PERSONUPPGIFTSBITRÄDESAVTAL (PUB)

för Casova Handelsbolag

Detta Personuppgiftsbiträdesavtal (”Avtalet”) har ingåtts mellan:

Personuppgiftsansvarig:
Kunden som använder Casovas tjänster (”Personuppgiftsansvarig”)

och

Personuppgiftsbiträde:
Casova Handelsbolag, org.nr 969796-0533,
(”Casova” eller ”Personuppgiftsbiträdet”)

Avtalet reglerar Casovas behandling av personuppgifter för Kundens räkning i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR).

1. Avtalets tillämpning och bakgrund

1.1 Detta Avtal utgör ett personuppgiftsbiträdesavtal enligt artikel 28 GDPR och gäller för all behandling av personuppgifter som Casova utför för Kundens räkning inom ramen för Casovas tjänster.

1.2 Avtalet är en integrerad del av Casovas Allmänna villkor för SaaS-tjänster samt tillhörande tjänstespecifika bilagor.

1.3 Avtalet gäller för samtliga nuvarande och framtida tjänster som Casova tillhandahåller, om inte annat uttryckligen anges.

2. Definitioner

I detta Avtal ska begrepp ha samma innebörd som i GDPR, om inte annat anges.

3. Föremål och ändamål med behandlingen

3.1 Casova behandlar personuppgifter uteslutande i syfte att tillhandahålla de tjänster som Kunden har avtalat om.

3.2 Behandlingen omfattar endast de personuppgifter som är nödvändiga för att tillhandahålla tjänsterna i enlighet med Kundens dokumenterade instruktioner.

3.3 En närmare beskrivning av behandlingen framgår av Bilaga A – Behandlingsöversikt.

4. Instruktioner

4.1 Casova får endast behandla personuppgifter i enlighet med detta Avtal, Huvudavtalet samt dokumenterade instruktioner från Kunden.

4.2 Kunden ansvarar för att sådana instruktioner är förenliga med tillämplig dataskyddslagstiftning.

4.3 Om Casova bedömer att en instruktion strider mot GDPR ska Casova utan dröjsmål informera Kunden.

5. Kundens ansvar (Personuppgiftsansvarig)

Kunden ansvarar för att:

det finns laglig grund för behandlingen

registrerade informeras enligt GDPR

erforderliga samtycken inhämtas

personuppgifter som behandlas är korrekta, relevanta och nödvändiga

instruktioner till Casova är tydliga och lagenliga

6. Casovas ansvar (Personuppgiftsbiträde)

6.1 Casova åtar sig att behandla personuppgifter konfidentiellt och med iakttagande av god sed.

6.2 Endast behörig personal med tystnadsplikt har tillgång till personuppgifterna.

7. Tekniska och organisatoriska säkerhetsåtgärder

7.1 Casova vidtar lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32 GDPR, med beaktande av:

behandlingens art

omfattning

sammanhang

ändamål

aktuella tekniska möjligheter

7.2 En övergripande beskrivning av säkerhetsåtgärder framgår av Bilaga B – Säkerhetsåtgärder.

8. Underbiträden

8.1 Kunden ger härmed Casova ett generellt förhandsgodkännande att anlita underbiträden.

8.2 Casova ska säkerställa att underbiträden åläggs motsvarande dataskyddsåtaganden som följer av detta Avtal.

8.3 På begäran ska Casova tillhandahålla information om aktuella underbiträden.

9. Överföring till tredje land

9.1 Överföring av personuppgifter till tredje land får endast ske i enlighet med GDPR, exempelvis genom:

beslut om adekvat skyddsnivå

standardavtalsklausuler (SCC)

andra tillåtna skyddsåtgärder

10. Incidenthantering

10.1 Casova ska utan onödigt dröjsmål underrätta Kunden vid personuppgiftsincidenter.

10.2 Informationen ska möjliggöra för Kunden att fullgöra sina skyldigheter gentemot tillsynsmyndighet och registrerade.

11. Biträdeshjälp

Casova ska, med beaktande av tjänstens art och tekniska möjligheter, bistå Kunden vid:

registerutdrag

rättelse

radering

begränsning

dataportabilitet

Manuellt arbete kan debiteras enligt gällande prislista.

12. Radering och återlämnande av uppgifter

12.1 Vid Avtalets upphörande ska personuppgifter raderas eller återlämnas enligt Kundens instruktioner, i den mån det är tekniskt möjligt.

12.2 Casova har rätt att lagra uppgifter i upp till 12 månader efter avslutat konto för återaktivering, säkerhet eller rättsliga ändamål.

12.3 Därefter raderas uppgifterna permanent.

13. Revision och tillsyn

13.1 Casova ska tillhandahålla den information som rimligen krävs för att visa efterlevnad av detta Avtal.

13.2 Eventuella revisioner ska ske med rimlig framförhållning och på ett sätt som inte oskäligt stör Casovas verksamhet.

14. Ansvar

14.1 Parterna ansvarar var och en för sina skyldigheter enligt GDPR.

14.2 Casova ansvarar inte för brister som uppstår till följd av Kundens instruktioner, konfigurationer eller användning av tjänsterna.

15. Avtalstid

Detta Avtal gäller så länge Casova behandlar personuppgifter för Kundens räkning.

16. Tillämplig lag och tvist

Avtalet ska tolkas enligt svensk lag.
Tvist ska i första hand lösas genom dialog, i andra hand vid svensk allmän domstol.

Bilaga A – Behandlingsöversikt

Tjänst Ändamål Personuppgifter Registrerade
Casova CRM / Bygg ditt CRM Kundhantering, namn, e-post, telefon Kundens kunder & leads
kommunikation

Review Manager Recensionshantering namn, e-post Slutkunder

Bilaga B – Säkerhetsåtgärder (översikt)

Åtkomstkontroll

Kryptering vid överföring (TLS/HTTPS)

Loggning

Rollbaserad behörighet

Säkerhetskopiering

Incidentrutiner