Personuppgiftbiträdesavtal 2018



Personuppgiftbiträdesavtal 2018

Swedish Software

Mall för avtal om personuppgiftsbiträde enligt Dataskyddsförordningen (GDPR) framtagen av Swedish Software (SweS).



– 1 –


Personuppgiftsbiträdesavtal SweS 2018




Företagsnamn


Personuppgiftsbiträde


SWINX AB

Organisationsnummer

Organisationsnummer


556292-1394

Adress

Adress


Xxxxxxxxxx 0x, 000 00 XXXXX

Personuppgiftsansvarig och Personuppgiftsbiträde ingår härigenom avtal avseende personuppgiftsbiträde på de villkor som anges i detta Personuppgiftsbiträdesavtal (”Avtalet”). Avtalet består, utöver denna handling, av bifogade Allmänna Villkor Personuppgiftsbiträdesavtal 2018 Swedish Software samt övriga nedanstående bilagor.

Bilagor

1. Instruktion för behandling av personuppgifter

2. Personuppgiftsbiträdets tillstånd

3. Allmänna villkor SweS Personuppgiftsbiträdesavtal 2018

Övrigt

För det fall Avtalet innehåller sinsemellan motstridiga villkor ska avtalsdokumenten äga tolkningsföreträde i följande ordning: (1) Detta Personuppgiftsbiträdesavtal; och (2) övriga bilagor i den inbördes nummerordning som angivits ovan.

Avtalet ska träda i kraft när det har undertecknats av båda parter.


Underskrift

Detta Personuppgiftsbiträdesavtal har upprättats i två (2) original, av vilka vardera parten har tagit var sitt.


Ort och datum

Ort och datum

MALMÖ 2018-05-21

Personuppgiftsansvariges underskrift

Personuppgiftsbiträdets underskrift

Namnförtydligande, personuppgiftsansvarig

Namnförtydligande

Xxxxx Xxxxxxxx

Epostadress, personuppgiftsansvarig

Epostadress

xxxxx.xxxxxxxx@xxxxx.xx


– 2 –


Bilaga 1 – Instruktioner för behandling av personuppgifter


Instruktion för behandling av personuppgifter

Den personuppgiftsansvarige är ansvarig för att den behandling av personuppgifter som denne uppdrar åt personuppgiftsbiträdet att svara för är lagligt grundad och nödvändig för det ändamål som ligger till grund för behandlingen och svarar för att i instruktionen angivna uppgifter är korrekta. SWINX AB:s övriga personuppgiftspolicy finns på xxx.xxxxx.xx/xxxxxxxxxxxxxxxxxxxx


Kategori av personuppgift

Personuppgiften behandlas för följande ändamål

Behandling sker på följande sätt

Behandlingen kommer att ske under följande tidsperiod, alternativt, tidsperioden bestäms enligt följande principer

Laglig grund

Molntjänst SWINX OnLine (SOL)

Företagsnamn, Personnamn, e-post, leverantörsfakturor

I molntjänsten SOL lagrar vi uppgifterna för att SOL ska fungera och ge möjlighet till inloggning i systemet.

1. Registrering

2. Hantering

3. Inloggning

4. I SWINX OnLine

Tillsvidare så länge kunden är kund.

Rensning i SWINX OnLine följer vår personuppgiftspolicy. I övrigt sker rensning senast efter 3 år vid avslutat och uppsagt avtal.

Uppgifterna krävs för att molntjänsten SWINX OnLine ska fungera och ge möjlighet till inloggning i tjänsten enl. avtal.

Teknisk support och demonstration via internet (uppkopplat)

Namn, e-post, telefonnummer

Möjliggöra för vår teknik / konsulter att koppla upp sig mot server/dator för att åtgärda fel, demonstrera funktioner och hjälpa kunden med supportärenden

1. Insamling

2. Hantering

3. Inloggning

4. Åtgärd / demo

5. Logga ut

Tillsvidare för kund som önskar hjälp av SWINX AB:s tekniker / konsulter. Fram till att tjänsten avslutas på begäran från SWINX AB eller kund. Engångs-inloggning avslutas direkt efter uppkoppling.

För att SWINX ska kunna åtgärda tekniska problem som uppstår på kunds dator / server. Alternativt visa funktioner i utbildningssyfte m.m.

Tolkning av leverantörsfakturor

Inkl. återskick av felaktigt material

Lagring och backup av fakturabild för kunder med tolkningstjänst i vår serverhall.

1. Mottagning av faktura från operatör

2. Lagring / Backup

3. Återskick

Lagrad fakturabild raderas efter leverans till kund. Backup lagras i 3 år.

Leverantörsfakturan mellanlagras på vår server. Operatören levererar faktura, säkerhetskopia sparas och kund hämtar faktura. Vi kan återskapa fakturan på kunds begäran.


– 1 –


SWINX AB Xxxxxxxxxx 0 e 212 35 MALMÖ Tel 000-000 00 00 Org nr 556292-1394 xxx.xxxxx.xx


Personuppgiftsbiträdets tillstånd

Den personuppgiftsansvarige ger härmed personuppgiftsbiträdet tillstånd att anlita de leverantörer som personuppgiftsbiträde för att behandla personuppgifter för den personuppgiftsansvariges räkning under detta Avtal samt godkänner de tekniska och organisatoriska åtgärder som denne tillämpar för personuppgiftsbehandling och som anges i denna bilaga.


– 1 –


ALLMÄNNA VILLKOR PERSONUPPGIFTSBITRÄDESAVTAL2018

SWEDISH SOFTWARE

Allmänna Villkor för avtal om personuppgiftsbiträde framtagna av föreningen Swedish Software (SweS)


1. Bakgrund och syfte

1.1. Mellan parterna har ingåtts avtal om tillhandahållande av tjänster (”Tjänsteavtalet”). Som ett led i Tjänsteavtalet kommer personuppgiftsbiträdet att självt och/eller genom annat anlitat personuppgiftsbiträde, behandla personuppgifter för den personuppgiftsansvariges räkning.

1.2. Syftet med detta Avtal är att tillse att personuppgifter behandlas i enlighet med den personuppgiftsansvariges instruktioner och tillämpliga lagar och förordningar.

1.3. I händelse av motstridig lydelse mellan bestämmelserna i detta Avtal och Tjänsteavtalet, ska bestämmelserna i detta Avtal äga företräde om inte parterna uttryckligen angett annat.


2. Definitioner

2.1. ”Allmänna Villkor” avser dessa Allmänna villkor Personuppgiftsbiträdesavtal2018 för avtal om personuppgiftsbiträde.

2.2. ”Avtalet” avser avtalsdokumentet Personuppgiftsbiträdesavtal2018, dessa Allmänna Villkor samt övriga till Avtalet hörande bilagor.

2.3. Med ”behandling” avses varje åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättning av personuppgifter, oberoende av om de utförs automatiserat eller ej, så som insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

2.4. Med ”personuppgifter” avses varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

2.5. Med ”personuppgiftsincident” avses säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

2.6. Med ”register” avses en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.

2.7. Med ”registrerad” avses en identifierad eller identifierbar fysisk person.

2.8. Med ”känsliga personuppgifter” avses personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa samt uppgifter om en fysisk persons sexualliv eller sexuella läggning.

2.9. ”Systemadministratör” avser den person hos den Personuppgiftsansvarige som genomför registrering av fysisk eller juridisk person hos Personuppgiftsbiträdet i samband med Tjänsteavtalets ingående och uppstart av tjänsterna.

2.10. Ovan definierade begrepp samt övriga begrepp och termer som används i detta Avtal skall ha den betydelse som motsvarande begrepp och termer har enligt Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 (”Dataskyddsförordningen”).


3. Personuppgiftsbiträdets skyldigheter

3.1. Behandling av personuppgifter

3.1.1. Personuppgiftsbiträdet skall för den personuppgiftsansvariges räkning behandla personuppgifter av den art, på de sätt, för de ändamål, med den varaktighet och typ av personuppgifter samt avseende de kategorier av registrerade som anges i detta Avtal.

3.1.2. Personuppgiftsbiträdet får endast behandla personuppgifter i enlighet med dokumenterade instruktioner från den personuppgiftsansvarige såvida inte skyldighet följer av tillämplig dataskyddslagstiftning. Föreligger sådan skyldighet för personuppgiftsbiträdet ska denne innan personuppgifterna behandlas informera den personuppgiftsansvarige om detta


– 1 –


rättsliga krav, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt sådan dataskyddslagstiftning.

3.1.3. Den Personuppgiftsansvarige bekräftar att Personuppgiftsbiträdets skyldigheter enligt detta Biträdesavtal, inklusive Bilaga 1, utgör de fullständiga instruktioner som ska följas av Personuppgiftsbiträdet. Alla ändringar i den Personuppgiftsansvariges instruktioner ska dokumenteras skriftligt och undertecknas av båda Parter. Den Personuppgiftsansvarige är skyldigt att inte, utan sådan skriftlig överenskommelse, låta Personuppgiftsbiträdet behandla andra kategorier av personuppgifter, eller behandla personuppgifter om andra kategorier av registrerade, än vad som anges i Bilaga 1.

3.1.4. Om personuppgiftsbiträdet anser att en instruktion från den personuppgiftsansvarige strider mot Dataskyddsförordningen eller annan tillämplig dataskyddslagstiftning, ska personuppgiftsbiträdet omedelbart informera den personuppgiftsansvarige härom.

3.1.5. Om personuppgiftsbiträdet saknar instruktioner som denne bedömer är nödvändiga för att genomföra behandlingen av personuppgifter, ska personuppgiftsbiträdet utan dröjsmål informera den personuppgiftsansvarige om detta och invänta de instruktioner som den personuppgiftsansvarige bedömer erfordras och meddelar personuppgiftsbiträdet.

3.1.6. Den Personuppgiftsansvarige bekräftar att en Systemadministratör har rätt att, för den Personuppgiftsansvariges räkning, lämna sådana instruktioner till Personuppgiftsbiträdet avseende Personuppgiftsbiträdets personuppgiftbehandlingar som är nödvändiga för att Systemadministratören och Personuppgiftsbiträdet ska kunna fullgöra sina respektive förpliktelser mot den Personuppgiftsansvarige.

3.1.7. Om den Personuppgiftsansvarige till följd av avtal med en tredje part om att en sådan part ska tillhandahålla tjänster till den Personuppgiftsansvarige som ska integreras med Tjänsterna, aktiverar och godkänner sådan integration bekräftar härmed parterna att Personuppgiftsbiträdet är skyldigt, samt berättigat, att till sådan tredje part lämna ut och motta de personuppgifter som är nödvändiga för Personuppgiftsbiträdet att lämna ut respektive motta, för att sådan tredje part och Personuppgiftsbiträdet, ska kunna fullgöra sina respektive förpliktelser mot den Personuppgiftsansvarige.

3.2. Datasäkerhet och sekretess

3.2.1. Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder så att behandling av personuppgifter uppfyller kraven i Dataskyddsförordningen och Avtalet, samt i övrigt säkerställa att registrerades rättigheter skyddas.

3.2.2. Personuppgiftsbiträdet skall följa de säkerhetsåtgärder som anges i Bilaga 2 och/eller Bilaga 3. Personuppgiftsbiträdet får ändra dessa säkerhetsåtgärder utan föregående medgivande från den personuppgiftsansvarige under förutsättning att ändringen inte står i strid mot Dataskyddsförordningen. Personuppgiftsbiträdet ska säkerställa att personer med behörighet att behandla personuppgifter har åtagit sig att iaktta konfidentialitet eller omfattas av lagstadgad tystnadsplikt samt endast behandlar dessa i enlighet med dokumenterade instruktioner från den personuppgiftsansvarige, såvida personerna ifråga inte är skyldiga att göra det enligt tillämplig dataskyddslagstiftning.

3.3. Anlitande av underbiträden

3.3.1. Den personuppgiftsansvarige lämnar härmed personuppgiftsbiträdet tillstånd att anlita annat personuppgiftsbiträde för behandling av personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsbiträdet ska informera den personuppgiftsansvarige om eventuella planer på att anlita nya personuppgiftsbiträden eller ersätta personuppgiftsbiträden, så att den personuppgiftsansvarige har möjlighet att göra invändningar mot sådan förändring. Sådan invändning ska ske skriftligen utan oskäligt dröjsmål från det att den personuppgiftsansvarige fått informationen.

3.3.2. Om personuppgiftsbiträdet anlitar annat personuppgiftsbiträde för behandling av personuppgifter för den personuppgiftsansvariges räkning ska personuppgiftsbiträdet genom avtal ålägga det andra personuppgiftsbiträdet samma skyldigheter ifråga om dataskydd som gäller för personuppgiftsbiträdet enligt detta Avtal samt ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i Dataskyddsförordningen.

3.4. Information till den personuppgiftsansvarige

3.4.1. Personuppgiftsbiträdet ska, med hänsyn till behandlingens art, hjälpa den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att den personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med Dataskyddsförordningen.

3.4.2. Personuppgiftsbiträdet ska med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå, bistå den personuppgiftsansvarige med nödvändig information för att den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter att genomföra konsekvensbedömning och förhandssamråd med tillsynsmyndigheten avseende behandling av personuppgifter under detta Avtal.

3.4.3. Personuppgiftsbiträdet skall ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som anges i detta Avtal har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den personuppgiftsansvarige eller av denne utsedd tredje part.

3.5. Personuppgiftsincident

3.5.1. Om en personuppgiftsincident inträffar skall personuppgiftsbiträdet utan dröjsmål underrätta den personuppgiftsansvarige härom efter det att incidenten kom till personuppgiftsbiträdets kännedom.


– 2 –


3.5.2. Personuppgiftsbiträdet skall omgående efter att en personuppgiftsincident har inträffat utreda incidentens omfattning, art och sannolika konsekvenser, vidta lämpliga avhjälpande åtgärder för att förhindra eller begränsa incidentens negativa effekter samt på begäran samråda med den personuppgiftsansvarige för att avgöra om denne är skyldig att anmäla incidenten till berörd tillsynsmyndighet. Snarast efter avslutad undersökning ska personuppgiftsbiträdet tillhandahålla följande information avseende personuppgiftsincidenten:

a) Beskrivning av personuppgiftsincidentens art, inklusive där så är möjligt kategorier av och det ungefärliga antalet registrerade som berörs, samt de kategorier av och det ungefärliga antalet personuppgiftposter som berörs,

b) De sannolika konsekvenserna av personuppgiftsincidenten, och

c) De åtgärder som personuppgiftsbiträdet vidtagit eller avser vidta för att åtgärda personuppgiftsincidenten och för att begränsa personuppgiftsincidentens eventuella negativa effekter.

3.5.3. Personuppgiftsbiträdet skall på begäran tillhandahålla den personuppgiftsansvarige samlad dokumentation av alla personuppgiftsincidenter, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits.

3.6. Återlämnande av personuppgifter

3.6.1. Vid Avtalets upphörande ska i enlighet med den personuppgiftsansvariges instruktion personuppgiftsbiträdet återlämna alla personuppgifter till personuppgiftsansvarig alternativt radera personuppgifterna. Har sådan instruktion inte lämnats senast 30 dagar efter Xxxxxxxx upphörande äger personuppgiftsbiträdet rätt att radera samtliga personuppgifter, såvida inte lagring av personuppgifterna krävs enligt tillämplig dataskyddslagstiftning.

3.7. Register

3.7.1. Personuppgiftsbiträdet ska föra ett register i elektronisk form över all behandling av personuppgifter som utförts för den personuppgiftsansvariges räkning. Registret ska innehålla följande uppgifter:

a) Namn och kontaktuppgifter för personuppgiftsbiträdet eller personuppgiftsbiträdena och för varje personuppgiftsansvarig för vars räkning personuppgiftsbiträdet agerar, och, i tillämpliga fall, för den personuppgiftsansvariges eller personuppgiftsbiträdets företrädare samt dataskyddsombud,

b) Ändamålen med behandlingen,

c) Kategorierna av registrerade och av kategorierna av personuppgifter samt de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter,

d) I tillämpliga fall, överföringar till tredjeland eller en internationell organisation, med angivande av sådant tredjeland eller internationell organisationen och, vid sådana överföringar som avses i artikel 49 andra stycket Dataskyddsförordningen, dokumentation av lämpliga skyddsåtgärder.

e) En allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1 Dataskyddsförordningen.

3.7.2. På begäran av behörig tillsynsmyndighet ska personuppgiftsbiträdet och av denne anlitat personuppgiftsbiträde göra registret tillgängligt för denna.

3.7.3. Om en registrerad begär ett registerutdrag avseende behandlingen av dennes personuppgifter, ska personuppgiftsbiträdet på begäran av den registrerade eller den personuppgiftsansvarige tillhandahålla registerutdrag avseende sådan behandling.


4. Vid begäran om information

4.1. För det fall att registrerad eller annan tredje part, tillsynsmyndighet, domstol eller annan myndighet begär information från personuppgiftsbiträdet som rör behandling av personuppgifter eller innehållet i sådana uppgifter, ska personuppgiftsbiträdet hänvisa till den personuppgiftsansvarige, om inte annat följer av personuppgiftsbiträdets skyldigheter enligt detta Avtal eller tillämplig dataskyddslagstiftning.

4.2. Personuppgiftsbiträdet ska utan dröjsmål informera den personuppgiftsansvarige om begäran av information eller andra kontakter enligt punkt 5.1 ovan, som rör eller kan vara av betydelse för behandlingen av personuppgifterna.


5. Granskning, inspektion och revision

5.1. För att den personuppgiftsansvarige ska kunna kontrollera att behandlingen av personuppgifter uppfyller kraven enligt detta Avtal och Dataskyddsförordningen, ska personuppgiftsbiträdet även möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den personuppgiftsansvarige eller av revisor eller annan personal som bemyndigats av den personuppgiftsansvarige.

5.2. Personuppgiftbiträdet ska medge den personuppgiftsansvarige att själv eller genom anlitande av annan genomföra revision avseende personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. Revision ska bland annat kunna ske avseende behörighetsadministration, säkerhetsrutin, loggar, logguppföljning och spårbarhet för behandlingen av personuppgifter som personuppgiftsbiträdet ska ha detta Avtal och

– 3 –


Dataskyddsförordningen. Personuppgiftsbiträdet ska lämna den personuppgiftsansvarige det tillträde och assistans som är nödvändigt för genomförandet av sådan revision.

5.3. Personuppgiftsbiträdet ska medge den personuppgiftsansvarige rätt att i förekommande fall på lämpligt sätt och i skälig omfattning utreda obehörig åtkomst till personuppgifterna.


6. Form av överföring av personuppgifter

6.1. Överföring av personuppgifter mellan parterna ska ske på mellan parterna överenskommet medium.

6.2. Om en registrerad lämnat begäran om åtgärder i elektronisk form, ska personuppgiftsombudet om möjligt tillhandahålla informationen i elektronisk form.


7. Rättigheter och behörigheter

7.1. Personuppgiftsbiträdet ansvarar fullt ut för att denne har samtliga rättigheter som krävs för dennes ingående och fullgörande av personuppgiftsbiträdesavtalet. Således ska personuppgiftsbiträdet bland annat tillse att denne innehar samtliga sådana rättigheter som krävs för dennes fullgörande av sina åtaganden och tillse att dennes fullgörande av åtagandena inte utgör intrång i tredje mans rätt.

7.2. Personuppgiftsbiträdet har inte rätt att företräda den personuppgiftsansvarige eller på annat sätt agera för dennes räkning utan att särskild överenskommelse härom har träffats med denne.

7.3. Personuppgiftsbiträdet erhåller inga rättigheter till de personuppgifter som behandlas enligt detta personuppgiftsbiträdesavtal eller till resultatet av sådan behandling.


8. Behandling av personuppgifter i annat land

8.1. Personuppgiftsbiträdet eller av denne anlitat personuppgiftsbiträde får endast överföra personuppgifter till ett tredje land om villkoren i Kapitel V Dataskyddsförordningen är uppfyllda. Personuppgiftsbiträdet skall på den personuppgiftsansvariges begäran tillhandahålla en skriftlig beskrivning av hur nämnda villkor uppfylls.


9. Den personuppgiftsansvariges skyldigheter

9.1. Den personuppgiftsansvarige ansvarar för att den behandling av personuppgifter som denne uppdrar åt personuppgiftsbiträdet att svara för är lagligt grundad och nödvändig för det eller de ändamål som ligger till grund för behandlingen och i övrigt är tillåten enligt Dataskyddsförordningen och annan tillämplig dataskyddslagstiftning.

9.2. Den personuppgiftsansvarige ansvarar fullt ut för att denne har samtliga rättigheter som krävs för dennes ingående och fullgörande av personuppgiftsbiträdesavtalet. Således ska den personuppgiftsansvarige bland annat tillse att denne innehar samtliga sådana tillstånd och samtycken samt uppfyller alla andra krav som gäller för dennes rättsenliga fullgörande av detta Avtal samt att fullgörandet härav inte utgör intrång i tredje mans rätt.

9.3. Den personuppgiftsansvarige ska tillhandahålla personuppgiftsbiträdet sådana instruktioner avseende personuppgifter som är erforderliga för att personuppgiftsbiträdet ska kunna uppfylla sina skyldigheter enligt detta Avtal samt Dataskyddsförordningen.

9.4. Den personuppgiftsansvarige ska informera personuppgiftsbiträdet om arten av de personuppgifter som denne ska behandla för den personuppgiftsansvariges räkning och särskilt om personuppgifterna kan anses utgöra känsliga personuppgifter. I sådant fall är den personuppgiftsansvarige skyldig att identifiera de säkerhetsåtgärder som kan komma att krävas vid behandling av sådana personuppgifter samt att inte låta personuppgiftsbiträdet behandla uppgifterna innan sådana säkerhetsåtgärder vidtagits.

9.5. Den personuppgiftsansvarige ska utan dröjsmål informera personuppgiftsbiträdet om sådana förhållanden som den personuppgiftsansvarige får kännedom om och som rimligen kan antas ha betydelse för personuppgiftsbiträdets uppfyllande av sina skyldigheter enligt detta Avtal.

9.6. Den personuppgiftsansvarige äger inte rätt att företräda personuppgiftsbiträdet eller på annat sätt agera för dennes räkning utan föregående särskild överenskommelse med denne.


10. Ansvar vid behandling av personuppgifter

10.1. Personuppgiftsbiträdet ska hålla den personuppgiftsansvarige skadelös för ersättningskrav, sanktionsavgift eller andra anspråk riktade mot den personuppgiftsansvarige på grund av brott mot detta Avtal eller mot Dataskyddsförordningen med den begränsning för ansvar som följer av Tjänsteavtalet.

10.2. Personuppgiftsbiträdet svarar dock aldrig för skada som den personuppgiftsansvarige drabbas av som är hänförlig till att personuppgiftsbiträdet agerat i enlighet med instruktioner meddelade av den personuppgiftsansvarige. Den personuppgiftsansvarige ska hålla personuppgiftsbiträdet skadelös för ersättningskrav, sanktionsavgift eller andra anspråk riktade mot personuppgiftsbiträdet på grund av agerande i enlighet med sådana meddelade instruktioner.


– 4 –


10.3. Innan part inleder förhandling, ingår förlikning eller träffar annat avtal med registrerad, myndighet eller annan tredje part med anledning av i denna punkt 11 ovan angivna anspråk ska parten informera den andre parten härom och ge denne möjlighet att biträda parten eller på annat lämpligt sätt tillvarata sina intressen.


11. Ersättning

11.1. Personuppgiftsbiträdet skall ha rätt till full ersättning för arbete, åtgärder samt utlägg och andra kostnader som följer av personuppgiftsbiträdets åligganden enligt Avtalet. Om ej annat avtalats skall ersättning utgå enligt den personuppgiftsansvariges vid var tid gällande prislista och, såvitt avser utlägg och andra kostnader, motsvarande den personuppgiftsansvariges faktiska kostnader.


12. Avtalstid

12.1. Detta Avtal gäller träder ikraft när det undertecknats av båda parter och gäller därefter tills dess Tjänsteavtalet upphör att gälla.


13. Tvister

13.1. Tvist rörande tolkning och eller tillämpning av detta Avtal ska avgöras enligt svensk lag med undantag för internationella privaträttsliga regler.

13.2. Tvist ska avgöras av allmän domstol där personuppgiftsbiträdet har sitt säte.

13.3. Uppstår meningsskiljaktighet mellan parterna angående fråga rörande detta Avtal kan part hänskjuta frågan till avgörande av föreningen Swedish Software särskilt utsedd nämnd för medling. Om fråga har hänskjutits till nämnden av någon av parterna, är parterna förhindrade att under en tid av två (2) månader från hänskjutandet pröva fråga i annan ordning. Kostnaderna för medling ska delas lika mellan parterna.


– 5 –

Document Metadata

Filed: May 30th, 2018