Common use of Personuppgiftsbiträdets skyldigheter Clause in Contracts

Personuppgiftsbiträdets skyldigheter. Personuppgiftsbiträdet får endast Behandla Personuppgifter på uppdrag av och i enlighet med Personuppgiftsansvarigs instruktioner. Genom att ingå detta Personuppgiftsbiträdesavtal instruerar Personuppgiftsansvarig Personuppgiftsbiträdet att Behandla Personuppgifter på följande sätt: i) endast i enlighet med gällande lag, ii) för att uppfylla alla förpliktelser enligt Tjänsteavtal, iii) som vidare specificerat genom Personuppgiftsansvarigs normala användning av Personuppgiftsbiträdets tjänster och iv) på så sätt som anges i detta Personuppgiftsbiträdesavtal. Personuppgiftsbiträdet har ingen anledning att tro att det finns lagstiftning som förhindrar att Personuppgiftsbiträdet följer de ovan angivna instruktionerna. Personuppgiftsbiträdet ska, efter att ha blivit medveten om det, informera Personuppgiftsansvarig i de fall Personuppgiftsansvarigs instruktioner eller Behandling, enligt Personuppgiftsbiträdet, strider mot gällande dataskyddslagstiftning. De kategorier av Registrerade och Personuppgifter som omfattas av Behandling i detta Personuppgiftsbiträdesavtal framgår av Bilaga A. Personuppgiftsbiträdet ska säkerställa konfidentialitet, integritet och tillgänglighet av Personuppgifter enligt den dataskyddslagstiftning som gäller för Personuppgiftsbiträdet. Personuppgiftsbiträdet ska genomföra systematiska, organisatoriska och tekniska åtgärder för att säkerställa en rimlig säkerhetsnivå, med hänsyn tagen till den senaste tekniken och implementationskostnader i förhållande till den risk som Behandlingen innebär, och typen av Personuppgifter som ska skyddas. Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig med lämpliga tekniska och organisatoriska åtgärder, så långt det är möjligt med hänsyn tagen till typ av Behandling och den information som är tillgänglig för Personuppgiftsbiträdet, för att uppfylla Personuppgiftsansvarigs skyldigheter enligt gällande dataskyddslagstiftning avseende förfrågningar från Registrerade och allmänt dataskydd enligt dataskyddsförordningen artikel 32-36. Om Personuppgiftsansvarig behöver information om säkerhetsåtgärder, dokumentation eller annan information om hur Personuppgiftsbiträdet Behandlar Personuppgifter, och sådana förfrågningar innebär mer information än den standardinformation som tillhandahålls av Personuppgiftsbiträdet för att följa gällande dataskyddslagstiftning som Personuppgiftsbiträde, och det innebär mer arbete för Personuppgiftsbiträdet, kan Personuppgiftsbiträdet debitera Personuppgiftsansvarig för sådana ytterligare tjänster. Personuppgiftsbiträdet och dennes personal ska säkerställa konfidentialitet av Personuppgifter som Behandlas under detta Personuppgiftsbiträdesavtal. Detta villkor gäller även efter att Personuppgiftsbiträdesavtalet upphört att gälla. Personuppgiftsbiträdet ska, genom att skyndsamt och utan onödigt dröjsmål meddela Personuppgiftsansvarig, göra det möjligt för Personuppgiftsansvarig att uppfylla de rättsliga krav som gäller för information till relevanta dataskyddsmyndigheter och Registrerade rörande personuppgiftsincidenter. Vidare ska Personuppgiftsbiträdet, i den utsträckning det är praktiskt möjligt och lagligt, meddela Personuppgiftsansvarig om;

Personuppgiftsbiträdets skyldigheter. 3.1 Personuppgiftsbiträdet får åtar sig att endast Behandla Personuppgifter på uppdrag av och i enlighet med Personuppgiftsansvarigs instruktioner. Genom att ingå den Personuppgiftsansvariges dokumenterade instruktioner och bestämmelserna i detta Personuppgiftsbiträdesavtal instruerar Personuppgiftsansvarig och i Anslutningsavtalet. Personuppgiftsbiträdet ska inte Behandla Personuppgifter för vilka den Personuppgiftsansvarige är Personuppgiftsansvarig, för några andra ändamål. 3.2 För det fall den Personuppgiftsansvarige inkommer med nya instruktioner som går utöver vad som följer av detta Personuppgiftsbiträdesavtal eller Anslutningsavtalet, ska Personuppgiftsbiträdet ha rätt till ersättning i enlighet med Personuppgiftsbiträdets vid var tid gällande prislista eller enligt överenskommelse mellan Xxxxxxxx. 3.3 Oaktat vad som anges i punkten 3.1 ovan har Personuppgiftsbiträdet rätt att Behandla Personuppgifter på följande sätt: i) endast i enlighet med gällande lag, ii) den utsträckning som det krävs för att Personuppgiftsbiträdet ska kunna uppfylla alla förpliktelser skyldigheter som åvilar Personuppgiftsbiträdet och som följer av från tid till annan Tillämplig Lagstiftning. Det ankommer dock på Personuppgiftsbiträdet att informera den Personuppgiftsansvarige om den rättsliga skyldigheten, såvida inte Personuppgiftsbiträdet är förhindrad enligt Tjänsteavtal, iii) som vidare specificerat genom Personuppgiftsansvarigs normala användning Tillämplig Lagstiftning att lämna sådan information. 3.4 Oaktat bestämmelser om lagval enligt Anslutningsavtalet ska Tillämplig Personupp- giftslagstiftning gälla för Behandlingen av Personuppgiftsbiträdets tjänster och iv) på så sätt som anges i detta Personuppgiftsbiträdesavtal. Personuppgiftsbiträdet har ingen anledning att tro att det finns lagstiftning som förhindrar att Personuppgiftsbiträdet följer de ovan angivna instruktionerna. Personuppgiftsbiträdet ska, efter att ha blivit medveten om det, informera Personuppgiftsansvarig i de fall Personuppgiftsansvarigs instruktioner eller Behandling, enligt Personuppgiftsbiträdet, strider mot gällande dataskyddslagstiftning. De kategorier av Registrerade och Personuppgifter som omfattas av Behandling i detta Personupp- giftsbiträdesavtal. 3.5 Personuppgiftsbiträdet ska informera den Personuppgiftsansvarige om Personuppgiftsbiträdet inte kan uppfylla sina skyldigheter enligt detta Personuppgiftsbiträdesavtal framgår eller om Personuppgiftsbiträdet anser att en instruktion som den Personuppgiftsansvarige har lämnat avseende Behandlingen av Bilaga A. Personuppgifter skulle stå i strid med Tillämplig Personuppgiftslagstiftning, såvida inte Personuppgiftsbiträdet är förhindrad att lämna sådan in- formation till den Personuppgiftsansvarige enligt Tillämplig Lagstiftning. 3.6 Personuppgiftsbiträdet ska säkerställa konfidentialitet, integritet och tillgänglighet av Personuppgifter enligt utan dröjsmål informera den dataskyddslagstiftning Personuppgiftsansvarige i de fall tillsynsmyndigheten inleder en granskning hos Personuppgiftsbiträdet avseende den behandling som gäller Personuppgiftsbiträdet utför för Personuppgiftsbiträdet. Personuppgiftsbiträdet ska genomföra systematiska, organisatoriska och tekniska åtgärder för att säkerställa en rimlig säkerhetsnivå, med hänsyn tagen till den senaste tekniken och implementationskostnader i förhållande till den risk som Behandlingen innebär, och typen av Personuppgifter som ska skyddas. Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig med lämpliga tekniska och organisatoriska åtgärder, så långt det är möjligt med hänsyn tagen till typ av Behandling och den information som är tillgänglig för Personuppgiftsbiträdet, för att uppfylla Personuppgiftsansvarigs skyldigheter enligt gällande dataskyddslagstiftning avseende förfrågningar från Registrerade och allmänt dataskydd enligt dataskyddsförordningen artikel 32-36. Om Personuppgiftsansvarig behöver information om säkerhetsåtgärder, dokumentation eller annan information om hur Personuppgiftsbiträdet Behandlar Personuppgifter, och sådana förfrågningar innebär mer information än den standardinformation som tillhandahålls av Personuppgiftsbiträdet för att följa gällande dataskyddslagstiftning som Personuppgiftsbiträde, och det innebär mer arbete för Personuppgiftsbiträdet, kan Personuppgiftsbiträdet debitera Personuppgiftsansvarig för sådana ytterligare tjänster. Personuppgiftsbiträdet och dennes personal ska säkerställa konfidentialitet av Personuppgifter som Behandlas under detta Personuppgiftsbiträdesavtal. Detta villkor gäller även efter att Personuppgiftsbiträdesavtalet upphört att gälla. Personuppgiftsbiträdet ska, genom att skyndsamt och utan onödigt dröjsmål meddela Personuppgiftsansvarig, göra det möjligt för Personuppgiftsansvarig att uppfylla de rättsliga krav som gäller för information till relevanta dataskyddsmyndigheter och Registrerade rörande personuppgiftsincidenter. Vidare ska Personuppgiftsbiträdet, i den utsträckning det är praktiskt möjligt och lagligt, meddela Personuppgiftsansvarig om;Personuppgiftsansvariges räkning.

Personuppgiftsbiträdets skyldigheter. Personuppgiftsbiträdet får endast Behandla Personuppgifter på uppdrag 4.1 För att skydda behandlingen av och i enlighet med Personuppgiftsansvarigs instruktionerpersonuppgifter mot bl.a. Genom att ingå detta Personuppgiftsbiträdesavtal instruerar Personuppgiftsansvarig Personuppgiftsbiträdet att Behandla Personuppgifter på följande sätt: i) endast i enlighet med gällande lagobehörig åtkomst, ii) för att uppfylla alla förpliktelser enligt Tjänsteavtal, iii) som vidare specificerat genom Personuppgiftsansvarigs normala användning av Personuppgiftsbiträdets tjänster och iv) på så sätt som anges i detta Personuppgiftsbiträdesavtal. Personuppgiftsbiträdet har ingen anledning att tro att det finns lagstiftning som förhindrar att Personuppgiftsbiträdet följer de ovan angivna instruktionerna. Personuppgiftsbiträdet ska, efter att ha blivit medveten om det, informera Personuppgiftsansvarig i de fall Personuppgiftsansvarigs instruktioner förstörelse eller Behandling, enligt Personuppgiftsbiträdet, strider mot gällande dataskyddslagstiftning. De kategorier av Registrerade och Personuppgifter som omfattas av Behandling i detta Personuppgiftsbiträdesavtal framgår av Bilaga A. Personuppgiftsbiträdet ändring ska säkerställa konfidentialitet, integritet och tillgänglighet av Personuppgifter enligt den dataskyddslagstiftning som gäller för Personuppgiftsbiträdet. Personuppgiftsbiträdet ska genomföra systematiska, organisatoriska och tekniska åtgärder för att säkerställa en rimlig säkerhetsnivå, med hänsyn tagen till den senaste tekniken och implementationskostnader i förhållande till den risk som Behandlingen innebär, och typen av Personuppgifter som ska skyddas. Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig med Personuppgiftsbiträde vidta lämpliga tekniska och organisatoriska åtgärdersäkerhetsåtgärder i enlighet med dataskyddslagstiftningens krav. Personuppgiftsbiträde ska under alla förutsättningar vidta de säkerhetsåtgärder som framgår nedan. När datorutrustning och löstagbara datamedier hos Personuppgiftsbiträde inte står under uppsikt ska utrustningen och medierna låsas in för att skyddas mot obehörig användning, påverkan och stöld. För det fall eventuella bärbara datorer eller dylik utrustning används vid behandlingar ska personuppgifterna på fasta och löstagbara lagringsmedier alltid vara krypterade. Personuppgifterna ska regelbundet överföras till säkerhetskopior. Kopiorna ska förvaras avskilt och väl skyddade så långt att personuppgifterna kan återskapas. Personuppgiftsbiträde ska ha en rutin för regelbunden test av återläsning. Ett tekniskt system för behörighetskontroll ska styra åtkomsten till personuppgifterna för Personuppgiftsbiträde. Användaridentitet ska vara personlig och får inte överlåtas på någon annan. Det ska finnas rutiner för tilldelning och borttagande av behörigheter. Åtkomst till personuppgifter ska kunna följas upp genom en logg eller liknande underlag. Underlaget ska kunna kontrolleras av Personuppgiftsbiträde och återrapporteras till den Personuppgiftsansvarige. Anslutning för extern datorkommunikation ska skyddas med sådan teknisk funktion som säkerställer att uppkopplingen är behörig. För åtkomst till känsliga personuppgifter krävs stark autentisering. Personuppgifter som överförs via datorkommunikation utanför lokaler som kontrolleras av Personuppgiftsbiträde ska skyddas med kryptering. När fasta eller löstagbara lagringsmedier som innehåller personuppgifter inte längre ska användas för sitt ändamål ska personuppgifterna raderas på sådant sätt att de inte kan återskapas. Ytterligare preciseringar av tekniska och organisatoriska säkerhetsåtgärder kan framgå av avsnitt 3 i Instruktion till Personuppgiftsbiträdesavtal samt av övriga avtalshandlingar. 4.2 Personuppgiftsbiträde får inte behandla den Personuppgiftsansvariges personuppgifter på något annat sätt, för andra ändamål eller enligt andra instruktioner än de som framgår av detta Personuppgiftsbiträdesavtal, inklusive avsnitt 1 i Instruktion till Personuppgiftsbiträdesavtal, med iakttagande av de tekniska och organisatoriska säkerhetsåtgärderna enligt detta Personuppgiftsbiträdesavtal och avsnitt 3 i Instruktion till Personuppgiftsbiträdesavtal. Första stycket gäller inte om en behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Personuppgiftsbiträde omfattas av. I sådana fall ska Personuppgiftsbiträde informera den Personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida detta inte är möjligt med hänsyn tagen otillåtet enligt den aktuella rättsordningen. 4.3 Om Personuppgiftsbiträde bedömer att det saknas instruktioner för hur den Personuppgiftsansvariges personuppgifter ska behandlas ska Personuppgiftsbiträde utan dröjsmål informera den Personuppgiftsansvarige om sin inställning, ange om fullgörandet av Kontrakt kan påverkas av behovet av instruktioner samt invänta vidare instruktioner från den Personuppgiftsansvarige. Om Personuppgiftsbiträde bedömer att instruktioner om hur personuppgifter ska behandlas strider mot tillämpliga dataskyddsbestämmelser ska Personuppgiftsbiträde omedelbart informera den Personuppgiftsansvarige om detta. 4.4 Personuppgiftsbiträde åtar sig att i sin verksamhet vid var tid tillse att berörd personal följer detta Personuppgiftsbiträdesavtal och att de hålls informerade om innehållet i dataskyddslagstiftningen. Personer som utför arbete under Personuppgiftsbiträdes överinseende, t.ex. som anställda, och som får tillgång till typ personuppgifter, får endast behandla uppgifterna enligt den Personuppgiftsansvariges instruktioner, såvida inte en skyldighet att göra något annat framgår i unionsrätten eller medlemsstaternas nationella rätt. Endast personer som har ett strikt behov av Behandling och att få tillgång till personuppgifterna ska ges sådan tillgång. Personuppgiftsbiträde garanterar att personer som får tillgång till personuppgifter har åtagit sig att iaktta konfidentialitet eller omfattas av lämplig lagstadgad tystnadsplikt. 4.5 Personuppgiftsbiträde ska efter den Personuppgiftsansvariges beslut om radering av personuppgifter avlägsna dessa permanent från alla lagringsmedier som biträdet förfogar över. Detta ska ske snarast, dock senast 180 dagar efter beslut om radering. Som beslut om radering räknas t.ex. att uppgifter har raderats via användargränssnittet i den tjänst som omfattas av Kontrakt. 4.6 Personuppgiftsbiträde ska efter att biträdet fått vetskap om en personuppgiftsincident som omfattar den Personuppgiftsansvariges personuppgifter utan onödigt dröjsmål underrätta den Personuppgiftsansvarige om incidenten. Underrättelsen ska innehålla den information som är tillgänglig för Personuppgiftsbiträdet, krävs för att uppfylla Personuppgiftsansvarigs den Personuppgiftsansvarige ska kunna fullgöra sina skyldigheter enligt gällande dataskyddslagstiftning dataskyddslagstiftningen. Personuppgiftsbiträde ska på begäran från den Personuppgiftsansvarige lämna nödvändig information och i övrigt bistå den Personuppgiftsansvarige så att denne kan uppfylla sina skyldigheter beträffande säkerheten i behandlingen och konsekvensbedömningen avseende förfrågningar dataskydd. 4.7 För det fall den registrerade, tillsynsmyndigheten eller annan tredje man begär information från Registrerade och allmänt dataskydd enligt dataskyddsförordningen artikel 32-36Personuppgiftsbiträde som rör behandling av personuppgifter, ska Personuppgiftsbiträde hänvisa till den Personuppgiftsansvarige. Om Personuppgiftsansvarig behöver information om säkerhetsåtgärder, dokumentation Personuppgiftsbiträde får inte lämna ut personuppgifter eller annan information om hur Personuppgiftsbiträdet Behandlar Personuppgifterbehandlingen av personuppgifter utan uttrycklig instruktion från den Personuppgiftsansvarige, såvida utlämnandeskyldigheten inte framgår i unionsrätten eller tillämplig nationell lag i en medlemsstat. 4.8 Personuppgiftsbiträde ska utan dröjsmål informera den Personuppgiftsansvarige om eventuella kontakter med tillsynsmyndigheten som rör, eller kan vara av betydelse för, Personuppgiftsbiträdes behandling av personuppgifter. Åtagandet gäller inte om Personuppgiftsbiträde är förbjudet att lämna den aktuella informationen enligt tvingande lagstiftning. Personuppgiftsbiträde har inte rätt att företräda den Personuppgiftsansvarige eller agera för dennes räkning gentemot tillsynsmyndigheten. 4.9 Den Personuppgiftsansvarige har rätt att kontrollera att Personuppgiftsbiträde följer Personuppgiftsbiträdesavtal och sådana förfrågningar innebär mer instruktioner som utfärdats av den Personuppgiftsansvarige. Personuppgiftsbiträde ska för detta ändamål ge den Personuppgiftsansvarige tillgång till all nödvändig information än samt möjliggöra och bidra till granskningar inbegripet inspektioner som genomförs av den standardinformation Personuppgiftsansvarige eller av en granskare som tillhandahålls bemyndigats av Personuppgiftsbiträdet den Personuppgiftsansvarige. Den som granskar biträdets verksamhet ska iaktta regler om sekretess för att följa gällande dataskyddslagstiftning som Personuppgiftsbiträde, biträdets affärs- och det innebär mer arbete för Personuppgiftsbiträdet, kan Personuppgiftsbiträdet debitera Personuppgiftsansvarig för sådana ytterligare tjänster. Personuppgiftsbiträdet och dennes personal ska säkerställa konfidentialitet av Personuppgifter som Behandlas under detta Personuppgiftsbiträdesavtal. Detta villkor gäller även efter att Personuppgiftsbiträdesavtalet upphört att gälla. Personuppgiftsbiträdet ska, genom att skyndsamt och utan onödigt dröjsmål meddela Personuppgiftsansvarig, göra det möjligt för Personuppgiftsansvarig att uppfylla de rättsliga krav som gäller för information till relevanta dataskyddsmyndigheter och Registrerade rörande personuppgiftsincidenter. Vidare ska Personuppgiftsbiträdet, i den utsträckning det är praktiskt möjligt och lagligt, meddela Personuppgiftsansvarig om;driftsförhållanden.

Personuppgiftsbiträdets skyldigheter. 3.1 Personuppgiftsbiträdet får åtar sig att endast Behandla Personuppgifter på uppdrag av och i enlighet med Personuppgiftsansvarigs instruktioner. Genom att ingå den Personuppgiftsansvariges dokumenterade instruktioner och bestämmelserna i detta Personuppgiftsbiträdesavtal instruerar Personuppgiftsansvarig och i Anslutningsavtalet. Personuppgiftsbiträdet ska inte Behandla Personuppgifter för vilka den Personuppgiftsansvarige är Personuppgiftsansvarig, för några andra ändamål. 3.2 För det fall den Personuppgiftsansvarige inkommer med nya instruktioner som går utöver vad som följer av detta Personuppgiftsbiträdesavtal eller Anslutningsavtalet, ska Personuppgiftsbiträdet ha rätt till ersättning i enlighet med Personuppgiftsbiträdets vid var tid gällande prislista (se Bilaga 1 punkt 12) eller enligt särskild överenskommelse mellan Parterna. 3.3 Oaktat vad som anges i punkten 3.1 ovan har Personuppgiftsbiträdet rätt att Behandla Personuppgifter på följande sätt: i) endast i enlighet med gällande lag, ii) den utsträckning som det krävs för att Personuppgiftsbiträdet ska kunna uppfylla alla förpliktelser skyldigheter som åvilar Personuppgiftsbiträdet och som följer av från tid till annan Tillämplig Lagstiftning. Det ankommer dock på Personuppgiftsbiträdet att informera den Personuppgiftsansvarige om den rättsliga skyldigheten, såvida inte Personuppgiftsbiträdet är förhindrad enligt Tjänsteavtal, iii) som vidare specificerat genom Personuppgiftsansvarigs normala användning Tillämplig Lagstiftning att lämna sådan information. 3.4 Oaktat bestämmelser om lagval enligt Anslutningsavtalet ska Tillämplig Personupp- giftslagstiftning gälla för Behandlingen av Personuppgiftsbiträdets tjänster och iv) på så sätt som anges i detta Personuppgiftsbiträdesavtal. Personuppgiftsbiträdet har ingen anledning att tro att det finns lagstiftning som förhindrar att Personuppgiftsbiträdet följer de ovan angivna instruktionerna. Personuppgiftsbiträdet ska, efter att ha blivit medveten om det, informera Personuppgiftsansvarig i de fall Personuppgiftsansvarigs instruktioner eller Behandling, enligt Personuppgiftsbiträdet, strider mot gällande dataskyddslagstiftning. De kategorier av Registrerade och Personuppgifter som omfattas av Behandling i detta Personupp- giftsbiträdesavtal. 3.5 Personuppgiftsbiträdet ska informera den Personuppgiftsansvarige om Personuppgiftsbiträdet inte kan uppfylla sina skyldigheter enligt detta Personuppgiftsbiträdesavtal framgår eller om Personuppgiftsbiträdet anser att en instruktion som den Personuppgiftsansvarige har lämnat avseende Behandlingen av Bilaga A. Personuppgifter skulle stå i strid med Tillämplig Personuppgiftslagstiftning, såvida inte Personuppgiftsbiträdet är förhindrad att lämna sådan in- formation till den Personuppgiftsansvarige enligt Tillämplig Lagstiftning. 3.6 Personuppgiftsbiträdet ska säkerställa konfidentialitet, integritet och tillgänglighet av Personuppgifter enligt utan dröjsmål informera den dataskyddslagstiftning Personuppgiftsansvarige i de fall tillsynsmyndigheten inleder en granskning hos Personuppgiftsbiträdet avseende den behandling som gäller Personuppgiftsbiträdet utför för Personuppgiftsbiträdet. Personuppgiftsbiträdet ska genomföra systematiska, organisatoriska och tekniska åtgärder för att säkerställa en rimlig säkerhetsnivå, med hänsyn tagen till den senaste tekniken och implementationskostnader i förhållande till den risk som Behandlingen innebär, och typen av Personuppgifter som ska skyddas. Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig med lämpliga tekniska och organisatoriska åtgärder, så långt det är möjligt med hänsyn tagen till typ av Behandling och den information som är tillgänglig för Personuppgiftsbiträdet, för att uppfylla Personuppgiftsansvarigs skyldigheter enligt gällande dataskyddslagstiftning avseende förfrågningar från Registrerade och allmänt dataskydd enligt dataskyddsförordningen artikel 32-36. Om Personuppgiftsansvarig behöver information om säkerhetsåtgärder, dokumentation eller annan information om hur Personuppgiftsbiträdet Behandlar Personuppgifter, och sådana förfrågningar innebär mer information än den standardinformation som tillhandahålls av Personuppgiftsbiträdet för att följa gällande dataskyddslagstiftning som Personuppgiftsbiträde, och det innebär mer arbete för Personuppgiftsbiträdet, kan Personuppgiftsbiträdet debitera Personuppgiftsansvarig för sådana ytterligare tjänster. Personuppgiftsbiträdet och dennes personal ska säkerställa konfidentialitet av Personuppgifter som Behandlas under detta Personuppgiftsbiträdesavtal. Detta villkor gäller även efter att Personuppgiftsbiträdesavtalet upphört att gälla. Personuppgiftsbiträdet ska, genom att skyndsamt och utan onödigt dröjsmål meddela Personuppgiftsansvarig, göra det möjligt för Personuppgiftsansvarig att uppfylla de rättsliga krav som gäller för information till relevanta dataskyddsmyndigheter och Registrerade rörande personuppgiftsincidenter. Vidare ska Personuppgiftsbiträdet, i den utsträckning det är praktiskt möjligt och lagligt, meddela Personuppgiftsansvarig om;Personuppgiftsansvariges räkning.

Personuppgiftsbiträdets skyldigheter. Personuppgiftsbiträdet får endast Behandla Personuppgifter på uppdrag 4.1 För att skydda behandlingen av och i enlighet med Personuppgiftsansvarigs instruktionerpersonuppgifter mot bl.a. Genom att ingå detta Personuppgiftsbiträdesavtal instruerar Personuppgiftsansvarig Personuppgiftsbiträdet att Behandla Personuppgifter på följande sätt: i) endast i enlighet med gällande lagobehörig åtkomst, ii) för att uppfylla alla förpliktelser enligt Tjänsteavtal, iii) som vidare specificerat genom Personuppgiftsansvarigs normala användning av Personuppgiftsbiträdets tjänster och iv) på så sätt som anges i detta Personuppgiftsbiträdesavtal. Personuppgiftsbiträdet har ingen anledning att tro att det finns lagstiftning som förhindrar att Personuppgiftsbiträdet följer de ovan angivna instruktionerna. Personuppgiftsbiträdet ska, efter att ha blivit medveten om det, informera Personuppgiftsansvarig i de fall Personuppgiftsansvarigs instruktioner förstörelse eller Behandling, enligt Personuppgiftsbiträdet, strider mot gällande dataskyddslagstiftning. De kategorier av Registrerade och Personuppgifter som omfattas av Behandling i detta Personuppgiftsbiträdesavtal framgår av Bilaga A. Personuppgiftsbiträdet ändring ska säkerställa konfidentialitet, integritet och tillgänglighet av Personuppgifter enligt den dataskyddslagstiftning som gäller för Personuppgiftsbiträdet. Personuppgiftsbiträdet ska genomföra systematiska, organisatoriska och tekniska åtgärder för att säkerställa en rimlig säkerhetsnivå, med hänsyn tagen till den senaste tekniken och implementationskostnader i förhållande till den risk som Behandlingen innebär, och typen av Personuppgifter som ska skyddas. Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig med Personuppgiftsbiträde vidta lämpliga tekniska och organisatoriska åtgärdersäkerhetsåtgärder i enlighet med dataskyddslagstiftningens krav. Personuppgiftsbiträde ska under alla förutsättningar vidta de säkerhetsåtgärder som framgår nedan. När datorutrustning och löstagbara datamedier hos Personuppgiftsbiträde inte står under uppsikt ska utrustningen och medierna låsas in för att skyddas mot obehörig användning, påverkan och stöld. För det fall eventuella bärbara datorer eller dylik utrustning används vid behandlingar ska personuppgifterna på fasta och löstagbara lagringsmedier alltid vara krypterade. Personuppgifterna ska regelbundet överföras till säkerhetskopior. Kopiorna ska förvaras avskilt och väl skyddade så långt att personuppgifterna kan återskapas. Personuppgiftsbiträde ska ha en rutin för regelbunden test av återläsning. Ett tekniskt system för behörighetskontroll ska styra åtkomsten till personuppgifterna för Personuppgiftsbiträde. Användaridentitet ska vara personlig och får inte överlåtas på någon annan. Det ska finnas rutiner för tilldelning och borttagande av behörigheter. Åtkomst till personuppgifter ska kunna följas upp genom en logg eller liknande underlag. Underlaget ska kunna kontrolleras av Personuppgiftsbiträde och återrapporteras till den Personuppgiftsansvarige. Anslutning för extern datorkommunikation ska skyddas med sådan teknisk funktion som säkerställer att uppkopplingen är behörig. För åtkomst till känsliga personuppgifter krävs tvåfaktorsautentisering som är motståndskraftig mot nätfiske och man-i-mitten-attacker. Personuppgifter som överförs via datorkommunikation utanför lokaler som kontrolleras av Personuppgiftsbiträde ska skyddas med kryptering. När fasta eller löstagbara lagringsmedier som innehåller personuppgifter inte längre ska användas för sitt ändamål ska personuppgifterna raderas på sådant sätt att de inte kan återskapas. Ytterligare preciseringar av tekniska och organisatoriska säkerhetsåtgärder kan framgå av avsnitt 3 i Instruktion till Personuppgiftsbiträdesavtal samt av övriga avtalshandlingar. 4.2 Personuppgiftsbiträde får inte behandla den Personuppgiftsansvariges personuppgifter på något annat sätt, för andra ändamål eller enligt andra instruktioner än de som framgår av detta Personuppgiftsbiträdesavtal, inklusive avsnitt 1 i Instruktion till Personuppgiftsbiträdesavtal, med iakttagande av de tekniska och organisatoriska säkerhetsåtgärderna enligt detta Personuppgiftsbiträdesavtal och avsnitt 3 i Instruktion till Personuppgiftsbiträdesavtal. Första stycket gäller inte om en behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Personuppgiftsbiträde omfattas av. I sådana fall ska Personuppgiftsbiträde informera den Personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida detta inte är möjligt med hänsyn tagen otillåtet enligt den aktuella rättsordningen. 4.3 Om Personuppgiftsbiträde bedömer att det saknas instruktioner för hur den Personuppgiftsansvariges personuppgifter ska behandlas ska Personuppgiftsbiträde utan dröjsmål informera den Personuppgiftsansvarige om sin inställning, ange om fullgörandet av Kontrakt kan påverkas av behovet av instruktioner samt invänta vidare instruktioner från den Personuppgiftsansvarige. Om Personuppgiftsbiträde bedömer att instruktioner om hur personuppgifter ska behandlas strider mot tillämpliga dataskyddsbestämmelser ska Personuppgiftsbiträde omedelbart informera den Personuppgiftsansvarige om detta. 4.4 Personuppgiftsbiträde åtar sig att i sin verksamhet vid var tid tillse att berörd personal följer detta Personuppgiftsbiträdesavtal och att de hålls informerade om innehållet i dataskyddslagstiftningen. Personer som utför arbete under Personuppgiftsbiträdes överinseende, t.ex. som anställda, och som får tillgång till typ personuppgifter, får endast behandla uppgifterna enligt den Personuppgiftsansvariges instruktioner, såvida inte en skyldighet att göra något annat framgår i unionsrätten eller medlemsstaternas nationella rätt. Endast personer som har ett strikt behov av Behandling och att få tillgång till personuppgifterna ska ges sådan tillgång. Personuppgiftsbiträde garanterar att personer som får tillgång till personuppgifter har åtagit sig att iaktta konfidentialitet eller omfattas av lämplig lagstadgad tystnadsplikt. 4.5 Personuppgiftsbiträde ska efter den Personuppgiftsansvariges beslut om radering av personuppgifter avlägsna dessa permanent från alla lagringsmedier som biträdet förfogar över. Detta ska ske snarast, dock senast 180 dagar efter beslut om radering. Som beslut om radering räknas t.ex. att uppgifter har raderats via användargränssnittet i den tjänst som omfattas av Kontrakt. 4.6 Personuppgiftsbiträde ska efter att biträdet fått vetskap om en personuppgiftsincident som omfattar den Personuppgiftsansvariges personuppgifter utan onödigt dröjsmål underrätta den Personuppgiftsansvarige om incidenten. Underrättelsen ska innehålla den information som är tillgänglig för Personuppgiftsbiträdet, krävs för att uppfylla Personuppgiftsansvarigs den Personuppgiftsansvarige ska kunna fullgöra sina skyldigheter enligt gällande dataskyddslagstiftning dataskyddslagstiftningen. Personuppgiftsbiträde ska på begäran från den Personuppgiftsansvarige lämna nödvändig information och i övrigt bistå den Personuppgiftsansvarige så att denne kan uppfylla sina skyldigheter beträffande säkerheten i behandlingen och konsekvensbedömningen avseende förfrågningar dataskydd. 4.7 För det fall den registrerade, tillsynsmyndigheten eller annan tredje man begär information från Registrerade och allmänt dataskydd enligt dataskyddsförordningen artikel 32-36Personuppgiftsbiträde som rör behandling av personuppgifter, ska Personuppgiftsbiträde hänvisa till den Personuppgiftsansvarige. Om Personuppgiftsansvarig behöver information om säkerhetsåtgärder, dokumentation Personuppgiftsbiträde får inte lämna ut personuppgifter eller annan information om hur Personuppgiftsbiträdet Behandlar Personuppgifterbehandlingen av personuppgifter utan uttrycklig instruktion från den Personuppgiftsansvarige, såvida utlämnandeskyldigheten inte framgår i unionsrätten eller tillämplig nationell lag i en medlemsstat. 4.8 Personuppgiftsbiträde ska utan dröjsmål informera den Personuppgiftsansvarige om eventuella kontakter med tillsynsmyndigheten som rör, eller kan vara av betydelse för, Personuppgiftsbiträdes behandling av personuppgifter. Åtagandet gäller inte om Personuppgiftsbiträde är förbjudet att lämna den aktuella informationen enligt tvingande lagstiftning. Personuppgiftsbiträde har inte rätt att företräda den Personuppgiftsansvarige eller agera för dennes räkning gentemot tillsynsmyndigheten. 4.9 Den Personuppgiftsansvarige har rätt att kontrollera att Personuppgiftsbiträde följer Personuppgiftsbiträdesavtal och sådana förfrågningar innebär mer instruktioner som utfärdats av den Personuppgiftsansvarige. Personuppgiftsbiträde ska för detta ändamål ge den Personuppgiftsansvarige tillgång till all nödvändig information än samt möjliggöra och bidra till granskningar inbegripet inspektioner som genomförs av den standardinformation Personuppgiftsansvarige eller av en granskare som tillhandahålls bemyndigats av Personuppgiftsbiträdet den Personuppgiftsansvarige. Den som granskar biträdets verksamhet ska iaktta regler om sekretess för att följa gällande dataskyddslagstiftning som Personuppgiftsbiträde, biträdets affärs- och det innebär mer arbete för Personuppgiftsbiträdet, kan Personuppgiftsbiträdet debitera Personuppgiftsansvarig för sådana ytterligare tjänster. Personuppgiftsbiträdet och dennes personal ska säkerställa konfidentialitet av Personuppgifter som Behandlas under detta Personuppgiftsbiträdesavtal. Detta villkor gäller även efter att Personuppgiftsbiträdesavtalet upphört att gälla. Personuppgiftsbiträdet ska, genom att skyndsamt och utan onödigt dröjsmål meddela Personuppgiftsansvarig, göra det möjligt för Personuppgiftsansvarig att uppfylla de rättsliga krav som gäller för information till relevanta dataskyddsmyndigheter och Registrerade rörande personuppgiftsincidenter. Vidare ska Personuppgiftsbiträdet, i den utsträckning det är praktiskt möjligt och lagligt, meddela Personuppgiftsansvarig om;driftsförhållanden.

Personuppgiftsbiträdets skyldigheter. 5.1 Personuppgiftsbiträdet får ska endast Behandla Personuppgifter samla in eller behandla uppgifter på uppdrag av den Personuppgiftsansvarige och i enlighet med Personuppgiftsansvarigs den Personuppgiftsansvariges instruktioner, såvida inte Personuppgiftsbiträdet är skyldigt att göra det enligt EU:s eller medlemsstaternas lagstiftning eller andra tillämpliga dataskyddslagar som Personuppgiftsbiträdet omfattas av. Genom Personuppgiftsbiträdet ska i sådant fall informera den Personuppgiftsansvarige om det rättsliga kravet innan behandlingen genomförs, såvida inte sådan information är förbjuden på grund av ett viktigt allmänintresse. Personuppgiftsbiträdet kommer att ingå korrigera, radera eller blockera de uppgifter som behandlas för den Personuppgiftsansvariges räkning endast enligt instruktioner från den Personuppgiftsansvarige. Om en registrerad kontaktar Personuppgiftsbiträdet med en begäran om rättelse eller radering av sina uppgifter ska Personuppgiftsbiträdet vidarebefordra begäran till den Personuppgiftsansvarige. 5.2 Såvida det inte är förbjudet enligt tillämplig lag eller en juridiskt bindande begäran från brottsbekämpande myndigheter, ska Personuppgiftsbiträdet omedelbart meddela den Personuppgiftsansvarige om varje begäran från en tillsynsmyndighet för dataskydd, brottsbekämpande myndighet eller annan offentlig myndighet om tillgång till eller beslagtagande av personuppgifter. Dessutom, i den utsträckning det är tillåtet enligt lag, ska registerföraren använda alla rimligen tillgängliga åtgärder för att försvara sig mot sådana åtgärder eller tillåta den Personuppgiftsansvarige att göra det i stället för och på uppdrag av Personuppgiftsbiträdet, och om den så önskar, ansöka om en skyddsorder eller tillåta den Personuppgiftsansvarige att göra det på Personuppgiftsbiträdets vägnar. Under alla omständigheter ska Personuppgiftsbiträdet rimligen samarbeta med den Personuppgiftsansvarige i ett sådant försvar. 5.3 Innan Personuppgiftsbiträdet beviljar tillgång till Personuppgifter ska Personuppgiftsbiträdet ålägga personer som är anställda vid behandling av Personuppgifter datasekretess och konfidentialitet och bekanta dem med bestämmelserna i dessa Klausuler Del B och de dataskyddsskyldigheter som gäller för dem. I den mån Personuppgiftsbiträdet behandlar personuppgifter som omfattas av tystnadsplikt eller andra särskilda sekretessförpliktelser (t.ex. uppgifter som omfattas av telekommunikationssekretess) ska en sådan skyldighet även omfatta dessa särskilda omständigheter och relaterade skyldigheter. 5.4 I den utsträckning som krävs enligt Tillämplig Dataskyddslagstiftning ska Personuppgiftsbiträdet utse ett dataskyddsombud och vidarebefordra dennes kontaktuppgifter till den Personuppgiftsansvarige och utan onödigt dröjsmål rapportera till den Personuppgiftsansvarige om eventuella ändringar och uppdateringar under detta Personuppgiftsbiträdesavtal instruerar Personuppgiftsansvarig Avtals giltighetstid. 5.5 Personuppgiftsbiträdet ska utan onödigt dröjsmål underrätta den Personuppgiftsansvarige om Personuppgiftsbiträdet eller en person som är anställd av Personuppgiftsbiträdet bryter mot instruktioner eller bestämmelser om skydd av den Personuppgiftsansvariges personuppgifter. Personuppgiftsbiträdet är införstådd med att Behandla Personuppgifter på följande sätt: i) endast den Personuppgiftsansvarige kan vara skyldig att dokumentera överträdelser av skyddet av personuppgifter och, om nödvändigt, informera en tillsynsmyndighet, respektive den registrerade, inom 72 timmar om en sådan överträdelse. Om och i den mån det har skett sådana överträdelser ska Personuppgiftsbiträdet bistå den Personuppgiftsansvarige i enlighet med gällande lag, ii) artikel 28 para. 3 lit. f GDPR med efterlevnad av sina rapporteringsskyldigheter på ett korrekt sätt för att uppfylla alla förpliktelser göra det möjligt för den personuppgiftsansvarige att i tid fullgöra sina skyldigheter enligt Tjänsteavtal, iii) som vidare specificerat genom Personuppgiftsansvarigs normala användning av Personuppgiftsbiträdets tjänster och iv) på så sätt som anges i detta Personuppgiftsbiträdesavtal. Personuppgiftsbiträdet har ingen anledning att tro att det finns lagstiftning som förhindrar att Personuppgiftsbiträdet följer de ovan angivna instruktionerna. Personuppgiftsbiträdet ska, efter att ha blivit medveten om det, informera Personuppgiftsansvarig i de fall Personuppgiftsansvarigs instruktioner eller Behandling, enligt Personuppgiftsbiträdet, strider mot gällande dataskyddslagstiftning. De kategorier av Registrerade och Personuppgifter som omfattas av Behandling i detta Personuppgiftsbiträdesavtal framgår av Bilaga A. Personuppgiftsbiträdet ska säkerställa konfidentialitet, integritet och tillgänglighet av Personuppgifter enligt den dataskyddslagstiftning som gäller för Personuppgiftsbiträdetavtal. Personuppgiftsbiträdet ska genomföra systematiskainformera den Personuppgiftsansvarige om överträdelsen utan onödigt dröjsmål och ge åtminstone följande information om och i den utsträckning som Personuppgiftsbiträdet har tillgång till: a) Beskrivning av vilken typ av incident det rör sig om, organisatoriska kategori och tekniska det ungefärliga antalet registrerade och dataset som berörs. b) Namn på och kontaktuppgifter till en kontaktperson för ytterligare information. c) Beskrivning av de sannolika konsekvenserna av incidenten. d) Beskrivning av de åtgärder som vidtagits för att säkerställa en rimlig säkerhetsnivå, med hänsyn tagen till den senaste tekniken och implementationskostnader i förhållande till den risk som Behandlingen innebär, och typen av Personuppgifter som ska skyddasavhjälpa eller minska överträdelsen. Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig dessutom utan onödigt dröjsmål informera den Personuppgiftsansvarige om allvarliga störningar i den normala verksamheten, eventuella misstankar om dataskyddsöverträdelser eller andra oegentligheter vid behandlingen av den Personuppgiftsansvariges uppgifter. 5.6 Personuppgiftsbiträdet ska informera den Personuppgiftsansvarige om tillsynsmyndighetens eventuella övervakningsaktiviteter och åtgärder som vidtas med avseende på den Personuppgiftsansvariges behandling av Personuppgifter. 5.7 Personuppgiftsbiträdet bistår den Personuppgiftsansvarige i enlighet med artikel 28 paragraf. 3 lit. e GDPR genom lämpliga tekniska och organisatoriska åtgärder, så långt det i den mån detta är möjligt med hänsyn tagen till typ av Behandling och den information som är tillgänglig för Personuppgiftsbiträdetrimligt, för att uppfylla Personuppgiftsansvarigs skyldigheter den Personuppgiftsansvariges skyldighet gentemot de registrerade, (inklusive enligt gällande dataskyddslagstiftning kapitel II i GDPR), t.ex. information till och tillgång till de registrerade, rättelse och radering av uppgifter, begränsning av behandling eller rätten till dataportabilitet och rätt att göra invändningar, i tillämpliga fall. 5.8 Personuppgiftsbiträdet hjälper till i enlighet med artikel 28 para. 3 lit. f GDPR med utarbetandet av en konsekvensbedömning avseende förfrågningar från Registrerade och allmänt dataskydd enligt dataskyddsförordningen artikel 32-3635 GDPR och, i förekommande fall, bistår med föregående samråd med tillsynsmyndigheten enligt artikel 36 GDPR. Om Personuppgiftsansvarig behöver På den Personuppgiftsansvariges begäran ska Personuppgiftsbiträdet lämna ut den information och de handlingar som krävs till den Personuppgiftsansvarige. 5.9 Parterna ska komma överens om säkerhetsåtgärder, dokumentation eller annan information om hur Personuppgiftsbiträdet Behandlar Personuppgifter, eventuella tillkommande kostnader som uppkommer enligt 5.7 och sådana förfrågningar innebär mer information än den standardinformation som tillhandahålls av Personuppgiftsbiträdet för 5.8 ovan. Det finns ingen skyldighet att följa gällande dataskyddslagstiftning som Personuppgiftsbiträde, och det innebär mer arbete för Personuppgiftsbiträdet, kan Personuppgiftsbiträdet debitera Personuppgiftsansvarig bära kostnaderna för sådana ytterligare tjänster. tjänster som MB Sverige utför och som MB Sverige är eller skulle vara skyldig att utföra, oavsett om det finns ett sådant uppdrag enligt lag. 5.10 Personuppgiftsbiträdet och dennes personal ska säkerställa konfidentialitet övervaka efterlevnaden av Personuppgifter de skyldigheter som Behandlas anges ovan under detta Personuppgiftsbiträdesavtal. Detta villkor gäller även efter att Personuppgiftsbiträdesavtalet upphört att gälla. Personuppgiftsbiträdet ska, genom att skyndsamt och utan onödigt dröjsmål meddela Personuppgiftsansvarig, göra det möjligt utförandet av den beställda databehandlingen. 5.11 Registerföraren ska föra ett register över behandlingsaktiviteter som utförs för Personuppgiftsansvarig att uppfylla de rättsliga krav som gäller för information till relevanta dataskyddsmyndigheter och Registrerade rörande personuppgiftsincidenter. Vidare ska Personuppgiftsbiträdet, i den utsträckning det är praktiskt möjligt och lagligt, meddela Personuppgiftsansvarig om;Personuppgiftsansvariges räkning.

Personuppgiftsbiträdets skyldigheter. Personuppgiftsbiträdet får endast Behandla behandla Personuppgifter på uppdrag av och i enlighet med Personuppgiftsansvarigs instruktioner. Genom att ingå detta Personuppgiftsbiträdesavtal avtal instruerar Personuppgiftsansvarig Personuppgiftsbiträdet att Behandla behandla Personuppgifter på följande sätt: i) endast i enlighet med gällande lag, ii) för att uppfylla alla förpliktelser enligt Tjänsteavtal, iii) som vidare specificerat genom Personuppgiftsansvarigs normala användning av Personuppgiftsbiträdets tjänster och iv) på så sätt som anges i detta PersonuppgiftsbiträdesavtalAvtal. Personuppgiftsbiträdet har ingen anledning att tro att det finns lagstiftning som förhindrar att Personuppgiftsbiträdet följer de ovan angivna instruktionerna. Personuppgiftsbiträdet ska, efter att ha blivit medveten om det, informera Personuppgiftsansvarig i de fall Personuppgiftsansvarigs instruktioner eller Behandlingbehandling, enligt Personuppgiftsbiträdet, strider mot gällande dataskyddslagstiftning. De kategorier av Registrerade och Personuppgifter som omfattas av Behandling i detta Personuppgiftsbiträdesavtal framgår av Bilaga A. Personuppgiftsbiträdet ska säkerställa konfidentialitet, integritet och tillgänglighet av Personuppgifter enligt den dataskyddslagstiftning som gäller för Personuppgiftsbiträdet. Personuppgiftsbiträdet ska genomföra systematiska, organisatoriska och tekniska åtgärder för att säkerställa en rimlig säkerhetsnivå, med hänsyn tagen till den senaste tekniken och implementationskostnader i förhållande till den risk som Behandlingen innebär, och typen av Personuppgifter som ska skyddas. Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig med lämpliga tekniska och organisatoriska åtgärder, så långt det är möjligt med hänsyn tagen till typ av Behandling behandling och den information informationen som är tillgänglig för Personuppgiftsbiträdet, för att uppfylla Personuppgiftsansvarigs skyldigheter enligt gällande dataskyddslagstiftning avseende förfrågningar från Registrerade och allmänt dataskydd enligt dataskyddsförordningen artikel 32-36. Om Personuppgiftsansvarig behöver information om säkerhetsåtgärder, dokumentation eller annan information om hur Personuppgiftsbiträdet Behandlar Personuppgifterbehandlar personuppgifter, och sådana förfrågningar innebär mer information än den standardinformation som tillhandahålls av Personuppgiftsbiträdet för att följa gällande dataskyddslagstiftning som Personuppgiftsbiträde, och det innebär mer arbete för Personuppgiftsbiträdet, kan Personuppgiftsbiträdet debitera Personuppgiftsansvarig för sådana ytterligare tjänster. Personuppgiftsbiträdet och dennes personal ska säkerställa konfidentialitet av Personuppgifter som Behandlas behandlas under detta Personuppgiftsbiträdesavtalavtal. Detta villkor gäller även efter att Personuppgiftsbiträdesavtalet avtalet upphört att gälla. Personuppgiftsbiträdet ska, genom att skyndsamt och utan onödigt dröjsmål meddela Personuppgiftsansvarig, göra det möjligt för Personuppgiftsansvarig att uppfylla de rättsliga krav som gäller för information till relevanta dataskyddsmyndigheter och Registrerade registrerade rörande personuppgiftsincidenter. Vidare ska Personuppgiftsbiträdet, i den utsträckning det är praktiskt möjligt och lagligt, meddela Personuppgiftsansvarig om;

Personuppgiftsbiträdets skyldigheter. 3.1 Personuppgiftsbiträdet får åtar sig att endast Behandla Personuppgifter på uppdrag av och i enlighet med Personuppgiftsansvarigs instruktioner. Genom att ingå den Personuppgiftsansvariges dokumenterade instruktioner och bestämmelserna i detta Personuppgiftsbiträdesavtal instruerar Personuppgiftsansvarig och i Anslutningsavtalet. Personuppgiftsbiträdet ska inte Behandla Personuppgifter för vilka den Personuppgiftsansvarige är Personuppgiftsansvarig, för några andra ändamål. 3.2 För det fall den Personuppgiftsansvarige inkommer med nya instruktioner som går utöver vad som följer av detta Personuppgiftsbiträdesavtal eller Anslutningsavtalet, ska Personuppgiftsbiträdet ha rätt till ersättning i enlighet med Personuppgiftsbiträdets vid var tid gällande prislista eller enligt överenskommelse mellan Xxxxxxxx. 3.3 Oaktat vad som anges i punkten 3.1 ovan har Personuppgiftsbiträdet rätt att Behandla Personuppgifter på följande sätt: i) endast i enlighet med gällande lag, ii) den utsträckning som det krävs för att Personuppgiftsbiträdet ska kunna uppfylla alla förpliktelser skyldigheter som åvilar Personuppgiftsbiträdet och som följer av från tid till annan Tillämplig Lagstiftning. Det ankommer dock på Personuppgiftsbiträdet att informera den Personuppgiftsansvarige om den rättsliga skyldigheten, såvida inte Personuppgiftsbiträdet är förhindrad enligt Tjänsteavtal, iii) som vidare specificerat genom Personuppgiftsansvarigs normala användning Tillämplig Lagstiftning att lämna sådan information. 3.4 Oaktat bestämmelser om lagval enligt Anslutningsavtalet ska Tillämplig Personupp- giftslagstiftning gälla för Behandlingen av Personuppgiftsbiträdets tjänster och iv) på så sätt som anges i detta Personuppgiftsbiträdesavtal. Personuppgiftsbiträdet har ingen anledning att tro att det finns lagstiftning som förhindrar att Personuppgiftsbiträdet följer de ovan angivna instruktionerna. Personuppgiftsbiträdet ska, efter att ha blivit medveten om det, informera Personuppgiftsansvarig i de fall Personuppgiftsansvarigs instruktioner eller Behandling, enligt Personuppgiftsbiträdet, strider mot gällande dataskyddslagstiftning. De kategorier av Registrerade och Personuppgifter som omfattas av Behandling i detta Personupp- giftsbiträdesavtal. 3.5 Personuppgiftsbiträdet ska informera den Personuppgiftsansvarige om Personuppgiftsbiträdet inte kan uppfylla sina skyldigheter enligt detta Personuppgiftsbiträdesavtal framgår eller om Personuppgiftsbiträdet anser att en instruktion som den Personuppgiftsansvarige har lämnat avseende Behandlingen av Bilaga A. Personuppgifter skulle stå i strid med Tillämplig Personuppgiftslagstiftning, såvida inte Personuppgiftsbiträdet är förhindrad att lämna sådan information till den Personuppgiftsansvarige enligt Tillämplig Lagstiftning. 3.6 Personuppgiftsbiträdet ska säkerställa konfidentialitet, integritet och tillgänglighet av Personuppgifter enligt utan dröjsmål informera den dataskyddslagstiftning Personuppgiftsansvarige i de fall tillsynsmyndigheten inleder en granskning hos Personuppgiftsbiträdet avseende den behandling som gäller Personuppgiftsbiträdet utför för Personuppgiftsbiträdet. Personuppgiftsbiträdet ska genomföra systematiska, organisatoriska och tekniska åtgärder för att säkerställa en rimlig säkerhetsnivå, med hänsyn tagen till den senaste tekniken och implementationskostnader i förhållande till den risk som Behandlingen innebär, och typen av Personuppgifter som ska skyddas. Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig med lämpliga tekniska och organisatoriska åtgärder, så långt det är möjligt med hänsyn tagen till typ av Behandling och den information som är tillgänglig för Personuppgiftsbiträdet, för att uppfylla Personuppgiftsansvarigs skyldigheter enligt gällande dataskyddslagstiftning avseende förfrågningar från Registrerade och allmänt dataskydd enligt dataskyddsförordningen artikel 32-36. Om Personuppgiftsansvarig behöver information om säkerhetsåtgärder, dokumentation eller annan information om hur Personuppgiftsbiträdet Behandlar Personuppgifter, och sådana förfrågningar innebär mer information än den standardinformation som tillhandahålls av Personuppgiftsbiträdet för att följa gällande dataskyddslagstiftning som Personuppgiftsbiträde, och det innebär mer arbete för Personuppgiftsbiträdet, kan Personuppgiftsbiträdet debitera Personuppgiftsansvarig för sådana ytterligare tjänster. Personuppgiftsbiträdet och dennes personal ska säkerställa konfidentialitet av Personuppgifter som Behandlas under detta Personuppgiftsbiträdesavtal. Detta villkor gäller även efter att Personuppgiftsbiträdesavtalet upphört att gälla. Personuppgiftsbiträdet ska, genom att skyndsamt och utan onödigt dröjsmål meddela Personuppgiftsansvarig, göra det möjligt för Personuppgiftsansvarig att uppfylla de rättsliga krav som gäller för information till relevanta dataskyddsmyndigheter och Registrerade rörande personuppgiftsincidenter. Vidare ska Personuppgiftsbiträdet, i den utsträckning det är praktiskt möjligt och lagligt, meddela Personuppgiftsansvarig om;Personuppgiftsansvariges räkning.

Personuppgiftsbiträdets skyldigheter. 4.1. Personuppgiftsbiträdet garanterar att denne besitter nödvändig kapacitet och förmåga att fullgöra sina skyldigheter enligt detta Personuppgiftsbiträdesavtal, Tillämplig Dataskyddslagstiftning och Tillämpliga Registerförfattningar samt att denne, med beaktande av behandlingens art, omfattning, aktuella ändamål och risker, löpande vidtar sådana tekniska och organisatoriska åtgärder som kan anses nödvändiga för att skydda personuppgifterna i enlighet med kraven i Tillämplig Dataskyddslagstiftning. Säkerhetskraven ska motsvara den nivå som behörig tillsynsmyndighet normalt kräver för motsvarande behandlingar. Parterna är medvetna om att de personuppgifter som kan komma att behandlas inom ramen för detta avtal kan omfatta sådana som avses i artikel 9.1. EU:s dataskyddsförordning, såsom enskildas hälsa. 4.2. Personuppgiftsbiträdet får endast Behandla Personuppgifter på uppdrag behandla personuppgifterna som omfattas av detta Personuppgiftsbiträdesavtal i syfte att fullgöra de skyldigheter som följer av Huvudavtalet och detta Personuppgiftsbiträdesavtal samt i enlighet med vid var tid Tillämplig Dataskyddslagstiftning, Tillämpliga Registerförfattningar, annan tvingande lag samt Personuppgiftsansvarigs givna instruktioner. 4.3. Vid behandlingen av personuppgifter enligt detta Personuppgiftsbiträdesavtal ansvarar Personuppgiftsbiträdet särskilt för att: (i) endast behandla personuppgifter i enlighet med Personuppgiftsansvarigs dokumenterade säkerhetsföreskrifter, instruktioner och rutiner, innefattande från tid till annan gjorda tillägg och ändringar. Gällande säkerhetsföreskrifter, instruktioner och rutiner finns beskrivna i detta Personuppgiftsbiträdesavtal, Huvudavtalet samt Handboken. Personuppgiftsansvarig kan ändra eller utfärda ytterligare skriftliga instruktioner som det åligger Personuppgiftsbiträdet att följa. a. Om Personuppgiftsbiträdet anser att Personuppgiftsansvarigs instruktioner står i strid med Tillämplig Dataskyddslagstiftning eller Tillämpliga Registerförfattningar ska Personuppgiftsbiträdet omgående påtala detta för Personuppgiftsansvarig. (ii) vidta åtgärder för att begränsa åtkomst till personuppgifterna till sådan personal som behöver åtkomst till personuppgifterna för att fullgöra sina arbetsuppgifter, samt säkerställa att sådan behörig personal endast behandlar personuppgifterna på givna instruktioner. Genom Personuppgiftsbiträdet ska säkerställa att ingå all behörig personal får information om gällande säkerhetsföreskrifter och rutiner. (iii) vidta åtgärder för att skydda personuppgifterna mot förstöring, ändringar, otillåten spridning och obehörig tillgång samt tillse att det finns rutiner för åtkomstkontroll och loggning. Personuppgiftsbiträdet ska vidta tekniska och praktiska lösningar för att utreda misstankar om att någon obehörigen behandlat eller haft obehörig åtkomst till personuppgifterna. (iv) bistå Personuppgiftsansvarig att fullgöra sina skyldigheter enligt Tillämplig Dataskyddslagstiftning och Tillämpliga Registerförfattningar, t.ex. gentemot de registrerade när dessa utövar sina rättigheter enligt lagstiftningen. (v) upprätthålla ett register över all personuppgiftsbehandling som sker på uppdrag av Personuppgiftsansvarig, samt att på Personuppgiftsansvarigs eller behörig tillsynsmyndighets uttryckliga begäran överlämna ett läsbart registerutdrag. (vi) skriftligen och i förväg informera Personuppgiftsansvarig om planerade förändringar av behandlingsförfarandet, däribland tekniska och organisatoriska förändringar som direkt eller indirekt kan påverka skyddet av personuppgifterna och den Personuppgiftsansvariges efterlevnad av Tillämplig Dataskyddslagstiftning och Tillämpliga Registerförfattningar. (vii) efter avslutad behandling återlämna och/eller radera eller förstöra alla personuppgifter som omfattats av detta Personuppgiftsbiträdesavtal instruerar på det sätt som Personuppgiftsansvarig väljer och meddelar Personuppgiftsbiträdet att Behandla Personuppgifter på följande sätt: i) endast i enlighet med gällande lag, ii) för att uppfylla alla förpliktelser enligt Tjänsteavtal, iii) som vidare specificerat genom Personuppgiftsansvarigs normala användning av Personuppgiftsbiträdets tjänster och iv) på så sätt om vid det aktuella tillfället. 4.4. Utöver vad som anges i detta Personuppgiftsbiträdesavtalpunkt 4.3. Personuppgiftsbiträdet har ingen anledning att tro att det finns lagstiftning som förhindrar att Personuppgiftsbiträdet följer de ovan angivna instruktionerna. Personuppgiftsbiträdet ska, efter att ha blivit medveten om det, informera Personuppgiftsansvarig i de fall Personuppgiftsansvarigs instruktioner eller Behandling, enligt ansvarar Personuppgiftsbiträdet, strider mot gällande dataskyddslagstiftning. De kategorier vid förmedling av Registrerade och Personuppgifter som omfattas av Behandling i detta Personuppgiftsbiträdesavtal framgår av Bilaga A. Personuppgiftsbiträdet ska säkerställa konfidentialitetdirektåtkomst till enskilda, integritet och tillgänglighet av Personuppgifter enligt den dataskyddslagstiftning som gäller särskilt för Personuppgiftsbiträdet. Personuppgiftsbiträdet ska genomföra systematiska, organisatoriska och tekniska att: (i) vidta åtgärder för att säkerställa en rimlig säkerhetsnivåden enskildes identitet genom s.k. stark autentisering och tillse att den enskilde endast får direktåtkomst till personuppgifter om sig själv, med hänsyn tagen eller, om fullmakt föreligger, till personuppgifter om den senaste tekniken och implementationskostnader i förhållande till person som den risk som Behandlingen innebär, och typen av Personuppgifter som ska skyddas. Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig med lämpliga tekniska och organisatoriska åtgärder, så långt det är möjligt med hänsyn tagen till typ av Behandling och den information som är tillgänglig för Personuppgiftsbiträdet, enskilde har fullmakt för, (ii) vidta åtgärder för att uppfylla Personuppgiftsansvarigs skyldigheter enligt gällande dataskyddslagstiftning avseende förfrågningar från Registrerade och allmänt dataskydd enligt dataskyddsförordningen artikel 32-36. Om Personuppgiftsansvarig behöver information om säkerhetsåtgärdersäkerställa att behörig personal eller andra som kommer i kontakt med hanteringen av personuppgifterna, dokumentation inte läser informationen eller annan information om hur Personuppgiftsbiträdet Behandlar Personuppgifter, och sådana förfrågningar innebär mer information tar del av informationsinnehållet på annat sätt än vad som krävs tekniskt för förmedlingen, (iii) tillse att personuppgifterna i de aktuella registren presenteras i samlat skick för den standardinformation som tillhandahålls av Personuppgiftsbiträdet för enskilde samt att följa gällande dataskyddslagstiftning som Personuppgiftsbiträde, och det innebär mer arbete för Personuppgiftsbiträdet, kan Personuppgiftsbiträdet debitera Personuppgiftsansvarig för sådana ytterligare tjänster. Personuppgiftsbiträdet och dennes personal ska säkerställa konfidentialitet av Personuppgifter som Behandlas under detta Personuppgiftsbiträdesavtal. Detta villkor gäller även efter att Personuppgiftsbiträdesavtalet upphört att gälla. Personuppgiftsbiträdet ska, genom att skyndsamt och utan onödigt dröjsmål meddela Personuppgiftsansvarig, göra det möjligt för Personuppgiftsansvarig att uppfylla de rättsliga krav som gäller för information till relevanta dataskyddsmyndigheter och Registrerade rörande personuppgiftsincidenter. Vidare ska Personuppgiftsbiträdet, i den utsträckning det är praktiskt möjligt och lagligt, meddela Personuppgiftsansvarig om;personuppgifterna inte förändras eller förvanskas vid presentationen.

Personuppgiftsbiträdets skyldigheter. 4.1 Personuppgiftsbiträdet får ska endast Behandla behandla Personuppgifter på uppdrag i den utsträckning som det är nödvändigt för utförandet av Uppdraget, och endast i enlighet med Personuppgiftsansvarigs vid var tid givna dokumenterade instruktioner. Genom Personuppgiftsbiträdet får inte behandla Personuppgifter för annat ändamål än de som Personuppgiftsansvarig givit instruktioner om. 4.2 Om Personuppgiftsbiträdet bedömer att ingå det saknas instruktioner om hur Personuppgiftsbiträdet ska Behandla Personuppgifter som är nödvändiga för att fullgöra Uppdraget eller sina åtaganden enligt detta Personuppgiftsbiträdesavtal instruerar Biträdesavtal, ska Personuppgiftsbiträdet informera Personuppgiftsansvarig om sin inställning och invänta Personuppgiftsansvarigs vidare skriftliga instruktioner. Personuppgiftsbiträdet åtar sig vidare att informera Personuppgiftsansvarig om Personuppgiftsbiträdet anser att en av Personuppgiftsansvarig lämnad instruktion strider mot Personuppgiftslagstiftning eller medlemsstats nationella rätt som Personuppgiftsbiträdet omfattas av. 4.3 Personuppgiftsbiträdet får vägra att behandla Personuppgifter för den Personuppgiftsansvariges räkning om Personuppgiftsbiträdet bedömer att sådan behandling skulle vara i strid med Personuppgiftslagstiftning. Den förändring av Personuppgiftsbiträdets utförande av sina åtaganden under Tjänsteavtalet som sådan vägran skulle innebära ger inte Personuppgiftsansvarig rätt att hävda brist i Personuppgiftsbiträdets utförande under Tjänsteavtalet. Överenskomna avgifter ska erläggas ändå. 4.4 För det fall Personuppgiftsbiträdet behandlar Personuppgifter utöver eller i strid med Personuppgiftsansvariges instruktioner, på grund av krav enligt unionsrätten eller enligt en medlemsstats nationella rätt som Personuppgiftsbiträdet omfattas av, åtar sig Personuppgiftsbiträdet att Behandla Personuppgifter på följande sätt: i) endast i enlighet informera Personuppgiftsansvarig om det rättsliga kravet innan Personuppgifterna behandlas, såvida sådan information inte är förbjuden med gällande laghänvisning till ett viktigt allmänintresse enligt denna rätt. 4.5 För det fall myndighet, ii) för att uppfylla alla förpliktelser enligt TjänsteavtalRegistrerad eller annan tredje man begär information från Personuppgiftsbiträdet som rör behandling av Personuppgifterna, iii) som vidare specificerat genom Personuppgiftsansvarigs normala användning av Personuppgiftsbiträdets tjänster och iv) på så sätt som anges i detta Personuppgiftsbiträdesavtalska Personuppgiftsbiträdet utan onödigt dröjsmål hänvisa till Personuppgiftsansvarig. Personuppgiftsbiträdet har ingen anledning att tro att det finns lagstiftning som förhindrar att Personuppgiftsbiträdet följer de ovan angivna instruktionerna. Personuppgiftsbiträdet ska, efter att ha blivit medveten får endast lämna ut Personuppgifter eller information om det, informera Personuppgiftsansvarig i de fall Personuppgiftsansvarigs instruktioner eller Behandling, enligt Personuppgiftsbiträdet, strider mot gällande dataskyddslagstiftning. De kategorier av Registrerade och Personuppgifter som omfattas av Behandling i detta Personuppgiftsbiträdesavtal framgår av Bilaga A. Personuppgiftsbiträdet ska säkerställa konfidentialitet, integritet och tillgänglighet behandling av Personuppgifter enligt den dataskyddslagstiftning instruktion från Personuppgiftsansvarig eller om Personuppgiftsbiträdet är skyldig att lämna ut aktuell uppgift enligt Personuppgiftslagstiftning eller medlemsstats nationella rätt som gäller för Personuppgiftsbiträdet. Personuppgiftsbiträdet omfattas av. 4.6 Personuppgiftsbiträdet ska genomföra systematiskautan onödigt dröjsmål efter att Personuppgiftsbiträdet fått vetskap om Personuppgiftsincident skriftligen underrätta Personuppgiftsansvarig. I sådan händelse ska Personuppgiftsbiträdet på Personuppgiftsansvarigs bekostnad och om Personuppgiftsansvarig begär det, organisatoriska utöver att underrätta Personuppgiftsansvarig om att Personuppgiftsincident har inträffat, bistå Personuppgiftsansvarig vid fullgörande av Personuppgiftsansvarigs skyldigheter enligt artiklarna 33 och tekniska åtgärder för 34 i Dataskyddsförordningen. 4.7 Personuppgiftsbiträdet åtar sig vidare att säkerställa en rimlig säkerhetsnivå, med hänsyn tagen till den senaste tekniken och implementationskostnader i förhållande till den risk som Behandlingen innebär, och typen av Personuppgifter som ska skyddas. Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig med lämpliga tekniska att se till att skyldigheterna enligt artiklarna 35 (konsekvensbedömning) och organisatoriska åtgärder36 (förhandssamråd) i Dataskyddsförordningen fullgörs, så långt det är möjligt med hänsyn tagen till typ beaktande av Behandling och den information som är tillgänglig för Personuppgiftsbiträdet, för Personuppgiftsbiträdet har att uppfylla Personuppgiftsansvarigs skyldigheter enligt gällande dataskyddslagstiftning avseende förfrågningar från Registrerade och allmänt dataskydd enligt dataskyddsförordningen artikel 32-36. Om Personuppgiftsansvarig behöver information om säkerhetsåtgärder, dokumentation eller annan information om hur tillgå. 4.8 Personuppgiftsbiträdet Behandlar Personuppgifter, och sådana förfrågningar innebär mer information än den standardinformation som tillhandahålls av Personuppgiftsbiträdet för åtar sig att följa gällande dataskyddslagstiftning som Personuppgiftsbiträde, och det innebär mer arbete för Personuppgiftsbiträdet, kan Personuppgiftsbiträdet debitera Personuppgiftsansvarig för sådana ytterligare tjänsterhålla sig uppdaterad om Personuppgiftslagstiftning. Personuppgiftsbiträdet och dennes personal ska säkerställa konfidentialitet åtar sig också att samarbete med Tillsynsmyndigheten vid dess utövande av Personuppgifter som Behandlas under detta Personuppgiftsbiträdesavtal. Detta villkor gäller även efter att Personuppgiftsbiträdesavtalet upphört att gälla. Personuppgiftsbiträdet ska, genom att skyndsamt och utan onödigt dröjsmål meddela Personuppgiftsansvarig, göra det möjligt för Personuppgiftsansvarig att uppfylla de rättsliga krav som gäller för information till relevanta dataskyddsmyndigheter och Registrerade rörande personuppgiftsincidenter. Vidare ska Personuppgiftsbiträdet, i den utsträckning det är praktiskt möjligt och lagligt, meddela Personuppgiftsansvarig om;tillsyn avseende behandling av Personuppgifter.

Personuppgiftsbiträdets skyldigheter. 3.1 Personuppgiftsbiträdet får åtar sig att endast Behandla Personuppgifter på uppdrag av och i enlighet med Personuppgiftsansvarigs instruktioner. Genom att ingå den Personuppgiftsansvariges dokumenterade instruktioner och bestämmelser i detta Personuppgiftsbiträdesavtal instruerar Personuppgiftsansvarig och i Huvudavtalet. Personuppgiftsbiträdet ska inte Behandla Personuppgifter för vilka den Personuppgiftsansvarige är Personuppgiftsansvarig, för några andra ändamål. 3.2 För det fall den Personuppgiftsansvarige inkommer med nya instruktioner som går utöver vad som följer av detta Personuppgiftsbiträdesavtal eller Huvudavtalet, ska Personuppgiftsbiträdet ha rätt till ersättning i enlighet med Personuppgiftsbiträdets vid var tid gällande prislista eller enligt överenskommelse mellan parterna. 3.3 Oaktat vad som anges i punkten 3.1 ovan har Personuppgiftsbiträdet rätt att Behandla Personuppgifter på följande sätt: i) endast i enlighet med gällande lag, ii) den utsträckning som krävs för att Personuppgifts- biträdet ska kunna uppfylla alla förpliktelser skyldigheter som åvilar Personuppgiftsbiträdet och som följer av från tid till annan Tillämplig Lagstiftning. Det ankommer dock på Personuppgiftsbiträdet att informera den Personuppgiftsansvarige om den rättsliga skyldigheten, såvida inte Personuppgiftsbiträdet är förhindrad enligt Tjänsteavtal, iii) som vidare specificerat genom Personuppgiftsansvarigs normala användning Tillämplig Lagstiftning att lämna sådan information. 3.4 Oaktat bestämmelser om lagval enligt Huvudavtalet ska Tillämplig Personuppgifts- Lagstiftning gälla för Behandlingen av Personuppgiftsbiträdets tjänster och iv) på så sätt som anges i detta Personuppgiftsbiträdesavtal. Personuppgiftsbiträdet har ingen anledning att tro att det finns lagstiftning som förhindrar att Personuppgiftsbiträdet följer de ovan angivna instruktionerna. Personuppgiftsbiträdet ska, efter att ha blivit medveten om det, informera Personuppgiftsansvarig i de fall Personuppgiftsansvarigs instruktioner eller Behandling, enligt Personuppgiftsbiträdet, strider mot gällande dataskyddslagstiftning. De kategorier av Registrerade och Personuppgifter som omfattas av Behandling i detta Personuppgiftsbiträdesavtal framgår av Bilaga A. Personuppgiftsbiträdesavtal. 3.5 Personuppgiftsbiträdet ska säkerställa konfidentialitet, integritet och tillgänglighet informera den Personuppgiftsansvarige om Personuppgiftsbiträdet inte kan uppfylla sina skyldigheter enligt detta Personuppgifts- biträdesavtal eller om Personuppgiftsbiträdet anser att en instruktion som den Personuppgiftsansvarige har lämnat avseende Behandlingen av Personuppgifter enligt den dataskyddslagstiftning som gäller för Personuppgiftsbiträdet. Personuppgiftsbiträdet ska genomföra systematiskaskulle stå i strid med Tillämplig Personuppgiftslagstiftning, organisatoriska och tekniska åtgärder för såvida inte Personuppgifts- biträdet är förhindrad att säkerställa en rimlig säkerhetsnivå, med hänsyn tagen lämna sådan information till den senaste tekniken och implementationskostnader i förhållande till den risk som Behandlingen innebär, och typen av Personuppgifter som ska skyddas. Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig med lämpliga tekniska och organisatoriska åtgärder, så långt det är möjligt med hänsyn tagen till typ av Behandling och den information som är tillgänglig för Personuppgiftsbiträdet, för att uppfylla Personuppgiftsansvarigs skyldigheter Personuppgiftsansvarige enligt gällande dataskyddslagstiftning avseende förfrågningar från Registrerade och allmänt dataskydd enligt dataskyddsförordningen artikel 32-36. Om Personuppgiftsansvarig behöver information om säkerhetsåtgärder, dokumentation eller annan information om hur Personuppgiftsbiträdet Behandlar Personuppgifter, och sådana förfrågningar innebär mer information än den standardinformation som tillhandahålls av Personuppgiftsbiträdet för att följa gällande dataskyddslagstiftning som Personuppgiftsbiträde, och det innebär mer arbete för Personuppgiftsbiträdet, kan Personuppgiftsbiträdet debitera Personuppgiftsansvarig för sådana ytterligare tjänster. Personuppgiftsbiträdet och dennes personal ska säkerställa konfidentialitet av Personuppgifter som Behandlas under detta Personuppgiftsbiträdesavtal. Detta villkor gäller även efter att Personuppgiftsbiträdesavtalet upphört att gälla. Personuppgiftsbiträdet ska, genom att skyndsamt och utan onödigt dröjsmål meddela Personuppgiftsansvarig, göra det möjligt för Personuppgiftsansvarig att uppfylla de rättsliga krav som gäller för information till relevanta dataskyddsmyndigheter och Registrerade rörande personuppgiftsincidenter. Vidare ska Personuppgiftsbiträdet, i den utsträckning det är praktiskt möjligt och lagligt, meddela Personuppgiftsansvarig om;Tillämplig Lagstiftning.

Personuppgiftsbiträdets skyldigheter. Personuppgiftsbiträdet får endast ska beakta vad som anges i den särskilda instruktionen till personuppgiftsbiträdet, se avsnitt 5 nedan. Utöver vad som i övrigt framgår av Avtalet åligger det Personuppgiftsbiträdet att: a) tillse att Behandlingen av Personuppgifter sker i enlighet med tillämplig Personuppgiftslagstiftning; b) bistå den Personuppgiftsansvarige med att tillse att skyldigheterna enligt tillämplig Personuppgiftslagstiftning fullgörs, med beaktande av typen av Behandling och den information som Personuppgiftsbiträdet har att tillgå; c) enbart Behandla Personuppgifter på uppdrag av Personuppgifterna för den Personuppgiftsansvariges räkning och i enlighet med Personuppgiftsansvarigs instruktionerden Personuppgiftsansvariges dokumenterade instruktioner (vilket för tydlighetens skull ska innebära att Behandlingen endast sker för det ändamål som den Personuppgiftsansvarige har bestämt). Genom Om Personuppgiftsbiträdet inte uppfyller de instruktioner som biträdet har fått ska Personuppgiftsbiträdet omedelbart informera den Personuppgiftsansvarige om detta, varpå den Personuppgiftsansvarige har rätt att ingå detta Personuppgiftsbiträdesavtal instruerar Personuppgiftsansvarig tillfälligt stoppa Behandlingen, kräva återlämning av Personuppgifterna och/eller helt säga upp Avtalet; d) omedelbart informera den Personuppgiftsansvarige om Personuppgiftsbiträdet anser att Behandla en instruktion strider mot tillämplig Personuppgiftslagstiftning; e) utan onödigt dröjsmål underrätta den Personuppgiftsansvarige om Personuppgiftsbiträdet upptäcker fullbordade fall av eller försök till obehörig åtkomst till Personuppgifter; f) utan dröjsmål besvara alla frågor från den Personuppgiftsansvarige som rör Behandlingen av Personuppgifter på följande sätt: samt ge den Personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som fastställs i tillämplig Personuppgiftslagstiftning har fullgjorts; g) föra ett register över alla kategorier av Behandling som utförs för den Personuppgiftsansvariges räkning omfattande namn och kontaktuppgifter, i tillämpliga fall överföringar av Personuppgifter till Tredje land eller en internationell organisation och om möjligt, en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder; h) införa behörighetskontroll och loggning av de system där Personuppgifter Behandlas i syfte att möjliggöra för den Personuppgiftsansvarige att granska och säkerställa integritet och konfidentialitet för Personuppgifterna, inbegripet skydd mot avsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till Behandlade personuppgifter; i) endast på begäran av den Personuppgiftsansvarige, möjliggöra och bidra till granskning av de anläggningar där Behandling av Personuppgifter sker i syfte att säkerställa samt visa på att Behandlingen sker i enlighet med gällande lagAvtalet och att de skyldigheter som fastställs i tillämplig Personuppgiftslagstiftning har fullgjorts. Revisionen ska utföras av den Personuppgiftsansvarige, iieller den/de som bemyndigats av den Personuppgiftsansvarige, förutsatt att dessa är bundna av adekvat sekretessavtal; j) för implementera lämpliga tekniska och organisatoriska åtgärder i syfte att uppfylla alla förpliktelser enligt Tjänsteavtalsäkerställa att och kunna visa på att Personuppgifter inte Behandlas på ett otillåtet eller olagligt sätt, iii) som vidare specificerat genom Personuppgiftsansvarigs normala användning av Personuppgiftsbiträdets tjänster och iv) eller på så sätt som anges gör att de riskerar att komma i detta Personuppgiftsbiträdesavtal. Personuppgiftsbiträdet har ingen anledning att tro att det finns lagstiftning som förhindrar att Personuppgiftsbiträdet följer de ovan angivna instruktionerna. Personuppgiftsbiträdet skaorätta händer, efter att ha blivit medveten om det, informera Personuppgiftsansvarig i de fall Personuppgiftsansvarigs instruktioner eller Behandling, enligt Personuppgiftsbiträdet, strider mot gällande dataskyddslagstiftning. De kategorier av Registrerade och Personuppgifter som omfattas av Behandling i detta Personuppgiftsbiträdesavtal framgår av Bilaga A. Personuppgiftsbiträdet ska säkerställa konfidentialitet, integritet och tillgänglighet av Personuppgifter enligt den dataskyddslagstiftning som gäller för Personuppgiftsbiträdet. Personuppgiftsbiträdet ska genomföra systematiska, organisatoriska och tekniska åtgärder för att säkerställa en rimlig säkerhetsnivå, att dessa (med hänsyn tagen till beaktande av den senaste tekniken utvecklingen, genomförandekostnaderna och implementationskostnader Behandlingens art, omfattning, sammanhang och ändamål) håller en säkerhetsnivå som är lämplig i förhållande till risken för fysiska personers rättigheter och friheter; k) utan dröjsmål hänvisa till den risk Personuppgiftsansvarige om tredje man begär information från Personuppgiftsbiträdet som rör Behandlingen innebärav Personuppgifter, om inte ett sådant meddelande är otillåtet under straffansvar (t.ex. för att bevara sekretess i en brottsundersökning) samt på begäran samarbeta med ansvarig tillsynsmyndighet vid utförandet av dennes uppgifter och typen av Personuppgifter som ska skyddas. Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig med utan dröjsmål informera den Personuppgiftsansvarige om detta; l) hjälpa den Personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så långt det är möjligt att den Personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter enligt tillämplig Personuppgiftslagstiftning; m) inte överföra Personuppgifterna till Tredje land utan skriftligt godkännande av den Personuppgiftsansvarige; samt n) säkerställa att endast personer med hänsyn tagen till typ av Behandling och den information som är tillgänglig för Personuppgiftsbiträdet, för att uppfylla Personuppgiftsansvarigs skyldigheter enligt gällande dataskyddslagstiftning avseende förfrågningar från Registrerade och allmänt dataskydd enligt dataskyddsförordningen artikel 32-36. Om Personuppgiftsansvarig behöver information om säkerhetsåtgärder, dokumentation eller annan information om hur Personuppgiftsbiträdet Behandlar behörighet får Behandla Personuppgifter, genom införande av behörighetskontroll och sådana förfrågningar innebär mer information än den standardinformation som tillhandahålls loggning av Personuppgiftsbiträdet för de system där Personuppgifter Behandlas, samt tillse att följa gällande dataskyddslagstiftning som Personuppgiftsbiträde, och det innebär mer arbete för Personuppgiftsbiträdet, kan Personuppgiftsbiträdet debitera Personuppgiftsansvarig för sådana ytterligare tjänster. Personuppgiftsbiträdet och dennes personal ska säkerställa dessa har åtagit sig att iaktta konfidentialitet eller omfattas av Personuppgifter som Behandlas under detta Personuppgiftsbiträdesavtal. Detta villkor gäller även efter att Personuppgiftsbiträdesavtalet upphört att gälla. Personuppgiftsbiträdet ska, genom att skyndsamt och utan onödigt dröjsmål meddela Personuppgiftsansvarig, göra det möjligt för Personuppgiftsansvarig att uppfylla de rättsliga krav som gäller för information till relevanta dataskyddsmyndigheter och Registrerade rörande personuppgiftsincidenter. Vidare ska Personuppgiftsbiträdet, i den utsträckning det är praktiskt möjligt och lagligt, meddela Personuppgiftsansvarig om;en lämplig lagstadgad tystnadsplikt.

Personuppgiftsbiträdets skyldigheter. 3.1 Personuppgiftsbiträdet får åtar sig att endast Behandla Personuppgifter på uppdrag av och i enlighet med Personuppgiftsansvarigs instruktioner. Genom att ingå den Personuppgiftsansvariges dokumenterade instruktioner och bestämmelserna i detta Personuppgiftsbiträdesavtal instruerar Personuppgiftsansvarig och i Anslutningsavtalet. Personuppgiftsbiträdet ska inte Behandla Personuppgifter för vilka den Personuppgiftsansvarige är Personuppgiftsansvarig, för några andra ändamål. 3.2 För det fall den Personuppgiftsansvarige inkommer med nya instruktioner som går utöver vad som följer av detta Personuppgiftsbiträdesavtal eller Anslutningsavtalet, ska Personuppgiftsbiträdet ha rätt till ersättning i enlighet med Personuppgiftsbiträdets vid var tid gällande prislista (se Bilaga 1 punkt 11) eller enligt särskild överenskommelse mellan Parterna. 3.3 Oaktat vad som anges i punkten 3.1 ovan har Personuppgiftsbiträdet rätt att Behandla Personuppgifter på följande sätt: i) endast i enlighet med gällande lag, ii) den utsträckning som det krävs för att Personuppgiftsbiträdet ska kunna uppfylla alla förpliktelser skyldigheter som åvilar Personuppgiftsbiträdet och som följer av från tid till annan Tillämplig Lagstiftning. Det ankommer dock på Personuppgiftsbiträdet att informera den Personuppgiftsansvarige om den rättsliga skyldigheten, såvida inte Personuppgiftsbiträdet är förhindrad enligt Tjänsteavtal, iii) som vidare specificerat genom Personuppgiftsansvarigs normala användning Tillämplig Lagstiftning att lämna sådan information. 3.4 Oaktat bestämmelser om lagval enligt Anslutningsavtalet ska Tillämplig Personupp- giftslagstiftning gälla för Behandlingen av Personuppgiftsbiträdets tjänster och iv) på så sätt som anges i detta Personuppgiftsbiträdesavtal. Personuppgiftsbiträdet har ingen anledning att tro att det finns lagstiftning som förhindrar att Personuppgiftsbiträdet följer de ovan angivna instruktionerna. Personuppgiftsbiträdet ska, efter att ha blivit medveten om det, informera Personuppgiftsansvarig i de fall Personuppgiftsansvarigs instruktioner eller Behandling, enligt Personuppgiftsbiträdet, strider mot gällande dataskyddslagstiftning. De kategorier av Registrerade och Personuppgifter som omfattas av Behandling i detta Personupp- giftsbiträdesavtal. 3.5 Personuppgiftsbiträdet ska informera den Personuppgiftsansvarige om Personuppgiftsbiträdet inte kan uppfylla sina skyldigheter enligt detta Personuppgiftsbiträdesavtal framgår eller om Personuppgiftsbiträdet anser att en instruktion som den Personuppgiftsansvarige har lämnat avseende Behandlingen av Bilaga A. Personuppgifter skulle stå i strid med Tillämplig Personuppgiftslagstiftning, såvida inte Personuppgiftsbiträdet är förhindrad att lämna sådan in- formation till den Personuppgiftsansvarige enligt Tillämplig Lagstiftning. 3.6 Personuppgiftsbiträdet ska säkerställa konfidentialitet, integritet och tillgänglighet av Personuppgifter enligt utan dröjsmål informera den dataskyddslagstiftning Personuppgiftsansvarige i de fall tillsynsmyndigheten inleder en granskning hos Personuppgiftsbiträdet avseende den behandling som gäller Personuppgiftsbiträdet utför för Personuppgiftsbiträdet. Personuppgiftsbiträdet ska genomföra systematiska, organisatoriska och tekniska åtgärder för att säkerställa en rimlig säkerhetsnivå, med hänsyn tagen till den senaste tekniken och implementationskostnader i förhållande till den risk som Behandlingen innebär, och typen av Personuppgifter som ska skyddas. Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig med lämpliga tekniska och organisatoriska åtgärder, så långt det är möjligt med hänsyn tagen till typ av Behandling och den information som är tillgänglig för Personuppgiftsbiträdet, för att uppfylla Personuppgiftsansvarigs skyldigheter enligt gällande dataskyddslagstiftning avseende förfrågningar från Registrerade och allmänt dataskydd enligt dataskyddsförordningen artikel 32-36. Om Personuppgiftsansvarig behöver information om säkerhetsåtgärder, dokumentation eller annan information om hur Personuppgiftsbiträdet Behandlar Personuppgifter, och sådana förfrågningar innebär mer information än den standardinformation som tillhandahålls av Personuppgiftsbiträdet för att följa gällande dataskyddslagstiftning som Personuppgiftsbiträde, och det innebär mer arbete för Personuppgiftsbiträdet, kan Personuppgiftsbiträdet debitera Personuppgiftsansvarig för sådana ytterligare tjänster. Personuppgiftsbiträdet och dennes personal ska säkerställa konfidentialitet av Personuppgifter som Behandlas under detta Personuppgiftsbiträdesavtal. Detta villkor gäller även efter att Personuppgiftsbiträdesavtalet upphört att gälla. Personuppgiftsbiträdet ska, genom att skyndsamt och utan onödigt dröjsmål meddela Personuppgiftsansvarig, göra det möjligt för Personuppgiftsansvarig att uppfylla de rättsliga krav som gäller för information till relevanta dataskyddsmyndigheter och Registrerade rörande personuppgiftsincidenter. Vidare ska Personuppgiftsbiträdet, i den utsträckning det är praktiskt möjligt och lagligt, meddela Personuppgiftsansvarig om;Personuppgiftsansvariges räkning.

Personuppgiftsbiträdets skyldigheter. 2.1 Personuppgiftsbiträdet får endast ska beakta vad som anges i Underbilaga 1 – instruktioner till personuppgiftsbiträde. Utöver vad som i övrigt framgår av Underbilaga 1 åligger det Personuppgiftsbiträdet att: a) tillse att behandlingen av personuppgifter sker i enlighet med tillämplig Personuppgiftslagstiftning; b) bistå den Personuppgiftsansvarige med att tillse att skyldigheterna enligt tillämplig Personuppgiftslagstiftning fullgörs, med beaktande av typen av behandling och den information som Personuppgiftsbiträdet har att tillgå; c) enbart Behandla Personuppgifter på uppdrag av personuppgifterna för den Personuppgiftsansvariges räkning och i enlighet med Personuppgiftsansvarigs instruktionerden Personuppgiftsansvariges dokumenterade instruktioner (vilket för tydlighetens skull ska innebära att behandlingen endast sker för det ändamål som den Personuppgiftsansvarige har bestämt, se Instruktionen). Genom Om Personuppgiftsbiträdet av någon anledning inte följer de instruktioner som Personuppgiftsbiträdet har fått ska Personuppgiftsbiträdet omedelbart informera den Personuppgiftsansvarige om detta, varpå den Personuppgiftsansvarige har rätt att ingå detta Personuppgiftsbiträdesavtal instruerar Personuppgiftsansvarig stoppa behandlingen, kräva återlämning av personuppgifterna och/eller säga upp Bilagan; d) omedelbart informera den Personuppgiftsansvarige om Personuppgiftsbiträdet anser att Behandla Personuppgifter en instruktion strider mot tillämplig Personuppgiftslagstiftning; e) implementera lämpliga tekniska och organisatoriska åtgärder i syfte att säkerställa att och påvisa att personuppgifter inte Behandlas på följande ett otillåtet eller olagligt sätt: i) endast i enlighet med gällande lag, ii) för att uppfylla alla förpliktelser enligt Tjänsteavtal, iii) som vidare specificerat genom Personuppgiftsansvarigs normala användning av Personuppgiftsbiträdets tjänster och iv) eller på så sätt som anges att de riskerar att komma i detta Personuppgiftsbiträdesavtal. Personuppgiftsbiträdet har ingen anledning att tro att det finns lagstiftning som förhindrar att Personuppgiftsbiträdet följer de ovan angivna instruktionerna. Personuppgiftsbiträdet skaorätta händer, efter att ha blivit medveten om det, informera Personuppgiftsansvarig i de fall Personuppgiftsansvarigs instruktioner eller Behandling, enligt Personuppgiftsbiträdet, strider mot gällande dataskyddslagstiftning. De kategorier av Registrerade och Personuppgifter som omfattas av Behandling i detta Personuppgiftsbiträdesavtal framgår av Bilaga A. Personuppgiftsbiträdet ska säkerställa konfidentialitet, integritet och tillgänglighet av Personuppgifter enligt den dataskyddslagstiftning som gäller för Personuppgiftsbiträdet. Personuppgiftsbiträdet ska genomföra systematiska, organisatoriska och tekniska åtgärder för att säkerställa att dessa (med beaktande av den tekniska utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål) håller en rimlig säkerhetsnivå, med hänsyn tagen till den senaste tekniken och implementationskostnader säkerhetsnivå som är lämplig i förhållande till risken för fysiska personers rättigheter och friheter; f) föra register över alla kategorier av behandling som utförs för den risk Personuppgiftsansvariges räkning omfattande namn och kontaktuppgifter, samt i tillämpliga fall överföringar av personuppgifter till Tredje Land eller internationell organisation och om möjligt, en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder; g) utföra behörighetskontroll och loggning av de system där personuppgifter Behandlas i syfte att möjliggöra för den Personuppgiftsansvarige att granska och säkerställa integritet och konfidentialitet för personuppgifterna, inbegripet skydd mot avsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till Behandlade personuppgifter; h) utan dröjsmål besvara alla frågor från den Personuppgiftsansvarige som Behandlingen innebärrör behandlingen av personuppgifter samt ge den Personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som fastställs i tillämplig Personuppgiftslagstiftning har fullgjorts; i) genom utförande av behörighetskontroll och loggning av de system där personuppgifter Xxxxxxxxx säkerställa att endast personer med behörighet får Behandla personuppgifter samt tillse att dessa har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt; j) utan dröjsmål hänvisa till den Personuppgiftsansvarige om tredje man begär information från Personuppgiftsbiträdet som rör behandlingen av personuppgifter, om inte ett sådant meddelande är otillåtet under straffansvar (t.ex. för att bevara sekretess i en brottsundersökning) samt på begäran samarbeta med ansvarig tillsynsmyndighet vid utförandet av dennes uppgifter och typen av Personuppgifter som ska skyddas. Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig med utan dröjsmål informera den Personuppgiftsansvarige om detta; k) hjälpa den Personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så långt det är möjligt att den Personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter enligt tillämplig Personuppgiftslagstiftning; l) med hänsyn tagen till typ beaktande av Behandling typen av behandling och den information som är tillgänglig för PersonuppgiftsbiträdetPersonuppgiftsbiträdet har att tillgå, för på begäran från den Personuppgiftsansvarige bistå den Personuppgiftsansvarige med att uppfylla Personuppgiftsansvarigs skyldigheter enligt tillse att skyldigheterna gällande dataskyddslagstiftning upprättande av konsekvensbedömning avseende förfrågningar från Registrerade och allmänt dataskydd enligt dataskyddsförordningen artikel 32-36. Om Personuppgiftsansvarig behöver information om säkerhetsåtgärdersamt föregående samråd med ansvarig tillsynsmyndighet, dokumentation eller annan information om hur Personuppgiftsbiträdet Behandlar Personuppgifteri enlighet med tillämplig Personuppgiftslagstiftning, och sådana förfrågningar innebär mer information än den standardinformation som tillhandahålls av Personuppgiftsbiträdet för att följa gällande dataskyddslagstiftning som Personuppgiftsbiträde, och det innebär mer arbete för Personuppgiftsbiträdet, kan Personuppgiftsbiträdet debitera Personuppgiftsansvarig för sådana ytterligare tjänster. Personuppgiftsbiträdet och dennes personal ska säkerställa konfidentialitet av Personuppgifter som Behandlas under detta Personuppgiftsbiträdesavtal. Detta villkor gäller även efter att Personuppgiftsbiträdesavtalet upphört att gälla. Personuppgiftsbiträdet ska, genom att skyndsamt och efterföljs; m) utan onödigt dröjsmål meddela Personuppgiftsansvarigunderrätta den Personuppgiftsansvarige om Personuppgiftsbiträdet upptäcker fullbordade fall av eller försök till obehörig åtkomst till personuppgifter; n) inte överföra personuppgifterna till Tredje Land utan skriftligt godkännande av den Personuppgiftsansvarige; samt o) på begäran av den Personuppgiftsansvarige, göra det möjligt för Personuppgiftsansvarig möjliggöra och bidra till granskning av de anläggningar där behandling av personuppgifter sker i syfte att uppfylla säkerställa samt visa på att behandlingen sker i enlighet med Xxxxxxx och att de rättsliga krav skyldigheter som gäller för information till relevanta dataskyddsmyndigheter och Registrerade rörande personuppgiftsincidenterfastställs i tillämplig Personuppgiftslagstiftning har fullgjorts. Vidare Revisionen ska Personuppgiftsbiträdetutföras av den Personuppgiftsansvarige, i eller den/de som bemyndigats av den utsträckning det Personuppgiftsansvarige, förutsatt att dessa är praktiskt möjligt och lagligt, meddela Personuppgiftsansvarig om;bundna av adekvat sekretessavtal.

Personuppgiftsbiträdets skyldigheter. 5.1 Den Personuppgiftsansvarige instruerar Personuppgiftsbiträdet att enbart Behandla Personuppgifter i enlighet med den Personuppgiftsansvariges lagenliga instruktioner som har beskrivits i Bilaga 1 (instruktioner till Personuppgiftsbiträdet). Det är den Personuppgiftsansvariges ansvar att säkerställa att instruktionerna inte strider mot Tillämplig lagstiftning. 5.2 Utöver vad som annars följer av avtalet, åtar sig Personuppgiftsbiträdet att: a) bistå den Personuppgiftsansvarige med att säkerställa efterlevnad av skyldigheterna som följer av Tillämplig lagstiftning, med beaktande av Behandlingens natur och den information som är tillgänglig för Personuppgiftsbiträdet; b) omgående informera den Personuppgiftsansvarige om en instruktion enligt Personuppgiftbiträders uppfattning står i strid med Tillämplig lagstiftning. Personuppgiftsbiträdet är inte skyldig att utföra Behandlingen förrän Parterna har bestämt hur de ska lösa situationen eller till dess en tillsynsmyndighet meddelar att instruktionen är lagligenlig; c) implementera lämpliga tekniska och organisatoriska åtgärder i enlighet med Bilaga 1 i syfte att garantera skydd för de Personuppgifter som Behandlas mot Personuppgiftsincidenter (Personuppgiftsbiträdet får endast Behandla ändra de tekniska och organisatoriska åtgärderna från tid till annan förutsatt att de ändrade tekniska och organisatoriska åtgärderna inte innebär ett mindre effektivt skydd för Personuppgifter än de som anges i Bilaga 1); d) föra ett register över alla kategorier av Behandlingar som utförts på uppdrag av den Personuppgiftsansvarige, inklusive namn och kontaktuppgifter och, i förekommande fall, överföringar av Personuppgifter till ett Tredjeland eller en internationell organisation och, när det är möjligt, en allmän beskrivning av de tekniska och organisatoriska skyddsåtgärderna; e) säkerställa att endast behöriga individer kan Behandla Personuppgifterna, samt säkerställa att dessa har åtagit sig att iaktta konfidentialitet eller omfattas av lämplig lagstadgad tystnadsplikt; f) utan onödigt dröjsmål hänvisa tredje part som begär information om Personuppgifterna till den Personuppgiftsansvarige, såvida inte sådan hänvisning är förbjuden i enlighet med Personuppgiftsansvarigs instruktionerstraffrättsliga bestämmelser (t.ex. Genom att ingå detta Personuppgiftsbiträdesavtal instruerar Personuppgiftsansvarig Personuppgiftsbiträdet att Behandla Personuppgifter på följande sätt: i) endast i enlighet med gällande lag, ii) för att uppfylla alla förpliktelser enligt Tjänsteavtal, iii) som vidare specificerat genom Personuppgiftsansvarigs normala användning av Personuppgiftsbiträdets tjänster och iv) på så sätt som anges bevara sekretessen i detta Personuppgiftsbiträdesavtal. Personuppgiftsbiträdet har ingen anledning att tro att det finns lagstiftning som förhindrar att Personuppgiftsbiträdet följer de ovan angivna instruktionerna. Personuppgiftsbiträdet ska, efter att ha blivit medveten om det, informera Personuppgiftsansvarig i de fall Personuppgiftsansvarigs instruktioner eller Behandling, enligt Personuppgiftsbiträdet, strider mot gällande dataskyddslagstiftning. De kategorier av Registrerade och Personuppgifter som omfattas av Behandling i detta Personuppgiftsbiträdesavtal framgår av Bilaga A. Personuppgiftsbiträdet ska säkerställa konfidentialitet, integritet och tillgänglighet av Personuppgifter enligt den dataskyddslagstiftning som gäller för Personuppgiftsbiträdet. Personuppgiftsbiträdet ska genomföra systematiska, organisatoriska och tekniska åtgärder för att säkerställa en rimlig säkerhetsnivå, med hänsyn tagen till den senaste tekniken och implementationskostnader i förhållande till den risk som Behandlingen innebärbrottsutredning), och typen på begäran samarbeta med relevant tillsynsmyndighet i utförande av Personuppgifter som ska skyddas. Personuppgiftsbiträdet ska sina uppgifter och utan onödigt dröjsmål informera den Personuppgiftsansvarige om detta; g) bistå Personuppgiftsansvarig med den Personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, så långt i den mån det är möjligt möjligt, så att den Personuppgiftsansvarige kan fullgöra sina skyldigheter att besvara förfrågningar från registrerade om utövande av den registrerades rättigheter enligt Tillämplig lagstiftning; h) på begäran av den Personuppgiftsansvarige, med hänsyn tagen till typ beaktande av typen av Behandling och den information som är tillgänglig för Personuppgiftsbiträdet, för bistå den Personuppgiftsansvarige med att uppfylla Personuppgiftsansvarigs skyldigheter enligt gällande dataskyddslagstiftning säkerställa att skyldigheten att utföra en konsekvensbedömning avseende förfrågningar från Registrerade och allmänt dataskydd enligt dataskyddsförordningen artikel 32-36. Om Personuppgiftsansvarig behöver information om säkerhetsåtgärder, dokumentation eller annan information om hur Personuppgiftsbiträdet Behandlar Personuppgifter, och sådana förfrågningar innebär mer information än den standardinformation som tillhandahålls av Personuppgiftsbiträdet för att följa gällande dataskyddslagstiftning som Personuppgiftsbiträde, och det innebär mer arbete för Personuppgiftsbiträdet, kan Personuppgiftsbiträdet debitera Personuppgiftsansvarig för sådana ytterligare tjänster. Personuppgiftsbiträdet och dennes personal ska säkerställa konfidentialitet av samt genomföra förhandssamråd med ansvarig tillsynsmyndighet uppfylls i enlighet med Tillämplig lagstiftning; i) överföra Personuppgifter som Behandlas under detta Personuppgiftsbiträdesavtal. Detta villkor gäller även efter att Personuppgiftsbiträdesavtalet upphört att gälla. Personuppgiftsbiträdet skatillhör den Personuppgiftsansvarige till ett Tredjeland, genom att skyndsamt och utan onödigt dröjsmål meddela Personuppgiftsansvarig, göra det möjligt för Personuppgiftsansvarig att uppfylla de rättsliga krav som gäller för information till relevanta dataskyddsmyndigheter och Registrerade rörande personuppgiftsincidenter. Vidare ska Personuppgiftsbiträdetförutsatt att: (a) Tredjelandet, i enlighet med ett beslut från EU- kommissionen, tillhandahåller en adekvat skyddsnivå för Personuppgifter som omfattar Behandlingen av Personuppgifter; (b) Personuppgiftsbiträdet säkerställer att lämpliga skyddsåtgärder föreligger i enlighet med Tillämplig lagstiftning, till exempel EU-kommissionens standardavtalsklausuler som antagits i enlighet med Tillämplig lagstiftning och som omfattar överföringen och Behandlingen av Personuppgifter; eller (c) det finns andra undantag i Tillämplig lagstiftning som omfattar Behandlingen av Personuppgifter; och j) på begäran av den utsträckning det Personuppgiftsansvarige, förse den Personuppgiftsansvarige med information i syfte att demonstrera efterlevnad av skyldigheterna för Personuppgiftsbiträdet enligt art. 28 GDPR. Granskningen ska göras av den Personuppgiftsansvarige eller en oberoende tredje part utsedd av den Personuppgiftsansvarige (som inte är praktiskt möjligt och lagligten konkurrent till Personuppgiftsbiträdet), meddela Personuppgiftsansvarig om;förutsatt att denna bunden av ett sekretessåtagande (som Personuppgiftsbiträdet enligt sin rimliga åsikt anser vara godtagbar). Den Personuppgiftsansvarige ska bära alla kostnader som uppstår till följd av eller i samband med en granskning.

Personuppgiftsbiträdets skyldigheter. Personuppgiftsbiträdet får endast Behandla Personuppgifter på uppdrag Den personuppgiftsansvarige har ansvar för all behandling av och avtalade personuppgifter i enlighet med Personuppgiftsansvarigs instruktionertillämplig lag. Genom Personuppgiftsbiträdet åtar sig att ingå detta Personuppgiftsbiträdesavtal instruerar Personuppgiftsansvarig enbart behandla personuppgifterna enligt tillämplig lag. Personuppgiftsbiträdet att Behandla Personuppgifter på följande sätt: ifår inte, utan föreläggande från relevant myndighet eller tvingande lagstiftning: a) endast i enlighet samla in eller lämna ut personuppgifter från eller till någon tredje part om inte annat skriftligen överenskommits med gällande lag, iipersonuppgiftsansvarig; b) ändra metod för att uppfylla alla förpliktelser enligt Tjänsteavtal, iiibehandling; c) som vidare specificerat genom Personuppgiftsansvarigs normala användning av Personuppgiftsbiträdets tjänster och ivkopiera eller återskapa personuppgifter; eller d) på så något annat sätt behandla personuppgifter för andra ändamål än de som anges i Tjänsteavtalet, detta Personuppgiftsbiträdesavtalavtal och bifogade instruktioner från den personuppgiftsansvarige. Personuppgiftsbiträdet har ingen anledning att tro Om personuppgiftsbiträdet bedömer att det finns lagstiftning saknas instruktioner som förhindrar är nödvändiga för att Personuppgiftsbiträdet följer de ovan angivna instruktionerna. Personuppgiftsbiträdet ska, efter att ha blivit medveten om det, informera Personuppgiftsansvarig i de fall Personuppgiftsansvarigs instruktioner eller Behandling, genomföra uppdraget enligt Personuppgiftsbiträdet, strider mot gällande dataskyddslagstiftning. De kategorier av Registrerade och Personuppgifter vad som omfattas av Behandling sägs i detta Personuppgiftsbiträdesavtal framgår av Bilaga A. Personuppgiftsbiträdet avtal ska säkerställa konfidentialitet, integritet och tillgänglighet av Personuppgifter enligt personuppgiftsbiträdet utan dröjsmål informera den dataskyddslagstiftning som gäller för Personuppgiftsbiträdetpersonuppgiftsansvarige om sin inställning. Personuppgiftsbiträdet ska genomföra systematiska, organisatoriska därefter invänta vidare instruktioner från den personuppgiftsansvarige. Om personuppgiftsbiträdet finner att något kräver omedelbar åtgärd och tekniska åtgärder för att säkerställa en rimlig säkerhetsnivå, med hänsyn tagen till personuppgiftsbiträdet inte hinner inhämta instruktioner från den senaste tekniken och implementationskostnader i förhållande till personuppgiftsansvarige får personuppgiftsbiträdet vidta nödvändiga åtgärder. Personuppgiftsbiträdet måste dock snarast därefter informera den risk som Behandlingen innebär, och typen av Personuppgifter som ska skyddaspersonuppgiftsansvarige om åtgärderna. Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig informera den personuppgiftsansvarige om personuppgiftsbiträdet får kännedom om att personuppgifter behandlats i strid med lämpliga tekniska och organisatoriska åtgärderden personuppgiftsansvariges instruktioner, så långt det är möjligt med hänsyn tagen till typ av Behandling och den information som är tillgänglig för Personuppgiftsbiträdet, för att uppfylla Personuppgiftsansvarigs skyldigheter enligt gällande dataskyddslagstiftning avseende förfrågningar från Registrerade och allmänt dataskydd enligt dataskyddsförordningen artikel 32-36. Om Personuppgiftsansvarig behöver information om säkerhetsåtgärder, dokumentation detta personuppgiftsbiträdesavtal eller annan information om hur Personuppgiftsbiträdet Behandlar Personuppgifter, och sådana förfrågningar innebär mer information än den standardinformation som tillhandahålls av Personuppgiftsbiträdet för att följa gällande dataskyddslagstiftning som Personuppgiftsbiträde, och det innebär mer arbete för Personuppgiftsbiträdet, kan Personuppgiftsbiträdet debitera Personuppgiftsansvarig för sådana ytterligare tjänster. Personuppgiftsbiträdet och dennes personal ska säkerställa konfidentialitet av Personuppgifter som Behandlas under detta Personuppgiftsbiträdesavtal. Detta villkor gäller även efter att Personuppgiftsbiträdesavtalet upphört att gälla. Personuppgiftsbiträdet ska, genom att skyndsamt och utan onödigt dröjsmål meddela Personuppgiftsansvarig, göra det möjligt för Personuppgiftsansvarig att uppfylla de rättsliga krav som gäller för information till relevanta dataskyddsmyndigheter och Registrerade rörande personuppgiftsincidenter. Vidare ska Personuppgiftsbiträdet, i den utsträckning det är praktiskt möjligt och lagligt, meddela Personuppgiftsansvarig om;tillämplig lag.