Personuppgiftsbiträdesavtal

Senast uppdaterat: 2022-06-14

  1. 1. Bakgrund och syfte

    Ungapped AB (556786-1264), nedan Ungapped, och Ungappeds kund, nedan Kunden, har ingått ett avtal avseende tjänster för digital marknadsföring (”Avtalet”). Avtalet innebär att Ungapped kommer att behandla personuppgifter för Kundens räkning.
    Enligt reglerna i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter m.m. (GDPR) ska sådan hantering mellan parterna regleras genom avtal eller liknande.
    Detta personuppgiftsbiträdesavtal (”PUB-avtalet”) kompletterar därför Avtalet vad avser behandling av personuppgifter. Vad som anges i detta PUB-avtal ska äga företräde framför Avtalet och dess bilagor om inget annat uttryckligen framgår nedan.
    PUB-avtalet ersätter eventuella tidigare personuppgiftsbiträdesavtal eller andra överenskommelser om Behandling av Personuppgifter mellan parterna.

  2. 2. Definitioner m.m.

    PUB-avtalet ska ha samma definitioner som återfinns i vid var tid gällande version av GDPR. Det innebär t.ex. att Kunden är Personuppgiftsansvarig och Ungapped är Personuppgiftsbiträde i förhållande till Kunden.

  3. 3. Personuppgifter som behandlas

    Ungapped behandlar personuppgifter från tre olika källor:

    • Data lämnade av Kunden via våra applikationsgränssnitt, importer från externa datakällor, uppladdning av filer, manuell inmatning, anrop till våra API:er m.m. Dessa data innehåller minst e-post eller mobilnummer. Utöver detta kan Ungapped användas för att lagra vilken kontaktinformation som helst.
    • Data som lämnas av den Registrerade via vårt anmälningsformulär, formulär för redigering av egna uppgifter eller enkäter utformade av Kunden. Personuppgifter som kan lämnas är namn, e-post, mobiltelefon, prenumerationer samt andra av Kunden efterfrågade fält.
    • Data som automatiskt lagras av Ungapped vid den Registrerades interaktion med mail, sms, formulär och webbsidor som tidpunkt för händelsen, typ av händelse (öppning, klick, avanmälan m.m.), IP-adress, webb-/mailläsare.

    Ungapped lagrar ovanstående data till dess Kunden eller fysisk person själv raderar data. Det är upp till Kunden att ansvara för att data inte lagras längre än vad som kan anses tillåtet under GDPR.

  4. 4. Personuppgiftsbiträdets behandling av personuppgifter

    Personuppgiftsbiträdet ska endast behandla Personuppgifter i enlighet med detta PUB-avtal, Avtalet och dess bilagor, gällande rätt, Tillsynsmyndighets föreskrifter samt Personuppgiftsansvariges vid var tid gällande och dokumenterade instruktioner.
    Personuppgiftsbiträdet ska vid varje Behandling av Personuppgifter säkerställa att, med hänsyn tagen av arten av Personuppgifter, lämpliga tekniska och organisatoriska åtgärder vidtas på ett sådant sätt att kraven i Gällande lag/förordning följs och att den Registrerades rättigheter skyddas. Personuppgiftsbiträdet får inte behandla Personuppgifter för egna eller några andra ändamål än dem som Personuppgiftsbiträdet anlitats för av Personuppgiftsansvarige.
    Personuppgiftsbiträdet ska vid Behandlingen, med beaktande av den senaste utvecklingen, genomförandekostnaderna och Behandlingens art, omfattning, sammanhang och ändamål, samt riskerna med Behandlingen, vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig, enligt vad som stadgas i Gällande lag/förordning. Personuppgiftsansvarige har rätt att vid behov och med skäligt varsel, komplettera denna punkt med särskilda instruktioner.
    Personuppgifterna ska skyddas mot förstöring, ändringar, otillåten spridning och obehörig tillgång. Personuppgifterna ska även skyddas mot varje annat slag av otillåten Behandling.
    Personuppgiftsbiträdet ska vidta åtgärder för att samtliga personer som arbetar under dennes ledning följer vad som framgår av detta PUB-avtal och vid var tid gällande instruktioner från Personuppgiftsansvarige, samt att de hålls informerade om innehållet i Gällande lag/förordning. Personuppgiftsbiträdet ska begränsa åtkomsten till Personuppgifterna till sådana personer som arbetar under dennes ledning och som behöver Personuppgifterna för att utföra sina arbetsuppgifter för fullgörande av ingångna avtal mellan Personuppgiftsbiträdet och Personuppgiftsansvarige. Personuppgiftsbiträdet ska se till att de personer som har åtkomst till Personuppgifterna omfattas av sekretess enligt vad som framgår av punkt 9 samt att de är informerade om hur de får behandla Personuppgifterna.
    Personuppgiftsbiträdet ska ha ett behörighetskontrollsystem som förhindrar obehörig Behandling av Personuppgifter eller obehörig åtkomst till Personuppgifter.
    Personuppgiftsbiträdet ska tillhandahålla och vidta tekniska och praktiska lösningar för att utreda misstankar om att någon obehörigen behandlat eller haft obehörig åtkomst till Personuppgifterna.
    Vid obehörig Behandling, obehörig åtkomst, förstörelse eller ändring av Personuppgifter, samt försök till dessa, eller vid misstanke om annan omständighet i samband med Behandlingen som kan tänkas vara av betydelse för Personuppgiftsansvarige ska Personuppgiftsbiträdet omedelbart skriftligen underrätta Personuppgiftsansvarige om händelsen och vidta åtgärder för att det inte ska inträffa liknande incidenter igen.
    Vid en Personuppgiftsincident ska Personuppgiftsbiträdet lämna följande information till Personuppgiftsansvarige:

    • En beskrivning av händelsen,
    • vilka kategorier av och antalet Personuppgifter som berörts,
    • vilka kategorier av och antalet personer som berörts,
    • beskrivning av troliga effekter av incidenten,
    • beskrivning av de åtgärder som vidtagits för att hantera incidenten, samt
    • en beskrivning av de åtgärder som vidtagits för att mildra möjliga negativa effekter av incidenten.

    Informationen ska lämnas utan onödigt dröjsmål. Personuppgiftsbiträdet ska också i övrigt och på lämpligt sätt bistå Personuppgiftsansvarige så att Personuppgiftsansvarige har möjlighet att uppfylla de krav enligt Gällande lag/förordning som ställs på en Personuppgiftsansvarig vid Personuppgiftsincidenter.
    Personuppgiftsansvarige får lämna ytterligare instruktioner om säkerhetsåtgärder. I sådant fall ska Personuppgiftsbiträdet följa instruktionerna. Personuppgiftsansvarige har rätt att med skäligt varsel kontrollera att de tekniska och organisatoriska säkerhetsåtgärderna verkligen vidtas under PUB-avtalets fullgörande.
    Om Personuppgiftsbiträdet saknar instruktioner från Personuppgiftsansvarige som Personuppgiftsbiträdet bedömer är nödvändiga för att utföra Behandling av Personuppgifter, eller anser att Personuppgiftsansvariges instruktioner helt eller delvis står i konflikt med de författningar, föreskrifter och rekommendationer som Personuppgiftsbiträdet ska följa enligt PUB-avtalet, ska Personuppgiftsbiträdet utan dröjsmål meddela Personuppgiftsansvarige om sin inställning och invänta de instruktioner som Personuppgiftsansvarige bedömer erforderliga.
    Personuppgiftsbiträdet ska på begäran bistå Personuppgiftsansvarige vid konsekvensanalyser enligt Gällande lag/förordning och inför eventuella konsultationer med Tillsynsmyndighet.
    Personuppgiftsbiträdet ska skriftligt dokumentera de åtgärder som vidtagits för att uppfylla sina skyldigheter enligt denna punkt och ska, på begäran utan dröjsmål tillhandahålla Personuppgiftsansvarige kopior på denna dokumentation.
    Personuppgiftsbiträdet får inte överföra Personuppgifter till Tredje land, eller tillgängliggöra Personuppgifter till Tredje land, såvida det inte är tillåtet enligt vad som framgår av punkt 7.
    Personuppgiftsbiträdet får inte överföra Personuppgifter till Tredje part, eller tillgängliggöra Personuppgifter till Tredje part, såvida det inte är tillåtet enligt vad som framgår av punkterna 5 och 6 nedan.
    Personuppgiftsbiträdet får inte överföra några av dess rättigheter eller skyldigheter enligt detta PUB-avtal till Tredje part såvida det inte är tillåtet enligt punkt 5.
    Personuppgiftsbiträdet ska upprätthålla en skriftlig dokumentation rörande alla Behandlingar av Personuppgifter på det sätt som anges i GDPR.
    Personuppgiftsbiträdet ska rätta, blockera, utplåna, ändra eller gallra Personuppgifter enligt Personuppgiftsansvariges instruktioner. Om Personuppgiftsansvarige t.ex. har meddelat att Personuppgift ska raderas ska sådan radering ske senast 30 dagar därefter om inte Personuppgiftsansvarige meddelar annat.
    Personuppgiftsbiträdet ska skyndsamt och efter begäran från Personuppgiftsansvarige, bistå Personuppgiftsansvarige med att fullgöra Personuppgiftsansvariges skyldigheter enligt Gällande lag/förordning i förhållande till Registrerade, såsom att lämna information om vilka Personuppgifter som Personuppgiftsbiträdet behandlar i fråga om Registrerade eller att elektroniskt överföra Registrerades Personuppgifter till Personuppgiftsansvarige eller till annan Personuppgiftsansvarig som Personuppgiftsansvarige anvisar.
    Om Personuppgiftsbiträdet anser att Personuppgiftsansvariges instruktioner står i strid med Gällande lag/förordning, ska Personuppgiftsbiträdet skyndsamt underrätta Personuppgiftsansvarige om detta. Personuppgiftsbiträdet har dock inte rätt att avbryta uppdraget av detta skäl.
    Personuppgiftsansvarige har rätt att, vid begäran, ta del av all relevant information och dokumentation rörande de åtgärder som Personuppgiftsbiträdet vidtagit för att uppfylla de krav som åläggs Personuppgiftsbiträdet enligt Gällande lag/förordning.

  5. 5. Underbiträden

    Personuppgiftsbiträdet får i sin tur anlita ett Personuppgiftsbiträde (”Underbiträde”) om följande förutsättningar är uppfyllda:

    • Personuppgiftsbiträdet informerar Personuppgiftsansvarige om att Personuppgiftsbiträdet har för avsikt att anlita ett Underbiträde, och Personuppgiftsansvarige har getts möjlighet att invända emot anlitandet av Underbiträde, samt att
    • Personuppgiftsbiträdet har ingått ett skriftligt avtal med godkänt Underbiträde avseende Behandling av Personuppgifter i vilket Underbiträdet åläggs samma skyldigheter som åvilar Personuppgiftsbiträdet enligt detta PUB-avtal.
    • Underbiträdet har erforderlig kompetens som anges i GDPR.

    Personuppgiftsbiträdet ska säkerställa att Personuppgiftsansvarige vid var tid har kännedom om vilka Underbiträden som behandlar Personuppgifter.
    Personuppgiftsbiträdet får inte anlita Underbiträde om det innebär att Personuppgifter kommer att överföras till Tredje land om inte bestämmelserna i punkt 7 är uppfyllda.
    Underbiträden som används och med vilka Ungapped ingått PUB-avtal med:

    • Cleura AB (SE 556630780601), datacenter Sverige
    • Infobip Limited (GB 003212059), datacenter Tyskland
  6. 6. Begränsningar i rätten att lämna ut information

    Om Registrerade, Tillsynsmyndighet, annan tillsynsmyndighet eller annan Tredje man begär information från Personuppgiftsbiträdet som rör Behandling av Personuppgifter, ska Personuppgiftsbiträdet hänvisa till Personuppgiftsansvarige.
    Personuppgiftsbiträdet får inte lämna ut Personuppgifter eller annan information om Behandlingen av Personuppgifter utan skriftligt föregående medgivande från Personuppgiftsansvarige. Personuppgiftsbiträdet ska bistå Personuppgiftsansvarige för det fall en Registrerad begär att få ta del av information som finns registrerad om denne i form av Personuppgifter eller begär rättelse av sådan information.
    Personuppgiftsbiträdet ska utan dröjsmål skriftligen underrätta Personuppgiftsansvarige om eventuella kontakter från Tillsynsmyndighet eller annan tillsynsmyndighet som rör eller kan vara av betydelse för Behandling av Personuppgifter. Personuppgiftsbiträdet har inte rätt att företräda Personuppgiftsansvarige eller agera för Personuppgiftsansvariges räkning gentemot Tillsynsmyndighet eller annan tillsynsmyndighet som rör eller kan vara av betydelse för Behandling av Personuppgifter. För det fall Personuppgiftsbiträdet genom lag eller myndighetsföreläggande är nödgad att lämna ut Personuppgifter, ska Personuppgiftsansvarige snarast informeras om vilka uppgifter som kan komma att lämnas ut.

  7. 7. Begränsningar i rätten att överföra personuppgifter till Tredje land

    Personuppgiftsbiträdet äger inte rätt att överföra Personuppgifter till Tredje land, såvida inte Personuppgiftsansvarige skriftligen i förhand har en godkänt sådan överföring eller någon av följande förutsättningar är uppfyllda:

    • EU-Kommissionen har fastställt att det finns en adekvat skyddsnivå i Tredjelandet eller hos den internationella organisationen i fråga som mottar Personuppgifterna för Behandling i Tredjelandet, eller
    • Biträde/Underbiträde som mottar Personuppgifterna lägger på plats tillräckligt skydd för uppgifterna (lämpliga skyddsåtgärder). Exempel på sådana lämpliga skyddsåtgärder är a) standardiserade dataskyddsbestämmelser som antagits av EU-kommissionen, så kallade standardavtalsklausuler, b) ett rättsligt bindande och verkställbart instrument mellan offentliga myndigheter och organ, till exempel så kallade samförståndsavtal, c) bindande företagsbestämmelser som godkänts av tillsynsmyndigheten samt d) godkänd uppförandekod/certifiering.

    I det fall överföring av Personuppgifter till Tredje land sker ska Personuppgiftsbiträdet vid var tid kunna uppvisa dokumentation som styrker att bestämmelserna i denna punkt 7 är uppfyllda.

  8. 8. Uppföljning

    Personuppgiftsansvarige har rätt att följa upp att Personuppgiftsbiträdet lever upp till Personuppgiftsansvariges krav på Behandlingen. Personuppgiftsbiträdet ska vid sådan uppföljning bistå Personuppgiftsansvarige eller den som utför granskningen med dokumentation, tillgång till lokaler, IT-system och andra tillgångar som behövs för att kunna följa upp Personuppgiftsbiträdets efterlevnad av detta PUB-avtal. Personuppgiftsbiträdet ska även tillförsäkra Personuppgiftsansvarige motsvarande rättigheter i förhållande till anlitade Underbiträden. Personuppgiftsbiträdet äger rätt att erbjuda alternativa tillvägagångssätt för uppföljning, exempelvis granskning genomförd av oberoende Tredje part. Personuppgiftsansvarige ska i sådant fall äga rätt, men inte vara skyldig att, tillämpa detta alternativa tillvägagångssätt för uppföljning.
    Personuppgiftsbiträdet ska också bereda möjlighet för Tillsynsmyndighet, eller annan myndighet som rör eller kan vara av betydelse för Behandling av Personuppgifter, att göra tillsyn på plats.

  9. 9. Sekretess

    Personuppgiftsbiträdet och de personer som arbetar under dennes ledning ska vid Behandling av Personuppgifter iaktta sekretess. Det innebär att Personuppgifter inte obehörigen får röjas för tredje man. Personuppgiftsbiträdet åtar sig att se till att den eller de personer som arbetar under Personuppgiftsbiträdets ledning och som kommer att behandla Personuppgifter iakttar och följer Personuppgiftsbiträdets sekretesskyldighet enligt denna punkt 9.
    Personuppgifter, information, instruktioner, systemlösningar, beskrivningar eller andra handlingar som Personuppgiftsbiträdet erhåller genom informationsutbyte enligt detta PUB-avtal eller annat avtal parterna emellan får inte utnyttjas eller röjas för annat ändamål än som framgår av detta PUB-avtal eller annat avtal parterna emellan, vare sig direkt eller indirekt, om inte Personuppgiftsansvarige på förhand skriftligen medgivit detta. Sekretesskyldigheten gäller inte information som part kan visa var allmänt känd eller som kommit till parts kännedom från tredje man utan brott mot detta PUB-avtal.
    Personuppgiftsbiträdet får lämna ut Personuppgifter utan att det innebär ett handlande i strid med detta PUB-avtal om Personuppgiftsbiträdet genom lag eller myndighetsföreläggande har en skyldighet att lämna ut Personuppgifter. I sådant fall åligger det Personuppgiftsbiträdet att omgående skriftligen meddela Personuppgiftsansvarige om detta och begära att de efterfrågade Personuppgifterna omfattas av sekretess vid utlämnandet.
    Sekretessplikten gäller även efter detta PUB-avtal upphört.

  10. 10. Ersättning

    Personuppgiftsbiträdet har, vid sidan av den ersättning som framgår av Avtalet, inte rätt till ytterligare ersättning för Behandling av Personuppgifter under detta PUB-avtal.

  11. 11. Skadestånd och ansvar gentemot tredje man

    Personuppgiftsbiträdet åtar sig att hålla Personuppgiftsansvarige skadeslöst i det fall Personuppgiftsansvarige är skyldigt att utge skadestånd till Registrerade enligt Gällande lag/förordning om den Behandling av Personuppgifter som ligger till grund för skadeståndsersättningen har utförts av Personuppgiftsbiträdet i strid med gällande rätt och med detta PUB-avtal.
    Personuppgiftsbiträdet åtar sig att även i övrigt hålla Personuppgiftsansvarige skadeslöst för det fall Personuppgiftsansvarige drabbas av direkt skada till följd av Personuppgiftsbiträdets behandling av Personuppgifter och denna behandling har skett i strid med detta PUB-avtal/skriftlig instruktion från den Personuppgiftsansvarige. Det innebär att administrativa sanktionsavgifter som åläggs Personuppgiftsansvarige till följd av att Personuppgiftsbiträdet behandlat Personuppgifter i strid med detta PUB-avtal och gällande rätt anses utgöra direkt skada hos Personuppgiftsansvarige.
    Personuppgiftsbiträdet ansvarar såsom för egen räkning och fullt ut gentemot Personuppgiftsansvarige för varje Underbiträdes Behandling av Personuppgifter till följd av detta PUB-avtal.

  12. 12. Avtalstid, förhållande till övriga avtal och ändringar

    Detta PUB-avtal gäller mellan parterna så länge Personuppgiftsbiträdet behandlar Personuppgifter för vilka Personuppgiftsansvarige är Personuppgiftsansvarig och så länge Avtalet är i kraft. Vid PUB-avtalets upphörande ska Personuppgiftsbiträdet tillse att samtliga Personuppgifter överlämnas till Personuppgiftsansvarige i sådant vedertaget format som Personuppgiftsansvarige definierar.
    Personuppgiftsbiträdet åtar sig att radera samtliga Personuppgifter som behandlats enligt detta PUB-avtal inom 180 dagar från PUB-avtalets upphörande. Radering ska emellertid inte ske förrän Personuppgiftsbiträdet skriftligen har informerat Personuppgiftsansvarige om att radering kommer att ske och har överlämnat Personuppgifter enligt Personuppgiftsansvariges anvisningar. När radering skett ska Personuppgiftsbiträdet till Personuppgiftsansvarige skriftligen intyga att så skett.
    Om Avtalet upphör och nytt sådant avtal träffas utan att ett nytt personuppgiftsbiträdesavtal träffas, gäller detta PUB-avtal även för det nya avtalet. Om inget nytt avtal träffas, upphör detta PUB-avtal samtidigt med Avtalet med undantag för de bestämmelser som reglerar ansvar samt eventuella kvarstående rättigheter och skyldigheter efter PUB-avtalets upphörande.
    Ändringar och tillägg till detta PUB-avtal ska, för att vara giltiga, göras skriftligen och undertecknas av båda parter. Sådana ändringar och tillägg till PUB-avtalet träder i kraft 30 dagar efter båda parters undertecknande om inget annat är överenskommet. Denna punkt 12 förhindrar inte att Personuppgiftsansvarige kan ändra eller utfärda ytterligare instruktioner i enlighet med vad som framgår av detta PUB-avtal.

  13. 13. Lagval och tvistlösning

    För detta PUB-avtal gäller svensk rätt. Tvist i anledning av detta PUB-avtal ska slutligt avgöras i enlighet med vad som anges i Avtalet.

Ta din marknadsföring till nästa nivå