PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL

Avtal enligt Allmänna dataskyddsförordningen EU 2016/679

1. PARTER, PARTERNAS STÄLLNING, KONTAKTUPPGIFTER OCH KONTAKTPERSONER Personuppgiftsansvarig

Organisationens fullständiga namn: Organisationsnummer:

Organisationens postadress:

Kontaktperson för administration av detta personuppgiftsbiträdesavtal hos xxxx Xxxx:

E-post:

Tfn:

Kontaktperson för parternas samarbete om dataskydd hos xxxx Xxxx:

E-post:

Tfn:

Personuppgiftsbiträde Leasyfi AB Leasyfi AB org nr: 556957-5375

Adress: Xxxxxxxxxx 00 000 00 JOHANNESHOV Email: xxxx@xxxxxxx.xx

Telefon: 00-000 000 00

Integritetspolicy: xxxxx://xxxxxxx.xx/xxxxxxxxxxxxxxxxx/

Kontaktperson för administration av detta personuppgiftsbiträdesavtal hos Xxxxxxx XX Xxxx: Xxxxx Xxxxxxxx

E-post: xxxxx.xxxxxxxx@xxxxxxx.xx Tfn: 04766 31 90 30

Kontaktperson för parternas samarbete om dataskydd hos Leasify AB Namn: N.N.

E-post: x.x@xxxxxxx.xx Tfn: 08-124 568 00

2. DEFINITIONER

Begrepp som skrivs med versal som begynnelsebokstav har följande betydelse enligt detta avtal.

Behandling. En åtgärd eller åtgärder beträffande Personuppgifter, eller i förekommande fall uppsättningar av Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring utifrån vad som stipulerats i vårt Huvudavtal.

Dataskyddslagstiftning. Avser all integritets- och personuppgiftslagstiftning, samt all annan lagstiftning, som är tillämplig på den personuppgiftsbehandling som sker enligt detta PUB-avtal, inklusive nationell lagstiftning och EU-lagstiftning. Dock med beaktande av vad som gäller i Kompletteringslagen SFS 2018:218.

Gallring. Se Radering.

Huvudavtal. Grunden för kunden och Leasify AB affärsförhållande enligt de tjänster som Leasify AB erbjuder kund och marknad. Förändringar i detta avtalsförhållande och avtal kommer att påverka detta underavtal.

Personuppgiftsansvarig. Fysisk eller juridisk person som är kund till oss och som genom sitt Huvudavtal vill att vi hanterar Personuppgifter och som därigenom gör oss till Personuppgiftsbiträde.

Instruktion. Skriftliga instruktioner som utifrån vårt Huvudavtal anger på vilket sätt, varaktighet, art och ändamål, typ av Personuppgifter samt kategorier av Registrerade och särskilda behov som omfattas av Behandlingen. Det är vår kund som ger oss Instruktion utifrån Huvudavtalet.

Logg och Loggning. Logg är resultatet av Loggning. Loggning är ett kontinuerligt insamlande av uppgifter om den Behandling av Personuppgifter som utförs enligt detta Huvudavtal och detta PUB-avtal och som kan knytas till en enskild fysisk person.

Personuppgiftsbiträde. Leasify AB,s roll gentemot vår kund som är Personuppgiftsansvarig och för vars räkning vi Behandlar Personuppgifter. I detta avtal är begreppet Personuppgiftsbiträde synonymt med Leasify AB varför vi väljer att använda Leasify AB i stor utsträckning.

Personuppgift. Information som kan identifiera en fysisk person såsom, ett namn, ett person- eller identifikationsnummer, en adress eller annan lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens identitet, som Leasify AB behandlar utifrån Huvudavtalet.

Personuppgiftsincident. En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt Behandlats.

Radering. Borttagning av Personuppgift på uppdrag av Personuppgiftsansvarig eller utifrån kontinuerlig gallring och rensning. Detta begrepp gäller även Logg och Loggning.

Registrerad. Fysisk person vars Personuppgifter Behandlas.

Samtycke. Den Registrerades godkännande av att Personuppgifterna hanteras av vår Kund. Men även att vår kund som Personuppgiftsansvarig godkänner vår hantering enligt Huvudavtalet.

3. BAKGRUND OCH SYFTE

Med detta Personuppgiftsbiträdesavtal (”PUB-avtal”) reglerar den Personuppgiftsansvarige Personuppgiftsbiträdets Behandling av Personuppgifter åt den Personuppgiftsansvarige. PUB-avtalets syfte är att säkerställa den Registrerades fri- och rättigheter vid Behandlingen, i enlighet med vad stadgas i Allmänna dataskyddsförordningen EU 2016/679 (”Dataskyddsförordningen”), art. 28.3.

PUB-avtalet utgör ett av flera avtalsdokument inom ramen för Huvudavtalet. Huvudavtalets reglering har företräde utifrån SFS 2018:218.

4. BEHANDLING AV PERSONUPPGIFTER OCH SPECIFIKATION

Den Personuppgiftsansvarige utser härmed Leasify AB att utföra Behandlingen för den Personuppgifts- ansvariges räkning enligt vad som stadgas i vårt Huvudavtal och detta PUB-avtal. Det innebär att den Personuppgiftsansvarige utifrån Huvudavtalet godkänner de Instruktioner som Leasify AB som Personuppgiftsbiträdet om hur Behandling kommer att utföras. Leasify AB får endast utföra Behandlingen i enlighet med Huvudavtalet och PUB-avtalet och vid var tid gällande Instruktioner.

5. DEN PERSONUPPGIFTSANSVARIGES, vår kunds, ANSVAR

Den Personuppgiftsansvarige ansvarar för att det vid var tid finns laglig grund för Behandlingen och för att utforma korrekta Instruktioner så att Leasify AB och i förekommande fall av Leasify AB anlitat Underbiträdet kan fullgöra sitt eller sina uppdrag enligt detta PUB-avtal och Huvudavtal i förekommande fall. 2 Den Personuppgiftsansvarige ska utan onödigt dröjsmål informera Leasify AB om förändringar i Behandlingen vilka påverkar Leasify AB skyldigheter enligt Dataskyddslagstiftningen. Den Personuppgiftsansvarige ansvarar för att informera Registrerade om Behandlingen och för att tillvarata Registrerades rättigheter enligt Dataskyddslagstiftningen samt vidta varje annan åtgärd som åligger den Personuppgiftsansvarige enligt Dataskyddslagstiftningen.

6. PERSONUPPGIFTSBITRÄDETS, Leasyfi AB, ÅTAGANDEN

6.1 Vi på Leasyfi AB som Personuppgiftsbiträdet förbinder oss att endast utföra Behandlingen i enlighet med PUB-avtalet och Instruktioner samt att följa Dataskyddslagstiftningen. Vi förbinder oss även att fortlöpande hålla oss informerad om gällande rätt på området. Leasify AB ska vidta åtgärder för att skydda Personuppgifterna mot alla slag av Behandlingar som inte är förenliga med PUB-avtalet, Instruktioner, närliggande lagstiftning och Dataskyddslagstiftningen.

Leasify AB åtar sig säkerställa att samtliga fysiska personer som arbetar under dess ledning följer PUB- avtalet och Instruktioner samt att de fysiska personerna informeras om relevant lagstiftning. Leasify AB ska på begäran från den Personuppgiftsansvarige bistå denne med att säkerställa att skyldigheterna enligt Dataskyddsförordningen, art. 32-36, fullgörs och svara på begäran om utövande av den Registrerades rättigheter i enlighet med Dataskyddsförordningen, kap. III, med beaktande av typen av Behandling och den information som Leasify AB har att tillgå.

6.2 För det fall att vi på Leasify AB som Personuppgiftsbiträde finner att Instruktioner är otydliga, i strid med Dataskyddslagstiftningen eller saknas och vi bedömer att nya eller kompletterande Instruktioner är nödvändiga för att genomföra våra åtaganden ska vi som Personuppgiftsbiträde utan dröjsmål informera dig som kund, Personuppgiftsansvarige, tillfälligt upphöra med Behandlingen och invänta nya Instruktioner. För det fall att den Personuppgiftsansvarige förser oss på Leasify AB med nya eller ändrade Instruktioner ska vi på Leasify AB, utan onödigt dröjsmål från mottagandet, meddela den dig som kund huruvida genomförandet av de nya Instruktionerna föranleder förändrade kostnader för Leasify AB.

7. SÄKERHETSÅTGÄRDER

7.1 Leasify AB förbinder sig genom detta PUB-avtal att vidta relevanta tekniska och organisatoriska säkerhetsåtgärder som krävs för att förhindra Personuppgiftsincidenter, genom att säkerställa att Behandlingen uppfyller kraven i Dataskyddsförordningen och att den Registrerades rättigheter skyddas. Leasify AB ska fortlöpande säkerställa att den tekniska och organisatoriska säkerheten i samband med Behandlingen medför en lämplig nivå av konfidentialitet, integritet, tillgänglighet och motståndskraft mot intrång eller stöld.

Eventuella tillkommande eller ändrade krav på skyddsåtgärder från den Personuppgiftsansvarige, efter parternas tecknande av PUB-avtalet, ska betraktas som nya Instruktioner enligt PUB-avtalet. Se punkt 15.

7.2 Leasify AB ska genom behörighetskontrollsystem endast ge åtkomst till Personuppgifterna för sådana fysiska personer som arbetar under Leasify AB ledning och som behöver åtkomsten för att kunna utföra sina arbetsuppgifter. Leasify AB åtar sig att kontinuerligt Logga åtkomst till Personuppgifterna enligt PUB-avtalet i den utsträckning det krävs enligt Instruktionen. Loggar får gallras först tre (3) år efter Loggningstillfället om inte annat anges i Instruktionen. Loggar ska omfattas av erforderliga skyddsåtgärder, i enlighet med Dataskyddslagstiftningen. Leasify AB kommer att systematiskt testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa Behandlingens säkerhet.

8. SEKRETESS/TYSTNADSPLIKT

Leasify AB anställda och av Leasify AB anlitade konsulter som arbetar under dess ledning ska vid Behandlingen iaktta såväl sekretess som tystnadsplikt. Personuppgifterna får inte nyttjas eller spridas för andra ändamål, varken direkt eller indirekt, såvida inte annat avtalats. Leasify AB ska tillse att samtliga fysiska personer som arbetar under dess ledning, vilka deltar i Behandlingen, är bundna av sekretessförbindelse avseende Behandlingen.

Leasify AB ska skyndsamt underrätta den Personuppgiftsansvarige om eventuella kontakter med tillsynsmyndighet avseende Behandlingen. Xxxxxxx AB harr inte rätt att företräda den Personuppgiftsansvarige eller agera för den Personuppgiftsansvariges räkning gentemot tillsynsmyndigheter i frågor avseende Behandlingen. Om den Registrerade, tillsynsmyndighet eller tredje man begär information från Leasify AB vilken rör Behandlingen, ska Leasify AB informera den Personuppgiftsansvarige om saken. Information om Behandlingen får inte lämnas till den Registrerade, tillsynsmyndighet eller tredje man utan skriftligt medgivande från den Personuppgiftsansvarige, såvida det inte framgår av tvingande lag att information ska lämnas. Leasify AB ska bistå med förmedling av den informationen som omfattas av ett medgivande eller lagkrav.

9. GRANSKNING, TILLSYN OCH REVISION

9.1 Leasify AB ska utan onödigt dröjsmål, på den Personuppgiftsansvariges begäran, tillhandahålla den information om tekniska och organisatoriska säkerhetsåtgärder som den Personuppgiftsansvarige behöver för att kunna fastställa att Leasify AB uppfyller sina åtaganden enligt PUB-avtalet och Dataskyddsförordningen, art. 28.3 h. (xxxxx://xxx.xxxxxxxxxxxxxxxx.xx/xxxxx--xxxxxx/xxxxxxxxxxxxxxxxxxxxxx/xxxxxxxxxxxxxxxxxxxxxx---xxxxxxxx/#00)

9.2 Leasify AB åtar sig att minst en (1) gång om året granska säkerheten avseende Behandlingen genom en egenkontroll för att säkerställa att Behandlingen följer PUB-avtalet. Resultatet av sådan egenkontroll ska på begäran delges den Personuppgiftsansvarige.

9.3 Den Personuppgiftsansvarige äger rätt att, själv eller genom annan av denne utsedd tredje part (som inte får vara en konkurrent till Leasify AB), följa upp att Leasify AB uppfyller PUB-avtalets, Instruktionernas och Dataskyddslagstiftningens krav. Leasify AB ska vid sådan granskning bistå den Personuppgiftsansvarige, eller den som utför granskningen i den Personuppgiftsansvariges ställe, med dokumentation, tillgång till lokaler, IT-system och andra tillgångar som behövs för att kunna granska Leasify AB efterlevnad av PUB-avtalet, Instruktioner och Dataskyddslagstiftningen. Den Personuppgiftsansvarige ska säkerställa att personal som genomför granskningen är underkastade sekretess eller tystnadsplikt enligt lag eller avtal.

9.4 Leasify AB äger alternativt till vad som stadgas i punkterna 9.2-9.3, rätt att erbjuda andra tillvägagångssätt för granskning av Behandlingen, exempelvis granskning genomförd av oberoende tredje part. Den Personuppgiftsansvarige ska i sådant fall äga rätt, men inte skyldighet, att tillämpa detta alternativa tillvägagångssätt för granskning. Vid sådan granskning ska Leasify AB ge den Personuppgiftsansvarige eller en tredje part den assistans som behövs för utförandet av granskningen.

9.5 Leasify AB ska bereda tillsynsmyndighet, eller annan myndighet som har laglig rätt till det, möjlighet att göra tillsyn enligt myndighetens begäran i enlighet med vid var tid gällande lagstiftning, även om sådan tillsyn annars skulle stå i strid med bestämmelserna i PUB-avtalet.

9.6 Leasify AB ska tillförsäkra den Personuppgiftsansvarige rättigheter gentemot Underbiträdet vilka motsvarar den Personuppgiftsansvariges samtliga rättigheter gentemot Leasify AB enligt punkt 9 i PUB- avtalet.

10. HANTERING AV RÄTTELSER OCH RADERING M.M.

10.1 För det fall den Personuppgiftsansvarige begärt rättelse eller radering på grund av Leasify AB felaktiga Behandling ska Leasify AB vidta lämplig åtgärd utan onödigt dröjsmål, senast inom trettio (30) dagar, från det att Leasify AB mottagit erforderlig information från den Personuppgiftsansvarige. När den Personuppgiftsansvarige begärt radering får Leasify AB endast utföra Behandling av den aktuella personuppgiften som ett led i processen för radering.

10.2 Om tekniska och organisatoriska åtgärder (t.ex. uppgraderingar eller felsökningar) vidtas av Leasify AB i Behandlingen, vilka kan väntas påverka Behandlingen, ska Leasify AB informera den Personuppgifts- ansvarige skriftligt om detta i enlighet med vad stadgas om meddelanden i punkt 17 i PUB-avtalet. Informationen ska lämnas i god tid innan åtgärderna vidtas.

11. PERSONUPPGIFTSINCIDENTER

11.1 Leasify AB ska ha förmåga att återställa tillgängligheten och tillgången till Personuppgifterna i rimlig tid vid en fysisk eller teknisk incident enligt Dataskyddsförordningen, art. 32.1 c. (xxxxx://xxx.xxxxxxxxxxxxxxxx.xx/xxxxx--xxxxxx/xxxxxxxxxxxxxxxxxxxxxx/xxxxxxxxxxxxxxxxxxxxxx---xxxxxxxx/#00)

11.2 Leasify AB åtar sig att med beaktande av Behandlingens art, och den information som Leasify AB har att tillgå, bistå den Personuppgiftsansvarige med att fullgöra dennes skyldigheter vid en Personuppgiftsincident beträffande Behandlingen. Leasify AB ska på den Personuppgiftsansvariges begäran även bistå med att utreda misstankar om eventuell obehörigs Behandling och/eller åtkomst till Personuppgifterna.

11.3 Vid Personuppgiftsincidenter, vilka Leasify AB fått vetskap om, kommer Leasify AB utan onödigt dröjsmål skriftligen underrätta den Personuppgiftsansvarige om händelsen. Personuppgiftsbiträdet ska med beaktande av typen av Behandling och den information som Leasify AB har att tillgå tillhandahålla den Personuppgiftsansvarige en skriftlig beskrivning av Personuppgiftsincidenten.

Beskrivningen ska redogöra för:

1. Personuppgiftsincidentens art och, om möjligt, de kategorier och antalet Registrerade som berörs samt kategorier och antalet personuppgiftsposter som berörs,

2. de sannolika konsekvenserna av Personuppgiftsincidenten, och

3. åtgärder som har vidtagits eller föreslagits samt åtgärder för att mildra Personuppgiftincidentens potentiella negativa effekter.

11.4 Om det inte är möjligt för Leasify AB att tillhandahålla hela beskrivningen samtidigt, enligt punkt

11.3 i PUB-avtalet, får beskrivningen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.

12. ANSVAR FÖR SKADA I SAMBAND MED BEHANDLING

12.1 Vid ersättning för skada i samband med Behandling som, genom fastställd dom eller förlikning, ska utgå till den Registrerade på grund av överträdelse av bestämmelse i PUB-avtalet, Instruktioner och/eller tillämplig bestämmelse i Dataskyddslagstiftningen ska art. 82 i Dataskyddsförordningen tillämpas.

12.2 Sanktionsavgifter enligt Dataskyddsförordningen, art. 83, eller Kompleteringslagen SFS 2018:218 med kompletterande bestämmelser till EU:s dataskyddsförordning 6 kap. 2 § ska bäras av den av PUB- avtalets parter som påförts en sådan avgift.

12.3 Om endera parten får kännedom om omständighet som kan leda till skada för motparten ska parten omedelbart informera motparten om förhållandet och aktivt arbeta tillsammans med motparten för att förhindra och minimera sådan skada.

12.4 Oaktat vad sägs i Huvudavtalet gäller detta PUB-avtal, punkter 12.1 och 12.2, före andra regler om fördelning mellan Parterna av krav sinsemellan såvitt avser Behandlingen.

13. LAGVAL OCH TVISTLÖSNING

För detta avtal gäller svensk rätt. Eventuell tolkning eller tvist i anledning av PUB-avtalet, som parterna inte kan lösa på egen hand, ska avgöras av svensk allmän domstol.

14. PUB-AVTALETS TECKNANDE, AVTALSTID OCH UPPSÄGNING

PUB-avtalet gäller från och med den tidpunkt Huvudavtalet och PUB-avtalet undertecknats av båda parter och tillsvidare. Parterna äger ömsesidig rätt att säga upp PUB-avtalet att upphöra med trettio (30) dagars varsel.

15. ÄNDRINGAR OCH UPPSÄGNING MED OMEDELBAR VERKAN M.M.

Endera parten i PUB-avtalet äger rätt att påkalla omförhandling av PUB-avtalet om motpartens ägarförhållanden ändras väsentligt eller om tillämplig lagstiftning, eller tolkningen av den, ändras på ett för Behandlingen avgörande sätt. Påkallande av omförhandling enligt första meningen innebär inte att PUB-avtalet till någon del upphör att gälla utan endast att en omförhandling om PUB-avtalet ska påbörjas.

Tillägg till, och ändringar i, PUB-avtalet ska vara skriftliga och undertecknade av båda parter.

När någon av parterna får kännedom om att motparten agerar i strid med PUB-avtalet, Instruktioner och/eller Dataskyddslagstiftningen, ska parten utan dröjsmål meddela motparten om agerandet.

Därefter äger parten rätt att med omedelbar verkan upphöra att utföra sina förpliktelser enligt PUB- avtalet till den tidpunkt motparten förklarat att agerandet upphört och förklaringen accepterats av den part som påtalat agerandet.

Om den Personuppgiftsansvarige invänder mot Leasify AB anlitande av ett nytt underbiträde, enligt detta PUB-avtal har den Personuppgiftsansvarige rätt att säga upp PUB-avtalet att upphöra med omedelbar verkan. Om Leasify AB Behandlar Personuppgifterna efter den tidpunkt som anges i punkt

16.1 gäller vad stadgas i punkter 16.2-16.3.

16. ÅTGÄRDER VID PUB-AVTALETS UPPHÖRANDE

16.1 Vid uppsägning av PUB-avtalet ska den Personuppgiftsansvarige utan onödigt dröjsmål begära att Leasify AB överlämnar samtliga Personuppgifter till den Personuppgiftsansvarige eller raderar dem, enligt dennes önskemål. Om Personuppgifterna överlämnas ska det ske i ett öppet och standardiserat format. Med samtliga Personuppgifter avses alla Personuppgifter vilka har omfattats av Behandlingen samt annan tillhörande information såsom Loggar, Instruktioner, beskrivningar och andra handlingar som Leasify AB som Personuppgiftsbiträdet erhållit genom informationsutbyte enligt PUB-avtalet. Överlämning och radering enligt PUB-avtalet, punkt 16.1, ska vara utförda senast trettio (30) dagar räknat från den tidpunkt uppsägning gjorts enligt detta PUB-avtal, punkt 15.

16.2 Behandling som utförs av Leasify AB efter den tidpunkt som stadgas i punkt 16.1 är att betrakta som en otillåten Behandling.

16.3 Bestämmelser om sekretess/tystnadsplikt i punkt 8 i PUB-avtalet ska fortsätta gälla även om PUB- avtalet i övrigt upphör av gälla.

17. MEDDELANDEN INOM RAMEN FÖR DETTA PUB-AVTAL OCH INSTRUKTIONER

Meddelanden om PUB-avtalet och dess administration inklusive uppsägning ska skickas till respektive parts kontaktperson för PUB-avtalet. Se sidan 1,

Meddelanden om parternas samarbete om dataskydd, gällande Behandlingen, ska skickas till respektive parts kontaktperson för parternas samarbete om dataskydd. Se sidan 1.

Meddelanden inom ramen för PUB-avtalet och Instruktioner ska skickas skriftligt. Ett meddelande ska anses ha kommit fram till mottagaren senast en (1) helgfri arbetsdag efter att meddelandet har skickats.

18. KONTAKTPERSONER

Parterna ska utse var sin kontaktperson för PUB-avtalet. Parterna ska även utse var sin kontaktperson för parternas samarbete om dataskydd. Varje part ansvarar för att de uppgifter som anges i punkt 1 i PUB-avtalet alltid är aktuella. Ändring av uppgifter i punkt 1 ska meddelas skriftligt enligt punkt 17 i PUB- avtalet.

19. PARTERNAS UNDERTECKNANDEN AV PUB-AVTALET

Detta PUB-avtal tillhandahålls i digitalt format för elektroniskt tecknande via Bank-ID.