Personuppgiftsbiträdesavtal
Enligt personuppgiftslagens (1998:204) och dataskyddsförordningens (2016:649) krav.
1. Parter
Kundnamn AB (nedan kallat “Personuppgiftsansvarig”), organisationsnummer 123456‐7890, med adress Xxxxxxxxx 0, 000 00 Teststad och Youcal AB (nedan kallat “Personuppgiftsbiträde”), organisationsnummer 559123‐5378, med xxxxxx Xxxxxxxxxxx 0, 000 00 Xxxxxx (gemensamt benämnda ”Parterna”) har denna dag träffat följande Personuppgiftsbiträdesavtal.
2. Definitioner
Behandling av personuppgifter Åtgärder som vidtas i fråga om personuppgifter, vare sig
det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, inhämtande eller användning.
Personuppgiftsansvarig Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.
Personuppgiftsbiträde Den som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Användaren Slutanvändaren som utnyttjar Personuppgiftsbiträdets tjänster.
Tredje land En stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.
3. Syfte
Syftet med detta avtal är att tillse att Personuppgiftsbiträdets behandling av personuppgifter för Personuppgiftsansvariges räkning sker i enlighet med personuppgiftslagens (1998:204) och dataskyddsförordningens (2016:649) krav och enligt vad som överenskommits i detta avtal.
4. Instruktioner
Personuppgiftsbiträdet får endast behandla den Personuppgiftsansvariges personuppgifter i enlighet med den Personuppgiftsansvariges instruktioner samt för att erbjuda Användaren en trygg, väl fungerande och anpassad tjänst.
För det fall Personuppgiftsbiträdet saknar instruktioner som denne bedömer är nödvändiga för att genomföra sina åtaganden ska Personuppgiftsbiträdet, utan dröjsmål, informera Personuppgiftsansvarig om detta och fram till dess att svar erhållits endast behandla den Personuppgiftsansvariges personuppgifter i enlighet med Personuppgiftsbiträdes Integritetspolicy.
Exakt omfattning av föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter som behandlas, kategorier av registrerade, samt den personuppgiftsansvariges skyldigheter och rättigheter framgår av Personuppgiftsbiträdets Integritetspolicy.
Integritetspolicyn finns vid vart tillfälle tillgänglig på Personuppgiftsbiträdets hemsida.
5. Personuppgiftsbiträdets åtaganden
Personuppgiftsbiträdet åtar sig att tillämpa gällande svensk lagstiftning vid personuppgiftsbehandlingen.
Personuppgiftsbiträdet får inte överföra personuppgifterna till tredje land annat än efter Personuppgiftsansvariges i förväg lämnade skriftliga samtycke. Personuppgiftsbiträdet åtar sig att endast lämna ut personuppgifterna till de inom sin egen organisation som behöver tillgång till uppgifterna för att kunna utföra sina arbetsuppgifter.
Personuppgiftsbiträdet får inte lämna ut personuppgifterna eller annan information om personuppgiftsbehandlingen till tredje man annat än efter Personuppgiftsansvariges i förväg lämnade skriftliga samtycke, med undantag för när sådant utlämnande kan krävas enligt lag eller sker i enlighet med Personuppgiftsbiträdets Integritetspolicy.
För det fall myndighet eller annan tredje man begär ut information från Personuppgiftsbiträdet som rör personuppgiftsbehandlingen ska Personuppgiftsbiträdet utan dröjsmål vidarebefordra sådan framställan till Personuppgiftsansvarig. Personuppgiftsbiträdet ska vid behov assistera Personuppgiftsansvarig med att ta fram information som begärts av tredje man.
Personuppgiftsbiträdet har inte rätt att företräda Personuppgiftsansvarig eller agera för Personuppgiftsansvarigs räkning gentemot tredje man med undantag från vad som framgår av punkten 7 eller sker i enlighet med Personuppgiftsbiträdets Integritetspolicy.
6. Säkerhet
Personuppgiftsbiträdet ska vidta överenskomna säkerhetsåtgärder för att skydda personuppgifter.
Personuppgiftsbiträdet intygar att dennes verksamhet i alla delar sköts på ett sätt som säkerställer efterlevnad av personuppgiftslagens krav på adekvat säkerhetsnivå. Personuppgiftsbiträdet åtar sig att följa myndighetsbeslut gällande säkerhetsåtgärder för personuppgiftshanteringen.
Personuppgiftsbiträdet ska snarast informera Personuppgiftsansvarig vid upptäckt av eller misstanke om obehörig åtkomst av personuppgifterna.
För att kunna säkerställa att Personuppgiftsbiträdet vidtar tillräckliga säkerhetsåtgärder har Personuppgiftsansvarig rätt till av lag fastställd insyn i Personuppgiftsbiträdets verksamhet, system och personuppgiftshantering. Personuppgiftsbiträdet åtar sig att inom rimlig tid och på Personuppgiftsansvariges begäran, tillhandahålla Personuppgiftsansvarig med den information Personuppgiftsansvarig behöver för att kunna utöva sin insyn.
Personuppgiftsansvarig har rätt att kostnadsfritt ställa sådan begäran 4 gånger per kalenderår.
Önskar Personuppgiftsansvarig erhålla informationen vid ytterligare tillfällen, utöver 4 gånger per kalenderår, äger Personuppgiftsbiträdet rätt att debitera en kostnad om 500 SEK per tillfälle för sådant tillhandahållande.
7. Underleverantörer
Personuppgiftsbiträdet har inte rätt att anlita underleverantör för behandling av personuppgifter för den Personuppgiftsansvariges räkning, utan skriftligt godkännande från denne eller när behandlingen sker i enlighet med Personuppgiftsbiträdets Integritetspolicy.
Personuppgiftsbiträdet ska vid inhämtande av samtycke tillhandahålla Personuppgiftsansvarig med information som den Personuppgiftsansvarig anser nödvändig angående underleverantören inklusive, men inte begränsat till;
• Underleverantörens bolagsnamn.
• Var underleverantören är lokaliserad.
• Vilket land underleverantören kommer att behandla Personuppgiftsansvariges personuppgifter i.
• Vilken typ av tjänst underleverantören kommer att utföra.
Efter inhämtande av samtycke får Personuppgiftsbiträdet såsom ombud för Personuppgiftsansvarig underteckna ett skriftligt avtal med underleverantören enligt vilket underleverantören, som personuppgiftsbiträde för Personuppgiftsansvarig, åtar sig samma skyldigheter som framgår av detta Personuppgiftsbiträdesavtal eller i enlighet med Personuppgiftsbiträdets Integritetspolicy
Personuppgiftsbiträdet ska på Personuppgiftsansvariges begäran översända en kopia på relevanta delar av avtalet som undertecknats av både Personuppgiftsbiträdet och underleverantören.
8. Kontaktperson
Parterna ska utse var sin kontaktperson med ansvar för Parternas samarbete. Ändring av kontaktperson eller kontaktuppgifter ska skriftligen meddelas den andra parten.
9. Rättelse och radering av personuppgifter
Personuppgiftsbiträdet åtar sig att inom rimlig tid rätta felaktiga eller ofullständiga personuppgifter efter instruktioner från Personuppgiftsansvarig.
Efter det att Personuppgiftsansvarig skriftligen begärt radering av personuppgifter får Personuppgiftsbiträdet endast behandla personuppgifterna som ett led i raderingsprocessen och åtar sig att radera personuppgifterna utan dröjsmål men senast inom hundratjugo (120) dagar.
Vid avtalets upphörande ska Personuppgiftsbiträdet, på begäran av Personuppgiftsansvarig, återlämna personuppgifterna. Personuppgiftsbiträdet får vid avtalets upphörande endast behandla personuppgifterna som ett led i raderingsprocessen och åtar sig att radera personuppgifterna utan dröjsmål men senast vid avtalets upphörande eller i enlighet med Personuppgiftsbiträdets Integritetspolicy.
10. Överlåtelse
Detta avtal får inte överlåtas utan den andra Partens föregående godkännande eller i enlighet med Personuppgiftsbiträdets Integritetspolicy.
11. Avtalstid
Detta avtal gäller från dess undertecknande och tills vidare. Vardera Part har rätt att skriftligen säga upp avtalet. Vid uppsägning av avtalet gäller en uppsägningstid om tre (3) månader. Part är berättigad att säga upp detta avtal till omedelbart upphörande om motparten;
1. gör sig skyldig till väsentligt brott mot bestämmelse i detta avtal eller Personuppgiftsbiträdets överordnade Integritetspolicy, och underlåter att vidta rättelse inom trettio (30) dagar från mottagande av skriftlig begäran därom från den andra Parten, eller
2. försätts i konkurs, inleder ackordsförhandling eller annars är på obestånd.
12. Tvister och tillämplig lag
Detta avtal är underordnat Personuppgiftsbiträdets Integritetspolicy som finns tillgänglig via Personuppgiftsbiträdets hemsida. Svensk rätt ska vara tillämplig på avtalet. Tvister i anledning av avtalet ska slutligt avgöras genom skiljeförfarande varvid Stockholms handelskammares skiljedomsinstitut skall vara handläggande instans.
13. Övrigt
Detta Personuppgiftsbiträdesavtal kan antingen upprättas enskilt eller som bilaga till ett av Parterna träffat huvudavtal. Vid händelse av motstridiga uppgifter har, i sådana fall då ett huvudavtal existerar, huvudavtalet företräde. Avtal är underordnat Personuppgiftsbiträdets Integritetspolicy som finns tillgänglig via Personuppgiftsbiträdets hemsida.
Ändringar eller tillägg till avtalet ska göras skriftligen och undertecknas av båda Parterna för giltighet.
Avtalet har upprättats i två (2) exemplar varav Parterna har tagit varsitt.
Behörig firmatecknare för Behörig firmatecknare för
Personuppgiftsansvarig Personuppgiftsbiträdet
Ort och datum Ort och datum
Underskrift Underskrift
Namnförtydligande Namnförtydligande