HappiRel AB

Allmänna avtalsvillkor
Senast uppdaterade 2025-07-16

Inledning

HappiRel AB (”HappiRel”) åtar sig att tillhandahålla och leverera tjänster till Kunden i enlighet med vad som framgår av mellan Parterna ingånget Tjänsteavtal. Tjänsteavtalet, dessa allmänna avtalsvillkor (”Allmänna villkoren”), samt Personuppgiftsbiträdesavtalet jämte bilagor utgör sammantaget det bindande avtalet mellan Parterna (”Avtalet”). 

Kunden är införstådd med och accepterar att vid köp av molntjänster gäller även, i förekommande fall, molntjänstleverantörens vid var tid gällande avtalsvillkor för beställd tjänst. 

För det fall det skulle förekomma avvikelser mellan HappiRels och molntjänstleverantörs avtalsvillkor, äger HappiRels Allmänna villkor företräde.


Definitioner

Leverantören: HappiRel AB

Kund: Den juridiska person som ingår Avtalet med HappiRel och som får tillgång till Tjänsten.

Part/Parter: Kund och HappiRel benämnda enskilt eller tillsammans.

Avtalet: Avtalet består av Tjänsteavtalet, Allmänna villkoren samt Personuppgiftsbiträdesavtalet jämte bilagor. Avtalet anses bindande i när Kunden signerar avtalet genom elektronisk signatur, alternativt när Kunden skriftligen accepterar offert med länk till Allmänna villkoren och Personuppgiftsbiträdesavtalet.

Tjänsteavtalet: Tjänsteavtalet består av det dokument som vid varje tidpunkt utgör Parternas överenskommelse om Tjänsten/tjänsternas omfattning, vid var tid gällande priser och avtalstid, exempelvis en offert eller annan beställningsbekräftelse.

Tjänsten: Omfattar tillhandahållandet av en teknisk plattform, konsulttjänster så som abonnemang på supporttjänster, förvaltningsavtal, prenumeration av Zendesklicenser, och/eller andra tjänster som är definierade i Tjänsteavtalet. 

Konsulttjänster: Omfattar bland annat implementationsprojekt, utbildning, vidareutveckling, eller annan typ av konsultation som är överenskommet mellan HappiRel och Kund. 

Molntjänst- Innefattar leverantör av molntjänster, exempelvis

leverantör: Zendesk.

Zendesklicenser: De användarlicenser som tillhandahålls av Zendesk i Kundens Zendeskinstans.

Slutanvändare: Den fysiska person som är behörig att använda Tjänsten på uppdrag av Kunden, exempelvis anställd, konsult eller annan person som Kunden har gett tillgång till Tjänsten.

Fel i Tjänsten: Med ”Fel” avses att Kunden inte kan använda Tjänsten i enlighet med Avtalet. Som Fel anses inte sådana fel som inte hindrar Kunden från att använda Tjänsten eller som endast är av mindre betydelse för Kunden. 

  1. Omfattning och genomförande

    HappiRel ska leverera Tjänsten på ett fackmannamässigt sätt och med för ändamålet kvalificerad personal. HappiRel får anlita underleverantör för utförande av Tjänsten. Om HappiRel anlitar underleverantör ansvarar HappiRel för såväl HappiRels utförande av Tjänsten som underleverantörens utförande av Tjänsten. Kunden ska ge HappiRel tillgång till all information och allt underlag som krävs för att HappiRel ska kunna utföra och leverera Tjänsten i enlighet med Avtalet.

  2. Ersättning m.m.

HappiRel har rätt till ersättning enligt HappiRels vid var tid gällande prislista. Om Parterna har avtalat om annat pris än vid var tid gällande prislista har HappiRel rätt att en gång per kalenderår justera avtalade priser i enlighet med förändringar i Arbetskostnadsindex (AKI) kod J (Informations- och kommunikationsbolag). HappiRels ersättning anges exklusive moms och andra eventuella tillkommande skatter och avgifter hänförliga till Tjänsten. HappiRel har rätt till ersättning för utlägg enligt vad som överenskommits mellan Parterna. HappiRel har rätt till ersättning för resor och arbete utanför ordinarie arbetstid enligt vid var tid gällande prislista.

Priset för Zendesklicenserna och/eller andra licenser från leverantörer av mjukvara fastställs i EUR, USD eller annan tillämplig valuta och faktureras i SEK baserat på den vid faktureringstillfället gällande valutakursen. Kunden accepterar att HappiRel vid faktureringen debiterar ett belopp som motsvarar priset för licenserna omräknat från USD, EUR eller annan tillämplig valuta till SEK enligt den valutakurs som gäller vid tidpunkten för utställandet av fakturan. 

  1. För det fall Zendesk skulle debitera HappiRel för Talk Credits som är kopplade till Kundens licenser, får HappiRel debitera Kunden motsvarande belopp, omräknat från USD eller annan tillämplig valuta till SEK enligt den valutakurs som gäller vid tidpunkten för utställandet av fakturan.

    Om inget annat uttryckligen avtalats skriftligen mellan Parterna, baseras priset för Zendesklicenser och/eller andra molntjänster på den vid var tid gällande prislistan från molntjänstleverantören. HappiRel äger rätt att justera priserna i enlighet med förändringar i molntjänstleverantörens prislista. Sådan prisjustering ska gälla från och med nästkommande avtalsperiod, och Kunden faktureras det justerade priset i samband med avtalsförnyelse.

  2. Betalningsvillkor 

Faktura ska vara betald så att hela fakturabeloppet finns tillgängligt på angivet bankgiro- eller plusgirokonto senast trettio (30) dagar efter fakturadatum.



  1. Beställning och orderbekräftelse

Genom att beställa Tjänsten accepterar Kunden Avtalet. Avtalet anses bindande i när Kunden signerar avtalet genom elektronisk signatur, alternativt när Kunden skriftligen accepterar offert med länk till Allmänna villkoren och Personuppgiftsbiträdesavtalet.

  1. Fel i Tjänsten och ansvar 

HappiRel ska avhjälpa fel i enlighet med vad som anges i dessa Allmänna villkor, eller, om detta inte anges särskilt, inom skälig tid. 

HappiRel ansvarar endast för fel som orsakats av HappiRel. HappiRel har inte skyldighet att avhjälpa fel, om felet exempelvis beror på driftstörningar, buggar eller likande problem i molntjänstleverantörens produkter och tjänster eller som på annat sätt är förorsakat av tredje man.

HappiRel ansvarar inte för fel som beror på hårdvara, programvara eller annan utrustning som inte tillhandahållits av HappiRel. 

Om Tjänsten innefattar rådgivning är HappiRels ansvar begränsat till rådgivning baserad på information som Kunden tillhandahållit. HappiRel tar inget ansvar för de beslut som Kunden fattar baserat på den tillhandahållna rådgivningen. 

Föreligger fel i Tjänsten som HappiRel ansvarar för åtar sig HappiRel att, efter eget val, avhjälpa felet genom rättelse av Tjänsten eller genom en omleverans av Tjänsten, under förutsättning att reklamation har skett i enlighet med vad som anges i dessa Allmänna villkor.

Om HappiRel väljer att inte avhjälpa felet eller att inte genomföra en omleverans har Kunden rätt till skäligt avdrag på priset.

Kunden ansvarar för att utan dröjsmål, i förväg, skriftligen informera HappiRel för det fall relevanta förändringar ska ske i Kundens IT-miljö. HappiRel ansvarar inte för fel som uppkommer till följd av att; Kunden inte har informerat om kommande förändringar eller förändringar som Kunden har informerat om, men som inte godkänts av HappiRel.

HappiRels totala ansvar för direkt ekonomisk skada gentemot Kund (inklusive men inte begränsat till ansvar på grund av avtalsbrott, vårdslöshet eller underlåtenhet) är under ett kalenderår begränsat till det lägre av:

a) det sammanlagda belopp som Kunden har betalat till HappiRel för Tjänsten under de senaste sex (6) månaderna före den händelse som gett upphov till anspråket, eller

b) femton (15) procent av den årliga avgiften för Tjänsten under det kalenderår då skadan uppkom.

HappiRel ansvarar under inga omständigheter för indirekta skador och/eller följdskador, såsom produktionsbortfall, utebliven vinst eller andra liknande indirekta skador, eller för förlust av data.

  1. Reklamation 

Kunden förlorar sin rätt att framställa ersättningsanspråk om reklamation inte har skett skriftligen, utan onödigt dröjsmål, dock senast inom en (1) månad från händelsen som anspråket grundar sig på.

  1. Immateriella rättigheter

Kunden erhåller äganderätten till de immateriella rättigheter, så som presentationer, utbildningsmaterial och andra dokument som skapas vid Tjänstens utförande, som en följd av att HappiRel skriftligen åtagit sig att skapa eller utveckla dessa för Kundens räkning. 

Om inte annat skriftligen avtalats, erhåller HappiRel en icke-exklusiv, vederlagsfri och tidsobegränsad licens att använda sådana immateriella rättigheter som HappiRel skapat för Kundens räkning. 

Kunden förvärvar inte några immateriella rättigheter relaterade till Tjänsten, som tillhör HappiRel eller tredje man. 

Kunden har inte heller rätt att ändra, kopiera eller på annat sätt utnyttja immaterialrättsligt skyddade produkter som tillhör HappiRel eller tredje part, utöver vad som uttryckligen tillåtits. För nyttjande av sådana produkter gäller de villkor som innehavaren av den aktuella immateriella rättigheten vid var tid tillämpar.

  1. Intrång i immateriella rättigheter

Om Kunden tillhandahåller material, information eller annat innehåll som omfattas av upphovsrätt och/eller är skyddat av immateriella rättigheter garanterar Kunden att relevanta licenser för nyttjandet föreligger.

HappiRel garanterar att Tjänst som utförs av HappiRel och de immateriella rättigheter som HappiRel skapar eller tillhandahåller (med undantag för produkter från HappiRels leverantörer), såvitt HappiRel känner till, inte gör intrång i tredje mans rätt. Kunden ska utan dröjsmål skriftligen meddela HappiRel om krav från tredje man angående intrång i immateriell rättighet.

Vid ett påstående om intrång, för vilket HappiRel ansvarar (dvs. inte ett intrång på grund av modifiering genomfört av Kunden och/eller användning av produkter från HappiRels leverantörer eller liknande intrång), ska HappiRel ha rätt att på egen bekostnad överta tvisten och föra talan för Kundens räkning samt på egen bekostnad antingen tillförsäkra Kunden fortsatt nyttjande av Tjänsten eller byta ut omtvistad del av Tjänsten mot liknande godtagbar tjänst eller produkt.

Kunden har inte rätt att medge ansvar, ingå avtal, förlikning eller kompromiss med tredje man avseende sådant krav, utan att ha erhållit HappiRels skriftliga godkännande.

Om HappiRel inte kan säkerställa Kundens rätt till nyttjande av en liknande godtagbar tjänst eller produkt, har vardera Parten rätt att som exklusiv påföljd i relation till sådant påstått intrång häva Avtalet med den andra Parten.

  1. Kundens ansvar för Slutanvändare

Kunden ansvarar för att samtliga Slutanvändare som ges tillgång till Tjänsten följer Avtalet och tillämpliga lagar och föreskrifter. Kunden är fullt ansvarig för varje Slutanvändares användning av Tjänsten som om det vore Kundens egen användning. Detta omfattar, men är inte begränsat till, otillåten användning, överträdelser av Allmänna avtalsvillkor, samt hantering av inloggningsuppgifter och användarkonton.

Kunden ska vidta rimliga tekniska och organisatoriska åtgärder för att säkerställa att Slutanvändare endast använder Tjänsten i enlighet med Avtalet. Kunden åtar sig även att omedelbart informera HappiRel om misstänkt obehörig användning av Tjänsten eller överträdelse av Avtalet.

  1. Avtalstid och upphörande

Om inte annat särskilt avtalats i Tjänsteavtalet, gäller detta Avtal under samma tid som Kundens Zendesklicenser är giltiga.


Avtalet kan sägas upp av endera Parten till att upphöra vid avtalsperiodens slut, under förutsättning att uppsägning sker senast sextio (60) dagar före periodens slut. Om uppsägning inte sker inom denna tid, förlängs Avtalet automatiskt med en period som motsvarar den tid som Kundens licenser fortsatt gäller enligt Zendesks vid var tid gällande villkor.


För Tjänsteavtal som löper månadsvis upphör Avtalet att gälla vid utgången av den avtalsperiod som infaller närmast efter sextio (60) dagar från uppsägningen.


Om Kunden vill minska, dvs. nedgradera, antalet licenser i Zendesk, ska Kunden skriftligen meddela HappiRel detta senast sextio (60) dagar innan avtalsperiodens slut, vid vilken nedgraderingen sker. För Tjänsteavtal som löper månadsvis sker nedgraderingen vid slutet av den avtalsperiod som inträffar närmast efter sextio (60) dagar från meddelandet om nedgradering. 


Kunden ansvarar för att själv ta bort de användare i Zendesk som är kopplade till de Zendesklicenser som ska tas bort, till det datum då licenserna slutar gälla. Underlåtenhet från Kunden att ta bort användarna i Zendesk medför att Kunden debiteras hela kostnaden för licenserna till dess att Kunden har tagit bort användarna och licenserna upphör att gälla. 


Uppsägning och meddelande om nedgradering av antalet licenser i Zendesk ska ske skriftligen, och kommer skriftligen bekräftas av HappiRel. 


Oaktat det ovanstående kan vardera Part skriftligen säga upp Avtalet till omedelbart upphörande om Part:

(a) i väsentligt avseende åsidosätter eller bryter mot bestämmelserna i Avtalet och rättelse, där sådan kan ske, inte sker inom trettio (30) dagar efter skriftligt meddelande därom, eller


(b) försätts i konkurs eller likvidation, blir föremål för företagsrekonstruktion eller annars är på obestånd.


Kundens rätt att nyttja Tjänsten under uppsägningstiden är villkorad av att Kunden har fullgjort sin betalningsskyldighet enligt Avtalet. Vid Avtalets upphörande, oavsett anledning ska Kundens tillgång till Tjänsten upphöra omedelbart. 


HappiRel ska, om inte annat följer av tvingande lag eller avtal, radera all Kundens data inom skälig tid efter Avtalets upphörande.


  1. Support

Supporttjänsten gäller för den Kund som anges vid tecknandet av abonnemanget för support eller som identifierats genom senare komplettering. Abonnemanget har en bindningstid som motsvarar avtalstiden för den/de tjänst(er) som supporteras.

Supporttjänsten utförs via e-post, telefon eller via fjärrstyrning av Kundens klient/applikation via internet och tillhandahålls helgfria vardagar kl. 09-17 samt omfattar följande delar: Support vid problem och allmänna användarfrågor för sådana mjukvaror och tjänster som HappiRel tillhandahållit Kunden samt andra mjukvaror och tjänster som det särskilt träffats överenskommelse om.

  1. Sekretess

Parterna förbinder sig att under avtalstiden och under fem (5) år därefter inte till utomstående lämna information avseende Avtalets innehåll och annan information som Parterna fått ta del av med anledning av Avtalet, oavsett om informationen lämnats skriftligen eller muntligen och oberoende av format (”Konfidentiell information”). Parterna förbinder sig att använda Konfidentiell information enbart i syfte att fullgöra sina åtaganden under Avtalet och inte för något annat ändamål. 

Mottagande Part förbinder sig vidare att vidta erforderliga åtgärder för att förhindra att anställd, underkonsult eller annan mellanman använder eller avslöjar Konfidentiell information för utomstående samt att använda samma nivå av aktsamhet (men inte lägre nivå än skälig aktsamhet) för att undvika utlämnande eller nyttjande av Konfidentiell information som Parten använder avseende sin egen konfidentiella eller upphovsrättsskyddade information.

Ovanstående gäller inte för sådan information som

a) vid tidpunkten för utlämnandet är eller senare blir tillgänglig för allmänheten på annat sätt än genom överträdelse mot Avtalet; eller
b) redan var tillgänglig för mottagande Part eller som denne på egen hand har utvecklat innan ingåendet av Avtalet och som inte, direkt eller indirekt, har erhållits genom överträdelse mot Avtalet.

Denna sekretessförbindelse förhindrar inte Part från att lämna sådan information som Part har skyldighet att lämna ut enligt lag, dom eller myndighetsbeslut eller avtal med börs eller annan marknadsplats. Om Part skulle ha eller åläggas skyldighet att lämna sådan information, åtar sig Parterna att omedelbart underrätta den andra Parten för att ge denne möjlighet att vidta skyddsåtgärder. Parterna ska göra sitt bästa för att tillse att information som lämnas i enlighet med denna punkt, så långt möjligt, behandlas konfidentiellt av mottagaren av informationen.

  1. Tillämplig lag och tvist

Svensk rätt ska tillämpas på detta Avtal. Tvist angående tolkning, tillkomsten eller tillämpningen av detta Avtal och därmed sammanhängande rättsförhållanden ska avgöras av svensk allmän domstol med Stockholms tingsrätt som första instans.

  1. Force Majeure

HappiRel äger gentemot Kunden rätt att utan ersättningsskyldighet inställa, inskränka eller uppskjuta leverans i den mån fullgörande av leveransen försvåras eller fördyras på grund av omständigheter utanför HappiRel kontroll, såsom t.ex. krigsliknande händelser, miljökatastrof, uppror och oroligheter, avbrott i datakommunikation eller allmänna förbindelser, export- och importrestriktioner, laglig reglering eller annat påbud av myndighet i Sverige eller utlandet, strejk, lockout, blockad eller annat arbetshinder, eldsvåda, explosion eller annan olyckshändelse, eller för fel eller försening i tjänster från underleverantör.

  1. Ändringar 

HappiRel har rätt att ändra eller göra tillägg till dessa Allmänna villkor. Sådan ändring eller tillägg ska meddelas Kunden senast en (1) månad innan ikraftträdandet.


Bilaga 1


Personuppgiftsbiträdesavtal

Senast uppdaterat 2025-07-16

HappiRel AB (härefter benämnd “HappiRel” eller “Personuppgiftsbiträdet “), och Kunden (härefter benämnd “Kunden” eller “Personuppgiftsansvarige “) (benämns härefter gemensamt som ”Parterna”) har ingått detta personuppgiftsbiträdesavtal.

Bakgrund


1.1 Parterna har tidigare ingått ett Tjänsteavtal till vilket HappiRels Allmänna villkor är gällande. Detta personuppgiftsbiträdesavtal är en bilaga till Avtalet, vars innehåll definieras i de Allmänna villkoren.

1.2 Inom åtagandena som följer av Tjänsteavtalet och de Allmänna villkoren kan HappiRel komma att behandla personuppgifter för Kundens räkning. Med anledning av detta ingår Parterna härmed detta personuppgiftsbiträdesavtal för att reglera villkoren för HappiRels behandling av personuppgifter vid utförande av Tjänsterna. 

1.3 Detta personuppgiftsbiträdesavtal är giltigt så länge HappiRel behandlar personuppgifter för Kundens räkning. 

Definitioner


2.1 De definitioner som anges i artikel 4 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (”Dataskyddsförordningen”) ska äga tillämpning på detta personuppgiftsbiträdesavtal.

2.2 I övrigt ska nedan uppräknade begrepp ha nedanstående innebörd:

”Dataskyddslagstiftning” avser Dataskyddsförordningen jämte tillhörande europeiska och nationella genomförandeförfattningar, samt instruktioner och bindande beslut från EU:s dataskyddsmyndigheter.

”Underbiträde” avser sådant personuppgiftsbiträde (underleverantör) som anlitats av Personuppgiftsbiträdet och som behandlar personuppgifter för Personuppgiftsbiträdes räkning.

I övrigt tillämpas de definitioner som anges i de Allmänna villkoren även på detta personuppgiftsbiträdesavtal.

Personuppgiftsbiträdesavtalets omfattning


3.1 Personuppgiftsbiträdet tillhandahåller Tjänster som avtalas om med den Personuppgiftsansvarige från tid till annan. Personuppgiftsbiträdets huvudsakliga verksamhetsställe är i Sverige.

3.2 Tjänsterna innefattar behandling, bland annat lagring och överföring av användaruppgifter avseende Slutanvändare av Tjänsterna. Dessa uppgifter kan direkt eller indirekt identifiera en fysisk person.

3.3 Personuppgiftsbiträdet kommer endast att behandla personuppgifter som tillhandahålls av den Personuppgiftsansvarige för att kunna utföra de åtaganden som följer av Tjänsteavtalet och de Allmänna villkoren.

3.4 De personuppgifter som kan komma att behandlas av Personuppgiftsbiträdet för den Personuppgiftsansvariges vägnar ska raderas permanent och automatiskt när Avtalet upphör att gälla (såvida inte lagring av personuppgifterna krävs enligt nationell lagstiftning eller unionsrätten).

3.5 Parterna är eniga om att behandlingen, de kategorier av personuppgifter som behandlingen gäller, de registrerade eller behandlingens syfte närsomhelst genom en överenskommelse kan förtydligas avseende specifikation och/eller utvidgas avseende omfattning. Sådana ändringar ska göras skriftliga för att vara giltiga så snart som det är möjligt efter att de har blivit kända. Villkoren i detta avtal ska tillämpas på sådana ändringar, om inte parterna kommer överens om annat.

Personuppgiftbiträdets ansvar och skyldigheter

4.2 Personuppgiftsbiträdet förbinder sig att:

a) endast behandla personuppgifter som omfattas av den Personuppgiftsansvariges dokumenterade instruktioner (Bilaga 1b ”Instruktioner”), inbegripet överföringar av personuppgifter till ett tredjeland eller en internationell organisation, för de syften som anges i Tjänsteavtalet och är i enlighet med detta avtal och gällande lagstiftning på området,

b) genomföra de säkerhetsåtgärder som anges i detta personuppgiftsbiträdesavtal,

c) inte använda personuppgifterna för något annat syfte än för utförandet av de förpliktelser som följer av detta personuppgiftsbiträdesavtal, Tjänsteavtalet och de Allmänna villkoren, samt

d) När behandlingen av personuppgifter upphör, efter den Personuppgiftsansvariges val, antingen radera eller återlämna samtliga personuppgifter, samt radera befintliga kopior, såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller svensk lag.

4.3 Om Personuppgiftsbiträdet anser att någon instruktion från den Personuppgiftsansvarige står i strid med Dataskyddsförordningen eller annan dataskyddslagstiftning, äger Personuppgiftbiträdet rätt att avvakta utförandet av instruktionen tills lagenligheten av instruktionen har bekräftats av behörig person utsedd av den Personuppgiftsansvarige eller tills instruktionen har skrivits om.

4.4 Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige, så att den Personuppgiftsansvarige ska kunna fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III i Dataskyddsförordningen.

4.5 Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige med att se till att skyldigheterna enligt artiklarna 32-36 i Dataskyddsförordningen fullgörs, med beaktande av typen av behandling och information som Personuppgiftsbiträdet har att tillgå.

Anmälningsskyldighet för Personuppgiftsbiträdet


5.1 Personuppgiftsbiträdet ska omedelbart anmäla till den Personuppgiftsansvarige om Personuppgiftsbiträdet får kännedom om att någon obehörig åtkomst till personuppgifter och/eller oavsiktlig eller avsiktlig utlämnande av personuppgifter till tredje part har skett.

5.2 Personuppgiftsbiträdet ska omedelbart anmäla till den Personuppgiftsansvarige om varje väsentlig överträdelse av gällande dataskyddslagstiftning som den får kännedom om som har koppling till detta avtal.

5.3 Om Personuppgiftsbiträdet anser att en instruktion från den Personuppgiftsansvarige strider mot Dataskyddslagstiftningen ska den omedelbart anmäla detta till den Personuppgiftsansvarige.

Personuppgiftsansvariges ansvar


6.1 Den Personuppgiftsansvarige ska tillhandahålla Personuppgiftsbiträdet instruktioner för behandlingen av personuppgifter. 

6.2 I instruktionerna ska bl.a. framgå föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade.

6.3 Den Personuppgiftsansvarige har det enskilda ansvaret att informera den registrerade om behandlingen av personuppgifter som utförs av Personuppgiftsbiträdet och att säkerställa att den registrerade har kännedom om sina rättigheter enligt gällande lagstiftning.

6.4 Den Personuppgiftsansvarige är skyldig att utföra sina förpliktelser enligt gällande Dataskyddslagstiftning. Inget i detta avtal ska tolkas som en överlåtelse av den Personuppgiftsansvariges ansvar, som följer av gällande dataskyddslagstiftning, till Personuppgiftsbiträdet.

Överföring till tredje land


7.1 I syfte att tillhandahålla de avtalade Tjänsterna har Personuppgiftsbiträdets servrar placerade inom EU och i tredjeland.

7.2 Den Personuppgiftsansvarige är medveten om och accepterar att servrar som är placerade i tredjeland omfattas av avtal för samlokalisering (co-location agreement) med underleverantörer som inte har inte rätt att få åtkomst till personuppgifter på servrarna och har begränsad rätt till materiell åtkomst till servrarna. När personuppgifter överförs mellan Personuppgiftsbiträdets servrar är personuppgifterna krypterade. Servrarna sköts av Personuppgiftsbiträdets underbiträde, direkt eller på distans.

7.3 Den Personuppgiftsansvarige åtar sig att tillse att de registrerade har fått information eller blir informerad om att hans eller hennes personuppgifter kan överföras till ett land utanför EU/EES innan Personuppgiftbiträdet påbörjar behandlingen av personuppgifterna.

7.4 Om överföringar av personuppgifter till ett tredje land eller en internationell organisation krävs enligt unionsrätten eller en nationell rätt får Personuppgiftsbiträdet genomföra sådan behandling. I så fall ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida inte sådan information är förbjuden med hänvisning till ett viktigt allmänintresse enligt dataskyddslagstiftningen. Vid överföring av personuppgifter till tredje land, som inte har beslut om adekvat skyddsnivå från Europeiska kommissionen, ska Personuppgiftsbiträdet säkerställa att lämpliga skyddsåtgärder finns på plats. Sådana skyddsåtgärder kan innefatta ingående av standardavtalsklausuler (SCC) godkända av Europeiska kommissionen, bindande företagsregler (BCR) eller andra rättsligt godkända mekanismer för dataskydd. Personuppgiftsbiträdet ska på begäran tillhandahålla den Personuppgiftsansvarige dokumentation som styrker att dessa skyddsåtgärder är uppfyllda.

Revision


8.1 Personuppgiftbiträdet ska ge den Personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som följer av artikel 28 i Dataskyddsförordningen har fullgjorts och på den Personuppgiftsansvariges begäran tillåta granskning, inklusive inspektioner, för att se om Personuppgiftbiträdet uppfyller sina skyldigheter enligt dataskyddslagstiftningen och detta avtal. Personuppgiftbiträdet ska medverka och bistå den Personuppgiftsansvarige och den som utför granskningen så mycket som rimligen kan krävas i genomförandet av granskningen. Den Personuppgiftsansvarige är medveten om att det av säkerhetsskäl finns begränsningar och regleringar gällande vem som kan få tillträde till lokalerna där servrarna finns.

8.2 Parterna ska gemensamt komma överens om vilken organisation som ska utföra ovan granskning.

8.3 Den Personuppgiftsansvarige ska betala alla kostnader, avgifter och utgifter för den organisation som genomför granskningen.

Underbiträden


9.1 Den Personuppgiftsansvarige godkänner att, (a) bolag i samma koncern som Personuppgiftsbiträdet kan anlitas som Underbiträde; och (b) att Personuppgiftsbiträdet och bolag i samma koncern som Personuppgiftsbiträdet i sin tur kan ingå avtal med Underbiträden för att uppfylla leveransen av Tjänsterna.

Personuppgiftsbiträdet har eller ska ingå skriftliga avtal med varje enskilt Underbiträde. Underbiträdet ska därvid åläggas att iaktta samma skyldigheter i fråga om dataskydd som fastställs i detta avtal. Underbiträdet ska i sådant personuppgiftsbiträdesavtal ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i Dataskyddsförordningen

9.2 Personuppgiftsbiträdet ska vid varje tid kunna tillhandahålla den Personuppgiftsansvarige en lista med fullständig, korrekt och uppdaterad information om samtliga Underbiträden. Denna lista ska inkludera Underbiträdens kontaktinformation och land det som det är placerat i. Om Personuppgiftsbiträdet ska anlita ett nytt Underbiträde ska den Personuppgiftsansvarige meddelas detta skriftligen innan det nya Underbiträdet får behörighet att behandla personuppgifter när den utför Tjänsterna.

9.3 Den Personuppgiftsansvarige kan invända mot användandet av ett nytt Underbiträde genom att skriftligen anmäla detta till Personuppgiftsbiträdet inom tio (10) arbetsdagar efter mottagandet av Personuppgiftsbiträdets meddelande. Om den Personuppgiftsansvarige har invänt mot ett nytt Underbiträde, ska Personuppgiftsbiträdet genom rimlig ansträngning tillgängliggöra en ändring av tjänsten för den Personuppgiftsansvarige eller rekommendera en kommersiellt rimlig ändring av användandet av Tjänsten för att undvika att det nya Underbiträdet behandlar personuppgifter, utan att det blir en oskälig belastning för den Personuppgiftsansvarige. 

9.4 För att den Personuppgiftsansvarige ska kunna invända mot ett Underbiträde enligt ovan ska den Personuppgiftsansvarige ha en befogad anledning till detta. Med befogad anledning avses omständigheter på det nya Underbiträdets sida som i betydande utsträckning påverkar, eller sannolikt riskerar att påverka, skyddet för den registrerades personliga integritet, såsom att det nya Underbiträdet inte uppfyller kraven i Dataskyddslagstiftningen.

9.5 Om Underbiträdet inte uppfyller de skyldigheter i fråga om behandling av personuppgifter som framgår av detta Avtal, ska Personuppgiftsbiträdet förbli fullt ansvarig gentemot den Personuppgiftsansvarige för Underbiträdets underlåtelse att uppfylla skyldigheterna. 

Ansvarsbegränsning

10.1 Personuppgiftsbiträdets totala ansvar enligt detta avtal, inklusive för eventuella krav, skador eller kostnader till följd av felaktig behandling av personuppgifter är begränsat enligt vad som framgår av ansvarsbegräsningen som stadgas i de Allmänna villkoren.

10.2 Ansvarsbegränsningen enligt ovan ska inte gälla i den mån skadan orsakats av grov vårdslöshet eller uppsåt från Personuppgiftsbiträdets sida, överträdelse av skyldigheter enligt Dataskyddsförordningen som medfört att tillsynsmyndighet beslutat om sanktionsavgift eller annan rättslig åtgärd mot den Personuppgiftsansvarige, eller brott mot skyldigheten att inte behandla personuppgifter utan instruktion från den Personuppgiftsansvarige.

Säkerhet och sekretess


11.1 Personuppgiftsbiträdet har gett tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på sådant sätt att behandlingen av personuppgifter uppfyller kraven i dataskyddslagstiftningen samt säkerställer att den registrerades rättigheter skyddas.

11.2 Personuppgiftsbiträdet har implementerat och kommer upprätthålla åtgärder för att vidmakthålla säkerheten för Tjänsterna som de beskrivs i Bilaga 1a.

11.3 Parterna är överens om att de säkerhetsåtgärder som återges i Bilaga 1a till detta avtal är ändamålsenliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är adekvat gentemot potentiella risker, som skydd för personuppgifter gentemot oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. I beaktande härav tas den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter.

11.4 Personuppgiftsbiträdet förbinder sig att inte till tredje man lämna ut eller på annat sätt röja information om personuppgifter som omfattas av detta avtal. Sekretessåtagandet gäller även efter att detta avtal i övrigt upphört att gälla.

11.5 Om Personuppgiftsbiträdet är skyldig att röja personuppgifter till en tredje part eller myndighet för att uppfylla ett rättsligt krav eller svara på föreläggande eller beslut från relevant myndighet, ska Personuppgiftsbiträdet, såvida det inte är förbjudet enligt lag, utan opåkallat dröjsmål efter att skyldigheten att röja personuppgiften blivit känd, skriftligen underrätta den Personuppgiftsansvarige om det rättsliga kravet och vilken typ av röjande som är aktuellt. Personuppgiftsbiträdet ska, om det inte är förbjudet enligt lag, vänta på vidare instruktioner från den Personuppgiftsansvarige gällande röjandet.

11.6 Personuppgiftsbiträdet ska säkerställa att samtliga personer som givits behörighet att behandla personuppgifterna har ingått särskild sekretessförbindelse eller upplysts om att särskild tystnadsplikt föreligger enligt avtal eller gällande rätt.

11.7 Personuppgiftsbiträdet ska vidta alla åtgärder avseende säkerhet som krävs enligt artikel 32 i Dataskyddsförordningen.

12. Övrigt

12.1 Bestämmelserna i HappiRels Allmänna villkor gällande avtalstid och upphörande, ansvarsbegränsning, och tillämplig lag och behörig domstol, ska tillämpas på detta personuppgiftsbiträdesavtal.

12.2 Tillägg och ändringar på detta personuppgiftsbiträdesavtal måste vara skriftliga för att vara gällande. 

Bilaga 1a: Tekniska och organisatoriska åtgärder

HappiRel kommer att genomföra som minst nedanstående listade åtgärder, eller likvärdiga, under personuppgiftsbiträdesavtalets giltighetstid:

Kontroll av åtkomst till lokalerna

Personuppgiftsbiträdet kommer genomföra lämpliga åtgärder i syfte att förhindra att obehöriga personer får tillgång till utrustning som behandlar personuppgifter genom att införa eller upprätthålla följande:

– Åtkomstkontroll och tillstånd för anställda och tredje parter
– Skydd och restriktioner för in och utgångar (begränsade nyckelkort och/eller passerkort)
– Skydd av relevanta lokaler (alarm och/eller säkerhetsvakter)
Kontroll av åtkomst till personuppgifterna och användarkontroll

Personuppgiftsbiträdet är skyldig att tillse att alla anställda och/eller andra personer med åtkomst till personuppgifter endast har det till den grad som är nödvändig för att kunna tillhandahålla Tjänsterna i Tjänsteavtalet, genom:
 

  • Samtliga personal använder förstärkt autentisering, 2FA för inloggning

  • Krav på användarbehörighet och strikt åtkomstkontroll

  • Sekretessförpliktelser

  • Anpassad åtkomstbehörighet

  • Kontrollerad förstöring och förflyttning av information på datalagringsmedier

  • Loggbok av händelser och aktiviteter (uppföljning av försök av obehöriga att ta sig in eller få åtkomst)

  • Utfärdande och säkringsförfarande av identifieringskoder

  • Användande av kryptering där Personuppgiftsbiträdet bedömer det lämplig

  • Automatisk utloggning av användar-ID:n som inte har använts på en väsentlig tid

  • Försäkran om att kunder endast har åtkomst till sina egna uppgifter

Överföring av uppgifter

  • Personuppgiftsbiträdet kommer att skydda personuppgifter som överförs och/eller behandlas enligt Tjänsteavtalet, Allmänna villkoren och Instruktioner, genom:

  • Riktlinjer som styr framställningen av säkerhetskopior

  • Dokumentation av överflyttnings-, hämtnings- och överföringsprogram

  • Attestinstruktioner

  • Kryptering av externa överföringar online

  • Radering av information innan byte av datalagringsmedia

  • Trafiken mellan användaren och tjänsten är med krypterad SSL certifikat

  • Personuppgifter överförs inte till tredje part utan den

  • Personuppgiftsansvariges skriftliga medgivande, om det inte är ett rättsligt krav

  • Organisatorisk kontroll

Personuppgiftsbiträdet kommer att upprätthålla sin inre organisation på ett sätt som tillgodoser krav enligt dataskyddslagstiftning, genom att:

  • Bindande interna riktlinjer för de anställda och/eller konsulter gällande säkerhet och behandling av personuppgifter, och/eller instruktioner

  • Intern krisplan för återställande och skyddande av personuppgifter

  • Begränsad behörighet att få åtkomst till personuppgifter endast till den nivå som är nödvändig

  • Ingen kundinformation kommer att kopieras på externa enheter (USB-minne, CD etc.) utan nödvändiga säkerhetsåtgärder, som exempelvis kryptering eller lösenordsskydd.


Bilaga 1b


Instruktioner 


Instruktion till Personuppgiftsbiträdet


1. Ändamål

Personuppgiftsbiträdet får endast behandla personuppgifter för följande ändamål:

→ Att tillhandahålla och fullgöra de tjänster som omfattas av Tjänsteavtalet och de Allmänna villkoren, t.ex. support, drift och förvaltning.


2. Typ av personuppgifter

Personuppgiftsbiträdet får behandla följande typer av personuppgifter avseende Slutanvändare:

→ Namn, kontaktuppgifter, personnummer, användar-ID, IP-adress, loggdata.


3. Kategorier av registrerade

Personuppgiftsbiträdet får behandla personuppgifter som rör följande kategorier av registrerade:

→ Kunder, anställda, användare, leverantörer, andra kontaktpersoner enligt Kundens angivande.


4. Behandlingens varaktighet

Behandlingen får endast pågå så länge Personuppgiftsbiträdet tillhandahåller Tjänsten enligt Avtalet, såvida inte annat följer av tvingande lag eller skriftlig överenskommelse.