Ett databehandlingsavtal i enlighet med EU 2016/679, Art 28
Dataskyddsbilaga till avtal mellan Kunden / Bahandlingsansvarige och Apix Messaging AB / Databehandlaren

1 Parternas generella rättigheter och skyldigheter

Kunden ska fungera som behandlingsansvarig i enlighet med gällande dataskyddslagstiftning (“Behandlingsansvarige” eller “Kund”) med avseende på Kundens kunder eller anställdas eller andra personers personuppgifter behandlade av Apix Messaging AB som tjänsteleverantör av Apix Messaging Service (“Kundens personuppgifter”). Behandlingsansvarige ska ansvara för Kundens personuppgifter och se till att de behandlas enligt gällande lagstiftning om dataskydd. Datakontrollören ska ansvara för alla nödvändiga åtgärder och förvärva, säkra och underhålla alla rättigheter, avtal och tillstånd som Databehandlaren (“Databehandlare” eller “Leverantör”) behöver för att kunna implementera Apix Messaging Service (“Tjänsten”) utan att bryta mot lagar eller tredje parts rättigheter.

2 Databehandlarens instruktioner

Databehandlaren skall behandla Kundens personuppgifter på Behandlingsansvariges vägnar i enlighet med tillämplig lagstiftning om dataskydd och vid behov för att tillhandahålla tjänsten. Kundens personuppgifter ska behandlas enligt Behandlingsansvariges anvisningar. Behandlingsansvarige ska se till att anvisningarna beskrivs i detalj vid den tidpunkt då detta dataskyddstillägg träder i kraft. Om Behandlingsansvarige senare tillhandahåller Databehandlaren ytterligare instruktioner om behandling av kundens personuppgifter, har Databehandlaren rätt att ta ut de extra avgifter som krävs för att följa anvisningarna. Om Databehandlaren inte kan följa de angivna instruktionerna ska Databehandlaren omedelbart underrätta Behandlingsansvarige om detta och parterna ska tillsammans försöka lösa problemet på ett lämpligt sätt. Om problemet inte kan lösas inom en (1) månad, ska varje part ha rätt att säga upp avtalet med en uppsägningstid om två (2) månader.

3 Utveckling av tjänsten

Oavsett ovanstående ska Leverantören ha rätt att använda data skapad i samband med den tillhandahållna tjänsten och behandling av Kundens personuppgifter för utveckling, analys och bedömning av Leverantörens verksamhet såväl som för statistiska ändamål. För dessa ändamål anonymiseras kundens personuppgifter i den grad som krävs för att uppfylla Leverantörens sekretessplikt. Kunden kan också skriftligen ge Leverantören en mer omfattande rätt att behandla kundens personuppgifter. Parterna är medvetna om att den behandling som avses här kan leda till skyldigheter för både Kunden och Leverantören, såsom skyldigheten att meddela de personer Kundens personuppgifter hänvisar till.

4 Sekretess för databehandling

Databehandlaren ska hålla kundens personuppgifter konfidentiella och se till att de personer som är bemyndigade att behandla kundens personuppgifter är bundna till sekretess eller omfattas av gällande lagstadgad sekretesskyldighet.

5 Dataskydd

Goda tekniska och organisatoriska åtgärder är vidtagna för att säkerställa att kundens personuppgifter förblir konfidentiella, intakta och tillgängliga. Oavsett ovanstående kan Databehandlaren ändra sina egna datasäkerhetsförfaranden så länge ändringarna inte försämrar den allmänna datasäkerheten.

6 Meddelande om läckage av personuppgifter

Databehandlaren ska utan dröjsmål informera Behandlingsansvarige om eventuella överträdelser mot personskyddet av Kundens personuppgifter, senast 48 timmar från det att överträdelsen upptäcktes, om möjligt. Databehandlaren ska tillhandahålla Behandlingsansvarige med de tillgängliga data som krävs för att uppfylla Behandlingsansvariges skyldighet att anmäla. Databehandlaren ska åtgärda och begränsa överträdelsens effekter till bästa möjliga förmåga.

7 Den registrerades rättigheter

På begäran och under förutsättning av kommersiellt godtagbara villkor ska Databehandlaren hjälpa datatillsynsmannen att säkerställa den registrerades rättigheter och att uppfylla de skyldigheter som följer av lagstiftningen om uppgiftsskydd. En registrerats rättigheter har implementerats i enlighet med bilagan till databehandlingspolicyn.

8 Överensstämmelse med gällande lagstiftning om dataskydd

Databehandlaren ska på begäran tillhandahålla en obligatorisk rapport om överensstämmelse med gällande lagstiftning om dataskydd.

9 Bibehållande av personuppgifter

När det inte längre är nödvändigt att behandla Kundens personuppgifter i enlighet med detta avtal, ska Leverantören ge Kunden ett tekniskt alternativ för att kopiera Kundens personuppgifter lagrade i tjänsten. På Kundens begäran ska Leverantören radera Kundens personuppgifter och meddela Kunden om raderingen av uppgifterna om inte personuppgifterna måste lagras på grund av lagstiftning.

10 Underleverantörer

Databehandlaren kan använda underleverantörer (“Underleverantör”) för att behandla Kundens personuppgifter i enlighet med detta tillägg. Databehandlaren ska meddela Behandlingsansvarige innan Underleverantören börjar bearbetningen. Underleverantörer listas i den separata underleverantörsbilagan: apixmessaging.se/gdpr/underleverantorer som ska uppdateras av Databehandlaren vid behov. Databehandlaren har rätt att skriftligen invända mot den planerade ändringen, med motiverade grunder avseende dataskydd inom två (2) veckor efter mottagandet av anmälan. I detta fall ska Databehandlaren fortsätta behandla objektet enligt de överenskomna villkoren tills (i) båda parter har gått med på att avsluta behandlingen och returnera Kundens personuppgifter till Behandlingsansvarige, eller (ii) båda parter har kommit överens om på sätt att fortsätta bearbetningen och de tillkommande kostnaderna.

11 Överföring av personuppgifter

Behandlingsansvarige ska komma överens om att Databehandlaren kan, för att genomföra villkoren i detta tillägg och för att tillhandahålla Tjänsten, överlämna bearbetningen av och tillhandahålla kundens personuppgifter till underleverantörer som befinner sig utanför behandlingsansvariges land ursprungligen. Om Kundens personuppgifter överförs utanför EU eller EES, ska Databehandlaren på uppgiftsinspektörens vägnar genomföra lämpliga skyddsåtgärder för att garantera och säkerställa de registrerades rättigheter och privilegier i enlighet med kraven i gällande lagstiftning om dataskydd. Exempelvis kan Databehandlaren på uppdrag av Behandlingsansvarige göra en överenskommelse i enlighet med de standardiserade dataskyddsklausuler som godkänts av Europeiska Kommissionen om behandling av personuppgifter med en underentreprenör som är lokaliserad utanför EU eller EES i syfte att för att uppfylla kraven i tillämplig lagstiftning om dataskydd.

12 Registreringsrätt för den registrerade

Enligt dataskyddslagstiftningen ska en registrerad person ha rätt att få tillgång till uppgifterna (inspektionsrättigheter), begära korrigering eller borttagande av data eller för att begränsa behandlingen av uppgifterna. Leverantören ska inte direkt svara på frågor eller förfrågningar av registrerade som ingår i kundens personliga fil. Leverantören ska ge kunden en tjänst som gör det möjligt att genomföra kontrollrätten. Tjänsten kan vara föremål för en serviceavgift.

13 Kundens granskningsrätt

Kunden har rätt att granska Databehandlarens personuppgifter enligt beskrivningen i denna bilaga. Kunden ska endast använda externa revisorer som inte är Databehandlarens konkurrenter. Parterna ska i god tid komma överens om tidsplan och andra detaljer inkluderade i granskningen. Revisionen ska utföras på ett sätt som inte harmar skyldigheterna mellan Databehandlaren och en tredje part. Alla representanter för Kunden och alla externa revisorer ska underteckna ett konventionellt sekretessavtal till gagn för Databehandlaren. Kunden ska täcka alla kostnader till följd av en revision. Databehandlaren har rätt att ta betalt för stöd i revisionen och annat tilläggsarbete som följer av revisionen.

Bilagor: Apix Messaging AB – Databehandingspolicy