Personuppgiftsbiträdesavtal (DPA)

Detta Personuppgiftsbiträdesavtal (”Avtalet”) ingås mellan:

  1. Personuppgiftsansvarig: Kunden, som använder SimplyPulse-tjänsten och avgör syftet och medlen för behandling av personuppgifter.
  2. Personuppgiftsbiträde: SimplyPulse AB, org.nr 559513-3561, med adress Johannefredsgatan 4, 431 53 Mölndal (”Biträdet”), som behandlar personuppgifter för kundens räkning enligt detta Avtal.

Detta Avtal reglerar Biträdets behandling av personuppgifter i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR).

1. Behandlingens ändamål och omfattning

Biträdet behandlar personuppgifter för att tillhandahålla SimplyPulse-tjänsten till Kunden. Behandlingen innefattar insamling, lagring, strukturering, överföring och radering av personuppgifter enligt nedan:

  • Kategorier av personuppgifter: Namn, e-postadresser, samt ytterligare data som Kunden lägger in i systemet, inklusive anställningsnummer, födelsedatum och telefonnummer. Kunden avgör även segmenteringsdata som avdelningar, orter och anställningsformer samt insamlade enkätssvar.
  • Registrerade personer: Kundens användare och anställda vars data hanteras i SimplyPulse.
  • Lagringsperiod: Personuppgifter lagras så länge det finns ett aktivt kundförhållande. Vid avslutat avtal raderas data automatiskt efter 30 dagar om inget annat avtalats.

Biträdet får inte använda kundens data för egna ändamål eller för andra syften än att tillhandahålla och optimera SimplyPulse-tjänsten.

2. Biträdets skyldigheter

Biträdet åtar sig att:

  • Behandla personuppgifter i enlighet med Kundens instruktioner och gällande lagstiftning.
  • Säkerställa att endast behöriga personer har tillgång till personuppgifter och att de omfattas av sekretess.
  • Implementera lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna, inklusive TLS-kryptering, tvåfaktorsautentisering, serverövervakning och begränsad åtkomst.
  • Vidta nödvändiga åtgärder för att assistera Kunden vid registerutdrag eller begäran om radering enligt GDPR.
  • Informera Kunden utan dröjsmål vid en säkerhetsincident som påverkar personuppgifter.
3. Underbiträden

Biträdet anlitar följande underbiträden för att utföra behandling:

  • Oderland Webbhotell AB (epost, hosting)
  • Microsoft (epost, fillagring)
  • OnlineCity.IO ApS (SMS)
  • OneSignal (Push-meddelanden)

Vid eventuell ändring av underbiträden ska Kunden informeras minst 30 dagar i förväg. Om Kunden motsätter sig ett nytt underbiträde har denne rätt att avsluta avtalet.

4. Datahantering och radering
  • Kunden kan begära radering av sina personuppgifter, dock kan data som samlats in anonymt inte kopplas till en enskild individ och kan därför inte exporteras eller raderas individuellt.
  • Biträdet bistår Kunden i tekniska frågor kring rättelse, radering och registerutdrag.
  • Vid avslutat avtal raderas alla personuppgifter efter 30 dagar om inget annat avtalats.
5. Dataöverföring och plats för behandling
  • All behandling av personuppgifter sker inom EU/EES.
  • Biträdet överför inte personuppgifter till länder utanför EU/EES.
6. Ansvar och tvister
  • Kunden ansvarar för att informera registrerade personer om behandlingen av deras personuppgifter.
  • Slutanvändare som vill begära registerutdrag eller radering ska vända sig till Kunden, som i sin tur kan begära assistans från SimplyPulse.
  • Vid tvist i anledning av detta Avtal ska parterna i första hand försöka nå en lösning genom förhandling. Om enighet inte nås ska tvisten avgöras av svensk allmän domstol med tillämpning av svensk lag.
7. Avtalets giltighet

Detta Avtal gäller så länge kundavtalet är aktivt och så länge inget annat avtalats mellan parterna.

Detta avtal gäller även vid användning av SimplyPulse under en testperiod.

Genom att ingå detta Avtal bekräftar parterna att de förstår och accepterar villkoren för behandling av personuppgifter.

Rulla till toppen