Allmänna villkor för SoftOne Tjänster
Allmänna villkor för SoftOne Tjänster
§ 1. Tjänsten och dess tillhandahållande
§ 1.1 Parterna har kommit överens om att SoftOne AB (publ) (556239-4717) och/eller dess koncernbolag
(”SOFTONE”) till KUNDEN ska tillhandahålla den programtjänst som anges i ömsesidigt undertecknat avtal eller offert ("Tjänsten") på de villkor som anges i avtalet/offerten och dessa allmänna villkor (gemensamt, ”Avtalet”). I den mån det finns motsättningar mellan dessa allmänna villkor och villkor i skriftligt avtal eller offert mellan parterna ska villkoren i sådant avtal eller offert ha företräde.
§ 1.2 Tjänsten avser en så kallad SaaS-tjänst (Software as a Service). Det innebär att SOFTONE tillhandahåller Tjänsten via internet, samt att KUNDEN prenumererar på Tjänsten av SOFTONE. SOFTONE ansvarar för drift och underhåll av Tjänsten samt säkerhetskopiering vid lämpliga intervaller enligt SOFTONEs rutiner av de data eller annan information som KUNDEN eller KUNDENs behöriga användare ställer till SOFTONEs förfogande
(”Kundens Data”).
§ 1.3 I Tjänsten ingår Standard Service tillhandahållen av SOFTONE i enlighet med särskilda villkor som anges i SLA Standard Service, se xxx.xxxxxxx.xx/xxxxx
(”Standard Service”). Standard Service är kostnadsfri för KUNDEN så länge KUNDENs supportärenden avser Tjänstens funktionalitet. Grundläggande kunskaper om Tjänsten är en förutsättning för att KUNDEN ska kunna nyttja Standard Service. SOFTONE erbjuder utbildning avseende Tjänsten enligt separat överenskommelse och separata avgifter. SOFTONE påtar sig inte i något fall ansvar för hårdvara, operativsystem och/eller programvara levererad eller utvecklad av annan än SOFTONE
(”Tredjepartsprodukter”) eller åtgärdande av buggar eller andra fel, förseningar eller liknande i Tredjepartsprodukter.
§ 1.4 KUNDEN erhåller genom Avtalet en icke- exklusiv och icke-överlåtbar licens att använda Tjänsten i KUNDENs egen affärsverksamhet (inklusive en rätt att ge KUNDENs användare tillgång till Tjänsten för detta ändamål) i enlighet med de restriktioner som följer av Avtalet. Eventuella Tredjepartsprodukter i Tjänsten kan vara föremål för separata villkor som respektive tredjepartsleverantör tillämpar. KUNDEN är ansvarig för att ange vilka användare som är behöriga att använda Tjänsten. KUNDEN har inte rätt att ge någon annan än definierade behöriga användare rätt att nyttja Tjänsten och ska tillse att det vid var tid finns en förteckning över sådana behöriga användare. SOFTONE ska vid var tid under Avtalets giltighetstid ha rätt att ta del av denna förteckning. KUNDENs brott mot denna punkt utgör ett väsentligt avtalsbrott som ger SOFTONE rätt att säga upp Avtalet enligt punkt 8.3.
§ 1.5 SOFTONE har rätt att ensidigt göra ändringar i Tjänsten under förutsättning att sådan ändring inte negativt påverkar Tjänsten och att SOFTONE meddelar KUNDEN om sådan ändring så snart det är praktiskt möjligt.
§ 1.6 Vid förlust eller förvanskning av Kundens Data är SOFTONEs skyldighet uteslutande att med skäliga ansträngningar återskapa förlorad/förvanskad data med användning av den senast tagna säkerhetskopia som SOFTONE har av Kundens Data. SOFTONE ska inte ha något ansvar för sådan förlust eller förvanskning av Kundens Data som beror på tredje man vars åtgärder SOFTONE inte ansvarar för.
§ 1.7 Om tillhandahållandet av Tjänsten medför risk för skada för SOFTONE eller för annan kund till Tjänsten, får SOFTONE stänga av eller begränsa åtkomsten till Tjänsten. SOFTONE ska meddela KUNDEN om sådan begränsning så snart det är praktiskt möjligt. Om annat inte framgår av Avtalet om avtalade servicenivåer,
har SOFTONE rätt att vidta planerade åtgärder som påverkar tillgängligheten till Tjänsten om det är påkallat av tekniska, underhålls-, drifts- eller säkerhetsmässiga skäl. SOFTONE ska utföra sådan åtgärd skyndsamt och på ett sådant sätt att störningarna begränsas. SOFTONE åtar sig att meddela kunden inom skälig tid före sådan åtgärd och om möjligt förlägga planerade åtgärder till tid utanför normal arbetstid.
§ 1.8 SOFTONE och/eller SOFTONEs licensgivare har och behåller samtliga rättigheter inklusive immateriella rättigheter till Tjänsten samt däri ingående programvaror (inklusive förbättringar).
§ 2. SOFTONEs särskilda skyldigheter etc
§ 2.1 SOFTONE ska tillhandahålla Tjänsten fackmannamässigt och i överensstämmelse med vad som specificeras i Avtalet.
§ 2.2 Vid brist i åtagandet enligt föregående punkt ska SOFTONEs enda skyldighet vara att på egen bekostnad vidta skäliga åtgärder för att skyndsamt åtgärda avvikelsen. KUNDEN har således inte rätt till skadestånd eller annan liknande ersättning vid sådan brist.
§ 2.3 SOFTONE är inte ansvarig för användning av Tjänsten på ett sätt som strider mot SOFTONEs instruktioner. SOFTONE garanterar inte att KUNDENS användning av Tjänsten kommer att ske utan avbrott och inte heller vara felfri.
§ 2.4 SOFTONE vidtar skäliga åtgärder för att tillse att Tjänsten uppdateras så att den tar höjd för gällande lagar och förordningar. SOFTONE avhjälper härtill hänförliga brister i Tjänsten utan särskild kostnad för KUNDEN.
§ 3. KUNDENs särskilda skyldigheter etc
§ 3.1 KUNDEN ska samarbeta med SOFTONE och därvid lämna SOFTONE allt sådant biträde som är nödvändigt för att SOFTONE ska kunna tillhandahålla Tjänsten och fullgöra sina skyldigheter enligt Xxxxxxx. Vidare ska kunden lämna SOFTONE all erforderlig relevant information med avseende på KUNDENs IT-miljö.
§ 3.2 KUNDEN ansvarar för uppkoppling till Tjänsten samt för att KUNDEN innehar den utrustning och programvara som SOFTONE angivit krävs för nyttjande av Tjänsten eller som annars uppenbart krävs för sådant nyttjande.
§ 3.3 KUNDEN ansvarar för att inloggningsuppgifter, säkerhetsmetoder och annan information som SOFTONE tillhandahåller för tillgång till Tjänsten hanteras med sekretess enligt punkten 6 nedan. KUNDEN ska omedelbart meddela SOFTONE för det fall obehörig fått kunskap om information enligt denna punkt. KUNDENs brott mot denna punkt utgör ett väsentligt avtalsbrott som ger SOFTONE rätt att säga upp Avtalet enligt punkt 8.3.
§ 3.4 KUNDEN ansvarar för, och ska hålla SOFTONE skadeslös för, att Kundens Data inte gör intrång i tredje mans rätt eller på annat sätt står i strid med gällande
lagstiftning.
§ 3.5 KUNDEN åtar sig att inte använda Tjänsten för kontinuerlig överföring av data, till exempel där bilder från kamera regelbundet uppdateras. KUNDEN får inte använda Tjänsten som depå för program, film eller musik om inte annat överenskommits. KUNDEN ska säkerställa att samtliga behöriga användare följer bestämmelserna i denna punkt.
§ 4. Pris och betalning
§ 4.1 Priset för Tjänsten och eventuella tilläggstjänster framgår av SOFTONEs vid var tid gällande prislista. SOFTONE har rätt att justera prislistan genom skriftligt meddelande till KUNDEN. Avgifter för tilläggstjänster tillkommer om inte annat anges i Avtalet.
§ 4.2 Om inte annat anges i Avtalet ska samtliga avgifter erläggas i förskott. KUNDEN ska erlägga betalning till SOFTONE inom den betalningsfrist som anges på fakturan. Vid försenad betalning har SOFTONE rätt att debitera lagstadgad påminnelseavgift samt dröjsmålsränta om referensränta plus 8 %. KUNDENs rätt till Standard
Service upphör också̊ till dess att betalning erlagts. Om parterna avtalat om autogiro förbehåller sig SOFTONE rätten att justera priset med enligt Xxxxxxx angivet procentuellt tillägg per faktura.
§ 4.3 SOFTONE har rätt att på årlig basis justera samtliga priser i överensstämmelse med förändringen enligt det av SCB publicerade Labour Cost Index (LCI) för tjänstemän preliminärt index, SNI 2007 kod J (Informations- och kommunikationsverksamhet), dock lägst 2 % per år.
Basmånad för indexberäkningen är juli månad och ändringen träder i kraft i oktober.
§ 4.4 Tjänsten är modul- och användarbaserad där KUNDEN beställer och betalar för de moduler och användare som KUNDEN avser använda. Om KUNDEN vill avsluta moduler och/eller användare som tidigare använts ska KUNDEN meddela detta skriftligen till SOFTONE senast tre (3) månader innan nästa avtalsperiod. Justerad ersättning för Tjänsten vid minskning av antalet moduler och/eller användare träder i kraft i samband med ny avtalsperiod.
§ 4.5 Om SOFTONE förorsakas merarbete eller merkostnader på grund av omständigheter som KUNDEN ansvarar för ska KUNDEN ersätta SOFTONE för sådant merarbete och sådan merkostnad enligt SOFTONEs vid tillfället gällande prislista.
§ 6. Sekretess
§ 6.1 Parterna är medvetna om att de i sin avtalsrelation kan komma att erhålla information rörande bland annat affärs- eller driftförhållanden i motpartens rörelse, inklusive förhållanden rörande parternas samarbete och Avtalet. All slags information som part erhåller från den andre parten, oavsett om den dokumenterats skriftligt eller meddelats muntligt, ska betraktas som konfidentiell, med undantag för sådan information som är allmänt känd eller blir allmänt känd utan parts brott mot Avtalet. Mottagande part får inte utan den andre partens skriftliga samtycke avslöja sådan konfidentiell information för tredje man.
§ 6.2 Xxxxxxx parten ansvarar för att ovanstående sekretessåtaganden följs av partens personal och anlitade uppdragstagare, och informera dessa om gällande sekretess. Om part begär det ska särskild sekretessförbindelse tecknas av den andre partens berörda personal och/eller anlitade uppdragstagare.
§ 6.3 Ovanstående sekretessåtaganden ska överleva upphörandet av Avtalet. Sekretessåtagandena enligt ovan gäller inte:
a) sådan information som part kan visa blivit känd för denne på annat sätt än genom fullgörandet av sina skyldigheter enligt Xxxxxxx;
b) information som är allmänt känd eller blir allmänt känd utom genom brott mot tystnadsplikten enligt Xxxxxxx; eller
c) uppgifter som part enligt lag, domstolsbeslut eller annat myndighetsbeslut är skyldig att lämna ut.
§ 7. Ansvar
§ 7.1 SOFTONEs ansvar gentemot KUNDEN för fel eller dröjsmål i tjänsten eller skada som orsakas KUNDEN på grund av avtalsbrott eller som orsakats genom vårdslöshet av SOFTONE, omfattar, utom om uppsåt eller grov vårdslöshet föreligger, ersättning endast för direkta skador (d v s exkluderande ersättning för indirekt skada, såsom inkomstbortfall, skada på annans egendom, anspråk från tredje man, följdskador och liknande).
§ 7.2 Med undantag för vad som anges i punkt 1.6, har SOFTONE inget ansvar för skada eller förlust som drabbar KUNDEN på grund av förlust, fel eller förvanskning i Kundens Data, eller åtgärd som vidtas av SOFTONE på begäran av KUNDEN.
§ 7.3 Såvitt gäller felansvar, garantier m m utgör Avtalet den exklusiva regleringen mellan parterna och regler i dispositiv rätt (inklusive köplagen) är således undantagna från Avtalets tillämpningsområde.
§ 7.4 SOFTONEs ansvar enligt avtalet är vid var tid begränsat till ett belopp motsvarande det pris/de avgifter som KUNDEN erlagt under de tolv (12) månader som föregått den dag då grunden för kravet uppkom. KUNDEN ska, för att inte förlora sin rätt till anspråk, framställa krav skriftligen till SOFTONE senast inom 6 månader från skadetillfället.
§ 8. Avtalets giltighetstid och upphörande
§ 8.1 Avtalet gäller från det att parterna undertecknat detsamma och gäller därefter under den initiala avtalstiden som anges i Avtalet, såvida inte Avtalet upphör dessförinnan enligt bestämmelserna i denna punkt 8. Om annat inte anges i Avtalet, är den initiala avtalstiden tolv
(12) månader.
§ 8.2 Endera Part har rätt att säga upp Avtalet till upphörande vid utgången av den innevarande avtalsperioden under förutsättning att uppsägning sker skriftligen senast tre (3) månader före utgången av denna period. Om sådan uppsägning inte sker, förlängs Avtalet automatiskt med ett år i sänder med motsvarande uppsägningstid var gång.
§ 8.3 Part äger rätt att säga upp Avtalet till omedelbart upphörande eller till upphörande senast inom tre (3) månader från uppsägningen (enligt partens fria val) om den andre parten begår väsentligt avtalsbrott och inte vidtar rättelse inom trettio (30) dagar efter skriftlig anmodan därom.
§ 8.4 Härutöver har part rätt att säga upp Avtalet till omedelbart upphörande eller upphörande senast inom tre
(3) månader från uppsägningen (enligt den partens fria val) om motparten har försatts i konkurs, inleder ackordsförhandlingar, är föremål för företagsrekonstruktion eller annars är på obestånd.
§ 9. Konsekvenser av Avtalets upphörande
§ 9.1 Följande gäller beträffande parternas relation i och med Avtalets upphörande:
a) KUNDENs samtliga rättigheter att använda Tjänsten upphör genast och med automatik.
b) SOFTONE har rätt att radera Kundens Data som
SOFTONE disponerar över, om inte SOFTONE senast tio
(10) dagar efter Avtalets upphörande emottar från KUNDEN en skriftlig begäran om att en kopia av Kundens Data ska levereras till KUNDEN. Om SOFTONE erhåller sådan begäran ska SOFTONE vidta skäliga ansträngningar för att leverera en kopia av Kundens Data som SOFTONE innehar vid tidpunkten för KUNDENs begäran, under förutsättning att KUNDEN vid den tidpunkten har betalat samtliga förfallna belopp till SOFTONE under Avtalet. KUNDEN ska ersätta SOFTONE för SOFTONEs skäliga kostnader för åtgärder med att tillhandahålla en kopia till KUNDEN enligt ovan.
§ 10. Force majeure
§ 11. Övriga bestämmelser
§ 11.1 Uppsägning och andra meddelanden ska ske genom bud, rekommenderat brev eller elektroniskt meddelande till motpartens kontaktperson på av motparten angiven adress. Meddelandet ska anses ha kommit motparten till handa:
a) om avlämnat med bud; vid avlämnandet
b) om avsänt med rekommenderat brev; 5 dagar efter avsändandet för postbefordran
c) om avsänt som elektroniskt meddelande; vid mottagande då det elektroniska meddelandet kommit till mottagarens elektroniska adress.
§ 11.2 Ändringar av och tillägg till Avtalet ska överenskommas skriftligen och undertecknas av behöriga företrädare för respektive part.
§ 11.3 Avtalet får inte överlåtas utan motpartens godkännande. SOFTONE får dock utan KUNDENs medgivande överlåta Avtalet till dess koncernbolag samt överlåta rätten att ta emot betalning enligt Avtalet.
§ 11.4 SOFTONE får anlita underleverantör för fullgörande av Tjänsten och andra åtaganden enligt Avtalet.
SOFTONE ansvarar för underleverantörs arbete såsom för eget arbete.
§ 11.5 Avtalet ska regleras enligt svensk lag. Dock ska svensk lag om lagvalskonflikter inte tillämpas.
§ 11.6 Om det uppstår tvist i anledning av Xxxxxxx ska parterna i första hand försöka lösa tvisten genom förhandling parterna emellan. Kan tvisten trots detta inte lösas ska tvisten slutligt avgöras genom skiljedom enligt reglerna för Stockholms Handelskammares Skiljedomsinstitut. Förenklat skiljeförfarande ska tillämpas vid tvist vars initiala värde understiger 500 000 kronor.
Skiljeförfarande som påkallats med hänvisning till denna skiljeklausul omfattas av sekretess. SOFTONE har dock alltid rätt att väcka talan om betalningsansvar hos kronofogdemyndighet eller allmän domstol.
PERSONUPPGIFTSBITRÄDESAVTAL
KUNDEN härefter benämnt Personuppgiftsansvarige, och
SoftOne AB (publ), xxx.xx 556239-4717, Box 596, Xxxxxxxxxxxxxxx 00, 000 00 Xxxxxxxxx, xxxxxxxx benämnt Bolaget,
BAKGRUND
Personuppgiftsansvarige och Bolaget har ingått avtal avseende SoftOne Tjänster, härefter benämnt Huvudavtalet.
Med anledning av ovan nämnda Huvudavtal får Bolaget tillgång till personuppgifter för vilken Personuppgiftsansvarige är personuppgiftsansvarig.
Personuppgiftsansvarige ger härigenom Bolaget såsom Personuppgiftsbiträde uppgift att behandla personuppgifter i enlighet med villkoren i detta avtal.
1. DEFINITIONER
I detta personuppgiftsbiträdesavtal ska följande uttryck ha den betydelse som anges nedan:
”tillämplig dataskyddslagstiftning”
betyder alla tvingande nationella och internationella lagar och regelverk om dataskydd som gäller vid var tid under detta personuppgiftsbiträdesavtals avtalstid för den Personuppgiftsansvarige respektive Personuppgiftsbiträdet. ”Tillämplig dataskyddslagstiftning” omfattar EU:s kommande allmänna dataskyddsförordning (GDPR) som träder i kraft den 25 maj 2018. Innan förordningen träder i kraft ska dataskyddslagstiftningen i det medlemsland inom EES där den Personuppgiftsansvarige är verksam vara tillämplig på detta avtal (Personuppgiftslagen 1998:204 i Sverige);
”Personuppgiftsansvarig” betyder den juridiska person som enligt detta
personuppgiftsbiträdesavtal bestämmer ändamålen och medlen för behandlingen av personuppgifter;
”Personuppgiftsbiträde” betyder den juridiska person som behandlar
personuppgifter för den Personuppgiftsansvariges räkning enligt detta personuppgiftsbiträdesavtal;
”personuppgifter” betyder varje upplysning som avser en identifierad
eller identifierbar fysisk person;
”behandling” betyder en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering,
organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, utplåning eller förstöring.
”underbiträde” betyder en underleverantör som anlitats av Personuppgiftsbiträdet och som ska behandla personuppgifter för den Personuppgiftsansvariges räkning i enlighet med underleverantörens uppdrag att tillhandahålla tjänsten.
2. BEHANDLING AV PERSONUPPGIFTER
2.1 Personuppgiftsbiträdet förbinder sig att endast behandla personuppgifter i enlighet med dokumenterade instruktioner som från tid till annan meddelats av den Personuppgiftsansvarige. Den Personuppgiftsansvariges ursprungliga instruktioner till Personuppgiftsbiträdet angående behandlingens föremål och varaktighet, behandlingens karaktär och ändamål, typ av personuppgifter och kategorier av registrerade anges i detta personuppgiftsbiträdesavtal och i Bilaga 1.
2.2 När Personuppgiftsbiträdet behandlar personuppgifter enligt detta personuppgiftsbiträdesavtal ska denne uppfylla alla tillämpliga dataskyddslagar och tillämpliga rekommendationer från Datainspektionen och andra behöriga myndigheter. Personuppgiftsbiträdet ska godkänna de eventuella ändringar och tillägg till detta personuppgiftsbiträdesavtal som krävs enligt tillämplig dataskyddslagstiftning.
2.3 Personuppgiftsbiträdet ska biträda den Personuppgiftsansvarige vid fullgörandet av sina skyldigheter enligt tillämplig dataskyddslagstiftning, innefattande men inte begränsat till den Personuppgiftsansvariges skyldighet att hantera krav gällande utövande av de registrerade personernas rättigheter till information om behandlingen av deras personuppgifter (registerutdrag) och till att få personuppgifter rättade, blockerade eller utplånade.
2.4 Personuppgiftsbiträdet får vidare inte vidta någon åtgärd som kan medföra att den Personuppgiftsansvarige bryter mot tillämplig dataskyddslagstiftning.
2.5 Personuppgiftsbiträdet ska omgående meddela den Personuppgiftsansvarige om Personuppgiftsbiträdet saknar en instruktion för hur personuppgifter ska behandlas i en specifik situation eller om en instruktion som utfärdats enligt detta personuppgiftsbiträdesavtal strider mot tillämplig dataskyddslagstiftning.
2.6 Om registrerad person, behörig myndighet eller annan tredje part begär information från Personuppgiftsbiträdet om behandlingen av personuppgifter som omfattas av detta Personuppgiftsbiträdesavtal ska Personuppgiftsbiträdet hänskjuta sådan begäran till den Personuppgiftsansvarige. Personuppgiftsbiträdet får inte i något avseende handla för den Personuppgiftsansvariges räkning eller som dennes ombud, och får inte utan föregående medgivande från den Personuppgiftsansvarige överföra eller på annat sätt lämna ut personuppgifter eller andra uppgifter rörande behandlingen av personuppgifter till tredje part. Om det enligt tillämpliga lagar och regelverk
begärs att Personuppgiftsbiträdet ska utlämna personuppgifter som Personuppgiftsbiträdet behandlar för den Personuppgiftsansvariges räkning, är Personuppgiftsbiträdet skyldig att omgående meddela den Personuppgiftsansvarige om detta och att i samband med utlämnandet begära att uppgifterna behandlas med sekretess.
3. UNDERBITRÄDE
3.1 Personuppgiftsbiträdet får anlita underbiträden inom och utanför EU/ EES utan föregående skriftligt medgivande från den Personuppgiftsansvarige. Personuppgiftsbiträdet ska tillse att underbiträden är bundna av skriftliga avtal som ålägger dem motsvarande skyldigheter vid databehandlingen som de skyldigheter som gäller enligt detta personuppgiftsbiträdesavtal.
3.2 Om Personuppgiftsbiträdet avser att anlita ett nytt underbiträde för att behandla personuppgifter som omfattas av detta personuppgiftsbiträdesavtal ska Personuppgiftsbiträdet dessförinnan omedelbart meddela den Personuppgiftsansvarige och bereda denne möjlighet att framföra invändningar. Personuppgiftsbiträdet ska förse den Personuppgiftsansvarige med all information som denne skäligen kan begära för att bedöma om anlitandet av det föreslagna underbiträdet kommer att säkerställa efterlevnaden av den Personuppgiftsansvariges skyldigheter enligt detta personuppgiftsbiträdesavtal och tillämplig dataskyddslagstiftning. Om efterlevnaden av dessa skyldigheter, enligt den Personuppgiftsansvariges skäliga uppfattning, inte möjliggörs genom det föreslagna nya underbiträdet, har Personuppgiftsbiträdet inte rätt att anlita underbiträdet för ändamålet med detta personuppgiftsbiträdesavtal.
3.3 Personuppgiftsbiträdet är ansvarig gentemot den Personuppgiftsansvarige för underbiträdets utförande av sina förpliktelser.
4. ÖVERFÖRING TILL TREDJE LAND
4.1 Personuppgiftsbiträdet får, utan föregående skriftligt medgivande från den Personuppgiftsansvarige, överföra personuppgifter utanför EU/ EES.
4.2 Om personuppgifter överförs till plats utanför EU/ EES ska Personuppgiftsbiträdet ingå bindande avtal med den juridiska person som finns utanför EU/ EES, i den Personuppgiftsansvariges namn och för dennes räkning, enligt EU:s standardklausuler, som ska avspegla instruktionerna, som anges i Bilaga 1. Anslutningen till ”Ramen för skölden för skydd av privatlivet”, som antogs av Europeiska kommissionen den 12 juli 2016, utgör ett alternativ till EU:s standardklausuler för Personuppgiftsbiträden som finns i USA.
5. DATASÄKERHET OCH SEKRETESS
5.1 För att biträda den Personuppgiftsansvarige vid fullgörandet av dennes rättsliga förpliktelser innefattande men inte begränsat till säkerhetsåtgärder och riskbedömningar, är Personuppgiftsbiträdet skyldig att vidta de tekniska och organisatoriska åtgärder som krävs för att skydda de personuppgifter som behandlas. Åtgärderna ska minst resultera i en säkerhetsnivå som är adekvat med beaktande av:
(i) existerande tekniska möjligheter;
(ii) kostnaderna för att utföra åtgärderna;
(iii) de särskilda risker som är förknippade med behandlingen av personuppgifterna; samt
(iv) känsligheten hos de behandlade personuppgifterna.
5.2 Personuppgiftsbiträdet ska kontinuerligt bibehålla en adekvat säkerhet för personuppgifterna. Personuppgiftsbiträdet ska skydda personuppgifterna mot förstörelse, ändring, olaglig spridning och obehörig åtkomst. Personuppgifterna ska även skyddas mot alla övriga former av olaglig behandling. Med hänsyn till aktuell teknisk nivå och kostnaderna för implementeringen och med beaktande av karaktären, omfattningen, sammanhanget och ändamålen för behandlingen, liksom den varierande sannolikheten och graden av risk för enskilda personers rättigheter och friheter, ska de tekniska och organisatoriska åtgärder som vidtas av Personuppgiftsbiträdet i förekommande fall inkludera:
(v) pseudonymisering och kryptering av personuppgifter;
(vi) förmågan att säkerställa kontinuerlig sekretess, integritet, tillgänglighet och robusthet i de system och tjänster som behandlar personuppgifter;
(vii) förmågan att snabbt återställa tillgänglighet och åtkomst till personuppgifterna i händelse av fysiska eller tekniska incidenter; samt
(viii) en process för att regelbundet testa, bedöma och utvärdera effektiviteten i de tekniska och organisatoriska åtgärderna för att säkerställa behandlingens säkerhet.
5.3 Personuppgiftsbiträdet ska om möjligt underrätta den Personuppgiftsansvarige och vidta alla nödvändiga åtgärder vid oavsiktlig eller obehörig åtkomst av personuppgifter eller annan säkerhetsincident (personuppgiftsincident) när Personuppgiftsbiträdet får vetskap om sådan incident. Sådan underrättelse ska minst:
(i) beskriva personuppgiftsincidentens karaktär, om möjligt med angivande av kategorier och antal berörda registrerade och kategorier och antal berörda personuppgifter;
(ii) innehålla namn och kontaktuppgifter till dataskyddsombud eller annan kontaktpunkt där ytterligare information kan erhållas;
(iii) beskriva de sannolika konsekvenserna av personuppgiftsincidenten;
(iv) beskriva vilka åtgärder som vidtagits eller som den personuppgiftsansvarige föreslås vidta för att avhjälpa personuppgiftsincidenten, i förekommande fall inkluderande åtgärder för att minska eventuella negativa effekter.
5.4 Personuppgiftsbiträdet förbinder sig att inte utan föregående skriftligt medgivande av den Personuppgiftsansvarige utlämna eller på annat sätt göra personuppgifter som behandlats enligt detta personuppgiftsbiträdesavtal tillgängliga för tredje part, med undantag för underbiträde som anlitats enligt detta personuppgiftsbiträdesavtal.
5.5 Personuppgiftsbiträdet är skyldig att säkerställa att endast sådan personal som direkt måste ha tillgång till personuppgifter för att kunna fullgöra
Personuppgiftsbiträdets skyldigheter enligt detta personuppgiftsbiträdesavtal får tillgång till sådana uppgifter. Personuppgiftsbiträdet ska säkerställa att sådan personal omfattas av en sekretessförbindelse avseende dessa personuppgifter som motsvarar vad som gäller för Personuppgiftsbiträdet enligt detta personuppgiftsbiträdesavtal.
5.6 Personuppgiftsbiträdet är medveten om att Lag (1990:409) om skydd för företagshemligheter kan vara tillämplig.
5.7 Den sekretessförbindelse som anges i detta avsnitt 5 ska fortsätta att gälla även efter att detta personuppgiftsbiträdesavtal upphört.
6. RÄTT TILL GRANSKNING
Den Personuppgiftsansvarige ska, i sin egenskap som personuppgiftsansvarig, ha rätt att vidta erforderliga åtgärder för att verifiera att Personuppgiftsbiträdet kan fullgöra sina skyldigheter enligt detta personuppgiftsbiträdesavtal och att Personuppgiftsbiträdet faktiskt har vidtagit de åtgärder som krävs för att säkerställa att dessa fullgörs. Personuppgiftsbiträdet förbinder sig att tillhandahålla den Personuppgiftsansvarige alla uppgifter och allt biträde som krävs för att verifiera efterlevnaden av de skyldigheter som anges i detta personuppgiftsbiträdesavtal, samt att möjliggöra för och medverka vid sådan granskning, inklusive kontroll på plats, som genomförs av Personuppgiftsansvarig eller annan granskare som utsetts av denne.
7. AVTALSTID
Bestämmelserna i detta personuppgiftsbiträdesavtal ska gälla så länge som Personuppgiftsbiträdet behandlar personuppgifter för vilka den Personuppgiftsansvarige är personuppgiftsansvarig.
8. TILLÄMPLIG LAG
Detta avtal ska regleras av och tolkas enligt svensk materiell rätt.
9. ÅTGÄRDER NÄR BEHANDLINGEN AV PERSONUPPGIFTER AVSLUTATS
9.1 När detta personuppgiftsbiträdesavtal upphör ska Personuppgiftsbiträdet, efter den Personuppgiftsansvariges beslut som meddelas till Personuppgiftsbiträdet, förstöra eller återlämna alla personuppgifter till den Personuppgiftsansvarige och tillse att alla underbiträden gör detsamma.
9.2 På begäran av den Personuppgiftsansvarige ska Personuppgiftsbiträdet skriftligen bekräfta vilka åtgärder som vidtagits avseende personuppgifterna efter behandlingens avslutande.
10. ERSÄTTNING
Personuppgiftsbiträdet har rätt till ersättning baserad på tid och material, enligt Personuppgiftsbiträdets vid var tid gällande timkostnad, för behandlingen av personuppgifter enligt paragraferna 2.3, 2.6, 5.3, 6 och 9 i detta personuppgiftsbiträdesavtal.
11. MEDDELANDEN
11.1 Alla meddelanden och annan kommunikation enligt detta avtal från en part till den andra ska upprättas skriftligen och avlämnas genom e-post, bud eller rekommenderat brev till parternas ovan listade adresser eller hos Bolagsverket senare registrerade adresser.
11.2 Meddelande ska anses ha kommit mottagaren tillhanda:
a) vid avlämnande med bud; vid tidpunkten för avlämnandet,
b) vid avsändande med rekommenderat brev; den tredje (3) vardagen efter avlämnandet för postbefordran under parts i inledningen angivna eller senare ändrad postadress, eller
c) vid avsändande med e-post; efter bekräftelse om mottagande från den andra parten.
12. TVISTLÖSNING
12.1 Tvist i anledning av detta avtal ska slutligt avgöras genom skiljedom administrerat vid Stockholms Handelskammares Skiljedomsinstitut, härefter refererat till som Institutet. Institutets Regler för Förenklat Skiljeförfarande ska gälla om inte Institutet med beaktande av målets svårighetsgrad, tvisteföremålets värde och övriga omständigheter bestämmer att Regler för Stockholms Handelskammares Skiljedomsinstitut ska tillämpas på förfarandet. I sistnämnda fall ska Institutet också bestämma om skiljenämnden ska bestå av en eller tre skiljemän. Plats för skiljeförfarandet ska vara Stockholm och språket vid förfarandet ska vara svenska. Parterna skall iaktta sekretess om förekomsten av tvist, skiljeförfarandet och skiljedom.
Bilaga 1
Instruktioner för databehandlingen
Ändamål Ange alla ändamål för vilka personuppgifterna ska behandlas av Personuppgiftsbiträdet | Ändamålet för behandlingen är i förekommande fall kund-, leverantörs, lön- samt personaladministration och schemaläggning av arbetstid inom Tjänsten för Affärs- och/eller HR-system. Ändamålet är också att tillhandahålla kommunikationsmöjligheter mellan arbetsgivare och personal. Detta innebär att personal kan se sina valda uppgifter i en applikation på Internet samt i en mobilapplikation. |
Kategorier av uppgifter Ange vilka personuppgifter som ska behandlas av Personuppgiftsbiträdet | Kontaktuppgifter såsom namn, e-post, personnummer, telefonnummer, adress samt uppgifter avseende arbetstid, sjukfrånvaro, lön, bilder etc. beroende på val av modul. Kontaktuppgifter så som namn, telefonnummer, e-post, adress och inloggningsuppgifter till administratörer av verktygen hos Personuppgiftsansvarige samt kontaktuppgifter till Personuppgiftsansvarige i syfte att fullgöra Huvudavtalet t.ex. om behörig firmatecknares namn. |
Kategorier av registrerade Ange för vilka kategorier av registrerade som Personuppgiftsbiträdet kommer att behandla personuppgifter om. | Bolaget kan komma att registrera och behandla personuppgifter om Personuppgiftsansvariges personal inklusive tillfällig extrapersonal, administratörer hos Personuppgiftsansvarige samt kontaktpersoner hos Personuppgiftsansvarige som ett led i fullgörande av Huvudavtalet. |
Behandlingsaktiviteter Ange vilka behandlingsaktiviteter som kommer att utföras av Personuppgiftsbiträdet. | Registrering, behandling, lagring och gallring av personuppgifter. |
Plats för behandling av personuppgifterna Ange alla platser där personuppgifter kommer att behandlas av Personuppgiftsbiträdet. | EU och EES. |
Gallring I förekommande fall: Ange tiden som Personuppgiftsbiträdet lagrar personuppgifter. | Personuppgifter får inte sparas längre än vad som är nödvändigt med hänsyn till ändamålen. Nedan följer några gallringsrutiner som Bolaget och Personuppgiftsansvarige rekommenderas att tillse efterlevs inom systemen: Kontaktuppgifter till personal/extrapersonal: Kontaktuppgifter till personal får sparas i systemen under den tid personalen är anställd. För extrapersonal bör personuppgifter gallras bort i rimlig tid när det inte längre förväntas att extrapersonalen står till förfogande. Personuppgiftsansvarige ansvarar för att löpande tillse att inaktuella kontaktuppgifter avseende personal gallras bort när dessa är inaktuella eller när det inte längre är nödvändigt med hänsyn till ändamålen för behandlingen. Bolaget bör tillse att det finns funktionalitet för att administratörer hos Personuppgiftsansvarige att radera dessa uppgifter. Schemalagd arbetstid: Schemalagd arbetstid kan behöva sparas en tid efter avslutad anställning av arbetsgivaren (Personuppgiftsansvarige) för att fullgöra kraven i 47 § lag om arbetslöshetsförsäkring om arbetsgivarintyg. En sådan begäran från en enskild avser de senaste 12 månadernas arbete, och begärs som huvudregel i anslutning till att anställningen upphör. Schemaläggningar bör sparas i innevarande år samt 12 månader bakåt. Finns det behov för Personuppgiftsansvarige att spara informationen under längre tid än så rekommenderas Personuppgiftsansvarige att spara ned denna information i egna HR-system. Sjukfrånvaro: Sjukfrånvaro noteras men inte bakomliggande orsak. Sjukfrånvaro är en känslig personuppgift och bör omgärdas av hög sekretess. Information kring hur en arbetstagare varit frånvarade finns sällan anledning att spara efter att anställningen har upphört. Det kan även finnas anledning att gallra sådan information under anställningens gång. |
Underbiträden I förekommande fall: Ange tillåtna underbiträden. | Den Personuppgiftsansvarige ger Personuppgiftsbiträdet rätt att ingå avtal med underbiträden för den Personuppgiftsansvariges räkning för utförandet av sina förpliktelser enligt detta personuppgiftsbiträdesavtal under förutsättning att Personuppgiftsbiträdet upprätthåller en förteckning över underbiträden och meddelar den Personuppgiftsansvarige om eventuella ändringar så att den Personuppgiftsansvarige har möjlighet att göra invändningar. |