1 Bakgrund och avtalsparter
Detta avtal (”Avtalet”) gäller när Happybooking International AB, org nr 559021-8185, Aurorum 2, 97775 Luleå, (”Happybooking”) tillhandahåller tjänster till Kund enligt definition nedan.
Avtalet är en bilaga till Happybookings villkor (”Huvudavtal”), https://www.happybooking.se/villkor/
Samtliga användare av systemet får göra ett aktivt godkännande av detta avtal i samband med att de loggar in till tjänsten.
Happybooking är utvecklare och leverantör av webbaserade bokningstjänster. Målgruppen är främst hotell, vandrarhem och campingar men även andra typer av verksamheter så som men inte uteslutande parkeringar, konferensarrangörer och evenemangs eller aktivitetsarrangörer. Program licensieras av Kunden mot en kostnad och lagras tillsammans med Kundernas data på Microsoft® Azure® molntjänst.
Parterna gemensamt benämns som ”Parterna”.
2 Definitioner
Detta avtal har motsvarande definitioner som återfinns i artikel 4 i Europaparlamentet och rådets förordning (EU) 2016/679 (”Dataskyddsförordningen”), vilket bland annat innebär att:
Personuppgifter
avser varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Behandling
avser en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Personuppgiftsansvarig
avser en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.
Personuppgiftsbiträde
avser en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Personuppgiftsincident
avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
Kund
Ett bolag, enskild firma eller annan juridisk eller fysisk person som ingår detta Avtal med Happybooking.
Användare
Individ som vid var tid ska ha tillgång till Tjänsterna i egenskap av antingen anställd eller uppdragstagare hos kund. Till Användare räknas även Systemadministratör.
Systemadministratör
Den person hos Kund som genomför registrering av bolag, enskild firma eller annan juridisk person hos Happybooking i samband med Avtalets ingående.
3 Innehåll och syfte
3.1 Parterna har tidigare eller i samband med detta avtal ingått avtal avseende villkoren för Happybookings tjänst https://www.happybooking.se/villkor/, hädanefter benämnt ”Huvudavtalet”.
3.2 Inom åtagandena som följer av Huvudavtalet kan Personuppgiftsbiträdet komma att behandla personuppgifter samt annan information för Personuppgiftsansvariges räkning. Med anledning av detta ingår Parterna detta avtal, i enlighet med artikel 28 Dataskyddsförordningen, för att reglera förutsättningarna för Personuppgiftsbiträdets behandling av personuppgifter tillhöriga Personuppgiftsansvarige.
4 Allmänt om Personuppgiftsbehandlingen
4.1 Personuppgiftsansvarige är ansvarig för att de personuppgifter som behandlas inom ramen för Huvudavtalet behandlas i enlighet med Dataskyddsförordningen.
4.2 Personuppgiftsbiträdet åtar sig att endast behandla avtalade personuppgifter i enlighet med detta avtal, Huvudavtalet och andra dokumenterade instruktioner som lämnas av Personuppgiftsansvarige. Personuppgiftsbiträdet får inte behandla personuppgifterna för egna ändamål.
4.3 Personuppgiftsbiträdet kan komma att behandla följande typer av personuppgifter:
[Slutkundens Personnummer]
[Slutkundens Namn]
[Slutkundens Telefonnummer]
[Slutkundens Adress]
[Slutkundens E-post]
[Slutkundens preferenser och önskemål]
[Slutkundens IP-adress och tidpunkter för interaktion med systemet]
Personuppgiftsbiträdet ska föra register över den personuppgiftsbehandling som sker enligt detta avtal samt hålla registret tillgängligt för Personuppgiftsansvarige och Datainspektionen så att det kan tjäna som grund för övervakningen av behandlingen.
4.4 Personuppgiftsbiträdet ska omedelbart informera Personuppgiftsansvarige om Personuppgiftsbiträdet inte kan uppfylla sina skyldigheter enligt detta avtal eller om Personuppgiftsbiträdet anser att en Instruktion som Personuppgiftsansvarige lämnat om behandlingen av personuppgifter skulle stå i strid med Dataskyddsförordningen.
5 Underbiträde
5.1 Personuppgiftsbiträdet har inte rätt att anlita underbiträde för att utföra arbetet enligt avtalet utan att först ha inhämtat Personuppgiftsansvariges godkännande.
5.2 Har Personuppgiftsansvarige lämnat ett godkännande ska Personuppgiftsbiträdet tillse att sådant underbiträde ingår ett tecknande av personuppgiftsbiträdesavtal innan underbiträdet påbörjar arbete som har anknytning till Personuppgiftsansvarige. Ett sådant personuppgiftsbiträdesavtal ska innehålla minst de åtaganden och skyldigheter som följer av avtalet. Personuppgiftsansvarige ska äga rätt att få del av och godkänna ett sådant avtal innan det ingås mellan Personuppgiftsbiträdet och underbiträdet.
5.3 Om underbiträdet inte fullgör sina skyldigheter ska Personuppgiftsbiträdet vara fullt ansvarig gentemot Personuppgiftsansvarige för utförandet av underbiträdets skyldigheter. Personuppgiftsbiträdet svarar för underbiträdet som för eget arbete och egna åtaganden samt skyldigheter.
5.4 Personuppgiftsansvarig godkänner att Happybooking delar de personuppgifter som är nödvändig information för att driften av systemet skall fungera. Som exempel kan idag nämnas att externa tjänster används för att skicka e-postbekräftelser och SMS. Happybooking kommer dock aldrig att dela fler uppgifter till dessa leverantörer än vad som är nödvändigt för att tjänsten skall fungera.
6 Register över behandlingen
Personuppgiftsbiträdet ska föra ett register över alla kategorier av behandling som utförts för Personuppgiftsansvariges räkning och på begäran göra sådant register tillgängligt för Personuppgiftsansvarige eller, i tillämpliga fall, för tillsynsmyndigheten. Registret ska föras i enlighet med enligt artikel 30 i Dataskyddsförordningen och innehålla de uppgifter som där anges.
7. Säkerhet och sekretess
7.1 Personuppgiftsbiträdet garanterar att genomföra lämpliga tekniska och organisatoriska åtgärder på sådant sätt att behandlingen av personuppgifter under detta avtal uppfyller kraven i Dataskyddsförordningen (i synnerhet artikel 32).
7.2 Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandlingen medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
7.3 Personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje fysisk och juridisk person som utför arbete under Personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den Personuppgiftsansvarige samt därtill säkerställa att dessa har åtagit sig att iaktta konfidentialitet.
7.4 Personuppgiftsbiträdet ansvarar för att varje fysisk person som har tillgång till personuppgifterna som behandlas enligt avtalet har tillräckliga kunskaper och utbildning för att på ett säkert och ändamålsenligt sätt behandla personuppgifterna.
8 Personuppgiftsincident
8.1 Inträffar en Personuppgiftsincident ska Personuppgiftsbiträdet underrätta Personuppgiftsansvarige utan onödigt dröjsmål efter det att Personuppgiftsbiträdet fått vetskap om incidenten. Anmälan ska innehålla följande:
a) beskriva Personuppgiftsincidentens art, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,
b) beskriva de sannolika konsekvenserna av Personuppgiftsincidenten.
8.2 Personuppgiftsbiträdet ska, på Personuppgiftsansvariges begäran, skyndsamt bistå denne att fullgöra sina skyldigheter att anmäla en Personuppgiftsincident till Datainspektionen.
9 Konsekvensbedömning m.m.
Med beaktande av typen av behandlingen och den information som Personuppgiftsbiträdet har att tillgå ska Personuppgiftsbiträdet bistå Personuppgiftsansvarige med att se till att artiklarna 35–36 fullgörs.
10 Begäran om information
10.1 I de fall en registrerad eller annan tredje man begär information från Personuppgiftsbiträdet avseende behandling av personuppgifter som tillhör Personuppgiftsansvarige ska Personuppgiftsbiträdet hänvisa sådan registrerad eller annan tredje man till Personuppgiftsansvarige.
10.2 Personuppgiftsbiträdet ska vara Personuppgiftsansvarige behjälplig genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med Dataskyddsförordningen.
11 Tillgång till information
11.1 Personuppgiftsbiträdet ska ge Personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som fastställs i artikel 28 i Dataskyddsförordningen har fullgjorts.
11.2 Personuppgiftsansvarige äger rätt att, själv eller genom tredje man, genomföra revision gentemot Personuppgiftsbiträdet eller på annat sätt kontrollera att Personuppgiftsbiträdets behandling av personuppgifter följer detta avtal. Vid sådan revision eller kontroll ska Personuppgiftsbiträdet ge Personuppgiftsansvarige den assistans som behövs för genomförande av revision.
11.3 Personuppgiftsbiträdet ska skriftligen dokumentera de åtgärder som denne vidtagit för att uppfylla sina skyldigheter enligt detta avtal, Dataskyddsförordningen eller annat regelverk. Personuppgiftsansvarige ska vid var tid äga rätt att ta del av Personuppgiftsbiträdets dokumentation enligt denna punkt.
12 Otillåten lagring av personuppgifter och otillåten användning av systemet
Kunden och ytterst den Personuppgiftsansvarige innehar ansvar att kontrollera att ingen användare eller systemadministratör hos kund lagrar otillåtna personuppgifter i systemet. Personuppgiftsansvarige är skyldig att kontrollera de kommentarer som lagras om kunder och bokningar i systemet för att säkerställa att dessa är relevanta och inte strider emot riktlinjer från Dataskyddsförordningen och gällande lagar.
13 Avtalets upphörande
Vid Huvudavtalets upphörande ska Personuppgiftsbiträdet på begäran av Kund – beroende på vad Personuppgiftsansvarige väljer – radera eller återlämna alla personuppgifter som har anknytning till avtalet.
14 Tillämplig lag och tvister
Tvist angående tolkning eller tillämpning av avtalet ska avgöras enligt svensk lag och Huvudavtalets bestämmelse om tvist. I avsaknad av reglering i Huvudavtalet ska tvist avgöras av svensk allmän domstol.
Avtalet har godkänts digitalt av Användare och Systemadministratör(er). Kunden äger ansvaret att kontrollera att behörig person hos Kund har godkänt avtalet.