Personuppgiftsbiträdesavtal
1. Bakgrund
1.1 Detta personuppgiftsbiträdesavtal (“Avtalet”) utgör en integrerad del av PES Sälj & Handel AB:s (“Personuppgiftsbiträdet”) användarvillkor kopplade till tjänsten Lagsälj.se (“Tjänsten”). Termer som inte definieras här har samma betydelse som i användarvillkoren.
1.2 Inom ramen för Tjänsten behandlar Personuppgiftsbiträdet personuppgifter för den juridiska person som företräds av dig och som accepterat användarvillkoren (“Personuppgiftsansvarig”).
1.3 Parterna benämns individuellt som “Part” och gemensamt som “Parterna”.
1.4 Mot bakgrund av ovanstående har Parterna ingått detta Avtal.
2. Förhållandet till andra avtal
Om bestämmelserna i detta Avtal strider mot andra avtal mellan Parterna, ska bestämmelserna i detta Avtal ha företräde – om inte ett senare avtal uttryckligen åsidosätter detta Avtal.
3. Behandling av personuppgifter
3.1 Inom ramen för Tjänstens utförande kan Personuppgiftsbiträdet komma att ta emot och behandla personuppgifter enligt artikel 4.1 i dataskyddsförordningen (EU 2016/679) (“GDPR”), för ändamål som fastställs av den Personuppgiftsansvarige.
3.2 Personuppgiftsbiträdet förbinder sig att endast behandla personuppgifter enligt detta Avtal, skriftliga instruktioner från den Personuppgiftsansvarige (bilaga 1), samt gällande dataskyddslagstiftning. Den Personuppgiftsansvarige ansvarar för att inga andra kategorier av personuppgifter behandlas än de som anges i bilaga 1.
3.3 Om Personuppgiftsbiträdet saknar instruktioner som anses nödvändiga för uppdraget, ska Personuppgiftsbiträdet omedelbart informera Personuppgiftsansvarig och invänta vidare instruktioner.
3.4 Tillgång till personuppgifterna inom Personuppgiftsbiträdets organisation ska begränsas till personer som behöver tillgång för att kunna utföra Tjänsten och som omfattas av tystnadsplikt. Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder i enlighet med bilaga 2.
3.5 Personuppgiftsbiträdet ska säkerställa att relevant personal följer detta Avtal och är informerade om gällande dataskyddslagstiftning.
3.6 Personuppgiftsbiträdet ska, i den utsträckning det är möjligt, bistå Personuppgiftsansvarig med att uppfylla sina skyldigheter enligt tillämplig dataskyddslagstiftning, exempelvis:
- informationssäkerhet
- personuppgiftsincidenter
- kommunikation med registrerade vid incident
- konsekvensbedömningar
Rimlig ersättning kan utgå för detta stöd.
3.7 Personuppgiftsbiträdet ska föra register enligt artikel 30.2 GDPR och lämna dessa på begäran till Personuppgiftsansvarig.
3.8 Om tillsynsmyndighet kräver att Personuppgiftsbiträdet agerar p.g.a. Personuppgiftsansvariges underlåtenhet, ska denne ersätta Personuppgiftsbiträdet för uppkomna kostnader.
3.9 Personuppgiftsbiträdet får anlita underbiträde under förutsättning att Personuppgiftsansvarig informeras minst 30 dagar i förväg och kan invända vid giltigt skäl. Underbiträden ska uppfylla samma krav som detta Avtal. Se bilaga 3.
3.10 Överföring av personuppgifter utanför EU/EES får endast ske enligt artiklarna 45–47 i GDPR.
3.11 Personuppgiftsansvarig har rätt att genomföra revisioner av hur Personuppgiftsbiträdet fullgör sina skyldigheter. Rimligt varsel och specifikation av revisionens innehåll krävs.
3.12 Revision får inte störa Personuppgiftsbiträdets verksamhet eller andras uppgifter. All information ska hanteras konfidentiellt och raderas enligt lagkrav.
3.13 Personuppgiftsbiträdet ska genast meddela Personuppgiftsansvarig om en instruktion strider mot tillämplig lag.
3.14 All kontakt med tillsynsmyndigheter rörande behandling enligt detta Avtal ska utan dröjsmål meddelas till Personuppgiftsansvarig.
3.15 Vid avtalets upphörande eller uppmaning från Personuppgiftsansvarig ska all data återlämnas eller raderas, inklusive eventuella kopior, såvida inte lag kräver bevarande.
4. Övrigt
4.1 Detta Avtal gäller från undertecknandet av båda Parter och löper parallellt med Tjänsteavtalet.
4.2 Personuppgiftsbiträdet får inte överlåta sina rättigheter/skyldigheter utan skriftligt godkännande från Personuppgiftsansvarig.
4.3 Om dataskyddslagstiftningen ändras ska Avtalet justeras i enlighet med nya krav. Ändringar träder i kraft tidigast fem (5) dagar efter meddelande.
4.4 Personuppgiftsbiträdet får inte lämna ut personuppgifter till tredje part utan godkännande från Personuppgiftsansvarig, med undantag för tillsynsmyndigheter eller lagkrav.
4.5 Svensk lag ska tillämpas. Tvister löses enligt det avtal som reglerar Tjänsten.
Bilaga 1 – Instruktioner från Personuppgiftsansvarig
Kategorier av registrerade:
Lagmedlemmar, lagledare, köpare av produkter, användare med konto.
Typer av personuppgifter:
Förnamn, efternamn, e-postadress, telefonnummer, fakturaadress,leveransadress, personnummer, profilbild (frivillig).
Behandlingsändamål:
Tillhandahållande av Tjänsten, lagförsäljning, hantering av konton, kommunikation med användare, orderhantering.
Behandlingens karaktär:
Lagring, visning, överföring, registrering, ändring, radering.
Lagringstid:
Så länge som krävs för att tillhandahålla Tjänsten, dock högst till dess Personuppgiftsansvarig begär radering.
Underbiträden:
Se bilaga 3.
Tredjelandsöverföringar:
Får endast ske enligt GDPR kap. V.
Bilaga 2 – Tekniska och organisatoriska säkerhetsåtgärder
För att skydda personuppgifter och säkerställa efterlevnad av dataskyddslagstiftning har Lagsälj Sverige AB vidtagit följande tekniska och organisatoriska säkerhetsåtgärder:
1. Kryptering och säker överföring
- All trafik till och från plattformen sker över krypterade anslutningar (HTTPS).
- Lösenord lagras på ett säkert sätt med modern hashningsteknik.
2. Åtkomstkontroll
- Endast behöriga medarbetare har tillgång till system där personuppgifter behandlas.
- Systemåtkomst skyddas med användarnamn och lösenord.
- Åtkomsträttigheter granskas regelbundet och begränsas till vad som är nödvändigt.
3. Lagring och säkerhetskopiering
- Data lagras hos etablerade och betrodda molnleverantörer.
- Säkerhetskopiering sker automatiskt och lagras separat för att möjliggöra återställning vid behov.
4. Begränsning av datainsamling
- Endast de personuppgifter som krävs för att tillhandahålla tjänsten samlas in.
- Användardata raderas vid avslutat konto eller på begäran från den registrerade.
5. Sekretess
- All personal med tillgång till personuppgifter har informerats om vikten av dataskydd och omfattas av tystnadsplikt.
6. Uppföljning och förbättring
- Systemen övervakas för att upptäcka fel och otillåtna åtkomster.
- Lagsälj arbetar löpande med att förbättra säkerheten i takt med behov och teknikutveckling.
Bilaga 3 – Underbiträden
Vercel, Inc.
Organisationsnummer: 5857312
Adress: 440 N Barranca Ave #4133, Covina, CA 91723, USA
Etableringsland: USA
Behandlingsland: Tyskland (DE)
Överföringsmekanism: Data Privacy Framework (DPF)
Dataskyddsombud: privacy@vercel.com
Ändamål med behandlingen: Drift av backend- och frontend-funktionalitet
Behandlingens art: Förbereder och hanterar data som krävs för att visa Tjänsten för användare samt utföra användarens åtgärder. Tjänsten fungerar som brygga mellan användargränssnittet och databasen.
Behandlingstid: Tillfällig (transient)
Cloudinary Ltd.
Organisationsnummer: 514229073
Adress: 3400 Central Expressway, Suite 110, Santa Clara, CA 95051, USA
Etableringsland: USA
Behandlingsland: EU/USA
Överföringsmekanism: Data Privacy Framework (DPF)
Dataskyddsombud: privacy@cloudinary.com
Ändamål med behandlingen: Lagring och optimering av bild- och videofiler
Behandlingens art: Används för att lagra och leverera bilder och videor som laddas upp av användare, inklusive dynamisk optimering för olika enheter.
Behandlingstid: Tills dess att uppgifterna raderas av Personuppgiftsansvarig eller vid avslutad tjänst
Supabase Inc.
Adress: 2261 Market Street #4451, San Francisco, CA 94114, United States
Etableringsland: USA
Behandlingsland: EU/USA
Överföringsmekanism: Data Privacy Framework (DPF)
Dataskyddsombud: privacy@supabase.io
Ändamål med behandlingen: Databashantering, autentisering, fil- och realtidslagring
Behandlingens art: Lagring av strukturerad data såsom användarprofiler, loggar, autentiseringstokens, filer och realtidsdata.
Behandlingstid: Under användarens aktiva period eller tills data raderas på begäran
Resend, Inc.
Organisationsnummer: 3208414
Adress: 548 Market St PMB 57589, San Francisco, CA 94104, USA
Etableringsland: USA
Behandlingsland: EU/USA
Överföringsmekanism: Data Privacy Framework (DPF)
Dataskyddsombud: privacy@resend.com
Ändamål med behandlingen: Utskick av transaktionsmail
Behandlingens art: Används för att skicka e-postmeddelanden kopplade till Tjänsten, såsom orderbekräftelser, lösenordsåterställningar och andra notifieringar.
Behandlingstid: Loggar sparas i 30 dagar, e-postinnehåll är tillfälligt (transient)
Stripe, Inc.
Organisationsnummer: 4241791
Adress: 354 Oyster Point Blvd, South San Francisco, CA 94080, USA
Etableringsland: USA
Behandlingsland: EU/USA
Överföringsmekanism: Data Privacy Framework (DPF)
Dataskyddsombud: privacy@stripe.com
Ändamål med behandlingen: Betalningshantering
Behandlingens art: Hanterar säkra betalningstransaktioner, sparar kundens betalningsuppgifter samt bistår med ekonomisk rapportering.
Behandlingstid: Så länge som krävs enligt bokförings- och skattelagstiftning
OpenAI OpCo, LLC
Organisationsnummer: –
Adress: Pioneer Building, 3180 18th St, San Francisco, CA 94110, USA
Etableringsland: USA
Behandlingsland: USA
Överföringsmekanism: Data Privacy Framework (DPF)
Dataskyddsombud: legal@openai.com
Ändamål med behandlingen: AI-baserad textanalys och generering
Behandlingens art: Behandlar användartext för att förbättra språkfunktioner inom Tjänsten, t.ex. textförslag och förtydliganden.
Behandlingstid: Tillfällig (transient)