MELLAN:
Bilaga 1. PERSONUPPGIFTSBITRÄDESAVTAL
MELLAN:
(1) Kunden,
(den ”Personuppgiftsansvarige”); och
(2) CM Software AB, 556999-9973, Stora Xxxxxxxxxxx 00, 000 00 Xxxxxxxx, (”Personuppgiftsbiträdet”);
Personuppgiftsbiträdet och den Personuppgiftsansvarige benämns individuellt som ”Part”
och gemensamt som ”Parterna”. BAKGRUND:
A. Personuppgiftsbiträdet och den Personuppgiftsansvarige har ingått avtal där Personuppgiftsbiträdet erhåller en Tjänst i form av Software as a Service som Personuppgiftsansvarige nyttjar i sin verksamhet, (”Huvudavtalet”) Detta avtal utgör bilaga 1 till Huvudavtalet.
B. Inom ramen för Personuppgiftsbiträdets tillhandahållande av Tjänsten enligt huvudavtalet kommer Personuppgiftsbiträdet att behandla personuppgifter för vilka den Personuppgiftsansvarige ansvar för, enligt vad som närmare framgår av bilaga 2.1. Detta Personuppgiftsbiträdesavtal reglerar hur Personuppgiftsbiträdet ska behandla personuppgifter för den Personuppgiftsansvariges räkning.
C. Vid konflikt mellan en bestämmelse i detta Personuppgiftsbiträdesavtal och en bestämmelse i Huvudavtalet gäller bestämmelserna i detta Personuppgifts- biträdesavtal i den utsträckning bestämmelsen i detta Personuppgiftsbiträdesavtal innebär ett bättre skydd för de personuppgifter som behandlas.
1. DEFINITIONER
I detta Personuppgiftsbiträdesavtal ska följande definitioner ha den betydelse som anges nedan:
”Behandling”, ”Personuppgiftsansvarig”, ”Personuppgifter”, ”Personuppgiftsbiträde”, ”Personuppgiftsincident”, samt ”Registrerad” ska
ha samma innebörd som i Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (”Dataskyddsförordningen”);
”Personuppgiftsbiträdesavtal” betyder detta Personuppgiftsbiträdesavtal jämte samtliga härtill hörande bilagor;
”Tillämplig Lagstiftning” betyder från tid till annan gällande lagstiftning, förordningar och föreskrifter i EU och i relevanta medlemsstater som är tillämplig på Person- uppgiftsbiträdet och den Personuppgiftsansvarige; samt
”Tillämplig Personuppgiftslagstiftning” betyder från tid till annan gällande lagstiftning, förordningar och föreskrifter, inklusive föreskrifter som meddelats av berörda tillsynsmyndigheter, avseende skydd för fysiska personers grundläggande rättigheter och friheter och särskilt rätt till skydd av deras Personuppgifter vid Behandling av Personuppgifter som är tillämplig på Personuppgiftsbiträdet och den Personuppgiftsansvarige, inklusive lagstiftning, förordningar och föreskrifter som genomför direktiv 95/46/EG och, från och med den 25 maj 2018, Dataskydds- förordningen; samt
”Tredje Land” betyder en stat som inte ingår i Europeiska unionen (EU) eller är ansluten till det Europeiska ekonomiska samarbetsområdet (EES).
2. PERSONUPPGIFTSANSVAR
2.1 Den Personuppgiftsansvarige bestämmer över ändamålen med och medlen för Behandlingen av Personuppgifterna och är därför ansvarig för Behandlingen. Personuppgiftsbiträdet behandlar Personuppgifter för den Personuppgiftsansvariges räkning och är därmed att se som personuppgiftsbiträde.
2.2 Den Personuppgiftsansvariges ansvar innefattar bl.a. att Behandlingen av Personuppgifterna sker i enlighet med Tillämplig lagstiftning och att de Registrerade Informeras av Behandlingen.
3. PERSONUPPGIFTSBITRÄDETS SKYLDIGHETER
3.1 Personuppgiftsbiträdet åtar sig att endast Behandla Personuppgifter i enlighet med den Personuppgiftsansvariges dokumenterade instruktioner och bestämmelser i detta Personuppgiftsbiträdesavtal och i Huvudavtalet. Personuppgiftsbiträdet ska inte Behandla Personuppgifter för vilka den Personuppgiftsansvarige är Personuppgiftsansvarig, för några andra ändamål.
3.2 För det fall den Personuppgiftsansvarige inkommer med nya instruktioner som går utöver vad som följer av detta Personuppgiftsbiträdesavtal eller Huvudavtalet, ska Personuppgiftsbiträdet ha rätt till ersättning i enlighet med Personuppgiftsbiträdets vid var tid gällande prislista eller enligt överenskommelse mellan parterna.
3.3 Oaktat vad som anges i punkten 3.1 ovan har Personuppgiftsbiträdet rätt att Behandla Personuppgifter i den utsträckning som krävs för att Personuppgifts- biträdet ska kunna uppfylla skyldigheter som åvilar Personuppgiftsbiträdet och som följer av från tid till annan Tillämplig Lagstiftning. Det ankommer dock på Personuppgiftsbiträdet att informera den Personuppgiftsansvarige om den rättsliga skyldigheten, såvida inte Personuppgiftsbiträdet är förhindrad enligt Tillämplig Lagstiftning att lämna sådan information.
3.4 Oaktat bestämmelser om lagval enligt Huvudavtalet ska Tillämplig Personuppgifts- Lagstiftning gälla för Behandlingen av Personuppgifter som omfattas av detta Personuppgiftsbiträdesavtal.
3.5 Personuppgiftsbiträdet ska informera den Personuppgiftsansvarige om Personuppgiftsbiträdet inte kan uppfylla sina skyldigheter enligt detta Personuppgifts- biträdesavtal eller om Personuppgiftsbiträdet anser att en instruktion som den Personuppgiftsansvarige har lämnat avseende Behandlingen av Personuppgifter skulle stå i strid med Tillämplig Personuppgiftslagstiftning, såvida inte Personuppgifts- biträdet är förhindrad att lämna sådan information till den Personuppgiftsansvarige enligt Tillämplig Lagstiftning.
4. SÄKERHETSÅTGÄRDER
4.1 Skyldighet att vidta tekniska och organisatoriska åtgärder för att skydda Personuppgifter.
4.1.1 Personuppgiftsbiträdet vidtar lämpliga tekniska och organisatoriska åtgärder för att de Personuppgifter som Behandlas ska vara skyddade mot Personuppgiftsincidenter. Åtgärderna ska åtminstone uppnå den säkerhets- nivå som följer av Tillämplig Personuppgiftslagstiftning, berörda tillsyns- myndigheters tillämpliga föreskrifter och riktlinjer avseende säkerhet för Personuppgifter.
Personuppgiftsbiträdet ska även bistå den Personuppgiftsansvarige med att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder i den utsträckning som så krävs enligt Tillämplig Personuppgiftslagstiftning. Personuppgiftsbiträdet har rätt till ersättning för sina skäliga kostnader när Personuppgiftsbiträdet assisterar den Personuppgiftsansvarige enligt föregående mening i den utsträckning sådan assistans går utöver vad som följer av Huvudavtalet eller detta Personuppgiftsbiträdesavtal mellan Parterna.
4.1.2 Personuppgiftsbiträdet ska vidare, på begäran, bistå den Personuppgifts- ansvarige med nödvändig information för att den Personuppgiftsansvarige,
i förekommande fall, ska kunna uppfylla sina skyldigheter att genomföra konsekvensbedömning och förhandssamråd med berörda tillsyns- myndigheter avseende den Behandling av Personuppgifter som omfattas av detta Personuppgiftsbiträdesavtal. Om den Personuppgiftsansvarige begär assistans från Personuppgiftsbiträdet att bistå vid en konsekvensbedömning trots att skyldigheten att genomföra konsekvensbedömning enligt Tillämplig Personuppgiftslagstiftning inte föreligger, har Personuppgiftsbiträdet rätt till ersättning enligt vid var tid gällande prislista.
4.2 Personuppgiftsincident
4.2.1 För det fall en Personuppgiftsincident inträffar ska Personuppgiftsbiträdet skriftligen underrätta den Personuppgiftsansvarige om detta utan onödigt dröjsmål från det att Personuppgiftsincidenten kom till Personuppgiftsbiträdets kännedom.
4.2.2 Om det inte är osannolikt att en Personuppgiftsincident medför någon risk för den personliga integriteten hos de Registrerade, ska Personuppgiftsbiträdet omedelbart efter att Personuppgiftsincidenten kommit till Personuppgiftsbiträdets
kännedom vidta lämpliga avhjälpande åtgärder för att förhindra eller begränsa Personuppgiftsincidentens potentiella negativa effekter.
4.2.3 På begäran från den Personuppgiftsansvarige ska Personuppgiftsbiträdet tillhandahålla:
4.2.3.1 en beskrivning av Personuppgiftsincidentens art, kategorier av och antalet Registrerade som berörs, samt kategorier av och antalet personuppgiftsposter som berörs;
4.2.3.2 de sannolika konsekvenserna av Personuppgiftsincidenten; samt;
4.2.3.3 en beskrivning av de åtgärder som Personuppgiftsbiträdet, i förekommande fall, redan har vidtagit eller avser att vidta för att åtgärda Personuppgiftsincidenten och/eller för att begränsa Personuppgiftsincidentens eventuella negativa effekter.
Om och i den utsträckning det inte är möjligt för Personuppgiftsbiträdet att tillhandahålla informationen samtidigt, får informationen lämnas i omgångar utan onödigt ytterligare dröjsmål. Personuppgiftsbiträdet har rätt till ersättning för de eventuella kostnader som uppstår till följd av att Personuppgiftsbiträdet tillhandahåller information enligt denna punkt 4.2.3.
4.3 Tillgång till Personuppgifter m.m.
4.3.1 Personuppgiftsbiträdet dokumenterar löpande de åtgärder som Personuppgiftsbiträdet har vidtagit för att uppfylla sina skyldigheter enligt detta Personuppgiftsbiträdesavtal. Den Personuppgiftsansvarige har rätt att på begäran ta del av en kopia på den senaste versionen av sådan dokumentation.
4.3.2 Personuppgiftsbiträdet ska ge den Personuppgiftsansvarige tillgång till all information som krävs för att visa att Personuppgiftsbiträdet fullgjort sina skyldigheter enligt artikel 28 i Dataskyddsförordningen. Vidare ska Personuppgiftsbiträdet möjliggöra och bidra till granskningar, inbegripet inspektioner som genomförs av den Personuppgiftsansvarige. För undvikande av missförstånd ska en sådan inspektion endast omfatta information som är absolut nödvändig för att den Personuppgiftsansvarige ska kunna bedöma huruvida Personuppgiftsbiträdet har fullgjort sina skyldigheter enligt artikel 28 i Dataskyddsförordningen och ska under inga omständigheter omfatta någon annan information rörande Personuppgiftsbiträdets affärsverksamhet, vilken saknar betydelse i förhållande till Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning. Parterna är överens om att för det fall en inspektion ska genomföras av en tredje part ska denna godkännas av båda Parter och att kostnaden för sådan inspektion ska bäras av den Personuppgiftsansvarige. Den Personuppgiftsansvarige ska säkerställa att en sådan tredje part är bunden av sekretess i förhållande till all information som den tredje parten tar del av inom ramen för inspektionen, samt att ett sådant sekretessåtagande inte är mindre restriktivt än det sekretessåtagande som följer av avsnitt 5.6 nedan.
4.3.3 Ingen av Parterna har rätt att företräda den andra Parten inför Datainspektionen eller annan tredje part.
5. ANLITANDE AV UNDERBITRÄDEN
5.1 Personuppgiftsbiträdet har rätt att anlita underleverantörer, underkonsulter eller annan tredje parter för att Behandla Personuppgifter för den Personuppgiftsansvariges räkning (”Underbiträden”).
5.2 Om Personuppgiftsbiträdet anlitar ett Underbiträde godkänner den Personuppgiftsansvarige att Personuppgiftsbiträdet ingår ett personuppgiftsbiträdesavtal direkt med Underbiträdet. Ett sådant personuppgiftsbiträdesavtal med Underbiträdet ska innehålla skyldigheter motsvarande och inte mindre restriktiva än vad som följer av detta Personuppgiftsbiträdesavtal. Den Personuppgiftsansvarige accepterar att Personuppgiftsbiträdet och Underbiträdet, när omständigheterna så kräver, ingår Underbiträdets standardavtal för behandling av personuppgifter, under förutsättning att ett sådant standardavtal efterlever de krav som ställs i Tillämplig Dataskyddslagstiftning.
5.3 Personuppgiftsbiträdet ska för det fall Personuppgiftsbiträdet anlitar ett Underbiträde utan onödigt dröjsmål skriftligen informera den Personuppgiftsansvarige om följande:
5.3.1 Underbiträdets identitet (inklusive uppgift om fullständigt firmanamn, Organisationsnummer och adress);
5.3.2 vilken typ av tjänst som Underbiträdet utför; samt
5.3.3 på vilken plats Underbiträdet kommer att Behandla Personuppgifter för den Personuppgiftsansvariges räkning.
5.4 Den Personuppgiftsansvarige har i förhållande till anlitande av nya Underbiträden möjlighet att göra invändningar mot anlitande av Underbiträdet.
5.5 Personuppgiftsbiträdet ska på den Personuppgiftsansvariges begäran, utöver den information som anges i punkten 5.3 ovan, tillhandahålla en kopia på det personuppgiftsbiträdesavtal som Personuppgiftsbiträdet ingått med Underbiträdet i enlighet med punkten 5.2 ovan.
5.6 Personuppgiftsbiträdet ansvarar gentemot den Personuppgiftsansvarige för Underbiträdens Behandling av Personuppgifter såsom för egen räkning.
6. SEKRETESS
6.1 Utan att det påverkar tillämpningen av eventuella sekretessåtaganden i Huvudavtalet ska Personuppgiftsbiträdet hålla alla Personuppgifter som Behandlas för den Personuppgiftsansvariges räkning strikt konfidentiella. Personuppgiftsbiträdet ska således inte, direkt eller indirekt, utlämna några Personuppgifter till tredje part om inte den Personuppgiftsansvarige skriftligen på förhand godkänt detta, såvida inte Personuppgiftsbiträdet är skyldig enligt Tillämplig Lagstiftning eller beslut av domstol eller myndighet att lämna ut Personuppgifterna , eller om det är nödvändigt för fullgörandet av Huvudavtalet eller detta Personuppgiftsbiträdesavtal. Vid utlämning av Personuppgifter till tredje part ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om utlämningen av Personuppgifter såvida hinder inte föreligger enligt Tillämplig Lagstiftning eller beslut av domstol eller myndighet.
6.2 Personuppgiftsbiträdet accepterar att sekretessåtagandet enligt punkt 6.1 ska fortsätta att gälla även efter att detta Personuppgiftsbiträdesavtal upphört och till dess att alla Personuppgifter har återlämnats till den Personuppgiftsansvarige eller efter den Personuppgiftsansvariges skriftliga begäran på ett säkert och oåterkalleligt sätt förstörts eller avidentifierats enligt punkten 9 nedan.
6.3 Den Personuppgiftsansvarige förbinder sig att hålla all information som den Personuppgiftsansvarige erhåller avseende Personuppgiftsbiträdets säkerhetsåtgärder, rutiner, IT-system eller som annars är av konfidentiell karaktär strikt konfidentiell och att inte till någon utomstående röja konfidentiell information som härrör från Personuppgiftsbiträdet eller dess Underbiträden.
Den Personuppgiftsansvarige har endast rätt att röja sådan information som den Personuppgiftsansvarige är skyldig att röja enligt Tillämplig Lagstiftning eller enligt Huvudavtalet eller detta Personuppgiftsbiträdesavtal.
Den Personuppgiftsansvarige accepterar att detta sekretessåtagande ska fortsätta att gälla även efter att detta Personuppgiftsbiträdesavtal har upphört att gälla.
7. ANSVAR
7.1 Personuppgiftsbiträdet ska ersätta den Personuppgiftsansvarige för skada som åsamkas denne i de fall skadan uppkommit genom att Personuppgiftsbiträdet utan instruktioner från Personuppgiftsansvarige behandlat personuppgifter i strid med detta avtal, Huvudavtalet eller Tillämplig Dataskyddslagstiftning.
Personuppgiftsbiträdes ekonomiska ansvar är dock begränsat enligt följande:
- Parterna ansvarar inte för indirekta skador, såsom utebliven vinst, produktionsbortfall, kostnader för utrustning och liknande kostnader eller förluster.
- Parternas skadeståndsansvar vid kontraktsbrott är begränsat till det ersättningsbelopp som framgår av Huvudavtalet.
8. REGISTRERADES RÄTTIGHETER
Personuppgiftsbiträdet ska i den mån det är möjligt bistå den Personuppgifts- ansvarige genom att vidta de tekniska och organisatoriska åtgärder som är nödvändiga för att den Personuppgiftsansvarige ska kunna fullgöra sin skyldighet att svara på en begäran om utövande av en Registrerads rättighet som tillkommer en registrerad enligt Tillämplig Personuppgiftslagstiftning. Personuppgiftsbiträdet har rätt till ersättning för sådan assistans i enlighet med vid var tid gällande prislista.
9. ÅTERLÄMNADNE AV PERSONUPPGIFTER
Vid Huvudavtalets upphörande ska den Personuppgiftsansvarige skriftligen instruera Personuppgiftsbiträdet om de Personuppgifter som Personuppgifts- biträdet Behandlat för den Personuppgiftsansvariges räkning inom ramen för detta Personuppgiftsbiträdesavtal ska (i) återlämnas till den Personuppgifts- ansvarige eller (ii) oåterkalleligt raderas, samt i alla situationer radera befintliga kopior. Om den Personuppgiftsansvarige inte inkommer med en sådan instruktion inom trettio (30) dagar från att Huvudavtalet upphört att gälla, ska Personuppgiftsbiträdet oåterkalleligt radera Personuppgifterna utan onödigt dröjsmål.
10. ÖVERFÖRING TILL OCH BEHANDLING AV PERSONUPPGIFTER I TREDJE LAND
10.1 Personuppgiftsbiträdet får inte överföra Personuppgifter som tillhör den Personuppgiftsansvarige till ett Tredje Land utanför EU/EES utan den Personuppgiftansvariges på förhand lämnade tillstånd.
11. AVTALSPERIOD OCH UPPHÖRANDE
11.1 Detta Personuppgiftsbiträdesavtal träder i kraft vid undertecknandet och ska därefter gälla under Huvudavtalets löptid eller under den längre period som Personuppgiftsbiträdet Behandlar Personuppgifter för den Personuppgifts- ansvariges räkning.
11.2 Personuppgiftsbiträdesavtal ska gälla även om Huvudavtalet upphör och tillsvidare till dess att Personuppgiftsbiträdet (och Underbiträden anlitade av Personuppgiftsbiträdet) upphör med att Behandla Personuppgifter för den Personuppgiftsansvariges räkning.
12. ÖVERLÅTELSE
Ingen av Parterna ska äga rätt att helt eller delvis överlåta sina rättigheter eller skyldigheter enligt detta Avtal utan den andra Partens skriftliga samtycke.
13. ÄNDRINGAR OCH TILLÄGG
De bestämmelser avseende ändringar och tillägg enligt Huvudavtalet ska äga motsvarande tillämpning på detta Personuppgiftsbiträdesavtal.
14. TILLÄMPLIG LAG OCH TVIST
De bestämmelser avseende tillämplig lag och tvist enligt Huvudavtalet ska äga motsvarande tillämpning på detta Personuppgiftsbiträdesavtal.
Bilaga 2.
BESKRIVNING AV BEHANDLINGEN AV PERSONUPPGIFTER SOM OMFATTAS AV PERSONUPPGIFTSBITRÄDESAVTALET
Denna Bilaga 2.1 utgör en integrerad del av Personuppgiftsbiträdesavtalet.
Kategorier av Registrerade | Följande kategorier av Registrerade berörs av Behandlingen av Personuppgifter som omfattas av Personuppgiftsbiträdesavtalet: • Kunder till kunden • Presumtiva kunder till kunden • Före detta kunder till kunden • Anställda hos Kunden |
Kategorier av Personuppgifter | Följande kategorier av Personuppgifter kan komma att Behandlas: • Namn • Adress • Telefonnummer • Epostadress • Personnummer • Annan information som personuppgifsansvarig väljer att lägga in i Tjänsten |
Ändamål med Behandlingen | Personuppgifterna behandlas för följande ändamål: • För att tillhandahålla Tjänsterna enligt Huvudavtalet; • För att fullgöra övriga skyldigheter som åvilar Personuppgiftsbiträdet enligt Huvudavtalet och detta Personuppgiftsbiträdesavtal |
Behandlingar av Personuppgifter | Personuppgifterna kommer på uppdrag av den personuppgiftsansvarige att Behandlas på följande sätt: • Lagring • Radering • Felsökning/support |
Bevarande av Personuppgifter | Personuppgifterna kommer att bevaras enligt de tidsinställningar som Personuppgiftsadministratören anger i tjänsten. |