Produkter

SurveyMonkey är byggt för att hantera alla slags användningsområden och behov. Utforska vår produkt och ta reda på hur SurveyMonkey kan vara till nytta för dig.

Få datadrivna insikter från en global ledare inom webbenkäter.

Integrera med mer än 100 appar och plugin-program och få mer gjort.

Skapa och anpassa onlineformulär för att samla in information och ta emot betalningar.

Skapa bättre enkäter och hitta insikter snabbt med inbyggd AI.

Skräddarsydda lösningar för dina marknadsundersökningsbehov.

Mallar

Mät kundernas nöjdhet och lojalitet med ditt företag.

Ta reda på vad som gör kunderna nöjda och omvandla dem till förespråkare.

Få fram användbara insikter för att förbättra användarupplevelsen.

Samla in kontaktuppgifter från potentiella kunder, inbjudna med flera.

Samla enkelt in och följ upp OSA till nästa evenemang.

Ta reda på vad de medverkande vill ha, så att du kan förbättra nästa evenemang.

Upptäck vad det är som engagerar personalen och leder till bättre resultat.

Hämta in synpunkter från deltagarna så att du kan genomföra bättre möten.

Använd feedback från kollegor till att förbättra de anställdas arbete.

Ta fram bättre kurser och förbättra undervisningsmetoder.

Ta reda på vilket betyg studenterna ger kursens innehåll och hur den hölls.

Ta reda på vad kunderna tycker om era nya produktidéer.

Resurser

De bästa sätten att använda enkäter och enkätdata på.

Vår blogg om enkäter, tips för företag och mycket mer.

Självstudier och guider om hur du kan använda SurveyMonkey.

Så här skapar ledande varumärken tillväxt med SurveyMonkey.

Kontakta försäljningsteametLogga in
Kontakta försäljningsteametLogga in

63% of people consider a company's privacy and security history before using their products or services.

Legal sidebar stats

Ladda ned en kopia av SurveyMonkeys DPA för kunder här.

Standardavtalsklausuler

Vi har utformat denna DPA så att alla möjliga kombinationer av standardavtalsklausuler (SCCs) omfattas. Alla kanske inte gäller för dig. För ytterligare klarhet:  

  • Om du är en kund baserad i EU eller Storbritannien behöver du inte standardavtalsklausuler, eftersom ditt kontrakt är med SurveyMonkeys irländska enhet, och standardavtalsklausuler inte behövs mellan enheter i EU och Storbritannien.
  • Om du är en Kund baserad i USA och anser dig själv vara personuppgiftsansvarig gäller Avsnitt 9.2(a) för dig. Du är personuppgiftsansvarig och uppgiftsutförare och SurveyMonkey är personuppgiftsbiträde och uppgiftsinförare. SCC Modul 2 gäller för ditt kontrakt. 
  • Om du är en Kund baserad i USA och anser dig själv vara personuppgiftsansvarig gäller Avsnitt 9.2(a) för dig. Du är personuppgiftsansvarig och uppgiftsutförare och SurveyMonkey är personuppgiftsbiträde och uppgiftsinförare. SCC Modul 2 gäller för ditt kontrakt. 
  • Om du inte är baserad i USA, EU eller Storbritannien men väljer att använda vår EU-datalagring, gäller Avsnitt 9.2(c) för dig. Du är personuppgiftsansvarig och uppgiftsutförare och SurveyMonkey är personuppgiftsbiträde och uppgiftsinförare. SCC Modul 2 gäller för ditt kontrakt. 
  • Om du inte befinner dig i USA, EU eller Storbritannien och inte använder vår datalagring i EU, krävs inga standardavtalsklausuler eftersom personuppgifterna överförs till SurveyMonkey Europe UC (i Irland). Ingen överföringsmekanism krävs för överföringar till EU.

Detta SurveyMonkey-avtal för databehandling (“DPA”) ingår i ditt Avtal med SurveyMonkey och innehåller vissa termer relaterade till dataskydd, integritet och säkerhet i enlighet med Dataskyddslagstiftningen, i tillämpliga fall. I händelse av en konflikt (och enbart i denna utsträckning) mellan olika Dataskyddslagstiftningar och förordningar, skall parterna uppfylla det strängare kravet eller den högre standarden vilket vid en eventuell tvist i detta hänseende, ska avgöras enbart av SurveyMonkey.

Detta DPA är upprättat mellan Kunden och tillämplig enhet på SurveyMonkey som fastställs på följande vis: 

(i) för Kunder som är belägna i något annat land än USA ska SurveyMonkey Europe UC vara den avtalsslutande enheten, 

(ii)  för Kunder belägna i USA ska SurveyMonkey Inc. vara den avtalsslutande enheten. 

Detta är den senaste versionen av DPA (daterat 15 februari 2024). 

I detta DPA ska, om inte annat följer av sammanhanget, följande uttryck ha följande betydelser: 

Avtal” avser ett avtal mellan SurveyMonkey Inc. eller SurveyMonkey Europe och en kund beträffande Tjänsterna. Ett sådant avtal kan ha olika titlar, t.ex. “Beställningsformulär”, “Säljorder”, “Användarvillkor” eller “Huvudavtal  för  tjänster”. 

Artikel 28” innebär artikel 28 i dataskyddsförordningen (GDPR) och UK GDPR och gäller vid behandling av Kundpersonuppgifter. 

Kunden” eller ”du” avser den kund som identifieras i och/eller är en part i Avtalet. 

Kunddata” avser alla data (inklusive men inte begränsat till Kundpersonuppgifter) som tillhandahålls till SurveyMonkey av Kunden eller å Kundens vägnar genom Kundens användning av Tjänsterna och data som tredje parter skickar till Kunden via Tjänsterna. 

Kundpersonuppgifter” avser alla personuppgifter som skickas till Tjänsterna av eller till en Kund, som behandlas av SurveyMonkey i syfte att leverera Tjänsterna till Kunden, inklusive men inte begränsat till de personuppgifter som beskrivs i Bilaga 2 i denna DPA. 

Dataskyddslagstiftning”betyder alla obligatoriska dataskydds- eller integritetslagar som är direkt tillämpliga på SurveyMonkey i dess egenskap som personuppgiftsbiträde eller tjänsteleverantör (i förekommande fall) i samband med behandlingen av Personuppgifter enligt Avtalet, inklusive: 
(i) allmänna dataskyddsförordningen (förordning (EU) 2016/679))(”GDPR”) och alla andra tillämpliga lagar och förordningar i medlemsstater i EU, EES eller på EU:s inre marknad eller eventuell uppdatering, tillägg eller ersättning av densamma som gäller behandling av personuppgifter under Avtalet,

(ii) den schweiziska federala lagen om dataskydd (”nFADP”),

(iii) alla amerikanska lagar och bestämmelser som gäller  behandling av personuppgifter under Avtalet inklusive men inte begränsat till California Consumer Privacy Act of 2018 (Cal. Civ. Code §§ 1798.100 - 1798.199)("CCPA"); 

(iv) alla lagar och föreskrifter som gäller behandling av personuppgifter enligt Avtalet som från tid till annan finns i Storbritannien (inklusive UK GDPR); och

(v) Personal Information Protection and Electronic Documents Act ("PIPEDA") eller eventuell uppdatering, tillägg eller ersättning av densamma som gäller bearbetning av personuppgifter i Kanada.

Termerna "personuppgiftsansvarig”, "konsekvensbedömning avseende uppgiftsskydd", “behandling”, “behandla”, “personuppgiftsbiträde”, "tillsynsmyndighet" har samma innebörd som i dataskyddsförordningen eller UK GDPR.

De engelska termerna som motsvarar ”Företag”, ”Affärsändamål”, ”Kommersiella syften”, ”Personuppgifter”, ”Tjänsteleverantör”, ”Sälja” och ”Dela” har de betydelser som definieras i CCPA. 

SurveyMonkey” eller ”oss” avser, i samband med kunder i USA, SurveyMonkey Inc. och, i samband med kunder utanför USA, SurveyMonkey Europe. 

SurveyMonkey Europe” avser SurveyMonkey Europe UC, ett irländskt bolag, med säte på 2 Shelbourne Buildings, Second Floor, Shelbourne Road, Dublin 4, Irland. 

SurveyMonkey Inc.” avser SurveyMonkey Inc., ett Delaware-bolag med säte på One Curiosity Way, San Mateo, CA 94403, USA.  

SurveyMonkey sekretessmeddelande” avser SurveyMonkeys Sekretessmeddelande på https://sv.surveymonkey.com/mp/legal/privacy/.

Personuppgifter” innebär information relaterad till en levande person som skäligen kan identifieras via information, antingen separat eller tillsammans med annan information (”den registrerade”).

Tjänster” avser tjänsterna som beställs av Kunden från SurveyMonkey under Avtalet. 

SCC:erna” innebär ”Standardavtalsklausulerna” som är bifogade till Europakommissionens beslut daterat: i) 4 juni 2021 om standardavtalsklausuler för överföring av personuppgifter till tredje land enligt dataskyddsförordningen eller ii) (fram till att SurveyMonkey har ingått i Standardavtalsklausulerna som beskrivs i i)) 5 februari 2010 för överföring av Kundpersonuppgifter till personuppgiftsbiträden baserade i tredje land enligt direktiv 95/46/EG. Där nFADP gäller ska alla hänvisningar som görs i SCC:erna tolkas som motsvarande hänvisningar till nFADP. Alla termer som används i detta sammanhang ska därför få definitionen som tillhandahålls i nFADP.

Storbritanniens tillägg" innebär (i) tillägget som utfärdades av brittiska ICO (informationskommissionären) och lades fram för Storbritanniens parlament i enlighet med avsnitt 119A i UK Data Protection Act 2018 den 2 februari 2022, i dess från tid till annan ändrade form enligt avsnitt 18 i de Obligatoriska klausulerna. Där tillägget som refereras i denna definition innebär dokumentet med namnet: International Data Transfer Addendum to the EU Commission Standard Contractual, version B1.0, som trädde i kraft 21 mars 2022; eller (ii) (fram till att SurveyMonkey har ingått i tillägget för Storbritannien som beskrivs i (i)), Europakommissionens beslut från 5 februari 2010 för överföring av kunders personuppgifter till personuppgiftsbiträden baserade i tredje land enligt direktiv 95/46/EG.

"UK GDPR" innebär EU:s GDPR som utgör en del av lagarna i England och Wales, Skottland och Nordirland enligt avsnitt 3 i European Union (Withdrawal) Act 2018 och i dess ändrade form av Data Protection, Privacy and Electronic Communications (tillägg etc.) (EU Exit) Regulation 2019 respektive 2020 och lagstiftning som gäller i Storbritannien från tid till annan som i ett senare skede ändrar eller ersätter UK GDPR.

Vid tillhandahållandet av Tjänsterna till Kunden är SurveyMonkey ett personuppgiftsbiträde med avseende på Kundpersonuppgifter i den mening som avses i dataskyddsförordningen. Med hänsyn till CCPA, där det är tillämpligt, är SurveyMonkey och Kunden härmed överens om att SurveyMonkey är en Tjänsteleverantör och Kunden är Företaget när det gäller Personuppgifter.

Detta DPA ska gälla tills Avtalet sägs upp (i enlighet med dess villkor) eller löper ut. 

Kunden ska försäkra sig om att den har rätt att överföra Kunddata till SurveyMonkey, och utfäster härmed att sådan rätt finns, så att SurveyMonkey lagligen kan behandla och överföra dessa Personuppgifter i enlighet med detta DPA.        . Kunden ska se till att alla relevanta registrerade personer har underrättats beträffande sådan användning, behandling och överföring i enlighet med kraven i Dataskyddslagstiftningen och att lagliga samtycken har erhållits (i tillämpliga fall).     . Kunden ska se till att all behandling eller överföring av Personuppgifter till SurveyMonkey sker på lagligt och korrekt sätt. Kunden kommer att följa all tillämplig Dataskyddslagstiftning.

När SurveyMonkey behandlar Kundpersonuppgifter åt Kunden i egenskap av personuppgiftsbiträde kommer SurveyMonkey att:

(a) enbart att göra det enligt dokumenterade Kundinstruktioner och i enlighet med Dataskyddslagstiftningen, inklusive med hänsyn till överföringar av Kundpersonuppgifter till andra jurisdiktioner eller en internationell organisation, och parterna samtycket till att Avtalet utgör sådana dokumenterade instruktioner från Kunden till SurveyMonkey för behandling av Kundpersonuppgifter (inklusive till platser utanför EES) tillsammans med andra rimliga instruktioner som tillhandahålls av Kunden till SurveyMonkey (t.ex. via e-post) om sådana instruktioner är förenliga med Avtalet; 

(b) se till att all SurveyMonkey-personal som är involverad i behandlingen av Kundpersonuppgifter omfattas av sekretesskrav i fråga om Personuppgifterna; 

(c) tillhandahålla information som är nödvändig för att Kunden ska kunna visa att den uppfyller sina skyldigheter enligt artikel 28 (eller liknande krav i dataskyddslagstiftningen om den är tillämplig på Kunden), om sådan information innehas av SurveyMonkey och inte på annat sätt är tillgänglig för Kunden via konto- och användarområden eller på SurveyMonkeys webbplatser, förutsatt att kunden ger SurveyMonkey ett skriftligt meddelande om en sådan begäran om information med minst 14 dagars varsel;

(d) samarbeta i enlighet med vad Kunden rimligen begär för att göra det möjligt för Kunden att uppfylla alla krav beträffande registrerad persons utövande av rättigheter som följer av Dataskyddslagstiftningen med hänsyn till Personuppgifter som behandlas av SurveyMonkey vid tillhandahållandet av Tjänsterna; 

(e) på Kundens begäran bistå vid förfrågningar som kommer direkt från en registrerad person med avseende på dennes personuppgifter som lämnats in via Tjänsterna,

(f) inte behålla Kundpersonuppgifter från ditt konto efter att du har raderat dem, annat än för att följa tillämpliga lagar och förordningar samt på det sätt som de i övrigt kan sparas i rutinmässiga säkerhetskopior som görs för katastrofåterställning och kontinuitet i enlighet med vår datalagringspolicy.; 

(g) samarbeta med en tillsynsmyndighet eller ett organ som ersätter eller efterträder sådan myndighet från tid till annan (eller, i den mån Kunden kräver det, med en annan tillsynsmyndighet för dataskydd eller integritetsskydd i enlighet med Dataskyddslagstiftningen) vid utförandet av en sådan tillsynsmyndighets uppgifter när så krävs; 

(h) bistå Kunden på det sätt som skäligen krävs när Kunden: 

(i) genomför en konsekvensbedömning av dataskyddet för Tjänsterna (vilket kan inbegripa tillhandahållande av dokumentation så att kunden kan utföra sin egen bedömning), eller

(ii) är skyldig att anmäla en Säkerhetsincident (enligt definitionen nedan) till en tillsynsmyndighet eller en relevant Registrerad person.

(i) inte Sälja eller Dela några Personuppgifter

(j) inte samla in, lagra, använda, lämna ut eller på annat sätt behandla Personuppgifter utom för följande specifika Affärsmässiga och Kommersiella syften: (1) för att tillhandahålla våra Tjänster enligt beskrivningen i detta Avtal; (2) för att förbättra våra befintliga tjänster och utveckla nya tjänster (till exempel genom att utföra undersökningar för att ta fram nya produkter eller funktioner); (3) av driftskäl, både för egen räkning och för våra leverantörers och integrationspartners räkning; (4) att säkerställa säkerhet och integritet i den utsträckning som användningen av den registrerades personuppgifter är rimligen nödvändig och proportionerlig för dessa ändamål; (5) felsöka för att identifiera och åtgärda fel som påverkar befintlig avsedd funktionalitet; (6) för kortvarig tillfällig användning, som att anpassa innehåll som vi eller våra leverantörer visar i tjänsterna; and (7) för andra användningsområden som vi meddelar dig om enligt vad som tillåts enligt Dataskyddslagstiftningen;

(k) inte behålla, använda, kombinera eller lämna ut de Personuppgifter som samlats in i enlighet med Avtalet utanför den direkta affärsrelationen mellan SurveyMonkey och Kunden, såvida det inte uttryckligen tillåts av CCPA,  

(l) om det krävs enligt Dataskyddslagstiftningen, att underrätta Kunden om det kommer till SurveyMonkeys kännedom att instruktioner som mottagits från Kunden bryter mot bestämmelserna i Dataskyddslagstiftningen. Utan hinder av föregående har SurveyMonkey ingen skyldighet att övervaka eller granska lagligheten av instruktioner som mottagits från Kunden. Om SurveyMonkey konstaterar att det inte längre kan uppfylla sina skyldigheter enligt CCPA, kommer SurveyMonkey att informera Kunden, och

(m) intygar SurveyMonkey att företaget förstår de begränsningar och skyldigheter som anges i detta DPA och all tillämplig Dataskyddslagstiftning och att det kommer att följa dem. 

6.1 Behandling av underentreprenörer. Behandling av underentreprenörer. Kunden ger SurveyMonkey ett allmänt tillstånd att anlita vidare underentreprenörer, under förutsättning att kraven i detta Avsnitt 6 uppfylls.

6.2 Underentreprenörslista. SurveyMonkey kommer, med förbehåll för sekretessbestämmelserna i Avtalet eller andra krav från SurveyMonkey, att:

(a) göra en lista tillgänglig för Kunden, med SurveyMonkeys underentreprenörer som är inblandade i behandling av Kundpersonuppgifter i samband med tillhandahållande av Tjänsterna (”Underentreprenörer”), tillsammans med en beskrivning av typen av tjänster som tillhandahålls av varje Underentreprenör (”Underentreprenörslista”). En kopia av denna Underentreprenörslista kan begäras här; 

(b) säkerställa att alla Underentreprenörer på Underentreprenörslistan är bundna av avtalsvillkor som i alla väsentliga avseenden inte är mindre stränga än de villkor som finns i detta DPA, och 

(c) vara ansvarigt för sina Underentreprenörers handlingar och försummelser i samma utsträckning som SurveyMonkey skulle vara ansvarigt om de utförde varje Underentreprenörs tjänst direkt i enlighet med villkoren i detta DPA, utom i de fall då annat anges i Avtalet. 

6.3 Nya/Ersättande underentreprenörer.  SurveyMonkey kommer skriftligen att informera Kunden om nya eller ersatta underentreprenörer närhelst detta inträffar under avtalstiden ("Meddelande om ny underentreprenör”). Kunden kommer att registrera sig på en e-postlista som görs tillgänglig av SurveyMonkey här, genom vilken sådana meddelanden kommer att levereras via e-post eller alternativt kommer att kontrollera uppdateringar av listan här. Om Kunden har en välgrundad anledning att invända mot SurveyMonkeys användning av en ny Underentreprenör ska Kunden skriftligen meddela SurveyMonkey utan dröjsmål och i samtliga fall inom 30 dagar efter mottagande av Meddelande om ny Underentreprenör. I händelse av sådan välgrundad anledning kan antingen Kunden eller SurveyMonkey säga upp den del av ett avtal som relaterar till Tjänsterna som inte skäligen kan tillhandahållas utan den nya Underentreprenör som kunden har invändningar mot (vilket efter SurveyMonkeys gottfinnande och val, kan involvera uppsägning av hela Avtalet) med omedelbar verkan genom att skriftligt meddela den andra parten. En sådan uppsägning inkluderar inte rätt till återbetalning av eventuella avgifter som Kunden har betalat i förskott för perioden efter uppsägningen.

7.1 Säkerhetsåtgärder. SurveyMonkey har, med hänsyn till den senaste tekniken, kostnaden för genomförandet och Tjänsternas art, omfattning, sammanhang och ändamål samt risknivån, genomfört lämpliga tekniska och organisatoriska åtgärder (i enlighet med Bilaga 1) för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken för obehörig eller olaglig behandling, oavsiktlig förlust av och/eller skada på Kunddata      . Med rimliga intervall testar och utvärderar SurveyMonkey effektiviteten hos dessa tekniska och organisatoriska åtgärder för att säkerställa att behandlingen sker på säkert sätt      .

7.2 Meddelande om Säkerhetsincidenter och överträdelser. Om SurveyMonkey får kännedom om obehörig eller olaglig åtkomst till, eller förvärv, ändring, användning, avslöjande eller förstörelse av Kundpersonuppgifter (“Säkerhetsincident”), kommer SurveyMonkey att vidta rimliga åtgärder för att utan onödigt dröjsmål underrätta Kunden. En Säkerhetsincident omfattar inte misslyckade försök eller aktiviteter som inte äventyrar Personuppgifternas säkerhet, inklusive misslyckade inloggningsförsök, pings, portskanningar, överbelastningsattacker eller andra nätverksattacker mot brandväggar eller nätverkssystem. Ett eventuellt meddelande till Kunden beträffande en Säkerhetsincident innebär inte att SurveyMonkey accepterar något ansvar.

7.3 SurveyMonkey kommer också att på ett rimligt sätt samarbeta med Kunden i samband med eventuella utredningar som rör en Säkerhetsincident, förbereda alla nödvändiga meddelanden och tillhandahålla all information som rimligen begärs av Kunden i samband med en Säkerhetsincident. 

8.1 Revisioner. När SurveyMonkey behandlar Kundpersonuppgifter (enbart) i egenskap av personuppgiftsbiträde, kommer Kunden att ge SurveyMonkey minst en månads skriftligt förhandsbesked beträffande eventuell revision, vilken kan utföras av Kunden eller en oberoende revisor som utsetts av Kunden (under förutsättning att ingen person som utför revisionen är eller agerar på uppdrag av en konkurrent till SurveyMonkey.) (”Revisor”). Revisionens omfattning är följande:

(a) Kunden har endast rätt att utföra en revision en gång per abonnemangsår om inte en tillsynsmyndighet med etablerad auktoritet över Kunden kräver att den utför eller underlättar utförandet av mer än 1 revision under samma år (under dessa omständigheter kommer Kunden och SurveyMonkey att, före sådan eventuell revision, komma överens om en rimlig ersättningsnivå för SurveyMonkeys revisionskostnader).

(b) SurveyMonkey samtycker till att, med förbehåll för lämpliga och rimliga sekretessbegränsningar, tillhandahålla bevis för alla certifieringar och standarder för efterlevnad som företaget upprätthåller och kommer på begäran att göra en sammanfattning av SurveyMonkeys senaste årliga penetrationstester tillgänglig för kunden, vilken sammanfattning ska omfatta korrigerande åtgärder som SurveyMonkey vidtagit till följd av sådana penetrationstester. 

(c) En revision kommer att begränsas till SurveyMonkeys system, processer och dokumentation som är relevanta för behandling och skydd av Kundpersonuppgifter, och Revisorerna kommer att genomföra revisioner med förbehåll för eventuella lämpliga och rimliga sekretessbegränsningar som SurveyMonkey begär.

(d) Kunden ska omedelbart underrätta SurveyMonkey och konfidentiellt förse SurveyMonkey med fullständig information om eventuella brister i efterlevnad eller säkerhetsproblem som upptäcks i samband med en revision.

8.2 Parterna samtycker till att, om inte annat krävs, enligt beslut eller annat bindande dekret från en tillsynsmyndighet eller reglerande myndighet som har auktoritet över Kunden, så innehåller detta Avsnitt 8 hela omfattningen av Kundens revisionsrättigheter gentemot SurveyMonkey.

9.1 I den utsträckning det är tillämpligt, för överföring av Kundpersonuppgifter från Europeiska ekonomiska samarbetsområdet ("EES"), Schweiz eller Storbritannien till platser utanför EES, Schweiz och Storbritannien (antingen direkt eller via vidare överföring) som inte har tillräckligt dataskydd såsom fastställts av Europakommissionen eller relevant Dataskyddslagstiftning, förlitar SurveyMonkey sig på:

(a) SCCs; och

(b) för överföringar som lyder under UK GDPR, Storbritanniens tillägg; eller

(c) andra lämpliga skyddsåtgärder, eller normer (i tillämplig begränsad utsträckning),som specificeras eller tillåts enligt Dataskyddslagstiftningen. 

9.2 Där det krävs ingår parterna härmed i standardavtalsklausulerna (en kopia av dessa finns att tillgå här) och Storbritanniens tillägg (Bilaga 3). Standardavtalsklausulerna infogas i detta Avtal genom hänvisning och ska gälla enligt följande: 

(a) där Kunden har ett avtal med SurveyMonkey Inc. i USA enligt Avtalet för tjänster och är personuppgiftsansvarig för Kundpersonuppgifter och genom användning av Tjänsterna överför dessa Kundpersonuppgifter från EES till platser som inte anses tillhandahålla tillräckligt skydd av personuppgifter enligt Europakommissionen, ingår SurveyMonkey i SCCs som uppgiftsinförare och Kunden ingår i SCCs som uppgiftsutförare och endast Modul två av SCCs gäller; och/eller

(b) där Kunden har ett avtal med SurveyMonkey Inc. i USA enligt Avtalet för tjänster och är personuppgiftsbiträde för Kundpersonuppgifter och genom användning av Tjänsterna överför dessa Kundpersonuppgifter från EES till platser som inte anses tillhandahålla tillräckligt skydd av Personuppgifter enligt Europakommissionen, ingår SurveyMonkey i SCCs som uppgiftsinförare och Kunden ingår i SCCs som uppgiftsutförare och endast Modul tre av SCCs gäller; och/eller

(c) där Kunden inte är bosatt i EES och har ett avtal med SurveyMonkey Europe UC för att lagra Kundpersonuppgifter inom EES enligt Avtalet och är personuppgiftsansvarig för Kundpersonuppgifter och genom användning av Tjänsterna överför dessa Personuppgifter från EES till platser som inte anses tillhandahålla tillräckligt skydd av Personuppgifter enligt Europakommissionen, ingår SurveyMonkey i SCCs som uppgiftsutförare och Kunden ingår i SCCs som uppgiftsinförare och endast Modul fyra av SCCs gäller; och

(d) i Klausul 7 gäller den valfria dockningsklausulen;

(d) i Klausul 11 gäller inte det valfria språket;

(f) i Klausul 17 ska SCCs regleras av irländsk lag;

(g) i Klausul 18 ska tvister lösas vid domstol i Irland; och

(h) Bilaga I och II av SCCs ska anses vara fullständiga med informationen som framställs i Avtalet och detaljerna som tillhandahålls i bilagorna till denna DPA.

9.3 För överföringar som skyddas av nFADP ska standardavtalsklausulerna gälla i enlighet med Avsnitt 9.2 ovan, förutom att: 

(a) eventuella hänvisningar i SCC:erna till DSF ska tolkas som hänvisningar till nFADP,  

(b) eventuella hänvisningar till ”EU”, ”Union” och ”Medlemsstaternas lagstiftning” ska tolkas som hänvisningar till Schweiz och schweizisk lag; och  

(c ) eventuella hänvisningar till "behörig tillsynsmyndighet" och "behöriga domstolar" ska tolkas som hänvisningar till relevanta dataskyddsorgan och domstolar i Schweiz, såvida inte SCC:erna, implementerade enligt ovanstående beskrivning, inte kan användas för att lagligt överföra sådana Kundpersonuppgifter i enlighet med nFADP. I sådana fall ska de schweiziska SCC:erna istället infogas genom hänvisning och utgöra en integrerad del av denna DPA och ska gälla för sådana överföringar. När det gäller de schweiziska SCC:erna ska de relevanta Bilagorna i de schweiziska SCC:erna fyllas i med användning av den information som finns i Bilaga I och II i denna DPA (i tillämpliga fall) och de tolkningsbestämmelser som beskrivs i detta Avsnitt 9.3 ska gälla (i tillämpliga fall och enligt vad som krävs för att uppfylla kraven i nFADP).

9.4 Vid skriftlig begäran och i enlighet med bestämmelserna i Standardavtalsklausulerna eller Storbritanniens tillägg (i tillämpliga fall) ska SurveyMonkey tillhandahålla kopior av standardavtalsklausulerna eller Storbritanniens tillägg som ingår i avtalet till uppgiftsinförare, i sin kapacitet som personuppgiftsbiträde till Kunden.

10.1 Ansvar för datahantering. Varje Parts totala ansvar för alla eventuella anspråk, oavsett om det rör sig om avtalsbrott, skadestånd (inklusive vårdslöshet), brott mot lagstadgad skyldighet eller annat som uppstår till följd av eller i samband med detta DPA, ska vara det som anges i Avtalet, såvida inte parterna skriftligen har avtalat om något annat.

10.2 Konflikt. I händelse av konflikt eller tvetydighet mellan: (i) villkoren i detta DPA och villkoren i Avtalet, med avseende på föremålet för detta DPA, ska villkoren i detta DPA ha företräde, (ii) villkoren i eventuell bestämmelse i detta DPA och eventuell bestämmelse i standardavtalsklausulerna, ska bestämmelsen i standardavtalsklausulerna ha företräde.

10.3. Oberoende behandling. Kunden är ensam ansvarig för sin egen efterlevnad av Dataskyddslagstiftning när det gäller eventuell oberoende insamling och behandling av personuppgifter som inte är relaterad till Tjänsterna. Kunden kommer att tillhandahålla sina egna tydliga sekretessmeddelanden som på ett korrekt sätt beskriver hur de gör detta och SurveyMonkey tar inte ansvar för någon hantering av personuppgifter av Kunden i dessa omständigheter. Kunden håller härmed SurveyMonkey fullständigt skadeslöst för alla eventuella anspråk eller ansvar som kan uppkomma som resultat av sådan insamling och användning av personuppgifter av dem i dessa omständigheter.

10.4 Hela avtalet. Avtalet (som innefattar detta DPA) och eventuella beställningsformulär utgör hela avtalet mellan parterna och ersätter alla eventuella tidigare eller samtidiga avtal eller villkor, både skriftliga och muntliga, som rör ämnet. Var och en av parterna bekräftar att de inte har förlitat sig på några framställningar som inte finns med i Avtalet och som har föranlett dem att ingå Avtalet.

10.5 Särskiljande. Om någon del av denna DPA anses vara ogenomförbar av en behörig domstol skall denna del bedömas vara särskiljbar från resten av villkoren, som ska förbli giltiga fullt ut. Ingenting i denna DPA syftar till, eller ska avses, utgöra något partnerskap eller samriskverksamhet mellan någon av parterna, och ger inte heller någon part rätt att ingå åtaganden för eller på någon annan parts vägnar förutom vad som uttryckligen anges här.

10.6 Elektronisk kopia. DPA levereras som ett elektroniskt dokument.

10.7 Tillämplig lag. Detta DPA lyder under gällande lagar i Irland och parterna underkastar sig de irländska domstolarnas exklusiva jurisdiktion (i samband med alla avtalsrättsliga och utomobligatoriska tvister), utom när det gäller påstådda överträdelser eller överträdelser av nuvarande eller framtida integritetslagar, regleringar, standarder, tillsynsvägledning och riktlinjer för självreglering på delstatsnivå eller federal nivå i USA, i vilket fall Kaliforniens lagar ska gälla, såvida inte annat föreskrivs i lag.

Beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna som implementeras av SurveyMonkey 

SurveyMonkey kommer att upprätthålla lämpliga administrativa, fysiska och tekniska skyddsmekanismer (“Skyddsmekanismer”) för att skydda säkerheten, konfidentialiteten och integriteten hos de Personuppgifter som tillhandahålls för tillhandahållandet av tjänsterna till Kunden. 

Skyddsmekanismerna innefattar följande: 

(a) Domän: Organisation för informationssäkerhet.

(i) Säkerhetsroller och ansvarsområden. SurveyMonkeys personal som har tillgång till uppgifter omfattas av sekretesskrav.

(ii) Riskhanteringsprogram. SurveyMonkey gör vid behov en riskbedömning innan uppgifterna behandlas.

(b) Domän: Resursförvaltning

(i) Resurshantering.

(1) SurveyMonkey har upprättade rutiner för bortskaffande av tryckt material som innehåller Kunddata.

(2) SurveyMonkey upprätthåller en inventering av all hårdvara på vilken Kunddata lagras.

(3) SurveyMonkey klassificerar Personuppgifterna som behandlas för Kunden för att hjälpa till att identifiera dem och för att göra det möjligt att begränsa åtkomsten till dem på lämpligt sätt (t.ex. genom användarnamn, lösenord och kryptering). 

(c) Domän: Personalresurser Säkerhet.

(i) Säkerhetsutbildning.

(1) SurveyMonkey underrättar sin personal angående relevanta säkerhetsförfaranden och deras respektive roller. SurveyMonkey underrättar även sin personal angående möjliga konsekvenser av att bryta mot säkerhetsreglerna och förfarandena.

(d) Domän: Fysisk och miljömässig säkerhet.

(i) Fysisk tillgång till Anläggningar. SurveyMonkey begränsar tillgången till anläggningar med informationssystem som behandlar Kunddata till identifierade behöriga personer.

(ii) Skydd mot störningar. SurveyMonkey använder flera olika industristandardsystem för att skydda mot förlust av data på grund av strömavbrott eller störningar.

(iii) Bortskaffande av komponenter. SurveyMonkey använder industristandardprocesser för att radera Kunddata när de inte längre behövs.

(e) Domän: Kommunikation och operativ förvaltning. 

(i) Operativ policy. SurveyMonkey upprätthåller säkerhetsdokument som beskriver dess säkerhetsåtgärder och relevanta förfaranden och ansvarsområden för den personal som har tillgång till Kunddata. 

(ii) Förfaranden för dataåterställning. 

(1) SurveyMonkey skapar regelbundet och fortlöpande säkerhetskopior av Kunddata ifrån vilka Kunddata kan återställas i händelse av förlust av den primära kopian. 

(2) SurveyMonkey lagrar kopior av Kunddata och förfaranden för dataåterställning på en annan plats än där den primära datorutrustningen som behandlar Kunddata är placerad. 

(3) SurveyMonkey har särskilda förfaranden som reglerar tillgången till kopior av Kunduppgifterna. 

(iii) Skadliga program. SurveyMonkey har skydd mot skadlig programvara för att undvika att skadlig programvara får obehörig tillgång till Kunddata, inklusive skadlig programvara som kommer från offentliga nätverk.

(iv) Data bortom gränser. 

(1) SurveyMonkey krypterar Kunddata som överförs via offentliga nätverk. 

(v) Händelseloggning.

(1) SurveyMonkey loggar användningen av dess databehandlingssystem. 

(2) SurveyMonkey loggar åtkomst och användning av informationssystem som innehåller Kunddata och registrerar åtkomst-ID, tidsstämpel och viss relevant aktivitet.

(f) Domän: Incidenthantering för informationssäkerhet

(i) Förfarande för incidenthantering. 

(1) SurveyMonkey upprätthåller en plan för hantering av incidenter.  

(2) SurveyMonkey upprätthåller ett register över säkerhetsöverträdelser med en beskrivning av överträdelsen, tidsperioden, konsekvenserna av överträdelsen, namnet på den som rapporterade överträdelsen och till vem överträdelsen rapporterades, samt eventuella åtgärder för att åtgärda överträdelsen, i tillämpliga fall.

(g) Domän: Hantering av verksamhetskontinuitet.

(i) SurveyMonkeys redundanta lagring och dess förfaranden för att återställa data är utformade för att försöka rekonstruera Kunddata i dess ursprungliga skick från före den tidpunkt då de förlorades eller förstördes.   

(h) Åtkomstkontroll till Behandlingsområden.  Processer för att förhindra att obehöriga personer får tillgång till datahanteringsutrustning (nämligen telefoner, databas- och applikationsservrar och tillhörande hårdvara) där Kundpersonuppgifter hanteras eller används, som inkluderar: 

(i) upprättande av säkra områden; 

(ii) skydd och begränsning av åtkomstsökvägar,

(iii) skydd av mobiltelefonerna,  

(iv) datahanteringsutrustning och persondatorer,

(v) all åtkomst till de datacenter där Kundpersonuppgifter lagras loggas, övervakas och spåras,  

(vi) datacenter där Kundpersonuppgifter lagras skyddas av ett larmsystem och andra lämpliga säkerhetsåtgärder, och 

(vii) anläggningen är utformad för att motstå ogynnsamma väderförhållanden och andra rimligen förutsägbara naturförhållanden, är säkrad med vakter dygnet runt, nyckelkort och/eller biometrisk åtkomst (beroende på risknivå), screening och eskortkontrollerad åtkomst, och har också stöd av reservgeneratorer på plats i händelse av strömavbrott.

(i) Åtkomstkontroll till datahanteringssystem. Processer för att förhindra att databehandlingssystem används av obehöriga personer, bland annat följande:  

(i) identifiering av terminalen och/eller terminalanvändaren för datahanteringssystemen, 

(ii) automatisk timeout av användarterminal efter 30 minuter eller mindre om den inte används, identifiering och lösenord krävs för att öppna igen,

(iii) utfärda och skydda identifieringskoder,  

(iv) krav på lösenordets komplexitet (minimilängd, lösenord som löper ut osv.), och

(v) skydd mot extern åtkomst med hjälp av en brandvägg av industriell standard.  

(j) Åtkomstkontroll för användning av särskilda områden i datahanteringssystem. Åtgärder för att säkerställa att personer som har rätt att använda datahanteringssystem endast kan få tillgång till uppgifterna inom ramen för och i den omfattning som indikeras av deras respektive åtkomsttillstånd (behörighet) och att Kundpersonuppgifter inte kan läsas, kopieras, ändras eller tas bort utan behörighet, bland annat genom:

(i) införande av bindande personalpolicyer och tillhandahålla utbildning om varje anställds åtkomsträttigheter till Kundpersonuppgifter,

(ii) effektiva och väl avvägda disciplinära åtgärder mot personer som obehörigt får tillgång till Kundpersonuppgifter, 

(iii) utlämnande av uppgifter enbart till behöriga personer, 

(iv) tillämpning av principer om minst privilegierad åtkomst till information som innehåller Kundpersonuppgifter, strikt på grundval av ett behov av att veta kraven,

(v) hantering av produktionsnätverk och dataåtkomst som styrs av VPN, tvåfaktorsautentisering och rollbaserade åtkomstkontroller,

(vi) logginformation från program- och infrastruktursystem till en centralt hanterad loggfunktion för felsökning, säkerhetsgranskning och analys, och 

(vii) policyer som styr lagring av säkerhetskopior som är förenliga med tillämplig lagstiftning och som är lämpliga med hänsyn till karaktären hos uppgifterna i fråga och motsvarande risk.

(k) Överföringskontroll. Förfaranden för att förhindra att Kundpersonuppgifter läses, kopieras, ändras eller raderas av obehöriga parter under överföringen av dem eller under transporten av datamedierna och för att säkerställa att det är möjligt att kontrollera och fastställa till vilka organ överföringen av Kundpersonuppgifter med hjälp av dataöverföringsanläggningar är planerad, vilket omfattar följande: 

(i) användning av brandväggar och krypteringsteknik för att skydda de gateways och pipelines genom vilka data transporteras,

(ii) implementering av VPN-anslutningar för att skydda anslutningen till det interna företagsnätverket,

(iii) ständig övervakning av infrastrukturen (t.ex. ICMP-Ping på nätverksnivå, undersökning av diskutrymme på systemnivå, lyckad leverans av specificerade testsidor på applikationsnivå), och

(iv) övervakning av att överföringen av uppgifter är fullständig och korrekt (kontroll från slutpunkt till slutpunkt). 

(l) Lagringskontroll. När du lagrar Kundpersonuppgifter: de kommer att säkerhetskopieras som en del av en särskild säkerhetskopierings- och återställningsprocess i krypterad form med hjälp av en krypteringslösning med kommersiellt stöd, och alla uppgifter som definieras som Kundpersonuppgifter och som lagras på bärbara datorer eller bärbara lagringsmedier krypteras på samma sätt. Krypteringslösningar kommer att användas med minst en 128-bitars nyckel för symmetrisk kryptering och en 1024-bitars (eller större) nyckellängd för asymmetrisk kryptering,

(m) Inmatningskontroll. Åtgärder för att säkerställa att det är möjligt att kontrollera och fastställa om och av vem Kundpersonuppgifter har förts in i datahanteringssystem eller tagits bort, bland annat följande:

(i) autentisering av behörig personal,

(ii) skyddsåtgärder för de uppgifter som lagras i minnet samt för läsning, ändring och radering av lagrade uppgifter,

(iii) användning av användarkoder (lösenord),

(iv) bevis som upprättats inom dataimportörens organisation angående inmatningsbehörigheten, och

(v) se till att ingångarna till datahanteringsanläggningarna (rummen med datorutrustning och tillhörande utrustning) är låsta.

(n) Tillgänglighetskontroll. Åtgärder för att se till att Kundpersonuppgifter skyddas mot oavsiktlig förstörelse eller förlust, inklusive redundans i infrastrukturen och regelbunden säkerhetskopiering av databasservrar. 

(o) Segregering av behandling. Förfaranden för att säkerställa att uppgifter som samlats in för olika ändamål kan behandlas separat, bland annat följande:

(i) separera data genom programsäkerhet för lämpliga användare,

(ii) lagra data på databasnivå i olika tabeller, separerade enligt den modul eller funktion som de stöder,

(iii) utforma gränssnitt, batchprocesser och rapporter enbart för specifika ändamål och funktioner, så att uppgifter som samlas in för specifika ändamål behandlas separat, och

(iv) hindra att realtidsdata används i testsyfte, eftersom endast simulerade data som genererats i testsyfte får användas för detta ändamål.

(p) Program för hantering av säkerhetsrisker. Ett program för att se till att systemen regelbundet kontrolleras för sårbarheter och att eventuella sårbarheter som upptäcks omedelbart åtgärdas, bland annat följande:

(i) alla nätverk, inklusive test- och produktionsmiljöer, skannas regelbundet, och 

(ii) penetreringstester genomförs regelbundet och sårbarheter åtgärdas omgående.

(q) Datadestruktion. Om Avtalet löper ut eller sägs upp av någondera parten eller på begäran av Kunden efter att ha mottagit en begäran från en registrerad person eller ett tillsynsorgan: 

(i) ska alla Kunduppgifter förstöras på ett säkert sätt inom 3 månader, och

(ii) alla Kunddata ska rensas från alla lagringsenheter tillhörande SurveyMonkey och/eller tredje part, inklusive säkerhetskopior, inom sex månader efter uppsägning eller mottagande av en begäran från Kunden, såvida inte SurveyMonkey enligt lag är skyldigt att behålla en kategori av uppgifter under längre tid. SurveyMonkey kommer att se till att alla sådana uppgifter som inte längre behövs förstörs på en nivå där det kan garanteras att de inte längre kan återställas.

(r) Standarder och certifieringar. Datalagringslösningar och/eller lagringsplatser har minst SOC 1 (SSAE 16) eller SOC 2-rapporter – likvärdiga eller liknande certifieringar eller säkerhetsnivåer kommer att granskas från fall till fall.

(s) Kontroll på plats. När anställda och underleverantörer (i förekommande fall) befinner sig i Kundens lokaler ska de följa alla rimliga regler, föreskrifter, praxis och rutiner (inklusive, men inte begränsat till, säkerhetsrelaterade arrangemang) som generellt föreskrivs av Kunden och endast använda Kundens egendom för de ändamål som anges i ett avtal och kommer att återlämna all sådan egendom till Kunden när de tillämpliga Tjänsterna har slutförts.

(t) Strategi för datakvalitet. SurveyMonkey implementerar en datakvalitetsstrategi som är utformad för att upprätthålla datakvaliteten på en lämplig standard och korrigerar data när vi får kännedom om inkorrekt eller ofullständigt inbyggt dataskydd.  SurveyMonkey upprätthåller krypteringar för vissa produktionsdata och ändringsloggar för domändata så att vi kan övervaka och spåra ändringar.  Vi har processer på plats för att användare ska kunna korrigera eller dra tillbaka behandlingen av sina personuppgifter och även för att korrigera dataproblem i systemet.

(i) SurveyMonkey samlar in korrekta, relevanta och fullständiga uppgifter från kunderna för att deras affärsverksamhet ska kunna genomföras. 

(ii) SurveyMonkey upprätthåller uppgifterna i enlighet med livscykelpolicyerna i rätt tid så att man får konsekvent åtkomst till dem. 

(iii) Standarden för datakvalitet kan variera från kund till kund beroende på deras användningsområden. 

(u) Inbyggt dataskydd. SurveyMonkey har implementerat policyer och rutiner för att implementera inbyggt dataskydd.  Alla data i systemet analyseras enligt lämplig åtkomst (enligt policy) och dess livscykel upprätthålls genom policy.  Alla system som är anslutna till produktionen har dataminimering och pseudoanonymisering som standard, i syfte att förebygga integritets- och säkerhetsproblem snarare än att behöva åtgärda dem senare.  

(i) Vi betraktar dataskyddsfrågor som en del av utformningen och implementeringen av system, tjänster, produkter och affärsmetoder, och behandlar dataskydd som en kärnfunktion i vår tjänst. 

(ii) Vi förutser risker och integritetskränkande händelser innan de inträffar och vidtar åtgärder för att förebygga att enskilda personer skadas.

(iii) Vi behandlar endast de personuppgifter som vi behöver för våra ändamål, och vi använder endast uppgifterna för dessa ändamål. 

(iv) Vi säkerställer att personuppgifter skyddas automatiskt i alla IT-system, tjänster, produkter och/eller affärsmetoder, så att enskilda personer inte ska behöva vidta några särskilda åtgärder för att skydda sin integritet

(v) Vi har starka standarder för sekretess, användarvänliga alternativ och kontroller, och respekterar användarnas preferenser.

(vi) Vi använder databehandlare som ger tillräckliga garantier för sina tekniska och organisatoriska åtgärder för inbyggt dataskydd. 

(vii) När vi använder andra system, tjänster eller produkter i våra bearbetningsaktiviteter ser vi till att vi endast använder sådana vars designers och tillverkare tar hänsyn till dataskyddsfrågor. 

(v) Testning av säkerhetshållning. SurveyMonkey kommer att testa sin säkerhetshållning minst en gång per år genom penntestning med hjälp av ett branschstandardverktyg (t.ex. BurpScanner), eller alternativt en certifierad tredjepartstjänst eller konsult. 

(x) Strategi för förebyggande av dataförluster. SurveyMonkey använder utbildning för att förebygga dataförluster.  Åtkomst till data inom systemet begränsas och minimeras för att förhindra att användare får tillgång till data i onödan.  Alla användare måste underteckna policyer om ändamålsenlig åtkomst till kunduppgifter, vilket är en del av den årliga säkerhetsutbildningen. 

(y) Tekniska säkerhetsåtgärder. SurveyMonkey är ett distribuerat företag och har därför inga interna brandväggar eller system för upptäckt av intrång i vårt interna nätverk.  All åtkomst till företagets resurser ska ske via krypterade kanaler.  Alla företagsresurser måste lagras i MFA-aktiverade system. 

Personuppgiftsbehandlingens ändamål och karaktär, Kategorier av Personuppgifter, Registrerade personer 

Syften och behandlingens artSurveyMonkey kan behandla Kundpersonuppgifter i den mån det är nödvändigt för att tekniskt utföra Tjänsterna, i förekommande fall inbegripet: 
•      Webbhotell och lagring,
•      Säkerhetskopiering och katastrofåterställning,
•     Teknisk förbättring av Tjänsten,
•      Hantering av ändringar i tjänsterna,
•      Lösning av problem,
•      Tillhandahållande av säkra, krypterade Tjänster,
•      Tillämpning av nya produkt- eller systemversioner, patchar, uppdateringar och uppgraderingar,
•      Övervakning och testning av systemets användning och prestanda,
•      Proaktivt upptäcka och ta bort buggar,
•      IT-säkerhet, inklusive hantering av incidenter,
•      Underhåll och prestanda på tekniska stödsystem och IT-infrastruktur,
•      Migrering, implementering, konfiguration och testning av prestanda, •      Ge produktrekommendationer,
•      Tillhandahålla kundsupport, överföra data samt
•      Hjälpa till med förfrågningar från registrerade personer (vid behov).
Kategorier av personuppgifter:Kunden kan lämna Kundpersonuppgifter till Tjänsterna och kan begära att Kundens svarande lämnar personuppgifter till Tjänsterna, vars omfattning bestäms och kontrolleras av Kunden efter eget gottfinnande, och som utan begränsning kan omfatta följande: 

•      Personuppgifter av alla typer som kan lämnas in av Kundens svarande till Kunden via användare av Tjänsterna (exempelvis via enkäter eller andra feedbackverktyg). Till exempel: namn, geografisk plats, ålder, kontaktuppgifter, IP-adress, yrke, kön, ekonomisk status, personliga preferenser, personliga shopping- eller konsumentvanor och andra preferenser och andra personuppgifter som kunden begär eller önskar samla in från sina svarande. 

•      Personuppgifter av alla typer som kan ingå i formulär och undersökningar som finns på Tjänsterna för Kunden (exempelvis i enkätfrågor). 

• Kontakt- och faktureringsuppgifter för Kundens anställda, auktoriserade slutanvändare och andra affärskontakter. Till exempel: namn, titel, arbetsgivare, kontaktinformation (företag, e-post, telefon, adress etc.), betalningsinformation och andra kontorelaterade uppgifter.

•      Kundens svarande kan lämna särskilda kategorier av personuppgifter till Kunden via Tjänsterna, vars omfattning bestäms och kontrolleras av Kunden. För tydlighetens skull kan dessa särskilda kategorier av Personuppgifter omfatta information som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och behandling av uppgifter om hälsa eller sexualliv.
Registrerade personer Registrerade personer innefattar:
•      Fysiska personer som skickar personuppgifter till SurveyMonkey via användning av Tjänsterna (inklusive via webbenkäter och -formulär som tillhandahålls av SurveyMonkey på uppdrag av Kunden);
•      Fysiska personer vars personuppgifter kan skickas till Kunden av Svarande via användning av Tjänsterna;
•      Fysiska personer som är anställda, representanter eller andra affärskontakter hos Kunden;
•      Kundens användare som är auktoriserade av Kunden att ha tillgång till och använda Tjänsterna.

BILAGOR FÖR standardavtalsklausuler

BILAGA I -

A. LISTA ÖVER PARTER

MODUL TVÅ: Överföring personuppgiftsansvarig till personuppgiftsbiträde

MODUL TRE: Överföring personuppgiftsbiträde till personuppgiftsbiträde

MODUL FYRA: Överföring personuppgiftsbiträde till personuppgiftsansvarig

Uppgiftsutförare: I enlighet med Avtalet

Kontaktpersonens namn, befattning och kontaktuppgifter: I enlighet med Avtalet

Aktiviteter som är relevanta för uppgifterna som överförs enligt dessa klausuler: I enlighet med Bilaga 2 i DPA

Uppgiftsinförare: I enlighet med Avtalet

Namn: I enlighet med Avtalet

Kontaktpersonens namn, befattning och kontaktuppgifter: I enlighet med Avtalet

Aktiviteter som är relevanta för uppgifterna som överförs enligt dessa klausuler: I enlighet med Bilaga 2 i DPA

B. BESKRIVNING AV ÖVERFÖRING

MODUL TVÅ: Överföring personuppgiftsansvarig till personuppgiftsbiträde

MODUL TRE: Överföring personuppgiftsbiträde till personuppgiftsbiträde

MODUL FYRA: Överföring personuppgiftsbiträde till personuppgiftsansvarig

Kategorier av registrerade vars personuppgifter överförs: I enlighet med Bilaga 2 i DPA

Kategorier av personuppgifter som överförs: I enlighet med Bilaga 2 i DPA

Överföring av känsliga uppgifter (om tillämpligt) och tillämpade begränsningar eller skyddsåtgärder som till fullo tar hänsyn till typen av uppgifter och riskerna i samband med detta, såsom till exempel strikt begränsning av ändamål, åtkomstbegränsningar (inklusive åtkomst endast för personal som har genomgått specialutformad utbildning), dokumentation av åtkomst till uppgifterna, begränsningar av vidare överföring eller ytterligare säkerhetsåtgärder: I enlighet med Bilaga 1 och 2 i DPA

Frekvensen för överföringen (t.ex. Om uppgifterna överförs en gång eller kontinuerligt): En gång och kontinuerligt (beroende på användning av Tjänsterna)

Typen av behandling: I enlighet med Bilaga 2 i DPA

Ändamålet för uppgiftsöverföring och vidare behandling: I enlighet med Bilaga 2 i DPA

Tidsperioden under vilken personuppgifterna lagras, eller, om det inte är möjligt, kriterierna som används för att fastställa denna tidsperiod: I enlighet med Avtalet och som föreskrivs här

För överföring till (underentreprenörer som) personuppgiftsbiträden, ange också ämne, typ och tidslängd för behandlingen: Se här.

C. BEHÖRIG TILLSYNSMYNDIGHET

Identifiera behörig tillsynsmyndighet i enlighet med Klausul 13: Irland

BILAGA II – TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER I ENLIGHET MED BILAGA 1 I DPA

BILAGA III – LISTA ÖVER UNDERENTREPRENÖRER

MODUL TVÅ: Överföring personuppgiftsansvarig till personuppgiftsbiträde

MODUL TRE: Överföring personuppgiftsbiträde till personuppgiftsbiträde

MODUL FYRA: Överföring av personuppgiftsbiträde till personuppgiftsansvarig. Kunden har auktoriserat användning av följande underentreprenörer: Se här.

STORBRITANNIENS TILLÄGG 

1. I relation till uppgiftsöverföring som lyder under UK GDPR, åtar sig parterna härmed att följa Storbritanniens tillägg (en kopia av detta finns att tillgå här) och Storbritanniens tillägg infogas i detta Avtal genom hänvisning. För uppgiftsöverföringar som lyder under UK GDPR ska eventuella hänvisningar till "behörig tillsynsmyndighet" och "behöriga domstolar" tolkas som hänvisningar till relevanta dataskyddsorgan och domstolar i Storbritannien. 

2. Parterna samtycker till att formatet och innehållet i tabellerna i Del 1 av Storbritanniens tillägg ska ändras och ersättas med nedanstående tabell.

Tabellreferens för Storbritanniens tilläggInformation för att slutföra tabellen
Tabell 1: StartdatumGäller från Avtalets ikraftträdandedatum.
Tabell 1: Parternas informationSkall anses slutförd med informationen som anges i Bilaga 2 till detta Avtal.
Tabell 2: Tillägg EU:s standardavtalsklausulerParterna väljer följande alternativ från Tabell 2:

"Godkända EU SCCs, inklusive bilageinformation och endast med följande moduler, klausuler eller frivilliga bestämmelser i de godkända EU SCCs som träder i kraft för detta tillägg".

Detaljerad information om de "moduler", "klausuler" och "valfria bestämmelser" i SCCs som träder i kraft för Storbritanniens tillägg beskrivs ovan i Avsnitt 9.2 i detta Avtal.
Tabell 3: Bilaga 1A – Lista över parterSkall anses slutförd med informationen som beskrivs i Bilaga 2 till detta Avtal.
Tabell 3: Bilaga 1B – Beskrivning av överföringenSkall anses slutförd med informationen som beskrivs i Bilaga 2 till detta Avtal.
Tabell 3: Bilaga II – Tekniska och organisatoriska åtgärderSkall anses slutförd med informationen som beskrivs i Bilaga 1 till detta Avtal.
Tabell 3: Bilaga III: Lista över underentreprenörer (Modul 2)En lista över underentreprenörer återfinns i enlighet med bestämmelserna för underentreprenörer i Avtalet.
Tabell 4: Avsluta detta tilläggParterna väljer att ingendera part kan avsluta Storbritanniens tillägg eftersom det är infogat i Avtalet.

3. I händelser av konflikt eller oförenlighet mellan detta Avtal och Storbritanniens tillägg styr Storbritanniens tillägg och har företräde med hänsyn till sådan konflikt eller oförenlighet.