BILAGA I: Personuppgiftsbiträdesavtal
Detta databehandlingsavtal reglerar hur ILOVEPDF behandlar personuppgifter för den personuppgiftsansvariges räkning i enlighet med förordning (EU) 2016/679 (GDPR).
Detta personuppgiftsbiträdesavtal (nedan kallat "Personuppgiftsbiträdesavtalet" eller "Personuppgiftsbiträdesavtal") utgör det behandlingsavtal som är tillämpligt på den behandling av personuppgifter som ILOVEPDF ("<0>ILOVEPDF0>"), med CIF B66921552 och registrerat säte på Calle Sabino de Arana, 60, 08028 Barcelona, utför för din räkning i förhållande till de personuppgifter som bolaget behandlar i enlighet med bestämmelserna nedan.
I detta avseende kommer ILOVEPDF att tillhandahålla dig vissa tjänster som levereras genom programvara eller datorprogram som ägs av ILOVEPDF. Användningen av dessa tjänster kommer att kräva åtkomst till och behandling av vissa personuppgifter av ILOVEPDF, i egenskap av personuppgiftsbiträde (nedan kallat "personuppgiftsbiträdet" eller "personuppgiftsbiträde"), för personuppgifter där du agerar som personuppgiftsansvarig (nedan kallad den "<0>personuppgiftsansvarige0>").
Detta Personuppgiftsbiträdesavtal utgör en del av ILOVEPDF:s regler och villkor och blir tillämpligt när reglerna och villkoren accepteras. Vid konflikt, motsägelse eller motstridighet mellan de reglerna och villkoren och detta Personuppgiftsbiträdesavtal ska Personuppgiftsbiträdesavtalet ha företräde framför Regler och villkor.
För att uppfylla bestämmelserna i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (nedan kallad "GDPR"), undertecknar den personuppgiftsansvarige och personuppgiftsbiträdet detta Personuppgiftsbiträdesavtal i enlighet med följande.
KLAUSULER
Klausul 1
Syfte och omfattning
- Syftet med Personuppgiftsbiträdesavtalet är att säkerställa efterlevnad av artikel 28.3 och 28.4 i GDPR.
- Den personuppgiftsansvarige och personuppgiftsbiträdet har samtyckt till att vara bundna av detta avtal för att säkerställa efterlevnad av artikel 28.3 och 28.4 i GDPR.
- Detta Personuppgiftsbiträdesavtal gäller för den behandling av personuppgifter som anges i Bilaga I.
- Bilaga I och II utgör en del av Personuppgiftsbiträdesavtalet.
- Dessa villkor påverkar inte de skyldigheter som den personuppgiftsansvarige omfattas av enligt GDPR.
- Dessa regler och villkor säkerställer inte i sig efterlevnad av de skyldigheter som rör internationella överföringar enligt kapitel V i GDPR.
Klausul 2
Tolkning
- När termer som definieras i GDPR används i detta Personuppgiftsbiträdesavtal ska de förstås ha samma betydelse som i GDPR.
- Detta Personuppgiftsbiträdesavtal ska läsas och tolkas mot bakgrund av bestämmelserna i GDPR.
- Detta Personuppgiftsbiträdesavtal får inte tolkas på ett sätt som strider mot de rättigheter och skyldigheter som följer av GDPR och/eller på ett sätt som inskränker de registrerades grundläggande rättigheter eller friheter.
Klausul 3
Hierarki
Vid motstridighet mellan detta Personuppgiftsbiträdesavtal och bestämmelserna i relaterade avtal mellan Parterna som finns vid den tidpunkt då dessa villkor avtalas eller som ingås därefter, ska detta Personuppgiftsbiträdesavtal ha företräde.
Klausul 4
Beskrivning av behandlingen/behandlingarna
Bilaga I anger detaljerna för behandlingsåtgärderna, särskilt kategorierna av personuppgifter och de syften för behandlingen för vilka personuppgifterna behandlas för den personuppgiftsansvariges räkning.
Klausul 5
Parternas skyldigheter
5.1. Instruktioner
- Personuppgiftsbiträdet får endast behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvarige, om inte unionsrätt eller medlemsstaternas nationella rätt som personuppgiftsbiträdet omfattas av kräver något annat. I sådant fall ska personuppgiftsbiträdet informera den personuppgiftsansvarige om detta rättsliga krav innan behandlingen inleds, såvida inte lagen förbjuder detta av viktiga skäl av allmänt intresse. Ytterligare instruktioner får också lämnas av den personuppgiftsansvarige under hela den tid som behandlingen av personuppgifterna pågår. Dessa instruktioner ska alltid dokumenteras.
- Personuppgiftsbiträdet ska omedelbart informera den personuppgiftsansvarige om det, enligt personuppgiftsbiträdets bedömning, anser att instruktioner från den personuppgiftsansvarige strider mot GDPR eller tillämplig unionsrätt eller medlemsstaternas nationella dataskyddsbestämmelser.
5.2. Ändamålsbegränsning
Personuppgiftsbiträdet får endast behandla personuppgifterna för det eller de särskilda behandlingsändamål som anges i Bilaga I, om det inte får ytterligare instruktioner från den personuppgiftsansvarige.
5.3. Varaktighet för behandlingen av personuppgifter
Behandling av personuppgifter av personuppgiftsbiträdet får endast ske under den tid som anges i Bilaga I.
5.4. Säkerhet i behandlingen
- Personuppgiftsbiträdet ska åtminstone genomföra de tekniska och organisatoriska åtgärder som anges i Bilaga II för att säkerställa säkerheten för personuppgifterna. Detta omfattar skydd av uppgifterna mot en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till uppgifterna (personuppgiftsincident). Vid bedömningen av lämplig säkerhetsnivå ska Parterna ta vederbörlig hänsyn till den senaste utvecklingen, kostnaderna för genomförandet, behandlingens typ, omfattning, sammanhang och ändamål samt riskerna för de registrerade.
- Personuppgiftsbiträdet får endast ge medlemmar av sin personal tillgång till de personuppgifter som behandlas i den utsträckning som är strikt nödvändig för att genomföra, hantera och övervaka avtalet. Personuppgiftsbiträdet ska säkerställa att personer som är behöriga att behandla de mottagna personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad sekretesskyldighet.
5.5. Känsliga uppgifter
Om behandlingen omfattar personuppgifter som avslöjar härkomst eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, genetiska uppgifter eller biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller en persons sexualliv eller sexuella läggning, eller uppgifter om fällande domar i brottmål och lagöverträdelser ("känsliga uppgifter"), ska personuppgiftsbiträdet tillämpa särskilda begränsningar och/eller ytterligare skyddsåtgärder.
5.6. Dokumentation och efterlevnad
- Parterna ska kunna visa att detta Personuppgiftsbiträdesavtal efterlevs.
- Personuppgiftsbiträdet ska skyndsamt och på lämpligt sätt hantera förfrågningar från den personuppgiftsansvarige om behandling av uppgifter i enlighet med detta Personuppgiftsbiträdesavtal.
- Personuppgiftsbiträdet ska göra all information som är nödvändig tillgänglig för den personuppgiftsansvarige eller en oberoende tredje part för att visa att de skyldigheter som anges i detta Personuppgiftsbiträdesavtal och som direkt följer av GDPR efterlevs. På begäran av den personuppgiftsansvarige ska personuppgiftsbiträdet också tillåta och bidra till granskningar av de behandlingsaktiviteter som omfattas av detta Personuppgiftsbiträdesavtal. Granskningarna ska vara materiellt och tidsmässigt begränsade till vad som är strikt nödvändigt för att den personuppgiftsansvarige ska kunna utföra nödvändiga kontroller vid misstanke — i förväg vederbörligen motiverad skriftligen — om att personuppgiftsbiträdet inte efterlever någon av punkterna i detta Personuppgiftsbiträdesavtal. Under alla omständigheter ska granskningarna ha det enda syftet att verifiera omständigheterna kring den bristande efterlevnaden, vara begränsade till högst en (1) granskning per år och meddelas minst en (1) månad i förväg. Under alla omständigheter ska granskningarna utföras på den personuppgiftsansvariges bekostnad.
- Parterna ska på begäran göra den information som avses i denna klausul tillgänglig för behöriga tillsynsmyndigheter, särskilt resultaten av granskningarna.
5.7. Användning av underbiträden
- Personuppgiftsbiträdet har den personuppgiftsansvariges allmänna tillstånd att anlita underbiträden. Personuppgiftsbiträdet ska ge den personuppgiftsansvarige den information som är nödvändig för att göra det möjligt för denne att utöva sin rätt att invända.
- När personuppgiftsbiträdet anlitar ett underbiträde för att utföra särskilda behandlingsaktiviteter (för den personuppgiftsansvariges räkning), ska detta ske genom ett avtal som i sak ålägger underbiträdet samma dataskyddsskyldigheter som de som åläggs personuppgiftsbiträdet enligt dessa klausuler. Personuppgiftsbiträdet ska säkerställa att underbiträdet uppfyller de skyldigheter som personuppgiftsbiträdet omfattas av enligt detta Personuppgiftsbiträdesavtal och GDPR.
- Personuppgiftsbiträdet ska förbli fullt ansvarigt gentemot den personuppgiftsansvarige för fullgörandet av underbiträdets skyldigheter i enlighet med avtalet mellan underbiträdet och personuppgiftsbiträdet. Personuppgiftsbiträdet ska underrätta den personuppgiftsansvarige om varje underlåtenhet från underbiträdets sida att uppfylla sina avtalsenliga skyldigheter.
5.8. Internationella överföringar
- Överföring av uppgifter till ett tredjeland eller en internationell organisation av personuppgiftsbiträdet ska ske i enlighet med kapitel V i GDPR.
- Den personuppgiftsansvarige samtycker till att när personuppgiftsbiträdet anlitar ett underbiträde i enlighet med klausul 5.7 för att utföra särskilda behandlingsaktiviteter (för den personuppgiftsansvariges räkning) och dessa behandlingsaktiviteter innebär en överföring av personuppgifter i den mening som avses i kapitel V i GDPR, kan personuppgiftsbiträdet och underbiträdet säkerställa efterlevnad av kapitel V i GDPR genom att: (i) överföra personuppgifter till länder för vilka Europeiska kommissionen har antagit ett adekvansbeslut enligt artikel 45 i GDPR; eller (ii) använda standardavtalsklausuler som antagits av kommissionen i enlighet med artikel 46.2 i GDPR, förutsatt att villkoren för användningen av dessa standardavtalsklausuler är uppfyllda. Som huvudregel, och om inte den personuppgiftsansvarige har valt något annat behandlar personuppgiftsbiträdet dina personuppgifter inom Europeiska ekonomiska samarbetsområdet. Trots ovanstående får personuppgiftsbiträdet, för personuppgiftsansvariga utanför Europeiska ekonomiska samarbetsområdet och för att optimera prestandan och effektiviteten i våra tjänster behandla dina personuppgifter i geografiska områden som ligger närmare din plats, förutsatt att ovanstående skyddsåtgärder genomförs.
- Därutöver, om det sker en kommunikation av personuppgifter från personuppgiftsbiträdet till den personuppgiftsansvarige som innebär en överföring av personuppgifter enligt kapitel V i GDPR, ska personuppgiftsbiträdet och den personuppgiftsansvarige ingå de standardavtalsklausuler (modul 4) som bifogas som Bilaga II.
Klausul 6
Biträde till den personuppgiftsansvarige
- Personuppgiftsbiträdet ska utan dröjsmål underrätta den personuppgiftsansvarige om varje begäran som det har mottagit från den registrerade. Den får inte själv besvara begäran, om det inte har bemyndigats att göra det av den personuppgiftsansvarige.
- Personuppgiftsbiträdet ska vidarebefordra till den personuppgiftsansvarige de begäranden om utövande av rättigheter från registrerade som det mottar och som ska besvaras av den personuppgiftsansvarige eftersom de avser personuppgifter för vilka den personuppgiftsansvarige agerar som personuppgiftsansvarig.
- Utöver personuppgiftsbiträdets skyldighet att bistå den personuppgiftsansvarige enligt Klausul 6(b), ska personuppgiftsbiträdet också bistå den personuppgiftsansvarige med att säkerställa efterlevnad av följande skyldigheter, med beaktande av behandlingens art och den information som är tillgänglig för personuppgiftsbiträdet:
- Skyldigheten att göra en bedömning av konsekvenserna av den tänkta behandlingen av personuppgifter (en 'konsekvensbedömning avseende dataskydd') när en typ av behandling troligen kan resultera i hög risk för enskildas rättigheter och friheter;
- Skyldigheten att rådfråga behörig(a) tillsynsmyndighet(er) före behandlingen, om en konsekvensbedömning avseende dataskydd visar att behandlingen skulle leda till en hög risk utan att den personuppgiftsansvarige vidtar riskminskande åtgärder;
- Skyldigheten att säkerställa att personuppgifter är korrekta och uppdaterade, och omedelbart meddela den personuppgiftsansvarige om personuppgiftsbiträdet inser att de behandlade uppgifterna är felaktiga eller blivit inaktuella;
- skyldigheterna enligt artikel 32 i GDPR.
- Parterna ska i Bilaga II ange de lämpliga tekniska och organisatoriska åtgärder genom vilka personuppgiftsbiträdet ska bistå den personuppgiftsansvarige vid tillämpningen av denna klausul, samt omfattningen och utsträckningen av det biträde som krävs.
Klausul 7
Anmälan av personuppgiftsincident
- Vid en personuppgiftsincident ska personuppgiftsbiträdet samarbeta med och bistå den personuppgiftsansvarige så att den personuppgiftsansvarige kan uppfylla sina skyldigheter enligt artiklarna 33 och 34 i GDPR, med beaktande av behandlingens art och den information som är tillgänglig för personuppgiftsbiträdet.
- Vid en säkerhetsincident avseende personuppgifter som behandlas av personuppgiftsbiträdet för den personuppgiftsansvariges räkning ska personuppgiftsbiträdet underrätta den personuppgiftsansvarige utan onödigt dröjsmål så snart personuppgiftsbiträdet får kännedom om den. En sådan underrättelse ska åtminstone innehålla:
- en beskrivning av incidentens art (inbegripet, om möjligt, kategorierna av och det ungefärliga antalet registrerade och personuppgiftsposter som berörs);
- uppgifter om en kontaktpunkt där mer information om personuppgiftsincidenten kan erhållas;
- dess sannolika konsekvenser samt de åtgärder som har vidtagits eller föreslås för att hantera incidenten, inbegripet åtgärder för att mildra dess eventuella negativa effekter.
- När och i den mån all information inte kan lämnas omedelbart, ska tillgänglig information ges i den första anmälan och ytterligare information lämnas utan oskäligt dröjsmål allteftersom den samlas in.
BILAGA I: BESKRIVNING AV BEHANDLINGEN
Kategorier av registrerade vars personuppgifter behandlas
De kategorier av registrerade vars uppgifter ingår i de filer som den personuppgiftsansvarige laddar upp vid användning av de tjänster som tillhandahålls av ILOVEPDF (till exempel anställda, kunder, leverantörer etc.).
Kategorier av personuppgifter som behandlas
De kategorier av personuppgifter som ingår i de filer som den personuppgiftsansvarige laddar upp vid användning av de tjänster som tillhandahålls av ILOVEPDF.
Känsliga uppgifter som behandlas (i förekommande fall) och tillämpade begränsningar eller skyddsåtgärder som fullt ut beaktar uppgifternas art och de risker som är förknippade med dem, såsom exempelvis strikt ändamålsbegränsning, åtkomstbegränsningar (inklusive åtkomst endast för personal som har genomgått specialiserad utbildning), loggning av åtkomst till uppgifterna, begränsningar för vidareöverföringar eller ytterligare säkerhetsåtgärder.
Särskilda kategorier av personuppgifter kommer att behandlas i den utsträckning som de filer som den personuppgiftsansvarige laddar upp vid användning av de tjänster som tillhandahålls av ILOVEPDF innehåller sådana särskilda kategorier av personuppgifter.
Typ av behandling
Personuppgiftsbiträdet kommer att utföra alla åtgärder som är nödvändiga för att tillhandahålla tjänsterna (t.ex. konvertering, redigering och komprimering av dokumentet som innehåller personuppgifterna).
Ändamål för vilka personuppgifterna behandlas för den personuppgiftsansvariges räkning
För att tillhandahålla tjänsterna för ILOVEPDF:s räkning.
Behandlingens varaktighet
I den utsträckning som är strikt nödvändig för att tillhandahålla tjänsterna.
Underbiträden och typ av tillhandahållna tjänster
Inom ramen för tillhandahållandet av sina tjänster använder ILOVEPDF tredjepartsleverantörer som agerar som underbiträden för personuppgifter. Bland dessa använder ILOVEPDF Cloudscale, Digital Ocean, Hetzner, OVHcloud och Vultr som leverantörer av webbhotells- och molnbaserade datortjänster, vilka tillhandahåller tekniska infrastrukturtjänster för att säkerställa säker behandling, tillfällig lagring av uppgifter och den operativa kontinuiteten för plattformen.
Underbiträden agerar i enlighet med ILOVEPDF:s instruktioner och tillämpar lämpliga tekniska och organisatoriska åtgärder för att säkerställa skyddet av personuppgifter i enlighet med förordning (EU) 2016/679 (GDPR) och annan tillämplig dataskyddslagstiftning.
För mer information om underleverantörer till ILOVEPDF kan du få tillgång genom att klicka här.
BILAGA II: TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER, INKLUSIVE TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER FÖR ATT SÄKERSTÄLLA UPPGIFTERNAS SÄKERHET
Personuppgiftsbiträdet ska tillämpa följande tekniska och organisatoriska säkerhetsåtgärder för de behandlingsaktiviteter som utförs enligt detta Personuppgiftsbiträdesavtal:
- Tekniska åtgärder för att skydda mot avlyssning, kopiering, ändring, dirigeringsfel och förstöring av den överförda informationen.
- Tekniska förfaranden och interna policyer för att upptäcka, skydda mot och begränsa skadliga program (malware) som skulle kunna överföras genom elektronisk kommunikation.
- Tekniskt skydd av känslig information när den överförs som bilagor.
- Intern policy för godtagbar användning av kommunikationsresurser.
- Organisatoriska åtgärder för att säkerställa att alla användare (personal och tredje parter) med behörig åtkomst till personuppgiftsbiträdets resurser tar ansvar för sin egen informationshantering.
- Användning av kryptografiska tekniker för att skydda informationens konfidentialitet, integritet och äkthet.
- Organisatoriska riktlinjer för bevarande och bortskaffande av all affärskorrespondens, inklusive meddelanden i enlighet med relevanta nationella och lokala lagar och förordningar.
- Återkommande information och fastställande av interna policyer för personal avseende att inte röja konfidentiell information, för syften såsom: att inte lämna meddelanden som innehåller känslig information på telefonsvarare, att inte föra konfidentiella samtal på offentliga platser, att inte använda osäkra kommunikationskanaler, att inte föra konfidentiella samtal i öppna kontorsmiljöer osv.
Versionskontroll: torsdag 19 februari 2026