PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL

1. BAKGRUND OCH SYFTE

1.1 Detta Personuppgiftsbiträdesavtal är en del av ett Huvudavtal om tillhandahållandet av tjänster som ingåtts mellan Personuppgiftsbiträdet och Personuppgiftsansvarig. Personuppgiftsbiträdesavtalet reglerar Personuppgiftsbiträdets behandling av Personuppgifter för Personuppgiftsansvarigs räkning samt den integritetsnivå som ska uppnås vid Behandlingen.

1.2 Detta Personuppgiftsbiträdesavtal syftar till att säkerställa de registrerades fri- och rättigheter när Företaget anlitar ett Personuppgiftsbiträde vid behandling av personuppgifter och till att uppfylla artikel 28.3 Allmänna Dataskyddsförordningen EU 2016/679, i det följande kallad Dataskyddsförordningen.

1.3 Detta Avtal äger företräde framför eventuella motstridiga bestämmelser avseende behandling av Personuppgifter i Tjänsteavtalet eller i andra avtal som ingåtts mellan Parterna.

2. DEFINITIONER

Personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet,

Behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,

Personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt,

Personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning,

3. SYFTET MED PERSONUPPGIFTSBEHANDLINGEN

3.1 Syftet med behandlingen av persongifterna är att Personuppgiftsbiträdet skall kunna uppfylla sina åtaganden enligt Tjänsteavtalet och/eller enligt andra avtal som ingåtts mellan Parterna.

3.2 Personuppgiftsbiträdet har inte rätt att behandla den Personuppgiftsansvariges data för något annat syfte utöver vad som framgår av detta avtal med bilagor, med mindre än att den Personuppgiftsansvarige skriftligen godkänner det i varje enskilt fall. Genom detta Avtal instrueras Personuppgiftsbiträdet att behandla Personuppgifter på nedan angivet sätt:

i) endast i enlighet med gällande lag;

ii) för att uppfylla alla förpliktelser enligt Tjänsteavtal och/eller enligt andra avtal som ingåtts mellan parterna;

iii) som vidare specificerat genom Kundens normala användning av Personuppgiftsbiträdets tjänster; samt

iv) på̊ sätt som anges i detta Avtal.

4. PERSONUPPGIFTSANSVARIGES ANSVAR

4.1 Den Personuppgiftsansvarige åtar sig att säkerställa att det finns en laglig grund för aktuella behandlingar enligt punkt 3 ovan och att utforma skriftliga instruktioner för att Personuppgiftsbiträdet och eventuella underbiträden ska kunna fullgöra sina uppdrag enligt detta Personbiträdesavtal.

4.2 Den Personuppgiftsansvarige åtar sig att utan dröjsmål informera Personuppgiftsbiträdet om förändringar i behandlingen. vilka påverkar Personuppgiftsbiträdets skyldigheter enligt gällande Dataskyddslag eller annan relevant lagstiftning.

4.3 Den Personuppgiftsansvarige ansvarar för att informera registrerade om behandlingarna enligt avtalet och för att, i de fall det krävs, inhämta samtycke från den registrerade samt tillvarata de registrerades rätt till insyn och radering m.m.

5. PERSONUPPGIFTSBITRÄDETS ANSVAR

5.1 Personuppgiftsbiträdet förbinder sig att endast behandla personuppgifterna för de syften som anges i punkt 3 av detta avtal och att följa gällande dataskyddslagstiftning eller annan relevant lagstiftning med avseende på behandling av personuppgifter och att hålla sig informerad om gällande rätt på området.

5.2 Personuppgiftsbiträdet skall vidta åtgärder för att skydda Personuppgifterna mot förstörning, ändring, otillåten spridning och obehörig tillgång samt mot varje annat slag av otillåten behandling.

5.3 Personuppgiftsbiträdet åtar sig att säkerställa att samtliga personer som arbetar under

dennes ledning följer vad som framgår av detta Personuppgiftsbiträdesavtal och vid var tid gällande instruktion från Personuppgiftsansvarig, samt informeras om relevant lagstiftning.

5.4 Personuppgiftsbiträdet skall vid behov assistera Personuppgiftsansvarig med att ta fram information som begärts av tredje man.

5.5 För det fall att Personuppgiftsbiträdet finner att Personuppgiftsansvarigas instruktioner, är otydliga, olagliga eller saknas och som Personuppgiftsbiträdet bedömer är nödvändiga för att genomföra sina åtaganden ska denne, utan dröjsmål, informera Personuppgiftsansvarig om detta och invänta nya instruktioner.

6. SKYDDSÅTGÄRDER

6.1 Personuppgiftsbiträdet åtar sig att vidta alla lämpliga tekniska och organisatoriska skyddsåtgärder i enlighet med gällande dataskyddslagstiftning samt de eventuella åtgärder som framgår av instruktionerna för att skydda personuppgifterna.

6.2 I det fall Personuppgiftsbiträdet behandlar känsliga personuppgifter vilka omfattas av sekretess, ställs särskilt höga säkerhetskrav. Personuppgiftsansvarig får då lämna ytterligare instruktioner om säkerhetsåtgärder.

6.3 Personuppgiftsbiträdet skall ha ett behörighetskontrollsystem som förhindrar obehörig behandling av personuppgifter eller obehörig åtkomst till personuppgifter. Personuppgiftsbiträdet skall använda ett loggsystem som möjliggör att behandling av personuppgifter kan spåras och skall även tillse loggarna har ett adekvat säkerhetsskydd.

6.4 Personuppgiftbiträdet ska genom behörighetskontrollsystemet aktivt begränsa åtkomsten till personuppgifterna till sådana personer som arbetar under dennes ledning och som behöver personuppgifterna för att utföra sina arbetsuppgifter för fullgörande av avtalen mellan Personuppgiftsbiträdet och Personuppgiftsansvarig.

7. SEKRETESS

7.1 Personuppgiftsbiträdet och den personal som arbetar under detta Personuppgiftsbiträdesavtal skall vid behandling av personuppgifter iaktta sekretess, såväl handlingssekretess som tystnadsplikt. Personuppgifterna, information, instruktioner, systemlösningar, beskrivningar eller andra handlingar som Personuppgiftsbiträdet erhåller genom informationsutbyte enligt detta Personuppgiftsbiträdesavtal eller annat avtal parterna emellan får inte utnyttjas eller röjas för annat ändamål än som framgår av detta Personuppgiftsbiträdesavtal eller annat avtal parterna emellan, vare sig direkt eller indirekt, om inte Personuppgiftsansvarig på förhand skriftligen medgivit detta.

7.2 Personuppgiftsbiträdet åtar sig att tillse att samtliga anställda, konsulter och övriga som Personuppgiftsbiträdet svarar för och som behandlar personuppgifterna är bundna av en sekretessförbindelse.

7.3 Personuppgiftsbiträdet skall utan dröjsmål skriftligen underrätta Personuppgifts- ansvarig om eventuella kontakter med tillsynsmyndighet som rör eller kan vara av betydelse

för Behandling av Personuppgifterna. Personuppgiftsbiträdet har inte rätt att företräda Personuppgiftsansvarig eller agera för Personuppgiftsansvarigs räkning gentemot tillsynsmyndigheter i frågor som rör eller kan vara av betydelse för Behandling av Personuppgifterna.

7.4 Om Den registrerade, tillsynsmyndigheter eller annan tredje man begär information från Personuppgiftsbiträdet som rör Behandling av Personuppgifter, skall Personuppgiftsbiträdet hänvisa till Personuppgiftsansvarig. Personuppgiftsbiträdet får inte lämna ut Personuppgifter eller annan information om Behandlingen av Personuppgifter utan skriftligt föregående medgivande från Personuppgiftsansvarig. Personuppgiftsbiträdet åtar sig efter sådant medgivande att hjälpa till med att ge registrerade, tillsynsmyndigheter eller annan tredje man information om en viss behandling av Personuppgifter.

8. INSYN OCH REVISION

8.1 Personuppgiftsbiträdet skall utan dröjsmål, på Personuppgiftsansvariges begäran, tillhandahålla all information, t.ex. tekniska och organisatoriska säkerhetsåtgärder som den Personuppgiftsansvarige behöver för att kunna granska och utöva sin insyn i Personuppgiftsbiträdets behandling av personuppgifter som följer av detta Personuppgiftsbiträdesavtal.

8.2 Personuppgiftsbiträdet åtar sig att årligen revidera säkerheten i personuppgifts- behandlingen genom en intern revision för att kontrollera att Personuppgifts-biträdets behandling av personuppgifter följer detta Personuppgiftsbiträdesavtal. Resultatet skall delges Personuppgiftsansvarig.

8.3 Personuppgiftsansvarig äger rätt att, själv eller genom annan av denne utsedd tredje part (som inte ska vara en konkurrent till Personuppgiftsbiträdet) följa upp att Personuppgiftsbiträdet lever upp till den Personuppgiftsansvariges krav på Behandlingen. Personuppgiftsbiträdet skall vid sådan uppföljning bistå Personuppgiftsansvarig eller den som utför granskningen med dokumentation, tillgång till lokaler, IT-system och andra tillgångar som behövs för att kunna följa upp Personuppgiftsbiträdets efterlevnad av detta Personuppgiftsbiträdesavtal.

8.4 Personuppgiftsbiträdet äger dock rätt att erbjuda alternativa tillvägagångssätt för uppföljning, exempelvis granskning genomförd av oberoende tredje part. Personuppgiftsansvarig ska i sådant fall äga rätt, men inte vara skyldig att, tillämpa detta alternativa tillvägagångssätt för uppföljning. Vid sådan revision eller kontroll ska Personuppgiftsbiträdet ge Personuppgiftsansvarige eller en tredje part den assistans som behövs för genomförandet.

8.5 Personuppgiftbiträdet skall bereda möjlighet för tillsynsmyndighet, eller annan myndighet som rör eller kan vara av betydelse för Behandling av Personuppgifter, att göra tillsyn på plats.

8.6 Personuppgiftsbiträdet skall även tillförsäkra Personuppgiftsansvarig motsvarande rättigheter i förhållande till anlitade Underbiträden.

9. UTLÄMNANDE AV UPPGIFTER

9.1 Utan godkännande från den Personuppgiftsansvarige har Personuppgiftsbiträdet inte rätt att lämna ut personuppgifter till tredje man, annat än då sådant utlämnande krävs enligt lag.

9.2 Om Personuppgiftsbiträdet åläggs av myndighet att lämna ut uppgifter eller vidta annan åtgärd till följd av personuppgiftshanteringen för den Personuppgiftsansvariges räkning, har Personuppgiftsbiträdet rätt till skälig ersättning för nedlagt arbete.

9.3 Personuppgiftsbiträdet har även rätt till skälig ersättning för annat utlämnande av personuppgifter till annan än till den Personuppgiftsansvarige, samt för åtgärder i anslutning till sådant utlämnande.

10. ÖVERFÖRING TILL TREDJE LAND

10.1 Personuppgiftsbiträdet äger endast rätt att överföra personuppgifter till tredje land, för exempelvis service, support, underhåll, utveckling, drift eller liknande hantering, om den Personuppgiftsansvarige skriftligt godkänt sådan överföring och utfärdat särskilda instruktioner.

10.2 Innan överföring påbörjas, ska Personuppgiftsbiträdet uppvisa dokumentation som styrker att kraven i gällande Dataskyddslag eller annan relevant lagstiftning och instruktionen till detta Personuppgiftsavtal är uppfyllda.

10.3 Personuppgiftsbiträdet ska tillse att personuppgifterna lagras inom Sverige/EU, om inte parterna skriftligen kommer överens om något annat.

11. UNDERBITRÄDEN

11.1 Personuppgiftsbiträdet har rätt att anlita underleverantör för utförande av personuppgiftsbehandling för den Personuppgiftsansvariges räkning. Personuppgiftsbiträdet svarar därvid för av underleverantör utfört arbete.

11.2 Personuppgiftsbiträdet har rätt att för den Personuppgiftsansvariges räkning ingå avtal med underbiträde, enligt vilket sådant underbiträde åtar sig skyldigheter enligt detta avtal gentemot den Personuppgiftsansvarige.

12. ANSVAR

12.1 Ansvaret för överträdelse av villkoren i detta Avtal regleras av ansvarsklausuler i Huvudavtalet.

13. UPPHÖRANDE AV PERSONUPPGIFTSBEHANDLING

13.1 Vid avtalets upphörande skall på den Personuppgiftsansvariges begäran personuppgifter tillhörande den Personuppgiftsansvarige återföras utan oskäligt dröjsmål.

13.2 Personuppgiftsbiträdet ska även i skälig utsträckning bistå i annan överföring enligt ovan samt i överflyttandet av tjänst till annat biträde om den Personuppgiftsansvarige inom 3 månader i förväg skriftligen begär det. För Personuppgiftsbiträdets arbete i denna del utgår ersättning enligt dennes vid tiden gällande prislista.

14. ÄNDRINGAR I AVTALET

14.1 Ändringar av och tillägg till detta avtal samt bilagor ska för att vara bindande vara skriftligen avfattade och behörigen undertecknade av parterna.

15. TVIST

15.1 Tvist med anledning av detta avtal avgörs enligt vad som överenskommits i Huvudavtal parterna emellan.

16. AVSLUTNING

Detta avtal följer vad som överenskommits i Huvudavtal parterna emellan.