Detta dokument uppdaterades den 1 maj 2025

Innehåll

Avsnitt 1 - Allmänna användarvillkor

Avsnitt 2 - Avtal om databehandling

Inledning

Dessa villkor ("Avtalet") reglerar din tillgång till och användning av Spriis webbplats och tjänster (gemensamt benämnda "Tjänsten" eller "Sprii"). Genom att få tillgång till eller använda Tjänsten samtycker du till att vara bunden av detta Avtal. Om du har ingått ett separat Master Subscription Agreement (MSA) med Sprii, kommer dess villkor att åsidosätta eventuella motstridiga klausuler häri.

Våra tjänster omfattar följande:

- Shop.Sprii.io (Sprii-hostad utcheckning)

- Sprii.io (webbplatsen)

- App.Sprii.io (webbapplikationen)

- Sprii Onsite (inbäddad spelare med inbyggd kassa)

- Sprii HOST-app (applikation för videostreaming för mobila enheter)

- Marketplace.Sprii.io (marknadsplats för live shopping)

Allmän information

Sprii Aps
Sommervej 31e
8210 Aarhus V
Danmark
VAT ID: DK42084476
Telefon: +4535154033
E-post: hey@sprii.io

Konfidentialitet

Båda parter är överens om att hålla all information som rör varandras affärsverksamhet konfidentiell. Detta inkluderar, men är inte begränsat till, affärshemligheter, affärsplaner, kunddata och annan äganderättsligt skyddad information. Utlämnande av sådan konfidentiell information till tredje part är förbjudet utan föregående skriftligt medgivande, utom när så krävs enligt lag.

Behandling av personuppgifter 

Genom att använda våra tjänster accepterar du vår integritetspolicy och vårt databehandlingsavtal (DPA) som finns på Sprii.io. Användaren är personuppgiftsansvarig för alla personuppgifter som behandlas via tjänsten. Sprii ApS fungerar som personuppgiftsbiträde. Databehandlingsförhållandet styrs av DPA i avsnitt 2.

Avgifter och tjänster

Sprii erbjuder en rad olika abonnemang och en kostnadsfri begränsad provperiod. Vid slutet av en kostnadsfri begränsad provperiod samtycker du till att antingen betala tillämpliga avgifter vid den tidpunkten eller sluta använda tjänsten. 

Alla priser på Sprii anges exklusive moms.

Avgifter vid utcheckning

När användningsavtalet är transaktionsbaserat gäller följande för beräkning av utcheckningsavgifter:

- Transaktionsavgifterna i kassan baseras på en procentandel av intäkterna.

- Transaktionskostnaden kan ses på prenumerationsfliken på Sprii-plattformen

Hur vi beräknar intäkterna

När Sprii Hosted checkout och betalningsintegration används är intäkten det betalda beloppet.

Om Sprii checkout används utan betalningsintegration

Intäkterna kommer att baseras på värdet av varukorgar där utcheckningen nått det sista betalningsfönstret. Det innebär att slutkonsumenten har sett korgen, lagt till personuppgifter och bekräftat handelsvillkoren.

När Webshop integration och webshop checkout används

Transaktionsavgiften baseras på det faktiskt betalda beloppet, men aldrig mer än det belopp som reserverades av kunden via Sprii. Om fler produkter läggs till i korgen under utcheckningen i butiken kommer vi inte att ta ut någon avgift för det belopp som överstiger det belopp som kunden reserverade genom Sprii. Om en produkt eller fler tas bort från korgen och en annan eller fler läggs till i korgen under utcheckningen i webbshoppen, kommer vi fortfarande att lägga till en transaktionsavgift för den nya produkten även om den inte såldes under den Sprii-stödda kampanjen. Vi förbehåller oss rätten att kräva transaktionsavgiften även för denna försäljning, eftersom den initierades på grund av användningen av Sprii, men vi kommer inte att ta ut en avgift för det potentiella belopp som överstiger det belopp som ursprungligen reserverades av kunden genom Sprii-kampanjer.

Om webbshopens integration inte stöder betalningsbekräftelse till Sprii-tjänsten

Vi kommer att uppskatta intäkterna för beräkning av transaktionskostnader. Intäkterna kommer att minskas med 25% av alla kampanjreservationer för de konsumenter som har fått deras länk till kassan och klickat på den. Transaktionsavgiften kommer att baseras på denna uppskattade intäkt.

Avkastning

Transaktionsavgifter återbetalas inte, inte ens vid retur från slutkund. Transaktionsavgiften gäller endast för det första försäljningstillfället.

Frakt

Transaktionsavgifter tas ut på fraktkostnader i följande scenarier:

- Sprii Hosted Checkout används.

Transaktionsavgift - Ledarskapsavgifter

När användningsavtalet är transaktionsbaserat gäller följande för beräkning av lead fees.

Kostnaden för leads kan ses på prenumerationsfliken i Sprii-plattformen. När ingen checkout-funktion används baseras transaktionsavgiften på unika konsumenter som har fått en eller flera länkar/meddelanden per Sprii-kampanj.  

Blanda checkout-produkter och lead-produkter i samma kampanj

• En order som endast innehåller lead-produkter kommer att utlösa en lead-transaktionsavgift. Oavsett hur många meddelanden eller länkar som skickas till den personen.  

• En order som bara innehåller produkter för utcheckning kommer att utlösa en transaktionsavgift för utcheckning om den genomförs.

• En order som bara innehåller kassaprodukter utlöser ingen avgift om ordern inte slutförs.

• En order som innehåller både kassaprodukter och huvudprodukter kommer att utlösa en transaktionsavgift för kassan om ordern slutförs

• En order som innehåller både kassaprodukter och leadprodukter kommer att utlösa en transaktionsavgift för leadprodukter om ordern inte slutförs. Oavsett hur många meddelanden eller länkar som skickas till den personen.

Ytterligare tjänster

Gamification

Om inte fast kostnad har avtalats, kommer användningsavgiften att beräknas enligt nedan:

• Användaravgiften för spelifiering baseras på antalet deltagare per spel. 
• Om en person deltar i ett spel med flera biljetter läggs avgiften bara till en gång.
• Om en person deltar i flera spel i samma evenemang tillkommer avgiften för varje spel.

Sprii Streamable Service

8 timmars inspelad streaming per månad ingår i abonnemangsavgiften. Extra timmar kan läggas till abonnemanget mot en kostnad.

Sprii videospelare på webbplatsen (På plats)

Avtalet kommer att baseras på förväntade timmar av visningstid. Visningstiden är resultatet av "antal tittare" x "streamad tid"

Sprii Marknadsplats

Streaming på Sprii.live (live shopping marketplace) är kostnadsfritt, men transaktioner läggs till försäljningen som alla andra kanaler som används med Sprii.

Sprii Host App

Mobilapplikationen är kostnadsfri, men streamingtiden är begränsad via Sprii Studio enligt beskrivningen ovan.

IT-utveckling

Vid extraordinära önskemål från kunden avseende IT-integrationer, utvecklingsuppdrag och teknisk support, som ligger utanför SPRIIs allmänna kompetens, ska ett separat pris överenskommas mellan parterna för detta.

Ljusintegrationer

Är små integrationer som görs till användarens webbshop. Dessa kan göras till ett överenskommet pris och kommer att testas och bevisas vara funktionella när utvecklingen är klar. Efterföljande ändringar i webbshopens konfiguration kan påverka den utvecklade integrationen, och integrationsjustering kommer att göras till ett extra avtalat pris om så begärs. 

Fakturering och betalning

• Prenumerationer faktureras i förskott.
• Transaktionsbaserade avgifter faktureras månadsvis, baserat på faktisk eller beräknad användning.
• Det är användarens ansvar att hålla betalningsuppgifterna uppdaterade.

Administrativa avgifter

När du skickar en faktura via e-post tillkommer ingen administrationsavgift. 

När betalningsmetoden är kreditkort tillkommer ingen administrationsavgift.

Om en faktura ska begäras via EAN eller papperspost tillkommer en administrationsavgift på 18 euro exklusive moms på fakturan. 

Vid betalning via "Betalingsservice" (en dansk betaltjänst) tillkommer en administrationsavgift på 15 euro exklusive moms.

Om banköverföring begärs som betalningsmetod tillkommer en administrationsavgift på 6 euro exklusive moms på fakturan. 

Villkor för förnyelse

Din prenumeration kommer automatiskt att förnyas i slutet av varje förnyelseperiod. förlänga din åtkomst för ytterligare en förnyelseperiod om den inte sägs upp före avbokningsfristen.

Sista dag för avbokning

Det sista datum då du måste meddela oss om din avsikt att säga upp avtalet för att undvika automatisk förnyelse.

Åtagandeperiod

Den inledande period under vilken din prenumeration är bindande.

Att åtagandet upphör innebär inte att abonnemanget upphör per automatik.

Användarens ansvarsområden

För att registrera dig för Tjänsten måste du slutföra registreringsprocessen genom att förse Sprii med aktuell, fullständig och korrekt information enligt vad som krävs i registreringsformuläret. Du är ensam ansvarig för all användning och alla aktiviteter som sker under ditt konto.

Du är ansvarig för att skydda sekretessen för ditt/dina lösenord och användarnamn och för all användning eller missbruk av ditt konto till följd av att någon tredje part använder ditt lösenord eller användarnamn. Du samtycker till att omedelbart meddela Sprii om obehörig användning av ditt konto eller andra säkerhetsöverträdelser som du känner till. Du samtycker till att låta Sprii använda din organisations logotyp i sin användarlista, på andra ställen på sin webbplats och som en del av en allmän lista över Sprii-användare för användning och hänvisning i företags-, kampanj- och marknadsföringsmaterial.

Använd inte vår tjänst för att bryta mot lagen. Du samtycker till att du inte kommer att bryta mot några lagar i samband med din användning av Tjänsten. Detta inkluderar alla lokala, statliga, federala och internationella lagar som kan gälla för dig. Det är ditt ansvar att skaffa alla tillstånd, licenser eller skatteregistreringar och ha bevis på ägande eller kvitton om så krävs; du får inte använda tjänsten för att lista eller sälja föremål som bryter mot några lagar, inklusive, utan begränsning, de lagar som rör köp, transport och leverans av alkoholhaltiga drycker.

Användaren är skyldig att följa god sed vid användandet av Spriis tjänster. God sed innebär i vid mening att Användaren inte får använda Spriis tjänster för att bryta mot lagen eller på något sätt störa andra företag eller personer. Om Användaren är osäker på om en åtgärd är tillåten, är det Användarens ansvar att kontakta Sprii och begära instruktioner.

Användaren är skyldig att hålla sina stamuppgifter uppdaterade hos Sprii, så att adressuppgifter, kontaktuppgifter och faktureringsuppgifter alltid är giltiga.

Användaren förbinder sig att följa alla tillämpliga lagar och förordningar i samband med Användarens verksamhet och användning av Tjänsten. 

Användaren samtycker även till att Sprii inte utövar någon kontroll över innehållet i den information som Användaren tillhandahåller från Spriis tjänster och att det uteslutande är Användarens ansvar att säkerställa att den data som Användaren skickar och tar emot vid användning av Sprii följer alla tillämpliga lagar och regler.

Användaren måste tillhandahålla villkor och bestämmelser till slutkonsumenten innan betalning av produkter.

Detta kan ställas in för Sprii-kassan eller tillhandahållas i den integrerade webbshopskassan.

Ansvar för ditt innehåll

Du är ensam ansvarig för ditt innehåll. Du intygar att du har alla nödvändiga rättigheter till ditt innehåll och att du inte gör intrång i eller bryter mot någon tredje parts rättigheter genom att publicera det.

Olämpligt, falskt eller vilseledande innehåll. Du samtycker till att inte publicera något innehåll som är kränkande, hotfullt, ärekränkande, obscent, vulgärt eller på annat sätt stötande eller i strid med våra Villkor. Du samtycker också till att inte publicera något innehåll som är falskt, vilseledande eller använder Tjänsten på ett sätt som är bedrägligt eller vilseledande.

Kunden ger Sprii en icke-exklusiv, royaltyfri licens att använda sina immateriella rättigheter i syfte att tillhandahålla tjänster till kunden och för att bygga anonym användningsstatistik för Sprii. Ingen immateriell egendom kommer någonsin att delas med^tredjepart såvida det inte avtalas specifikt från fall till fall.

Immateriella rättigheter

Kunden ger Sprii en icke-exklusiv, royaltyfri licens att använda sina immateriella rättigheter i syfte att tillhandahålla tjänster till kunden och för att bygga anonym användningsstatistik för Sprii. Ingen immateriell egendom kommer någonsin att delas med^tredjepart såvida det inte avtalas specifikt från fall till fall.

Integration till andra marknadsplatser

När du använder våra tjänster kan ditt innehåll och dina erbjudanden göras tillgängliga för andra marknadsplatser. Du kan styra detta alternativ i dina sidinställningar och vid varje kampanjstart på app.Sprii.io

Sprii Rättigheter 

Sprii har rätt att bedöma om Användaren använder Spriis produkter på avsett sätt. Om Användaren överbelastar den tjänst som erbjuds i sådan utsträckning att det på ett olämpligt sätt påverkar Sprii-plattformen, kan Sprii när som helst tillfälligt stänga tillgången till den tjänsten utan föregående meddelande. 

Sprii strävar alltid efter att kontakta Användaren för att justera Användarens förbrukning eller erbjuda Användaren en annan lösning. Om Användaren inte vill justera förbrukningen eller acceptera en alternativ Lösning har Sprii rätt att säga upp Användarens Lösning med en månads uppsägningstid. I de fall Användaren har förskottsbetalat för en period som avbryts av Spriis uppsägning på grund av ovanstående omständigheter, har Användaren rätt till återbetalning av det förskottsbetalda beloppet för den del av förskottsbetalningsperioden under vilken produkten sägs upp.

Om någon av Spriis tjänster t.ex. "kommentarsrobot" används för att skicka olagligt innehåll t.ex. spam, phishing eller liknande förbehåller sig Sprii rätten att tillfälligt stänga tillgången till tjänsterna utan föregående meddelande tills problemet är åtgärdat. Detta gäller även om Användaren inte är medveten om nämnda missbruk eller är direkt ansvarig för det.

Sprii förbehåller sig rätten att säga upp en Användares pågående tjänster vid förnyelsedatumet med 30 dagars skriftligt varsel.

Vid ändringar i lag eller de regler och tillstånd som meddelats med stöd av denna lag, samt vid föreläggande om ändring från myndighet, får Sprii utan föregående meddelande ändra Användarens rättigheter och skyldigheter enligt villkoren, utan att Användaren har rätt till någon ersättning.

Din rätt att säga upp dig om vi förändras för mycket

Sprii kan förbättra, modifiera eller upphöra med delar av Tjänsten, inklusive funktioner, integrationer, prissättning eller villkor. Om vi gör en ändring som väsentligt minskar kärnfunktionaliteten, väsentligt påverkar din användning eller sänker det totala värdet av Tjänsten för dig (en "väsentlig negativ ändring"), har du dock rätt att säga upp din prenumeration utan påföljd.

För att utöva denna rätt måste du meddela oss skriftligen inom 30 dagar från det att du informerats om ändringen. Om du avbryter enligt dessa villkor kommer du att få en proportionell återbetalning för den oanvända delen av din förbetalda prenumeration.

Förändringar anses inte vara "väsentliga negativa förändringar" om de:

• krävs enligt lag eller annan författning,

• Förbättra säkerheten eller dataskyddet,

• Lägg till tillvalsfunktioner eller prestandaförbättringar,

• Påverka beta- eller testfunktioner som du har valt att delta i.

Vi lämnar minst 30 dagars förhandsmeddelande om varje väsentlig negativ förändring, såvida inte brådskande juridiska eller operativa skäl förhindrar detta. Vi kommer att meddela dig via din registrerade e-postadress eller direkt i ditt Sprii-konto.

Ömsesidigt skadestånd

Varje part ("Skadeersättande part") samtycker till att ersätta, försvara och hålla den andra parten ("Skadeersatt part"), inklusive dess dotterbolag, tjänstemän, styrelseledamöter, anställda, ombud och licensgivare, skadeslös från och mot alla anspråk, skulder, skador, förluster, kostnader, utgifter eller avgifter (inklusive rimliga advokatkostnader) som uppstår på grund av:

• Den Skadeersättande Partens brott mot detta avtal eller tillämplig lag.

• Den skadeersättande partens oaktsamhet eller uppsåtliga försummelse.

• Alla anspråk relaterade till intrång i immateriella rättigheter som orsakats av den Skadeslösa partens innehåll eller handlingar.

Skadeståndets omfattning

Skadeståndsskyldigheten ska inte omfatta:

• Indirekta skador, följdskador eller oavsiktliga skador, inklusive men inte begränsat till utebliven vinst, intäkter eller affärsmöjligheter.

• Skador till följd av force majeure-händelser eller åtgärder som ligger utanför den skadeersättande partens rimliga kontroll.

Ansvarsbegränsning

Den skadeersättande partens totala ansvar enligt denna skadeståndsklausul ska inte överstiga de totala avgifter som den skadelösa parten har betalat till den skadeersättande parten enligt detta avtal under de föregående 12 månaderna, såvida inte annat krävs enligt lag.

Ansvarsfriskrivning för garanti

 Tjänsten tillhandahålls "i befintligt skick"

Vår tjänst tillhandahålls "i befintligt skick" utan några garantier av något slag, vare sig uttryckliga eller underförstådda, inklusive, men inte begränsat till, garantier för säljbarhet, lämplighet för ett visst ändamål och icke-intrång. Vi garanterar inte att tjänsten eller webbplatsen kommer att vara felfri, fri från virus eller andra skadliga komponenter, eller att åtkomsten kommer att vara kontinuerlig eller oavbruten. Användningen av tjänsten sker efter eget gottfinnande och på egen risk.

Webbläsare som stöds

Tjänsten är utformad för att användas i webbläsare på digitala enheter, särskilt Google Chrome, Safari, Microsoft Edge och Firefox. Det är användarens ansvar att använda de senaste versionerna av dessa webbläsare.

Avtal om servicenivå (SLA)

Vårt mål för drifttid är 99,5%. Vi kan dock komma att avbryta driften när underhåll eller andra tekniska förhållanden kräver det. Sådana avbrott kommer att meddelas så långt i förväg som möjligt och kommer att äga rum under lågtrafik.

Undantag

SLA gäller inte för:

• Driftstopp till följd av tjänster från tredje part eller API:er som är integrerade i plattformen.

• Problem som orsakas av internetanslutning, kundens hårdvara eller programvara från tredje part.

• Incidenter som beror på felaktig användning av plattformen eller obehöriga ändringar av kunden.

Begränsning av ansvar

Inget ansvar för tjänster från tredje part

Vår programvara integreras med tredjepartstjänster som Facebook, Instagram, webbplatser, webbshoppar, betalningsgateways och fraktleverantörer. Vi kontrollerar inte dessa tjänster från tredje part och ansvarar inte för deras prestanda, tillförlitlighet eller eventuella problem som uppstår vid användning av dem.

Tjänsternas tillgänglighet och datasäkerhet

Även om vi strävar efter att tillhandahålla en hög nivå av tjänstetillgänglighet och har implementerat robusta datasäkerhetsåtgärder, kan oavbruten åtkomst och absolut säkerhet inte garanteras. Vi frånsäger oss allt ansvar för skador eller förluster som uppstår till följd av avbrott i tjänsten, dataintrång eller obehörig åtkomst, utom om de orsakats av vår försumlighet eller underlåtenhet att vidta lämpliga säkerhetsåtgärder. Vi ansvarar inte heller för eventuell påverkan på integrerade tjänster till följd av deras kompatibilitet eller konfiguration. För ytterligare information om hur Sprii hanterar säkerheten för Personuppgifter, se Dataskyddsavtalet.

Uteslutande av indirekta skador och följdskador

Under inga omständigheter ska vi vara ansvariga för indirekta, tillfälliga, följdskador, särskilda eller exemplifierande skador, inklusive men inte begränsat till förlust av vinst, intäkter, data, användning eller rykte, som du eller någon tredje part ådrar sig, oavsett om det är en talan i kontrakt eller skadestånd, som härrör från din tillgång till eller användning av våra tjänster.

Begränsning av direkt ansvar

Vårt totala ansvar gentemot dig för eventuella anspråk som uppstår på grund av eller i samband med dessa villkor eller din användning av tjänsterna, oavsett grund för talan (oavsett om det gäller avtal, skadestånd, garantibrott eller annat), kommer inte att överstiga det belopp som du betalade oss för användningen av tjänsterna under de tolv (12) månader som omedelbart föregick anspråket.

Meddelande om äganderätt

Tjänsten, inklusive allt innehåll i Tjänsten och all underliggande teknik (inklusive alla immateriella rättigheter som ingår däri), är och förblir Spriis enda och exklusiva egendom och skyddas av tillämpliga upphovsrättslagar och annan lagstiftning. Ingen licens till någon underliggande teknik beviljas. Du kommer inte att tillåta någon tredje part att bakåtkompilera och/eller skapa derivat av Tjänsten med hjälp av någon möjlig metod. Du kommer inte, och kommer inte heller att tillåta någon tredje part att modifiera Tjänsten på något sätt. Du kommer endast att använda Tjänsten för kommersiellt bruk och kommer inte att göra Tjänsten tillgänglig för någon typ av extern tjänst såsom, men inte begränsat till, en leverantör av applikationstjänster.

Om du lämnar feedback, idéer eller förslag avseende Tjänsten, står det Sprii fritt att till fullo utnyttja sådan feedback.

Uppsägning

Även om detta Avtal kan upphöra att gälla mellan Tjänsten och dig, ska vissa bestämmelser i detta Avtal fortfarande gälla, inklusive, men inte begränsat till, friskrivning från garantier, skadestånd, ansvarsbegränsningar och äganderätt.

Ett abonnemangsavtal förnyas automatiskt om inte Användaren säger upp Abonnemangsavtalet före uppsägningstidens utgång.

Uppsägning ska ske skriftligen till finance@sprii.io.

Om du säger upp din prenumeration får du ingen återbetalning eller utbyte för oanvänd tid på en prenumeration, licens- eller prenumerationsavgifter för någon del av Tjänsten, något innehåll eller data som är kopplat till ditt konto eller för något annat.

Övrigt

 Sprii ska befrias från att fullgöra sina skyldigheter enligt detta Avtal i den utsträckning som fullgörandet förhindras, försenas eller försvåras av orsaker som ligger utanför Spriis rimliga kontroll. Detta Avtal utgör det fullständiga avtalet mellan dig och Sprii avseende dess innehåll och ersätter alla tidigare uttalanden, avtal och utfästelser mellan parterna.

Du får inte överlåta eller på annat sätt överföra någon av dina rättigheter enligt Avtalet utan Spriis föregående skriftliga medgivande och varje sådant försök är ogiltigt.

Sprii har rätt att överlåta och/eller överföra alla sina rättigheter eller skyldigheter enligt Avtalet till tredje man. Sprii ska underrätta dig om en sådan överlåtelse.

Förhållandet mellan Sprii och dig är inte ett juridiskt partnerskapsförhållande utan ett förhållande mellan oberoende entreprenörer. Detta avtal är bindande för och ska gälla till förmån för parterna, deras efterträdare och uppdragstagare till parterna i detta avtal.

Avskiljbarhet

Om någon bestämmelse i detta avtal av någon anledning inte anses vara verkställbar, ska bestämmelsen ändras i den utsträckning som krävs för att göra den verkställbar i största möjliga utsträckning för att påverka parternas avsikt, och återstoden av detta avtal ska fortsätta att gälla fullt ut.

Ändringar av villkor och bestämmelser

Sprii kan uppdatera eller ändra dessa Villkor från tid till annan för att återspegla förändringar i våra Tjänster, rättsliga krav eller affärspraxis. När vi gör det kommer vi att publicera de uppdaterade Villkoren på vår webbplats och, om ändringarna är väsentliga, meddela dig via e-post eller via din Sprii-panel minst 30 dagar innan de träder i kraft.

Fortsatt användning av Tjänsten efter att de uppdaterade Villkoren trätt i kraft innebär att du accepterar ändringarna. Om du inte samtycker till de reviderade Villkoren har du rätt att sluta använda Tjänsten innan ändringarna blir bindande. I de fall ändringarna väsentligt minskar dina rättigheter eller ökar dina skyldigheter på ett betydande sätt, kan du också utöva din rätt till förtida uppsägning enligt beskrivningen i avsnittet "Din rätt att lämna om vi ändrar för mycket".

Prisförändringar

Våra priser kan ändras över tid.

Vi förbehåller oss rätten att göra detta med 3 månaders varsel före sista avbokningsdag.

Användaren är skyldig att betala det reglerade priset från och med nästkommande förnyelsedatum men kan välja att skriftligen säga upp avtalet enligt gällande uppsägningstider.

Tillämplig lag och domstolens säte

Detta avtal ska regleras av och tolkas enligt lagarna i Danmark och tvister ska omfattas av den exklusiva jurisdiktionen för domstolarna i Århus, Danmark.

För kunder i Storbritannien ska dock detta avtal regleras av och tolkas i enlighet med lagarna i England och Wales, och parterna samtycker till att underkasta sig den exklusiva jurisdiktionen hos domstolarna i England och Wales.

Klagomål

Om du vill lämna in ett klagomål till Sprii kan du göra det genom att skicka ett e-postmeddelande till hey@sprii.io

‍

Avsnitt 2

‍

Avtal om databehandling 

Vid tillämpning av artikel 28.3 i förordning 2016/679 (GDPR) 

mellan

Användare av Sprii Aps tjänster
(den personuppgiftsansvarige)

och

Sprii ApS
Tax ID: DK42084476
Sommervej 31E, 8210 Aarhus V
Danmark

(personuppgiftsbiträdet)

var och en en "part"; tillsammans "parterna

HAR ENATS om följande avtalsklausuler (klausulerna) för att uppfylla kraven i GDPR och för att säkerställa skyddet av den registrerades rättigheter. 

Innehåll

2. Inledning

3. Den personuppgiftsansvariges rättigheter och skyldigheter

4. Personuppgiftsbiträdet agerar i enlighet med instruktioner

5. Konfidentialitet

6. Säkerhet vid behandling

7. Användning av underbiträden

8. Överföring av uppgifter till tredje land eller internationella organisationer

9. Bistånd till den personuppgiftsansvarige

10. Anmälan om personuppgiftsincident

11. Radering och återlämnande av uppgifter

12. Revision och inspektion

13. Parternas överenskommelse om övriga villkor

14. Inledande och avslutande

15. Kontaktpersoner/kontaktpunkter för den personuppgiftsansvarige och personuppgiftsbiträdet 1

Bilaga A Information om behandlingen

Bilaga B Auktoriserade underbiträden

Bilaga C Instruktion avseende användning av personuppgifter

Tillägg D Tillägg för Förenade kungariket  

2. Inledning

1. I dessa avtalsklausuler (klausulerna) anges den personuppgiftsansvariges och personuppgiftsbiträdets rättigheter och skyldigheter vid behandling av personuppgifter för den personuppgiftsansvariges räkning.

2. Klausulerna har utformats för att säkerställa parternas efterlevnad av artikel 28.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

3. Inom ramen för tillhandahållandet av Sprii kommer personuppgiftsbiträdet att behandla personuppgifter för den personuppgiftsansvariges räkning i enlighet med Klausulerna.

4. Klausulerna skall ha företräde framför eventuella liknande bestämmelser i andra avtal mellan parterna.

5. Fyra bilagor är fogade till Klausulerna och utgör en integrerad del av Klausulerna.

6. Bilaga A innehåller uppgifter om behandlingen av personuppgifter, inklusive syftet med och arten av behandlingen, typ av personuppgifter, kategorier av registrerade och behandlingens varaktighet.

7. Bilaga B innehåller den personuppgiftsansvariges villkor för personuppgiftsbiträdets användning av underbiträden och en förteckning över underbiträden som godkänts av den personuppgiftsansvarige.

8. Bilaga C innehåller den personuppgiftsansvariges instruktioner avseende behandling av personuppgifter, de minimisäkerhetsåtgärder som ska vidtas av personuppgiftsbiträdet och hur revisioner av personuppgiftsbiträdet och eventuella underbiträden ska utföras.

9. Klausulerna jämte bilagor ska bevaras skriftligen, inklusive elektroniskt, av båda parter.

10. Klausulerna ska inte befria personuppgiftsbiträdet från skyldigheter som personuppgiftsbiträdet har enligt den allmänna dataskyddsförordningen (GDPR) eller annan lagstiftning.

3. Den personuppgiftsansvariges rättigheter och skyldigheter

1. Den personuppgiftsansvarige ansvarar för att behandlingen av personuppgifter sker i enlighet med dataskyddsförordningen (se artikel 24 i dataskyddsförordningen), EU:s eller medlemsstaternas tillämpliga dataskyddsbestämmelser och klausulerna.

2. Den personuppgiftsansvarige har rätt och skyldighet att fatta beslut om ändamålen med och medlen för behandlingen av personuppgifter.

3. Den personuppgiftsansvarige ska bland annat ansvara för att den behandling av personuppgifter som personuppgiftsbiträdet instrueras att utföra har en rättslig grund. 

4. Personuppgiftsbiträdet agerar i enlighet med instruktioner

1. Personuppgiftsbiträdet ska endast behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvarige, såvida inte detta krävs enligt unionsrätten eller en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas av. Sådana instruktioner ska anges i bilagorna A och C. Efterföljande instruktioner kan också ges av den personuppgiftsansvarige under hela den tid som personuppgifterna behandlas, men sådana instruktioner ska alltid dokumenteras och bevaras skriftligen, inklusive elektroniskt, i samband med klausulerna. 

2. Personuppgiftsbiträdet ska omedelbart informera den personuppgiftsansvarige om instruktioner som ges av den personuppgiftsansvarige enligt personuppgiftsbiträdets uppfattning strider mot GDPR eller tillämpliga EU- eller medlemsstatsbestämmelser om dataskydd.

5. Konfidentialitet

1. Personuppgiftsbiträdet ska endast ge tillgång till de personuppgifter som behandlas för den personuppgiftsansvariges räkning till personer under personuppgiftsbiträdets ledning som har åtagit sig att iaktta sekretess eller som omfattas av en lämplig lagstadgad sekretessförpliktelse, och endast på behovsbasis. Förteckningen över de personer som har beviljats tillgång ska regelbundet ses över. På grundval av denna översyn kan sådan åtkomst till personuppgifter återkallas, om åtkomst inte längre är nödvändig, och personuppgifter ska följaktligen inte längre vara tillgängliga för dessa personer.

2. Personuppgiftsbiträdet ska på begäran av den personuppgiftsansvarige visa att de berörda personerna under personuppgiftsbiträdets ledning omfattas av ovan nämnda sekretess.

6. Säkerhet vid behandling 

1. Enligt artikel 32 i GDPR ska den personuppgiftsansvarige och personuppgiftsbiträdet, med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.

Den personuppgiftsansvarige ska utvärdera de risker för fysiska personers rättigheter och friheter som är förenade med behandlingen och vidta åtgärder för att minska dessa risker. Beroende på deras relevans kan åtgärderna omfatta följande:

a. Pseudonymisering och kryptering av personuppgifter;

b. förmågan att säkerställa fortlöpande konfidentialitet, integritet, tillgänglighet och motståndskraft hos system och tjänster för behandling;

c. förmågan att återställa tillgängligheten till och åtkomsten av personuppgifter i tid i händelse av en fysisk eller teknisk incident;

d. en process för att regelbundet testa, bedöma och utvärdera effektiviteten i de tekniska och organisatoriska åtgärderna för att säkerställa säkerheten i behandlingen.

2. Enligt artikel 32 i GDPR ska personuppgiftsbiträdet också - oberoende av den personuppgiftsansvarige - utvärdera de risker för fysiska personers rättigheter och friheter som är förenade med behandlingen och genomföra åtgärder för att minska dessa risker. För detta ändamål ska den personuppgiftsansvarige förse personuppgiftsbiträdet med all information som är nödvändig för att identifiera och utvärdera sådana risker.

3. Personuppgiftsbiträdet ska vidare bistå den personuppgiftsansvarige med att säkerställa efterlevnaden av den personuppgiftsansvariges skyldigheter enligt artikel 32 i GDPR, bland annat genom att förse den personuppgiftsansvarige med information om de tekniska och organisatoriska åtgärder som personuppgiftsbiträdet redan har genomfört enligt artikel 32 i GDPR samt all annan information som är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter enligt artikel 32 i GDPR.

Om det senare - enligt den personuppgiftsansvariges bedömning - för att minska de identifierade riskerna krävs att personuppgiftsbiträdet vidtar ytterligare åtgärder än de som redan har vidtagits av personuppgiftsbiträdet i enlighet med artikel 32 i GDPR, ska den personuppgiftsansvarige ange dessa ytterligare åtgärder i tillägg C.

7. Användning av underbiträden

1. Personuppgiftsbiträdet ska uppfylla de krav som anges i artikel 28.2 och 28.4 i GDPR för att få anlita ett annat personuppgiftsbiträde (ett underbiträde).

2. Personuppgiftsbiträdet får därför inte anlita ett annat personuppgiftsbiträde (underbiträde) för uppfyllandet av klausulerna utan föregående allmänt skriftligt tillstånd från den personuppgiftsansvarige.

3. Personuppgiftsbiträdet har den personuppgiftsansvariges allmänna tillstånd för anlitande av underbiträden. Personuppgiftsbiträdet ska skriftligen informera den personuppgiftsansvarige om alla planerade ändringar som rör tillägg eller utbyte av underbiträden minst en månad i förväg och därigenom ge den personuppgiftsansvarige möjlighet att invända mot sådana ändringar innan den eller de berörda underbiträdena anlitas. Längre tidsperioder för förhandsmeddelande för specifika underbiträdestjänster kan anges i tillägg B. Förteckningen över de underbiträden som redan har godkänts av den personuppgiftsansvarige finns i tillägg B.

4. Om personuppgiftsbiträdet anlitar ett underbiträde för att utföra specifika behandlingsaktiviteter för den personuppgiftsansvariges räkning, ska samma dataskyddsskyldigheter som anges i klausulerna åläggas detta underbiträde genom ett avtal eller annan rättsakt enligt EU-rätten eller medlemsstaternas nationella rätt, särskilt genom att tillhandahålla tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i klausulerna och dataskyddsförordningen.

Personuppgiftsbiträdet ska därför ansvara för att kräva att underbiträdet åtminstone uppfyller de skyldigheter som personuppgiftsbiträdet omfattas av enligt Klausulerna och GDPR.

5. En kopia av ett sådant underbiträdesavtal och senare ändringar ska - på den personuppgiftsansvariges begäran - lämnas till den personuppgiftsansvarige, vilket ger den personuppgiftsansvarige möjlighet att se till att underbiträdet åläggs samma skyldigheter i fråga om uppgiftsskydd som anges i klausulerna. Klausuler om affärsrelaterade frågor som inte påverkar det rättsliga dataskyddsinnehållet i avtalet med underbiträdet ska inte behöva lämnas till den personuppgiftsansvarige.  

6. Personuppgiftsbiträdet ska avtala om en klausul om tredje parts förmånstagare med underbiträdet, enligt vilken den personuppgiftsansvarige - om personuppgiftsbiträdet går i konkurs - ska vara tredje parts förmånstagare till avtalet med underbiträdet och ska ha rätt att genomdriva avtalet mot det underbiträde som anlitats av personuppgiftsbiträdet, t.ex. genom att göra det möjligt för den personuppgiftsansvarige att instruera underbiträdet att radera eller återlämna personuppgifterna.

7. Om underbiträdet inte fullgör sina skyldigheter i fråga om uppgiftsskydd ska personuppgiftsbiträdet förbli fullt ansvarigt gentemot den personuppgiftsansvarige när det gäller fullgörandet av underbiträdets skyldigheter. Detta påverkar inte de registrerades rättigheter enligt dataskyddsförordningen - särskilt de som anges i artiklarna 79 och 82 i dataskyddsförordningen - gentemot den personuppgiftsansvarige och personuppgiftsbiträdet, inklusive underbiträdet.

8. Överföring av uppgifter till tredje land eller internationella organisationer

1. Personuppgiftsbiträdets eventuella överföring av personuppgifter till tredje land eller internationella organisationer ska endast ske på grundval av dokumenterade instruktioner från den personuppgiftsansvarige och ska alltid ske i enlighet med kapitel V i GDPR. 

2. Om överföringar till tredjeländer eller internationella organisationer, som personuppgiftsbiträdet inte har fått i uppdrag att utföra av den personuppgiftsansvarige, krävs enligt EU-lagstiftning eller medlemsstaternas nationella lagstiftning som personuppgiftsbiträdet omfattas av, ska personuppgiftsbiträdet informera den personuppgiftsansvarige om detta rättsliga krav före behandlingen, såvida inte den lagstiftningen förbjuder sådan information av viktiga skäl som rör allmänintresset.

3. Utan dokumenterade instruktioner från den personuppgiftsansvarige kan personuppgiftsbiträdet därför inte inom ramen för Klausulerna:

a. överföra personuppgifter till en personuppgiftsansvarig eller ett personuppgiftsbiträde i ett tredje land eller i en internationell organisation

b. överföra behandlingen av personuppgifter till en underentreprenör i ett tredjeland 

c. låta personuppgifterna behandlas av personuppgiftsbiträdet i ett tredje land

4. Den personuppgiftsansvariges instruktioner om överföring av personuppgifter till ett tredjeland, inklusive, i tillämpliga fall, det överföringsverktyg enligt kapitel V i GDPR som de grundar sig på, ska anges i tillägg C.6.

5. Klausulerna ska inte förväxlas med standardiserade dataskyddsbestämmelser i den mening som avses i artikel 46.2 c och d i GDPR, och parterna kan inte åberopa Klausulerna som ett överföringsverktyg enligt kapitel V i GDPR.

9. Bistånd till den personuppgiftsansvarige

1. Med beaktande av behandlingens art ska personuppgiftsbiträdet bistå den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, vid fullgörandet av den personuppgiftsansvariges skyldigheter att besvara begäranden om utövande av den registrerades rättigheter enligt kapitel III i GDPR.

Detta innebär att personuppgiftsbiträdet, i den mån det är möjligt, ska bistå den personuppgiftsansvarige i dennes efterlevnad av:

a. rätten att bli informerad när personuppgifter samlas in från den registrerade

b. rätten att bli informerad när personuppgifter inte har erhållits från den registrerade

c. den registrerades rätt till tillgång

d. rätten till rättelse

e. rätten till radering ("rätten att bli bortglömd")

f. rätten till begränsning av behandling

g. underrättelseskyldighet avseende rättelse eller radering av personuppgifter eller begränsning av behandling

h. rätten till dataportabilitet

i. rätten att göra invändningar 

j. rätten att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering

2. Utöver personuppgiftsbiträdets skyldighet att bistå den personuppgiftsansvarige enligt punkt 6.3 ska personuppgiftsbiträdet dessutom, med beaktande av behandlingens art och den information som är tillgänglig för personuppgiftsbiträdet, bistå den personuppgiftsansvarige med att säkerställa efterlevnad av:

a. Den personuppgiftsansvariges skyldighet att utan onödigt dröjsmål och, om det är möjligt, senast 72 timmar efter att ha fått kännedom om den, anmäla personuppgiftsincidenten till den behöriga tillsynsmyndigheten, såvida det inte är osannolikt att personuppgiftsincidenten leder till en risk för fysiska personers fri- och rättigheter;

b. den personuppgiftsansvariges skyldighet att utan onödigt dröjsmål underrätta den registrerade om personuppgiftsincidenten, när personuppgiftsincidenten sannolikt kommer att leda till en hög risk för fysiska personers rättigheter och friheter;

c. den personuppgiftsansvariges skyldighet att göra en bedömning av den planerade behandlingens inverkan på skyddet av personuppgifter (en konsekvensbedömning avseende dataskydd);

d. Den personuppgiftsansvariges skyldighet att samråda med den behöriga tillsynsmyndigheten före behandling om en konsekvensbedömning avseende dataskydd visar att behandlingen skulle medföra en hög risk om den personuppgiftsansvarige inte vidtar åtgärder för att minska risken.

3. Parterna ska i tillägg C fastställa de lämpliga tekniska och organisatoriska åtgärder genom vilka personuppgiftsbiträdet ska bistå den personuppgiftsansvarige samt omfattningen och räckvidden av det bistånd som krävs. Detta gäller för de skyldigheter som anges i punkterna 9.1 och 9.2.

10. Anmälan om personuppgiftsincident

1. Vid en personuppgiftsincident ska personuppgiftsbiträdet, utan onödigt dröjsmål efter att ha fått kännedom om den, underrätta den personuppgiftsansvarige om personuppgiftsincidenten.

2. Personuppgiftsbiträdets anmälan till den personuppgiftsansvarige ska om möjligt ske inom 24 timmar efter det att personuppgiftsbiträdet har fått kännedom om personuppgiftsincidenten för att den personuppgiftsansvarige ska kunna fullgöra sin skyldighet att anmäla personuppgiftsincidenten till den behöriga tillsynsmyndigheten, jfr artikel 33 GDPR.

3. I enlighet med punkt 9.2 a ska personuppgiftsbiträdet bistå den personuppgiftsansvarige med att anmäla personuppgiftsincidenten till den behöriga tillsynsmyndigheten, vilket innebär att personuppgiftsbiträdet ska bistå med att inhämta nedan angivna information som enligt artikel 33.3 GDPR ska anges i den personuppgiftsansvariges anmälan till den behöriga tillsynsmyndigheten:  

a. Personuppgifternas art, inklusive, om möjligt, kategorierna och det ungefärliga antalet berörda registrerade samt kategorierna och det ungefärliga antalet berörda personuppgiftsregister; 

b. de sannolika konsekvenserna av personuppgiftsincidenten;

c. De åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inklusive, om så är lämpligt, åtgärder för att mildra dess eventuella negativa effekter. 

4. Parterna ska i tillägg C fastställa alla de uppgifter som personuppgiftsbiträdet ska tillhandahålla när det bistår den personuppgiftsansvarige med att anmäla en personuppgiftsincident till den behöriga tillsynsmyndigheten.

11. Radering och återlämnande av uppgifter

1. Personuppgiftsbiträdet ska på begäran eller i samband med att tjänsten avslutas radera alla personuppgifter som behandlas för den personuppgiftsansvariges räkning enligt vad som anges i tillägg C.4

12. Revision och inspektion

1. Personuppgiftsbiträdet ska göra all information tillgänglig för den personuppgiftsansvarige som är nödvändig för att visa att de skyldigheter som fastställs i artikel 28 och klausulerna uppfylls och tillåta och bidra till revisioner, inklusive inspektioner, som utförs av den personuppgiftsansvarige eller en annan revisor som utsetts av den personuppgiftsansvarige.

2. De förfaranden som är tillämpliga på den personuppgiftsansvariges revisioner, inklusive inspektioner, av personuppgiftsbiträdet och underbiträdena anges i bilagorna C.7 och C.8.    

3. Personuppgiftsbiträdet ska vara skyldigt att ge de tillsynsmyndigheter som enligt tillämplig lagstiftning har tillgång till den personuppgiftsansvariges och personuppgiftsbiträdets anläggningar, eller företrädare som agerar på uppdrag av sådana tillsynsmyndigheter, tillgång till personuppgiftsbiträdets fysiska anläggningar mot uppvisande av lämplig identifikation. 

13. Parternas överenskommelse om övriga villkor 

1. Parterna får avtala om andra bestämmelser om tillhandahållandet av tjänsten för behandling av personuppgifter, t.ex. om ansvar, så länge de inte direkt eller indirekt strider mot bestämmelserna eller påverkar den registrerades grundläggande fri- och rättigheter eller det skydd som ges genom dataskyddsförordningen.

14. Inledande och avslutande

1. Klausulerna träder i kraft den dag de undertecknas av båda parter.

2. Båda parter skall ha rätt att påkalla omförhandling av Klausulerna om lagändring eller olämplighet av Klausulerna skulle föranleda sådan omförhandling. 

3. Klausulerna ska gälla under hela den tid som tjänsterna för behandling av personuppgifter tillhandahålls. Under den tid som tjänsterna för behandling av personuppgifter tillhandahålls kan Klausulerna inte sägas upp om inte parterna har kommit överens om andra Klausuler som reglerar tillhandahållandet av tjänsterna för behandling av personuppgifter.

4. Om tillhandahållandet av tjänster för behandling av personuppgifter upphör och personuppgifterna raderas eller återlämnas till den personuppgiftsansvarige i enlighet med punkt 11.1 och bilaga C.4, kan klausulerna sägas upp genom skriftligt meddelande från endera parten.

Bilaga A - Information om behandlingen 

A.1. Ändamålet med personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning är

Uppgifterna behandlas med följande syften:

a) För att kunna förmedla försäljning mellan användare av Sprii (personuppgiftsansvarig) och slutkunden

A.2. Personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning ska huvudsakligen avse (behandlingens art):

Allmän användning:

- Skicka länkar till produkter och tjänster som efterfrågas av konsumenterna

- Skicka meddelanden till konsumenter som har gett sitt samtycke

- Spåra vinnare och deltagare i tävlingar

Om Sprii Hosted Checkout används:

- Orderhantering och kommunikation härom

A.3. Behandlingen omfattar följande typer av personuppgifter:

Allmänna personuppgifter som behandlas:

- Namn på plattformsprofil (t.ex. Facebook, Instagram)

Om Sprii Hosted Checkout används:

- Namn

- E-postadress

- Telefonnummer

- Adress

All personlig information behandlas konfidentiellt.

A.4. Behandlingen omfattar följande kategorier av registrerade:

Information behandlas om följande kategorier av registrerade personer:

a) Slutanvändare som interagerar i Sprii-assisterade aktiviteter som utförs av den personuppgiftsansvarige. 

A.5. Personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning får utföras när Klausulerna börjar gälla. Behandlingen har följande varaktighet:

Detta avtal gäller så länge som Sprii ApS behandlar personuppgifter för den personuppgiftsansvariges räkning i enlighet med parternas separata avtal om system, tjänster, betalning etc. När tjänsterna som rör behandling av personuppgifter har avslutats kommer Sprii på begäran av den personuppgiftsansvarige att anonymisera alla personuppgifter som har behandlats för den personuppgiftsansvariges räkning och bekräfta för den personuppgiftsansvarige att informationen har anonymiserats, såvida inte EU-lagstiftningen eller medlemsstaternas nationella lagstiftning föreskriver lagring av personuppgifterna. 

Bilaga B - Auktoriserade underbiträden

B.1. Godkända underbiträden

När klausulerna börjar gälla godkänner den personuppgiftsansvarige att följande underbiträden anlitas:

1. Namn: Google Firebase, Alphabeat Inc.

Adress till: Huvudkontor: 1600 Amphitheatre Parkway Mountain View, CA 94043 (huvudkontor)

Servar utförda av Sprii: St. Ghislain, Belgien.

Beskrivning av bearbetning:

Firebase är en plattform för utveckling av mobil- och webbapplikationer. Spriis programvara och databas är hostade av Google Firebase. Behandlingen omfattar behandling av inköpsdata, produkter och kommentarsdata från plattformar.

Firebase villkor för databehandling och säkerhet finns här:

https://firebase.google.com/terms/data-processing-terms

2. 

Namn: Elasticsearch

Adress: Huvudkontoret Huvudkontor: 8000 West El Camino Real, Suite 350, Mountain View, CA Förenta staterna (huvudkontor)

Servrar som används av Sprii: Frankfurt, Tyskland.

Beskrivning av bearbetning:

Elasticsearch är en sökmotor som gör det möjligt att göra effektiva sökningar i stora datamängder. Den används till exempel för att hitta alla beställningar som rör en specifik kund. ElasticSearch har servrar i Frankfurt, Tyskland, som Sprii använder.

Behandlingen omfattar hantering av kundorder och produkter.

https://www.elastic.co/legal/product-privacy-statement

Den personuppgiftsansvarige ska när klausulerna börjar tillämpas ge tillstånd till att ovannämnda underbiträden används för den behandling som beskrivs för den parten. Personuppgiftsbiträdet ska inte ha rätt att - utan den personuppgiftsansvariges uttryckliga skriftliga tillstånd - anlita ett underbiträde för en "annan" behandling än den som har avtalats eller låta ett annat underbiträde utföra den beskrivna behandlingen.

Bilaga C - Instruktion avseende användning av personuppgifter 

C.1. Föremålet för/instruktionen för behandlingen

Personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning ska utföras genom att personuppgiftsbiträdet utför följande:

Allmän användning:

Personuppgiftsbiträdet samlar in plattformens användarnamn på slutanvändaren samt vilka varor slutkunden har begärt/beställt/köpt.

Om Sprii Hosted Checkout används:

Personuppgiftsbiträdet samlar in allmänna personuppgifter (namn, adress, e-post och telefonnummer) om slutanvändaren samt vilka varor slutkunden har begärt/beställt/köpt.

C.2. Säkerhet vid behandling

Säkerhetsnivån måste återspegla en rimlig och lämplig säkerhetsnivå måste fastställas.

Personuppgiftsbiträdet har då rätt och skyldighet att fatta beslut om vilka tekniska och organisatoriska säkerhetsåtgärder som måste användas för att skapa den nödvändiga säkerhetsnivån kring informationen.

Behandlingen omfattar personuppgifter, varför Personuppgiftsbiträdet måste vidta följande åtgärder:

Tekniska åtgärder:

- Relevant antivirusskydd finns på plats och används

- Tvåfaktorsvalidering för inloggning i system där så är möjligt

- Säkerhetskopiering av system som behandlar personuppgifter

Organisatoriska åtgärder:

- Alla medarbetare utbildas i skydd av personuppgifter

- Instruktionerna för de anställda uppdateras och ses över minst en gång om året

- Medarbetarinstruktionerna gås alltid igenom med nyanställda i samband med anställning

- Alla medarbetare är skyldiga att iaktta sekretess under och efter anställningen

- Åtkomst och inloggning är rollbaserad eller personbaserad, och personal och system har inte tillgång till mer än vad som är nödvändigt för att utföra sina uppgifter

Fysiska åtgärder:

- Arbetslokaler och kontor skyddas av lämpliga tillträdeskontroller för att säkerställa att endast behörig personal har tillträde

- Alla fysiska medier (papper, USB-minnen etc.) förstörs på ett ansvarsfullt sätt om de har använts för att lagra personuppgifter

Personuppgiftsbiträdet har rätt att fatta ytterligare beslut om nödvändiga tekniska och organisatoriska säkerhetsåtgärder som ska genomföras för att säkerställa en lämplig säkerhetsnivå avseende personuppgifterna

Sprii ApS och dess behandling av personuppgifter kan helt eller delvis ske genom att använda hemarbetsplatser, som alla uppfyller de säkerhetskrav som omfattas av detta databehandlingsavtal.

C.3. Bistånd till den personuppgiftsansvarige

Personuppgiftsbiträdet ska i möjligaste mån - inom rimlig omfattning - bistå den personuppgiftsansvarige i enlighet med bestämmelserna 9.1 och 9.2 genom att vidta de tekniska och organisatoriska åtgärder som anges under C.2.

Personuppgiftsbiträdet ska, med beaktande av behandlingens art, i möjligaste mån bistå den personuppgiftsansvarige med hjälp av de nämnda lämpliga tekniska och organisatoriska åtgärderna för att fullgöra den personuppgiftsansvariges skyldighet att besvara förfrågningar om utövande av de registrerades rättigheter.

C.4. Lagringsperiod/förfaranden för utplåning 

Personuppgifterna lagras av personuppgiftsbiträdet under följande tidsperioder:

• Kampanjinteraktioner - Personuppgifter anonymiseras 2 år efter den senaste interaktionen.

• Prenumerationslistor - Personuppgifter anonymiseras 2 år senast från utträdesdatum.

• Innehållet i kommentarer i allmänhet sparas i 30 dagar och raderas den ³⁰:e dagen.  

När tjänsterna avseende behandling av personuppgifter har avslutats ska personuppgiftsbiträdet på begäran av den personuppgiftsansvarige anonymisera eller radera alla personuppgifter som har behandlats för den personuppgiftsansvariges räkning och bekräfta för den personuppgiftsansvarige att informationen har anonymiserats eller raderats, såvida inte EU-lagstiftningen eller medlemsstaternas nationella lagstiftning föreskriver lagring av personuppgifterna.  

Om inget begärs av den personuppgiftsansvarige kommer personuppgifterna att anonymiseras efter 2 år.

C.5. Plats för bearbetning

Behandling av de personuppgifter som omfattas av Föreskrifterna får inte utan den personuppgiftsansvariges föregående skriftliga godkännande ske på andra platser än följande:

- Sprii ApS (CVR 42084476), Søvej 46, 2791 Dragør, Danmark

- Sprii ApS (CVR 42084476), Sommervej 31E, 8210 Aarhus V, Danmark

- Medarbetarnas hemarbetsplatser, som alla uppfyller de säkerhetskrav som omfattas av detta personuppgiftsbiträdesavtal

Underdatabehandlarnas placering framgår av punkt B.1.

C.6. Instruktion om överföring av personuppgifter till tredje land 

Om den personuppgiftsansvarige inte i dessa föreskrifter eller senare ger en dokumenterad instruktion om överföring av personuppgifter till ett tredje land, har personuppgiftsbiträdet inte rätt att utföra sådana överföringar inom ramen för dessa föreskrifter.

C.7. Förfaranden för den personuppgiftsansvariges revisioner, inklusive inspektioner, av den behandling av personuppgifter som utförs av personuppgiftsbiträdet

Personuppgiftsbiträdet ska på begäran av den personuppgiftsansvarige och på den personuppgiftsansvariges bekostnad inhämta ett revisionsutlåtande eller en inspektionsrapport från en oberoende tredje part avseende personuppgiftsbiträdets efterlevnad av dataskyddsförordningen, dataskyddsbestämmelser i annan EU-rätt eller medlemsstaternas nationella rätt samt dessa Föreskrifter.

Revisionsberättelsen/inspektionsrapporten översänds utan onödigt dröjsmål till den registeransvarige för kännedom. Den personuppgiftsansvarige kan bestrida ramen för och/eller metoden i revisionsberättelsen/inspektionsrapporten och kan i sådana fall begära en ny revisionsberättelse/inspektionsrapport under en annan ram och/eller med en annan metod.

På grundval av resultaten har den personuppgiftsansvarige rätt att begära att ytterligare åtgärder vidtas för att säkerställa efterlevnad av dataskyddsförordningen, dataskyddsbestämmelser i annan EU-lagstiftning eller medlemsstaternas nationella lagstiftning och dessa föreskrifter.

Den personuppgiftsansvarige eller en företrädare för den personuppgiftsansvarige har också tillgång till att utföra inspektioner, inklusive fysiska inspektioner, av de platser från vilka personuppgiftsbiträdet behandlar personuppgifter, inklusive fysiska platser och system som används för eller i samband med behandlingen. Sådana inspektioner kan genomföras när den personuppgiftsansvarige anser att det är nödvändigt. Bedömningen måste baseras på fakta och inte på känsla. Fysisk inspektion kräver förhandsöverenskommelse med personuppgiftsbiträdet och med ett förhandsmeddelande på 4 veckor, så att personuppgiftsbiträdet är förberett på att kunna avsätta nödvändiga resurser för detta.

Den personuppgiftsansvariges eventuella kostnader i samband med en fysisk inspektion ska bäras av den personuppgiftsansvarige själv. Personuppgiftsbiträdet är dock skyldigt att avsätta de resurser (främst tid) som krävs för att den personuppgiftsansvarige ska kunna utföra sin inspektion.

Personuppgiftsbiträdet samtycker till att delta i den personuppgiftsansvariges årliga skriftliga revision.

C.8. Förfaranden för revisioner, inklusive inspektioner, av den behandling av personuppgifter som utförs av underbiträden

Som personuppgiftsbiträde uppdaterar vi oss om våra underbiträdens säkerhetspolicyer för att säkerställa att underbiträdena alltid vidtar nödvändiga säkerhetsåtgärder. Detta innebär att vi årligen samlar in information om de organisatoriska och tekniska säkerhetsåtgärderna hos våra underbiträden. De underordnade personuppgiftsbiträdena nämns i punkt B.1.

Eventuella kostnader som personuppgiftsbiträdet och underpersonuppgiftsbiträdet ådrar sig i samband med en revision av underpersonuppgiftsbiträdets lokaler är den personuppgiftsansvariges ansvar.

Bilaga D - Tillägg för Uniked Kingdom

Detta UK-specifika tillägg ("UK-tillägget") ingås av parterna och utgör en del av databehandlingsavtalet ("DPA") mellan den UK-baserade personuppgiftsansvarige och Sprii ApS. Detta tillägg för Storbritannien säkerställer efterlevnad av den brittiska allmänna dataskyddsförordningen ("UK GDPR") och dataskyddslagen 2018 ("DPA 2018").

D.1. Omfattning och tillämpning
Detta tillägg gäller när personuppgiftsbiträdet behandlar personuppgifter som omfattas av Storbritanniens GDPR och DPA 2018, utöver EU:s GDPR.

‍
D.2. Tillsynsmyndighet
För registrerade som är baserade i Storbritannien är den relevanta tillsynsmyndigheten det brittiska informationskommissariatet (ICO).
‍

D.3. UK Data Transfers
- All överföring av personuppgifter från Storbritannien till ett tredje land måste följa kapitel V i den brittiska dataskyddsförordningen.
- Om standardavtalsklausuler (SCC) enligt EU:s dataskyddsförordning används måste tillägget **UK International Data Transfer Addendum** införlivas.
- Överföringar från Storbritannien till EU anses för närvarande vara adekvata enligt brittisk lag, såvida inte ändringar sker i lagstiftningen.
‍

D.4. Anmälan om dataintrång
- Om ett dataintrång berör registrerade i Storbritannien ska personuppgiftsbiträdet meddela den personuppgiftsansvarige i enlighet med GDPR i Storbritannien.
- Den personuppgiftsansvarige måste bedöma om han eller hon ska meddela den brittiska tillsynsmyndigheten Information Commissioner's Office (ICO).
‍

D.5. Underbehandling i Storbritannien
- Om personuppgiftsbiträdet anlitar ett underbiträde för behandling av personuppgifter i Storbritannien måste underbiträdet följa brittiska GDPR-standarder.
- Underbiträden som är belägna utanför Storbritannien måste tillämpa det brittiska tillägget för internationell dataöverföring, där så krävs.
‍

D.6. Gällande lag
- Detta tillägg för Storbritannien ska styras av och tolkas i enlighet med lagarna i **England och Wales

‍