Personuppgiftsbiträdesavtal

1. Parterna

Personuppgiftsbiträde: Redefine v/Morten Bang Justesen, CVR 30270444, Danmark ("Flaplist").

Personuppgiftsansvarig: Det företag eller den organisation som använder Flaplist för att behandla personuppgifter om anställda, kunder, samarbetspartners eller andra fysiska personer.

DPA:t kompletterar och utgör en integrerad del av Flaplist's användarvillkor och integritetspolicy. Vid konflikt har DPA:t företräde avseende behandlingen av personuppgifter.

2. Ändamål och behandlingens karaktär

Flaplist behandlar personuppgifter för den personuppgiftsansvariges räkning uteslutande i syfte att leverera de tjänster som beskrivs i användarvillkoren.

Behandlingen omfattar lagring, visning, organisering och uppdatering av uppgifter i listor, objekt, aktivitetsloggar och — för Business- och Enterprise-kunder — formulär skapade i tjänsten.

Behandlingen pågår under den period prenumerationen är aktiv och upphör när den personuppgiftsansvariges konto raderas.

3. Kategorier av personuppgifter och registrerade

Karaktären och omfattningen av de personuppgifter som behandlas beror uteslutande på den personuppgiftsansvarige och det innehåll denne väljer att skapa i tjänsten.

Följande kategorier kan förekomma: namn, e-postadresser, jobbtitlar, användarbeteende (markeringar, tidsstämplar och aktivitetsloggar) samt fritext i listor, objekt och formulär.

Registrerade kan vara den personuppgiftsansvariges egna anställda och samarbetspartners, företrädare för andra företag eller organisationer, privatpersoner samt andra fysiska personer som den personuppgiftsansvarige väljer att involvera i sin användning av tjänsten — inklusive via delade listor och offentliga länkar med markeringsbehörighet.

4. Instruktioner och ändamålsbegränsning

Flaplist behandlar personuppgifter endast i enlighet med dokumenterade instruktioner från den personuppgiftsansvarige, om inte EU-rätt eller dansk rätt kräver annat.

Den personuppgiftsansvarige ansvarar för lagligheten i de instruktioner som ges till Flaplist samt för att en lämplig rättslig grund för behandlingen finns.

Flaplist underrättar omedelbart den personuppgiftsansvarige om vi tar emot en instruktion som vi bedömer strida mot tillämplig dataskyddslagstiftning.

5. Sekretess

Flaplist säkerställer att anställda och underbiträden med tillgång till den personuppgiftsansvariges personuppgifter är bundna av genomdrivbara sekretessåtaganden.

6. Tekniska och organisatoriska åtgärder

Flaplist implementerar och upprätthåller lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter mot obehörig åtkomst, förlust, ändring eller utlämning.

Åtgärderna inkluderar: krypterad dataöverföring (TLS/HTTPS), åtkomstkontroll och rollhantering, säker hosting inom EU, regelbundna uppdateringar av systemkomponenter samt loggning av åtkomst till systemdata.

7. Underbiträden

Den personuppgiftsansvarige ger härmed ett generellt förhandsgodkännande för Flaplist's anlitande av underbiträden för hosting, autentisering och övrig teknisk drift.

En aktuell lista över underbiträden kan erhållas genom att kontakta support@flaplist.com. Flaplist underrättar den personuppgiftsansvarige om planerade ändringar i god tid.

Flaplist säkerställer att alla underbiträden är bundna av dataskyddsförpliktelser som är likvärdiga med dem i detta DPA.

8. Överföring till tredje land

Flaplist strävar efter att lagra och behandla personuppgifter inom EU/EES. I de fall underbiträden utanför EU/EES anlitas sker detta med stöd av EU-kommissionens standardavtalsklausuler (SCC) eller ett likvärdigt överföringsunderlag.

9. Personuppgiftsincidenter

Flaplist underrättar den personuppgiftsansvarige utan onödigt dröjsmål, och senast inom 72 timmar efter att vi fått kännedom om det, vid personuppgiftsincidenter som rör uppgifter som behandlas för den personuppgiftsansvariges räkning.

Underrättelsen inkluderar minst: en beskrivning av incidentens karaktär, berörda kategorier och ungefärligt antal registrerade och poster, sannolika konsekvenser samt vidtagna eller planerade åtgärder.

10. Radering och återlämning av data

Den personuppgiftsansvarige kan när som helst exportera sina uppgifter via den exportfunktion som finns i tjänsten.

Vid prenumerationens upphörande raderar Flaplist den personuppgiftsansvariges personuppgifter i enlighet med våra raderingsprocedurer enligt integritetspolicyn, om inte lagstiftning kräver att de bevaras.

11. Revision och dokumentation

Flaplist tillhandahåller den dokumentation som behövs för att påvisa efterlevnad av detta DPA. Den personuppgiftsansvarige kan begära en revision med rimligt varsel; eventuella kostnader för revisionen bärs av den personuppgiftsansvarige.

12. Business och Enterprise — särskilda villkor

Business- och Enterprise-prenumeranter har tillgång till ytterligare funktioner, inklusive formulär som kan fyllas i och markeras av interna användare eller — via offentliga länkar — av externa parter. Uppgifter som samlas in via formulär omfattas av samma dataskyddsförpliktelser som övriga uppgifter som behandlas under detta DPA.

Enterprise-kunder kan, genom att kontakta Flaplist, få ett eget domän konfigurerat (t.ex. checklist.dinorg.se) som pekar på Flaplist-infrastrukturen och använda en egen logotyp samt utvalda anpassningar av gränssnittet (white-label). I sådana fall visas tjänsten under Enterprise-kundens varumärke, men den underliggande behandlingen utförs fortfarande av Flaplist som personuppgiftsbiträde under detta DPA.

Flaplist tar inget ansvar för innehåll eller kommunikation som presenteras under Enterprise-kundens varumärke.

13. Ikraftträdande och kontakt

Detta DPA träder i kraft när den personuppgiftsansvarige accepterar Flaplist's användarvillkor och använder tjänsten för att behandla personuppgifter om tredje parter. DPA:t kan uppdateras i enlighet med den ändringsprocess som beskrivs i användarvillkoren.

Företagsanvändare som önskar en undertecknad kopia av DPA:t eller har frågor om det kan kontakta oss på support@flaplist.com.