Bilaga 2 - Personuppgiftsbiträdesavtal
LegalWorks 180305
Bilaga 2 - Personuppgiftsbiträdesavtal
Detta personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtalet”) har denna dag ingåtts
MELLAN:
[Kunden], xxx.xx. [nummer], [adress] (“Kunden”); och
Strikersoft AB, org. nr. 000000-0000, Xxxxxxxxxxxxxx 00X, 000 00 Kista (“Konsulten”).
Ovanstående parter benämns i det följande var för sig för ”Part” och gemensamt för ”Parterna”.
1bakgrund och instruktioner för denna Bilaga
Parterna har ingått ett Ramavtal avseende IT konsulttjänster som undertecknades den [ ], hädanefter kallat ”Avtalet”.
Definitioner som används häri ska ha samma innebörd som i Avtalet och detta Personuppgiftsbiträdesavtal. Vänligen se även till Avsnitt 2 nedan avseende definitioner.
Parterna ska använda denna Bilaga 2 som en som ska färdigställas i förhållande till varje specifikt Beställningsformulär.
Enligt de åtaganden som följer från Avtalet och varje specifikt Beställningsformulär, kan Konsulten komma att behandla personuppgifter likväl som annan information för Kundens räkning.
Som ett resultat därav, ingår Parterna detta Personuppgiftsbiträdesavtal för att reglera villkoren för Konsultens behandling av, och tillgång till, personuppgifter som tillhör Kunden. Detta Personuppgiftsbiträdesavtal ska fortsätta att gälla så länge som Konsulten behandlar personuppgifter för Kundens räkning i enlighet med Avtalet och i förhållande till det specifika Beställningsformuläret.
Syftet med detta Personuppgiftsbiträdeavtal är att reglera Parternas rättigheter och skyldigheter i förhållande till behandlingen av personuppgifter enligt Avtalet och för att säkerhetsställa att personuppgifter behandlas i enlighet med svensk dataskyddslagstiftning samt villkoren i EU:s Dataskyddsförordning (”GDPR”) och eventuell senare lagstiftning som ersätter eller kompletterar dessa.
Inga tillägg, ändringar eller omarbetningar av denna Bilaga 2, i sin helhet eller delar, är giltig om inte sådant tillägg, ändring, eller upphävande är skriftligt och undertecknat av behörig företrädare för Parterna.
2definitioner
Såvida inte omständigheterna tydligt föreskriver annat, ska de definitioner som används i detta Personuppgiftsbiträdesavtal men som inte definieras häri, eller i Avtalet, överenskomna med de som följer av kapitel 2 i Personuppgiftslagen (1998:204).
3behandling av personuppgifter
Kunden är personuppgiftsansvarig för de personuppgifter som behandlas inom ramen för Avtalet, inklusive omfattningen och syftet som specificeras i det specifika Beställningsformuläret som denna Bilaga 2 tillhör. Omfattningen, syftet och kategorier av registrerade och personuppgifter som kan omfattas av behandlingen enligt detta Personuppgiftsbiträdesavtal kan beskrivas enligt följande; [Beskriv omfattningen i detalj inklusive graden av personuppgifternas känslighet och de speciella risker som existerar. Vänligen använd en bilaga om det finns mycket information som ska föras in.].
Konsulten ska vara Kundens personuppgiftsbiträde. I sin roll som personuppgiftsbiträde ska Konsulten behandla personuppgifter för Kundens räkning i enlighet med detta Personuppgiftsbiträdesavtal och i enlighet med de skriftliga instruktioner som tillhandahållits av Kunden från tid till en annan med hänsyn till behandlingen av personuppgifter.
Konsulten ska erhålla ersättning för de åtgärder som Konsulten tar med hänsyn till behandlingen av personuppgifter i enlighet med detta Personuppgiftsbiträdeavtal avseende kostnader som uppkommit på grund av Xxxxxxx ändrade instruktioner.
Konsulten får inte överföra, lagra, eller på annat sätt behandla personuppgifter utanför EU/EES som tillhör Kunden utan att först ha erhållit Kundens skriftliga godkännande. Sådant samtycke får inte oskäligen nekas eller förvägras.
4Kundens skyldigheter
Kunden ska omedelbart och skriftligen meddela Konsulten om samtliga omständigheter som kan uppkomma och påverka behovet av förändring av hur Konsulten behandlar personuppgifter under detta Personuppgiftsbiträdesavtal.
5Konsultens skyldigheter
Säkerhetsåtgärder
Konsulten ska etablera tekniska och organisatoriska åtgärder för att säkerställa att personuppgifterna behandlas i enlighet med kraven i dataskyddslagstiftningen och villkoren i Avtalet och detta Personuppgiftsbiträdesavtal. Säkerhetsåtgärderna ska minst motsvara den nivå som behöriga tillsynsmyndigheter normalt kräver för motsvarande behandlingar. Åtgärderna ska även anpassas till en nivå som är lämplig med hänsyn till graden av känslighet av personuppgifterna, de speciella risker som finns, befintliga tekniska möjligheter, och kostnaderna för att utföra åtgärderna. Åtgärderna ska vara dokumenterade och ska utan onödigt dröjsmål överlämnas till den personuppgiftsansvarige vid anmodan.
Skriftliga instruktioner
Konsulten får endast behandla personuppgifter för Kundens räkning i enlighet med detta Personuppgiftsbiträdesavtal. [Konsulten ska följa de skriftliga instruktioner som Kunden utfärdat enligt Bilaga a).] [Vänligen radera denna mening om det vid tiden för undertecknande av Personuppgiftsbiträdesavtalet inte finns några instruktioner.]
Konsulten ska säkerhetsställa att den Utsedda Personen som har tillgång till de personuppgifter som omfattas av detta Personuppgiftsbiträdesavtal överensstämmer med villkoren i detta Personuppgiftsbiträdesavtal som speciellt bara tillåter behandling av personuppgifter i enlighet med Kundens instruktioner.
Om Konsulten är av den åsikten att Kundens instruktioner är motstridig med tillämplig dataskyddslagstiftning ska Konsulten omedelbart informera Kunden om detta.
Överföring av personuppgifter och användningen av underleverantörer
Konsulten får inte överföra eller ge åtkomst till personuppgifterna till en extern part utan Kundens skriftliga uttryckliga förhandstillstånd, i annat fall än när det föreligger en lagstadgad skyldighet för Konsulten att göra det. Om en sådan lagstadgad skyldighet föreligger, ska Konsulten skriftligen underrätta Xxxxxx om detta, innan personuppgiftsbehandlingen påbörjas, under förutsättning att en sådan information inte är förbjuden enligt lag.
För det fall underleverantörer får användas enligt detta Personuppgiftsbiträdesavtal så ska Konsulten ingå skriftligt avtal med sina underleverantörer, som binder underleverantören vid minst samma skyldigheter som Konsulten har enligt Xxxxxxx och detta Personuppgiftsbiträdesavtal. Konsulten ansvarar fullt ut gentemot Kunden för hur underleverantörerna behandlar personuppgifterna, inklusive underleverantörernas säkerhetsåtgärder.
Krav på lokalisering och överföring av personuppgifter till tredjeland
Konsulten ska tillse att personuppgifterna enbart lagras och behandlas inom EU/EES, om inte Parterna skriftligen kommer överens om något annat.
Incidentrapportering
Konsulten ska skyndsamt underrätta Kunden om säkerhetsincidenter som har medfört oavsiktlig eller olovlig förstörelse, förlust, ändring, obehörigt utlämnande av eller åtkomst till personuppgifterna som omfattas av detta Personuppgiftsbiträdesavtal.
På skriftlig begäran från Kunden, ska Konsulten omedelbart tillhandahålla Xxxxxx all efterfrågad information om incidenten såsom detaljerna avseende incidenten, dess omedelbara effekt och vidtagna åtgärder, och samarbeta med Xxxxxx i förhållande till att kommunikationen om incidenten med tillsynsmyndigheten om det är nödvändigt.
Ansvar för att fullgöra skyldigheter gentemot de registrerade
Konsulten ska bistå Xxxxxx med att fullgöra sina skyldigheter när de registrerade utövar sin rätt till rättelse och radering av personuppgifter, dataportabilitet etc. enligt dataskyddslagstiftningen och Kundens skriftliga instruktioner. Detta ska ske utan oskäligt dröjsmål och utan krav på ytterligare ekonomisk kompensation från Konsulten, om inte annat överenskommits skriftligen. Sådan ekonomisk kompensation får inte vara oskäligen nekas eller förvägras av Kunden.
Radering av personuppgifter under Personuppgiftsbiträdesavtalets avtalstid
Under detta Personuppgiftsbiträdesavtalets avtalstid kan Kundens användare skriftligen ange att vissa personuppgifter ska raderas. Personuppgifterna ska då förstörs, skrivs över eller på annat sätt raderas inom [infoga tidsperiod som Parterna kommer överens om]. Vänligen hänvisa även till Avsnitt 7 avseende radering av personuppgifter förhållande till uppsägning av detta Personuppgiftsbiträdesavtal.
Revision
Konsulten ska tillåta och tillse att revision inklusive inspektioner kan ske, och dessa ska vara utförda av Kunden eller en revisor utsedd av Kunden.
6ansvar
Konsulten ska ersätta Kunden för alla direkta skador som uppkommit hos Xxxxxx som ett resultat av Konsultens överträdelser av Personuppgiftsbiträdesavtalet vid behandling av personuppgifter. Likväl ska en Part, i avsaknad av uppsåt eller grov vårdslöshet, inte under några omständigheter vara ansvarig för indirekta skador, inklusive inte ha någon skyldighet att ansvara för den andra Partens skyldighet att ersätta tredjeman eller förlust av information.
I inget fall ska Konsulten vara ansvarig för förlorade vinster eller affärsmöjligheter, förlust av intäkter/omsättning, förlust av goodwill, affärsdriftstopp, förlust av data, eller annan indirekt, tillfällig, eller följdskada, oavsett om kravet baseras på avtal, vårdslöshet, produktansvar eller annat. Konsultens ansvar under detta Personuppgiftsbiträdesavtal kommer inte, oavsett om anspråket är baserat på avtal, strikt ansvar, eller annat, överstiga de avgifter Kunden betalat i enlighet med det specifika Beställningsformuläret. De ovanstående begränsningarna ska tillämpas oavsett om Konsulten har blivit informerad om risken för sådana skador och oavsett om något avhjälpande misslyckats med sitt egentliga syfte.
7uppsägning av detta personuppgiftsbiträdesavtal
Vid Konsultens upphörande av behandling av personuppgifter för Kundens räkning, antingen i förhållande till det specifika Arbetsbeskrivningen och/eller uppsägningen av Avtalet, ska Konsulten återlämna alla personuppgifter till Kunden på det sätt som Kunden bestämt eller, när Kunden meddelat det skriftligen, förstöra alla personuppgifter relaterade till Personuppgiftsbiträdesavtalet.
8sekretess
Parterna åtar sig härmed att under Personuppgiftsbiträdesavtalets avtalstid och efter dess upphörande, att inte utelämna någon information till tredjeman avseende Personuppgiftsbiträdesavtalet, inte heller annan information som Parterna har tillskansat sig som ett resultat av Personuppgiftsbiträdesavtalet, oberoende av om det är i skriftlig eller muntlig form (”Konfidentiell Information”). Parterna kommer överens om och samtycker till att den Konfidentiella Informationen kan användas enbart för fullgörandet av skyldigheterna under Personuppgiftsbiträdesavtalet och Avtalet, och inte för några andra syften. Den mottagande Parten godkänner vidare att använda, och se till att dess ledamöter, tjänstemän, anställda, underleverantörer och andra mellanhänder, använder samma nivå av försiktighet (men inte lägre än rimlig försiktighet) för att undvika utelämnande eller användning av Konfidentiell Information som användes med hänsyn till egen konfidentiell och/eller proprietär information.
Detta sekretessåtagande gäller inte information som
vid tidpunkten för utlämnandet är eller senare blir tillgänglig för allmänheten på annat sätt än genom överträdelse mot Avtalet; eller
mottagande Part kan bevisa att den redan var tillgänglig för mottagande Part, eller som denne på egen hand har utvecklat innan ingåendet av Avtalet och som inte, direkt eller indirekt, har erhållits genom överträdelse av Avtalet.
Denna sekretessförbindelse förhindrar inte Part från utlämna sådan information som Part har skyldighet att utlämna enligt lag, dom eller myndighetsbeslut eller avtal med börs eller annan erkänd marknadsplats. Om Part skulle ha eller åläggas skyldighet att lämna sådan information, åtar sig Parterna att omedelbart underrätta den andra Parten för att ge denne möjlighet att vidta skyddsåtgärder. Parterna ska göra sitt bästa för att tillse att information som lämnas i enlighet med denna punkt, så långt möjligt, behandlas konfidentiellt av mottagaren av informationen.
9överlåtelse av personuppgiftsbiträdesavtalet
Part äger endast rätt att överlåta sina rättigheter och skyldigheter enligt Xxxxxxx, i sin helhet eller i visa delar, endast efter den andre Partens skriftliga godkännande.
10rätten att omförhandla m.m.
Parterna bekräftar att de vid tiden för undertecknande av detta Personuppgiftsbiträdesavtal var medvetna om att GDPR ska tillämpas från och med den 25 maj 2018. Parterna är också medvetna om att GDPR kommer påföra nya krav avseende behandlingen av personuppgifter och, som ett resultat av detta, har bägge Parter rätt att kräva omförhandling av detta Personuppgiftsbiträdesavtal så att det uppfyller de krav som ställs i GDPR inklusive andra möjliga ändringar av lagstiftningen eller tolkningen därav. De nödvändiga åtgärder som Parterna ska vara överens om kan omfatta, men är inte begränsat till, överenskommelse i avtal om kostnader för tillämpning av Avtalet (inklusive relevant Arbetsbeskrivningen) och/eller detta Personuppgiftsbiträdesavtal, med hänsyn till samtliga tjänster eller produkter.
11tillämplig lag och tvistehantering
Detta Personbiträdesavtal ska regleras av och tolkas i enlighet med svensk lag utan hänsyn till dess principer om lagkonflikt.
Eventuell tvist, kontrovers eller anspråk som härrör från eller i samband med detta Avtal, eller överträdelsen, uppsägningen eller ogiltigheten därav, ska slutgiltigt avgöras genom skiljedom som administreras av Stockholms Handelskammares Skiljedomsinstitut (“SCC”). Reglerna för Förenklat Skiljeförfarande ska tillämpas, såvida inte SCC efter eget gottfinnande bestämmer, med hänsyn till tvistens komplexitet, det omtvistade beloppet och andra omständigheter, att Skiljedomsreglerna ska gälla. I det senare fallet ska SCC också avgöra huruvida skiljenämnden ska bestå av en eller tre skiljemän.
Skiljeförfarandets säte ska vara Stockholm, Sverige.
Språket för förfarandet ska vara [engelska].
Parterna samtycker till att alla skiljeförfaranden som påkallats med hänvisning till denna skiljeklausul omfattas av strikt sekretess. Sekretessen omfattar all information som framkommer under förfarandet liksom beslut eller skiljedom som meddelas i anledning av förfarandet. Information som omfattas av denna sekretess får inte i någon form vidarebefordras till tredje person utan den andra Partens i förväg lämnade skriftliga godkännande.
_____________________________
Detta Personuppgiftsbiträdesavtal har upprättats i två (2) originalexemplar, av vilka Parterna tagit var sitt.
[Ort, datum]
[Kunden] |
Strikersoft AB |
_________________________ |
_________________________ |