Version 1.1 – gäller från 2026-06-22
Detta avtal gäller från och med Kundens elektroniska accept vid kontoskapande eller beställning.
Innehåll
- A. Användarvillkor / Slutanvändaravtal (EULA)
- B. Personuppgiftsbiträdesavtal enligt artikel 28.3 GDPR
- Bilaga 1. Instruktion för behandling av personuppgifter
- Bilaga 2. Godkända underbiträden
A. Användarvillkor / Slutanvändaravtal (EULA)
1. Parter och avtalets ingående
Dessa användarvillkor gäller för användning av den webbaserade SaaS-tjänsten Webbstatistik som tillhandahålls av MRC Collective AB, org.nr 559094-1406, Sverige (”MRC”, ”vi”, ”oss” eller ”Leverantören”).
”Kunden” avser den juridiska eller fysiska person som skapar konto, beställer abonnemang eller annars ingår avtal om Webbstatistik. Den person som accepterar villkoren intygar att han eller hon är behörig att företräda Kunden.
Avtalet ingås när Kunden accepterar villkoren elektroniskt vid kontoskapande, beställning eller annan aktivering av tjänsten, eller när parterna på annat sätt skriftligen har avtalat om användning av Webbstatistik.
Dessa användarvillkor utgör Huvudavtal. Personuppgiftsbiträdesavtalet i del B med bilagor utgör en integrerad del av Huvudavtalet när MRC behandlar personuppgifter för Kundens räkning.
2. Definitioner
- Tjänsten: Webbstatistik och tillhörande webbplats, konto, administrationsgränssnitt, script, API:er, dokumentation, support och relaterade funktioner.
- Kunddata: data, konfiguration, statistik och annat innehåll som Kunden eller Kundens webbplats skickar till eller genererar i Tjänsten.
- Slutanvändare: personer som Kunden ger åtkomst till Tjänsten.
- Personuppgifter, Personuppgiftsansvarig, Personuppgiftsbiträde och Behandling har den innebörd som anges i dataskyddsförordningen och i del B.
3. Tillhandahållande av Tjänsten
MRC tillhandahåller Webbstatistik som en webbaserad statistiktjänst för uppföljning av trafik och användning av Kundens webbplats eller webbplatser.
Kunden får en icke-exklusiv, icke-överlåtbar och tidsbegränsad rätt att använda Tjänsten under avtalstiden och inom ramen för valt abonnemang eller annan överenskommen användning.
MRC får utveckla, ändra, förbättra, lägga till eller ta bort funktioner i Tjänsten, förutsatt att ändringen inte väsentligen försämrar Tjänstens grundläggande funktion under pågående avtalstid.
4. Kundens ansvar och tillåten användning
Kunden ansvarar för sin användning av Tjänsten, för sina Slutanvändare, för innehåll och konfigurationer som Kunden tillför Tjänsten samt för att användningen sker enligt lag och dessa villkor.
Kunden ansvarar särskilt för att ha laglig grund och lämna korrekt information till besökare på Kundens webbplats, inklusive eventuell information och samtycke enligt regler om cookies, lokal lagring eller liknande teknik.
Kunden får inte använda Tjänsten för olaglig verksamhet, intrång, störningar, säkerhetstestning utan skriftligt medgivande, massinsamling av känsliga uppgifter eller på annat sätt som kan skada MRC, Tjänsten eller andra kunder.
Kunden ska undvika att skicka känsliga, skyddsvärda eller onödiga personuppgifter i URL:er, sidtitlar, query-parametrar, egna events eller annan data som kan ingå i statistiken.
5. Konto, behörighet och säkerhet
Kunden ansvarar för att skydda inloggningsuppgifter, begränsa åtkomst till behöriga personer och omedelbart meddela MRC vid misstänkt obehörig åtkomst eller missbruk.
MRC får tillfälligt begränsa eller stänga av åtkomst till Tjänsten om det krävs för säkerhet, drift, missbruksförebyggande åtgärder, utebliven betalning eller om Kunden väsentligen bryter mot avtalet.
6. Avgifter och betalning
Avgifter, abonnemangsperioder, betalningsvillkor och eventuella begränsningar framgår av prislista, order, abonnemangsvy eller separat överenskommelse.
Om inte annat anges är priser exklusive mervärdesskatt för juridiska personer. Betalda avgifter återbetalas inte vid uppsägning eller utebliven användning, om inte annat följer av tvingande lag eller separat överenskommelse.
7. Tillgänglighet, drift och support
MRC ska sträva efter att tillhandahålla Tjänsten med god tillgänglighet och säkerhet. Tillfälliga avbrott kan förekomma på grund av underhåll, uppdateringar, driftstörningar, säkerhetsåtgärder eller omständigheter utanför MRC:s kontroll.
Support lämnas enligt de kontaktvägar och servicenivåer som anges på webbplatsen, i abonnemanget eller i separat avtal.
8. Immateriella rättigheter
MRC och dess licensgivare behåller samtliga immateriella rättigheter till Tjänsten, programvara, design, varumärken, dokumentation och annat material som tillhandahålls av MRC.
Kunden behåller sina rättigheter till Kunddata. MRC får behandla Kunddata i den utsträckning som krävs för att tillhandahålla, säkra, felsöka, administrera och underhålla Tjänsten. Utveckling av Tjänsten sker i första hand med avidentifierade, aggregerade eller tekniska uppgifter och enligt personuppgiftsbiträdesavtalet när Kunddata innehåller personuppgifter som behandlas för Kundens räkning.
9. Personuppgifter och dataskydd
För personuppgifter som MRC behandlar för Kundens räkning gäller personuppgiftsbiträdesavtalet i del B.
MRC är självständigt personuppgiftsansvarig för vissa egna behandlingar, exempelvis kundrelation, konto- och avtalsadministration, fakturering, support, säkerhet och kommunikation. Sådan behandling beskrivs i MRC:s integritetspolicy eller annan dataskyddsinformation.
10. Sekretess
Parterna ska skydda konfidentiell information som mottas inom ramen för avtalet och endast använda sådan information för att fullgöra avtalet. Kunddata, kontouppgifter, säkerhetsinformation och icke-offentlig teknisk information ska betraktas som konfidentiell information.
11. Ansvarsbegränsning
MRC ansvarar inte för indirekt skada, utebliven vinst, förlust av data, produktionsbortfall eller följdskada, om inte annat följer av tvingande lag.
MRC:s sammanlagda ansvar enligt Huvudavtalet är begränsat till direkt skada och till det belopp Kunden betalat för Tjänsten under de tolv (12) månader som föregår den händelse som ligger till grund för kravet. Begränsningen gäller inte i den mån tvingande lag anger annat.
Ansvar för skada i samband med behandling av personuppgifter regleras särskilt i del B och enligt tillämplig dataskyddslagstiftning.
12. Avtalstid och uppsägning
Huvudavtalet gäller från Kundens elektroniska accept, beställning eller annan avtalad starttidpunkt och så länge Kunden har ett aktivt konto, abonnemang eller annan rätt att använda Tjänsten.
Kunden kan säga upp Tjänsten enligt de villkor som gäller för abonnemanget eller ordern. MRC får säga upp eller avsluta Tjänsten vid väsentligt avtalsbrott, utebliven betalning, säkerhetsrisk, missbruk eller om MRC upphör att tillhandahålla Tjänsten.
Personuppgiftsbiträdesavtalet gäller under den tid Kunden använder Webbstatistik och MRC behandlar personuppgifter för Kundens räkning, och upphör därefter enligt reglerna i del B.
13. Ändringar av villkoren
MRC får uppdatera dessa villkor. Väsentliga ändringar ska meddelas Kunden på lämpligt sätt, exempelvis via Tjänsten, e-post eller publicering på webbplatsen, med skälig framförhållning. Fortsatt användning efter att ändrade villkor börjat gälla innebär att Kunden accepterar de ändrade villkoren.
Ändringar som avser personuppgiftsbiträdesavtalet ska hanteras enligt del B, särskilt avsnitt 12, 16 och 18.
14. Lagval och tvist
Avtalet ska tolkas och tillämpas enligt svensk rätt, med undantag för svenska lagvalsregler. Tvist ska avgöras av behörig svensk domstol.
B. Personuppgiftsbiträdesavtal
Avtal enligt artikel 28.3 i Allmänna dataskyddsförordningen EU 2016/679. Detta personuppgiftsbiträdesavtal är en integrerad del av Huvudavtalet för Webbstatistik och accepteras elektroniskt tillsammans med Huvudavtalet, om inte parterna avtalar om separat undertecknande.
1. Parter, parternas ställning, kontaktuppgifter och kontaktpersoner
| Personuppgiftsansvarig Kunden enligt Huvudavtalet för Webbstatistik | Personuppgiftsbiträde MRC Collective AB |
|---|---|
| Organisationsnummer | Organisationsnummer |
| Enligt kunduppgifter i konto, order eller separat avtal. | 559094-1406 |
| Postadress | Postadress |
| Enligt kunduppgifter i konto, order eller separat avtal. | Fjällvindsvägen 28 433 49 Partille Sverige |
| Kontaktperson för administration av detta personuppgiftsbiträdesavtal | Kontaktperson för administration av detta personuppgiftsbiträdesavtal |
| Enligt kundens angivna kontaktperson i konto, order eller separat avtal. | MRC Collective AB Kontakt enligt webbplatsen eller separat avtal. |
| Kontaktperson för parternas samarbete om dataskydd | Kontaktperson för parternas samarbete om dataskydd |
| Enligt kundens angivna kontaktperson i konto, order eller separat avtal. | MRC Collective AB Kontakt enligt webbplatsen eller separat avtal. |
2. Definitioner
Utöver de begrepp som definieras i löptext ska dessa definitioner, oavsett om de används i plural eller singular, i bestämd eller obestämd form, ha nedanstående innebörd när de anges med versal som begynnelsebokstav.
| Begrepp | Definition |
|---|---|
| Behandling | En åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. |
| Dataskyddslagstiftning | All integritets- och personuppgiftslagstiftning samt annan lagstiftning, förordningar och föreskrifter som är tillämpliga på den Behandling som sker enligt detta PUB-avtal, inklusive nationell lagstiftning och EU-lagstiftning. |
| Personuppgiftsansvarig | Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamål och medlen för Behandlingen av Personuppgifter. |
| Instruktion | De skriftliga instruktioner som närmare anger föremål, varaktighet, art och ändamål, typ av Personuppgifter samt kategorier av Registrerade och särskilda behov som omfattas av Behandlingen. Huvudavtalet, detta PUB-avtal och Bilaga 1 utgör Kundens dokumenterade Instruktioner. |
| Logg | Resultatet av Loggning. |
| Loggning | Ett kontinuerligt insamlande av uppgifter om den Behandling av Personuppgifter som utförs enligt detta PUB-avtal och som kan knytas till en enskild fysisk person. |
| Personuppgiftsbiträde | Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som Behandlar Personuppgifter för den Personuppgiftsansvariges räkning. |
| Personuppgift | Varje upplysning som avser en identifierad eller identifierbar fysisk person, inklusive onlineidentifierare såsom IP-adress eller liknande identifierare när dessa kan hänföras till en fysisk person. |
| Personuppgiftsincident | En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt Behandlats. |
| Registrerad | Fysisk person vars Personuppgifter Behandlas. |
| Tredje land | En stat som inte ingår i Europeiska unionen (EU) eller inte är ansluten till Europeiska ekonomiska samarbetsområdet (EES). |
| Underbiträde | Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som i egenskap av underleverantör till Personuppgiftsbiträdet Behandlar Personuppgifter för Personuppgiftsansvariges räkning. |
3. Bakgrund och syfte
Med detta Personuppgiftsbiträdesavtal jämte Instruktioner och förteckning över Underbiträden (gemensamt ”PUB-avtalet”) reglerar den Personuppgiftsansvarige Personuppgiftsbiträdets Behandling av Personuppgifter åt den Personuppgiftsansvarige. PUB-avtalets syfte är att säkerställa den Registrerades fri- och rättigheter vid Behandlingen, i enlighet med artikel 28.3 i Dataskyddsförordningen.
När PUB-avtalet utgör ett av flera avtalsdokument inom ramen för användarvillkor, abonnemang, orderbekräftelse eller annat avtal avseende Webbstatistik benämns det andra avtalet ”Huvudavtalet”.
För det fall något av det som stadgas i avsnitt 1, punkt 3.2, avsnitt 15 eller 16, punkt 17.6, avsnitt 18–20 eller 22 i PUB-avtalet regleras på annat sätt i Huvudavtalet, ska Huvudavtalets reglering ha företräde. I frågor som särskilt gäller Behandling av Personuppgifter för den Personuppgiftsansvariges räkning ska PUB-avtalet ha företräde vid motstridighet.
Hänvisningar i PUB-avtalet till nationell eller unionsrättslig lagstiftning avser vid var tid tillämpliga bestämmelser.
4. Behandling av Personuppgifter och specifikation
Den Personuppgiftsansvarige utser härmed Personuppgiftsbiträdet att utföra Behandlingen för den Personuppgiftsansvariges räkning enligt vad som stadgas i detta PUB-avtal.
Den Personuppgiftsansvarige ska ge skriftliga Instruktioner till Personuppgiftsbiträdet om hur det ska utföra Behandlingen.
Personuppgiftsbiträdet får endast utföra Behandlingen i enlighet med PUB-avtalet och vid var tid gällande Instruktioner.
5. Den Personuppgiftsansvariges ansvar
Den Personuppgiftsansvarige ansvarar för att det vid var tid finns laglig grund för Behandlingen och för att utforma korrekta Instruktioner med hänsyn till Behandlingens art så att Personuppgiftsbiträdet och eventuellt Underbiträde kan fullgöra sina uppdrag enligt PUB-avtalet och Huvudavtalet.
Den Personuppgiftsansvarige ska utan onödigt dröjsmål informera Personuppgiftsbiträdet om förändringar i Behandlingen vilka påverkar Personuppgiftsbiträdets skyldigheter enligt Dataskyddslagstiftningen.
Den Personuppgiftsansvarige ansvarar för att informera Registrerade om Behandlingen och för att tillvarata Registrerades rättigheter enligt Dataskyddslagstiftningen samt vidta varje annan åtgärd som åligger den Personuppgiftsansvarige enligt Dataskyddslagstiftningen.
6. Personuppgiftsbiträdets åtaganden
Personuppgiftsbiträdet förbinder sig att endast utföra Behandlingen i enlighet med PUB-avtalet och för de specifika ändamål som anges i Instruktioner samt att följa Dataskyddslagstiftningen. Personuppgiftsbiträdet förbinder sig även att fortlöpande hålla sig informerad om gällande rätt på området.
Personuppgiftsbiträdet ska vidta åtgärder för att skydda Personuppgifterna mot alla slag av Behandlingar som inte är förenliga med PUB-avtalet, Instruktioner och Dataskyddslagstiftningen.
Personuppgiftsbiträdet åtar sig att säkerställa att samtliga fysiska personer som arbetar under dess ledning följer PUB-avtalet och Instruktioner samt att de fysiska personerna informeras om relevant lagstiftning.
Personuppgiftsbiträdet ska på begäran från den Personuppgiftsansvarige bistå denne med att säkerställa att skyldigheterna enligt artikel 32–36 i Dataskyddsförordningen fullgörs och svara på begäran om utövande av den Registrerades rättigheter i enlighet med Dataskyddsförordningen, kap. III, med beaktande av typen av Behandling och den information som Personuppgiftsbiträdet har att tillgå.
För det fall Personuppgiftsbiträdet finner att Instruktioner är otydliga, i strid med Dataskyddslagstiftningen eller saknas och Personuppgiftsbiträdet bedömer att nya eller kompletterande Instruktioner är nödvändiga för att genomföra sina åtaganden ska Personuppgiftsbiträdet utan dröjsmål informera den Personuppgiftsansvarige och invänta nya Instruktioner, om inte parterna kommer överens om annat.
För det fall den Personuppgiftsansvarige förser Personuppgiftsbiträdet med nya eller ändrade Instruktioner ska Personuppgiftsbiträdet, utan onödigt dröjsmål från mottagandet, meddela den Personuppgiftsansvarige huruvida genomförandet av de nya Instruktionerna föranleder förändrade kostnader.
7. Säkerhetsåtgärder
Personuppgiftsbiträdet ska vidta alla lämpliga tekniska och organisatoriska säkerhetsåtgärder som krävs enligt Dataskyddslagstiftningen för att förhindra Personuppgiftsincidenter, genom att säkerställa att Behandlingen uppfyller kraven i Dataskyddsförordningen och att den Registrerades rättigheter skyddas.
Personuppgiftsbiträdet ska fortlöpande säkerställa att den tekniska och organisatoriska säkerheten i samband med Behandlingen medför en lämplig nivå av konfidentialitet, integritet, tillgänglighet och motståndskraft.
Eventuella tillkommande eller ändrade krav på skyddsåtgärder från den Personuppgiftsansvarige, efter parternas ingående av PUB-avtalet, ska betraktas som nya Instruktioner enligt PUB-avtalet.
Personuppgiftsbiträdet ska genom behörighetskontrollsystem endast ge åtkomst till Personuppgifterna för sådana fysiska personer som arbetar under Personuppgiftsbiträdets ledning och som behöver åtkomsten för att kunna utföra sina arbetsuppgifter.
Personuppgiftsbiträdet åtar sig att Logga åtkomst till Personuppgifterna enligt PUB-avtalet i den utsträckning det krävs enligt Instruktionen. Loggar ska omfattas av erforderliga skyddsåtgärder och får inte sparas längre än nödvändigt för ändamålet eller enligt vad som framgår av Instruktionen.
Personuppgiftsbiträdet ska systematiskt testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa Behandlingens säkerhet.
8. Sekretess/tystnadsplikt
Personuppgiftsbiträdet och samtliga fysiska personer som arbetar under dess ledning ska vid Behandlingen iaktta såväl sekretess som tystnadsplikt. Personuppgifterna får inte nyttjas eller spridas för andra ändamål, varken direkt eller indirekt, såvida inte annat avtalats.
Personuppgiftsbiträdet ska tillse att samtliga fysiska personer som arbetar under dess ledning, vilka deltar i Behandlingen, är bundna av sekretessförbindelse avseende Behandlingen. Detta krävs dock inte om dessa redan omfattas av en straffsanktionerad tystnadsplikt som följer av lag. Personuppgiftsbiträdet ska även tillse att det finns sekretessavtal med Underbiträden i relevant omfattning.
Personuppgiftsbiträdet ska skyndsamt underrätta den Personuppgiftsansvarige om eventuella kontakter med tillsynsmyndighet avseende Behandlingen. Personuppgiftsbiträdet har inte rätt att företräda den Personuppgiftsansvarige eller agera för den Personuppgiftsansvariges räkning gentemot tillsynsmyndigheter i frågor avseende Behandlingen.
Om den Registrerade, tillsynsmyndighet eller tredje man begär information från Personuppgiftsbiträdet vilken rör Behandlingen, ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om saken. Information om Behandlingen får inte lämnas utan skriftligt medgivande från den Personuppgiftsansvarige, såvida det inte framgår av tvingande lag att information ska lämnas.
9. Granskning, tillsyn och revision
Personuppgiftsbiträdet ska utan onödigt dröjsmål, som en del av sina garantier enligt artikel 28.1 i Dataskyddsförordningen, på den Personuppgiftsansvariges begäran kunna redovisa vilka tekniska och organisatoriska säkerhetsåtgärder som används för att Behandlingen ska uppfylla kraven enligt PUB-avtalet och artikel 28.3 h i Dataskyddsförordningen.
Personuppgiftsbiträdet ska minst en (1) gång om året granska säkerheten avseende Behandlingen genom egenkontroll för att säkerställa att Behandlingen följer PUB-avtalet. Resultatet av sådan egenkontroll ska på begäran delges den Personuppgiftsansvarige i sammanfattad form.
Den Personuppgiftsansvarige äger rätt att, själv eller genom annan av denne utsedd tredje part som inte får vara konkurrent till Personuppgiftsbiträdet, följa upp att Personuppgiftsbiträdet uppfyller PUB-avtalets, Instruktionernas och Dataskyddslagstiftningens krav. Granskning ska ske med skälig framförhållning, under sekretess och på ett sätt som inte oskäligt stör Personuppgiftsbiträdets verksamhet eller andra kunders information.
Personuppgiftsbiträdet äger alternativt rätt att erbjuda andra tillvägagångssätt för granskning av Behandlingen, exempelvis skriftlig dokumentation, egenkontroll, säkerhetsbeskrivning eller granskning genomförd av oberoende tredje part.
Personuppgiftsbiträdet ska bereda tillsynsmyndighet, eller annan myndighet som har laglig rätt till det, möjlighet att göra tillsyn enligt myndighetens begäran i enlighet med vid var tid gällande lagstiftning.
Personuppgiftsbiträdet ska tillförsäkra den Personuppgiftsansvarige rättigheter gentemot Underbiträden vilka motsvarar den Personuppgiftsansvariges rättigheter gentemot Personuppgiftsbiträdet enligt detta avsnitt i relevant omfattning.
10. Hantering av rättelser och radering m.m.
För det fall den Personuppgiftsansvarige begär rättelse eller radering på grund av Personuppgiftsbiträdets felaktiga Behandling ska Personuppgiftsbiträdet vidta lämplig åtgärd utan onödigt dröjsmål, senast inom trettio (30) dagar från det att Personuppgiftsbiträdet mottagit erforderlig information från den Personuppgiftsansvarige.
Om tekniska och organisatoriska åtgärder, till exempel uppgraderingar eller felsökningar, vidtas av Personuppgiftsbiträdet i Behandlingen och kan påverka Behandlingen ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige enligt avsnitt 18 när sådan information är relevant och praktiskt möjlig.
11. Personuppgiftsincidenter
Personuppgiftsbiträdet ska ha förmåga att återställa tillgängligheten och tillgången till Personuppgifterna i rimlig tid vid en fysisk eller teknisk incident enligt artikel 32.1 c i Dataskyddsförordningen.
Personuppgiftsbiträdet åtar sig att, med beaktande av Behandlingens art och den information Personuppgiftsbiträdet har att tillgå, bistå den Personuppgiftsansvarige med att fullgöra dennes skyldigheter vid en Personuppgiftsincident beträffande Behandlingen.
Vid Personuppgiftsincident som Personuppgiftsbiträdet fått vetskap om ska Personuppgiftsbiträdet utan onödigt dröjsmål skriftligen underrätta den Personuppgiftsansvarige. Underrättelsen ska lämnas till den kontaktperson eller e-postadress som Kunden angett i konto, order eller separat avtal.
Beskrivningen ska, i den mån informationen finns tillgänglig, redogöra för Personuppgiftsincidentens art, berörda kategorier och ungefärligt antal Registrerade och personuppgiftsposter, sannolika konsekvenser samt vidtagna eller föreslagna åtgärder.
Om det inte är möjligt att tillhandahålla hela beskrivningen samtidigt får beskrivningen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.
12. Underbiträde
Personuppgiftsbiträdet äger rätt att anlita de Underbiträden som framgår av Bilaga 2.
Personuppgiftsbiträdet åtar sig att teckna skriftligt avtal med Underbiträden som reglerar den Behandling som Underbiträden utför å den Personuppgiftsansvariges vägnar. I fråga om dataskydd ska avtalet ålägga Underbiträdet skyldigheter som i allt väsentligt motsvarar de skyldigheter som åläggs Personuppgiftsbiträdet i detta PUB-avtal.
Personuppgiftsbiträdet ansvarar fullt ut för Underbiträdets Behandling gentemot den Personuppgiftsansvarige.
Personuppgiftsbiträdet äger rätt att anlita nya Underbiträden och ersätta befintliga Underbiträden om inte annat anges i Instruktionen.
När Personuppgiftsbiträdet avser att anlita ett nytt eller ersätta ett befintligt Underbiträde ska Personuppgiftsbiträdet säkerställa Underbiträdets kapacitet och förmåga att uppfylla sina skyldigheter enligt Dataskyddslagstiftningen samt skriftligen meddela den Personuppgiftsansvarige om Underbiträdets namn, organisationsnummer och säte där tillgängligt, vilken typ av uppgifter och kategorier av Registrerade som behandlas samt var Personuppgifterna ska behandlas.
Meddelande om nytt eller ersatt Underbiträde får lämnas via e-post, i Tjänsten eller genom uppdaterad underbiträdeslista på webbplatsen. Den Personuppgiftsansvarige äger rätt att inom trettio (30) dagar från meddelandet invända mot anlitandet på sakliga dataskyddsskäl.
Om den Personuppgiftsansvarige invänder och parterna inte kan hitta en rimlig lösning, har den Personuppgiftsansvarige rätt att säga upp berörd del av Tjänsten och PUB-avtalet att upphöra i enlighet med Huvudavtalet.
Personuppgiftsbiträdet ska vid var tid föra en korrekt och uppdaterad förteckning över de Underbiträden som anlitas för Behandling av Personuppgifter för den Personuppgiftsansvariges räkning samt göra denna förteckning tillgänglig för den Personuppgiftsansvarige.
När Personuppgiftsbiträdet slutar använda ett Underbiträde ska Personuppgiftsbiträdet säkerställa att Underbiträdet raderar eller återlämnar Personuppgifterna enligt avtalet med Underbiträdet, om inte lagring krävs enligt lag.
13. Lokalisering och överföring av Personuppgifter till Tredje land
Personuppgiftsbiträdet ska säkerställa att Personuppgifterna i Tjänstens primära drift och hosting hanteras och lagras inom Sverige/EU/EES av en fysisk eller juridisk person som är etablerad inom EU/EES, om inte PUB-avtalets parter kommer överens om något annat.
Transaktionell e-post kan innebära Behandling eller överföring av Personuppgifter till Tredje land genom godkänt Underbiträde enligt Bilaga 2. Sådan överföring får endast ske om den är förenlig med Dataskyddslagstiftningen och stöds av giltig överföringsmekanism, exempelvis EU-kommissionens standardavtalsklausuler, EU-U.S. Data Privacy Framework där tillämpligt eller annan tillåten mekanism.
Personuppgiftsbiträdet får inte i övrigt överföra Personuppgifter till Tredje land för Behandling utan stöd i PUB-avtalet, Instruktioner, Huvudavtalet eller den Personuppgiftsansvariges skriftliga godkännande.
14. Ansvar för skada i samband med Behandling
Vid ersättning för skada i samband med Behandling som, genom fastställd dom eller förlikning, ska utgå till den Registrerade på grund av överträdelse av bestämmelse i PUB-avtalet, Instruktioner eller tillämplig bestämmelse i Dataskyddslagstiftningen ska artikel 82 i Dataskyddsförordningen tillämpas.
Sanktionsavgifter enligt artikel 83 i Dataskyddsförordningen, eller 6 kap. 2 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, ska bäras av den av PUB-avtalets parter som påförts en sådan avgift.
Om endera part får kännedom om omständighet som kan leda till skada för motparten ska parten utan onödigt dröjsmål informera motparten om förhållandet och aktivt arbeta tillsammans med motparten för att förhindra och minimera sådan skada.
Oaktat vad som sägs i Huvudavtalet gäller detta PUB-avtal före andra regler om fördelning mellan parterna av krav sinsemellan såvitt avser Behandlingen, i den utsträckning det krävs enligt tvingande Dataskyddslagstiftning.
15. PUB-avtalets tecknande, avtalstid och uppsägning
PUB-avtalet gäller från den tidpunkt Kunden accepterar Huvudavtalet för Webbstatistik elektroniskt, från den tidpunkt PUB-avtalet undertecknas av båda parter eller från annan avtalad starttidpunkt.
PUB-avtalet gäller under den tid Kunden använder Webbstatistik och Personuppgiftsbiträdet Behandlar Personuppgifter för den Personuppgiftsansvariges räkning inom ramen för Tjänsten.
När Huvudavtalet upphör upphör även PUB-avtalet, dock endast efter att Personuppgiftsbiträdet har slutfört sådan radering, återlämning eller begränsad efterbehandling som krävs enligt avsnitt 17, backupcykler, säkerhetsutredning, rättsligt anspråk eller tillämplig lag.
16. Ändringar och uppsägning med omedelbar verkan m.m.
Endera part äger rätt att påkalla omförhandling av PUB-avtalet om motpartens ägarförhållanden ändras väsentligt eller om tillämplig lagstiftning, eller tolkningen av den, ändras på ett för Behandlingen avgörande sätt. Påkallande av omförhandling innebär inte att PUB-avtalet upphör att gälla.
Tillägg till och ändringar i PUB-avtalet ska vara skriftliga. För webbaserade standardvillkor kan ändringar göras genom publicering av ny version och meddelande till Kunden enligt Huvudavtalet eller avsnitt 18.
När någon av parterna får kännedom om att motparten agerar i strid med PUB-avtalet eller Instruktioner ska parten utan dröjsmål meddela motparten om agerandet. Därefter äger parten rätt att med omedelbar verkan upphöra att utföra sina förpliktelser enligt PUB-avtalet till den tidpunkt motparten förklarat att agerandet upphört och förklaringen accepterats av den part som påtalat agerandet.
Om den Personuppgiftsansvarige invänder mot Personuppgiftsbiträdets anlitande av ett nytt Underbiträde enligt avsnitt 12 och parterna inte kan hitta en rimlig lösning, har den Personuppgiftsansvarige rätt att säga upp berörd del av Tjänsten enligt Huvudavtalet.
17. Åtgärder vid PUB-avtalets upphörande
Efter upphörande av PUB-avtalet ska Personuppgiftsbiträdet utan onödigt dröjsmål, enligt den Personuppgiftsansvariges val, radera eller återlämna Personuppgifter som behandlats för den Personuppgiftsansvariges räkning, om inte fortsatt lagring krävs enligt lag, säkerhetsutredning, rättsligt anspråk eller ordinarie backupcykel.
I samband med återlämning ska Personuppgiftsbiträdet även radera befintliga kopior av Personuppgifter och tillhörande information, med undantag för sådan fortsatt lagring som anges ovan.
Om Personuppgifter återlämnas ska det ske i ett allmänt använt och standardiserat format, om parterna inte har kommit överens om något annat format.
Till dess att uppgifterna raderas eller återlämnas ska Personuppgiftsbiträdet säkerställa efterlevnaden av PUB-avtalet.
Återlämning eller radering ska vara utförd senast trettio (30) kalenderdagar från tidpunkten för uppsägningen av PUB-avtalet, om inte annat anges i Instruktionen, Huvudavtalet, backupcykler eller tillämplig lag.
Bestämmelser om sekretess/tystnadsplikt i avsnitt 8 ska fortsätta gälla även om PUB-avtalet i övrigt upphör att gälla.
18. Meddelanden inom ramen för detta PUB-avtal och Instruktioner
Meddelanden om PUB-avtalet och dess administration inklusive uppsägning ska skickas via e-post, i Tjänsten eller på något annat av parterna överenskommet sätt till respektive parts kontaktperson.
Meddelanden om parternas samarbete om dataskydd gällande Behandlingen ska skickas via e-post, i Tjänsten eller på annat överenskommet sätt till respektive parts kontaktperson för dataskydd.
Ett meddelande ska anses ha kommit fram till mottagaren senast en (1) arbetsdag efter att meddelandet skickats via e-post till angiven kontaktadress eller gjorts tillgängligt i Tjänsten.
19. Kontaktpersoner
Parterna ska utse var sin kontaktperson för PUB-avtalet.
Parterna ska utse var sin kontaktperson för parternas samarbete om dataskydd. För Kunden används de uppgifter som anges i konto, order eller separat avtal. För MRC används de kontaktuppgifter som anges på webbplatsen, i konto eller i separat avtal.
20. Ansvar för uppgifter om parterna och kontaktpersoner samt kontaktuppgifter
Varje part ansvarar för att de uppgifter som anges i avsnitt 1, konto, order eller separat avtal alltid är aktuella och korrekta.
Ändring av uppgifter ska meddelas motparten enligt avsnitt 18.
21. Lagval och tvister
Vid tolkning och tillämpning av PUB-avtalet gäller svensk rätt med undantag för lagvalsreglerna. Tvister med anledning av PUB-avtalet ska avgöras av behörig svensk domstol.
22. Godkännande och undertecknande
Detta PUB-avtal ingås genom elektronisk accept i samband med registrering, beställning eller användning av Webbstatistik, genom hänvisning i Huvudavtalet eller genom separat elektroniskt eller pappersbaserat undertecknande.
Om PUB-avtalet accepteras elektroniskt eller genom hänvisning i Huvudavtalet lämnas fysisk signatursida utan avseende. Vid elektronisk accept sparar MRC bevisning om accepten, inklusive versionsnummer, datum/tid, konto, e-postadress och relevant teknisk logginformation.
För större kunder, offentliga organisationer eller särskilda upphandlingar kan parterna ingå separat undertecknat personuppgiftsbiträdesavtal. Ett sådant separat avtal gäller framför denna standardversion i den mån villkoren är oförenliga.
Bilaga 1 – Personuppgiftsansvariges Instruktion för Behandling av Personuppgifter
Utöver vad som redan framgår av PUB-avtalet ska Personuppgiftsbiträdet följa nedanstående Instruktion.
1. Ändamålet, föremålet och arten
Föremålet för Personuppgiftsbiträdets Behandling är att MRC Collective AB tillhandahåller Webbstatistik, en webbaserad statistiktjänst för den Personuppgiftsansvariges webbplats eller webbplatser.
Ändamålet med Behandlingen är att den Personuppgiftsansvarige ska kunna mäta och följa upp trafik och användning av sina webbplatser, exempelvis sidvisningar, besök, teknisk information, hänvisande sidor och ungefärlig landsgeolokalisering.
Behandlingen omfattar insamling/mottagande, registrering, strukturering, lagring, sammanställning, aggregering, analys, visning, support, felsökning, underhåll, säkerhetskopiering, loggning, radering och återställning.
Personuppgifterna får inte användas av Personuppgiftsbiträdet för egna marknadsföringsändamål, annonseringsprofilering, försäljning till tredje part eller andra ändamål som inte är förenliga med Huvudavtalet och PUB-avtalet.
2. Behandlingen omfattar följande typer av Personuppgifter
- IP-adress eller förkortad/pseudonymiserad IP-adress.
- Tidsstämpel, sidadress/URL, sidväg, hänvisande sida och tekniska uppgifter om besöket.
- User agent, webbläsare, operativsystem, enhetstyp, språk och liknande teknisk metadata.
- Ungefärlig landsgeolokalisering härledd från IP-adress utan att personuppgifter skickas till extern geolokaliseringstjänst.
- Eventuell sessions- eller besöksidentifierare om sådan funktion är aktiverad i Tjänsten.
- Kontouppgifter för Kundens administratörer och kontaktpersoner i den mån dessa behandlas inom ramen för Tjänsten, support, säkerhet eller lösenordsåterställning.
- Behandlingen är inte avsedd att omfatta särskilda kategorier av personuppgifter enligt artikel 9 GDPR, uppgifter om lagöverträdelser eller direkt identifierande elev-/barnuppgifter.
3. Behandlingen omfattar följande kategorier av Registrerade
- Besökare på den Personuppgiftsansvariges webbplats eller webbplatser.
- Den Personuppgiftsansvariges administratörer, tekniska kontaktpersoner och andra användare som får åtkomst till Webbstatistik.
- Kontaktpersoner som kommunicerar med MRC Collective AB avseende support, drift eller administration av Tjänsten.
4. Särskilda hanteringskrav vid Behandling av Personuppgifter
- Behandling får endast ske enligt PUB-avtalet, Huvudavtalet och den Personuppgiftsansvariges dokumenterade Instruktioner.
- Personuppgifter får endast behandlas för att tillhandahålla, säkra, felsöka, supportera, administrera och underhålla Webbstatistik.
- Personuppgifter ska inte säljas, lämnas ut för annans marknadsföring eller användas för annonseringsprofilering.
- Kunders statistik och kontodata ska hållas logiskt separerade.
- Åtkomst ska begränsas enligt behovsprincipen.
- Den Personuppgiftsansvarige ska undvika att skicka känsliga eller onödiga personuppgifter i sidtitlar, URL:er, query-parametrar eller annan data som kan ingå i statistiken.
- Radering, återlämning och gallring ska ske enligt PUB-avtalet, Huvudavtalet och dessa Instruktioner.
5. Tekniska och organisatoriska säkerhetsåtgärder
- Behörighet enligt behovsprincipen.
- Sekretess- och konfidentialitetskrav för personer som behandlar Personuppgifter.
- Rutiner för support, incidenthantering, leverantörsstyrning och radering.
- Skriftliga avtal med godkända Underbiträden.
- Krypterad trafik via SSL/HTTPS.
- Autentisering och lösenordshantering för administrativa funktioner.
- Roll- och behörighetsstyrning.
- Loggning och övervakning för drift, felsökning och säkerhet.
- Säkerhetskopiering och återställningsförmåga.
- Löpande uppdateringar och patchning av relevanta systemkomponenter.
- Skydd mot skadlig kod och sårbarheter i tillämpliga delar.
- Drift hos hosting-/infrastrukturleverantör med datacenter i Sverige/EU/EES och fysisk åtkomstkontroll.
6. Särskilda krav på Loggning
- Loggar får användas för drift, säkerhet, felsökning, incidentutredning och missbruksförebyggande åtgärder.
- Åtkomst till loggar ska begränsas till behörig personal hos Personuppgiftsbiträdet och relevanta Underbiträden.
- Loggar som kan hänföras till en enskild fysisk person ska skyddas mot obehörig åtkomst.
- Loggar ska inte sparas längre än nödvändigt för ändamålet och gallras enligt Tjänstens vid var tid gällande logghanteringsrutin, om inte längre lagring krävs för säkerhetsutredning, rättsligt anspråk eller tillämplig lag.
7. Lokalisering och överföring av Personuppgifter till Tredje land
- Primär drift och hosting av Webbstatistik ska ske i Sverige/EU/EES genom godkänt Underbiträde enligt Bilaga 2.
- Transaktionell e-post via Postmark kan innebära Behandling eller överföring till USA. Sådan överföring får endast ske med stöd av giltig överföringsmekanism enligt kapitel V GDPR, exempelvis EU-kommissionens standardavtalsklausuler, EU-U.S. Data Privacy Framework där tillämpligt eller annan tillämplig mekanism som framgår av Postmarks personuppgiftsbiträdesavtal.
- Personuppgifter får inte överföras till Tredje land på annat sätt utan stöd i PUB-avtalet, Instruktioner, Huvudavtalet eller den Personuppgiftsansvariges skriftliga godkännande.
8. Behandlingens varaktighet
Personuppgiftsbiträdet får behandla Personuppgifter så länge Huvudavtalet gäller och därefter endast i den utsträckning som krävs för radering, återlämning, backupcykler, säkerhetsutredning, rättsligt anspråk eller lagkrav.
Efter PUB-avtalets upphörande ska Personuppgifter raderas eller återlämnas enligt avsnitt 17 i PUB-avtalet, om inte annat framgår av Huvudavtalet eller tillämplig lag.
9. Övriga Instruktioner
- Den Personuppgiftsansvarige ansvarar för laglig grund, information till Registrerade och eventuell bedömning enligt regler om cookies och annan lokal lagring på den egna webbplatsen.
- Den Personuppgiftsansvarige ska inte använda Webbstatistik på ett sätt som medför att särskilda kategorier av personuppgifter, uppgifter om lagöverträdelser eller skyddsvärda uppgifter samlas in utan separat skriftlig instruktion och riskbedömning.
- Personuppgiftsbiträdet får uppdatera den tekniska utformningen av Tjänsten och underbiträdeslistan enligt PUB-avtalets regler, förutsatt att skyddsnivån inte väsentligen försämras och att den Personuppgiftsansvarige får möjlighet att invända mot nya Underbiträden enligt avsnitt 12.
Bilaga 2 – Lista över godkända Underbiträden
Den Personuppgiftsansvarige godkänner att Personuppgiftsbiträdet anlitar nedanstående Underbiträden för Behandling av Personuppgifter.
Underbiträde 1 – beebyte AB
| Bolag/organisation | beebyte AB |
|---|---|
| Adress och kontaktuppgifter | Box 2076, 650 02 Karlstad Besöksadress: Pumpgatan 2A, 652 21 Karlstad Org.nr: 559052-8062 |
| Lokalisering av Personuppgifter | Sverige / EU/EES |
| Typer av Personuppgifter | Webbstatistik och systemdata, t.ex. IP-adress eller förkortad/pseudonymiserad IP-adress, tidsstämplar, URL/sidväg, referrer, user agent, teknisk metadata, konto-/administratörsuppgifter, loggar och säkerhetskopior. |
| Ändamål med Behandlingen | Hosting, drift, databas-/fillagring, nätverk, säkerhetskopiering, teknisk infrastruktur och driftsrelaterad support. |
| Behandlingstid | Under Huvudavtalets löptid och därefter enligt avtalade raderings-, logg- och backupcykler. |
| Ytterligare information | Svensk hosting-/infrastrukturleverantör för primär drift av Tjänsten. |
Underbiträde 2 – Postmark / AC PM LLC
| Bolag/organisation | Postmark / AC PM LLC |
|---|---|
| Adress och kontaktuppgifter | Kontakt enligt Postmarks vid var tid gällande villkor, DPA och dataskyddsinformation. |
| Lokalisering av Personuppgifter | USA och de platser som framgår av Postmarks vid var tid gällande underbiträdes- och dataskyddsinformation. |
| Typer av Personuppgifter | E-postadress, mottagar-/avsändaruppgifter, metadata och innehåll i transaktionella systemmeddelanden, t.ex. kontoaktivering, lösenordsåterställning, säkerhetskod och driftsmeddelanden. |
| Ändamål med Behandlingen | Transaktionell e-post för konto, säkerhet, lösenordsåterställning och systemmeddelanden. |
| Behandlingstid | Under Huvudavtalets löptid. Radering och lagring sker enligt Postmarks vid var tid gällande DPA och retentionvillkor. |
| Ytterligare information | Överföring till USA får endast ske med stöd av giltig överföringsmekanism, t.ex. SCC, EU-U.S. Data Privacy Framework där tillämpligt eller annan tillåten mekanism. |