Bilaga 2 Personuppgiftsbiträdesavtal, inklusive samtliga bilagor, (”Avtalet”)

Bilaga 2 Personuppgiftsbiträdesavtal, inklusive samtliga bilagor, (”Avtalet”)

Detta avtal rekommenderas av Svenska fotografers förbund och är avsett att använda tillsammans med det av SFF rekommenderade avtalet för uppdragsfotografering (Uppdragsavtalet)

1.Uppdragets art och Avtalets syfte

Detta Avtal reglerar behandling av personuppgifter som Uppdragsgivaren (Personuppgiftsansvarig) tillhandahåller och/eller som Fotografen (Personuppgiftsbiträdet) får del av inom ramen för Parternas avtal avseende uppdragsfotografering i förhållande till insamlandet av erforderliga samtycken på Personuppgiftsansvariges begäran (Uppdragsavtalet). Syftet med detta Avtal är att reglera Parternas rättigheter och skyldigheter som följer med uppdraget att behandla personuppgifter, för att på så vis säkerställa att personuppgifterna behandlas i enlighet med de bestämmelser som följer av vid var tid gällande personuppgiftslagstiftning inklusive EU:s allmänna dataskyddsförordning, EU 2016/679, (GDPR) och eventuell senare lagstiftning som ersätter eller kompletterar dessa (nedan ”Tillämplig Dataskyddslagstiftning”).

Begreppen ”Personuppgiftsansvarig”, ”Personuppgiftsbiträde”, ”personuppgift”, ”behandling”, ”registrerad” och ”tillsynsmyndighet” ska ha samma innebörd som de som återfinns i GDPR.

2.Personuppgiftsbehandlingens ändamål och omfattning

Syftet med behandlingen av personuppgifter är att a) inhämta erforderliga samtycken och/eller b) för fullgörande av Uppdragsavtalet. De personuppgifter som personuppgiftsbiträdet kommer att behandla är namn samt kontaktuppgifter till de personer som erforderliga samtycken ska inhämtas från.

3. Den Personuppgiftsansvariges skyldigheter

Den Personuppgiftsansvarige ska etablera rutiner i den egna verksamheten för att bland annat:

(1) säkerställa att det finns en rättslig grund enligt Tillämplig Dataskyddslagstiftning för att personuppgifterna får behandlas för de ändamål som anges i punkten 2 ovan;

(2) tillvarata de registrerades rätt till information och insyn, rätt till radering m.m.; och

(3) anmäla personuppgiftsincidenter till tillsynsmyndigheten.

4. Personuppgiftsbiträdets skyldigheter

4.1 Säkerhetsåtgärder

Personuppgiftsbiträdet ska etablera tekniska och organisatoriska åtgärder för att säkerställa att personuppgifterna behandlas i enlighet med kraven i Tillämplig Dataskyddslagstiftning och villkoren i detta Avtal. Säkerhetsåtgärderna ska minst motsvara den nivå som behöriga tillsynsmyndigheter normalt kräver för motsvarande behandlingar. Åtgärderna ska vara dokumenterade och ska utan onödigt dröjsmål lämnas till den Personuppgiftsansvarige vid skriftlig anmodan.

4.2 Instruktioner

Personuppgiftsbiträdet får endast behandla personuppgifterna för det ändamål som framgår av punkten 2 ovan och endast i syfte att utföra sitt uppdrag enligt Uppdragsavtalet.

4.3 Utlämnande av personuppgifter och användningen av underleverantörer

Personuppgiftsbiträdet får endast anlita de nedan namngivna underleverantörerna vid insamling av erforderliga samtycken i enlighet med detta Avtal:

Namn: Simple Sign International AB, 556947-8273, Hemvist: Sverige, Vilka personuppgifter avses: t.ex. namn, e-postadress och telefon

Personuppgiftsansvarig medger genom undertecknandet av Avtalet att ovanstående underleverantörer accepteras. Ovanstående leverantör kan bytas ut, eller läggas till, om Fotografen använder sig av en annan liknande tjänst eller en annan underleverantör. Fotografen ska i sådana fall informera Personuppgiftsbiträdet om ändringen. Personuppgiftsbiträdet ska ingå ett skriftligt avtal med sina underleverantörer, som binder underleverantören vid minst samma skyldigheter som Personuppgiftsbiträdet har enligt detta Avtal.

4.4 Krav på lokalisering och överföring av personuppgifter till tredjeland

Personuppgiftsbiträdet ska tillse att personuppgifterna lagras inom EU/EES om inte Parterna skriftligen kommer överens om något

annat. Detsamma gäller åtkomst till personuppgifterna för exempelvis service, support, underhåll, utveckling, drift eller liknande hantering.

För det fall att Parterna kommer överens om en överföring (inklusive åtkomst) av personuppgifter till tredjeland utifrån den definition som framgår av Tillämplig Dataskyddslagstiftning, ska Personuppgiftsbiträdet tillse att en lämplig mekanism för undantag från förbudet att överföra personuppgifter till tredjeland upprättas, dvs. säkerställa att det finns lämpliga skyddsåtgärder på plats enligt tillämplig personuppgiftslagstiftning, t.ex. standardiserade dataskyddsbestämmelser som antagits av EU-kommissionen.

4.5 Tystnadsplikt och behörigheter

Personuppgiftsbiträdet ska säkerställa att personer med behörighet att behandla personuppgifterna antingen omfattas av en lagstadgad tystnadsplikt eller har åtagit sig det i ett bindande avtal. Tystnadsplikten ska gälla även efter det att detta Avtal har upphört att gälla.

Åtkomst till personuppgifterna ska begränsas till sådana personer som behöver dem för att kunna utföra sina arbetsuppgifter.

4.6 Incidentrapportering

Personuppgiftsbiträdet ska skyndsamt underrätta den Personuppgiftsansvarige om säkerhetsincidenter som har medfört oavsiktlig eller olovlig förstörelse, förlust, ändring, obehörigt utlämnande av eller åtkomst till personuppgifterna. Alla sådana incidenter ska dokumenteras av Personuppgiftsbiträdet och dokumentationen ska överlämnas utan oskäligt dröjsmål till den Personuppgiftsansvarige vid skriftlig anmodan.

Om det är sannolikt att en personuppgiftsincident medför en risk för den personliga integriteten hos de registrerade, ska Personuppgiftsbiträdet omedelbart efter att personuppgiftsincidenten kommit till Personuppgiftsbiträdets kännedom, vidta lämpliga avhjälpande åtgärder för att förhindra eller begränsa personuppgiftsincidentens potentiella negativa effekter.

I de fall en incident ska rapporternas till tillsynsmyndigheten, ska Personuppgiftsbiträdet skyndsamt bistå den Personuppgiftsansvarige med all information som efterfrågas och samarbeta med relevant tillsynsmyndigheten.

4.7 Bistånd för att fullgöra skyldigheter gentemot de registrerade

Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige att fullgöra sina skyldigheter när de registrerade utövar sin rätt till insyn, rättelse, radering, dataportabilitet etc. enligt Tillämplig Dataskyddslagstiftning.

4.8 Radering av personuppgifter

Om den Personuppgiftsansvarige och/eller de registrerade under avtalstiden meddelar eller på annat sätt signalerar att personuppgifter ska raderas ska dessa därefter förstöras, skrivas över eller på annat sätt raderas av Personuppgiftsbiträdet. Detta gäller dock inte bildmaterial med vidhängande personuppgifter i metadata och motsvarande filinformation.

När Uppdragsavtalet har avslutats ska Personuppgiftsbiträdet lämna tillbaka och/eller radera eller förstöra alla personuppgifter som omfattats av Uppdragsavtalet på det sätt som Parterna kommer överens om vid det tillfället. Personuppgiftsbiträdet ska skyndsamt skicka en skriftlig bekräftelse på att radering/förstöring har skett till den Personuppgiftsansvarige. Detta gäller dock inte bildmaterial med vidhängande personuppgifter i metadata och motsvarande filinformation.

5. Ersättning

Personuppgiftsbiträdet äger rätt att, utöver vad som framgår av Uppdragsavtalet, debitera den Personuppgiftsansvarige för nedlagt arbete och kostnader som uppkommit på grund av att registrerade har begärt registerutdrag avseende behandlingen av den registrerades personuppgifter, radering av personuppgifter, överföring av personuppgifter (dataportabilitet) eller lämnande av obligatorisk information, enligt Tillämplig Dataskyddslagstiftning, till de registrerade, samt för de fall den Personuppgiftsansvariga ändrar instruktionerna och att detta medför ytterligare kostnader för Personuppgiftsbiträdet.

6. Ansvarsbegränsning

Personuppgiftsbiträdet ansvar under detta Avtal är begränsat till tjugofem (25) procent av den ersättning som Personuppgiftsansvarige erlagt till Personuppgiftsbiträdet enligt Uppdragsavtalet. Personuppgiftsbiträdet ansvarar inte i något avseende för indirekta skador eller följdskador, såsom förlorade intäkter, förlust av data eller eventuella sanktionsavgifter. För att Personuppgiftsbiträdet ska vara ansvarig gentemot Personuppgiftsansvarige krävs att Personuppgiftsbiträdet inte genomfört sitt uppdrag i enlighet med de skriftliga instruktioner och anvisningar som tydligt framgår av detta Avtal och att detta i sin tur bevisligen har medfört att den Personuppgiftsansvarige drabbats av en direkt skada som är ersättningsgill enligt detta Avtal. Personuppgiftsbiträdet är inte ansvarig för eventuell skada för det fall den Personuppgiftsansvarige agerat på ett sätt som orsakat eller förvärrat skadan, helt eller delvis, och/eller för det fall Personuppgiftsbiträdet inte kunnat följa detta Avtal och/eller de skriftliga instruktionerna på grund av force majeure-liknande händelser under förutsättning att Personuppgiftsbiträdet skriftligen underrättar Personuppgiftsansvarige om dessa.

7. Avtalstid

Detta Avtal gäller så länge som Uppdragsavtalet är gällande och så länge som Personuppgiftsbiträdet behandlar Personuppgifter för den Personuppgiftsansvariges räkning i enlighet med Uppdragsavtalet.

8. Fullständig reglering

Parterna bekräftar att Avtalet och Uppdragsavtalet utgör hela den fullständiga överenskommelsen och utgör avtalet mellan Parterna avseende dess innehåll, och att det har företräde framför samtliga tidigare avtal, överenskommelser, kommunikationer, åtaganden eller garantier, muntliga eller skriftliga, med någon chef, ombud, anställd eller företrädare för någon av Parterna.

9. Ändringar och tillägg

Ändringar och tillägg till detta Avtal ska vara skriftliga och undertecknade av båda Parter för att äga giltighet.

10. Lagval och jurisdiktion

Detta Avtal ska regleras av och tolkas i enlighet med det lands lag, och de bestämmelser, som framgår av Uppdragsavtalet. Tvister enligt detta Avtal ska avgöras i enlighet med de bestämmelser som framgår av Uppdragsavtalet.