Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL (PUBA)

Detta personuppgiftsbiträdesavtal (”PUBA”) utgör en integrerad del av Avtalet och reglerar förutsättningarna för Seagrid att Behandla Personuppgifter för Kundens räkning. Parterna ingår detta PUBA för att säkerställa att tillräckliga skyddsåtgärder vidtas vad gäller Seagrids Behandling av Personuppgifter. Detta PUBA ersätter alla tidigare personuppgiftsbiträdesavtal mellan Seagrid och Kunden.

DEFINITIONER OCH TOLKNINGAR

De termer som används i detta Biträdesavtal ska ha den betydelse som anges nedan, om inte omständigheterna uppenbart kräver annat. Begrepp som inte definieras i detta Personuppgiftsbiträdesavtal, såsom ”Personuppgifter”, ”Behandling”, ”Den registrerade” och ”Personuppgiftsincident” och ”Tjänster” ska ha den betydelse som anges i Dataskyddslagar eller Avtalet.

GDPR                                                                Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) 

”Dataskyddslagstiftning”               (i) GDPR och ersättande lagar;

(ii) tillämplig svensk lag om dataskydd; och

(iii) förordningar och föreskrifter enligt i) och ii) ovan samt riktlinjer utfärdade av Tillsynsmyndigheten och som är tillämpliga på Parternas verksamhet.

”Tillsynsmyndighet”                            Integritetsskyddsmyndigheten (IMY) och annan behörig tillsynsmyndighet som enligt lag utövar tillsyn över Parternas verksamhet.

”Tredjeland”                                               alla länder utanför Europeiska ekonomiska samarbetsområdet som inte har bedömts säkerställa en adekvat nivå av dataskydd av Europeiska kommissionen i enlighet med artiklarna 44-50 (kapitel V) i GDPR.

1. DOKUMENT OCH TILLÄMPNING
   
   1.1 Detta PUBA består av detta dokument, Instruktioner för behandling av personuppgifter (Underbilaga A) och Lista över godkända underbiträden (Underbilaga B).
   
   1.2 I händelse av en konflikt mellan bestämmelserna i detta PUBA och Avtalet vad gäller frågor som rör Behandling av Personuppgifter, kommer detta PUBA att ha företräde framför Avtalet.
2. BEHANDLING AV PERSONUPPGIFTER
   
   2.1 Seagrid åtar sig att Behandla Personuppgifter i enlighet med Dataskyddslagstiftningen, detta PUBA, Avtalet och Kundens dokumenterade instruktioner från tid till annan. All annan Behandling av Personuppgifter, inklusive Behandling för Seagrids egna ändamål, är otillåten.
   
   2.2 Seagrid ska omedelbart informera Kunden om instruktionerna från Kunden, enligt Seagrids uppfattning, bryter mot Dataskyddslagstiftningen.
3. SÄKERHET
   
   3.1 Seagrid ska vidta lämpliga tekniska och organisatoriska åtgärder i enlighet med Dataskyddslagstiftningen, särskilt artikel 32 i GDPR, och därigenom säkerställer att Registrerades rättigheter skyddas. Sådana åtgärder innebär bland annat att Seagrid skyddar Personuppgifter mot oavsiktlig eller olaglig förstöring, förlust eller ändring samt mot obehörigt röjande och obehörig åtkomst. Med beaktande av den senaste tekniken och kostnaderna för genomförandet ska åtgärderna garantera en lämplig säkerhetsnivå med hänsyn till de risker som är förknippade med den relevanta Behandlingen och arten av de Personuppgifter som ska skyddas. Seagrid ska på begäran informera Kunden om de åtgärder som vidtagits.
   
   3.2 Seagrid bekräftar vidare att det har den sakkunskap, tillförlitlighet och de resurser som krävs för att genomföra tekniska och organisatoriska åtgärder som uppfyller kraven i Dataskyddslagstiftningen, inklusive vad gäller säkerheten i samband med Behandlingen av Personuppgifter, och att dessa åtgärder ska ses över och uppdateras vid behov.
   
   3.3 Seagrid ska säkerställa att alla personer som beviljas tillgång till Personuppgifterna är bundna av tystnadsplikt eller har en lämplig lagstadgad tystnadsplikt.
4. UNDERBITRÄDEN
   
   4.1 Seagrid har rätt att anlita de underbiträden som anges i Underbilaga B.
   
   4.2 Om Seagrid avser att anlita ett nytt eller ersätta ett befintligt underbiträde som kommer att behandla Personuppgifter som omfattas av detta PUBA, ska Seagrid, innan sådant anlitande sker, informera Kunden om detta, så att Kunden kan invända vid rimlig misstanke om att underbiträdet inte kommer att följa Dataskyddslagstiftningen. Sådana invändningar måste göras skriftligen inom tio (10) dagar från det att Kunden har mottagit informationen. Om Kunden inte invänder inom denna tidsram anses Kunden ha godkänt Seagrids anlitande/ersättande av underbiträdet/underbiträdena. Om Seagrid, trots Kundens invändning, avser att anlita ett underbiträde har Kunden rätt att säga upp detta PUBA och dess bilagor.
   
   4.3 Seagrid ska ingå ett personuppgiftsbiträdesavtal med sina underbiträden. I ett sådant personuppgiftsbiträdesavtal ska Seagrid ålägga varje underbiträde samma skyldigheter som anges i detta PUBA, och ge tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i Dataskyddslagstiftningen. Seagrid är ansvarigt för underbiträdets handlingar på samma sätt som för sina egna.
5. ÖVERFÖRING TILL TREDJELAND
   
   5.1 Seagrid och, i förekommande fall, dess underbiträden kommer inte att överföra Personuppgifter till ett Tredjeland om det inte skriftligen godkänts av Kunden. Sådant skriftligt godkännande ska framgå av Underbilaga A till detta PUBA. Om Seagrid, efter sådant godkännande, överför Personuppgifter till ett Tredjeland ska Seagrid säkerställa att:
   
   (i) överföringen styrs av och i enlighet med ett lämpligt ramverk som erkänts av relevanta myndigheter eller domstolar som tillhandahåller en adekvat skyddsnivå för personuppgifter, inklusive bindande företagsbestämmelser för personuppgiftsbiträden; eller
   
   (ii) Överföringen regleras av och i enlighet med de standardavtalsklausuler som bygger på Europeiska kommissionens beslut av den 4 juni 2021 om standardavtalsklausuler för överföring av personuppgifter till personuppgiftsbiträden som är etablerade i tredjeländer, eller eventuella efterföljande versioner av dessa som offentliggörs av Europeiska kommissionen (som ska gälla automatiskt); och alla relevanta kompletterande åtgärder vidtas i enlighet med tillämplig domstolspraxis och riktlinjer från Europeiska dataskyddsstyrelsen.

6. HANTERING AV PERSONUPPGIFTSINCIDENTER
   
   6.1 Seagrid ska, utan onödigt dröjsmål och senast inom 48 timmar från att Personuppgiftsincidenten upptäcktes, skriftligen meddela Kunden efter att ha fått kännedom om en Personuppgiftsincident. Informationen ska innehålla all nödvändig information som krävs för att Kunden ska kunna fullgöra sina skyldigheter avseende rapportering till Tillsynsmyndigheten och/eller den Registrerade, i förekommande fall.
7. SKYLDIGHET ATT BISTÅ KUNDEN
   
   7.1 Seagrid ska, på begäran av Kunden och i den utsträckning som krävs enligt Dataskyddslagstiftningen, bistå Kunden med att säkerställa efterlevnad av Kundens skyldigheter enligt Dataskyddslagstiftningen. Till exempel, (i) skyldigheter avseende de Registrerades rättigheter; och (ii) skyldigheter som fastställs i artiklarna 32-36 i GDPR, såsom att genomföra konsekvensbedömningar och förhandssamråd med Tillsynsmyndigheten.
8. KONTAKT MED REGISTRERADE OCH TILLSYNSMYNDIGHETER
   
   8.1 Seagrid ska utan onödigt dröjsmål informera Kunden om eventuell kontakt med Registrerade om de Registrerades rättigheter, tillsynsmyndigheter eller andra tredje parter avseende Seagrids Behandling av Personuppgifter (inklusive eventuella förfrågningar eller order från sådana parter) och invänta ytterligare instruktioner från Kunden. Seagrid har ingen rätt att företräda eller på annat sätt agera på uppdrag av Kunden i kontakt med Registrerade, tillsynsmyndigheter eller andra tredje parter avseende Behandlingen av Personuppgifter enligt detta Biträdesavtal.
9. RÄTT TILL INSYN
   
   9.1 För att kunna försäkra sig om att Dataskyddslagstiftningen och detta PUBA efterlevs ska Seagrid på begäran av Kunden möjliggöra och bidra i skälig utsträckning till granskningar, inbegripet inspektioner och tillgång till Seagrids lokaler, som genomförs av Kunden eller av annan tredje part på uppdrag av Kunden.
   
   9.2 Om Kunden anlitar tredje part att utföra inspektion av Seagrids Behandling av Personuppgifter för Kundens räkning ska Kunden tillse att sådan tredje part innan eventuell inspektion undertecknar en ändamålsenlig sekretessförbindelse att inte röja uppgift för tredje man.
   
   9.3 Insyn för granskning, informationslämning och dylikt ska äga rum vid det tillfälle som Kunden eller Tillsynsmyndigheten begär vilket i möjligaste mån ska förläggas till tidpunkter på dygnet och i övrigt ske på det sätt som medför minsta möjliga påverkan på Parternas respektive ordinarie verksamheter. Kunden ska ge Seagrid rimlig framförhållning granskningar, såvida inte granskningen avser en pågående Personuppgiftsincident. Granskning av den Seagrid ska ske med iakttagande av de säkerhetsåtgärder som Seagrid uppställer förutsatt att åtgärderna inte förhindrar eller medför betydande svårigheter att genomföra granskningen. Om annat inte följer av särskild separat skriftlig överenskommelse står respektive Part sina egna kostnader vid sådan granskning och för tillhandahållandet av information.
   
10. ANSVAR
    
    10.1 Om en Part bryter mot detta PUBA eller Dataskyddslagstiftningen ska Part ersätta den andra Parten för eventuell skada som orsakats av överträdelsen. Detta gäller dock inte om den skadevållande Parten kan visa att den inte på något sätt är ansvarig för den händelse, handling eller underlåtenhet som orsakat den andra Parten skada, såsom att kravet inte kunde ha undvikits genom skadevållande Partens fullgörande av sina skyldigheter enligt detta PUBA, Dataskyddslagstiftningen eller genom de instruktioner som utfärdats av Kunden.
    
    10.2 Parternas rätt till ersättning för krav från tredje man regleras i sin helhet i artikel 82 i GDPR. Detta inkluderar rätten för den Part som betalat full ersättning för den skada som en tredje part lidit att från den andra Parten, om den är inblandad i samma Behandling, kräva tillbaka den del av ersättningen som motsvarar den Partens del av ansvaret för skadan.
    
    10.3 Denna bestämmelse (Ansvar) ska fortsätta att gälla även efter att detta PUBA har upphört att gälla.
    
11. TILLÄGG OCH ÄNDRINGAR
    
    11.1 Vardera Part har rätt att begära ändringar av innehållet i detta PUBA i den utsträckning som krävs för att kunna uppfylla krav som följer av Dataskyddslagstiftningen. En sådan ändring träder i kraft senast trettio (30) dagar efter det att den begärande parten har lämnat in en begäran om ändring till den andra parten. Om ändringarna, av rimliga integritetsrelaterade skäl, inte accepteras har den begärande Parten rätt att säga upp Avtalet helt eller delvis med omedelbar verkan. Andra tillägg till och ändringar av detta DPA måste, för att vara giltiga, vara skriftliga och undertecknade av båda Parter.
12. GILTIGHETSTID
    
    12.1 Detta PUBA träder i kraft när Avtalet har undertecknats av båda Parter och kommer att gälla så länge Seagrid Behandlar Personuppgifter för Kundens räkning.
    
    12.2 Vid utgången av detta PUBA ska Seagrid inom nittio (90) dagar efter det att Avtalet har sagts upp, i enlighet med Kundens instruktioner, antingen (i) återlämna alla Personuppgifter till Kunden i enlighet med Kundens rimliga instruktioner, eller (ii) permanent radera och förstöra Personuppgifterna (inklusive säkerhetskopior). Vid återlämnande eller radering av Personuppgifter i enlighet med denna klausul ska Seagrid se till att Personuppgifterna inte kan återställas.
    
13. ÖVERLÅTANDE
    
    13.1 Ingen av Parterna får överföra eller på annat sätt överlåta, helt eller delvis, sina rättigheter eller skyldigheter enligt detta PUBA:t till någon tredje part utan föregående skriftligt medgivande från den andra Parten.
14. ERSÄTTNING
    
    14.1 Seagrid har rätt till skälig ersättning för arbete som utförts i enlighet med skyldigheterna i punkterna 7, 9 och 11 i detta PUBA. Detta kommer dock inte att gälla för sådant arbete som är nödvändigt för Seagrid att utföra för att fullgöra sina åtaganden enligt Dataskyddslagstiftningen och i enlighet med Avtalet.
15. TILLÄMPLIG LAG OCH TVISTEREGLERING
    
    15.1 Detta PUBA regleras av svensk materiell rätt oaktat reglerna eller principerna om lagvalsregler. Tvist angående tolkning eller tillämpning av detta DPA ska avgöras i enlighet med Avtalets bestämmelser om tvistlösning.

Underbilaga A – Instruktioner för behandling av personuppgifter

1. Syfte, ändamål och art

1 a. Syftet med och arten av Seagrids Behandling av Personuppgifter för Kunden är att: Leverera och installera Larmsystemen samt tillhandahålla Larmtjänsterna i enlighet med Avtalet. 1 b. Ändamålet med Seagrids behandling av Personuppgifter för Kundens räkning är att: Göra det möjligt för Kunden att använda de produkter och tjänster som tillhandahålls enligt Avtalet, vilka är hantera och övervaka hamn och båt. 1 c. Behandlingens typ och karaktär: – Samla in, organisera, strukturera, anpassa, hämta, kombinera, begränsa och annan behandling av den information som Kunden tillhandahåller Seagrid inom ramen för Avtalet; – Lagring av personuppgifter; – Radering på begäran av Kunden;

2. Behandlingen omfattar följande typer av personuppgifter

Namn, e-post, telefonnummer, IP-adress, medlemsnummer, bryggplats, inspelning av rörlig bild med hjälp av kamerabevakning, stillbild, särskild beteckning för medlemmarnas sensorer.

3. Behandlingen omfattar följande kategorier av registrerade

Medlemmar hos Kunden, anställda hos Kunden, entreprenörer eller konsulter till Kunden

4. Beskriv de tekniska och organisatoriska säkerhetsåtgärder som kommer att gälla för Seagrids Behandling av Personuppgifter

Åtkomstkontroll till system och personuppgifter: Åtkomsten till system och personuppgifter begränsas baserat på principen om minsta privilegium.   Överföra Personuppgifter som överförs utanför Seagrids kontroll skyddas med hjälp av end-to-end-kryptering och/eller överföringar av personuppgifter loggas och integritetskontroller utförs för att förhindra obehöriga ändringar   Bevarande och radering Personuppgifter lagras endast så länge som krävs av Kunden eller tillämplig lag. – Inspelat material från kamerabevakningen raderas efter sju (7) dagar om inte särskilda skäl finns för att behålla materialet eller om annat överenskommits med Kund   Loggning Loggning av larmhändelser samt användaraktivitet. Åtgärder för att förhindra personuppgiftsincidenter: Regelbundna säkerhetsuppdateringar av system, kontinuerliga sårbarhetsbedömningar och/eller interna penetrationstester Misstänkta aktiviteter undersöks snabbt och korrigerande åtgärder vidtas för att minska riskerna.   Åtgärder för hantering av personuppgiftsincidenter: – Incidenthanteringsplanen tar upp personuppgiftsincidenter. – Upptäckta överträdelser begränsas, undersöks och åtgärdas snabbt. – Personuppgiftsansvariga underrättas om relevanta överträdelser utan onödigt dröjsmål, inklusive en sammanfattning av incidenten och åtgärdsstegen. – Granskningar efter incidenter identifierar grundorsaker och möjligheter att förbättra säkerheten.

5. Behandlingens varaktighet

Avtalstid enligt Avtalet och tid för retur och/eller radering enligt Avtalet.

Underbilaga B – Lista över godkända underbiträden

Godkända underbiträden vid ikraftträdandet av detta PUBA. Den aktuella listan över underbiträden publiceras på Seagrids webbplats:

Företag/ organisation	Adress och kontaktuppgifter	Plats för behandling (land)	Typer av personuppgifter som behandlas av underbiträdet	Syftet med behandlingen av underbiträdet	Ytterligare information om Underbiträdets Behandling av Personuppgifter
Pipedrive	Mustamäe tee 3a, 10615 Tallinn, Estland	EU (Irland), USA	Kontaktuppgifter, försäljningsdata	CRM och försäljningsspårning	https://www.pipedrive.com/en/privacy
Hubspot	25 First Street, Cambridge, MA 02141, USA	USA, Tyskland	Kontaktuppgifter, kunddata	Marknadsföring, lead-hantering	https://legal.hubspot.com/privacy-policy
WordPress (Automattic)	60 29th Street #343, San Francisco, CA 94110, USA	USA, globalt	Användardata, kommentarer, metadata	Publicering, hemsidehantering	https://automattic.com/privacy/
Mailchimp	675 Ponce de Leon Ave NE, Atlanta, GA 30308, USA	USA	E-postadresser, IP-adresser, kampanjdata	Utskick av nyhetsbrev, e-postkampanjer	https://mailchimp.com/legal/privacy/
Google	1600 Amphitheatre Parkway, Mountain View, CA 94043, USA	Globalt (med val för EU-datacenter)	Namn, e-post, användardata, loggar	E-post, dokument, analys, molntjänster	https://policies.google.com/privacy
Stripe	354 Oyster Point Blvd, South San Francisco, CA 94080, USA	USA, Irland	Kortuppgifter, kontaktuppgifter, betalhistorik	Betalningshantering	https://stripe.com/privacy
Freshdesk (Freshworks)	2950 S Delaware Street, Suite 201, San Mateo, CA 94403, USA	USA, Tyskland, Indien	Namn, e-post, supportärenden	Kundsupport och ärendehantering	https://www.freshworks.com/privacy/
Google Cloud	1600 Amphitheatre Parkway, Mountain View, CA 94043, USA	Globalt (med val för EU-datacenter)	Lagring av filer, databasinformation, loggar	Molntjänster, datalagring och drift	https://cloud.google.com/privacy
MongoDB	1633 Broadway, 38th Floor, New York, NY 10019, USA	USA, Irland	Databasinformation, användardata	Databashantering och lagring	https://www.mongodb.com/legal/privacy-policy
Westra Security Group AB	Hamnvägen 9, 671 34 Arvika, Sverige	Sverige (egna datacenter och larmcentral)	Namn, kontaktuppgifter, kamerabilder, händelseloggar, användardata	Tillhandahålla övervakning, larmmottagning, larmhantering och molnbaserad lagring av säkerhetsdata	Certifierad larmcentral enligt SSF 136 utg. 5. Data lagras i Sverige. Se: https://westrasecurity.se