Personuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal
Europaparlamentets och rådets förordning 2016/679 (Allmän Dataskyddsförordning), nedan kallad Dataskyddsförordningen eller Förordningen ställer krav på skriftligt personuppgiftsbiträdesavtal när en part ska Behandla Personuppgifter för annan parts räkning. Med anledning av detta har parterna enats om att ingå förevarande personuppgiftsbiträdesavtal.
1 PARTER
Kunden (nedan kallat “Personuppgiftsansvarig”) och Easyweb c/o Sphinxly AB (nedan kallat “Personuppgiftsbiträde”), organisationsnummer 5566826482, (gemensamt benämnda ”Parterna”) har denna dag träffat följande Personuppgiftsbiträdesavtal.
2 DEFINITIONER
Behandling av personuppgifter
Åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, inhämtande eller användning.
Personuppgiftsansvarig
Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.
Personuppgiftsbiträde
Den som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Tredje land
En stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.
3 SYFTE
Syftet med detta avtal är att tillse att Personuppgiftsbiträdets behandling av personuppgifterna för Personuppgiftsansvariges räkning sker i enlighet med personuppgiftslagens (1998:204) krav och enligt vad som överenskommits i detta avtal.
4 INSTRUKTIONER
Personuppgiftsbiträdet får endast behandla den Personuppgiftsansvariges personuppgifter i enlighet med den Personuppgiftsansvariges skriftliga instruktioner. Personuppgiftsbiträdet får inte behandla personuppgifterna för egna ändamål.
För det fall Personuppgiftsbiträdet saknar instruktioner som denne bedömer är nödvändiga för att genomföra sina åtaganden ska Personuppgiftsbiträdet, utan dröjsmål, informera Personuppgiftsansvarig om detta och invänta instruktioner.
5 PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN
Personuppgiftsbiträdet åtar sig att tillämpa gällande svensk lagstiftning vid personuppgiftsbehandlingen.
Personuppgiftsbiträdet får inte överföra personuppgifterna till tredje land annat än efter Personuppgiftsansvariges i förväg lämnade skriftliga samtycke. Personuppgiftsbiträdet åtar sig att endast lämna ut personuppgifterna till de inom sin egen organisation som behöver tillgång till uppgifterna för att kunna utföra sina arbetsuppgifter.
Personuppgiftsbiträdet får inte lämna ut personuppgifterna eller annan information om personuppgiftsbehandlingen till tredje man annat än efter Personuppgiftsansvariges i förväg lämnade skriftliga samtycke, med undantag för när sådant utlämnande kan krävas enligt lag.
För det fall myndighet eller annan tredje man begär ut information från Personuppgiftsbiträdet som rör personuppgiftsbehandlingen ska Personuppgiftsbiträdet utan dröjsmål vidarebefordra sådan framställan till Personuppgiftsansvarig.
Personuppgiftsbiträdet ska vid behov assistera Personuppgiftsansvarig med att ta fram information som begärts av tredje man.
Personuppgiftsbiträdet har inte rätt att företräda Personuppgiftsansvarig eller agera för Personuppgiftsansvarigs räkning gentemot tredje man med undantag från vad som framgår av punkten 8.
6 SÄKERHET
Personuppgiftsbiträdet ska vidta överenskomna säkerhetsåtgärder för att skydda personuppgifter. Personuppgiftsbiträdet intygar att dennes verksamhet i alla delar sköts på ett sätt som säkerställer efterlevnad av personuppgiftslagens krav på adekvat säkerhetsnivå. Personuppgiftsbiträdet åtar sig att följa myndighetsbeslut gällande säkerhetsåtgärder för personuppgiftshanteringen.
Personuppgiftsbiträdet ska omedelbart informera Personuppgiftsansvarig vid upptäckt av eller misstanke om obehörig åtkomst av personuppgifterna. För att kunna säkerställa att Personuppgiftsbiträdet vidtar tillräckliga säkerhetsåtgärder har Personuppgiftsansvarig rätt till nödvändig insyn i Personuppgiftsbiträdets verksamhet, system och personuppgiftshantering. Personuppgiftsbiträdet åtar sig att utan dröjsmål, på Personuppgiftsansvariges begäran, tillhandahålla Personuppgiftsansvarig med den information
Personuppgiftsansvarig behöver för att kunna utöva sin insyn. Kvävs särskilt omfattande arbete (mer än 2 h) för att kunna tillhandahålla Personuppgiftsansvariges begäran har Personuppgiftsbiträdet rätt att debitera för nedlagd tid.
8 UNDERLEVERANTÖRER
Personuppgiftsbiträdet har rätt att anlita ett annat personuppgiftsbiträde (”Underbiträde”) för fullgörandet av Personuppgiftsbiträdets åtaganden enligt Avtalet, förutsatt sådant Underbiträde ingår ett skriftligt så kallat underbiträdesavtal med Personuppgiftsbiträdet med villkor som motsvarar villkoren i Avtalet, och då särskilt för att ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder för att uppfylla kraven i Tillämplig dataskyddslag. En kopia på ingånget underbiträdesavtal ska på begäran av Personuppgiftsansvarig skickas till Personuppgiftsansvarig.
Personuppgiftsbiträdet ska säkerställa att Personuppgiftsansvarig har kännedom om vilka Underbiträden som behandlar personuppgifter genom att utan dröjsmål, på begäran av Personuppgiftsansvarig, tillhandahålla Personuppgiftsansvarig fullständig, korrekt och uppdaterad information om samtliga Underbiträden, där följande information specificeras för varje enskilt Underbiträde: (i) definition av Underbiträdet, inklusive dess kontaktinformation, bolagsform och geografisk placering, (ii) vilken typ av tjänst som Underbiträdet utför, (iii) garantier som uppställs för att kraven i Tillämplig dataskyddslag kommer att följas, samt (iv) var Underbiträdet behandlar personuppgifter som omfattas av Avtalet.
Om Underbiträdet inte fullgör sina skyldigheter ska Personuppgiftsbiträdet vara fullt ansvarigt gentemot Personuppgiftsansvarig för utförandet av Underbiträdets skyldigheter.
9 KONTAKTPERSON
Parterna ska utse var sin kontaktperson med ansvar för Parternas samarbete. Om inget annat anges gäller initialt att undertecknade parter till detta avtal är kontaktpersoner. Ändring av kontaktperson eller kontaktuppgifter ska skriftligen meddelas den andra parten.
10 RÄTTELSE OCH RADERING AV PERSONUPPGIFTER
Personuppgiftsbiträdet åtar sig att utan dröjsmål rätta felaktiga eller ofullständiga personuppgifter efter instruktioner från Personuppgiftsansvarig.
Efter det att Personuppgiftsansvarig skriftligen begärt radering av personuppgifter får Personuppgiftsbiträdet endast behandla personuppgifterna som ett led i raderingsprocessen och åtar sig att radera personuppgifterna utan dröjsmål men senast inom hundratjugo (120) dagar.
Vid avtalets upphörande ska Personuppgiftsbiträdet, på begäran av Personuppgiftsansvarig, återlämna personuppgifterna. Personuppgiftsbiträdet får vid avtalets upphörande endast behandla personuppgifterna som ett led i raderingsprocessen och åtar sig att radera personuppgifterna utan dröjsmål men senast vid avtalets upphörande.
11 ÖVERLÅTELSE
Detta avtal får inte överlåtas utan den andra Partens föregående godkännande.
12 AVTALSTID
Detta avtal gäller från dess undertecknande och tills vidare. Vardera Part har rätt att skriftligen säga upp avtalet. Vid uppsägning av avtalet gäller en uppsägningstid om tre (3) månader. Part är berättigad att säga upp detta avtal till omedelbart upphörande om motparten;
i) gör sig skyldig till väsentligt brott mot bestämmelse i detta avtal, och underlåter att vidta rättelse inom trettio
(30) dagar från mottagande av skriftlig begäran därom från den andra Parten, eller
ii) försätts i konkurs, inleder ackordsförhandling eller annars är på obestånd.
13 TVISTER OCH TILLÄMPLIG LAG
Svensk rätt ska vara tillämplig på avtalet. Tvister i anledning av avtalet ska slutligt avgöras av svensk allmän domstol.
14 ÖVRIGT
Detta Personuppgiftsbiträdesavtal utgöra bilaga till ett av Parterna träffat huvudavtal. Vid händelse av motstridiga uppgifter har huvudavtalet företräde.
Ändringar eller tillägg till avtalet ska göras skriftligen och undertecknas av båda Parterna för giltighet.