Enligt artikel 28.3 i förordning 2016/679 (dataskyddsförordningen) med avseende på personuppgiftsbiträdets behandling av personuppgifter. Personuppgiftsbiträdesavtalet träder i kraft när du registreras som kund på Evofleet-plattformen.
Avtalet ingås mellan Kunden (nedan ”den personuppgiftsansvarige”) och Evofleet ApS, CVR 43560433, St. Sct. Mikkels Gade 7, 8800 Viborg, Danmark (nedan ”personuppgiftsbiträdet”), som var och en utgör en ”part” och tillsammans utgör ”parterna”.
Parterna har enats om följande standardavtalsklausuler (Bestämmelserna) i syfte att efterleva dataskyddsförordningen och säkerställa skydd för privatlivet och fysiska personers grundläggande rättigheter och friheter.
Dessa Bestämmelser fastställer personuppgiftsbiträdets rättigheter och skyldigheter när detta behandlar personuppgifter för den personuppgiftsansvariges räkning.
Dessa bestämmelser har utformats med avseende på parternas efterlevnad av artikel 28.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (dataskyddsförordningen).
I samband med tillhandahållandet av Evofleets onlineplattform behandlar personuppgiftsbiträdet personuppgifter för den personuppgiftsansvariges räkning i enlighet med dessa Bestämmelser.
Bestämmelserna har företräde framför eventuella motsvarande bestämmelser i andra avtal mellan parterna.
Till dessa Bestämmelser hör fyra bilagor, och bilagorna utgör en integrerad del av Bestämmelserna.
Bilaga A innehåller närmare uppgifter om behandlingen av personuppgifter, inklusive om behandlingens ändamål och karaktär, typen av personuppgifter, kategorierna av registrerade och behandlingens varaktighet.
Bilaga B innehåller den personuppgiftsansvariges villkor för personuppgiftsbiträdets användning av underbiträden och en förteckning över underbiträden vars användning den personuppgiftsansvarige har godkänt.
Bilaga C innehåller den personuppgiftsansvariges instruktion vad gäller personuppgiftsbiträdets behandling av personuppgifter, en beskrivning av de säkerhetsåtgärder som personuppgiftsbiträdet som minimum ska genomföra, och hur tillsyn utövas över personuppgiftsbiträdet och eventuella underbiträden.
Bestämmelserna med tillhörande bilagor ska bevaras skriftligen, inklusive elektroniskt, av båda parter.
Dessa Bestämmelser befriar inte personuppgiftsbiträdet från skyldigheter som åligger personuppgiftsbiträdet enligt dataskyddsförordningen eller annan lagstiftning.
Den personuppgiftsansvarige ansvarar för att säkerställa att behandlingen av personuppgifter sker i enlighet med dataskyddsförordningen (se förordningens artikel 24), dataskyddsbestämmelser i annan EU-rätt eller medlemsstaternas nationella rätt och dessa Bestämmelser.
Den personuppgiftsansvarige har rätt och skyldighet att fatta beslut om för vilka ändamål och med vilka medel behandling av personuppgifter får ske.
Den personuppgiftsansvarige ansvarar bland annat för att säkerställa att det finns en rättslig grund för den behandling av personuppgifter som personuppgiftsbiträdet instrueras att utföra.
Personuppgiftsbiträdet får endast behandla personuppgifter enligt dokumenterad instruktion från den personuppgiftsansvarige, såvida det inte krävs enligt EU-rätt eller medlemsstaternas nationella rätt som personuppgiftsbiträdet omfattas av. Denna instruktion ska anges i bilaga A och C. Efterföljande instruktion kan också ges av den personuppgiftsansvarige medan behandling av personuppgifter pågår, men instruktionen ska alltid vara dokumenterad och bevaras skriftligen, inklusive elektroniskt, tillsammans med dessa Bestämmelser.
Personuppgiftsbiträdet underrättar omedelbart den personuppgiftsansvarige om en instruktion enligt dennes uppfattning strider mot denna förordning eller mot dataskyddsbestämmelser i annan EU-rätt eller medlemsstaternas nationella rätt.
Personuppgiftsbiträdet får endast ge tillgång till personuppgifter som behandlas för den personuppgiftsansvariges räkning till personer som är underställda personuppgiftsbiträdets instruktionsbefogenheter, som har förbundit sig till sekretess eller omfattas av en lämplig lagstadgad tystnadsplikt, och endast i nödvändig omfattning. Förteckningen över personer som har beviljats tillgång ska löpande ses över. På grundval av denna översyn kan tillgången till personuppgifter avslutas om tillgången inte längre är nödvändig, och personuppgifterna ska därefter inte längre vara tillgängliga för dessa personer.
Personuppgiftsbiträdet ska på begäran av den personuppgiftsansvarige kunna visa att de berörda personer som är underställda personuppgiftsbiträdets instruktionsbefogenheter omfattas av ovannämnda tystnadsplikt.
Dataskyddsförordningens artikel 32 fastslår att den personuppgiftsansvarige och personuppgiftsbiträdet, med beaktande av den senaste tekniska utvecklingen, genomförandekostnaderna och den aktuella behandlingens karaktär, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, genomför lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till dessa risker.
Den personuppgiftsansvarige ska bedöma de risker för fysiska personers rättigheter och friheter som behandlingen utgör och genomföra åtgärder för att hantera dessa risker. Beroende på deras relevans kan det omfatta:
Enligt förordningens artikel 32 ska personuppgiftsbiträdet – oberoende av den personuppgiftsansvarige – också bedöma de risker för fysiska personers rättigheter som behandlingen utgör och genomföra åtgärder för att hantera dessa risker. För denna bedömning ska den personuppgiftsansvarige ställa nödvändig information till personuppgiftsbiträdets förfogande som gör det möjligt för denne att identifiera och bedöma sådana risker.
Dessutom ska personuppgiftsbiträdet bistå den personuppgiftsansvarige med dennes efterlevnad av den personuppgiftsansvariges skyldighet enligt förordningens artikel 32, bland annat genom att ställa nödvändig information till den personuppgiftsansvariges förfogande avseende de tekniska och organisatoriska säkerhetsåtgärder som personuppgiftsbiträdet redan har genomfört enligt förordningens artikel 32, samt all annan information som är nödvändig för den personuppgiftsansvariges efterlevnad av sin skyldighet enligt förordningens artikel 32.
Om hanteringen av de identifierade riskerna – enligt den personuppgiftsansvariges bedömning – kräver genomförande av ytterligare åtgärder utöver de åtgärder som personuppgiftsbiträdet redan har genomfört, ska den personuppgiftsansvarige ange de ytterligare åtgärder som ska genomföras i bilaga C.
Personuppgiftsbiträdet ska uppfylla de villkor som avses i dataskyddsförordningens artikel 28.2 och 28.4 för att anlita ett annat personuppgiftsbiträde (ett underbiträde).
Personuppgiftsbiträdet får således inte anlita ett underbiträde för att uppfylla dessa Bestämmelser utan föregående allmänt skriftligt godkännande från den personuppgiftsansvarige.
Personuppgiftsbiträdet har den personuppgiftsansvariges allmänna godkännande att anlita underbiträden. Personuppgiftsbiträdet ska skriftligen underrätta den personuppgiftsansvarige om eventuella planerade ändringar avseende tillägg eller utbyte av underbiträden med minst en månads varsel och därigenom ge den personuppgiftsansvarige möjlighet att invända mot sådana ändringar innan det eller de berörda underbiträdena anlitas. Längre varsel för underrättelse i samband med specifika behandlingsaktiviteter kan anges i bilaga B. Förteckningen över underbiträden som den personuppgiftsansvarige redan har godkänt framgår av bilaga B.
När personuppgiftsbiträdet anlitar ett underbiträde i samband med utförandet av specifika behandlingsaktiviteter för den personuppgiftsansvariges räkning, ska personuppgiftsbiträdet, genom ett avtal eller annat rättsligt dokument enligt EU-rätten eller medlemsstaternas nationella rätt, ålägga underbiträdet samma dataskyddsskyldigheter som de som framgår av dessa Bestämmelser, varigenom det särskilt ställs de erforderliga garantierna för att underbiträdet kommer att genomföra de tekniska och organisatoriska åtgärderna på ett sådant sätt att behandlingen uppfyller kraven i dessa Bestämmelser och dataskyddsförordningen.
Personuppgiftsbiträdet ansvarar därför för att kräva att underbiträdet som minimum uppfyller personuppgiftsbiträdets skyldigheter enligt dessa Bestämmelser och dataskyddsförordningen.
Underbiträdesavtal och eventuella senare ändringar av dessa sänds – på den personuppgiftsansvariges begäran – i kopia till den personuppgiftsansvarige, som därigenom har möjlighet att försäkra sig om att motsvarande dataskyddsskyldigheter som följer av dessa Bestämmelser har ålagts underbiträdet. Bestämmelser om kommersiella villkor som inte påverkar det dataskyddsrättsliga innehållet i underbiträdesavtalet ska inte sändas till den personuppgiftsansvarige.
Om underbiträdet inte uppfyller sina dataskyddsskyldigheter förblir personuppgiftsbiträdet fullt ansvarigt gentemot den personuppgiftsansvarige för fullgörandet av underbiträdets skyldigheter. Detta påverkar inte de registrerades rättigheter enligt dataskyddsförordningen, i synnerhet förordningens artikel 79 och 82, gentemot den personuppgiftsansvarige och personuppgiftsbiträdet, inklusive underbiträdet.
All överföring av personuppgifter till tredjeland eller internationella organisationer får endast utföras av personuppgiftsbiträdet på grundval av dokumenterad instruktion härom från den personuppgiftsansvarige och ska alltid ske i enlighet med dataskyddsförordningens kapitel V.
Om överföring av personuppgifter till tredjeland eller internationella organisationer, som personuppgiftsbiträdet inte har instruerats att utföra av den personuppgiftsansvarige, krävs enligt EU-rätt eller medlemsstaternas nationella rätt som personuppgiftsbiträdet omfattas av, ska personuppgiftsbiträdet underrätta den personuppgiftsansvarige om detta rättsliga krav före behandlingen, såvida inte den berörda rätten förbjuder en sådan underrättelse med hänsyn till viktiga samhällsintressen.
Utan dokumenterad instruktion från den personuppgiftsansvarige kan personuppgiftsbiträdet således inte inom ramen för dessa Bestämmelser:
Den personuppgiftsansvariges instruktion avseende överföring av personuppgifter till ett tredjeland, inklusive den eventuella överföringsgrund i dataskyddsförordningens kapitel V som överföringen baseras på, ska anges i bilaga C.6.
Dessa Bestämmelser ska inte förväxlas med standardavtalsklausuler som avses i dataskyddsförordningens artikel 46.2 c och d, och dessa Bestämmelser kan inte utgöra en grund för överföring av personuppgifter som avses i dataskyddsförordningens kapitel V.
Personuppgiftsbiträdet bistår, med beaktande av behandlingens karaktär, så långt det är möjligt den personuppgiftsansvarige med hjälp av lämpliga tekniska och organisatoriska åtgärder med fullgörandet av den personuppgiftsansvariges skyldighet att besvara begäranden om utövande av de registrerades rättigheter enligt dataskyddsförordningens kapitel III.
Detta innebär att personuppgiftsbiträdet så långt det är möjligt ska bistå den personuppgiftsansvarige i samband med att den personuppgiftsansvarige ska säkerställa efterlevnaden av:
Utöver personuppgiftsbiträdets skyldighet att bistå den personuppgiftsansvarige enligt Bestämmelse 6.3., bistår personuppgiftsbiträdet vidare, med beaktande av behandlingens karaktär och de uppgifter som är tillgängliga för personuppgiftsbiträdet, den personuppgiftsansvarige med:
Parterna ska i bilaga C ange de erforderliga tekniska och organisatoriska åtgärder med vilka personuppgiftsbiträdet ska bistå den personuppgiftsansvarige samt i vilken omfattning och utsträckning. Detta gäller för de skyldigheter som följer av Bestämmelse 9.1. och 9.2.
Personuppgiftsbiträdet underrättar utan onödigt dröjsmål den personuppgiftsansvarige efter att ha fått kännedom om att en personuppgiftsincident har inträffat.
Personuppgiftsbiträdets underrättelse till den personuppgiftsansvarige ska om möjligt ske senast 72 timmar efter att denne har fått kännedom om incidenten, så att den personuppgiftsansvarige kan uppfylla sin skyldighet att anmäla personuppgiftsincidenten till den behöriga tillsynsmyndigheten, jfr. dataskyddsförordningens artikel 33.
I enlighet med Bestämmelse 9.2.a ska personuppgiftsbiträdet bistå den personuppgiftsansvarige med att anmäla incidenten till den behöriga tillsynsmyndigheten. Detta innebär att personuppgiftsbiträdet ska bistå med att tillhandahålla nedanstående information, som enligt artikel 33.3 ska framgå av den personuppgiftsansvariges anmälan av incidenten till den behöriga tillsynsmyndigheten:
Parterna ska i bilaga C ange den information som personuppgiftsbiträdet ska tillhandahålla i samband med sitt bistånd till den personuppgiftsansvarige i dennes skyldighet att anmäla personuppgiftsincident till den behöriga tillsynsmyndigheten.
Kunden är personuppgiftsansvarig vad gäller eventuella personuppgifter som laddas upp och behandlas i Tjänsterna. Kunden äger sina egna data i Tjänsterna. Kundens data raderas eller anonymiseras dock löpande i takt med att det ändamål de samlades in för avslutas.
Bokföringsrelaterad data kan sparas i upp till 5 år enligt bokföringslagen.
Personuppgiftsbiträdet ställer all information som är nödvändig för att visa efterlevnaden av dataskyddsförordningens artikel 28 och dessa Bestämmelser till den personuppgiftsansvariges förfogande och möjliggör och bidrar till granskningar, inbegripet inspektioner, som utförs av den personuppgiftsansvarige eller en annan granskare som har bemyndigats av den personuppgiftsansvarige.
Förfarandena för den personuppgiftsansvariges granskningar, inbegripet inspektioner, av personuppgiftsbiträdet och underbiträden anges närmare i Bilaga C.7. och C.8.
Personuppgiftsbiträdet är skyldigt att ge tillsynsmyndigheter, som enligt gällande lagstiftning har tillträde till den personuppgiftsansvariges eller personuppgiftsbiträdets lokaler, eller företrädare som agerar på tillsynsmyndighetens vägnar, tillträde till personuppgiftsbiträdets fysiska lokaler mot uppvisande av vederbörlig legitimation.
Parterna kan komma överens om andra bestämmelser avseende tjänsten vad gäller behandling av personuppgifter om t.ex. skadeståndsansvar, så länge dessa andra bestämmelser inte direkt eller indirekt strider mot Bestämmelserna eller försämrar den registrerades grundläggande rättigheter och friheter som följer av dataskyddsförordningen.
Bestämmelserna träder i kraft den dag båda parter undertecknar dem.
Båda parter kan kräva att Bestämmelserna omförhandlas om lagändringar eller olämpligheter i Bestämmelserna ger anledning till det.
Bestämmelserna gäller så länge tjänsten vad gäller behandling av personuppgifter varar. Under denna period kan Bestämmelserna inte sägas upp, såvida inte andra bestämmelser som reglerar tillhandahållandet av tjänsten vad gäller behandling av personuppgifter avtalas mellan parterna.
Om tillhandahållandet av tjänsterna vad gäller behandling av personuppgifter upphör, och personuppgifterna har raderats eller återlämnats till den personuppgiftsansvarige i enlighet med Bestämmelse 11.1 och Bilaga C.4, kan Bestämmelserna sägas upp med skriftligt varsel av båda parter.
Detta avtal ingår i våra villkor och vid kundregistrering accepteras dessa, varigenom avtalet anses godkänt av kunden.
Parterna kan kontakta varandra via nedanstående kontaktpersoner.
Parterna är skyldiga att löpande informera varandra om ändringar avseende kontaktpersoner.
Den personuppgiftsansvarige kan kontakta personuppgiftsbiträdet via e-post till hello@evofleet.com eller genom att ringa 70 604 604. Personuppgiftsbiträdet kan kontakta den personuppgiftsansvarige via e-post eller telefon.
Personuppgifter används för kundregistreringar, upprättande av leasingavtal, proprieborgen, kreditbedömningar, slutavräkningar och fakturering.
Personuppgiftsbiträdet ställer en portal till förfogande för den personuppgiftsansvarige och en kundportal till den personuppgiftsansvariges kunder.
Namn, e-postadress, telefonnummer, adress, körkortsnummer, CPR-nr. (CPR används endast vid proprieborgen).
Den personuppgiftsansvarige och dess kunder.
Personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning kan påbörjas efter dessa Bestämmelsers ikraftträdande. Behandlingen varar tills ett avtal sägs upp.
Vid Bestämmelsernas ikraftträdande har den personuppgiftsansvarige godkänt anlitandet av följande underbiträden:
Vid Bestämmelsernas ikraftträdande har den personuppgiftsansvarige godkänt anlitandet av ovannämnda underbiträden för den beskrivna behandlingsaktiviteten. Personuppgiftsbiträdet får inte – utan den personuppgiftsansvariges skriftliga godkännande – anlita ett underbiträde för en annan behandlingsaktivitet än den beskrivna och avtalade eller anlita ett annat underbiträde för denna behandlingsaktivitet.
Personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning sker genom att personuppgiftsbiträdet utför följande: Den personuppgiftsansvarige registrerar kunden på plattformen. Därefter upprättas ett leasingavtal som sänds till kunden via e-post.
Den personuppgiftsansvarige kan kräva proprieborgen från en kund. Detta innebär att det i dessa fall kommer att lagras CPR-nr.-data på plattformen.
Personuppgiftsbiträdet är berättigat och skyldigt att fatta beslut om vilka tekniska och organisatoriska säkerhetsåtgärder som ska genomföras för att etablera den nödvändiga (och avtalade) säkerhetsnivån.
Personuppgiftsbiträdet ska dock – under alla omständigheter och som minimum – genomföra följande åtgärder, som har avtalats med den personuppgiftsansvarige:
Personuppgiftsbiträdet ska så långt det är möjligt – inom den avtalade omfattningen och utsträckningen – bistå den personuppgiftsansvarige i enlighet med Bestämmelse 9.1 och 9.2 genom att genomföra de erforderliga tekniska och organisatoriska åtgärderna.
Vid upphörande av tjänsten vad gäller behandling av personuppgifter ska personuppgiftsbiträdet antingen radera eller återlämna personuppgifterna i enlighet med Bestämmelse 11.1, såvida inte den personuppgiftsansvarige – efter undertecknandet av dessa bestämmelser – har ändrat den personuppgiftsansvariges ursprungliga val. Sådana ändringar ska vara dokumenterade och bevaras skriftligen, inklusive elektroniskt, i anslutning till bestämmelserna.
Behandling av de personuppgifter som omfattas av Bestämmelserna kan inte utan den personuppgiftsansvariges föregående skriftliga godkännande ske på andra platser än följande: Behandlingen sker hos Amazon Web Services’ datacenter i Frankfurt och Stockholm.
Personuppgifter överförs inte till tredjeland utanför EU.
Detta personuppgiftsbiträdesavtal regleras av dansk rätt. Avtalet finns på flera språk som en service för kunden. I händelse av bristande överensstämmelse eller tvist mellan språkversionerna har den danska versionen företräde.