Databehandlingsavtal

Databehandlingsavtal| Rinkel B.V.
 
Version: VONL_1.0
Datum: 17 maj 2022

Detta databehandlingsavtal utgör en integrerad och oskiljaktig del av de avtal som ingås mellan parterna och av de tjänster som tillhandahålls av Rinkel B.V. (”huvudavtalet”). Detta databehandlingsavtal är därför också underställt Rinkel B.V.:s allmänna villkor och bestämmelser.
Användaren ges möjlighet att ingå följande databehandlingsavtal med Rinkel B.V. under registreringsprocessen eller genom godkännande i My Rinkel (https://my.rinkel.com).

Parterna

• användaren: den fysiska person eller juridiska enhet som agerar som utövare av en yrkesroll eller företag som Rinkel har ingått ett avtal med (”den personuppgiftsansvarige”),

och

• Rinkel B.V., med säte i Rotterdam, Nederländerna, och registrerat hos handelskammaren med nummer 63036932 (”personuppgiftsbiträdet”),

härefter benämnda var för sig som en ”part” och gemensamt som ”parterna”,
 

Ingår avtal av följande skäl:

• Personuppgiftsbiträdet tillhandahåller tillgänglighets- och telefonitjänster (”tjänsterna”).
• Den personuppgiftsansvarige vill använda personuppgiftsbiträdets tjänster, däribland att personuppgiftsbiträdet behandlar vissa personuppgifter på den personuppgiftsansvariges vägnar.
• Den personuppgiftsansvarige är kategoriserad som personuppgiftsansvarig i den mening som avses i tillämplig integritetslagstiftning eller, i tillämpliga fall, som personuppgiftsbiträde i den mening som avses i tillämplig integritetslagstiftning, varigenom personuppgiftsbiträdet då fungerar som underentreprenör.
• Mot bakgrund av kraven enligt integritetslagstiftningen vill parterna skriftligt fastställa sina rättigheter och skyldigheter i detta uppgiftsbehandlingsavtal.
• Alla begrepp som används i den allmänna dataskyddsförordningen (GDPR) har, när de förekommer i detta uppgiftsbehandlingsavtal, samma innebörd som i den förordningen.

Parterna avtalar följande:

Paragraf 1. Allmänt
1.1.    Personuppgiftsbiträdet åtar sig att behandla personuppgifter efter den personuppgiftsansvariges instruktioner i enlighet med villkoren i detta databehandlingsavtal . Uppgifterna kommer endast att behandlas i syfte att fullgöra huvudavtalet och av rimligen anknutna skäl eller av skäl som avgörs utifrån ytterligare samtycke, och enbart på grundval av den personuppgiftsansvariges instruktioner. Den personuppgiftsansvarige ska informera personuppgiftsbiträdet skriftligt om alla syften/ändamål för behandling som inte redan specificeras i huvudavtalet eller detta uppgiftsbehandlingsavtal

1.2 När personuppgiftsbiträdet fullgör huvudavtalet ska det behandla samtliga personuppgifter som kan finnas lagrade när användning av tjänsterna äger rum. Dit hör följande typer av personuppgifter:

1. Namn- och adressuppgifter.
2. E-postadress.
3. Användarens telefonnummer.
4. Telefonnummer till användarens kunder.
5. IP-adress.
6. (Bank)kontonummer.

1.3    Personuppgiftsbiträdet har ingen kontroll över ändamålen och medlen för behandling av personuppgifter. Personuppgiftsbiträdet ska inte självständigt ta några beslut angående att ta emot eller använda personuppgifterna, att dela personuppgifterna med tredje parter eller hur länge sådana uppgifter ska sparas.

Paragraf 2. Ansvarsfördelning
2.1    De tillåtna behandlingarna kommer att utföras under personuppgiftsbiträdets kontroll i en (halv)automatiserad omgivning.
2.2    Personuppgiftsbiträdets ansvar är begränsat till att behandla personuppgifterna i enlighet med villkoren i detta uppgiftsbehandlingsavtal, efter den personuppgiftsansvariges instruktioner och uttryckligen under den personuppgiftsansvariges (slutgiltiga) ansvar.
2.3    Personuppgiftsbiträdet är uttryckligen inte ansvarigt för några andra former av behandlingar av personuppgifter, däribland den personuppgiftsansvariges insamling av personuppgifter, behandling för ändamål som den personuppgiftsansvarige eller personuppgiftsbiträdet inte anmält, och/eller behandlingar som utförs av tredje parter engagerade av den personuppgiftsansvarige. Ansvaret för sådana behandlingar ligger hos den personuppgiftsansvarige.
2.4    Den personuppgiftsansvarige garanterar att innehållet i och användningen av de personuppgifter och de instruktioner för behandling av personuppgifterna som avses i detta databehandlingsavtal inte är olaglig och inte inkräktar på några tredje parters rättigheter, och den personuppgiftsansvarige befriar personuppgiftsbiträdet från ansvar vid alla som helst anspråk som kan uppkomma i detta avseende.
2.5    Om det för någon ny form av behandling enligt detta uppgiftsbehandlingsavtal krävs en konsekvensbedömning avseende dataskydd eller förhandssamråd med tillsynsmyndigheten, ska personuppgiftsbiträdet samarbeta i mesta möjliga mån. Personuppgiftsbiträdet får debitera den personuppgiftsansvarige ett rimligt belopp för detta.
2.6    Om det krävs enligt lag och är nödvändigt, ska personuppgiftsbiträdet samarbeta närhelst den nederländska dataskyddsmyndigheten gör en utredning av någon behandling som utförs i enlighet med detta uppgiftsbehandlingsavtal. Personuppgiftsbiträdet får debitera den personuppgiftsansvarige ett rimligt belopp för detta.
2.7    Personuppgiftsbiträdets skyldigheter genom detta uppgiftsbehandlingsavtal gäller även för var och en som behandlar personuppgifter under personuppgiftsbiträdets överinseende, däribland personuppgiftsbiträdets anställda.

Paragraf 3. Säkerhet
3.1     Personuppgiftsbiträdet ska eftersträva att vidta lämpliga tekniska och organisatoriska åtgärder med avseende på de behandlingar av personuppgifter som ska utföras, för att skydda uppgifterna från att gå förlorade eller från alla former av olaglig behandling (såsom obehörig åtkomst, korruption, ändring eller utlämning av personuppgifter). Personuppgiftsbiträdet måste offentliggöra de åtgärder som vidtas på integritetspolicysidan på sin webbplats. Dessa åtgärderses av båda parter som lämpliga och parterna är överens om att de säkerställer skydd på en tillräcklig nivå.
3.2    P.g.a. internets och teknikens karaktär garanterar inte personuppgiftsbiträdet att säkerhetsåtgärderna fungerar under precis alla omständigheter.

Paragraf 4. Underentreprenörer
4.1     Den personuppgiftsansvarige ger personuppgiftsbiträdet tillåtelse att använda underleverantörer (underentreprenörer) för syftet att behandla personuppgifter i enlighet med detta uppgiftsbehandlingsavtal, underställt tillämpliga integritetslagar. Personuppgiftsbiträdet ska på den personuppgiftsansvariges begäran informera denne om identiteterna på de underentreprenörer man använder.
4.2    Om personuppgiftsbiträdet har för avsikt att anlita nya underentreprenörer för ändamålet att behandla personuppgifter, ska personuppgiftsbiträdet meddela den personuppgiftsansvarige om detta i förväg, om det är skäligen möjligt.
4.3      Personuppgiftsbiträdet måste i alla händelser säkerställa att underentreprenörerna skriftligt godkänner samma skyldigheter som de som avtalas mellan den personuppgiftsansvarige och personuppgiftsbiträdet.

Paragraf 5. Uppgiftsöverföringar
5.1      Personuppgiftsbiträdet får behandla personuppgifterna i länder inom Europeiska ekonomiska samarbetsområdet (EES). Personuppgiftsbiträdet får även överföra personuppgifterna till länder utanför EES, förutsatt att de tillämpliga juridiska kraven är uppfyllda.
5.2     Personuppgiftsbiträdet ska på den personuppgiftsansvariges begäran informera denne om vilket/vilka länder man ska överföra personuppgifterna till.

Artikel 6. Revisioner
6.1    Den personuppgiftsansvarige får instruera en oberoende sakkunnig tredje part, som är bunden av tystnadsplikt, att utföra revisioner för att övervaka att de överenskommelser som fastställs i detta uppgiftsbehandlingsavtal efterlevs, och alla eventuella anknutna ärenden.
6.2    Varje revision ska utföras först efter att den personuppgiftsansvarige har begärt åtkomst till och granskat relevanta rapporter som personuppgiftsbiträdet har tillgängliga, och har lagt fram rimliga argument som motiverar revisionen. En revision är motiverad om de tillgängliga rapporterna från personuppgiftsbiträdet ger otillräckliga eller inga belägg för att detta uppgiftsbehandlingsavtal efterlevs.
6.3     En revision som den personuppgiftsansvarige tar initiativ till ska äga rum tidigast fyra veckor efter att förhandsanmälan gjorts, och inte fler än en gång per kalenderår.
6.4    Personuppgiftsbiträdet ska samarbeta vid revisionen och göra tillgänglig all sådan information som rimligen kan anses vara relevant för revisionen.
6.5    Resultaten från revisionen ska granskas av parterna i samråd med varandra. Alla ändringar som resultaten medför ska införas av endera parten eller av båda parterna gemensamt.
6.6    Samtliga kostnader för revisionen, inklusive alla kostnader som personuppgiftsbiträdet ådrar sig, ska täckas av den personuppgiftsansvarige.

Paragraf 7. Anmälningsplikt
7.1     Personuppgiftsbiträdet ska underrätta den personuppgiftsansvarige om varje personuppgiftsincident, så som avses i artikel 33 i GDPR, inom 48 timmar. Personuppgiftsbiträdet måste vidta alla mått och steg för att säkerställa att den information som lämnas är fullständig, korrekt och exakt.
7.2    Om så krävs enligt tillämpliga lagar och/eller regelverk, ska personuppgiftsbiträdet bistå vid anmälan till de relevanta myndigheterna och/eller registrerade. Den personuppgiftsansvarige ska avgöra om anmälan ska göras till tillsynsmyndigheterna och/eller de registrerade. Den personuppgiftsansvarige är hela tiden den part som är ansvarig för att följa alla lagstadgade och övriga krav på anmälan.
7.3    Detta anmälningskrav innefattar i alla händelser att rapportera det faktum att det har skett en personuppgiftsincident och, i den mån information finns,

1. vilken som är (den påstådda) orsaken till personuppgiftsincidenten,
2. kontaktuppgifter för att följa upp rapporten,
3. uppskattat antal berörda registrerade och personuppgiftsposter,
4. personuppgiftsincidentens (sannolika) konsekvenser,
5. (den föreslagna) lösningen,
6. och eventuella åtgärder som redan har vidtagits.

Paragraf 8. Begäranden från registrerade
8.1    Om en registrerad lämnar in en begäran till personuppgiftsbiträdet angående sina personuppgifter, ska personuppgiftsbiträdet vidarebefordra begäran till den personuppgiftsansvarige, som sedan behandlar begäran. Om personuppgiftsbiträdets samarbete krävs för att behandla begäran, ska personuppgiftsbiträdet bistå med rimligt samarbete. Alla kostnader som personuppgiftsbiträdet rimligen ådrar sig eller kommer att ådra sig i samband med sådant samarbete kommer att ersättas av den personuppgiftsansvarige.

Artikel 9. Konfidentialitet
9.1     Alla personuppgifter som personuppgiftsbiträdet erhåller från den personuppgiftsansvarige och/eller självt samlar in i enlighet med detta uppgiftsbehandlingsavtal är underställda tystnadsplikt gentemot tredje part.
9.2    Denna tystnadsplikt gäller inte om den personuppgiftsansvarige uttryckligen har samtyckt till att sådan information lämnas ut till tredje parter, om det är logiskt nödvändigt att lämna ut sådan information till tredje parter mot bakgrund av de instruktioner som utfärdats och fullgörandet av detta uppgiftsbehandlingsavtal, eller om det finns en juridisk skyldighet att lämna ut sådan information till en tredje part.

Paragraf 10. Varaktighetstid och utgång
10.1     Detta uppgiftsbehandlingsavtal inleds på det datum då parterna undertecknar det, och fortsätter att gälla under huvudavtalets giltighetstid eller så länge som annars parternas fortsatta samarbete pågår.
10.2    När så är nödvändigt ska parterna fullt ut samarbeta för att justera detta uppgiftsbehandlingsavtal så att det följer eventuella nya eller ändrade lagar och regelverk om integritet.
10.3    Om huvudavtalet upphör ska också detta uppgiftsbehandlingsavtal upphöra enligt lag.
10.4    Innan huvudavtalet löper ut eller sägs upp, eller inom 30 dagar från att huvudavtalet löpt ut eller sagts upp, får den personuppgiftsansvarige göra ytterligare överenskommelser med personuppgiftsbiträdet om vad som bör hända med alla den personuppgiftsansvariges personuppgifter som personuppgiftsbiträdet fortfarande kan tänkas inneha. På den personuppgiftsansvariges begäran ska personuppgiftsbiträdet antingen förstöra de personuppgifter det behandlar, eller återlämna uppgifterna till den personuppgiftsansvarige (i original- eller kopieformat). Personuppgiftsbiträdet får debitera den personuppgiftsansvarige kostnader för detta ändamål, enligt personuppgiftsbiträdets vanliga taxor.
10.5    Om den personuppgiftsansvarige inom 30 dagar efter att huvudavtalet löpt ut eller sagts upp inte har visat att den vill göra ytterligare överenskommelser med personuppgiftsbiträdet angående återlämning eller förstöring av personuppgifterna, har personuppgiftsbiträdet rätt att förstöra personuppgifterna från och med den 31:^a dagen efter att huvudavtalet har upphört.