DPA - Databehandlingsavtal

Avtal om databehandling

Detta databehandlingsavtal (DPA) anger villkoren för hur Magileads, i egenskap av databehandlare, behandlar personuppgifter för Kundens räkning. I detta DPA förlitar sig Magileads på Europeiska kommissionens standardavtalsklausuler (tillgängliga på: https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32021D0915 ).

Det kompletterar avtalet mellan Magileads och Kunden och införlivas i det Avtal som bildas genom Kundens godkännande av de Allmänna Användarvillkoren (tillgängliga på följande adress: https://www.magileads.com/cgu-conditions-generales-d-utilisation/ ), inklusive Magileads Sekretesspolicy (tillgänglig på följande adress: https://www.magileads.com/accord-de-confidentialite/ ).

Vid konflikt med avtalet har dataskyddsavtalet företräde.

Magileads agerar som underleverantör antas Kunden agera som personuppgiftsansvarig för all behandling utöver den som Magileads utför för sina egna behov, vilket specificeras i Magileads integritetspolicy.

Om Kunden agerar som personuppgiftsbehandlare på instruktioner från en tredje part som är personuppgiftsansvarig, Kunden att:

  • Inhämta alla tillstånd som krävs för att ingå detta dataskyddsavtal från den personuppgiftsansvarige;
  • Deklarera Magileads som en efterföljande underleverantör till den personuppgiftsansvarige;
  • Efter att ha ingått ett avtal med den personuppgiftsansvarige i enlighet med artikel 28 i GDPR och i linje med detta dataskyddsavtal och avtalet som ingåtts mellan Magileads och klienten;
  • Att ge Magileads instruktioner som överensstämmer med de som Magileads har mottagit från den personuppgiftsansvarige, utan att Magileads tar emot instruktioner direkt från den personuppgiftsansvarige, förutom i de fall där Kunden har överfört sina rättigheter och skyldigheter till den personuppgiftsansvarige, som måste tillhandahålla bevis härför.
  • Gör detta dataskyddsavtal tillgängligt för den personuppgiftsansvarige.

Kunden är fullt ansvarig gentemot Magileads för den personuppgiftsansvariges implementering av detta databehandlingsavtal (DPA). Kunden friskriver Magileads från allt ansvar för eventuella brott mot tillämplig lag av den personuppgiftsansvarige, såväl som för eventuella åtgärder, anspråk eller klagomål från den personuppgiftsansvarige avseende detta DPA, avtalet mellan Magileads och Kunden, eller instruktioner som Kunden har gett Magileads.

AVSNITT I

Klausul 1
Syfte och omfattning
  1. Syftet med dessa standardavtalsklausuler (nedan kallade ”klausulerna”) är att säkerställa efterlevnaden av artikel 28.3 och 28.4 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
  2. De registeransvariga och personuppgiftsbehandlarna har accepterat dessa klausuler för att säkerställa efterlevnaden av bestämmelserna i artikel 28.3 och 28.4 i förordning (EU) 2016/679.
  3. Dessa klausuler gäller för behandling av personuppgifter enligt beskrivningen i bilaga I.
  4. Bilagorna I till III utgör en integrerad del av klausulerna.
  5. Dessa klausuler påverkar inte de skyldigheter som den registeransvarige har enligt förordning (EU) 2016/679.
  6. Klausulerna ensamma är inte tillräckliga för att säkerställa att skyldigheterna avseende internationella överföringar i enlighet med kapitel V i förordning (EU) 2016/679 uppfylls.

 Klausul 2

Klausulernas oföränderlighet
  1. Parterna är överens om att inte ändra klausulerna, förutom vad gäller tillägg av information i bilagorna eller uppdatering av informationen däri.
  2. Parterna är inte förhindrade att inkludera de standardavtalsklausuler som definieras i dessa klausuler i ett större avtal, och inte heller att lägga till andra klausuler eller ytterligare garantier, förutsatt att dessa inte direkt eller indirekt strider mot klausulerna eller kränker de berörda personernas grundläggande rättigheter och friheter.

Klausul 3

Tolkning
  1. När termer som definieras i förordning (EU) 2016/679 förekommer i klausulerna ska de förstås som i den aktuella förordningen.
  2. Dessa klausuler måste läsas och tolkas mot bakgrund av bestämmelserna i förordning (EU) 2016/679.
  3. Dessa klausuler får inte tolkas på ett sätt som strider mot de rättigheter och skyldigheter som föreskrivs i förordning (EU) 2016/679 eller på ett sätt som kränker de berörda personernas grundläggande rättigheter eller friheter.

Klausul 4

Hierarki

I händelse av konflikt mellan dessa klausuler och bestämmelser i relaterade avtal som gäller mellan parterna vid den tidpunkt då dessa klausuler överenskomms eller senare ingås, ska dessa klausuler ha företräde.

Klausul 5

Förtöjningsklausul
  1. Varje enhet som inte är part i dessa klausuler kan, med alla parters överenskommelse, ansluta sig till dem när som helst, antingen som registeransvarig eller som personuppgiftsbiträde, genom att fylla i bilagorna.
  2. När bilagorna som nämns i punkt a) har fyllts i och undertecknats anses den anslutna enheten vara part i dessa klausuler och åtnjuter de rättigheter och skyldigheter som en registeransvarig eller registerförare har.
  3. Dessa klausuler skapar inga rättigheter eller skyldigheter för den anslutna parten för perioden före anslutningen.

AVSNITT II – PARTERNAS SKYLDIGHETER

Klausul 6

Beskrivning av behandlingen/behandlingarna

Närmare uppgifter om behandlingen, och i synnerhet kategorierna av personuppgifter och ändamålen med den behandling för vilken personuppgifterna behandlas på den registeransvariges vägnar, anges i bilaga I.

Klausul 7

Parternas skyldigheter
7.1. Instruktioner
  1. Personuppgiftsbehandlaren får behandla personuppgifter endast på dokumenterade instruktioner från den personuppgiftsbehandlade, såvida det inte krävs enligt unionsrätt eller nationell rätt. I sådana fall ska personuppgiftsbehandlaren informera den personuppgiftsbehandlade om denna rättsliga skyldighet före behandling, såvida det inte är förbjudet enligt lag av väsentliga skäl som rör allmänintresset. Den personuppgiftsbehandlade får också utfärda ytterligare instruktioner när som helst under behandlingen av personuppgifter. Dessa instruktioner ska alltid dokumenteras.
  2. Underleverantören ska omedelbart underrätta den registeransvarige om en instruktion från den registeransvarige enligt underleverantörens uppfattning utgör ett brott mot förordning (EU) 2016/679 eller andra bestämmelser i unionsrätten eller medlemsstaternas rätt om dataskydd.
7.2. Begränsning av ändamål

Underleverantören behandlar personuppgifter endast för det/de specifika ändamålen för behandlingen, enligt definitionen i bilaga I, om inte den personuppgiftsansvarige anger annat.

7.3. Varaktighet för behandling av personuppgifter

Bearbetningen av underleverantören sker endast under den period som anges i bilaga I.

7.4. Bearbetningssäkerhet
  1. Personuppgiftsbehandlaren ska genomföra åtminstone de tekniska och organisatoriska åtgärder som anges i bilaga II för att säkerställa säkerheten för personuppgifter. Dessa åtgärder omfattar skydd av uppgifter mot säkerhetsintrång som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt utlämnande av eller åtkomst till personuppgifter (personuppgiftsintrång). Vid bedömningen av lämplig säkerhetsnivå ska parterna vederbörligen beakta den aktuella tekniken, genomförandekostnaderna samt behandlingens art, omfattning, sammanhang och syften, samt riskerna för de registrerade.
  2. Underleverantören ger sina anställda tillgång till de personuppgifter som behandlas endast i den utsträckning det är absolut nödvändigt för att fullgöra, hantera och övervaka avtalet. Underleverantören säkerställer att personer som är behöriga att behandla personuppgifter är bundna av sekretessförpliktelser eller omfattas av en lämplig rättslig sekretessskyldighet.
7.5. Känsliga uppgifter

Om behandlingen omfattar personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, samt genetiska uppgifter eller biometriska uppgifter i syfte att unikt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexliv eller sexuella läggning, eller uppgifter som rör fällande domar och brott (”känsliga uppgifter”), tillämpar underleverantören specifika begränsningar och/eller ytterligare skyddsåtgärder.

7.6 Dokumentation och efterlevnad
  1. Parterna måste kunna visa att de följer dessa klausuler.
  2. Underleverantören ska behandla förfrågningar från den personuppgiftsansvarige gällande databehandling i tid och på lämpligt sätt i enlighet med dessa klausuler.
  3. Personuppgiftsbehandlaren ska förse den registeransvarige med all information som behövs för att visa att skyldigheterna i dessa klausuler och som följer direkt av förordning (EU) 2016/679 är uppfyllda. På den registeransvariges begäran ska personuppgiftsbehandlaren även tillåta och bidra till revisioner av de behandlingar som omfattas av dessa klausuler, med rimliga intervall eller när det finns tecken på bristande efterlevnad. Vid beslut om en granskning eller revision får den registeransvarige beakta eventuella relevanta certifieringar som personuppgiftsbehandlaren innehar.
  4. Den registeransvarige kan besluta att utföra granskningen själv eller att utse en oberoende revisor. Granskningar kan också omfatta inspektioner av registerförarens lokaler eller fysiska anläggningar och utförs, i förekommande fall, med rimligt förvarningsmeddelande.
  5. Parterna ska på begäran tillhandahålla den/de behöriga tillsynsmyndigheten/tillsynsmyndigheterna den information som anges i denna klausul, inklusive resultaten av eventuella revisioner.
7.7. Användning av efterföljande underleverantörer
  1. Personuppgiftsbehandlaren har ett generellt tillstånd från den personuppgiftsansvarige att anlita efterföljande underpersonuppgiftsbehandlare baserat på en överenskommen lista. Personuppgiftsbehandlaren måste särskilt skriftligen informera den personuppgiftsansvarige om eventuella föreslagna ändringar i denna lista, såsom att lägga till eller ersätta efterföljande underpersonuppgiftsbehandlare, minst 30 (trettio) dagar i förväg, vilket ger den personuppgiftsansvarige tillräckligt med tid att invända mot dessa ändringar innan den/de berörda efterföljande underpersonuppgiftsbehandlaren anlitas. Personuppgiftsbehandlaren måste förse den personuppgiftsansvarige med den information som krävs för att utöva sin rätt att invända.
  2. När personuppgiftsbehandlaren anlitar en underpersonuppgiftsbehandlare för att utföra specifika behandlingar (för den personuppgiftsansvariges räkning), gör denne det genom ett avtal som i huvudsak ålägger underpersonuppgiftsbehandlaren samma dataskyddsskyldigheter som de som åligger personuppgiftsbehandlaren enligt dessa klausuler. Personuppgiftsbehandlaren ska säkerställa att underpersonuppgiftsbehandlaren uppfyller de skyldigheter som denne själv omfattas av enligt dessa klausuler och förordning (EU) 2016/679.
  3. På begäran av den registeransvarige ska registerföraren förse den registeransvarige med en kopia av det avtal som ingåtts med den efterföljande registerföraren och eventuella senare ändringar av detta. I den utsträckning det är nödvändigt för att skydda affärshemligheter eller annan konfidentiell information, inklusive personuppgifter, får registerföraren redigera avtalets text innan en kopia distribueras.
  4. Personuppgiftsbehandlaren förblir fullt ansvarig gentemot den personuppgiftsbehandlaren för fullgörandet av den efterföljande personuppgiftsbehandlarens skyldigheter enligt det avtal som ingåtts med den efterföljande personuppgiftsbehandlaren. Personuppgiftsbehandlaren ska informera den personuppgiftsbehandlaren om den efterföljande personuppgiftsbehandlarens brott mot sina avtalsenliga skyldigheter.
  5. Underleverantören kommer överens med den efterföljande underleverantören om en klausul om tredjepartsförmånstagare enligt vilken – i händelse av att underleverantören väsentligt har försvunnit, upphört att existera enligt lag eller har blivit insolvent – ​​har den registeransvarige rätt att säga upp avtalet som ingåtts med den efterföljande underleverantören och att instruera den efterföljande underleverantören att radera eller återlämna personuppgifterna.
 7.8. Internationella överföringar
  1. All överföring av uppgifter till ett tredjeland eller en internationell organisation av personuppgiftsbehandlaren sker endast på grundval av dokumenterade instruktioner från den personuppgiftsansvarige eller för att uppfylla ett specifikt krav i unionsrätten eller medlemsstaternas rätt som personuppgiftsbehandlaren omfattas av och sker i enlighet med kapitel V i förordning (EU) 2016/679.
  2. Den registeransvarige samtycker till att om registerföraren anlitar ett efterföljande registerförare i enlighet med klausul 7.7 för att utföra specifika behandlingar (för den registeransvariges räkning) och om dessa behandlingar innefattar en överföring av personuppgifter i den mening som avses i kapitel V i förordning (EU) 2016/679, får registerföraren och det efterföljande registerföraren säkerställa efterlevnaden av kapitel V i förordning (EU) 2016/679 genom att använda de standardavtalsklausuler som antagits av kommissionen på grundval av artikel 46.2 i förordning (EU) 2016/679, förutsatt att villkoren för användningen av dessa standardavtalsklausuler är uppfyllda.

Klausul 8

Bistånd till den personuppgiftsansvarige
  1. Personuppgiftsbehandlaren ska utan dröjsmål informera den personuppgiftsansvarige om alla begäranden som mottagits från den registrerade. Personuppgiftsbehandlaren ska inte själv agera utifrån begäran om den personuppgiftsansvarige inte har gett sitt tillstånd att göra det.
  2. Personuppgiftsbehandlaren bistår den registeransvarige i att fullgöra dennes skyldighet att svara på registrerades begäran om att utöva sina rättigheter, med beaktande av behandlingens art. Vid fullgörandet av sina skyldigheter enligt punkterna a och b följer personuppgiftsbehandlaren den registeransvariges instruktioner.
  3. Utöver personuppgiftsbehandlarens skyldighet att bistå den personuppgiftsansvarige enligt klausul 8 b ska personuppgiftsbehandlaren även bistå den personuppgiftsansvarige med att säkerställa att följande skyldigheter uppfylls, med beaktande av behandlingens art och den information som personuppgiftsbehandlaren har tillgång till:
  4. Skyldigheten att göra en bedömning av hur planerade behandlingar påverkar skyddet av personuppgifter (”konsekvensbedömning avseende dataskydd”) när en typ av behandling sannolikt utgör en hög risk för fysiska personers rättigheter och friheter;
  5. Skyldigheten att samråda med den/de behöriga tillsynsmyndigheten/tillsynsmyndigheterna före behandling när en konsekvensbedömning avseende dataskydd visar att behandlingen skulle utgöra en hög risk om den registeransvarige inte vidtog åtgärder för att minska risken;
  6. Skyldigheten att säkerställa att personuppgifter är korrekta och aktuella genom att utan dröjsmål informera den registeransvarige om registerföraren får kännedom om att de personuppgifter som behandlas är felaktiga eller har blivit föråldrade;
  7. Skyldigheterna i artikel 32 i förordning (EU) 2016/679. 
  8. Parterna ska i bilaga II definiera de lämpliga tekniska och organisatoriska åtgärder med vilka underleverantören är skyldig att bistå den registeransvarige vid tillämpningen av denna klausul, samt omfattningen och omfattningen av det bistånd som krävs.

Klausul 9

Anmälan om personuppgiftsintrång

Vid personuppgiftsincident ska personuppgiftsbehandlaren samarbeta med den personuppgiftsansvarige och bistå denne med att fullgöra de skyldigheter som åligger denne enligt artiklarna 33 och 34 i förordning (EU) 2016/679, med beaktande av behandlingens art och den information som personuppgiftsbehandlaren har tillgång till.

9.1 Dataintrång avseende uppgifter som behandlas av den personuppgiftsansvarige

Vid personuppgiftsincident som rör uppgifter som behandlas av den registeransvarige ska registerföraren bistå den registeransvarige med:

  1. i syfte att underrätta den/de behöriga tillsynsmyndigheten/-myndigheterna om personuppgiftsincidenten så snart som möjligt efter att den personuppgiftsansvarige har blivit medveten om den, i förekommande fall (såvida inte personuppgiftsincidenten sannolikt inte kommer att medföra en risk för fysiska personers rättigheter och friheter); 
  2. i syfte att erhålla följande information, som i enlighet med artikel 33.3 i förordning (EU) 2016/679 ska ingå i den registeransvariges anmälan, och som åtminstone ska innehålla:
  3. personuppgifternas art, inklusive, där så är möjligt, kategorierna och det ungefärliga antalet personer som berörs av intrånget samt kategorierna och det ungefärliga antalet personuppgifter som berörs; 
  4. de sannolika konsekvenserna av personuppgiftsincidenten;  
  5. de åtgärder som den registeransvarige har vidtagit eller föreslagit för att hantera personuppgiftsincidenten, inklusive, i förekommande fall, åtgärder för att mildra dess eventuella negativa konsekvenser. 

När, och i den utsträckning det inte är möjligt att tillhandahålla all information samtidigt, ska den första anmälan innehålla den information som är tillgänglig vid den tidpunkten och, allt eftersom den blir tillgänglig, meddelas ytterligare information därefter så snart som möjligt

  1. i syfte att uppfylla, i enlighet med artikel 34 i förordning (EU) 2016/679, skyldigheten att utan onödigt dröjsmål underrätta den registrerade om personuppgiftsincidenten, om personuppgiftsincidenten sannolikt kommer att resultera i en hög risk för fysiska personers rättigheter och friheter.

9.2 Dataintrång relaterat till data som behandlats av underleverantören

Vid personuppgiftsincident som rör uppgifter som behandlas av underleverantören ska underleverantören informera den personuppgiftsansvarige så snart som möjligt efter att ha blivit medveten om det. Denna anmälan ska innehålla minst:

  1. en beskrivning av den konstaterade intrångets art (inklusive, där så är möjligt, kategorierna och det ungefärliga antalet personer som berörts av intrånget samt de berörda personregisterna);
  2. kontaktuppgifter till en kontaktperson från vilken ytterligare information kan erhållas om personuppgiftsincidenten;
  3. dess sannolika konsekvenser och de åtgärder som vidtagits eller föreslås vidtas för att avhjälpa överträdelsen, inklusive att mildra eventuella negativa konsekvenser.

När, och i den utsträckning, det inte är möjligt att tillhandahålla all information samtidigt, innehåller den första anmälan den information som är tillgänglig vid den tidpunkten och, allt eftersom den blir tillgänglig, meddelas ytterligare information därefter så snart som möjligt.

Parterna definierar i bilaga III alla andra uppgifter som underleverantören ska meddela när den bistår den registeransvarige med att fullgöra dennes skyldigheter enligt artiklarna 33 och 34 i förordning (EU) 2016/679.

AVSNITT III – SLUTBESTÄMMELSER

Klausul 10 

Underlåtenhet att följa villkoren och uppsägning
  1. Utan att det påverkar tillämpningen av bestämmelserna i förordning (EU) 2016/679 får den personuppgiftsansvarige, om personuppgiftsbiträdet inte uppfyller sina skyldigheter enligt dessa villkor, ålägga personuppgiftsbiträdet att avbryta behandlingen av personuppgifter tills personuppgiftsbiträdet uppfyller dessa villkor eller tills avtalet har upphört. Personuppgiftsbiträdet ska omedelbart underrätta den personuppgiftsansvarige om personuppgiftsbiträdet av någon anledning inte kan följa dessa villkor.
  2. Den personuppgiftsansvarige har rätt att säga upp avtalet i den mån det avser behandling av personuppgifter i enlighet med dessa klausuler om:
  3. underleverantörens behandling av personuppgifter har avbrutits av den personuppgiftsansvarige i enlighet med punkt a) och efterlevnaden av dessa klausuler inte återställs inom rimlig tid och under alla omständigheter inom en månad efter avbrytandet;
  4. underleverantören allvarligt eller ihållande bryter mot dessa klausuler eller mot de skyldigheter som åligger denne enligt förordning (EU) 2016/679 
  5. underleverantören inte följer ett bindande beslut av en behörig domstol eller av den/de behöriga tillsynsmyndigheten/tillsynsmyndigheterna avseende de skyldigheter som åligger denne enligt dessa klausuler eller förordning (EU) 2016/679.
  6. Underleverantören har rätt att säga upp avtalet i den mån det avser behandling av personuppgifter enligt dessa klausuler om den registeransvarige, efter att ha informerat den registeransvarige om att dess instruktioner strider mot tillämpliga rättsliga krav i enlighet med klausul 7.1(b), insisterar på att dess instruktioner följs.
  7. Efter att avtalet har upphört ska personuppgiftsbehandlaren, efter den personuppgiftsbehandlarens gottfinnande, radera alla personuppgifter som behandlats för den personuppgiftsbehandlarens räkning och intyga för den personuppgiftsbehandlade att sådan radering har genomförts, eller återlämna alla personuppgifter till den personuppgiftsbehandlade och förstöra eventuella befintliga kopior, såvida inte unionsrätt eller nationell rätt kräver att de bevaras under en längre tid. Personuppgiftsbehandlaren ska fortsätta att säkerställa att dessa villkor följs tills uppgifterna har raderats eller återlämnats. 

BILAGA I

Beskrivning av behandlingar

Kategorier av personuppgifter som behandlas och registrerade

Typen av personuppgifter och kategorierna av berörda personer bestäms och kontrolleras av Kunden, efter eget gottfinnande, genom dess användning av Magileads-plattformen.

För att säkerställa Plattformens säkerhet, felhantering och åtkomstloggning kommer Magileads att behandla följande personuppgifter för Kundens räkning: IP-adress och användaragent för anslutningar till Plattformen (inklusive åtkomst till applikationer som Kunden lagrar på Plattformen), adresserna till de resurser som åtkoms (URL:er).

Behandlingarnas natur

De behandlingar som utförs av Magileads avseende personuppgifter kan innefatta beräkning, klassificering, organisering av data, lagring, säkring och/eller annan behandling som utförs av Kunden i samband med dess användning av Magileads-plattformen.

Behandlingarnas varaktighet

Den behandling som omfattas av detta dataskyddsavtal utförs under avtalets löptid, eller under en kortare period under Kundens exklusiva kontroll.

BILAGA II

Tekniska och organisatoriska åtgärder, inklusive tekniska och organisatoriska åtgärder för att säkerställa datasäkerhet

Magileads implementerar organisatoriska och tekniska åtgärder för att garantera säkerheten och sekretessen för data som behandlas för Kundens räkning. Dessa åtgärder inkluderar i synnerhet användningen av:

  1. Datakrypteringsåtgärder under transport och lagring;
  2. Fysiska säkerhetsåtgärder (inklusive identitetsverifiering) och logisk kontroll av åtkomsträttigheter till Magileads-servrar och datacenterrummen där nämnda servrar finns;
  3. Förbättrade autentiseringsprocesser för all åtkomst till data som tillhör Magileads och dess klienter;
  4. Fysisk och/eller logisk isolering av personuppgifter och icke-personuppgifter för de olika Magileads-klienterna;
  5. Förfaranden för systematisk tillämpning, så snabbt som möjligt, av de säkerhetsuppdateringar som dokumenterats av CERT-FR;
  6. Sekretessavtal krävs från alla anställda och tjänsteleverantörer som agerar på Magileads vägnar;
  7. En logg över åtgärder som utförts på Magileads informationssystem.
  8.  

Följande kallas personuppgiftsansvarig:
Francois KOLLI,
DPO ue.sdaeligam@opd , KA-Groupe – MAGILEADS,
40 Rue de Plaisance, 75014 Paris

RC/SIRET-nummer: 848746632
APE-kod: 7022Z

Söka

Nicolas, medgrundare av Magileads

Jag har det, vi skickar det till dig
direkt!


vår kostnadsfria handbok för 2025 om
flerkanalig prospektering

  • Beprövade metoder (från målgruppsinriktning till omvårdnad).
  • Misstag som saboterar dina kampanjer (och hur du undviker dem)
  • Checklistor för att strukturera dina sekvenser från A till Ö.
  • En eftersläpning av experiment som är enkla att lansera idag.