Senast uppdaterat: 2022-06-14
Digitalist Open Tech AB (556654-0422), nedan Digitalist, och Digitalists kund, nedan Kunden, har ingått ett avtal avseende tjänster för webbanalys (”Avtalet”). Avtalet innebär att Digitalist kommer att behandla personuppgifter för Kundens räkning.
Enligt reglerna i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter m.m. (GDPR) ska sådan hantering mellan parterna regleras genom avtal eller liknande.
Detta personuppgiftsbiträdesavtal (”PUB-avtalet”) kompletterar därför Avtalet vad avser behandling av personuppgifter. Vad som anges i detta PUB-avtal ska äga företräde framför Avtalet och dess bilagor om inget annat uttryckligen framgår nedan.
PUB-avtalet ersätter eventuella tidigare personuppgiftsbiträdesavtal eller andra överenskommelser om Behandling av Personuppgifter mellan parterna.
PUB-avtalet ska ha samma definitioner som återfinns i vid var tid gällande version av GDPR. Det innebär t.ex. att Kunden är Personuppgiftsansvarig och Digitalist är Personuppgiftsbiträde i förhållande till Kunden.
Digitalist behandlar personuppgifter från tre olika källor:
Data lämnade av Kunden via våra applikationsgränssnitt, importer från externa datakällor, uppladdning av filer, manuell inmatning, anrop till våra API:er m.m. Dessa data innehåller minst e-post. Utöver detta kan Digitalist användas för att lagra vilken kontaktinformation som helst.
Data som samlas in via analystjänstens spårningsscript som kunden implementerar på de applikationer man avser att analysera användarbeteenden på. Personuppgifter som kan lämnas är IP-adresser, webbläsare, etc..
Digitalist lagrar ovanstående data till dess Kunden eller fysisk person själv raderar data, eller tjänsten upphör. Medan tjänsten är i drift är det upp till Kunden att ansvara för att data inte lagras längre än vad som kan anses tillåtet under GDPR.
Personuppgiftsbiträdet ska endast behandla Personuppgifter i enlighet med detta PUB-avtal, Avtalet och dess bilagor, gällande rätt, Tillsynsmyndighets föreskrifter samt Personuppgiftsansvariges vid var tid gällande och dokumenterade instruktioner.
Personuppgiftsbiträdet ska vid varje Behandling av Personuppgifter säkerställa att, med hänsyn tagen av arten av Personuppgifter, lämpliga tekniska och organisatoriska åtgärder vidtas på ett sådant sätt att kraven i Gällande lag/förordning följs och att den Registrerades rättigheter skyddas. Personuppgiftsbiträdet får inte behandla Personuppgifter för egna eller några andra ändamål än dem som Personuppgiftsbiträdet anlitats för av Personuppgiftsansvarige.
Personuppgiftsbiträdet ska vid Behandlingen, med beaktande av den senaste utvecklingen, genomförandekostnaderna och Behandlingens art, omfattning, sammanhang och ändamål, samt riskerna med Behandlingen, vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig, enligt vad som stadgas i Gällande lag/förordning. Personuppgiftsansvarige har rätt att vid behov och med skäligt varsel, komplettera denna punkt med särskilda instruktioner.
Personuppgifterna ska skyddas mot förstöring, ändringar, otillåten spridning och obehörig tillgång. Personuppgifterna ska även skyddas mot varje annat slag av otillåten Behandling.
Personuppgiftsbiträdet ska vidta åtgärder för att samtliga personer som arbetar under dennes ledning följer vad som framgår av detta PUB-avtal och vid var tid gällande instruktioner från Personuppgiftsansvarige, samt att de hålls informerade om innehållet i Gällande lag/förordning. Personuppgiftsbiträdet ska begränsa åtkomsten till Personuppgifterna till sådana personer som arbetar under dennes ledning och som behöver Personuppgifterna för att utföra sina arbetsuppgifter för fullgörande av ingångna avtal mellan Personuppgiftsbiträdet och Personuppgiftsansvarige. Personuppgiftsbiträdet ska se till att de personer som har åtkomst till Personuppgifterna omfattas av sekretess enligt vad som framgår av punkt 9 samt att de är informerade om hur de får behandla Personuppgifterna.