InExchanges tjänstevillkor
Definitioner
Personuppgifter som avser
- ras eller etniskt ursprung,
- politiska åsikter och medlemskap,
- religiös eller annan liknande övertygelse,
- medlemskap i fackförening,
- psykisk och fysisk hälsa,
- hälsa,
- uppgifter i belastningsregister,
- genetiska och biometriska uppgifter.
1. Allmänna villkor
2. Right of Use
3. Avtal om behandling av personuppgifter
4. Andra relaterade villkor
- - För att följa lagar, förordningar eller direktiv eller för att hörsamma en juridiskt bindande begäran från offentliga myndigheter eller polis, t.ex. ett domstolsbeslut, en order eller en stämning.
- - För att undersöka eller förhindra allvarliga säkerhetshot eller bedrägerier.
Kunden ska även ersätta InExchange för alla rättsanspråk, böter, sanktioner osv. som följer av kundens underlåtelse att fullgöra sina skyldigheter när det gäller behandlingen av personuppgifter.
Bilaga A – Personuppgiftsbiträdesavtal
Inledning
Båda parterna bekräftar att undertecknade har fullmakt att ingå detta avtal om behandling av personuppgifter (nedan kallat avtalet). Detta avtal kommer att ingå i och reglera behandlingen av personuppgifter kopplade
till följande tjänsteavtal (nedan kallat tjänsteavtalet) mellan parterna:
- InExchange Network
Personuppgiftsbiträdet verkar i enlighet med InExchanges integritetsförklaring som finns på https://www.inexchange.se/privacy-statement/ .
Definitioner
Begreppen personuppgifter, särskilda kategorier av personuppgifter (känsliga personuppgifter), behandling av personuppgifter, registrerad, personuppgiftsansvarig och personuppgiftsbiträde används och tolkas
på samma sätt som i tillämplig integritetslagstiftning, däribland den allmänna dataskyddsförordningen (GDPR) som är tillämplig på detta avtal och i EU från och med den 25 maj 2018.
Tillämpningsområde
Avtalet reglerar personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning och beskriver hur personuppgiftsbiträdet för den personuppgiftsansvariges räkning, med hjälp
av tekniska och organisatoriska åtgärder i enlighet med tillämplig integritetslagstiftning, bl.a. den allmänna dataskyddsförordningen, ska verka för att skydda de registrerades integritet.
Syftet med personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning är att fullgöra tjänsteavtalet och detta avtal.
Detta avtal ska gälla om bestämmelserna om behandlingen av personuppgifter skiljer sig åt mellan tjänsteavtalet och andra avtal som ingåtts mellan parterna. Detta avtal gäller så länge parterna har ett giltigt tjänsteavtal som omfattar behandlingen av personuppgifter.
Personuppgiftsbiträdets skyldigheter
Personuppgiftsbiträdet ska endast behandla personuppgifter för den personuppgiftsansvariges räkning och i enlighet med dennes instruktioner. Genom att ingå detta avtal instruerar den
personuppgiftsansvarige personuppgiftsbiträdet att behandla personuppgifter på följande sätt: i) endast i enlighet med tillämplig lagstiftning, ii) för att fullgöra alla skyldigheter enligt tjänsteavtalet, iii) i enlighet med den personuppgiftsansvariges
normala användning av personuppgiftsbiträdets tjänster och iv) i enlighet med detta avtal.
Personuppgiftsbiträdet har inga skäl att anta att tillämplig lagstiftning förhindrar det att följa ovannämnda instruktioner. Personuppgiftsbiträdet ska, när det får kännedom om det, underrätta den personuppgiftsansvarige om instruktioner eller annan behandling som den personuppgiftsansvarige företar och som personuppgiftsbiträdet anser strider mot tillämplig integritetslagstiftning.
Följande kategorier av registrerade och personuppgifter behandlas enligt detta avtal:
-
Kategorier av registrerade
- Kunder och slutanvändare
-
Kategorier av personuppgifter
- Kontaktuppgifter, t.ex. namn, telefonnummer, adress, e-postadress osv.
- Uppgifter om arbete, t.ex. tjänst, företag osv.
Personuppgiftsbiträdet ska säkerställa personuppgifternas konfidentialitet, integritet och tillgänglighet i enlighet med den integritetslagstiftning som är tillämplig för personuppgiftsbiträdet. Personuppgiftsbiträdet ska, med beaktande av den senaste utvecklingen och genomförandekostnaderna, vidta systematiska, organisatoriska och tekniska åtgärder för att säkerställa en skyddsnivå som är lämplig i förhållande till den risk som behandlingen medför och den typ av personuppgifter som ska skyddas.
Personuppgiftsbiträdet ska, med tanke på behandlingens art och personuppgiftsbiträdets tillgång till information, hjälpa den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att den personuppgiftsansvarige kan fullgöra sina skyldigheter enligt tillämplig integritetslagstiftning att svara på begäranden från registrerade och att följa de allmänna integritetskraven enligt artiklarna 32–36 i den allmänna dataskyddsförordningen.
Om den personuppgiftsansvarige begär mer information om säkerhetsåtgärder, dokumentation eller andra former av information om hur personuppgiftsbiträdet behandlar personuppgifter än den standardinformation som personuppgiftsbiträdet lämnar för att i egenskap av personuppgiftsbiträde följa tillämplig integritetslagstiftning, och begäran medför extra arbete för personuppgiftsbiträdet, får personuppgiftsbiträdet debitera den personuppgiftsansvarige för dessa extra tjänster enligt överenskommelse mellan parterna.
Personuppgiftsbiträdet och dess personal ska säkerställa konfidentialitet för de personuppgifter som behandlas i enlighet med avtalet. Denna bestämmelse gäller även efter det att avtalet har sagts upp.
Personuppgiftsbiträdet ger, genom att underrätta den personuppgiftsansvarige utan onödigt dröjsmål, den personuppgiftsansvarige möjlighet att uppfylla de rättsliga kraven på att anmäla incidenter till dataskyddsmyndigheten eller till de registrerade.
Dessutom ska personuppgiftsbiträdet i den mån det är lämpligt och lagligt underrätta den personuppgiftsansvarige om
- begäranden från en registrerad om att lämna ut personuppgifter,
- begäranden från offentliga myndigheter, t.ex. polisen, om att lämna ut personuppgifter
Personuppgiftsbiträdet ska inte besvara begäranden från registrerade direkt, såvida den personuppgiftsansvarige inte har gett personuppgiftsbiträdet befogenhet att göra detta. Personuppgiftsbiträdet ska inte lämna ut information om detta avtal till offentliga myndigheter, t.ex. polisen, inbegripet personuppgifter, om det inte är skyldigt att göra detta enligt lag, t.ex. genom ett domstolsbeslut eller liknande order.
Personuppgiftsbiträdet kontrollerar inte om och hur den personuppgiftsansvarige använder tredjepartsintegrationer genom personuppgiftsbiträdets programmeringsgränssnitt eller liknande, och personuppgiftsbiträdet tar därför inget ansvar för risker i samband med detta. Den personuppgiftsansvarige är ensamt ansvarig för tredjepartsintegrationer.
Den personuppgiftsansvariges skyldigheter
Genom att underteckna detta avtal bekräftar den personuppgiftsansvarige följande:
- Den personuppgiftsansvarige ska, vid användningen av personuppgiftsbiträdets tjänster enligt tjänsteavtalet, behandla personuppgifter i enlighet med kraven i tillämplig integritetslagstiftning.
- Den personuppgiftsansvarige har rättsliga befogenheter att behandla och lämna ut de berörda personuppgifterna till personuppgiftsbiträdet (inbegripet personuppgiftsbiträdets underleverantörer)
- Den personuppgiftsansvarige är ensamt ansvarig för korrektheten, integriteten, innehållet, tillförlitligheten och lagligheten i de personuppgifter som lämnas ut till personuppgiftsbiträdet.
- Den personuppgiftsansvarige har uppfyllt alla obligatoriska krav och skyldigheter att göra anmälningar till eller inhämta tillstånd från behöriga tillsynsmyndigheter för behandlingen av personuppgifterna.
- Den personuppgiftsansvarige har uppfyllt sina skyldigheter att lämna relevant information till de registrerade om behandlingen av personuppgifter enligt den tvingande dataskyddslagstiftningen.
- Den personuppgiftsansvarige ska, vid användningen av personuppgiftsbiträdets tjänster enligt tjänsteavtalet, inte förmedla några känsliga personuppgifter till personuppgiftsbiträdet, såvida detta inte uttryckligen avtalats i tillägg A till detta avtal.
- Den personuppgiftsansvarige ska föra ett uppdaterat register över de typer och kategorier av personuppgifter som den behandlar i den mån behandlingen avviker från de kategorier och typer av personuppgifter som anges i tillägg A.
Användningen av underleverantörer och överföringen av uppgifter
Personuppgiftsbiträdet får, som ett led i tillhandahållandet av tjänster till den personuppgiftsansvarige enligt tjänsteavtalet och detta avtal, använda sig av underleverantörer. Dessa underleverantörer kan vara
externa tredjepartsleverantörer belägna inom eller utanför EU. Personuppgiftsbiträdet ska se till att underleverantörerna samtycker till att åta sig skyldigheter som motsvarar dem som anges i detta avtal. All användning av underleverantörer
omfattas av InExchange integritetsförklaring.
Den personuppgiftsansvarige kan begära att som tillägg B få en översikt över de underleverantörer som för närvarande har tillgång till personuppgifter. Den personuppgiftsansvarige kan när som helst även begära att få en fullständig översikt och mer detaljerad information om de underleverantörer som anlitats inom ramen för tjänsteavtalet.
Om underleverantörerna är belägna utanför EU ger den personuppgiftsansvarige personuppgiftsbiträdet befogenhet att se till att det finns en giltig rättslig grund för att för den personuppgiftsansvariges räkning föra ut personuppgifterna ur EU, bl.a. genom att godkänna EU:s standardklausuler eller överföra personuppgifterna i enlighet med skölden för skydd av privatlivet.
Den personuppgiftsansvarige ska i förväg underrättas om varje byte av underleverantörer som behandlar personuppgifter. Om personuppgiftsbiträdet inte kan styrka att en ny underleverantör uppfyller kraven i tillämplig integritetslagstiftning får den personuppgiftsansvarige säga upp detta avtal. En sådan uppsägning kan vara skäl att helt eller delvis säga upp tjänsteavtalet enligt uppsägningsklausulerna i tjänsteavtalet. En viktig del av denna bedömning ska vara i vilken utsträckning underleverantörens behandling av personuppgifter är en nödvändig del av de tjänster som tillhandahålls enligt tjänsteavtalet. Bytet av underleverantör anses i sig inte utgöra ett brott mot tjänsteavtalet.
Genom att underteckna detta avtal godkänner den personuppgiftsansvarige personuppgiftsbiträdets allmänna användning av underleverantörer enligt beskrivningen ovan.
Säkerhet
Personuppgiftsbiträdet är fast beslutet att se till att dess produkter och tjänster håller en hög säkerhet. Personuppgiftsbiträdet upprätthåller en lämplig säkerhetsnivå genom organisatoriska, tekniska och fysiska
säkerhetsåtgärder, i enlighet med de krav på information om säkerhetsåtgärder som beskrivs i artikel 32 i den allmänna dataskyddsförordningen.
InExchange interna integritetsram syftar vidare till att skydda personuppgifternas konfidentialitet, integritet, motståndskraft och tillgänglighet. Här är följande åtgärder särskilt viktiga:
- Att klassificera personuppgifter för att säkerställa genomförandet av säkerhetsåtgärder som är likvärdiga med riskbedömningar.
- Att bedöma användningen av kryptering och pseudonymisering som riskreducerande faktorer.
- Att begränsa tillgången till personuppgifter till dem som behöver tillgång till dem för att fullgöra skyldigheter enligt detta avtal eller tjänsteavtalet.
- Att hantera system som upptäcker, återställer, förhindrar och rapporterar integritetsincidenter.
- Att använda självbedömningar av säkerheten för att analysera om rådande tekniska och organisatoriska åtgärder är tillräckliga för att skydda personuppgifter, med beaktande av de krav som beskrivs i tillämplig integritetslagstiftning.
Granskningsrättigheter
Den personuppgiftsansvarige får granska personuppgiftsbiträdets efterlevnad av detta avtal upp till en gång om året. Den personuppgiftsansvarige får begära granskningar oftare om detta krävs enligt
lagstiftning som är tillämplig för den personuppgiftsansvarige. För att begära en granskning måste den personuppgiftsansvarige, minst fyra veckor före den dag då granskningen föreslås äga rum, lämna en detaljerad granskningsplan till personuppgiftsbiträdet
med en beskrivning av granskningens omfattning, längd och startdatum. Om tredje part ska genomföra granskningen är huvudregeln att detta ska avtalas mellan parterna. Om uppgifterna behandlas i en multitenant miljö eller liknande ger den personuppgiftsansvarige
av säkerhetsskäl personuppgiftsbiträdet befogenhet att besluta att granskningarna ska utföras av en opartisk tredje part som personuppgiftsbiträdet väljer.
Om det område som den begärda granskningen omfattar behandlas i en ISAE-rapport, ISO-rapport eller liknande bestyrkanderapport som upprättats av en kvalificerad extern granskare under de senaste tolv månaderna, och personuppgiftsbiträdet bekräftar att det inte har skett några väsentliga ändringar av de granskade åtgärderna, går den personuppgiftsansvarige med på att godta dessa iakttagelser i stället för att begära en ny granskning av de åtgärder som omfattas av rapporten.
I vilket fall som helst måste granskningar genomföras under ordinarie arbetstid vid den berörda anläggningen, med förbehåll för personuppgiftsbiträdets policy, och får inte i orimlig utsträckning störa personuppgiftsbiträdets verksamhet.
Den personuppgiftsansvarige ska ansvara för kostnader som uppstår i samband med de granskningar som den personuppgiftsansvarige begär. Om personuppgiftsbiträdet bistår mer än vad som ingår i den standardtjänst som personuppgiftsbiträdet och/eller InExchange tillhandahåller för att följa tillämplig integritetslagstiftning utgår en avgift enligt överenskommelse mellan parterna.
Löptid och upphörande
Detta avtal gäller så länge personuppgiftsbiträdet behandlar personuppgifter för den personuppgiftsansvariges räkning enligt tjänsteavtalet.
Detta avtal upphör automatiskt att gälla när tjänsteavtalet upphör att gälla. När detta avtal upphör att gälla ska personuppgiftsbiträdet radera eller återlämna de personuppgifter som behandlats för den personuppgiftsansvariges räkning i enlighet med tillämpliga klausuler i tjänsteavtalet. Såvida inget annat skriftligen avtalats ska kostnaderna för dessa åtgärder baseras på i) ett timarvode för den tid som personuppgiftsbiträdet arbetat och ii) det begärda arbetets komplexitet.
Personuppgiftsbiträdet får behålla personuppgifter efter avtalets upphörande i den mån detta krävs enligt lag. Dessa omfattas då av samma typ av tekniska och organisatoriska säkerhetsåtgärder som dem som beskrivs i detta avtal.
Ändringar och tillägg
Ändringar av avtalet ska anges i ett nytt tillägg till detta avtal och undertecknas av båda parter för att vara giltiga.
Om en eller flera bestämmelser i detta avtal blir ogiltiga ska detta inte påverka resterande bestämmelser. Parterna ska ersätta en ogiltig bestämmelse med en laglig bestämmelse som återspeglar syftet med den ogiltiga bestämmelsen.
Ansvar
Ansvaret för brott mot bestämmelserna i detta avtal ska regleras av ansvarsklausulerna i tjänsteavtalet mellan parterna. Detta gäller även om personuppgiftsbiträdets underleverantörer bryter mot bestämmelserna i avtalet.
Gällande lagstiftning och behörig domstol
I detta avtal gäller den lagstiftning och den behöriga domstol som anges i tjänsteavtalet mellan parterna.
Underleverantörer
Vid undertecknandet av detta avtal hade följande av personuppgiftsbiträdets underleverantörer tillgång till den personuppgiftsansvariges personuppgifter:
Namn | Ort/land | Rättslig grund för överföringen om underleverantören har tillgång till personuppgifter från länder utanför EU | Bistår personuppgiftsbiträd et med |
Tele2 Business | Stockholm, Sverige | Ej tillämpligt inom EU | Lagring på servrar |
Zendesk | San Francisco, USA | Sköld för skydd av privatlivet | Support |
InExchange Terms of Service
Definitions
(Sensitive Personal Data)
Any Personal Data related to:
- Racial or ethnic background
- Political opinions and affiliations
- Religious beliefs and other beliefs of a similar nature
- Trade union membership
- Mental and physical health
- Health - Criminal records
- Genetic and biometric data
All Partners carry an official InExchange Partner logo.
1. General terms
2. Right of Use
3. Data Processing Agreement
4. Supporting terms
- - to comply with any law, regulation or directive, or to respond to a legally binding request by governmental authorities or the police, such as a court order, warrant or subpoena;
- - to investigate or prevent serious security threats or fraud;
The Customer shall also indemnify InExchange from all claims, fines, sanctions etc. resulting from the Customer's breach of the Customer's obligations regarding processing of personal data.
Appendix A – Data Processing Agreement
Introduction
Both Parties confirm that the undersigned have the power of attorney to enter into this data processing agreement (“Agreement”). This Agreement will form part of and regulate the processing of personal data tied to the following service agreements ("Service Agreements") between the Parties:
- InExchange network
The Processor operates in accordance with the InExchange Privacy Statement, available at https://www.inexchange.se/privacy-statement/ .
Definitions
The definition of Personal Data, Special Categories of Personal Data (Sensitive Personal Data), Processing of Personal Data, Data Subject, Controller and Processor is equivalent to how the terms are used and interpreted in applicable privacy legislation, including the General Data Protection Regulation (GDPR) applicable for this Agreement and Europe from 25 May 2018.
Scope
The Agreement regulates the Processor's Processing of Personal Data on behalf of the Controller, and outlines how the Processor shall contribute to ensure privacy on behalf of the Controller and its registered Data Subjects, through technical and organisational measures according to applicable privacy legislation, including the GDPR.
The purpose behind the Processor’s Processing of Personal Data on behalf of the Controller is to fulfill the Service Agreements and this Agreement.
This Agreement takes precedence over any conflicting provisions regarding the Processing of Personal Data in the Service Agreements or in other agreements made between the Parties. This Agreement is valid for as long as the Parties have a valid Service Agreement which includes Processing of Personal Data.
The Processor’s obligations
The Processor shall only Process Personal Data on behalf of and in accordance with the Controller’s instructions. By entering into this Agreement, the Controller instructs the Processor to process Personal Data in the following manner; i) only in accordance with applicable law, ii) to fulfill all obligations according to the Service Agreement, iii) as further specified via the Controller’s ordinary use of the Processor’s services and iv) as specified in this Agreement.
The Processor has no reason to believe that legislation applicable to it prevents the Processor from fulfilling the instructions mentioned above. The Processor shall, upon becoming aware of it, notify the Controller of instructions or other Processing activities by the Controller which in the opinion of the Processor, infringes applicable privacy legislation
The categories of Data Subject’s and Personal Data subject to Processing according to this Agreement.
-
Categories of Data Subjects
- Customer end users
-
Categories of Personal Data
- Contact information such as name, phone number, address, email etc.
- Job information such as position, company etc.
The Processor shall ensure the confidentiality, integrity and availability of Personal Data according to privacy legislation applicable to the Processor. The Processor shall implement systematic, organizational and technical measures to ensure an appropriate level of security, taking into account the state of the art and cost of implementation in relation to the risk represented by the Processing, and the nature of the Personal Data to be protected.
The Processor shall assist the Controller by appropriate technical and organisational measures, insofar as possible and taking into account the nature of the Processing and the information available to the Processor, in fulfilling the Controller’s obligations under applicable privacy legislation with regards to request from Data Subjects, and general privacy compliance under the GDPR article 32 to 36.
If the Controller requires information about security measures, documentation or other forms of information regarding how the Processor Processes Personal Data, and such requests exceed the standard information provided by the Processor to comply with applicable privacy legislation as Processor, and imposes additional work on the Processor, the Processor may charge the Controller for such additional services according to agreement between the parties.
The Processor and its staff shall ensure confidentiality concerning the Personal Data subject to Processing in accordance with the Agreement. This provision also applies after the termination of the Agreement.
The Processor will, by notifying the Controller without undue delay, enable the Controller to comply with the legal requirements regarding notification to data authorities or Data Subjects about incidents.
Further, the Processor will to the extent it is appropriate and lawful notify the Controller of;
- requests for the disclosure of Personal Data received from a Data Subject,
- requests for the disclosure of Personal Data by governmental authorities, such as the police
The Processor will not respond directly to requests from Data Subjects unless authorized by the Controller to do so. The Processor will not disclose information about this Agreement to governmental authorities such as the police, hereunder Personal Data, except as obligated by law, such as through a court order or similar warrant.
The Processor does not control if and how the Controller uses third party integrations through the Processor's API or similar, and thus the Processor has no ownership to risk in this regard. The Controller is solely responsible for third party integrations.
The Controller’s obligations
The Controller’s obligations The Controller confirms by the signing of this Agreement that:
- The Controller shall, when using the services provided by the Processor under the Services Agreements, process Personal Data in accordance with the requirements of applicable privacy legislation.
- The Controller has legal authority to process and disclose to the Processor (including any subcontractors used by the Processor) the Personal Data in question.
- The Controller has the sole responsibility for the accuracy, integrity, content, reliability and lawfulness of the Personal Data disclosed to the Processor.
- The Controller has fulfilled all mandatory requirements and duties to file notifications with or get authorization from the relevant regulatory authorities regarding the processing of the Personal Data.
- The Controller has fulfilled its duties to provide relevant information to Data Subjects regarding processing of Personal Data according to mandatory data protection legislation.
- The Controller shall, when using the services provided by the Processor under the Services Agreement, not communicate any Sensitive Personal Data to the Processor, unless this is explicitly agreed in Appendix A to this Agreement.
- The Controller shall maintain an up to date register over the types and categories of Personal data it Processes, to the extent such Processing deviates from categories and types of Personal Data included in Appendix A.
Use of subcontractors and transfer of data
As part of the delivery of services to the Controller according to the Service Agreements and this Agreement, the Processor may make use of subcontractors. Such subcontractors can be external third party subcontractors located within or outside the EU. The Processor shall ensure that subcontractors agrees to undertake responsibilities corresponding to the obligations set out in this Agreement. All use of subcontractors is subject to the InExchange Privacy Statement.
The Controller may request to include an overview of the current subcontractors with access to Personal Data in an Appendix B. The Controller may also request a complete overview and more detailed information about the subcontractors involved in the Service Agreements at any time.
If the subcontractors are located outside the EU, the Controller gives the Processor authorization to ensure proper legal grounds for the transfer of Personal Data out of the EU on behalf of the Controller, hereunder by entering into EU Model Clauses or transferring Personal Data in accordance with the Privacy Shield.
The Controller shall be notified in advance of any changes of subcontractors that Process Personal Data. If the Processor is not able to document that a new subcontractor are compliant with applicable privacy legislation, then the Controller may terminate this Agreement. Such termination may give the right to terminate the Service Agreement, partly or fully, according to the termination clauses included in the Service Agreement. An important part of such assessments shall be to what extent the subcontractor's Processing of Personal Data is a necessary part of the services provided under the Service Agreement. The change of subcontractor will not in itself be considered as a breach of the Service Agreement.
By signing this Agreement, the Controller accepts the Processor's general use of subcontractors as described above.
Security
The Processor is committed to provide a high level of security in its products and services. The Processor provides an appropriate security level through organizational, technical and physical security measures, according to the requirements on information security measures outlined in GDPR article 32.
Further, the internal privacy framework developed by InExchange aims to safeguard the confidentiality, integrity, resilience and availability of Personal Data. The following measures are of particular importance in this regard:
- Classification of Personal Data to ensure implementation of security measures equivalent to risk assessments.
- Assess use of encryption and pseudo anonymization as risk mitigating factors.
- Limiting access to Personal Data to those that need access to fulfill obligations according to this Agreement or the Service Agreement.
- Manage systems that detects, restore, prevents and reports privacy incidents.
- Use security self-assessments to analyze whether current technical and organizational measures are sufficient to protect Personal Data, taking into account the requirements outlined in applicable privacy legislation.
Audit rights
The Controller may audit the Processor’s compliance with this Agreement up to once a year. If required by legislation applicable to the Controller, the Controller may request audits more frequently. To request an audit, the Controller must submit a detailed audit plan at least four weeks in advance of the proposed audit date to the Processor, describing the proposed scope, duration, and start date of the audit. If any third party is to conduct the audit, it must as a main rule be mutually agreed between the Parties. However, if the processing environment is a multitenant environment or similar, the Controller gives the Processor authority to decide, due to security reasons, that audits shall be performed by a neutral third party auditor of the Processor’s choosing.
If the requested audit scope is addressed in an ISAE, ISO or similar assurance report performed by a qualified third party auditor within the prior twelve months, and the Processor confirms that there are no known material changes in the measures audited, the Controller agrees to accept those findings instead of requesting a new audit of the measures covered by the report.
In any case, audits must be conducted during regular business hours at the applicable facility, subject to the Processors policies, and may not unreasonably interfere with the Processors business activities.
The Controller shall be responsible for any costs arising from the Controller’s requested audits. Assistance from the Processor that exceed the standard service provided by the Processor and/or InExchange to comply with applicable privacy legislation, will be subject to fees according to agreement between the Parties.
Term and termination
This Agreement is valid for as long as the Processor Processes Personal Data on behalf of the Controller according to the Service Agreements.
This Agreement is automatically terminated upon termination of the Service Agreement. Upon termination of this Agreement, the Processor will delete or return Personal Data processed on behalf of the Controller, according to the applicable clauses in the Service Agreement. Unless otherwise agreed in writing, the cost of such actions shall be based on; i) hourly rates for the time spent by the Processor and ii) the complexity of the requested process.
The Processor may retain Personal Data after termination of the Agreement, to the extent it is required by law, subject to the same type of technical and organizational security measures as outlined in this Agreement.
Changes and amendments
Changes to the Agreement shall be included in a new Appendix to this Agreement and signed by both Parties in order to be valid.
If any provisions in this Agreement become void, this shall not affect the remaining provisions. The Parties shall replace the void provision with a lawful provision that reflects the purpose of the void provision.
Liability
The liability for violation of provisions of this Agreement shall be regulated by the liability clauses in the Service Agreements between the Parties. This also applies to any violation committed by the Processor’s subcontractors.
Governing law and legal venue
This Agreement is subject to the governing law and legal venue as set out in the Service Agreement between the parties.
Subcontractors
Current subcontractors of the Processor with access to the Controller’s Personal Data upon signing this Agreement include:
Name | Location/country | Legal transfer mechanism if the subcontractor has access to personal data from countries outside the EU | Assisting the Processor with |
Tele2 Business | Stockholm, Sweden | Not applicable within EU | Storage on servers |
Zendesk | San Francisco, US | Privacy Shield | Support |