Bilaga 3 – Personuppgiftsbiträdesavtal
Bilaga 3 – Personuppgiftsbiträdesavtal
Detta personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtalet”) gäller mellan parterna i enlighet med mellan parterna ingånget Leverantörsavtal. I de fall avtalsrelationen innebär ett underbiträdesförhållande gäller istället Bilaga 3.1 underbiträdesavtal som återfinns längre ned i detta dokument.
1 Bakgrund
Avy tillhandahåller en applikation för boendeadministration och betalning av hyresavier (”Boendeappen”). Genom tillhandahållandet av tjänsten kan AVY komma att behandla personuppgifter avseende privatpersoner som är kund hos olika hyresvärdar. Med anledning av detta kan AVY:s kunder behöva ingå ett Personuppgiftbiträdesavtal, Personuppgiftsunderbiträdesavtal eller Databehandlingsavtal, beroende på vilket tjänsteutbud som ska erbjudas hyrestagarna.
I samarbetet mellan Personuppgiftsansvarig och Personuppgiftsbiträde gäller primärt Personuppgiftsbiträdesavtalet, men i de fall AVY agerar Personuppgiftsunderbiträde ska i stället Personuppgiftsunderbiträdesavtalet tillämpas mellan parterna.
2 Definitioner
Begreppen ”Personuppgiftsansvarig”, ”Personuppgiftsbiträde”, ”Personuppgifts-underbiträde”, ”Personuppgift”, ”Registrerade” samt andra begrepp i detta Personuppgiftsbiträdesavtal som är relaterade till personuppgifter ska tolkas och tillämpas i enlighet vad som följer av EU-förordning 2016/679("GDPR").
”Behandling” med behandling av personuppgifter avses i princip en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,
”Tjänsteavtal” avser det eller de tjänsteavtal som föreligger mellan Xxx och den Personuppgiftsansvarige.
”Personuppgifter” avser varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller uppgift som möjliggör identifikation via internet eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
”Part/er” avser antingen Personuppgiftsansvarig eller Personuppgiftsbiträdet var för sig eller Personuppgiftsbiträdet och Personuppgiftsunderbiträdet gemensamt, i det fall ett Personuppgiftsunderbiträde har anlitats av Personuppgiftsbiträdet.
”Personuppgiftsansvarig” avser en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. ”Personuppgiftsbiträde” avser en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
”Personuppgiftbiträdesavtalet” avser detta avtal mellan Personuppgiftsansvarig och Personuppgiftsbiträdet.
”Registrerade” avser den eller de som en personuppgift avser, normalt sett Hyrestagarna.
”Tredje part” avser en fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte den registrerade, den personuppgiftsansvarige, Personuppgiftsbiträdet eller de personer som under den Personuppgiftsansvariges eller Personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifter för.
3 Dokument
Personuppgiftsbiträdesavtalet består av detta dokument och bilaga 4 Instruktion Databehandling.
3.1 Om det finns motsägelser mellan Personuppgiftsbiträdesavtalet, Personuppgiftsunderbiträdesavtalet och Instruktionen, ska Instruktionen äga företräde, om inte annat är särskilt stadgat eller omständigheterna tydligt föranleder annat.
4 Tillämplighet och tolkning
4.1 Detta Personuppgiftsbiträdesavtal ska gälla för behandling av Personuppgifter som Personuppgiftsbiträdet behandlar på uppdrag av den Personuppgiftsansvarige med anledning av Tjänsteavtalet.
Personuppgiftbiträdets åtaganden att följa GDPR och andra regelverk ska i alla avseenden tolkas i enlighet med utformningen av Personuppgiftsbiträdets tillhandahållna tjänster.
5 Personuppgiftbiträdets åtaganden
5.1 Personuppgiftsbiträdet accepterar att följa tillämpliga dataskyddslagar, tillämpliga föreskrifter samt branschnormer. Personuppgiftsbiträdet åtar sig även att hålla sig informerad om desamma.
5.2 Personuppgiftsbiträdet, och personer som agerar för Personuppgiftsbiträdets räkning, förbinder sig att behandla Personuppgifter endast i enlighet med Personuppgiftsbiträdesavtalet, skriftliga instruktioner från Personuppgiftsansvarige eller som från tid till annan lämnas av Personuppgiftsansvarige samt i enlighet med tillämplig dataskyddslagstiftning.
5.3 Personuppgiftsbiträdet ska vidta tekniska och organisatoriska skyddsåtgärder i enlighet med tillämplig lag i syfte att skydda Personuppgifter mot obehörig eller olovlig åtkomst eller oavsiktlig förlust av, förändring av, otillåtet yppande av eller tillgång till Personuppgifter.
5.4 Personuppgiftsbiträdet ska enbart behandla Personuppgifter för ändamålet att uppfylla sina åtaganden i enlighet med Tjänsteavtalet. Om Personuppgiftsbiträdet saknar instruktioner eller är osäker på ändamålet med behandlingen som bedöms vara nödvändigt för att genomföra en viss uppgift som innebär eller kan innebära behandling av Personuppgifter ska Personuppgiftsbiträdet, utan dröjsmål, informera Personuppgiftsansvarige om detta och därefter invänta vidare instruktioner som Personuppgiftsbiträdet bedömer erfordras.
5.5 För det fall att Registrerade, Integritetskyddsmyndigheten eller annan Tredje part begär information från Personuppgiftsbiträdet som på något sätt innefattar Personuppgifter ska Personuppgiftsbiträdet hänvisa till den Personuppgiftsansvarige. Personuppgiftsbiträdet får inte lämna ut Personuppgifter eller någon annan information om behandlingen av Personuppgifter utan skriftligt medgivande från den Personuppgiftsansvarige.
5.6 Personuppgiftsbiträdet ska utan dröjsmål informera Personuppgiftsansvarige om eventuella kontakter med Integritetskyddsmyndigheten eller annan myndighet som rör eller kan vara av betydelse för behandling av Personuppgifter. Personuppgiftsbiträdet äger ej rätt att företräda Personuppgiftsansvarige eller på annat sätt agera för deras räkning gentemot Integritetskyddsmyndigheten eller annan Tredje part utan skriftligt medgivande från Personuppgiftsansvarig.
5.7 Personuppgiftsbiträdet ska, i den utsträckning som krävs enligt tillämplig dataskyddslagstiftning och enligt den Personuppgiftsbiträdets skriftliga instruktioner i varje
enskilt fall, bistå den Personuppgiftsansvarige vid fullgörandet av dennes skyldigheter enligt tillämplig dataskyddslagstiftning. Personuppgiftsbiträdet ska vidare vidta tekniska och organisatoriska åtgärder i de fall det anses vara nödvändigt enligt tillämplig datasyddslagstiftning.
5.8 Vid uppsägning av Personuppgiftsbiträdesavtalet ska Personuppgiftsbiträdet radera eller lämna tillbaka samtliga personuppgifter till Personuppgiftsansvarige på sådant sätt som angivits i detta avtal och i enlighet med Personuppgiftsansvariges instruktioner. Det åligger även Personuppgiftsbiträdet att säkerställa att inga Personuppgifter som behandlas på uppdrag av den Personuppgiftsansvarige är kvar i dennes besittning.
5.9 Personuppgiftsbiträdet är införstått med att Personuppgifter inte får behandlas utanför EU/EES utan samtycke från Personuppgiftsansvarige.
6 Personuppgiftsansvarig
6.1 Den Personuppgiftsansvarige äger rätt att själv eller genom Tredje Part genomföra revision gentemot Personuppgiftsbiträdet eller på annat sätt kontrollera att Personuppgiftsbiträdets behandling av Personuppgifter följer detta Personuppgiftbiträdesavtal. Vid sådan revision eller kontroll ska Personuppgiftsbiträdet ge den Personuppgiftsansvarige den assistans som behövs för genomförande av den aktuella åtgärden. Personuppgiftsbiträdet äger rätt till skälig ersättning från Personuppgiftsansvarige för de kostnader som uppkommer till följd av en sådan revision eller kontroll. Personuppgiftsansvariges tolkning och uppmaning till handling avseende Personuppgifter ska efterföljas av Personuppgiftsbiträdet oaktat om överenskommelser avseende kompensation eller omfattning har ingåtts, tills dess Parterna nått en överenskommelse eller frågan är slutligt avgjord i enlighet med reglerna för tvistelösning i Tjänsteavtalet. För det fall Personuppgiftsansvariges tolkning i slutändan är inkorrekt äger Personuppgiftsbiträdet rätt till kompensation enligt överenskommelse eller enligt tvistelösningens slutliga, lagakraftvunna avgörande med avseende på aktiviteten, funktionen eller åtgärden i fråga, jämte ränta enligt räntelagen.
6.2 Personuppgiftsbiträdet får i den mån så erfordras ändra innehållet i detta Personuppgiftsbiträdesavtal för att kunna efterleva förändringar i GDPR och andra relevanta regelverk. En ändring träder ikraft senast trettio (30) dagar efter det att Personuppgiftsbiträdet översänt meddelande om ändring till den Personuppgiftsansvarige eller efter den tid som Personuppgiftsbiträdet är skyldig att följa i enlighet med Integritetsskyddsmyndighetens beslut. För det fall Personuppgiftsansvarige inte accepterar den aktuella ändringen, äger Personuppgiftsbiträdet rätt att omedelbart säga upp alla avtal med Personuppgiftsansvarige enligt vilka Personuppgiftsbiträdet ska behandla Personuppgifter på uppdrag av den personuppgiftsansvarige, varvid punkten 5.8 ovan ska äga tillämpning. Andra ändringar av och tillägg till detta Personuppgiftsbiträdesavtal ska vara skriftliga och undertecknade av båda Parterna för att vara bindande.
7 Underbiträden
7.1 Personuppgiftsansvarige godkänner att Personuppgiftsbiträdet får anlita Personuppgiftsunderbiträden inom EU/EES och får överföra personuppgifter för att utföra sina åtaganden enligt Tjänsteavtalet. Personuppgiftsbiträdet ska tillse att eventuella Personuppgiftsunderbiträden är bundna av skriftliga avtal som ålägger dem motsvarande skyldigheter vid databehandlingen som de skyldigheter som gäller enligt detta Personuppgiftsbiträdesavtal.
8 Informationssäkerhet och sekretess
Personuppgiftsbiträdet är skyldigt att fullgöra sina rättsliga förpliktelser avseende informationssäkerhet under tillämplig dataskyddslagstiftning, och ska i samtliga fall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.
Personuppgiftsbiträdet ska säkerställa efterlevnaden av de bestämmelser kring informationssäkerhet och sekretess som följer av, vid var tid gällande Instruktion.
9 Ersättning
Personuppgiftsbiträdet har samma rätt till ersättning som framgår av Tjänsteavtalet samt i tillämpliga fall Personuppgiftsbiträdesavtalet. För kostnader som inte omfattas av dessa avtal har Personuppgiftsbiträdet rätt till ersättning för kostnader som är skäliga.
10 Avtalstid
Detta Personuppgiftsbiträdesavtal träder ikraft på dagen för Tjänsteavtalets undertecknande och förblir i kraft så länge som Personuppgiftsbiträdet behandlar Personuppgifter för Personuppgiftsansvariges räkning i övrigt gäller samma regler för uppsägning som framgår av Tjänsteavtalet.
11 Tvist
Tvist angående tolkning eller tillämpning av detta avtal ska avgöras enligt Tjänsteavtalets bestämmelse om tvist. För de fall Personuppgiftsbiträdet inte är bundet av Tjänsteavtalet ska eventuell tvist avgöras genom skiljedom enligt Regler för Förenklat Skiljeförfarande för Stockholms Handelskammares Skiljedomsinstitut. Skiljeförfarandets säte ska vara Stockholm. Språket för förfarandet ska vara svenska.
Bilaga 3.1 – UNDERBITRÄDESAVTAL
Detta personuppgiftsunderbiträdesavtal (”Underbiträdesavtalet”) gäller mellan parterna i enlighet med mellan parterna ingånget Leverantörsavtal i de fall avtalsrelationen innebär ett underbiträdesförhållande.
1 Definitioner
Samma definitioner som gäller enligt personuppgiftsavtalet äger tillämpning i detta underbiträdesavtal
2 Dokument
2.1 Underbiträdesavtalet består av detta dokument och bilaga 4 Instruktion.
2.2 För det fall det finns motsägelser mellan Biträdesavtalet, Underbiträdesavtalet och Instruktionen, ska Instruktionen äga företräde, om inte annat är särskilt stadgat eller omständigheterna tydligt föranleder annat.
3 Tillämplighet och tolkning
Detta Underbiträdesavtal ska gälla för behandling av Personuppgifter som Underbiträdet behandlar på Kundens vägnar med anledning av Tjänsteavtalet.
Personuppgiftsunderbiträdets åtaganden att följa GDPR och andra regelverk ska i alla avseenden tolkas i enlighet med beskaffenheten på Personuppgiftsunderbiträdets tillhandahållna tjänster.
4 Personuppgiftsunderbiträdets åtaganden
4.1 Personuppgiftsunderbiträdet accepterar att följa tillämpliga dataskyddslagar, tillämpliga föreskrifter samt branschnormer. Personuppgiftunderbiträdet åtar sig även att hålla sig informerad om desamma.
4.2 Personuppgiftunderbiträdet, och personer som agerar för Personuppgiftunderbiträdets räkning, förbinder sig att behandla Personuppgifter endast i enlighet med Biträdesavtalet, skriftliga instruktioner från Personuppgiftsbiträdet eller som från tid till annan lämnas av Personuppgiftsbiträdet eller den personuppgiftsansvarige samt i enlighet med tillämplig dataskyddslagstiftning.
4.3 Personuppgiftunderbiträdet ska vidta tekniska och organisatoriska skyddsåtgärder i enlighet med tillämplig lag i syfte att skydda Personuppgifter mot obehörig eller olovlig förstörelse eller oavsiktlig förlust av, förändring av, otillåtet yppande av eller tillgång till Personuppgifter.
4.4 Personuppgiftunderbiträdet ska enbart behandla Personuppgifter för ändamålet att uppfylla sina åtaganden i enlighet med Tjänsteavtalet. Om Personuppgiftunderbiträdet saknar instruktioner eller är osäker på ändamålet med behandlingen som bedöms vara nödvändigt för att genomföra en viss uppgift som innebär eller kan innebära behandling av Personuppgifter ska Personuppgiftunderbiträdet, utan dröjsmål, informera Personuppgiftsbiträdet om detta och därefter invänta vidare instruktioner från Personuppgiftsbiträdet.
4.5 För det fall att Registrerade, Integritetskyddsmyndigheten (IMY) eller annan Tredje part begär information från Personuppgiftunderbiträdet som på något sätt innefattar Personuppgifter ska Personuppgiftunderbiträdet hänvisa till Personuppgiftsbiträdet. Personuppgiftunderbiträdet får inte lämna ut Personuppgifter eller någon annan information om behandlingen av Personuppgifter utan skriftligt medgivande från Personuppgiftsbiträdet.
4.6 Personuppgiftunderbiträdet ska utan dröjsmål informera Personuppgiftsbiträdet om eventuella kontakter med IMY eller annan myndighet som rör eller kan vara av betydelse för behandling av Personuppgifter. Personuppgiftunderbiträdet äger ej rätt att företräda Personuppgiftsbiträdet eller på annat sätt agera för deras räkning gentemot IMY eller annan Tredje part utan skriftligt medgivande från Personuppgiftsbiträdet.
4.7 Personuppgiftunderbiträdet ska, i den utsträckning som krävs enligt tillämplig dataskyddslagstiftning och enligt den Personuppgiftsbiträdets skriftliga instruktioner i varje enskilt fall, bistå Personuppgiftsbiträdet vid fullgörandet av dennes skyldigheter enligt tillämplig dataskyddslagstiftning. Personuppgiftunderbiträdet ska vidare vidta tekniska och organisatoriska åtgärder i de fall det anses vara nödvändigt enligt tillämplig datasyddslagstiftning.
4.8 Vid uppsägning av Biträdesavtalet ska Personuppgiftsunderbiträdet radera eller lämna tillbaka samtliga personuppgifter till Personuppgiftsbiträdet på sådant sätt som angivits av Personuppgiftsbiträdet och i enlighet med Personuppgiftsbiträdets instruktioner. Det åligger även Personuppgiftunderbiträdet att säkerställa att inga Personuppgifter är kvar i dennes besittning.
4.9 Personuppgiftunderbiträdet är införstått med att Personuppgifter inte får behandlas utanför EU/EES utan samtycke från Personuppgiftsbiträdet.
5 Personuppgiftsansvarig
5.1 Personuppgiftsbiträdet äger rätt att själv eller genom Tredje Part genomföra revision gentemot Personuppgiftunderbiträdet eller på annat sätt kontrollera att Personuppgiftunderbiträdets behandling av Personuppgifter följer detta Underbiträdesavtal. Vid sådan revision eller kontroll ska Personuppgiftunderbiträdet ge Personuppgiftsbiträdet den assistans som behövs för genomförande av den aktuella åtgärden. Personuppgiftunderbiträdet äger rätt till skälig ersättning från Personuppgiftsbiträdet för de kostnader som uppkommer till följd av en sådan revision eller kontroll. Personuppgiftsbiträdets tolkning och uppmaning till handling avseende Personuppgifter ska tillämpas oaktat om överenskommelser avseende kompensation eller omfattning har ingåtts, tills dess Parterna nått en överenskommelse eller frågan är slutligt avgjord i enlighet med reglerna för tvistelösning i Tjänsteavtalet. För det fall Personuppgiftsbiträdets tolkning i slutändan är inkorrekt äger Personuppgiftunderbiträdet rätt till kompensation enligt överenskommelse eller enligt tvistelösningens slutliga, lagakraftvunna avgörande med avseende på aktiviteten, funktionen eller åtgärden i fråga, jämte ränta enligt räntelagen.
5.2 Personuppgiftsbiträdet får i den mån så erfordras för att krav som följer av GDPR och andra regelverk ska kunna tillgodoses ändra innehållet i detta Biträdesavtal. Sådan ändring träder ikraft senast trettio (30) dagar efter att Personuppgiftsbiträdet översänt meddelandet om ändring till Personuppgiftunderbiträdet eller efter den tid som Personuppgiftunderbiträdet är skyldig att följa enligt IMY. För det fall Personuppgiftunderbiträdet inte accepterar den aktuella ändringen, äger Personuppgiftsbiträdet rätt att omedelbart säga upp alla avtal med Personuppgiftunderbiträdet enligt vilka Personuppgiftunderbiträdet ska behandla Personuppgifter, varvid punkten 4.8 ovan ska äga tillämpning. Andra ändringar av och tillägg till detta Biträdesavtal ska vara skriftliga och undertecknade av båda Parterna för att vara bindande.
6 Underbiträden
Personuppgiftsbiträdet godkänner att Personuppgiftunderbiträdet får anlita underbiträden inom EU/EES och får överföra personuppgifter för att utföra sina åtaganden enligt Tjänsteavtalet.
Personuppgiftunderbiträdet ska tillse att underbiträden är bundna av skriftliga avtal som ålägger dem motsvarande skyldigheter vid databehandlingen som de skyldigheter som gäller enligt denna bilaga/Personuppgiftsbiträdesavtal.
7 Informationssäkerhet och sekretess
7.1 Personuppgiftunderbiträdet är skyldigt att fullgöra sina rättsliga förpliktelser avseende informationssäkerhet under tillämplig dataskyddslagstiftning, och ska i samtliga fall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.
7.2 Personuppgiftunderbiträdet ska säkerställa efterlevnaden av de bestämmelser kring informationssäkerhet och sekretess som följer av, vid var tid gällande Instruktion.
8 Ersättning
Personuppgiftunderbiträdet har samma rätt till ersättning som framgår av Tjänsteavtalet samt i tillämpliga fall Biträdesavtalet. För kostnader som inte omfattas av dessa avtal har underbiträdet rätt till ersättning för kostnader som är skäliga.
9 Underbiträdesavtalets giltighetstid
Detta Underbiträdesavtal träder ikraft på dagen för Tjänsteavtalets undertecknande och förblir i kraft så länge som Personuppgiftunderbiträdet behandlar Personuppgifter för Personuppgiftsbiträdets räkning i övrigt gäller samma regler för uppsägning som framgår av Tjänsteavtalet.
10 Tvist
Tvist angående tolkning eller tillämpning av detta avtal ska avgöras enligt Tjänsteavtalets bestämmelse om tvist. För de fall Personuppgiftsunderbiträdet inte är bundet av Tjänsteavtalet ska eventuell tvist avgöras genom skiljedom enligt Regler för Förenklat Skiljeförfarande för Stockholms Handelskammares Skiljedomsinstitut. Skiljeförfarandets säte ska vara Stockholm. Språket för förfarandet ska vara svenska.