LEPAYA –Personuppgiftsbiträdesavtal

Senast uppdaterad: december 2020

Välkommen till Lepaya (”Lepaya”, ”LTD Group BV”, ”LTD NL BV” eller ”LTD NL” eller något av dess helägda dotterbolag). Lepaya erbjuder programvara och tjänster för inlärning till sina kunders anställda, och verktyg för att mäta deras framsteg. Som beskrivs i vår integritetspolicy (https://lepaya.com/en/privacy/) gör Lepaya detta i egenskap av Personuppgiftsbiträde, enligt definition i GDPR (“Personuppgiftsbiträde”), där kunden är Personuppgiftsansvarig (“Personuppgiftsansvarig”). Detta Personuppgiftsbiträdesavtal (“PUB-avtal”) ska tillämpas på de avtal som Lepaya har med sina kunder, såvida inte ett särskilt PUB-avtal har ingåtts, eller specifika undantag eller tillägg till detta PUB-avtal har överenskommits skriftligen mellan Lepaya och en kund.

I detta avtal avser “Personuppgiftsbehandling” alla åtgärder eller samlade åtgärder som rör personuppgifter, inklusive men inte begränsat till insamling, registrering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring av Personuppgifter i samband med Personuppgiftsansvariges uppdrag till Lepaya, att göra dennes applikation (“App”) tillgänglig för digitalisering av lärandeprocessen för den Personuppgiftsansvariges anställda.

I detta avtal avser ”Personuppgifter” information såsom: förnamn, efternamn, e-postadress, jobbtitel, Enhets-ID, testresultat, telefonnummer.

1. Uppdraget

Den Personuppgiftsansvarige har anlitat Lepaya för att förstärka sitt utbildningsutbud. Detta medför att personuppgiftsbehandling kommer att ske på det sätt som framgår av avtalet mellan den Personuppgiftsansvarige och Lepaya (”Tjänsteavtalet”) samt i detta PUB-avtal.

I händelse av konflikt mellan Tjänsteavtalet och detta PUB-avtal, ska innehållet i detta PUB-avtal ha företräde.

Lepaya får inte behandla Personuppgifterna på annat sätt än i enlighet med skriftliga instruktioner från den Personuppgiftsansvarige.

Lepaya ska endast behandla Personuppgifterna för de ändamål som anges i Tjänsteavtalet och detta PUB-avtal och Lepaya garanterar att det inte kommer att utnyttja, använda eller på annat sätt behandla Personuppgifterna för sina egna (kommersiella) ändamål.

Om unionens eller medlemsstaternas lagstiftning, som är tillämplig för Lepaya, kräver att behandling ska ske, ska Lepaya underrätta Personuppgiftsansvarig om den rättsliga bestämmelsen innan behandling sker, såvida inte denna lagstiftning förbjuder att sådan information lämnas av viktiga skäl för allmänhetens intresse.

  • Lepaya har rätt att uppdra åt en tredje part, inbegripet dotterbolag och underleverantörer, att utföra personuppgiftsbehandling som avses i punkt 1 Exempel på underbiträden är: Auth0 för användarautentisering, och Amazon Web Services för hosting av Lepayas plattform. Den fullständiga listan över underbiträden finns här.
  • Lepaya ska tillse att underbiträden är bundna av samma skyldigheter som följer av detta PUB-avtal. Lepaya ansvarar för underbiträdes handlingar och/eller underlåtenhet såsom för egen räkning.
  • Lepaya ska säkerställa att endast de anställda och uppdragstagare hos Lepaya som ska behandla Personuppgifterna, har tillgång till Personuppgifterna. Lepaya ska på ett lämpligt sätt instruera sina anställda och uppdragstagare och tillse att de är medvetna om det ansvar och skyldigheter som följer av detta avtal och tillämpliga lagar och förordningar.
  • Lepaya ska, på begäran av den Personuppgiftsansvarige, tillgängliggöra information som är nödvändig för att visa efterlevnad av detta PUB-avtal samt tillämpliga dataskyddslagar och förordningar.

På begäran av den Personuppgiftsansvarige ska Lepaya ge den Personuppgiftsansvarige åtkomst till Personuppgifterna och svara på frågor och förfrågningar från den Personuppgiftsansvarige avseende behandling av Personuppgifterna.

Lepaya ska också, inom två (2) veckor efter begäran från den Personuppgiftsansvarige:
a) tillhandahålla Personuppgiftsansvarig en kopia av alla Personuppgifter, eller Personuppgifter gällande en specifik person, som Lepaya har i sin besittning eller kontroll, samt en kopia av alla dokument där dessa Personuppgifter ingår och en översikt över alla system där dessa Personuppgifter finns och all annan behandling av dessa Personuppgifter som Lepaya utför, i ett format som Personuppgiftsansvarig rimligen begär;
b) radera, begränsa eller rätta Personuppgifter i enlighet med instruktioner från den Personuppgiftsansvarige; och/eller
c) registrera bristande efterlevnad av särskilda önskemål på radering, blockering eller korrigering och skälen till detta.

Lepaya ska meddela Personuppgiftsansvarig inom sjuttiotvå (72) timmar om en behörig myndighet har gjort en juridiskt bindande begäran om tillhandahållande av Personuppgifterna, såvida Lepaya inte är förhindrad att meddela Personuppgiftsansvarig om detta, till exempel i händelse av ett straffrättsligt föreläggande för att upprätthålla sekretessen inom pågående brottsutredning.

Lepaya ska meddela Personuppgiftsansvarig inom sjuttiotvå (72) timmar om Lepaya får en begäran från en registrerad, inklusive men inte begränsat till en begäran om åtkomst, rättelse, radering eller begränsning av behandlingen, dataportabilitet och/eller en invändning mot behandlingen.

Lepaya ska hjälpa Personuppgiftsansvarig att fullgöra sin skyldighet att svara på förfrågningar från den registrerade om att utöva sina rättigheter, genom lämpliga tekniska och organisatoriska åtgärder.

  • Lepaya ska informera Personuppgiftsansvarig om Lepaya vid något tillfälle inte (längre) kan uppfylla sina skyldigheter enligt detta PUB-avtal eller om Lepaya förutser att inte (längre) kunna göra det inom en snar framtid. Personuppgiftsansvarig kan sedan besluta att (i) med omedelbar verkan sluta tillhandahålla Personuppgifter till Lepaya (ii) instruera Lepaya att avbryta behandlingsaktiviteterna tills Lepaya återigen kan uppfylla sina skyldigheter enligt PUB-avtalet och/eller (iii) säga upp detta avtal med omedelbar verkan.
  • Lepaya ska iaktta strikt sekretess med avseende på Personuppgifterna och garanterar att de personer som är behöriga att behandla Personuppgifterna har åtagit sig att iaktta sekretess eller är bundna av tystnadsplikt enligt lag. Lepaya ska också se till att inte fler personer har tillgång till Personuppgifterna än nödvändigt, och att varje fysisk person som agerar under Lepayas överinseende, och har tillgång till uppgifterna, endast använder dem i enlighet med Personuppgiftsansvariges instruktioner, såvida inte den fysiska personen är skyldig enligt unionens eller medlemsstaternas lagstiftning att utföra behandlingen.

Lepaya ska meddela Personuppgiftsansvarig om, enligt Lepayas uppfattning, en instruktion från Personuppgiftsansvarig strider mot gällande lagar och/eller förordningar, inklusive men inte begränsat till tillämpliga lagar och förordningar om dataskydd, eller om en kommande ändring av tillämplig lag och bestämmelser sannolikt kommer att ha en negativ inverkan på det sätt på vilket Lepaya kommer att kunna uppfylla skyldigheter enligt detta avtal.

Lepaya ska meddela Personuppgiftsansvarig skriftligen inom fyrtioåtta (48) timmar efter att ha fått vetskap om en misstänkt eller faktisk incident kopplad till Personuppgifter (en “Personuppgiftsincident”), inklusive, men inte begränsat till, en faktisk eller misstänkt obehörig åtkomst, röjande, användning, förlust, skada eller förstöring av Personuppgifter orsakad av en nuvarande eller tidigare anställd eller uppdragstagare hos- eller representant för Lepaya, eller av någon annan person eller tredje part.

Lepaya ska erbjuda Personuppgiftsansvarig full assistans med att uppfylla de skyldigheter som åligger Personuppgiftsansvarig i detta avseende, såsom att på begäran hjälpa till med anmälan till tillsynsmyndigheten och/eller den/de registrerade.

Lepaya ska på lämpligt sätt bistå och stödja Personuppgiftsansvarig i händelse av en revision eller inspektion av en tillsynsmyndighet, om och i den mån utredningen på något sätt är relaterad till behandlingen av Personuppgifter som avses i detta PUB-avtal.

Lepaya ska vid var tid på ett lämpligt sätt vidta åtgärder för att uppfylla Personuppgiftsansvarigs skyldigheter enligt artikel 32-36 i GDPR, inklusive men inte begränsat till Personuppgiftsansvariges skyldigheter med avseende på säkerheten för behandling och utförande av konsekvensbedömningar avseende dataskydd.
2. Tillämpliga lagar och förordningar

Lepaya ska behandla Personuppgifterna i enlighet med sina skyldigheter enligt detta PUB-avtal samt i enlighet med alla tillämpliga lagar och förordningar, inklusive men inte begränsat till The Personal Data Protection Act (“PDPA”), General Data Protection Regulation (“GDPR”), och accepterar härmed alla (framtida) skyldigheter som följer av detta.

3. Säkerhet

Lepaya ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda Personuppgifterna och ska tillämpa en säkerhetsnivå som garanterar konfidentialitet för Personuppgifterna och att Personuppgifterna skyddas mot förlust, ändring, förstöring, röjande eller åtkomst, och mot alla andra former av olovlig behandling av Personuppgifterna. Med hänsyn till den senaste tekniken och kostnaderna för genomförandet kommer dessa åtgärder att garantera en adekvat säkerhetsnivå, i förhållande till de risker som är förknippade med behandlingen och typen av Personuppgifter som ska skyddas.

4. Behandling utanför EES

Utan föregående skriftligt samtycke från Personuppgiftsansvarig kommer Lepaya inte att behandla några Personuppgifter utanför Europeiska ekonomiska samarbetsområdet (EES) eller få dem behandlade.

5. Avtalstid och uppsägning

Detta avtal träder i kraft samma dag som Tjänsteavtalet mellan Lepaya och kunden börjar löpa, och förblir giltigt i ett (1) år efter uppsägning av detta avtal.

Vardera parter kan skriftligen säga upp detta avtal med iakttagande av en uppsägningstid om tre (3) månader. Den part som säger upp avtalet är inte skyldig den andra parten någon ersättning i till följd av uppsägningen, med undantag för sådana avgifter som följer av det tjänsteavtal som tecknats mellan Lepaya och kunden.

Om något av följande fall inträffar avseende en part, upphör detta avtal med omedelbar verkan och enligt lag utan att formell uppsägning krävs och utan att parterna är skyldiga varandra någon ersättning:

  • parten (bolaget) har upphört att existera eller har upplösts;
  • parten har försatts i konkurs eller har fått ett, tillfälligt eller beständigt, betalningsmoratorium;
  • parten har ansökt om eller beviljats betalningsinställelse; och/eller
  • parten har försatts under förvaltning.

6. Konsekvenser av uppsägning

Om detta avtal upphör, om Personuppgiftsansvarig begär upphörande av behandling, eller om lagringsperioden för Personuppgifterna på två (2) år har löpt ut, eller om lagringsperioden för Personuppgifterna på ett (1) år har löpt ut, ska Lepaya upphöra med behandling av Personuppgifterna med omedelbar verkan och ska, självmant, utan dröjsmål och senast inom en (1) vecka efter lagringsperioden har löpt ut, returnera alla dokument, lagringsmedia och andra informationsbärare, inklusive kopior därav, innehållande Personuppgifter, till Personuppgiftsansvarig, oavsett om innehållet i dessa informationsbärare av Personuppgiftsbiträdet, av Personuppgiftsansvarige eller tillverkas av tredje part.

I den mån Personuppgifter lagras i ett datasystem hos Lepaya eller registreras i annan form som inte rimligen kan överföras till en annan part, kommer Lepaya att förstöra dessa Personuppgifter, med förbehåll för andra instruktioner från Personuppgiftsansvarig och såvida inte Lepaya på grundval av EU-lagstiftning eller en medlemsstats lagstiftning är skyldig att lagra Personuppgifterna.

7. Tillämplig lag/behörig domstol

Detta avtal regleras av nederländsk rätt. Internationella köplagen (CISG) ska inte tillämpas på detta avtal.

Tvister som uppstår i samband med detta avtal, inklusive tvister om dess existens och giltighet, ska avgöras av behörig domstol i Amsterdam.

8. Övrigt

Detta avtal kan inte överlåtas av någon av parterna utan den andra partens på förhand inhämtade skriftliga medgivande.

Ändring av och tillägg till detta avtal ska göras skriftligen.

9. Frågor?
Om du har frågor om detta PUB-avtal, är du välkommen att kontakta oss via:

LTD NL BV (“Lepaya”)
Nieuwe Looiersdwarsstraat 9
1017 TZ, Amsterdam
Nederländerna
Handelskammarens nummer: 69556318
Momsregistreringsnummer: NL 857917171B01
E-post: info@lepaya.com