Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal


mellan

Kund [adress, organisationsnummer, kontaktperson, kontaktuppgifter]
(nedan kallad Personuppgiftsansvarig eller Kund)


och


Vehco AB, Xxxxxxxxxxxxxxxx 0, Xxxxxxxx, 000000-0000, xxxxx: xxxxxxxxxxx@xxxxx.xxx

(nedan kallad Personuppgiftsbiträde eller Leverantör)



Personuppgiftsbiträdet och den Personuppgiftsansvarige benämns här nedan gemensamt ”Parterna” eller var för sig ”Part”.


  1. Uppdragets art och avtalets syfte

Kund har efter genomförd upphandling av Fleet Managementsystemet Co-Driver ingått avtal med Vehco AB, beträffande insamling och behandling av driftdata som utläses genom Co-Driversystemet. Detta kan röra sig som såväl fordonsdata som data om enskilda förare eller andra användare av systemet. (Uppdragsavtalet).
Uppdraget medför att Leverantören behandlar personuppgifter för Kundens räkning. Uppdragsavtalet löper tills vidare.


Syftet med detta avtal är att reglera parternas rättigheter och skyldigheter som följer med uppdraget att behandla personuppgifter, för att på så vis säkerställa att personuppgifterna behandlas i enlighet med de bestämmelser som följer av EU:s dataskyddsförordning (EU 2016/679) och eventuell senare lagstiftning som ersätter eller kompletterar dessa.


  1. Personuppgiftsbehandlingens omfattning

Kategorier av registrerade och kategorier av personuppgifter som behandlas framgår i paragraf 1.

  1. Den Personuppgiftsansvariges skyldigheter

Den Personuppgiftsansvarige garanterar att personuppgifterna behandlas för legitima och objektiva ändamål och att Personuppgiftsbiträdet inte behandlar fler personuppgifter än vad som krävs för att uppfylla sådana ändamål.


Den Personuppgiftsansvarige ansvarar för att det finns en giltig rättslig grund för bearbetning vid tidpunkten för att personuppgifterna är tillgängliga för Personuppgiftsbiträdet, inklusive att de samtycken som ges av de registrerade har getts uttryckligen, frivilligt, entydigt och på välinformerad basis. På Personuppgiftsbiträdets begäran åtar sig den Personuppgiftsansvarige att skriftligen redovisa och / eller tillhandahålla dokumentation för grunden för behandlingen.


Dessutom är den Personuppgiftsansvarige ansvarig för att de registrerade, som personuppgifterna hänför sig till, har fått tillräcklig information om behandlingen av deras personuppgifter.


Den Personuppgiftsansvarige ska utan onödigt dröjsmål anmäla till Personuppgiftsbiträdet alla förhållanden som kan medföra behov av förändringar i det sätt som Personuppgiftsbiträdet behandlar personuppgifterna, till exempel att känsliga personuppgifter tillförs behandlingen.


  1. Personuppgiftsbiträdets skyldigheter

4.1 Säkerhetsåtgärder

Personuppgiftsbiträdet ska etablera lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifterna behandlas i enlighet med kraven i dataskyddslagstiftningen och villkoren i Uppdragsavtalet och detta avtal. Säkerhetsåtgärderna ska minst motsvara den nivå som behöriga tillsynsmyndigheter normalt kräver för motsvarande behandlingar. Åtgärderna ska vara dokumenterade och ska utan onödigt dröjsmål lämnas till den Personuppgiftsansvarige på begäran.


    1. Instruktioner

Personuppgiftsbiträdet får endast behandla personuppgifterna på uppdrag av den Personuppgiftsansvarige för dennes räkning och endast för det ändamål som framgår av paragraf 2 ovan. Personuppgiftsbiträdet är skyldig att följa de instruktioner som den Personuppgiftsansvarige gett i Uppdragsavtalet.

Personuppgiftsbiträdet ska säkerställa att var och en som utför arbete under dennes överinseende och som får tillgång till personuppgifterna som omfattas av detta personuppgiftsbiträdesavtal, endast behandlar dessa i enlighet med givna instruktioner.


Om Personuppgiftsbiträdet anser att den Personuppgiftsansvariges instruktioner står i strid med tillämplig dataskyddslagstiftning, ska Personuppgiftsbiträdet skyndsamt underrätta den Personuppgiftsansvarige om detta via den kontaktinformation som framgår i inledningen av detta dokument.


4.3 Utlämnande av personuppgifter och användningen av underleverantörer

Personuppgiftsbiträdet får inte överföra eller ge åtkomst till personuppgifterna som omfattas av detta personuppgiftsbiträdesavtal till en extern part utan den Personuppgiftsansvariges uttryckliga förhandstillstånd, i annat fall än när det föreligger en lagstadgad skyldighet för Personuppgiftsbiträdet att göra det. Om en sådan lagstadgad skyldighet föreligger, ska Personuppgiftsbiträdet underrätta den Personuppgiftsansvarige om det, innan personuppgiftsbehandlingen påbörjas, under förutsättning att en sådan information inte är förbjuden enligt lag.


Personuppgiftsbiträdet får inte anlita andra underleverantörer än de som normalt används i verksamheten för att utföra hela eller delar av behandlingen av personuppgifter utan att den Personuppgiftsansvarige på förhand har lämnat sitt skriftliga godkännande.


Personuppgiftsbiträdet ska ingå skriftliga avtal med sina underleverantörer, som binder underleverantören vid minst samma skyldigheter som Personuppgiftsbiträdet har enligt Uppdragsavtalet och detta avtal. Personuppgiftsbiträdet ansvarar gentemot den Personuppgiftsansvarige för hur underleverantörerna behandlar personuppgifterna, inklusive deras säkerhetsåtgärder.


Om en ny underleverantör tillkommer, eller vid byte av underleverantör, ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om detta via de kontaktuppgifter som framgår i inledningen av detta dokument.



4.4 Krav på lokalisering och överföring av personuppgifter till tredjeland

Personuppgiftsbiträdet ska se till att personuppgifterna endast lagras och i övrigt behandlas inom EU på kontorssidan i CoDriver om inte parterna skriftligen kommer överens om något annat.


4.5 Tystnadsplikt och behörigheter

Personuppgiftsbiträdet ska säkerställa att personer med behörighet att behandla personuppgifterna enligt detta avtal antingen omfattas av en lagstadgad tystnadsplikt eller har åtagit sig sådan i ett bindande avtal. Tystnadsplikten ska gälla för all information som behandlas av Personuppgiftsbiträdet enligt detta Personuppgiftsbiträdesavtal, och även efter det att detta avtal har upphört att gälla. Behandlingen av personuppgifterna ska begränsas till de som behöver dem för att kunna utföra sina arbetsuppgifter.


4.6 Personuppgiftsincident - rapportering

Då personuppgiftsincidenter (beroende på omfattning) ska rapporteras till tillsynsmyndigheten inom 72 timmar från det att incidenten har upptäckts ska Personuppgiftsbiträdet skyndsamt underrätta den Personuppgiftsansvarige om säkerhetsincidenter som har medfört eller sannolikt kan leda till oavsiktlig eller olovlig förstörelse, förlust, ändring, obehörigt utlämnande av eller åtkomst till personuppgifterna.


Alla sådana incidenter ska dokumenteras av Personuppgiftsbiträdet och dokumentationen ska överlämnas utan oskäligt dröjsmål till den Personuppgiftsansvarige på begäran. I de fall en incident ska rapporternas till tillsynsmyndigheten, ska Personuppgiftsbiträdet samarbeta med och skyndsamt bistå den Personuppgiftsansvarige och tillsynsmyndigheten med all information som efterfrågas.


4.7 Bistånd för att fullgöra skyldigheter gentemot de registrerade

Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige att fullgöra sina skyldigheter gentemot de registrerade när dessa utövar sina rättigheter enligt dataskyddslagstiftningen, exempelvis rätten till insyn, rättelse, radering, dataportabilitet etc. Detta ska ske utan oskäligt dröjsmål.


Personuppgiftsbiträdet ska inom 30 dagar ha utfört en begäran från den Personuppgiftsansvarige som har sin grund i skyldigheterna mot den registrerade enligt ovan.


4.8 Bistånd till konsekvensbedömningar för dataskydd

Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige med att genomföra konsekvensbedömningar för dataskydd där en viss typ av behandling sannolikt kommer att medföra en hög risk för de registrerades rättigheter och friheter.


Vidare, om en konsekvensbedömning av dataskyddet indikerar att behandlingen skulle medföra en hög risk om inga åtgärder vidtas av den Personuppgiftsansvarige för att mildra risken, ska Personuppgiftsbiträdet bistå den Personuppgiftsansvarige i samråd med tillsynsmyndigheten.


Personuppgiftsbiträdet har rätt till betalning för tid och material som åtgår för bistånd enligt denna paragraf 4.8.


4.9 Radering av personuppgifter

Under löpande avtalstid meddelar den Personuppgiftsansvarige Personuppgiftsbiträdet om personuppgifter för någon av dess användare ska raderas. De ska därefter förstöras, skrivas över eller på annat sätt raderas av Personuppgiftsbiträdet inom 30 dagar.


När Uppdragsavtalet har avslutats ska Personuppgiftsbiträdet lämna tillbaka och/eller radera eller förstöra alla personuppgifter som omfattats av Uppdragsavtalet på det sätt som Personuppgiftsansvarig väljer och meddelar Personuppgiftsbiträdet om vid det aktuella tillfället. Detta ska ske inom 120 dagar och utan krav på ytterligare ekonomisk kompensation, om inte parterna kommer överens om annat.


4.10 Efterlevnad - uppföljning

Personuppgiftsbiträdet ska se till att den Personuppgiftsansvarige eller en extern granskare som den Personuppgiftsansvarige utser har möjlighet att revidera att Personuppgiftsbiträdet och dennes underleverantörer efterlever alla bestämmelser om behandlingen av personuppgifter enligt detta avtal.


4.11 Uppdragsavslut

Den Personuppgiftsansvariga kan när som helst, genom skriftligt meddelande till Personuppgiftsbiträdet, välja att tillfälligt avbryta eller helt avsluta Uppdragsavtalet och detta Personuppgiftsbiträdesavtal med omedelbar verkan och utan skyldighet att utge kompensation till Personuppgiftsbiträdet om det kan bevisas av den Personuppgiftsansvarige att Personuppgiftsbiträdet är oförmöget att eller har misslyckats med att möta de skyldigheter som framgår av denna paragraf (4).



  1. Rätt till omförhandling

Båda parter har rätt att påkalla omförhandling av detta avtal inklusive instruktioner och andra bilagor, för det fall att

  • motpartens ägarförhållanden ändras väsentligt

  • tillämplig lagstiftning eller tolkningen av den, ändras på ett sätt som påverkar behandlingen av personuppgifter som omfattas av detta avtal.

Personuppgiftsbiträdet har inte rätt att avbryta uppdraget endast av den anledningen att rätten till omförhandling åberopas eller att en omförhandling påbörjas.


  1. Lagval och jurisdiktion

6.1 Detta personuppgiftsbiträdesavtal ska tolkas enligt svensk lagstiftning.

6.2 Tvister enligt detta avtal ska avgöras av svensk allmän domstol om inte parterna kommer överens om annat.


  1. Avtalstid

Detta personuppgiftsbiträdesavtal gäller så länge personuppgiftsbiträdet behandlar personuppgifter för den personuppgiftsansvariges räkning.















Detta Avtal har upprättats i två (2) original, av vilka parterna har erhållit ett (1) original var.



Ort


Ort

Datum


Datum

Företag


Företag

Underskrift


Underskrift

Namnförtydligande


Namnförtydligande



Document Metadata

Filed: February 25th, 2023