Skip to content
DPA

Personuppgiftsbiträdesavtal

Villkoren enligt artikel 28 i GDPR enligt vilka Alpha Analytics s.r.o. behandlar personuppgifter för sina kunders räkning vid tillhandahållandet av tjänsterna på Carsdata.com.

Senast uppdaterad9 juni 2026

Tillämpningsområde och parternas roller

Detta personuppgiftsbiträdesavtal (”DPA”) utgör en del av avtalet mellan kunden (”den Personuppgiftsansvarige”) och Alpha Analytics s.r.o. (”Personuppgiftsbiträdet”) för användningen av tjänsterna på Carsdata.com (”Tjänsterna”). Det reglerar den behandling av personuppgifter som Personuppgiftsbiträdet utför för den Personuppgiftsansvariges räkning och tillämpas närhelst sådan behandling omfattas av förordning (EU) 2016/679 (”GDPR”).

Den Personuppgiftsansvarige bestämmer ändamålen med och medlen för behandlingen av personuppgifter och ansvarar för att denna behandling är laglig. Personuppgiftsbiträdet behandlar personuppgifter endast för den Personuppgiftsansvariges räkning och på dennes dokumenterade instruktioner. Där Personuppgiftsbiträdet bestämmer ändamålen med och medlen för behandling för sin egen verksamhet, agerar det som personuppgiftsansvarig och den behandlingen regleras av integritetspolicyn snarare än av detta DPA.

Vid eventuell konflikt mellan detta DPA och övriga delar av avtalet mellan parterna i fråga om behandlingen av personuppgifter, har detta DPA företräde.

Definitioner

Termer såsom ”personuppgifter”, ”behandling”, ”personuppgiftsansvarig”, ”personuppgiftsbiträde”, ”underbiträde”, ”registrerad”, ”personuppgiftsincident” och ”tillsynsmyndighet” har de betydelser som ges dem i GDPR. Med ”tillämplig dataskyddslagstiftning” avses GDPR och all annan dataskydds- eller integritetslagstiftning som är tillämplig på behandlingen av personuppgifter enligt avtalet.

Behandlingens föremål, varaktighet, art och ändamål

Föremålet för behandlingen är tillhandahållandet av Tjänsterna. Personuppgiftsbiträdet behandlar personuppgifter under avtalets löptid och därefter så länge som krävs för att fullgöra dess rättsliga skyldigheter eller i övrigt enligt vad som anges i detta DPA.

Behandlingens art och ändamål är driften och tillhandahållandet av Tjänsterna till den Personuppgiftsansvarige, inbegripet hosting, lagring, analys och de tekniska åtgärder som är nödvändiga för att göra Tjänsterna tillgängliga. Personuppgiftsbiträdet behandlar de kategorier av personuppgifter och registrerade som den Personuppgiftsansvarige lämnar in till, eller gör tillgängliga genom, Tjänsterna – typiskt sett identifierings- och kontaktuppgifter för den Personuppgiftsansvariges företrädare och behöriga användare, samt alla personuppgifter som ingår i de uppgifter som den Personuppgiftsansvarige väljer att behandla genom Tjänsterna.

Personuppgiftsbiträdets skyldigheter

Personuppgiftsbiträdet åtar sig att:

  • behandla personuppgifter endast på den Personuppgiftsansvariges dokumenterade instruktioner, inbegripet med avseende på överföringar av personuppgifter till ett tredjeland, såvida det inte krävs enligt lag – i vilket fall Personuppgiftsbiträdet kommer att informera den Personuppgiftsansvarige om det rättsliga kravet före behandlingen, såvida inte lagen förbjuder sådan information på viktiga grunder av allmänt intresse;
  • omedelbart informera den Personuppgiftsansvarige om en instruktion enligt dess uppfattning strider mot tillämplig dataskyddslagstiftning;
  • säkerställa att personer som är behöriga att behandla personuppgifter har åtagit sig att iaktta sekretess eller omfattas av en lämplig lagstadgad tystnadsplikt;
  • genomföra och upprätthålla de tekniska och organisatoriska säkerhetsåtgärder som beskrivs i detta DPA;
  • iaktta villkoren för att anlita underbiträden som anges i detta DPA;
  • bistå den Personuppgiftsansvarige, med beaktande av behandlingens art, vid besvarandet av begäranden från registrerade som utövar sina rättigheter;
  • bistå den Personuppgiftsansvarige med att säkerställa att dess skyldigheter avseende säkerhet i behandlingen, anmälan av incidenter, konsekvensbedömningar avseende dataskydd och förhandssamråd fullgörs, med beaktande av behandlingens art och den information som är tillgänglig för Personuppgiftsbiträdet;
  • enligt den Personuppgiftsansvariges val, radera eller återlämna alla personuppgifter efter att tillhandahållandet av Tjänsterna har upphört, och radera befintliga kopior såvida inte lagring krävs enligt lag;
  • ge den Personuppgiftsansvarige tillgång till den information som är nödvändig för att visa att skyldigheterna för ett personuppgiftsbiträde har fullgjorts, och möjliggöra och bidra till granskningar enligt vad som anges i detta DPA.

Den Personuppgiftsansvariges skyldigheter

Den Personuppgiftsansvarige ansvarar för att säkerställa att den har en giltig rättslig grund för behandlingen av personuppgifter genom Tjänsterna, att den har lämnat eventuella meddelanden och inhämtat eventuella samtycken som krävs från registrerade, och att dess instruktioner till Personuppgiftsbiträdet följer tillämplig dataskyddslagstiftning. Den Personuppgiftsansvarige får inte lämna in några personuppgifter genom Tjänsterna som den inte har rätt att behandla.

Sekretess

Personuppgiftsbiträdet behandlar alla personuppgifter som konfidentiella och säkerställer att tillgången är begränsad till den personal som behöver den för att tillhandahålla Tjänsterna. Sådan personal är bunden av skriftliga sekretessförpliktelser och får lämplig utbildning i dataskydd och säkerhet.

Säkerhet i behandlingen

Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt risken för de registrerades rättigheter och friheter, genomför Personuppgiftsbiträdet lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, i enlighet med artikel 32 i GDPR. Dessa åtgärder beskrivs i Säkerhetsöversikten och inbegriper, i tillämpliga fall, kryptering av personuppgifter, förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen, förmågan att återställa tillgänglighet och åtkomst i rimlig tid efter en incident, samt ett förfarande för att regelbundet testa och utvärdera effektiviteten hos dessa åtgärder.

Underbiträden

Den Personuppgiftsansvarige ger Personuppgiftsbiträdet ett allmänt bemyndigande att anlita underbiträden för att stödja tillhandahållandet av Tjänsterna (till exempel leverantörer av molninfrastruktur och lagring). Personuppgiftsbiträdet upprätthåller en aktuell förteckning över underbiträden och informerar den Personuppgiftsansvarige om eventuella planerade förändringar avseende tillägg eller utbyte av underbiträden, och ger den Personuppgiftsansvarige möjlighet att invända på rimliga dataskyddsgrunder.

Personuppgiftsbiträdet ålägger varje underbiträde, genom ett avtal, dataskyddsskyldigheter som inte är mindre skyddande än de som anges i detta DPA, och förblir fullt ansvarigt gentemot den Personuppgiftsansvarige för varje underbiträdes fullgörande av sina skyldigheter.

Bistånd avseende registrerades rättigheter

Med beaktande av behandlingens art bistår Personuppgiftsbiträdet den Personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån det är möjligt, med att fullgöra den Personuppgiftsansvariges skyldighet att besvara begäranden från registrerade som utövar sina rättigheter till tillgång, rättelse, radering, begränsning, portabilitet och invändning. Där Personuppgiftsbiträdet tar emot en begäran direkt från en registrerad kommer det, utan onödigt dröjsmål, att vidarebefordra begäran till den Personuppgiftsansvarige och kommer inte att besvara den självt såvida det inte instrueras att göra det av den Personuppgiftsansvarige.

Anmälan av personuppgiftsincident

Personuppgiftsbiträdet underrättar den Personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått kännedom om en personuppgiftsincident som påverkar personuppgifter som behandlas för den Personuppgiftsansvariges räkning. Underrättelsen innehåller, i den mån det är tillgängligt, en beskrivning av incidentens art, de sannolika konsekvenserna, de åtgärder som vidtagits eller föreslagits för att hantera den, samt en kontaktpunkt för ytterligare information. Personuppgiftsbiträdet bistår den Personuppgiftsansvarige med att fullgöra dennes egna skyldigheter att anmäla incidenter och kommunicera med tillsynsmyndigheter och registrerade.

Konsekvensbedömningar avseende dataskydd

Personuppgiftsbiträdet ger rimligt bistånd till den Personuppgiftsansvarige med eventuella konsekvensbedömningar avseende dataskydd och förhandssamråd med tillsynsmyndigheter som den Personuppgiftsansvarige rimligen anser krävs enligt artikel 35 eller 36 i GDPR, i varje enskilt fall enbart i förhållande till Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning och med beaktande av den information som är tillgänglig för Personuppgiftsbiträdet.

Internationella dataöverföringar

Personuppgiftsbiträdet behandlar och lagrar i första hand personuppgifter inom Europeiska unionen / Europeiska ekonomiska samarbetsområdet. Personuppgiftsbiträdet överför inte personuppgifter till ett land utanför EES som inte omfattas av ett beslut om adekvat skyddsnivå, såvida det inte har infört en lämplig överföringsmekanism som erkänns enligt GDPR, såsom Europeiska kommissionens standardavtalsklausuler, tillsammans med eventuella kompletterande åtgärder som är nödvändiga för att säkerställa en adekvat skyddsnivå.

Granskningar och inspektioner

Personuppgiftsbiträdet ger den Personuppgiftsansvarige tillgång till den information som rimligen är nödvändig för att visa att detta DPA efterlevs och möjliggör och bidrar till granskningar, inbegripet inspektioner, som utförs av den Personuppgiftsansvarige eller en revisor som denne bemyndigat. Granskningar utförs efter rimligt föregående meddelande, under normal kontorstid, högst en gång per år (utom där det krävs av en tillsynsmyndighet eller efter en personuppgiftsincident), och på ett sätt som inte stör Personuppgiftsbiträdets verksamhet eller äventyrar konfidentialiteten hos andra kunders uppgifter. Personuppgiftsbiträdet får tillgodose begäranden om granskning genom att tillhandahålla relevanta tredjepartsgranskningsrapporter eller certifieringar där sådana finns tillgängliga.

Återlämnande och radering av uppgifter

Vid uppsägning eller utgång av Tjänsterna kommer Personuppgiftsbiträdet, enligt den Personuppgiftsansvariges val, att radera eller återlämna alla personuppgifter som behandlas för den Personuppgiftsansvariges räkning och radera befintliga kopior, såvida inte tillämplig lag kräver fortsatt lagring. Standardsäkerhetskopior av systemet raderas i enlighet med Personuppgiftsbiträdets dokumenterade lagringscykel.

Ansvar, löptid och tillämplig lag

Varje parts ansvar enligt detta DPA är föremål för de ansvarsbegränsningar och ansvarsfriskrivningar som anges i avtalet mellan parterna. Detta DPA träder i kraft samma dag som avtalet träder i kraft och förblir i kraft så länge som Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning. Detta DPA regleras av Tjeckiens lag, såvida inte avtalet mellan parterna anger något annat, och utan att det påverkar de tvingande bestämmelserna i GDPR.

För att begära en motsignerad kopia av detta DPA, eller för att diskutera särskilda dataskyddsarrangemang, kontakta oss på info@carsdata.com.

Företagsuppgifter
Alpha Analytics s.r.o.
Säte
Gustav Mahlerplein 2
1082 MA Amsterdam
Nederländerna
Organisationsnummer (IČO)
228 01 154
Handelsregister
Krajský soud v Ústí nad Labem
Ärendenr. C 32406

Har du frågor om detta dokument? Mejla oss på info@carsdata.com.