Personuppgiftsbiträdesavtal (DPA)
Dessa dokument utgör en del av KFN Medias juridiska ramverk och kan uppdateras löpande.
Parter
Detta personuppgiftsbiträdesavtal (”Avtalet”) ingås mellan KFN Media (”Personuppgiftsbiträde”) och kundorganisationen (”Personuppgiftsansvarig”). Detta Avtal gäller när KFN Media behandlar personuppgifter för den Personuppgiftsansvariges räkning i samband med tillhandahållandet av digitala tjänster.
Syfte och omfattning
Syftet med detta Avtal är att definiera parternas rättigheter och skyldigheter avseende behandlingen av personuppgifter i enlighet med tillämplig dataskyddslagstiftning, inklusive EU:s allmänna dataskyddsförordning (GDPR).
KFN Media behandlar personuppgifter enbart i syfte att leverera avtalade tjänster, inklusive men inte begränsat till mjukvaruutveckling, webbhotell, infrastrukturhantering, automationssystem, AI-integrationer, SEO-tjänster och teknisk support.
Förhållande till användarvillkoren
Detta Avtal utgör en del av och ska läsas tillsammans med KFN Medias Användarvillkor. Vid konflikt gäller den tolkningsordning som anges i Användarvillkoren.
Parternas roller
Den Personuppgiftsansvarige bestämmer syftet med och medlen för behandlingen av personuppgifter.
Personuppgiftsbiträdet behandlar personuppgifter endast enligt den Personuppgiftsansvariges dokumenterade instruktioner, om inte annat krävs enligt lag.
Typer av personuppgifter
Beroende på de tjänster som tillhandahålls kan Personuppgiftsbiträdet behandla följande kategorier av uppgifter:
- Kontaktuppgifter (namn, e-post, telefonnummer)
- Företagsuppgifter (företagsnamn, befattning)
- Tekniska uppgifter (IP-adresser, enhetsdata, loggar)
- Användargenererat eller kundtillhandahållet innehåll
- System- och användningsdata
Inga känsliga personuppgifter behandlas avsiktligt om det inte uttryckligen avtalats skriftligen.
Kategorier av registrerade
Registrerade kan inkludera:
- Kundens anställda och representanter
- Slutanvändare av kundens system eller plattformar
- Webbplatsbesökare eller kunder till den Personuppgiftsansvarige
Behandlingsaktiviteter
Behandlingen kan inkludera:
- Lagring och hosting av data
- Överföring och kommunikation av data
- Teknisk behandling för systemfunktionalitet
- Säkerhetskopiering och återställning
- Säkerhetsövervakning och loggning
Sekretess
Personuppgiftsbiträdet säkerställer att all personal som är behörig att behandla personuppgifter är bunden av sekretessåtaganden och endast får tillgång till uppgifter i den utsträckning som krävs för leverans av tjänsten.
Säkerhetsåtgärder
Personuppgiftsbiträdet vidtar lämpliga tekniska och organisatoriska säkerhetsåtgärder, inklusive men inte begränsat till:
- Kryptering av data under överföring och i vila där så är tillämpligt
- Åtkomstkontroll och autentiseringsmekanismer
- Loggning och övervakning av systemaktivitet
- Regelbundna uppdateringar och sårbarhetshantering
- Säker hosting och infrastrukturpraxis
Inget system kan dock garantera absolut säkerhet.
Underbiträden
Personuppgiftsbiträdet kan anlita tredjeparts underbiträden (såsom hostingleverantörer, molntjänster, analysverktyg eller kommunikationsplattformar) för att stödja leveransen av tjänsten.
Alla underbiträden är skyldiga att upprätthålla lämpliga standarder för dataskydd och säkerhet.
Personuppgiftsbiträdet förblir ansvarigt för att säkerställa GDPR-förenlig behandling hos underbiträden.
Internationella överföringar
Personuppgifter kan överföras och behandlas utanför Europeiska ekonomiska samarbetsområdet (EES). När sådana överföringar sker tillämpas lämpliga skyddsåtgärder såsom standardavtalsklausuler (SCC) eller motsvarande mekanismer.
Bistånd till personuppgiftsansvarig
Personuppgiftsbiträdet ska, i den mån det är rimligt möjligt, bistå den Personuppgiftsansvarige med att uppfylla skyldigheter enligt GDPR, inklusive:
- Registrerades begäran om åtkomst
- Begäran om rättelse eller radering
- Begäran om dataportabilitet
- Säkerhets- och incidentanmälningar
Lagring och radering av data
Personuppgifter lagras endast under den tid som är nödvändig för att tillhandahålla tjänster eller uppfylla rättsliga skyldigheter.
Vid avslutande av tjänsterna raderas eller återlämnas personuppgifter till den Personuppgiftsansvarige på begäran, om inte lagring krävs enligt lag.
Anmälan om dataintrång
Vid en personuppgiftsincident som påverkar behandlade uppgifter meddelar Personuppgiftsbiträdet den Personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått kännedom om incidenten och tillhandahåller relevant information för att stödja efterlevnad av rättsliga skyldigheter.
Revisioner och efterlevnad
På rimlig begäran kan Personuppgiftsbiträdet tillhandahålla information som är nödvändig för att visa efterlevnad av detta Avtal. Formella revisioner kan avtalas separat skriftligen.
Ansvarsbegränsning
I den maximala utsträckning lagen tillåter omfattas ansvar enligt detta Avtal av ansvarsbegränsningarna i de huvudsakliga Användarvillkoren mellan parterna.
Giltighetstid och uppsägning
Detta Avtal gäller under hela tjänsterelationens varaktighet. Vid uppsägning fortsätter skyldigheterna avseende behandling för uppgifter som lagras enligt rättsliga skyldigheter tills radering har genomförts.
Tillämplig lag
Detta Avtal regleras av svensk lag. Eventuella tvister avgörs av svensk domstol om inte tvingande lag föreskriver annat.