1.1 Rumblestrip kommer vid fullgörande av Avtalet att behandla personuppgifter på uppdrag av Kunden i egenskap av Kundens personuppgiftsbiträde. Syftet med personuppgiftsbiträdesavtalet (”Biträdesavtalet”) är att garantera en säker, korrekt och laglig behandling av personuppgifter samt uppfylla gällande krav på personuppgiftsbiträdesavtal. Biträdesavtalet utgör en integrerad del av Avtalet.

1.2 Begrepp i detta Biträdesavtal ska tolkas i enlighet med Europaparlamentets och Rådets Förordning (EU) 2016/679 (”GDPR”) samt tillsynsmyndighetens bindande beslut, vägledningar och föreskrifter, rättspraxis samt tillkommande lokal anpassning (tillsammans benämnda ”Dataskyddsreglerna”). Eventuella begrepp som används i detta Biträdesavtal ska ha den innebörd som framgår i första hand av Dataskyddsreglerna och annars av Avtalet, om inte annat tydligt anges i detta Biträdesavtalet.

2.1 Den typ av personuppgifter och de kategorier av registrerade som Rumblestrip behandlar under detta Biträdesavtal, samt behandlingens ändamål, art, varaktighet och föremål beskrivs i Bilaga A (Instruktion om hantering av personuppgifter).

2.2 Kunden är personuppgiftsansvarig för alla personuppgifter som Rumblestrip behandlar på uppdrag av Kunden under Biträdesavtalet. Vid behandlingen av personuppgifter ska Rumblestrip:

1. endast behandla personuppgifter i enlighet med Kundens dokumenterade instruktioner och aldrig för andra ändamål än de som Rumblestrip har anlitats för;
2. följa de krav som ställs enligt Dataskyddsreglerna som Kunden informerat Rumblestrip om samt instruerat Rumblestrip att följa;
3. sett i förhållande till graden av känslighet för personuppgifterna som behandlas, vidta de tekniska och organisatoriska åtgärder som krävs enligt Dataskyddsreglerna (inklusive Artikel 32 i GDPR) för att säkerställa en säkerhetsnivå som är lämplig för att skydda de personuppgifter som behandlas mot oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande eller obehörig åtkomst;
4. med beaktande av typen av behandling och den information som Rumblestrip har att tillgå, bistå Kunden med att se till att skyldigheterna enligt Artiklarna 32–36 i GDPR avseende säkerhet för personuppgifter fullgörs, vilket inkluderar att bistå vid konsekvensbedömningar samt meddela Kunden om personuppgiftsincident utan onödigt dröjsmål efter kännedom om sådan incident;
5. inom skälig tid från Kundens begäran om information och i den utsträckning Kunden i skälig tid i förväg har specificerat innehållet och omfattningen av sådan information, ge Kunden tillgång till den information som krävs för att visa att Rumblestrips skyldigheter enligt Dataskyddsreglerna har fullgjorts.
6. möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Kunden eller en oberoende revisor som har bemyndigats av Kunden och rimligen kan accepteras av Rumblestrip;
7. informera Kunden om eventuella kontakter från tillsynsmyndigheten som rör behandling av personuppgifter;
8. genom tekniska och organisatoriska åtgärder, som med hänsyn till behandlingens art är lämpliga, bistå Kunden i den mån det är möjligt, så att Kunden kan fullgöra sin skyldighet att svara på begäran från den registrerade vid den registrerades utövande av sina rättigheter enligt Dataskyddsreglerna; och
9. tillse att Kunden kan uppfylla eventuell skyldighet att möjliggöra dataportabilitet avseende personuppgifter som Rumblestrip behandlar för Kundens räkning under detta Biträdesavtal.
10.  

2.3 Kunden ansvarar som personuppgiftsansvarig för att Dataskyddsreglerna följs. Kunden åtar sig särskilt att:

1. ge Rumblestrip instruktioner om Kundens behandling av personuppgifter och skyndsamt informera Rumblestrip om ändringar av behandlingen som kan komma att påverka Bilaga A;
2. skyndsamt informera Rumblestrip om en tredje part vidtar åtgärder eller framställer anspråk mot Rumblestrip med anledning av Rumblestrips behandling under Biträdesavtalet;
3. vid genomförandet av granskningar, inbegripet inspektioner enligt punkt 2(f), vidta nödvändiga sekretessåtaganden och följa Rumblestrips säkerhetsbestämmelser på platsen där inspektionen ska genomföras, utan att riskera att hindra Rumblestrips verksamhet eller skyddet för Rumblestrips övriga kunders information; och
4. skyndsamt informera Rumblestrip om någon annan gemensamt med Kunden är personuppgiftsansvarig för de aktuella personuppgifterna.

2.4 Kundens dokumenterade instruktioner som gäller under Biträdesavtalets avtalstid framgår av Bilaga A (Instruktion om hantering av personuppgifter). Utöver dessa ska Biträdesavtalet och Avtalet i övrigt anses utgöra Kundens dokumenterade instruktioner till Rumblestrip avseende behandling av personuppgifter.

2.5 De säkerhetsåtgärder som Rumblestrip vidtar i enlighet med Biträdesavtalet är enligt Kundens bedömning tillräckliga för Rumblestrips uppfyllande av sina skyldigheter enligt Biträdesavtalet. Om Kunden under tiden för Biträdesavtalet kräver ytterligare säkerhetsåtgärder ska Rumblestrip i möjligaste mån tillgodose dessa krav. Kunden ska ersätta Rumblestrip för samtliga kostnader för vidtagande av sådana ytterligare säkerhetsåtgärder som går utöver de säkerhetsåtgärder som Rumblestrip har genomfört för sina övriga kunder eller vad Dataskyddsreglerna kräver.

2.6 Om Rumblestrip upptäcker att en instruktion, t.ex. avseende avtalade säkerhetsåtgärder, strider mot Dataskyddsreglerna, ska Rumblestrip inom skälig tid meddela Kunden om sin inställning och invänta Kundens förändrade skriftliga instruktioner. Om Kunden inte lämnar nya instruktioner inom skälig tid ska Rumblestrip ha rätt att på Kundens bekostnad vidta skäliga och nödvändiga säkerhetsåtgärder för att uppfylla Dataskyddsreglerna.

2.7 Oavsett vad som anges i detta avsnitt 2 får Rumblestrip behandla personuppgifter åt Kunden om sådan behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Rumblestrip eller den som Rumblestrip anlitar för behandling av personuppgifter för Kundens räkning (”Underbiträde”) omfattas av. I sådana fall ska Rumblestrip eller Underbiträdet informera Kunden om det rättsliga kravet före behandlingen, i den utsträckning sådan information inte är förbjuden.

2.8 Rumblestrip har rätt att, under avtalstiden för detta Biträdesavtal och därefter, lagra och på annat sätt behandla användardata som härstammar från Kunden för analysändamål, förutsatt att sådana uppgifter aggregeras och behandlas endast för de ändamål som anges i Avtalet.

3.1 Rumblestrip ska säkerställa att alla personuppgifter hålls hemliga samt att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta sekretess för sådan behandling eller omfattas av en lämplig lagstadgad tystnadsplikt. Detta sekretessåtagande gäller under Biträdesavtalets avtalstid och därefter. Sekretessåtagandet gäller dock inte sådan information som Rumblestrip är skyldig att lämna till myndighet eller som Rumblestrip är skyldig att lämna för att följa Dataskyddsreglerna eller annan lagstadgad skyldighet.

3.2 Om det till Rumblestrip kommer in en begäran om att få ta del av uppgifter som Rumblestrip behandlar för Kundens räkning ska Rumblestrip vidarebefordra begäran till Kunden. Rumblestrip, eller den som arbetar under Rumblestrips ledning, får inte lämna ut personuppgifter eller annan information om behandlingen av personuppgifter utan instruktion om detta från Kunden inom tio (10) dagar, om inte sådan skyldighet föreligger enligt Dataskyddsreglerna eller annan lagstiftning som Rumblestrip eller Underbiträdet omfattas av.

4.1 Kunden ger härmed Rumblestrip ett allmänt förhandstillstånd att anlita Underbiträden för behandling av personuppgifter. Personuppgifter får dock endast behandlas av ett Underbiträde under förutsättning att Rumblestrip och Underbiträdet ingår ett skriftligt avtal, eller annan rättsakt enligt unionsrätten eller en medlemsstats nationella rätt, där Underbiträdet åläggs motsvarande skyldigheter i fråga om dataskydd som Rumblestrip åläggs enligt detta Biträdesavtal.

4.2 Rumblestrip ska särskilt tillse att Artikel 28.2 och 28.4 i GDPR beaktas vid anlitande av Underbiträden och att Underbiträden ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i GDPR.

4.3 Rumblestrip ska på Kundens begäran informera Kunden om vilka Underbiträden som anlitats av Rumblestrip och lämna sådan ytterligare specificerad information om Underbiträdens behandling som Kunden skäligen kan begära enligt Dataskyddsreglerna. De Underbiträden som vid Avtalets ingående anlitats av Rumblestrip framgår av Bilaga A.

4.4 Rumblestrip ska informera Kunden om eventuella planer på att anlita nya eller ersätta Underbiträden trettio (30) dagar innan Rumblestrip avser att göra sådana ändringar. Rumblestrip informerar Kunden genom att uppdatera listan över Underbiträden på Rumblestrips webbplats. Kunden har rätt att invända mot sådan förändring och Rumblestrip ska då, på Kundens bekostnad, vidta rimliga åtgärder för att tillgodose Kundens invändning. Kundens invändning ska ske skriftligen och inom trettio (30) dagar från Rumblestrips information om anlitande eller ersättning enligt ovan. Om Rumblestrip inte kan tillgodose Kundens invändning har Rumblestrip rätt att säga upp detta Biträdesavtal och/eller relevanta delar av Avtalet helt eller delvis med trettio (30) dagars uppsägningstid.

4.5 Rumblestrip behandlar som huvudregel endast personuppgifter inom EU/EES. Personuppgifterna som behandlas i Tjänsten lagras inom EU. Rumblestrips Underbiträden kan dock undantagsvis överföra personuppgifter utanför EU/EES. Sådan överföring av personuppgifter avser endast vissa anställda i en verkställande ställning och endast under en övergångsperiod. I dessa fall genomför Rumblestrip alltid överföringen i enlighet med Dataskyddsreglerna, t.ex. genom att använda EU-kommissionens standardavtalsklausuler för överföring av personuppgifter till tredjeländer eller bestämmelser som ersätter dem. Kunden ger härmed Rumblestrip rätten att ingå sådana standardavtalsklausuler med Underbiträden för Kundens räkning.

5.1 Biträdesavtalet träder i kraft när Tjänsteavtalet ingås och ska gälla så länge som Rumblestrip behandlar personuppgifter för Kundens räkning, inklusive genom att radera eller återlämna enligt punkt 2 nedan.

5.2 Vid Avtalets upphörande ska Rumblestrip radera, enligt Kundens instruktioner, de personuppgifter som Rumblestrip behandlar under detta Biträdesavtal, inklusive eventuella befintliga kopior, såvida inte lagring av personuppgifterna krävs enligt gällande rätt. Rumblestrip kan, om Kunden framsätter önskan härom vid Avtalets upphörande, återlämna personuppgifterna istället för att radera dessa.

6.1 Om Dataskyddsreglerna ändras under avtalstiden för Biträdesavtalet, eller om tillsynsmyndighet utfärdar riktlinjer, beslut eller föreskrifter kring tillämpningen av Dataskyddsreglerna som leder till att detta Biträdesavtal inte uppfyller de krav som ställs på ett personuppgiftsbiträdesavtal ska detta Biträdesavtal ändras för att tillgodose sådana nya eller tillkommande krav. Sådan ändring träder ikraft senast trettio (30) dagar efter att Rumblestrip översänt ändringsmeddelande till Kunden eller annars senast inom sådan tidsperiod som anges i Dataskyddsreglerna, tillsynsmyndighets riktlinjer, beslut eller föreskrifter.

6.2 Ändringar av Bilaga A (Instruktioner om hantering av personuppgifter) ska dokumenteras och meddelas Rumblestrip skriftligen senast trettio (30) dagar innan ändringen träder i kraft. Om Rumblestrip inom dessa trettio (30) dagar meddelar Kunden att Rumblestrip har sakliga skäl för att motsätta sig Kundens ändringar av instruktionerna i Bilaga A ska Rumblestrip ha rätt att säga upp Avtalet i enlighet med vad som anges i Avtalet.

6.3 Andra ändringar av detta Biträdesavtal ska träda i kraft trettio (30) dagar efter att Rumblestrip har informerat Kunden om en uppdaterad version, om Kunden inte har invänt mot sådana ändringar inom samma tidsperiod. Om parterna inte kan komma överens om den uppdaterade versionen ska vardera part ha rätt att säga upp detta Avtal i enlighet med vad som anges i Avtalet.

7.1 Detta Biträdesavtal ersätter eventuella tidigare personuppgiftsbiträdesavtal och övriga skrivningar om personuppgiftsbehandling som gäller mellan parterna. Biträdesavtalet har företräde framför Avtalet vad gäller föremålet för detta Biträdesavtal, oavsett vad som anges i Avtalet.

7.2 Rumblestrip ska ha rätt till ersättning enligt gällande prislista för samtlig assistans och arbete som Rumblestrip ska utföra i enlighet med detta Biträdesavtal, inklusive ersättning för arbete och merkostnader som uppstår till följd av ändringar i Kundens instruktioner som kräver att Rumblestrip gör specialanpassningar för Kundens räkning.

7.3 Skulle någon bestämmelse (eller del därav) i Biträdesavtalet anses ogiltig, ska detta inte innebära att Biträdesavtalet i dess helhet är ogiltigt. I den mån ogiltigheten har en väsentligen betungande påverkan avseende parts skyldigheter enligt Biträdesavtalet ska skälig jämkning av Biträdesavtalet ske.

7.4 Om part överlåter Avtalet ska Biträdesavtalet också anses överlåtet som en del av Avtalet. Detta Biträdesavtal kan dock fortfarande ha giltighet mellan de ursprungliga parterna.

7.5 Vad som föreskrivs i Avtalet ska gälla även i förhållande till detta Biträdesavtal, till exempel eventuella ansvarsbegränsningar.

7.6 Svensk lag ska tillämpas på detta Biträdesavtal. Eventuella tvister ska lösas i enlighet med tvistlösningsbestämmelsen i Avtalet.