PERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL
«name», organisationsnummer «orgnummer», «adress», hädanefter benämnd som "Personuppgiftsansvarig", och PE Accounting Sweden AB, organisationsnummer 556830- 3324, Xxxxxxxxx 0, 000 00 Xxxxxxxxx, hädanefter benämnd som "Personuppgiftsbiträde", har dag som nedan ingått följande personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtal”).
Parterna har ingått ett avtal (”Avtal”), genom vilket Personuppgiftsbiträdet ska tillhandahålla digitala redovisningstjänster till den Personuppgiftsansvarige (”Tjänsten”). Vid fullgörandet av Xxxxxxx kommer Personuppgiftsbiträdet att behandla personuppgifter för den Personuppgiftsansvariges räkning i enlighet med dennes instruktioner och detta Personuppgiftsbiträdesavtal.
1. GÄLLANDE RÄTT OCH DEFINITIONER
1.1 ”Gällande Rätt” ska fram till och med 24 maj 2018 vara Europaparlamentets och rådets direktiv 95/46/EG samt lokala lagar där direktivet är implementerat och alla ändringar i dessa. Från och med 25 maj 2018 gäller Europaparlamentets och rådets förordning (EU) 2016/679 (”Dataskyddsförordningen”). De definitioner som återfinns i Gällande Rätt och som återkommer i detta Personuppgiftsbiträdesavtal har samma innebörd även om de inte inleds med versaler i detta Personuppgiftsbiträdesavtal, t.ex. ”registrerad”, ”personuppgift”, ”behandling”, ”tredjeland” etc.
2. ÄNDAMÅLET MED BEHANDLINGEN
2.1 Ändamålet med behandlingen av personuppgifter är att tillhandahålla Tjänsten till den
Personuppgiftsansvarige i enlighet med Avtalet (”Ändamål”).
2.2 Personuppgiftsbiträdet får endast behandla den Personuppgiftsansvariges personuppgifter för Ändamålet och i den mån det är nödvändigt för att uppfylla Personuppgiftsbiträdets skyldigheter enligt detta Personuppgiftsbiträdesavtal samt Avtalet inklusive bilagor.
2.3 De kategorier av registrerade vars personuppgifter kommer att behandlas är
(a) Den Personuppgiftsansvariges användare
(b) Den Personuppgiftsansvariges anställda
(c) Personer hos tredje part som förekommer i bokföringsunderlag eller på annat sätt omnämns relaterat till den Personuppgiftsansvariges ekonomi och administration och som krävs för att tillhandahålla Tjänsten.
(b) Uppgifter avseende anställningen så som anställningsdatum, löneuppgifter, semesterrätt, arbetsschema, bilförmån och relaterade uppgifter behandlas i syfte att beräkna och betala ut lön, sammanställa kontrolluppgifter samt relaterad administration åt den Personuppgiftsansvarige och den registrerade. Informationen xxxxxxx senast tre år efter det att anställningen upphört.
(c) Kontaktuppgifter till personer hos tredje part omfattande namn, e-postadress, telefonnummer och roll behandlas om de krävs för att tillhandahålla Tjänsten. Listan underhålls på årsbasis och raderas i anslutning till Avtalets upphörande
(e) Utvecklingsmiljö (även kallat Testbolag) som skapas åt den Personuppgiftsansvarige vid utveckling av tekniska integrationer mot PE och kan, beroende på avsikt med integrationen, innehålla personuppgifter 2.4(a) - (d). Xxxxxxx på begäran av den Personuppgiftsansvarige eller efter Avtalets upphörande.
(f) Systemloggar, backuper och transaktioner hos underbiträden, vilka kan innehålla personuppgiftskategorier 2.4 (a) - (d), sparas i upp till 24 månader i syfte att kunna felsöka i Personuppgiftsbiträdets system eller för att kunna återställa systemet efter allvarliga driftstörningar eller defekter.
(g) Elektronisk kommunikation i form av e-postmeddelanden eller ärenden som registreras i Personuppgiftsbiträdets support- eller kommunikationssystem sparas i 12 månader efter avslutat ärende eller så länge vi bedömer att det finns intresse för återkoppling till den som registrerat ärendet. Personuppgiftsansvarig uppmanas att tillämpa pseudonymisering av uppgifter om tredje person.
(h) E-postmeddelanden som skickas till enskilda medarbetare hos Personuppgifts- biträdet innehåller ofta bokföringsinstruktioner eller andra instruktioner för leveransen av Tjänsten och sparas som regel i 8 år. Personuppgiftsansvarig uppmanas att tillämpa pseudonymisering av uppgifter om tredje person.
3. PERSONUPPGIFTSANSVARIGES SÄRSKILDA ÅTAGANDEN
3.1 Den Personuppgiftsansvarige åtar sig att:
(a) Xxxxxx att det föreligger legal grund för den behandling som Personuppgiftsbiträdet ska utföra,
(b) Tillse att personuppgifter som omfattas av Personuppgiftsbiträdets behandling löpande rättas, raderas eller uppdateras i systemet så att de är korrekta,
(c) Dokumentera, och på begäran av Personuppgiftsbiträdet informera om, de kategorier av registrerade samt kategorier av personuppgifter som, utöver de som beskrivits i detta avtal, kommer att behandlas,
(d) Vid behov utfärda dokumenterade instruktioner till Personuppgiftsbiträdet avseende Personuppgiftsbiträdets personuppgiftsbehandling.
4. PERSONUPPGIFTSBITRÄDETS SÄRSKILDA ÅTAGANDEN
4.1 Personuppgiftsbiträdet åtar sig att:
(a) Endast behandla personuppgifter i enlighet med Gällande Rätt, detta Personuppgiftsbiträdesavtal och dokumenterade instruktioner från den Personuppgiftsansvarige inbegripet när det gäller överföringar av personuppgifter till ett tredjeland,
(b) Anställda som har tillgång till de personuppgifter som behandlas för den Personuppgiftsansvarige räkning har erhållit utbildning och fått instruktioner avseende behandling av personuppgifter samt åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt,
(c) Vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, i enlighet med vad som krävs i artikel 32 Dataskyddsförordningen,
(e) Vidta nödvändiga åtgärder för att bistå och ska omedelbart meddela Personuppgiftsansvarige avseende oavsiktlig eller obehörig åtkomst till Personuppgifter liksom varje annan personuppgiftsincident, dock senast inom 24 timmar efter kännedom om sådan incident. Med beaktande av typen av behandling och den information som Personuppgiftsbiträdet har att tillgå ska Meddelandet:
• beskriva personuppgiftsincidentens art och de kategorier av och det ungefärliga antalet Registrerade samt de kategorier av och det ungefärliga antalet Personuppgifter som berörs;
• förmedla namnet på och kontaktuppgifterna till Personuppgiftsbiträdes dataskyddsombud eller andra kontaktpunkter där mer information kan erhållas;
• beskriva de sannolika konsekvenserna av personuppgiftsincidenten;
• beskriva åtgärder som vidtagits av Personuppgiftsbiträdet, eller som föreslås vidtas, för att hantera personuppgiftsincidenten, inklusive där så är lämpligt, åtgärder för att begränsa dess potentiella negativa effekter.
(g) Säkerställa att eventuell överföring av personuppgifter till tredjeland sker i enlighet med Gällande Rätt vilket till exempel innebär att:
• Personuppgifter inte för överföras till en plats utanför EU/EES eller tillåta någon att ha tillgång till personuppgifter från en sådan plats utan Personuppgiftsansvarigs skriftliga tillstånd i förväg om inte sådan rätt uttryckligen framgår av Xxxxxxx.
• Vid behandling av personuppgifter utanför EU/EES ska Personuppgiftsbiträdet och/eller det Underbiträde som behandlar personuppgifter utanför EU/EES alltid uppfylla gällande krav enligt Dataskyddsregler för sådan överföring och behandling utanför EU/EES, t.ex. genom att använda EU:s standardavtalsklausuler eller Privacy Shield.
• Löpande hålla Personuppgiftsansvarig informerad om sådan grund för överföring och i den mån adekvat skyddsnivå inte anses garanterad för en överföring till tredje land eller överföring enligt Personuppgfitsbiträdet eller Personuppgiftsansvarigs uppfattning inte längre kan anses tillåten enligt Dataskyddsregler omedelbart upphöra med sådan överföring.
(h) Informera den Personuppgiftsansvarige om man anser att detta Personuppgiftsbiträdesavtal eller de dokumenterade instruktionerna strider mot Gällande Rätt.
(i) Säkerställa att bara sådan personal som behöver direkt åtkomst till Personuppgifter för att uppfylla Personuppgiftsbiträdets åtaganden under Personuppgiftsbiträdesavtalet ska ha åtkomst till sådan information. Personuppgiftsbiträdet ska säkerställa att sådan personal är förpliktad att behandla Personuppgifterna med sekretess på samma sätt som Personuppgiftsbiträdet är i enlighet med detta Personuppgiftsbiträdesavtal och att de informeras om hur de får behandla Personuppgifterna.
5. UNDERLEVERANTÖRER
5.1 Personuppgiftsbiträdet får anlita underleverantörer som underbiträden, under förutsättning att Personuppgiftsbiträdet ingår ett bindande skriftligt personuppgiftsbiträdesavtal med sådana underleverantörer som innebär att underleverantören åtminstone måste uppfylla de åtaganden och iaktta de begränsningar gällande personuppgiftsbehandling och revision som gäller för Personuppgiftsbiträdet enligt detta Personuppgiftsbiträdesavtal.
5.2 För det fall underleverantören inte fullgör sina skyldigheter i fråga om dataskydd är Personuppgiftsbiträdet ansvarig gentemot den Personuppgiftsansvarige för utförandet av underleverantörens skyldigheter.
5.3 Om Personuppgiftsbiträdet önskar anlita en ny underleverantör som underbiträde ska Personuppgiftsbiträdet underrätta den Personuppgiftsansvarige om detta på förhand. Den Personuppgiftsansvarige har rätt att motsätta sig ändringar av anlitade underbiträden.
5.4 Vid detta Personuppgiftsbiträdesavtals ingående anlitar Personuppgiftsbiträdet de underbiträden som framgår på webbsidan xxxx://xxx.xxxxxxxxxx.xx/xxxx. Den Personuppgiftsansvarige intygar att denne har tagit del av informationen som anges på webbsidan ovan, och godkänner att Personuppgiftsbiträdet anlitar de underbiträden som framgår på webbsidan vid detta Personuppgiftsbiträdesavtals ingående.
6. ERSÄTTNING
6.1 Personuppgiftsbiträdet har rätt till skälig ersättning för arbete, och full ersättning för kostnader, i samband med sådant arbete som avses i punkterna 4.1(d) –(f) samt 9.2 avseende återlämnande av personuppgifter. Vad gäller Personuppgiftsbiträdets ersättning för sådant arbete som avses i punkten 4.1 (f) så ska parterna komma överens om sådan ersättning i förväg.
7. UTLÄMNANDE AV PERSONUPPGIFTER OCH INFORMATION
7.1 Om det till Personuppgiftsbiträdet kommer in en begäran från registrerad, tillsynsmyndighet eller annan tredje man om att få ta del av uppgifter som Personuppgiftsbiträdet behandlar för Personuppgiftsansvariges räkning ska Personuppgiftsbiträdet utan dröjsmål vidarebefordra begäran till Personuppgiftsansvarige. Personuppgiftsbiträdet, eller den som arbetar under Personuppgiftsbiträdets ledning, får inte lämna ut Personuppgifter eller annan information om behandlingen av Personuppgifter utan uttrycklig dokumenterad instruktion om detta från Personuppgiftsansvarige om inte sådan skyldighet föreligger enligt Gällande Rätt. För det fall Personuppgiftsbiträdet, enligt Gällande Rätt, är förpliktad att lämna ut Personuppgifter, ska Personuppgiftsbiträdet vidta alla åtgärder för att begära sekretess i samband med att begärd information lämnas ut samt omedelbart informera Personuppgiftsansvarige om detta i den mån Personuppgiftsbiträdet inte är förhindrad att göra detta enligt gällande Gällande Rätt.
8. KONTAKT MED TILLSYNSMYNDIGHETEN
8.1 Personuppgiftsbiträdet ska informera Personuppgiftsansvarige om eventuella kontakter från tillsynsmyndigheten som rör behandling av Personuppgifter för Personuppgiftsansvariges räkning. Personuppgiftsbiträdet har inte rätt att företräda Personuppgiftsansvarige eller agera för Personuppgiftsansvariges räkning gentemot tillsynsmyndighet.
9. AVTALSTID OCH UPPHÖRANDE
9.1 Detta Personuppgiftsbiträdesavtal gäller från och med det datum när behöriga företrädare för både den Personuppgiftsansvarige och Personuppgiftsbiträdet har undertecknat Avtalet. Detta Personuppgiftsbiträdesavtal gäller så länge Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning. Om Avtalet eller dess bilagor som innebär att Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning upphör och nytt sådant avtal träffas utan att ett nytt personuppgiftsbiträdesavtal träffas, gäller detta Personuppgiftsbiträdesavtal även för det nya avtalet. Detta Personuppgiftsbiträdesavtal kan endast sägas upp på de villkor som anges i det/de avtal som ger Personuppgiftsbiträdet i uppdrag att behandla personuppgifter för den Personuppgiftsansvariges räkning.
9.2 Vid uppsägning av detta Personuppgiftsbiträdesavtal ska Personuppgiftsbiträdet ombesörja att allt bokföringsmaterial, i enlighet med den Personuppgiftsansvariges instruktioner och på ett säkert sätt, återlämnas till den Personuppgiftsansvarige (eller av denna utsedd tredje part). Personuppgiftsbiträdet bevarar den Personuppgiftsansvariges
bokföringsmaterial och tillhörande data i Personuppgiftsbiträdets system i 36 månader efter Avtalets upphörande för att, mot skälig avgift, kunna vara behjälplig vid olika insatser som kräver god spårbarhet så som due diligens, upprättande av datarum, projekthistorik, skatterevision m.m. I övrigt upphör behandlingen enligt de tidsangivelser som finns under 2.4.
10. ANSVAR
10.1 Personuppgiftsbiträdet ansvarar för ersättning enligt lag som en behandling av Personuppgiftsbiträdet eller dess underbiträden i strid med vad som anges i detta Personuppgiftsbiträdesavtal har orsakat en registrerad hos den Personuppgiftsansvarige och som den Personuppgiftsansvarige är skyldig att ersätta. Detta förutsätter dock att den Personuppgiftsansvarige meddelar Personuppgiftsbiträdet om detta så snart den Personuppgiftsansvarige får kännedom om sådant skadeståndsanspråk. Personuppgiftsbiträdets skadeståndsansvar är begränsat till det belopp som den Personuppgiftsansvarige dömts att ersätta den registrerade eller till det belopp som bestämts genom förlikning.
10.2 Personuppgiftsbiträdet behandlar i egenskap av personuppgiftsbiträde personuppgifter så som de erhålles från den Personuppgiftsansvarige och har inte något ansvar för eventuella följder av att erhållna personuppgifter visar sig vara felaktiga. Den Personuppgiftsansvarige ansvar vidare för att personuppgifterna samlats in och att de registrerade har fått information enligt Gällande Rätt samt att en legal grund föreligger för behandlingen.
11. TILLÄMPLIG LAG OCH TVISTLÖSNING
11.2 Vid avsaknad av lagvals- och tvistlösningsmekanismer i Avtalet enligt avsnitt 11.1 ovan, eller om parterna inte har ingått något sådant avtal, ska följande tillämpas:
(a) Svensk lag ska tillämpas på detta Personuppgiftsbiträdesavtal,
(b) Tvist med anledning av detta Personuppgiftsbiträdesavtal ska slutligen avgöras i allmän domstol, med Stockholms tingsrätt som första instans.
Detta Personuppgiftsbiträdesavtal har upprättats i två (2) exemplar varav parterna tagit var sitt.
För den Personuppgiftsansvarige För Personuppgiftsbiträdet
Datum och ort - Datum och ort – Stockholm YYYY-MM-DD
Underskrift Underskrift
«ekonomiansvarig hos kund» «uppdragsansvarig»
Namnförtydligande Namnförtydligande
Ekonomiansvarig Uppdragsansvarig
Position Position