PERSONUPPGIFTSBITRÄDESAVTAL

Detta personuppgiftsbiträdesavtal (”PUB-avtalet”) gäller som en integrerad del i de allmänna tjänstevillkor(”Villkoren”) som överenskommits om mellan Output Bypropel AB, 559201-1943, (”Propel”), och sådan kund som beställt Propels tjänster (”Kunden”). Propel och Kunden benämns även nedan gemensamt som ”Parterna” och var för sig som ”Part”.

1. SYFTE

Parterna ingår detta PUB-avtal för att reglera förutsättningarna för Propels Behandling av – och tillgång till – Personuppgifter tillhöriga Kunden, enligt definitioner nedan. PUB-avtalet gäller för samtlig personuppgiftsbehandling som utförs av Propel för Kundens räkning och gäller så länge sådan behandling pågår (dvs. oavsett om Kundens abonnemang upphört att gälla).

2. Definitioner

Om inte omständigheterna tydligt utvisar annat ska definition eller begrepp som används i detta PUB-avtal ha nedan angiven betydelse och sådan definition eller begrepp som används i Dataskyddförordningen och som inte har angivits nedan, ska ha motsvarande definition som följer av artikel 4 i Dataskyddsförordningen.

”Annat Regelverk” avser Nationella lagar som från tid till annan är tillämpliga på Behandling av Personuppgifter (exkluderande Dataskyddsförordningen).

”Behandling” avser en åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

”Dataskyddsförordningen” avser Europaparlamentets och Rådets Förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

”Instruktionen” avser de instruktioner som Kunden inom ramen för detta PUB-avtal ger Propel.

”Personuppgifter” avser varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

”Personuppgiftsansvarig” avser en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för Behandlingen av Personuppgifter; om ändamålen och medlen för Behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.

”Personuppgiftsbiträde” avser en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som Behandlar Personuppgifter för den Personuppgiftsansvariges räkning.

”Personuppgiftsincident” avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt Behandlats.

”Registrerad” avser den fysiska person i livet vars Personuppgifter Behandlas.

3. Dokument

3.1
PUB-avtalet består av detta dokument och den skriftliga instruktionen bilagd som Bilaga A.

3.2
För det fall det finns motsägelser mellan PUB-avtalet och Instruktionen ska PUB-avtalet äga företräde, om inte annat är särskilt stadgat eller omständigheterna tydligt föranleder annat.

4. Allmänt om Personuppgiftsbehandlingen

4.1
Kunden är Personuppgiftsansvarig för de Personuppgifter som Propel behandlar för kundens räkning.

4.2
Propel är att betrakta som Personuppgiftsbiträde åt Kunden.

4.3
Propel har gett tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på sådant sätt att Behandlingen av Personuppgifter uppfyller kraven i Dataskyddsförordningen och Annat Regelverk samt för att säkerställa att den Registrerades rättigheter skyddas.

4.4
Propel ska, med beaktande av Behandlingens art, assistera Kunden genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Kunden kan fullgöra sin skyldighet att svara på begäran om utövande av den Registrerades rättigheter i enlighet med kapitel III i Dataskyddsförordningen.

4.5
Om Propel anser att Instruktionen eller annan instruktion eller meddelande från Kunden står i strid med Dataskyddsförordningen eller Annat Regelverk äger Propel rätt att meddela Kunden detta och avvakta med Behandlingen ifråga.

5. Ändamål och typ av Personuppgifter m.m.

I Instruktionen ska bl.a. framgå föremålet för Behandlingen, Behandlingens varaktighet, art och ändamål, typen av Personuppgifter och kategorier av Registrerade.

6. Propels personal m.m.

6.1
Propel, dess anställda och andra personer som utför arbete under Propels överinseende, och som får del av Personuppgifter tillhöriga Kunden, får endast Behandla dessa på instruktion från Kunden, såvida denne inte är skyldig att göra det enligt unionsrätten eller svensk nationell rätt.

6.2
Propel ska tillse att dess anställda och samtliga övriga personer som Propel ansvarar för och som har behörighet att Behandla Personuppgifter som omfattas av detta PUB-avtal åtagit sig att iaktta sekretess (såvida inte sådan person omfattas av lämplig lagstadgad tystnadsplikt).

7. Säkerhet

7.1
Propel ska vidta alla åtgärder avseende säkerhet som krävs enligt artikel 32 i Dataskyddsförordningen.

7.2
Med beaktande av typen av Behandling och den information som Propel har ska Propel bistå Kunden med att se till att skyldigheterna kring säkerhet, på sätt som följer av artikel 32 i Dataskyddsförordningen, kan fullgöras.

7.3
Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som Behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt Behandlats.

8. Personuppgiftsincident

Propel ska, med beaktande av typen av Behandling och den information som Propel har att tillgå, bistå Kunden med att tillse att skyldigheterna i samband med eventuell Personuppgiftsincident kan fullgöras på sätt som följer av artikel 33-34, i Dataskyddsförordningen.

9. Konsekvensbedömning och förhandssamråd

Propel ska, med beaktande av Behandlingens art och den information som är tillgänglig för Propel, bistå Kunden med att uppfylla dennes eventuella skyldigheter för utövandet av konsekvensbedömning och/eller förhandssamråd med tillsynsmyndighet enligt artikel 35 och 36 Dataskyddsförordningen.

10. Instruktionen

10.1
Propel får endast Behandla Personuppgifterna som omfattas av detta PUB-avtal på de dokumenterade Instruktionerna (inbegripet när det gäller överföringar av Personuppgifter till ett tredjeland eller en internationell organisation, såvida inte denna Behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Propel omfattas av, och i så fall ska Propel informera Kunden om det rättsliga kravet innan uppgifterna Behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt relevant nationell rätt).

11. Underbiträde

11.1
Kunden lämnar till Propel ett generellt förhandsgodkännande att anlita underbiträden för Behandlingen av Personuppgifter i enlighet med PUB-avtalet.

11.2
Propel ska informera Kunden om nya underbiträden alternativt om ett existerande underbiträde byts ut mot annat.

11.3
För det fall Propel anlitar ett underbiträde ska Propel tillse att sådant underbiträde ingår ett personuppgiftsbiträdesavtal innan det att underbiträdet påbörjar arbete som har anknytning till Kunden. Ett sådant personuppgiftsbiträdesavtal ska innehålla de åtaganden och skyldigheter som följer av PUB-avtalet. Underbiträdet ska i sådant personuppgiftsbiträdesavtal ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att Behandlingen uppfyller kraven i Dataskyddsförordningen.

11.4
Om underbiträdet inte fullgör sina skyldigheter ska Propel vara ansvarig gentemot Kunden för utförandet av underbiträdets skyldigheter.

12. Överföring till tredje land

Propel får inte utan Kundens godkännande Behandla Personuppgifter tillhöriga Kunden utanför EU/EES. För det fall Kunden godkänner Behandling utanför EU/EES ska Propel säkerställa att Behandlingen uppfyller de krav som följer av Dataskyddsförordningen, t.ex. genom att teckna avtal med de av EU-kommissionen godkända standardklausulerna för personuppgiftshantering eller genom att säkerställa att Personuppgifterna anonymiseras eller krypteras innan Behandlingen sker. Propel ska inte heller utan Kundens godkännande anlita underbiträden som har hemvist utanför EU/EES för Behandling av Personuppgifter tillhöriga Kunden även om själva Behandlingen sker inom EU/EES. Att ett underbiträde helt eller delvis ägs av en juridisk person med hemvist utanför EU/EES ska inte enligt denna bestämmelse innebära att underbiträdet i sig ska anses ha sin hemvist utanför EU/EES.

13. Rätt till insyn

Propel ska ge Kunden tillgång till all information som krävs för att visa att de skyldigheter som följer av artikel 28 i Dataskyddsförordningen har fullgjorts och för att möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Kunden eller av en annan revisor som bemyndigats av Kunden. Propel ska alltid ha rätt till skäligt varsel för det fall Kunden vill utnyttja sin rätt att genomföra en granskning eller inspektion och Kunden ska ersätta Propel för dennes kostnader i samband med sådan granskning eller inspektion.

14. Krav från Registrerad

Propel berättigas att anonymisera eller pseudonymisera Personuppgifter som Behandlas av Propel för Kundens räkning direkt på begäran av aktuell Registrerad utan att först inhämta Kundens godkännande.

15. Register över behandlingen

Oavsett om Propel enligt Dataskyddsförordningen är skyldig att föra ett register eller inte, ska Propel enligt detta Avtal föra ett elektroniskt register över alla kategorier av Behandling som utförts för Kundens räkning. Registret ska, om inte register ska föras enligt Dataskyddsförordningen, åtminstone innehålla följande information:

  1. Namn och kontaktuppgifter för Propel och Kunden och i tillämpliga fall, för dataskyddsombudet hos Propel och Kunden.
  2. Ändamålen med Behandlingen.
  3. En beskrivning av kategorierna av Registrerade och av kategorierna av Personuppgifter.
  4. De kategorier av Behandlingar som utförs eller har utförts för Kundens räkning.
  5. De kategorier av mottagare till vilka Personuppgifterna har lämnats eller ska lämnas ut, inbegripet mottagare i tredjeländer eller i internationella organisationer.
  6. De förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter.
  7. Eventuella överföringar av Personuppgifter till ett tredjeland eller en internationell organisation, samt identifiering av tredjelandet eller den internationella organisationen samt dokumentationen av lämpliga skyddsåtgärder.
  8. En allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som Propel vidtagit enligt punkt 7 i detta PUB-avtal.

16. Ersättning

Propel ska inte erhålla någon ersättning för åtgärder eller liknande som denne vidtar avseende Behandling av Personuppgifter i enlighet med Villkoren eller som en följd av Villkoren i övrigt.

17. Ansvar

17.1
Ansvarsbegränsningen i Villkoren gäller också för detta PUB-avtal. Propel är dock medvetet om att ansvarsbegränsningen inte gäller för det fall:

  1. tillsynsmyndighet eller domstol utdömer administrativ avgift gentemot Propel,
  2. Kunden har regressrätt gentemot Propel efter att tillsynsmyndighet eller domstol utdömt Kunden att erlägga administrativ avgift som rätteligen (eller genom solidariskt ansvar) skulle ålagts Propel på grund av Propels uppsåtliga eller grovt oaktsamma brott mot detta PUB-avtal, eller
  3. vid skadeståndstalan gentemot Propel direkt från Registrerad.

18. Avtalets upphörande

18.1
När Propel upphör med Behandling av Personuppgifter för Kundens räkning ska Propel återlämna alla Personuppgifter till Kunden alternativt, om Kunden meddelar så skriftligen, förstöra och radera alla Personuppgifter som har anknytning med PUB-avtal.

18.2
Efter att Avtalet upphör äger Propel inte rätt att spara några Personuppgifter tillhöriga Kunden och så snart Propel uppfyllt vad som följer av punkt 18.1 ovan upphör Propels rätt att Behandla eller på annat sätt använda Personuppgifter tillhöriga Kunden (såvida inte lagring av Personuppgifterna krävs enligt nationell lagstiftning eller unionsrätten eller Propel har laglig grund att behandla relevanta Personuppgifter).

19. Överlåtelse av avtalet

Part har inte rätt att helt eller delvis överlåta sina rättigheter och/eller skyldigheter enligt PUB-avtalet utan den andra Partens skriftliga i förväg lämnade godkännande.

20. Tillämplig lag och tvister

20.1
Svensk lag ska tillämpas på detta PUB-avtal.

20.2
Tvister som uppstår i anledning av PUB-avtalet ska slutligt avgöras genom sådant tvisteförfarande som anges i Villkoren.





Bilaga A: INSTRUKTION

Definitioner som används i denna Instruktion skall ha samma betydelse som i det personuppgiftsbiträdesavtal som träffats mellan Output Bypropel AB, 559201-1943, (”Propel”), och sådan kund som beställt en tjänst av Propel (”Kunden”), om inte omständigheterna tydligt anger annat.

1. Kontaktuppgifter


1.1 Kunden (Personuppgiftsansvarig)

Som kontaktuppgift till Kunden används de uppgifter som meddelats vid Kundens beställning av Propels tjänster om inte annat särskilt anvisas av Kunden.

1.2 Propel (Personuppgiftsbiträde)

Output Bypropel AB, org.nr 559201-1943
Adress: Kungsgatan 57, 411 15 Göteborg
Telefonnummer: 0737 12 82 54
E-postadress: coach@panelista.com
Dataskyddsombud: Jan Bačík

2. Behandling av personuppgifter


2.1 Kategorier av Personuppgifter

Propel ska inom ramen för sitt uppdrag för Kunden behandla Personuppgifter såsom namn, e-postadress, mobilnummer, användar-id och användarbild.

2.2 Särskilda kategorier av Personuppgifter

Propel ska som regel inte behandla särskilda kategorier av Personuppgifter.

2.3 Kategorier av Behandlingar

Följande kategorier av Behandling sker:
Insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

2.4 Kategorier av registrerade

Propel behandlar Personuppgifter tillhörande de administratörer av Kundens konto i tjänsten Panelista som Kunden anlitat, Personuppgifter tillhörande de användare som deltar i Kundens paneler i tjänsten Panelista och Personuppgifter tillhörande de personer som lämnar sina kontaktuppgifter till Kunden via externa digitala kontaktformulär som tillhandahålls av Propel som en del av tjänsten Panelista.

2.5 Ändamålet med respektive Behandling

Ändamålet med behandlingen är att Propel ska kunna utföra sitt uppdrag och de leverera den tjänst som Propel och Kunden kommit överens om.

3. Säkerhetsåtgärder


3.1 Tekniska och organisatoriska säkerhetsåtgärder

Propel krypterar, pseudonymiserar och anonymiserar data där det är lämpligt, samt skyddar sin infrastruktur från externa hot med brandväggar och monitorering, allt i enlighet med tillämpliga lagar, rekommendationer och löpande praxis från EU-domstolen.

I förhållande till både användare och anställda tillämpas också principen om minsta privilegium, vilket innebär att de endast ges tillgång till den data de har rätt till eller behöver ha tillgång till för att tjänsten ska fungera och kunna levereras på ett bra sätt.

3.2 Lagringsminimering

Personuppgifter kommer att gallras enligt följande:

De Personuppgifter som är kopplade till användarens konto på Panelista gallras vid instruktion av användaren i form av att de i tjänstens gränssnitt begär gallring eller skriftligen informerar Propel om att de önskar gallring.

De Personuppgifter som är kopplade till Kundens konto på Panelista tas bort 30 dagar efter slut på abonnemangsperiod alternativt vid skriftlig instruktion från Kunden.

Uppdaterades senast: 2021-06-14.