PERSONUPPGIFTSBITRÄDESAVTAL


PERSONUPPGIFTSBITRÄDESAVTAL



MELLAN

X (företagsnamn) xxxxxx-xxxx (xxx.xx.) (nedan kallat ”Biträde”), med adress x, xxx-xx (postnr) X (Stad).

OCH

Handelshögskolans i Göteborgs Studentkår, 857206–3603 (nedan kallat ”Ansvarig”) med xxxxxx Xxxxxxxxx 0, 000 00 Xxxxxxxx.



Biträde och Ansvarig (nedan kallad var för sig ”Part” eller tillsammans ”Parter”) har träffat följande Personuppgiftsbiträdesavtal (nedan kallat ”Avtalet”).



  1. DEFINITIONER

Behandling” - Varje åtgärd eller serie av åtgärder som vidtas i fråga om Personuppgifter oberoende av om de utförs automatiserat eller ej. Exempelvis insamling, registrering, organisering, strukturering, lagring och bearbetning.


Dataskyddsreglering” - Vid var tid gällande lag eller förordning som ska tillämpas på Behandling av Personuppgifter samt Tillsynsmyndighetens bindande beslut och föreskrifter. Även tillkommande lokal anpassning och reglering avseende dataskydd.


Personuppgifter” - Varje upplysning som avser en identifierbar fysisk Person (nedan kallad den “Registrerade”). Informationen kan direkt eller indirekt hänföras till en fysisk Person som Biträdet behandlar för den Ansvariges räkning. Personuppgifter kan till exempel avse information som adress, namn och telefonnummer. Olika slags elektroniska identiteter kan vara Personuppgifter under förutsättning att identiteterna kan kopplas till fysiska Personer.


Personuppgiftsansvarig” – En juridisk Person, fysisk Person eller myndighet som avgör för vilka ändamål uppgifterna ska behandlas och hur Behandlingen ska gå till. Den Personuppgiftsansvarige måste se till att Behandlingen sker i enlighet med gällande dataskyddsreglering.


Personuppgiftsbiträde” - En fysisk eller juridisk Person som fått i uppdrag att behandla Personuppgifter för den Personuppgiftsansvariges räkning. Biträdet får endast agera efter instruktioner från den Ansvarige.


Underbiträde” - Den som behandlar Personuppgifter som underleverantör åt Biträdet.



Tillsynsmyndighet” - I Sverige: Datainspektionen.


Personuppgiftsincident ” - En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som behandlats.



  1. ALLMÄNT

    1. Biträdet kommer vid fullgörandet av detta Avtal behandla Personuppgifter för den Ansvariges räkning i egenskap av Personuppgiftsbiträde. Den Ansvarige är Personuppgiftsansvarig för Behandling av Personuppgifterna. Vid det fall någon annan agerar Personuppgiftsansvarig tillsammans med den Ansvarige ska Ansvarig informera Biträdet om detta. Syftet med Avtalet är att säkerställa ett integritetsskydd för Personuppgifterna.



  1. ANSVAR

    1. Den Ansvarige är Personuppgiftsansvarig för de Personuppgifter som Biträdet behandlar för den Ansvariges räkning under avtalstiden. Den Ansvarige är således ytterst ansvarig för att gällande Dataskyddsreglering följs vid registrering av Personuppgifter. Den Ansvarige har vidare en skyldighet att informera Biträdet om sådant som är av relevans för utförande av Behandlingen. Biträdet åtar sig att följa vid var tid gällande krav i Dataskyddsreglering som den Ansvarige skriftligen instruerat Biträdet att följa.


    1. Biträdet ska behandla Personuppgifter i enlighet med den Ansvariges dokumenterade instruktioner. Innehållet i detta Avtal ska anses utgöra den Ansvariges instruktioner till Biträdet avseende Behandlingen av Personuppgifter.


    1. Om Biträdet, den som arbetar under Biträdets ledning eller av Biträdet anlitat Underbiträde behandlar Personuppgifter i strid med detta Avtal aktualiseras ansvar för skada. Biträdet ska ersätta den Ansvarige för den direkta skada som den Ansvarige orsakats på grund av den felaktiga Behandlingen.


    1. Den Ansvarige ska hålla Biträdet skadelös för samtliga direkta eller indirekta skador som Biträdet orsakats genom överträdelse av dataskyddsregleringen som beror på otydliga eller bristfälliga instruktioner från den Ansvarige.



  1. INSTRUKTIONER


    1. Följande instruktioner gäller för Biträdets hantering av Personuppgifter som den Ansvarige är Personuppgiftsansvarig för.


Ändamål


    1. Biträdet ska endast behandla Personuppgifter för att tillhandahålla sin tjänst, och därmed relaterade support- och underhållstjänster till den Ansvarige.


Kategorier


    1. Information om den Registrerade som den Ansvarige inhämtar i form av till exempel namn, adress, telefonnummer, e-postadress, leveransadress, Personnummer, IP-nummer, referensnummer för transaktion och fakturanummer samt köphistorik/orderdata. Exakt vilka uppgifter som behandlas om respektive Registrerad styr den Ansvarige över genom inställningar och egen radering och gallring.


Samtycke


    1. Samtycke är en rättslig grund för hantering av den Registrerades Personuppgifter. Ett giltigt samtycke ska vara en frivillig, specifik och otvetydig viljeyttring genom vilken den Registrerade godtar Behandlingen av sina Personuppgifter enligt den information som lämnats. Samtycket måste vara en aktiv handling samt kunna bevisas i efterhand, vilket den Ansvarige har bevisbördan för.

    2. Den Ansvarige ansvarar själv såsom Personuppgiftsansvarig för att inhämta samtycken från de Registrerade för Behandlingen.


Gallring


    1. Den Ansvarige ansvarar för gallring av Personuppgiftsdata. Vid gallring ska den Registrerades Personuppgifter raderas från kundregister. Orderdata såsom betalningsmetod, produktdata och eventuell betalningsreferens till externt betalningssystem sparas fortsatt anonymt för statistik samt för att kunna tillgodose återbetalningar vid retur, garanti eller reklamation.


    1. Parterna ska i största möjliga mån undvika att hantera Personuppgifter i ostrukturerade data (till exempel e-post). I de fall sådan hantering är oundvikligt ska gallring av data ske löpande. Om Parterna vill behålla ostrukturerade data under en längre tid ska Personuppgifter alltid krypteras.


Initiering och upphörande

    1. Behandling av Personuppgifter initieras vid beställning eller skapande av Cloud konto samt då den Ansvarige anger den Registrerades Personuppgifter i sitt Cloud konto.


    1. Behandling av Personuppgifter upphör då den Registrerade begär radering, genom kontakt med den Ansvarige eller när gallringstid för den aktuella uppgiften infaller.


IT-säkerhetsåtgärder


    1. Biträdets lokaler ska vara skyddade för obehörig fysisk åtkomst. IT-utrustning med vilken man kan få åtkomst till den Registrerades Personuppgifter ska låsas när den lämnas utan tillsyn inom Biträdets lokaler.


    1. Biträdet ska löpande göra backup av all data som Biträdet behandlar på uppdrag av den Ansvarige. Backuper raderas löpande efter 180 dagar.


    1. Tvåfaktorsautentisering ska krävas för åtkomst till den IT-utrustning där Personuppgifter behandlas.

    1. Biträdet ska säkerställa att intern kommunikation mellan servrar sker säkert. Biträdet ska vidare ha rutiner för att säkerställa att relevanta sekretessförbindelser träffas med leverantörer som tillhandahåller till exempel service och reparation av den IT-utrustning som används.

    2. Brandväggar och andra segregerade funktioner som Biträdet ansvarar för i enlighet med Xxxxxxx ska vara säkert konfigurerade samt ska i övrigt följa best practice vad avser god informationssäkerhet.


    1. Den IT-utrustning där den Registrerades Personuppgifter lagras ska skyddas med lämplig programvara som ska vara kapabel att identifiera, ta bort och skydda mot kända typer av skadlig kod. Scanning av servrar efter skadlig kod ska utföras dagligen.



  1. SÄKERHET


    1. Biträdet ska vidta de tekniska och organisatoriska åtgärder som krävs enligt dataskyddsregleringen för att hålla den säkerhetsnivå som är lämplig för att skydda de Personuppgifter som behandlas.


    1. Biträdet ska bistå den Ansvarige med att se till att skyldigheter vid Personuppgiftsincidenter, samt övriga skyldigheter som framgår av artikel 32–36 i dataskyddsregleringen, fullgörs.



  1. UTLÄMNANDE AV PERSONUPPGIFTER


    1. Om det till Biträdet kommer in en begäran om att få ta del av uppgifter som Biträdet behandlar för den Ansvariges räkning ska Biträdet vidarebefordra begäran till den Ansvarige. Biträdet, eller den som arbetar under Biträdets ledning, får inte lämna ut Personuppgifter eller annan information om Behandlingen av Personuppgifter utan uttrycklig instruktion om detta från den Ansvarige. Utlämning godtas dock om skyldighet föreligger enligt gällande dataskyddsreglering.


    1. Biträdet ska genom lämpliga tekniska och organisatoriska åtgärder hjälpa den Ansvarige i den mån det är möjligt så att den Ansvarige kan fullgöra sin skyldighet att svara på begäran från den Registrerade.


    1. Biträdet ska informera den Ansvarige om eventuella kontakter med Tillsynsmyndigheten som rör Behandling av Personuppgifter. Biträdet har inte rätt att företräda den Ansvarige eller agera för den Ansvariges räkning gentemot Tillsynsmyndigheten.


  1. UNDERBITRÄDEN


    1. Den Ansvarige godkänner att Personuppgifter behandlas av ett Underbiträde, om Biträdet finner det nödvändigt och Biträdet för den Ansvariges räkning ingår ett skriftligt avtal där Underbiträdet åläggs motsvarande skyldigheter som Biträdet åläggs enligt detta Avtal. Biträdet ska på begäran av den Ansvarige informera om Underbiträden som anlitats av Biträdet.



  1. RÄTT TILL INSYN


    1. Biträdet ska ge den Ansvarige tillgång till all information som krävs för att visa att de skyldigheter som följer av artikel 28 i Dataskyddsregleringen har fullgjorts. Biträdet ska ge den Ansvarige tillgång till sådan information inom skälig tid efter att sådan begäran framställts.



  1. SEKRETESS


    1. Biträdet ska säkerställa att Personer med behörighet att behandla Personuppgifter har åtagit sig att iaktta sekretess för Behandlingen. Detta åtagande gäller dock inte information som Biträdet föreläggs utge till myndighet eller enligt lagstadgad skyldighet. Sekretessåtagandet gäller utan begränsning i tiden.



  1. AVTALSTID OCH ÅTGÄRDER VID UPPHÖRANDE


    1. Avtalet gäller så länge som Biträdet behandlar Personuppgifter för den Ansvariges räkning.


    1. Biträdet ska efter Avtalets upphörande radera de Personuppgifter som kommit Biträdet tillhanda, samt eventuella kopior av Personuppgifterna.



  1. ÄNDRINGAR OCH TILLÄGG


    1. Om dataskyddsregleringen ändras under löptiden för detta Avtal eller om Tillsynsmyndigheten utfärdar riktlinjer, beslut eller föreskrifter kring tillämpningen av dataskyddsregleringen som föranleder att detta Avtal inte uppfyller de krav som ställs på ett Personuppgiftsbiträdesavtal ska detta Avtal ändras för att tillgodose sådana nya eller tillkommande krav. Sådan ändring träder i kraft senast trettio (30) dagar efter att den Ansvarige informerat Biträdet om behov av förändring. Biträdet har rätt till skälig ersättning för eventuellt arbete, kostnader och utgifter som sådana ändringar föranleder.

    1. Övriga ändringar av och tillägg till detta Avtal ska för att vara bindande upprättas skriftligen.



  1. AVSLUTNING


    1. Detta Avtal ersätter eventuella tidigare Personuppgiftsbiträdesavtal mellan Parterna. Vidare ska svensk lag tillämpas på Biträdets Behandling av Personuppgifter enligt detta Avtal.







Göteborg den ___________________



______________________ _______________________

Document Metadata

Filed: January 18th, 2019