Inyett AB PUB-avtal (1.3)
Inyett AB PUB-avtal (1.3)
Detta är våra villkor för behandling av personuppgifter inom ramen för våra tjänster.
Bakgrund
Detta är våra villkor för behandling av personuppgifter inom ramen för våra tjänster. Detta dokument utgör bilaga till våra allmänna villkor vilka återfinnes på xxxxx://xxx.xxxxxx.xx/xxxxxxxx/xxxxxxxx-xxxxxxx. Genom att acceptera våra allmänna villkor accepterar du även dessa
PUB-avtal för vår behandling av personuppgifter. Villkorens syfte är att säkerställa den Registrerades fri- och rättigheter vid Behandlingen, i enlighet med vad som stadgas i Allmänna dataskyddsförordningen EU 2016/679 (”Dataskyddsförordningen”), art. 28.3.
Definitioner
Avtalet: Den offert eller handling som har undertecknats av båda parter och som utvisar parternas överenskommelse tillsammans med de bilagor som anges däri, inbegripet de allmänna villkoren och därigenom även dessa PUB-avtal för personuppgiftsbehandling.
Behandling: En åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, lagring eller ändring, läsning, användning, utlämning, spridning eller radering eller förstöring.
Dataskyddslagstiftning: Avser all integritets- och personuppgiftslagstiftning, samt all annan eventuell lagstiftning (inklusive förordningar och föreskrifter), som är tillämplig på den personuppgiftsbehandling som sker enligt detta Avtal, inklusive nationell sådan lagstiftning och EU-lagstiftning.
Instruktion: De skriftliga instruktioner som närmare anger föremål, varaktighet, art och ändamål, typ av Personuppgifter samt kategorier av Registrerade och särskilda behov som omfattas av Behandlingen. Inledande instruktioner lämnas i punkt ”Instruktioner för behandling".
Loggning: Loggning är ett kontinuerligt insamlande av uppgifter om den Behandling av Personuppgifter som utförs inom ramen för Avtalet och som kan knytas till en enskild fysisk person.
Personuppgiftsansvarig: Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamål och medlen för Behandlingen av Personuppgifter.
Personuppgiftsbiträde: Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som Behandlar Personuppgifter för den Personuppgiftsansvariges räkning. Personuppgiftsincident: En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt Behandlats.
Registrerad: Fysisk person vars Personuppgifter Behandlas. Tredje Land: En stat som inte ingår i Europeiska unionen (EU) eller inte är ansluten till Europeiska ekonomiska samarbetsområdet (EES).
Underbiträde: Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som i egenskap av underleverantör till Personuppgiftsbiträdet Behandlar Personuppgifter för Personuppgiftsansvariges räkning.
1. Behandling av personuppgifter
1.1. Inom ramen för fullgörande av Avtalet kan Leverantören komma att behandla personuppgifter för Kundens räkning och på Kundens instruktion. Vid sådana behandlingar ska Leverantören anses vara personuppgiftsbiträde och Kunden anses vara personuppgiftsansvarig. Dessa PUB-avtal reglerar personuppgiftsbiträdets hantering av personuppgifter för den personuppgiftsansvariges räkning.
1.2. Villkorens information, i form av bestämmelser och andra uppgifter som påverkar villkorens tillämpning, samt villkorens hänvisningar till sådan information, t.ex. lagstiftning (inklusive förordningar och föreskrifter), avser vid var tid gällande sådan information.
1.3. Den Personuppgiftsansvarige ska ge skriftliga Instruktioner till Personuppgiftsbiträdet om hur det ska utföra Behandlingen. Inledande Instruktioner finns i Punkt ”Instruktioner för behandling”.
1.4. Personuppgiftsbiträdet får endast utföra Behandlingen i enlighet med Xxxxxxx, Dataskyddslagstiftningen och vid var tid gällande Instruktioner.
2. Den personuppgiftsansvariges ansvar
2.1. Den Personuppgiftsansvarige ansvarar för att det vid var tid finns laglig grund för Behandlingen och för att utforma korrekta Instruktioner så att Personuppgiftsbiträdet och Underbiträdet kan fullgöra sitt eller sina uppdrag enligt dessa PUB-avtal och Xxxxxxx i övrigt.
2.2. Den Personuppgiftsansvarige ska utan onödigt dröjsmål informera Personuppgiftsbiträdet om förändringar i Behandlingen vilka påverkar Personuppgiftsbiträdets skyldigheter enligt Dataskyddslagstiftningen.
2.3. Den Personuppgiftsansvarige ansvarar för att informera Registrerade om Behandlingen och för att tillvarata Registrerades rättigheter enligt Dataskyddslagstiftningen samt vidta varje annan åtgärd som åligger den Personuppgiftsansvarige enligt Dataskyddslagstiftningen.
3. Personuppgiftsbiträdets åtaganden
3.1. Personuppgiftsbiträdet förbinder sig att:
● endast utföra Behandlingen i enlighet med Avtalet och Instruktioner samt att följa Dataskyddslagstiftningen;
● fortlöpande hålla sig informerad om gällande rätt på området.
● vidta åtgärder för att skydda Personuppgifterna mot alla slag av Behandlingar som inte är förenliga med Avtalet, Instruktioner och Dataskyddslagstiftningen;
● säkerställa att samtliga fysiska personer som arbetar under dess ledning följer Xxxxxxx och Instruktioner samt att de fysiska personerna informeras om relevant lagstiftning;
● på begäran från den Personuppgiftsansvarige bistå denne med att säkerställa att skyldigheterna enligt Dataskyddsförordningen, art. 32-36, fullgörs och svara på begäran om utövande av den Registrerades rättigheter i enlighet med Dataskyddsförordningen, kap. III, med beaktande av typen av Behandling och den information som Personuppgiftsbiträdet har att tillgå;
● för det fall att Personuppgiftsbiträdet finner att Instruktioner är otydliga, i strid med Dataskyddslagstiftningen eller saknas och Personuppgiftsbiträdet bedömer att nya eller kompletterande Instruktioner är nödvändiga för att genomföra sina åtaganden ska Personuppgiftsbiträdet utan dröjsmål informera den Personuppgiftsansvarige, tillfälligt upphöra med Behandlingen och invänta nya Instruktioner;
● för det fall att den Personuppgiftsansvarige förser Personuppgiftsbiträdet med nya eller ändrade Instruktioner ska Personuppgiftsbiträdet, utan onödigt dröjsmål från mottagandet, meddela den Personuppgiftsansvarige huruvida genomförandet av de nya Instruktionerna föranleder förändrade kostnader för Personuppgiftsbiträdet.
4. Säkerhetsåtgärder
4.1. Personuppgiftsbiträdet ska vidta alla tekniska och organisatoriska säkerhetsåtgärder som krävs för att förhindra Personuppgiftsincidenter, genom att säkerställa att Behandlingen uppfyller kraven i Dataskyddsförordningen och att den Registrerades rättigheter skyddas.
4.2. Personuppgiftsbiträdet ska fortlöpande säkerställa att den tekniska och organisatoriska säkerheten i samband med Behandlingen medför en lämplig nivå av konfidentialitet, integritet, tillgänglighet och motståndskraft.
4.3. Eventuella tillkommande eller ändrade krav på skyddsåtgärder från den Personuppgiftsansvarige, efter parternas tecknande av Xxxxxxx, ska betraktas som nya Instruktioner för behandling av personuppgifter.
4.4. Personuppgiftbiträdet ska genom behörighetskontrollsystem endast ge åtkomst till Personuppgifterna för sådana fysiska personer som arbetar under Personuppgiftsbiträdets ledning och som behöver åtkomsten för att kunna utföra sina arbetsuppgifter.
4.5. Personuppgiftsbiträdet åtar sig att kontinuerligt Logga åtkomst till Personuppgifterna enligt Avtalet i den utsträckning det krävs enligt Instruktionen. Loggar får gallras först fem (5) år efter Loggningstillfället om inte annat anges i Instruktionen. Loggar ska omfattas av erforderliga skyddsåtgärder, i enlighet med Dataskyddslagstiftningen.
4.6. Personuppgiftsbiträdet ska systematiskt testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa Behandlingens säkerhet.
5. Sekretess & tystnadsplikt
5.1. Personuppgiftsbiträdet och samtliga fysiska personer som arbetar under dess ledning ska vid Behandlingen iaktta såväl sekretess som tystnadsplikt. Personuppgifterna får inte nyttjas eller spridas för andra ändamål, vare sig direkt eller indirekt, såvida inte annat avtalats.
5.2. Personuppgiftsbiträdet ska tillse att samtliga fysiska personer som arbetar under dess ledning, vilka deltar i Behandlingen, är bundna av sekretessförbindelse avseende Behandlingen. Detta krävs dock inte om dessa redan omfattas av en straffsanktionerad tystnadsplikt som följer av lag. Personuppgiftsbiträdet åtar sig även att tillse att det finns sekretessavtal med Underbiträdet samt sekretessförbindelser mellan Underbiträdet och samtliga fysiska personer som arbetar under dess ledning, vilka deltar i Behandlingen.
5.3. Personuppgiftsbiträdet ska skyndsamt underrätta den Personuppgiftsansvarige om eventuella kontakter med tillsynsmyndighet avseende Behandlingen. Personuppgiftsbiträdet har inte rätt att företräda den Personuppgiftsansvarige eller agera för den Personuppgiftsansvariges räkning gentemot tillsynsmyndigheter i frågor avseende Behandlingen.
5.4. Om den Registrerade, tillsynsmyndighet eller tredje man begär information från Personuppgiftsbiträdet vilken rör Behandlingen, ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om saken. Information om Behandlingen får inte lämnas till den Registrerade, tillsynsmyndighet eller tredje man utan skriftligt medgivande från den Personuppgiftsansvarige, såvida det inte framgår av tvingande lag att information ska lämnas. Personuppgiftsbiträdet ska bistå med förmedling av den informationen som omfattas av ett medgivande eller lagkrav.
6. Granskning, tillsyn och revision
6.1. Personuppgiftsbiträdet ska utan onödigt dröjsmål, på den Personuppgiftsansvariges begäran, tillhandahålla den information om tekniska och organisatoriska säkerhetsåtgärder som den Personuppgiftsansvarige behöver för att kunna fastställa att Personuppgiftsbiträdet uppfyller sina åtaganden enligt Xxxxxxx och Dataskyddsförordningen, art. 28.3 h.
6.2. Personuppgiftsbiträdet åtar sig att minst en (1) gång om året granska säkerheten avseende Behandlingen genom en egenkontroll för att säkerställa att Behandlingen följer Xxxxxxx. Resultatet av sådan egenkontroll ska på begäran delges den Personuppgiftsansvarige.
6.3. Den Personuppgiftsansvarige äger rätt att, själv eller genom annan av denne utsedd tredje part (som inte får vara en konkurrent till Personuppgiftsbiträdet), följa upp att Personuppgiftsbiträdet uppfyller Avtalets, Instruktionernas och Dataskyddslagstiftningens krav. Personuppgiftsbiträdet ska vid sådan granskning bistå den Personuppgiftsansvarige, eller den som utför granskningen i den Personuppgiftsansvariges ställe, med dokumentation,
tillgång till lokaler, IT-system och andra tillgångar som behövs för att kunna granska Personuppgiftsbiträdets efterlevnad. Den Personuppgiftsansvarige ska säkerställa att personal som genomför granskningen är underkastade sekretess eller tystnadsplikt enligt lag eller avtal.
6.4. Personuppgiftsbiträdet äger alternativt till vad som stadgas i punkterna 6.2-6.3, rätt att erbjuda andra tillvägagångssätt för granskning av Behandlingen, exempelvis granskning genomförd av oberoende tredje part. Den Personuppgiftsansvarige ska i sådant fall äga rätt, men inte skyldighet, att tillämpa detta alternativa tillvägagångssätt för granskning. Vid sådan granskning ska Personuppgiftsbiträdet ge den Personuppgiftsansvarige eller en tredje part den assistans som behövs för utförandet av granskningen.
6.5. Personuppgiftbiträdet ska bereda tillsynsmyndighet, eller annan myndighet som har laglig rätt till det, möjlighet att göra tillsyn enligt myndighetens begäran i enlighet med vid var tid gällande lagstiftning, även om sådan tillsyn annars skulle stå i strid med bestämmelserna i Xxxxxxx.
6.6. Personuppgiftsbiträdet ska tillförsäkra den Personuppgiftsansvarige rättigheter gentemot Underbiträdet vilka motsvarar den Personuppgiftsansvariges samtliga rättigheter gentemot Personuppgiftsbiträdet enligt kap. 6 i PUB-avtalet.
7. Hantering av rättelser och radering m.m.
7.1. För det fall den Personuppgiftsansvarige begärt rättelse eller radering på grund av Personuppgiftsbiträdets felaktiga Behandling ska Personuppgiftsbiträdet vidta lämplig åtgärd utan onödigt dröjsmål, senast inom trettio (30) dagar, från det att Personuppgiftsbiträdet mottagit erforderlig information från den Personuppgiftsansvarige. När den Personuppgiftsansvarige begärt radering får Personuppgiftsbiträdet endast utföra Behandling av den aktuella personuppgiften som ett led i processen för radering.
7.2. Om tekniska och organisatoriska åtgärder (t.ex. uppgraderingar eller felsökningar) vidtas av Personuppgiftsbiträdet i Behandlingen, vilka kan väntas påverka Behandlingen, ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige skriftligt om detta i enlighet med vad stadgas om meddelanden i Avtalet. Informationen ska lämnas i god tid innan åtgärderna vidtas.
8. Personuppgiftsincidenter
8.1. Personuppgiftsbiträdet ska ha förmåga att återställa tillgängligheten och tillgången till Personuppgifterna i rimlig tid vid en fysisk eller teknisk incident enligt Dataskyddsförordningen, art. 32.1 c.
8.2. Personuppgiftbiträdet åtar sig att med beaktande av Behandlingens art, och den information som Personuppgiftsbiträdet har att tillgå, bistå den Personuppgiftsansvarige med att fullgöra dennes skyldigheter vid en Personuppgiftsincident beträffande Behandlingen. Personuppgiftbiträdet ska på den Personuppgiftsansvariges begäran även bistå med att utreda misstankar om eventuell obehörigs Behandling och/eller åtkomst till Personuppgifterna.
8.3. Vid Personuppgiftsincidenter, vilka Personuppgiftbiträdet fått vetskap om, ska Personuppgiftsbiträdet utan onödigt dröjsmål skriftligen underrätta den Personuppgiftsansvarige om händelsen. Personuppgiftsbiträdet ska med beaktande av typen av Behandling och den information som Personuppgiftsbiträdet har att tillgå tillhandahålla den Personuppgiftsansvarige en skriftlig beskrivning av Personuppgiftsincidenten.
Beskrivningen ska redogöra för:
1) Personuppgiftsincidentens art och, om möjligt, de kategorier och antalet Registrerade som berörs samt kategorier och antalet personuppgiftsposter som berörs,
2) de sannolika konsekvenserna av Personuppgiftsincidenten,
3) och åtgärder som har vidtagits eller föreslagits samt åtgärder för att mildra Personuppgiftincidentens potentiella negativa effekter
8.4. Om det inte är möjligt för Personuppgiftsbiträdet att tillhandahålla hela beskrivningen samtidigt, enligt punkt 8.3 i Avtalet, får beskrivningen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.
9. Underbiträde
9.1. Personuppgiftsbiträdet ansvarar fullt ut för Underbiträdets Behandling gentemot den Personuppgiftsansvarige.
9.2. Personuppgiftsbiträdet äger rätt att anlita ett nytt underbiträde. När Personuppgiftsbiträdet avser att anlita ett nytt underbiträde ska Personuppgiftsbiträdet meddela detta skriftligen till den Personuppgiftsansvarige, samt säkerställa underbiträdets kapacitet och förmåga att uppfylla sina skyldigheter enligt Dataskyddslagstiftningen. Personuppgiftsbiträdet ska skriftligen meddela den Personuppgiftsansvarige om
- underbiträdets namn, organisationsnummer och säte (adress och land),
- vilken typ av uppgifter och kategorier av Registrerade som behandlas, och
- var Personuppgifterna ska behandlas.
9.3. Personuppgiftsbiträdet äger rätt att upphöra med att anlita Underbiträdet. När Personuppgiftsbiträdet upphör med att anlita Underbiträdet ska Personuppgiftsbiträdet skriftligen meddela den Personuppgiftsansvarige om att det upphör med att anlita Underbiträdet.
9.4. Personuppgiftsbiträdet åtar sig att teckna ett skriftligt personuppgiftsbiträdesavtal med det nya underbiträdet och säkerställa att det nya underbiträdet åläggs samma skyldigheter som Personuppgiftsbiträdet åläggs enligt detta Avtal.
9.5. Personuppgiftsbiträdet ska på den Personuppgiftsansvariges begäran översända en kopia av det personuppgiftsbiträdesavtal som Personuppgiftsbiträdet tecknat med Underbiträdet.
9.6. Den Personuppgiftsansvarige äger rätt att invända mot Personuppgiftsbiträdets anlitande av underbiträde inom 5 dagar från det att den Personuppgiftsansvarige mottagit Personuppgiftsbiträdets meddelande härom. Personuppgiftsbiträdet får inte anlita det valda Underbiträdet om den Personuppgiftsansvarige har presenterat skäliga invändningar.
9.7. Parterna är överens om att den Personuppgiftsansvarige genom undertecknandet av detta Avtal får anses vara informerad om och godkänner att Personuppgiftsbiträdet avser att anlita de Underbiträden som listas i Bilaga 1 ”Underbiträden som godkänts av personuppgiftsansvarig”.
10. Lokalisering och överföring av personuppgifter till tredje land
10.1. Personuppgiftsbiträdet ska säkerställa att Personuppgifterna hanteras och lagras inom EU/EES av en fysisk eller juridisk person som är etablerad inom EU/EES, om inte Avtalets parter kommer överens om något annat.
10.2. Personuppgiftsbiträdet äger endast rätt att överföra Personuppgifter till Tredje land för Behandling (t.ex. service, support, underhåll, utveckling, drift eller liknande hantering) om den Personuppgiftsansvarige på förhand skriftligen godkänt sådan överföring och utfärdat Instruktioner för detta ändamål.
10.3. Överföring till Tredje land för Behandling enligt punkt 10.2, får endast ske om den är förenlig med Dataskyddslagstiftningen och uppfyller de krav på Behandlingen vilka ställs i Avtalet och Instruktioner.
11. Ansvar för skada i samband med behandling
11.1. Vid ersättning för skada i samband med Behandling som, genom fastställd dom eller förlikning, ska utgå till den Registrerade på grund av överträdelse av bestämmelse i Avtalet, Instruktioner och/eller tillämplig bestämmelse i Dataskyddslagstiftningen ska art. 82 i Dataskyddsförordningen tillämpas.
11.2. Sanktionsavgifter enligt Dataskyddsförordningen, art. 83, eller Lag (2018:218) med kompletterande bestämmelser till
EU:s dataskyddsförordning 6 kap. 2 § ska bäras av den av Avtalets parter som påförts en sådan avgift.
11.3. Om endera part får kännedom om omständighet som kan leda till skada för motparten ska parten omedelbart informera motparten om förhållandet och aktivt arbeta tillsammans med motparten för att förhindra och minimera sådan skada.
11.4. Oaktat vad sägs i Avtalet i övrigt gäller punkt 11.1 och 11.2, före andra regler om fördelning mellan Parterna av krav sinsemellan såvitt avser Behandlingen.
12. Giltighetstid
12.1. PUB-avtalet gäller från och med den tidpunkt Avtalet undertecknats av båda parter och tillsvidare så länge Personuppgiftsbiträdet behandlar personuppgifter för Personuppgiftsansvarigs räkning.
13. Ändringar m.m.
13.1. Endera part i Xxxxxxx äger rätt att påkalla omförhandling av dessa PUB-avtal om motpartens ägarförhållanden ändras väsentligt eller om tillämplig lagstiftning, eller tolkningen av den, ändras på ett för Behandlingen avgörande sätt. Påkallande av omförhandling enligt första meningen innebär inte att Avtalet till någon del upphör att gälla utan endast att en omförhandling om PUB-avtalet ska påbörjas.
13.2. När någon av parterna får kännedom om att motparten agerar i strid med PUB-avtalet, Instruktioner och/eller Dataskyddslagstiftningen, ska parten utan dröjsmål meddela motparten om agerandet.
14. Åtgärder vid Avtalets upphörande
14.1. Vid Avtalets upphörande ska den Personuppgiftsansvarige utan onödigt dröjsmål begära att Personuppgiftsbiträdet överlämnar samtliga Personuppgifter till den Personuppgiftsansvarige eller raderar dem, enligt dennes önskemål. Om Personuppgifterna överlämnas ska det ske i ett öppet och standardiserat format. Med samtliga Personuppgifter avses alla Personuppgifter vilka har omfattats av Behandlingen samt annan tillhörande information såsom Loggar, Instruktioner, systemlösningar, beskrivningar och andra handlingar som Personuppgiftsbiträdet erhållit genom informationsutbyte enligt Avtalet.
14.2. Överlämning och radering enligt punkt 14.1, ska vara utförda senast trettio (30) dagar räknat från den tidpunkt Avtalet upphör att gälla enligt punkt 12.1.
14.3. Behandling som utförs av Personuppgiftsbiträdet efter den tidpunkt som stadgas i punkt 14.2 är att betrakta som en otillåten Behandling.
14.4. Bestämmelser om sekretess/tystnadsplikt i Avtalet ska fortsätta gälla även om Avtalet i övrigt upphör av gälla.
15. Kontaktpersoner och meddelanden
15.1. Parterna ska utse var sin kontaktperson för Avtalet.
15.2. Meddelanden om Avtalet och dess administration ska skickas till respektive parts kontaktperson.
15.3. Meddelanden inom ramen för Avtalet och Instruktioner ska skickas skriftligt. Ett meddelande ska anses ha kommit fram till mottagaren senast en (1) arbetsdag efter att meddelandet har skickats.
15.4. Varje part ansvarar för att de uppgifter som anges i Offert samt i Bilagor alltid är aktuella. Ändring av uppgifter i ovanstående ska meddelas skriftligt enligt punkt 15.3.
16. Instruktioner för behandling
Utöver vad som anges i Avtalet ska nedan Instruktioner gälla och iakttas av Personuppgiftsbiträdet vid utförandet av Behandlingen.
Ändamål | Behandlingen får endast utföras i syfte att tillhandahålla de tjänster som framgår av Huvudavtalet, dvs. huvudsakligen i syfte att Personuppgifter behandlas för att säkert identifiera företag och privatpersoner för att upptäcka dubbelbetalningar, betalningar till bluffbolag, betalning till bolag som saknar F-skatt, betalningar till bolag som har skulder hos Kronofogden, avvikande betalmönster och betalningar som överstiger inställd limit. Personuppgifterna får inte behandlas eller nyttjas av Personuppgiftsbiträdet för egna eller några andra ändamål. |
Typer av behandlingar | Personuppgiftsbiträdet får använda sig av sådana typer av behandling av personuppgifter som är nödvändig för att tillhandahålla de tjänster som framgår av Huvudavtalet, däribland registrering, organisering, lagring, ändring, användning och/eller radering. |
Typer av personuppgifter | Personuppgiftsbiträdet får endast behandla följande typer av personuppgifter: för- och efternamn, kundnummer, personnummer, adress, telefonnummer, e-postadress. Personuppgiftsbiträdet får även behandla andra personuppgifter om det är nödvändigt för att tillhandahålla de tjänster som framgår av Huvudavtalet. |
Kategorier av registrerade | Behandlingen ska endast omfatta anställda, kunder, leverantörer som den Personuppgiftsansvarige tillhandahåller. |
Behandlingens varaktighet | Personuppgifterna ska raderas av Personuppgiftsbiträdet vid Avtalets upphörande i enlighet med vad som framgår av Xxxxxxx. Personuppgifter ska vidare raderas av Personuppgiftsbiträdet från fall till fall i enlighet med Personuppgiftsansvariges skriftliga instruktioner. |
Plats för behandling | Behandlingen får endast utföras inom EU på sådan infrastruktur som Personuppgiftsbiträdet direkt eller indirekt (dvs. genom godkända Underbiträden) har kontroll över. |
17. Underbiträden som godkänts av personuppgiftsansvarig Personuppgiftsansvarig godkänner och är informerad om att Personuppgiftsbiträdet anlitar följande Underbiträden i enlighet med punkten 9.7 i PUB-avtalet.
Som en del av leveransen av tjänster till Personuppgiftsansvarig, enligt Tjänsteavtal och detta Avtal, kan Personuppgiftsbiträdet använda sig av underleverantörer i rollen underbiträde. Sådana underbiträden kan vara företag inom Visma-koncernen eller externa underleverantörer (tredje part) inom EU. Personuppgiftsbiträdet ska säkerställa att underleverantörer genom avtal samtycker till att åta sig ansvar som motsvarar de skyldigheter som anges i detta Avtal. Personuppgiftsansvarig kan begära att en översikt av nuvarande underleverantörer med tillgång till Personuppgifter. Personuppgiftsansvarig kan när som helst begära en fullständig översikt och mer detaljerad information om de underleverantörer som är involverade i Tjänsteavtal.
Personuppgiftsansvarig ska underrättas innan ändringar sker rörande underleverantörer som behandlar Personuppgifter så att den Personuppgiftsansvarige har
möjlighet att göra invändningar mot sådana förändringar. Om ny underleverantör bevisligen inte efterlever gällande dataskyddslagstiftning, kan Personuppgiftsansvarig säga upp Avtalet. Sådan uppsägning kan innebära rätt att säga upp Tjänsteavtal, helt eller delvis, enligt de uppsägningsklausuler som finns i respektive Tjänsteavtal. En viktig del av sådana bedömningar ska vara i vilken mån underleverantörens Behandling av Personuppgifter är en nödvändig del av de tjänster som tillhandahålls enligt Tjänsteavtal. Ett byte av underleverantör ska inte i sig att betraktas som ett brott mot Tjänsteavtal. Genom att underteckna detta Avtal accepterar Personuppgiftsansvarig att Personuppgiftsbiträdet använder sig av underleverantörer på så sätt som beskrivs ovan.