PERSONUPPGIFTSBITRÄDESAVTAL (2020-04-15)

PERSONUPPGIFTSBITRÄDESAVTAL (2020-04-15)

Detta Personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtalet”) gäller mellan Loopia AB, org. nr 556633-9304 (”Leverantören”) och Xxxxxx som valt att ingå detta Personuppgiftsbiträdesavtal med Leverantören (”Kunden”).

1. Allmänt

1.1 Detta Personuppgiftsbiträdesavtal utgör en integrerad del av avtalet som ingåtts mellan Leverantören och Kunden (”Avtalet”).

1.2 Leverantören kommer vid fullföljandet av Avtalet att behandla Personuppgifter för Kundens räkning såsom Kundens person uppgiftsbiträde. Kunden är personuppgiftsansvarig för behandlingen av Personuppgifterna.

1.3 Om någon annan tillsammans med Xxxxxx är personuppgiftsansvarig för de aktuella Personuppgifterna ska Kunden informera Leverantören om detta.

1.4 Syftet med detta Personuppgiftsbiträdesavtal är att Xxxxxx och Leverantören ska uppfylla vid var tid gällande krav på personuppgiftsbiträdesavtal och förpliktelser enligt Dataskyddsregler samt att säkerställa ett adekvat skydd för personlig integritet och grundläggande rättigheter för enskilda i samband med överföring av Personuppgifter från Xxxxxx till Leverantören inom ramen för de tjänster Leverantören utför åt Kunden under Avtalet.

2. Definitioner

”Dataskyddsregler” avser vid var tid gällande lag eller förordning som ska tillämpas på behandling av Personuppgifter vilket innefattar men inte är begränsat till personuppgiftslagen (1998:204) och från den 25 maj 2018 Europaparlamentets och Rådets Förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (”Dataskyddsförordningen”) vilken ersätter personuppgifts lagen (1998:204); samt Tillsynsmyndighets bindande beslut och föreskrifter samt tillkommande lokal anpassning och reglering avseende dataskydd.

”Kunden” avser den part som anges i ingressen ovan, i den mån Kunden ingår detta avtal för andra tjänste mottagares räkning i enlighet med Avtalet ska dock definitionen ”Kund” i tillämpliga delar även avse sådana tjänstemottagare om inte annat uttryckligen framgår av detta Personuppgiftsbiträdesavtal.

”Leverantören” avser den part som anges i ingressen ovan.

”Personuppgifter” avser varje upplysning som avser en identifierad eller identifierbar fysisk person (en Registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hän visning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet, som Leverantören behandlar för Kundens räkning under detta Personuppgiftsbiträdesavtal.

”Registrerad” avser den fysiska person som en Personuppgift avser.

”Tillsynsmyndighet” avser den eller de tillsynsmyndigheter som har behörighet att bedriva tillsyn över behandling av Person- uppgifter eller anses vara berörd tillsynsmyndighet enligt Dataskyddsregler, t.ex. Datainspektionen.

”Underbiträde” avser den som behandlar Personuppgifter som underleverantör åt Leverantören (vilket innefattar men inte är begränsat till Leverantörens koncernbolag).

2.1 Eventuella övriga definitioner med stor begynnelsebokstav, eller som i övrigt kan relateras till behandling av person- uppgifter, som används i detta Personuppgiftsbiträdesavtal ska, om inget annat uttryckligen anges, ha den innebörd och betydelse som framgår i första hand av Dataskyddsregler och annars av Avtalet om inte omständigheterna uppenbarligen talar för annan tolkningsordning.

3. Ansvar och instruktion

3.1 Kunden är personuppgiftsansvarig för samtliga Personuppgifter som Leverantören behandlar för Kundens räkning under Avtalet. Xxxxxx ansvarar därmed för att gällande Dataskyddsregler följs. Kunden har skyldighet att informera Leverantören om eventuell förändring i Kunds verksamhet som gör att Leverantören behöver vidta någon form av åtgärd eller förändrad rutin gällande innehållet i Dataskyddsregler. Utöver de krav som gäller direkt för Leverantören enligt Dataskyddsregler ska Leverantören vara skyldig att följa vid var tid gällande krav i Dataskyddsregler samt gällande rekommendationer från Tillsynsmyndighet. Kunden ska även löpande informera Leverantören om tredje parts, däribland Tillsynsmyndighets och Registrerads, åtgärder med anledning av behandlingen.

3.2 Leverantören och den eller de personer som arbetar under Leverantörens ledning ska endast behandla Personuppgifter i enlighet med Kundens dokumenterade instruktioner och inte för några andra ändamål än dem som Leverantören anlitats för och som anges i detta Personuppgiftsbiträdesavtal. De instruktioner som gäller vid Personuppgiftsbiträdesavtalets

ingående framgår av Bilaga 1. Utöver de särskilda instruktioner som framgår av Bilaga 1 ska detta Personuppgiftsbiträdesavtal och Avtalet i övrigt anses utgöra Kundens samtliga instruktioner till Leverantören avseende behandling av Personuppgifter. Kunden ska omedelbart informera Leverantören om förändringar vilka påverkar Leverantörens skyldigheter enligt detta Personuppgiftsbiträdesavtal.

3.3 Behandling får även ske om sådan behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Leverantören eller Underbiträde omfattas av. Om behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Leverantören eller Underbiträde omfattas av ska Leverantören eller Underbiträdet informera Kunden om det rättsliga kravet innan behandlingen, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt sådan rätt.

3.4 Till undvikande av missförstånd, Leverantören har rätt att under Personuppgiftsbiträdesavtalets giltighetstid och därefter lagra och behandla data som härrör från Kunden i aggregerat eller anonymiserat format, d.v.s. data som inte innehåller Person- uppgifter.

4. Säkerhet m.m.

4.1 Leverantören ska vidta de åtgärder som krävs för att uppfylla Artikel 32 i Dataskyddsförordningen. Leverantören ska därvid säkerställa en säkerhetsnivå som är lämplig i förhållande till risken som behandlingen medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som behandlas.

4.2 Leverantören ska även bistå Xxxxxx med att se till att skyldigheterna enligt Artiklarna 32-36 i Dataskyddsförordningen fullgörs, med beaktande av typen av behandling och den information som Leverantören har att tillgå. Leverantören skall säkerställa att personer med behörighet att behandla Personuppgifterna antingen omfattas av en lagstadgad tystnadsplikt eller har åtagit sig det i ett bindande avtal. Tystnadsplikten skall gälla även efter det att detta Personuppgiftsbiträdesavtal upphört att gälla. Åtkomst till Personuppgifterna skall begränsas till sådana personer som behöver dem för att kunna utföra sina arbetsuppgifter.

5. Utlämnande av Personuppgifter och information

5.1 Om det till Leverantören kommer in en begäran från Registrerad, Tillsynsmyndighet eller annan tredje man om att få ta del av uppgifter som Leverantören behandlar för Kundens räkning ska Leverantören utan dröjsmål vidarebefordra begäran till Xxxxxx. Leverantören, eller den som arbetar under Leverantörens ledning, får inte lämna ut Personuppgifter eller annan information om behandlingen av Personuppgifter utan uttrycklig instruktion om detta från Xxxxxx om inte sådan skyldighet föreligger enligt gällande Dataskyddsregler.

5.2 Leverantören ska, med tanke på behandlingens art, hjälpa Xxxxxx genom tekniska och organisatoriska åtgärder, i den mån det är möjligt, så att Kunden kan fullgöra sin skyldighet att svara på begäran från den Registrerade vid den Registrerades utövande av sina rättigheter enligt Dataskyddsregler i enlighet med kapitel III i Dataskyddsförordningen.

5.3 Kunden ska utge separat ersättning till Leverantören för Leverantörens arbete med anledning av sina åtaganden enligt denna punkt i enlighet med Leverantörens vid var tid gällande timpriser.

6. Kontakt med Tillsynsmyndigheten

Leverantören ska informera Xxxxxx om eventuella kontakter från Tillsynsmyndigheten som rör behandling av Person- uppgifter.

7. Underbiträden

7. 1 Personuppgifter får behandlas av ett Underbiträde under förutsättning att Leverantören på Kundens vägnar ingår ett skriftligt avtal eller annan rättsakt enligt unionsrätten där Underbiträdet åläggs motsvarande skyldigheter i fråga om dataskydd som Leverantören åläggs enligt detta Personuppgiftsbiträdesavtal.

7.2 Leverantören åtar sig att informera Xxxxxx om eventuella planer på att anlita nya Underbiträden eller ersätta Underbiträden. Kunden har rätt att invända mot sådana förändringar. Sådan invändning får endast hänföra sig till objektiva grunder hänförliga till exempelvis säkerheten av behandlingen enligt Personuppgiftsbiträdesavtalet. Om Kunden gör en sådan befogad invändning och Leverantören inte accepterar att byta ut aktuellt Underbiträde har Leverantören rätt till extra ersättning av Xxxxxx för de kostnader som Leverantören drabbas av p.g.a. aktuellt Underbiträde inte kan användas. Leverantören har även rätt att säga upp Avtalet och/eller detta Personuppgiftsbiträdesavtal helt eller delvis, t.ex. vad avser viss tilläggstjänst med trettio (30) dagars uppsägningstid.

7. 3 Leverantören är särskilt ansvarig för att tillse att Artiklarna 28.2 och 28.4 i Dataskyddsförordningen beaktas vid anlitande av Underbiträden och att tillse att sådant Underbiträde ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i Dataskyddsförordningen.

7. 4 Leverantören ska på begäran från Kunden tillhandahålla Kunden (och om så begärs, Kundens kunder som är person- uppgiftsansvariga) en korrekt och uppdaterad lista om vilka Underbiträden som anlitats av Leverantören för behandlingen av Personuppgifter, kontaktuppgifter till dessa samt den geografiska placeringen för sådan behandling.

8. Rätt till insyn

8. 1 Leverantören ska ge Kunden tillgång till all information som krävs för att visa att de skyldigheter som följer av Artikel 28 i Dataskyddsförordningen har fullgjorts inom skälig tid efter sådan begäran framställts av Xxxxxx till Leverantören. Detta medför bland annat att Xxxxxx, i egenskap av personuppgiftsansvarig, har rätt att vidta nödvändiga åtgärder för att verifiera att Leverantören kan fullfölja sina åtaganden enligt detta Personuppgiftsbiträdesavtal och att Leverantören faktiskt

har vidtagit åtgärder för att säkerställa detta.

8.2 Leverantören ska även möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Kunden eller av en annan oberoende revisor

9. Överföring av Personuppgifter utanför EU/EES

Överföring av Personuppgifter av Leverantören eller av Underbiträde till en plats utanför EES-området (s.k. tredje land) får vidtas förutsatt att vid var tid gällande krav för sådan överföring enligt Xxxxxxxxxxxxxxxx uppfylls. Leverantören ska vid sådan överföring tillämpa, och i förhållande till Underbiträde i tredje land för Kundens räkning ingå avtal där Underbiträdet åläggs att tillämpa, EU:s standardklausuler (2010/87/EU) eller de standardklausuler som ersätter dessa efter eventuellt beslut av

EU-kommissionen och/eller EU-domstolen.

10. Sekretess

10. 1 Leverantören ska säkerställa att personer med behörighet att behandla Personuppgifterna antingen omfattas av en lagstadgad tystnadsplikt eller har åtagit sig det i ett bindande avtal. Tystnadsplikten ska gälla även efter det att detta Person- uppgiftsbiträdesavtal upphört att gälla. Åtkomst till Personuppgifterna skall begränsas till sådana personer som behöver dem för att kunna utföra sina arbetsuppgifter.

10.2 Åtagandet i punkt 10.1 ovan gäller inte information som Leverantören föreläggs utge till myndighet eller enligt Dataskydds- regler eller annan lagstadgad skyldighet. Sekretessåtagandet gäller under Avtalets giltighetstid och därefter.

11. Dataportabilitet

Leverantören ska tillse att Kunden kan uppfylla eventuell att möjliggöra dataportabilitet avseende Personuppgifter som Leverantören behandlar för Kundens räkning.

12. Ersättning

12.1 Leverantören ska ha rätt till full ersättning från Kunden för samtligt arbete och samtliga kostnader som uppstår till följd av fullgörande av punkterna 8, 11, och 15.1 som beror på instruktioner för behandling av personuppgifter som Kunden ger Leverantören och som går utöver vad som framgår av Bilaga 1 eller de funktioner och den säkerhetsnivå som följer av de tjänster som Leverantören normalt erbjuder sina kunder, t.ex. vad gäller Leverantörens servertjänster och sådant som kräver att Leverantören behöver göra specialanpassningar på beställning av Kunden. Leverantören ska även ha rätt till ersättning för sitt arbete med anledning av sina åtaganden enligt punkten 5. Samtligt arbete som Leverantören har rätt till ersättning för enligt denna punkt ska ersättas i enlighet med Leverantörens vid var tid gällande timpriser. Kostnadsersättning ska ersättas med Leverantörens faktiska havda kostnader.

13. Ansvar

13.1 Om Leverantören, den som arbetar under Leverantörens ledning eller av Leverantören anlitat Underbiträde behandlar Personuppgifter i strid med detta Personuppgiftsbiträdesavtal eller de lagenliga anvisningar som Kunden har lämnat, ska Leverantören med beaktande av de ansvarsbegränsningar som följer av Avtalet, ersätta Xxxxxx för den direkta skada som Kunden har orsakats på grund av den felaktiga behandlingen, inklusive skadestånd och administrativa sanktionsavgifter som Kunden behövt erlägga till tredje man. Xxxxxx ansvarsbegränsning enligt Avtalet ska Leverantörens ansvar enligt denna punkt

13.1 alltid vara begränsat till ett belopp motsvarande de avgifter som Kunden erlagt till Leverantören under Avtalet under en period om tolv (12) månader innan skadan uppstod.

13.2 Om Kunden, den som arbetar under Xxxxxxx ledning eller av Kunden anlitad tredje part orsakar Leverantören skada som beror på otydliga, bristfälliga eller otillåtna instruktioner från Kunden, bristfällig information från Kunden om vilka kategorier av uppgifter som behandlas (t.ex. om känsliga Personuppgifter behandlas utan att Kunden informerat Leverantören om detta) eller som annars beror på brott mot detta Personuppgiftsbiträdesavtal, ska Kunden ersätta Leverantören för sådan skada, inklusive skadestånd och administrativa sanktionsavgifter som Leverantören behövt erlägga till tredje man.

13.3 Leverantörens ersättningsskyldigheter avseende krav och skador enligt denna punkt 13 gäller under förutsättning att i (Kunden utan onödigt dröjsmål skriftligen underrättar Leverantören om krav som framställts mot Kunden; och ii) Kunden låter Leverantören kontrollera försvaret av kravet och ensam fatta beslut om eventuell förlikning.

14. Avtalstid och åtgärder vid upphörande

Personuppgiftsbiträdesavtalet gäller från dess undertecknande och så länge som Leverantören behandlar Personuppgifter för Kundens räkning.

15. Ändringar i Personuppgiftsbiträdesavtalet

15.1 Om Dataskyddsregler ändras under tiden för Personuppgiftsbiträdesavtalet, eller om Tillsynsmyndighet utfärdar riktlinjer, beslut eller föreskrifter kring tillämpningen av Dataskyddsregler som föranleder att detta Personuppgiftsbiträdesavtal inte uppfyller de krav som ställs på ett personuppgiftsbiträdesavtal ska parterna i god anda diskutera nödvändiga förändringar av detta Personuppgiftsbiträdesavtal för att tillgodose sådana nya eller tillkommande krav. Sådan ändring träder ikraft enligt parternas skriftliga överenskommelse därom, eller annars senast inom sådan tidsperiod som anges i Dataskyddsregler, Tillsynsmyndighets riktlinjer, beslut eller föreskrifter. Leverantören har rätt till skälig ersättning för eventuellt arbete, kostnader och utgifter som sådana ändringar föranleder.

15.2 Övriga ändringar av och tillägg till detta Personuppgiftsbiträdesavtal ska för att vara bindande upprättas skriftligen och vara behörigen undertecknade av parterna.

16. Övrigt

16.1 I övrigt ska vad som sägs i Avtalet äga tillämpning även för Leverantörens behandling av Personuppgifter och åtagandena under detta Personuppgiftsbiträdesavtal. Vid oenighet mellan bestämmelserna i Avtalet och detta Personuppgiftsbiträdesavtal ska dock bestämmelserna i Personuppgiftsbiträdesavtalet äga företräde i förhållande till all behandling av Personuppgifter och inget i Avtalet ska anses begränsa eller ändra åtaganden i detta Personuppgiftsbiträdesavtal i den mån att detta skulle medföra att någon part inte uppfyller kraven enligt Dataskyddsregler.

16.2 Svensk lag ska under alla omständigheter tillämpas på detta Personuppgiftsbiträdesavtal.

Tvister som uppstår i anledning av detta Personuppgiftsbiträdesavtal ska lösas i enlighet med tvistlösningsbestämmelsen i Avtalet.