DATADELNINGSAVTAL
Detta datadelningsavtal (”Avtalet”) har denna dag träffats mellan
1) Ornamental Tree AB, org.nr 559032-9735, med adress Vallgatan 26,
411 16 Göteborg (”Orbi”); och
2) Företaget som nyttjar tjänsten, nedan kallad (”Kunden”).
Parterna ovan benämns härefter gemensamt som ”Parterna” och var för sig som ”Part”.
1 BAKGRUND
1.1 Orbi har en app som marknadsför sig till studenter på universitet och högskolor i Norden. Genom appen kan studenter bland annat få information om vad som händer på campus, köpa biljetter till evenemang och nätverka med företag för att hitta praktikplatser och jobb.
1.2 Orbi och Kunden har genom aktivering av tjänsten ingått ett avtal där Kunden ansluter sig till Orbis app och därigenom ges möjlighet att nätverka och komma i kontakt med studenter som kan vara relevanta för kundens framtida rekryteringsprocesser (”Huvudavtalet”).
1.3 Genom Orbis app kan studenter välja att dela sin profil med Kunden, varefter Kunden kommer få del av vissa Personuppgifter som Kunden självständigt kan Behandla.
1.4 Avtalet syftar till att reglera förutsättningarna och villkoren för att Parterna ska kunna utbyta information bestående av Personuppgifter med varandra (datadelning) och att säkerställa att Behandlingen av Personuppgifter sker i enlighet med Dataskyddsförordningen och Andra Regelverk. Respektive Part kan enligt Avtalet tillhandahålla Personuppgifter till den andra Parten eller ta emot Personuppgifter från den andra Parten.
2 DEFINITIONER
Om inte omständigheterna tydligt föranleder annat ska definition eller begrepp som används i detta dokument ha nedan angiven betydelse och sådan definition eller begrepp som används i Dataskyddförordningen och som inte har angivits nedan, ska ha motsvarande definition som följer av artikel 4 i Dataskyddsförordningen.
”Andra Regelverk” avser nationella lagar, förordningar, föreskrifter och domstolsavgöranden, samt beslut, riktlinjer och allmänna råd från relevanta myndigheter (inklusive artikel 29-gruppen/Europeiska Dataskyddsstyrelsen) som från tid till annan är tillämpliga på Behandling av Personuppgifter (exkluderande Dataskyddsförordningen).
”Behandling”/”Behandla” avser en åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
”Dataskyddsförordningen” avser Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
”Huvudavtalet” har den betydelse som anges i punkt 1.1.
”Konfidentiell Information” har den betydelse som anges i punkt 16.1.
”Kunden” har den betydelse som anges i inledningen till Avtalet.
”Orbi” har den betydelse som anges i inledningen till Avtalet.
”Part”/”Parterna” har den betydelse som anges i inledningen till Avtalet.
”Personuppgifter” avser varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
”Personuppgiftsansvarig” avser en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för Behandlingen av Personuppgifter; om ändamålen och medlen för Behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.
”Personuppgiftsbiträde” avser en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som Behandlar Personuppgifter för den Personuppgiftsansvariges räkning.
”Personuppgiftsincident” avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt Behandlats.
”Registrerad” avser den fysiska person i livet vars Personuppgifter Behandlas.
”SCC” har den betydelse som anges i punkt 19.
3 PERSONUPPGIFTSANSVAR
3.1 Parterna överenskommer att vardera Part ska anses vara Personuppgiftsansvarig enligt definitionen i artikel 4 i Dataskyddsförordningen. Respektive Part är därmed ansvariga att vid varje tidpunkt efterleva Dataskyddsförordningen och Andra Regelverk för att tillse att de Registrerades Personuppgifter Behandlas lagenligt.
3.2 Respektive Part ansvarar för att Behandlingen av Personuppgifter sker i enlighet med Dataskyddsförordningen och Andra Regelverk.
3.3 Respektive Part ansvarar för att information om Behandlingen av Personuppgifter som är nödvändig för att uppfylla Huvudavtalet ges till de Registrerade enligt artikel 13-14 i Dataskyddsförordningen.
4 ÄNDAMÅL OCH TYP AV PERSONUPPGIFTER M.M.
Ändamålet med delningen av Personuppgifter är att förmedla kontakt mellan de Registrerade och Kunden för att möjliggöra för framtida rekrytering och/eller deltagande i events, talangpooler och andra arbetsrelaterade åtgärder. För att uppnå detta ändamål kan följande Personuppgifter komma att Behandlas och delas från Orbi till Kunden när den Registrerade genom Orbis app samtycker till att dela sin profil med Kunden:
• Namn
• Adress
• Telefonnummer
• Ålder
• Studieort
• Utbildning
• Studietermin och förväntad tid för examen
5 RÄTTSLIG GRUND FÖR DELNING
5.1 Orbis Behandling samt delning av de Registrerades Personuppgifter till Kunden sker med samtycke från de Registrerade, enligt artikel 6.1.a) i Dataskyddsförordningen.
5.2 Behandlingen och delningen är även nödvändig för att tillgodose de Registrerades förfrågan om att komma i kontakt med Kunden, samt att vidta åtgärder på begäran av de Registrerade innan ett avtal kan ingås mellan de Registrerade och Kunden. Det föreligger således även ett berättigat intresse för Behandling och delning av Personuppgifter, enligt artikel 6.1.b) och 6.1.f) i Dataskyddsförordningen.
6 DEN REGISTRERADES RÄTTIGHETER
6.1 De Registrerade har rätt att utöva sina rättigheter enligt artikel 15-22 i Dataskyddsförordningen gentemot respektive Part.
6.2 De Registrerade kan när som helst återkalla ett samtycke som de har lämnat. Parterna ska då upphöra med den Behandling som sker med stöd av samtycket.
6.3 Parterna ska vid behov samarbeta för att säkerställa att den Registrerade kan utöva sina rättigheter i enlighet med Dataskyddsförordningen och/eller Andra Regelverk.
7 DE PERSONUPPGIFTSANSVARIGAS ÅTAGANDEN
7.1 Parterna åtar sig att säkerställa att all hantering av Personuppgifter sker i enlighet med Dataskyddsförordningen och Andra Regelverk. För detta ändamål ska respektive Part regelbundet hålla sin integritetspolicy uppdaterad.
7.2 Part som ansvarar för Behandling, inklusive men inte begränsat till att motta Personuppgifter, ska lämna den information som krävs enligt artikel 13-14 i Dataskyddsförordningen.
7.3 Part ska utan dröjsmål informera den andra Parten om eventuella kontakter med tillsynsmyndigheten som kan vara av betydelse för den andra Partens Behandling av Personuppgifter. Åtagandet gäller inte om Part är förhindrad att lämna den aktuella informationen enligt tvingande lagstiftning.
7.4 Part ska endast behandla de Personuppgifter som omfattas av Avtalet med utrustning som befinner sig inom EU/EES, inbegripet nyttjandet av molntjänster. Part äger endast rätt att flytta utrustningen och/eller att Behandla Personuppgifter på annan utrustning efter den andra Partens skriftliga medgivande.
7.5 Part ska ha ett dataskyddsombud som löpande ska säkerställa att Parts åtaganden enligt denna punkt 7 efterlevs.
8 SÄKERHET
8.1 Parterna ska vidta samtliga åtgärder avseende säkerhet i samband med Behandlingen som följer av Dataskyddsförordningen (i synnerhet artikel 32), Andra Regelverk och Avtalet.
8.2 Vid bedömningen av lämplig säkerhetsnivå i enlighet med punkt 8.1 ovan ska särskild hänsyn tas till de risker som Behandlingen medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring, eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt Behandlats.
8.3 Parterna ska begränsa åtkomsten till Personuppgifter under Avtalet till personer som behöver sådan åtkomst för uppfyllandet av ändamålet med Behandlingen. Parterna ska säkerställa att personer med behörighet att Behandla Personuppgifter har åtagit sig att iaktta sekretess och/eller omfattas av tillämplig lagstadgad tystnadsplikt samt säkerställa att dessa personer endast Behandlar Personuppgifterna i enlighet med Parternas instruktioner.
9 PERSONUPPGIFTSINCIDENT
9.1 Respektive Part ska vidta åtgärder i enlighet med artikel 33 i Dataskyddsförordningen vid Personuppgiftsincident.
9.2 Vid Personuppgiftsincident som inkluderar Personuppgifter hänförliga till detta Avtal ska den Part som får vetskap om Personuppgiftsincidenten utan dröjsmål skriftligen meddela den andra Parten om Personuppgiftsincidenten. Sådant skriftligt meddelande ska redogöra för:
a) Personuppgiftsincidentens art och, om möjligt, typen av Personuppgifter samt antalet Registrerade som berörs;
b) de sannolika konsekvenserna av Personuppgiftsincidenten; och
c) åtgärder som har vidtagits till följd av Personuppgiftsincidenten, vidare förslag för att åtgärda Personuppgiftsincidenten samt förslag på åtgärder för att mildra Personuppgiftsincidentens potentiella negativa effekter.
10 PERSONUPPGIFTSBITRÄDE
Bestämmelserna i Dataskyddsförordningen och Andra Regelverk tillämpas vid anlitande av Personuppgiftsbiträde.
11 ANSVAR GENTEMOT TREDJE MAN
11.1 Om en Registrerad som har lidit materiell eller immateriell skada till följd av en överträdelse av Dataskyddsförordningen och/eller Andra Regelverk riktar anspråk mot en Part på grund av den andra Partens behandling av Personuppgifter, ska den Part som är ansvarig för överträdelsen verka för att mot tillsynsmyndigheten klargöra förhållandet enligt artikel 82 punkt 3 i Dataskyddsförordningen.
11.2 Part som får kännedom om omständighet som kan leda till skada för den andra Parten ska omedelbart informera motparten om förhållandet och aktivt arbeta tillsammans med den andra Parten för att förhindra och minimera sådan skada.
12 SKADESLÖSHETSÅTAGANDE
12.1 Utan att det påverkar någon annan grund för ansvar enligt Huvudavtalet ska Part hålla den andra Parten skadeslös för samtliga kostnader, avgifter, böter, sanktionsavgifter, skadestånd, direkt och/eller indirekt skada (inklusive men inte begränsat till följdförluster, vinstförluster och kostnader för legala ombud) som Part drabbas av eller ådrar sig till följd av eller i samband med att den andra Parten bryter eller har brutit mot detta Avtal.
12.2 Skadeslöshetsåtagandet enligt punkt 12.1 ovan gäller även retroaktivt och för sådan skada som uppstår efter det att Avtalet upphört att gälla, om skadan beror på att Part brutit mot detta Avtal medan Avtalet fortfarande ägde giltighet och/eller sina åtaganden enligt punkt 14 nedan.
13 AVTALETS GILTIGHET
Avtalet gäller från och med Avtalsdagen och gäller så länge Huvudavtalet äger tillämplighet mellan Parterna. Punkterna 12 (Skadeslöshetsåtagande), 14 (Åtgärder vid avtalstidens utgång), 16 (Sekretess) och 19 (Tillämplig lag och tvister) ska äga fortsatt giltighet efter Avtalets upphörande.
14 ÅTGÄRDER VID AVTALSTIDENS UTGÅNG
14.1 När Avtalet har upphört ska Part gallra och radera de Personuppgifter som har mottagits från den andra Parten med anledning av Avtalet, inklusive sådana Personuppgifter som har kopierats, bearbetats eller på annat sätt mångfaldigats.
14.2 Vad som anges i punkt 14.1 ovan ska dock inte äga tillämpning för det fall den Registrerade har lämnat samtycke för Parts fortsatta Behandling av Personuppgifter.
15 ÄNDRINGAR I TILLÄMPLIG LAGSTIFTNING M.M.
Parterna är överens om att förändring av Dataskyddsförordningen, Andra Regelverk, rekommendationer eller praxis avseende Behandling av Personuppgifter, eller ändring av Huvudavtalet kan föranleda behov av att justera personuppgiftsansvaret. Parterna åtar sig att vidta de åtgärder som krävs för att, från tid till annan, fortsatt agera i enlighet med Dataskyddsförordningen, Andra Regelverk, och sådan förordning och/eller lagstiftning som träder i dess ställe.
16 SEKRETESS
16.1 Parterna förbinder sig att under avtalstiden och under tre (3) år därefter inte till utomstående lämna information avseende Avtalets innehåll och annan information som Parterna fått ta del av med anledning av Avtalet, oavsett om informationen lämnats skriftligen eller muntligen och oberoende av format (”Konfidentiell Information”). Parterna förbinder sig att använda Konfidentiell Information enbart i syfte att fullgöra sina åtaganden under Avtalet och inte för något annat ändamål. Mottagande Part förbinder sig vidare att vidta erforderliga åtgärder för att förhindra att anställd, underkonsult eller annan mellanman använder eller avslöjar Konfidentiell information för utomstående samt att använda samma nivå av aktsamhet (men inte lägre nivå än skälig aktsamhet) för att undvika utlämnande eller nyttjande av Konfidentiell Information som Parten använder avseende sin egen konfidentiella eller upphovsrättsskyddade information.
16.2 Ovanstående gäller inte för sådan information som
a) vid tidpunkten för utlämnandet är eller senare blir tillgänglig för allmänheten på annat sätt än genom överträdelse mot Avtalet, eller
b) redan var tillgänglig för mottagande Part eller som denne på egen hand har utvecklat innan ingåendet av Avtalet och som inte, direkt eller indirekt, har erhållits genom överträdelse mot Avtalet.
16.3 Denna sekretessförbindelse förhindrar inte Part från att lämna sådan information som Part har skyldighet att lämna ut enligt lag, dom eller myndighetsbeslut eller avtal med börs eller annan marknadsplats. Om Part skulle ha eller åläggas skyldighet att lämna sådan information, åtar sig Parterna att omedelbart underrätta den andra Parten. Parterna ska göra sitt bästa för att tillse att information som lämnas i enlighet med denna punkt, så långt möjligt, behandlas konfidentiellt av mottagaren av informationen.
17 ÄNDRINGAR OCH TILLÄGG
Om inte annat uttryckligen anges i detta Avtal ska inga ändringar av eller tillägg till Avtalet, helt eller delvis, äga tillämpning med mindre än att sådan ändring eller tillägg gjorts skriftligen samt undertecknats av behöriga företrädare för Parterna.
18 ÖVERLÅTELSE AV AVTALET
Part har inte rätt att helt eller delvis överlåta sina rättigheter och/eller skyldigheter enligt Avtalet utan den andra Partens skriftliga i förväg lämnade godkännande.
19 FULLSTÄNDIG REGLERING
Detta Avtal utgör Parternas fullständiga reglering avseende Parternas datadelning och ersätter alla eventuella tidigare skriftliga eller muntliga garantier, åtaganden, utfästelser och överenskommelser mellan Parterna. Inget i detta Avtal påverkar innehållet i Huvudavtalet och vid motsägelser mellan detta Avtal och Huvudavtalet ska Huvudavtalet äga företräde.
20 TILLÄMPLIG LAG OCH TVISTER
20.1 Svensk lag ska tillämpas på Avtalet.
20.2 Tvister som uppstår i anledning av Avtalet ska slutligt avgöras genom skiljedomsförfarande administrerat av SCC Skiljedomsinstitut (”SCC”). Regler för Förenklat Skiljeförfarande ska tillämpas om inte SCC med beaktande av målets svårighetsgrad, tvisteföremålets värde och övriga omständigheter bestämmer att Skiljedomsregler ska tillämpas. I sistnämnda fall ska SCC också bestämma om skiljenämnden ska bestå av en eller tre skiljedomare.
20.3 Skiljeförfarandets säte ska vara Göteborg.
20.4 Språket för förfarandet ska vara svenska.
20.5 Skiljeförfarande som påkallats med hänvisning till denna skiljeklausul omfattas av sekretess. Sekretessen omfattar all information som framkommer under förfarandet liksom beslut eller skiljedom som meddelas i anledning av förfarandet. Information som omfattas av sekretess får inte vidarebefordras till tredje person utan den andra Partens samtycke. Sekretessåtagandet omfattar inte vidarebefordran av information som krävs enligt tvingande lag, domstols- eller myndighetsbeslut, för att tillvarata legitima legala intressen, eller för att verkställa, överklaga eller klandra en dom eller skiljedom.