Detta DPA ingås mellan den Personuppgiftsansvarige och Personuppgiftsbiträdet och är en del av, samt regleras av, villkoren i Avtalet.
Alla termer med inledande versal som inte definieras i detta DPA ska ha den betydelse som anges i Avtalet.
| ”Närstående bolag” | avser varje enhet som direkt eller indirekt kontrollerar, kontrolleras av, eller står under gemensam kontroll med en part. ”Kontroll” innebär, för denna definitions syfte, direkt eller indirekt ägande eller kontroll av mer än 50 % av en parts rösträtter; |
| ”Avtal” | avser avtalet mellan den Personuppgiftsansvarige och Personuppgiftsbiträdet om tillhandahållande av Tjänsterna; |
| ”CCPA” | avser California Consumer Privacy Act från 2018, inklusive dess föreskrifter och med ändringar från tid till annan; |
| ”Personuppgiftsansvarig” | avser Kunden; |
| ”Dataskyddslagstiftning” | avser alla lagar och förordningar, inklusive lagar och förordningar i Europeiska unionen, Europeiska ekonomiska samarbetsområdet, deras medlemsstater och Storbritannien, samt eventuella ändringar, ersättningar eller förnyelser av dessa, som är tillämpliga på behandling av Personuppgifter, inklusive i förekommande fall Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2020, EU GDPR, UK GDPR, UK Data Protection Act 2018, FADP, CCPA och alla tillämpliga nationella genomförandelagar, förordningar och sekundärlagstiftning avseende behandling av Personuppgifter och integritet i elektronisk kommunikation, i den lydelse som ändras, ersätts eller uppdateras från tid till annan, inklusive Privacy and Electronic Communications Directive (2002/58/EC) och Privacy and Electronic Communications (EC Directive) Regulations 2003 (SI 2003/2426); |
| ”Registrerad” | ska ha samma betydelse som i Dataskyddslagstiftning eller avser en ”Consumer” såsom termen definieras i CCPA; |
| ”DPA” | avser detta personuppgiftsbiträdesavtal tillsammans med Bilagor A, B och C; |
| ”EES” | avser Europeiska ekonomiska samarbetsområdet; |
| ”EU GDPR” | avser Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän dataskyddsförordning); |
| ”FADP” | avser den nya schweiziska federala dataskyddslagen (Federal Act on Data Protection) som trädde i kraft den 1 september 2023, i dess lydelse med ändringar från tid till annan; |
| ”Personuppgifter” | ska ha samma betydelse som i Dataskyddslagstiftning; |
| ”Personuppgiftsbiträde” | avser Bolaget, inklusive i förekommande fall en ”Service Provider” såsom termen definieras i CCPA; |
| ”Begränsad överföring” | avser: (i) när EU GDPR är tillämplig, en överföring av Personuppgifter via Tjänsterna från EES, antingen direkt eller genom vidareöverföring, till ett land eller en mottagare utanför EES som inte omfattas av ett adekvansbeslut från EU-kommissionen; och (ii) när UK GDPR är tillämplig, en överföring av Personuppgifter via Tjänsterna från Storbritannien, antingen direkt eller genom vidareöverföring, till ett land eller en mottagare utanför Storbritannien som inte omfattas av adekvansregler enligt avsnitt 17A i United Kingdom Data Protection Act 2018; och (iii) en överföring av Personuppgifter via Tjänsterna från Schweiz, antingen direkt eller genom vidareöverföring, till ett land eller en mottagare utanför EES och/eller Schweiz som inte omfattas av ett adekvansbeslut från EU-kommissionen; |
| ”Tjänster” | avser alla tjänster och programvaruapplikationer och lösningar som tillhandahålls den Personuppgiftsansvarige av Personuppgiftsbiträdet enligt och såsom beskrivs i Avtalet; |
| ”SCC:er” | avser: (i) när EU GDPR är tillämplig, de standardavtalsklausuler som bifogas EU-kommissionens genomförandebeslut 2021/914 av den 4 juni 2021 om standardavtalsklausuler för överföring av personuppgifter till tredjeländer, publicerat på https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN, (”EU SCC:er”); och (ii) när UK GDPR är tillämplig, standardiserade dataskyddsklausuler antagna enligt artikel 46(2)(c) i UK GDPR, såsom anges i Bilaga C till detta DPA, (”UK SCC:er”); och (iii) när Personuppgifter överförs från Schweiz till utanför Schweiz eller EES, EU SCC:erna i den lydelse som justeras i enlighet med vägledning från den schweiziska dataskyddsmyndigheten; (”schweiziska SCC:er”); |
| ”Underbiträde” | avser varje tredje part (inklusive Personuppgiftsbiträdets Närstående bolag) som direkt eller indirekt anlitas av Personuppgiftsbiträdet för att behandla Personuppgifter enligt detta DPA vid tillhandahållandet av Tjänsterna till den Personuppgiftsansvarige; |
| ”Tillsynsmyndighet” | avser ett statligt eller av staten auktoriserat tillsynsorgan med bindande rättslig behörighet över en part; |
| ”UK GDPR” | avser EU GDPR i den utsträckning den utgör en del av rätten i England och Wales, Skottland och Nordirland i kraft av avsnitt 3 i European Union (Withdrawal) Act 2018. |
2.1. Personuppgiftsbiträdet har åtagit sig att tillhandahålla Tjänsterna till den Personuppgiftsansvarige i enlighet med villkoren i Avtalet. Vid tillhandahållandet av Tjänsterna ska Personuppgiftsbiträdet behandla Kunddata för den Personuppgiftsansvariges räkning. Kunddata kan omfatta Personuppgifter. Personuppgiftsbiträdet kommer att behandla och skydda sådana Personuppgifter i enlighet med villkoren i detta DPA.
3.1. Vid tillhandahållandet av Tjänsterna till den Personuppgiftsansvarige enligt villkoren i Avtalet ska Personuppgiftsbiträdet behandla Personuppgifter endast i den utsträckning som krävs för att tillhandahålla Tjänsterna i enlighet med villkoren i Avtalet, detta DPA och den Personuppgiftsansvariges instruktioner som dokumenterats i Avtalet och detta DPA, i den lydelse som uppdateras från tid till annan.
3.2. Den Personuppgiftsansvarige och Personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje fysisk person som agerar under den Personuppgiftsansvariges eller Personuppgiftsbiträdets ansvar och som har tillgång till Personuppgifter inte behandlar dem annat än enligt den Personuppgiftsansvariges instruktioner, såvida det inte krävs enligt Dataskyddslagstiftning.
4.1. Personuppgiftsbiträdet får samla in, behandla eller använda Personuppgifter endast inom ramen för detta DPA.
4.2. Personuppgiftsbiträdet bekräftar att det ska behandla Personuppgifter för den Personuppgiftsansvariges räkning i enlighet med den Personuppgiftsansvariges dokumenterade instruktioner.
4.3. Personuppgiftsbiträdet ska utan dröjsmål informera den Personuppgiftsansvarige om Personuppgiftsbiträdet anser att någon instruktion från den Personuppgiftsansvarige avseende behandlingen av Personuppgifter strider mot Dataskyddslagstiftning.
4.4. Personuppgiftsbiträdet ska säkerställa att alla anställda, ombud, befattningshavare och uppdragstagare som hanterar Personuppgifter: (i) är medvetna om Personuppgifternas konfidentiella karaktär och är avtalsmässigt bundna att hålla Personuppgifterna konfidentiella; (ii) har fått lämplig utbildning i sina skyldigheter som personuppgiftsbiträde; och (iii) är bundna av villkoren i detta DPA.
4.5. Personuppgiftsbiträdet ska genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda Personuppgifter, med beaktande av den tekniska utvecklingsnivån, genomförandekostnaderna samt behandlingens art, omfattning, sammanhang och ändamål samt risken med varierande sannolikhet och allvar för fysiska personers rättigheter och friheter.
4.6. Personuppgiftsbiträdet ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inklusive bland annat, i förekommande fall: (i) pseudonymisering och kryptering av Personuppgifter; (ii) förmåga att säkerställa fortlöpande konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystem och tjänster; (iii) förmåga att återställa tillgänglighet och åtkomst till Personuppgifter i tid vid en fysisk eller teknisk incident; (iv) en process för att regelbundet testa, bedöma och utvärdera effektiviteten hos tekniska och organisatoriska åtgärder för att säkerställa behandlingens säkerhet. Vid bedömning av lämplig säkerhetsnivå ska särskilt beaktas de risker som behandlingen medför, särskilt risker som följer av oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till Personuppgifter som överförs, lagras eller på annat sätt behandlas.
4.7. De tekniska och organisatoriska åtgärder som anges i Bilaga B ska alltid följas som en miniminivå för säkerhet. Den Personuppgiftsansvarige accepterar och samtycker till att de tekniska och organisatoriska åtgärderna är föremål för utveckling och översyn och att Personuppgiftsbiträdet får använda alternativa lämpliga åtgärder i stället för dem som anges i bilagorna till detta DPA, under förutsättning att dessa åtgärder minst är likvärdiga med de tekniska och organisatoriska åtgärder som anges i Bilaga B och är lämpliga enligt Personuppgiftsbiträdets skyldigheter i punkterna 4.5 och 4.6 ovan.
4.8. Den Personuppgiftsansvarige bekräftar och samtycker till att det, vid tillhandahållandet av Tjänsterna, kan vara nödvändigt för Personuppgiftsbiträdet att få tillgång till Personuppgifterna för att hantera tekniska problem eller frågor från den Personuppgiftsansvarige samt för att säkerställa att Tjänsterna fungerar korrekt. All sådan åtkomst av Personuppgiftsbiträdet ska begränsas till dessa syften.
4.9. Med beaktande av behandlingens art och den information som är tillgänglig för Personuppgiftsbiträdet ska Personuppgiftsbiträdet bistå den Personuppgiftsansvarige genom att ha lämpliga tekniska och organisatoriska åtgärder på plats, i den utsträckning det är möjligt, för att den Personuppgiftsansvarige ska kunna uppfylla sin skyldighet att besvara begäranden om utövande av den Registrerades rättigheter samt för att den Personuppgiftsansvarige ska kunna uppfylla sina dataskyddsskyldigheter avseende behandlingen av Personuppgifter.
4.10. Personuppgiftsbiträdet får inte: (i) sälja Personuppgifter; (ii) behålla, använda eller lämna ut Personuppgifter för kommersiella syften utöver att tillhandahålla Tjänsterna enligt Avtalet; eller (iii) behålla, använda eller lämna ut Personuppgifter utanför Avtalets villkor.
5.1. Den Personuppgiftsansvarige intygar och garanterar att: (i) denne ska följa detta DPA och sina skyldigheter enligt Dataskyddslagstiftning; (ii) denne har inhämtat alla nödvändiga tillstånd och bemyndiganden som krävs för att Personuppgiftsbiträdet, dess Närstående bolag och Underbiträden ska kunna utöva sina rättigheter eller fullgöra sina skyldigheter enligt detta DPA; och (iii) alla Närstående bolag till den Personuppgiftsansvarige som använder Tjänsterna ska uppfylla den Personuppgiftsansvariges skyldigheter enligt detta DPA.
5.2. Den Personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda Personuppgifter, med beaktande av den tekniska utvecklingsnivån, genomförandekostnaderna samt behandlingens art, omfattning, sammanhang och ändamål samt risken med varierande sannolikhet och allvar för fysiska personers rättigheter och friheter. Den Personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inklusive bland annat, i förekommande fall: (i) pseudonymisering och kryptering av Personuppgifter; (ii) förmåga att säkerställa fortlöpande konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystem och tjänster; (iii) förmåga att återställa tillgänglighet och åtkomst till Personuppgifter i tid vid en fysisk eller teknisk incident; (iv) en process för att regelbundet testa, bedöma och utvärdera effektiviteten hos tekniska och organisatoriska åtgärder för att säkerställa behandlingens säkerhet. Vid bedömning av lämplig säkerhetsnivå ska särskilt beaktas de risker som behandlingen medför, särskilt risker som följer av oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till Personuppgifter som överförs, lagras eller på annat sätt behandlas.
5.3. Den Personuppgiftsansvarige bekräftar och samtycker till att vissa instruktioner från den Personuppgiftsansvarige, inklusive att Personuppgiftsbiträdet bistår vid revisioner, inspektioner, DPIA:er eller tillhandahåller annat stöd enligt detta DPA, kan medföra extra avgifter. I sådant fall ska Personuppgiftsbiträdet i förväg informera den Personuppgiftsansvarige om sina avgifter för att tillhandahålla sådan hjälp och ska ha rätt att debitera den Personuppgiftsansvarige för skäliga kostnader och utgifter för sådan hjälp, om inte annat avtalats skriftligen.
6.1. Den Personuppgiftsansvarige bekräftar och samtycker till att Personuppgiftsbiträdet får anlita Underbiträden i samband med tillhandahållandet av Tjänsterna.
6.2. Alla Underbiträden som behandlar Personuppgifter vid tillhandahållandet av Tjänsterna till den Personuppgiftsansvarige ska uppfylla Personuppgiftsbiträdets skyldigheter enligt detta DPA.
6.3. Den Personuppgiftsansvarige bemyndigar Personuppgiftsbiträdet att använda de Underbiträden som ingår i listan över Underbiträden som publiceras på: https://multiply.cloud/en/legal-resources/ för att behandla Personuppgifterna. Under DPA:s giltighetstid ska Personuppgiftsbiträdet ge den Personuppgiftsansvarige 30 dagars förhandsinformation via e-post om ändringar i listan över Underbiträden innan ett nytt eller ersättande Underbiträde godkänns för behandling av Personuppgifter i samband med tillhandahållandet av Tjänsterna.
6.4. Den Personuppgiftsansvarige får invända mot användningen av ett nytt eller ersättande Underbiträde genom att omgående meddela Personuppgiftsbiträdet skriftligen inom femton (15) dagar efter mottagande av Personuppgiftsbiträdets meddelande. Om den Personuppgiftsansvarige invänder mot ett nytt eller ersättande Underbiträde får den Personuppgiftsansvarige säga upp Avtalet avseende de Tjänster som inte kan tillhandahållas av Personuppgiftsbiträdet utan användning av det nya eller ersättande Underbiträdet. Personuppgiftsbiträdet ska återbetala den Personuppgiftsansvarige eventuella förskottsbetalda avgifter som avser återstoden av Avtalets löptid efter uppsägningens ikraftträdandedatum avseende sådana uppsagda Tjänster.
6.5. Alla Underbiträden som behandlar Personuppgifter ska uppfylla Personuppgiftsbiträdets skyldigheter enligt detta DPA. Personuppgiftsbiträdet ska, innan relevant Underbiträde utför några behandlingsaktiviteter avseende Personuppgifterna: (i) anlita varje Underbiträde genom ett skriftligt avtal som i allt väsentligt innehåller samma skyldigheter som Personuppgiftsbiträdets skyldigheter i detta DPA och som kan göras gällande av Personuppgiftsbiträdet; och (ii) säkerställa att varje sådant Underbiträde uppfyller samtliga sådana skyldigheter.
6.6. Den Personuppgiftsansvarige samtycker till att Personuppgiftsbiträdet och dess Underbiträden kan göra Begränsade överföringar av Personuppgifter i syfte att tillhandahålla Tjänsterna till den Personuppgiftsansvarige i enlighet med Avtalet. Personuppgiftsbiträdet bekräftar att sådana Underbiträden: (i) är etablerade i ett tredjeland eller territorium som av EU-kommissionen eller en Tillsynsmyndighet, i förekommande fall, erkänns ha en adekvat skyddsnivå; eller (ii) har ingått tillämpliga SCC:er med Personuppgiftsbiträdet; eller (iii) har andra rättsligt erkända lämpliga skyddsåtgärder på plats.
7.1. Parterna är överens om att när en överföring av Personuppgifter sker mellan den Personuppgiftsansvarige och Personuppgiftsbiträdet eller från Personuppgiftsbiträdet till ett Underbiträde och detta är en Begränsad överföring, ska den omfattas av tillämpliga SCC:er.
7.2. Parterna är överens om att EU SCC:erna ska tillämpas på Begränsade överföringar från EES. EU SCC:erna ska anses ingångna (och införlivas i detta DPA genom hänvisning) och ifyllda enligt följande:
7.3. Parterna är överens om att EU SCC:erna, i den lydelse som ändras i punkt 7.2 ovan, ska justeras enligt nedan när FADP är tillämplig på en Begränsad överföring:
Swiss Federal Data Protection and Information Commissioner (”FDPIC”) ska vara den enda Tillsynsmyndigheten för Begränsade överföringar som uteslutande omfattas av FADP; Begränsade överföringar som omfattas av både FADP och EU GDPR ska hanteras av den EU-tillsynsmyndighet som anges i Bilaga A till detta DPA; Begreppet ”medlemsstat” får inte tolkas på ett sätt som utesluter Registrerade i Schweiz från möjligheten att väcka talan för sina rättigheter i sin stadigvarande hemvist (Schweiz) i enlighet med klausul 18(c) i EU SCC:erna; När Begränsade överföringar uteslutande omfattas av FADP ska alla hänvisningar till GDPR i EU SCC:erna förstås som hänvisningar till FADP; När Begränsade överföringar omfattas av både FADP och EU GDPR ska alla hänvisningar till GDPR i EU SCC:erna förstås som hänvisningar till FADP i den utsträckning de Begränsade överföringarna omfattas av FADP; De schweiziska SCC:erna skyddar även Personuppgifter om juridiska personer fram till dess att den reviderade FADP träder i kraft. 7.4. Parterna är överens om att UK SCC:erna ska tillämpas på Begränsade överföringar från Storbritannien och att UK SCC:erna ska anses ingångna (och införlivas i detta DPA genom hänvisning), såsom anges i Bilaga C till detta DPA.
7.5. Om någon bestämmelse i detta DPA direkt eller indirekt strider mot någon SCC, ska bestämmelserna i tillämpliga SCC:er ha företräde framför villkoren i DPA.
8.1. Den Personuppgiftsansvarige kan kräva rättelse, radering, blockering och/eller tillgängliggörande av Personuppgifterna under eller efter Avtalets upphörande. Den Personuppgiftsansvarige bekräftar och samtycker till att Personuppgiftsbiträdet kommer att hantera begäran i den utsträckning den är laglig och i skälig omfattning uppfylla en sådan begäran i enlighet med sina standardiserade driftsrutiner i den utsträckning det är möjligt.
8.2. Om Personuppgiftsbiträdet tar emot en begäran från en Registrerad avseende Personuppgifter, ska Personuppgiftsbiträdet hänvisa den Registrerade till den Personuppgiftsansvarige, om inte annat förbjuds enligt lag. Den Personuppgiftsansvarige ska ersätta Personuppgiftsbiträdet för alla kostnader som uppstår till följd av att ge skälig hjälp vid hanteringen av en begäran från en Registrerad. Om Personuppgiftsbiträdet enligt lag är skyldigt att svara den Registrerade ska den Personuppgiftsansvarige fullt ut samarbeta med Personuppgiftsbiträdet i tillämpliga delar.
9.1. Personuppgiftsbiträdet ska göra all information som skäligen behövs tillgänglig för den Personuppgiftsansvarige för att visa efterlevnad av sina behandlingsskyldigheter samt möjliggöra och bidra till revisioner och inspektioner.
9.2. Varje revision som genomförs enligt detta DPA ska bestå av granskning av de senaste rapporterna, intygen och/eller utdragen som upprättats av en oberoende revisor bunden av sekretessbestämmelser liknande dem som anges i Avtalet. Om tillhandahållandet av dessa enligt den Personuppgiftsansvariges skäliga bedömning inte anses tillräckligt, får den Personuppgiftsansvarige genomföra en mer omfattande revision som ska vara: (i) på den Personuppgiftsansvariges bekostnad; (ii) begränsad i omfattning till frågor som är specifika för den Personuppgiftsansvarige och avtalas i förväg; (iii) genomföras under Personuppgiftsbiträdets ordinarie kontorstid och efter skäligt varsel som ska vara minst 4 veckor, såvida inte ett identifierbart väsentligt problem har uppstått; och (iv) genomföras på ett sätt som inte stör Personuppgiftsbiträdets dagliga verksamhet.
9.3. Denna klausul ska inte ändra eller begränsa den Personuppgiftsansvariges revisionsrättigheter; den är i stället avsedd att förtydliga förfarandena avseende varje revision som genomförs enligt dessa.
10.1. Personuppgiftsbiträdet ska underrätta den Personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått kännedom om (och i vilket fall som helst inom 72 timmar från upptäckt av) varje säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring eller obehörigt röjande av eller åtkomst till Personuppgifter (”Personuppgiftsincident”).
10.2. Vid en Personuppgiftsincident ska Personuppgiftsbiträdet vidta alla kommersiellt rimliga åtgärder för att säkra Personuppgifterna, begränsa effekterna av Personuppgiftsincidenten och bistå den Personuppgiftsansvarige att uppfylla sina skyldigheter enligt tillämplig lag.
11.1. Personuppgiftsbiträdet ska utan dröjsmål underrätta den Personuppgiftsansvarige om varje begäran eller klagomål avseende behandlingen av Personuppgifter som negativt påverkar den Personuppgiftsansvarige, såvida inte sådan underrättelse inte är tillåten enligt tillämplig lag eller relevant domstolsbeslut.
11.2. Personuppgiftsbiträdet får kopiera och/eller behålla Personuppgifter i enlighet med rättsliga eller regulatoriska krav, inklusive men inte begränsat till krav på arkivering.
11.3. Personuppgiftsbiträdet ska på skäligt sätt bistå den Personuppgiftsansvarige med att uppfylla sin skyldighet att genomföra konsekvensbedömningar avseende dataskydd (DPIA:er), med beaktande av behandlingens art och den information som är tillgänglig för Personuppgiftsbiträdet.
11.4. Den Personuppgiftsansvarige ska inom skälig tid underrätta Personuppgiftsbiträdet om ändringar i tillämpliga dataskyddslagar, koder eller föreskrifter som kan påverka Personuppgiftsbiträdets avtalsenliga skyldigheter. Personuppgiftsbiträdet ska svara inom skälig tid avseende eventuella ändringar som behöver göras i villkoren i detta DPA eller i de tekniska och organisatoriska åtgärderna för att upprätthålla efterlevnad. Om Personuppgiftsbiträdet inte kan genomföra nödvändiga ändringar får den Personuppgiftsansvarige säga upp den eller de delar av Tjänsterna som ger upphov till bristen i efterlevnad. I den utsträckning andra delar av Tjänsterna inte påverkas av sådana ändringar ska tillhandahållandet av dessa Tjänster fortsätta oförändrat.
11.5. Den Personuppgiftsansvarige och Personuppgiftsbiträdet och, i förekommande fall, deras representanter ska på begäran samarbeta med en Tillsynsmyndighet i fullgörandet av sina respektive skyldigheter enligt detta DPA och Dataskyddslagstiftning.
12.1. De ansvarsbegränsningar som anges i Avtalet gäller för alla krav som framställs med anledning av brott mot villkoren i detta DPA.
12.2. Parterna är överens om att Personuppgiftsbiträdet ska ansvara för överträdelser av detta DPA som orsakas av dess Underbiträdens handlingar och underlåtelser eller vårdslöshet i samma utsträckning som Personuppgiftsbiträdet skulle ha varit ansvarigt om det utfört varje Underbiträdes tjänster direkt enligt villkoren i DPA, med förbehåll för eventuella ansvarsbegränsningar i Avtalet.
12.3. Parterna är överens om att den Personuppgiftsansvarige ska ansvara för överträdelser av detta DPA som orsakas av dess Närstående bolags handlingar och underlåtelser eller vårdslöshet som om sådana handlingar, underlåtelser eller vårdslöshet hade begåtts av den Personuppgiftsansvarige själv.
12.4. Den Personuppgiftsansvarige har inte rätt att få ersättning mer än en gång för samma förlust.
13.1. Personuppgiftsbiträdet ska endast behandla Personuppgifter under DPA:s giltighetstid. Detta DPA träder i kraft på Avtalets ikraftträdandedatum och ska automatiskt upphöra samtidigt med att Avtalet sägs upp eller löper ut.
14.1. Personuppgiftsbiträdet ska, efter den Personuppgiftsansvariges val och efter mottagande av en skriftlig begäran som inkommit inom 30 dagar efter att tillhandahållandet av Tjänsterna har upphört, radera eller återlämna Personuppgifter till den Personuppgiftsansvarige. Personuppgiftsbiträdet ska i vilket fall som helst radera alla kopior av Personuppgifter i sina system inom 1 år från den dag då Avtalet upphörde att gälla eller den Personuppgiftsansvariges konto inaktiverades, om inte tillämplig lag eller föreskrifter kräver att Personuppgifterna lagras efter upphörandet.
15.1. Detta DPA utgör parternas fullständiga överenskommelse i fråga om det som regleras här.
15.2. Om en bestämmelse i detta DPA är eller blir ogiltig påverkar det inte de övriga bestämmelsernas rättsliga verkan. En giltig bestämmelse anses ha avtalats som ligger så nära som möjligt det parterna avsett kommersiellt och ska ersätta den ogiltiga bestämmelsen. Detsamma gäller vid eventuella utelämnanden.
15.3. Med förbehåll för eventuella bestämmelser i SCC:erna som säger något annat ska detta DPA regleras av lagen i England och Wales. Domstolarna i England ska ha exklusiv jurisdiktion för att avgöra alla tvister som uppstår enligt detta DPA.
15.4. Parterna är överens om att detta DPA införlivas i och regleras av villkoren i Avtalet.
Förteckning över parter, beskrivning av behandling och överföring av Personuppgifter, behörig tillsynsmyndighet
A. Förteckning över parter
| avser Kunden. | |
| Adress: | Enligt vad som anges för Kunden i Avtalet. |
| Kontaktpersonens namn, befattning och kontaktuppgifter: | Enligt vad som angetts av Kunden i sitt konto och används för meddelanden och fakturering. |
| Enligt vad som angetts av Kunden i sitt konto och används för meddelanden och fakturering. | Användning av Tjänsterna. |
| Underskrift och datum: | Genom att ingå Avtalet anses Exportören ha undertecknat SCC:erna som införlivas i detta DPA, inklusive deras bilagor, per Avtalets ikraftträdandedatum. |
| Roll: | Personuppgiftsansvarig. |
| Representantens namn (i förekommande fall): | Eventuell brittisk eller EU-representant som anges i Exportörens integritetspolicy. |
| avser Multiply Software Limited. | |
| Adress: | 2 Leman Street, London, E1W 9US, United Kingdom |
| Kontaktpersonens namn, befattning och kontaktuppgifter: | Julien Demoor Chief Executive Officer
|
| Aktiviteter som är relevanta för de uppgifter som överförs enligt SCC:erna: | Tillhandahållande av molnbaserade datortjänster till Exportören, enligt vilka Importören behandlar Personuppgifter på Exportörens instruktioner i enlighet med villkoren i Avtalet. |
| Underskrift och datum: | Genom att ingå Avtalet anses Exportören ha undertecknat SCC:erna som införlivas i detta DPA, inklusive deras bilagor, per Avtalets ikraftträdandedatum. |
| Roll: | Personuppgiftsbiträde. |
| Kategorier av Registrerade: | Anställda, ombud, rådgivare, konsulter och frilansare hos den Personuppgiftsansvarige (som är fysiska personer). Användare, Närstående bolag och andra deltagare som av den Personuppgiftsansvarige har bemyndigats att få åtkomst till eller använda Tjänsterna i enlighet med villkoren i Avtalet. |
| Kategorier av Personuppgifter: | Kategorier av Personuppgifter: Den Personuppgiftsansvarige kan tillföra Personuppgifter till Tjänsterna, vars omfattning bestäms och kontrolleras av den Personuppgiftsansvarige. Personuppgifterna omfattar bland annat, men är inte begränsade till:
|
| Känsliga uppgifter: | Inga känsliga uppgifter kommer att behandlas eller överföras och sådana får inte förekomma i innehållet i eller bilagor till e-postmeddelanden. |
| Frekvens för behandling och överföring (t.ex. om uppgifterna överförs som en engångsföreteelse eller kontinuerligt): | Kontinuerligt under hela Avtalets löptid. |
| Behandlingens art: | Behandlingsåtgärder omfattar bland annat:
|
| Ändamål med dataöverföringen och vidare behandling: | Personuppgifter överförs till underleverantörer som behöver behandla vissa Personuppgifter för att kunna tillhandahålla sina tjänster till Personuppgiftsbiträdet som en del av de Tjänster som Personuppgiftsbiträdet tillhandahåller den Personuppgiftsansvarige. |
| Den period under vilken Personuppgifterna kommer att bevaras eller, om det inte är möjligt, kriterierna som används för att fastställa den perioden: | Om inget annat avtalats skriftligen, under Avtalets löptid, med förbehåll för punkt 14 i DPA. |
| För överföringar till (under-)biträden, ange även ämnet, behandlingens art och varaktighet: | Listan över Underbiträden som publiceras på: https://multiply.cloud/en/sub-processor-list/ anger vilka Personuppgifter som behandlas av varje Underbiträde och vilka tjänster som tillhandahålls av varje Underbiträde. |
| Identifiera behörig(a) tillsynsmyndighet(er) (t.ex. i enlighet med klausul 13 i SCC:erna) | När EU GDPR är tillämplig: Irlands dataskyddsmyndighet – Data Protection Commission (DPC). När UK GDPR är tillämplig: UK Information Commissioner’s Office (ICO). När FADP är tillämplig: Swiss Federal Data Protection and Information Commissioner (FDPIC). |
Bilaga B
Tekniska och organisatoriska säkerhetsåtgärder
(Inklusive tekniska och organisatoriska åtgärder för att säkerställa datasäkerhet)
Nedan beskrivs de tekniska och organisatoriska åtgärder som Personuppgiftsbiträdet har implementerat (inklusive relevanta certifieringar) för att säkerställa en lämplig säkerhetsnivå, med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter.
I förekommande fall fungerar denna Bilaga B som Bilaga II till SCC:erna.
| Åtgärd | Beskrivning |
| Åtgärder för pseudonymisering och kryptering av Personuppgifter | För att kontrollera överföringar används krypteringsteknik. Lämpligheten hos en krypteringsteknik bedöms utifrån skyddsändamålet. Den Personuppgiftsansvariges arkiverade data krypteras i vila med AES256-bitars kryptering. Data under överföring skyddas av Transport Layer Security (”TLS”). |
| Åtgärder för att säkerställa fortlöpande konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystem och tjänster | Åtkomst till de uppgifter som behövs för att utföra en viss uppgift säkerställs i systemen och applikationerna genom ett motsvarande roll- och behörighetskoncept. I enlighet med principerna ”least privilege” och ”need-to-know” har varje roll endast de rättigheter som är nödvändiga för att individen ska kunna utföra sin uppgift. För att upprätthålla åtkomstkontroll används modern krypteringsteknik på själva Personuppgifterna när det bedöms lämpligt för att skydda känsliga data utifrån risk. |
| Processer för regelbunden testning, bedömning och utvärdering av effektiviteten i tekniska och organisatoriska åtgärder för att säkerställa behandlingens säkerhet | Personuppgiftsbiträdet genomför flera interna revisioner. Personuppgiftsbiträdet strävar efter att automatisera revisioner, och därför är merparten av vår övervakning av infrastrukturen automatiserad och körs 24/7 och baseras på olika ramverk (CIS, NEST m.fl.). Personuppgiftsbiträdet genomför en extern säkerhets- och compliancegranskning en gång per kalenderår. |
| Åtgärder för användaridentifiering och behörighetsstyrning | Fjärråtkomst till databehandlingssystemen är endast möjlig via Personuppgiftsbiträdets säkra VPN-tunnel. När användare först autentiserar sig i den säkra VPN-tunneln utförs behörighetskontroll efter lyckad autentisering genom att ange ett unikt användarnamn och lösenord i en centraliserad katalogtjänst. Alla åtkomstförsök, både lyckade och misslyckade, loggas och övervakas. |
| Åtgärder för skydd av data under överföring | Data under överföring skyddas av Transport Layer Security (”TLS”). |
| Åtgärder för skydd av data under lagring | Personuppgifter bevaras endast internt och på tredjeparts datacenter-servrar. Den Personuppgiftsansvariges arkiverade data krypteras i vila med kryptering och data under överföring skyddas av Transport Layer Security (”TLS”). |
| Åtgärder för intern IT- och IT-säkerhetsstyrning och ledning | Medarbetare instrueras att samla in, behandla och använda Personuppgifter endast inom ramen för och för ändamålen med sina arbetsuppgifter (t.ex. tillhandahållande av tjänster). På teknisk nivå omfattar multi-tenant-kapacitet funktionsseparation samt lämplig separation mellan test- och produktionssystem. Den Personuppgiftsansvariges Personuppgifter lagras på ett sätt som logiskt separerar dem från andra kunders data. |
| Åtgärder för att säkerställa uppgiftsminimering | Om Personuppgifter inte längre behövs för de ändamål för vilka de behandlades, raderas de utan dröjsmål. Observera att vid varje radering låses Personuppgifterna först och raderas därefter permanent efter en viss fördröjning. Detta görs för att förhindra oavsiktliga raderingar eller möjlig avsiktlig skada. |
| Åtgärder för att säkerställa datakvalitet | All data som Personuppgiftsbiträdet innehar tillhandahålls av den Personuppgiftsansvarige. Personuppgiftsbiträdet bedömer inte kvaliteten på data som tillhandahålls av den Personuppgiftsansvarige. Personuppgiftsbiträdet tillhandahåller rapporteringsverktyg i vår produkt för att hjälpa den Personuppgiftsansvarige att förstå och validera den data som lagras. |
| Åtgärder för att säkerställa begränsad lagringstid | Personuppgiftsbiträdet använder ett dataklassificeringsschema för all data som lagras och vår gallringspolicy anger hur varje typ av data ska bevaras. När en post med Personuppgifter raderas tas den permanent bort från våra aktiva databaser. Uppgifterna bevaras i våra säkerhetskopior tills de roteras ut av nyare säkerhetskopior i enlighet med policyn för datalagring. |
| Åtgärder för att säkerställa ansvarsskyldighet | Personuppgiftsbiträdet ser internt över sina informationssäkerhetspolicyer halvårsvis för att säkerställa att de fortfarande är relevanta och efterlevs. Alla medarbetare som hanterar känsliga uppgifter måste bekräfta informationssäkerhetspolicyerna. Dessa medarbetare utbildas om informationssäkerhetspolicyerna en gång per år. En disciplinpolicy finns för medarbetare som inte följer informationssäkerhetspolicyerna. |
| Åtgärder som (under-)biträdet ska vidta för att kunna ge stöd till den Personuppgiftsansvarige (och, vid överföringar från ett biträde till ett underbiträde, till dataexportören). | Överföring av Personuppgifter till tredje part (t.ex. kunder, underleverantörer, tjänsteleverantörer) sker endast om ett motsvarande avtal finns och endast för de specifika ändamålen. Om Personuppgifter överförs utanför EES säkerställer Personuppgiftsbiträdet att en adekvat dataskyddsnivå finns på mottagarplatsen eller hos mottagarorganisationen i enlighet med EU:s dataskyddskrav, t.ex. genom att använda avtal baserade på EU SCC:erna. |
Bilaga C
Tillägg för internationella dataöverföringar till EU-kommissionens standardavtalsklausuler
VERSION B1.0, i kraft 21 mars 2022
Detta tillägg har utfärdats av Information Commissioner för parter som genomför Begränsade överföringar. Information Commissioner anser att det tillhandahåller Lämpliga skyddsåtgärder för Begränsade överföringar när det ingås som ett juridiskt bindande avtal.
Del 1: Tabeller
Tabell 1: Parter
| Startdatum | Det datum som anges i Bilaga I till de godkända EU SCC:erna. | - |
| Parterna | Exportör (som skickar den Begränsade överföringen) | Importör (som tar emot den Begränsade överföringen) |
| Parternas uppgifter | Fullständigt juridiskt namn:. Huvudadress: Officiellt registreringsnummer (om något) (organisationsnummer eller liknande identifierare): | Fullständigt juridiskt namn: Huvudadress: Officiellt registreringsnummer (om något) (organisationsnummer eller liknande identifierare): |
| Huvudkontakt | Fullständigt namn (valfritt): Befattning: Kontaktuppgifter inklusive e-post: | Fullständigt namn (valfritt): Befattning: Kontaktuppgifter inklusive e-post: |
| Underskrift (om det krävs för ändamålen i avsnitt 2) | - | - |
Tabell 2: Valda SCC:er, moduler och valda klausuler
| Tillägg EU SCC:er | de godkända EU SCC:erna, inklusive bilageinformationen, och med endast följande moduler, klausuler eller valfria bestämmelser i de godkända EU SCC:erna aktiverade för detta tilläggs ändamål: | ||||
| Modul | Modul i drift | Klausul 11 (Alternativ) | Klausul 9a Allmänt bemyndigande | Klausul 9a (Tidsfrist) | Kombineras personuppgifter som tas emot från importören med personuppgifter som samlas in av exportören? |
| 1 | false | används inte | - | - | - |
| 2 | true | används inte | true | 30 dagar | - |
| 3 | true | används inte | true | 30 dagar | - |
| 4 | ja/nej | används inte | - | - | ja/nej |
Tabell 3: Bilageinformation
”Bilageinformation” avser den information som måste tillhandahållas för de valda modulerna enligt bilagan till de godkända EU SCC:erna (utöver parterna), och som för detta tillägg anges i:
| Bilaga 1A: Förteckning över parter: Enligt Bilaga I till de godkända EU SCC:erna |
| Bilaga 1B: Beskrivning av överföring: Enligt Bilaga I till de godkända EU SCC:erna |
| Bilaga II: Tekniska och organisatoriska åtgärder inklusive tekniska och organisatoriska åtgärder för att säkerställa datasäkerhet: Enligt Bilaga II till de godkända EU SCC:erna |
Tabell 4: Att avsluta detta tillägg när det godkända tillägget ändras
| Att avsluta detta tillägg när det godkända tillägget ändras | Vilka parter kan avsluta detta tillägg enligt avsnitt 19: Importör Exportör |
Del 2: Obligatoriska klausuler
Ingå detta tillägg
Tolkning av detta tillägg
| Tillägg | Detta tillägg för internationella dataöverföringar, vilket består av detta tillägg som införlivar Tillägg EU SCC:erna. |
| Tillägg EU SCC:er | Den eller de versioner av de godkända EU SCC:erna som detta tillägg biläggs till, såsom anges i tabell 2, inklusive Bilageinformationen. |
| Bilageinformation | Enligt tabell 3. |
| Lämpliga skyddsåtgärder | Den skyddsnivå för personuppgifterna och de registrerades rättigheter som krävs enligt brittisk dataskyddslagstiftning när du genomför en Begränsad överföring med stöd av standardiserade dataskyddsklausuler enligt artikel 46(2)(d) UK GDPR. |
| Godkänt tillägg | Malltillägget som utfärdats av ICO och lagts fram för parlamentet i enlighet med s119A i Data Protection Act 2018 den 2 februari 2022, i den lydelse som revideras enligt avsnitt 18. |
| Godkända EU SCC:er | De standardavtalsklausuler som anges i bilagan till kommissionens genomförandebeslut (EU) 2021/914 av den 4 juni 2021. |
| ICO | Information Commissioner. |
| Begränsad överföring | En överföring som omfattas av kapitel V i UK GDPR. |
| Storbritannien | Förenade konungariket Storbritannien och Nordirland. |
| Brittisk dataskyddslagstiftning | Alla lagar som rör dataskydd, behandling av personuppgifter, integritet och/eller elektronisk kommunikation som från tid till annan gäller i Storbritannien, inklusive UK GDPR och Data Protection Act 2018. |
| UK GDPR | Såsom definierat i avsnitt 3 i Data Protection Act 2018. |
4. Detta tillägg ska alltid tolkas på ett sätt som är förenligt med brittisk dataskyddslagstiftning och så att det uppfyller parternas skyldighet att tillhandahålla Lämpliga skyddsåtgärder.
Om de bestämmelser som ingår i Tillägg EU SCC:erna ändrar de godkända SCC:erna på ett sätt som inte är tillåtet enligt de godkända EU SCC:erna eller det godkända tillägget, ska sådan(a) ändring(ar) inte införlivas i detta tillägg och motsvarande bestämmelse i de godkända EU SCC:erna ska gälla i stället.
Om det finns någon inkonsekvens eller konflikt mellan brittisk dataskyddslagstiftning och detta tillägg, gäller brittisk dataskyddslagstiftning.
Om innebörden av detta tillägg är oklar eller det finns mer än en innebörd, gäller den innebörd som ligger närmast brittisk dataskyddslagstiftning.
Alla hänvisningar till lagstiftning (eller specifika bestämmelser i lagstiftning) avser den lagstiftningen (eller bestämmelsen) i den form den kan ändras över tid. Detta inkluderar fall där den lagstiftningen (eller bestämmelsen) har konsoliderats, återinförts och/eller ersatts efter att detta tillägg har ingåtts.
Hierarki
Även om klausul 5 i de godkända EU SCC:erna anger att de godkända EU SCC:erna har företräde framför alla relaterade avtal mellan parterna, är parterna överens om att hierarkin i avsnitt 10 ska ha företräde för Begränsade överföringar.
Om det finns någon inkonsekvens eller konflikt mellan det godkända tillägget och Tillägg EU SCC:erna (i tillämpliga fall), har det godkända tillägget företräde framför Tillägg EU SCC:erna, utom där (och i den mån) de inkonsekventa eller motstridiga villkoren i Tillägg EU SCC:erna ger ett starkare skydd för registrerade, i vilket fall dessa villkor ska ha företräde framför det godkända tillägget.
När detta tillägg införlivar Tillägg EU SCC:er som har ingåtts för att skydda överföringar som omfattas av allmänna dataskyddsförordningen (EU) 2016/679, bekräftar parterna att ingenting i detta tillägg påverkar dessa Tillägg EU SCC:er.
Införlivande av och ändringar i EU SCC:erna
a. de tillsammans fungerar för dataöverföringar som görs av dataexportören till dataimportören, i den utsträckning brittisk dataskyddslagstiftning gäller för dataexportörens behandling när denna dataöverföring görs, och de tillhandahåller Lämpliga skyddsåtgärder för dessa dataöverföringar;
b. avsnitt 9 till 11 åsidosätter klausul 5 (Hierarki) i Tillägg EU SCC:erna; och
c. detta tillägg (inklusive de Tillägg EU SCC:er som införlivats i det) (1) regleras av lagen i England och Wales och (2) alla tvister som uppstår ur det avgörs av domstolarna i England och Wales, i båda fallen om inte lagarna och/eller domstolarna i Skottland eller Nordirland uttryckligen har valts av parterna.
Om parterna inte har avtalat om alternativa ändringar som uppfyller kraven i avsnitt 12, ska bestämmelserna i avsnitt 15 gälla.
Inga ändringar av de godkända EU SCC:erna får göras annat än för att uppfylla kraven i avsnitt 12.
Följande ändringar av Tillägg EU SCC:erna (för avsnitt 12:s ändamål) görs:
a. Hänvisningar till ”Klausulerna” avser detta tillägg, som införlivar Tillägg EU SCC:erna;
b. I klausul 2, stryk orden:
”and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679”;
c. Klausul 6 (Beskrivning av överföringen/överföringarna) ersätts med:
”The details of the transfers(s) and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred) are those specified in Annex I.B where UK Data Protection Laws apply to the data exporter’s processing when making that transfer.”;
d. Klausul 8.7(i) i modul 1 ersätts med:
”it is to a country benefitting from adequacy regulations pursuant to Section 17A of the UK GDPR that covers the onward transfer”;
e. Klausul 8.8(i) i modulerna 2 och 3 ersätts med:
”the onward transfer is to a country benefitting from adequacy regulations pursuant to Section 17A of the UK GDPR that covers the onward transfer;”
f. Hänvisningar till ”Regulation (EU) 2016/679”, ”Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)” och ”that Regulation” ersätts alla med ”UK Data Protection Laws”. Hänvisningar till specifika artiklar i ”Regulation (EU) 2016/679” ersätts med motsvarande artikel eller avsnitt i brittisk dataskyddslagstiftning;
g. Hänvisningar till förordning (EU) 2018/1725 tas bort;
h. Hänvisningar till ”European Union”, ”Union”, ”EU”, ”EU Member State”, ”Member State” och ”EU or Member State” ersätts alla med ”UK”;
i. Hänvisningen till ”Clause 12(c)(i)” i klausul 10(b)(i) i modul ett ersätts med ”Clause 11(c)(i)” ;
j. Klausul 13(a) och del C i Bilaga I används inte;
k. ”competent supervisory authority” och ”supervisory authority” ersätts båda med ”Information Commissioner”;
l. I klausul 16(e) ersätts underpunkt (i) med:
”the Secretary of State makes regulations pursuant to Section 17A of the Data Protection Act 2018 that cover the transfer of personal data to which these clauses apply;”;
m. Klausul 17 ersätts med:
”These Clauses are governed by the laws of England and Wales.”;
n. Klausul 18 ersätts med:
”Any dispute arising from these Clauses shall be resolved by the courts of England and Wales. A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of any country in the UK. The Parties agree to submit themselves to the jurisdiction of such courts.”; och
o. Fotnoterna till de godkända EU SCC:erna utgör inte en del av tillägget, med undantag för fotnoterna 8, 9, 10 och 11.
Ändringar av detta tillägg
Parterna kan komma överens om att ändra klausulerna 17 och/eller 18 i Tillägg EU SCC:erna så att de hänvisar till lagarna och/eller domstolarna i Skottland eller Nordirland.
Om parterna vill ändra formatet på informationen i Del 1: Tabeller i det godkända tillägget, får de göra det genom att skriftligen komma överens om ändringen, under förutsättning att ändringen inte minskar de Lämpliga skyddsåtgärderna.
ICO kan från tid till annan utfärda ett reviderat godkänt tillägg som:
a. gör skäliga och proportionerliga ändringar i det godkända tillägget, inklusive att rätta fel i det godkända tillägget; och/eller
b. återspeglar ändringar i brittisk dataskyddslagstiftning; Det reviderade godkända tillägget ska ange startdatum från vilket ändringarna i det godkända tillägget gäller samt om parterna behöver se över detta tillägg inklusive Bilageinformationen. Detta tillägg ändras automatiskt i enlighet med det reviderade godkända tillägget från det angivna startdatumet.
a. sina direkta kostnader för att fullgöra sina skyldigheter enligt tillägget; och/eller
b. sin risk enligt tillägget,
och i båda fallen först har vidtagit rimliga åtgärder för att minska dessa kostnader eller risker så att de inte är väsentliga och oproportionerliga, får den parten avsluta detta tillägg vid utgången av en skälig uppsägningstid genom att lämna skriftligt meddelande om uppsägningstiden till den andra parten innan startdatumet för det reviderade godkända tillägget.
Wow! Multiply har
ökat Buy Box-vinster till 80 %, ökat försäljningen med 32 % och ökat vinsten där vi inte har någon konkurrens. Provperioden är slut, nu är vi fullt registrerade. Tack så mycket!
Kom igång på bara några klick!
Lås upp verktygen du behöver