Villkor

1. Allmänt

Hemsidan www.bostadsportal.se (”BostadsPortal”) ägs och drivs sedan april 2018 av det danska företaget BoligPortal A/S.

BostadsPortal används av följande användare:

Bostadssökande:
Privatpersoner som söker bostad åt sitt eget hushåll samt företag med ett företagsavtal om bostadssökning för anställda.

Hyresvärdar:
Hyresvärden är den person eller det företag som ansvarar för att hyra ut eller förvalta bostaden. Lagstiftningen delar in hyresvärdar i två grupper: privata och professionella hyresvärdar.

En privat hyresvärd definieras juridiskt som att denne max. har en bostad att hyra ut, eventuellt hela eller delar av egen bostad.

En professionell hyresvärd definieras juridiskt som en hyresvärd som har mer än en bostad att hyra ut. Detta gör det inte nödvändigt att alla bostäder registreras/hyrs ut hos Bostadsportal.

Samma villkor gäller för privata och professionella hyresvärdar på Bostadsportal med undantag för betalningsmöjligheter.

BoligPortal A/S förbehåller sig rätten att löpande efter behov uppdatera våra villkor, inklusive personuppgifts- och cookiepolicy, och meddela ändringarna på www.bostadsportal.se .

1.2. Nyttjanderätt

Din inloggning på BostadsPortal är personlig och får därför inte lämnas ut, lånas ut eller säljas till andra, och det är inte heller tillåtet att använda din åtkomst för att lämna ut information som endast finns tillgänglig med din inloggning, till exempel kontaktuppgifter till hyresvärdar eller bostadssökande eller marknadsinsikt som hyresvärd.

Brott mot ovanstående utreds vidare och kan i slutändan leda till att din bostadssökning/annonsering omedelbart blockeras utan ersättning från BoligPortal A/S.

1.3. Betalningar och abonnemangsavtal

Alla betalningar på BostadsPortal är generellt baserade på abonnemang, vilket betyder att ditt abonnemangsavtal kommer att fortsätta automatiskt med periodiska betalningar som fastställdes när abonnemanget köptes och fram till den punkt som du själv avbryter avtalet (säger upp abonnemanget).

För att skapa ett abonnemang ska du vara minimum 18 år.

Tjänster köpt genom vår hemsida är köpta och betalade till BoligPortal A/S och därför är detta avtal också avslutat via vår plattform. Du betalar online med en av våra specifika betalningsalternativ. All form av data du tillhandahåller i anslutning med ett köp online är krypterade (SSL), vilket betyder att enbart BoligPortal A/S:s betalningsleverantör har denna information. Dina betalningsuppgifter är härmed skyddade mot missbruk.

Om ett betalningskort som använts vid ett köp löper ut, eller på något vis blockerats så vi inte kan debitera det periodiska betalningar, så kommer vi försöka slutföra köpet i en period därefter, varierande och beroende på den ursprungliga anledningen till att betalningen misslyckades. Om vi inte lyckas göra en ny debitering inom denna period så kommer abonnemangsavtalet att upphöra.

Om du önskar att ändra betalningsalternativ för att fortsätta betalningarna, så behöver du avbryta ditt aktiva abonnemang. Vid abonnemang periodens upphörande kan du skapa en ny betalning och därmed ändra betalnings detaljerna vid det nya köpet.

På BostadsPortal har du alltid en översikt över dina abonnemang och alla framtida betalningar samt betalningar som redan redan är gjorda. Du kommer att ta emot ett email med ett kvitto för din första betalning när abonnemanget skapats. Ytterligare kvitton för förnyelsen av abonnemanget kan du hitta på din användarprofil. Du kan avsluta abonnemangsavtalet under den nuvarande perioden utan att reducera längden. Avtalet är heller inte bindande. Det betyder att du kan avsluta det när du vill, och det kommer inte vara några framtida betalningar.

Om du skapar ett abonnemang genom vår app för iOS (iPhone och iPad) eller android så är betalningen genomförd via Apple eller Google, och du måste därför avsluta det via Apple's App Store eller Google Play. Ett kvitto för att skapa och avsluta abonnemanget är standard procedur för betalningar via dessa app stores. BoligPortal A/S har inte åtkomst till att administrera abonnemang skapade via Apple eller Google Play och kan därför inte assistera med att avsluta ett sådant abonnemang.

För speciella villkor gällande våra B2B abonnemang för hyresvärdar, se klausul 3.3.

1.4. Ångerrätt

Vid köp av abonnemang på Bostadsportal har du 14 dagars ångerrätt, som räknas från ögonblicket då avtalen om abonnemanget ingicks. Genom att skapa abonnemanget och godkänna dessa villkor samtycker du samtidigt till att ångerrätten upphör när du tar ditt abonnemang i bruk. I praktiken innebär detta att ångerrätten upphör vid första inloggning, vid ifyllning av din sökprofil, kontakt med hyresvärd eller aktiv annonsering av ditt lediga hyresobjekt, eftersom särskilda funktioner kopplade till abonnemanget därmed tas i bruk.

Om du vill utnyttja din ångerrätt ska du – innan du tar abonnemanget i bruk och innan 14-dagarsfristen löper ut – kontakta oss via e-post på info@bostadsportal.se med följande information:

Ditt fullständiga namn och nuvarande adress
Den e-postadress som är kopplad till ditt abonnemang
Eventuellt ordernummer som visas på ditt kvitto

Om du är berättigad din ångerrätt, återbetalar Bolig Portal A/S alla betalningar för den aktuella beställningen utan onödig fördröjning och senast 14 dagar från det datum vi mottagit ditt meddelande om ångerrätt.

Observera att vid abonnemangsbaserade köp gäller ångerrätten endast 14 dagar från det ursprungliga inköpsdatumet och om ovanstående har följts (abonnemanget har inte tagits i bruk). Ångerrätten förnyas inte när abonnemanget senare förnyas, eftersom det är en och samma tjänst med löpande abonnemangsbetalning.

1.5. Behandling av personuppgifter

När du använder BostadsPortal, registrerar vi information om dig. Insamling, behandling, lagring och radering av personuppgifter beskrivs i vår sekretesspolicy .

1.5.1. Insamling, lagring och radering av personuppgifter

Som regel kan du alltid få dina personuppgifter hos oss raderade.

Vid ett betalningsförhållande och vid ingående av ett tjänsteavtal samt vid annonsering av ledig bostad är BoligPortal A/S dock skyldig att lagra information om betalningen eller den annonserade bostaden i fem år enligt bokföringslagen.

1.5.2. Skriftlig dialog mellan användare och sekretess för korrespondens

Hyresvärdar och bostadssökande/hyresgäster kan kommunicera fritt via plattformens meddelandesystem om det specifika hyresförhållandet och ömsesidiga önskemål om respektive bostad och hyresgäst. Dialogen omfattas i regel av reglerna om brevsekretess, men följande villkor gäller:

Dialogen mellan hyresvärdar och bostadssökande får inte innehålla erbjudanden eller krav på andra tjänster och produkter. Erbjudanden om annonsering av bostäder någon annanstans än på BostadsPortal är inte heller tillåtna. Alla anmälningar av detta kommer att kontrolleras.
Av hänsyn till både användarupplevelsen och säkerheten förbehåller vi oss rätten att läsa och lagra dialogen mellan användare via vårt meddelandesystem utan föregående tillstånd från en eller flera av parterna.

Dialogen mellan hyresvärden och den bostadssökande tillhör båda parter och används som dokumentation av ett eventuellt ingått hyresavtal. Därför kan du som användare på BostadsPortal inte kräva att dialogen eller delar av denna raderas. Dialogen raderas dock automatiskt om båda användarnas användarkonton tas bort.

2. Bostadssökande

2.1. Allmänt för bostadssökande

Som bostadssökande kan du kostnadsfritt anmäla dig till vår bostadsagent, som meddelar dig om nya bostäder som exakt matchar dina sökkriterier, antingen via e-post eller via vår app.

Med ett betalt abonnemang kan du dessutom fylla i en sökprofil som presenterar dig som potentiell hyresgäst för relevanta hyresvärdar vars bostäder matchar dina kriterier. Din sökprofil är aktiv och synlig på BostadsPortal för relevanta hyresvärdar samt BoligPortal A/S:s personal så länge du har aktiv, betald åtkomst.

Du kan när som helst ändra och uppdatera sökkriterierna både för din bostadsagent och i din sökprofil samt när som helst avregistrera bostadsagenten när du inte längre vill få meddelande om nytt boende.

2.2. Nyttjanderätt som bostadssökande

Ett användarkonto som bostadssökande är personligt och låter dig söka efter en egen bostad för dig själv eller för ett hushålls räkning. Det är inte tillåtet att låna ut, dela eller på annat sätt avslöja inloggning eller annan information och tjänster som är kopplade till din åtkomst, och du får inte heller söka på uppdrag av någon annan än det hushåll som profilen representerar. Om du som företag söker bostad åt dina anställda ska du istället ha ett företagsavtal. Kontakta i så fall vår Kundtjänst ( info@bostadsportal.se ) innan du upprättar ett konto.

Du måste ha fyllt 18 år för att upprätta ett abonnemang som bostadssökande på Bostadsportal.

2.3. Betalningsvillkor som bostadssökande

Det gäller specifikt för bostadssökande på BostadsPortal att nya kunder erbjuds en introduktionsperiod innan abonnemanget fortsätter till den första fullständiga perioden. Om du redan har använt BostadsPortal kommer abonnemanget att börja direkt med den fulla perioden av abonnemanget. När du tecknar ett abonnemang via vår iOS- eller Android-app gäller perioder fastställda av Apple/Google. Vad gäller övriga villkor avseende betalning, teckning och ångerrätt hänvisas till punkterna 1.3 och 1.4.

3. Hyresvärdar

3.1. Allmänt om annonsering för hyresvärdar

Som hyresvärd kan du registrera dina bostäder manuellt på vår plattform eller, om du redan annonserar ut dina tillgängliga bostäder på din egen webbplats, kan vi automatiskt importera annonser härifrån. Vid automatisk överföring från egen webbplats till BostadsPortal sker detta alltid efter föregående överenskommelse och upprättande.

BoligPortal A/S granskar och godkänner alla annonser. Därför ger du oss vid önskad annonsering av en ledig bostad tillåtelse att läsa igenom annonsen, redigera den efter behov och kontakta dig baserat på denna granskning.

Vid registrering av bostäder för annonsering ska BoligPortal A/S känna till

Bostadens fullständiga adress
Hyresvärdens/kontaktpersonens fullständiga namn
Hyresvärdens egna adress eller företagets adress, telefonnummer och e-postadress

I förekommande fall företagsnamn och organisationsnummer

Om dessa uppgifter inte anges kan annonsen inte godkännas och annonseras på BostadsPortal.

Följande gäller för den utannonserade bostaden:

Annonsen (inklusive text, bilder, videomaterial och liknande) får inte innehålla kontaktuppgifter i form av företagsnamn, telefonnummer, e-postadress, webbplats eller liknande. Dessa uppgifter tas bort från annonstexten innan annonsen godkänns.
Varje annons representerar en tillgänglig bostad med tillträde det annonserade datumet, hyra på månadsbasis och en hyresperiod på minst en månad.

Det är inte tillåtet att registrera flera annonser för samma bostad.
Vi godkänner inte annonser för bytesbostäder, bostadsförsäljning, affärslokaler, parkering eller annan förvaring/lagring.
Övertagande av en bostad får inte vara villkorat av köp av varor eller tillhandahållande av tjänster, såvida det inte rör sig om en funktion som fastighetsskötare eller annat som enligt Bostadsportal kan likställas med detta.

Vi förbehåller oss rätten att när som helst avvisa annonser utan föregående dialog med hyresvärden och oavsett anledning.

3.2. Nyttjanderätt och skyldigheter som hyresvärd

Ett användarkonto som hyresvärd är personligt och kan användas för att registrera bostäder som du själv hyr ut. När du registrerar en bostad är du skyldig att underhålla uppgifterna om bostaden, åtminstone när bostaden aktivt annonseras som ledig på BostadsPortal och även att markera bostaden som uthyrd när den inte längre kan betraktas som ledig.

All dialog med bostadssökande bör handla om den specifika lediga bostaden, och dialogen om lediga bostäder ska ske via de kontaktformer som BostadsPortal tillhandahåller. Det är inte tillåtet att använda Bostadsportals plattform för att flytta kunder till egna eller andra annonseringsmedier.

När du som hyresvärd annonserar ut en ledig bostad kommer en sida att skapas på BostadsPortal med dina bostadsuppgifter inklusive bilder för annonsen, som sedan kan hittas via Google och andra sökmotorer. När statusen för den utannonserade bostaden ändras till ”uthyrd” inaktiveras annonsen automatiskt på BostadsPortal och dialog med bostadssökande är inte längre möjlig. Därefter är informationen om bostaden endast tillgänglig för hyresvärden själv och för de anställda på BoligPortal A/S.

3.3. Betalningsvillkor för hyresvärdar

Köp relaterade till den enskilda bostaden, till exempel funktioner för framhävande av annonsen, följer villkoren i avsnitt 1.3. Betalning och abonnemangsavtal

För vårt B2B-abonnemang som ett enda paket förbehåller vi oss rätten att kontinuerligt ändra abonnemangspriser, bland annat till följd av nya funktioner i befintliga digitala tjänster eller tillägg av nya tjänster till de enskilda paketen. Vi meddelar alltid prisändringar via e-post innan de träder i kraft, och du kommer därför också att ha möjlighet att avsluta abonnemanget och därmed säga upp de köpta tjänsterna innan prisändringen träder i kraft.

3.4. Diskriminering och stötande innehåll

Enligt Jämställdhetslagen får hyresvärdar inte annonsera efter hyresgäster av ett visst kön eller en viss etnicitet. Detta gäller alla hyresvärdar oavsett ägande, vid uthyrning eller andrahandsuthyrning av hela bostaden. Vid andrahandsuthyrning av rum eller delar av egen bostad kan hyresvärden välja hyresgästen efter kön, eftersom hyresavtalets mer privata karaktär faller utanför detta rättsområde.

På BostadsPortal följer vi dessa regler. Därför förbehåller vi oss rätten att redigera annonstext som handlar om kön och etnicitet (för hela bostäder) eller etnicitet (för rum) och informera hyresvärden om detta. Vi följer också upp alla anmälningar om diskriminering av hyresgäster på grund av etnicitet eller kön samt alla andra skäl till diskriminering eller särbehandling, vilket kan leda till att hyresvärdar inte längre får annonsera på BostadsPortal.

3.5. Annonspartners

Vid godkännande av BoligPortal A/S:s villkor för annonsering samtycker du även till att BoligPortal A/S får använda bostaden eller hänvisa till den i marknadsföringssyfte utan föregående godkännande från dig. Du samtycker även till att bostaden visas hos BoligPortal A/S’s annonspartners. Syftet med detta är att säkerställa snabb och effektiv uthyrning av bostaden. Dina kontaktuppgifter kommer inte att lämnas ut och all kontakt med potentiella hyresgäster kommer att ske via de kontaktalternativ som anges i annonsen på BostadsPortal.

BoligPortal A/S:s annonspartners är för närvarande Google, Facebook och edc.dk. Dessutom använder vi data för bostadsannonser för att generera bannerannonser på mediesajter.

3.6. Villkor för våra digitala hyreskontrakt och flyttrapporter

När du väljer att använda dessa funktioner kommer vi att behandla uppgifter om hyresgäster för din räkning. Detta kräver ett personuppgiftsbiträdesavtal. När du godkänner dessa villkor godkänner du därför också det personuppgiftsbiträdesavtal som gäller för ovanstående funktioner, oavsett om du för närvarande använder dessa funktioner eller inte.

Personuppgiftsbiträdesavtalet på BostadsPortal följer den standard som fastställts av den danska dataskyddsmyndigheten och som används i flera europeiska länder. Du hittar personuppgiftsbiträdesavtalet nedan. Dessutom kan du alltid begära en kopia av avtalet.

Som användare av BostadsPortals digitala hyreskontrakt och flyttrapporter ansvarar du själv för att få hyresgästernas samtycke att föra in personuppgifter i vårt system.

3.6.1. Hyreskontrakt

Det digitala hyreskontraktet är ett verktyg som hyresvärden kan använda för att fylla i formulären för hyreskontrakt samt hantera processen för undertecknande av kontrakten, avisering om inbetalning av belopp före tillträde samt inhämtning av fullmakt för leveransföretag osv.

Som hyresvärd har du det fulla ansvaret för att se till att kontraktet är korrekt ifyllt och lagenligt utformat innan du skickar det för underskrift. BoligPortal A/S ger ingen juridisk rådgivning om utformningen av hyreskontrakt och tar därför inget rådgivande ansvar. Svar på frågor om själva verktygets funktion kommer aldrig att vara rådgivning om hyreskontraktets utformning, innehåll eller lagenlighet, utan endast allmän kundservice vid användning av verktyget.

BoligPortal A/S frånsäger sig därför allt ansvar för hyreskontraktens lagenlighet. BoligPortal A/S kan under inga omständigheter hållas ansvarigt för förluster, inklusive indirekta förluster, till följd av användning av genererade hyreskontrakt.

3.6.2. Besiktningsprotokoll

Besiktningsprotokoll är ett verktyg för att hantera flyttbesiktning i hyresbostäder för boende och är endast avsedda för detta ändamål. Verktyget är digitalt och omfattar digital signering av dokumentet vid hyresgästens mottagande och är till hjälp vid digital leverans av den färdiga rapporten.

Som hyresvärd ansvarar du för att en stabil internetanslutning kan upprättas på platsen för flyttbesiktningen. Mot denna bakgrund ansvarar BoligPortal A/S inte för förlust av uppgifter eller andra olägenheter.

4. Klagomålshantering

Om du vill klaga på BoligPortal A/S eller ett beslut som fattats av BoligPortal A/S rörande din användning av eller en upplevelse du har haft med en annan användare på www.bostadsportal.se eller vor app, vänligen skicka ditt klagomål till info@bostadsportal.se och skriv " klagomål " i ämnesraden. På så sätt säkerställer vi att ditt ärende hanteras i tid av kvalificerad personal. Du kan lämna in ditt klagomål enligt denna punkt 4 inom 6 månader efter att du har mottagit meddelande om vårt beslut.

Om ett klagomål inte har lösts genom det interna klagesystemet har du rätt att hänskjuta tvisten till Allmänna reklamationsnämnden (ARN) .

5. Kontaktuppgifter

BoligPortal A/S, Paludan Müllers vej 40B, 8200 Aarhus N, Danmark

E-post: info@bostadsportal.se .

Du kan också använda vårt kontaktformulär .

Du kan kontakta oss på svenska, danska eller engelska.

KOMMISSIONENS GENOMFÖRANDEBESLUT (EU) 2021/915

av den 4 juni 2021

om standardavtalsklausuler mellan personuppgiftsansvariga och personuppgiftsbiträden enligt artikel 28.7 i Europaparlamentets och rådets förordning (EU) 2016/679 och artikel 29.7 i Europaparlamentets och rådets förordning (EU) 2018/1725

(Text av betydelse för EES)

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DETTA BESLUT

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ( ¹ ) , särskilt artikel 28.7,

med beaktande av Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG ( ² ) , särskilt artikel 29.7, och

av följande skäl:

(1)

Begreppen personuppgiftsansvarig och personuppgiftsbiträde har en central roll vid tillämpningen av förordning (EU) 2016/679 och förordning (EU) 2018/1725. Den personuppgiftsansvarige är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Vid tillämpning av förordning (EU) 2018/1725 avses med personuppgiftsansvarig den unionsinstitution eller det unionsorgan eller det generaldirektorat eller varje annan organisatorisk enhet som ensam(t) eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för denna behandling bestäms av en särskild unionsakt kan den personuppgiftsansvarige eller de särskilda kriterierna för utnämning av personuppgiftsansvarig föreskrivas i unionsrätten. Ett personuppgiftsbiträde är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.

(2)

Samma uppsättning standardavtalsklausuler bör vara tillämpliga med avseende på förhållandet mellan personuppgiftsansvariga och personuppgiftsbiträden som omfattas av förordning (EU) 2016/679 och även när de omfattas av förordning (EU) 2018/1725. Detta beror på att bestämmelserna om skydd av personuppgifter i förordning (EU) 2016/679, som gäller för den offentliga sektorn i medlemsstaterna, och bestämmelserna om skydd av personuppgifter i förordning (EU) 2018/1725, som gäller för unionens institutioner, organ och byråer, så långt som möjligt har anpassats till varandra för att främja en konsekvent strategi för skyddet av personuppgifter i hela unionen och det fria flödet av personuppgifter inom unionen.

(3)

För att säkerställa att kraven i förordning (EU) 2016/679 och förordning (EU) 2018/1725 uppfylls, bör den personuppgiftsansvarige, när denne anförtror behandling åt ett personuppgiftsbiträde, endast använda personuppgiftsbiträden som ger tillräckliga garantier, i synnerhet i fråga om sakkunskap, tillförlitlighet och resurser, för att genomföra tekniska och organisatoriska åtgärder som uppfyller kraven i förordning (EU) 2016/679 och förordning (EU) 2018/1725, bl.a. vad gäller säkerhet i samband med behandlingen av uppgifter.

(4)

När uppgifter behandlas av ett personuppgiftsbiträde ska behandlingen regleras genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt som är bindande för personuppgiftsbiträdet med avseende på den personuppgiftsansvarige och som innehåller de delar som förtecknas i artikel 28.3 och 28.4 i förordning (EU) 2016/679 eller artikel 29.3 och 29.4 i förordning (EU) 2018/1725. Avtalet eller rättsakten bör upprättas skriftligen, inbegripet i ett elektroniskt format.

(5)

I enlighet med artikel 28.6 i förordning (EU) 2016/679 och artikel 29.6 i förordning (EU) 2018/1725 får den personuppgiftsansvarige och personuppgiftsbiträdet välja att förhandla fram ett enskilt avtal som innehåller de obligatoriska delar som anges i artikel 28.3 och 28.4 i förordning (EU) 2016/679 respektive artikel 29.3 och 29.4 i förordning (EU) 2018/1725, eller att helt eller delvis använda standardavtalsklausuler som antagits av kommissionen i enlighet med artikel 28.7 i förordning (EU) 2016/679 och artikel 29.7 i förordning (EU) 2018/1725.

(6)

Det bör stå den personuppgiftsansvarige och personuppgiftsbiträdet fritt att inkludera standardavtalsklausulerna i detta beslut i ett mer omfattande avtal och att lägga till andra klausuler eller ytterligare skyddsåtgärder, förutsatt att de inte direkt eller indirekt strider mot standardavtalsklausulerna eller påverkar de registrerades grundläggande rättigheter och friheter. Användning av standardavtalsklausulerna påverkar inte eventuella avtalsförpliktelser som den personuppgiftsansvarige och/eller personuppgiftsbiträdet har för att säkerställa att tillämpliga privilegier och immuniteter iakttas.

(7)

Standardavtalsklausulerna bör omfatta både materiella och processuella bestämmelser. I enlighet med artikel 28.3 i förordning (EU) 2016/679 och artikel 29.3 i förordning (EU) 2018/1725 bör det i standardavtalsklausulerna även krävas att den personuppgiftsansvarige och personuppgiftsbiträdet anger föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter, kategorier av registrerade och den personuppgiftsansvariges skyldigheter och rättigheter.

(8)

I enlighet med artikel 28.3 i förordning (EU) 2016/679 och artikel 29.3 i förordning (EU) 2018/1725 måste personuppgiftsbiträdet omedelbart informera den personuppgiftsansvarige om denne anser att en instruktion från den personuppgiftsansvarige strider mot förordning (EU) 2016/679 eller förordning (EU) 2018/1725 eller mot andra av unionens eller medlemsstaternas dataskyddsbestämmelser.

(9)

Om ett personuppgiftsbiträde anlitar ett annat personuppgiftsbiträde för att utföra specifika uppgifter bör de särskilda krav som avses i artikel 28.2 och 28.4 i förordning (EU) 2016/679 eller artikel 29.2 och 29.4 i förordning (EU) 2018/1725 tillämpas. I synnerhet krävs ett särskilt eller allmänt skriftligt förhandstillstånd. Oberoende huruvida det är frågan om ett särskilt eller allmänt förhandstillstånd, bör det första personuppgiftsbiträdet hålla en förteckning över andra personuppgiftsbiträden uppdaterad.

(10)

För att uppfylla kraven i artikel 46.1 i förordning (EU) 2016/679 har kommissionen antagit standardavtalsklausuler i enlighet med artikel 46.2 c i förordning (EU) 2016/679. Dessa klausuler uppfyller även kraven i artikel 28.3 och 28.4 i förordning (EU) 2016/679 för överföringar av uppgifter från personuppgiftsansvariga som omfattas av förordning (EU) 2016/679 till personuppgiftsbiträden utanför den förordningens territoriella tillämpningsområde eller från personuppgiftsbiträden som omfattas av förordning (EU) 2016/679 till underleverantörer utanför den förordningens territoriella tillämpningsområde. Dessa standardavtalsklausuler kan inte användas som standardavtalsklausuler i den mening som avses i kapitel V i förordning (EU) 2016/679.

(11)	Tredje parter bör kunna bli parter i standardavtalsklausulerna under avtalets hela löptid.

(12)	Standardavtalsklausulernas tillämpning bör utvärderas som en del av den regelbundna utvärderingen av förordning (EU) 2016/679 enligt artikel 97 i den förordningen.

(13)	Europeiska datatillsynsmannen och Europeiska dataskyddsstyrelsen har hörts i enlighet med artikel 42.1 och 42.2 i förordning (EU) 2018/1725 och har avgett ett [gemensamt yttrande] den 14 januari 2021 ( ³ ) , vilket har beaktats vid utarbetandet av detta beslut.

(14)	De åtgärder som föreskrivs i detta beslut följer yttrandet från den kommitté som inrättats enligt artikel 93 i förordning (EU) 2016/679 respektive artikel 96.2 i förordning (EU) 2018/1725.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Standardavtalsklausulerna i bilagan uppfyller kraven för avtal mellan personuppgiftsansvariga och personuppgiftsbiträden i artikel 28.3 och 28.4 i förordning (EU) 2016/679 och i artikel 29.3 och 29.4 i förordning (EU) 2018/1725.

Artikel 2

Standardavtalsklausulerna i bilagan får användas i avtal mellan en personuppgiftsansvarig och ett personuppgiftsbiträde som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Artikel 3

Kommissionen ska utvärdera den praktiska tillämpningen av standardavtalsklausulerna i bilagan på grundval av all tillgänglig information som en del av den regelbundna utvärdering som föreskrivs i artikel 97 i förordning (EU) 2016/679.

Artikel 4

Detta beslut träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning .

Utfärdat i Bryssel den 4 juni 2021.

På kommissionens vägnar

Ursula VON DER LEYEN

Ordförande

( ¹ ) EUT L 119, 4.5.2016, s. 1

( ² ) EUT L 295, 21.11.2018, s. 39

( ³ )

Gemensamt yttrande 1/2021 från Europeiska dataskyddsstyrelsen (EDPB) och Europeiska datatillsynsmannen (EDPS) om Europeiska kommissionens genomförandebeslut om standardavtalsklausuler mellan personuppgiftsansvariga och personuppgiftsbiträden för de frågor som avses i artikel 28.7 i förordning (EU) 2016/679 och artikel 29.7 i förordning (EU) 2018/1725.

BILAGA

STANDARDAVTALSKLAUSULER

AVSNITT I

Klausul 1

Syfte och tillämpningsområde

Syftet med dessa standardavtalsklausuler ( klausulerna ) är att säkerställa överensstämmelse med [välj relevant alternativ: ALTERNATIV 1: artikel 28.3 och 28.4 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter]/[ALTERNATIV 2: artikel 29.3 och 29.4 i Europaparlamentets och rådets förordning (EG) nr 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)].

b)	De personuppgiftsansvariga och de personuppgiftsbiträden som anges i bilaga I har kommit överens om att tillämpa dessa klausuler för att säkerställa efterlevnaden av artikel 28.3 och 28.4 i förordning (EU) 2016/679 och/eller artikel 29.3 och 29.4 i förordning (EU) 2018/1725.

c)	Dessa klausuler är tillämpliga på behandling av personuppgifter i enlighet med bilaga II.

d)	Bilagorna I–IV utgör en integrerad del av klausulerna.

e)	Dessa klausuler påverkar inte de skyldigheter som den personuppgiftsansvarige har enligt förordning (EU) 2016/679 och/eller förordning (EU) 2018/1725.

f)	Genom dessa klausuler säkerställs inte i sig att skyldigheterna i samband med internationella överföringar i enlighet med kapitel V i förordning (EU) 2016/679 och/eller förordning (EU) 2018/1725 fullgörs.

Klausul 2

Klausulernas oföränderlighet

a)	Parterna förbinder sig att inte ändra klausulerna, förutom för att lägga till information i bilagorna eller uppdatera informationen i dem.

Detta hindrar inte parterna från att inkludera de standardavtalsklausuler som fastställs i dessa klausuler i ett mer omfattande avtal eller att lägga till andra klausuler eller ytterligare skyddsåtgärder, under förutsättning att de inte direkt eller indirekt strider mot klausulerna eller begränsar de registrerades grundläggande rättigheter eller friheter.

Klausul 3

Tolkning

a)	Om de begrepp som definieras i förordning (EU) 2016/679 respektive förordning (EU) 2018/1725 används i dessa klausuler ska dessa begrepp ha samma betydelse som i den förordningen.

b)	Dessa klausuler ska läsas och tolkas mot bakgrund av bestämmelserna i förordning (EU) 2016/679 respektive förordning (EU) 2018/1725.

c)	Dessa klausuler ska inte tolkas så att de strider mot de rättigheter och skyldigheter som föreskrivs i förordning (EU) 2016/679 respektive förordning (EU) 2018/1725 eller påverkar de registrerades grundläggande rättigheter eller friheter.

Klausul 4

Hierarki

Om dessa klausuler strider mot bestämmelser i tillhörande avtal mellan parterna som gäller vid den tidpunkt då dessa klausuler avtalas eller ingås därefter, ska dessa klausuler ha företräde.

Klausul 5 – Frivillig

Dockningsklausul

a)	Varje enhet som inte är part i dessa klausuler får, med godkännande från samtliga parter, när som helst ansluta sig till dessa klausuler som personuppgiftsansvarig eller personuppgiftsbiträde genom att fylla i bilagorna och underteckna bilaga I.

b)	När de bilagor som avses i led a har fyllts i och undertecknats ska den anslutande enheten behandlas som part i dessa klausuler och ha de rättigheter och skyldigheter som gäller personuppgiftsansvariga eller personuppgiftsbiträden i överensstämmelse med dess intagande i bilaga I.

c)	Den anslutande enheten ska inte ha några rättigheter eller skyldigheter som följer av dessa klausuler innan den blir part.

AVSNITT II

PARTERNAS SKYLDIGHETER

Klausul 6

Beskrivning av behandlingen

Närmare uppgifter om behandlingen, särskilt kategorierna av personuppgifter och de ändamål för vilka personuppgifterna behandlas för den personuppgiftsansvariges räkning, anges i bilaga II.

Klausul 7

Parternas skyldigheter

7.1 Instruktioner

Personuppgiftsbiträdet får endast behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige, såvida inte denna behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas av. I så fall ska personuppgiftsbiträdet informera den personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida detta inte är förbjudet med hänvisning till ett viktigt allmänintresse enligt denna rätt. Den personuppgiftsansvarige får även ge efterföljande instruktioner under hela den tid som personuppgifterna behandlas. Dessa instruktioner ska alltid dokumenteras.

Personuppgiftsbiträdet ska omedelbart informera den personuppgiftsansvarige om personuppgiftsbiträdet anser att en instruktion från den personuppgiftsansvarige strider mot förordning (EU) 2016/679 eller förordning (EU) 2018/1725 eller mot unionens eller medlemsstaternas tillämpliga dataskyddsbestämmelser.

7.2 Ändamålsbegränsning

Personuppgiftsbiträdet får behandla personuppgifterna endast för det eller de specifika ändamål med behandlingen som anges i bilaga II, såvida det inte erhåller ytterligare instruktioner från den personuppgiftsansvarige.

7.3 Varaktigheten för behandlingen av personuppgifter

Behandling som utförs av personuppgiftsbiträdet får endast äga rum under den tid som anges i bilaga II.

7.4 Säkerhet i samband med behandlingen

Personuppgiftsbiträdet ska åtminstone genomföra de tekniska och organisatoriska åtgärder som anges i bilaga III för att säkerställa säkerheten för personuppgifterna. Detta omfattar att skydda uppgifterna mot säkerhetsincidenter som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till uppgifterna (personuppgiftsincident). Vid bedömningen av lämplig säkerhetsnivå ska parterna ta vederbörlig hänsyn till den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna för de registrerade.

Personuppgiftsbiträdet ska bevilja sin personal tillgång till de personuppgifter som behandlas endast i den mån det är absolut nödvändigt för att genomföra, förvalta och övervaka avtalet. Personuppgiftsbiträdet ska säkerställa att personer med behörighet att behandla de erhållna personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.

7.5 Känsliga uppgifter

Om behandlingen omfattar personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, genetiska uppgifter eller biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller en persons sexualliv eller sexuella läggning eller uppgifter om fällande domar i brottmål och överträdelser ( känsliga uppgifter ), ska personuppgiftsbiträdet tillämpa särskilda begränsningar och/eller ytterligare skyddsåtgärder.

7.6 Dokumentation och efterlevnad

a)	Parterna ska kunna visa att dessa klausuler följs.

b)	Personuppgiftsbiträdet ska skyndsamt och på lämpligt sätt hantera förfrågningar från den personuppgiftsansvarige om behandlingen av uppgifter i enlighet med dessa klausuler.

Personuppgiftsbiträdet ska ge den personuppgiftsansvarige tillgång till all information som behövs för att påvisa efterlevnad av de skyldigheter som fastställs i dessa klausuler och härrör direkt från förordning (EU) 2016/679 och/eller förordning (EU) 2018/1725. På den personuppgiftsansvariges begäran ska personuppgiftsbiträdet även tillåta och bidra till granskningar av den behandling som omfattas av dessa klausuler, med rimliga intervall eller om det finns tecken på bristande efterlevnad. Vid beslut om översyn eller granskning får den personuppgiftsansvarige ta hänsyn till relevanta certifieringar som personuppgiftsbiträdet innehar.

d)	Den personuppgiftsansvarige kan välja att själv utföra granskningen eller bemyndiga en oberoende revisor. Granskningar får även omfatta inspektioner i personuppgiftsbiträdets lokaler eller fysiska anläggningar och ska vid behov utföras med rimligt varsel.

e)	Parterna ska på begäran göra den information som avses i denna klausul, inklusive resultaten av eventuella granskningar, tillgänglig för den (de) behöriga tillsynsmyndigheten(-erna).

7.7 Användning av underleverantörer

ALLMÄNT SKRIFTLIGT TILLSTÅND: Personuppgiftsbiträdet har erhållit ett allmänt tillstånd från den personuppgiftsansvarige att anlita underleverantörer från en överenskommen förteckning. Personuppgiftsbiträdet ska skriftligen informera den personuppgiftsansvarige om eventuella planerade ändringar av förteckningen genom att underleverantörer läggs till eller ersätts minst 10 arbetsdagar i förväg, så att den personuppgiftsansvarige får tillräckligt med tid för att kunna invända mot sådana ändringar innan den eller de berörda underleverantörerna anlitas. Personuppgiftsbiträdet ska tillhandahålla den personuppgiftsansvarige den information som krävs för att denne ska kunna utöva sin rätt att göra invändningar.

Om personuppgiftsbiträdet anlitar en underleverantör för att utföra en specifik behandling (för den personuppgiftsansvariges räkning) ska personuppgiftsbiträdet göra detta genom ett avtal som i sak ålägger underleverantören samma skyldigheter i fråga om uppgiftsskydd som de som personuppgiftsbiträdet åläggs i enlighet med dessa klausuler. Personuppgiftsbiträdet ska se till att underleverantören uppfyller de skyldigheter som personuppgiftsbiträdet omfattas av enligt dessa klausuler och förordning (EU) 2016/679 och/eller förordning (EU) 2018/1725.

På den personuppgiftsansvariges begäran ska personuppgiftsbiträdet tillhandahålla den personuppgiftsansvarige en kopia av ett sådant underleverantörsavtal och eventuella senare ändringar. I den mån det är nödvändigt för att skydda affärshemligheter eller annan konfidentiell information, inbegripet personuppgifter, får personuppgiftsbiträdet redigera avtalstexten innan kopian delas.

Personuppgiftsbiträdet ska fortsatt vara fullt ut ansvarig gentemot den personuppgiftsansvarige för att underleverantören fullgör sina skyldigheter i enlighet med sitt avtal med personuppgiftsbiträdet. Personuppgiftsbiträdet ska underrätta den personuppgiftsansvarige om underleverantören underlåter att uppfylla sina skyldigheter enligt avtalet.

Personuppgiftsbiträdet och underleverantören ska avtala om en klausul om tredjepartsberättigande, enligt vilken den personuppgiftsansvarige – om personuppgiftsbiträdet har upphört att existera i faktisk eller rättslig mening eller har hamnat på obestånd – ska ha rätt att säga upp underleverantörsavtalet och instruera underleverantören att radera eller återlämna personuppgifterna.

7.8 Internationella överföringar

Personuppgiftsbiträdet får endast överföra uppgifter till ett tredjeland eller en internationell organisation på grundval av dokumenterade instruktioner från den personuppgiftsansvarige eller för att uppfylla ett särskilt krav enligt unionsrätten eller en medlemsstats lagstiftning som personuppgiftsbiträdet omfattas av, och överföringen ska genomföras i enlighet med kapitel V i förordning (EU) 2016/679 eller förordning (EU) 2018/1725.

Den personuppgiftsansvarige samtycker till att, om personuppgiftsbiträdet anlitar en underleverantör i enlighet med klausul 7.7 för att utföra specifik behandling (för den personuppgiftsansvariges räkning) och denna behandling omfattar en överföring av personuppgifter i den mening som avses i kapitel V i förordning (EU) 2016/679, personuppgiftsbiträdet och underleverantören kan säkerställa att kapitel V i förordning (EU) 2016/679 efterlevs genom att använda standardavtalsklausuler som antagits av kommissionen i enlighet med artikel 46.2 i förordning (EU) 2016/679, förutsatt att villkoren för att använda dessa standardavtalsklausuler är uppfyllda.

Klausul 8

Stöd till den personuppgiftsansvarige

a)	Personuppgiftsbiträdet ska utan dröjsmål underrätta den personuppgiftsansvarige om varje begäran som erhållits från den registrerade. Personuppgiftsbiträdet ska inte själv besvara begäran, såvida inte den personuppgiftsansvarige har godkänt detta.

Personuppgiftsbiträdet ska hjälpa den personuppgiftsansvarige att fullgöra sin skyldighet att besvara framställningar från registrerade för att utöva sina rättigheter, med hänsyn till behandlingens art. Personuppgiftsbiträdet ska följa den personuppgiftsansvariges instruktioner när det fullgör sina skyldigheter i enlighet med leden a och b.

Utöver personuppgiftsbiträdets skyldighet att bistå den personuppgiftsansvarige enligt klausul 8 b ska personuppgiftsbiträdet dessutom bistå den personuppgiftsansvarige med att säkerställa att följande skyldigheter fullgörs, med beaktande av uppgiftsbehandlingens art och den information som personuppgiftsbiträdet har att tillgå:

1) Skyldigheten att utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter (en konsekvensbedömning avseende dataskydd) om en typ av behandling sannolikt leder till en hög risk för fysiska personers rättigheter och friheter.

2) Skyldigheten att samråda med den (de) behöriga tillsynsmyndigheten(-erna) före behandling om en konsekvensbedömning avseende dataskydd visar att behandlingen skulle leda till en hög risk om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken.

3) Skyldigheten att säkerställa att personuppgifterna är korrekta och uppdaterade genom att utan dröjsmål informera den personuppgiftsansvarige om personuppgiftsbiträdet får kännedom om att de personuppgifter som behandlas är felaktiga eller har blivit föråldrade.

4) Skyldigheterna i [ALTERNATIV 1] artikel 32 i förordning (EU) 2016/679/[ALTERNATIV 2] artikel 33 och artiklarna 36–38 i förordning (EU) 2018/1725.

d)	Parterna ska i bilaga III ange de lämpliga tekniska och organisatoriska åtgärder genom vilka personuppgiftsbiträdet ska bistå den personuppgiftsansvarige vid tillämpningen av denna klausul samt räckvidden och omfattningen av det bistånd som krävs.

Klausul 9

Anmälan av personuppgiftsincidenter

Vid en personuppgiftsincident ska personuppgiftsbiträdet samarbeta med och bistå den personuppgiftsansvarige för att denne ska kunna fullgöra sina skyldigheter enligt artiklarna 33 och 34 i förordning (EU) 2016/679 eller artiklarna 34 och 35 i förordning (EU) 2018/1725, i tillämpliga fall, med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå.

9.1 Personuppgiftsincidenter som rör uppgifter som behandlas av den personuppgiftsansvarige

I händelse av en personuppgiftsincident som rör uppgifter som behandlas av den personuppgiftsansvarige ska personuppgiftsbiträdet bistå den personuppgiftsansvarige med att

anmäla personuppgiftsincidenten till den (de) behöriga tillsynsmyndigheten(-erna), utan onödigt dröjsmål efter det att den personuppgiftsansvarige har fått kännedom om den, i förekommande fall/(med undantag för om det är osannolikt att personuppgiftsincidenten kommer att medföra en risk för fysiska personers rättigheter och friheter),

erhålla följande information som, i enlighet med artikel 33.3 i förordning (EU) 2016/679, ska anges i den personuppgiftsansvariges anmälan, och åtminstone ska omfatta

1) personuppgifternas art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,

2) de sannolika konsekvenserna av personuppgiftsincidenten,

3) de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.

Om och i den mån det inte är möjligt att tillhandahålla all denna information samtidigt ska den ursprungliga anmälan innehålla den information som finns tillgänglig, och ytterligare information ska därefter, i den mån den blir tillgänglig, tillhandahållas utan onödigt dröjsmål.

c)	uppfylla, i enlighet med artikel 34 i förordning (EU) 2016/679, skyldigheten att utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten, om den sannolikt kommer att medföra en hög risk för fysiska personers rättigheter och friheter.

9.2 Personuppgiftsincident som rör uppgifter som behandlas av personuppgiftsbiträdet

I händelse av en personuppgiftsincident som rör uppgifter som behandlas av personuppgiftsbiträdet ska personuppgiftsbiträdet underrätta den personuppgiftsansvarige utan onödigt dröjsmål efter det att personuppgiftsbiträdet har fått kännedom om incidenten. En sådan anmäla ska åtminstone innehålla

a)	en beskrivning av incidentens art (inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade och uppgiftsposter som berörs),

b)	uppgifter från en kontaktpunkt där mer information om personuppgiftsincidenten kan erhållas,

c)	de sannolika konsekvenserna och de åtgärder som vidtagits eller föreslagits för att åtgärda incidenten, inbegripet åtgärder för att mildra dess potentiella negativa effekter.

Parterna ska i bilaga III ange alla andra uppgifter som personuppgiftsbiträdet ska tillhandahålla när denne bistår den personuppgiftsansvarige vid fullgörandet av den personuppgiftsansvariges skyldigheter enligt artiklarna 33 och 34 i förordning (EU) 2016/679.

AVSNITT III

SLUTBESTÄMMELSER

Klausul 10

Bristande efterlevnad av klausulerna och uppsägning

Utan att det påverkar tillämpningen av bestämmelserna i förordning (EU) 2016/679 och/eller förordning (EU) 2018/1725 får den personuppgiftsansvarige, om personuppgiftsbiträdet inte fullgör sina skyldigheter enligt dessa klausuler, instruera personuppgiftsbiträdet att avbryta behandlingen av personuppgifter till dess att denne uppfyller dessa klausuler eller avtalet sägs upp. Personuppgiftsbiträdet ska omedelbart underrätta den personuppgiftsansvarige om denne av något skäl inte kan följa dessa klausuler.

Den personuppgiftsansvarige ska ha rätt att säga upp avtalet i den mån det avser behandling av personuppgifter i enlighet med dessa klausuler om

1) personuppgiftsbiträdets behandling av personuppgifter har avbrutits av den personuppgiftsansvarige i enlighet med led a och om efterlevnaden av dessa klausuler inte återställs inom rimlig tid och i alla händelser inom en månad efter det att behandlingen avbrutits,

2) personuppgiftsbiträdet allvarligt eller ihållande åsidosätter dessa klausuler eller sina skyldigheter enligt förordning (EU) 2016/679 och/eller förordning (EU) 2018/1725,

3) personuppgiftsbiträdet underlåter att följa ett bindande beslut från en behörig domstol eller den (de) behöriga tillsynsmyndigheten(-erna) som rör dennes skyldigheter i enlighet med dessa klausuler eller förordning (EU) 2016/679 och/eller förordning (EU) 2018/1725.

Personuppgiftsbiträdet ska ha rätt att säga upp avtalet i den mån det avser behandling av personuppgifter enligt dessa klausuler, om den personuppgiftsansvarige, efter att ha informerats av personuppgiftsbiträdet om att dennes instruktioner strider mot tillämpliga rättsliga krav i enlighet med klausul 7.1 b, insisterar på att instruktionerna följs.

Efter uppsägningen av avtalet ska personuppgiftsbiträdet, beroende på vad den personuppgiftsansvarige väljer, radera alla personuppgifter som behandlats för den personuppgiftsansvariges räkning och intyga för den personuppgiftsansvarige att detta är utfört, eller återlämna alla personuppgifter till den personuppgiftsansvarige och radera befintliga kopior, såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt. Till dess att uppgifterna raderas eller återlämnas ska personuppgiftsbiträdet säkerställa efterlevnaden av dessa klausuler.

BILAGA I

Förteckning över parter

Personuppgiftsansvariga: (firma fremgår af hovedaftale)

[

Personuppgiftsbiträden:

[Identitet och kontaktuppgifter för den eller de berörda personuppgiftsbiträdena samt, i tillämpliga fall, för personuppgiftsbiträdets dataskyddsombud]

Namn:

BoligPortal A/S

Adress:

Paludan Müllers Vej 40B
8200 Aarhus N
Denmark

Kontaktpersonens namn, befattning och kontaktuppgifter:

Kundesupport

info@boligportal.dk

BILAGA II

Beskrivning av behandlingen

Kategorier av registrerade vars personuppgifter behandlas

Hyresvärd
Hyresgäst

Kategorier av personuppgifter

Hyresvärd:

Allmänneliga personuppgifter
- Namn
- Adress
- Telefonnummer

Hyresgäst

Allmänneliga personuppgifter
- Namn
- Adress
- Telefonnummer
- Personnummer

Känsliga uppgifter som behandlas (i tillämpliga fall) och tillämpade begränsningar eller skyddsåtgärder som fullt ut tar hänsyn till uppgifternas art och de risker som är förknippade med dem, t.ex. strikt ändamålsbegränsning, åtkomstbegränsningar (inbegripet åtkomst endast för personal som har gått en specialiserad utbildning), registrering av åtkomst till uppgifterna, begränsningar för vidareöverföring eller ytterligare säkerhetsåtgärder.

…

Behandlingens art:

Databehandlaren har i uppdrag att tillhandahålla en tjänst där den personuppgiftsansvarige kan upprätta och lagra handlingar som är relevanta för förvaltningen av ett hyresobjekt.

Databehandlaren på begäran av den personuppgiftsansvarige eller, om det framgår av avtal, kan överlämna kopior av de ifyllda handlingarna till den personuppgiftsansvariges hyresgäst.

Databehandlaren får använda de registrerade uppgifterna för att sammanställa statistik och rapporter för eget bruk och för vidareförsäljning med anonymiserade uppgifter.

…

Ändamål för vilka personuppgifterna behandlas för den personuppgiftsansvariges räkning

Syftet med behandlingen av personuppgifter är

att fylla i handlingar i samband med förvaltningen av boende med korrekta uppgifter
lagra dessa uppgifter tills den personuppgiftsansvarige instruerar annat
Sammanställa statistik och rapporter om bostadsmarknaden

…

Behandlingens varaktighet

Databehandlaren ska lagra uppgifter tills den personuppgiftsansvarige anger annat, eller då databehandlaravtalet sägs upp vid upphörande av samarbetet.

…

För behandling som utförs av personuppgiftsbiträden (eller underleverantörer), ange även föremålet för behandlingen, behandlingens art och dess varaktighet

Databehandlaren utgår från olika underleverantörer för delar av behandlingen. Deras roll anges i bilaga IV

BILAGA III

Tekniska och organisatoriska åtgärder, inbegripet tekniska och organisatoriska åtgärder för att säkerställa datasäkerheten

FÖRKLARANDE ANMÄRKNING:

De tekniska och organisatoriska åtgärderna måste beskrivas konkret och inte på ett allmänt sätt.

En beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som den eller de berörda personuppgiftsbiträdena vidtagit (inbegripet eventuella relevanta certifieringar) för att säkerställa en lämplig säkerhetsnivå, med beaktande av behandlingens art, omfattning, sammanhang och syfte samt riskerna för fysiska personers rättigheter och friheter. Exempel på möjliga åtgärder omfattar följande:

Tekniskt

Arbetsrelaterad tillgång till system
Tillträde till byggnader kontrolleras med enskilda nyckelkort eller nycklar
Antivirus är centralt hanterat på alla Windows-arbetsstationer
Alla lösenord är personliga
Lösenord måste ändras regelbundet
Data krypteras både "i överföring" och "i vila"
Säkerhetskopior görs dagligen, och det säkerställs genom regelbundna tester att säkerhetskopior kan laddas om
System och brandväggar säkerhet testas regelbundet och eventuella upptäckter följs upp
Samtliga system uppdateras kontinuerligt med de senaste uppdateringarna från leverantörerna
Alla filer som lagras på servrar skannas efter virus och skadlig kod

Organisatorisk

Alla anställda som är involverade i behandlingsverksamheten genomgår awareness träning
Alla anställda som är involverade i behandlingsverksamheten måste slutföra en personuppgiftskurs online
Rutiner och policyer har upprättats för behandling och kommunikation av personuppgifter
Alla systemåtkomster utvärderas kvartalsvis
Alla anställda omfattas av vår företagssekretess

Underbehandlare

Alla underdatabehandlare tillhandahåller en hostingtjänst. De är skyldiga i kontrakt att

Informera om och bistå vid ev. dataintrång
Bistå med teknisk assistans i den utsträckning som behövs
Hänvisa eventuella förfrågningar från registrerade till BostadsPortal (som hänvisas utan onödigt dröjsmål och vidarebefordrar dessa till den personuppgiftsansvarige)
Upprätthåll en säkerhetsnivå som minst motsvarar ovanstående

Alle underdatabehandlere kontrolleres minimum årligt

I fråga om överföringar till personuppgiftsbiträden (eller underleverantörer), beskriv även de specifika tekniska och organisatoriska åtgärder som personuppgiftsbiträdet (eller underleverantören) ska vidta för att kunna bistå den personuppgiftsansvarige.

Beskrivning av de specifika tekniska och organisatoriska åtgärder som personuppgiftsbiträdet ska vidta för att kunna bistå den personuppgiftsansvarige.

BILAGA IV

Förteckning över underleverantörer

FÖRKLARANDE ANMÄRKNING:

Denna bilaga måste fyllas i vid särskilt godkännande av underleverantörer (klausul 7.7 a, alternativ 1).

Den personuppgiftsansvarige har godkänt användningen av följande underleverantörer:

Databehandla	Land	Beskrivning av behandling
Amazon Web Services (EU) Dublin, Ireland	Irland	Annons- och profilbilder och filerna som är bifogat meddelanden. Avsändning av mail.
Heroku Salesforce.com Sarl, Route de la Longeraie 9, Morges, 1110, Switzerland	EU	Hostingleverantör Datacentre i EU. Heroku använder Amazon Webservice (EU) som underleverantör och infrastruktur
Signicat Danmark Fruebjergvej 3 2100 København Ø	Danmark & Norge	Används till att underskriva avtal hos BostadPortal
Twilio Ireland Limited 25-28 North Wall Quay Dublin 1, Ireland	Irland & USA	Används till att skicka meddelanden (SMS). De sparar tlf. och länk till rapport.
FK Distribution A/S Bredebjergvej 6 2630 Tåstrup Danmark	Danmark EU	FK Distribution levererar infrastruktur (nätverk, IT drift, support mv.) Är driftleverantör av BostadsPortals analysplattform på Microsoft Azure (EU)