NOTIS: För att säkerställa att inga inkonsekventa eller ytterligare villkor åläggs oss utöver vad som framgår av vår standard DPA och våra mallklausuler, kan vi inte godkänna att skriva under kunders DPA:er. Som ett litet team kan vi också inte göra individuella ändringar i vår DPA eftersom vi inte har något juridiskt team anställda. Eventuella ändringar av den standard DPA skulle kräva juridisk rådgivning och mycket fram och tillbaks diskussioner som skulle vara kostnadsineffektiva för vårt team.

Detta EU- och UK-databehandlingsavtal ("Avtalet") kompletterar användarvillkoren ("Avtalet") som ingåtts mellan kunden som undertecknar detta avtal ("Kund") och Logike ("Företag"). Genom att verkställa avtalet i enlighet med avsnitt 11 härunder, ingår kunden detta avtal å sina egna vägnar och, i den mån det krävs enligt tillämpliga dataskyddslagar (definierat nedan), i namn och på uppdrag av sina dotterbolag (definierat nedan), om sådana finns. Detta avtal omfattar villkoren i avtalet, och alla villkor som inte definieras i detta avtal ska ha den innebörd som anges i avtalet.

1\. Definitioner

1.1 "Dotterbolag" betyder (i) en enhet som en part äger direkt eller indirekt femtio procent (50 %) eller mer av aktier eller annat eget kapital, (ii) en enhet som äger minst femtio procent (50 %) eller mer av aktier eller annat eget kapital i en part, eller (iii) en enhet som är under gemensam kontroll med en part genom att ha minst femtio procent (50 %) eller mer av aktier eller annat eget kapital av sådan enhet och en part som ägs av samma person, men en sådan enhet ska endast anses vara ett dotterbolag så länge ägandet existerar.

1.2 "Auktoriserad underleverantör" betyder en tredje part som har ett behov av att veta eller på annat sätt få tillgång till kundens personuppgifter för att möjliggöra att företaget uppfyller sina skyldigheter enligt detta avtal eller avtalet, och som antingen (1) är listad i bilaga B eller (2) därutöver auktoriserad enligt avsnitt 4.2 i detta avtal.

1.3 "Kundkontodata" betyder personuppgifter som rör kundens relation till företaget, inklusive namn eller kontaktinformation för individer som kunden har auktoriserat att få tillgång till kundens konto och faktureringsinformation för individer som kunden har kopplat till sitt konto. Kundkontodata inkluderar även alla data företaget kan behöva samla in för att hantera sin relation till kunden, identitetsverifiering, eller som på annat sätt krävs av tillämpliga lagar och förordningar.

1.4 "Kundens användardata" betyder data från tjänsteanvändning som samlas in och behandlas av företaget i samband med tillhandahållandet av tjänsterna, inklusive utan begränsning data som används för att identifiera källan och destinationen för en kommunikation, aktivitetsloggar och data som används för att optimera och underhålla prestandan av tjänsterna och för att utreda och förhindra systemmissbruk.

1.5 "Dataexportör" betyder kunden.

1.6 "Dataimportör" betyder företaget.

1.7 "Dataskyddslagar" betyder alla tillämpliga lagar och förordningar i någon relevant jurisdiktion som rör användning eller behandling av personuppgifter inklusive: (i) Californ Lag om konsumentens integritet ("CCPA"), (ii) allmänna dataskyddsförordningen (förordning (EU) 2016/679) ("EU GDPR" eller "GDPR"), (iii) den schweiziska federala lagen om dataskydd, (iv) EU GDPR i den del den utgör en del av lagarna i England och Wales genom avsnitt 3 i lagen om EU:s utträde (withdrawal) 2018 ("UK GDPR"); (v) UK:s dataskyddslag 2018; och (vi) reglerna för skydd av personuppgifter och elektronisk kommunikation (EC-direktiv) 2003; i varje fall, såsom uppdaterat, ändrat eller ersatt från tid till annan. Termerna "Datainsamlingsobjekt", "Personuppgifter", "Överträdelser av personuppgifter", "behandling", "behandlare," "ansvarig," och "tillsynsmyndighet" ska ha de betydelser som anges i GDPR.

1.8 "EU SCCs" betyder de standardkontraktsklausuler som har godkänts av Europeiska kommissionen i kommissionens beslut 2021/914 daterat 4 juni 2021, för överföringar av personuppgifter till länder som inte annars erkänns som att de erbjuder en adekvat nivå av skydd för personuppgifter enligt Europeiska kommissionen (som ändrats och uppdaterats från tid till annan).

1.9 "ex-EEA-överföring" betyder överföringen av personuppgifter, som behandlas i enlighet med GDPR, från dataexportören till dataimportören (eller dess lokaler) utanför det europeiska ekonomiska området ("EEA"), och sådan överföring regleras inte av ett adekvansbeslut som meddelats av Europeiska kommissionen i enlighet med relevanta bestämmelser i GDPR.

1.10 "ex-UK-överföring" betyder överföringen av personuppgifter, som behandlas i enlighet med UK GDPR och dataskyddslagen 2018, från dataexportören till dataimportören (eller dess lokaler) utanför Storbritannien ("UK"), och sådan överföring regleras inte av ett adekvansbeslut som meddelats av den relevanta statliga myndigheten i enlighet med relevanta bestämmelser i UK GDPR och dataskyddslagen 2018.

1.11 "Tjänster" ska ha den betydelse som anges i avtalet.

1.12 "Standardkontraktsklausuler" betyder EU SCCs och UK SCCs.

1.13 "UK SCCs" betyder de standardkontraktsklausuler som har godkänts av Europeiska kommissionen för överföringar av personuppgifter till länder som inte annars erkänns som att de erbjuder en adekvat nivå av skydd för personuppgifter av kommissionen, antingen (i) klausuler för ansvarig till behandlare som godkänts av Europeiska kommissionen i kommissionens beslut 2010/87/EU, daterat 5 februari 2010 (som ändrats och uppdaterats från tid till annan) ("UK Controller-to-Processor SCCs"); eller (ii) klausuler för ansvarig till ansvarig som godkänts av Europeiska kommissionen i kommissionens beslut 2004/915/EC, daterat 27 december 2004 (som ändrats och uppdaterats från tid till annan) ("UK Controller-to-Controller SCCs").

2. Parternas förhållande; Behandling av data

2.1 Parterna erkänner och godkänner att när det gäller behandlingen av personuppgifter kan kunden agera antingen som en ansvarig eller behandlare och, utom i den mån som uttryckligen anges i detta avtal eller avtalet, är företaget en behandlare. Kunden ska, i sin användning av tjänsterna, alltid behandla personuppgifter och ge instruktioner för behandlingen av personuppgifter i enlighet med dataskyddslagar. Kunden ska säkerställa att behandlingen av personuppgifter i enlighet med kundens instruktioner inte orsakar att företaget bryter mot dataskyddslagar. Kunden är ensamt ansvarig för noggrannheten, kvaliteten och lagligheten av (i) de personuppgifter som lämnats till företaget av eller på uppdrag av kunden, (ii) de medel genom vilka kunden har förvärvat sådana personuppgifter, och (iii) de instruktioner som kunden ger till företaget angående behandlingen av sådana personuppgifter. Kunden får inte tillhandahålla eller göra tillgängliga för företaget några personuppgifter i strid med avtalet eller på annat sätt olämpliga för tjänsternas natur, och ska skadeståndsansvara företaget för alla krav och förluster i samband därmed.

2.2 Företaget får inte behandla personuppgifter (i) för andra syften än de som anges i avtalet och/eller bilaga A, (ii) på ett sätt som är oförenligt med villkoren i detta avtal eller andra dokumenterade instruktioner som lämnats av kunden, inklusive angående överföringar av personuppgifter till ett tredje land eller en internationell organisation, såvida det inte krävs av en tillsynsmyndighet som företaget är underkastat; i sådana fall ska företaget informera kunden om det rättsliga kravet innan behandlingen, såvida inte lagen förbjuder sådan information av viktiga allmänna intressen, eller (iii) i strid med dataskyddslagar. Kunden ger härmed företaget instruktioner att behandla personuppgifter i enlighet med det föregående och som del av all behandling som initieras av kunden i sin användning av tjänsterna. Dessa instruktioner ska alltid dokumenteras.

2.3 Ämnet, naturen, syftet och varaktigheten av denna behandling, samt typerna av personuppgifter som samlas in och kategorier av datainsamlingsobjekt, beskrivs i bilaga A till detta avtal.

2.3 Efter slutförandet av tjänsterna, efter kundens val, ska företaget återlämna eller radera kundens personuppgifter, om inte ytterligare lagring av sådana personuppgifter krävs eller auktoriseras av tillämplig lag. Om återlämnande eller destruktion är opraktiskt eller förbjudet av lag, regel eller förordning, ska företaget vidta åtgärder för att blockera sådana personuppgifter från vidare behandling (förutom i den mån som krävs för fortsatt hosting eller behandling som krävs av lag, regel eller förordning) och ska fortsatt på ett lämpligt sätt skydda de personuppgifter som finns i dess besittning, förvaring eller kontroll. Om kunden och företaget har ingått standardkontraktsklausuler enligt beskrivning i avsnitt 6 (överföringar av personuppgifter), godkänner parterna att certifikatet om radering av personuppgifter som beskrivs i klausul 12(1) i UK SCCs och klausul 8.1(d) och klausul 8.5 i EU SCCs (i förekommande fall) ska tillhandahållas av företaget till kunden först på kundens begäran.

2.4 CCPA. Utanför avseende kundkontodata och kundens användardata, erkänner och godkänner parterna att företaget är en tjänsteleverantör för syften med CCPA (i den mån det är tillämpligt) och mottar personuppgifter från kunden för att tillhandahålla tjänsterna i enlighet med avtalet, vilket utgör ett affärssyfte. Företaget får inte sälja några sådana personuppgifter. Företaget får inte behålla, använda eller avslöja några personuppgifter som tillhandahållits av kunden i enlighet med avtalet utöver vad som är nödvändigt för det specifika syftet att utföra tjänsterna för kunden i enlighet med avtalet, eller på annat sätt som anges i avtalet eller som tillåtet av CCPA. Termerna "personuppgifter," "tjänsteleverantör," "försäljning," och "sälja" definieras i avsnitt 1798.140 i CCPA. Företaget intygar att det förstår begränsningarna i detta avsnitt 2.4.

Konfidentialitet

Företaget ska säkerställa att varje person som det auktoriserar att behandla personuppgifter har kommit överens om att skydda personuppgifter i enlighet med företagets konfidentialitetsförpliktelser i avtalet. Kunden godkänner att företaget kan avslöja personuppgifter för sina rådgivare, revisorer eller andra tredje parter som rimligt krävs i samband med utförandet av dess förpliktelser enligt detta avtal, avtalet, eller tillhandahållandet av tjänster till kunden.

Auktoriserade underleverantörer

4.1 Kunden erkänner och godkänner att företaget kan (1) engagera sina dotterbolag och de auktoriserade underleverantörerna på listan (definierad nedan) för att få tillgång till och behandla personuppgifter i samband med tjänsterna och (2) från tid till annan engagera ytterligare tredje parter för syftet att tillhandahålla tjänsterna, inklusive utan begränsning behandlingen av personuppgifter. Genom detta avtal ger kunden allmän skriftlig auktorisering till företaget att engagera underleverantörer som behövs för att utföra tjänsterna.

4.2. En lista över företagets nuvarande auktoriserade underleverantörer ("Listan") kommer att göras tillgänglig för kunden (bilaga D). En sådan lista kan uppdateras av företaget från tid till annan. Kunden erkänner att vissa underleverantörer är avgörande för att tillhandahålla tjänsterna och att en invändning mot användningen av en underleverantör kan förhindra företaget från att erbjuda tjänsterna till kunden.

4.3. Om kunden rimligen invänder mot ett engagemang i enlighet med avsnitt 4.2, och företaget inte kan tillhandahålla ett kommersiellt rimligt alternativ inom en rimlig tidsperiod, kan kunden avbryta användningen av den berörda tjänsten genom att ge skriftligt meddelande till företaget. Avbrytande ska inte befria kunden från några avgifter som ska betalas till företaget enligt avtalet.

4.4. Om kunden inte invänder mot engagemanget av en tredje part i enlighet med avsnitt 4.2 inom tio (10) dagar efter ändringen av företaget, kommer den tredje parten att anses vara en auktoriserad underleverantör för syftena i detta avtal.

4.5 Företaget ska ingå ett skriftligt avtal med den auktoriserade underleverantören som ålägger den auktoriserade underleverantören dataskyddsförpliktelser som är jämförbara med de som åligger företaget enligt detta avtal avseende skyddet av personuppgifter. Om en auktoriserad underleverantör inte uppfyller sina dataskyddsförpliktelser under ett sådant skriftligt avtal med företaget, ska företaget förbli ansvarigt gentemot kunden för genomförandet av den auktoriserade underleverantörens skyldigheter under ett sådant avtal.

4.6 Om kunden och företaget har ingått standardkontraktsklausuler enligt beskrivning i avsnitt 6 (överföringar av personuppgifter), (i) ovanstående auktoriseringar kommer att utgöra kundens föregående skriftliga samtycke till underrättelse av företaget av behandlingen av personuppgifter om sådan samtycke krävs enligt de standardkontraktsklausuler, och (ii) parterna godkänner att kopior av avtalen med de auktoriserade underleverantörerna som måste tillhandahållas av företaget till kunden i enlighet med klausul 5(j) i UK SCCs eller klausul 9(c) i EU SCCs kan ha kommersiell information, eller information som inte är relaterad till standardkontraktsklausuler eller deras motsvarigheter, borttagen av företaget i förväg, och att sådana kopior endast kommer att tillhandahållas av företaget på begäran av kunden.

4.7 Företaget skall avtala en tredje part förmånstagarklausul med den auktoriserade underleverantören varigenom - i händelse av att företaget faktiskt har försvunnit, slutat existera i lag eller har blivit insolvent - kunden ska ha rätt att säga upp avtalet med den auktoriserade underleverantören och instruera den auktoriserade underleverantören att radera eller återlämna personuppgifterna.

5. Säkerhet för personuppgifter.

Med beaktande av teknikens utveckling, implementeringskostnaderna och arten, omfattningen, sammanhanget och syftena med behandlingen samt risken för varierande sannolikhet och allvar för rättigheter och friheter för fysiska personer, ska företaget upprätthålla lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för risken med behandlingen av personuppgifter. Detta inkluderar att skydda data mot en säkerhetsöverträdelse som leder till oavsiktlig eller olaglig förstörelse, förlust, förändring, obehörig avslöjande eller tillgång till data (överträdelse av personuppgifter). Vid bedömningen av den lämpliga säkerhetsnivån ska parterna ta särskild hänsyn till teknikens förhandslägen, implementeringskostnader, arten, omfattningen, sammanhanget och syftena med behandlingen och de risker som är involverade för datainsamlingsobjekten. Bilaga B uppger ytterligare information om företagets tekniska och organisatoriska säkerhetsåtgärder.

Överföringar av personuppgifter

 6.1 Parterna godkänner att företaget kan överföra personuppgifter som behandlas enligt detta avtal utanför EEA, UK eller Schweiz som nödvändigt för att tillhandahålla tjänsterna. Kunden erkänner att företagets primära bearbetningsoperationer äger rum i USA, och att överföringen av kundens personuppgifter till USA är nödvändig för tillhandahållandet av tjänsterna till kunden. Om företaget överför personuppgifter som skyddas enligt detta avtal till en jurisdiktion för vilken Europeiska kommissionen inte har utfärdat ett adekvansbeslut, ska företaget säkerställa att lämpliga skyddsåtgärder har införts för överföringen av personuppgifter i enlighet med dataskyddslagar.

6.2 Ex-EEA-överföringar. Parterna godkänner att ex-EEA-överföringar görs enligt EU SCCs, vilka anses ingå (och införlivas i detta avtal genom denna hänvisning) och fullföljas som följer:

6.2.1 Modul ett (ansvarig till ansvarig) av EU SCCs tillämpas när företaget behandlar personuppgifter som en ansvarig enligt avsnitt 9 i detta avtal.

6.2.2 Modul två (ansvarig till behandlare) av EU SCCs tillämpas när kunden är en ansvarig och företaget behandlar personuppgifter för kunden som en behandlare enligt avsnitt 2 i detta avtal.

6.2.3 Modul tre (behandlare till underleverantör) av EU SCCs tillämpas när kunden är en behandlare och företaget behandlar personuppgifter på uppdrag av kunden som en underleverantör.

6.3 För varje modul, där det är tillämpligt, gäller följande:

6.3.1 Den frivilliga dockningsklausulen i klausul 7 tillämpas inte.

6.3.2 I klausul 9, alternativ 2 (allmän skriftlig tillåtelse) tillämpas, och den minimi tidsperiod för förhandsmeddelande av underleverantörens förändringar ska vara den som anges i avsnitt 4.2 i detta avtal;

6.3.3 I klausul 11 tillämpas det frivilliga språket;

6.3.4 Alla fyrkantiga parenteser i klausul 13 tas härmed bort. De tillämpliga bestämmelserna ska vara de som motsvarar situationen för dataexportören som beskrivs i fyrkantiga parenteser;

6.3.5 I klausul 17 (alternativ 1) kommer EU SCCs att regleras av fransk lag;

6.3.6 I klausul 18(b) kommer tvister att lösas inför domstolarna i Frankrike;

6.3.7 Bilaga B till detta avtal innehåller den information som krävs i bilaga I till EU SCCs;

6.3.8 Bilaga C till detta avtal innehåller den information som krävs i bilaga II till EU SCCs; och

6.3.9 Genom att ingå i detta avtal anses parterna ha signerat EU SCCs som införlivats här, inklusive deras bilagor.

6.4 Ex-UK-överföringar. Parterna godkänner att ex-UK-överföringar görs enligt UK SCCs, som anses ingå och införlivas i detta avtal genom hänvisning, och fullföljas som följer:

6.4.1 Hänvisningar till GDPR kommer att anses vara hänvisningar till UK GDPR och UK:s dataskyddslag 2018, hänvisningar till "tillsynsmyndigheter" kommer att anses vara hänvisningar till UK:s informationskommissionär, och hänvisningar till "medlemsstater" eller EU kommer att anses vara hänvisningar till UK.

6.4.2 UK Controller-to-Processor SCCs tillämpas när företaget behandlar kundens personuppgifter som en behandlare. Den illustrativa skadeståndsklausulen tillämpas inte. I klausul 4(f) är språket "tillräckligt skydd enligt direktiv 95/46/EG" raderat och ersatt med "en nivå av dataskydd som anses vara tillräcklig enligt, eller motsvarande, tillämplig dataskyddslag." Klausul 9, tillämplig lag, ska läsa "Klausulerna ska regleras av lagarna i den medlemsstat där dataexportören är etablerad, utan att det påverkar de rättigheter och friheter som datainsamlingsobjekten kan ha enligt sina nationella dataskyddslagar." I klausul 11(3), är språket ", nämligen..." i slutet av meningen härmed raderat. Bilaga B till detta avtal fungerar som bilaga I till UK Controller-to-Processor SCCs. Bilaga C till detta avtal fungerar som bilaga II till UK Controller-to-Processor SCCs.

6.4.3 UK Controller-to-Controller SCCs tillämpas när företaget behandlar kundens personuppgifter som en ansvarig i enlighet med avsnitt 9 i detta avtal. Klausul II(h) i UK Controller-to-Controller SCCs ska anses ange att företaget kommer att behandla personuppgifter i enlighet med de databehandlingsprinciper som anges i bilaga A till UK Controller-to-Controller SCCs. Den illustrativa kommersiella klausulen tillämpas inte. Klausul IV (Gällande lag) ska läsa "Klausulerna ska regleras av lagen i den medlemsstat där dataexportören är etablerad, men utan att det påverkar de rättigheter och friheter som datainsamlingsobjekten kan ha under sina nationella dataskyddslagar." Bilaga B till detta avtal fungerar som bilaga B till UK Controller-to-Controller SCCs.

6.4.4 Parterna erkänner och godkänner att om någon av UK SCCs ersätts eller överstigs av nya standardkontraktsklausuler som utfärdats och godkänts enligt artikel 46 i UK GDPR och relaterade bestämmelser i UK:s dataskyddslag 2018 ("Nya UK SCCs"), kan dataimportören ge meddelande till dataexportören och, med verkan från det datum som anges i sådant meddelande, ska tillämpningen av UK SCCs som anges i detta avtal ändras så att UK SCCs upphör att gälla för ex-UK-överföringar, och de nya UK SCCs som anges i sådant meddelande ska gälla framöver. I den utsträckning som användningen av de nya UK SCCs kräver att parterna kompletterar ytterligare information, ska parterna rimligt och snabbt arbeta tillsammans för att komplettera sådan ytterligare information.

6.5 Överföringar från Schweiz. Parterna godkänner att överföringar från Schweiz görs i enlighet med EU SCCs med följande ändringar:

6.5.1 Termerna "Allmänna dataskyddsförordningen" eller "Förordning (EU) 2016/679" som används i EU SCCs ska tolkas på så sätt att de omfattar den federala lagen om dataskydd av den 19 juni 1992 ("FADP" och reviderad per den 25 september 2020, "Reviderad FADP") avseende datatransferer som omfattas av FADP.

6.5.2 Termerna i EU SCCs ska tolkas för att skydda data för juridiska enheter fram till den effektiva tidpunkten för den reviderade FADP.

6.5.3 Klausul 13 i EU SCCs modifieras för att ange att den federala dataskydds- och informationskommissionären ("FDPIC") i Schweiz ska ha behörighet över datatransferer som regleras av FADP och den behöriga EU-tillsynsmyndigheten ska ha behörighet över datatransferer som regleras av GDPR. Under förutsättning av det föregående, ska alla andra krav i avsnitt 13 iakttas.

6.5.4 Termen "EU-medlemsstat" som används i EU SCCs ska inte tolkas på ett sätt som utesluter datainsamlingsobjekt i Schweiz från att utöva sina rättigheter på sin ordinarie vistas plats i enlighet med klausul 18(c) i EU SCCs.

6.6 Kompletterande åtgärder. När det gäller någon ex-EEA-överföring eller ex-UK-överföring, ska följande kompletterande åtgärder tillämpas:

6.6.1 Från och med dagen för detta avtal, har dataimportören inte mottagit några formella rättsliga begärningar från några statliga underrättelse- eller säkerhetstjänster/agenter i det land till vilket personuppgifterna exporteras, för tillgång till (eller kopior av) kundens personuppgifter ("Regeringsbyråbegärningar");

6.6.2 Om, efter dagen för detta avtal, dataimportören tar emot några regeringsbyråbegärningar, ska företaget försöka omdirigera brottsbekämpande myndighet eller regeringstjänsteman att begära att data direkt från kunden. Som en del av denna insats kan företaget ge kundens grundläggande kontaktinformation till den statliga myndigheten. Om företaget tvingas avslöja kundens personuppgifter för en brottsbekämpande myndighet eller regeringstjänsteman, ska företaget ge kunden rimligt meddelande om kravet och samarbeta för att tillåta kunden att söka ett skyddande beslut eller annan lämplig åtgärd såvida inte företaget lagligt förhindras att göra det. Företaget ska inte frivilligt avslöja personuppgifter till någon brottsbekämpande myndighet eller regeringstjänsteman. Dataexportören och dataimportören ska (så snart som rimligt möjligt) diskutera och avgöra om alla eller några överföringar av personuppgifter i enlighet med detta avtal ska avbrytas med tanke på sådana regeringsbyråbegärningar; och

6.6.3 Dataexportören och dataimportören kommer att träffas vid behov för att överväga huruvida:

(i) det skydd som tillhandahålls av lagarna i landet för dataimportören till datainsamlingsobjekt vars personuppgifter överförs är tillräckligt för att ge motsvarande skydd till det som erbjuds i EEA eller UK, beroende på vad som är aktuellt;

(ii) ytterligare åtgärder är rimligt nödvändiga för att möjliggöra överföringen som är i överensstämmelse med dataskyddslagar; och

(iii) det fortfarande är lämpligt att överföra personuppgifter till den relevanta dataimportören, med beaktande av all relevant information som finns tillgänglig för parterna, tillsammans med vägledning från de tillsynsmyndigheter.

6.6.4 Om dataskyddslagar kräver att dataexportören ska underteckna standardkontraktsklausuler som gäller en särskild överföring av personuppgifter till en dataimportör såsom ett separat avtal, ska dataimportören, på begäran av dataexportören, omedelbart underteckna sådana standardkontraktsklausuler som omfattar sådana ändringar som kan krävas av dataexportören för att återspegla de aktuella bilagorna och bilagorna, detaljerna om överföringen och kraven i de relevanta dataskyddslagarna.

6.6.5 Om antingen (i) någon av de metoder som legitimerar överföringar av personuppgifter utanför EEA eller UK som anges i detta avtal upphör att gälla eller (ii) någon tillsynsmyndighet kräver att överföringar av personuppgifter enligt dessa metoder ska avbrytas, kan dataimportören genom meddelande till dataexportören, med verkan från det datum som anges i sådant meddelande, ändra eller kringgå alternativa arrangemang när det gäller sådana överföringar, såsom krävs av dataskyddslagar. 

7. Rättigheter för datainsamlingsobjekt

7.1 Företaget ska, i den utsträckning som lagen tillåter, meddela kunden vid mottagandet av en begäran från ett datainsamlingsobjekt att utöva datainsamlingsobjektets rätt att: få tillgång till, rätta, radera, datamigrera, begränsa eller stoppa behandlingen, återkalla samtycke till behandlingen, och/eller motsätta sig att bli föremål för behandling som utgör automatiserat beslutsfattande (sådana begärningar individuellt och kollektivt "Datainsamlingsobjektets begäran"). Om företaget mottar en begäran från datainsamlingsobjektet angående kundens data, kommer företaget att råda datainsamlingsobjektet att skicka sin begäran till kunden och kunden kommer att vara ansvarig för att svara på sådan begäran, inklusive, där det är nödvändigt, genom att använda funktionaliteten i tjänsterna. Kunden är ensamt ansvarig för att säkerställa att datainsamlingsobjektets begäran om radering, begränsning eller stoppande av behandlingen, eller återkallande av samtycke till behandlingen av personuppgifter kommuniceras till företaget, och, om tillämpligt, för att säkerställa att en registrering av samtycke till behandlingen upprätthålls i förhållande till varje datainsamlingsobjekt.

7.2 Företaget ska, på begäran av kunden, och med hänsyn till behandlingen som är tillämplig på varje datainsamlingsobjekts begäran, tillämpa lämpliga tekniska och organisatoriska åtgärder för att hjälpa kunden att uppfylla kundens skyldighet att svara på sådan datainsamlingsobjekts begäran och/eller att visa sådan efterlevnad, där det är möjligt, förutsatt att (i) kunden själva inte kan svara utan företagets hjälp och (ii) företaget har möjlighet att så göra i enlighet med alla tillämpliga lagar, regler och förordningar. Kunden ska vara ansvarig i den mån det är lagligen tillåtet för eventuella kostnader och utgifter som uppstår från någon sådan hjälp från företaget.

8. Åtgärder och begärningar om tillgång; Granskningar

8.1 Företaget ska, med beaktande av den behandling som sker och den information som är tillgänglig för företaget, ge kunden rimligt samarbete och hjälp när det är nödvändigt för kunden att uppfylla sina skyldigheter enligt GDPR för att genomföra en dataskyddsbedömning och/eller att visa sådan efterlevnad. Kunden ska vara ansvarig i den mån det är lagligen tillåtet för eventuella kostnader och utgifter som uppstår från någon sådan hjälp från företaget.

8.2 Företaget ska, med beaktande av den behandling som sker och den information som är tillgänglig för företaget, ge kunden rimligt samarbete och hjälp med avseende på kundens samarbete och/eller förhandskonsultation med någon tillsynsmyndighet, när det är nödvändigt och där det krävs av GDPR. Kunden ska vara ansvarig i den mån det är lagligen tillåtet för eventuella kostnader och utgifter som uppstår från någon sådan hjälp från företaget.

8.3 Företaget ska upprätthålla register tillräckliga för att visa dess efterlevnad med sina skyldigheter enligt detta avtal, och behålla sådana register under en period av fem (5) år efter att avtalet har avslutats. Kunden ska, med rimligt meddelande till företaget, ha rätt att granska, revidera och kopiera sådana register vid företagets kontor under ordinarie arbetstid.

8.4 På kundens skriftliga begäran vid rimliga intervaller, och under förutsättning av rimliga sekretesskontroller, ska företaget, antingen (i) ställa tillgängliga för kundens granskning kopior av certifikat eller rapporter som visar företagets efterlevnad med rådande datasäkerhetsstandarder som är tillämpliga för behandlingen av kundens personuppgifter, eller (ii) om tillhandahållandet av rapporter eller certifikat i enlighet med (i) inte är rimligt tillräckliga enligt dataskyddslagar, tillåta kundens oberoende tredje part att genomföra en granskning eller inspektion av företagets datasäkerhetsinfrastruktur och procedurer som är tillräckliga för att visa företagets efterlevnad med dess skyldigheter enligt dataskyddslagar, förutsatt att (a) kunden ger rimligt föregående skriftligt meddelande om någon sådan begäran för en granskning och sådan inspektion ska inte vara oskäligt störande för företagets affärsverksamhet; (b) sådan granskning ska endast utföras under arbetstid och ske högst en gång per kalenderår; och (c) sådan granskning ska begränsas till data som är relevanta för kunden. Kunden ska vara ansvarig för kostnaderna för sådana granskningar eller inspektioner, inklusive utan begränsning en återbetalning till företaget för eventuell tid som spenderas för på plats-granskningar. Om kunden och företaget har ingått standardkontraktsklausuler enligt beskrivning i avsnitt 6 (överföringar av personuppgifter), godkänner parterna att de granskningar som beskrivs i klausul 5(f) och klausul 12(2) i UK SCCs och klausul 8.9 i EU SCCs ska genomföras i enlighet med detta avsnitt 8.4.

8.5 Företaget ska omedelbart informera kunden om en instruktion, enligt företagets mening, strider mot dataskyddslagar eller tillsynsmyndighet. Parterna ska göra den information som avses i artikel 8, inklusive resultaten av någon granskning, tillgängliga för tillsynsmyndigheten på begäran.

8.6 I händelse av en överträdelse av personuppgifter, ska företaget, utan onödig fördröjning och senast 72 timmar efter att ha blivit medveten om det, informera kunden om överträdelsen av personuppgifter och vidta de åtgärder som företaget i egen diskretion anser nödvändiga och rimliga för att rätta till sådana överträdelser (i den mån åtgärden ligger inom företagets rimliga kontroll). Särskilt ska meddelandet minst:

(i) beskriva arten av överträdelsen av personuppgifter inklusive, där så är möjligt, kategorierna och ungefärligt antal berörda datainsamlingsobjekt samt kategorier och ungefärligt antal personuppgiftsregister som berörs;

(ii) kommunicera namnet och kontaktinformationen till dataskyddsansvarig eller annan kontaktpunkt där mer information kan erhållas;

(iii) beskriva de troliga konsekvenserna av överträdelsen av personuppgifter; beskriva de åtgärder som vidtagits eller föreslagits av den ansvariga för att hantera överträdelsen av personuppgifter, inklusive, där det är lämpligt, åtgärder för att mildra dess möjliga negativa effekter.

Där det är möjligt och i den utsträckning det inte går att tillhandahålla informationen samtidigt, kan informationen ges i faser utan onödig ytterligare fördröjning.

8.7 I händelse av en överträdelse av personuppgifter, ska företaget, med beaktande av den behandling som sker och den information som är tillgänglig för företaget, ge kunden rimligt samarbete och assistance som är nödvändigt för kunden att uppfylla sin skyldighet enligt GDPR att meddela (i) den relevanta tillsynsmyndigheten och (ii) de datainsamlingsobjekt som påverkats av sådan överträdelse av personuppgifter utan onödig fördröjning.

8.8 De skyldigheter som beskrivs i avsnitt 8.5 och 8.6 ska inte tillämpas i det fall en överträdelse av personuppgifter orsakas av åtgärder eller försummelse av kunden. Företagets skyldighet att rapportera eller svara på en överträdelse av personuppgifter enligt avsnitt 8.5 och 8.6 ska inte tolkas som en medgivande från företagets sida av något fel eller ansvar avseende överträdelsen av personuppgifter.

9\. Företagets roll som ansvarig

Parterna erkänner och godkänner att avseende kundkontodata och kundens användardata, är företaget en oberoende ansvarig, inte en gemensam ansvarig med kunden. Företaget kommer att behandla kundkontodata och kundens användardata som en ansvarig (i) för att hantera relationen med kunden; (ii) för att utföra företagets kärnverksamhet, såsom redovisning, revision, skatteberäkning och rapportering och efterlevnad; (iii) för att övervaka, utreda, förhindra och upptäcka bedrägeri, säkerhetsincidenter och annat missbruk av tjänsterna och för att förhindra skada för kunden; (iv) för identitetsverifieringssyften; (v) för att efterleva lagliga eller regulatoriska skyldigheter som är tillämpliga på behandlingen och lagringen av personuppgifter som företaget är underkastat; och (vi) i enlighet med tillämpliga dataskyddslagar och i enlighet med detta avtal och avtalet. Företaget kan också behandla kundens användardata som en ansvarig för att tillhandahålla, optimera och underhålla tjänsterna, i den mån det är tillåtet enligt dataskyddslagar. All behandling av företaget som en ansvarig skall ske i enlighet med företagets integritetspolicy som anges på [https://www.breakcold.com/en/privacy-policy](https://www.breakcold.com/en/privacy-policy).

10. Konflikt

Vid eventuella konflikter eller motstridigheter bland följande dokument kommer ordningen att iakttas: (1) de tillämpliga villkoren i standardkontraktsklausuler; (2) villkoren i detta avtal; (3) avtalet; och (4) företagets integritetspolicy. Eventuella krav som görs i samband med detta avtal kommer att omfattas av villkoren, inklusive, men inte begränsat till, uteslutningar och begränsningar som anges i avtalet.

11. Bristande efterlevnad av avtalet och uppsägning.

(a) Utan att det påverkar några bestämmelser i förordning (EU) 2016/679 och/eller förordning (EU) 2018/1725, i det fall företaget bryter mot sina skyldigheter enligt detta avtal, kan kunden instruera företaget att avbryta behandlingen av personuppgifter tills det att det följer detta avtal eller avtalet avslutas. Företaget ska omedelbart informera kunden om det inte kan efterleva detta avtal, oavsett anledning.

(b) Kunden har rätt att säga upp avtalet i den mån det gäller behandling av personuppgifter i enlighet med detta avtal om: (1) behandlingen av personuppgifter av företaget har avbrutits av kunden enligt punkt (a) och om efterlevnaden av detta avtal inte återställs inom en rimlig tidsperiod och i alla händelser inom en månads tid efter avbrottet; (2) företaget är i väsentlig eller bestående överträdelse av detta avtal eller sina skyldigheter enligt förordning (EU) 2016/679 och/eller förordning (EU) 2018/1725; (3) företaget underlåter att följa ett bindande beslut från en behörig domstol eller berörda tillsynsmyndigheter angående dess skyldigheter enligt detta avtal eller förordning (EU) 2016/679 och/eller förordning (EU) 2018/1725.

(c) Företaget har rätt att säga upp avtalet i den mån det gäller behandling av personuppgifter under detta avtal där, efter att ha informerat kunden om att dess instruktioner strider mot tillämpliga rättsliga krav, kunden insisterar på att efterleva instruktionerna.

(d) Efter uppsägning av avtalet ska företaget, efter kundens val, radera alla personuppgifter som behandlats på uppdrag av kunden och certifiera för kunden att detta har gjorts, eller återlämna alla personuppgifter till kunden och radera befintliga kopior om inte unionens eller medlemsstaternas lag kräver lagring av personuppgifterna. Tills data har raderats eller återlämnats, ska företaget fortsätta att säkerställa att detta avtal efterlevs.

Bilaga A

---------

Detaljer om behandlingen

Typ och syfte med behandlingen

Företaget kommer att behandla kundens personuppgifter så som är nödvändigt för att tillhandahålla tjänsterna enligt avtalet, för de syften som anges i avtalet och detta avtal, och i enlighet med kundens instruktioner som anges i detta avtal.

Behandlingens varaktighet

Företaget kommer att behandla kundens personuppgifter så länge som krävs (i) för att tillhandahålla tjänsterna till kunden under avtalet; (ii) för företagets legitima affärsbehov; eller (iii) i enlighet med tillämplig lag eller förordning. Kundkontodata och kundens användardata kommer att behandlas och lagras enligt företagets integritetspolicy.

Kategorier av datainsamlingsobjekt

Kundens anställda, konsulter, entreprenörer och/eller agenter.

Kategorier av personuppgifter

Företaget behandlar personuppgifter som ingår i kundkontodata, kundens användardata och eventuella personuppgifter som tillhandahålls av kunden eller samlas in av företaget för att tillhandahålla tjänsterna eller på annat sätt anges i avtalet eller detta avtal. Kategorier av personuppgifter inkluderar namn, e-postadress, befattning, användarnamn, företagsenhetsidentifierare (t.ex. serienummer), IP-adress för företagsenhet.

Känsliga uppgifter eller särskilda kategorier av uppgifter

Kunder förbjuds att tillhandahålla känsliga personuppgifter eller särskilda kategorier av uppgifter till företaget, inklusive data som avslöjar brottshistorik för personer.

Bilaga B

Följande inkluderar den information som krävs av bilaga I och bilaga III av EU SCCs, och bilaga 1 av UK SCCs.

1. Parterna

Dataexportör(er)

Namn: Parten till användarvillkoren med Logike eller dess dotterbolag (i tillämpliga fall).

Adress: Dataexportörens adress.

Namn, position och kontaktuppgifter för kontaktpersonen: Namnet, position och kontaktuppgifter som tillhandahållits av dataexportören.

Aktiviteter relevanta för de data som överförs enligt dessa klausuler: Som beskrivs i avsnitt 2 i avtalet.

Underskrift och datum: Genom att använda tjänsterna för att överföra personuppgifter till dataimportören kommer dataexportören att anses ha undertecknat denna bilaga B.

Roll (ansvarig/behandlare): Ansvarig

Dataimportör(er):

Namn: Logike

Adress: 128 rue de la Boétie, 75008 Paris, FRANKRIKE

E-post: contact@breakcold.com

Aktiviteter relevanta för de data som överförs enligt dessa klausuler: Som beskrivs i avsnitt 2 i avtalet.

Underskrift och datum: Dataimportören kommer att anses ha undertecknat denna bilaga B vid överföringen av personuppgifter av dataexportören i samband med tjänsterna.

Roll (ansvarig/behandlare): Behandlare

2. Beskrivning av överföringen

Datainsamlingsobjekt

Dataexportören kan skicka personuppgifter till dataimportören genom sin programvara, tjänster, system, produkter och/eller teknologier, vars omfattning bestäms och kontrolleras av dataexportören i enlighet med tillämpliga dataskyddslagar och förordningar, och som kan inkludera men inte begränsas till personuppgifter som rör följande kategorier av datainsamlingsobjekt: Dataexportörens anställda, konsulter, entreprenörer och/eller agenter.

Kategorier av personuppgifter

De personuppgifter som överförs avser följande kategorier av data: Alla personuppgifter som ingår i all data och information som skickats av dataexportören till dataimportörens programvara, tjänster, system, produkter och/eller teknologier, som kan inkludera namn, kontaktinformation och information om säkerhetsrutiner och efterlevnad.

Särskilda kategorier av personuppgifter (om tillämpligt)

Dataexportörer får inte tillhandahålla känsliga uppgifter eller särskilda kategorier till dataimportören.

Behandlingens natur

Data behandlas för att kunden ska kunna hantera sin informationssäkerhet och dataskyddsprogram och bevisa dessa program för tredje partens revision.

Syften med behandlingen

För att fullgöra varje parts skyldigheter enligt avtalet.

Varaktigheten av behandlingen och lagringen (eller kriterierna för att bestämma sådan period)

Under avtalets giltighetstid

Frekvensen av överföringen | Under avtalets giltighetstid på periodisk basis under dagen och/eller enligt kundens gottfinnande.

Mottagare av personuppgifter överförda till dataimportören

Företaget kommer att upprätthålla en lista över underleverantörer (bilaga D)

3\. Behörig tillsynsmyndighet

Tillsynsmyndigheten ska vara tillsynsmyndigheten för dataexportören, i enlighet med klausul 13.

Bilaga C

---------

Beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som har genomförts av dataimportören

Följande inkluderar den information som krävs av bilaga II i EU SCCs och bilaga 2 av UK SCCs.

Åtgärder för att säkerställa löpande konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystem och tjänster

Företagets kundavtal innehåller strikta sekretessförpliktelser. Dessutom kräver företaget att varje underleverantör ska underteckna sekretessbestämmelser som är väsentligt lika de som ingår i Segmentets kundavtal.

Åtgärder för att säkerställa möjligheten att återställa tillgängligheten och tillgången till personuppgifter på ett snabbt sätt i händelse av en fysisk eller teknisk incident

Säkerhetskopieringsdatabasen lagras i en separat infrastruktur.. |

Åtgärder för användaridentifiering och auktorisering

Företaget har infört strikta lösenordskrav och verifierar att inget av de använda lösenorden har läckt. Användare kan logga in med Google som har säkerhetsfunktioner som flermålsautentisering.

Åtgärder för skydd av data under överföring

Företaget har implementerat säkra metoder och protokoll för överföring av konfidentiell eller känslig information över offentliga nätverk. Företaget använder endast rekommenderade säkra chiffrarer och protokoll för att kryptera all trafik under överföring (dvs. TLS 1.2)

Åtgärder för att säkerställa fysisk säkerhet på platser där personuppgifter behandlas

Fysiska säkerhetsåtgärder inkluderar stängsel, säkerhetspatruller, videokameror, termografiska kameror, biometrisk autentisering, åtkomstkort, metalldetektorer, och mer.

Åtgärder för att säkerställa händelseloggning

Alla HTTP-förfrågningar loggas. Övervakning av säkerhetsloggar hanteras av ingenjörsteamet. Loggaktiviteter utreds vid behov och eskaleras på lämpligt sätt.

Åtgärder för att säkerställa systemkonfiguration, inklusive standardkonfiguration

Alla produktionsändringar automatiseras genom kontinuerlig integration och distribueringsverktyg för att säkerställa konsekventa konfigurationer.

Åtgärder för att säkerställa dataminimering

Företagets kunder avgör ensidigt vilken kundens personligt identifierbara information (PII) som de skickar genom tjänsterna. Som sådan verkar företaget på en modell av delat ansvar. Företaget ger kunder kontroll över vad PII-data som går in i plattformen. Dessutom har företaget inbyggd självbetjäningsfunktionalitet i tjänsterna som gör det möjligt för kunder att radera och dölja PII efter eget gottfinnande.

Åtgärder för att säkerställa datakvalitet

All programvara som används för att behandla kundens personuppgifter genomgår automatiserade tester och en manuell granskning innan den går i produktion. Data måste passa databasens schema och uppfylla valideringar definierade av applikationen. Det finns en QA-pipeline för den mest kritiska datan, med lämpliga varningar om data ändras.

Åtgärder för att säkerställa begränsad datalagring

Företagets kunder avgör ensidigt vilken kunddata de vidarebefordrar genom tjänsterna. Som sådan verkar företaget på en modell av delat ansvar. Om en kund inte kan radera kundens PII-data via tjänsternas självbetjäningsfunktion, kommer företaget att radera kundens data på kundens skriftliga begäran, inom den tidsram som anges i dataskyddsavtalet och i enlighet med tillämplig dataskyddslag.

Åtgärder för att säkerställa ansvarsskyldighet

Företaget har antagit åtgärder för att säkerställa ansvarsskyldighet, exempelvis genom att genomföra dataskydds- och informationssäkerhetspolicyer i hela verksamheten, registrera och rapportera säkerhetsincidenter som involverar personuppgifter, och formellt tilldela roller och ansvar för informationssäkerhet och dataskyddsfunktioner. Dessutom genomför företaget regelbundna tredjepartsrevisioner för att säkerställa efterlevnad av våra integritets- och säkerhetsstandarder.

Åtgärder för att möjliggöra datamobilitet och säkerställande av radering

All PII i tjänsterna kan raderas av kunden eller på kundens begäran.

Tekniska och organisatoriska åtgärder för underleverantörer

Företaget ingår databehandlingsavtal med sina auktoriserade underleverantörer med dataskyddsförpliktelser som är väsentligt liknande dem som ingår i detta avtal.

Bilaga D

---------

Underleverantörer

Logike samarbetar med tredjepartsföretag för att utföra begränsade aktiviteter i samband med Logikes tjänster.

När Logike samarbetar med tredjepartsleverantörer i vår kapacitet som databehandlare för Logikes användares personuppgifter kallas dessa leverantörer enligt allmänna dataskyddsförordningen ("GDPR") för underleverantörer.

Namn / Data / Syfte med behandlingen / Land

1°) Stripe Inc. / Brekacold-användares e-postadresser, faktureringsadress, betalningsinformation, transaktioner, IP-adresser / "Molntjänstleverantör" / USA

2°) AWS / Breakcold-användardata / "Molntjänstleverantör" / Frankfurt

3°) Azure / Breakcold-användardata / "Molntjänstleverantör" / Frankfurt

4°) Fly.io, Inc. / Breakcold-användardata / "Molntjänstleverantör" / Frankfurt

5°) Functional Software, Inc. (Sentry) / Breakcold-användardata / "Övervakning av applikationsprestanda" / USA

6°) PostHog, Inc. / Breakcold-användardata / Övervakning av applikationsprestanda / Frankfurt

7°) Elasticsearch B.V. / Breakcold-användardata / Molntjänstleverantör / Frankfurt

8°) Cloudflare, Inc. / Breakcold-användardata / Innehållsleveransnätverk / USA

9°) SplitBee (Vercel Inc.) / Breakcold-användardata / Applikationsanalys / USA

10°) Vercel Inc. / Breakcold-användardata / Molntjänstleverantör / USA

11°) Upstash Inc / Breakcold-användardata / Molntjänstleverantör / USA

12°) Firebase (Google Cloud Platform, Google LLC) / Breakcold-användardata / Molntjänstleverantör / USA