DPA - Databearbetningsavtal

Databehandlingsavtal

Detta databehandlingsavtal eller Databearbetningsavtal (DPA) definierar under vilka förutsättningar Magileads, som underleverantör, behandlar personuppgifter på uppdrag av Kunden. I denna DPA förlitar sig Magileads på Europeiska kommissionens standardavtalsklausuler (tillgängliga på följande adress: https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32021D0915).

Det kompletterar kontraktet mellan Magileads och kunden och ingår i det kontrakt som bildas genom att kunden godkänner de allmänna användarvillkoren (tillgänglig på följande adress: https://www.magileads.com/cgu-conditions- generales-d -usage/ ), inklusive Magileads sekretesspolicy (tillgänglig på följande adress: https://www.magileads.com/accord-de-confidentialite/ ).

I händelse av en motsägelse med avtalet har DPA företräde.

Magileads agerar som en underleverantör, Kunden förutsätts agera som personuppgiftsansvarig för alla andra bearbetningsoperationer än de som utförs av Magileads för dess egna behov, som beskrivs i Magileads sekretesspolicy.

Om han själv agerar som en underleverantör som behandlar uppgifter på uppdrag av en tredje parts personuppgiftsansvarig, kunden att:

• Skaffa alla auktorisationer som tillåter ingående av denna DPA från den personuppgiftsansvarige;
• Deklarera Magileads som underbehandlare till den personuppgiftsansvarige;
• Har ingått ett avtal med den personuppgiftsansvarige i enlighet med artikel 28 i GDPR och i enlighet med denna DPA och det avtal som ingåtts mellan Magileads och kunden;
• Ge Magileads- instruktioner som överensstämmer med dem som den fått från den personuppgiftsansvarige, utan att Magileads får instruktioner direkt från den personuppgiftsansvarige, utom i de fall där kunden har överfört sina rättigheter och skyldigheter till den personuppgiftsansvarige som tillhandahåller bevis
• Gör denna DPA tillgänglig för den personuppgiftsansvarige.

Kunden förblir fullt ansvarig gentemot Magileads för tillämpningen av denna DPA av den personuppgiftsansvarige. Kunden befriar Magileads från allt ansvar för eventuell underlåtenhet från den personuppgiftsansvarige att följa tillämplig lag samt för varje åtgärd, anspråk eller klagomål från den personuppgiftsansvarige i samband med denna DPA, avtalet som ingåtts mellan Magileads och kunden eller instruktionerna. ges av kunden till Magileads.

AVSNITT I

Klausul 1

Syfte och omfattning

1. Dessa standardavtalsklausuler (nedan kallade "klausulerna") är avsedda att säkerställa överensstämmelse med artikel 28.3 och 28.4 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skyddet av individer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter, och upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
2. Personuppgiftsansvariga och registerförare har accepterat dessa klausuler för att säkerställa efterlevnad av bestämmelserna i artikel 28.3 och 28.4 i förordning (EU) 2016/679.
3. Dessa klausuler gäller för behandling av personuppgifter enligt beskrivningen i bilaga I.
4. Bilagorna I–III utgör en integrerad del av klausulerna.
5. Dessa klausuler påverkar inte de skyldigheter som den personuppgiftsansvarige är föremål för enligt förordning (EU) 2016/679.
6. Enbart klausulerna är inte tillräckliga för att säkerställa efterlevnaden av skyldigheterna avseende internationella överföringar enligt kapitel V i förordning (EU) 2016/679.

 Klausul 2

Oföränderlighet av klausuler

1. Parterna förbinder sig att inte ändra klausulerna, utom när det gäller att lägga till information till bilagorna eller uppdatera informationen däri.
2. Parterna är dock inte förhindrade att inkludera standardavtalsklausulerna som definieras i dessa klausuler i ett bredare avtal, inte heller från att lägga till andra klausuler eller ytterligare garantier, förutsatt att dessa inte direkt eller indirekt motsäger klausulerna eller att de inte gör intrång. de berörda personernas grundläggande rättigheter och friheter.

Klausul 3

Tolkning

1. När termer definierade i förordning (EU) 2016/679 förekommer i paragraferna, förstås de som i förordningen i fråga.
2. Dessa klausuler måste läsas och tolkas mot bakgrund av bestämmelserna i förordning (EU) 2016/679.
3. Dessa klausuler får inte tolkas på ett sätt som strider mot de rättigheter och skyldigheter som anges i förordning (EU) 2016/679 eller på ett sätt som negativt påverkar de registrerades grundläggande rättigheter eller friheter.

Klausul 4

Hierarki

I händelse av motsägelse mellan dessa klausuler och bestämmelserna i relaterade avtal som finns mellan parterna vid den tidpunkt då dessa klausuler avtalas eller som senare ingås, ska dessa klausuler ha företräde.

Klausul 5

Förtöjningsklausul

1. Varje enhet som inte är part i dessa klausuler kan, med alla parters samtycke, följa dem när som helst, antingen som registeransvarig eller underleverantör, genom att fylla i bilagorna.
2. När de bilagor som nämns i punkt a) har fyllts i och undertecknats, anses den anslutna enheten vara part i dessa klausuler och åtnjuter rättigheterna och är föremål för skyldigheterna för en personuppgiftsansvarig eller en personuppgiftsbiträde.
3. Dessa klausuler skapar inte för den anslutna parten några rättigheter eller skyldigheter för perioden före medlemskapet.

AVSNITT II – PARTERNAS SKYLDIGHETER

Klausul 6

Beskrivning av behandlingen/behandlingarna

Detaljerna för behandlingsverksamheten, och i synnerhet kategorierna av personuppgifter och ändamålen med behandlingen för vilka personuppgifterna behandlas på uppdrag av den registeransvarige, anges i bilaga I.

Klausul 7

Parternas skyldigheter

7.1. Instruktioner

1. Databehandlaren ska endast behandla personuppgifter på den registeransvariges dokumenterade instruktioner, såvida den inte är skyldig att göra det enligt unionslagstiftningen eller lagen i den medlemsstat till vilken de behandlas. I detta fall informerar registerföraren den personuppgiftsansvarige om denna rättsliga skyldighet innan behandlingen, såvida inte lagen förbjuder det av viktiga skäl av allmänt intresse. Instruktioner kan också ges i efterhand av den personuppgiftsansvarige under den tid som behandlingen av personuppgifter pågår. Dessa instruktioner ska alltid dokumenteras.
2. Databehandlaren ska omedelbart informera den personuppgiftsansvarige om, enligt dennes uppfattning, en instruktion från den registeransvarige utgör en överträdelse av förordning (EU) 2016/679 eller andra bestämmelser i unionslagstiftning eller delstatsmedlemmar som rör dataskydd.

7.2. Begränsning av syfte

Databehandlaren behandlar personuppgifter endast för det eller de specifika ändamålen med behandlingen, enligt definitionen i bilaga I, om inte annat anges av den personuppgiftsansvarige.

7.3. Varaktighet för behandling av personuppgifter

Bearbetningen av processorn sker endast under den tid som anges i bilaga I.

7.4. Behandlingssäkerhet

1. Databehandlaren genomför åtminstone de tekniska och organisatoriska åtgärder som anges i bilaga II för att säkerställa säkerheten för personuppgifter. Dessa åtgärder inkluderar skydd av data mot alla säkerhetsintrång som oavsiktligt eller olagligt resulterar i förstörelse, förlust, ändring, obehörigt avslöjande av personuppgifter eller obehörig åtkomst till sådana uppgifter (personuppgiftsintrång). Vid bedömningen av lämplig säkerhetsnivå ska parterna ta vederbörlig hänsyn till kunskapsläget, kostnaderna för genomförandet och behandlingens art, omfattning, sammanhang och syften samt riskerna för de som berörs.
2. Underleverantören ger medlemmar av sin personal tillgång till de personuppgifter som är föremål för behandling endast i den utsträckning som är strikt nödvändig för genomförande, förvaltning och övervakning av avtalet. Databehandlaren ska säkerställa att personer som är behöriga att behandla personuppgifter förbinder sig att respektera sekretess eller är föremål för en lämplig laglig tystnadsplikt.

7.5. Känsliga data

Om behandlingen avser personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, samt genetiska uppgifter eller biometriska uppgifter i syfte att identifiera en fysisk person unikt, uppgifter om hälsa eller uppgifter om kön. en fysisk persons liv eller sexuella läggning, eller uppgifter som rör brottsdomar och brott ("känsliga uppgifter"), tillämpar processorn specifika begränsningar och/eller ytterligare garantier.

7.6 Dokumentation och efterlevnad

1. Parterna måste kunna visa att dessa klausuler följs.
2. Databehandlaren ska skyndsamt och adekvat hantera den registeransvariges förfrågningar om databehandling i enlighet med dessa paragrafer.
3. Underleverantören gör tillgänglig för den registeransvarige all information som är nödvändig för att visa att de skyldigheter som anges i dessa klausuler och som följer direkt av förordning (EU) 2016/679 efterlevs. På begäran av den personuppgiftsansvarige tillåter personuppgiftsbiträdet också att revisioner av de behandlingsaktiviteter som omfattas av dessa klausuler utförs och bidrar till dem, med rimliga intervaller eller i närvaro av indikationer på bristande efterlevnad. När den personuppgiftsansvarige fattar beslut om granskning eller revision kan den personuppgiftsansvarige ta hänsyn till de relevanta intygen som innehas av registerföraren.
4. Den personuppgiftsansvarige kan besluta att själv utföra granskningen eller att utse en oberoende revisor. Revisioner kan även omfatta inspektioner i underleverantörens lokaler eller fysiska anläggningar och utförs i förekommande fall med rimligt varsel.
5. Parterna ska på begäran tillhandahålla den eller de behöriga tillsynsmyndigheterna den information som anges i denna klausul, inklusive resultatet av eventuell revision.

7.7. Användning av underleverantörer

1. Databehandlaren har den personuppgiftsansvariges allmänna auktorisation för rekrytering av underordnare baserat på en överenskommen lista. Databehandlaren informerar specifikt den personuppgiftsansvarige skriftligen om varje föreslagen ändring av denna lista genom tillägg eller ersättning av underdatabehandlare minst 30 (trettio) dagar i förväg, vilket ger den registeransvarige tillräckligt med tid för att kunna invända mot dessa ändringar innan rekryteringen av den eller de berörda underprocessorerna. Databehandlaren förser den personuppgiftsansvarige med den information som behövs för att denne ska kunna utöva sin rätt till invändning.
2. När registerföraren anlitar en underdatabehandlare för att utföra specifika behandlingsaktiviteter (på uppdrag av den registeransvarige), gör den det genom ett avtal som ålägger underdatabehandlaren, i huvudsak, samma dataskyddsskyldigheter som de som åläggs underleverantören enligt dessa klausuler. Underleverantören säkerställer att underleverantören uppfyller de skyldigheter som den själv omfattas av enligt dessa klausuler och förordning (EU) 2016/679.
3. På begäran av den registeransvarige ska registerföraren förse den registeransvarige med en kopia av detta avtal som ingåtts med underdatabehandlaren och eventuella ändringar som senare görs i det. I den utsträckning det är nödvändigt för att skydda affärshemligheter eller annan konfidentiell information, inklusive personuppgifter, kan processorn redigera kontraktstexten innan en kopia släpps.
4. Databehandlaren förblir fullt ansvarig gentemot den registeransvarige för fullgörandet av underdatabehandlarens skyldigheter i enlighet med det avtal som ingåtts med underdatabehandlaren. Databehandlaren ska informera den personuppgiftsansvarige om varje underlåtenhet från den underordnade sida att uppfylla sina avtalsenliga skyldigheter.
5. Databehandlaren kommer överens med underdatabehandlaren om en tredje parts förmånstagareklausul enligt vilken – om underleverantören väsentligt har försvunnit, upphört att existera i lag eller har blivit insolvent – ​​den registeransvarige har rätt att säga upp det avtal som ingåtts med underbehandlare och att instruera underbehandlaren att radera eller returnera personuppgifterna.

 7.8. Internationella överföringar

1. Varje överföring av uppgifter till ett tredjeland eller en internationell organisation av registerföraren görs endast på grundval av dokumenterade instruktioner från den registeransvarige eller för att uppfylla ett specifikt krav i unionslagstiftningen eller juridiskt i den medlemsstat till vilken underleverantören är ämne och utförs i enlighet med kapitel V i förordning (EU) 2016/679.
2. Den personuppgiftsansvarige samtycker till att när databehandlaren anlitar en underdatabehandlare i enlighet med punkt 7.7 för att utföra specifika behandlingsaktiviteter (på uppdrag av den personuppgiftsansvarige) och dessa behandlingsaktiviteter innebär en överföring av uppgifter till personlig karaktär i den mening som avses i kapitel V i förordning (EU) ) 2016/679 kan processorn och underprocessorn säkerställa efterlevnad av kapitel V i förordning (EU) 2016/679 genom att använda de standardavtalsklausuler som antagits av kommissionen på grundval av artikel 46.2 i förordning (EU). 2016/679, förutsatt att villkoren för användning av dessa standardavtalsklausuler är uppfyllda.

Klausul 8

Assistans till den personuppgiftsansvarige

1. Databehandlaren ska utan dröjsmål informera den personuppgiftsansvarige om varje begäran som den har mottagit från den registrerade. Han svarar inte själv på denna begäran om inte den personuppgiftsansvarige har gett honom tillstånd att göra det.
2. Databehandlaren ska bistå den registeransvarige med att fullgöra sin skyldighet att svara på förfrågningar från registrerade om att utöva sina rättigheter, med beaktande av behandlingens art. Vid fullgörandet av sina skyldigheter enligt punkterna a) och b) ska registerföraren följa anvisningarna från den registeransvarige.
3. Utöver databehandlarens skyldighet att bistå den personuppgiftsansvarige enligt paragraf 8(b), ska databehandlaren vidare bistå den personuppgiftsansvarige med att säkerställa efterlevnaden av följande skyldigheter, med beaktande av behandlingens art och den information som är tillgänglig för registerföraren:
4. Skyldigheten att genomföra en bedömning av vilken inverkan planerad behandling har på skyddet av personuppgifter (”dataskyddskonsekvensbedömning”) där en typ av behandling sannolikt innebär en hög risk för fysiska personers rättigheter och friheter;
5. Skyldigheten att samråda med den eller de behöriga tillsynsmyndigheterna före behandlingen om en konsekvensbedömning av dataskyddet visar att behandlingen skulle innebära en hög risk om den registeransvarige inte vidtog lämpliga åtgärder för att minska risken.
6. Skyldigheten att säkerställa att personuppgifter är korrekta och uppdaterade, informera den personuppgiftsansvarige utan dröjsmål om registerföraren blir medveten om att de personuppgifter som den behandlar är felaktiga eller har blivit föråldrade;
7. Skyldigheterna enligt artikel 32 i förordning (EU) 2016/679. 
8. Parterna definierar i bilaga II de lämpliga tekniska och organisatoriska åtgärder genom vilka databehandlaren är skyldig att bistå den registeransvarige vid tillämpningen av denna klausul, samt omfattningen och omfattningen av den assistans som krävs.

Klausul 9

Anmälan om personuppgiftsintrång

I händelse av ett personuppgiftsintrång ska personuppgiftsbiträdet samarbeta med och bistå den personuppgiftsansvarige med att uppfylla sina skyldigheter enligt artiklarna 33 och 34 i förordning (EU) 2016/679, med beaktande av behandlingens art och den information som finns tillgänglig för underleverantören.

9.1 Dataintrång i relation till uppgifter som behandlas av den registeransvarige

I händelse av ett personuppgiftsintrång som hänför sig till uppgifter som behandlas av den personuppgiftsansvarige ska registerföraren bistå den registeransvarige:

1. i syfte att anmäla personuppgiftsintrånget till den eller de behöriga tillsynsmyndigheterna, så snart som möjligt efter det att den personuppgiftsansvarige får kännedom om det, i förekommande fall (såvida inte intrånget av personuppgifter sannolikt inte skapar en risk för rättigheterna och friheterna av fysiska personer). 
2. i syfte att erhålla följande information som i enlighet med artikel 33.3 i förordning (EU) 2016/679 ska ingå i den registeransvariges anmälan och innehålla minst:
3. arten av personuppgifterna, inklusive, om möjligt, kategorierna och det ungefärliga antalet individer som berörs av intrånget och de kategorier och det ungefärliga antalet personuppgifter som berörs; 
4. de sannolika konsekvenserna av personuppgiftsintrånget;  
5. de åtgärder som vidtagits eller åtgärder som den personuppgiftsansvarige föreslår att vidta för att avhjälpa personuppgiftsintrånget, inklusive, i förekommande fall, åtgärder för att mildra eventuella negativa konsekvenser. 

Om och i den mån det inte är möjligt att tillhandahålla all information samtidigt, ska den ursprungliga anmälan innehålla den information som är tillgänglig vid den tidpunkten och, när den blir tillgänglig, ska ytterligare information lämnas så snart som möjligt.

1. i syfte att uppfylla, i enlighet med artikel 34 i förordning (EU) 2016/679, skyldigheten att meddela den registrerade personuppgiftsintrånget till den registrerade så snart som möjligt, där personalen för personuppgiftsintrånget sannolikt kommer att skapa en hög risk för fysiska personers rättigheter och friheter.

9.2 Dataintrång i relation till data som behandlas av processorn

Vid ett personuppgiftsintrång som avser uppgifter som behandlas av underleverantören informerar denne så snart som möjligt efter att ha fått kännedom om det den personuppgiftsansvarige. Detta meddelande innehåller minst:

1. en beskrivning av arten av det konstaterade intrånget (inklusive, om möjligt, kategorierna och det ungefärliga antalet individer som påverkas av intrånget och personuppgifter som påverkas);
2. kontaktuppgifter till en kontaktpunkt från vilken ytterligare information kan erhållas angående personuppgiftsintrånget;
3. dess sannolika konsekvenser och de åtgärder som vidtagits eller föreslås vidtas för att avhjälpa överträdelsen, inklusive för att mildra eventuella negativa konsekvenser.

Om och i den mån det inte är möjligt att lämna all information samtidigt, ska den ursprungliga anmälan innehålla den information som är tillgänglig vid den tidpunkten och, när den blir tillgänglig, ska ytterligare information lämnas så snart som möjligt.

Parterna definierar i bilaga III alla andra element som registerföraren måste kommunicera när han tillhandahåller bistånd till den registeransvarige i syfte att uppfylla dennes skyldigheter enligt artiklarna 33 och 34 i förordning (EU ) 2016/679.

AVSNITT III – SLUTBESTÄMMELSER

Klausul 10 

Bristande efterlevnad av klausuler och uppsägning

1. Utan att det påverkar bestämmelserna i förordning (EU) 2016/679, i händelse av att registerföraren inte fullgör sina skyldigheter enligt dessa klausuler, kan den registeransvarige instruera registerföraren att avbryta behandlingen av uppgifterna till personlig karaktär tills denne har uppfyllt dessa klausuler eller tills avtalet sägs upp. Databehandlaren ska omedelbart informera den registeransvarige om den av någon anledning inte kan följa dessa klausuler.
2. Den personuppgiftsansvarige har rätt att säga upp avtalet i den mån det avser behandling av personuppgifter i enlighet med dessa paragrafer om:
3. behandlingen av personuppgifter av registerföraren har avbrutits av den registeransvarige i enlighet med punkt a) och efterlevnaden av dessa klausuler återställs inte inom en rimlig period och i alla händelser inom en period av en månad från avstängningen;
4. underleverantören har allvarligt eller ihållande brott mot dessa klausuler eller sina skyldigheter enligt förordning (EU) 2016/679; 
5. processorn underlåter att följa ett bindande beslut från en behörig domstol eller behörig(a) tillsynsmyndighet(er) angående dess skyldigheter enligt dessa klausuler eller förordning (EU) 2016/679.
6. Databehandlaren har rätt att säga upp avtalet i den mån det avser behandling av personuppgifter enligt dessa klausuler om den personuppgiftsansvarige, efter att ha informerat den personuppgiftsansvarige om att dess instruktioner strider mot tillämpliga lagkrav i enlighet med punkt 7.1(b), insisterar på att dess instruktioner följas.
7. Efter uppsägning av avtalet raderar personuppgiftsbiträdet, efter den personuppgiftsansvariges val, alla personuppgifter som behandlas på uppdrag av den registeransvarige och intygar för den registeransvarige att den har genomfört sådan radering, eller returnerar alla personuppgifter till den registeransvarige och förstör befintliga kopior, såvida inte unionslagstiftningen eller nationell lagstiftning kräver att de bevaras under en längre period. Behandlaren fortsätter att säkerställa efterlevnad av dessa klausuler tills uppgifterna raderas eller returneras. 

BILAGA I

Beskrivning av behandlingar

Kategorier av behandlade personuppgifter och registrerade

Typen av personuppgifter och kategorierna av berörda personer bestäms och kontrolleras av kunden, efter eget gottfinnande, genom dess användning av Magileads-plattformen.

För att säkerställa plattformens säkerhet, felhantering och åtkomstloggning kommer Magileads att behöva behandla följande personuppgifter på uppdrag av klienten: IP-adress och användaragent för anslutningar till plattformen (inklusive åtkomst till applikationer som finns på plattform av klienten), adresserna till de resurser som nås (URL).

Behandlingernas art

Behandlingsoperationerna som utförs av Magileads angående personuppgifter kan innefatta beräkning, klassificering, organisation av data, lagring, säkerhet och/eller annan behandling som utförs av kunden i samband med dess användning av Magileads-plattformen.

Behandlingernas längd

Behandlingen som omfattas av denna DPA utförs under avtalets löptid eller under en kortare varaktighet under exklusiv kontroll av kunden.

BILAGA II

Tekniska och organisatoriska åtgärder, inklusive tekniska och organisatoriska åtgärder för att säkerställa datasäkerhet

Magileads implementerar organisatoriska och tekniska åtgärder för att garantera säkerheten och sekretessen för de uppgifter som behandlas på uppdrag av Kunden. Dessa åtgärder inkluderar användningen av:

1. Datakrypteringsåtgärder under överföring och under lagring;
2. Fysiska säkerhetsåtgärder (inklusive identitetsverifiering) och logisk kontroll av åtkomsträttigheter till Magileads-servrar och datacenterrummen som innehåller nämnda servrar;
3. Förstärkta autentiseringsprocesser för all åtkomst till Magileads och dess kunders data;
4. Fysisk och/eller logisk isolering av personlig och icke-personlig data från olika Magileads-klienter;
5. Rutiner för att systematiskt tillämpa säkerhetskorrigeringar dokumenterade av CERT-FR inom kortast möjliga tidsramar;
6. Konfidentialitetsåtaganden som krävs av alla anställda och tjänsteleverantörer som agerar på uppdrag av Magileads;
7. Loggning av åtgärder utförda på Magileads informationssystem.
8.  

Nedan betecknad personuppgiftsansvarig.
Francois KOLLI DPO – dpo@magileads.eu
Company KA-Groupe – MAGILEADS
40 Rue de Plaisance, 75014 Paris

RC / Siret nummer: nummer 848746632
APE-kod: 7022Z