Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

mellan

Mätorit Data AB, Xxxxxx Väg 1, 194 61 Upplands Väsby – 556066-7775 (nedan kallad Personuppgiftsbiträde eller kund)

och

Företaget AB – Xxx.xx

(nedan kallad Personuppgiftsansvarig eller Leverantör)

Personuppgiftsbiträdet och den Personuppgiftsansvarige benämns här nedan gemensamt

”Parterna” eller var för sig ”Part”.

1. Uppdragets art och avtalets syfte

Parterna har den 2018-05-25 ingått ett avtal enligt vilken Personuppgiftsansvarig sparar sina uppgifter i programvara levererad av kunden. Personuppgiftsbiträde har möjlighet att ta backup på delar av eller alla uppgifter. (Uppdragsavtalet). Uppdraget medför att Kunden behandlar personuppgifter för Leverantörens räkning. Uppdragsavtalet löper tills vidare.

Syftet med detta avtal är att reglera parternas rättigheter och skyldigheter som följer med uppdraget att behandla personuppgifter, för att på så vis säkerställa att personuppgifterna behandlas i enlighet med de bestämmelser som följer av EU:s dataskyddsförordning (GDPR) och eventuell senare lagstiftning som ersätter eller kompletterar dessa.

2. Personuppgiftsbehandlingens ändamål och omfattning

Syftet med behandlingen av personuppgifter är att hantera förfrågningar från kunder samt genomföra en affär samt spara information om fordon. I de fall den personuppgiftsansvarige vill använda sig av backuptjänsten som personuppgiftsbiträdet tillhandahåller, lagras dessa på därför avsedd plats.

Kategorier av personuppgifter som kan förekomma inom ramen för behandlingen av personuppgifter enligt 2.1 nedan.

2.1 Personuppgifter

• Namn

• Adress

• Telefon

• Personnummer

• Registreringsnummer på bil

• E-postadress

• Övriga uppgifter som kan kopplas till specifik person

3. Den Personuppgiftsansvariges skyldigheter

Den Personuppgiftsansvarige ska utan onödigt dröjsmål anmäla till Personuppgiftsbiträdet alla förhållanden som kan medföra behov av förändringar i det sätt som Personuppgiftsbiträdet behandlar personuppgifterna.

4. Personuppgiftsbiträdets skyldigheter

4.1 Säkerhetsåtgärder

Personuppgiftsbiträdet ska etablera lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifterna behandlas i enlighet med kraven i dataskyddslagstiftningen och villkoren i Uppdragsavtalet och detta avtal.

Säkerhetsåtgärderna ska minst motsvara den nivå som behöriga tillsynsmyndigheter normalt kräver för motsvarande behandlingar. Åtgärderna ska vara dokumenterade och ska utan onödigt dröjsmål lämnas till den Personuppgiftsansvarige på begäran.

4.2 Instruktioner

Personuppgiftsbiträdet får endast behandla personuppgifterna på uppdrag av den Personuppgiftsansvarige för dennes räkning och endast för det ändamål som framgår av punkten 2 ovan. Personuppgiftsbiträdet är skyldig att följa de instruktioner som den Personuppgiftsansvarige gett i Uppdragsavtalet.

Personuppgiftsbiträdet ska säkerställa att var och en som utför arbete under dennes överinseende och som får tillgång till personuppgifterna som omfattas av detta personuppgiftsbiträdesavtal, endast behandlar dessa i enlighet med givna instruktioner.

Om Personuppgiftsbiträdet anser att den Personuppgiftsansvariges instruktioner står i strid med tillämplig dataskyddslagstiftning, ska Personuppgiftsbiträdet skyndsamt underrätta den Personuppgiftsansvarige om detta via den kontaktinformation som framgår av avtalsingressen. Personuppgiftsbiträdet har dock inte rätt att avbryta uppdraget av den anledningen.

4.3 Utlämnande av personuppgifter och användningen av underleverantörer Personuppgiftsbiträdet får inte överföra eller ge åtkomst till personuppgifterna som omfattas av detta personuppgiftsbiträdesavtal till en extern part utan den Personuppgiftsansvariges uttryckliga förhandstillstånd, i annat fall än när det föreligger en lagstadgad skyldighet för Personuppgiftsbiträdet att göra det. Om en sådan lagstadgad skyldighet föreligger, ska Personuppgiftsbiträdet underrätta den Personuppgiftsansvarige om det, innan personuppgiftsbehandlingen påbörjas, under förutsättning att en sådan information inte är förbjuden enligt lag.

Personuppgiftsbiträdet får inte anlita underleverantörer för att utföra hela eller delar av behandlingen av personuppgifter utan att den Personuppgiftsansvarige på förhand har lämnat sitt skriftliga godkännande.

Personuppgiftsbiträdet ska ingå ett skriftligt avtal med sina underleverantörer, som binder underleverantören vid minst samma skyldigheter som Personuppgiftsbiträdet har enligt Uppdragsavtalet och detta avtal. Personuppgiftsbiträdet ansvarar fullt ut gentemot den Personuppgiftsansvarige för hur underleverantörerna behandlar personuppgifterna, inklusive deras säkerhetsåtgärder.

Om en ny underleverantör tillkommer, eller vid byte av underleverantör, ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om detta via de kontaktuppgifter som framgår av avtalsingressen, minst 1 månad innan förändringen sker, och inhämta dennes skriftliga godkännande. Godkännande ska ges utan onödigt dröjsmål. För det fall att förändringen inte kan godtas av den Personuppgiftsansvarige, ska följande gälla om inte parterna kommer överens om annat.

4.4 Krav på lokalisering och överföring av personuppgifter till tredjeland Personuppgiftsbiträdet ska se till att personuppgifterna endast lagras och i övrigt behandlas inom Sverige om inte parterna skriftligen kommer överens om något annat.

4.5 Tystnadsplikt och behörigheter

Personuppgiftsbiträdet ska säkerställa att personer med behörighet att behandla personuppgifterna enligt detta avtal antingen omfattas av en lagstadgad tystnadsplikt eller har åtagit sig sådan i ett bindande avtal. Tystnadsplikten ska gälla för all information som behandlas av Personuppgiftsbiträdet enligt detta Personuppgiftsbiträdesavtal, och även efter det att detta avtal har upphört att gälla. Åtkomst till personuppgifterna ska begränsas till sådana personer som behöver dem för att kunna utföra sina arbetsuppgifter.

4.6 Incidentrapportering

Personuppgiftsbiträdet ska skyndsamt underrätta den Personuppgiftsansvarige om säkerhetsincidenter som har medfört eller sannolikt kan leda till oavsiktlig eller olovlig förstörelse, förlust, ändring, obehörigt utlämnande av eller åtkomst till personuppgifterna.

Alla sådana incidenter ska dokumenteras av Personuppgiftsbiträdet och dokumentationen ska överlämnas utan oskäligt dröjsmål till den Personuppgiftsansvarige på begäran. I de fall en incident ska rapporternas till tillsynsmyndigheten, ska Personuppgiftsbiträdet samarbeta med och skyndsamt bistå den Personuppgiftsansvarige med all information som efterfrågas.

4.7 Bistånd för att fullgöra skyldigheter gentemot de registrerade

Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige att fullgöra sina skyldigheter gentemot de registrerade när dessa utövar sina rättigheter enligt dataskyddslagstiftningen, exempelvis rätten till insyn, rättelse, radering, dataportabilitet etc. Detta ska ske utan oskäligt dröjsmål och utan krav på ytterligare ekonomisk kompensation, om inte parterna kommer överens om annat.

4.8 Radering av personuppgifter

Under löpande avtalstid signalerar den Personuppgiftsansvariges användare att personuppgifter ska raderas. De ska därefter förstöras, skrivas över eller på annat sätt raderas av Personuppgiftsbiträdet inom 10 arbetsdagar.

När Uppdragsavtalet har avslutats ska Personuppgiftsbiträdet lämna tillbaka och/eller radera eller förstöra alla personuppgifter som omfattats av Uppdragsavtalet på det sätt som Personuppgiftsansvarig väljer och meddelar Personuppgiftsbiträdet om vid det aktuella tillfället. Detta ska ske inom 5 arbetsdagar och utan krav på ytterligare ekonomisk kompensation, om inte parterna kommer överens om annat.

4.9 Revision

Personuppgiftsbiträdet ska se till att den Personuppgiftsansvarige eller en extern granskare som den Personuppgiftsansvarige utser har möjlighet att revidera att Personuppgiftsbiträdet och dennes underleverantörer efterlever alla bestämmelser om behandlingen av personuppgifter enligt detta avtal.

4.10 Den Personuppgiftsansvariga kan när som helst, genom skriftligt meddelande till Personuppgiftsbiträdet, välja att tillfälligt avbryta eller helt avsluta Uppdragsavtalet och detta Personuppgiftsbiträdesavtal med omedelbar verkan och utan skyldighet att

utge kompensation till Personuppgiftsbiträdet om det är så att den Personuppgiftsansvariga har skälig anledning att tro att Personuppgiftsbiträdet är oförmöget att eller har misslyckats med att möta de skyldigheter som framgår av denna paragraf (4).

5. Rätt till omförhandling

Båda parter har rätt att påkalla omförhandling av detta avtal inklusive instruktioner och andra bilagor, för det fall att

• motpartens ägarförhållanden ändras väsentligt

• tillämplig lagstiftning eller tolkningen av den, ändras på ett sätt som påverkar behandlingen av personuppgifter som omfattas av detta avtal.

Personuppgiftsbiträdet har inte rätt att avbryta uppdraget endast av den anledningen att rätten till omförhandling åberopas eller att en omförhandling påbörjas.

6. Lagval och jurisdiktion

7.1 Detta personuppgiftsbiträdesavtal ska tolkas enligt svensk lagstiftning.

7.2 Tvister enligt detta avtal ska avgöras av svensk allmän domstol om inte parterna kommer överens om annat.

7. Avtalstid

Detta personuppgiftsbiträdesavtal gäller så länge personuppgiftsbiträdet behandlar personuppgifter för den personuppgiftsansvariges räkning.

Detta Avtal har upprättats i två likalydande exemplar, varav parterna tagit var sitt.

Upplands Väsby den 2018-xx-xx

Mätorit Data AB Företaget AB

Namnförtydligande och befattning Namnförtydligande och befattning