Personuppgiftsbiträdesavtal
Detta personuppgiftsbiträdesavtal ingås mellan EasyLMS B.V. ("Personuppgiftsbiträdet") och dess kunder (kunden är den "Personuppgiftsansvarige") för vilka EasyLMS B.V. behandlar personuppgifter som personuppgiftsbiträde;
Hädanefter var och en en "Part" och kollektivt "Parterna";
Hänvisning:
A. Detta personuppgiftsbiträdesavtal utgör en integrerad del av Easy LMS villkor (" Villkor", "Allmänna Villkor", "Användarvillkor") samt avtalet mellan Personuppgiftsbiträdet och den Personuppgiftsansvarige, med avseende på den lärplattform som erbjuds av Personuppgiftsbiträdet till den Personuppgiftsansvarige ("Tjänst(erna)");
B. För att den Personuppgiftsansvarige och dess deltagare ska kunna använda Tjänsterna måste Personuppgiftsbiträdet behandla personuppgifter ("Personuppgifter") för den Personuppgiftsansvariges anställda och/eller andra deltagare (gemensamt: "Registrerade") som använder det innehåll som skapats av den Personuppgiftsansvarige i Tjänsterna;
C. Kategorierna av Personuppgifter samt övriga detaljer avseende behandlingen av Personuppgifterna beskrivs i Bilaga 1 till detta Personuppgiftsbiträdesavtal;
D. Den allmänna dataskyddsförordningen (EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG), ("GDPR") är tillämplig på behandlingen av Personuppgifterna;
E. På basis av GDPR är Parterna skyldiga att ingå detta Personuppgiftsbiträdesavtal.
1. Definitioner
1.1. Utöver de definierade termerna ovan i versaler, ska följande termer ha följande betydelser:
1.2. "DPA": en behörig dataskyddsmyndighet.
1.3. "EES": Europeiska ekonomiska samarbetsområdet.
1.4. "Personuppgiftsincident": en säkerhetsincident som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt röjande av eller tillgång till Personuppgifterna.
1.5. "Behandling": de behandlingsåtgärder som utförs med Personuppgifterna enligt definitionen i GDPR, inklusive utan begränsning lagring av dem, visning av dem, avskiljning av dem, radering av dem, ändring av dem, vidarebefordran av dem.
1.6. "Bilaga": en bilaga till detta Personuppgiftsbiträdesavtal.
1.7. "Tjänsteavtal": det avtal på basis av vilket Tjänsterna tillhandahålls, vilket kan bestå av Villkoren och/eller annan typ av avtal.
1.8. "Underbiträde": en tredje part till vilken Personuppgiftsbiträdet helt eller delvis lägger ut Behandlingen av Personuppgifterna på underentreprenad.
2. Allmänna skyldigheter
2.1. Med avseende på Personuppgifterna vidtar Personuppgiftsbiträdet lämpliga tekniska och organisatoriska åtgärder för att säkerställa efterlevnad av GDPR och skydd av de Registrerades rättigheter.
2.2. Personuppgiftsansvarig förklarar att den följer GDPR med avseende på de Personuppgifter som Behandlas av Personuppgiftsbiträdet. Det är den Personuppgiftsansvariges ansvar att följa tillämplig personuppgiftslagstiftning med avseende på de Personuppgifter som skapas i eller laddas upp till Tjänsten. Detta inkluderar utan begränsning att ha en rättslig grund för behandlingen (t.ex. giltigt samtycke om så krävs) av personuppgifterna, informera de registrerade om behandlingen av deras personuppgifter och se till att de registrerade har den lagliga åldern för inlämnande av sina personuppgifter, om tillämpligt.
3. Behandling enbart enligt den Personuppgiftsansvariges instruktioner
3.1. Syftet med Personuppgiftsbiträdets Behandling är att göra det möjligt för Personuppgiftsbiträdet att tillhandahålla Tjänsterna.
3.2. Personuppgiftsbiträdet ska endast Behandla Personuppgifterna enligt den Personuppgiftsansvariges skriftliga instruktioner, vilka är de Behandlingsaktiviteter som anges i Bilaga 1, eller de rimliga instruktioner som annars ges av den Personuppgiftsansvarige skriftligen (vilket kan inkludera via e-post). Personuppgiftsbiträdet ska endast Behandla Personuppgifterna utanför den Personuppgiftsansvariges instruktioner om det krävs för att uppfylla en tillämplig rättslig förpliktelse. I detta fall gäller artikel 3.3 nedan.
3.3. Om Personuppgiftsbiträdet blir rättsligt förpliktad enligt europeisk lag att lämna ut någon av Personuppgifterna, ska Personuppgiftsbiträdet omedelbart meddela den Personuppgiftsansvarige och meddela det relevanta rättsliga kravet, såvida inte det rättsliga kravet förbjuder Personuppgiftsbiträdet från sådant meddelande på viktiga grunder av allmänt intresse. Om Personuppgiftsbiträdet inte är förbjudet att meddela den Personuppgiftsansvarige, ska Personuppgiftsbiträdet avstå från att lämna ut några Personuppgifter tills den Personuppgiftsansvarige har vidtagit åtgärder för att erhålla en skyddsorder eller annan lämplig åtgärd. Om en sådan skyddsorder inte erhålls, ska Personuppgiftsbiträdet endast tillhandahålla sådana Personuppgifter som det informeras om krävs genom ett skriftligt meddelande i rätt tid från den Personuppgiftsansvarige, eller, i avsaknad av ett sådant meddelande i rätt tid, ska Personuppgiftsbiträdet tillhandahålla sådana Personuppgifter som det bedömer krävs enligt det rättsliga kravet.
3.4. Personuppgiftsbiträdet ska meddela den Personuppgiftsansvarige om det anser att en instruktion som ges av den Personuppgiftsansvarige strider mot GDPR, i vilket fall Personuppgiftsbiträdet inte behöver följa instruktionen.
4. Biträde till den Personuppgiftsansvarige
4.1. Personuppgiftsbiträdet ska tillhandahålla den hjälp som den Personuppgiftsansvarige rimligen begär för att:
(i) med beaktande av Behandlingens art, bistå den Personuppgiftsansvarige med lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, för fullgörandet av den Personuppgiftsansvariges skyldigheter att svara på de Registrerades begäran om att utöva sina rättigheter, i den mån Personuppgiftsbiträdet faktiskt kan göra detta mot bakgrund av Tjänsterna. Om Personuppgiftsbiträdet mottar en begäran från en Registrerad ska Personuppgiftsbiträdet vidarebefordra begäran till den Personuppgiftsansvarige och den Personuppgiftsansvarige ska hantera begäran vidare;
(ii) med beaktande av Behandlingens art och den information som är tillgänglig för Personuppgiftsbiträdet, bistå den Personuppgiftsansvarige med att uppfylla den Personuppgiftsansvariges skyldigheter avseende säkerhet, anmälan av Personuppgiftsincidenter (se artikel 5.4), utredningar av Dataskyddsmyndigheter, konsekvensbedömningar avseende dataskydd och förhandssamråd om så krävs.
5. Säkerhetsåtgärder och personuppgiftsincidenter
5.1. Med beaktande av den senaste tekniken, kostnaderna för genomförandet och Behandlingens art, omfattning, sammanhang och ändamål samt riskerna av varierande sannolikhet och allvar för fysiska personers rättigheter och friheter, genomför Personuppgiftsbiträdet lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till den risk som är förenad med Behandlingen.
5.2. Personuppgiftsansvarig garanterar att denne inte kommer att be Registrerade att lämna Personuppgifter till Tjänsten som betraktas som en särskild kategori eller känsliga personuppgifter enligt tillämplig lag. Detta gäller till exempel: uppgifter relaterade till hälsa, religiösa övertygelser, politiska åsikter, ras, etnisk bakgrund, sexuell preferens eller beteende, medlemskap i fackförening, kriminalregister, biometriska uppgifter för identifieringsändamål, genetiska uppgifter. Tjänsternas säkerhetsåtgärder är inte lämpliga för dessa typer av Personuppgifter.
5.3. Personuppgiftsbiträdet har vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa att Personuppgifterna endast kan nås av de personer inom dess organisation som krävs för att få tillgång till dem i syfte att tillhandahålla Tjänsterna, t.ex. genom att begränsa antalet personer med åtkomsträttigheter.
5.4. På sin webbplats tillhandahåller Personuppgiftsbiträdet information om sina säkerhetsåtgärder. Dessutom kommer Personuppgiftsbiträdet på den Personuppgiftsansvariges begäran att lämna en översikt över de säkerhetsåtgärder som finns på plats vid tidpunkten för begäran. Den Personuppgiftsansvarige kan lämna in en sådan begäran en gång per kalenderår, såvida det inte finns en välgrundad anledning att lämna in begäran oftare, till exempel vid en Personuppgiftsincident.
5.5. Personuppgiftsbiträdet ska meddela den Personuppgiftsansvarige utan onödigt dröjsmål efter att ha blivit medveten om en Personuppgiftsincident. Sådant meddelande ska:
(i) innehålla tillgänglig information om Personuppgiftsincidenten, inklusive men inte begränsat till en beskrivning av Personuppgiftsincidenten, orsaken till denna, kategorierna, arten och (uppskattad) mängden av berörda Personuppgifter och Registrerade samt Personuppgiftsincidentens omfattning;
(ii) förklara effekten av Personuppgiftsincidenten på den Personuppgiftsansvarige och de relevanta Registrerade;
(iii) förklara de korrigerande åtgärder som vidtagits eller ska vidtas av Personuppgiftsbiträdet, den Personuppgiftsansvarige och/eller de Registrerade och tidsskalan för slutförandet av sådana åtgärder.
5.6. Personuppgiftsbiträdet ska tillhandahålla det samarbete som rimligen begärs av den Personuppgiftsansvarige, och lämna den information som ligger inom dess kontroll, i samband med anmälan av Personuppgiftsincidenten till Dataskyddsmyndigheten, och, i tillämpliga fall, till de Registrerade.
5.7. Personuppgiftsbiträdet kan inte åläggas att anmäla en Personuppgiftsincident till någon Dataskyddsmyndighet eller till de Registrerade, om inte Personuppgiftsbiträdet uttryckligen samtycker till att göra detta skriftligen i händelse av en specifik Personuppgiftsincident.
5.8. För att kunna använda Tjänsterna måste den Personuppgiftsansvarige använda inloggningsuppgifter för att komma åt sitt konto. Den Personuppgiftsansvarige måste hålla dessa inloggningsuppgifter säkra och konfidentiella, eftersom de ger tillgång till Personuppgifterna. Det är också den Personuppgiftsansvariges ansvar att se till att de Registrerade som använder Tjänsterna håller sin egen inloggningsinformation säker och konfidentiell eftersom den ger tillgång till deras egna Personuppgifter.
6. Konfidentialitet
6. Konfidentialitet
6.1. Personuppgiftsbiträdet ska ta hänsyn till konfidentialitet med avseende på Personuppgifterna.
6.2. Med avseende på det föregående ska Personuppgiftsbiträdet:
(i) inte lämna ut Personuppgifterna till någon tredje part, såvida inte detta uttryckligen tillåts i detta Personuppgiftsbiträdesavtal;
(ii) har vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa att varje person som har tillgång till Personuppgifterna ska vara informerad om och bunden av sekretess.
7. Underleverantörer
7.1. Personuppgiftsbiträdet använder underbiträden som Behandlar Personuppgifterna. På den Personuppgiftsansvariges begäran ska Personuppgiftsbiträdet tillhandahålla Underbiträdenas namn och platser. Om Personuppgiftsbiträdet avser att anlita ett annat eller ytterligare Underbiträde för att Behandla Personuppgifterna, ska Personuppgiftsbiträdet underrätta den Personuppgiftsansvarige om detta i förväg, inklusive startdatum för Underbiträdets Behandlingsaktiviteter. Den Personuppgiftsansvarige kan invända mot ändringen eller tillägget inom sju (7) arbetsdagar efter meddelandet. Om behandlingen av personuppgifterna inte påverkas negativt av en sådan ändring eller ett sådant tillägg, ska den Personuppgiftsansvarige rimligen inte invända så att Personuppgiftsbiträdet kan fortsätta att erbjuda Tjänsterna. Om den Personuppgiftsansvarige invänder i tid och Personuppgiftsbiträdet inte kan ändra Tjänsterna för att tillgodose den Personuppgiftsansvariges invändning inom fjorton (14) dagar efter invändningen, kan den Personuppgiftsansvarige och/eller Personuppgiftsbiträdet säga upp Tjänsterna och Tjänsteavtalet och Personuppgiftsbiträdet ska återbetala de eventuella avgifter som den Personuppgiftsansvarige har betalat i förskott för den återstående abonnemangsperioden under vilken tjänsten avbryts. Per startdatumet för det nya Underbiträdets Behandlingsaktiviteter kommer Bilaga 2 att uppdateras (eller anses uppdaterad) med den anmälda informationen om det nya Underbiträdet; om detta är ett Underbiträde som Behandlar Personuppgifter utanför EES, gäller även artikel 8.
7.2. Personuppgiftsbiträdet säkerställer att Underbiträden:
(i) intygar att de har genomfört lämpliga tekniska och organisatoriska åtgärder för att säkerställa efterlevnad av GDPR och skyddet av de Registrerades rättigheter;
(ii) skriftligen förbinder sig att uppfylla samma skyldigheter som anges i detta Personuppgiftsbiträdesavtal, vilka är relevanta i förhållande till Underbiträdets Behandlingsaktiviteter.
7.3. För undvikande av tvivel: om den Personuppgiftsansvarige använder funktionalitet genom Tjänsterna där en anslutning görs till tjänster som erbjuds den Personuppgiftsansvarige av tredje parter, är sådana tredje parter inte Personuppgiftsbiträdets Underbiträden; den Personuppgiftsansvarige har ett direkt rättsligt förhållande med sådana tredje parter. Som exempel kan dessa tredje parter vara sociala medieplattformar, e-postleverantörer och den Personuppgiftsansvariges tjänsteleverantörer där den Personuppgiftsansvarige har sitt eget konto som tar emot data med hjälp av integrationer i plattformen.
8. Dataexport (överföringar utanför EES)
8.1. Personuppgiftsbiträdet överför Personuppgifter till det land eller de länder (om några) som anges i Bilaga 2.
8.2. Personuppgiftsbiträdet säkerställer att de länder eller parter till vilka Personuppgifterna överförs erbjuder en adekvat skyddsnivå. I avsaknad av detta, om den Personuppgiftsansvariges samarbete krävs, samtycker den Personuppgiftsansvarige till att tillhandahålla det samarbete som Personuppgiftsbiträdet begär för att arrangera en av de överföringsmekanismer som anges i GDPR för överföring till ett sådant land utan adekvat skyddsnivå, i vilket fall Personuppgiftsbiträdet och/eller Underbiträdet, om nödvändigt, genomför kompletterande åtgärder för att skydda Personuppgifterna.
9. Rapportering, revisionsrättigheter
9.1. Personuppgiftsbiträdet ska ge den Personuppgiftsansvarige, enligt de villkor som anges i denna artikel, tillgång till sin administration för att den Personuppgiftsansvarige ska kunna granska Personuppgiftsbiträdets efterlevnad av villkoren i detta Personuppgiftsbiträdesavtal. Personuppgiftsbiträdet ger inte den Personuppgiftsansvarige tillgång till personuppgifter för andra registrerade än de Registrerade.
9.2. Den Personuppgiftsansvarige kan utse en tredje part att utföra revisionen. Den Personuppgiftsansvarige ska i så fall säkerställa att den tredje parten är skyldig att hålla Personuppgiftsbiträdets information som den tredje parten har tillgång till i samband med revisionen konfidentiell och inte avslöja den för någon tredje part.
9.3. Den Personuppgiftsansvarige ska inte utnyttja sin rätt till revision enligt denna klausul mer än en gång per kalenderår. Den personuppgiftsansvarige ska underrätta biträdet minst två veckor i förväg om revisionen så att biträdet kan förbereda sig för den.
9.4. Om revisionen visar att Personuppgiftsbiträdet inte uppfyller sina skyldigheter enligt detta Personuppgiftsbiträdesavtal, ska Personuppgiftsbiträdet vidta de åtgärder som rimligen kan begäras av den Personuppgiftsansvarige för att uppfylla dessa skyldigheter.
10. Avtalstid och uppsägning
10.1. Detta Personuppgiftsbiträdesavtal ska ha samma löptid som Tjänsteavtalet. Detta Personuppgiftsbiträdesavtal ska därför upphöra att gälla när Tjänsteavtalet upphör att gälla.
10.2. Om Tjänsteavtalet inte föreskriver uppsägning av detta - och därmed därefter av detta Personuppgiftsbiträdesavtal - gäller följande uppsägningsgrunder: varje Part har rätt att säga upp detta Personuppgiftsbiträdesavtal för framtiden, utan skyldighet att betala skadestånd, i händelse av:
(i) den andra parten ansöker om konkursskydd, eller detta begärs av en tredje part;
(ii) Den andra Parten ansöker om eller beviljas betalningsanstånd;
(iii) den andra Parten ansöker om insolvens eller liknande förfarande enligt tillämplig lag, eller en konkursförvaltare utses för denne;
(iv) Den andra Parten upphör att bedriva sin verksamhet.
10.3. Parterna kan när som helst gemensamt besluta att säga upp detta Personuppgiftsbiträdesavtal genom skriftlig överenskommelse.
11. Assistans vid utträde
11.1. Personuppgiftsbiträdet kommer att Behandla Personuppgifterna under den Personuppgiftsansvariges användning av Tjänsterna.
11.2. Den Personuppgiftsansvarige måste säkerställa att denne har extraherat och raderat Personuppgifterna från sitt konto innan Tjänsteavtalet avslutas. Om Personuppgiftsbiträdet blockerar den Personuppgiftsansvariges konto på grund av bristande efterlevnad av Tjänsteavtalet, ska Personuppgiftsbiträdet på den Personuppgiftsansvariges begäran, som ska göras inom tio (10) dagar efter att kontot blockerades, och efter betalning av eventuella avgifter som fortfarande ska betalas enligt Tjänsteavtalet, överlämna Personuppgifterna till den Personuppgiftsansvarige eller, efter Personuppgiftsbiträdets gottfinnande, ge Personuppgiftsansvarige tillgång till sitt konto under en tre (3) dagarsperiod enbart för att extrahera och radera Personuppgifterna. Om den personuppgiftsansvarige efter dessa perioder inte har raderat personuppgifterna förbehåller sig processorn rätten att ensidigt göra detta och kommer att radera personuppgifterna efter två (2) år, såvida inte processorn enligt tillämplig lag är skyldig att behålla vissa personuppgifter. I det senare fallet kommer Personuppgiftsbiträdet att radera Personuppgifterna efter att den lagstadgade lagringstiden har löpt ut.
12. Övrigt
12.1. Bestämmelserna i Tjänsteavtalet gäller för Behandlingen av Personuppgifterna och ska ha företräde med avseende på de klausuler som inte rör dataskydd, såsom ansvar. Om Tjänsteavtalet innehåller bestämmelser om dataskydd har detta Personuppgiftsbiträdesavtal företräde framför sådana bestämmelser.
12.2. Om Personuppgiftsbiträdets aktiviteter i förhållande till detta Personuppgiftsbiträdesavtal överstiger Personuppgiftsbiträdets normala aktiviteter för Tjänsterna, har Personuppgiftsbiträdet rätt till en rimlig ersättning baserad på Personuppgiftsbiträdets ordinarie avgift vid den tidpunkten. Personuppgiftsbiträdet ska tillhandahålla en specifikation av den fakturerade ersättningen.
12.3. Detta Personuppgiftsbiträdesavtal kan ändras eller modifieras av Personuppgiftsbiträdet i enlighet med bestämmelserna i Tjänsteavtalet.
12.4. Om någon bestämmelse i detta personuppgiftsbiträdesavtal förklaras ogiltig eller icke verkställbar av en behörig domstol, ska sådant beslut inte på något sätt påverka giltigheten eller verkställbarheten av någon annan bestämmelse häri, och detta personuppgiftsbiträdesavtal ska tolkas som om sådan term eller bestämmelse inte ingick i det.
12.5. Övervägandena under "Hänvisning", liksom bilagorna, utgör en integrerad del av detta personuppgiftsbiträdesavtal.
13. Tillämplig lag, tvistlösning
13.1. Detta personuppgiftsbiträdesavtal regleras uteslutande av lagstiftningen i Nederländerna, med undantag för dess konfliktlagstiftning.
13.2. Tvistlösningsklausulen i Tjänsteavtalet gäller för eventuella tvister som uppstår mellan Parterna.
BILAGA 1 – Information gällande Behandlingen
1. Beskrivning av Tjänsterna och Behandlingsaktiviteterna:
Typ av Tjänst: online learning management system, lärplattform.
Behandlingsaktiviteter: lagring, åtkomst, ändring och radering på den Personuppgiftsansvariges begäran.
2. Kategorier av personuppgifter:
Den Personuppgiftsansvarige kan välja vilka typer av Personuppgifter som begärs från de Registrerade, t.ex:
- namn
- telefonnummer
- yrkestitel
- kön
- födelsedatum
- Gatuadress
- Postnummer
- Stad eller ort
- Land
- Personal-ID
- Den registrerades svar på fritextfrågor
- Den Registrerades svar på rullgardinsfrågor
De registrerade kan också själva skapa Personuppgifter som ett resultat av åtkomst till och användning av innehåll som skapats av den Personuppgiftsansvarige i Easy LMS-systemet, t.ex:
- testresultat
- provresultat
- kommentarer som lagts till i systemet
- certifieringsdokument
Den Personuppgiftsansvarige får inte be Registrerade att lämna särskilda kategorier av Personuppgifter, eller ladda upp sådana Personuppgifter, som rör: uppgifter om hälsa, religiös övertygelse, politiska åsikter, ras, etnisk bakgrund, sexuell läggning eller beteende, medlemskap i fackförening, brottsregister, biometriska uppgifter för identifieringsändamål, genetiska uppgifter.
BILAGA 2 – Underbiträden
Personuppgifterna överförs till följande underbiträden:
Underbiträden |
|
|
|
Underbiträde |
Land |
Land utanför EES utan en adekvat skyddsnivå?: |
Överföringsmekanism / lämpliga skyddsåtgärder: |
Amazon Web Services (AWS) (hosting och e-posttjänster) |
Tyskland |
Nej, EES-land |
Ej tillämpligt |
Intercom (chatt för support) |
Irland |
Nej, EES-land |
Ej tillämpligt |
Denna Bilaga anses ha uppdaterats efter anmälan av ändringar enligt artikel 7.1.