PERSONUPPGIFTSBITRÄDESAVTAL
1. BAKGRUND
1.1 Parterna har ingått ett avtal avseende Personuppgiftsbiträdets tillhandahållande av tjänster ("Huvudavtalet"). De tjänster som tillhandahålls enligt Huvudavtalet kommer att innefatta behandling av personuppgifter av Personuppgiftsbiträdet för Personuppgiftsansvarigs räkning.
1.2 Detta Personuppgiftsbiträdesavtal (”PUB-avtal”) reglerar Kundens (”Personuppgiftsansvarig”) rättigheter och skyldigheter i egenskap av personuppgiftsansvarig samt Welloops (”Personuppgiftsbiträde”) rättigheter och skyldigheter i egenskap av personuppgiftsbiträde när Personuppgiftsbiträdet behandlar personuppgifter för Personuppgiftsansvarigs räkning.
1.3 Detta PUB-avtal utgör en integrerad del av Huvudavtalet. Vid eventuella motstridigheter mellan bestämmelserna i Huvudavtalet och detta PUB-avtal ska detta PUB-avtal ha företräde.
2. DEFINITIONER
2.2 Om inte annat anges ska termer och uttryck i detta PUB-avtal tolkas i enlighet med tillämplig dataskyddslagstiftning.
2.3 Termer och uttryck som används i detta PUB-avtal, men som inte definieras häri, ska ha den innebörd som anges i Huvudavtalet.
3. BILAGOR
Specifikation av behandlingen av personuppgifter Bilaga 1
Förteckning över förhandsgodkända underbiträden Bilaga 2
4. BEHANDLING AV PERSONUPPGIFTER
4.1 Personuppgiftsbiträdet åtar sig att endast behandla personuppgifter i enlighet med dokumenterade instruktioner från Personuppgiftsansvarig, om inte annat följer av tillämplig dataskyddslagstiftning. Personuppgiftsansvarigs instruktioner till Personuppgiftsbiträdet avseende behandlingens föremål och varaktighet, behandlingens art och ändamål, typen av personuppgifter och kategorier av registrerade framgår uttömmande av detta PUB-avtal och Bilaga 1.
4.2 Personuppgiftsansvarig bekräftar att Personuppgiftsbiträdets skyldigheter enligt detta PUB-avtal, inklusive Bilaga 1, utgör de fullständiga instruktionerna till Personuppgiftsbiträdet.
4.3 Varje ändring av Personuppgiftsansvarigs instruktioner ska dokumenteras skriftligen och undertecknas av båda Parter för att vara giltig. Sådana ändringar ska även innehålla bestämmelser om eventuella förändringar av Personuppgiftsbiträdets ersättning. Personuppgiftsansvarig får inte, utan ett sådant skriftligt avtal, instruera Personuppgiftsbiträdet att behandla personuppgifter avseende andra kategorier av personuppgifter eller andra kategorier av registrerade än de som anges i Bilaga 1.
4.4 Personuppgiftsbiträdet ska utan onödigt dröjsmål informera Personuppgiftsansvarig om Personuppgiftsbiträdet, enligt sin uppfattning, anser att en instruktion från Personuppgiftsansvarig avseende behandlingen av personuppgifter strider mot dataskyddslagstiftning.
4.5 Personuppgiftsbiträdet ska, i den utsträckning som krävs enligt tillämplig dataskyddslagstiftning och i enlighet med Personuppgiftsansvarigs skriftliga instruktioner, där så är tillämpligt bistå Personuppgiftsansvarig i att uppfylla sina skyldigheter enligt tillämplig dataskyddslagstiftning.
5. UNDERBITRÄDEN OCH ÖVERFÖRINGAR TILL TREDJELAND
5.1 Personuppgiftsansvarig godkänner att Personuppgiftsbiträdet anlitar underbiträden inom och utanför EU/EES. Personuppgiftsbiträdet ska säkerställa att underbiträden är bundna av skriftliga avtal som ålägger dem samma dataskyddsskyldigheter som anges i detta PUB-avtal. Bilaga 2 innehåller en förteckning över underbiträden som från dagen för detta PUB-avtals undertecknande är förhandsgodkända.
5.2 Om Personuppgiftsbiträdet avser att anlita ett nytt underbiträde eller ersätta ett befintligt underbiträde för att behandla personuppgifter som omfattas av detta PUB-avtal, ska Personuppgiftsbiträdet informera Personuppgiftsansvarig om sådana planerade förändringar avseende tillägg eller byte av underbiträden och ge Personuppgiftsansvarig möjlighet att invända mot sådana förändringar. Eventuella invändningar från Personuppgiftsansvarig ska göras skriftligen inom 30 dagar från mottagandet av informationen från Personuppgiftsbiträdet. Personuppgiftsbiträdet ska tillhandahålla Personuppgiftsansvarig den information som Personuppgiftsansvarig rimligen kan begära för att bedöma om efterlevnad av skyldigheterna enligt detta PUB-avtal och tillämplig dataskyddslagstiftning är möjlig om det föreslagna underbiträdet anlitas. Om sådan efterlevnad enligt Personuppgiftsansvarigs befogade uppfattning inte är möjlig om det föreslagna underbiträdet anlitas, och Personuppgiftsbiträdet trots Personuppgiftsansvarigs befogade invändning anlitar det föreslagna underbiträdet, har Personuppgiftsansvarig rätt att säga upp detta PUB-avtal utan extra kostnad. Om Personuppgiftsansvarigs invändning inte är befogad har Personuppgiftsansvarig inte rätt att säga upp detta PUB-avtal.
5.3 Personuppgiftsbiträdet får överföra personuppgifter utanför EU/EES. Om personuppgifter överförs till eller görs tillgängliga utanför EU/EES ska Personuppgiftsbiträdet säkerställa att det finns en rättslig grund för överföringen och att överföringen omfattas av en lämplig skyddsåtgärd enligt tillämplig dataskyddslagstiftning, såsom standardavtalsklausuler antagna av Europeiska kommissionen. Personuppgiftsansvarig bemyndigar Personuppgiftsbiträdet att ingå sådana standardavtalsklausuler med underbiträden för Personuppgiftsansvarigs räkning.
6. DATASÄKERHET OCH SEKRETESS
6.1 Personuppgiftsbiträdet är skyldigt att uppfylla sina rättsliga skyldigheter avseende dataskydd enligt tillämplig dataskyddslagstiftning och ska i samtliga fall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.
6.2 Personuppgiftsbiträdet ska säkerställa att endast sådana personer som behöver tillgång till personuppgifter för att uppfylla Personuppgiftsbiträdets skyldigheter enligt Huvudavtalet och detta PUB-avtal har tillgång till sådana uppgifter. Personuppgiftsbiträdet ska säkerställa att sådana personer omfattas av lämpliga sekretessåtaganden.
7. UTLÄMNANDE AV PERSONUPPGIFTER OCH KONTAKTER MED BEHÖRIGA MYNDIGHETER
7.1 Personuppgiftsbiträdet får inte, utan föregående skriftligt samtycke från Personuppgiftsansvarig, lämna ut eller på annat sätt göra personuppgifter som behandlas enligt detta PUB-avtal tillgängliga för tredje part, om inte annat följer av svensk eller europeisk lag eller av beslut från behörig domstol eller myndighet.
7.2 Om en registrerad begär information från Personuppgiftsbiträdet avseende behandling av personuppgifter som omfattas av detta PUB-avtal, ska Personuppgiftsbiträdet utan onödigt dröjsmål hänvisa sådan begäran till Personuppgiftsansvarig.
7.3 Om en behörig myndighet begär information från Personuppgiftsbiträdet avseende behandling av personuppgifter som omfattas av detta PUB-avtal, ska Personuppgiftsbiträdet utan onödigt dröjsmål informera Personuppgiftsansvarig om detta, om inte annat följer av tillämplig lag eller av beslut från behörig domstol eller myndighet. Personuppgiftsbiträdet får inte agera för Personuppgiftsansvarigs räkning eller som dess ombud och får inte, utan Personuppgiftsansvarigs föregående samtycke, överföra eller på annat sätt göra personuppgifter som omfattas av detta PUB-avtal eller annan information som rör behandlingen av sådana personuppgifter tillgängliga för tredje part, om inte annat krävs enligt svensk eller europeisk lag eller enligt ett lagakraftvunnet beslut från behörig domstol eller myndighet. Personuppgiftsbiträdet får dock bekräfta att en begäran har mottagits och vidarebefordrats till Personuppgiftsansvarig.
7.4 Om Personuppgiftsbiträdet, i enlighet med tillämplig svensk eller europeisk lag, åläggs att lämna ut personuppgifter som omfattas av detta PUB-avtal, ska Personuppgiftsbiträdet utan onödigt dröjsmål informera Personuppgiftsansvarig om detta, om inte annat följer av tillämplig lag eller av beslut från behörig domstol eller myndighet.
8. PERSONUPPGIFTSINCIDENT
8.1 Personuppgiftsbiträdet ska utan onödigt dröjsmål underrätta Personuppgiftsansvarig efter att ha blivit medvetet om en personuppgiftsincident.
8.2 Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig med den information som rimligen krävs för att Personuppgiftsansvarig ska kunna uppfylla sin skyldighet att rapportera personuppgiftsincidenter.
9. GRANSKNINGSRÄTT
9.1 Personuppgiftsansvarig ska, i egenskap av personuppgiftsansvarig, ha rätt att vidta nödvändiga åtgärder för att verifiera att Personuppgiftsbiträdet kan uppfylla sina skyldigheter enligt detta PUB-avtal och att Personuppgiftsbiträdet faktiskt har vidtagit de nödvändiga åtgärderna för att säkerställa sådan efterlevnad.
9.2 Personuppgiftsbiträdet åtar sig att tillhandahålla Personuppgiftsansvarig all information som är nödvändig för att visa att Personuppgiftsbiträdet uppfyller sina skyldigheter enligt detta PUB-avtal, samt att möjliggöra och delta i granskningar, inklusive inspektioner på plats, som utförs av Personuppgiftsansvarig eller annan revisor utsedd av Personuppgiftsansvarig, under förutsättning att den eller de personer som utför granskningen har ingått sedvanliga sekretessåtaganden.
10. ERSÄTTNING
Personuppgiftsbiträdet har rätt till skälig ersättning på löpande räkning för arbete som utförs eller assistans som lämnas i enlighet med dess skyldigheter enligt avsnitt 4.4, 7, 8.2, 9 och 13 i detta PUB-avtal.
11. ADMINISTRATIVA SANKTIONSAVGIFTER OCH ANSVAR
11.1 Personuppgiftsbiträdets ansvar enligt detta PUB-avtal ska under inga omständigheter överstiga det lägsta av (i) 100 000 SEK och (ii) de ansvarsbegränsningar som anges i Huvudavtalet.
11.2 För undvikande av missförstånd ska de ansvarsbegränsningar som anges i Huvudavtalet även tillämpas på Personuppgiftsbiträdets ansvar enligt detta PUB-avtal som om de uttryckligen angivits här, och varje hänvisning i Huvudavtalet till en Parts sammanlagda ansvar ska anses avse den Partens sammanlagda ansvar enligt Huvudavtalet och detta PUB-avtal tillsammans.
11.3 Parterna är överens om att eventuella administrativa sanktionsavgifter som påförs enligt tillämplig dataskyddslagstiftning ska betalas av den Part på vilken sanktionsavgiften har påförts, såsom beslutats av relevant tillsynsmyndighet eller behörig domstol med rätt att påföra sådana avgifter, och under inga omständigheter ska en Part vara ansvarig för den andra Partens administrativa sanktionsavgifter, inklusive inom ramen för eventuella skadeslöshetsåtaganden.
11.4 Eftersom Personuppgiftsbiträdet endast ska behandla personuppgifter i enlighet med Personuppgiftsansvarigs instruktioner, är Personuppgiftsbiträdet inte ansvarigt när Personuppgiftsbiträdet har agerat i enlighet med Personuppgiftsansvarigs instruktioner.
12. AVTALSTID
Bestämmelserna i detta PUB-avtal ska gälla så länge Personuppgiftsbiträdet behandlar personuppgifter för vilka Personuppgiftsansvarig är personuppgiftsansvarig.
13. ÅTGÄRDER VID DETTA PUB-AVTALS UPPHÖRANDE
13.1 Vid upphörande av detta PUB-avtal ska Personuppgiftsbiträdet, utan onödigt dröjsmål och senast inom trettio (30) dagar från mottagandet av sådan begäran från Personuppgiftsansvarig, antingen radera, anonymisera eller återlämna samtliga personuppgifter som behandlats enligt detta PUB-avtal, om inte svensk eller europeisk unionsrätt kräver lagring av personuppgifterna.
13.2 Oaktat avsnitt 13.1 har Personuppgiftsbiträdet rätt att behålla anonymiserade personuppgifter, om inte (i) annat anges i Huvudavtalet, eller (ii) detta är förbjudet enligt tillämplig lag.
13.3 På begäran av Personuppgiftsansvarig ska Personuppgiftsbiträdet utan onödigt dröjsmål tillhandahålla Personuppgiftsansvarig en skriftlig bekräftelse av de åtgärder som vidtagits avseende personuppgifterna, även om Huvudavtalet eller detta PUB-avtal har upphört.
14. ÄNDRINGAR AV DETTA PUB-AVTAL
Varje ändring eller tillägg till detta PUB-avtal ska göras skriftligen och undertecknas av båda Parter för att vara giltigt.
15. TILLÄMPLIG LAG OCH TVISTER
15.1 Detta PUB-avtal ska regleras av svensk rätt.
15.2 Varje tvist som uppstår ur eller i samband med detta PUB-avtal ska slutligt avgöras i enlighet med bestämmelserna om tvistlösning i Huvudavtalet. Om Huvudavtalet inte innehåller bestämmelser om tvistlösning ska istället varje tvist, kontrovers eller anspråk som uppstår ur eller i samband med detta PUB-avtal, eller dess brott, upphörande eller ogiltighet, slutligt avgöras genom skiljeförfarande i enlighet med SCC Skiljedomsinstituts Regler för Förenklat Skiljeförfarande. Skiljenämnden ska bestå av en skiljeman, utsedd av institutet. Skiljeförfarandet ska äga rum i Uppsala, Sverige och genomföras på engelska om inte Parterna kommer överens om annat.
BILAGA 1
SPECIFIKATION AV BEHANDLINGEN AV PERSONUPPGIFTER
| Fält | Beskrivning |
|---|---|
| Ändamål | Att tillhandahålla tjänster i enlighet med villkoren i Huvudavtalet. |
| Kategorier av personuppgifter | Användarinformation, inklusive: Namn, Adress, Födelsedatum, Kön, Profilbild, E-postadress, Telefonnummer, Personnummer, Träningsnärvaro, välbefinnandedata (t.ex. svar på frågor före och efter aktivitet avseende fysisk och mental beredskap, allmänt välbefinnande etc.), Användningsdata, Annan information som användaren matar in (t.ex. frivilliga fritextsvar på frågor). |
| Särskilda kategorier | Välbefinnandedata kan innefatta personuppgifter som utgör ”uppgifter om hälsa” (artikel 4.15 GDPR). |
| Kategorier av registrerade | Användare som är spelare i de lag som hanteras av Personuppgiftsansvarig; Föräldrar eller vårdnadshavare till spelare; Administratörer utsedda av Personuppgiftsansvarig (t.ex. tränare). |
| Behandlingsaktiviteter | Behandlingen omfattar, i den utsträckning det är lämpligt och relevant för tjänsterna enligt Huvudavtalet, samtliga aktiviteter som omfattas av definitionen av begreppet ”behandling” enligt tillämplig dataskyddslagstiftning. |
BILAGA 2
FÖRHANDSGODKÄNDA UNDERBITRÄDEN
| Företagsnamn | Plats | Beskrivning av behandlingen |
|---|---|---|
| Supabase, Inc. | Frankfurt, Tyskland (EU) | Molndatabas- och backendinfrastrukturleverantör som används för säker lagring, behandling och hantering av applikationsdata. |
| Resend, Inc. | Förenta staterna | E-postleveranstjänst som används för att skicka transaktionsmeddelanden, notifikationer och systemkommunikation till användare. |
| Anthropic, PBC | Förenta staterna | AI-tjänsteleverantör som används för att generera insikter, sammanfattningar och rekommendationer baserat på användartillhandahållen data inom plattformen. |
| PostHog, Inc. | Frankfurt, Tyskland (EU) | Produktanalys- och händelsespårningsplattform som används för att samla in och analysera användarinteraktioner inom applikationen för att förbättra funktionalitet, prestanda och användarupplevelse. |