PERSONUPPGIFTSBITRÄDESAVTAL
[ namn ], organisationsnummer [xxxxxx-xxxx],
[ adress ], hädanefter benämnd som "Personuppgiftsansvarig", och Wellfish AB, organisationsnummer 559369-1891, c/o PE Accounting Sweden AB, Box 90255 120 24 Stockholm hädanefter benämnd som "Personuppgiftsbiträde", har dag som nedan ingått följande personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtal”).
Parterna har ingått ett avtal (”Avtal”), genom vilket Personuppgiftsbiträdet ska tillhandahålla hållbarhetsredovisningar till den Personuppgiftsansvarige (”Tjänsten”). Vid fullgörandet av Xxxxxxx kommer Personuppgiftsbiträdet att behandla personuppgifter för den Personuppgiftsansvariges räkning i enlighet med dennes instruktioner och detta Personuppgiftsbiträdesavtal.
Personuppgiftsbiträdet ingår i samma koncern som PE Accounting Sweden AB (556830-3324) (”PE Accounting”). PE Accounting tillhandahåller redovisningstjänster för Personuppgiftsansvariga. Personuppgitsansvariga samtycker genom detta avtal till att Personuppgiftsbiträdet får inhämta personuppgifter i syfte att tillhandahålla tjänsten från PE Accounting. Inhämtade personuppgifter ska behandlas i enlighet med detta avtal.
1.1. GÄLLANDE RÄTT OCH DEFINITIONER
1.2. Gällande Rätt” är den allmänna dataskyddsförordningen (EU) 2016/679 (”Dataskyddsförordningen”) och tillämplig dataskyddslagstiftning. De definitioner som återfinns i Gällande Rätt och som återkommer i detta Personuppgiftsbiträdesavtal har samma innebörd även om de inte inleds med versaler i detta Personuppgiftsbiträdesavtal, t.ex. ”registrerad”, ”personuppgift”, ”behandling”, ”tredjeland” etc.
1.3. ÄNDAMÅLET MED BEHANDLINGEN
1.4. Ändamålet med behandlingen av personuppgifter är att tillhandahålla Tjänsten till den Personuppgiftsansvarige i enlighet med Avtalet (”Ändamål”), se även instruktionerna i Bilaga A.
1.5. Personuppgiftsbiträdet får endast behandla den Personuppgiftsansvariges personuppgifter för Ändamålet och i den mån det är nödvändigt för att uppfylla Personuppgiftsbiträdets skyldigheter enligt detta Personuppgiftsbiträdesavtal samt Avtalet inklusive bilagor.
1.6. Typen av personuppgifter, de kategorier av registrerade vars personuppgifter kommer att behandlas samt behandlingens varaktighet framgår av instruktionerna i Bilaga A.
1.7. De kategorier av personuppgifter som kommer att behandlas framgår av instruktionerna i Bilaga A.
1.8. PERSONUPPGIFTSANSVARIGES SÄRSKILDA ÅTAGANDEN
1.9. Den Personuppgiftsansvarige åtar sig att:
(a) Xxxxxx att det föreligger legal grund för den behandling som Personuppgiftsbiträdet ska utföra,
(b) Tillse att personuppgifter som omfattas av Personuppgiftsbiträdets behandling löpande rättas, raderas eller uppdateras i systemet så att de är korrekta,
(c) Dokumentera, och informera om de kategorier av registrerade samt kategorier av personuppgifter som, utöver de som beskrivits i detta avtal, kommer att behandlas,
(d) Vid behov utfärda dokumenterade instruktioner till Personuppgiftsbiträdet avseende Personuppgiftsbiträdets personuppgiftsbehandling.
1.10. PERSONUPPGIFTSBITRÄDETS SÄRSKILDA ÅTAGANDEN
1.11. Personuppgiftsbiträdet åtar sig att:
(a) Endast behandla personuppgifter i enlighet med Gällande Rätt, detta Personuppgiftsbiträdesavtal och dokumenterade instruktioner från den Personuppgiftsansvarige inbegripet när det gäller överföringar av personuppgifter till ett tredjeland,
(b) Personuppgifter som Behandlas för Personuppgiftsansvariges räkning ska behandlas konfidentiellt. Anställda som har tillgång till de personuppgifter som behandlas för den Personuppgiftsansvariges räkning har erhållit utbildning och fått instruktioner avseende behandling av personuppgifter som de är ålagda att följa. Anställa ska iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt. Personuppgiftsbiträdet eller dess anställda får dock, om dessa är skyldiga enligt tillämplig lagstiftning, eller om det är nödvändigt för fullgörandet av Avtalet eller detta Personuppgiftsbiträdesavtal lämna ut Personuppgifterna.
(c) Vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, i enlighet med vad som krävs i artikel 32 Dataskyddsförordningen,
(d) Med tanke på behandlingens art, bistå den Personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att den Personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter enligt Gällande Rätt,
(e) Vidta nödvändiga åtgärder för att bistå och ska omedelbart meddela Personuppgiftsansvarige avseende oavsiktlig eller obehörig åtkomst till Personuppgifter liksom varje annan personuppgiftsincident, dock senast inom 72 timmar efter kännedom om sådan incident. Med beaktande av typen av behandling och den information som Personuppgiftsbiträdet har att tillgå ska Meddelandet:
(a) beskriva personuppgiftsincidentens art och de kategorier av och det ungefärliga antalet Registrerade samt de kategorier av och det ungefärliga antalet Personuppgifter som berörs;
(b) förmedla namnet på och kontaktuppgifterna till Personuppgiftsbiträdes dataskyddsombud eller andra kontaktpunkter där mer information kan erhållas;
(c) beskriva de sannolika konsekvenserna av personuppgiftsincidenten;
(d) beskriva åtgärder som vidtagits av Personuppgiftsbiträdet, eller som föreslås vidtas, för att hantera personuppgiftsincidenten, inklusive där så är lämpligt, åtgärder för att begränsa dess potentiella negativa effekter.
(f) Personuppgiftsbiträdet ska vidta nödvändiga åtgärder för att bistå Personuppgiftsansvarige i dennes skyldighet att informera registrerade om personuppgiftsincidenter enligt art 34 Dataskyddsförordningen. Personuppgiftsbiträdet har dock inte att kontakta den registrerade direkt med sådan information.
(g) Ge den Personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som fastställs i detta Personuppgiftsbiträdesavtal har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den Personuppgiftsansvarige eller av en annan tredje part som bemyndigats av den Personuppgiftsansvarige. Om inte annat följer av lag ska Personuppgiftsbiträdet ges skälig tid att sammanställa information och en inspektion ske under normal arbetstid och den Personuppgiftsansvarige ska meddela Personuppgiftsbiträdet minst 48 timmar innan.
(h) Säkerställa att eventuell överföring av personuppgifter till tredjeland sker i enlighet med Gällande Rätt vilket till exempel innebär att:
(e) Personuppgifter inte för överföras till en plats utanför EU/EES eller tillåta någon att ha tillgång till personuppgifter från en sådan plats utan Personuppgiftsansvarigs skriftliga tillstånd i förväg om inte sådan rätt uttryckligen framgår av Avtalet.
(f) Vid behandling av personuppgifter utanför EU/EES ska Personuppgiftsbiträdet och/eller det Underbiträde som behandlar personuppgifter utanför EU/EES alltid uppfylla gällande krav enligt Dataskyddsregler för sådan överföring och behandling utanför EU/EES, t.ex.
genom att använda EU:s standardavtalsklausuler i kombination med ytterligare adekvata säkerhetsskyddsåtgärder, såsom kryptering.
(g) Löpande hålla Personuppgiftsansvarig informerad om sådan grund för överföring och i den mån adekvat skyddsnivå inte anses garanterad för en överföring till tredje land eller överföring enligt Personuppgiftsbiträdet eller Personuppgiftsansvarigs uppfattning inte längre kan anses tillåten enligt Gällande Rätt omedelbart upphöra med sådan överföring.
(i) Informera den Personuppgiftsansvarige om man anser att detta Personuppgiftsbiträdesavtal eller de dokumenterade instruktionerna strider mot Gällande Rätt.
(j) Säkerställa att bara sådan personal som behöver direkt åtkomst till Personuppgifter för att uppfylla Personuppgiftsbiträdets åtaganden under Personuppgiftsbiträdesavtalet ska ha åtkomst till sådan information. Personuppgiftsbiträdet ska säkerställa att sådan personal är förpliktad att behandla Personuppgifterna med sekretess på samma sätt som Personuppgiftsbiträdet är i enlighet med detta Personuppgiftsbiträdesavtal och att de informeras om hur de får behandla Personuppgifterna.
(k) På den Personuppgiftsansvarigas begäran bistå denna i fullgörande av dess skyldigheter enligt Art. 35 – 36 om Personuppgiftsbiträdets behandling av personuppgifter genom användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter.
1.12. UNDERLEVERANTÖRER OCH TREDJE LAND
1.13. Personuppgiftsbiträdet får anlita underleverantörer som underbiträden, under förutsättning att Personuppgiftsbiträdet ingår ett bindande skriftligt personuppgiftsbiträdesavtal med sådana underleverantörer som innebär att underleverantören åtminstone måste uppfylla de åtaganden och iaktta de begränsningar gällande personuppgiftsbehandling och revision som gäller för Personuppgiftsbiträdet enligt detta Personuppgiftsbiträdesavtal.
1.14. Personuppgiftsbiträdet ansvarig gentemot den Personuppgiftsansvarige för utförandet av underleverantörens skyldigheter.
1.15. Om Personuppgiftsbiträdet önskar anlita en ny underleverantör som underbiträde ska Personuppgiftsbiträdet underrätta den Personuppgiftsansvarige om detta på förhand. Den Personuppgiftsansvarige har rätt att motsätta sig ändringar av anlitade underbiträden.
1.16. Personuppgiftsbiträdet får överföra Personuppgifter till tredje land under förutsättning att Personupgiftsbiträdet säkerställer att det finns lämpliga skyddsåtgärder på plats enligt tillämplig personuppgiftslagstiftning såsom
standardiserade dataskyddsbestämmelser som antagits av EU-kommissionen. Personuppgiftsbiträdet ska informera Personuppgiftsansvariga om överföring till tredjeländer, vilka skyddsåtgärder som vitagits samt om personuppgifter överförs till nytt tredje land. Den Personuppgiftsansvarige har rätt att motsätta sig sådan överföring.
1.17. Om Personuppgiftsansvarige motsätter sig överföring till underleverantör eller tredje land enligt 5.3 eller 5.4 ovan ska sådant motsättande ske inom 14 dagar från att Personuppgiftsansvarige fått kännedom om överföringen. Om sådan invändning sker är Personupppgiftsansvarige införstådd med och accepterar att Personuppgiftsbiträdets möjligheter att leverera Tjänsten kan begränsas eller omöjliggörs. I ett sådant fall har Personuppgiftsbiträdet ingen skyldighet att tillhandahålla Tjänsten.
1.18. Vid detta Personuppgiftsbiträdesavtals ingående anlitar Personuppgiftsbiträdet de underbiträden och överför Personuppgifter till tredje land som framgår på bilaga. Den Personuppgiftsansvarige godkänner att Personuppgiftsbiträdet anlitar de underbiträden och överför personuppgifter till de tredje länder som framgår på webbsidan vid detta Personuppgiftsbiträdesavtals ingående.
1.19. ERSÄTTNING
1.20. Personuppgiftsbiträdet har rätt till skälig ersättning för arbete, och full ersättning för kostnader, i samband med sådant arbete som avses i punkterna 1.10(c) – (e) samt 1.26 avseende återlämnande av personuppgifter. Ersättning för punkt 1.10(d) – (k) utgår bara om Personuppgiftsansvarig begär arbete som Personuppgiftsbiträdet anser vara utöver det arbete krävs för att uppfylla sina sklydligheter enligt Gällande Rätt. Personuppgiftsbiträdet åtar sig att redovisa kostnaderna och hur beräkningen av ersättningen har skett.
1.21. UTLÄMNANDE AV PERSONUPPGIFTER OCH INFORMATION
1.22. Om det till Personuppgiftsbiträdet kommer in en begäran från registrerad, tillsynsmyndighet eller annan tredje man om att få ta del av uppgifter som Personuppgiftsbiträdet behandlar för Personuppgiftsansvariges räkning ska Personuppgiftsbiträdet utan dröjsmål vidarebefordra begäran till Personuppgiftsansvarige. Personuppgiftsbiträdet, eller den som arbetar under Personuppgiftsbiträdets ledning, får inte lämna ut Personuppgifter eller annan information om behandlingen av Personuppgifter utan uttrycklig dokumenterad instruktion om detta från Personuppgiftsansvarige om inte sådan skyldighet föreligger enligt Gällande Rätt. För det fall Personuppgiftsbiträdet, enligt Gällande Rätt, är förpliktad att lämna ut Personuppgifter, ska Personuppgiftsbiträdet vidta alla åtgärder för att begära sekretess i samband med att begärd information lämnas ut samt omedelbart informera Personuppgiftsansvarige om detta i den
mån Personuppgiftsbiträdet inte är förhindrad att göra detta enligt gällande Xxxxxxxx Xxxx.
1.23. KONTAKT MED TILLSYNSMYNDIGHETEN
1.24. Personuppgiftsbiträdet ska informera Personuppgiftsansvarige om eventuella kontakter från tillsynsmyndigheten som rör behandling av Personuppgifter för Personuppgiftsansvariges räkning. Personuppgiftsbiträdet har inte rätt att företräda Personuppgiftsansvarige eller agera för Personuppgiftsansvariges räkning gentemot tillsynsmyndighet.
1.25. AVTALSTID OCH UPPHÖRANDE
1.26. Detta Personuppgiftsbiträdesavtal gäller från och med det datum när behöriga företrädare för både den Personuppgiftsansvarige och Personuppgiftsbiträdet har undertecknat Avtalet. Detta Personuppgiftsbiträdesavtal gäller så länge Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning. Om Avtalet eller dess bilagor som innebär att Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning upphör och nytt sådant avtal träffas utan att ett nytt personuppgiftsbiträdesavtal träffas, gäller detta Personuppgiftsbiträdesavtal även för det nya avtalet. Detta Personuppgiftsbiträdesavtal kan endast sägas upp på de villkor som anges i det/de avtal som ger Personuppgiftsbiträdet i uppdrag att behandla personuppgifter för den Personuppgiftsansvariges räkning.
1.27. Vid uppsägning av detta Personuppgiftsbiträdesavtal ska Personuppgiftsbiträdet ombesörja att allt bokföringsmaterial, i enlighet med den Personuppgiftsansvariges instruktioner och på ett säkert sätt, återlämnas till den Personuppgiftsansvarige (eller av denna utsedd tredje part). Personuppgiftsbiträdet bevarar den Personuppgiftsansvariges bokföringsmaterial och tillhörande data i Personuppgiftsbiträdets system i 36 månader efter Avtalets upphörande för att, mot skälig avgift, kunna vara behjälplig vid olika insatser som kräver god spårbarhet så som due diligence, upprättande av datarum, projekthistorik, skatterevision m.m. I övrigt upphör behandlingen enligt de tidsangivelser som finns under 1.6.
1.28. När detta Personuppgiftsbiträdesavtal upphör att gälla ska Personuppgiftsbiträdet, på den Personuppgiftsansvariges begäran och enligt dennes val, återlämna eller permanent radera alla personuppgifter som behandlats under Personuppgiftsbiträdesavtalet efter att tidsperioden i punkt 9.2 löpt ut, såvida inte Personuppgiftsbiträdet enligt lag, myndighets- eller domstolsbeslut är skyldig att spara en kopia av personuppgifterna.
1.29. Vid Avtalets upphörande ska Personuppgiftsansvariga skriftligen instruera Personuppgiftsbiträdet om de Personuppgifter som Personuppgiftsbiträdet
behandlat för Personuppgiftsansvarigas räkning inom ramen för detta Personuppgiftsbiträdesavtal och om dessa ska (i) återlämnas till den Personuppgiftsansvariga eller (ii) oåterkalleligt raderas. Om Personuppgiftsansvariga inte inkommer med sådan instruktion inom den tid som Personuppgiftsbiträdet bevarar uppgifterna enligt 9.2 – 9.3 ovan, ska Personuppgiftsbiträdet oåterkalleligt radera Personuppgifterna utan onödigt dröjsmål.
1.30. ANSVAR
1.31. Personuppgiftsbiträdet ansvarar för skada som den Personuppgiftsansvarige orsakats genom en felaktiga behandling i strid med vad som anges i detta Personuppgiftsbiträdesavtal eller i Dataskyddsförordningen som Personuppgiftsbiträdet enligt dom eller tillsynsbeslut är skyldigt att ersätta. Personuppgiftsansvarige har att meddela Personuppgiftsbiträdet så snart sådan skada uppstår eller då den Personuppgiftsansvarige får kännedom om sådant skadeståndsanspråk. Personuppgiftsbiträdets skadeståndsansvar är dock begränsat till det belopp som anges i Avtalet.
1.32. Personuppgiftsbiträdet behandlar i egenskap av personuppgiftsbiträde personuppgifter så som de erhålles från den Personuppgiftsansvarige och har inte något ansvar för eventuella följder av att erhållna personuppgifter visar sig vara felaktiga. Den Personuppgiftsansvarige ansvar vidare för att personuppgifterna samlats in och att de registrerade har fått information enligt Gällande Rätt samt att en legal grund föreligger för behandlingen.
1.33. RANGORDNING
1.34. Vid motstridigheter i detta personuppgiftsbiträdesavtal, Personuppgiftsbiträdes Avtal, ”Licensvillkor” samt ”Allmänna villkor srf konsulterna” ska, vad gäller skyddet av personuppgifter, detta avtal ha företräde. Vid övriga motstridigheter, som inte direkt är hänförliga till skydd av personuppgifter, ska följande tolkningsordning gälla såvida annat inte uttryckligen avtalats;
i. Avtalet
ii. Licensavtalet (inklusive tilläggsavtal)
iii. Allmänna villkor srf konsulterna
iv. Personuppgiftsbiträdesavtalet
1.35. TILLÄMPLIG LAG OCH TVISTLÖSNING
1.36. De lagvals- och tvistlösningsmekanismer som anges i Avtalet ska även tillämpas på detta Personuppgiftsbiträdesavtal.
1.37. Vid avsaknad av lagvals- och tvistlösningsmekanismer i Avtalet enligt avsnitt 1.35 ovan, eller om parterna inte har ingått något sådant avtal, ska följande tillämpas:
(h) svensk lag ska tillämpas på detta Personuppgiftsbiträdesavtal,
(i) tvist med anledning av detta Personuppgiftsbiträdesavtal ska slutligt avgöras av svensk domstol med Stockholms Tingsrätt som första instans.
Detta Personuppgiftsbiträdesavtal har upprättats i två (2) exemplar varav parterna tagit var sitt.
För den Personuppgiftsansvarige För Personuppgiftsbiträdet
Datum och ort - Datum och ort –
Underskrift Underskrift
Namnförtydligande Namnförtydligande
Position Position
Bilaga A - Instruktioner för behandling av personuppgifter
Utöver vad som framgår av Xxxxxxx förbinder sig Personuppgiftsbiträdet att behandla personuppgifter i enlighet med följande instruktioner.
1. Kategorier av personer som berörs av behandlingen
1.1. De kategorier av registrerade vars personuppgifter Personuppgiftsbiträdet ska behandla är:
(a) Den Personuppgiftsansvariges användare
(b) Den Personuppgiftsansvariges anställda
(c) Personer hos tredje part som förekommer i bokföringsunderlag eller på annat sätt omnämns relaterat till den Personuppgiftsansvariges ekonomi och administration och som krävs för att tillhandahålla Tjänsten.
2. Personuppgifter
2.1. De kategorier av personuppgifter som Personuppgiftsbiträdet ska behandla innefattar alla eventuella personuppgifter förekommande i data hänförlig till den Personuppgiftsansvariges ekonomi och administration som krävs för att tillhandahålla Tjänsten. Det innefattar följande personuppgifter:
(j)
(k) Kontaktuppgifter till personer hos tredje part omfattande namn, e-postadress, telefonnummer och roll behandlas om de krävs för att tillhandahålla Tjänsten. Personuppgiftsansvarig ser till att listan underhålls löpande. Listan raderas automatiskt i anslutning till Avtalets upphörande då Personuppgiftsansvarigs konton tas bort.
(l) Personuppgifter i bokföringsdata och underlag, t.ex. lönespecifikationer, kvitton för personalrepresentation, körjournaler eller kontaktuppgifter på kund- och leverantörsfakturor behandlas enligt bokföringslagen i minst 7 år efter det kalenderår då räkenskapsåret avslutades. Raderas därefter på begäran av den Personuppgiftsansvarige eller 36 månader efter Avtalets upphörande.
3. Ändamål
Personuppgiftsbiträdet får endast behandla den Personuppgiftsansvariges personuppgifter för att tillhandahålla Tjänsten samt i den mån det är nödvändigt för att uppfylla Personuppgiftsbiträdets skyldigheter enligt detta Personuppgiftsbiträdesavtal och Avtalet.
4. Underbiträden
Underbiträde | Syfte | Personuppgifter som delas |
GoClimate Sweden AB 559130-6583 | Beräkningar inför hållbarhetsredovisningen | Samtliga |
5. Överföring till tredje länder
Underbiträde | Land | Vidtagna säkerhetsåtgärder |