Allmänna villkor för användning av IDI Profilings tjänster

Dessa allmänna villkor, inklusive de villkor, policyer, riktlinjer och instruktioner som hänvisas till häri, (”Villkoren”) är ett avtal mellan IDI Profiling AB (556988-5196), (”IDI” ”vi”, ”vår” eller ”oss”) och dig, som företag eller individ (”du” eller ”din”), som reglerar din tillgång till IDI:s plattform (”Plattformen”) och användningen av våra tjänster och webbplatser (”Webbplatsen” och tillsammans ”Tjänsterna”).

Genom att få tillgång till och använda Tjänsterna på något sätt samtycker du till att vara bunden av Villkoren. Om du inte samtycker till Villkoren ska du inte använda Tjänsterna.

Tveka inte på att kontakta oss om du har några frågor eller funderingar kring innehållet i dessa villkor eller vill få en bättre förståelse för hur tjänsterna fungerar.

1. Registrering

Du får använda våra Tjänster om du är (a) ett företag eller en organisation eller en kontaktperson för ett företag eller organisation (”Organisationsanvändare”), i syfte att ge tillgång till våra tjänster till nuvarande anställda, och (b) en användare, antingen som konsument eller anställd hos en Organisationsanvändare, som får tillgång till våra Tjänster (”Användare”). Särskilda villkor som gäller för Organisationsanvändare respektive Användare finns i slutet av dessa Villkor.

Som Användare kan du använda våra tjänster genom att skapa ett konto hos oss för att spara och återanvända dina resultat.

2. Våra Planer

Alla tillgängliga planer finns listade på vår Webbplats. Du har möjlighet att lägga till ytterligare Tjänster eller skala upp respektive Tjänst till det pris som anges på vår Webbplats och som gäller från tid till annan eller enligt ett separat erbjudande.

Du kan när som helst säga upp eller minska respektive Tjänst. En bindningstid kan dock gälla för vissa av våra Tjänster. I sådana fall anges bindningstiden vid registrering för Tjänsterna eller i den separata offerten. Du kan säga upp eller minska en Tjänst som är försedd med en bindningstid först vid utgången av bindningstiden.

Om en Tjänst läggs till och/eller utökas ska avgiften för sådan Tjänst betalas från och med den dag då tillägget eller utökningen tillhandahålls dig. Vid borttagande av Tjänst eller nedskalning justeras avgiften när förändringen har genomförts, om inte annat särskilt anges för en viss Tjänst.

Tillägg, ändring av omfattning eller uppsägning av en Tjänst kan göras av dig direkt i kontrollpanelen när du är inloggad på Plattformen om inte annat avtalats eller angivits.

3. Skapande av konto och tillgång till våra tjänster

Du får tillgång till våra Tjänster genom att skapa ett konto hos oss (”Konto”). För att skapa ett Konto måste du vara antingen (a) en Organisationsanvändare och registrera dig med hjälp av en e-postadress för företag, eller (b) en Användare som bjudits in av en Organisationsanvändare för att bedömas via Plattformen. Användare får endast använda och registrera ett (1) Konto för att få tillgång till Tjänsterna.

Du måste tillhandahålla korrekt och fullständig information när du skapar ditt konto och/eller får tillgång till plattformen. Du måste också se till att all information som du lämnar är och förblir korrekt, fullständig och uppdaterad. Vi har rätt att begränsa din tillgång till ditt Konto och Plattformen om du förser oss med osann, felaktig, inaktuell eller ofullständig information.

Genom att registrera ett Konto och/eller få tillgång till våra Tjänster garanterar du att du som enskild person är minst 18 år och har full rättskapacitet att acceptera dessa Villkor på det sätt som föreskrivs av oss. Om du registrerar dig för en Organisationsanvändares räkning eller under ett företagsnamn, intygar du att du är behörig att (a) skapa ett Konto i det företagets eller den affärsenhetens namn, (b) tillhandahålla information om företaget och (c) acceptera dessa Villkor för dess räkning.

Du ansvarar för att se till att din e-postadress, ditt lösenord och andra personliga säkerhetsfunktioner som du använder för att få tillgång till ditt konto och tjänsterna hålls säkra och skyddade.

4. Användning av tjänsterna

Även om vi vill att du ska njuta av Tjänsterna får du endast använda Tjänsterna för lagliga ändamål och på ett sätt som överensstämmer med Tjänsternas karaktär och syfte. Du är ansvarig för alla aktiviteter som sker på ditt konto. Du samtycker till att följa alla instruktioner och rekommendationer som vi tillhandahåller från tid till annan.

Endast du, den person som är kopplad till ett Konto eller som har fått en inbjudan till Plattformen, får ha tillgång till Tjänsterna via ditt Konto och/eller utföra personlighetstester och andra tester eller få tillgång till den information som finns tillgänglig på Plattformen. Det är strängt förbjudet att låta någon tredje part utföra eller få tillgång till tester genom att dela Konto eller annan information som är nödvändig för att få tillgång till Plattformen.

Du förväntas använda tjänsterna på ett ansvarsfullt och lagligt sätt. När du får tillgång till eller använder tjänsterna samtycker du till att följa följande uppförandenormer och du får inte:

publicera, lägga upp eller på annat sätt uttrycka material eller information som är olämplig, ärekränkande, kränkande, obscen, pornografisk, rasistisk, terroristisk, politiskt vinklad, oanständig eller olaglig;
kopiera, reproducera, ändra, modifiera, skapa eller härledda verk, offentligt visa, återpublicera, ladda upp, posta, överföra, återförsälja eller distribuera Tjänsterna, någon del därav eller något material eller information som du får, eller ges tillgång till, från oss,
övervaka Tjänsternas tillgänglighet, prestanda eller funktionalitet i konkurrenssyfte eller för syfte utöver det avsedda syftet med Tjänsterna, vilket till exempel innebär att du samtycker till att inte få tillgång till Tjänsterna i syfte att utveckla eller driva en konkurrerande produkt eller tjänst eller kopiera Tjänsternas funktioner eller användargränssnitt, eller
bryta mot begränsningarna för Tjänsterna, kringgå någon av de tekniska begränsningarna för Tjänsterna, använda något verktyg för att aktivera egenskaper eller funktioner som annars är inaktiverade i Tjänsterna, eller dekompilera, demontera eller på annat sätt baklängeskonstruera Tjänsterna.

5. Kundservice och reklamationer

Vi kommer att ge dig regelbunden kundservice via e-post eller telefon under normal arbetstid för att hjälpa dig med att lösa eventuella problem som rör din användning av Tjänsterna.

6. Immateriella rättigheter

Du är införstådd med och bekräftar att vi, eller våra licensgivare, äger alla rättigheter, titlar och intressen i Tjänsterna, inklusive men inte begränsat till upphovsrätter, patent, varumärken, mönsterrätter, företagshemligheter och andra immateriella rättigheter. I synnerhet är frågor, innehåll och annat material som utgör en del av de tester som används för att analysera Användare på Plattformen att betrakta som företagshemligheter och ska behandlas som sådana av dig. Tjänsterna, Plattformen och materialet däri får inte kopieras, reproduceras eller distribueras på något sätt eller på något medium, helt eller delvis, av dig utan föregående skriftligt medgivande från oss.

Du beviljas endast en icke-exklusiv rätt att använda Tjänsterna i enlighet med dessa Villkor. Du förstår att du inte får någon programvarulicens eller några äganderättigheter genom att beviljas tillgång till Tjänsterna eller till exempel genom att ladda ner material från eller skicka material till Tjänsterna.

7. Personuppgifter

För att vi ska kunna erbjuda dig våra Tjänster behöver vi samla in vissa personuppgifter. Du kan läsa vår Integritetspolicy för en detaljerad beskrivning av hur vi behandlar dina personuppgifter.

8. Servicenivåer

Även om vi kommer att vidta kommersiellt rimliga åtgärder för att tillhandahålla Tjänsterna kontinuerligt och i enlighet med tillämpligt serviceavtal (”SLA”), garanterar vi inte att Tjänsterna kommer att vara fria från avbrott, förseningar eller fel som orsakas av våra system eller andra tredjepartsleverantörer, allmänna internetfel eller force majeure. Du måste meddela oss utan onödigt dröjsmål via vår kundtjänst om du upplever några avbrott, förseningar eller fel i tjänsterna.

Från tid till annan kommer vi att utföra underhåll och uppgraderingar av Tjänsterna, vilket kan medföra avbrott, förseningar eller fel i Tjänsterna. Även om vi kommer att vidta kommersiellt rimliga ansträngningar för att meddela dig i förväg om planerat underhåll, kan vi inte garantera att sådant meddelande alltid kommer att lämnas.

9. Inga garantier

Vi tillhandahåller Tjänsterna till dig i befintligt skick och i mån av tillgänglighet. I den utsträckning som tillåts enligt lag lämnar vi inga garantier, uttryckliga eller underförstådda, i förhållande till tjänsterna. Vi frånsäger oss härmed alla andra garantier, inklusive, utan begränsning, underförstådda garantier eller villkor för säljbarhet, lämplighet för ett visst ändamål eller icke-intrång i immateriella rättigheter eller andra kränkningar av rättigheter. Du bekräftar att vi inte garanterar att tjänsterna kommer att vara oavbrutna, punktliga, säkra eller felfria.

10. Tillägg och ändringar

Vi har rätt att när som helst ändra, ta bort eller lägga till skrivningar i dessa Villkor eller ändra, ta bort, avbryta eller införa nya villkor för någon funktion eller aspekt av Tjänsterna. Vi kommer att ge dig 3 månaders varsel via e-post eller Tjänsterna om varje ändring, dock alltid minst i enlighet med tvingande lag, och ändringen träder i kraft när den 3 månader långa varselperioden har passerat. Varselperioden på 3 månader gäller inte om en ändring krävs enligt tillämplig lag eller avser tillägg av en ny tjänst, extra funktionalitet till befintliga Tjänster eller någon annan ändring som enligt vår rimliga uppfattning varken minskar dina rättigheter eller ökar dina skyldigheter. Under sådana omständigheter kommer ändringen att göras utan föregående meddelande till dig och kommer att träda i kraft omedelbart.

Om du inte accepterar någon ändring måste du avsluta ditt Konto. Genom att fortsätta använda våra Tjänster anses du ha accepterat en ändring.

Alla nya funktioner, egenskaper och innehåll som introduceras och läggs till i Tjänsterna eller på Webbplatsen kommer att omfattas av vad som anges i Villkoren.

11. Begränsning av ansvar

Under inga omständigheter ska vi, våra dotterbolag, närstående bolag eller någon av våra respektive anställda, tjänstemän, styrelseledamöter, agenter eller partners vara ansvariga för:

förlust av kontrakt;
förlust av anseende och/eller goodwill;
utebliven vinst, uteblivna intäkter, uteblivna förväntade besparingar och/eller förlust av verksamhet; eller
särskilda eller indirekta förluster eller skador, följdförluster eller följdskador, även om sådan förlust eller skada rimligen kunde förutses, som uppstår på grund av eller i samband med din användning av Tjänsterna eller fullgörandet av våra skyldigheter enligt dessa Villkor.

Vårt totala ansvar gentemot dig för alla andra förluster som uppstår enligt eller i samband med något avtal mellan oss, oavsett om det avser avtalsbrott, skadestånd (inklusive vårdslöshet), brott mot lagstadgad skyldighet eller på annat sätt, ska begränsas till de totala belopp som du har betalat för Tjänsterna under den tremånadersperiod som omedelbart föregår den händelse som ger upphov till anspråket på ansvar, eller om du inte har använt Tjänsterna i tre (3) månader, din genomsnittliga månadsavgift multiplicerad med tre (3). Vi har inget ansvar om du använder Tjänsterna under en provperiod eller på annat sätt kostnadsfritt.

Ingenting i dessa Villkor begränsar vårt ansvar till följd av bedrägeri eller bedräglig felaktig framställning, grov vårdslöshet, uppsåtlig försummelse, dödsfall eller personskada till följd av vår vårdslöshet eller i den utsträckning som sådan begränsning eller uteslutning inte är tillåten enligt tillämplig lag.

12. Fullständigt avtal

Dessa Villkor utgör hela avtalet mellan Parterna avseende Tjänsterna och ersätter alla tidigare och samtidiga förhandlingar och överenskommelser mellan Parterna, oavsett om de är skriftliga eller muntliga.

13. Tillämplig lag och tvister

Svensk lag, med undantag för dess lagvalsregler, ska tillämpas på dessa Villkor. Tvist, meningsskiljaktighet eller anspråk som uppkommer på grund av eller i samband med dessa Villkor, eller brott mot, uppsägning eller ogiltighet av dessa, ska avgöras av allmän domstol i Sverige.

14. Giltighetstid och uppsägning

14.1 För användare

Dessa Villkor gäller från och med det datum då du skapar ett Konto eller på annat sätt får tillgång till Plattformen och tills vidare. Du kan säga upp Tjänsterna med tillämplig uppsägningstid genom att avsluta din prenumeration via kontrollpanelen när du är inloggad på Plattformen.

Vid uppsägning upphör din rätt att få tillgång till Tjänsterna. Vi kommer också att radera eller anonymisera alla personuppgifter om dig, med undantag för personuppgifter som du har bett oss att lagra ytterligare, som vi har ett berättigat intresse av att lagra ytterligare eller som vi är skyldiga att behålla enligt lag.

Skyldigheter som uppkommer till följd av avtalsbrott under giltighetstiden för dessa villkor ska inte påverkas av uppsägningen.

14.2 För Organisationsanvändare

Dessa Villkor gäller från och med det datum du skapar ett Konto och fortsätter att gälla under prenumerationsperioden (”Prenumerationsperiod”). Du kan avsluta din prenumeration via kontrollpanelen när du är inloggad på Plattformen. om inte annat avtalats mellan Parterna.

14.3 Uppsägning från vår sida

Vi förbehåller oss rätten att säga upp eller begränsa Tjänsterna om:

du bryter mot dessa Villkor, eller andra villkor som vi har kommit överens om,
du använder Tjänsterna på ett sätt som inte överensstämmer med det avsedda syftet, i strid med tillämplig lag eller på annat sätt som är skadligt för oss eller tredje part,
om dina aktiviteter eller handlingar enligt vår rimliga uppfattning skadar eller kan skada vår image eller vårt anseende, eller
du är sen med betalningen.

Om någon av dessa händelser inträffar kan vi kontakta dig och begära att du åtgärdar bristerna o efterlevnad av dessa Villkor innan vi säger upp eller begränsar tjänsterna.

Om vi har någon anledning att tro att du har använt Tjänsterna i strid med dessa Villkor har vi rätt att, efter eget gottfinnande och utan föregående skriftligt meddelande, avsluta ditt Konto och inaktivera din åtkomst till Tjänsten.

15. Avgifter för användare som är konsumenter och Organisationsanvändare

Du kan komma att erbjudas att registrera dig för att använda Tjänsterna under en begränsad provperiod. Under provperioden kommer du att ha tillgång till alla eller delar av Tjänsterna (enligt närmare beskrivning på Webbplatsen) utan kostnad.

Du ska betala alla tillämpliga avgifter som beskrivs på Webbplatsen för de tjänster du har valt eller enligt separat överenskommelse mellan dig och oss (”Avgifterna”). Om du har registrerat dig för en av våra planer ska Avgifterna betalas antingen årligen i förskott eller enligt separat överenskommelse.

Du kan betala för Tjänsterna genom någon av de betalningsmetoder som anges på Webbplatsen. För betalningar som görs via en tredjepartsleverantör gäller denna tredjepartsleverantörs villkor.

Du samtycker till att betala inom den fastställda tiden för den tillämpliga betalningsmetoden. Vi har rätt att stänga ditt konto tills du har betalat alla avgifter som du har ådragit dig. Betalning efter förfallodagen kan medföra förseningsavgifter och ränta.

Vi kan komma att höja avgifterna för Tjänsterna, vilket kommer att träda i kraft i början av varje förnyad prenumerationsperiod. Vi kommer att meddela dig om en eventuell höjning innan den träder i kraft via e-post eller via Tjänsterna.

16. Särskilda bestämmelser för Organisationsanvändare

Nedanstående bestämmelser reglerar särskilt ansvarsförhållandena mellan oss och våra Organisationsanvändare.

Du garanterar att de personer (t.ex. anställda och representanter) som du bemyndigar att skapa ett Konto och använda Tjänsterna har läst och förstått Villkoren.

16.1 Ditt innehåll

I samband med användandet av ditt Konto och din användning av Tjänsterna kan du i vissa fall ladda upp eller tillhandahålla material eller information (”Innehåll”). Du är ansvarig för det Innehåll som du laddar upp på Tjänsterna, inklusive dess laglighet, tillförlitlighet, riktighet och lämplighet och att Innehållet inte gör intrång i tredje parts immateriella rättigheter.

16.2 Avgifter för Organisationsanvändare

Avgifterna inkluderar inte mervärdesskatt (moms) eller andra avgifter och skatter.

Vi tillhandahåller inte återbetalningar, returrätt för en köpt prenumeration, krediter för en delvis använd prenumeration, krediter för ett oanvänt konto eller krediter på grund av att du är missnöjd med Tjänsterna. Detta innebär att du inte har rätt till återbetalning av avgifter som redan betalats. Om du säger upp dessa Villkor i enlighet med avsnitt 14 har du rätt att använda våra Tjänster fram till slutet av den innevarande perioden.

16.3 Skadeersättning

Oaktat ovanstående eller någon annan bestämmelse i dessa Villkor samtycker du till att försvara, gottgöra och hålla oss och våra respektive direktörer, agenter, dotterbolag och representanter skadeslösa från och mot alla anspråk (inklusive alla anspråk från tredje part) och kostnader (inklusive utan begränsning rimliga advokatkostnader) som uppstår på grund av eller i samband med: (a) någon faktisk eller påstådd överträdelse från din sida av någon bestämmelse i dessa Villkor, (b) din felaktiga eller olämpliga användning av Tjänsterna, (c) din överträdelse av någon tredje parts rättighet, inklusive utan begränsning integritetsrättigheter, publicitetsrättigheter eller immateriella rättigheter, (d) skadeståndsskyldighet gentemot tredje part som vi ådrar oss som en direkt eller indirekt följd av dina handlingar eller försummelser, (e) din överträdelse av någon tillämplig lag, regel eller föreskrift i din specifika jurisdiktion, och (f) fel som du begår när du tillhandahåller information eller instruktioner till oss, oavsett om det sker via ditt Konto eller något annat kommunikationsmedel.

16.4 Tredjepartsintegrationer

Du kan aktivera eller på annat sätt tillåta integrationer mellan oss och vissa tredjepartsleverantörer som du har avtal med (”Tredjepartsintegration”). Genom att aktivera en Tredjepartsintegration instruerar du uttryckligen IDI att dela data med, och få tillgång till och använda data från, sådan tredjepartsleverantör. Du är ansvarig för att tillhandahålla alla instruktioner till en sådan tredjepartsleverantör om användning och skydd av data. Ni bekräftar och samtycker till att vi inte är underbiträde till någon sådan tredjepartsleverantör i förhållande till några personuppgifter som ingår i data- eller informationsöverföringen, och inte heller är någon sådan tredjepartsleverantör underbiträde till oss i förhållande till några personuppgifter som ingår i data- eller informationsöverföringen.

Vi är inte ansvariga eller skadeståndsskyldiga gentemot dig eller någon tredjepartsleverantör med avseende på funktionaliteten eller tillgängligheten av någon Tredjepartsintegration eller data som erhållits genom Tredjepartsintegrationer och vi lämnar inte heller någon utfästelse eller garanti med avseende på någon Tredjepartsintegration eller data som erhållits genom en Tredjepartsintegration eller med avseende på någon tredjepartsleverantör. Du samtycker till att du är ensam ansvarig för att följa alla avtal som du kan ha med den tredjepartsleverantör med vilken du använder Tredjepartsintegrationen.

16.5 Personuppgifter och integritet

Ni är personuppgiftsansvarig och IDI är personuppgiftsbiträde för behandling av personuppgifter som rör Tjänsten, enligt vad som överenskommits och regleras i det Personuppgiftsbiträdesavtal som framgår av Bilaga 1.

Båda parter åtar sig att följa tillämpliga lagar och regler avseende skydd av personuppgifter samt att säkerställa att enskilda personer informeras på ett tydligt och öppet sätt om hur personuppgifter behandlas.

17. Force Majeure

Försening eller utebliven uppfyllelse av någon bestämmelse i dessa Villkor som orsakas av förhållanden utanför den utförande Partens rimliga kontroll (en ”Force Majeure”-händelse) ska inte utgöra ett brott mot dessa Villkor, och tiden för uppfyllelse av sådan bestämmelse, om någon, ska anses vara förlängd med en period som motsvarar varaktigheten av de förhållanden som förhindrar uppfyllelse.

Bilaga 1: Personuppgiftsbiträdesavtal

Detta Personuppgiftsbiträdesavtal med bilagor (”DPA”) har ingåtts mellan:

Personuppgiftsansvarig: Organisationsanvändaren (enligt definitionen i Villkoren för användning av IDI Profilings tjänster (”Villkoren”)), (”personuppgiftsansvarig”); och
Personuppgiftsbiträde: IDI Profiling AB (556988-5196) (”personuppgiftsbiträdet”)

Parterna benämns var för sig ”Part” och gemensamt ”Parterna”.

1. Bakgrund

DPA utgör en del av Villkoren och anger de ytterligare villkor, krav och förutsättningar enligt vilka personuppgiftsbiträdet kommer att behandla personuppgifter (enligt definitionen nedan) när det tillhandahåller tjänster enligt Villkoren. DPA innehåller de obligatoriska klausuler som krävs enligt den allmänna dataskyddsförordningen (EU) 2016/679 (”GDPR”). DPA innehåller följande bilagor:

Bilaga I – Kontaktuppgifter
Bilaga II – Beskrivning av behandlingen
Bilaga III – Tekniska och organisatoriska åtgärder

2. Syfte och omfattning

Detta DPA gäller för behandling av personuppgifter enligt vad som anges i bilaga II. Detta DPA påverkar inte de skyldigheter som den personuppgiftsansvarige omfattas av enligt GDPR.

3. Tolkning

När det i detta DPA används termer som definieras i dataskyddsförordningen ska dessa termer ha samma innebörd som i dataskyddsförordningen. Detta DPA ska läsas och tolkas mot bakgrund av bestämmelserna i dataskyddsförordningen. Detta DPA får inte tolkas på ett sätt som strider mot de rättigheter och skyldigheter som föreskrivs i dataskyddsförordningen eller på ett sätt som skadar de registrerades grundläggande rättigheter eller friheter.

4. Hierarki

I händelse av en motsägelse mellan detta DPA och bestämmelserna i Villkoren ska detta DPA ha företräde.

5. Parternas förpliktelser

Närmare uppgifter om behandlingen, särskilt de kategorier av personuppgifter och ändamålen med behandlingen för vilka personuppgifterna behandlas för den personuppgiftsansvariges räkning, anges i bilaga II.

6. Instruktioner

Personuppgiftsbiträdet ska endast behandla personuppgifter enligt vad som anges i Villkoren och detta DPA, och endast enligt dokumenterade instruktioner från den personuppgiftsansvarige, såvida inte detta krävs enligt unionsrätten eller medlemsstaternas nationella rätt som personuppgiftsbiträdet omfattas av. I så fall ska personuppgiftsbiträdet informera den personuppgiftsansvarige om detta rättsliga krav före behandlingen, såvida inte lagen förbjuder detta av viktiga skäl av allmänt intresse. Personuppgiftsbiträdet ska omedelbart informera den personuppgiftsansvarige om personuppgiftsbiträdet anser att instruktioner som ges av den personuppgiftsansvarige strider mot GDPR eller tillämpliga bestämmelser om dataskydd i unionen eller medlemsstaten.

7. Ändamålsbegränsning

Personuppgiftsbiträdet ska endast behandla personuppgifterna för det eller de specifika ändamål för behandlingen som anges i bilaga II, såvida det inte får ytterligare instruktioner från den personuppgiftsansvarige.

8. Behandlingens varaktighet

Behandlingen får endast ske under den tidsperiod som anges i bilaga II.

9. Säkerhet vid behandling

Personuppgiftsbiträdet ska åtminstone genomföra de tekniska och organisatoriska åtgärder som anges i bilaga III för att garantera säkerheten för personuppgifterna. Detta inbegriper att skydda uppgifterna mot en säkerhetsöverträdelse som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till uppgifterna (personuppgiftsincident). Vid bedömningen av lämplig säkerhetsnivå ska parterna ta vederbörlig hänsyn till den senaste utvecklingen, kostnaderna för genomförandet, behandlingens art, omfattning, sammanhang och ändamål samt de risker som den innebär för de registrerade. Personuppgiftsbiträdet ska ge sin personal tillgång till de personuppgifter som behandlas endast i den utsträckning som är absolut nödvändig för att genomföra, förvalta och övervaka avtalet. Personuppgiftsbiträdet ska säkerställa att personer som är behöriga att behandla de mottagna personuppgifterna har åtagit sig att iaktta sekretess eller omfattas av en lämplig lagstadgad sekretessförpliktelse.

10. Känsliga uppgifter

Behandlingen omfattar inte behandling av känsliga uppgifter i enlighet med artikel 9 i dataskyddsförordningen. Om den personuppgiftsansvarige eller någon av dess anställda, konsulter eller andra personer med anknytning till den personuppgiftsansvarige matar in sådana uppgifter, och behandlingen som sådan innefattar personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, genetiska uppgifter eller biometriska uppgifter i syfte att entydigt identifiera en fysisk person, uppgifter om hälsa eller en persons sexualliv eller sexuella läggning, eller uppgifter om fällande domar i brottmål och överträdelser (känsliga uppgifter), instruerar den personuppgiftsansvarige personuppgiftsbiträdet att tillämpa begränsningar och/eller ytterligare skyddsåtgärder som personuppgiftsbiträdet ska besluta om efter eget gottfinnande.

11. Dokumentation och efterlevnad

Parterna ska kunna visa att de följer detta dataskyddsavtal.

Personuppgiftsbiträdet ska skyndsamt och på lämpligt sätt hantera förfrågningar från den personuppgiftsansvarige om behandling av uppgifter i enlighet med detta dataskyddsavtal.

Personuppgiftsbiträdet ska göra all information tillgänglig för den personuppgiftsansvarige som är nödvändig för att visa att de skyldigheter som anges i detta dataskyddsavtal och som härrör direkt från GDPR uppfylls. Den personuppgiftsansvarige ska skriftligen meddela personuppgiftsbiträdet minst tio (10) arbetsdagar i förväg om planerade revisioner eller inspektioner. En revision som utförs i enlighet med denna klausul får endast utföras:

under normal arbetstid;
efter att den personuppgiftsansvarige har bekräftat att varje utsedd representant, oavsett om denne arbetar för den personuppgiftsansvarige eller agerar för en auktoriserad tredje part, som utför revisionen omfattas av ett sekretessavtal som är lämpligt i förhållande till den information som ska granskas, och
i enlighet med bearbetningsföretagets interna policyer och säkerhetsrelaterade förfaranden.

Vardera parten ska bära sina egna kostnader i samband med revisionen. Om den personuppgiftsansvarige rimligen måste utföra mer än en revision i enlighet med denna klausul inom en tolvmånadersperiod, ska den personuppgiftsansvarige bära alla kostnader som den personuppgiftsansvarige rimligen ådragit sig för att utföra revisionen.

Parterna ska på begäran göra den information som avses i detta avsnitt, inklusive resultaten av eventuella revisioner, tillgänglig för den behöriga tillsynsmyndigheten.

12. Användning av underbiträden

Personuppgiftsbiträdet får endast ge ett underbiträde tillstånd att behandla personuppgifter om:

den personuppgiftsansvarige ges möjlighet att invända mot utnämningen av varje underbiträde inom tio (10) arbetsdagar efter det att personuppgiftsbiträdet skriftligen har försett den personuppgiftsansvarige med fullständiga uppgifter om underbiträdet, och om så inte sker ska den personuppgiftsansvarige anses ha godtagit att underbiträdet anlitas,
detta sker genom ett avtal som i sak ålägger underbiträdet samma skyldigheter i fråga om uppgiftsskydd som dem som åläggs personuppgiftsbiträdet i enlighet med detta dataskyddsavtal. Personuppgiftsbiträdet ska se till att underbiträdet fullgör de skyldigheter som åligger personuppgiftsbiträdet enligt detta dataskyddsavtal och dataskyddsförordningen,
personuppgiftsbiträdet behåller kontrollen över alla personuppgifter som det anförtror till underbiträdet, och
Underbiträdets avtal upphör automatiskt att gälla när detta dataskyddsavtal av någon anledning upphör att gälla.

Personuppgiftsbiträdet ska förbli fullt ansvarigt gentemot den personuppgiftsansvarige för fullgörandet av underbiträdets skyldigheter i enlighet med dennes avtal med personuppgiftsbiträdet. Personuppgiftsbiträdet ska underrätta den personuppgiftsansvarige om underbiträdet underlåter att fullgöra sina avtalsenliga skyldigheter. Personuppgiftsbiträdet ska hålla en uppdaterad förteckning över alla sina godkända underbiträden. Förteckningen ska på begäran göras tillgänglig för den personuppgiftsansvarige. De godkända underbiträdena anges här. Om den personuppgiftsansvarige rimligen invänder mot utnämningen av ett underbiträde måste denne lämna skriftliga uppgifter om de rimliga skälen till invändningen och personuppgiftsbiträdet kommer att göra kommersiellt rimliga ansträngningar för att ändra tjänsterna för att undvika att personuppgifter behandlas av det underbiträde som invändningen gäller eller för att utse ett alternativt underbiträde. Om personuppgiftsbiträdet inte kan göra en sådan ändring av tjänsterna eller utse ett alternativt underbiträde inom trettio (30) arbetsdagar, ska vardera parten ha rätt att säga upp detta dataskyddsavtal och (om tillämpligt) villkoren.

13. överföringar till tredjeland

Personuppgiftsbiträdets eventuella överföring av uppgifter till ett tredjeland eller en internationell organisation ska endast ske på grundval av dokumenterade instruktioner från den personuppgiftsansvarige eller för att uppfylla ett specifikt krav enligt unionsrätten eller medlemsstaternas nationella rätt som personuppgiftsbiträdet omfattas av och ska ske i enlighet med kapitel V i GDPR.

Den personuppgiftsansvarige samtycker till att om personuppgiftsbiträdet anlitar ett underbiträde i enlighet med avsnitt 12 för att utföra specifika behandlingsaktiviteter (för den personuppgiftsansvariges räkning) och dessa behandlingsaktiviteter inbegriper en överföring av personuppgifter i den mening som avses i kapitel V i dataskyddsförordningen, kan personuppgiftsbiträdet och underbiträdet säkerställa efterlevnad av kapitel V i dataskyddsförordningen genom att använda standardavtalsklausuler som antagits av kommissionen i enlighet med artikel 46.2 i dataskyddsförordningen, förutsatt att villkoren för användning av dessa standardavtalsklausuler är uppfyllda.

14. Förfrågningar från registrerade

Personuppgiftsbiträdet ska utan dröjsmål underrätta den personuppgiftsansvarige om varje begäran som det har mottagit från den registrerade. Personuppgiftsbiträdet ska inte självt besvara begäran, såvida inte den personuppgiftsansvarige har gett sitt tillstånd till detta. Personuppgiftsbiträdet ska hjälpa den personuppgiftsansvarige att fullgöra sina skyldigheter att besvara de registrerades begäran om att utöva sina rättigheter, med beaktande av behandlingens art. Vid fullgörandet av sina skyldigheter enligt detta avsnitt 14 ska personuppgiftsbiträdet följa den personuppgiftsansvariges instruktioner.

15. Ytterligare Bistånd till den personuppgiftsansvarige

Utöver personuppgiftsbiträdets skyldighet att bistå den personuppgiftsansvarige enligt avsnitt 14 ska personuppgiftsbiträdet dessutom bistå den personuppgiftsansvarige med att säkerställa efterlevnaden av följande skyldigheter, med beaktande av personuppgiftsbehandlingens art och den information som är tillgänglig för personuppgiftsbiträdet:

skyldigheten att göra en bedömning av den planerade behandlingens inverkan på skyddet av personuppgifter (en ”konsekvensbedömning avseende dataskydd”) om en typ av behandling sannolikt leder till en hög risk för fysiska personers rättigheter och friheter,
skyldigheten att samråda med den behöriga tillsynsmyndigheten före behandling om en konsekvensbedömning avseende dataskydd visar att behandlingen skulle medföra en hög risk om den personuppgiftsansvarige inte vidtar åtgärder för att minska risken,
skyldigheten att se till att personuppgifterna är korrekta och uppdaterade, genom att utan dröjsmål informera den personuppgiftsansvarige om personuppgiftsbiträdet får kännedom om att de personuppgifter som behandlas är felaktiga eller har blivit inaktuella, och
de skyldigheter som anges i artikel 32 i GDPR.

Parterna ska i bilaga III ange de lämpliga tekniska och organisatoriska åtgärder genom vilka personuppgiftsbiträdet ska bistå den personuppgiftsansvarige vid tillämpningen av detta avsnitt 15 samt omfattningen och räckvidden av det bistånd som krävs.

16. Anmälan om personuppgiftsincident

I händelse av en personuppgiftsincident ska personuppgiftsbiträdet samarbeta med och bistå den personuppgiftsansvarige så att denne kan fullgöra sina skyldigheter enligt artiklarna 33 och 34 i GDPR, i tillämpliga fall, med beaktande av behandlingens art och den information som är tillgänglig för personuppgiftsbiträdet.

17. Personuppgiftsincident som rör uppgifter som behandlas av den personuppgiftsansvarige

I händelse av en personuppgiftsincident som rör uppgifter som behandlas av den personuppgiftsansvarige ska personuppgiftsbiträdet bistå den personuppgiftsansvarige:

att anmäla personuppgiftsincidenten till den behöriga tillsynsmyndigheten, utan onödigt dröjsmål efter det att den personuppgiftsansvarige har fått kännedom om den, om det är relevant/(såvida det inte är osannolikt att personuppgiftsincidenten leder till en risk för fysiska personers rättigheter och friheter);
att erhålla följande information som enligt artikel 33.3 i GDPR ska anges i den personuppgiftsansvariges meddelande och som minst måste omfatta
- personuppgifternas art, inbegripet, om möjligt, kategorierna och det ungefärliga antalet berörda registrerade samt kategorierna och det ungefärliga antalet berörda personuppgiftsposter;
- de sannolika konsekvenserna av personuppgiftsincidenten;
- de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inklusive, i förekommande fall, åtgärder för att mildra dess eventuella negativa effekter; samt
att i enlighet med artikel 34 i GDPR fullgöra skyldigheten att utan onödigt dröjsmål underrätta den registrerade om personuppgiftsincidenten, när personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter.

Om, och i den mån, det inte är möjligt att tillhandahålla all denna information samtidigt, ska det första meddelandet innehålla den information som då är tillgänglig och ytterligare information ska, när den blir tillgänglig, därefter tillhandahållas utan onödigt dröjsmål.

18. Personuppgiftsincident som rör uppgifter som behandlas av personuppgiftsbiträdet

Vid en personuppgiftsincident som rör uppgifter som behandlas av personuppgiftsbiträdet ska personuppgiftsbiträdet underrätta den personuppgiftsansvarige utan onödigt dröjsmål efter det att personuppgiftsbiträdet har fått kännedom om incidenten. En sådan anmälan ska minst innehålla följande:

en beskrivning av incidentens art (inklusive, om möjligt, de kategorier och det ungefärliga antal registrerade och personuppgiftsposter som berörs);
uppgifter om en kontaktpunkt där mer information om personuppgiftsincidenten kan erhållas, och
dess sannolika följder och de åtgärder som har vidtagits eller som föreslås för att hantera överträdelsen, inklusive för att mildra dess eventuella negativa effekter.

Parterna ska i bilaga III ange alla andra uppgifter som personuppgiftsbiträdet ska tillhandahålla när det bistår den personuppgiftsansvarige med att fullgöra dennes skyldigheter enligt artiklarna 33 och 34 i dataskyddsförordningen.

19. Avbrytande av BEHANDLING

Utan att det påverkar tillämpningen av bestämmelserna i GDPR får den personuppgiftsansvarige, om personuppgiftsbiträdet bryter mot sina skyldigheter enligt detta DPA, instruera personuppgiftsbiträdet att avbryta behandlingen av personuppgifter tills personuppgiftsbiträdet uppfyller detta DPA eller tills avtalet har upphört att gälla. Personuppgiftsbiträdet ska omedelbart informera den personuppgiftsansvarige om det av någon anledning inte kan följa detta DPA.

20. Uppsägning

Den personuppgiftsansvarige ska ha rätt att säga upp detta DPA om:

personuppgiftsbiträdets behandling av personuppgifter har avbrutits av den personuppgiftsansvarige i enlighet med avsnitt 19 och om efterlevnaden av detta DPA inte återställs inom rimlig tid och under alla omständigheter inom en månad efter avbrottet;
personuppgiftsbiträdet gör sig skyldigt till en väsentlig eller ihållande överträdelse av detta DPA eller sina skyldigheter enligt GDPR; eller
personuppgiftsbiträdet underlåter att följa ett bindande beslut av en behörig domstol eller den behöriga tillsynsmyndigheten avseende dess skyldigheter enligt detta DPA eller dataskyddsförordningen.

Personuppgiftsbiträdet ska ha rätt att säga upp avtalet i den mån det avser behandling av personuppgifter enligt detta DPA om den personuppgiftsansvarige, efter att ha informerat den personuppgiftsansvarige om att dennes instruktioner strider mot tillämpliga rättsliga krav i enlighet med avsnitt 6, insisterar på att instruktionerna ska följas. Efter uppsägning av villkoren och detta DPA ska personuppgiftsbiträdet, på den personuppgiftsansvariges begäran, radera alla personuppgifter som behandlas för den personuppgiftsansvariges räkning och intyga för den personuppgiftsansvarige att så har skett. Om den personuppgiftsansvarige inte har begärt att de personuppgifter som berörs av detta DPA ska förstöras eller återlämnas inom tolv (12) månader från det datum då DPA har upphört enligt överenskommelse mellan parterna, ska personuppgiftsbiträdet förstöra personuppgifterna. Till dess att uppgifterna har raderats eller återlämnats ska personuppgiftsbiträdet fortsätta att säkerställa efterlevnaden av detta DPA.

21. Ansvar och ersättningsskyldighet

Parterna är fria från ansvar för skyldigheter som uppstår enligt DPA i fall där fullgörandet hindras av en omständighet av extraordinär natur utanför Partens kontroll som Parten inte rimligen kunde förväntas ha tagit hänsyn till och vars konsekvenser Parten inte rimligen kunde ha undvikit. Personuppgiftsbiträdets ansvar till följd av eller i samband med detta DPA, oavsett om det gäller avtal, skadestånd (inklusive försumlighet), brott mot lagstadgad skyldighet eller på annat sätt, omfattas av avsnittet ”Ansvarsbegränsning” i villkoren, och varje hänvisning i ett sådant avsnitt till det totala ansvaret innebär det sammanlagda ansvaret enligt Villkoren och detta DPA tillsammans. Personuppgiftsbiträdet samtycker till att hålla den personuppgiftsansvarige skadeslös för eventuella skador som den personuppgiftsansvarige ådrar sig som en direkt följd av att personuppgiftsbiträdet behandlar personuppgifter mot den personuppgiftsansvariges instruktioner i enlighet med detta DPA och tillämplig lag. För att undvikande av tvivel ska personuppgiftsbiträdet inte vara ansvarigt för någon förlust av vinst eller någon indirekt förlust eller följdförlust som uppstår i samband med detta DPA.

BILAGA I – Kontaktuppgifter

Personuppgiftsbiträde: IDI Profiling AB
Alströmergatan 45
112 47 Stockholm, Sverige

E-post: info@idi.se
Telefon: +46 8-756 70 35 +46 8-756 70 35

BILAGA II – Beskrivning av behandlingen

Kategorier av registrerade vars personuppgifter behandlas

Anställda och konsulter samt leverantörer/kunder baserat på vilka som bjuds in som respondenter.

Kategorier av personuppgifter som behandlas

Namn, kontaktuppgifter, personuppgifter (födelsedatum, ålder, språkkunskaper etc.), anställningsinformation, svar och beteende enligt självutvärderingen, testuppgifter och testresultat – samt ytterligare information som den personuppgiftsansvarige tillhandahåller. Inga känsliga uppgifter behandlas, utom efter särskild instruktion från den personuppgiftsansvarige.

Typ av behandling

Genom att tillhandahålla en plattform med funktioner för att analysera resultat från självskattningstest, sammanställa och genomföra analyser, samt funktionalitet och material för utbildningsprogram för människors utveckling.
Genom att tillhandahålla en plattform för att jämföra utvärderingsresultat, mellan den anställdes självutvärdering och resultaten från respondenternas utvärderingar. Personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning ska utföras genom att personuppgiftsbiträdet utför följande:
1. samla in svar från utvärderingstester,
2. sammanställa och analysera de personuppgifter som samlas in genom utvärderingstesterna,
3. underlätta struktureringen av personuppgifterna för analys,
4. pseudonymisera personuppgifter,
5. Radering av personuppgifter,
6. lagring av personuppgifter, och
7. vidare bearbetning enligt instruktioner inom tjänsten.

Ändamålet/-en för vilket/vilka personuppgifterna behandlas för den personuppgiftsansvariges räkning

För att tillhandahålla struktur och funktioner för den personuppgiftsansvariges kontextdrivna personalutveckling för sina anställda, baserat på resultatet från självskattningstest jämfört med bedömningar från respondenter, och för att tillhandahålla utbildningsmaterial, tester, struktur och funktion för användning av IDI Academy.

Behandlingens varaktighet

Den personuppgiftsansvarige kan hantera lagringstider och välja vilka personuppgifter som ska sparas eller tas bort inom plattformen. Ytterligare behandling endast i form av säkerhetskopiering.

BILAGA III – Tekniska och organisatoriska åtgärder

Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig med hänsyn till risken, särskilt risken för oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförs, lagras eller på annat sätt behandlas. Dessutom garanterar personuppgiftsbiträdet att de system och processer som används för att behandla personuppgifterna uppfyller alla lagstadgade krav avseende inbyggt dataskydd och dataskydd som standard.

Organisatoriska åtgärder

Åtkomst (fysisk såväl som logisk) till personuppgifter och de system som behandlar personuppgifter är begränsad till personer som har ett arbetsrelaterat behov av åtkomst.
Anställda som är behöriga att få tillgång till personuppgifter har åtagit sig en sekretessförpliktelse eller omfattas av en lämplig lagstadgad sekretessförpliktelse.
Anställda som hanterar personuppgifter får adekvata instruktioner och utbildning i hanteringen av personuppgifter.
Anställda som hanterar personuppgifter får adekvat information om de säkerhetsrisker som är förknippade med databehandlingsaktiviteterna och görs medvetna om de anpassade säkerhetsstandarderna och de nödvändiga säkerhetsåtgärderna.
Det finns rutiner för att säkerställa att tillgången till personuppgifter tas bort på lämpligt sätt vid organisatoriska omstruktureringar, arbetsbyten, uppsägningar etc.
Personliga lösenord krävs för utrustning som ger tillgång till personuppgifter, inklusive fysiska medier som USB-minnen.
Personuppgifter raderas permanent så att uppgifterna inte kan hämtas när utrustning eller mobila enheter med personuppgifter inte längre används för databehandling.
Efter användning raderas personuppgifter i enlighet med specifika instruktioner.

Tekniska åtgärder

Applikationer som löpande identifierar och hanterar informationssäkerhetsrisker eller andra sårbarheter i IT-systemen är i bruk.
Personuppgifter krypteras i vila och när de överförs via öppna nätverk, inklusive i formulär på webbplatser, och när de lagras på fysiska medier.
Säkerhetsåtgärder, såsom brandväggar och antivirusprogram, installeras i förhållande till system som innehåller personuppgifter, och sådana program uppdateras regelbundet.
Personuppgifter säkerhetskopieras regelbundet och kopiorna förvaras separat och säkert så att personuppgifterna kan återställas.
Raderingen av personuppgifter är effektiv.
Relevanta riskanalyser genomförs innan nya IT-lösningar, inklusive IT-system och applikationer, implementeras.
Principerna om inbyggt integritetsskydd och integritetsskydd som standard tillämpas.
Det finns rutiner för att säkerställa att förändringar och uppdateringar av hårdvara och/eller mjukvara testas och godkänns innan de implementeras.
Lämpliga säkerhetsåtgärder finns på plats när anställda som har behörighet att få tillgång till personuppgifter kan få tillgång till personuppgifterna från avlägsna arbetsplatser, inklusive mobila enheter.

Fysiska åtgärder

Åtgärder för tillträdeskontroll har vidtagits för att säkerställa att endast behörig personal får tillträde till lokalerna.
Reservkraftförsörjning finns på plats i händelse av strömavbrott.
Brandförebyggande kontroller finns på plats.
För datacenter: Kontroller finns på plats för att säkerställa tillräcklig uppvärmning, ventilation och luftkonditionering av de anläggningar där servrar etc. är placerade.