PERSONUPPGIFTSBITRÄDESAVTAL
Bilaga 4 Personuppgiftsbiträdesavtal
PERSONUPPGIFTSBITRÄDESAVTAL
Detta Personuppgiftsbiträdesavtal (”Biträdesavtalet”) kompletterar och utgör en del av det Avtal som PipeChain och Kunden träffat.
1. Bakgrund
1.1 PipeChain tillhandahåller ett antal tjänster som anges i Specifikationen i Bilaga 1
(”Tjänsterna”) till Kunden enligt Avtalet. Vid utförande av sådana Tjänster kommer PipeChain att behandla vissa personuppgifter som ägs och kontrolleras av Kunden. Följaktligen agerar PipeChain som personuppgiftsbiträde och Kunden agerar som personuppgiftsansvarig enligt definitionen i den Allmänna Dataskyddsförordningen (förordning (EU) 2016/679 (”GDPR”).
1.2 Syftet med behandlingen och de Tjänster för vilka sådan behandling utförs beskrivs i
Bilaga A.
1.3 Detta Biträdesavtal återspeglar Parternas avtal om behandling av Kundens Data, inklusive personuppgifter, i enlighet med GDPR och tillämplig lagstiftning om dataskydd. Det enda syftet med detta Biträdesavtal är att Parterna ska uppfylla de lagliga kraven för att ett Biträdesavtal ska existera såväl som andra skyldigheter enligt GDPR och tillämplig lagstiftning om dataskydd, som vid tidpunkten är gällande.
1.4 Med förbehåll för det ovanstående har Parterna ingått detta Biträdesavtal på de villkor som anges här.
2. Definitioner
2.1 Termer med versal begynnelsebokstav i detta Biträdesavtal ska ha den betydelse som anges i Avtalet mellan Parterna. Termer som används i detta Biträdesavtal som definieras i Artikel 4 i GDPR ska tolkas i enlighet med definitionen däri.
3. Kundens instruktioner
3.1 PipeChain ska behandla personuppgifter endast i enlighet med Kundens dokumenterade instruktioner, som anges i Bilaga A, och i enlighet med GDPR. Därför åtar sig Xxxxxx att hålla PipeChain skadelös för sådana skadeståndskrav som PipeChain ådrar sig som en direkt följd av Kundens instruktioner som leder till att PipeChain behandlar personuppgifter i strid med GDPR. I händelse av att XxxxXxxxx inte har fått nödvändiga instruktioner, ska PipeChain informera Xxxxxx och därefter invänta de instruktioner som Kunden anser nödvändiga. PipeChain ska också omedelbart informera Xxxxxx om en instruktion, enligt dess åsikt, bryter mot GDPR.
4. PipeChains åtaganden
4.1 PipeChain ska särskilt:
1 3
(a) tillämpa lämpliga tekniska och organisatoriska säkerhetsåtgärder vid behandling av personuppgifter och vidta alla åtgärder som krävs enligt artikel 32 i GDPR för att skydda de personuppgifter som behandlas enligt detta Biträdesavtal och Avtalet, inklusive men inte begränsat till, att se till att personer som har behörighet att behandla personuppgifter har ingått sekretessåtagande;
(b) hjälpa Xxxxxx att säkerställa att skyldigheterna enligt artiklarna 32 till 36 i GDPR uppfylls (såsom tekniska och organisatoriska åtgärder, anmälan och information i fall av överträdelser av personuppgifter, konsekvensbedömning av dataskydd och förhandskonsultation) och Kundens skyldigheter enligt till kapitel III i GDPR om de registrerades rättigheter (som rätten till information, tillgång, rättelse, radering, begränsning av behandlingen, dataportabilitet, invändning mot automatiserat beslutsfattande);
(c) hänvisa varje begäran om åtkomst till personuppgifter från en registrerad person, Dataskyddsmyndigheten eller någon annan tredje part till Kunden. PipeChain ska också utan dröjsmål meddela Xxxxxx om kontakt med Dataskyddsmyndig- heten angående, eller eventuellt angående, behandling av personuppgifter enligt detta Biträdesavtal eller Avtalet om inte sådan information är förbjuden enligt lag;
(d) i enlighet med Kundens val, ta bort, anonymisera eller returnera alla personuppgifter till Kunden efter detta Biträdesavtal och Avtalets slut, inklusive raderingen av befintliga kopior, såvida inte GDPR eller nationell lag kräver lagring av personuppgifterna;
(e) hjälpa Xxxxxx med information som krävs för att Kunden ska kunna fullgöra sina skyldigheter som personuppgiftsansvarig gentemot Dataskyddsmyndigheten och/eller registrerade; och
(f) inte överföra personuppgifter till ett tredje land eller en internationell organisation utan ett på förhand inhämtat skriftligt godkännande, såvida det inte krävs enligt GDPR, varigenom PipeChain omedelbart ska informera Xxxxxx om inte sådan information är förbjuden enligt lag.
4.2 Dessutom ska PipeChain alltid behandla personuppgifter i enlighet med GDPR. Detta inkluderar, men är inte begränsat till, att hålla ett register över behandlingsaktiviteter, ge åtkomst till registret av behandlingsaktiviteter på begäran av den registrerade eller Kunden och att omedelbart meddela Kunden om PipeChain misstänker att det finns en risk att individers rättigheter och friheter kränks.
5. Underbiträden
5.1 PipeChain har rätt att anlita underbiträden för behandling av personuppgifter på Kundens vägnar. PipeChain åtar sig att informera Xxxxxx om möjliga planer att anlita och/eller ersätta ett underbiträde, vilket ger Kunden möjlighet att invända mot sådana förändringar.
5.2 Om PipeChain anlitar underbiträden för behandling av personuppgifter på Kundens vägnar, är PipeChain helt ansvarigt gentemot Kunden för sådana underbiträdens aktiviteter.
2 3
6. Ersättning
6.1 Förutom vad som anges i Avtalet, har XxxxXxxxx rätt till rimlig ersättning i enlighet med den nuvarande tillämpliga prislistan för att följa Kundens skriftliga instruktioner, förutsatt att den begärda åtgärden inte anges i Avtalet.
7. Sekretess
7.2 Åtagandet enligt avsnitt 7.1 gäller inte för information som PipeChain är beordrat att lämna ut till en myndighet eller under GDPR. PipeChain förbinder sig att omedelbart meddela Kunden skriftligen om utfärdandet av sådant förbud för att avslöja information såvida det inte är förbjudet enligt lag.
8. Ansvar
8.1 Ingen av Parterna ska vara ansvarig gentemot den andra Parten under några omständigheter för indirekta skador såsom förlust av vinst, minskad omsättning, förlust och korruption av data, underlåtenhet att uppfylla tredje parts skyldigheter eller förlust av förmåner för behandlingen eller detta Biträdesavtal på annat sätt.
8.2 Parternas totala ansvar enligt detta Biträdesavtal angående en eller flera händelser får inte i något fall överstiga det belopp som motsvarar Kundens totala ersättning som betalats av Kunden under föregående kalenderår.
9. Löptid och uppsägning
9.1 Detta Biträdesavtal träder i kraft när båda Parter har undertecknat detsamma tillsammans med Xxxxxxx och ska vara gällande så länge XxxxXxxxx behandlar personuppgifter på Xxxxxxx vägnar. Detta Biträdesavtal ska utgöra en integrerad del av Avtalet, varefter Avtalets bestämmelser om till exempel uppsägning, tillämplig lag och tvistlösning även ska tillämpas på detta Biträdesavtal.
9.2 I samband med uppsägning av Avtalet eller detta Biträdesavtal ska PipeChain, i enlighet med Kundens val och på Kundens skriftliga begäran, radera eller returnera alla personuppgifter till den Personuppgiftsansvarige och ta bort alla befintliga kopior därav, såvida inte Unionens eller Medlemsstatens lag kräver lagring av personuppgifterna.
3 3