PERSONUPPGIFTSBITRÄDESAVTAL v1.1 2019-09-19

PERSONUPPGIFTSBITRÄDESAVTAL v1.1 2019-09-19

1. PARTER

Detta avtal utgör personuppgiftsbiträdesavtal (”Avtalet”) mellan Memlin AB med organisationsnummer 559079-6727 (”Memlin” eller “Personuppgiftsbiträdet”) och Xxxxxx (”Personuppgiftsansvarig”) (gemensamt benämnda ”Part” eller ”Parterna”) och reglerar behandling av Kundens personuppgifter.

2. BAKGRUND

2.1. Parterna har träffat ett avtal (”Tjänsteavtalet”) där Personuppgiftsbiträdet på uppdrag av Personuppgiftsansvarig ska erhålla en teknisk tjänst för att hantera arrangemang, samt kringtjänster till detta. Med anledning av Tjänsteavtalet kommer Personuppgiftsbiträdet behandla personuppgifter för Personuppgiftsansvarigs räkning.

2.2. Enligt Tillämplig dataskyddslag, se punkt 3.1 nedan, ska behandling av personuppgifter utförd av ett personuppgiftsbiträde för en personuppgiftsansvarigs räkning regleras i avtal. Med anledning därav har Parterna ingått Avtalet.

2.3. Syftet med Avtalet är att tillse att Personuppgiftsbiträdets behandling av personuppgifter för Personuppgiftsansvarigs räkning sker i enlighet med Tillämplig dataskyddslag, myndighetsbeslut och Personuppgiftsansvarigs instruktioner.

2.4. Avtalet utgör bilaga till Tjänsteavtalet. Vid händelse av motstridiga bestämmelser ska Avtalet ges företräde.

3. DEFINITIONER

3.1. ”Tillämplig dataskyddslag” avser Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) med tillhörande genomförandeförfattningar samt all annan eventuell lagstiftning (inklusive förordningar och föreskrifter) som är tillämplig på den personuppgiftsbehandling som sker under Avtalet, såsom denna kan komma att förändras över tid. Xxxxxxx och uttryck som rör personuppgifter och personuppgiftsbehandling och som inleds med gemen, t.ex. ”personuppgiftsansvarig”, ”personuppgift”, ”behandling”, ”personuppgiftsbiträde”, ”tredjeland” etc., ska ges den betydelse som anges i Tillämplig dataskyddslag.

4. ANSVAR OCH INSTRUKTION

4.1. Personuppgiftsbiträdet ska utföra all behandling av personuppgifter i enlighet med Avtalet och Tillämplig dataskyddslag.

4.2. Personuppgiftsbiträdet får endast behandla personuppgifter i enlighet med Personuppgiftsansvarigs dokumenterade instruktioner och övriga anvisningar avseende ändamålet, omfattningen, arten och varaktigheten av behandling av personuppgifter samt kategorier av registrerade i den utsträckning

som är nödvändig för att Personuppgiftsbiträdet ska kunna uppfylla sina skyldigheter enligt Xxxxxxx och Tillämplig dataskyddslag.

4.3. Personuppgiftsbiträdet har inte rätt att behandla personuppgifter för något annat ändamål än vad som framgår av Xxxxxxx, med mindre än att Personuppgiftsansvarig skriftligen godkänt det i varje enskilt fall.

4.4. Har Personuppgiftsbiträdet otillräckliga eller felaktiga instruktioner ska denne utan dröjsmål påtala detta för Personuppgiftsansvarig, och därefter invänta vidare instruktioner från Personuppgiftsansvarig.

5. SÄKERHET OCH SEKRETESS

5.1. Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandlingen medför, i synnerhet till oavsiktlig eller olaglig förstöring, förlust eller ändring eller från obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlas. Om personuppgifterna som behandlas utgör känsliga personuppgifter ska Personuppgiftsbiträdet vidta eventuella ytterligare sådana åtgärder som är lämpliga för skydd av dessa.

5.2. Personuppgiftsbiträdet ska dokumentera de rutiner och åtgärder som vidtagits för att uppfylla de skyldigheter som anges i punkt 5.1 ovan och ska på Kundens begäran tillhandahålla en kopia av sådan dokumentation.Därutöver ansvarar Personuppgiftsbiträdet för att följa myndighetsbeslut om säkerhetsåtgärder för behandlingen av personuppgifter.

5.3. Personuppgiftsbiträdet ska behandla personuppgifterna med sekretess. Personuppgiftsbiträdet är ansvarigt för att personer hos Personuppgiftsbiträdet med behörighet att behandla personuppgifterna ska ingå särskild sekretessförbindelse eller upplysas om att tystnadsplikt föreligger enligt lag eller avtal. Personuppgiftsbiträdets sekretessåtagande gäller även efter att Avtalet upphört att gälla.

6. UNDERBITRÄDEN

6.1. Personuppgiftsbiträdet har rätt att anlita ett annat personuppgiftsbiträde (”Underbiträde”) för fullgörandet av sina åtaganden enligt Avtalet under förutsättning att (i) Personuppgiftsbiträdet upprätthåller en aktuell lista över anlitade Underbiträden på xxxxx://xxx.xxxxxx.xxx/xxxxxxxxxxxx. Vid förändring av denna lista måste Personuppgiftsbiträdet underrätta Personuppgiftsansvarig, varpå Personuppgiftsansvarig har tio (10) dagar att göra invändningar mot en sådan förändring.

6.2. Om Personuppgiftsansvarig nyttjar sin rätt att invända mot Personuppgiftsbiträdets anlitande av Underbiträde har Personuppgiftsbiträdet rätt att säga upp Tjänsteavtalet med tre (3) månaders uppsägningstid utan rätt för Personuppgiftsansvarig att begära ersättning för eventuell skada som har uppkommit i samband med en förtida uppsägning.

6.3. Personuppgiftsbiträdet ska säkerställa att Personuppgiftsansvarig har kännedom om vilka Underbiträden som behandlar personuppgifter genom att utan dröjsmål, på begäran av Personuppgiftsansvarig, tillhandahålla Personuppgiftsansvarig fullständig, korrekt och uppdaterad information om samtliga Underbiträden, där följande information specificeras för varje enskilt Underbiträde: (i) definition av Underbiträdet, inklusive dess kontaktinformation, bolagsform och geografisk placering, (ii) vilken typ av tjänst som Underbiträdet utför, (iii) garantier som uppställs för att

kraven i Tillämplig dataskyddslag kommer att följas, samt (iv) var Underbiträdet behandlar personuppgifter som omfattas av Avtalet.

6.4. Om Underbiträdet inte fullgör sina skyldigheter ska Personuppgiftsbiträdet vara fullt ansvarigt gentemot Personuppgiftsansvarig för utförandet av Underbiträdets skyldigheter.

7. ÖVERFÖRING TILL TREDJELAND

7.1. Personuppgiftsbiträdet får överföra personuppgifter till tredjeland om sådan överföring sker i överenstämmelse med Tillämplig dataskyddslag.

7.2. Om överföring till tredjeland kräver att särskilt avtal ingås ska Personuppgiftsbiträdet, oavsett om det är Personuppgiftsbiträdet eller ett Underbiträde som ska ingå avtalet, presentera sådant avtal för Personuppgiftsansvarig på Personuppgiftsansvarigs begäran.

7.3. Personuppgiftsbiträdet skall i samband med överföring till tredje land säkerställa att laglig grund för överföring (överföringsmekanism) finns på plats.

8. SAMVERKAN

8.1. Personuppgiftsbiträdet ska genom lämpliga tekniska och organisatoriska åtgärder assistera Personuppgiftsansvarig vid en begäran från en registrerad, om utlämning, rättelse, radering, blockering eller överföring av personuppgifter som behandlas av Personuppgiftsbiträdet på uppdrag av Personuppgiftsansvarig, inklusive tillhandahålla all relevant information och dokumentation, i den mån och utsträckning detta krävs under Tillämplig dataskyddslag.

8.2. Personuppgiftsbiträdet ska omedelbart informera Personuppgiftsansvarig, i relation till personuppgifterna som behandlas på uppdrag av Personuppgiftsansvarig, om en misstanke om eller konstaterad personuppgiftsincident och assistera Personuppgiftsansvarig i framtagandet av information till registrerade och anmälan till behörig tillsynsmyndighet, i den mån och utsträckning detta krävs under Tillämplig dataskyddslag. Informationen som ska lämnas till Personuppgiftsansvarig ska åtminstone:

a) beskriva personuppgiftsincidentens art, inbegripet, när så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet poster av personuppgifter som berörs,

b) förmedla namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas,

c) beskriva de sannolika konsekvenserna av personuppgiftsincidenten, samt

d) beskriva de åtgärder som Personuppgiftsbiträdet har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten inbegripet när så är lämpligt åtgärder för att mildra dess potentiella negativa effekter.

8.3. Personuppgiftsbiträdet ska assistera Personuppgiftsansvarig, i relation till personuppgifterna som behandlas på uppdrag av Personuppgiftsansvarig, med genomförande av konsekvensbedömningar

avseende dataskydd, förhandssamråd med behörig tillsynsmyndighet, samt utformning av lämpliga tekniska och organisatoriska åtgärder, i den mån detta krävs under Tillämplig dataskyddslag.

9. UTLÄMNANDE AV UPPGIFTER

9.1. Personuppgiftsbiträdet har inte rätt att, utan skriftligt godkännande från Personuppgiftsansvarig, lämna ut personuppgifter eller annan information om behandlingen av personuppgifter till tredje man, annat än då sådant utlämnande krävs enligt lag.

9.2. Om begäran om sådant utlämnande framställs av myndighet, en registrerad eller annan tredje part, ska Personuppgiftsbiträdet utan dröjsmål vidarebefordra sådan framställan till Personuppgiftsansvarig.

9.3. Om Personuppgiftsansvarig skriftligen godkänt visst utelämnande, ska Personuppgiftsbiträdet utföra utlämnandet enligt instruktion från Personuppgiftsansvarig samt begärda åtgärder i anslutning till utlämnandet.

10. INSYN OCH UPPFÖLJNING

10.1. Personuppgiftsansvarig äger rätt att själv eller genom tredje man, genomföra revision gentemot Personuppgiftsbiträdet eller på annat sätt kontrollera Personuppgiftsbiträdets efterlevnad av de åtaganden som beskrivits i Avtalet. Vid sådan uppföljning har Personuppgiftsansvarig rätt att begära ut dokumentation över Personuppgiftsbiträdets vidtagna åtgärder i syfte att uppnå efterlevnad av de åtaganden som beskrivits i Xxxxxxx.

10.2. Personuppgiftsbiträdet ska på begäran av Personuppgiftsansvarig tillhandahålla all tillgänglig information avseende behandlingen av personuppgifter för att Personuppgiftsansvarig ska kunna uppfylla sina skyldigheter som personuppgiftsansvarig enligt Tillämplig dataskyddslag.

10.3. Personuppgiftsbiträdet ska tillåta de inspektioner som behörig tillsynsmyndighet under Tillämplig dataskyddslag kan kräva för säkerställandet av en korrekt behandling av personuppgifter. Personuppgiftsbiträdet ska följa av behörig tillsynsmyndighets fattade beslut om åtgärder för att uppfylla kraven i Tillämplig dataskyddslag.

11. UPPHÖRANDE AV PERSONUPPGIFTSBEHANDLING

11.1. Vid Avtalets upphörande ska all information, personuppgifter och andra data tillhörande Personuppgiftsansvarig, av Personuppgiftsbiträdet raderas eller återlämnas enligt Personuppgiftsansvarigs närmare instruktioner, om inte vidare lagring krävs av lag.

11.2. Personuppgiftsbiträdet ska verka för att störningar i Personuppgiftsansvarigs verksamhet minimeras, vilket inkluderar skyldighet att bistå vid eventuell överflyttning till annat personuppgiftsbiträde.

12. ERSÄTTNING

12.1. I den mån viss behandling av personuppgifter inte ingår i tillhandahållandet av tjänsterna enligt Tjänsteavtalet har Personuppgiftsbiträdet rätt till ersättning för sådan behandling av personuppgifter och därtill hörande åtgärder.

13. ANSVAR FÖR SKADA

13.1. Personuppgiftsbiträdet ska hålla Personuppgiftsansvarig skadelös avseende sådan skada som uppkommit till följd av behandling av personuppgifter i strid med Avtalet, instruktioner från Personuppgiftsansvarig, myndighetsbeslut eller Tillämplig dataskyddslag

13.2. Personuppgiftsbiträdet ska utan oskäligt dröjsmål informera Personuppgiftsansvarig om sådan skadeståndsprocess inleds som har anknytning till behandling av personuppgifter enligt Avtalet. Personuppgiftsbiträdet är skyldig att vidta skäliga åtgärder för att begränsa skadeverkningarna av det inträffade.

14. TILLÄMPLIG LAG OCH TVIST

14.1. Avtalet ska tolkas och tillämpas i enlighet med svensk rätt. Tvist med anledning av Xxxxxxx avgörs enligt vad som överenskommits i Tjänsteavtalet.