Version 1.3. Senast uppdaterad 2021-11-12

Allmänna Villkor för Mercell Opic-tjänsterna

Dessa allmänna villkor gäller för nedan angivna Mercell Opic-tjänster (”Allmänna Villkor”).

  • Mercell Opic Upphandlingskoll
  • Mercell Opic Analys
  • Mercell Opic Upphandlingsbibliotek
  • Mercell Opic Rättsfallsbibliotek
  • Mercell Opic Team (tilläggstjänst till Mercell Opic Upphandlingskoll, Mercell Opic Analys, Mercell Opic Upphandlingsbibliotek och Mercell Opic Rättsfallsbibliotek)
  • Mercell Opic Leverantörsregister
  • Mercell Opic Gästkonto

Mercell Opic Upphandlingskoll, Mercell Opic Analys, Mercell Opic Upphandlingsbibliotek, Mercell Opic Rättsfallsbibliotek, Mercell Opic Team, Mercell Opic Leverantörsregister samt Mercell Opic Gästkonto benämns häri gemensamt ”Opic-tjänsterna”. Kunden har beställt en eller flera av ovan nämnda Opic-tjänster från Mercell Commerce AB.

1. Avtalsparter

Avtalsparter är Mercell Commerce AB (556533-8745), nedan kallad Mercell Commerce, och beställaren, nedan kallad Kunden. Med Kunden avses den juridiska person eller enskilda näringsidkare som angivits på orderbekräftelsen. Avtalet, inklusive dessa Allmänna Villkor samt Personuppgiftsbiträdesavtalet, som finns bilagt dessa Allmänna Villkor som bilaga 1, anses accepterat och godkänt av Kunden i samband med att beställningen av en eller flera av Opic-tjänsterna har gjorts via Mercells webbplatser eller plattformar, eller vid beställning på annat sätt när Kunden skriftligen har bekräftat beställningen.

2. Avtalets omfattning m.m.

Genom ingående av avtalet med Mercell Commerce uppdrar Kunden åt Mercell Commerce att, i enlighet med den/de användarprofil/användarinställningar som lagts upp för Kunden, tillhandahålla information om offentliga upphandlingar i enlighet med vad som ingår i den eller de Opic-tjänster som Kunden beställt. Kunden äger rätt att söka, hämta och motta denna information om offentliga upphandlingar för eget bruk. All automatiserad inhämtning av information från Mercell Commerces Opic-tjänster och webbplatser är otillåten.

Kunden ansvarar för att kontrollera att hos Mercell Commerce registrerade fakturerings- och inloggningsuppgifter samt inställd användarprofil är korrekt. Kunden ansvarar vidare för att all information som Kunden eller Kundens användare sparar, använder eller på annat sätt behandlar inom ramen för någon av Opic-tjänsterna är förenlig med tillämplig lagstiftning.

Tilläggstjänsten Mercell Opic Team gör det bl a möjligt för Kundens användare att bjuda in andra användare att ta del av utvalda upphandlingsannonser, innefattande både andra användare kopplade till Kunden, men även externa användare av Opic-tjänsterna, och ge den inbjudne behörighet att samverka med Kundens användare i sådana utvalda upphandlingsannonser genom att bl a läsa och skriva anteckningar samt ändra status och ansvarig. Kunden är medveten om ovanstående samt att Kunden för det fall Kunden väljer att bjuda in andra externa användare ansvarar för deras användning av Opic-tjänsten för den eller de specifika upphandlingsannonser den externa användaren blivit inbjuden till på samma sätt som för Kundens egna användare.

Kunden erhåller en icke-exklusiv rätt att via Mercell Commerces Opic-tjänster utnyttja den information och de tjänster som beskrivs i orderbekräftelsen. För Mercell Commerces Opic-tjänster och webbplatser gäller endast nyttjanderätten för det antal användare som angivits i orderbekräftelsen. Inloggningsinformation till ett användarkonto är personlig och får ej delas med andra användare eller annan person. Kunden skall dock, för det fall nu namngiven person byter arbetsuppgifter eller slutar sin anställning hos Kunden, äga rätt att byta användare av Opic-tjänsten. Kunden skall i sådant fall underrätta Mercell Commerce härom innan denne börjar utnyttja sin nyttjanderätt till informationen och tjänsterna. Omfattningen av avtalet framgår av orderbekräftelsen.

3. Gästkonto

Dessa Allmänna Villkor gäller också i tillämpliga delar för de Kunder som har en sk gästkonto-licens (Mercell Opic Gästkonto). Ett gästkonto är en kostnadsfri licens som ger Kunden och dess registrerade användare en icke-exklusiv, begränsad access enbart till enskilda upphandlingsannonser i Opic-databasen för eget bruk. Med en gästkonto-licens får Kundens användare således ingen översikt över samtliga upphandlingsannonser och gästkonto-användaren kan inte heller söka bland upphandlingsannonser i sk inloggat läge. Genom en begränsad gästkonto-licens kan Kundens användare aktivera bevakning av uppdateringar av en upphandlingsannons eller tillhörande upphandlingsdokument för det fall dokumenten publicerats i Opic-databasen. Kundens gästkonto-användare notifieras om uppdateringar kopplade till en av användaren bevakad upphandlingsannons via e-post så länge användaren är kopplad till en aktiv och gällande gästkonto-licens. En gästkonto-användare kan ladda ner upphandlingsdokument från Opic-databasens annons eller genom att klicka på en extern länk för det fall upphandlingsdokumenten inte finns tillgängliga i Opic-databasen. Gästkonto-licensen är kostnadsfri och levereras av Mercell Commerce i befintligt skick.

4. Avtalstid, uppsägning m.m.

Avtalet löper under ett (1) år, eller annan överenskommen tidslängd enligt avtalet, från och med den dag beställningen gjorts via Mercells webbplatser eller plattformar, eller vid beställning på annat sätt när beställningen har bekräftats av Kunden skriftligen. Uppsägning av avtalet ska göras skriftligen till den andra parten senast nittio (90) dagar innan avtalet löper ut. I annat fall förlängs avtalet ytterligare med ett år i taget.

För det fall Kunden säger upp en användarlicens till någon av Opic-tjänsterna (undantaget Gästkonto) så kommer Mercell Commerce efter avtalstidens utgång att nedgradera den uppsagda användarlicensen till en gästkonto-licens, innebärande att Kundens användare erhåller ett begränsat gästkonto, i enlighet med vad som anges ovan under punkt 3, Gästkonto. Detsamma gäller användare som kostnadsfritt fått prova en Opic-tjänst, då användarlicensen, efter prövotidens utgång, nedgraderas till en gästkonto-licens. Detta för att Kunden fortsatt ska kunna få notifieringar i det fall av Kunden bevakade upphandlingsannonser uppdateras efter att avtalet för Kundens användarlicens löpt ut. Kunden kan dock alltid välja att skriftligen säga upp en gästkonto-licens till omedelbart upphörande. Mercell Commerce kommer i sådant fall snarast möjligt, senast 60 dagar efter uppsägningen, att avsluta Kundens gästkonto-licens och därigenom avsluta den av Kunden i uppsägningen angivna gästkonto-användarens access till Opic-databasen. En gästkonto-licens är i övrigt gällande så länge Kundens användare är aktiv inom ramen för tjänsten. En gästkonto-licens avslutas emellertid automatiskt av Mercell Commerce, utan föregående notifikation till Kunden, om Kundens gästkonto-användare har varit inaktiv (ej inloggad) i gästkontot under en sammanhängande period överstigande tre år.

5. Tillgång till Opic-tjänsterna

Opic-tjänsterna är normalt tillgängliga dygnet runt. Mercell Commerce förbehåller sig rätten att stänga Opic-tjänsterna för sedvanligt underhåll. Underhåll kommer dock huvudsakligen att äga rum nattetid och på helger för att inverka så lite som möjligt på Kundens nyttjande av tjänsterna.

6. Priser m.m.

Priser för de Opic-tjänster som omfattas av avtalet framgår av orderbekräftelsen. På samtliga priser tillkommer mervärdesskatt och andra allmänna avgifter. Mercell Commerce äger rätt att en gång per år ändra sina priser.

7. Betalningsvillkor

Betalning skall ske förskottsvis för år räknat mot faktura, med betalningsvillkor trettio (30) dagar från fakturadatum. Vid försenad betalning debiteras på utestående belopp dröjsmålsränta enligt räntelagen. Erlagd betalning återbetalas endast då Kunden har lidit skada enligt punkt 8 sista stycket i detta avtal.

8. Ansvar

Informationen som tillhandahålls via Mercell Commerces Opic-tjänster och webbplatser har sammanställts ur offentliga uppgifter. Mercell Commerce har inte kontrollerat riktigheten eller fullständigheten av dessa uppgifter. Mercell Commerce påtar sig därför inget som helst ansvar för inlagd information. Ansvaret för inlagd information åvilar envar informationsgivare. Mercell Commerce kommer dock att i möjligaste mån korrigera eventuell felaktig information, så snart felaktigheten kommer till Mercell Commerces kännedom. Mercell Commerces webbplatser och Opic-tjänster kan innehålla länkar till andra webbplatser. Mercell Commerce har dock inte något ansvar för tillgängligheten av sådana webbplatser, för innehållet i dessa, för dess säkerhet eller för hur de behandlar personuppgifter. Mercell Commerce skall, med undantag för nästa stycke, inte vara ansvarigt för direkt eller indirekt skada eller följdskada relaterad till Opic-tjänsterna, inkluderad utebliven vinst eller liknande, även om Mercell Commerce underrättats om möjligheten av sådan förlust.

Mercell Commerce är dock ansvarigt för sådan direkt skada som uppkommit genom uppsåt eller grov vårdslöshet. Mercell Commerces ansvar är därvid begränsat till direkta förluster till ett sammanlagt belopp av högst en (1) årsavgift.

9. Sekretess m.m.

Kunden förbinder sig att tillse att användarnamn och lösenord hemlighålls så att de inte används av obehöriga. Kunden förbinder sig att, med undantag för genom sådan funktionalitet som följer av Opic-tjänsten, inte för tredje man yppa eller på något annat sätt göra tillgänglig information som erhållits direkt av Mercell Commerce eller via Mercell Commerces Opic-tjänster samt tillse att inte någon annan än tjänsteman med tjänstgöring hos Kunden får del av sådan information. Kunden har vidare ingen rätt till sådan information utöver vad som följer av avtalet. Med undantag för offentliga uppgifter har Mercell Commerce och dess leverantörer all äganderätt och upphovsrätt till information som erhållits direkt av Mercell Commerce eller via Mercell Commerces Opic-tjänster och webbplatser.

10. Behandling av personuppgifter och personuppgiftsbiträdesavtal

För Mercell Commerce är det viktigt att kunna möta våra kunders krav på efterlevnad av vid var tid gällande regler om behandling av personuppgifter. I relationen mellan Mercell Commerce och Kunden är Mercell Commerce personuppgiftsansvarig i de fall Mercell Commerce fastställer ändamålet och medlen för behandlingen av personuppgifterna. Då Mercell Commerce har rollen som personuppgiftsansvarig hänvisar vi till vårt integritetsmeddelande. Då behandling av personuppgifter görs på uppdrag av Kunden har Mercell Commerce rollen som personuppgiftsbiträde åt Kunden som är personuppgiftsansvarig. Ett särskilt personuppgiftsbiträdesavtal har därför ingåtts som reglerar parternas roller och ansvar i relation till den behandling av personuppgifter som sker under avtalet. Personuppgiftsbiträdesavtalet, som utgör en integrerad del av avtalet, finns bifogat längst ner i dessa Allmänna Villkor som bilaga 1.

11. Force majeure

Om part förhindras att fullgöra sina åtaganden enligt avtalet på grund av omständighet som part ej kunnat råda över, såsom blixtnedslag, arbetskonflikt, bristande elförsörjning, eldsvåda, myndighetsbestämmelser, systemavbrott eller bristande tillgänglighet i externt nätverk skall detta utgöra befrielsegrund som medför framflyttning av tidpunkt för prestation och befrielse från skadestånd och andra eventuella påföljder.

12. Förändringar och ändring av villkor

Mercell Commerce förbehåller sig rätten att ändra Opic-tjänsternas utformning och funktionalitet. Mercell Commerce har vidare rätt att ändra villkoren för avtalet, inkluderande dessa Allmänna Villkor, Personuppgiftsbiträdesavtalet samt de tekniska och administrativa rutiner som gäller. Väsentliga ändringar av villkoren börjar att gälla trettio (30) dagar efter att de notifierats Kunden och/eller Kundens användare på sätt som Mercell Commerce finner lämpligt. För det fall Kunden inte accepterar de av Mercell Commerce ändrade villkoren äger Kunden rätt att, inom 30 dagar från och med att Kunden eller Kundens användare fick del av de ändrade villkoren, säga upp Opic-tjänsten med 30 dagars uppsägningstid. Sådan uppsägning ska ske skriftligen till Mercell Commerce. För det fall Kunden inte utnyttjat denna möjlighet till uppsägning av Opic-tjänsten anses Kunden ha accepterat de ändrade villkoren. Betald årsavgift återbetalas ej vid Kundens utnyttjande av uppsägningsrätten enligt denna punkt 12.

13. Överlåtelse

Kunden äger inte rätt att överlåta avtalet till annan, utan Mercell Commerces föregående skriftliga godkännande. Sådant godkännande förutsätter att den nye innehavaren inträder i avtalet på samma villkor eller på av Mercell Commerce ändrade villkor som anpassas till den nye innehavaren. Kunden äger inte heller rätt att till annan överlåta eller uppge användarnamn och lösenord.

14. Förtida uppsägning

Om Kunden bryter mot något av villkoren i avtalet äger Mercell Commerce rätt att med omedelbar verkan säga upp avtalet och avbryta tillgången till i orderbekräftelsen angivna Opic-tjänster. Vidare äger Mercell Commerce rätt att med omedelbar verkan säga upp avtalet för det fall Kunden försätts i konkurs, förvaltare för Kunden utses, förfarande om ackord, företagsrekonstruktion eller liknande inleds, eller om Kunden i övrigt kan anses vara på obestånd. Betald årsavgift återbetalas ej.

15. Tolkning

Förekommer i kontraktshandlingarna mot varandra stridande uppgifter, gäller de, om inte omständigheterna uppenbarligen föranleder till annat, sinsemellan i följande ordning: 1. Orderbekräftelse, 2. Faktura, 3. Personuppgiftsbiträdesavtal, 4. Allmänna Villkor.

16. Tvist

Tvist angående tolkningen eller tillämpningen av detta avtal ska avgöras av svensk domstol enligt svensk rätt, varvid Stockholms tingsrätt ska vara första instans.


Bilaga 1 Personuppgiftsbiträdesavtal

Inledning

Detta personuppgiftsbiträdesavtal (“Personuppgiftsbiträdesavtal”) ingår i och reglerar Behandlingen av Personuppgifter i avtal avseende Opic-tjänster mellan parterna ("Tjänsteavtal").

Definitioner

Definitionen av Personuppgifter, Särskilda kategorier av Personuppgifter (Känsliga Personuppgifter), Behandling av Personuppgifter, Registrerad, Personuppgiftsansvarig och Personuppgiftsbiträde är densamma som används i gällande dataskyddslagstiftning, inklusive den allmänna dataskyddsförordningen (GDPR - General Data Protection Regulation), gällande i detta Personuppgiftsbiträdesavtal samt i Europa från den 25 maj 2v018.

Omfattning

Detta Personuppgiftsbiträdesavtal reglerar Personuppgiftsbiträdets Behandling av Personuppgifter på uppdrag av Personuppgiftsansvarig och beskriver hur Personuppgiftsbiträdet ska säkerställa dataskydd, genom tekniska och organisatoriska åtgärder enligt gällande dataskyddslagstiftning, inklusive dataskyddsförordningen.

Syftet med Personuppgiftsbiträdets Behandling av Personuppgifter på uppdrag av Personuppgiftsansvarig är att uppfylla Tjänsteavtal och detta Personuppgiftsbiträdesavtal.

Detta Personuppgiftsbiträdesavtal har företräde framför eventuella motstridiga bestämmelser om Behandling av Personuppgifter i Tjänsteavtal eller i andra avtal som ingåtts mellan Parterna. Detta Personuppgiftsbiträdesavtal är giltigt så länge Personuppgiftsbiträdet Behandlar Personuppgifter för ändamål som Personuppgiftsansvarig bestämmer.

Personuppgiftsbiträdets skyldigheter

Personuppgiftsbiträdet får endast Behandla Personuppgifter på uppdrag av och i enlighet med Personuppgiftsansvarigs instruktioner. Genom att ingå detta Personuppgiftsbiträdesavtal instruerar Personuppgiftsansvarig Personuppgiftsbiträdet att Behandla Personuppgifter på följande sätt: i) endast i enlighet med gällande lag, ii) för att uppfylla alla förpliktelser enligt Tjänsteavtal, iii) som vidare specificerat genom Personuppgiftsansvarigs normala användning av Personuppgiftsbiträdets tjänster och iv) på så sätt som anges i detta Personuppgiftsbiträdesavtal.

Personuppgiftsbiträdet har ingen anledning att tro att det finns lagstiftning som förhindrar att Personuppgiftsbiträdet följer de ovan angivna instruktionerna. Personuppgiftsbiträdet ska, efter att ha blivit medveten om det, informera Personuppgiftsansvarig i de fall Personuppgiftsansvarigs instruktioner eller Behandling, enligt Personuppgiftsbiträdet, strider mot gällande dataskyddslagstiftning.

De kategorier av Registrerade och Personuppgifter som omfattas av Behandling i detta Personuppgiftsbiträdesavtal framgår av Bilaga A.

Personuppgiftsbiträdet ska säkerställa konfidentialitet, integritet och tillgänglighet av Personuppgifter enligt den dataskyddslagstiftning som gäller för Personuppgiftsbiträdet. Personuppgiftsbiträdet ska genomföra systematiska, organisatoriska och tekniska åtgärder för att säkerställa en rimlig säkerhetsnivå, med hänsyn tagen till den senaste tekniken och implementationskostnader i förhållande till den risk som Behandlingen innebär, och typen av Personuppgifter som ska skyddas.

Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig med lämpliga tekniska och organisatoriska åtgärder, så långt det är möjligt med hänsyn tagen till typ av Behandling och den information som är tillgänglig för Personuppgiftsbiträdet, för att uppfylla Personuppgiftsansvarigs skyldigheter enligt gällande dataskyddslagstiftning avseende förfrågningar från Registrerade och allmänt dataskydd enligt dataskyddsförordningen artikel 32-36.

Om Personuppgiftsansvarig behöver information om säkerhetsåtgärder, dokumentation eller annan information om hur Personuppgiftsbiträdet Behandlar Personuppgifter, och sådana förfrågningar innebär mer information än den standardinformation som tillhandahålls av Personuppgiftsbiträdet för att följa gällande dataskyddslagstiftning som Personuppgiftsbiträde, och det innebär mer arbete för Personuppgiftsbiträdet, kan Personuppgiftsbiträdet debitera Personuppgiftsansvarig för sådana ytterligare tjänster.

Personuppgiftsbiträdet och dennes personal ska säkerställa konfidentialitet av Personuppgifter som Behandlas under detta Personuppgiftsbiträdesavtal. Detta villkor gäller även efter att Personuppgiftsbiträdesavtalet upphört att gälla.

Personuppgiftsbiträdet ska, genom att skyndsamt och utan onödigt dröjsmål meddela Personuppgiftsansvarig, göra det möjligt för Personuppgiftsansvarig att uppfylla de rättsliga krav som gäller för information till relevanta dataskyddsmyndigheter och Registrerade rörande personuppgiftsincidenter.

Vidare ska Personuppgiftsbiträdet, i den utsträckning det är praktiskt möjligt och lagligt, meddela Personuppgiftsansvarig om;

i) förfrågningar om utlämnande av Personuppgifter som erhållits från en Registrerad

ii) förfrågningar från myndigheter, exempelvis Polisen, om utlämnande av Personuppgifter

Personuppgiftsbiträdet får inte svara direkt på förfrågningar från Registrerade utan medgivande från Personuppgiftsansvarig. Personuppgiftsbiträdet får inte delge innehåll rörande Personuppgiftsbiträdesavtalet till myndigheter som Polisen, inklusive Personuppgifter, med undantag för vad som är lagstadgat, exempelvis genom domstolsbeslut eller liknande beslut.

Personuppgiftsbiträdet har inte ägarskap till eller kontroll över huruvida och hur Personuppgiftsansvarig väljer att använda sig av eventuella tredjepartsintegrationer via Personuppgiftsbiträdets API, via direkt databaskoppling eller liknande. Ansvaret för sådana integrationer med tredje part åligger uteslutande Personuppgiftsansvarig.

Personuppgiftsansvarigs skyldigheter

Genom att ingå detta Personuppgiftsbiträdesavtal bekräftar Personuppgiftsansvarig att:

  • Personuppgiftsansvarig ska, vid användning av de tjänster som tillhandahålls av Personuppgiftsbiträdet enligt Tjänsteavtal, Behandla Personuppgifter i enlighet med kraven i gällande dataskyddslagstiftning.
  • Personuppgiftsansvarig har rättslig grund att Behandla och utlämna de aktuella Personuppgifterna till Personuppgiftsbiträdet (inklusive eventuella underbiträden som Personuppgiftsbiträdet använder).
  • Personuppgiftsansvarig är ensamt ansvarig för riktigheten, integriteten, innehållet, tillförlitligheten och lagenligheten av de Personuppgifter som lämnats till Personuppgiftsbiträdet.
  • Personuppgiftsansvarig har uppfyllt alla obligatoriska krav och skyldigheter att anmäla hos eller få tillstånd från relevanta myndigheter för Behandlingen av Personuppgifter.
  • Personuppgiftsansvarig har fullgjort sina skyldigheter att tillhandahålla relevant information till Registrerade avseende Behandling av Personuppgifter enligt obligatorisk dataskyddslagstiftning.
  • Personuppgiftsansvarig instämmer i att Personuppgiftsbiträdet har lämnat garantier avseende implementeringen av tekniska och organisatoriska säkerhetsåtgärder som är tillräckliga för att skydda Registrerades integritet och Personuppgifter.
  • Vid användning av de tjänster som tillhandahålls av Personuppgiftsbiträdet under Tjänsteavtal får Personuppgiftsansvarig inte överföra några Känsliga Personuppgifter till Personuppgiftsbiträdet utan uttrycklig överenskommelse om detta i Bilaga A till detta Personuppgiftsbiträdesavtal.
  • Personuppgiftsansvarig ska upprätthålla ett uppdaterat register över de typer och kategorier av Personuppgifter som denne Behandlar, i den utsträckning sådan Behandling avviker från kategorier och typer av Personuppgifter som ingår i bilaga A.

Användande av underbiträden och överföring av data

Som en del av leveransen av tjänster till Personuppgiftsansvarig, enligt Tjänsteavtal och detta Personuppgiftsbiträdesavtal, kan Personuppgiftsbiträdet använda sig av underleverantörer i rollen underbiträde. Sådana underbiträden kan vara andra företag inom Mercell-koncernen eller externa underleverantörer (tredje part). Personuppgiftsbiträdet ska säkerställa att underleverantörer genom avtal samtycker till att åta sig ansvar som motsvarar de skyldigheter som anges i detta Personuppgiftsbiträdesavtal.

Personuppgiftsansvarig kan begära en översikt av nuvarande underleverantörer med tillgång till Personuppgifter. En sådan översikt återfinns i Bilaga B.

Personuppgiftsansvarig kan när som helst begära en fullständig översikt och mer detaljerad information om de underleverantörer som är involverade i Tjänsteavtal.

Personuppgiftsansvarig aviseras om nya underleverantörer börjar användas eller om befintliga upphör på sätt som Personuppgiftsbiträdet finner lämpligt. Om ny underleverantör bevisligen inte efterlever gällande dataskyddslagstiftning och underleverantören fortsatt inte efterlever gällande dataskyddslagstiftning, efter att Personuppgiftsbiträdet har fått rimlig tid på sig att säkerställa att underleverantören efterlever regelverket, kan Personuppgiftsansvarig säga upp Personuppgiftsbiträdesavtalet. Sådan uppsägning kan innebära rätt att säga upp Tjänsteavtal, helt eller delvis, enligt de uppsägningsklausuler som finns i Tjänsteavtalet. En viktig del av sådana bedömningar ska vara i vilken mån underleverantörens Behandling av Personuppgifter är en nödvändig del av de tjänster som tillhandahålls enligt Tjänsteavtal. Ett byte av underleverantör ska inte i sig betraktas som ett brott mot Tjänsteavtal.

Genom att ingå detta Personuppgiftsbiträdesavtal accepterar Personuppgiftsansvarig att Personuppgiftsbiträdet använder sig av underleverantörer på så sätt som beskrivs ovan.

Säkerhet

Personuppgiftsbiträdet har åtagit sig att tillhandahålla en hög säkerhetsnivå i sina produkter och tjänster. Personuppgiftsbiträdet tillhandahåller säkerhetsnivån genom organisatoriska, tekniska och fysiska säkerhetsåtgärder, i enlighet med kraven på informationssäkerhet som beskrivs i dataskyddsförordningen artikel 32.

Mercell-koncernens ramverk för dataskydd syftar till att säkerställa konfidentialitet, integritet, motståndskraft och tillgänglighet av Personuppgifter. Följande åtgärder är av särskild betydelse i detta avseende:

  • Klassificering av Personuppgifter för att säkerställa genomförandet av säkerhetsåtgärder som motsvarar riskbedömning.
  • Utvärdering av användning av kryptering och pseudonymisering som riskreducerande faktorer.
  • Begränsning av tillgång till Personuppgifter till de som behöver behörighet för att fullgöra skyldigheterna i detta Personuppgiftsbiträdesavtal eller Tjänsteavtal.
  • Användande av system som upptäcker, återställer, förhindrar och rapporterar personuppgiftsincidenter.
  • Genomförande av säkerhetsanalyser för att bedöma kvaliteten i nuvarande tekniska och organisatoriska åtgärder för att skydda Personuppgifter, med beaktande av kraven i gällande dataskyddslagstiftning.

Revisionsrättigheter

Personuppgiftsansvarig har rätt att genomföra årlig revision av Personuppgiftsbiträdets uppfyllande av villkoren i Personuppgiftsbiträdesavtalet. Om lagstiftningen kräver det kan Personuppgiftsansvarig begära revisioner oftare. För att begära en revision måste Personuppgiftsansvarig lämna in en detaljerad revisionsplan till Personuppgiftsbiträdet minst fyra veckor före det föreslagna revisionsdatumet med en beskrivning av revisionens omfattning, varaktighet och startdatum. Om tredje part ska utföra revisionen, måste båda Parterna godkänna tredje part. Om Behandlingen sker i en molnbaserad miljö ger Personuppgiftsansvarig Personuppgiftsbiträdet befogenhet, att av säkerhetsskäl, bestämma att revisioner ska utföras av en neutral tredjepartsrevisor som Personuppgiftsbiträdet väljer.

Om det begärda revisionsområdet är upptaget i en ISAE-, ISO- eller liknande granskningsrapport som utförts av en kvalificerad tredjepartsrevisor inom de föregående tolv månaderna, och Personuppgiftsbiträdet bekräftar att det inte finns några kända väsentliga förändringar i de åtgärder som granskats, accepterar Personuppgiftsansvarig denna granskningsrapport istället för att begära en ny revision av åtgärder som redan granskats.

Under alla omständigheter måste revisioner utföras under vanliga öppettider vid den aktuella anläggningen, med förbehåll för Personuppgiftsbiträdets regler, och får inte störa Personuppgiftsbiträdets affärsverksamhet i väsentlig grad.

Personuppgiftsansvarig står för eventuella kostnader som uppstår i samband med begärda revisioner. Hjälp från Personuppgiftsbiträdet som överstiger standardtjänsten som tillhandahålls av Personuppgiftsbiträdet för att följa gällande dataskyddslagstiftning, kommer att debiteras.

Varaktighet och uppsägning

Detta Personuppgiftsbiträdesavtal är giltigt så länge som Personuppgiftsbiträdet Behandlar Personuppgifter på uppdrag av Personuppgiftsansvarig enligt gällande Tjänsteavtal.

När Personuppgiftsbiträdesavtalet upphör kommer Personuppgiftsbiträdet att radera, anonymisera eller återlämna Personuppgifter som Behandlas på uppdrag av Personuppgiftsansvarig, i enlighet med vad som anges i Bilaga A. Om inte annat avtalats skriftligen ska kostnaden för sådana åtgärder baseras på; i) timtaxa för Personuppgiftsbiträdets tid och ii) komplexiteten i den begärda processen.

Personuppgiftsbiträdet kan behålla Personuppgifter efter att Personuppgiftsbiträdesavtalet har upphört, i den utsträckning det krävs enligt lag, med samma typ av tekniska och organisatoriska säkerhetsåtgärder som beskrivs i detta Personuppgiftsbiträdesavtal.

Ändringar och tillägg

Om några villkor i detta Personuppgiftsbiträdesavtal blir ogiltiga, ska detta inte påverka återstående villkor. Parterna ska ersätta eventuella ogiltiga villkor med villkor som återspeglar syftet med ogiltiga villkor.

Ansvar

Till undvikande av missförstånd är Parterna ense om att vardera Parten är skyldig att själv ansvara för och bära sådan administrativ sanktionsavgift som ålagts Parten enligt dataskyddsförordningen. Ansvaret i övrigt för samtliga överträdelser av villkoren i detta Personuppgiftsbiträdesavtal eller åtagande enligt dataskyddsförordningen, ska regleras av ansvarsklausuler i respektive Tjänsteavtal mellan parterna. Detta gäller även för eventuella överträdelser som begåtts av Personuppgiftsbiträdets underleverantörer.

Tillämplig lag och jurisdiktion

Detta Personuppgiftsbiträdesavtal är underkastat tillämplig lag och den jurisdiktion som anges i respektive Tjänsteavtal mellan parterna.


Bilaga A - Kategorier av Personuppgifter och Registrerade m m

1. Kategorier av Registrerade och Personuppgifter som omfattas av Behandling i detta Avtal

a. Kategorier av Registrerade

Kategorier av Registrerade är i första hand Personuppgiftsansvarigs användare, Personuppgiftsansvarigs kontaktpersoner samt av Personuppgiftsansvarigs användare inbjudna personer som ges tillgång till Opic-tjänsten via Gästkonto eller på annat sätt.

b. Kategorier av Personuppgifter m m

Personuppgiftsbiträdet behandlar, på uppdrag av Personuppgiftsansvarig, Personuppgifter som användaren registrerar i Opic-tjänsterna, till exempel e-postadresser som registreras vid delning av upphandlingsannonser och kontaktinformation som registreras i Mercell Opic Leverantörsregister samt Personuppgifter som registreras i fritextfält såsom i delningar av upphandlingsannonser, anteckningar, påminnelser och företagspresentationer i Mercell Opic Leverantörsregister.

Ytterligare Personuppgifter som registreras är bland annat vilka upphandlingsannonser som användaren mottagit i sin bevakning samt aktiviteter som användaren gjort i Opic-tjänsten (såsom vilka upphandlingsannonser en användare läst, vilka dokument som laddats ned m.m.), inklusive mailkommunikation och chattsessioner.

Personuppgifterna Behandlas av Personuppgiftsbiträdet, på uppdrag av Personuppgiftsansvarig, i syfte att kunna ge Personuppgiftsansvarigs användare möjlighet att nyttja tjänstens funktionalitet, samt för att vid behov kunna kommunicera med Personuppgiftsansvarigs användare. Utöver det registrerar Personuppgiftsbiträdet, på uppdrag av Personuppgiftsansvarig, användarens aktiviteter i Opic-tjänsterna och på Personuppgiftsbiträdets webbplatser. Ovan nämnd information utgör också grunden till att Personuppgiftsbiträdet, på uppdrag av Personuppgiftsansvarig, ska kunna förmedla information till Personuppgiftsansvarig och Personuppgiftsansvarigs användare inom ramen för tjänsten. Vidare kan Personuppgiftsbiträdet i supportärenden ta del av användares registrerade aktiviteter för att kunna ge användare stöd i sitt användande av tjänsten samt för att åtgärda eventuella fel i tjänsten.

2. Gallring av Personuppgifter

För det fall Personuppgiftsansvarig säger upp en användarlicens till någon av Opic-tjänsterna (undantaget Mercell Opic Gästkonto) kommer Personuppgiftsbiträdet efter avtalstidens utgång att nedgradera den uppsagda användarlicensen till en gästkonto-licens, innebärande att Personuppgiftsansvarigs användare erhåller ett begränsat gästkonto. När ett gästkonto avslutas eller inaktiveras, raderar eller anonymiserar Personuppgiftsbiträdet de Personuppgifter som är hänförliga till gästkontot.

Loggningar av en användares aktiviteter i Opic-tjänsten raderas 3 år efter att loggen skapades. De anteckningar som en användare gjort i Opic-tjänsten raderas inte, utan anonymiseras i samband med att användarens konto anonymiseras.

3. Återlämnande av Personuppgifter

På Personuppgiftsansvarigs begäran återlämnas Personuppgifter till Personuppgiftsansvarig i ett maskinläsbart format inom 90 dagar från begäran. Personuppgiftsbiträdet debiterar Personuppgiftsansvarig för faktiska kostnader för att ta fram och överlämna ovan nämnda Personuppgifter.


Bilaga B - Översikt över nuvarande underleverantörer

För att kunna tillhandahålla Opic-tjänsterna, använder sig Personuppgiftsbiträdet av följande underbiträden, vilka Behandlar Personuppgifter för Personuppgiftsbiträdets räkning. Angivna underbiträden kan komma att förändras under Personuppgiftsbiträdesavtalets löptid.

Namn Plats Juridisk överföringsmekanism om underbiträdet behandlar personuppgifter utanför EU/EES Hjälper Personuppgiftsbiträdet med
Mercell Norge AS EU/EES N/A Försäljning och support
Visma Labs SIA EU/EES N/A Systemutveckling och support
Visma Lietuva UAB EU/EES N/A Systemutveckling och support
Visma Consulting AB EU/EES N/A Systemutveckling
Visma IT & Communications AS EU/EES N/A Lagring på servrar
Digiplex Norway AS EU/EES N/A Lagring på servrar
Atlassian Corporation Plc EU/EES N/A Programvara för service desk management