1 | Dessa Klausuler fastställer rättigheterna och skyldigheterna för personuppgiftsansvarig och personuppgiftsbiträde vid behandling av personuppgifter för personuppgiftsansvarigs räkning.

2 | Klausulerna har utformats för att säkerställa parternas efterlevnad av artikel 28(3) i förordning 2016/679 av Europaparlamentet och rådet av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

3 | I samband med tillhandahållandet av Castberg & Co + Property Systems Sveriges tjänster kommer personuppgiftsbiträdet att behandla personuppgifter för personuppgiftsansvarigs räkning i enlighet med Klausulerna.

4 | Klausulerna ska ha företräde framför liknande bestämmelser i andra avtal mellan parterna.

5 | Tre bilagor är bifogade till Klausulerna och utgör en integrerad del av dessa. Bilaga A innehåller uppgifter om behandlingen av personuppgifter, inklusive ändamål och art av behandlingen, typ av personuppgifter, kategorier av registrerade och behandlingens varaktighet. Bilaga B innehåller personuppgiftsansvarigs villkor för personuppgiftsbiträdets användning av underbiträden samt en förteckning över underbiträden som godkänts av personuppgiftsansvarig. Bilaga C innehåller personuppgiftsansvarigs instruktioner avseende behandlingen av personuppgifter, de minsta säkerhetsåtgärder som ska genomföras av personuppgiftsbiträdet samt hur revisioner av personuppgiftsbiträdet och eventuella underbiträden ska genomföras.

1 | Personuppgiftsansvarig ansvarar för att behandlingen av personuppgifter sker i enlighet med GDPR (se artikel 24 GDPR), tillämpliga EU- eller nationella dataskyddsregler och Klausulerna.

2 | Personuppgiftsansvarig har rätt och skyldighet att fatta beslut om ändamålen med och medlen för behandlingen av personuppgifter.

3 | Personuppgiftsansvarig ska bland annat ansvara för att den behandling av personuppgifter som personuppgiftsbiträdet instrueras att utföra har en rättslig grund.

1 | Personuppgiftsbiträdet ska behandla personuppgifter enbart på dokumenterade instruktioner från personuppgiftsansvarig, såvida det inte krävs enligt EU-rätt eller nationell rätt som personuppgiftsbiträdet omfattas av. Sådana instruktioner ska anges i bilagorna A och C.

2 | Personuppgiftsbiträdet ska omedelbart informera personuppgiftsansvarig om instruktioner från personuppgiftsansvarig, enligt personuppgiftsbiträdets bedömning, strider mot GDPR eller tillämpliga EU- eller nationella dataskyddsregler.

1 | Personuppgiftsbiträdet får endast ge tillgång till de personuppgifter som behandlas för personuppgiftsansvarigs räkning till personer under personuppgiftsbiträdets ledning som åtagit sig att iaktta sekretess eller som omfattas av en lämplig lagstadgad sekretessplikt, och endast på behovsbasis.

2 | Personuppgiftsbiträdet ska på begäran av personuppgiftsansvarig visa att de berörda personerna under personuppgiftsbiträdets ledning är föremål för ovan nämnda sekretess.

1 | Enligt artikel 32 ska personuppgiftsansvarig och personuppgiftsbiträdet genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.

2 | Personuppgiftsansvarig och personuppgiftsbiträdet ansvarar självständigt för att utvärdera risker i behandlingen och genomföra åtgärder för att minska dessa risker.

3 | Personuppgiftsbiträdet ska dessutom bistå personuppgiftsansvarig med att säkerställa efterlevnad av personuppgiftsansvarigs skyldigheter enligt artikel 32 GDPR, bland annat genom att tillhandahålla information om de tekniska och organisatoriska åtgärder som redan genomförts av personuppgiftsbiträdet enligt artikel 32 GDPR samt all annan information som är nödvändig för att personuppgiftsansvarig ska kunna uppfylla sina skyldigheter.

4 | Om personuppgiftsansvarig bedömer att ytterligare åtgärder krävs för att minska identifierade risker, utöver de som redan genomförts av personuppgiftsbiträdet enligt artikel 32 GDPR, ska personuppgiftsansvarig ange dessa ytterligare åtgärder i Bilaga C.

1 | Personuppgiftsbiträdet ska uppfylla de krav som anges i artikel 28(2) och (4) GDPR för att anlita ett annat biträde (ett underbiträde).

2 | Personuppgiftsbiträdet har personuppgiftsansvarigs generella godkännande att anlita underbiträden. Förteckningen över underbiträden som redan godkänts av personuppgiftsansvarig genom undertecknande av Inköpsavtalet och/eller godkännande av Villkoren finns i Bilaga B.

3 | Personuppgiftsbiträdet är skyldigt att:

A | Hålla en uppdaterad förteckning över underbiträden tillgänglig på www.propertysystems.co eller en framtida webbplats som används av personuppgiftsbiträdet.

B | Informera personuppgiftsansvarig om ändringar av underbiträden med minst 30 dagars varsel (exklusive force majeure-situationer där 30 dagars varsel inte kan uppfyllas) via personuppgiftsbiträdets vanliga kommunikationskanaler, såsom e-post.

C | Göra en kopia av databehandlingsavtalet mellan personuppgiftsbiträdet och underbiträdena tillgänglig för personuppgiftsansvarig på begäran.

1 | All överföring av personuppgifter till tredje länder eller internationella organisationer av personuppgiftsbiträdet får endast ske på grundval av dokumenterade instruktioner från personuppgiftsansvarig och ska alltid ske i enlighet med kapitel V GDPR.

2 | Om överföringar till tredje länder eller internationella organisationer, som personuppgiftsbiträdet inte instruerats att utföra av personuppgiftsansvarig, krävs enligt EU-rätt eller nationell rätt som personuppgiftsbiträdet omfattas av, ska personuppgiftsbiträdet informera personuppgiftsansvarig om detta rättsliga krav innan behandlingen påbörjas, såvida inte lagen förbjuder sådan information av viktiga allmänna skäl.

3 | Personuppgiftsbiträdet ska dessutom bistå personuppgiftsansvarig med att säkerställa efterlevnad av personuppgiftsansvarigs skyldigheter enligt artikel 32 GDPR, bland annat genom att tillhandahålla information om de tekniska och organisatoriska åtgärder som redan genomförts av personuppgiftsbiträdet samt all annan nödvändig information.

4 | Utan dokumenterade instruktioner från personuppgiftsansvarig kan personuppgiftsbiträdet därför inte inom ramen för Klausulerna:

A | överföra personuppgifter till en personuppgiftsansvarig eller ett personuppgiftsbiträde i ett tredje land eller i en internationell organisation

B | överlåta behandlingen av personuppgifter till ett underbiträde i ett tredje land

C | låta personuppgifterna behandlas av personuppgiftsbiträdet i ett tredje land

1 | Personuppgiftsbiträdet ska bistå personuppgiftsansvarig med lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, för att uppfylla personuppgiftsansvarigs skyldigheter att besvara begäranden om utövande av den registrerades rättigheter enligt kapitel III GDPR.

2 | Detta innebär att personuppgiftsbiträdet, i den mån detta är möjligt, ska bistå personuppgiftsansvarig med efterlevnad av:

A | rätten till information när personuppgifter samlas in från den registrerade

B | rätten till information när personuppgifter inte har samlats in från den registrerade

C | den registrerades rätt till tillgång

D | rätten till rättelse

E | rätten till radering (”rätten att bli glömd”)

F | rätten till begränsning av behandling

G | rätten till dataportabilitet

E | rätten att invända

F | rätten att inte vara föremål för ett beslut som enbart grundas på automatiserad behandling, inklusive profilering

3 | Utöver personuppgiftsbiträdets skyldighet att bistå personuppgiftsansvarig enligt klausul 6.3 ska personuppgiftsbiträdet dessutom, med beaktande av behandlingens art och den information som är tillgänglig för personuppgiftsbiträdet, bistå personuppgiftsansvarig med att säkerställa efterlevnad av:

A | Personuppgiftsansvarigs skyldighet att utan onödigt dröjsmål och, om möjligt, senast 72 timmar efter att ha fått kännedom om det, anmäla personuppgiftsincidenten till behörig tillsynsmyndighet, Integritetsskyddsmyndigheten | IMY, såvida inte personuppgiftsincidenten sannolikt inte medför en risk för fysiska personers rättigheter och friheter;

B | Personuppgiftsansvarigs skyldighet att utan onödigt dröjsmål meddela den registrerade om personuppgiftsincidenten, när incidenten sannolikt medför en hög risk för fysiska personers rättigheter och friheter;

C | Personuppgiftsansvarigs skyldighet att utan onödigt dröjsmål meddela den registrerade om personuppgiftsincidenten, när incidenten sannolikt medför en hög risk för fysiska personers rättigheter och friheter;

D | Personuppgiftsansvarigs skyldighet att rådfråga behörig tillsynsmyndighet, Integritetsskyddsmyndigheten | IMY, innan behandlingen påbörjas när en konsekvensbedömning avseende dataskydd indikerar att behandlingen skulle medföra en hög risk om inte åtgärder vidtas av personuppgiftsansvarig för att minska risken.

Parterna ska i Bilaga C fastställa lämpliga tekniska och organisatoriska åtgärder som personuppgiftsbiträdet ska vidta för att bistå personuppgiftsansvarig samt omfattningen av det bistånd som krävs.

1 | Vid en personuppgiftsincident ska personuppgiftsbiträdet, utan onödigt dröjsmål efter att ha fått kännedom om den, underrätta personuppgiftsansvarig om incidenten.

2 | Personuppgiftsbiträdets underrättelse till personuppgiftsansvarig ska, om möjligt, ske inom 48 timmar efter att personuppgiftsbiträdet fått kännedom om personuppgiftsincidenten, för att personuppgiftsansvarig ska kunna uppfylla sin skyldighet att anmäla incidenten till behörig tillsynsmyndighet, jfr artikel 33 GDPR.

3 | I enlighet med klausul 8(2)(a) ska personuppgiftsbiträdet bistå personuppgiftsansvarig med att anmäla personuppgiftsincidenten till behörig tillsynsmyndighet, vilket innebär att personuppgiftsbiträdet ska bistå med att inhämta nedanstående information som, enligt artikel 33(3) GDPR, ska anges i personuppgiftsansvarigs anmälan till tillsynsmyndigheten:

A | Personuppgiftsincidentens art, inklusive, om möjligt, kategorier och ungefärligt antal berörda registrerade samt kategorier och ungefärligt antal berörda personuppgiftsposter;

B | de sannolika konsekvenserna av personuppgiftsincidenten;

C | de åtgärder som vidtagits eller föreslagits för att hantera personuppgiftsincidenten, inklusive, i förekommande fall, åtgärder för att minska dess möjliga negativa effekter.

4 | Parterna ska i Bilaga C fastställa alla uppgifter som personuppgiftsbiträdet ska tillhandahålla när det bistår personuppgiftsansvarig med anmälan om en personuppgiftsincident till behörig tillsynsmyndighet.

1 | När tillhandahållandet av personuppgiftsbehandlingstjänster upphör ska personuppgiftsbiträdet radera eller återlämna alla personuppgifter som behandlats för personuppgiftsansvarigs räkning och intyga för personuppgiftsansvarig att så har skett. Om personuppgiftsansvarig inte fattar beslut om huruvida personuppgifterna ska raderas eller återlämnas, kommer personuppgiftsbiträdet att radera dessa tidigast efter 90 dagar.

2 | Personuppgiftsbiträdet ska göra all information tillgänglig för personuppgiftsansvarig som är nödvändig för att påvisa efterlevnad av skyldigheterna i artikel 28 och Klausulerna samt möjliggöra och bidra till revisioner, inklusive inspektioner, som utförs av personuppgiftsansvarig eller en annan revisor som personuppgiftsansvarig anlitat.


3 | Personuppgiftsbiträdet ska vara skyldigt att ge tillsynsmyndigheter, som enligt tillämplig lagstiftning har tillgång till personuppgiftsansvarigs och personuppgiftsbiträdets lokaler, eller representanter som agerar på uppdrag av sådana tillsynsmyndigheter, tillträde till personuppgiftsbiträdets fysiska lokaler mot uppvisande av lämplig legitimation.

4 | Personuppgiftsbiträdet åtar sig att uteslutande behandla personuppgifterna för de ändamål och under den tid som föreskrivs i denna lag och under de strikta tillämpliga villkoren.

Personuppgiftsbiträdet och personuppgiftsansvarig ska försöka lösa tvister rörande detta databehandlingsavtal i gänklighet. Avtalet lyder under svensk/EU-rätt och parterna är överens om att Stockholms tingsrätt ska vara rättslig forum. Detta villkor gäller även efter avtalets upphörande.

A1 | Ändamålet med personuppgiftsbiträdets behandling av personuppgifter för personuppgiftsansvarigs räkning är:

Personuppgiftsbiträdets underrättelse till personuppgiftsansvarig ska, om möjligt, ske inom 48 timmar efter att personuppgiftsbiträdet fått kännedom om personuppgiftsincidenten, för att personuppgiftsansvarig ska kunna uppfylla sin skyldighet att anmäla incidenten till behörig tillsynsmyndighet, jfr artikel 33 GDPR.

A2 | Personuppgiftsbiträdets behandling av personuppgifter för personuppgiftsansvarigs räkning ska huvudsakligen avse (behandlingens art):

SMS-, e-post- eller appaviseringar till de användare som personuppgiftsansvarig har kopplat till Property Systems Sweden AB som applikation.

A3 | Behandlingen omfattar följande typer av personuppgifter om registrerade:

E-postadress, namn och telefonnummer. Inga personuppgifter som tas emot från personuppgiftsansvarig kommer att innehålla känsliga uppgifter som kvalificerar som 'särskilda' personuppgifter.

A4 | Behandlingen omfattar följande kategorier av registrerade:

E-postadress, namn och telefonnummer. Inga känsliga personuppgifter.

A5 | Personuppgiftsbiträdets behandling av personuppgifter för personuppgiftsansvarigs räkning får påbörjas när Klausulerna träder i kraft. Behandlingen har följande varaktighet:

Löpande tills avtalet sägs upp skriftligen.

B1 | Godkända underbiträden

När Klausulerna träder i kraft godkänner personuppgiftsansvarig anlitandet av följande underbiträden:

Property Systems Sweden AB

c/o Places, Artillerigatan 55, 114 45

Används för SaaS-lösning och kunddatabas

Intuit Mailchimp

405 N Angier Ave. NE

Atlanta, GA 30308 USA

Används för e-postmarknadsföring och kunddatabas

Om du är en användare som befinner dig i Europeiska ekonomiska samarbetsområdet (EES), Storbritannien eller Schweiz (som vi gemensamt kallar „Europa“), eller om du använder vår plattform för att behandla uppgifter om dina kontakter i Europa, har vårt Data Processing Addendum (DPA) utformats för att göra det möjligt för dig att överföra europeiska personuppgifter till Mailchimp i USA och för att tillåta Mailchimp att lagligen behandla dessa uppgifter för din räkning.

Typeform

C/ Can Rabia 3-5, 4th floor, 08017 – Barcelona, Spain

Används för intresseanmälningsformulär och kunddatabas

Google Inc

1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

Används för annonser, sök, SEO, databas och molntjänster

Personuppgiftsansvarig ska när Klausulerna träder i kraft godkänna användningen av ovanstående underbiträden för den behandling som beskrivs för respektive part.

C1 | Föremålet för/instruktion för behandlingen

Personuppgiftsbiträdets behandling av personuppgifter för personuppgiftsansvarigs räkning ska utföras av personuppgiftsbiträdet genom att utföra följande:

Biträdet hämtar leads manuellt eller via ett API från personuppgiftsansvarig för att underlätta kommunikation mellan leads och personuppgiftsansvarig baserat på att leads har samtyckt till sådan kommunikation.

C2 | Säkerhet vid behandling

Säkerhetsnivån ska beakta:

Personuppgiftsbiträdet kommer inte att behandla känsliga personuppgifter. Därför är den implementerade säkerhetsnivån „låg“. Personuppgiftsbiträdet använder krypterade Google Cloud-lösningar för lagring av data och den tekniska risken bedöms som „mycket låg“.

Personuppgiftsbiträdet ska härefter ha rätt och skyldighet att fatta beslut om de tekniska och organisatoriska säkerhetsåtgärder som ska tillämpas för att skapa den nödvändiga (och överenskomna) nivån av datasäkerhet.

Personuppgiftsbiträdet ska dock – under alla omständigheter och som ett minimum – genomföra följande åtgärder som överenskommits med personuppgiftsansvarig:

A | Krypterad datalagring

B | Strikta rutiner för åtkomst till personuppgifter

C | Rutiner för tekniska säkerhetstester

D | Sträva efter säker och trygg överföring av personuppgifter till och från egna dataservrar

C3 | Bistånd till personuppgiftsansvarig

Personuppgiftsbiträdet ska i den mån detta är möjligt – inom ramen för det bistånd som anges nedan – bistå personuppgiftsansvarig i enlighet med klausul 8.1 och 8.2 genom att genomföra följande tekniska och organisatoriska åtgärder:

Lämna återkoppling om säkerheten och robustheten i personuppgiftsansvarigs tekniska implementering.

Beakta personuppgiftsansvarigs grund för behandling av personuppgifter.

C4 | Lagringsperiod/raderingsrutiner

När tillhandahållandet av personuppgiftsbehandlingstjänster upphör ska personuppgiftsbiträdet antingen radera eller återlämna personuppgifterna i enlighet med klausul 10.1, såvida inte personuppgiftsansvarig – efter avtalets undertecknande – har ändrat sitt ursprungliga val. En sådan ändring ska dokumenteras och bevaras skriftligen, inklusive elektroniskt, i samband med Klausulerna.