Detta personuppgiftsbiträdesavtal (“PUB-avtalet”) är en bilaga till Serviceavtalet mellan:
Personuppgiftsansvarig:
Restaurangen som använder Food Direkts tjänst
och
Personuppgiftsbiträde:
Svea Gross AB
SKARPÄTTARVÄGEN 12 G 1 TR
176 77 Järfälla
Telefon: +46 73 769 52 52
E-post: info@fooddirekt.se
1. Bakgrund och syfte
Detta PUB-avtal reglerar hur Personuppgiftsbiträdet behandlar personuppgifter för Personuppgiftsansvarigs räkning i enlighet med:
- EU:s dataskyddsförordning (GDPR)
- Svensk kompletterande dataskyddslagstiftning
Biträdet får endast behandla personuppgifter enligt dokumenterade instruktioner från den Personuppgiftsansvarige.
2. Typ av personuppgifter
Behandlingen kan omfatta följande kategorier:
- Namn
- Telefonnummer
- E-postadress
- Leveransadress
- Orderinformation
- Betalningsrelaterad status
- IP-adress och teknisk information
3. Kategorier av registrerade
- Slutkunder som gör beställningar via Restaurangen
- Restaurangens kontaktpersoner
- Administrativa användare
4. Ändamål med behandlingen
Personuppgifter behandlas för att:
- Möjliggöra onlinebeställningar
- Administrera ordrar
- Tillhandahålla teknisk support
- Säkerställa systemfunktionalitet
- Uppfylla rättsliga krav
5. Behandlingens varaktighet
Behandlingen sker under tiden Serviceavtalet är giltigt.
Efter avtalets upphörande ska personuppgifter:
- Raderas, eller
- Återlämnas till den Personuppgiftsansvarige
om inte lag kräver fortsatt lagring.
6. Biträdets skyldigheter
Personuppgiftsbiträdet förbinder sig att:
- Endast behandla personuppgifter enligt instruktion
- Säkerställa konfidentialitet
- Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder
- Dokumentera behandlingar
- Assistera den Personuppgiftsansvarige vid registrerades begäran
- Omedelbart meddela personuppgiftsincidenter
- 7. Säkerhetsåtgärder
- Biträdet ska implementera:
- Kryptering där tillämpligt
- Åtkomstbegränsning
- Säkerhetskopiering
- Loggning och övervakning
- Regelbunden systemuppdatering
8. Underbiträden
Biträdet får anlita underbiträden (t.ex. hosting- eller molnleverantörer) under förutsättning att:
- Dessa omfattas av skriftligt avtal
- Samma dataskyddskrav säkerställs
- Personuppgiftsansvarig informeras
9. Överföring utanför EU/EES
Om personuppgifter överförs utanför EU/EES ska:
- EU-kommissionens standardavtalsklausuler användas
eller - Annan laglig överföringsmekanism säkerställas
10. Revision och kontroll
Personuppgiftsansvarig har rätt att, med rimligt varsel, begära information om hur Biträdet uppfyller sina skyldigheter.
11. Ansvar
Parterna ansvarar enligt GDPR:s ansvarsfördelning.
Biträdets ansvar är begränsat enligt Serviceavtalets ansvarsbegränsning, såvida inte tvingande lag föreskriver annat.