Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

Detta Personuppgiftsbiträdesavtal har idag ingåtts mellan:

Liber AB, org. nr. 556000-1975, ett företag med registrerad adress i
113 98 Stockholm (“Liber”); och

KUNDENS NAMN org. nr [LÄGG IN ORG. NR.] ett [FÖRETAG/EN KOMMUN]med registrerad adress i [LÄGG IN ADRESSEN] (”Kunden”)

Kundens kontaktperson för dataskyddsfrågor: LÄGG IN NAMN OCH EMAIL-ADRESS .

Xxxxxx och Liber benämns individuellt som ”Part” och gemensamt som ”Parterna”.

1.Allmänt

1. Detta personuppgiftsbiträdesavtal är en del av ett huvudavtal om tillhandahållande av produkter och tjänster som ingåtts mellan Kunden och Liber ("Avtalet").

2. Enligt detta Personuppgiftsbiträdesavtal kommer Liber att behandla personuppgifter på Kundens vägnar som personuppgiftsbiträde i samband med Libers tillhandahållande av tjänster enligt Xxxxxxx. Kunden är personuppgiftsansvarig för behandlingen av personuppgifter.

2.Definitioner

"Avtal”	Enligt definitionen i Avsnitt 1.1
”Personuppgiftsansvarig”	Enligt vad som anges i artikel 4 i GDPR.
”Kund”	Refererar till parten som definieras ovan och fungerar som personuppgiftsansvarig.
”Dataskyddslagstiftning”	Avser de lagar och förordningar som är tillämpliga från tid till annan när det gäller behandling av personuppgifter, inklusive men inte begränsat till Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän dataskyddsförordning) (“GDPR”) som ersätter personuppgiftslagen (1998:204) samt tillsynsmyndighetens bindande beslut, föreskrifter och rekommendationer och kompletterande lokala anpassningar och regler med avseende på dataskydd.
”Registrerad”	Enligt vad som anges i artikel 4 i GDPR.
”Personuppgifter”	Enligt vad som anges i artikel 4 i GDPR.
”Behandling”	Enligt vad som anges i artikel 4 i GDPR.
”Personuppgiftsbiträde”	Enligt vad som anges i artikel 4 i GDPR.
“Liber”	Refererar till parten som definieras ovan och fungerar som personuppgiftsbiträde.
”Tillsynsmyndighet”	Tillsynsmyndigheten/tillsynsmyndigheter som är auktoriserad/auktoriserade att utöva tillsyn över behandling av personuppgifter eller anses vara en tillsynsmyndighet som berörs av dataskyddslagarna.
”Underbiträde”	Enligt vad som anges i artikel 28(4) i GDPR.
“Villkor”	Enligt definitionen i avsnitt 11.1
"Tredje land”	Ett land utanför Europeiska ekonomiska samarbetsområdet.
”Personuppgiftsincident”	Enligt vad som anges i artikel 4 i GDPR.

1. Eventuella andra villkor eller begrepp som används i detta Personuppgiftsbiträdesavtal ska, om inte annat anges, ha den mening som föreskrivs i dataskyddslagarna och i övrigt enligt Xxxxxxx, såvida inte annat tydligt krävs av omständigheterna.

3.Ansvar och ändamål

1. Vilken typ/vilka typer av personuppgifter som ska behandlas enligt detta Personuppgiftsbiträdesavtal, syftet och varaktigheten av behandlingen och kategorierna av personuppgifter anges i Bilaga 1 (Anvisningar för behandling av personuppgifter).

2. Liber ska endast behandla den personuppgiftsansvariges uppgifter i enlighet med detta avtal och för de syften som framgår i bilaga 1. Ytterligare behandling kan också utföras under förutsättning att Unions- eller medlemsstatsrätt som Liber eller ett underbiträde omfattas av kräver sådan behandling. I sådant fall av ytterligare behandling ska Liber informera Xxxxxx om detta lagstadgade krav före behandlingen, såvida inte denna lag förbjuder sådan information av skäl som rör ett viktigt allmänt intresse.

3. Liber åtar sig att säkerställa att all personal som arbetar under Xxxxxx ledning och har tillgång till personuppgifter följer detta Personuppgiftsbiträdesavtal och endast behandlar personuppgifterna i enlighet med detta Personuppgiftsbiträdesavtal, om inte annat krävs av Unions- eller medlemsstatsrätt.

4.Behandling av personuppgifter

1. Liber åtar sig att vidta alla åtgärder som krävs enligt artikel 32 i GDPR i enlighet med den integritetspolicy som finns på webbsidan "Integritetspolicy" på xxx.xxxxx.xx.

2. Vid Personuppgiftsincident, vilken Liber fått vetskap om, ska Liber utan onödigt dröjsmål skriftligen underrätta Xxxxxx om händelsen. Liber ska, med beaktande av typen av behandling och den information som Liber har att tillgå, tillhandahålla Kunden en skriftlig beskrivning av Personuppgiftsincidenten.

Beskrivningen ska redogöra för:

1. Personuppgiftsincidentens art och, om möjligt, de kategorier och antalet Registrerade som berörs samt kategorier och antalet personuppgiftsposter som berörs,

2. de sannolika konsekvenserna av Personuppgiftsincidenten, och

3. åtgärder som har vidtagits eller föreslagits samt åtgärder för att mildra Personuppgiftincidentens potentiella negativa effekter.

Om det inte är möjligt för Personuppgiftsbiträdet att tillhandahålla hela beskrivningen samtidigt, enligt 3. ovan, får beskrivningen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.

3. Liber åtar sig att med hänsyn till behandlingens art och den information som är tillgänglig till Liber, bistå Xxxxxx med att säkerställa att skyldigheterna enligt artiklarna 32–36 i GDPR följs.

5.Sekretess

1. Liber förbinder sig att hålla personuppgifterna konfidentiella, med undantag för information som tillsynsmyndigheten tillhandahåller Liber för att offentliggöras eller som avslöjas med förbehåll för dataskyddsbestämmelserna eller annan juridisk bindande skyldighet, inklusive enligt bestämmelserna gällande offentlighetsprincipen.

2. Liber åtar sig att se till att personal som behandlar personuppgifter är bundna av sekretessförbindelse eller är föremål för lagstadgad sekretesskyldighet.

6.Begäran om information från den registrerade

I fall Liber mottar en begäran om information från en berörd person, tillsynsmyndighet eller annan tredje part angående behandling av personuppgifter, ska Liber utan otillbörligt dröjsmål vidarebefordra sådan begäran till Kunden. Liber, Libers personal eller underbiträde får inte avslöja personuppgifter eller annan information om behandling av personuppgifter utan instruktioner från Kunden, såvida inte sådan upplysning krävs enligt dataskyddslagarna.

7.Den registrerades rättigheter

Liber ska ta hänsyn till behandlingens karaktär enligt detta Personuppgiftsbiträdesavtal och bistå Kunden med lämpliga tekniska och organisatoriska åtgärder, i den utsträckning detta är möjligt, för att Kundens skyldighet att svara på begäran om den registrerades rättigheter enligt Kapitel III i GDPR.

8.Överföring av personuppgifter utanför Europeiska ekonomiska samarbetsområdet

Liber får endast överlåta personuppgifter till ett tredje land eller en internationell organisation efter Kundens skriftliga godkännande. Överföring av personuppgifter till ett tredje land eller en internationell organisation kan också ske under förutsättning att Unions- eller medlemsstatsrätt som Liber eller underbiträde omfattas av kräver sådan överföring. I sådant fall av lagstadgat krav på överföring till ett tredje land ska Liber informera Kunden om detta lagstadgade krav innan personuppgifter överförs till ett tredje land, såvida inte denna lag förbjuder sådan information för skäl som rör ett viktigt allmänt intresse.

9.Information och granskning

1. Liber ska tillhandahålla Kunden all information som är nödvändig för att visa att de skyldigheter som anges i artikel 28 i GDPR är uppfyllda och tillåta, och bidra till, revisioner, inklusive inspektioner, som utförs av en oberoende tredjepartsrevisor som uppdragits av Xxxxxx.

2. När det gäller avsnittet 9.1 ovan ska Liber omedelbart informera Xxxxxx om Libers uppfattning innebär att en instruktion strider mot GDPR eller andra bestämmelser om uppgiftsskydd av Unions- eller medlemsstatsrätt.

10.Underbiträden

1. Kunden beviljar Liber härmed ett generellt tillstånd att anlita underbiträden. Liber ska informera Xxxxxx då nya underbiträden anlitas och ger därmed Xxxxxx möjlighet att invända mot sådan ändring, om de villkor som anges i avsnitt 10.2 inte uppfylls.

2. Med förbehåll för Kundens tidigare specifika eller generella skriftliga tillstånd kan Liber anlita underbiträden, under förutsättning att samma dataskyddsåtgärder som anges i detta Personuppgiftsbiträdesavtal enligt artikel 28.3 i GDPR, gäller för sådana underbiträden genom ett skriftligt avtal. Liber ska endast anlita underbiträden som ger tillräckliga garantier att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att bearbetningen kommer att uppfylla kraven i dataskyddslagarna.

3. Underbiträdena som anges i Bilaga 2 är förhandsgodkända av Kunden att användas som underbiträden av Liber enligt detta Personuppgiftsbiträdesavtal.

11.Avtalstid och uppsägning

1. Detta Personuppgiftsbiträdesavtal träder i kraft samma dag som båda parter undertecknar och förblir i kraft så länge Liber behandlar personuppgifter på Kundens vägnar enligt Avtalet ("Villkor"). Kunden kan dock säga upp detta Personuppgiftsbiträdesavtal när som helst med verkan från och med datumet som Kunden valt, utan att det påverkar Avtalets löptid.

2. När Xxxxx inte längre tillhandahåller tjänster i enlighet med Avtalet ska Liber på Kundens skriftliga begäran, ta bort eller återlämna alla personuppgifter och ta bort befintliga kopior om inte Unions- eller medlemsstatsrätt kräver lagring av personuppgifterna. Om Xxxxxx inte ger Liber sådan skriftlig begäran, ska Liber permanent ta bort personuppgifter senast 180 dagar efter Avtalets avslut och se till att alla underbiträden gör detsamma.

12.Ersättning

Liber har rätt att fakturera Xxxxxx för arbeten som utförts av Liber eller underbiträden i enlighet med 4.3, 7 och 9.1.

13.Ansvar

1. Parterna ska vara ansvariga gentemot varandra för eventuella direkta skador, kostnader och förluster, inklusive administrativa sanktioner som uppkommit på grund av partens överträdelse av detta Personuppgiftsbiträdesavtal. Den part som bryter mot villkoren ska kompensera den andra parten för sådan skada, kostnad eller förlust.

2. Parterna är överens om att ersätta och hålla varandra fria från skadeståndsanspråk eller förlust som har drabbat en tredje part till följd av att endera parten brutit mot sina skyldigheter enligt detta Personuppgiftsbiträdesavtal.

3. Om en berörd person, dataskyddsmyndigheten eller annan tredje part lämnar ett krav mot Liber på grund av Libers behandling av personuppgifter, ska Kunden ersätta och hålla Liber fri från sådana krav, under förutsättning att Liber har behandlat sådana personuppgifter i överensstämmelse med Avtalet och detta Personuppgiftsbiträdesavtal.

14.Tillägg och ändringar

1. Om dataskyddslagarna, under avtalstiden, ändras eller nya riktlinjer, beslut eller förordningar publiceras av tillsynsmyndigheten som innebär att detta Personuppgiftsbiträdesavtal inte överensstämmer med sådan lag, riktlinjer, beslut eller förordningar, ska var och en av parterna ha rätt att begära lämpliga ändringar av detta Personuppgiftsbiträdesavtal för att uppfylla de nya kraven.

2. Kunden får lämna in nya eller ändrade skriftliga instruktioner angående Libers behandling av data. Om sådana instruktioner väsentligt hindrar Xxxxx från att tillhandahålla sina tjänster eller ökar Libers kostnader har Liber rätt att avbryta och begränsa alla behandlingar av personuppgifter och få alla underbiträden att göra detsamma, tills parterna har nått en ömsesidig överenskommelse om hur man ska gå vidare. Fram till dess att överenskommelse nås, har Xxxxxx en fortsatt skyldighet att betala alla avgifter enligt Xxxxxxx.

3. Ändringar av detta Personuppgiftsbiträdesavtal ska, för att vara giltiga göras skriftligen och undertecknas av båda parter. Signaturer kan göras elektroniskt och ska ha samma giltighet som originalsignaturer.

15.Övrigt

1. När det gäller behandling av personuppgifter ska reglerna i detta Personuppgiftsbiträdesavtal ha företräde framför motstridiga bestämmelser i något annat avtal mellan parterna.

2. För detta Personuppgiftsbiträdesavtal gäller svensk rätt.

3. Eventuell tvist, kontrovers eller krav som uppstår på grund av eller i samband med detta Personuppgiftsbiträdesavtal ska avgöras i enlighet med tvistebestämmelserna i Avtalet.

* * * *

Detta Personuppgiftsbiträdesavtal kan signeras elektroniskt eller i två exemplar vilka var och en ska anses vara ett original, men som tillsammans utgör ett kundavtal. Signaturer till detta Personuppgiftsbiträdesavtal som görs elektroniskt eller levereras elektroniskt ska ha samma giltighet som original.

Ort: Stockholm Datum:	Ort: Datum: Klicka eller tryck här för att ange text.
LIBER AB _________________________________ Xxxxxxx Xxxxxx	Xxxx: KUNDENS NAMN _________________________________ NAMNFÖRTYDLIGANDE ________________________________

Bilaga 1 – Anvisningar för behandling av personuppgifter

Följande anvisningar gäller för behandling av personuppgifter för vilka Xxxxxx är ansvariga. Utöver vad som redan anges i detta Personuppgiftsbiträdesavtal ska Liber följa instruktionerna nedan.

Behandling

Syften Ange alla syften för vilka personuppgifterna ska behandlas av Liber.	Lagring av studie- och testresultat. Xxxxxx får studie- och testresultat (tillbaka). En bedömning av studie- och testresultat för att erhålla testmaterial som är anpassade till en students/användarens specifika studiebehov för att möjliggöra anpassningsbart lärandematerial och personlig träning eller lärvägar (adaptivitet). Leverans av de digitala studielösningarna och förmågan att använda dem. Få tillgång till de erbjudna digitala studielösningarna, inklusive identifiering, autentisering och auktorisering. Säkerhet, kontroll och förebyggande av obehörigt bruk och missbruk samt förhindrande av inkonsekvens och otillförlitlighet i de behandlade personuppgifterna. I ett led för att förbättra kvaliteten på lärandelösningen används anonymiserad och aggregerad data från slutanvändare. Tillhandahålla studie- och testresultat till slutanvändare genom filexport av data, på begäran. Lagra kunddata för finansiella ändamål, kundservice inklusive ärendehanteringssystem och chatt samt marknadsaktiviteter.
Kategorier av personuppgifter Ange de kategorier/typer av personuppgifter som kommer att behandlas av Liber.	Pedagogiska: Namn, e-post, användarnamn, information om kontobehörighet, licenser till pedagogiska verktyg, utbildningsverktyg och resultat. Finansiella: Namn, e-post, användarnamn, lösenord, adress, personnummer, telefonnummer, organisationsnamn, organisationsnummer, organisationstyp, order via organisation, kreditinformation. Marknadsföring: Namn, e-post, adress, telefonnummer, information om kontobehörighet, licenser till pedagogiska verktyg, roll, yrke samt kampanjinformation som samlats in från evenemang, nyhetsbrev och formulär.
Kategorier av berörda personer Ange kategorierna av berörda personer vars personuppgifter kommer att behandlas av Liber.	Xxxxxx, studenter, lärare och administratörer.
Retentionstid Ange tid och krav för lagring av personuppgifter som behandlas av Liber.	Pedagogiska: Användarens personuppgifter kommer att anonymiseras och aggregeras efter att kontot eller abonnemanget har varit inaktivt i arton månader eller avlägsnas 60 dagar efter mottagandet av en skriftlig förfrågan från Kunden eller vid uppsägning av detta Personuppgiftsbiträdesavtal av Kunden. Finansiella: Användarens personuppgifter kommer att tas bort enligt gällande svensk lagstiftning. Marknadsföring: Personliga data sparas så länge vi ser att våra produkter/erbjudanden/aktiviteter är relevanta för kunden, dock längst två år efter senaste interaktion.
Behandlingsprocesser Ange alla bearbetningsaktiviteter som ska genomföras av Liber och eventuella underbiträden.	Se syften ovan. Personuppgifter kan överföras till partners och system som anges av Liber, se bilaga 2. Insamling av data från användning av Libers digitala produkter/läromedel. Visa och ändra personuppgifter i relevanta system hos Liber med underbiträden.
Plats för behandlingen Ange platser där personuppgifter kommer att behandlas av Liber.	Lagring och behandling av personuppgifter sker inom EU/EES, se Bilaga 2.

_____________________________

Bilaga 2 – Godkända underbiträden

Nedan listas de underbiträden som har godkänts av Kunden för att Liber ska kunna behandla personuppgifter enligt detta Personuppgiftsbiträdesavtal.

UNDERBITRÄDE	PLATS FÖR BEHANDLING	SYFTE	LIBERS PRODUKT/KONCEPT	RÄTTSLIG GRUND FÖR ÖVERFÖRINGAR TILL ETT TREDJE LAND (om tillämpligt)
Ember	EU	Hosting. Autentisering, åtkomst samt upparbetade resultat i läromedlet.	LUNIS med Liber Sfi Digital och START	N/A
FreshDesk	EU	Kundserviceärenden	N/A	N/A
Förlagssystem	EU	Plocklistor	Alla tryckta produkter.	N/X
Xxxxxxxx	EU	Order, fakturering och leverans	N/A	N/A
Mailjet	EU	E-postutskick	Xxxxx.xx, Liber Online, Lunis och BYN.	N/A
Microsoft Azure	EU	Hosting. Autentisering, åtkomst samt upparbetade resultat i läromedlet.	Alla produkter utom LUNIS och PingPong.	N/A
Pagero	EU	Utskick av fakturor.	Alla produkter, tryckta och digitala.	N/A
PingPong	EU	Hosting. Autentisering, åtkomst samt upparbetade resultat i läromedlet. Fritextfält förekommer.	Digital övningsbok och YRK 360 (bygg, fordon, el, vvs)	N/A
Puzzle	EU	Kundserviceärenden via telefon	Alla	N/A
Qnova	EU	Avtalsdatabas	N/A	N/A
Salesforce	EU	Säljaktiviteter	N/A	N/A
SAP	EU	Fakturering	N/A	N/A
Selligent (SIM)	EU	Marknadsföring och nyhetsbrev.	N/A	N/A
Skolon	EU	Autentisering, aktivering och åtkomst för kunder som har avtal med Xxxxxx.	Liber Online med integrerade produkter i urval.	N/A
Sowiso	EU	Hosting. Autentisering, åtkomst samt upparbetade resultat i läromedlet.	Liber Digital (Ma/NV/Te)	N/A
Vergic	EU	Chattverktyg för kontakt med kundservice.	Xxxxx.xx och Liber Online	N/A

v 102