Skip to main content

Data Processing Agreement

1. Introduktion och syfte

  1. Kunden och Leverantören har ingått ett avtal ("Huvudavtalet") där Leverantören ska tillhandahålla tjänster till Kunden. Detta Databehandlingsavtal ("Behandlingsavtal" eller "Databehandlingsavtal") utgör en del av Huvudavtalet och reglerar behandlingen av Personuppgifter i samband med Huvudavtalet. Om inte annat krävs enligt Dataskyddslagar ska Kunden, på uppdrag av andra Personuppgiftsansvariga (t.ex. där det är tillämpligt, företag inom Kundens företagsgrupp eller andra Personuppgiftsansvariga som utses av Kunden och som Leverantören skriftligen har godkänt), fungera som en enda kontaktpunkt för Leverantören i alla frågor enligt detta Databehandlingsavtal. Kunden ansvarar för den interna samordningen, granskningen och inlämningen av instruktioner eller förfrågningar till Leverantören samt för vidare distribution av all information, meddelanden och rapporter som Leverantören tillhandahåller enligt detta avtal.

  2. Om inte annat anges ska bestämmelserna i Databehandlingsavtalet ha företräde framför bestämmelserna i Huvudavtalet i frågor som omfattas av detta avtal. Vid en motsättning mellan Standardavtalsklausulerna (enligt definitionen nedan, där tillämpligt) och bestämmelserna i Huvudavtalet och/eller detta Databehandlingsavtal ska Standardavtalsklausulerna alltid ha företräde.

  3. Detta Databehandlingsavtal ingås i enlighet med GDPR:s krav på att det ska finnas ett skriftligt avtal om Personuppgiftsbiträdets behandling av Personuppgifter för den Personuppgiftsansvariges räkning.

  4. Detta Databehandlingsavtal är giltigt under hela Huvudavtalets löptid och upphör därmed automatiskt att gälla vid uppsägning eller utgången av Huvudavtalet.

2. Definitioner

"Kund" avser den enhet som har ingått ett avtal med Leverantören och definieras som "kunden" i Huvudavtalet. För detta Behandlingsavtal ska Kund även omfatta, där tillämpligt, enheter inom Kundens företagsgrupp.

"Personuppgiftsansvarig" avser den part som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av Personuppgifter.

"Dataintrång" avser en säkerhetsöverträdelse som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller tillgång till Personuppgifter som behandlas enligt Databehandlingsavtalet.

"Dataskyddslagar" avser tillämpliga lagar som syftar till att skydda individers grundläggande rättigheter och friheter, särskilt deras integritet. Detta inkluderar Kundens nationella lagstiftning, där tillämpligt, och Europaparlamentets och rådets förordning (EU) 2016/679 ("GDPR").

"Registrerad" avser en identifierad eller identifierbar fysisk person, enligt definitionen i Dataskyddslagar.

"Instruktioner" avser skriftliga instruktioner från Kunden för Behandlingen av Personuppgifter. Sådana instruktioner ges i detta Databehandlingsavtal, men kan uppdateras eller ändras från tid till annan genom separata skriftliga instruktioner från Kunden.

"Personuppgifter" avser all information som avser en identifierad eller identifierbar fysisk person, enligt definitionen i Dataskyddslagar.

"Behandling" avser varje åtgärd eller serie av åtgärder som utförs på Personuppgifter eller uppsättningar av Personuppgifter, oavsett om det sker automatiserat eller inte, enligt definitionen i Dataskyddslagar.

"Personuppgiftsbiträde" avser en part som behandlar Personuppgifter för den Personuppgiftsansvariges räkning.

"Standardavtalsklausuler" eller "SCC:er" avser standardavtalsklausuler baserade på Europeiska kommissionens beslut (EU) 2021/914 av den 4 juni 2021 om standardavtalsklausuler för överföring av personuppgifter till tredje länder enligt Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR) eller någon efterföljande version eller ändring som offentliggörs av kommissionen (vilka automatiskt ska gälla), inklusive deras bilagor, enligt mallmodellen i Appendix 3.

"Underbiträde" avser tredje part som Personuppgiftsbiträdet anlitar för att utföra sina skyldigheter enligt detta Databehandlingsavtal i enlighet med Avsnitt 6 och som genom detta uppdrag behandlar Personuppgifter för vilka Kunden är Personuppgiftsansvarig.

"Leverantör" avser den ENAD-enhet som identifieras som sådan i Huvudavtalet.

"Överföring" avser en gränsöverskridande överföring av Personuppgifter till territorier utanför EU i enlighet med Avsnitt 11.

  1. 3. Behandling av Personuppgifter

  2. Syfte och kategorier för behandling samt typer av Personuppgifter som behandlas
    Syftet med och ändamålet för behandlingen, typen av Personuppgifter och kategorier av Registrerade som omfattas av detta Databehandlingsavtal specificeras i Appendix 1.

  3. Personuppgiftsansvarig
    Utan att påverka något av det föregående är Kunden Personuppgiftsansvarig för de Personuppgifter som behandlas av Leverantören enligt detta Behandlingsavtal. Kunden ansvarar för att säkerställa att alla Personuppgifter som behandlas enligt detta avtal samlas in lagligt samt för att uppgifterna är korrekta och av hög kvalitet.

  4. Personuppgiftsbiträde
    Leverantören och dess Underbiträden är Personuppgiftsbiträden för behandlingen av Personuppgifter enligt Huvudavtalet och ska endast behandla Personuppgifter för Kundens räkning och i enlighet med Kundens instruktioner. Leverantören ansvarar för att säkerställa att de Underbiträden som anlitas endast behandlar Personuppgifter i enlighet med Databehandlingsavtalet och Dataskyddslagar.

  5. Instruktioner
    Kunden ansvarar för att ge Leverantören instruktioner för behandlingen av Personuppgifter. Leverantören ska endast behandla Personuppgifter i enlighet med detta Databehandlingsavtal och de instruktioner som Kunden tillhandahåller. Om Leverantören anser att instruktionerna strider mot Dataskyddslagar ska Leverantören utan dröjsmål underrätta Kunden om detta. Leverantören är för tydlighets skull inte skyldig att utföra en åtgärd som, enligt Leverantörens rimliga bedömning, kan leda till ett brott mot Dataskyddslagar. Leverantören är dock inte skyldig att genomföra egna undersökningar, utredningar eller analyser för att fastställa om en överträdelse föreligger eller om instruktionerna följer tillämpliga lagar.

  6. Kundens ursprungliga instruktioner till Personuppgiftsbiträdet angående syfte och varaktighet för behandlingen, naturen och ändamålet med behandlingen, typen av Personuppgifter och kategorierna av Registrerade listas i Appendix 1.

  7. Ersättning
    Utan att påverka Leverantörens skyldigheter enligt Dataskyddslagar har Leverantören rätt till ersättning baserat på tid och material för allt tillkommande arbete som orsakas av ändrade instruktioner från Kunden (eller ytterligare arbete som annars uppstår) enligt avsnitt 3.4 eller annat tillkommande arbete som inte uttryckligen åtagits av Leverantören häri.

4. Leverantörens personal

  1. Sekretess
    Leverantören ansvarar för att säkerställa att Leverantörens och dess Underbiträdens personal som behandlar Personuppgifter för vilka Kunden är Personuppgiftsansvarig upprätthåller sekretess, har fått lämplig utbildning om Personuppgifter och är bundna av sekretessförbindelser. Sekretessskyldigheten ska fortsätta att gälla även efter detta Databehandlingsavtals upphörande.

  2. Begränsad åtkomst
    Leverantören ansvarar för att endast den personal hos Leverantören (och Underbiträden) som behöver åtkomst till Personuppgifter för att uppfylla Leverantörens åtaganden enligt Huvudavtalet (och detta Databehandlingsavtal) ska ha åtkomst till Personuppgifterna.

5. Skydd av Personuppgifter

  1. Tekniska och organisatoriska åtgärder
    Leverantören ska vidta tekniska och organisatoriska åtgärder för att skydda Personuppgifter som är lämpliga med hänsyn till känsligheten hos Personuppgifterna, de särskilda risker som föreligger, befintliga tekniska möjligheter samt kostnaderna för att genomföra åtgärderna. Personuppgifter ska skyddas mot all form av obehörig behandling, såsom ändring, förstöring eller obehörig åtkomst och spridning. Leverantören förbinder sig att vidta åtgärder i enlighet med artikel 32 i GDPR. Leverantören ska vara beredd att följa en behörig myndighets beslut om åtgärder i enlighet med säkerhetskrav som anges i Dataskyddslagstiftning.

  2. Registrerades rättigheter
    Leverantören ska utan onödigt dröjsmål meddela Kunden om Leverantören mottar en begäran från en Registrerad avseende dennes rättigheter, såsom information, rättelse eller radering av den Registrerades Personuppgifter. Leverantören ska inte besvara en sådan begäran utan Kundens skriftliga medgivande, förutom för att meddela den Registrerade att begäran har mottagits och vidarebefordrats till Kunden. Leverantören ska bistå Kunden i hanteringen av Registrerades förfrågningar och rättigheter, om inte Leverantören förhindras från att göra detta enligt lag eller officiellt beslut.

  3. Leverantören ska bistå Kunden i att uppfylla sina skyldigheter som Personuppgiftsansvarig att svara på begäranden från Registrerade, i enlighet med administrativa procedurer och åtgärder som Leverantören tillämpar för detta ändamål. Leverantören ska vidare bistå Kunden och vidta åtgärder som krävs enligt artikel 28.3 (a)-(h) i GDPR.

  4. Officiella kommunikationer
    Leverantören ska utan dröjsmål informera Kunden om en myndighet kontaktar Leverantören angående Personuppgifter som behandlas enligt detta Avtal, såvida inte Leverantören är skyldig enligt lag att inte lämna sådan information. På Kundens begäran ska Leverantören, i rimlig omfattning, bistå Kunden med sådan officiell kommunikation och annars tillhandahålla information så att Kunden kan svara inom rimlig tid. Leverantören har inte rätt att svara å Kundens vägnar eller agera i Kundens namn.

  5. Ersättning
    Leverantören har rätt till ersättning baserad på tid och material för arbete som utförs för att bistå Kunden med att uppfylla sina skyldigheter i förhållande till Registrerade och myndigheter avseende Dataskydd, om inte annat uttryckligen anges i Dataskyddslagstiftning.

6. Underleverantörer

Användning av underleverantörer. Leverantören får anlita underleverantörer för Behandling av Personuppgifter i enlighet med vad som anges i denna Sektion 6, och endast för de ändamål som anges i Bilaga 1. De underleverantörer som för närvarande är anlitade finns listade i Bilaga 1.

Avtalsförpliktelse. Leverantören ansvarar för att all Behandling av Personuppgifter som utförs av en underleverantör regleras genom ett skriftligt avtal med underleverantören som uppfyller kraven i detta Personuppgiftsbiträdesavtal.

Ändring av underleverantörer. Leverantören har rätt att säga upp avtal med underleverantörer och/eller anlita nya lämpliga och pålitliga underleverantörer, förutsatt att reglerna i Sektion 6 tillämpas. Innan en ny underleverantör anlitas ska Leverantören informera Kunden skriftligen om detta och sträva efter att, när det är möjligt, ge sådan information minst fjorton (14) dagar före avsedd tidpunkt för anlitandet. Kunden har rätt att invända mot anlitandet, förutsatt att Leverantören underrättas skriftligen om invändningen inom tio (10) dagar från att Kunden mottagit Leverantörens meddelande.

Lösning av invändningar. Om Kunden har invänt mot en underleverantör i enlighet med ovanstående, ska parterna diskutera olika åtgärder för att lösa situationen. Om parterna inte kan komma överens om en lösning inom skälig tid, dock högst trettio (30) dagar, har båda parter rätt att säga upp Huvudavtalet och detta Personuppgiftsbiträdesavtal genom skriftligt meddelande till den andra parten. Kunden bekräftar och accepterar att dess invändning mot anlitandet av en underleverantör kan påverka Leverantörens förmåga att uppfylla sina åtaganden enligt Huvudavtalet (inklusive tillgång, helt eller delvis, till de tjänster som Leverantören ska tillhandahålla därunder). Leverantören är inte skyldig att återbetala eventuella förskottsbetalningar (om sådana förekommer) enligt Huvudavtalet.

Leverantörens ansvar. Leverantören ansvarar för underleverantörens Behandling av Kundens Personuppgifter och är fullt ansvarig för underleverantörer som anlitas enligt detta Personuppgiftsbiträdesavtal.

Lista över underleverantörer. Leverantören ska föra en lista över alla underleverantörer som behandlar Personuppgifter enligt Personuppgiftsbiträdesavtalet och ska på begäran tillhandahålla Kunden en kopia av listan.

  1. Revisioner
    Kundens rätt att utföra en revision. Leverantören ska ge Kunden och Kundens oberoende revisorer tillgång till sådan information och Leverantörens lokaler som rimligen kan vara nödvändiga för att Kunden ska kunna verifiera att Leverantören uppfyller sina skyldigheter enligt detta Personuppgiftsbiträdesavtal och Dataskyddslagar.

Om inte annat krävs av en myndighet eller enligt Dataskyddslagar, ska Kunden genom att ge skälig skriftlig förhandsinformation (minst trettio (30) dagar) informera Leverantören om att den önskar genomföra en revision. Kunden och alla som utför en revision måste ingå lämpliga sekretessåtaganden innan revisionen och måste dessutom följa Leverantörens säkerhetskrav på platsen där revisionen ska genomföras. Revisionen ska i möjligaste mån genomföras utan att störa Leverantörens affärsverksamhet eller äventyra säkerheten för information som tillhör andra kunder. Oaktat ovanstående ska Kunden primärt förlita sig på tillgängliga gällande revisionsrapporter eller annan tillgänglig verifiering för att bekräfta Leverantörens efterlevnad och undvika onödiga, upprepade revisioner. Om det inte krävs enligt Dataskyddslagar får revisioner inte genomföras mer än en gång under en tolvmånadersperiod. En revision ger inte Kunden tillgång till affärshemligheter eller proprietär information, såvida det inte krävs för att uppfylla Dataskyddslagar (och Leverantören är aldrig skyldig att ge tillgång till prisuppgifter eller annan kommersiell information).

Resultat av revision. Om en revision visar att Leverantören eller en underleverantör inte har uppfyllt sina skyldigheter enligt Personuppgiftsbiträdesavtalet, ska Leverantören omedelbart åtgärda och rätta detta.

Ersättning. Utan att påverka Leverantörens skyldigheter enligt Dataskyddslagar, förbehåller sig Leverantören rätten att ta ut avgifter baserade på tid och material för arbete som utförs för att assistera Kunden vid en revision.

  1. Incidenter och dataintrång
    Incidenthantering. I enlighet med sina antagna administrativa procedurer och kvalitetsledningssystem ska Leverantören utvärdera och agera vid händelser som misstänks leda till obehörig åtkomst eller Behandling av Personuppgifter ("Incidenter"). Om det finns en risk att Incidenten kan leda till oavsiktlig eller olaglig radering, förlust, förändring eller utlämnande av Personuppgifter till obehöriga personer, ska Leverantören omedelbart underrätta Kunden om Incidenten och tillhandahålla all rimligt relevant information som rör Incidenten. Leverantören ska utveckla lämpliga åtgärder för att hantera Incidenten och begränsa dess effekter samt, när det är lämpligt, samarbeta med Kunden för att skydda Personuppgifter och återställa konfidentialiteten, integriteten och tillgängligheten för Personuppgifterna.

Dataintrång. Leverantören ska utan onödigt dröjsmål meddela Kunden när Leverantören blir medveten om ett Dataintrång enligt detta Personuppgiftsbiträdesavtal. Meddelandet ska göras i enlighet med artikel 33 i GDPR. Leverantören ska omedelbart undersöka Dataintrånget och vidta åtgärder för att minska skadan, identifiera grundorsaken och förhindra att det inträffar igen. Kunden ska hållas informerad om relevant information relaterad till Dataintrånget och Leverantörens arbete under hela processen, och Leverantören ska samarbeta med Kunden, när så är lämpligt, för att minska skadan och skydda Registrerades integritet.

9. Återlämning och radering av Personuppgifter

Återlämning och radering. Inom trettio (30) dagar efter att Huvudavtalet har upphört ska Leverantören radera alla Personuppgifter som har behandlats av Leverantören enligt detta Personuppgiftsbiträdesavtal, inklusive Personuppgifter som hanteras i säkerhetskopior och liknande. Alternativt ska Leverantören, på Kundens skriftliga begäran (som ska lämnas omedelbart efter att Huvudavtalet har upphört), återlämna alla sådana Personuppgifter.

10. Ansvar och Ansvarsbegränsning
Skadestånd och böter. Leverantören är endast ansvarig för krav och skador från en Registrerad eller en tredje part samt administrativa böter från en myndighet som riktas mot Kunden eller på annat sätt, där Leverantören eller en underleverantör har misslyckats med att uppfylla sina skyldigheter enligt detta Personuppgiftsbiträdesavtal och/eller tillämpliga Dataskyddslagar. Kunden ska hålla Leverantören skadeslös för alla krav och skador från en Registrerad eller tredje part samt administrativa böter från en myndighet som orsakats av Kunden.

Ansvarsbegränsning. Leverantörens sammanlagda ansvar enligt detta Personuppgiftsbiträdesavtal ska under inga omständigheter överstiga femtio (50) procent av den ersättning som mottagits enligt Huvudavtalet under en period av tolv (12) månader omedelbart före den händelse som ansvaret grundar sig på.

  1. Överföring av Personuppgifter


Behandlingsaktiviteterna (inklusive lagring) ska utföras enligt vad som anges häri (inklusive av underleverantörer som anges i Bilaga 1). Det erkänns att Leverantören, antingen själv eller genom underleverantörer, som en del av tjänsterna behöver utföra tjänster från platser i länder och territorier utanför EES, antingen direkt eller genom vidareöverföring av Leverantören, antingen själv eller genom tillåtna underleverantörer som är icke-EES-enheter. Kunden (för egen del och på uppdrag av andra Personuppgiftsansvariga som anges häri och är etablerade inom EES) ger sitt uttryckliga skriftliga samtycke, mandat, godkännande och instruktion till Leverantören för att utföra överföringar utanför EES vid tillhandahållande av tjänster enligt Huvudavtalet från platser utanför EES, enligt följande.

Leverantören eller dess underleverantörer får behandla Personuppgifter utanför EU/EES endast om:


a) Mottagaren har bedömts av EU-kommissionen att garantera en adekvat skyddsnivå för Personuppgifter (t.ex. genom certifiering, ramverk eller annat arrangemang), eller;


b) Leverantören eller dess underleverantör har tillhandahållit lämpliga skyddsåtgärder enligt artikel 46 i GDPR, eller;


c) Överföringen och de registrerades rättigheter och friheter skyddas genom godkända Bindande Företagsinterna Regler enligt artikel 47 i GDPR, eller;


d) Överföringen och de registrerades rättigheter och friheter skyddas genom Standardavtalsklausuler tillsammans med, i förekommande fall och lämpligt;


e) Lämpliga åtgärder har vidtagits i enlighet med tillämpliga EU-rekommendationer eller riktlinjer (inklusive de som utfärdats av Europeiska Dataskyddsstyrelsen, EDPB).

  1. Med förbehåll för Klausul 11.2 d) ovan


Leverantören kommer att förlita sig på SCC (Standardavtalsklausuler) för överföring av Personuppgifter till underleverantörer som är etablerade i ett land utanför EES. Genom att införliva standardavtalsklausulerna i Bilaga 3 (inklusive dess Bilagor I–III) i detta Personuppgiftsbiträdesavtal mellan parterna, anses Personuppgifter som behandlas av Leverantören (eller dess underleverantörer) ha ett tillräckligt skydd vid överföring utanför EES eller till länder som inte omfattas av ett adekvat skyddsbeslut enligt Klausul 11.2 a) ovan.

BILAGA 1
Registrerade
Personuppgifter: Namn, Efternamn, Gatunamn, Gatunummer, C/O Namn, C/O Efternamn, Postnummer, Län, Region, Stat, Land, Mobiltelefonnummer, E-post, IP-adress.

Orderuppgifter: Produkter, Kvantiteter, Priser, Totalt ordervärde.

Kategorier av behandlade uppgifter
Personuppgifter, Orderuppgifter.

Syfte, natur, mål och varaktighet för behandlingen
Kunden är den part som bestämmer syftet med behandlingen av Personuppgifter enligt Huvudavtalet. Syftet med Leverantörens behandling av Personuppgifter är begränsat till:

  • Tillhandahållande av avtalade tjänster såsom programvarutjänster, support och andra tjänster i enlighet med Huvudavtalet;

  • Implementering, hantering och övervakning av den underliggande infrastruktur som krävs för att tillhandahålla tjänster enligt Huvudavtalet och uppfylla de tekniska och organisatoriska krav som ställs för skydd av Personuppgifter;

  • Kommunikation med Kunden och Kundens personal;

  • Genomförande av Kundens instruktioner i enlighet med avsnitt 3.4; och

  • Hantering av serviceproblem, incidenter eller dataintrång.

Behandlingens varaktighet är begränsad till Huvudavtalets giltighetstid.

Överföring av personuppgifter till tredjeland
Enad Data Management använder Google Cloud som värdtjänstleverantör, ansvarig för behandling och lagring av Personuppgifter och Orderuppgifter på uppdrag av Enad Data Management. Google Cloud är en integrerad del av programvarutjänsterna för att de ska fungera enligt Användarvillkoren.

Lista över underleverantörer
Listan över underleverantörer specificeras i Bilaga 3, avsnitt 1.1 i Handlaravtalet.

BILAGA 2 – Tekniska och organisatoriska säkerhetsåtgärder
Tekniska och organisatoriska åtgärder
Leverantören ska vidta tekniska och organisatoriska åtgärder för att skydda Personuppgifter som är lämpliga med hänsyn till känsligheten hos Personuppgifterna; de särskilda risker som finns; befintliga tekniska möjligheter och kostnader för att genomföra åtgärderna. Personuppgifter ska skyddas från obehörig behandling såsom ändring, förstörelse eller obehörig åtkomst och spridning.

Leverantören åtar sig därför att vidta alla åtgärder som föreskrivs i artikel 32 i GDPR, inklusive:

  1. pseudonymisering och kryptering av personuppgifter;

  2. förmåga att säkerställa fortlöpande konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystem och tjänster;

  3. förmåga att återställa tillgången till och tillgängligheten av personuppgifter inom rimlig tid vid en fysisk eller teknisk incident; samt

  4. en process för att regelbundet testa, bedöma och utvärdera effektiviteten av tekniska och organisatoriska åtgärder för att säkerställa säkerheten vid behandlingen.

De tekniska och organisatoriska åtgärder som vi har implementerat sammanfattas nedan.

TEKNISKA ÅTGÄRDER
Offentliga API-slutpunkter är skyddade med hemliga API-nycklar för att förhindra obehörig åtkomst till systemet och alla data som lagras inom det. Privat administrationsåtkomst (Console, Web GUI) skyddas med IAM-tjänst.

ORGANISATORISKA ÅTGÄRDER
Åtkomst till data beviljas endast nödvändig ENAD-personal för att tillhandahålla programvarutjänster i enlighet med Användarvillkoren.

BILAGA 3


Överföring av Personuppgifter till Underleverantörer etablerade utanför EES enligt Klausul 11.2 d) i Personuppgiftsbiträdesavtalet

AVSNITT I
Klausul 1
(Syfte och omfattning)
(a) Syftet med dessa standardavtalsklausuler är att säkerställa efterlevnad av kraven i förordning (EU) 2016/679 från Europaparlamentet och rådet den 27 april 2016 om skydd av fysiska personer med avseende på behandling av personuppgifter och om fri rörlighet för sådana uppgifter (Allmän dataskyddsförordning) för överföring av personuppgifter till ett tredjeland.
(b) Parterna:
(i) Den fysiska eller juridiska personen, offentliga myndigheten, byrån eller annan enhet (hädanefter "enhet/enheter") som överför personuppgifterna, enligt vad som anges i Bilaga I.A. (hädanefter var och en "dataexportör"), och
(ii) Den enhet/enheter i ett tredjeland som tar emot personuppgifterna från dataexportören, direkt eller indirekt via en annan enhet som också är part i dessa klausuler, enligt vad som anges i Bilaga I.A. (hädanefter var och en "dataimportör")
har kommit överens om dessa standardavtalsklausuler (hädanefter: "Klausuler").
(c) Dessa Klausuler gäller avseende överföring av personuppgifter enligt vad som anges i Bilaga I.B.
(d) Bilagan till dessa Klausuler som innehåller de nämnda Bilagorna utgör en integrerad del av dessa Klausuler.

Klausul 2
(Effekt och oföränderlighet av Klausulerna)
(a) Dessa Klausuler fastställer lämpliga skyddsåtgärder, inklusive verkställbara rättigheter för de registrerade och effektiva rättsmedel, i enlighet med artikel 46(1) och artikel 46(2)(c) i förordning (EU) 2016/679 och, med avseende på överföring av data från personuppgiftsansvariga till personuppgiftsbiträden och/eller personuppgiftsbiträden till personuppgiftsbiträden, standardavtalsklausuler i enlighet med artikel 28(7) i förordning (EU) 2016/679, förutsatt att de inte ändras, förutom för att välja lämplig Modul(er) eller för att lägga till eller uppdatera information i Bilagan. Detta hindrar inte Parterna från att inkludera de standardavtalsklausuler som fastställs i dessa Klausuler i ett bredare avtal och/eller lägga till andra klausuler eller ytterligare skyddsåtgärder, förutsatt att de inte strider mot, direkt eller indirekt, dessa Klausuler eller skadar de grundläggande rättigheterna eller friheterna för de registrerade.
(b) Dessa Klausuler påverkar inte de skyldigheter som dataexportören är föremål för enligt förordning (EU) 2016/679.

Klausul 3
(Tredjepartsbegunstigade)
(a) De registrerade kan åberopa och verkställa dessa Klausuler som tredjepartsbegunstigade mot dataexportören och/eller dataimportören, med följande undantag:
(i) Klausul 1, Klausul 2, Klausul 3, Klausul 6, Klausul 7;
(ii) Klausul 8 - Modul Ett: Klausul 8.5 (e) och Klausul 8.9 (b); Modul Två: Klausul 8.1 (b), 8.9 (a), (c), (d) och (e); Modul Tre: Klausul 8.1 (a), (c) och (d) och Klausul 8.9 (a), (c), (d), (e), (f) och (g); Modul Fyra: Klausul 8.1 (b) och Klausul 8.3 (b);
(iii) Klausul 9 - Modul Två: Klausul 9 (a), (c), (d) och (e); Modul Tre: Klausul 9 (a), (c), (d) och (e);
(iv) Klausul 12 - Modul Ett: Klausul 12 (a) och (d); Moduler Två och Tre: Klausul 12 (a), (d) och (f);
(v) Klausul 13;
(vi) Klausul 15.1 (c), (d) och (e);
(vii) Klausul 16 (e);
(viii) Klausul 18 - Moduler Ett, Två och Tre: Klausul 18 (a) och (b); Modul Fyra: Klausul 18.
(b) Punkt (a) påverkar inte de registrerades rättigheter enligt förordning (EU) 2016/679.

Klausul 4
(Tolkning)
(a) När dessa Klausuler använder termer som definieras i förordning (EU) 2016/679, ska dessa termer ha samma betydelse som i den förordningen.
(b) Dessa Klausuler ska läsas och tolkas i ljuset av bestämmelserna i förordning (EU) 2016/679.
(c) Dessa Klausuler ska inte tolkas på ett sätt som strider mot de rättigheter och skyldigheter som föreskrivs i förordning (EU) 2016/679.

Klausul 5
(Hierarki)
Vid en motsättning mellan dessa Klausuler och bestämmelserna i relaterade avtal mellan Parterna, som finns vid tidpunkten för att dessa Klausuler träder i kraft eller ingås därefter, ska dessa Klausuler ha företräde.

Klausul 6
(Beskrivning av överföringen)
Detaljerna för överföringen, och särskilt de kategorier av personuppgifter som överförs och syftet med vilka de överförs, specificeras i Bilaga I.B.

Klausul 7
(Dockningsklausul)
(Utebliven)

AVSNITT II – PARTERNAS SKYLDIGHETER
Klausul 8
(Skyddsåtgärder för dataskydd)
Dataexportören intygar att den har gjort rimliga ansträngningar för att fastställa att dataimportören, genom implementeringen av lämpliga tekniska och organisatoriska åtgärder, kan uppfylla sina skyldigheter enligt dessa Klausuler.

MODUL TRE: Överföring processor till processor

8.1 Instruktioner
(a) Dataexportören har informerat dataimportören om att den agerar som processor under instruktioner från sina personuppgiftsansvariga, vilka dataexportören ska göra tillgängliga för dataimportören innan behandling påbörjas.
(b) Dataimportören ska endast behandla personuppgifterna enligt dokumenterade instruktioner från den personuppgiftsansvarige, som kommuniceras till dataimportören av dataexportören, samt eventuella ytterligare dokumenterade instruktioner från dataexportören. Sådana ytterligare instruktioner får inte strida mot instruktionerna från den personuppgiftsansvarige. Den personuppgiftsansvarige eller dataexportören kan ge ytterligare dokumenterade instruktioner om databehandlingen under avtalets löptid.
(c) Dataimportören ska omedelbart informera dataexportören om den inte kan följa dessa instruktioner. Om dataimportören inte kan följa instruktionerna från den personuppgiftsansvarige, ska dataexportören omedelbart underrätta den personuppgiftsansvarige.
(d) Dataexportören intygar att den har ålagt dataimportören samma dataskyddsskyldigheter som anges i kontraktet eller annan rättslig handling enligt unionens eller medlemsstaternas lagar mellan den personuppgiftsansvarige och dataexportören.

8.2 Syftesbegränsning
Dataimportören ska endast behandla personuppgifterna för det specifika syftet med överföringen, som anges i Bilaga I.B., om inte ytterligare instruktioner ges av den personuppgiftsansvarige, som kommuniceras till dataimportören av dataexportören, eller från dataexportören.

8.3 Transparens
På begäran ska dataexportören göra en kopia av dessa Klausuler, inklusive Bilagan som fyllts i av Parterna, tillgänglig för den registrerade utan kostnad. I den mån det är nödvändigt för att skydda affärshemligheter eller annan konfidentiell information, inklusive personuppgifter, kan dataexportören maskera delar av texten i Bilagan innan den delas, men ska tillhandahålla en meningsfull sammanfattning där den registrerade annars inte skulle kunna förstå innehållet eller utöva sina rättigheter. På begäran ska Parterna ge den registrerade skälen till de maskerade delarna, i den mån det är möjligt utan att avslöja den maskerade informationen.

8.4 Noggrannhet
Om dataimportören blir medveten om att de personuppgifter den mottagit är felaktiga eller har blivit föråldrade, ska den utan onödigt dröjsmål informera dataexportören. I sådana fall ska dataimportören samarbeta med dataexportören för att rätta till eller radera uppgifterna.

8.5 Behandlingens varaktighet och radering eller återlämning av uppgifter
Behandlingen av data av dataimportören ska endast ske under den period som specificeras i Bilaga I.B. Efter att behandlingstjänsterna har avslutats ska dataimportören, enligt dataexportörens val, antingen radera alla personuppgifter som behandlats på uppdrag av den personuppgiftsansvarige och bekräfta för dataexportören att detta har gjorts, eller återlämna alla personuppgifter till dataexportören och radera befintliga kopior. Fram tills att uppgifterna har raderats eller återlämnats, ska dataimportören fortsatt säkerställa efterlevnad av dessa Klausuler. Om lokala lagar som är tillämpliga för dataimportören förbjuder återlämning eller radering av personuppgifter, garanterar dataimportören att den kommer att fortsätta säkerställa efterlevnad av dessa Klausuler och endast behandla uppgifterna i den omfattning och så länge som krävs enligt den lokala lagen. Detta påverkar inte Klausul 14, särskilt kravet för dataimportören enligt Klausul 14 (e) att underrätta dataexportören under hela kontraktets löptid om den har anledning att tro att den är eller har blivit föremål för lagar eller praxis som inte är i linje med kraven enligt Klausul 14 (a).

8.6 Säkerhet vid behandling
(a) Dataimportören och, under överföring, även dataexportören ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa dataskyddet, inklusive skydd mot en säkerhetsöverträdelse som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörig avslöjande eller åtkomst till dessa uppgifter (hädanefter "personuppgiftsbrott"). Vid bedömning av lämplig säkerhetsnivå ska de ta hänsyn till den tekniska utvecklingen, implementeringskostnaderna, naturen, omfattningen, sammanhanget och syftet med behandlingen samt de risker som behandlingen innebär för den registrerade. Parterna ska särskilt överväga att använda kryptering eller pseudonymisering, även vid överföring, där behandlingens syfte kan uppfyllas på det sättet. Vid pseudonymisering ska den ytterligare informationen för att koppla personuppgifterna till en specifik registrerad, när så är möjligt, förbli under exklusiv kontroll av dataexportören eller den personuppgiftsansvarige. För att uppfylla sina skyldigheter enligt denna punkt ska dataimportören åtminstone vidta de tekniska och organisatoriska åtgärder som anges i Bilaga II. Dataimportören ska regelbundet kontrollera att dessa åtgärder fortsätter att ge en lämplig säkerhetsnivå.
(b) Dataimportören ska ge åtkomst till uppgifterna endast till medlemmar av sin personal i den mån det är strikt nödvändigt för genomförandet, hanteringen och övervakningen av kontraktet. Det ska säkerställa att de personer som är behöriga att behandla personuppgifterna har åtagit sig sekretess eller är under en lämplig lagstadgad sekretessskyldighet.
(c) Vid ett personuppgiftsbrott som rör personuppgifter som behandlas av dataimportören enligt dessa Klausuler, ska dataimportören vidta lämpliga åtgärder för att åtgärda överträdelsen, inklusive åtgärder för att minska dess negativa effekter. Dataimportören ska också meddela dataexportören utan onödigt dröjsmål och, om möjligt och lämpligt, den personuppgiftsansvarige efter att ha blivit medveten om överträdelsen. Meddelandet ska innehålla uppgifter om en kontaktpunkt där mer information kan erhållas, en beskrivning av överträdelsens art (inklusive, om möjligt, kategorier och ungefärligt antal berörda registrerade och personuppgifter), sannolika konsekvenser och de åtgärder som vidtagits eller föreslagits för att åtgärda personuppgiftsbrottet, inklusive åtgärder för att mildra de möjliga negativa effekterna. Om det inte är möjligt att tillhandahålla all information samtidigt, ska den första notifieringen innehålla den information som finns tillgänglig och ytterligare information ska, i takt med att den blir tillgänglig, meddelas utan onödigt dröjsmål.
(d) Dataimportören ska samarbeta med och hjälpa dataexportören för att möjliggöra att dataexportören kan uppfylla sina skyldigheter enligt förordning (EU) 2016/679, särskilt för att notifiera sin personuppgiftsansvarige så att denne kan meddela den behöriga tillsynsmyndigheten och de berörda registrerade, med beaktande av behandlingens natur och de uppgifter som finns tillgängliga för dataimportören.

8.7 Känsliga uppgifter
Om överföringen innebär personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiösa eller filosofiska övertygelser, eller fackligt medlemskap, genetiska uppgifter eller biometriska uppgifter för att unikt identifiera en fysisk person, uppgifter om hälsa eller en individs sexualliv eller sexuella läggning, eller uppgifter relaterade till brottsliga domar och överträdelser (hädanefter "känsliga uppgifter"), ska dataimportören tillämpa de specifika restriktionerna och/eller ytterligare skyddsåtgärder som anges i Bilaga I.B.

8.8 Vidareöverföringar
Dataimportören får endast lämna ut personuppgifter till en tredje part på dokumenterade instruktioner från den personuppgiftsansvarige, som meddelats till dataimportören av dataexportören. Dessutom får uppgifterna endast vidareöverföras till en tredje part som är belägen utanför Europeiska Unionen (i samma land som dataimportören eller ett annat tredjeland, hädanefter "vidareöverföring") om den tredje parten är eller går med på att vara bunden av dessa Klausuler, under lämplig Modul, eller om:
(i) Vidareöverföringen sker till ett land som har fått en adekvansbedömning enligt artikel 45 i förordning (EU) 2016/679 som täcker vidareöverföringen;
(ii) Den tredje parten på annat sätt säkerställer lämpliga skyddsåtgärder enligt artiklarna 46 eller 47 i förordning (EU) 2016/679;
(iii) Vidareöverföringen är nödvändig för etablering, utövande eller försvar av rättsliga krav i samband med specifika administrativa, reglerande eller rättsliga förfaranden; eller
(iv) Vidareöverföringen är nödvändig för att skydda den registrerades eller en annan fysisk persons vitala intressen.
Varje vidareöverföring är föremål för att dataimportören följer alla andra skyddsåtgärder enligt dessa Klausuler, särskilt syftesbegränsning.

8.9 Dokumentation och efterlevnad
(a) Dataimportören ska snabbt och adekvat hantera förfrågningar från dataexportören eller den personuppgiftsansvarige som rör behandlingen enligt dessa Klausuler.
(b) Parterna ska kunna visa att de följer dessa Klausuler. Särskilt ska dataimportören hålla lämplig dokumentation över de behandlingsaktiviteter som utförs på uppdrag av den personuppgiftsansvarige.
(c) Dataimportören ska göra all information som behövs för att visa efterlevnad med de skyldigheter som fastställs i dessa Klausuler tillgänglig för dataexportören, som i sin tur ska tillhandahålla den till den personuppgiftsansvarige.
(d) Dataimportören ska tillåta och bidra till revisioner från dataexportören av de behandlingsaktiviteter som omfattas av dessa Klausuler, med rimliga intervaller eller om det finns indikationer på bristande efterlevnad. Detsamma gäller om dataexportören begär en revision på uppdrag av den personuppgiftsansvarige. Vid beslut om en revision får dataexportören beakta relevanta certifikat som dataimportören innehar.
(e) Om revisionen genomförs på uppdrag av den personuppgiftsansvarige ska dataexportören göra resultaten tillgängliga för den personuppgiftsansvarige.
(f) Dataexportören kan välja att genomföra revisionen själv eller ge uppdrag åt en oberoende revisor. Revisioner kan omfatta inspektioner på dataimportörens lokaler eller fysiska anläggningar och ska, om så är lämpligt, genomföras med rimlig förvarning.
(g) Parterna ska på begäran göra informationen som hänvisas till i punkterna (b) och (c), inklusive resultaten av eventuella revisioner, tillgänglig för den behöriga tillsynsmyndigheten.

Klausul 9
(Användning av underbiträden)
MODUL TRE: Överföring processor till processor
(a) Dataimportören har den personuppgiftsansvariges allmänna godkännande för att engagera underbiträden från en överenskommen lista. Dataimportören ska särskilt informera den personuppgiftsansvarige skriftligen om eventuella planerade förändringar i denna lista genom tillägg eller ersättning av underbiträden minst 14 dagar i förväg, vilket ger den personuppgiftsansvarige tillräckligt med tid att kunna invända mot sådana förändringar innan underbiträdet/underbiträdena engageras. Dataimportören ska tillhandahålla den personuppgiftsansvarige med den information som är nödvändig för att den personuppgiftsansvarige ska kunna utöva sin rätt att invända. Dataimportören ska informera dataexportören om engagemanget av underbiträdet/underbiträdena.
(b) Om dataimportören engagerar ett underbiträde för att utföra specifika behandlingsaktiviteter (på uppdrag av den personuppgiftsansvarige) ska detta göras genom ett skriftligt avtal som innehåller, i huvudsak, samma dataskyddsskyldigheter som de som är bindande för dataimportören enligt dessa Klausuler, inklusive i termer av rättigheter för tredjepartsnyttjande av data. Parterna är överens om att, genom att följa denna Klausul, uppfyller dataimportören sina skyldigheter enligt Klausul 8.8. Dataimportören ska säkerställa att underbiträdet följer de skyldigheter som dataimportören är bunden av enligt dessa Klausuler.
(c) Dataimportören ska på begäran från dataexportören eller den personuppgiftsansvarige tillhandahålla en kopia av ett sådant underbehandlingsavtal och eventuella efterföljande ändringar. I den mån det är nödvändigt för att skydda affärshemligheter eller annan konfidentiell information, inklusive personuppgifter, kan dataimportören redigera texten i avtalet innan en kopia delas.
(d) Dataimportören ska förbli fullt ansvarig inför dataexportören för att underbiträdet uppfyller sina skyldigheter enligt sitt avtal med dataimportören. Dataimportören ska meddela dataexportören om underbiträdet inte fullföljer sina skyldigheter enligt det avtalet.
(e) Dataimportören ska avtala en tredje parts förmånstagarklausul med underbiträdet, enligt vilken - om dataimportören faktiskt har försvunnit, upphört att existera enligt lag eller blivit insolvent - dataexportören har rätt att säga upp underbiträdesavtalet och instruera underbiträdet att radera eller återlämna personuppgifterna.

Klausul 10
(Rättigheter för registrerade)
MODUL TRE: Överföring processor till processor
(a) Dataimportören ska omedelbart meddela dataexportören och, om det är lämpligt, den personuppgiftsansvarige om varje begäran som den har mottagit från en registrerad, utan att svara på den begäran om inte den personuppgiftsansvarige har gett tillstånd att göra det.
(b) Dataimportören ska, i samarbete med dataexportören om det är lämpligt, hjälpa den personuppgiftsansvarige att uppfylla sina skyldigheter att svara på registrerades begäran om att utöva sina rättigheter enligt Förordning (EU) 2016/679 eller Förordning (EU) 2018/1725, enligt vad som är tillämpligt. I detta avseende ska Parterna i Bilaga II fastställa lämpliga tekniska och organisatoriska åtgärder, med beaktande av behandlingen natur, genom vilka hjälpen ska tillhandahållas, samt omfattningen och den hjälp som krävs.
(c) Vid uppfyllandet av sina skyldigheter enligt punkterna (a) och (b) ska dataimportören följa instruktionerna från den personuppgiftsansvarige, som kommuniceras av dataexportören.

Klausul 11
(Återupprättelse)
(a) Dataimportören ska informera registrerade på ett transparent och lättillgängligt sätt, genom individuell avisering eller på sin webbplats, om en kontaktpunkt som är auktoriserad att hantera klagomål. Det ska behandla omedelbart varje klagomål som det mottagit från en registrerad.
MODUL TRE: Överföring processor till processor
(a) Vid en tvist mellan en registrerad och någon av Parterna avseende efterlevnad av dessa Klausuler, ska den berörda Parten göra sitt bästa för att lösa frågan på ett vänskapligt sätt och i tid. Parterna ska hålla varandra informerade om sådana tvister och, när det är lämpligt, samarbeta för att lösa dem.
(b) Om den registrerade åberopar en tredjepartsnyttjanderätt enligt Klausul 3, ska dataimportören acceptera den registrerades beslut att:
(i) Lämna in ett klagomål till tillsynsmyndigheten i den medlemsstat där han/hon har sin stadigvarande bostad eller arbetsplats, eller till den behöriga tillsynsmyndigheten enligt Klausul 13;
(ii) Hänskjuta tvisten till behörig domstol enligt Klausul 18.
(c) Parterna accepterar att den registrerade kan företrädas av en ideell organisation, förening eller sammanslutning enligt de villkor som fastställs i Artikel 80(1) i Förordning (EU) 2016/679.
(d) Dataimportören ska följa ett beslut som är bindande enligt tillämplig EU- eller medlemsstatslagstiftning.
(e) Dataimportören accepterar att det val som görs av den registrerade inte ska påverka den registrerades materiella och processuella rättigheter att söka rättsmedel i enlighet med tillämplig lag.

Klausul 12
(Ansvar)
MODUL TRE: Överföring processor till processor
(a) Varje Part ska vara ansvarig gentemot den andra Parten/Parterna för eventuella skador som den orsakar den andra Parten/Parterna genom överträdelse av dessa Klausuler.
(b) Dataimportören ska vara ansvarig gentemot den registrerade, och den registrerade ska ha rätt att ta emot ersättning, för materiella eller immateriella skador som dataimportören eller dess underbehandlare orsakar den registrerade genom att bryta mot tredjepartsnyttjanderätten enligt dessa Klausuler.
(c) Oavsett punkt (b) ska dataexportören vara ansvarig gentemot den registrerade, och den registrerade ska ha rätt att ta emot ersättning, för materiella eller immateriella skador som dataexportören eller dataimportören (eller dess underbehandlare) orsakar den registrerade genom att bryta mot tredjepartsnyttjanderätten enligt dessa Klausuler. Detta påverkar inte ansvaret för dataexportören och, om dataexportören är en processor som agerar på uppdrag av en personuppgiftsansvarig, inte heller ansvaret för den personuppgiftsansvarige enligt Förordning (EU) 2016/679 eller Förordning (EU) 2018/1725, beroende på vad som är tillämpligt.
(d) Parterna kommer överens om att om dataexportören hålls ansvarig enligt punkt (c) för skador orsakade av dataimportören (eller dess underbehandlare), ska dataexportören ha rätt att kräva tillbaka från dataimportören den del av ersättningen som motsvarar dataimportörens ansvar för skadan.
(e) När mer än en Part är ansvarig för någon skada som orsakas den registrerade som ett resultat av en överträdelse av dessa Klausuler, ska alla ansvariga Parter vara solidariskt ansvariga, och den registrerade har rätt att väcka talan mot någon av dessa Parter i domstol.
(f) Parterna kommer överens om att om en Part hålls ansvarig enligt punkt (e), ska den ha rätt att kräva tillbaka från den andra Parten/Parterna den del av ersättningen som motsvarar deras ansvar för skadan.
(g) Dataimportören får inte åberopa en underbehandlares agerande för att undvika sitt eget ansvar.

Klausul 13
(Tillsyn)

Klausul 13
(Tillsyn)


MODUL TRE: Överföring processor till processor
(a) Den tillsynsmyndighet som ansvarar för att säkerställa att dataexportören följer Förordning (EU) 2016/679 avseende överföringen av personuppgifter, som anges i Bilaga I.C, ska fungera som den behöriga tillsynsmyndigheten.
(b) Dataimportören samtycker till att ställa sig under jurisdiktionen och samarbeta med den behöriga tillsynsmyndigheten i alla procedurer som syftar till att säkerställa efterlevnad av dessa Klausuler. I synnerhet samtycker dataimportören till att svara på förfrågningar, underkasta sig revisioner och följa de åtgärder som tillsynsmyndigheten vidtar, inklusive rättelse- och ersättningsåtgärder. Dataimportören ska ge tillsynsmyndigheten skriftlig bekräftelse på att nödvändiga åtgärder har vidtagits.

Klausul 14
(Lokal lagstiftning och förpliktelser vid tillgång från offentliga myndigheter)
MODUL TRE: Överföring processor till processor
(a) Parterna garanterar att de inte har någon anledning att tro att lagarna och praxis i den tredje destinationslandet som gäller för behandlingen av personuppgifter av dataimportören, inklusive krav på att avslöja personuppgifter eller åtgärder som medger åtkomst för offentliga myndigheter, hindrar dataimportören från att uppfylla sina skyldigheter enligt dessa Klausuler. Detta baseras på förståelsen att lagar och praxis som respekterar essensen av de grundläggande rättigheterna och friheterna och inte överskrider vad som är nödvändigt och proportionerligt i ett demokratiskt samhälle för att skydda ett av de mål som anges i artikel 23.1 i Förordning (EU) 2016/679, inte är i konflikt med dessa Klausuler.
(b) Parterna deklarerar att de i och med garantin i punkt (a) särskilt har beaktat följande faktorer:
(i) De specifika omständigheterna kring överföringen, inklusive längden på behandlingskedjan, antalet aktörer som är involverade och de överföringskanaler som används; planerade vidareöverföringar; typen av mottagare; syftet med behandlingen; kategorier och format för de överförda personuppgifterna; den ekonomiska sektorn där överföringen sker; lagringsplatsen för de överförda uppgifterna;
(ii) Lagstiftningen och praxis i den tredje destinationen – inklusive de som kräver att uppgifter avslöjas för offentliga myndigheter eller som ger myndigheter rätt att få åtkomst – relevanta med hänsyn till de specifika omständigheterna för överföringen, samt de tillämpliga begränsningarna och skyddsåtgärderna;
(iii) Eventuella relevanta avtalsmässiga, tekniska eller organisatoriska skyddsåtgärder som har vidtagits för att komplettera de skyddsåtgärder som anges i dessa Klausuler, inklusive åtgärder som tillämpas vid överföring och vid behandlingen av personuppgifter i destinationslandet.
(c) Dataimportören garanterar att den vid genomförandet av bedömningen enligt punkt (b) har gjort sitt bästa för att tillhandahålla dataexportören relevant information och samtycker till att fortsätta samarbeta med dataexportören för att säkerställa efterlevnad av dessa Klausuler.
(d) Parterna samtycker till att dokumentera bedömningen enligt punkt (b) och göra den tillgänglig för den behöriga tillsynsmyndigheten på begäran.
(e) Dataimportören samtycker till att snabbt meddela dataexportören om det, efter att ha godkänt dessa Klausuler och under avtalets varaktighet, finns anledning att tro att det är eller har blivit föremål för lagar eller praxis som inte överensstämmer med kraven enligt punkt (a), inklusive efter en lagändring i det tredje landet eller en åtgärd (t.ex. en begäran om avslöjande) som tyder på att sådana lagar tillämpas i praktiken på ett sätt som inte överensstämmer med kraven i punkt (a). Dataexportören ska vidarebefordra meddelandet till den personuppgiftsansvarige.
(f) Efter ett meddelande enligt punkt (e), eller om dataexportören på annat sätt har anledning att tro att dataimportören inte längre kan uppfylla sina skyldigheter enligt dessa Klausuler, ska dataexportören snabbt identifiera lämpliga åtgärder (t.ex. tekniska eller organisatoriska åtgärder för att säkerställa säkerhet och konfidentialitet) som ska vidtas av dataexportören och/eller dataimportören för att åtgärda situationen, om det är lämpligt i samråd med den personuppgiftsansvarige. Dataexportören ska suspendera dataöverföringen om det anser att inga lämpliga skyddsåtgärder för sådan överföring kan säkerställas, eller om det instrueras av den personuppgiftsansvarige eller den behöriga tillsynsmyndigheten att göra så. I detta fall ska dataexportören ha rätt att säga upp avtalet, i den mån det rör behandling av personuppgifter enligt dessa Klausuler. Om avtalet involverar mer än två Parter kan dataexportören utöva denna uppsägningsrätt endast i relation till den relevanta Parten, om inte Parterna har avtalat annat. Om avtalet sägs upp enligt denna Klausul, ska Klausul 16(d) och (e) tillämpas.

Klausul 15
(Åtaganden från dataimportören vid tillgång från offentliga myndigheter)
MODUL TRE: Överföring processor till processor

15.1 Anmälan
(a) Dataimportören samtycker till att omedelbart meddela dataexportören och, där det är möjligt, den registrerade (om nödvändigt med hjälp av dataexportören) om det:
(i) tar emot en rättsligt bindande begäran från en offentlig myndighet, inklusive rättsliga myndigheter, enligt lagarna i destinationslandet om att avslöja personuppgifter som överförts enligt dessa Klausuler; sådan anmälan ska inkludera information om de begärda personuppgifterna, den begärande myndigheten, den rättsliga grunden för begäran och det svar som gavs; eller
(ii) blir medveten om att offentliga myndigheter har direkt tillgång till personuppgifter som överförts enligt dessa Klausuler enligt lagarna i destinationslandet; sådan anmälan ska inkludera all tillgänglig information för importören.
Dataexportören ska vidarebefordra anmälan till den personuppgiftsansvarige.

(b) Om dataimportören är förbjuden att meddela dataexportören och/eller den registrerade enligt lagarna i destinationslandet, samtycker dataimportören till att göra sitt bästa för att få ett undantag från förbudet, med avsikt att kommunicera så mycket information som möjligt så snart som möjligt. Dataimportören samtycker till att dokumentera sina bästa ansträngningar för att kunna visa dem på begäran av dataexportören.

(c) Där det är tillåtet enligt lagarna i destinationslandet samtycker dataimportören till att tillhandahålla dataexportören, vid regelbundna intervaller under kontraktets varaktighet, så mycket relevant information som möjligt om de begärningar som tagits emot (i synnerhet antal begärningar, typ av begärda data, begärande myndighet/er, om begärningarna har utmanats och resultatet av sådana utmaningar, etc.). Dataexportören ska vidarebefordra informationen till den personuppgiftsansvarige.

(d) Dataimportören samtycker till att bevara informationen enligt punkterna (a) till (c) under kontraktets varaktighet och göra den tillgänglig för den behöriga tillsynsmyndigheten på begäran.

(e) Punkterna (a) till (c) påverkar inte dataimportörens skyldighet enligt Klausul 14 (e) och Klausul 16 att omedelbart informera dataexportören när den inte kan följa dessa Klausuler.

15.2 Granskning av laglighet och dataminimering
(a) Dataimportören samtycker till att granska lagligheten i begäran om offentliggörande, särskilt om den ligger inom de befogenheter som har beviljats den begärande offentliga myndigheten, och att utmana begäran om det, efter noggrann bedömning, kommer fram till att det finns rimliga skäl att anse att begäran är olaglig enligt lagarna i destinationslandet, tillämpliga internationella rättsliga skyldigheter och principer för internationell vänskap. Dataimportören ska, under samma förutsättningar, sträva efter att överklaga begäran. När en begäran utmanas ska dataimportören begära interimistiska åtgärder för att suspendera effekterna av begäran tills den behöriga rättsliga myndigheten har fattat beslut om dess innehåll. Den ska inte avslöja de begärda personuppgifterna förrän det krävs enligt tillämpliga processuella regler. Dessa krav påverkar inte dataimportörens skyldigheter enligt Klausul 14 (e).

(b) Dataimportören samtycker till att dokumentera sin rättsliga bedömning och alla utmaningar mot begäran om offentliggörande och, i den mån det är tillåtet enligt lagarna i destinationslandet, göra dokumentationen tillgänglig för dataexportören. Den ska också göra den tillgänglig för den behöriga tillsynsmyndigheten på begäran. Dataexportören ska göra bedömningen tillgänglig för den personuppgiftsansvarige.

(c) Dataimportören samtycker till att tillhandahålla den minsta mängd information som är tillåten när den svarar på en begäran om offentliggörande, baserat på en rimlig tolkning av begäran.

AVSNITT IV – SLUTBESTÄMMELSER
Klausul 16
(Brister i efterlevnad av klausulerna och uppsägning)

(a) Dataimportören ska omedelbart informera dataexportören om det inte kan uppfylla dessa klausuler, oavsett orsak.

(b) Om dataimportören bryter mot dessa klausuler eller inte kan uppfylla dem, ska dataexportören suspendra överföringen av personuppgifter till dataimportören tills efterlevnaden säkerställs på nytt eller kontraktet sägs upp. Detta påverkar inte klausul 14 (f).

(c) Dataexportören har rätt att säga upp kontraktet, i den mån det gäller behandling av personuppgifter enligt dessa klausuler, om:
(i) dataexportören har suspendrat överföringen av personuppgifter till dataimportören enligt punkt (b) och efterlevnaden av dessa klausuler inte återställs inom rimlig tid och i alla händelser inom en månad från suspensionen;
(ii) dataimportören väsentligt eller ihållande bryter mot dessa klausuler; eller
(iii) dataimportören inte följer ett bindande beslut från en behörig domstol eller tillsynsmyndighet beträffande sina skyldigheter enligt dessa klausuler.
I dessa fall ska dataexportören informera den behöriga tillsynsmyndigheten och den personuppgiftsansvarige om sådan bristande efterlevnad. Om kontraktet involverar fler än två parter får dataexportören utöva denna rätt till uppsägning endast avseende den relevanta parten, om inte parterna kommit överens om annat.

(d) Personuppgifter som har överförts innan kontraktet sägs upp enligt punkt (c) ska, efter dataexportörens val, omedelbart återlämnas till dataexportören eller raderas i sin helhet. Detta gäller även eventuella kopior av uppgifterna. Dataimportören ska bekräfta radering av uppgifterna till dataexportören. Tills uppgifterna har raderats eller återlämnats, ska dataimportören fortsätta att säkerställa efterlevnad av dessa klausuler. I fall av lokal lagstiftning som gäller för dataimportören som förbjuder återlämning eller radering av de överförda personuppgifterna, garanterar dataimportören att den fortsätter säkerställa efterlevnad av dessa klausuler och endast behandlar uppgifterna i den omfattning och så länge som krävs enligt sådan lokal lag.

(d) Endera parten får återkalla sitt avtal att vara bundet av dessa klausuler där (i) Europeiska kommissionen antar ett beslut enligt artikel 45(3) i förordning (EU) 2016/679 som omfattar överföring av personuppgifter som dessa klausuler tillämpas på; eller (ii) förordning (EU) 2016/679 blir en del av det rättsliga ramverket i det land dit personuppgifterna överförs. Detta påverkar inte andra skyldigheter som gäller för behandlingen enligt förordning (EU) 2016/679.

Klausul 17
(Tillämplig lag)
Dessa klausuler ska regleras av lagarna i den EU-medlemsstat där dataexportören är etablerad. Om sådan lag inte tillåter tredjepartsförmånstagarättigheter, ska de regleras av lagarna i en annan EU-medlemsstat som tillåter tredjepartsförmånstagarättigheter. Parterna är överens om att detta ska vara lagen i Sverige eller en annan medlemsstat som överenskommits mellan leverantören och den enskilda underleverantören.

Klausul 18
(Val av forum och jurisdiktion)
(a) Tvister som uppstår från dessa klausuler ska lösas av domstolarna i en EU-medlemsstat.
(b) Parterna är överens om att dessa ska vara domstolarna i Sverige eller en annan medlemsstat som överenskommits mellan leverantören och den enskilda underleverantören.
(c) En registrerad person kan även väcka rättsliga åtgärder mot dataexportören och/eller dataimportören vid domstolarna i den medlemsstat där han/hon har sin vanliga vistelseort.
(d) Parterna är överens om att underkasta sig jurisdiktionen för sådana domstolar.

BILAGA I


TILL STANDARDAVTALSKLAUSULERNA

A. LISTA ÖVER PARTER

Dataansvarig: För syftena med de standardavtalsklausulerna, och med beaktande av villkoren i Personuppgiftsbehandlingsavtalet, identifieras kund till leverantören som Dataansvarig, enligt definitionen i dataskyddslagarna.
Databehandlare: För syftena med de standardavtalsklausulerna, och med beaktande av villkoren i Personuppgiftsbehandlingsavtalet, identifieras leverantören som Databehandlare, enligt definitionen i dataskyddslagarna, och är part i de standardavtalsklausulerna tillsammans med den enskilde Underleverantören.
Dataexportör(er): För syftena med de standardavtalsklausulerna, och med beaktande av villkoren i Personuppgiftsbehandlingsavtalet, är leverantören Dataexportör. De aktiviteter som är relevanta för de överförda uppgifterna enligt dessa klausuler är angivna i Bilaga I till Personuppgiftsbehandlingsavtalet.
Leverantörens kontaktuppgifter är följande:
Vänligen hänvisa till kontaktuppgifterna för Enad Data Management-företaget identifierat som leverantör i Huvudavtalet.

På uppdrag av Leverantören (Databehandlare, Dataexportör):
Namn: Se Bilaga 3, sektion 2.2 i Merchant Agreement
Telefon: -”-
E-post: -”-

Dataimportör(er): För syftena med de standardavtalsklausulerna, och med beaktande av villkoren i Personuppgiftsbehandlingsavtalet, definieras leverantörens enskilda underleverantör som en databehandlare som Dataimportör.
De enskilda Dataimportörerna och de aktiviteter som är relevanta för de överförda uppgifterna till varje Dataimportör anges i sektion 5 i Bilaga I till Personuppgiftsbehandlingsavtalet.
Oavsett det föregående, anges identiteten och kontaktuppgifterna för varje enskild Dataimportör, inklusive eventuella kontaktpersoner med ansvar för dataskydd, i de individualiserade standardavtalsklausulerna med den relevanta underleverantören.

  • B. BESKRIVNING AV ÖVERFÖRING

  • Kategorier av registrerade vars personuppgifter överförs anges i Bilaga 1 till Personuppgiftsbehandlingsavtalet mellan Kunden (Dataansvarig) och Leverantören (Databehandlare). För syftena med de standardavtalsklausulerna, och med beaktande av villkoren i Personuppgiftsbehandlingsavtalet, definieras och specificeras kategorierna av registrerade vars personuppgifter överförs till den enskilde Dataimportören i de individualiserade standardavtalsklausulerna med den relevanta underleverantören.

  • Kategorier av personuppgifter som överförs anges i Bilaga 1 till Personuppgiftsbehandlingsavtalet mellan Kunden (Dataansvarig) och Leverantören (Databehandlare). För syftena med de standardavtalsklausulerna, och med beaktande av villkoren i Personuppgiftsbehandlingsavtalet, definieras och specificeras kategorierna av personuppgifter som överförs till den enskilde Dataimportören i de individualiserade standardavtalsklausulerna med den relevanta underleverantören.

  • Om inte annat anges av Kunden, bekräftar Leverantören (som Dataexportör) att inga känsliga uppgifter, enligt definitionen i dataskyddslagarna, överförs till underleverantörer (som Dataimportörer).

  • Frekvensen av överföringen (t.ex. om uppgifterna överförs en gång eller kontinuerligt):
    Kontinuerligt.

  • Typ av behandling
    Se Personuppgiftsbehandlingsavtalet, Bilaga 1, Sektion 3

  • Syfte med överföringen av personuppgifter och vidare behandling
    Se Personuppgiftsbehandlingsavtalet, Bilaga 1, Sektioner 3, 4 och 5.

  • Tidsperiod för vilken de personuppgifter kommer att bevaras, eller, om det inte är möjligt, kriterier som används för att bestämma denna period
    Se Personuppgiftsbehandlingsavtalet, Bilaga 1, Sektioner 3, 4 och 5.

  • För överföring till (under-)behandlare, specificera även ämnet, arten och varaktigheten av behandlingen:
    Se Personuppgiftsbehandlingsavtalet, Bilaga 1, Sektioner 4 och 5.

C. KOMPETENT TILLSYNSÄMYNDIGHET
Identifiera den kompetenta tillsynsmyndigheten/erna enligt Klausul 13:
Integritetsskyddsmyndigheten (www.imy.se), såvida inte en annan medlemsstats kompetenta tillsynsmyndighet anges i de individualiserade standardavtalsklausulerna mellan Leverantören och den berörda Underleverantören.

BILAGA II
TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER INKLUSIVE TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER FÖR ATT SÄKERSTÄLLA SÄKERHETEN FÖR UPPGIFTERNA
Enads tekniska och organisatoriska åtgärder är detaljerade i Bilaga 2 till Personuppgiftsbehandlingsavtalet.
Se de individualiserade standardavtalsklausulerna med den relevanta underleverantören för detaljer om deras respektive tekniska och organisatoriska åtgärder.

BILAGA III

LISTA PÅ UNDERBEHANDLARE
Controller har godkänt användningen av följande underbehandlare:
Underbehandlare till Leverantören: Se Bilaga 1 till Personuppgiftsbehandlingsavtalet.
Underbehandlare till Underleverantören: Se de individualiserade standardavtalsklausulerna med den relevanta underleverantören.

Tidsperioden för vilken personuppgifterna kommer att bevaras, eller, om det inte är möjligt, de kriterier som används för att bestämma denna period:
Se Personuppgiftsbehandlingsavtalet, Bilaga 1.

För överföring till (under-)behandlare, specificera även ämnet, arten och varaktigheten av behandlingen:
Se Personuppgiftsbehandlingsavtalet, Bilaga 1.