PERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL
1. Allmänt
1.1
Detta Personuppgiftsbiträdesavtal utgör en integrerad del av avtalet som ingåtts mellan Xxxxx Xxxxxxx AB xxx.xx. 559311-6923 (”KH”) och Xxxxxx.
Syftet med detta Personuppgiftsbiträdesavtal är att Xxxxxx och KH ska uppfylla vid var tid gällande krav på personuppgiftsbiträdesavtal och förpliktelser enligt Dataskyddsregler samt att säkerställa ett adekvat skydd för personlig integritet och grundläggande rättigheter för enskilda i samband med överföring av Personuppgifter från Kunden till KH inom ramen för de tjänster KH utför åt Kunden under Xxxxxxx.
1.2
KH kommer vid fullföljandet av Avtalet att behandla Personuppgifter för Kundens räkning såsom Kundens personuppgiftsbiträde. Kunden är personuppgiftsansvarig för behandlingen av Personuppgifterna.
1.3
Om någon annan tillsammans med Xxxxxx är personuppgiftsansvarig för de aktuella Personuppgifterna ska Kunden informera KH om detta.
2. Definitioner
Begrepp med versal förstabokstav som ”Behandling”, ”Dataskyddsreglering”, ”Personuppgifter”, ”Registrerad”, ”Tillsynsmyndighet”, ”Tillämpningsdagen”, ”Underleverantör” har samma betydelse som i gällande dataskyddslagstiftning och dataskyddsförordningen (GDPR).
Med ”Avtalet” syftas på det Avtal, tjänsteavtal, som kunden tecknar med KH inför leverans av denna tjänst.
3 Ansvar och instruktion
3.1
Kunden är personuppgiftsansvarig för samtliga Personuppgifter som KH behandlar för Kundens räkning under Avtalet. Xxxxxx ansvarar därmed för att gällande Dataskyddsregler följs. Xxxxxx har skyldighet att informera KH om eventuell förändring i Kunds verksamhet som gör att KH behöver vidta någon form av åtgärd eller förändrad rutin gällande innehållet i Dataskyddsregler. KH accepterar att följa vid var tid gällande krav i Dataskyddsregleringen som Xxxxxx informerat KH om.
3.2
KH och den eller de personer som arbetar under KHs ledning ska endast behandla Personuppgifter i enlighet med Xxxxxxx dokumenterade instruktioner och inte för några andra ändamål än dem som KH anlitats för och som anges i detta Personuppgiftsbiträdesavtal. De instruktioner som gäller vid Personuppgiftsbiträdesavtalets ingående framgår av avsnittet personuppgifter. Utöver de särskilda instruktioner som framgår av avsnittet personuppgifter ska detta Personuppgiftsbiträdesavtal och Avtalet i övrigt anses utgöra Kundens samtliga instruktioner till KH avseende behandling av Personuppgifter. Kunden ska omedelbart informera KH om förändringar vilka påverkar KHs skyldigheter enligt detta Personuppgiftsbiträdesavtal.
3.3
Behandling får även ske om sådan behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som KH eller Underbiträde omfattas av. Om behandling krävs enligt unionsrätten eller enligt en
medlemsstats nationella rätt som KH eller Underbiträde omfattas av ska KH eller Underbiträdet informera Kunden om det rättsliga kravet innan behandlingen, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt sådan rätt.
3.4
KH har rätt att under Personuppgiftsbiträdesavtalets giltighetstid och därefter lagra och behandla data som härrör från Kunden i aggregerat eller anonymiserat format, d.v.s. data som inte innehåller Personuppgifter.
4 Säkerhet
4.1
KH ska vidta de åtgärder som krävs för att uppfylla Artikel 32 i Dataskyddsförordningen. KH ska därvid säkerställa en säkerhetsnivå som är lämplig i förhållande till risken som behandlingen medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som behandlas.
4.2
KH ska även bistå Xxxxxx med att se till att skyldigheterna enligt Artiklarna 32-36 i Dataskyddsförordningen fullgörs, med beaktande av typen av behandling och den information som KH har att tillgå. KH skall säkerställa att personer med behörighet att behandla Personuppgifterna antingen omfattas av en lagstadgad tystnadsplikt eller har åtagit sig det i ett bindande avtal. Tystnadsplikten skall gälla även efter det att detta Personuppgiftsbiträdesavtal upphört att gälla. Åtkomst till Personuppgifterna skall begränsas till sådana personer som behöver dem för att kunna utföra sina arbetsuppgifter.
5 Utlämnande av Personuppgifter och information
5.1
Om det till KH kommer in en begäran från Registrerad, Tillsynsmyndighet eller annan tredje man om att få ta del av uppgifter som KH behandlar för Kundens räkning ska KH utan dröjsmål vidarebefordra begäran till Kunden. KH, eller den som arbetar under KHs ledning, får inte lämna ut Personuppgifter eller annan information om behandlingen av Personuppgifter utan uttrycklig instruktion om detta från Xxxxxx om inte sådan skyldighet föreligger enligt gällande Dataskyddsregler.
5.2
KH ska, med tanke på behandlingens art, hjälpa Xxxxxx genom tekniska och organisatoriska åtgärder, i den mån det är möjligt, så att Xxxxxx kan fullgöra sin skyldighet att svara på begäran från den Registrerade vid den Registrerades utövande av sina rättigheter enligt Dataskyddsregler i enlighet med kapitel III i Dataskyddsförordningen.
5.3
Kunden ska utge separat ersättning till KH för KHs arbete med anledning av sina åtaganden enligt denna punkt 5 i enlighet med KHs vid var tid gällande timpriser.
6 Kontakt med Tillsynsmyndigheten
KH ska informera Xxxxxx om eventuella kontakter från Tillsynsmyndigheten som rör behandling av Personuppgifter.
7 Underbiträden
7.1
Personuppgifter får behandlas av ett Underbiträde under förutsättning att KH på Kundens vägnar ingår ett skriftligt avtal eller annan rättsakt enligt unionsrätten där Underbiträdet åläggs motsvarande skyldigheter i fråga om dataskydd som KH åläggs enligt detta Personuppgiftsbiträdesavtal.
7.2
KH åtar sig att informera Xxxxxx om eventuella planer på att anlita nya Underbiträden eller ersätta Underbiträden. Kunden har rätt att invända mot sådana förändringar. Sådan invändning får endast hänföra sig till objektiva grunder hänförliga till exempelvis säkerheten av behandlingen enligt Personuppgiftsbiträdesavtalet. Om Kunden gör en sådan befogad invändning och KH inte accepterar att byta ut aktuellt Underbiträde har KH rätt till extra ersättning av Xxxxxx för de kostnader som KH drabbas av
p.g.a. aktuellt Underbiträde inte kan användas. KH har även rätt att säga upp Avtalet och/eller detta Personuppgiftsbiträdesavtal helt eller delvis, t.ex. vad avser viss tilläggstjänst med trettio (30) dagars uppsägningstid.
7.3
KH är särskilt ansvarig för att tillse att Artiklarna 28.2 och 28.4 i Dataskyddsförordningen beaktas vid anlitande av Underbiträden och att tillse att sådant Underbiträde ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i Dataskyddsförordningen.
7.4
KH ska på begäran från Kunden tillhandahålla Kunden (och om så begärs, Kundens kunder som är personuppgiftsansvariga) en korrekt och uppdaterad lista om vilka Underbiträden som anlitats av KH för behandlingen av Personuppgifter, kontaktuppgifter till dessa samt den geografiska placeringen för sådan behandling.
8 Rätt till insyn
8.1
KH ska ge Xxxxxx tillgång till all information som krävs för att visa att de skyldigheter som följer av Artikel 28 i Dataskyddsförordningen har fullgjorts inom skälig tid efter sådan begäran framställts av Kunden till KH. Detta medför bland annat att Xxxxxx, i egenskap av personuppgiftsansvarig, har rätt att vidta nödvändiga åtgärder för att verifiera att KH kan fullfölja sina åtaganden enligt detta Personuppgiftsbiträdesavtal och att KH faktiskt har vidtagit åtgärder för att säkerställa detta.
8.2
KH ska även möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Kunden eller av en annan oberoende revisor
9 Överföring av Personuppgifter utanför EU/EES
9.1
Överföring av Personuppgifter av KH eller av Underbiträde till en plats utanför EES-området (s.k. tredje land) får vidtas förutsatt att vid var tid gällande krav för sådan överföring enligt Dataskyddsregler uppfylls. KH ska vid sådan överföring tillämpa, och i förhållande till Underbiträde i tredje land för Kundens räkning ingå avtal där Underbiträdet åläggs att tillämpa, EU:s standardklausuler (2010/87/EU) eller de standardklausuler som ersätter dessa efter eventuellt beslut av EU-kommissionen och/eller EU-domstolen.
10 Sekretess
10.1
KH ska säkerställa att personer med behörighet att behandla Personuppgifterna antingen omfattas av en lagstadgad tystnadsplikt eller har åtagit sig det i ett bindande avtal. Tystnadsplikten ska gälla även efter det att detta Personuppgiftsbiträdesavtal upphört att gälla. Åtkomst till Personuppgifterna skall begränsas till sådana personer som behöver dem för att kunna utföra sina arbetsuppgifter.
10.2
Åtagandet i punkt 10.1 ovan gäller inte information som KH föreläggs utge till myndighet eller enligt Dataskyddsregler eller annan lagstadgad skyldighet. Sekretessåtagandet gäller under Avtalets giltighetstid och därefter.
11 Dataportabilitet
11.1
KH ska tillse att Xxxxxx kan uppfylla eventuell skyldighet att möjliggöra dataportabilitet avseende Personuppgifter som KH behandlar för Kundens räkning.
12 Ersättning
12.1
KH ska ha rätt till full ersättning från Kunden för samtligt arbete och samtliga kostnader som uppstår till följd av fullgörande av punkterna 8, 11, och 15.1 som beror på instruktioner för behandling av personuppgifter som Kunden ger KH och som går utöver vad som framgår av avsnittet personuppgifter eller de funktioner och den säkerhetsnivå som följer av de tjänster som KH normalt erbjuder sina kunder, t.ex. vad gäller KHs servertjänster och sådant som kräver att KH behöver göra specialanpassningar på beställning av Kunden. KH ska även ha rätt till ersättning för sitt arbete med anledning av sina åtaganden enligt punkten 5. Samtligt arbete som KH har rätt till ersättning för enligt denna punkt ska ersättas i enlighet med KHs vid var tid gällande timpriser. Kostnadsersättning ska ersättas med KHs faktiska havda kostnader.
13 Ansvar
13.1
Om KH, den som arbetar under KHs ledning eller av KH anlitat Underbiträde behandlar Personuppgifter i strid med detta Personuppgiftsbiträdesavtal eller de lagenliga anvisningar som Kunden har lämnat, ska KH med beaktande av de ansvarsbegränsningar som följer av Avtalet, ersätta Xxxxxx för den direkta skada som Kunden har orsakats på grund av den felaktiga behandlingen.
13.2
Om Kunden, den som arbetar under Xxxxxxx ledning eller av Kunden anlitad tredje part orsakar KH skada som beror på otydliga, bristfälliga eller otillåtna instruktioner från Kunden, bristfällig information från Kunden om vilka kategorier av uppgifter som behandlas (t.ex. om känsliga Personuppgifter behandlas utan att Kunden informerat KH om detta) eller som annars beror på brott mot detta Personuppgiftsbiträdesavtal, ska Kunden ersätta KH för sådan skada, inklusive skadestånd och administrativa sanktionsavgifter som KH behövt erlägga till tredje man.
13.3
KHs ersättningsskyldigheter avseende krav och skador enligt denna punkt 13 gäller under förutsättning att i) Kunden utan onödigt dröjsmål skriftligen underrättar KH om krav som framställts mot Kunden; och ii) Kunden låter KH kontrollera försvaret av kravet och ensam fatta beslut om eventuell förlikning.
14 Avtalstid och åtgärder vid upphörande
14.1
Personuppgiftsbiträdesavtalet gäller från dess undertecknande och så länge som KH behandlar Personuppgifter för Kundens räkning.
15.Ändringar i Personuppgiftsbiträdesavtalet
15.1
Om Dataskyddsregler ändras under tiden för Personuppgiftsbiträdesavtalet, eller om Tillsynsmyndighet utfärdar riktlinjer, beslut eller föreskrifter kring tillämpningen av Dataskyddsregler som föranleder att detta Personuppgiftsbiträdesavtal inte uppfyller de krav som ställs på ett personuppgiftsbiträdesavtal ska parterna i god anda diskutera nödvändiga förändringar av detta Personuppgiftsbiträdesavtal för att tillgodose sådana nya eller tillkommande krav. Sådan ändring träder ikraft enligt parternas skriftliga överenskommelse därom, eller annars senast inom sådan tidsperiod som anges i Dataskyddsregler, Tillsynsmyndighets riktlinjer, beslut eller föreskrifter. KH har rätt till skälig ersättning för eventuellt arbete, kostnader och utgifter som sådana ändringar föranleder.
15.2
Övriga ändringar av och tillägg till detta Personuppgiftsbiträdesavtal ska för att vara bindande upprättas skriftligen och vara behörigen undertecknade av parterna.
16 Övrigt
16.1
I övrigt ska vad som sägs i Avtalet äga tillämpning även för KHsbehandling av Personuppgifter och åtagandena under detta Personuppgiftsbiträdesavtal. Vid oenighet mellan bestämmelserna i Avtalet och detta Personuppgiftsbiträdesavtal ska dock bestämmelserna i Personuppgiftsbiträdesavtalet äga företräde i förhållande till all behandling av Personuppgifter och inget i Avtalet ska anses begränsa eller ändra åtaganden i detta Personuppgiftsbiträdesavtal i den mån att detta skulle medföra att någon part inte uppfyller kraven enligt Dataskyddsregler.
16.2
Svensk lag ska under alla omständigheter tillämpas på detta Personuppgiftsbiträdesavtal. Tvister som uppstår i anledning av detta Personuppgiftsbiträdesavtal ska lösas i enlighet med tvistlösningsbestämmelsen i Avtalet.