Personuppgiftsbiträdesavtal (DPA)

Bilaga till Allmänna Villkor för Lagerly

Detta Personuppgiftsbiträdesavtal ("Avtalet" eller "DPA") har ingåtts mellan:

1. Kunden ("Personuppgiftsansvarig" eller "Den Ansvarige")
2. Innovaktiv AB, org.nr 559028-4682 ("Personuppgiftsbiträdet" eller "Biträdet")

Parterna benämns gemensamt "Parterna". Detta Avtal utgör en integrerad del av det Huvudavtal (Allmänna Villkor) som reglerar Kundens användning av tjänsten Lagerly ("Tjänsten").

---

Begrepp i detta Avtal ska ha samma betydelse som i Europaparlamentets och rådets förordning (EU) 2016/679 ("Dataskyddsförordningen" eller "GDPR").

• Personuppgifter: All information som avser en identifierad eller identifierbar fysisk person.
• Behandling: En åtgärd eller kombination av åtgärder beträffande personuppgifter (t.ex. insamling, lagring, ändring, läsning, radering).

---

2.1 Biträdet åtar sig att endast behandla personuppgifter för Den Ansvariges räkning för att tillhandahålla Tjänsten i enlighet med Huvudavtalet.

2.2 Biträdet får endast behandla personuppgifter i enlighet med Den Ansvariges dokumenterade instruktioner (vilka utgörs av detta Avtal samt Huvudavtalet), såvida inte annan behandling krävs enligt unionsrätten eller svensk lag.

2.3 Omfattningen av behandlingen, kategorier av registrerade och typer av personuppgifter specificeras i Bilaga 1.

---

Den Ansvarige ansvarar för att det finns laglig grund för behandlingen och att de registrerade har informerats om behandlingen i enlighet med GDPR.

---

4.1 Sekretess: Biträdet ska säkerställa att personer som har behörighet att behandla personuppgifterna (anställda och konsulter) har åtagit sig tystnadsplikt eller omfattas av lagstadgad tystnadsplikt.

4.2 Säkerhet: Biträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna mot obehörig åtkomst, förstöring eller ändring, i enlighet med artikel 32 i GDPR. Detta inkluderar bland annat kryptering, behörighetsstyrning och backuper.

4.3 Assistans: Biträdet ska, i den mån det är möjligt, bistå Den Ansvarige med att fullgöra sin skyldighet att svara på begäran från registrerade (t.ex. registerutdrag eller radering). Biträdet har rätt till skälig ersättning för tid som läggs på sådan assistans om den går utöver Tjänstens standardfunktionalitet.

---

5.1 Den Ansvarige ger Biträdet ett allmänt tillstånd att anlita underbiträden för behandlingen av personuppgifter (t.ex. för serverdrift, e-postutskick eller supportsystem).

5.2 Biträdet ska informera Den Ansvarige vid planerade byten eller tillsättande av nya underbiträden. Den Ansvarige har rätt att invända mot sådana ändringar. Om Parterna inte kan enas har Den Ansvarige rätt att säga upp Huvudavtalet med 30 dagars uppsägningstid.

5.3 Biträdet ansvarar fullt ut gentemot Den Ansvarige för underbiträdens arbete.

---

Biträdet ska säkerställa att personuppgifter lagras och behandlas inom EU/EES. Om överföring sker till land utanför EU/EES ska detta ske i enlighet med GDPR:s regler, exempelvis genom EU-kommissionens standardavtalsklausuler (SCC).

---

Vid upptäckt av en personuppgiftsincident (t.ex. dataintrång) ska Biträdet underrätta Den Ansvarige utan onödigt dröjsmål, dock senast inom 36 timmar från upptäckten. Rapporten ska innehålla information om incidentens art och sannolika konsekvenser.

---

Den Ansvarige har rätt att, på egen bekostnad och med minst 30 dagars varsel, genomföra en granskning av Biträdets behandling för att säkerställa efterlevnad av detta Avtal. Granskningen ska utföras på ett sätt som inte stör Biträdets ordinarie verksamhet.

---

9.1 Detta Avtal gäller så länge Biträdet behandlar personuppgifter för Den Ansvariges räkning.

9.2 Vid Avtalets upphörande ska Biträdet, enligt Den Ansvariges instruktion, radera eller återlämna alla personuppgifter, såvida inte lagring krävs enligt lag.

---

Detta Avtal ska regleras av svensk lag. Tvist ska avgöras i enlighet med tvistlösningsklausulen i Huvudavtalet.

---

1. Behandlingens syfte och art

Behandlingen sker för att leverera tjänsten Lagerly (lagerhantering, orderhantering och inköp) enligt Huvudavtalet. Behandlingen består av lagring, visning, beräkning, överföring och backup.

2. Kategorier av registrerade

De personer vars uppgifter kan komma att behandlas är:

• Kundens anställda (Användare i systemet)
• Kundens egna kunder (om Kunden lagrar namn/adress på privatpersoner i orderregistret)
• Kundens leverantörer (kontaktpersoner)

3. Typer av personuppgifter

• Användare: Namn, e-postadress, telefonnummer, lösenord (krypterat), loggar över aktivitet i systemet.
• Slutkunder/Leverantörer: Namn, adress, telefonnummer, e-postadress, orderhistorik.