Biträdesavtal
Biträdesavtal
mellan
[Företaget] och Hippoly AB
Innehåll
1. Inledning 3
2. Lagar 3
3. Personuppgifter och behandlingsaktiviteter 4
4. Roller och instruktioner 4
5. Konfidentialitet 4
6. Säkerställa de registrerades rättigheter 4
7. Informationssäkerhet 5
8. Fysisk lagring av personuppgifter 5
9. Underbiträden 5
10. Stöd till Ansvarig 5
11. Personuppgiftsincidenter 6
12. Regelefterlevnad, revision osv. 7
13. Information 7
14. Ansvar och administrativa sanktionsavgifter 7
15. Avtalsbestämmelser ogiltighet 8
16. Villkor och uppsägning 8
17. Lagval och plats för tvist 8
18. Underskrifter 9
Bilagor
Bilaga A Instruktion för behandlingen
Ansvarig
Företaget
Att: Kontaktperson Postadress
Post nr, Ort
Bolaget är registrerat i Sverige med organisationsnummer xxxxxx-xxxx
Biträde Hippoly AB Rosengatan
411 09 Göteborg
Bolaget är registrerat i Sverige med organisationsnummer 556244 - 6384
Ansvarig och Biträdet hänvisas individuellt till som “Part” och gemensamt som “Parterna” Parterna har ingått detta biträdesavtal (“Avtalet”):
1. Inledning
1.1 Detta Avtal har ingåtts i samband med Ansvariges användande av den digitala tjänsten Xxxxxxx där den Ansvarige har accepterat villkoren i Tjänste- och Användarvillkoren (”Huvudavtalet”).
1.2 I den mån Biträdets Tjänster enligt Huvudavtalet inbegriper personuppgifts- behandling ska detta Avtal reglera Parternas ansvar för personuppgiftsbehandlingen.
1.3 Om inget annat framgår av detta Avtal så ska de definitioner som återfinns i GDPR användas i detta Avtal.
1.4 Huvudavtalet reglerar frågor gällande de Xxxxxxxx som ska tillhandahållas som ej berör personuppgiftsbehandling. Vid eventuella avvikelser mellan detta Avtal och Huvudavtalet, dess bilagor eller annat avtal mellan Parterna gällande personuppgiftsbehandlingen så ska detta Avtal gälla.
1.5 Hänvisning till detta Avtal inbegriper även en hänvisning till samtliga bilagor till detta avtal.
1.6 Huvudavtalet ska vara konfidentiellt i relation till underbiträden. Underbiträden ska endast få ta del av innehållet i detta Avtal och bara i den mån det är nödvändigt.
2. Lagar
2.1 Parterna känner till GDPR som antogs den 24 maj 2016 och träder i kraft i Sverige den 25 maj 2018 och att Parterna är föremål för GDPR.
2.2 GDPR blir per automatik tillämpligt på detta avtal samt på Ansvarig och Biträdet. Parterna är medvetna om att avtalet kan behöva justeras i enlighet med rättsutvecklingen och Parterna åtar sig att godkänna sådana justeringar.
3. Personuppgifter och behandlingsaktiviteter
3.1 Detta Avtal reglerar personuppgifter, de registrerade, ändamålet och behandlingsaktiviteter samt andra ärenden och skyldigheter relaterade till personuppgiftsbehandlingen som beskrivs i Bilaga A.
4. Roller och instruktioner
4.1 Biträdet är personuppgiftsbiträde i enlighet med tillämplig lagstiftning och behandlar personuppgifter på uppdrag av Ansvarig som är personuppgiftsansvarig i enlighet med tillämplig lagstiftning.
4.2 Ansvarig bestämmer ändamålet för och hur Biträdet får behandla personuppgifter. Biträdet får inte behandla personuppgifter för eget ändamål om det inte uttryckligen överenskommits i Bilaga A.
4.3 Biträdet får endast behandla personuppgifter i enlighet med de instruktioner lämnade från den Ansvarige i Bilaga A eller andra skriftliga instruktioner om det inte krävs enligt unionsrätten eller lokal lagstiftning som Biträdet omfattas av. Biträdet måste meddela Ansvarig om sådana lagkrav innan behandlingen påbörjas, om inte lagkraven förbjuder Biträdet att informera Ansvarig.
4.4 Biträdet ska säkerställa att samtliga individer som behandlar personuppgifter åt Biträdet ska ha adekvat kunskap om GDPR och rutinerna för behandling av personuppgifter.
4.5 Ansvarig garanterar att Personuppgifterna som överförs till Biträdet är insamlade, behandlade och överförda i enlighet med gällande dataskyddslagstiftning, exempelvis gällande legal grund för behandling samt kraven på information till den registrerade.
4.6 Parterna är överens om att i god tro förhandla om skälig ersättning till Biträdet om förändringar i tillämplig lagstiftning eller tolkning därav innebär materiellt ökade kostnader för Biträdet.
5. Konfidentialitet
5.1 Personuppgifter som tillhandahålls till Biträdet från den Ansvarige eller som Biträdet i övrigt kommer i kontakt med inom ramen för Tjänsterna är konfidentiella.
5.2 Biträdet ska tillse att endast de anställda och andra personer som, vid varje givet tillfälle, behöver behandla Personuppgifterna som en del av sin arbetsuppgift är behöriga att göra det.
5.3 Biträdet måste tillse att de individer som är behöriga att behandla Ansvariges Personuppgifter är bundna av sekretess gällande Personuppgifterna eller att de omfattas av en lagstadgad sekretess.
6. Säkerställa de registrerades rättigheter
6.1 Med beaktande av personuppgiftsbehandlingen och den tillgängliga informationen för Biträdet ska Biträdet vidta tekniska och organisatoriska åtgärder för att bistå den Ansvarige med att tillse att skyldigheterna enligt Avsnitt 3 i GDPR fullgörs, det vill
säga att besvara förfrågningar från den registrerade om att denne vill utöva sina rättigheter så som rätten till information, rätten till rättelse, rätten till radering osv.
7. Informationssäkerhet
7.1 Biträdet ska uppfylla de allmänna krav på säkerhet som föreskrivs i tillämplig dataskyddslagstiftning. Dokumentation om detta ska kunna uppvisas på Ansvariges begäran.
7.2 Vidare har Biträdet utvecklat interna dataskyddsbestämmelser, som beskrivs i Biträdets dataskyddspolicy, som har till syfte att skydda konfidentialiteten, integriteten och tillgången till Personuppgifter. Följande åtgärder är särskilt viktiga i detta sammanhang:
- Klassificering av Personuppgifter för att säkerställa genomförandet av skyddsåtgärder som motsvarar riskbedömningarna.
- Begränsa tillgången till Personuppgifter genom att förbjuda personal att inhämta, bearbeta och/eller använda Personuppgifter utan tillstånd och för andra syften än att leverera tjänsten och fullgöra skyldigheterna enligt detta avtal.
- Hantera system som upptäcker, förhindrar och rapporterar tillbud.
- Kartlägga de komponenter som ingår i säkerhetsarkitekturen vid varje tidpunkt.
- Kartlägga hur Personuppgifter överförs mellan parterna (Ansvarig och Biträde med underbiträden) och komponenter/system som medverkar i Behandlingen av Personuppgifter.
8. Fysisk lagring av personuppgifter
8.1 Biträdet ska ingå EU-kommissionens standardavtalsklausul för överföring av personuppgifter från personuppgiftsansvarig till personuppgiftsbiträde utanför EES i enlighet med kommissionens beslut av den 5 februari 2010 (eller senare version) alternativt implementera andra, enligt GDPR godkända, legala mekanismer för överföring av personuppgifter till tredjeland.
9. Underbiträden
9.1 Som en del av leveransen av tjänster till den Ansvarige kan Biträdet använda sig av underleverantörer. Biträdet ska säkerställa att underleverantören förpliktar sig till ansvar som motsvarar de skyldigheter som fastställs i detta avtal.
9.2 Biträdet kan överföra Personuppgifter till länder där underleverantörer är lokaliserade. Om underleverantören behandlar Personuppgifter utanför EU/EES ska Biträdet på den Ansvariges begäran assistera den Ansvarige med att säkerställa lagligheten i dessa överföringar, genom användning av överföringsmekanismer godkända av EU-kommissionen, exempelvis med hjälp av EU:s standardavtalsklausuler, Privacy Shield eller annan rättslig grund som godkänts av relevant tillsynsmyndighet.
9.3 Ansvarig kan när som helst på Biträdets hemsida xxx.xxxxxxx.xxx få tillgång till en fullständig lista och uppgifter på de underleverantörer som deltar i leveransen av tjänster till den Ansvarige och som deltar i Behandling av Personuppgifter enligt Huvudavtalet. Genom att underteckna detta Avtal godkänner den Ansvarige Biträdes användning av underleverantörer enligt ovanstående.
10. Stöd till Ansvarig
10.1 Med hänsyn till behandlingens art och den information som Biträdet har att tillgå ska Biträdet bistå Ansvarig med att se till att skyldigheterna enligt artiklarna 32-36
fullgörs, det vill säga säkerhetsåtgärder, anmälan av personuppgiftsincident, information till den registrerade, konsekvensbedömning avseende dataskydd och förhandssamråd med tillsynsmyndigheten.
11. Personuppgiftsincidenter
11.1 Vid en personuppgiftsincident ska Biträdet informera Ansvarig inom 24 timmar från det att Biträdet fick vetskap om den.
11.2 Med hänsyn till behandlingens art och den information som Biträdet har att tillgå ska Biträdet vid en personuppgiftsincident bistå den Ansvarige med att fullgöra dennes skyldigheter i samband med anmälan om personuppgiftsincidenten till tillsynsmyndigheten och den registrerade.
11.3 Efter en personuppgiftsincident, med hänsyn till behandlingens art och den information som Biträdet har att tillgå, ska Biträdet tillhandahålla lämplig och adekvat information till Ansvarig för att göra det möjligt för Ansvarig att fullgöra sina lagstadgade skyldigheter. Därmed ska Biträdet tillhandahållande följande information till Ansvarig så snart som möjligt, dock senast inom 48 timmar från när Biträdet fick vetskap om personuppgiftsincidenten:
(a) En beskrivning av personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs;
(b) Namn på och kontaktuppgifter för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas;
(c) En beskrivning av de sannolika och faktiska konsekvenserna av personuppgifts- incidenten; och
(d) En beskrivning av de åtgärder som Biträdet har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekt
12. Regelefterlevnad, revision osv.
12.1 Den Ansvarige kan låta granska Biträdets efterlevnad av detta Avtal upp till en gång per år. Om lagstiftningen kräver det kan den Ansvarige kräva granskningar oftare. För att begära en granskning måste den Ansvarige minst fyra veckor före den föreslagna granskningen lämna in en detaljerad granskningsplan till Biträdet, där omfattning, varaktighet och föreslaget startdatum för granskningen redovisas. Om granskningen ska utföras av tredje part måste detta som huvudregel avtalas mellan den Ansvarige och Biträdet.
12.2 Om behandling sker i en miljö med Personuppgifter härrörande från andra personuppgiftsansvariga eller liknande, kan Biträdet, efter eget gottfinnande, på grund av säkerhetsskäl besluta att revision ska utföras av ett allmänt väl ansett granskningsföretag som Biträdet väljer.
12.3 Om den begärda granskningen redan utförts och redovisats i en rapport enligt ISAE 3402, ISO eller liknande av en kvalificerad tredjepartsgranskare under de senaste tolv månaderna, och Biträdet bekräftar att de granskade kontrollerna inte väsentligt förändrats, godtar den Ansvarige dessa resultat i stället för att begära en granskning av de kontroller som omfattas av rapporten.
12.4 Granskningen ska utföras under anläggningens normala kontorstider enligt Biträdets policyer och får inte på ett oskäligt sätt störa Biträdes verksamhet.
12.5 Den Ansvarige är ansvarig för alla kostnader som uppkommer i samband med av den Ansvariges begärda granskningen och Biträdets assistans i detta avseende.
13. Information
13.1 Biträdet ska omedelbart informera Ansvarig om Biträdet anser att en instruktion strider mot GDPR eller annan tillämplig dataskyddsbestämmelse.
13.2 Ansvarig är skyldig att informera Biträdet om eventuell annan lagstiftning inom EES som Biträdet ska följa utöver GDPR, exempelvis lokala krav gällande lagring av personuppgifter som Ansvarig måste följa. Om sådan lokal lagstiftning smittar Biträdet och ålägger Biträdet ytterligare skyldigheter utöver GDPR ska Parterna diskutera vilka förändringar detta innebär för Biträdets system och processer samt kostnaden för förändringarna.
14. Ansvar och administrativa sanktionsavgifter
14.1 Ansvar för överträdelse av bestämmelserna i detta Avtal regleras, om inte annat framgår av tvingande lag, av ansvarsklausulerna i Huvudavtalet mellan parterna. Detta avser även Personuppgifter som Biträdet behållit enligt lag eller genom sitt yrkesansvar är tvingad att göra samt överträdelser som begåtts av Biträdets under- biträden.
14.2 Om inget annat anges i Huvudavtalet gäller för detta Avtal att Biträdet ansvarar för skada som uppstår på grund av avtalsbrott och som denne orsakat på grund av vårdslöshet. Biträdets ansvar är dock begränsat till ansvar för direkta skador och eventuell ersättningsskyldighet enligt detta Avtal kan inte överstiga ett belopp motsvarande vad den Ansvarige har erlagt under Huvudavtalet under en period av tolv (12) månader närmast föregående den handling eller underlåtenhet som har gett upphov till skadan.
14.3 För tydlighetens skull – inget i detta Avtal ska ge endera Part några mer rättigheter eller skyldigheter än vad Parten har enligt GDPR.
15. Avtalsbestämmelser ogiltighet
15.1 Om någon klausul i detta Avtal skulle bedömas som ogiltig ska det inte ha någon påverkan på giltigheten av Avtalet i övrigt.
16. Villkor och uppsägning
16.1 Detta Avtal ska förbli i kraft så länge Huvudavtalet löper, eller längre om det krävs av Huvudavtalet, detta Avtal eller tillämplig lagstiftning.
16.2 Detta Avtal sägs upp automatiskt samtidigt som Huvudavtalet sägs upp/löper ut om inte annat följer av 16.1.
16.3 Detta Avtal ska tillämpas på all behandling av Personuppgifter som Biträdet utför i samband med utförandet av Tjänsterna och alla Personuppgifter som Biträdet innehar vid tidpunkten för detta Avtal, eller mottagit eller innehar efter utgången eller uppsägningen av Avtalet. Med andra ord ska detta Avtal, samt relevanta delar av Huvudavtalet, vara i kraft så länge som Biträdet behandlar Personuppgifterna, även fast sådan behandling sker efter utgången eller uppsägning av detta Avtal.
16.4 När Tjänsterna slutförts eller vid uppsägning av detta Avtal (den som infaller senast) ska Biträdet radera Personuppgifterna.
17. Lagval och plats för tvist
17.1 Det som har angetts i Huvudavtalet i fråga om lagval, tolkning samt tvist ska gälla även för detta avtal.
18. Underskrifter
18.1 Detta avtal har upprättats i två identiska kopior där vardera parten har fått varsitt exemplar.
Plats: Datum: Ansvarig:
Kontaktperson
Plats: Göteborg Datum:
Biträde: Hippoly AB
Kontaktperson
Bilaga A – Instruktion för behandlingen
Version 1: 2019-01-18
1. Kategorier av de registrerade
1.1 Biträdet kommer huvudsakligen att behandla uppgifter åt den Ansvarige om personer som direkt eller indirekt är av intresse för den Ansvariges verksamhet såsom anställda, konsulter, kunder och leverantörer.
2. Personuppgifter
2.1 Biträdet behandlar åt den Ansvarige personuppgifter inom följande kategorier:
▪ Förnamn
▪ Efternamn
▪ Personnummer
▪ Titel
▪ Hemadress och/eller faktureringsadress
▪ E-mailadress(er)
▪ Telefonnummer
▪ CV
▪ Profilbild
2.2 Därutöver har Ansvarige möjlighet att ladda upp andra personuppgifter, inklusive personuppgifter som enligt GDPR definieras som känsliga personuppgifter i samband med nyttjandet av Xxxxxxx. Ansvarige ger härmed Biträdet rätt att behandla dessa personuppgifter.
2.3 Personuppgifter i kategori 2.1 och 2.2 definieras gemensamt som “Personuppgifter”.
3. Ändamål
3.1 Ansvarige har genom Avtalet givits rätt att nyttja Hippoly med tillhörande tjänster. Biträdet ska behandla Personuppgifter i den utsträckning som är nödvändig för att tillhandahålla avtalade tjänster enligt Huvudavtalet.
4. Behandlingsaktiviteter / Typen av behandling
4.1 Biträdet behandlar uppgifter i samband med att Ansvarige nyttjar Hippoly inklusive behandling för support och underhåll av tillhandahållna tjänster.
5. Varaktighet
5.1 Biträdet kommer behandla Personuppgifter så länge Huvudavtalet löper, eller längre om det krävs av Huvudavtalet.