Its Perfect - Personuppgiftsbiträdesavtal

Detta personuppgiftsbiträdesavtal gäller mellan Itsperfect Software Europe AB, organisationsnummer 556408–0157, (”Tjänsteleverantören”) och den kund som anges i orderformuläret (”Kunden”).

Tjänsteleverantören tillhandahåller IT-tjänster, innefattande kassa- och bokningssystemet Itsperfect och support på detta (”Tjänsten”). Tjänsten tillhandahålls till Itsperfects kunder, vanligen frisör- och skönhetssalonger, i enlighet med de Allmänna Villkor som ingåtts mellan parterna (”Villkoren”).

Vid tillhandahållande av Tjänsten kommer Tjänsteleverantören agera som personuppgiftsbiträde och behandla personuppgifter för Kundens räkning i enlighet med detta personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtalet”), där Kunden agerar som personuppgiftsansvarig.

1. GÄLLANDE RÄTT OCH DEFINITIONER

• ”Gällande Rätt” är Europaparlamentets och rådets förordning (EU) 2016/679 och nationella (”GDPR”). Definitioner i Gällande Rätt som återkommer i detta Personuppgiftsbiträdesavtal har samma innebörd även om de inte inleds med versaler i detta Personuppgiftsbiträdesavtal, t.ex. ”registrerad”, ”personuppgift”, ”behandling”, ”tredjeland” etc.

2. ÄNDAMÅLET MED BEHANDLINGEN

• Ändamålet med behandlingen av personuppgifter är att möjliggöra tillhandahållande av Tjänsten till Kunden i enlighet med Villkoren (”Ändamålet”).
• Tjänsteleverantören får endast behandla Kundens personuppgifter för Ändamålet och i den mån det är nödvändigt för att uppfylla Tjänsteleverantörens skyldigheter enligt detta Personuppgiftsbiträdesavtal samt Villkoren inklusive bilagor.
• De kategorier av registrerade vars personuppgifter kommer att behandlas är Kundens anställda, kunder och samarbetspartners.
• De kategorier av personuppgifter som kommer att behandlas är namn, e-postadress, telefonnummer, postadress till registrerade, bilder, uppgifter som rör inköp och bokningar samt personuppgifter som omfattas av Kundens eller Kundens anställdas anteckningar.
• Personuppgifterna kommer att behandlas under hela den tid då Tjänsteleverantören levererar sina tjänster till Personuppgiftsansvarig.

3. KUNDENS SÄRSKILDA ÅTAGANDEN

• Kunden åtar sig att:

1. se till att det finns en rättslig grund för den behandling som Tjänsteleverantören ska utföra;
2. informera Tjänsteleverantören om felaktiga, rättade, uppdaterade eller raderade personuppgifter som omfattas av Tjänsteleverantörens behandling;
3. dokumentera och informera Tjänsteleverantören om de kategorier av registrerade samt kategorier av personuppgifter som kommer att behandlas, och hålla Tjänsteleverantören löpande uppdaterad avseende detta;
4. informera Tjänsteleverantören vid eventuell justering, ändring eller utvidgning av den eller de ändamål för vilka personuppgifter behandlas för Kunden;
5. utfärda dokumenterade instruktioner till Tjänsteleverantören avseende Tjänsteleverantörens personuppgiftsbehandling, och se till att dessa hålls uppdaterade; samt
6. utföra sina skyldigheter enligt detta Personuppgiftsbiträdesavtal i enlighet med Gällande Rätt.
7. TJÄNSTELEVERANTÖRENS SÄRSKILDA ÅTAGANDEN
   • Tjänsteleverantören åtar sig att:
8. behandla personuppgifter enbart i enlighet, detta Personuppgiftsbiträdesavtal och dokumenterade instruktioner från Kunden såvida inte behandling krävs enligt unionsrätten eller enligt Gällande Rätt som Tjänsteleverantören omfattas av, och i så fall ska Tjänsteleverantören informera Kunden om det rättsliga kravet innan sådan behandling sker, såvida sådan information inte är förbjuden;
9. säkerställa att personer med behörighet att behandla personuppgifterna, inklusive men inte begränsat till Tjänsteleverantörens anställda, har åtagit sig att iaktta konfidentialitet;
10. vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, i enlighet med vad som krävs i artikel 32 GDPR;
11. med tanke på behandlingens art, bistå Kunden genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Kunden kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter enligt Gällande Rätt;
12. bistå Kunden i säkerhetsfrågor, vid incidenthantering och konsekvensbedömningar enligt artiklarna 32–36 GDPR, med beaktande av typen av behandling och den information som Tjänsteleverantören har att tillgå;
13. utan onödigt dröjsmål underrätta Kunden efter att Tjänsteleverantören har fått vetskap om en personuppgiftsincident;
14. ge Kunden tillgång till den information som krävs för att visa att de skyldigheter som fastställs i detta Personuppgiftsbiträdesavtal har fullgjorts, samt möjliggöra och bidra till granskningar, inbegripet inspektioner under normal arbetstid, som genomförs av Kunden eller av annan tredje part som bemyndigats av Kunden, inför vilket Tjänsteleverantören ska ges skälig tid att sammanställa information; samt
15. informera Kunden om man anser att detta Personuppgiftsbiträdesavtal eller de dokumenterade instruktionerna strider mot Gällande Rätt.
16. UNDERLEVERANTÖRER
    • Tjänsteleverantören får anlita underleverantörer som underbiträden under förutsättning att Kunden har informerats om detta och att Tjänsteleverantören ingår personuppgiftsbiträdesavtal med sådana underleverantörer som innebär att underleverantören måste uppfylla de åtaganden och iaktta de begränsningar gällande personuppgiftsbehandling och revision som gäller för Tjänsteleverantören enligt detta Personuppgiftsbiträdesavtal.
    • Tjänsteleverantören anlitar vid detta Personuppgiftsbiträdesavtals ingående de underbiträden som anges i Bilaga 1 till detta Personuppgiftsbiträdesavtal. Genom att ingå detta Personuppgiftsbiträdesavtal godkänner Kunden att Tjänsteleverantören anlitar de underbiträden som anges i bilagan.
    • Tjänsteleverantören är ansvarigt gentemot Kunden för utförandet av underleverantörens skyldigheter.

Om Tjänsteleverantören efter Villkorens ingående önskar anlita ytterligare underleverantör(er) eller byta ut befintlig underleverantör som underbiträde ska Tjänsteleverantören underrätta Kunden om detta på förhand. Kunden har rätt att motsätta sig ändringar av anlitade underbiträden.

• Om Kunden motsätter sig anlitandet av en ny underleverantör eller byte av en existerande underleverantör, har Tjänsteleverantören rätt att säga upp Villkoren, eller del därav, och detta Personuppgiftsbiträdesavtal med nittio (90) dagars skriftligt varsel, utan att bli ersättningsskyldig gentemot Kunden för några kostnader och/eller skador som en sådan uppsägning medför.

6. ÖVERFÖRING TILL TREDJE LAND
   • Personuppgiftsansvarig ger Tjänsteleverantören tillåtelse att överföra Personuppgifter till sina underbiträden utanför EES. Parterna ska gemensamt vidta alla rimliga åtgärder som krävs för att säkerställa att sådan överföring görs i enlighet med Tillämplig lag, vilket kan innefatta ingående av modellklausuler för personuppgiftöverföring utanför det Europeiska Ekonomiska Samarbetsområdet (EES). Personuppgiftsansvarig bemyndigar Tjänsteleverantören att ingå modellklausuler med underbiträden å den Personuppgiftsansvarigas vägnar.
7. ERSÄTTNING
   • Tjänsteleverantören har rätt till skälig ersättning för det arbete som avses i punkterna 4.1(c) – (e) samt 8.2 i Personuppgiftsbiträdesavtalet, liksom full ersättning för kostnader i samband därmed.
8. AVTALSTID OCH UPPHÖRANDE
   • Personuppgiftsbiträdesavtal gäller så länge Tjänsteleverantören behandlar personuppgifter för Kundens räkning. Detta Personuppgiftsbiträdesavtal kan endast sägas upp på de villkor som anges i Villkoren.
   • Vid upphörande av detta Personuppgiftsbiträdesavtal ska Tjänsteleverantören upphöra med behandlingen av personuppgifter för Kundens räkning och ombesörja att samtliga personuppgifter som Tjänsteleverantören eller dess underleverantör har i sin besittning eller kontroll, i enlighet med Kundens instruktioner och på ett säkert sätt, antingen återlämnas till Kunden (eller av denna utsedd tredje part), eller förstörs, beroende på vad Kunden bestämmer, såvida inte lagring av personuppgifterna krävs enligt Gällande Rätt. Tjänsteleverantören ska på Kundens begäran skriftligen bekräfta att Tjänsteleverantören har återlämnat eller förstört samtliga kopior av sådana personuppgifter.
9. Övrigt
   • De lagvals- och tvistlösningsmekanismer som anges i Villkoren ska tillämpas även på detta Personuppgiftsbiträdesavtal.
   • De bestämmelser gällande ansvarsbegränsningar som anges i Villkoren ska tillämpas även på detta Personuppgiftsbiträdesavtal.

Bilaga 1