PERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL
1. 1 PARTER
Godkännande part enligt Leverantörsavtal (nedan kallat “Personuppgiftsansvarig”),
och Agitura IT (559247-7383) (xxxxx xxxxxx “Personuppgiftsbiträde”), (gemensamt benämnda ”Parterna”) har denna dag träffat följande
Personuppgiftsbiträdesavtal.
2. DEFINITIONER
Detta biträdesavtal ska tolkas i enlighet med och ha de definitioner som framgå av 3§ personuppgiftslagen eller, vid dess ikraftträdande, artikel 4 Dataskyddsförordningen.
Behandling av personuppgifter
Åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, inhämtande eller användning.
Personuppgiftsansvarig Den som ensam eller tillsammans med andra bestämmer
ändamålen med och medlen för behandlingen av personuppgifter.
Personuppgiftsbiträde Den som behandlar personuppgifter för den
personuppgiftsansvariges räkning.
Tredje land En stat som inte ingår i Europeiska unionen eller är ansluten till europeiska ekonomiska samarbetsområdet.
3. SYFTE
Syftet med detta personuppgiftsbiträdesavtal är att tillse att Personuppgiftsbiträdets behandling av personuppgifter inom ramen för utförandet för den Personuppgiftsansvariges räkning, enbart sker i enlighet med den Personuppgiftsansvariges instruktioner, i överensstämmelse med detta biträdesavtal och i övrigt enligt de krav som framgår av 30 § personuppgiftslagen (1998:204) samt, vid dess ikraftträdande, artikel 28 i Dataskyddsförordningen (Europaparlamentets och Rådets Förordning (EU) 2016/679).
4. Föremålet för behandling
Föremålet för personuppgiftsbehandlingen enligt detta biträdesavtal är:
Behandlingen kommer att fortgå löpande
Omfattning
Som en tjänsteleverantör hanterar Agitura IT kundens journalsysteminformation i relation
till det avtal som är träffats mellan parterna.
Registrerade
De Personuppgifter som ska behandlas rör följande kategorier av Registrerade:
Kunder till personuppgiftsansvarig och deras husdjur.
Typ av Personuppgifter som överförs
De Personuppgifter som behandlas är av följande slag:
Personuppgifter, kontaktuppgifter, uppgifter om kunders djur.
Känsliga Personuppgifter (i förekommande fall)
Behandlingen rör följande Känsliga personuppgifter:
Inga känsliga personuppgifter skall hanteras i Agitura Journal.
Ändamålet med behandlingarna
Behandlingen av Personuppgifter sker i syfte att:
Kunna hantera och stödja kund utifrån det avtal om hantering av kundens grundläggande infrastruktur som är träffat mellan parterna, behöver leverantören hantera personlig data enligt detta biträdesavtal.
Hanteringen av personuppgifter sträcker sig till följande enkla hantering i de system som levereras som infrastruktur och tjänster, alla på per uppdrags hantering med beställning från kundens beställare: Uppläggning, Ändring, Lagring, Borttagning, Backup, Återställning, Fakturering.
5. PERSONUPPGIFTSANSVARIG
Personuppgiftsansvarig är skyldig att efterleva personuppgiftslagen samt, vid dess ikraftträdande, Dataskyddsförordningen, avseende personuppgiftsbehandling och anlitande av biträde. Personuppgiftsansvarig har rätt att styra Personuppgiftsbiträdets personuppgiftsbehandling och ska härvid meddela de dokumenterade instruktioner som behövs för Personuppgiftsbiträdets behandling.
6. PERSONUPPGIFTSBITRÄDETS ANSVAR
Personuppgiftsbiträdet åtar sig att endast vidta personuppgiftsbehandling avseende avtalade personuppgifter i enlighet med dokumenterade instruktioner från Personuppgiftsansvarig samt i överensstämmelse med detta biträdesavtal och med Huvudavtalet.
Personuppgiftsbiträdet åtar sig att vid behandling av personuppgifter efterleva vid var tid gällande lag, i synnerhet personuppgiftslagen och, vid dess ikraftträdande,
Dataskyddsförordningen. Därutöver åtar sig Personuppgiftsbiträdet att efterleva föreskrifter, ställningstaganden och rekommendationer avseende tillåten personuppgiftshantering, meddelade av Datainspektionen eller relevant EU-organ. Genom undertecknande av detta biträdesavtal intygar Personuppgiftbiträdet att erforderliga tekniska och organisatoriska skyddsåtgärder vidtas avseende personuppgifterna, så att behandlingen uppfyller kraven i Dataskyddsförordningen och skyddar de registrerades rättigheter.
Personuppgiftsbiträdet ska enligt den Personuppgiftsansvariges instruktioner rätta, radera eller överlämna felaktiga, ofullständiga eller inaktuella personuppgifter utan oskäligt dröjsmål.
7. SÄKERHETSÅTGÄRDER
Personuppgiftsbiträdet ska vidta och upprätthålla lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna, utan att ha rätt till särskild ersättning för detta.
Personuppgiftsbiträdets säkerhetsåtgärder ska åstadkomma den skyddsnivå som följer av tillämplig lag samt, vid dess ikraftträdande, Dataskyddsförordningen och som i övrigt är lämplig med beaktande av tekniska möjligheter, kostnad för genomförande, särskilda risker med behandlingen och i vilken utsträckning de behandlade personuppgifterna är, eller sannolikt kan uppfattas som, känsliga.
Personuppgiftsbiträdet ansvarar för att den egna verksamheten bedrivs på ett sätt som i övrigt säkerställer adekvat informationssäkerhet.
Personuppgiftsbiträdet ska tillse att anställda, konsulter och övriga som Personuppgiftsbiträdet svarar för och som behandlar eller har åtkomst till personuppgifterna är bundna av ett ändamålsenligt sekretessåtagande samt är informerade om hur personuppgiftsbehandling får ske i enlighet med instruktioner från Personuppgiftsansvarig.
Personuppgiftsbiträdets tekniska och organisatoriska säkerhetsåtgärder ska vidtas med beaktande av den senaste utvecklingen, genomförandekostnader, personuppgiftsbehandlingens art, omfattning, sammanhang och ändamål, inkluderat risker för fysiska personer rättigheter och friheter av varierande allvar och sannolikhetsgrad, för att säkerställa en lämplig säkerhetsnivå i förhållande till risk.
Personuppgiftsbiträdets genomförande av säkerhetsåtgärder ska när så är lämpligt inbegripa pseudonymisering och kryptering av personuppgifter, förmåga att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos systemen och tjänster för behandling samt förmågan att återställa tillgänglighet och tillgång till personuppgifter i rimlig tid vid fysisk eller teknisk incident och förfarande för regelbunden testning, undersökning och utvärdering av effektiviteten hos säkerhetsåtgärderna.
Vid bedömning av lämplig säkerhetsnivå ska särskild hänsyn tas till risk för oavsiktlig eller olaglig förstöring, förlust, ändring eller till obehörigt röjande eller åtkomst till personuppgifterna.
8. INCIDENTER
Personuppgiftsbiträdet ska vid konstaterad eller misstänkt säkerhetsincident, såsom obehörig åtkomst, förstörelse, ändring eller annan otillåten påverkan avseende personuppgifterna omedelbart undersöka incidenten, vidta lämpliga åtgärder för att åtgärda densamma och för att förhindra upprepning samt informera den Personuppgiftsansvarige genom att tillhandahålla Incidentrapport.
En Incidentrapport ska åtminstone innehålla beskrivning av incidentens art, kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs, beskrivning av sannolika konsekvenser till följd av incidenten och en åtgärdsplan, om lämpligt inbegripet åtgärder för att mildra potentiella negativa effekter. Därtill ska incidentrapport innehålla kontaktuppgift för dataskyddsombud eller andra kontaktpunkter för erhållande av ytterligare information om incidenten.
9. ÖVERFÖRING TILL TREDJE PART
Personuppgiftsbiträdet får inte överföra personuppgifter till tredje man och får heller inte lämna ut information om personuppgiftsbehandlingen till tredje man, utan att i förväg inhämta skriftligt godkännande av den Personuppgiftsansvarige.
10. UNDERLEVERANTÖRER (UNDERBITRÄDEN)
För anlitande eller ersättande av underleverantör för utförande av uppgift som innefattar personuppgiftsbehandling (Underbiträde), ska Personuppgiftsbiträdet först begära skriftligt godkännande för undertecknande av behörig företrädare hos den Personuppgiftsansvarige. Sådan begäran ska innehålla uppgift om Underbiträdets bolagsnamn och kontaktuppgifter, tjänstetyp, säte och geografisk placering där möjligt av infrastruktur relevant för behandlingen av personuppgifter, samt andra uppgifter om Underbiträdet som begärts av den Personuppgiftsansvarige. Personuppgiftsansvarig har rätt att med bindande verkan motsätta sig anlitandet av visst Underbiträde om rimligt fog därför finns.
11. INSYN
I syfte att säkerställa upprätthållandet av lämplig säkerhetsnivå och efterlevnad av detta biträdesavtal, har Personuppgiftsansvarig rätt till erforderlig insyn i de delar av Personuppgiftsbiträdets organisation och system som relaterar till personuppgiftsbehandlingen.
12. SÄRSKILD ERSÄTTNING
Personuppgiftsbiträdet har inte rätt till särskild ersättning för fullgörandet av ansvar och skyldigheter enligt detta biträdesavtal eller för att följa de instruktioner avseende personuppgiftsbehandling som meddelas av den Personuppgiftsansvarige, annat än då det framgår av skriftlig överenskommelse.
13. ÖVERLÅTELSE AV AVTALET
Överlåtelse av detta biträdesavtal får endast ske i samband med överlåtelse av Huvudavtalet och då i enlighet med detsamma.
14. AVTALSTID
Detta avtal gäller så länge Personuppgiftsbiträdet lagrar eller på annat sätt vidtar personuppgiftsbehandling för den Personuppgiftsansvariges räkning.
Vid biträdesavtalets upphörande ska Personuppgiftsbiträdet enligt den Personuppgiftsansvariges instruktion radera eller återlämna all data innehållandes personuppgifter, på samtliga media varpå personuppgifter fixerats, samt därefter radera eventuella kopior.
15. TVISTER OCH TILLÄMPLIG LAG
Svensk rätt tillämpas på avtalet. Efter Tvist i anledning av detta biträdesavtal ska avgöras i enlighet med Huvudavtalets bestämmelse avseende tvistlösning.
16. ÄNDRINGAR
Ändringar och tillägg i detta biträdesavtal ska för giltighet upprättas skriftligen och undertecknas av båda parterna
Detta biträdesavtal har upprättats i två likalydande exemplar varav parterna godkänner avtalet när de ingår i Leverantörsavtal
Namnförtydligande Namnförtydligande
Behörig firmatecknare Behörig firmatecknare