Databehandlingsavtal
Databehandlaravtal enligt artikel 28.3 i förordning 2016/679 (dataskyddsförordningen) för databehandlarens behandling av personuppgifter mellan användaren av IPA People Suite och IPA Nordic ApS CVR 40700048 Borgvold 3 8260 Viby J hädanefter "databehandlaren" som var och en är en "part" och tillsammans utgör "parterna" Har kommit överens om följande standardavtalsklausuler (Klausulerna) för att följa dataskyddsförordningen och säkerställa skyddet av individers integritet och grundläggande rättigheter och friheter. 2. Inledning Dessa Klausuler fastställer databehandlarens rättigheter och skyldigheter när denne hanterar personuppgifter för den personuppgiftsansvariges räkning. Dessa klausuler är utformade för att parterna ska efterleva artikel 28.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om fri rörlighet för sådana uppgifter och om upphävande av direktiv 95/46/EG (dataskyddsförordningen). I samband med databehandlarens tillhandahållande av tjänster till den personuppgiftsansvarige, behandlar databehandlaren personuppgifter för den personuppgiftsansvariges räkning i enlighet med dessa Klausuler. Klausulerna har företräde framför eventuella motsvarande bestämmelser i andra avtal mellan parterna. Till dessa Klausuler hör fyra bilagor, vilka utgör en integrerad del av Klausulerna. Bilaga A innehåller detaljerad information om behandlingen av personuppgifter, inklusive behandlingens syfte och karaktär, typen av personuppgifter, kategorier av registrerade och behandlingens varaktighet. Bilaga B innehåller den personuppgiftsansvariges villkor för databehandlarens användning av underbehandlare och en lista över underbehandlare som har godkänts av den personuppgiftsansvarige. Bilaga C innehåller den personuppgiftsansvariges instruktioner angående databehandlarens behandling av personuppgifter, en beskrivning av de säkerhetsåtgärder som databehandlaren minst ska genomföra, och hur tillsyn över databehandlaren och eventuella underbehandlare ska utföras. Bilaga D innehåller bestämmelser avseende andra aktiviteter som inte omfattas av Klausulerna. Klausulerna med tillhörande bilagor ska förvaras skriftligt, inklusive elektroniskt, av båda parter. Dessa Klausuler befriar inte databehandlaren från skyldigheter som databehandlaren åläggs enligt dataskyddsförordningen eller någon annan lagstiftning. 3. Den personuppgiftsansvariges rättigheter och skyldigheter Den personuppgiftsansvarige ansvarar för att säkerställa att behandlingen av personuppgifter sker i enlighet med dataskyddsförordningen (se förordningens artikel 24), dataskyddsbestämmelser i annan EU-lagstiftning eller medlemsstaternas nationella rätt och dessa Klausuler. Den personuppgiftsansvarige har rätt och skyldighet att fatta beslut om för vilka ändamål och med vilka medel behandling av personuppgifter får äga rum. Den personuppgiftsansvarige ansvarar för att, bland annat, säkerställa att det finns en rättslig grund för behandlingen av personuppgifter, som databehandlaren instrueras att utföra. 4. Databehandlaren agerar enligt instruktioner Databehandlaren får endast behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvarige, såvida det inte krävs enligt EU-lagstiftning eller medlemsstaternas nationella lagstiftning som databehandlaren är underkastad. Denna instruktion ska specificeras i bilagorna A och C. Efterföljande instruktioner kan också ges av den personuppgiftsansvarige, medan det sker behandling av personuppgifter, men instruktionen ska alltid dokumenteras och förvaras skriftligt, inklusive elektroniskt, tillsammans med dessa Klausuler. Databehandlaren underrättar omedelbart den personuppgiftsansvarige om en instruktion enligt databehandlarens uppfattning strider mot denna förordning eller dataskyddsbestämmelser i annan EU-lagstiftning eller medlemsstaternas nationella lagstiftning. 5. Sekretess Databehandlaren får endast ge tillgång till personuppgifter som behandlas för den personuppgiftsansvariges räkning till personer som omfattas av databehandlarens instruktioner, som har åtagit sig sekretess eller omfattas av en lämplig lagstadgad sekretessplikt, och endast i den utsträckning det är nödvändigt. Listan över personer som har tilldelats åtkomst ska löpande ses över. Baserat på denna översyn kan åtkomsten till personuppgifter återkallas om den inte längre är nödvändig, och personuppgifterna ska därefter inte längre vara tillgängliga för dessa personer. Databehandlaren ska på begäran från den personuppgiftsansvarige kunna visa att de aktuella personer som omfattas av databehandlarens instruktioner är bundna av ovanstående sekretessplikt. 6. Behandlingssäkerhet Dataskyddsförordningens artikel 32 fastställer att den personuppgiftsansvarige och databehandlaren, med hänsyn till den aktuella tekniska utvecklingen, implementeringskostnaderna och behandlingens karaktär, omfattning, sammanhang och syfte samt riskerna av varierande sannolikhet och allvar för individers rättigheter och friheter, genomför lämpliga tekniska och organisatoriska åtgärder för att säkerställa en skyddsnivå som står i proportion till dessa risker. Den personuppgiftsansvarige ska bedöma riskerna för individers rättigheter och friheter som behandlingen utgör och genomföra åtgärder för att motverka dessa risker. Beroende på deras relevans kan det innefatta: Pseudonymisering och kryptering av personuppgifter, förmåga att säkerställa bestående sekretess, integritet, tillgänglighet och motståndskraft hos behandlingssystem och tjänster, förmåga att i tid återställa tillgängligheten av och åtkomsten till personuppgifter vid en fysisk eller teknisk incident, en procedur för regelbundna tester, bedömningar och utvärderingar av effektiviteten hos de tekniska och organisatoriska åtgärderna för att säkerställa behandlingssäkerhet. Enligt artikel 32 ska databehandlaren – oberoende av den personuppgiftsansvarige – också bedöma riskerna för individers rättigheter som behandlingen utgör och genomföra åtgärder för att motverka dessa risker. För att möjliggöra denna bedömning ska den personuppgiftsansvarige tillhandahålla den information som behövs för databehandlaren för att denne ska kunna identifiera och bedöma sådana risker. Dessutom ska databehandlaren bistå den personuppgiftsansvarige med dennes efterlevnad av den personuppgiftsansvariges skyldighet enligt artikel 32, bland annat genom att tillhandahålla den information som behövs för den personuppgiftsansvarige när det gäller de tekniska och organisatoriska säkerhetsåtgärder som databehandlaren redan har genomfört enligt artikel 32, och all annan information som krävs för den personuppgiftsansvariges efterlevnad av sin skyldighet enligt artikel 32. Om motverkandet av de identifierade riskerna – enligt den personuppgiftsansvariges bedömning – kräver genomförande av ytterligare åtgärder än de som databehandlaren redan har genomfört, ska den personuppgiftsansvarige ange de ytterligare åtgärder som ska genomföras i bilaga C. 7. Användning av underbehandlare Databehandlaren ska uppfylla de villkor som avses i dataskyddsförordningens artikel 28.2 och 28.4 för att använda en annan databehandlare (en underbehandlare). Databehandlaren får således inte använda en underbehandlare för fullgörelse av utan föregående allmänt skriftligt godkännande från den personuppgiftsansvarige. Databehandlaren har den personuppgiftsansvariges allmänna godkännande för användning av underbehandlare. Databehandlaren ska skriftligen underrätta den personuppgiftsansvarige om eventuella planerade ändringar avseende tillägg eller byte av underbehandlare med minst 1 månads varsel för att ge den personuppgiftsansvarige möjlighet att invända mot sådana ändringar innan användningen av den eller de berörda underbehandlarna. Längre varsel för underrättelse i förbindelse med specifika behandlingsaktiviteter kan anges i bilaga B. Listan över underbehandlare som den personuppgiftsansvarige redan har godkänt framgår av bilaga B. När databehandlaren använder en underbehandlare i samband med utförande av specifika behandlingsaktiviteter för den personuppgiftsansvariges räkning, ska databehandlaren genom ett avtal eller annat rättsligt dokument enligt EU-rätten eller medlemsstaternas nationella rätt, ålägga underbehandlaren samma dataskyddsskyldigheter som de framgår av dessa Klausuler, därmed säkerställs att underbehandlaren kommer att vidta de tekniska och organisatoriska åtgärderna på ett sätt att behandlingen uppfyller kraven i dessa Klausuler och dataskyddsförordningen. Databehandlaren är därför ansvarig för att kräva att underbehandlaren åtminstone följer databehandlarens skyldigheter enligt dessa Klausuler och dataskyddsförordningen. Underdatabehandlingsavtal och eventuella senare ändringar till dessa skickas – efter den personuppgiftsansvariges begäran – i kopia till den personuppgiftsansvarige, som därmed har möjlighet att säkerställa att motsvarande dataskyddsskyldigheter som följer av dessa Klausuler har ålagts underbehandlaren. Bestämmelser om kommersiella villkor som inte påverkar det dataskyddsrättsliga innehållet i underdatabehandlingsavtalet behöver inte skickas till den personuppgiftsansvarige. Om underbehandlaren inte uppfyller sina dataskyddsskyldigheter, kvarstår databehandlarens fulla ansvar gentemot den personuppgiftsansvarige för underbehandlarens fullgörande av sina skyldigheter. Detta påverkar inte de registrerades rättigheter, som följer av dataskyddsförordningen, inklusive särskilt förordningens artiklar 79 och 82, gentemot den personuppgiftsansvarige och databehandlaren, inklusive underbehandlaren. 8. Överföringar till tredje land eller internationella organisationer Överföring av personuppgifter till tredje land eller internationella organisationer får endast utföras av databehandlaren baserat på dokumenterade instruktioner från den personuppgiftsansvarige och ska alltid ske i enlighet med kapitel V i dataskyddsförordningen. Om överföring av personuppgifter till tredje land eller internationella organisationer, som databehandlaren inte har blivit instruerad om av den personuppgiftsansvarige, krävs enligt EU-lagstiftning eller medlemsstaternas nationella rätt som databehandlaren är underkastad, ska databehandlaren informera den personuppgiftsansvarige om detta rättsliga krav innan behandling, såvida inte den aktuella rätten förbjuder en sådan information av viktiga samhälleliga intressen. Utan dokumenterade instruktioner från den personuppgiftsansvarige får databehandlaren därmed inte inom ramen för dessa Klausuler: överföra personuppgifter till en personuppgiftsansvarig eller databehandlare i ett tredje land eller en internationell organisation överlämna behandling av personuppgifter till en underbehandlare i ett tredje land behandla personuppgifterna i ett tredje land Den personuppgiftsansvariges instruktioner gällande överföring av personuppgifter till ett tredje land, inklusive den eventuella överföringsgrunden i kapitel V i dataskyddsförordningen, som överföringen är baserad på, ska anges i bilaga C.6. Dessa Klausuler ska inte förväxlas med standardavtalsklausuler som avses i artikel 46.2 c och d i dataskyddsförordningen, och dessa Klausuler får inte utgöra en grund för överföring av personuppgifter som avses i kapitel V i dataskyddsförordningen. 9. Bistånd till den personuppgiftsansvarige Databehandlaren bistår, med hänsyn till behandlingens karaktär, så långt möjligt den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder med uppfyllandet av den personuppgiftsansvariges skyldighet att besvara begäran om utövande av registrerades rättigheter enligt kapitel III i dataskyddsförordningen. Detta innebär att databehandlaren så långt möjligt ska bistå den personuppgiftsansvarige när det gäller att säkerställa överensstämmelsen med: Informationsplikten vid insamling av personuppgifter från den registrerade Informationsplikten, om personuppgifter inte har samlats in från den registrerade Rätten till insyn Rätt till rättelse Rätt till radering ("rätten att bli bortglömd") Rätten att begränsa behandlingen Meddelandeskyldigheten i samband med rättelse eller radering av personuppgifter eller begränsning av behandling Rätten till dataportabilitet Rätten till invändning Rätten att inte bli föremål för ett beslut grundat uteslutande på automatisk behandling, inklusive profilering Utöver databehandlarens skyldighet att bistå den personuppgiftsansvarige enligt Klausul 6.3., bistår databehandlaren dessutom, med hänsyn till behandlingens karaktär och de upplysningar som är tillgängliga för databehandlaren, den personuppgiftsansvarige med: Den personuppgiftsansvariges skyldighet att utan onödigt dröjsmål och om möjligt senast 72 timmar, efter att denne fick kännedom om det, anmäla brott mot personuppgiftssäkerheten till den behöriga tillsynsmyndigheten (Danmark: Datatilsynet), om det inte är osannolikt att brottet mot personuppgiftssäkerheten innebär en risk för individs rättigheter eller friheter Den personuppgiftsansvariges skyldighet att utan onödigt dröjsmål underrätta den registrerade om brott mot personuppgiftssäkerheten, när brottet sannolikt innebär en hög risk för individers rättigheter och friheter Den personuppgiftsansvariges skyldighet att före behandlingen genomföra en analys av de planerade behandlingsaktiviteters konsekvenser för skydd av personuppgifter (en konsekvensbedömning) Den personuppgiftsansvariges skyldighet att rådfråga den behöriga tillsynsmyndigheten (Danmark: Datatilsynet), innan behandling, om en konsekvensbedömning med avseende på dataskydd visar att behandlingen kan leda till hög risk i frånvaro av åtgärder som vidtas av den personuppgiftsansvarige för att begränsa risken. 10. Meddelande om brott mot personuppgiftssäkerheten Databehandlaren meddelar utan onödigt dröjsmål den personuppgiftsansvarige efter att ha blivit medveten om att ett brott mot personuppgiftssäkerheten har ägt rum. Databehandlarens meddelande till den personuppgiftsansvarige ska ske utan onödigt dröjsmål och om möjligt senast 24 timmar efter att denne blivit medveten om brottet, så att den personuppgiftsansvarige kan uppfylla sin skyldighet att anmäla brottet till den behöriga tillsynsmyndigheten, enligt artikel 33 i dataskyddsförordningen. Enligt Klausul 9.2.a ska databehandlaren bistå den personuppgiftsansvarige med att göra anmälan av brottet till den behöriga tillsynsmyndigheten. Detta innebär att databehandlaren ska bistå med att tillhandahålla följande information, som enligt artikel 33.3 ska framgå i den personuppgiftsansvariges anmälan av brottet till den behöriga tillsynsmyndigheten: Brottets karaktär, inklusive, om möjligt, kategorierna och det ungefärliga antalet berörda registrerade samt kategorierna och det ungefärliga antalet berörda registreringar av personuppgifter De sannolika konsekvenserna av brottet mot personuppgiftssäkerheten De åtgärder som den personuppgiftsansvariga har vidtagit eller föreslår vidta för att hantera brottet mot personuppgiftssäkerheten, inklusive där det är relevant, åtgärder för att begränsa dess möjliga negativa effekter. Parterna ska i bilaga C ange den information som databehandlaren ska tillhandahålla i förbindelse med sin bistånd till den personuppgiftsansvarige i dennes skyldighet att anmäla brott mot personuppgiftssäkerheten till den behöriga tillsynsmyndigheten. 11. Radering och återlämnande av uppgifter Vid upphörande av tillhandahållande av tjänster avseende behandling av personuppgifter, är databehandlaren skyldig att radera alla personuppgifter som har behandlats för den personuppgiftsansvariges räkning och bekräfta för den personuppgiftsansvarige att uppgifterna har raderats, om inte EU-rätt eller medlemsstaternas nationella rätt föreskriver bevarande av personuppgifterna. 12. Granskning, inklusive inspektion Databehandlaren tillhandahåller all information som behövs för att visa överensstämmelse med artikel 28 i dataskyddsförordningen och dessa Klausuler till den personuppgiftsansvarige och möjliggör och bidrar till granskningar, inklusive inspektioner, som utförs av den personuppgiftsansvarige eller annan revisor som har bemyndigats av den personuppgiftsansvarige. Procedurer för den personuppgiftsansvariges granskningar, inklusive inspektioner, med databehandlaren och underbehandlare anges närmare i Bilaga C. Databehandlaren är skyldig att ge tillsynsmyndigheter, enligt gällande lag, tillgång till den personuppgiftsansvariges eller databehandlarens faciliteter, eller ombud som agerar på tillsynsmyndighetens vägnar, tillgång till databehandlarens fysiska faciliteter mot korrekt legitimation. 13. Ikraftträdande och upphörande Klausulerna träder i kraft på det datum då båda parterna undertecknar dem. Båda parterna kan begära omförhandling av Klausulerna om lagändringar eller olägenheter i Klausulerna ger anledning till det. Klausulerna är giltiga så länge databehandlaren tillhandahåller tjänster avseende behandling av personuppgifter. Under denna period kan Klausulerna inte sägas upp, om inte andra bestämmelser som reglerar tillhandahållande av tjänster avseende behandling av personuppgifter avtalas mellan parterna. Om tjänsterna avseende behandling av personuppgifter upphör, och personuppgifterna har raderats eller återlämnats till den personuppgiftsansvarige i enlighet med Klausul 11.1 och Bilaga C.4, kan Klausulerna sägas upp med skriftlig uppsägning från båda parterna. Bilaga A Information om behandlingen A.1. Syftet med databehandlarens behandling av personuppgifter för den personuppgiftsansvariges räkning Syftet med behandling av personuppgifter är utförande av databehandlarens tjänster, som efter avtal tillhandahålls den personuppgiftsansvarige. I tjänsten kan, baserat på uppgifterna från den personuppgiftsansvarige och användarnas svar på frågor, personanalyser, teamledare och rollstilsanalyser och variationer därav utarbetas. A.2. Databehandlarens behandling av personuppgifter för den personuppgiftsansvariges räkning handlar främst om (karaktären av behandlingen) Utarbetande av personanalys och lagring av dessa. Användning av icke-personlig och anonymiserad information för statistik och förbättring av tjänsten. A.3. Behandlingen omfattar följande typer av personuppgifter om de registrerade Namn, (eventuell) titel, födelsedatum, kontaktinformation (bl.a. e-postadress) Svar på frågor för att genomföra personanalys. Personanalys A.4. Behandlingen omfattar följande kategorier av registrerade Den personuppgiftsansvariges administratörer Användare, som kan vara anställda hos den personuppgiftsansvarige eller kandidater till en tjänst hos den personuppgiftsansvarige eller kandidater till en tjänst hos en kund till den personuppgiftsansvarige. A.5. Databehandlarens behandling av personuppgifter för den personuppgiftsansvariges räkning kan påbörjas efter att dessa Klausuler har trätt i kraft. Behandlingen har följande varaktighet Behandlingen av personuppgifter genomförs så länge den personuppgiftsansvarige använder databehandlarens tjänst. Bilaga B Underdatabehandlare B.1. Godkända underdatabehandlare Från Klausulernas ikraftträdande har den personuppgiftsansvarige godkänt användning av följande underdatabehandlare: NAMN CVR ADRESS BESKRIVNING AV BEHANDLING skyPIM A/S 21396648 Boulevarden 19E 7100 Vejle Hosting och teknisk drift av tjänsten. Behandlingsland: Danmark, Tyskland. Vid Klausulernas ikraftträdande har den personuppgiftsansvarige godkänt användningen av ovanstående underdatabehandlare för den beskrivna behandlingsaktiviteten. Databehandlaren får inte – utan den personuppgiftsansvariges skriftliga godkännande – använda en underdatabehandlare för en annan behandlingsaktivitet än den beskrivna och avtalade eller använda en annan underdatabehandlare för denna behandlingsaktivitet. Bilaga C Instruktioner för behandling av personuppgifter C.1. Behandlingens föremål/instruktion Databehandlarens behandling av personuppgifter för den personuppgiftsansvariges räkning sker genom att databehandlaren utför följande: Databehandlaren ska baserat på den personuppgiftsansvariges användning av den överenskomna tjänsten mellan den personuppgiftsansvarige och databehandlaren, samla in information om den personuppgiftsansvarige eller den personuppgiftsansvariges användare när denna information skrivs in i tjänsten och baserat på detta utarbeta personanalyser för den personuppgiftsansvariges räkning, vilka också ska lagras av den personuppgiftsansvarige. C.2. Behandlingssäkerhet Säkerhetsnivån ska reflektera: Att det inte handlar om känsliga personuppgifter, men dock uppgifter som av datasubjekterna kan uppfattas som ha en viss känslighet. Databehandlaren är därmed berättigad och skyldig att fatta beslut om vilka tekniska och organisatoriska säkerhetsåtgärder som ska genomföras för att ställa in den nödvändiga säkerhetsnivån. Om den personuppgiftsansvarige önskar andra eller ytterligare säkerhetsåtgärder genomförda, inklusive där detta skulle vara baserat på revision/inspektion, är den personuppgiftsansvarige ansvarig för eventuella ytterligare kostnader för databehandlaren som detta kan medföra. C.3 Bistånd till den personuppgiftsansvarige När databehandlaren bistår den personuppgiftsansvarige med fullgörandet av dennes skyldigheter, är databehandlaren berättigad att ta ut ersättning för sådant arbete, med sin vid varje tidpunkt gällande timtaxa. C.6 Instruktioner för överföring av personuppgifter till tredje land Om den personuppgiftsansvarige inte i dessa Klausuler eller därefter ger en dokumenterad instruktion om överföring av personuppgifter till ett tredje land, är databehandlaren inte berättigad inom ramen för dessa Klausuler att göra sådana överföringar. C.7 Procedurer för den personuppgiftsansvariges revisioner, inklusive inspektioner, med behandlingen av personuppgifter, som har överlåtits till databehandlaren/underdatabehandlare Efter förfrågan från den personuppgiftsansvarige ska databehandlaren på den personuppgiftsansvariges bekostnad skaffa en granskningsrapport från en oberoende tredje part gällande överensstämmelsen med databehandlarens/underdatabehandlarens överensstämmelse med dataskyddsförordningen, dataskyddsbestämmelser i annan EU-rätt eller medlemsstaternas nationella rätt och dessa Klausuler. Parterna är överens om att följande typer av granskningsrapporter kan användas i enlighet med dessa Klausuler: ISAE 3000-granskningsrapport eller annan liknande rapporttyp. Den personuppgiftsansvarige eller en representant för den personuppgiftsansvarige har dessutom tillträde att genomföra inspektioner, inklusive fysiska inspektioner, av lokalerna från vilka databehandlaren/underdatabehandlaren utför behandlingen av personuppgifter, inklusive fysiska lokaler och system som används för eller i samband med behandlingen. Sådana inspektioner kan genomföras när den personuppgiftsansvarige finner det nödvändigt. Databehandlarens och underdatabehandlarens eventuella kostnader i samband med tillsyn av databehandligen hos databehandlaren eller underdatabehandlare eller fysisk inspektion av databehandlarens eller underdatabehandlarens lokaler ska bäras av den personuppgiftsansvarige. [1] Hänvisningar till "medlemsstat" i dessa bestämmelser ska förstås som en hänvisning till "EES-medlemsstater".
Villkor
IPA:S VILLKOR Dessa villkor gäller i förhållande till IPA Nordic ApS:s (”IPA”) tjänster för Kunden. 1. Användningsrätt 1.1 Vid ingående av avtal om detta med IPA erhåller Kunden användningsrätt i enlighet med dessa villkor för att använda IPAs tjänst i den överenskomna versionen (”Tjänsten”). Kunden har rätt att - om inte annat särskilt avtalats - använda Tjänsten internt i sin verksamhet, vilket inkluderar fall där Kunden utför rekryteringsarbete för tredje man, då Kunden dock kan ge användare utanför sin organisation, som är kandidater till anställning i Kundens företag eller det företag för vilket Kunden utför rekryteringsarbete, tillgång till att använda Tjänsten i samband med att besvara frågor, jfr. pkt. 1.2. 1.2 Kunden har rätt att använda Tjänsten som förutsatt och har rätt att ge medarbetare och andra (”Kundens Användare”) tillgång till att använda Tjänsten, inklusive tillhörande analyser, som förutsatt. Användare kan vara vanliga användare som svarar på frågor för Tjänstens bruk eller administratörer som har tillgång till cockpit och utarbetade analyser. 1.3 Kundens administratörer ska vara anställda i Kundens verksamhet och alltid vara certifierade i användningen av de analyser som Kunden får tillgång till via Tjänsten. IPA erbjuder certifiering i de analyser som omfattas av Tjänsten enligt angivelse på IPAs webbplats eller på annat sätt. 2. Implementering 2.1 IPA eller en av IPAs partners genomför implementering av Tjänsten för Kundens bruk, vilket innebär att Kunden kan få tillgång till Tjänsten som avtalat vid den avtalade tidpunkten. 2.2 IPA eller IPAs partner har rätt att i rimlig omfattning göra ändringar i den överenskomna tidpunkten för implementering, förutsatt att sådan ändring aviseras till Kunden. 2.3 Kunden ska medverka i relevant omfattning vid implementeringen, vilket inkluderar att ge IPA eller IPAs partner de för implementeringen nödvändiga och korrekta upplysningarna och i nödvändig omfattning ge tillgång till it-resurser. 3. Drift 3.1 Tjänsten körs och nås av kunden online. IPA kommer att sträva efter att Tjänsten är tillgänglig för kunden när som helst, men garanterar ingen bestämd upptid. 3.2 Kunden ansvarar för att anskaffa den utrustning, de applikationer och nätverksanslutningar som krävs för att använda Tjänsten. På Kundens begäran informerar IPA om eventuella särskilda specifikationer för utrustning, applikationer osv. 3.3 Kundens eller Kundens Användares tillgång till Tjänsten kan av IPA utan ansvar helt eller delvis avbrytas: a) om detta är nödvändigt för att underhålla, reparera eller uppdatera Tjänsten. Sådan avbrott av tillgång till Tjänsten ska, i den mån det är möjligt, meddelas Kunden i god tid, även om det i vissa situationer kan vara nödvändigt att stänga av tillgången till Tjänsten utan förvarning även under arbetstid. b) om det finns skäl att tro att Kundens eller Kundens Användares konton missbrukas av tredje man. Återställning av tillgång kan komma att kräva att Kundens Användares användarnamn och/eller lösenord ändras. c) om Kundens handlingar eller förhållanden som Kunden ansvarar för har eller kan förväntas orsaka skada på Tjänsten, inklusive i förhållande till andra kunder eller användare av Tjänsten, eller om Tjänsten rimligtvis kan antas användas för olagliga aktiviteter. Tillgång till Tjänsten kommer i dessa situationer att återställas när sådana förhållanden har klarte sig till IPAs tillfredsställelse. d) om Kunden inte följer kravet på certifiering av administratörer, jfr. pkt. 1.3, och kravet på certifiering inte har uppfyllts på 60 dagar. e) om Kunden är i betalningsdröjsmål gentemot IPA. 3.4 Om IPA avbryter Kundens eller Kundens Användares tillgång till Tjänsten, jfr. pkt. 3.3, kommer IPA snarast möjligt att informera Kunden om detta, inklusive skälet till avbrottet, samt när och under vilka förutsättningar tillgång till Tjänsten kan återställas. Sådant avbrott utgör inte brott mot Avtalet och berättigar inte Kunden till återbetalning av avgifter eller övriga påföljder för brott. 3.5 Kunden ansvarar själv för att säkerhetskopiera de data som behandlas för Kunden i Tjänsten. På särskild begäran hjälper IPA Kunden med säkerhetskopiering, och IPA hjälper även Kunden att importera data från säkerhetskopior. IPA har rätt till ersättning för sådant arbete baserat på IPAs tillämpliga timpriser för sådant arbete samt eventuella kostnader för tredje man. 4. Användning av Tjänsten 4.1 Kunden ansvarar för inmatning av egna uppgifter i Tjänsten och ansvarar för att sådana data är korrekta och giltiga. IPA ansvarar inte för att Tjänsten och dess användning är lämplig för Kundens användning eller planerade användning. Det är Kundens eget ansvar. 4.2 IPA ansvarar för att IPAs tjänst som sådan följer lagstiftningen i Sverige. Kunden ansvarar för att dess användning av Tjänsten, inklusive behandling av data, är laglig och att alla lagkrav i samband med Kundens användning av Tjänsten följs, inklusive beträffande hantering av personuppgifter, samt ansvarar för all användning av Tjänsten med hjälp av de användarnamn och lösenord som är kopplade till Kunden och Kundens Användare. 4.3 Kunden och Kundens Användare ska alltid skydda sina användarnamn och lösenord till Tjänsten. Om Kunden misstänker eller upptäcker att Kundens eller Kundens Användares tillgång till Tjänsten missbrukas, eller att tredje man har fått tillgång till Kundens eller Kundens Användares användarnamn och lösenord, ska Kunden omgående meddela IPA. 4.4 IPA har rätt att övervaka användningen av Tjänsten och använda all information om och i Tjänsten i anonym form för att utarbeta statistik och för underhåll av Tjänsten. 5. Ändring av Tjänsten 5.1 IPA har rätt att göra ändringar i Tjänsten och dess utformning. IPA kommer att sträva efter att meddela Kunden om sådana ändringar med minst 30 dagars varsel innan ändringarna träder i kraft, även om sådant varsel i vissa fall inte kan upprätthållas, såsom när ändringen beror på säkerhetsskäl. 5.2 Om IPA gör så väsentliga ändringar i Tjänsten att den inte längre kan anses vara densamma tjänsten, exempelvis om grundläggande eller ofta använda funktioner av Kunden tas bort och inte bara förutsätter ett ändrat användarmönster, har Kunden rätt att avsluta avtalet med 30 dagars varsel och kommer i en sådan situation att få återbetalt en proportionell del av eventuellt förskottsbetald avgift för användningen av Tjänsten för perioden efter avtalets upphörande. 6. Övriga konsulttjänster 6.1 IPA levererar konsulttjänster till Kunden, utöver implementeringstjänster, jfr. pkt. 2, som separat avtalats. Konsulttjänster levereras av IPA i enlighet med god praxis utan resultatansvar, och Kunden ansvarar själv för att konsulttjänsten är lämplig för Kundens användning eller planerade användning. 6.2 Sådana övriga konsulttjänster anses som levererade när IPA meddelar att konsulttjänsterna är utförda och fullbordade som avtalats, eller när Kunden börjar använda resultaten av konsulttjänsten. 7. Priser och betalning 7.1 Kunden betalar för tillgång till Tjänsten för en tolvmånadersperiod i förskott från tidpunkten för implementering, om inte annat särskilt avtalats. 7.2 Implementeringstjänster faktureras av IPA eller IPAs partner när implementeringen är levererad. Certifieringstjänster kan faktureras av IPA vid Kundens beställning av dessa. IPAs övriga konsulttjänster faktureras vid deras leverans eller månadsvis i efterskott. 7.3 IPAs utfärdade fakturor förfaller till betalning 14 dagar efter avsändande. Vid försenad betalning har IPA rätt att ta ut dröjsmålsränta på 2 % per påbörjad månad. 7.4 IPA upprätthåller eventuellt överenskomna reducerade priser i en period på 12 månader från avtalets ingående. Därefter tillämpas listpriser som anges i IPAs tillämpliga prislista. 7.5 IPA har rätt att justera sina listpriser en gång årligen med minst förändringen i nettoprisindex. Dessutom har IPA rätt att ändra sina listpriser om detta beror på förändringar i lagstiftningen, liksom IPA har rätt att ändra sina listpriser där detta beror på ändrade priser på tredjepartsapplikationer eller tredjepartsprodukter som är nödvändiga för leveransen av IPAs tjänst. IPA kommer att meddela om sådana eventuella prisförändringar med minst 30 dagars varsel. 8. Immaterialrättigheter 8.1 IPA har och behåller alla äganderättigheter och immateriella rättigheter, inklusive upphovsrätt till Tjänsten och de andra material som är kopplade till Tjänsten, såsom manualer och guider. Tjänsten och de andra material som är kopplade till tjänsten kan innehålla element och komponenter till vilka tredje man har immateriella rättigheter. IPA har i så fall nödvändiga rättigheter att göra Tjänsten och de andra material som är kopplade till Tjänsten tillgängliga för Kunden. 8.2 Kunden erhåller baserat på avtalet, jfr. pkt 1, och under dess giltighetstid användningsrätt till Tjänsten, och de andra material som är kopplade till Tjänsten, som de tillhandahålls av IPA och för de avsedda syftena. Kunden erhåller inga rättigheter, utöver den angivna användningsrätten till processer eller liknande, som ingår i Tjänsten. 8.3 Kunden erhåller en obegränsad användningsrätt till sådant material som produceras via Tjänsten baserat på Kundens data och användning av Tjänsten. Häri har Kunden rätt att göra ändringar i och mångfaldiga sådant material. 8.4 Kunden behåller ägande och immateriella rättigheter kopplade till de data som Kunden lägger in i Tjänsten. Kunden ger IPA en icke-exklusiv, avgiftsfri användningsrätt till sådana data i syfte att uppfylla Avtalet. 8.5 För sådana konsulttjänster, inklusive resultat av konsulttjänsterna, som tillhandahålls av IPA till Kunden, behåller IPA ägarskap och immateriella rättigheter med respekt för Kundens rättigheter och sekretess. Kunden tilldelas under Avtalets löptid en användningsrätt att använda konsulttjänsterna och deras resultat för intern användning inom Kundens verksamhet. 9. Sekretess 9.1 Var och en av Parterna ska hemlighålla den andra partens interna uppgifter, inklusive affärshemligheter och avtal mellan parterna, och får inte använda eller avslöja sådana uppgifter för andra syften än de avsedda i samband med tillhandahållandet av informationen, utan den andra partens förhandstillstånd. IPA hemlighåller även personuppgifter som laddas in i Tjänsten av Kunden som beskrivet i det mellan parterna ingångna personuppgiftsbiträdesavtalet. 9.2 Oavsett pkt. 9.1 är IPA behörig att överlåta Kundens uppgifter, inklusive interna uppgifter, till IPAs underleverantörer i den mån detta är nödvändigt för leveransen av IPAs tjänster till Kunden, förutsatt att sådana underleverantörer är bundna av motsvarande sekretess. Parterna är också behöriga att lämna ut den andra partens uppgifter, som annars skulle varit hemliga, om detta följer av ett domstolsbeslut eller giltigt krav från en myndighet. 9.3 Sekretessbestämmelserna i detta pkt. 9 gäller inte för uppgifter som är offentligt tillgängliga, som erhålls från tredje man utan att krav från denne ställs om sekretess, som mottas eller erhålls på annat sätt utan att krav på sekretess ställs, eller som utvecklas självständigt av parten utan att använda information som tagits emot från den andra parten. 9.4 Bestämmelserna i detta pkt. 9 förblir i kraft i fem år efter Avtalets upphörande, oavsett anledningen till sådant upphörande. 10. Personuppgiftsbehandling 10.1 IPA behandlar personuppgifter i Tjänsten, inklusive sådana personuppgifter som Kunden laddar in i Tjänsten. Förhållanden kring personuppgiftsbehandling regleras i det mellan Kunden och IPA ingångna personuppgiftsbiträdesavtalet. 11. Mislighållande 11.1 Om Kunden önskar påkalla brister i IPAs tjänster ska detta ske omedelbart, och för konsulttjänster, inklusive implementeringstjänster, senast 30 dagar efter leveransen av dessa. IPA är alltid berättigad att genomföra omleverans. 11.2 Om någon av parterna väsentligt bryter mot Avtalet, och sådant väsentligt brott inte avhjälps inom 30 dagar sedan den skyldiga parten har informerats om avtalsbrottet av den icke-skyldiga parten, har den icke-skyldiga parten rätt att skriftligen häva Avtalet för framtiden. 12. Ansvar 12.1 Parterna är ersättningsskyldiga gentemot varandra i enlighet med allmänna regler i svensk lag med följande begränsningar. 12.2 IPAs totala ersättningsansvar gentemot Kunden kan aldrig överstiga det belopp som Kunden har betalat till IPA för användning av Tjänsten under den senaste sexmånadersperioden innan anspråket uppstod. IPA ansvarar aldrig gentemot Partnern för indirekt förlust, inklusive, men inte begränsat till förlorad inkomst, förlorad omsättning, förlorade förväntade besparingar eller förlorad goodwill. 12.3 Den i pkt. 12.2 angivna begränsningen av ersättningsansvar gäller inte där ansvaret orsakats av grov vårdslöshet eller uppsåt. 13. Force Majeure 13.1 Ingen av parterna ansvarar för att uppfylla sina skyldigheter enligt Avtalet, om den bristande uppfyllelsen beror på force majeure, som avser förhållanden utanför partens rimliga kontroll, inklusive force majeure hos underleverantörer, och som parten inte borde ha tagit i beaktande vid Avtalets ingående. Om force majeure-situationen varar längre än 30 dagar har den part som inte är drabbad av force majeure rätt att säga upp Avtalet utan varsel. 14. Avtalets upphörande 14.1 Kunden har rätt att när som helst säga upp Avtalet med 12 månaders varsel efter utgången av en kalendermånad. Avtalet kan först vars upphörande efter 12 månader. Den totala minimiperioden är därför 24 månader. IPA kan avsluta Avtalet med minst 12 månaders varsel till utgången av en kalendermånad. 14.2 Förskottsbetalda avgifter återbetalas inte vid Kundens uppsägning av Avtalet. Om IPA säger upp Avtalet, återbetalas en proportionell del av eventuellt förskottsbetalda avgifter till Kunden motsvarande det belopp som Kunden har betalat för användning av Tjänsten under perioden efter Avtalets upphörande. 15. Överföring av data till Kunden 15.1 På Kundens begäran hjälper IPA Kunden när som helst med att överföra alla Kundens data i Tjänsten till Kunden eller en av Kunden utsedd tredje part i ett allmänt använt format, vilket möjliggör vidare behandling av Kundens data, förutsatt att Kunden meddelar om en sådan önskan senast vid Avtalets upphörande. 15.2 IPA är behörig att ta betalt för sin tidsåtgång i samband med dataöverföringar och tillhandahållen assistans, i enlighet med IPAs aktuella timpriser för sådant arbete med tillägg för IPAs kostnader, liksom IPA, om det anser det nödvändigt, har rätt att kräva att alla förfallna utestående belopp betalas och eventuellt kräva att ett rimligt belopp för sin assistans förskottsbetalas innan sådan assistans ges. 16. Marknadsföring 16.1 IPA har rätt att använda Kundens namn och varumärke som referens i sitt generella fysiska eller digitala marknadsföringsmaterial. 16.2 Om IPA önskar hänvisa potentiella kunder till att kontakta Kunden för referencesamtal eller möten, måste detta avtalas separat. 17. Underleverantörer 17.1 IPA har rätt att använda underleverantörer för att uppfylla sina skyldigheter gentemot Kunden. IPA ansvarar för sådana underleverantörers tjänster som för sina egna. Underleverantörer ska hålla Kundens uppgifter hemliga, jfr. pkt. 9.1. 18. Överföring 18.1 Ingen av Parterna har rätt att överföra sina skyldigheter och rättigheter enligt Avtalet till tredje man utan den andra partens skriftliga samtycke. Ett samtycke till sådan överlåtelse ska inte orimligt nekas. Dock har IPA rätt att överföra sina rättigheter och skyldigheter i samband med en helt eller delvis försäljning eller annan affärsrättslig omstrukturering av IPA. 19. Avtalsändringar 19.1 Avtalet kan endast ändras av Parterna genom skriftlig överenskommelse, såvida inget annat framgår av Avtalet. 20. Tvistlösning 20.1 Om det uppstår en tvist mellan Parterna baserat på Avtalet, ska Parterna sträva efter att lösa sådan tvist i godo. Om tvisten inte löses i godo inom rimlig tid kan var och en av Parterna söka avgöra tvisten vid de allmänna svenska domstolarna med IPAs huvudsäte som jurisdiktion. 20.2 Avtalet regleras av svensk rätt med undantag för svenska internationella lagvalsregler.
Databehandlingsavtal
Databehandlaravtal enligt artikel 28.3 i förordning 2016/679 (dataskyddsförordningen) för databehandlarens behandling av personuppgifter mellan användaren av IPA People Suite och IPA Nordic ApS CVR 40700048 Borgvold 3 8260 Viby J hädanefter "databehandlaren" som var och en är en "part" och tillsammans utgör "parterna" Har kommit överens om följande standardavtalsklausuler (Klausulerna) för att följa dataskyddsförordningen och säkerställa skyddet av individers integritet och grundläggande rättigheter och friheter. 2. Inledning Dessa Klausuler fastställer databehandlarens rättigheter och skyldigheter när denne hanterar personuppgifter för den personuppgiftsansvariges räkning. Dessa klausuler är utformade för att parterna ska efterleva artikel 28.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om fri rörlighet för sådana uppgifter och om upphävande av direktiv 95/46/EG (dataskyddsförordningen). I samband med databehandlarens tillhandahållande av tjänster till den personuppgiftsansvarige, behandlar databehandlaren personuppgifter för den personuppgiftsansvariges räkning i enlighet med dessa Klausuler. Klausulerna har företräde framför eventuella motsvarande bestämmelser i andra avtal mellan parterna. Till dessa Klausuler hör fyra bilagor, vilka utgör en integrerad del av Klausulerna. Bilaga A innehåller detaljerad information om behandlingen av personuppgifter, inklusive behandlingens syfte och karaktär, typen av personuppgifter, kategorier av registrerade och behandlingens varaktighet. Bilaga B innehåller den personuppgiftsansvariges villkor för databehandlarens användning av underbehandlare och en lista över underbehandlare som har godkänts av den personuppgiftsansvarige. Bilaga C innehåller den personuppgiftsansvariges instruktioner angående databehandlarens behandling av personuppgifter, en beskrivning av de säkerhetsåtgärder som databehandlaren minst ska genomföra, och hur tillsyn över databehandlaren och eventuella underbehandlare ska utföras. Bilaga D innehåller bestämmelser avseende andra aktiviteter som inte omfattas av Klausulerna. Klausulerna med tillhörande bilagor ska förvaras skriftligt, inklusive elektroniskt, av båda parter. Dessa Klausuler befriar inte databehandlaren från skyldigheter som databehandlaren åläggs enligt dataskyddsförordningen eller någon annan lagstiftning. 3. Den personuppgiftsansvariges rättigheter och skyldigheter Den personuppgiftsansvarige ansvarar för att säkerställa att behandlingen av personuppgifter sker i enlighet med dataskyddsförordningen (se förordningens artikel 24), dataskyddsbestämmelser i annan EU-lagstiftning eller medlemsstaternas nationella rätt och dessa Klausuler. Den personuppgiftsansvarige har rätt och skyldighet att fatta beslut om för vilka ändamål och med vilka medel behandling av personuppgifter får äga rum. Den personuppgiftsansvarige ansvarar för att, bland annat, säkerställa att det finns en rättslig grund för behandlingen av personuppgifter, som databehandlaren instrueras att utföra. 4. Databehandlaren agerar enligt instruktioner Databehandlaren får endast behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvarige, såvida det inte krävs enligt EU-lagstiftning eller medlemsstaternas nationella lagstiftning som databehandlaren är underkastad. Denna instruktion ska specificeras i bilagorna A och C. Efterföljande instruktioner kan också ges av den personuppgiftsansvarige, medan det sker behandling av personuppgifter, men instruktionen ska alltid dokumenteras och förvaras skriftligt, inklusive elektroniskt, tillsammans med dessa Klausuler. Databehandlaren underrättar omedelbart den personuppgiftsansvarige om en instruktion enligt databehandlarens uppfattning strider mot denna förordning eller dataskyddsbestämmelser i annan EU-lagstiftning eller medlemsstaternas nationella lagstiftning. 5. Sekretess Databehandlaren får endast ge tillgång till personuppgifter som behandlas för den personuppgiftsansvariges räkning till personer som omfattas av databehandlarens instruktioner, som har åtagit sig sekretess eller omfattas av en lämplig lagstadgad sekretessplikt, och endast i den utsträckning det är nödvändigt. Listan över personer som har tilldelats åtkomst ska löpande ses över. Baserat på denna översyn kan åtkomsten till personuppgifter återkallas om den inte längre är nödvändig, och personuppgifterna ska därefter inte längre vara tillgängliga för dessa personer. Databehandlaren ska på begäran från den personuppgiftsansvarige kunna visa att de aktuella personer som omfattas av databehandlarens instruktioner är bundna av ovanstående sekretessplikt. 6. Behandlingssäkerhet Dataskyddsförordningens artikel 32 fastställer att den personuppgiftsansvarige och databehandlaren, med hänsyn till den aktuella tekniska utvecklingen, implementeringskostnaderna och behandlingens karaktär, omfattning, sammanhang och syfte samt riskerna av varierande sannolikhet och allvar för individers rättigheter och friheter, genomför lämpliga tekniska och organisatoriska åtgärder för att säkerställa en skyddsnivå som står i proportion till dessa risker. Den personuppgiftsansvarige ska bedöma riskerna för individers rättigheter och friheter som behandlingen utgör och genomföra åtgärder för att motverka dessa risker. Beroende på deras relevans kan det innefatta: Pseudonymisering och kryptering av personuppgifter, förmåga att säkerställa bestående sekretess, integritet, tillgänglighet och motståndskraft hos behandlingssystem och tjänster, förmåga att i tid återställa tillgängligheten av och åtkomsten till personuppgifter vid en fysisk eller teknisk incident, en procedur för regelbundna tester, bedömningar och utvärderingar av effektiviteten hos de tekniska och organisatoriska åtgärderna för att säkerställa behandlingssäkerhet. Enligt artikel 32 ska databehandlaren – oberoende av den personuppgiftsansvarige – också bedöma riskerna för individers rättigheter som behandlingen utgör och genomföra åtgärder för att motverka dessa risker. För att möjliggöra denna bedömning ska den personuppgiftsansvarige tillhandahålla den information som behövs för databehandlaren för att denne ska kunna identifiera och bedöma sådana risker. Dessutom ska databehandlaren bistå den personuppgiftsansvarige med dennes efterlevnad av den personuppgiftsansvariges skyldighet enligt artikel 32, bland annat genom att tillhandahålla den information som behövs för den personuppgiftsansvarige när det gäller de tekniska och organisatoriska säkerhetsåtgärder som databehandlaren redan har genomfört enligt artikel 32, och all annan information som krävs för den personuppgiftsansvariges efterlevnad av sin skyldighet enligt artikel 32. Om motverkandet av de identifierade riskerna – enligt den personuppgiftsansvariges bedömning – kräver genomförande av ytterligare åtgärder än de som databehandlaren redan har genomfört, ska den personuppgiftsansvarige ange de ytterligare åtgärder som ska genomföras i bilaga C. 7. Användning av underbehandlare Databehandlaren ska uppfylla de villkor som avses i dataskyddsförordningens artikel 28.2 och 28.4 för att använda en annan databehandlare (en underbehandlare). Databehandlaren får således inte använda en underbehandlare för fullgörelse av utan föregående allmänt skriftligt godkännande från den personuppgiftsansvarige. Databehandlaren har den personuppgiftsansvariges allmänna godkännande för användning av underbehandlare. Databehandlaren ska skriftligen underrätta den personuppgiftsansvarige om eventuella planerade ändringar avseende tillägg eller byte av underbehandlare med minst 1 månads varsel för att ge den personuppgiftsansvarige möjlighet att invända mot sådana ändringar innan användningen av den eller de berörda underbehandlarna. Längre varsel för underrättelse i förbindelse med specifika behandlingsaktiviteter kan anges i bilaga B. Listan över underbehandlare som den personuppgiftsansvarige redan har godkänt framgår av bilaga B. När databehandlaren använder en underbehandlare i samband med utförande av specifika behandlingsaktiviteter för den personuppgiftsansvariges räkning, ska databehandlaren genom ett avtal eller annat rättsligt dokument enligt EU-rätten eller medlemsstaternas nationella rätt, ålägga underbehandlaren samma dataskyddsskyldigheter som de framgår av dessa Klausuler, därmed säkerställs att underbehandlaren kommer att vidta de tekniska och organisatoriska åtgärderna på ett sätt att behandlingen uppfyller kraven i dessa Klausuler och dataskyddsförordningen. Databehandlaren är därför ansvarig för att kräva att underbehandlaren åtminstone följer databehandlarens skyldigheter enligt dessa Klausuler och dataskyddsförordningen. Underdatabehandlingsavtal och eventuella senare ändringar till dessa skickas – efter den personuppgiftsansvariges begäran – i kopia till den personuppgiftsansvarige, som därmed har möjlighet att säkerställa att motsvarande dataskyddsskyldigheter som följer av dessa Klausuler har ålagts underbehandlaren. Bestämmelser om kommersiella villkor som inte påverkar det dataskyddsrättsliga innehållet i underdatabehandlingsavtalet behöver inte skickas till den personuppgiftsansvarige. Om underbehandlaren inte uppfyller sina dataskyddsskyldigheter, kvarstår databehandlarens fulla ansvar gentemot den personuppgiftsansvarige för underbehandlarens fullgörande av sina skyldigheter. Detta påverkar inte de registrerades rättigheter, som följer av dataskyddsförordningen, inklusive särskilt förordningens artiklar 79 och 82, gentemot den personuppgiftsansvarige och databehandlaren, inklusive underbehandlaren. 8. Överföringar till tredje land eller internationella organisationer Överföring av personuppgifter till tredje land eller internationella organisationer får endast utföras av databehandlaren baserat på dokumenterade instruktioner från den personuppgiftsansvarige och ska alltid ske i enlighet med kapitel V i dataskyddsförordningen. Om överföring av personuppgifter till tredje land eller internationella organisationer, som databehandlaren inte har blivit instruerad om av den personuppgiftsansvarige, krävs enligt EU-lagstiftning eller medlemsstaternas nationella rätt som databehandlaren är underkastad, ska databehandlaren informera den personuppgiftsansvarige om detta rättsliga krav innan behandling, såvida inte den aktuella rätten förbjuder en sådan information av viktiga samhälleliga intressen. Utan dokumenterade instruktioner från den personuppgiftsansvarige får databehandlaren därmed inte inom ramen för dessa Klausuler: överföra personuppgifter till en personuppgiftsansvarig eller databehandlare i ett tredje land eller en internationell organisation överlämna behandling av personuppgifter till en underbehandlare i ett tredje land behandla personuppgifterna i ett tredje land Den personuppgiftsansvariges instruktioner gällande överföring av personuppgifter till ett tredje land, inklusive den eventuella överföringsgrunden i kapitel V i dataskyddsförordningen, som överföringen är baserad på, ska anges i bilaga C.6. Dessa Klausuler ska inte förväxlas med standardavtalsklausuler som avses i artikel 46.2 c och d i dataskyddsförordningen, och dessa Klausuler får inte utgöra en grund för överföring av personuppgifter som avses i kapitel V i dataskyddsförordningen. 9. Bistånd till den personuppgiftsansvarige Databehandlaren bistår, med hänsyn till behandlingens karaktär, så långt möjligt den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder med uppfyllandet av den personuppgiftsansvariges skyldighet att besvara begäran om utövande av registrerades rättigheter enligt kapitel III i dataskyddsförordningen. Detta innebär att databehandlaren så långt möjligt ska bistå den personuppgiftsansvarige när det gäller att säkerställa överensstämmelsen med: Informationsplikten vid insamling av personuppgifter från den registrerade Informationsplikten, om personuppgifter inte har samlats in från den registrerade Rätten till insyn Rätt till rättelse Rätt till radering ("rätten att bli bortglömd") Rätten att begränsa behandlingen Meddelandeskyldigheten i samband med rättelse eller radering av personuppgifter eller begränsning av behandling Rätten till dataportabilitet Rätten till invändning Rätten att inte bli föremål för ett beslut grundat uteslutande på automatisk behandling, inklusive profilering Utöver databehandlarens skyldighet att bistå den personuppgiftsansvarige enligt Klausul 6.3., bistår databehandlaren dessutom, med hänsyn till behandlingens karaktär och de upplysningar som är tillgängliga för databehandlaren, den personuppgiftsansvarige med: Den personuppgiftsansvariges skyldighet att utan onödigt dröjsmål och om möjligt senast 72 timmar, efter att denne fick kännedom om det, anmäla brott mot personuppgiftssäkerheten till den behöriga tillsynsmyndigheten (Danmark: Datatilsynet), om det inte är osannolikt att brottet mot personuppgiftssäkerheten innebär en risk för individs rättigheter eller friheter Den personuppgiftsansvariges skyldighet att utan onödigt dröjsmål underrätta den registrerade om brott mot personuppgiftssäkerheten, när brottet sannolikt innebär en hög risk för individers rättigheter och friheter Den personuppgiftsansvariges skyldighet att före behandlingen genomföra en analys av de planerade behandlingsaktiviteters konsekvenser för skydd av personuppgifter (en konsekvensbedömning) Den personuppgiftsansvariges skyldighet att rådfråga den behöriga tillsynsmyndigheten (Danmark: Datatilsynet), innan behandling, om en konsekvensbedömning med avseende på dataskydd visar att behandlingen kan leda till hög risk i frånvaro av åtgärder som vidtas av den personuppgiftsansvarige för att begränsa risken. 10. Meddelande om brott mot personuppgiftssäkerheten Databehandlaren meddelar utan onödigt dröjsmål den personuppgiftsansvarige efter att ha blivit medveten om att ett brott mot personuppgiftssäkerheten har ägt rum. Databehandlarens meddelande till den personuppgiftsansvarige ska ske utan onödigt dröjsmål och om möjligt senast 24 timmar efter att denne blivit medveten om brottet, så att den personuppgiftsansvarige kan uppfylla sin skyldighet att anmäla brottet till den behöriga tillsynsmyndigheten, enligt artikel 33 i dataskyddsförordningen. Enligt Klausul 9.2.a ska databehandlaren bistå den personuppgiftsansvarige med att göra anmälan av brottet till den behöriga tillsynsmyndigheten. Detta innebär att databehandlaren ska bistå med att tillhandahålla följande information, som enligt artikel 33.3 ska framgå i den personuppgiftsansvariges anmälan av brottet till den behöriga tillsynsmyndigheten: Brottets karaktär, inklusive, om möjligt, kategorierna och det ungefärliga antalet berörda registrerade samt kategorierna och det ungefärliga antalet berörda registreringar av personuppgifter De sannolika konsekvenserna av brottet mot personuppgiftssäkerheten De åtgärder som den personuppgiftsansvariga har vidtagit eller föreslår vidta för att hantera brottet mot personuppgiftssäkerheten, inklusive där det är relevant, åtgärder för att begränsa dess möjliga negativa effekter. Parterna ska i bilaga C ange den information som databehandlaren ska tillhandahålla i förbindelse med sin bistånd till den personuppgiftsansvarige i dennes skyldighet att anmäla brott mot personuppgiftssäkerheten till den behöriga tillsynsmyndigheten. 11. Radering och återlämnande av uppgifter Vid upphörande av tillhandahållande av tjänster avseende behandling av personuppgifter, är databehandlaren skyldig att radera alla personuppgifter som har behandlats för den personuppgiftsansvariges räkning och bekräfta för den personuppgiftsansvarige att uppgifterna har raderats, om inte EU-rätt eller medlemsstaternas nationella rätt föreskriver bevarande av personuppgifterna. 12. Granskning, inklusive inspektion Databehandlaren tillhandahåller all information som behövs för att visa överensstämmelse med artikel 28 i dataskyddsförordningen och dessa Klausuler till den personuppgiftsansvarige och möjliggör och bidrar till granskningar, inklusive inspektioner, som utförs av den personuppgiftsansvarige eller annan revisor som har bemyndigats av den personuppgiftsansvarige. Procedurer för den personuppgiftsansvariges granskningar, inklusive inspektioner, med databehandlaren och underbehandlare anges närmare i Bilaga C. Databehandlaren är skyldig att ge tillsynsmyndigheter, enligt gällande lag, tillgång till den personuppgiftsansvariges eller databehandlarens faciliteter, eller ombud som agerar på tillsynsmyndighetens vägnar, tillgång till databehandlarens fysiska faciliteter mot korrekt legitimation. 13. Ikraftträdande och upphörande Klausulerna träder i kraft på det datum då båda parterna undertecknar dem. Båda parterna kan begära omförhandling av Klausulerna om lagändringar eller olägenheter i Klausulerna ger anledning till det. Klausulerna är giltiga så länge databehandlaren tillhandahåller tjänster avseende behandling av personuppgifter. Under denna period kan Klausulerna inte sägas upp, om inte andra bestämmelser som reglerar tillhandahållande av tjänster avseende behandling av personuppgifter avtalas mellan parterna. Om tjänsterna avseende behandling av personuppgifter upphör, och personuppgifterna har raderats eller återlämnats till den personuppgiftsansvarige i enlighet med Klausul 11.1 och Bilaga C.4, kan Klausulerna sägas upp med skriftlig uppsägning från båda parterna. Bilaga A Information om behandlingen A.1. Syftet med databehandlarens behandling av personuppgifter för den personuppgiftsansvariges räkning Syftet med behandling av personuppgifter är utförande av databehandlarens tjänster, som efter avtal tillhandahålls den personuppgiftsansvarige. I tjänsten kan, baserat på uppgifterna från den personuppgiftsansvarige och användarnas svar på frågor, personanalyser, teamledare och rollstilsanalyser och variationer därav utarbetas. A.2. Databehandlarens behandling av personuppgifter för den personuppgiftsansvariges räkning handlar främst om (karaktären av behandlingen) Utarbetande av personanalys och lagring av dessa. Användning av icke-personlig och anonymiserad information för statistik och förbättring av tjänsten. A.3. Behandlingen omfattar följande typer av personuppgifter om de registrerade Namn, (eventuell) titel, födelsedatum, kontaktinformation (bl.a. e-postadress) Svar på frågor för att genomföra personanalys. Personanalys A.4. Behandlingen omfattar följande kategorier av registrerade Den personuppgiftsansvariges administratörer Användare, som kan vara anställda hos den personuppgiftsansvarige eller kandidater till en tjänst hos den personuppgiftsansvarige eller kandidater till en tjänst hos en kund till den personuppgiftsansvarige. A.5. Databehandlarens behandling av personuppgifter för den personuppgiftsansvariges räkning kan påbörjas efter att dessa Klausuler har trätt i kraft. Behandlingen har följande varaktighet Behandlingen av personuppgifter genomförs så länge den personuppgiftsansvarige använder databehandlarens tjänst. Bilaga B Underdatabehandlare B.1. Godkända underdatabehandlare Från Klausulernas ikraftträdande har den personuppgiftsansvarige godkänt användning av följande underdatabehandlare: NAMN CVR ADRESS BESKRIVNING AV BEHANDLING skyPIM A/S 21396648 Boulevarden 19E 7100 Vejle Hosting och teknisk drift av tjänsten. Behandlingsland: Danmark, Tyskland. Vid Klausulernas ikraftträdande har den personuppgiftsansvarige godkänt användningen av ovanstående underdatabehandlare för den beskrivna behandlingsaktiviteten. Databehandlaren får inte – utan den personuppgiftsansvariges skriftliga godkännande – använda en underdatabehandlare för en annan behandlingsaktivitet än den beskrivna och avtalade eller använda en annan underdatabehandlare för denna behandlingsaktivitet. Bilaga C Instruktioner för behandling av personuppgifter C.1. Behandlingens föremål/instruktion Databehandlarens behandling av personuppgifter för den personuppgiftsansvariges räkning sker genom att databehandlaren utför följande: Databehandlaren ska baserat på den personuppgiftsansvariges användning av den överenskomna tjänsten mellan den personuppgiftsansvarige och databehandlaren, samla in information om den personuppgiftsansvarige eller den personuppgiftsansvariges användare när denna information skrivs in i tjänsten och baserat på detta utarbeta personanalyser för den personuppgiftsansvariges räkning, vilka också ska lagras av den personuppgiftsansvarige. C.2. Behandlingssäkerhet Säkerhetsnivån ska reflektera: Att det inte handlar om känsliga personuppgifter, men dock uppgifter som av datasubjekterna kan uppfattas som ha en viss känslighet. Databehandlaren är därmed berättigad och skyldig att fatta beslut om vilka tekniska och organisatoriska säkerhetsåtgärder som ska genomföras för att ställa in den nödvändiga säkerhetsnivån. Om den personuppgiftsansvarige önskar andra eller ytterligare säkerhetsåtgärder genomförda, inklusive där detta skulle vara baserat på revision/inspektion, är den personuppgiftsansvarige ansvarig för eventuella ytterligare kostnader för databehandlaren som detta kan medföra. C.3 Bistånd till den personuppgiftsansvarige När databehandlaren bistår den personuppgiftsansvarige med fullgörandet av dennes skyldigheter, är databehandlaren berättigad att ta ut ersättning för sådant arbete, med sin vid varje tidpunkt gällande timtaxa. C.6 Instruktioner för överföring av personuppgifter till tredje land Om den personuppgiftsansvarige inte i dessa Klausuler eller därefter ger en dokumenterad instruktion om överföring av personuppgifter till ett tredje land, är databehandlaren inte berättigad inom ramen för dessa Klausuler att göra sådana överföringar. C.7 Procedurer för den personuppgiftsansvariges revisioner, inklusive inspektioner, med behandlingen av personuppgifter, som har överlåtits till databehandlaren/underdatabehandlare Efter förfrågan från den personuppgiftsansvarige ska databehandlaren på den personuppgiftsansvariges bekostnad skaffa en granskningsrapport från en oberoende tredje part gällande överensstämmelsen med databehandlarens/underdatabehandlarens överensstämmelse med dataskyddsförordningen, dataskyddsbestämmelser i annan EU-rätt eller medlemsstaternas nationella rätt och dessa Klausuler. Parterna är överens om att följande typer av granskningsrapporter kan användas i enlighet med dessa Klausuler: ISAE 3000-granskningsrapport eller annan liknande rapporttyp. Den personuppgiftsansvarige eller en representant för den personuppgiftsansvarige har dessutom tillträde att genomföra inspektioner, inklusive fysiska inspektioner, av lokalerna från vilka databehandlaren/underdatabehandlaren utför behandlingen av personuppgifter, inklusive fysiska lokaler och system som används för eller i samband med behandlingen. Sådana inspektioner kan genomföras när den personuppgiftsansvarige finner det nödvändigt. Databehandlarens och underdatabehandlarens eventuella kostnader i samband med tillsyn av databehandligen hos databehandlaren eller underdatabehandlare eller fysisk inspektion av databehandlarens eller underdatabehandlarens lokaler ska bäras av den personuppgiftsansvarige. [1] Hänvisningar till "medlemsstat" i dessa bestämmelser ska förstås som en hänvisning till "EES-medlemsstater".
Villkor
IPA:S VILLKOR Dessa villkor gäller i förhållande till IPA Nordic ApS:s (”IPA”) tjänster för Kunden. 1. Användningsrätt 1.1 Vid ingående av avtal om detta med IPA erhåller Kunden användningsrätt i enlighet med dessa villkor för att använda IPAs tjänst i den överenskomna versionen (”Tjänsten”). Kunden har rätt att - om inte annat särskilt avtalats - använda Tjänsten internt i sin verksamhet, vilket inkluderar fall där Kunden utför rekryteringsarbete för tredje man, då Kunden dock kan ge användare utanför sin organisation, som är kandidater till anställning i Kundens företag eller det företag för vilket Kunden utför rekryteringsarbete, tillgång till att använda Tjänsten i samband med att besvara frågor, jfr. pkt. 1.2. 1.2 Kunden har rätt att använda Tjänsten som förutsatt och har rätt att ge medarbetare och andra (”Kundens Användare”) tillgång till att använda Tjänsten, inklusive tillhörande analyser, som förutsatt. Användare kan vara vanliga användare som svarar på frågor för Tjänstens bruk eller administratörer som har tillgång till cockpit och utarbetade analyser. 1.3 Kundens administratörer ska vara anställda i Kundens verksamhet och alltid vara certifierade i användningen av de analyser som Kunden får tillgång till via Tjänsten. IPA erbjuder certifiering i de analyser som omfattas av Tjänsten enligt angivelse på IPAs webbplats eller på annat sätt. 2. Implementering 2.1 IPA eller en av IPAs partners genomför implementering av Tjänsten för Kundens bruk, vilket innebär att Kunden kan få tillgång till Tjänsten som avtalat vid den avtalade tidpunkten. 2.2 IPA eller IPAs partner har rätt att i rimlig omfattning göra ändringar i den överenskomna tidpunkten för implementering, förutsatt att sådan ändring aviseras till Kunden. 2.3 Kunden ska medverka i relevant omfattning vid implementeringen, vilket inkluderar att ge IPA eller IPAs partner de för implementeringen nödvändiga och korrekta upplysningarna och i nödvändig omfattning ge tillgång till it-resurser. 3. Drift 3.1 Tjänsten körs och nås av kunden online. IPA kommer att sträva efter att Tjänsten är tillgänglig för kunden när som helst, men garanterar ingen bestämd upptid. 3.2 Kunden ansvarar för att anskaffa den utrustning, de applikationer och nätverksanslutningar som krävs för att använda Tjänsten. På Kundens begäran informerar IPA om eventuella särskilda specifikationer för utrustning, applikationer osv. 3.3 Kundens eller Kundens Användares tillgång till Tjänsten kan av IPA utan ansvar helt eller delvis avbrytas: a) om detta är nödvändigt för att underhålla, reparera eller uppdatera Tjänsten. Sådan avbrott av tillgång till Tjänsten ska, i den mån det är möjligt, meddelas Kunden i god tid, även om det i vissa situationer kan vara nödvändigt att stänga av tillgången till Tjänsten utan förvarning även under arbetstid. b) om det finns skäl att tro att Kundens eller Kundens Användares konton missbrukas av tredje man. Återställning av tillgång kan komma att kräva att Kundens Användares användarnamn och/eller lösenord ändras. c) om Kundens handlingar eller förhållanden som Kunden ansvarar för har eller kan förväntas orsaka skada på Tjänsten, inklusive i förhållande till andra kunder eller användare av Tjänsten, eller om Tjänsten rimligtvis kan antas användas för olagliga aktiviteter. Tillgång till Tjänsten kommer i dessa situationer att återställas när sådana förhållanden har klarte sig till IPAs tillfredsställelse. d) om Kunden inte följer kravet på certifiering av administratörer, jfr. pkt. 1.3, och kravet på certifiering inte har uppfyllts på 60 dagar. e) om Kunden är i betalningsdröjsmål gentemot IPA. 3.4 Om IPA avbryter Kundens eller Kundens Användares tillgång till Tjänsten, jfr. pkt. 3.3, kommer IPA snarast möjligt att informera Kunden om detta, inklusive skälet till avbrottet, samt när och under vilka förutsättningar tillgång till Tjänsten kan återställas. Sådant avbrott utgör inte brott mot Avtalet och berättigar inte Kunden till återbetalning av avgifter eller övriga påföljder för brott. 3.5 Kunden ansvarar själv för att säkerhetskopiera de data som behandlas för Kunden i Tjänsten. På särskild begäran hjälper IPA Kunden med säkerhetskopiering, och IPA hjälper även Kunden att importera data från säkerhetskopior. IPA har rätt till ersättning för sådant arbete baserat på IPAs tillämpliga timpriser för sådant arbete samt eventuella kostnader för tredje man. 4. Användning av Tjänsten 4.1 Kunden ansvarar för inmatning av egna uppgifter i Tjänsten och ansvarar för att sådana data är korrekta och giltiga. IPA ansvarar inte för att Tjänsten och dess användning är lämplig för Kundens användning eller planerade användning. Det är Kundens eget ansvar. 4.2 IPA ansvarar för att IPAs tjänst som sådan följer lagstiftningen i Sverige. Kunden ansvarar för att dess användning av Tjänsten, inklusive behandling av data, är laglig och att alla lagkrav i samband med Kundens användning av Tjänsten följs, inklusive beträffande hantering av personuppgifter, samt ansvarar för all användning av Tjänsten med hjälp av de användarnamn och lösenord som är kopplade till Kunden och Kundens Användare. 4.3 Kunden och Kundens Användare ska alltid skydda sina användarnamn och lösenord till Tjänsten. Om Kunden misstänker eller upptäcker att Kundens eller Kundens Användares tillgång till Tjänsten missbrukas, eller att tredje man har fått tillgång till Kundens eller Kundens Användares användarnamn och lösenord, ska Kunden omgående meddela IPA. 4.4 IPA har rätt att övervaka användningen av Tjänsten och använda all information om och i Tjänsten i anonym form för att utarbeta statistik och för underhåll av Tjänsten. 5. Ändring av Tjänsten 5.1 IPA har rätt att göra ändringar i Tjänsten och dess utformning. IPA kommer att sträva efter att meddela Kunden om sådana ändringar med minst 30 dagars varsel innan ändringarna träder i kraft, även om sådant varsel i vissa fall inte kan upprätthållas, såsom när ändringen beror på säkerhetsskäl. 5.2 Om IPA gör så väsentliga ändringar i Tjänsten att den inte längre kan anses vara densamma tjänsten, exempelvis om grundläggande eller ofta använda funktioner av Kunden tas bort och inte bara förutsätter ett ändrat användarmönster, har Kunden rätt att avsluta avtalet med 30 dagars varsel och kommer i en sådan situation att få återbetalt en proportionell del av eventuellt förskottsbetald avgift för användningen av Tjänsten för perioden efter avtalets upphörande. 6. Övriga konsulttjänster 6.1 IPA levererar konsulttjänster till Kunden, utöver implementeringstjänster, jfr. pkt. 2, som separat avtalats. Konsulttjänster levereras av IPA i enlighet med god praxis utan resultatansvar, och Kunden ansvarar själv för att konsulttjänsten är lämplig för Kundens användning eller planerade användning. 6.2 Sådana övriga konsulttjänster anses som levererade när IPA meddelar att konsulttjänsterna är utförda och fullbordade som avtalats, eller när Kunden börjar använda resultaten av konsulttjänsten. 7. Priser och betalning 7.1 Kunden betalar för tillgång till Tjänsten för en tolvmånadersperiod i förskott från tidpunkten för implementering, om inte annat särskilt avtalats. 7.2 Implementeringstjänster faktureras av IPA eller IPAs partner när implementeringen är levererad. Certifieringstjänster kan faktureras av IPA vid Kundens beställning av dessa. IPAs övriga konsulttjänster faktureras vid deras leverans eller månadsvis i efterskott. 7.3 IPAs utfärdade fakturor förfaller till betalning 14 dagar efter avsändande. Vid försenad betalning har IPA rätt att ta ut dröjsmålsränta på 2 % per påbörjad månad. 7.4 IPA upprätthåller eventuellt överenskomna reducerade priser i en period på 12 månader från avtalets ingående. Därefter tillämpas listpriser som anges i IPAs tillämpliga prislista. 7.5 IPA har rätt att justera sina listpriser en gång årligen med minst förändringen i nettoprisindex. Dessutom har IPA rätt att ändra sina listpriser om detta beror på förändringar i lagstiftningen, liksom IPA har rätt att ändra sina listpriser där detta beror på ändrade priser på tredjepartsapplikationer eller tredjepartsprodukter som är nödvändiga för leveransen av IPAs tjänst. IPA kommer att meddela om sådana eventuella prisförändringar med minst 30 dagars varsel. 8. Immaterialrättigheter 8.1 IPA har och behåller alla äganderättigheter och immateriella rättigheter, inklusive upphovsrätt till Tjänsten och de andra material som är kopplade till Tjänsten, såsom manualer och guider. Tjänsten och de andra material som är kopplade till tjänsten kan innehålla element och komponenter till vilka tredje man har immateriella rättigheter. IPA har i så fall nödvändiga rättigheter att göra Tjänsten och de andra material som är kopplade till Tjänsten tillgängliga för Kunden. 8.2 Kunden erhåller baserat på avtalet, jfr. pkt 1, och under dess giltighetstid användningsrätt till Tjänsten, och de andra material som är kopplade till Tjänsten, som de tillhandahålls av IPA och för de avsedda syftena. Kunden erhåller inga rättigheter, utöver den angivna användningsrätten till processer eller liknande, som ingår i Tjänsten. 8.3 Kunden erhåller en obegränsad användningsrätt till sådant material som produceras via Tjänsten baserat på Kundens data och användning av Tjänsten. Häri har Kunden rätt att göra ändringar i och mångfaldiga sådant material. 8.4 Kunden behåller ägande och immateriella rättigheter kopplade till de data som Kunden lägger in i Tjänsten. Kunden ger IPA en icke-exklusiv, avgiftsfri användningsrätt till sådana data i syfte att uppfylla Avtalet. 8.5 För sådana konsulttjänster, inklusive resultat av konsulttjänsterna, som tillhandahålls av IPA till Kunden, behåller IPA ägarskap och immateriella rättigheter med respekt för Kundens rättigheter och sekretess. Kunden tilldelas under Avtalets löptid en användningsrätt att använda konsulttjänsterna och deras resultat för intern användning inom Kundens verksamhet. 9. Sekretess 9.1 Var och en av Parterna ska hemlighålla den andra partens interna uppgifter, inklusive affärshemligheter och avtal mellan parterna, och får inte använda eller avslöja sådana uppgifter för andra syften än de avsedda i samband med tillhandahållandet av informationen, utan den andra partens förhandstillstånd. IPA hemlighåller även personuppgifter som laddas in i Tjänsten av Kunden som beskrivet i det mellan parterna ingångna personuppgiftsbiträdesavtalet. 9.2 Oavsett pkt. 9.1 är IPA behörig att överlåta Kundens uppgifter, inklusive interna uppgifter, till IPAs underleverantörer i den mån detta är nödvändigt för leveransen av IPAs tjänster till Kunden, förutsatt att sådana underleverantörer är bundna av motsvarande sekretess. Parterna är också behöriga att lämna ut den andra partens uppgifter, som annars skulle varit hemliga, om detta följer av ett domstolsbeslut eller giltigt krav från en myndighet. 9.3 Sekretessbestämmelserna i detta pkt. 9 gäller inte för uppgifter som är offentligt tillgängliga, som erhålls från tredje man utan att krav från denne ställs om sekretess, som mottas eller erhålls på annat sätt utan att krav på sekretess ställs, eller som utvecklas självständigt av parten utan att använda information som tagits emot från den andra parten. 9.4 Bestämmelserna i detta pkt. 9 förblir i kraft i fem år efter Avtalets upphörande, oavsett anledningen till sådant upphörande. 10. Personuppgiftsbehandling 10.1 IPA behandlar personuppgifter i Tjänsten, inklusive sådana personuppgifter som Kunden laddar in i Tjänsten. Förhållanden kring personuppgiftsbehandling regleras i det mellan Kunden och IPA ingångna personuppgiftsbiträdesavtalet. 11. Mislighållande 11.1 Om Kunden önskar påkalla brister i IPAs tjänster ska detta ske omedelbart, och för konsulttjänster, inklusive implementeringstjänster, senast 30 dagar efter leveransen av dessa. IPA är alltid berättigad att genomföra omleverans. 11.2 Om någon av parterna väsentligt bryter mot Avtalet, och sådant väsentligt brott inte avhjälps inom 30 dagar sedan den skyldiga parten har informerats om avtalsbrottet av den icke-skyldiga parten, har den icke-skyldiga parten rätt att skriftligen häva Avtalet för framtiden. 12. Ansvar 12.1 Parterna är ersättningsskyldiga gentemot varandra i enlighet med allmänna regler i svensk lag med följande begränsningar. 12.2 IPAs totala ersättningsansvar gentemot Kunden kan aldrig överstiga det belopp som Kunden har betalat till IPA för användning av Tjänsten under den senaste sexmånadersperioden innan anspråket uppstod. IPA ansvarar aldrig gentemot Partnern för indirekt förlust, inklusive, men inte begränsat till förlorad inkomst, förlorad omsättning, förlorade förväntade besparingar eller förlorad goodwill. 12.3 Den i pkt. 12.2 angivna begränsningen av ersättningsansvar gäller inte där ansvaret orsakats av grov vårdslöshet eller uppsåt. 13. Force Majeure 13.1 Ingen av parterna ansvarar för att uppfylla sina skyldigheter enligt Avtalet, om den bristande uppfyllelsen beror på force majeure, som avser förhållanden utanför partens rimliga kontroll, inklusive force majeure hos underleverantörer, och som parten inte borde ha tagit i beaktande vid Avtalets ingående. Om force majeure-situationen varar längre än 30 dagar har den part som inte är drabbad av force majeure rätt att säga upp Avtalet utan varsel. 14. Avtalets upphörande 14.1 Kunden har rätt att när som helst säga upp Avtalet med 12 månaders varsel efter utgången av en kalendermånad. Avtalet kan först vars upphörande efter 12 månader. Den totala minimiperioden är därför 24 månader. IPA kan avsluta Avtalet med minst 12 månaders varsel till utgången av en kalendermånad. 14.2 Förskottsbetalda avgifter återbetalas inte vid Kundens uppsägning av Avtalet. Om IPA säger upp Avtalet, återbetalas en proportionell del av eventuellt förskottsbetalda avgifter till Kunden motsvarande det belopp som Kunden har betalat för användning av Tjänsten under perioden efter Avtalets upphörande. 15. Överföring av data till Kunden 15.1 På Kundens begäran hjälper IPA Kunden när som helst med att överföra alla Kundens data i Tjänsten till Kunden eller en av Kunden utsedd tredje part i ett allmänt använt format, vilket möjliggör vidare behandling av Kundens data, förutsatt att Kunden meddelar om en sådan önskan senast vid Avtalets upphörande. 15.2 IPA är behörig att ta betalt för sin tidsåtgång i samband med dataöverföringar och tillhandahållen assistans, i enlighet med IPAs aktuella timpriser för sådant arbete med tillägg för IPAs kostnader, liksom IPA, om det anser det nödvändigt, har rätt att kräva att alla förfallna utestående belopp betalas och eventuellt kräva att ett rimligt belopp för sin assistans förskottsbetalas innan sådan assistans ges. 16. Marknadsföring 16.1 IPA har rätt att använda Kundens namn och varumärke som referens i sitt generella fysiska eller digitala marknadsföringsmaterial. 16.2 Om IPA önskar hänvisa potentiella kunder till att kontakta Kunden för referencesamtal eller möten, måste detta avtalas separat. 17. Underleverantörer 17.1 IPA har rätt att använda underleverantörer för att uppfylla sina skyldigheter gentemot Kunden. IPA ansvarar för sådana underleverantörers tjänster som för sina egna. Underleverantörer ska hålla Kundens uppgifter hemliga, jfr. pkt. 9.1. 18. Överföring 18.1 Ingen av Parterna har rätt att överföra sina skyldigheter och rättigheter enligt Avtalet till tredje man utan den andra partens skriftliga samtycke. Ett samtycke till sådan överlåtelse ska inte orimligt nekas. Dock har IPA rätt att överföra sina rättigheter och skyldigheter i samband med en helt eller delvis försäljning eller annan affärsrättslig omstrukturering av IPA. 19. Avtalsändringar 19.1 Avtalet kan endast ändras av Parterna genom skriftlig överenskommelse, såvida inget annat framgår av Avtalet. 20. Tvistlösning 20.1 Om det uppstår en tvist mellan Parterna baserat på Avtalet, ska Parterna sträva efter att lösa sådan tvist i godo. Om tvisten inte löses i godo inom rimlig tid kan var och en av Parterna söka avgöra tvisten vid de allmänna svenska domstolarna med IPAs huvudsäte som jurisdiktion. 20.2 Avtalet regleras av svensk rätt med undantag för svenska internationella lagvalsregler.
Databehandlingsavtal
Databehandlaravtal enligt artikel 28.3 i förordning 2016/679 (dataskyddsförordningen) för databehandlarens behandling av personuppgifter mellan användaren av IPA People Suite och IPA Nordic ApS CVR 40700048 Borgvold 3 8260 Viby J hädanefter "databehandlaren" som var och en är en "part" och tillsammans utgör "parterna" Har kommit överens om följande standardavtalsklausuler (Klausulerna) för att följa dataskyddsförordningen och säkerställa skyddet av individers integritet och grundläggande rättigheter och friheter. 2. Inledning Dessa Klausuler fastställer databehandlarens rättigheter och skyldigheter när denne hanterar personuppgifter för den personuppgiftsansvariges räkning. Dessa klausuler är utformade för att parterna ska efterleva artikel 28.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om fri rörlighet för sådana uppgifter och om upphävande av direktiv 95/46/EG (dataskyddsförordningen). I samband med databehandlarens tillhandahållande av tjänster till den personuppgiftsansvarige, behandlar databehandlaren personuppgifter för den personuppgiftsansvariges räkning i enlighet med dessa Klausuler. Klausulerna har företräde framför eventuella motsvarande bestämmelser i andra avtal mellan parterna. Till dessa Klausuler hör fyra bilagor, vilka utgör en integrerad del av Klausulerna. Bilaga A innehåller detaljerad information om behandlingen av personuppgifter, inklusive behandlingens syfte och karaktär, typen av personuppgifter, kategorier av registrerade och behandlingens varaktighet. Bilaga B innehåller den personuppgiftsansvariges villkor för databehandlarens användning av underbehandlare och en lista över underbehandlare som har godkänts av den personuppgiftsansvarige. Bilaga C innehåller den personuppgiftsansvariges instruktioner angående databehandlarens behandling av personuppgifter, en beskrivning av de säkerhetsåtgärder som databehandlaren minst ska genomföra, och hur tillsyn över databehandlaren och eventuella underbehandlare ska utföras. Bilaga D innehåller bestämmelser avseende andra aktiviteter som inte omfattas av Klausulerna. Klausulerna med tillhörande bilagor ska förvaras skriftligt, inklusive elektroniskt, av båda parter. Dessa Klausuler befriar inte databehandlaren från skyldigheter som databehandlaren åläggs enligt dataskyddsförordningen eller någon annan lagstiftning. 3. Den personuppgiftsansvariges rättigheter och skyldigheter Den personuppgiftsansvarige ansvarar för att säkerställa att behandlingen av personuppgifter sker i enlighet med dataskyddsförordningen (se förordningens artikel 24), dataskyddsbestämmelser i annan EU-lagstiftning eller medlemsstaternas nationella rätt och dessa Klausuler. Den personuppgiftsansvarige har rätt och skyldighet att fatta beslut om för vilka ändamål och med vilka medel behandling av personuppgifter får äga rum. Den personuppgiftsansvarige ansvarar för att, bland annat, säkerställa att det finns en rättslig grund för behandlingen av personuppgifter, som databehandlaren instrueras att utföra. 4. Databehandlaren agerar enligt instruktioner Databehandlaren får endast behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvarige, såvida det inte krävs enligt EU-lagstiftning eller medlemsstaternas nationella lagstiftning som databehandlaren är underkastad. Denna instruktion ska specificeras i bilagorna A och C. Efterföljande instruktioner kan också ges av den personuppgiftsansvarige, medan det sker behandling av personuppgifter, men instruktionen ska alltid dokumenteras och förvaras skriftligt, inklusive elektroniskt, tillsammans med dessa Klausuler. Databehandlaren underrättar omedelbart den personuppgiftsansvarige om en instruktion enligt databehandlarens uppfattning strider mot denna förordning eller dataskyddsbestämmelser i annan EU-lagstiftning eller medlemsstaternas nationella lagstiftning. 5. Sekretess Databehandlaren får endast ge tillgång till personuppgifter som behandlas för den personuppgiftsansvariges räkning till personer som omfattas av databehandlarens instruktioner, som har åtagit sig sekretess eller omfattas av en lämplig lagstadgad sekretessplikt, och endast i den utsträckning det är nödvändigt. Listan över personer som har tilldelats åtkomst ska löpande ses över. Baserat på denna översyn kan åtkomsten till personuppgifter återkallas om den inte längre är nödvändig, och personuppgifterna ska därefter inte längre vara tillgängliga för dessa personer. Databehandlaren ska på begäran från den personuppgiftsansvarige kunna visa att de aktuella personer som omfattas av databehandlarens instruktioner är bundna av ovanstående sekretessplikt. 6. Behandlingssäkerhet Dataskyddsförordningens artikel 32 fastställer att den personuppgiftsansvarige och databehandlaren, med hänsyn till den aktuella tekniska utvecklingen, implementeringskostnaderna och behandlingens karaktär, omfattning, sammanhang och syfte samt riskerna av varierande sannolikhet och allvar för individers rättigheter och friheter, genomför lämpliga tekniska och organisatoriska åtgärder för att säkerställa en skyddsnivå som står i proportion till dessa risker. Den personuppgiftsansvarige ska bedöma riskerna för individers rättigheter och friheter som behandlingen utgör och genomföra åtgärder för att motverka dessa risker. Beroende på deras relevans kan det innefatta: Pseudonymisering och kryptering av personuppgifter, förmåga att säkerställa bestående sekretess, integritet, tillgänglighet och motståndskraft hos behandlingssystem och tjänster, förmåga att i tid återställa tillgängligheten av och åtkomsten till personuppgifter vid en fysisk eller teknisk incident, en procedur för regelbundna tester, bedömningar och utvärderingar av effektiviteten hos de tekniska och organisatoriska åtgärderna för att säkerställa behandlingssäkerhet. Enligt artikel 32 ska databehandlaren – oberoende av den personuppgiftsansvarige – också bedöma riskerna för individers rättigheter som behandlingen utgör och genomföra åtgärder för att motverka dessa risker. För att möjliggöra denna bedömning ska den personuppgiftsansvarige tillhandahålla den information som behövs för databehandlaren för att denne ska kunna identifiera och bedöma sådana risker. Dessutom ska databehandlaren bistå den personuppgiftsansvarige med dennes efterlevnad av den personuppgiftsansvariges skyldighet enligt artikel 32, bland annat genom att tillhandahålla den information som behövs för den personuppgiftsansvarige när det gäller de tekniska och organisatoriska säkerhetsåtgärder som databehandlaren redan har genomfört enligt artikel 32, och all annan information som krävs för den personuppgiftsansvariges efterlevnad av sin skyldighet enligt artikel 32. Om motverkandet av de identifierade riskerna – enligt den personuppgiftsansvariges bedömning – kräver genomförande av ytterligare åtgärder än de som databehandlaren redan har genomfört, ska den personuppgiftsansvarige ange de ytterligare åtgärder som ska genomföras i bilaga C. 7. Användning av underbehandlare Databehandlaren ska uppfylla de villkor som avses i dataskyddsförordningens artikel 28.2 och 28.4 för att använda en annan databehandlare (en underbehandlare). Databehandlaren får således inte använda en underbehandlare för fullgörelse av utan föregående allmänt skriftligt godkännande från den personuppgiftsansvarige. Databehandlaren har den personuppgiftsansvariges allmänna godkännande för användning av underbehandlare. Databehandlaren ska skriftligen underrätta den personuppgiftsansvarige om eventuella planerade ändringar avseende tillägg eller byte av underbehandlare med minst 1 månads varsel för att ge den personuppgiftsansvarige möjlighet att invända mot sådana ändringar innan användningen av den eller de berörda underbehandlarna. Längre varsel för underrättelse i förbindelse med specifika behandlingsaktiviteter kan anges i bilaga B. Listan över underbehandlare som den personuppgiftsansvarige redan har godkänt framgår av bilaga B. När databehandlaren använder en underbehandlare i samband med utförande av specifika behandlingsaktiviteter för den personuppgiftsansvariges räkning, ska databehandlaren genom ett avtal eller annat rättsligt dokument enligt EU-rätten eller medlemsstaternas nationella rätt, ålägga underbehandlaren samma dataskyddsskyldigheter som de framgår av dessa Klausuler, därmed säkerställs att underbehandlaren kommer att vidta de tekniska och organisatoriska åtgärderna på ett sätt att behandlingen uppfyller kraven i dessa Klausuler och dataskyddsförordningen. Databehandlaren är därför ansvarig för att kräva att underbehandlaren åtminstone följer databehandlarens skyldigheter enligt dessa Klausuler och dataskyddsförordningen. Underdatabehandlingsavtal och eventuella senare ändringar till dessa skickas – efter den personuppgiftsansvariges begäran – i kopia till den personuppgiftsansvarige, som därmed har möjlighet att säkerställa att motsvarande dataskyddsskyldigheter som följer av dessa Klausuler har ålagts underbehandlaren. Bestämmelser om kommersiella villkor som inte påverkar det dataskyddsrättsliga innehållet i underdatabehandlingsavtalet behöver inte skickas till den personuppgiftsansvarige. Om underbehandlaren inte uppfyller sina dataskyddsskyldigheter, kvarstår databehandlarens fulla ansvar gentemot den personuppgiftsansvarige för underbehandlarens fullgörande av sina skyldigheter. Detta påverkar inte de registrerades rättigheter, som följer av dataskyddsförordningen, inklusive särskilt förordningens artiklar 79 och 82, gentemot den personuppgiftsansvarige och databehandlaren, inklusive underbehandlaren. 8. Överföringar till tredje land eller internationella organisationer Överföring av personuppgifter till tredje land eller internationella organisationer får endast utföras av databehandlaren baserat på dokumenterade instruktioner från den personuppgiftsansvarige och ska alltid ske i enlighet med kapitel V i dataskyddsförordningen. Om överföring av personuppgifter till tredje land eller internationella organisationer, som databehandlaren inte har blivit instruerad om av den personuppgiftsansvarige, krävs enligt EU-lagstiftning eller medlemsstaternas nationella rätt som databehandlaren är underkastad, ska databehandlaren informera den personuppgiftsansvarige om detta rättsliga krav innan behandling, såvida inte den aktuella rätten förbjuder en sådan information av viktiga samhälleliga intressen. Utan dokumenterade instruktioner från den personuppgiftsansvarige får databehandlaren därmed inte inom ramen för dessa Klausuler: överföra personuppgifter till en personuppgiftsansvarig eller databehandlare i ett tredje land eller en internationell organisation överlämna behandling av personuppgifter till en underbehandlare i ett tredje land behandla personuppgifterna i ett tredje land Den personuppgiftsansvariges instruktioner gällande överföring av personuppgifter till ett tredje land, inklusive den eventuella överföringsgrunden i kapitel V i dataskyddsförordningen, som överföringen är baserad på, ska anges i bilaga C.6. Dessa Klausuler ska inte förväxlas med standardavtalsklausuler som avses i artikel 46.2 c och d i dataskyddsförordningen, och dessa Klausuler får inte utgöra en grund för överföring av personuppgifter som avses i kapitel V i dataskyddsförordningen. 9. Bistånd till den personuppgiftsansvarige Databehandlaren bistår, med hänsyn till behandlingens karaktär, så långt möjligt den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder med uppfyllandet av den personuppgiftsansvariges skyldighet att besvara begäran om utövande av registrerades rättigheter enligt kapitel III i dataskyddsförordningen. Detta innebär att databehandlaren så långt möjligt ska bistå den personuppgiftsansvarige när det gäller att säkerställa överensstämmelsen med: Informationsplikten vid insamling av personuppgifter från den registrerade Informationsplikten, om personuppgifter inte har samlats in från den registrerade Rätten till insyn Rätt till rättelse Rätt till radering ("rätten att bli bortglömd") Rätten att begränsa behandlingen Meddelandeskyldigheten i samband med rättelse eller radering av personuppgifter eller begränsning av behandling Rätten till dataportabilitet Rätten till invändning Rätten att inte bli föremål för ett beslut grundat uteslutande på automatisk behandling, inklusive profilering Utöver databehandlarens skyldighet att bistå den personuppgiftsansvarige enligt Klausul 6.3., bistår databehandlaren dessutom, med hänsyn till behandlingens karaktär och de upplysningar som är tillgängliga för databehandlaren, den personuppgiftsansvarige med: Den personuppgiftsansvariges skyldighet att utan onödigt dröjsmål och om möjligt senast 72 timmar, efter att denne fick kännedom om det, anmäla brott mot personuppgiftssäkerheten till den behöriga tillsynsmyndigheten (Danmark: Datatilsynet), om det inte är osannolikt att brottet mot personuppgiftssäkerheten innebär en risk för individs rättigheter eller friheter Den personuppgiftsansvariges skyldighet att utan onödigt dröjsmål underrätta den registrerade om brott mot personuppgiftssäkerheten, när brottet sannolikt innebär en hög risk för individers rättigheter och friheter Den personuppgiftsansvariges skyldighet att före behandlingen genomföra en analys av de planerade behandlingsaktiviteters konsekvenser för skydd av personuppgifter (en konsekvensbedömning) Den personuppgiftsansvariges skyldighet att rådfråga den behöriga tillsynsmyndigheten (Danmark: Datatilsynet), innan behandling, om en konsekvensbedömning med avseende på dataskydd visar att behandlingen kan leda till hög risk i frånvaro av åtgärder som vidtas av den personuppgiftsansvarige för att begränsa risken. 10. Meddelande om brott mot personuppgiftssäkerheten Databehandlaren meddelar utan onödigt dröjsmål den personuppgiftsansvarige efter att ha blivit medveten om att ett brott mot personuppgiftssäkerheten har ägt rum. Databehandlarens meddelande till den personuppgiftsansvarige ska ske utan onödigt dröjsmål och om möjligt senast 24 timmar efter att denne blivit medveten om brottet, så att den personuppgiftsansvarige kan uppfylla sin skyldighet att anmäla brottet till den behöriga tillsynsmyndigheten, enligt artikel 33 i dataskyddsförordningen. Enligt Klausul 9.2.a ska databehandlaren bistå den personuppgiftsansvarige med att göra anmälan av brottet till den behöriga tillsynsmyndigheten. Detta innebär att databehandlaren ska bistå med att tillhandahålla följande information, som enligt artikel 33.3 ska framgå i den personuppgiftsansvariges anmälan av brottet till den behöriga tillsynsmyndigheten: Brottets karaktär, inklusive, om möjligt, kategorierna och det ungefärliga antalet berörda registrerade samt kategorierna och det ungefärliga antalet berörda registreringar av personuppgifter De sannolika konsekvenserna av brottet mot personuppgiftssäkerheten De åtgärder som den personuppgiftsansvariga har vidtagit eller föreslår vidta för att hantera brottet mot personuppgiftssäkerheten, inklusive där det är relevant, åtgärder för att begränsa dess möjliga negativa effekter. Parterna ska i bilaga C ange den information som databehandlaren ska tillhandahålla i förbindelse med sin bistånd till den personuppgiftsansvarige i dennes skyldighet att anmäla brott mot personuppgiftssäkerheten till den behöriga tillsynsmyndigheten. 11. Radering och återlämnande av uppgifter Vid upphörande av tillhandahållande av tjänster avseende behandling av personuppgifter, är databehandlaren skyldig att radera alla personuppgifter som har behandlats för den personuppgiftsansvariges räkning och bekräfta för den personuppgiftsansvarige att uppgifterna har raderats, om inte EU-rätt eller medlemsstaternas nationella rätt föreskriver bevarande av personuppgifterna. 12. Granskning, inklusive inspektion Databehandlaren tillhandahåller all information som behövs för att visa överensstämmelse med artikel 28 i dataskyddsförordningen och dessa Klausuler till den personuppgiftsansvarige och möjliggör och bidrar till granskningar, inklusive inspektioner, som utförs av den personuppgiftsansvarige eller annan revisor som har bemyndigats av den personuppgiftsansvarige. Procedurer för den personuppgiftsansvariges granskningar, inklusive inspektioner, med databehandlaren och underbehandlare anges närmare i Bilaga C. Databehandlaren är skyldig att ge tillsynsmyndigheter, enligt gällande lag, tillgång till den personuppgiftsansvariges eller databehandlarens faciliteter, eller ombud som agerar på tillsynsmyndighetens vägnar, tillgång till databehandlarens fysiska faciliteter mot korrekt legitimation. 13. Ikraftträdande och upphörande Klausulerna träder i kraft på det datum då båda parterna undertecknar dem. Båda parterna kan begära omförhandling av Klausulerna om lagändringar eller olägenheter i Klausulerna ger anledning till det. Klausulerna är giltiga så länge databehandlaren tillhandahåller tjänster avseende behandling av personuppgifter. Under denna period kan Klausulerna inte sägas upp, om inte andra bestämmelser som reglerar tillhandahållande av tjänster avseende behandling av personuppgifter avtalas mellan parterna. Om tjänsterna avseende behandling av personuppgifter upphör, och personuppgifterna har raderats eller återlämnats till den personuppgiftsansvarige i enlighet med Klausul 11.1 och Bilaga C.4, kan Klausulerna sägas upp med skriftlig uppsägning från båda parterna. Bilaga A Information om behandlingen A.1. Syftet med databehandlarens behandling av personuppgifter för den personuppgiftsansvariges räkning Syftet med behandling av personuppgifter är utförande av databehandlarens tjänster, som efter avtal tillhandahålls den personuppgiftsansvarige. I tjänsten kan, baserat på uppgifterna från den personuppgiftsansvarige och användarnas svar på frågor, personanalyser, teamledare och rollstilsanalyser och variationer därav utarbetas. A.2. Databehandlarens behandling av personuppgifter för den personuppgiftsansvariges räkning handlar främst om (karaktären av behandlingen) Utarbetande av personanalys och lagring av dessa. Användning av icke-personlig och anonymiserad information för statistik och förbättring av tjänsten. A.3. Behandlingen omfattar följande typer av personuppgifter om de registrerade Namn, (eventuell) titel, födelsedatum, kontaktinformation (bl.a. e-postadress) Svar på frågor för att genomföra personanalys. Personanalys A.4. Behandlingen omfattar följande kategorier av registrerade Den personuppgiftsansvariges administratörer Användare, som kan vara anställda hos den personuppgiftsansvarige eller kandidater till en tjänst hos den personuppgiftsansvarige eller kandidater till en tjänst hos en kund till den personuppgiftsansvarige. A.5. Databehandlarens behandling av personuppgifter för den personuppgiftsansvariges räkning kan påbörjas efter att dessa Klausuler har trätt i kraft. Behandlingen har följande varaktighet Behandlingen av personuppgifter genomförs så länge den personuppgiftsansvarige använder databehandlarens tjänst. Bilaga B Underdatabehandlare B.1. Godkända underdatabehandlare Från Klausulernas ikraftträdande har den personuppgiftsansvarige godkänt användning av följande underdatabehandlare: NAMN CVR ADRESS BESKRIVNING AV BEHANDLING skyPIM A/S 21396648 Boulevarden 19E 7100 Vejle Hosting och teknisk drift av tjänsten. Behandlingsland: Danmark, Tyskland. Vid Klausulernas ikraftträdande har den personuppgiftsansvarige godkänt användningen av ovanstående underdatabehandlare för den beskrivna behandlingsaktiviteten. Databehandlaren får inte – utan den personuppgiftsansvariges skriftliga godkännande – använda en underdatabehandlare för en annan behandlingsaktivitet än den beskrivna och avtalade eller använda en annan underdatabehandlare för denna behandlingsaktivitet. Bilaga C Instruktioner för behandling av personuppgifter C.1. Behandlingens föremål/instruktion Databehandlarens behandling av personuppgifter för den personuppgiftsansvariges räkning sker genom att databehandlaren utför följande: Databehandlaren ska baserat på den personuppgiftsansvariges användning av den överenskomna tjänsten mellan den personuppgiftsansvarige och databehandlaren, samla in information om den personuppgiftsansvarige eller den personuppgiftsansvariges användare när denna information skrivs in i tjänsten och baserat på detta utarbeta personanalyser för den personuppgiftsansvariges räkning, vilka också ska lagras av den personuppgiftsansvarige. C.2. Behandlingssäkerhet Säkerhetsnivån ska reflektera: Att det inte handlar om känsliga personuppgifter, men dock uppgifter som av datasubjekterna kan uppfattas som ha en viss känslighet. Databehandlaren är därmed berättigad och skyldig att fatta beslut om vilka tekniska och organisatoriska säkerhetsåtgärder som ska genomföras för att ställa in den nödvändiga säkerhetsnivån. Om den personuppgiftsansvarige önskar andra eller ytterligare säkerhetsåtgärder genomförda, inklusive där detta skulle vara baserat på revision/inspektion, är den personuppgiftsansvarige ansvarig för eventuella ytterligare kostnader för databehandlaren som detta kan medföra. C.3 Bistånd till den personuppgiftsansvarige När databehandlaren bistår den personuppgiftsansvarige med fullgörandet av dennes skyldigheter, är databehandlaren berättigad att ta ut ersättning för sådant arbete, med sin vid varje tidpunkt gällande timtaxa. C.6 Instruktioner för överföring av personuppgifter till tredje land Om den personuppgiftsansvarige inte i dessa Klausuler eller därefter ger en dokumenterad instruktion om överföring av personuppgifter till ett tredje land, är databehandlaren inte berättigad inom ramen för dessa Klausuler att göra sådana överföringar. C.7 Procedurer för den personuppgiftsansvariges revisioner, inklusive inspektioner, med behandlingen av personuppgifter, som har överlåtits till databehandlaren/underdatabehandlare Efter förfrågan från den personuppgiftsansvarige ska databehandlaren på den personuppgiftsansvariges bekostnad skaffa en granskningsrapport från en oberoende tredje part gällande överensstämmelsen med databehandlarens/underdatabehandlarens överensstämmelse med dataskyddsförordningen, dataskyddsbestämmelser i annan EU-rätt eller medlemsstaternas nationella rätt och dessa Klausuler. Parterna är överens om att följande typer av granskningsrapporter kan användas i enlighet med dessa Klausuler: ISAE 3000-granskningsrapport eller annan liknande rapporttyp. Den personuppgiftsansvarige eller en representant för den personuppgiftsansvarige har dessutom tillträde att genomföra inspektioner, inklusive fysiska inspektioner, av lokalerna från vilka databehandlaren/underdatabehandlaren utför behandlingen av personuppgifter, inklusive fysiska lokaler och system som används för eller i samband med behandlingen. Sådana inspektioner kan genomföras när den personuppgiftsansvarige finner det nödvändigt. Databehandlarens och underdatabehandlarens eventuella kostnader i samband med tillsyn av databehandligen hos databehandlaren eller underdatabehandlare eller fysisk inspektion av databehandlarens eller underdatabehandlarens lokaler ska bäras av den personuppgiftsansvarige. [1] Hänvisningar till "medlemsstat" i dessa bestämmelser ska förstås som en hänvisning till "EES-medlemsstater".
Villkor
IPA:S VILLKOR Dessa villkor gäller i förhållande till IPA Nordic ApS:s (”IPA”) tjänster för Kunden. 1. Användningsrätt 1.1 Vid ingående av avtal om detta med IPA erhåller Kunden användningsrätt i enlighet med dessa villkor för att använda IPAs tjänst i den överenskomna versionen (”Tjänsten”). Kunden har rätt att - om inte annat särskilt avtalats - använda Tjänsten internt i sin verksamhet, vilket inkluderar fall där Kunden utför rekryteringsarbete för tredje man, då Kunden dock kan ge användare utanför sin organisation, som är kandidater till anställning i Kundens företag eller det företag för vilket Kunden utför rekryteringsarbete, tillgång till att använda Tjänsten i samband med att besvara frågor, jfr. pkt. 1.2. 1.2 Kunden har rätt att använda Tjänsten som förutsatt och har rätt att ge medarbetare och andra (”Kundens Användare”) tillgång till att använda Tjänsten, inklusive tillhörande analyser, som förutsatt. Användare kan vara vanliga användare som svarar på frågor för Tjänstens bruk eller administratörer som har tillgång till cockpit och utarbetade analyser. 1.3 Kundens administratörer ska vara anställda i Kundens verksamhet och alltid vara certifierade i användningen av de analyser som Kunden får tillgång till via Tjänsten. IPA erbjuder certifiering i de analyser som omfattas av Tjänsten enligt angivelse på IPAs webbplats eller på annat sätt. 2. Implementering 2.1 IPA eller en av IPAs partners genomför implementering av Tjänsten för Kundens bruk, vilket innebär att Kunden kan få tillgång till Tjänsten som avtalat vid den avtalade tidpunkten. 2.2 IPA eller IPAs partner har rätt att i rimlig omfattning göra ändringar i den överenskomna tidpunkten för implementering, förutsatt att sådan ändring aviseras till Kunden. 2.3 Kunden ska medverka i relevant omfattning vid implementeringen, vilket inkluderar att ge IPA eller IPAs partner de för implementeringen nödvändiga och korrekta upplysningarna och i nödvändig omfattning ge tillgång till it-resurser. 3. Drift 3.1 Tjänsten körs och nås av kunden online. IPA kommer att sträva efter att Tjänsten är tillgänglig för kunden när som helst, men garanterar ingen bestämd upptid. 3.2 Kunden ansvarar för att anskaffa den utrustning, de applikationer och nätverksanslutningar som krävs för att använda Tjänsten. På Kundens begäran informerar IPA om eventuella särskilda specifikationer för utrustning, applikationer osv. 3.3 Kundens eller Kundens Användares tillgång till Tjänsten kan av IPA utan ansvar helt eller delvis avbrytas: a) om detta är nödvändigt för att underhålla, reparera eller uppdatera Tjänsten. Sådan avbrott av tillgång till Tjänsten ska, i den mån det är möjligt, meddelas Kunden i god tid, även om det i vissa situationer kan vara nödvändigt att stänga av tillgången till Tjänsten utan förvarning även under arbetstid. b) om det finns skäl att tro att Kundens eller Kundens Användares konton missbrukas av tredje man. Återställning av tillgång kan komma att kräva att Kundens Användares användarnamn och/eller lösenord ändras. c) om Kundens handlingar eller förhållanden som Kunden ansvarar för har eller kan förväntas orsaka skada på Tjänsten, inklusive i förhållande till andra kunder eller användare av Tjänsten, eller om Tjänsten rimligtvis kan antas användas för olagliga aktiviteter. Tillgång till Tjänsten kommer i dessa situationer att återställas när sådana förhållanden har klarte sig till IPAs tillfredsställelse. d) om Kunden inte följer kravet på certifiering av administratörer, jfr. pkt. 1.3, och kravet på certifiering inte har uppfyllts på 60 dagar. e) om Kunden är i betalningsdröjsmål gentemot IPA. 3.4 Om IPA avbryter Kundens eller Kundens Användares tillgång till Tjänsten, jfr. pkt. 3.3, kommer IPA snarast möjligt att informera Kunden om detta, inklusive skälet till avbrottet, samt när och under vilka förutsättningar tillgång till Tjänsten kan återställas. Sådant avbrott utgör inte brott mot Avtalet och berättigar inte Kunden till återbetalning av avgifter eller övriga påföljder för brott. 3.5 Kunden ansvarar själv för att säkerhetskopiera de data som behandlas för Kunden i Tjänsten. På särskild begäran hjälper IPA Kunden med säkerhetskopiering, och IPA hjälper även Kunden att importera data från säkerhetskopior. IPA har rätt till ersättning för sådant arbete baserat på IPAs tillämpliga timpriser för sådant arbete samt eventuella kostnader för tredje man. 4. Användning av Tjänsten 4.1 Kunden ansvarar för inmatning av egna uppgifter i Tjänsten och ansvarar för att sådana data är korrekta och giltiga. IPA ansvarar inte för att Tjänsten och dess användning är lämplig för Kundens användning eller planerade användning. Det är Kundens eget ansvar. 4.2 IPA ansvarar för att IPAs tjänst som sådan följer lagstiftningen i Sverige. Kunden ansvarar för att dess användning av Tjänsten, inklusive behandling av data, är laglig och att alla lagkrav i samband med Kundens användning av Tjänsten följs, inklusive beträffande hantering av personuppgifter, samt ansvarar för all användning av Tjänsten med hjälp av de användarnamn och lösenord som är kopplade till Kunden och Kundens Användare. 4.3 Kunden och Kundens Användare ska alltid skydda sina användarnamn och lösenord till Tjänsten. Om Kunden misstänker eller upptäcker att Kundens eller Kundens Användares tillgång till Tjänsten missbrukas, eller att tredje man har fått tillgång till Kundens eller Kundens Användares användarnamn och lösenord, ska Kunden omgående meddela IPA. 4.4 IPA har rätt att övervaka användningen av Tjänsten och använda all information om och i Tjänsten i anonym form för att utarbeta statistik och för underhåll av Tjänsten. 5. Ändring av Tjänsten 5.1 IPA har rätt att göra ändringar i Tjänsten och dess utformning. IPA kommer att sträva efter att meddela Kunden om sådana ändringar med minst 30 dagars varsel innan ändringarna träder i kraft, även om sådant varsel i vissa fall inte kan upprätthållas, såsom när ändringen beror på säkerhetsskäl. 5.2 Om IPA gör så väsentliga ändringar i Tjänsten att den inte längre kan anses vara densamma tjänsten, exempelvis om grundläggande eller ofta använda funktioner av Kunden tas bort och inte bara förutsätter ett ändrat användarmönster, har Kunden rätt att avsluta avtalet med 30 dagars varsel och kommer i en sådan situation att få återbetalt en proportionell del av eventuellt förskottsbetald avgift för användningen av Tjänsten för perioden efter avtalets upphörande. 6. Övriga konsulttjänster 6.1 IPA levererar konsulttjänster till Kunden, utöver implementeringstjänster, jfr. pkt. 2, som separat avtalats. Konsulttjänster levereras av IPA i enlighet med god praxis utan resultatansvar, och Kunden ansvarar själv för att konsulttjänsten är lämplig för Kundens användning eller planerade användning. 6.2 Sådana övriga konsulttjänster anses som levererade när IPA meddelar att konsulttjänsterna är utförda och fullbordade som avtalats, eller när Kunden börjar använda resultaten av konsulttjänsten. 7. Priser och betalning 7.1 Kunden betalar för tillgång till Tjänsten för en tolvmånadersperiod i förskott från tidpunkten för implementering, om inte annat särskilt avtalats. 7.2 Implementeringstjänster faktureras av IPA eller IPAs partner när implementeringen är levererad. Certifieringstjänster kan faktureras av IPA vid Kundens beställning av dessa. IPAs övriga konsulttjänster faktureras vid deras leverans eller månadsvis i efterskott. 7.3 IPAs utfärdade fakturor förfaller till betalning 14 dagar efter avsändande. Vid försenad betalning har IPA rätt att ta ut dröjsmålsränta på 2 % per påbörjad månad. 7.4 IPA upprätthåller eventuellt överenskomna reducerade priser i en period på 12 månader från avtalets ingående. Därefter tillämpas listpriser som anges i IPAs tillämpliga prislista. 7.5 IPA har rätt att justera sina listpriser en gång årligen med minst förändringen i nettoprisindex. Dessutom har IPA rätt att ändra sina listpriser om detta beror på förändringar i lagstiftningen, liksom IPA har rätt att ändra sina listpriser där detta beror på ändrade priser på tredjepartsapplikationer eller tredjepartsprodukter som är nödvändiga för leveransen av IPAs tjänst. IPA kommer att meddela om sådana eventuella prisförändringar med minst 30 dagars varsel. 8. Immaterialrättigheter 8.1 IPA har och behåller alla äganderättigheter och immateriella rättigheter, inklusive upphovsrätt till Tjänsten och de andra material som är kopplade till Tjänsten, såsom manualer och guider. Tjänsten och de andra material som är kopplade till tjänsten kan innehålla element och komponenter till vilka tredje man har immateriella rättigheter. IPA har i så fall nödvändiga rättigheter att göra Tjänsten och de andra material som är kopplade till Tjänsten tillgängliga för Kunden. 8.2 Kunden erhåller baserat på avtalet, jfr. pkt 1, och under dess giltighetstid användningsrätt till Tjänsten, och de andra material som är kopplade till Tjänsten, som de tillhandahålls av IPA och för de avsedda syftena. Kunden erhåller inga rättigheter, utöver den angivna användningsrätten till processer eller liknande, som ingår i Tjänsten. 8.3 Kunden erhåller en obegränsad användningsrätt till sådant material som produceras via Tjänsten baserat på Kundens data och användning av Tjänsten. Häri har Kunden rätt att göra ändringar i och mångfaldiga sådant material. 8.4 Kunden behåller ägande och immateriella rättigheter kopplade till de data som Kunden lägger in i Tjänsten. Kunden ger IPA en icke-exklusiv, avgiftsfri användningsrätt till sådana data i syfte att uppfylla Avtalet. 8.5 För sådana konsulttjänster, inklusive resultat av konsulttjänsterna, som tillhandahålls av IPA till Kunden, behåller IPA ägarskap och immateriella rättigheter med respekt för Kundens rättigheter och sekretess. Kunden tilldelas under Avtalets löptid en användningsrätt att använda konsulttjänsterna och deras resultat för intern användning inom Kundens verksamhet. 9. Sekretess 9.1 Var och en av Parterna ska hemlighålla den andra partens interna uppgifter, inklusive affärshemligheter och avtal mellan parterna, och får inte använda eller avslöja sådana uppgifter för andra syften än de avsedda i samband med tillhandahållandet av informationen, utan den andra partens förhandstillstånd. IPA hemlighåller även personuppgifter som laddas in i Tjänsten av Kunden som beskrivet i det mellan parterna ingångna personuppgiftsbiträdesavtalet. 9.2 Oavsett pkt. 9.1 är IPA behörig att överlåta Kundens uppgifter, inklusive interna uppgifter, till IPAs underleverantörer i den mån detta är nödvändigt för leveransen av IPAs tjänster till Kunden, förutsatt att sådana underleverantörer är bundna av motsvarande sekretess. Parterna är också behöriga att lämna ut den andra partens uppgifter, som annars skulle varit hemliga, om detta följer av ett domstolsbeslut eller giltigt krav från en myndighet. 9.3 Sekretessbestämmelserna i detta pkt. 9 gäller inte för uppgifter som är offentligt tillgängliga, som erhålls från tredje man utan att krav från denne ställs om sekretess, som mottas eller erhålls på annat sätt utan att krav på sekretess ställs, eller som utvecklas självständigt av parten utan att använda information som tagits emot från den andra parten. 9.4 Bestämmelserna i detta pkt. 9 förblir i kraft i fem år efter Avtalets upphörande, oavsett anledningen till sådant upphörande. 10. Personuppgiftsbehandling 10.1 IPA behandlar personuppgifter i Tjänsten, inklusive sådana personuppgifter som Kunden laddar in i Tjänsten. Förhållanden kring personuppgiftsbehandling regleras i det mellan Kunden och IPA ingångna personuppgiftsbiträdesavtalet. 11. Mislighållande 11.1 Om Kunden önskar påkalla brister i IPAs tjänster ska detta ske omedelbart, och för konsulttjänster, inklusive implementeringstjänster, senast 30 dagar efter leveransen av dessa. IPA är alltid berättigad att genomföra omleverans. 11.2 Om någon av parterna väsentligt bryter mot Avtalet, och sådant väsentligt brott inte avhjälps inom 30 dagar sedan den skyldiga parten har informerats om avtalsbrottet av den icke-skyldiga parten, har den icke-skyldiga parten rätt att skriftligen häva Avtalet för framtiden. 12. Ansvar 12.1 Parterna är ersättningsskyldiga gentemot varandra i enlighet med allmänna regler i svensk lag med följande begränsningar. 12.2 IPAs totala ersättningsansvar gentemot Kunden kan aldrig överstiga det belopp som Kunden har betalat till IPA för användning av Tjänsten under den senaste sexmånadersperioden innan anspråket uppstod. IPA ansvarar aldrig gentemot Partnern för indirekt förlust, inklusive, men inte begränsat till förlorad inkomst, förlorad omsättning, förlorade förväntade besparingar eller förlorad goodwill. 12.3 Den i pkt. 12.2 angivna begränsningen av ersättningsansvar gäller inte där ansvaret orsakats av grov vårdslöshet eller uppsåt. 13. Force Majeure 13.1 Ingen av parterna ansvarar för att uppfylla sina skyldigheter enligt Avtalet, om den bristande uppfyllelsen beror på force majeure, som avser förhållanden utanför partens rimliga kontroll, inklusive force majeure hos underleverantörer, och som parten inte borde ha tagit i beaktande vid Avtalets ingående. Om force majeure-situationen varar längre än 30 dagar har den part som inte är drabbad av force majeure rätt att säga upp Avtalet utan varsel. 14. Avtalets upphörande 14.1 Kunden har rätt att när som helst säga upp Avtalet med 12 månaders varsel efter utgången av en kalendermånad. Avtalet kan först vars upphörande efter 12 månader. Den totala minimiperioden är därför 24 månader. IPA kan avsluta Avtalet med minst 12 månaders varsel till utgången av en kalendermånad. 14.2 Förskottsbetalda avgifter återbetalas inte vid Kundens uppsägning av Avtalet. Om IPA säger upp Avtalet, återbetalas en proportionell del av eventuellt förskottsbetalda avgifter till Kunden motsvarande det belopp som Kunden har betalat för användning av Tjänsten under perioden efter Avtalets upphörande. 15. Överföring av data till Kunden 15.1 På Kundens begäran hjälper IPA Kunden när som helst med att överföra alla Kundens data i Tjänsten till Kunden eller en av Kunden utsedd tredje part i ett allmänt använt format, vilket möjliggör vidare behandling av Kundens data, förutsatt att Kunden meddelar om en sådan önskan senast vid Avtalets upphörande. 15.2 IPA är behörig att ta betalt för sin tidsåtgång i samband med dataöverföringar och tillhandahållen assistans, i enlighet med IPAs aktuella timpriser för sådant arbete med tillägg för IPAs kostnader, liksom IPA, om det anser det nödvändigt, har rätt att kräva att alla förfallna utestående belopp betalas och eventuellt kräva att ett rimligt belopp för sin assistans förskottsbetalas innan sådan assistans ges. 16. Marknadsföring 16.1 IPA har rätt att använda Kundens namn och varumärke som referens i sitt generella fysiska eller digitala marknadsföringsmaterial. 16.2 Om IPA önskar hänvisa potentiella kunder till att kontakta Kunden för referencesamtal eller möten, måste detta avtalas separat. 17. Underleverantörer 17.1 IPA har rätt att använda underleverantörer för att uppfylla sina skyldigheter gentemot Kunden. IPA ansvarar för sådana underleverantörers tjänster som för sina egna. Underleverantörer ska hålla Kundens uppgifter hemliga, jfr. pkt. 9.1. 18. Överföring 18.1 Ingen av Parterna har rätt att överföra sina skyldigheter och rättigheter enligt Avtalet till tredje man utan den andra partens skriftliga samtycke. Ett samtycke till sådan överlåtelse ska inte orimligt nekas. Dock har IPA rätt att överföra sina rättigheter och skyldigheter i samband med en helt eller delvis försäljning eller annan affärsrättslig omstrukturering av IPA. 19. Avtalsändringar 19.1 Avtalet kan endast ändras av Parterna genom skriftlig överenskommelse, såvida inget annat framgår av Avtalet. 20. Tvistlösning 20.1 Om det uppstår en tvist mellan Parterna baserat på Avtalet, ska Parterna sträva efter att lösa sådan tvist i godo. Om tvisten inte löses i godo inom rimlig tid kan var och en av Parterna söka avgöra tvisten vid de allmänna svenska domstolarna med IPAs huvudsäte som jurisdiktion. 20.2 Avtalet regleras av svensk rätt med undantag för svenska internationella lagvalsregler.
Kontakt
+46 72 555 11 53 (9-17)
hello@ipanordic.com
Tranebergsvägen 78
SE-167 44 Bromma
Vesucon AB
Org nr: 559505-3496
IPA Nordic HQ
Skanderborgvej 213
8260, Viby J
Danmark
Benelux
Daalwijkdreef 47
1103AD, Amsterdam
Nederländerna
Sverige
Tranebergsvägen 78
SE-167 44 Bromma
Sverige
Spanien
Carrer del rec 30
08003, Barcelona
Spanien
Mellanöstern
Mahmoud Al-Karmi-gatan 10
Amman
Jordan
IPA Nordic HQ
Skanderborgvej 213
8260, Viby J
Danmark
Benelux
Daalwijkdreef 47
1103AD, Amsterdam
Nederländerna
Sverige
Tranebergsvägen 78
SE-167 44 Bromma
Sverige
Spanien
Carrer del rec 30
08003, Barcelona
Spanien
Mellanöstern
Mahmoud Al-Karmi-gatan 10
Amman
Jordan
Kontakt
+46 72 555 11 53 (9-17)
hello@ipanordic.com
Tranebergsvägen 78
SE-167 44 Bromma
Vesucon AB
Org nr: 559505-3496
IPA Nordic HQ
Skanderborgvej 213
8260, Viby J
Danmark
Benelux
Daalwijkdreef 47
1103AD, Amsterdam
Nederländerna
Sverige
Tranebergsvägen 78
SE-167 44 Bromma
Sverige
Spanien
Carrer del rec 30
08003, Barcelona
Spanien
Mellanöstern
Mahmoud Al-Karmi-gatan 10
Amman
Jordan