttjad tid. HappiRel svarar inte i något fall, oberoende av eventuell vårdslöshet eller grov vårdslöshet för förlust av data på grund av kundens underlåtenhet att ombesörja att ändamålsenlig säkerhetskopiering utförs.

ALLMÄNNA BESTÄMMELSER

  1. Om HappiRel är personuppgiftsansvarig

HappiRel kommer i anslutning till kundens beställ­ningar av produkter och tjänster att behandla person­uppgifter som erhålls i enlighet med gällande dataskyddslagstiftning.

  1. Sekretess

24.1 Parterna förbinder sig att under avtalstiden och under 3 år därefter inte till utomstående lämna information avseende Avtalets innehåll och annan information som Parterna fått ta del av med anledning av Avtalet, oavsett om informationen lämnats skriftligen eller muntligen och oberoende av format (”Konfidentiell information”). Parterna förbinder sig att använda Konfidentiell information enbart i syfte att fullgöra sina åtaganden under Avtalet och inte för något annat ändamål. Mottagande Part förbinder sig vidare att vidta erforderliga åtgärder för att förhindra att anställd, underkonsult eller annan mellanman använder eller avslöjar Konfidentiell information för utomstående samt att använda samma nivå av aktsamhet (men inte lägre nivå än skälig aktsamhet) för att undvika utlämnande eller nyttjande av Konfidentiell information som Parten använder avseende sin egen konfidentiella eller upphovsrättsskyddade information.

24.2 Ovanstående gäller inte för sådan information som
a) vid tidpunkten för utlämnandet är eller senare blir tillgänglig för allmänheten på annat sätt än genom överträdelse mot Avtalet; eller
b) redan var tillgänglig för mottagande Part eller som denne på egen hand har utvecklat innan ingåendet av Avtalet och som inte, direkt eller indirekt, har erhållits genom överträdelse mot Avtalet.

24.3 Denna sekretessförbindelse förhindrar inte Part från att lämna sådan information som Part har skyldighet att lämna ut enligt lag, dom eller myndighetsbeslut eller avtal med börs eller annan marknadsplats. Om Part skulle ha eller åläggas skyldighet att lämna sådan information, åtar sig Parterna att omedelbart underrätta den andra Parten för att ge denne möjlighet att vidta skyddsåtgärder. Parterna ska göra sitt bästa för att tillse att information som lämnas i enlighet med denna punkt, så långt möjligt, behandlas konfidentiellt av mottagaren av informationen.

24.4 Regleringen i denna punkt ska äga giltighet tre (3) år efter Avtalets upphörande.

  1. Om HappiRel agerar personuppgifts­biträde åt kunden

I de fall HappiRel behandlar personuppgifter för kundens räkning under utförandet av Tjänsten är kunden personuppgiftsansvarig och HappiRel är personuppgiftsbiträde i enlighet med gällande lagstiftning. I dessa fall är personuppgiftsbiträdesavtal, bilaga 1, tillämplig mellan parterna.

  1. Tillämplig lag och tvist

Svensk rätt ska tillämpas på dessa allmänna villkor. Tvist angående tolkning, tillkomsten eller tillämpningen av detta avtal, dess bilagor samt övriga tillhörande dokument, och därmed sammanhängande rättsförhållanden ska avgöras av svensk allmän domstol med Stockholms tingsrätt som första instans.

  • Force Majeure

HappiRel äger gentemot kunden rätt att utan ersättningsskyldighet inställa, inskränka eller uppskjuta leverans i den mån fullgörande av leveransen försvåras eller fördyras på grund av omständigheter utanför HappiRel kontroll, såsom t.ex. krigsliknande händelser, uppror och oroligheter, avbrott i datakommunikation eller allmänna förbindelser, export- och importrestriktioner, laglig reglering eller annat påbud av myndighet i Sverige eller utlandet, strejk, lockout, blockad eller annat arbetshinder, eldsvåda, explosion eller annan olyckshändelse, eller för fel eller försening i tjänster från underleverantör.

HappiRel AB
Bilaga 1
Personuppgiftsbiträdesavtal

2021-01-14
HappiRel AB(härefter benämnd “HappiRel” eller “Personuppgiftsbiträdet“), och Kunden (härefter benämnd “Kunden” eller den “Personuppgiftsansvarige“) (benämns härefter gemensamt som ”Parterna”) Parterna har ingått detta personuppgiftsbiträdesavtal (”Avtalet”).

Bakgrund
1.1 Parterna har tidigare – eller i samband med detta Avtal – ingått avtal avseende tjänster som  HappiRel emellanåt utför (härefter benämnt ”Tjänsteavtalet”), till vilken  HappiRels Allmänna villkor [för tjänster och mjukvaror] är gällande.

1.2 Inom åtagandena som följer av Tjänsteavtalet kan HappiRel komma att behandla personuppgifter samt annan information åt Kundens vägnar.

1.3 Med anledning av detta ingår Parterna detta Avtal för att reglera förutsättningarna för HappiRel behandling av personuppgifter vid utförande av tjänsterna som regleras i Tjänsteavtalet (härefter benämnt ”Tjänsterna”). Detta Avtal gäller för samtliga mellan Parterna tecknade avtal där HappiRel är Personuppgiftsbiträde till Kunden och Avtalet gäller så länge HappiRel behandlar personuppgifter för Kundens räkning.

Definitioner
2.1 De definitioner som anges i artikel 4 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (”Dataskyddsförordningen”) ska äga tillämpning på detta Avtal.

2.2 I övrigt ska nedan uppräknade begrepp ha nedanstående innebörd:

”Dataskyddslagstiftning” avser Dataskyddsförordningen jämte tillhörande europeiska och nationella genomförandeförfattningar, samt instruktioner och bindande beslut från EU:s dataskyddsmyndigheter.

”Underbiträde” avser sådant personuppgiftsbiträde (underleverantör) som anlitats av Personuppgiftsbiträdet och som behandlar personuppgifter för den Personuppgiftsansvariges räkning.

Avtalets omfattning
3.1 Personuppgiftsbiträdet tillhandahåller tjänster som avtalas om med den Personuppgiftsansvarige från tid till annan. Personuppgiftsbiträdets huvudsakliga verksamhetsställe är i Sverige.

3.2 Tjänsten innefattar lagring och överföring av användaruppgifter och innehåll som tillhandahålls av användarna av tjänsten. Dessa uppgifter kan direkt eller indirekt identifiera en fysisk person.

3.3 Personuppgiftsbiträdet kommer endast att behandla personuppgifter som tillhandahålls genom den Personuppgiftsansvarige för att kunna utföra åtaganden som följer av Tjänsteavtalet.

3.4 De personuppgifter som kan komma att behandlas av Personuppgiftsbiträdet åt den Personuppgiftsansvariges vägnar ska raderas permanent och automatiskt när Tjänsteavtalet upphör att gälla (såvida inte lagring av personuppgifterna krävs enligt nationell lagstiftning eller unionsrätten).

3.5 Parterna är eniga om att behandlingen, de kategorier av personuppgifter som behandlingen gäller, de registrerade eller behandlingens syfte närsomhelst genom en överenskommelse kan förtydligas avseende specifikation och/eller utvidgas avseende omfattning. Sådana ändringar ska göras skriftliga för att vara giltiga så snart som det är möjligt efter att de har blivit kända. Villkoren i detta avtal ska tillämpas på sådana ändringar, om inte parterna kommer överens om annat.

Personuppgiftbiträdets ansvar/skyldigheter
4.1 Den Personuppgiftsansvarige ska ha fullständig befogenhet över personuppgifterna.

4.2 Personuppgiftsbiträdet förbinder sig att:

a) endast behandla personuppgifter som omfattas av den Personuppgiftsansvariges dokumenterade instruktioner (”Instruktioner”), inbegripet överföringar av personuppgifter till ett tredjeland eller en internationell organisation, för de syften som anges i Tjänsteavtalet och är i enlighet med detta avtal och gällande lagstiftning på området,
b) genomföra de säkerhetsåtgärder som anges i Avtalet,
c) inte göra anspråk på några rättigheter till personuppgifterna,
d) inte använda personuppgifterna för något annat syfte än för utförandet av de förpliktelser som följer av detta Avtal, Tjänsteavtalet eller för felsökning i Personuppgiftbiträdets system, samt
e) inte behandla personuppgifter för sitt egna syfte utan föregående skriftligt intyg från den Personuppgiftsansvarige.
4.3 Om Personuppgiftsbiträdet anser att någon instruktion från den Personuppgiftsansvarige står i strid med Dataskyddsförordningen eller annan dataskyddslagstiftning, äger Personuppgiftbiträdet rätt att avvakta utförandet av instruktionen tills lagenligheten har bekräftats av behörig person utsedd av den Personuppgiftsansvarige eller tills instruktionen har skrivits om.

4.4 Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, med beaktande av behandlingens art och den information som är tillgänglig för Personuppgiftsbiträdet, så att den Personuppgiftsansvarige ska kunna fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III i Dataskyddsförordningen.

4.5 Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige med att se till att skyldigheterna enligt artiklarna 32-36 i Dataskyddsförordningen fullgörs, med beaktande av typen av behandling och information som Personuppgiftsbiträdet har att tillgå.

Anmälningsskyldighet för Personuppgiftsbiträdet
5.1 Personuppgiftsbiträdet ska omedelbart anmäla till den Personuppgiftsansvarige om Personuppgiftsbiträdet får kännedom om att någon obehörig åtkomst till personuppgifter och/eller oavsiktlig eller avsiktlig utlämnande av personuppgifter till tredje part har skett.

5.2 Personuppgiftsbiträdet ska omedelbart anmäla till den Personuppgiftsansvarige om varje väsentlig överträdelse av gällande dataskyddslagstiftning som den får kännedom om som har koppling till detta Avtal.

5.3 Om Personuppgiftsbiträdet anser att en instruktion från den Personuppgiftsansvarige strider mot Dataskyddslagstiftningen ska den omedelbart anmäla detta till den Personuppgiftsansvarige.

Personuppgiftsansvariges ansvar
6.1 Den Personuppgiftsansvarige ska tillhandahålla Personuppgiftsbiträdet instruktioner för behandlingen av personuppgifter. Instruktionerna måste vara skriftliga (antingen fysiska eller elektroniska).

6.2 I instruktionerna ska bl.a. framgå föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade.

6.3 Den Personuppgiftsansvarige har det enskilda ansvaret att informera den registrerade om behandlingen av personuppgifter som utförs av Personuppgiftsbiträdet och att säkerställa att den registrerade har kännedom om sina rättigheter enligt gällande lagstiftning.

6.4 Den Personuppgiftsansvarige är skyldig att utföra sina förpliktelser enligt gällande Dataskyddslagstiftning. Inget i detta Avtal ska tolkas som en överlåtelse av den Personuppgiftsansvariges ansvar, som följer av gällande dataskyddslagstiftning, till Personuppgiftsbiträdet.

Överföring till tredje land
7.1 I syfte att tillhandahålla de avtalade Tjänsterna har Personuppgiftsbiträdets servrar placerade i Finland och i ytterligare cirka 5 länder (både inom EU och i tredjeland).

7.2 Den Personuppgiftsansvarige är medveten om och accepterar att servrar som är placerade i tredjeland är omfattade av avtal för samlokalisering (co-location agreement) med samarbetspartners. Dessa parter har inte rätt att få åtkomst till personuppgifter på servrarna och begränsad rätt till materiell åtkomst till servrarna. När personuppgifter överförs mellan Personuppgiftsbiträdets servrar är personuppgifterna krypterade. Servrarna sköts av Personuppgiftsbiträdets underbiträde, direkt eller på distans.

7.3 Den Personuppgiftsansvarige åtar sig att tillse att de registrerade har fått information eller blir informerad om att hans eller hennes personuppgifter kan överföras till ett land utanför EU/EES innan Personuppgiftbiträdet påbörjar behandlingen av personuppgifterna.

7.4 Om överföringar av personuppgifter till ett tredjeland eller en internationell organisation krävs enligt unionsrätten eller en nationell rätt får Personuppgiftsbiträdet genomföra sådan behandling. I så fall ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida inte sådan information är förbjuden med hänvisning till ett viktigt allmänintresse enligt dataskyddslagstiftningen.

Revision
8.1 Personuppgiftbiträdet ska ge den Personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som följer av artikel 28 i Dataskyddsförordningen har fullgjorts och på den Personuppgiftsansvariges begäran tillåta granskning, inklusive inspektioner, för att se om Personuppgiftbiträdet uppfyller sina skyldigheter enligt dataskyddslagstiftningen och detta avtal. Personuppgiftbiträdet ska medverka och bistå den Personuppgiftsansvarige och den som utför granskningen så mycket som rimligen kan krävas i genomförandet av granskningen. Den Personuppgiftsansvarige är medveten om att det av säkerhetsskäl finns begränsningar och regleringar gällande vem som kan få tillträde till lokalerna där servrarna finns.

8.2 Parterna ska gemensamt komma överens om vilken organisation som ska utföra ovan granskning.

8.3 Den Personuppgiftsansvarige ska betala alla kostnader, avgifter och utgifter för den organisation som genomför granskningen.

Underbiträde
9.1 Den Personuppgiftsansvarige erkänner och samtycker till att, (a) bolag i samma koncern som Personuppgiftsbiträdet kan anlitas som Underbiträde; och (b) att Personuppgiftsbiträdet och bolag i samma koncern som Personuppgiftsbiträdet i sin tur kan ingå avtal med Underbiträden för att uppfylla leveransen av Tjänsterna. Personuppgiftsbiträdet har eller ska ingå skriftliga avtal med varje enskilt Underbiträde. Underbiträdet ska därvid åläggas att iaktta samma skyldigheter i fråga om dataskydd som fastställs i detta avtal. Underbiträdet ska i sådant personuppgiftsbiträdesavtal ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i Dataskyddsförordningen

9.2 Personuppgiftsbiträdet ska vid varje tid kunna tillhandahålla den Personuppgiftsansvarige en lista med fullständig, korrekt och uppdaterad information om samtliga Underbiträden. Denna lista ska inkludera Underbiträdens kontaktinformation och land det som det är placerat i. Om Personuppgiftsbiträdet ska anlita ett nytt Underbiträde ska den Personuppgiftsansvarige meddelas detta skriftligen innan det nya Underbiträdet får behörighet att behandla personuppgifter när den utför Tjänsterna.

9.3 Den Personuppgiftsansvarige kan invända mot användandet av ett nytt Underbiträde genom att skriftligen anmäla detta till Personuppgiftsbiträdet inom tio (10) arbetsdagar efter mottagandet av Personuppgiftsbiträdets meddelande. Om den Personuppgiftsansvarige har invänt mot ett nytt Underbiträde, ska Personuppgiftsbiträdet genom rimlig ansträngning tillgängliggöra en ändring av tjänsten för den Personuppgiftsansvarige eller rekommendera en kommersiellt rimlig ändring av användandet av Tjänsten för att undvika att det nya Underbiträdet behandlar personuppgifter, utan att det blir en oskälig belastning för den Personuppgiftsansvarige. Om Personuppgiftsbiträdet inte lyckas genomföra en sådan förändring inom en rimlig tid, som inte ska vara mer än trettio (30) dagar, kan den Personuppgiftsansvarige säga upp Tjänsteavtalet, genom ett skriftligt meddelande, avseende de tjänster som inte kan tillhandahållas av Personuppgiftsbiträdet utan användandet av det nya Underbiträdet.

9.4 För att den Personuppgiftsansvarige ska kunna invända mot ett Underbiträde enligt ovan ska den Personuppgiftsansvarige ha en befogad anledning till detta. Med befogad anledning avses omständigheter på det nya Underbiträdets sida som i betydande utsträckning påverkar, eller sannolikt riskerar att påverka, skyddet för den registrerades personliga integritet, såsom att det nya Underbiträdet inte uppfyller kraven i Dataskyddslagstiftningen.

9.5 Om Underbiträdet inte uppfyller de skyldigheter i fråga om behandling av personuppgifter som framgår av detta avtal, ska Personuppgiftsbiträdet förbli fullt ansvarig gentemot den Personuppgiftsansvarige för Underbiträdets underlåtelse att uppfylla skyldigheterna.

Säkerhet och sekretess
10.1 Personuppgiftsbiträdet har gett tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på sådant sätt att behandlingen av personuppgifter uppfyller kraven i dataskyddslagstiftningen samt säkerställer att den registrerades rättigheter skyddas.

10.2 Personuppgiftsbiträdet har implementerat och kommer upprätthålla åtgärder för att vidmakthålla säkerheten för Tjänsterna som de beskrivs i Tillägg A.

10.3 Parterna är överens om att de säkerhetsåtgärder som återges i Tillägg A till detta avtal är ändamålsenliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är adekvat gentemot potentiella risker, som skydd för personuppgifter gentemot oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. I beaktande härav tas den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter.

10.4 Personuppgiftsbiträdet förbinder sig att inte till tredje man lämna ut eller på annat sätt röja information om personuppgifter som omfattas av detta avtal. Sekretessåtagandet gäller även efter att detta avtal i övrigt upphört att gälla.

10.5 Om Personuppgiftsbiträdet är skyldig att röja personuppgifter till en tredje part eller myndighet för att uppfylla ett rättsligt krav eller svara på föreläggande eller beslut från relevant myndighet, ska Personuppgiftsbiträdet, såvida det inte är förbjudet enligt lag, utan opåkallat dröjsmål efter att skyldigheten att röja personuppgiften blivit känd, skriftligen underrätta den Personuppgiftsansvarige om det rättsliga kravet och vilken typ av röjande som är aktuellt. Personuppgiftsbiträdet ska, om det inte är förbjudet enligt lag, vänta på vidare instruktioner från den Personuppgiftsansvarige gällande röjandet.

10.6 Personuppgiftsbiträdet ska säkerställa att samtliga personer som givits behörighet att behandla personuppgifterna har ingått särskild sekretessförbindelse eller upplysts om att särskild tystnadsplikt föreligger enligt avtal eller gällande rätt.

10.7 Personuppgiftsbiträdet ska vidta alla åtgärder avseende säkerhet som krävs enligt artikel 32 i Dataskyddsförordningen.

11.Övrigt

11.1 Bestämmelserna i  HappiRels allmänna villkor gällande avtalstid och upphörande, ansvar, tillämplig lag och behörig domstol, tillämpas på detta Avtal.

11.2 Tillägg och ändringar på detta Avtal måste vara skriftliga för att vara gällande. Med undantag för eventuella ändringar av detta Avtal, kommer detta Avtal att vara gällande. Om det är en konflikt mellan detta Avtal och Tjänsteavtalet, har detta Avtal företräde.

Tillägg A: Tekniska och organisatoriska åtgärder

HappiRel kommer att genomföra som minst nedanstående listade åtgärder, eller likvärdiga, under Avtalets giltighetstid:

Kontroll av åtkomst till lokalerna

Personuppgiftsbiträdet kommer genomföra lämpliga åtgärder i syfte att förhindra att obehöriga personer får tillgång till utrustning som behandlar personuppgifter genom att införa eller upprätthålla följande:

– Åtkomstkontroll och tillstånd för anställda och tredje parter
– Skydd och restriktioner för in och utgångar (begränsade nyckelkort och/eller passerkort)
– Skydd av relevanta lokaler (alarm och/eller säkerhetsvakter)
Kontroll av åtkomst till personuppgifterna och användarkontroll

Personuppgiftsbiträdet är skyldig att tillse att alla anställda och/eller andra personer med åtkomst till personuppgifter endast har det till den grad som är nödvändig för att kunna tillhandahålla Tjänsterna i Tjänsteavtalet, genom:
Samtliga personal använder förstärkt autentisering, 2FA för inloggning
Krav på användarbehörighet och strikt åtkomstkontroll
Sekretessförpliktelser
Anpassad åtkomstbehörighet
Kontrollerad förstöring och förflyttning av information på datalagringsmedier
Loggbok av händelser och aktiviteter (uppföljning av försök av obehöriga att ta sig in eller få åtkomst)
Utfärdande och säkringsförfarande av identifieringskoder
Användande av kryptering där Personuppgiftsbiträdet bedömer det lämpligt
Automatisk utloggning av användar-ID:n som inte har använts på en väsentlig tid
Försäkran om att kunder endast har åtkomst till sina egna uppgifter
Överföring av uppgifter

Personuppgiftsbiträdet kommer att skydda att personuppgifter som överförs och/eller behandlas enligt Tjänsteavtalet och Instruktioner, genom:
Riktlinjer som styr framställningen av säkerhetskopior
Dokumentation av överflyttnings-, hämtnings- och överföringsprogram
Attestinstruktioner
Kryptering av externa överföringar online
Radering av information innan byte av datalagringsmedia
Trafiken mellan användaren och tjänsten är med krypterad SSL certifikat
Personuppgifter överförs inte till tredje part utan den Personuppgiftsansvariges skriftliga medgivande, om det inte är ett rättsligt krav
Organisatorisk kontroll

Personuppgiftsbiträdet kommer att upprätthålla sin inre organisation på ett sätt som tillgodoser krav enligt dataskyddslagstiftning, genom att:
Bindande interna riktlinjer för de anställda och/eller konsulter gällande säkerhet och behandling av personuppgifter, och/eller instruktioner
Intern krisplan för återställande och skyddande av personuppgifter
Begränsad behörighet att få åtkomst till personuppgifter endast till den nivå som är nödvändig
Ingen kundinformation kommer att kopieras på externa enheter (USB-minne, CD etc.) utan nödvändiga säkerhetsåtgärder, som exempelvis kryptering eller lösenordsskydd.