PERSONUPPGIFTSBITRÄDESAVTAL

Bilaga 1 till tjänsteavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Detta Personuppgiftsbiträdesavtal (”Avtalet”) gäller mellan INBooks AB, xxx.xx 559204-1767, (”INBooks”) och Kunder som valt att ingå Tjänsteavtal med INBooks. Gemensamt benämns dessa nedan ”Parterna” eller var för sig ”Part”.

1 BAKGRUND

1.1 Parterna har i samband med detta Avtal – ingått Tjänsteavtal avseende affärssystem, hädanefter benämnt ”Tjänsteavtalet”.

1.2 Inom åtagandena som följer av Tjänsteavtalet kan INBooks komma att behandla personuppgifter samt annan information för Kundens räkning.

1.3 Med anledning härav ingår Parterna detta Avtal för att reglera förutsättningarna för INBooks behandling av – och tillgång till – Personuppgifter tillhöriga Kunden, enligt definitioner nedan. Avtalet gäller för samtliga mellan Parterna tecknade avtal där INBooks är Personuppgiftsbiträde till Kunden och Avtalet gäller så länge INBooks Behandlar Personuppgifter för Kundens räkning.

2 DEFINITIONER

2.1 Om inte omständigheterna tydligt utvisar annat ska definition eller begrepp som används i detta dokument ha nedan angiven betydelse och sådan definition eller begrepp som används i Dataskyddförordningen och som inte har angivits nedan, ska ha motsvarande definition som följer av artikel 4 i Dataskyddsförordningen.

”Annat Regelverk” avser Nationella lagar som från tid till annan är tillämpliga på

Behandling av Personuppgifter (exkluderande Dataskyddsförordningen).

”Behandling” avser en åtgärd eller kombination av åtgärder beträffande

Personuppgifter eller uppsättningar av Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring,

bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

”Dataskyddsförordningen” avser Europaparlamentets och Rådets Förordning (EU)

2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

”Personuppgifter” avser varje upplysning som avser en identifierad eller

identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

”Personuppgiftsansvarig” avser en fysisk eller juridisk person, offentlig myndighet,

institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för Behandlingen av Personuppgifter; om ändamålen och medlen för Behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.

”Personuppgiftsbiträde” avser en fysisk eller juridisk person, offentlig myndighet,

institution eller annat organ som Behandlar Personuppgifter för den Personuppgiftsansvariges räkning.

”Personuppgiftsincident” avser en säkerhetsincident som leder till oavsiktlig eller olaglig

förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt Behandlats.

”Registrerad” avser den fysiska person i livet vars Personuppgifter

Behandlas.

3 DOKUMENT

3.1 Avtalet består av detta dokument jämte:

Bilaga 1, ”Instruktion för behandling av personuppgifter”. Bilaga 2, ”På förhand godkända underbiträden”.

3.2 För det fall det finns motsägelser mellan detta dokument och bilagor ska detta dokument äga företräde, om inte annat är särskilt stadgat eller omständigheterna tydligt föranleder annat.

4 ALLMÄNT OM PERSONUPPGIFTSBEHANDLINGEN

4.1 Kunden är Personuppgiftsansvarig för de Personuppgifter som Behandlas inom ramen för Tjänsteavtalet.

4.2 INBooks är att betrakta som Personuppgiftsbiträde åt Xxxxxx.

4.3 INBooks har gett tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på sådant sätt att Behandlingen av Personuppgifter uppfyller kraven i Dataskyddsförordningen och Annat Regelverk samt för att säkerställa att den Registrerades rättigheter skyddas.

5 ÄNDAMÅL OCH TYP AV PERSONUPPGIFTER M.M.

5.1 Föremålet för Behandlingen, Behandlingens varaktighet, art och ändamål, typen av Personuppgifter mm framgår av bilaga 1.

6 INBOOKS PERSONAL M.M.

6.1 INBooks, dess anställda och andra personer som utför arbete under INBooks överinseende, och som får del av Personuppgifter tillhöriga Kunden, får endast Behandla dessa på instruktion från Xxxxxx, såvida det inte föreligger skyldighet enligt unionsrätten eller svensk nationell rätt.

6.2 INBooks ska tillse att dess anställda och samtliga övriga personer som INBooks ansvarar för och som har behörighet att Behandla Personuppgifter som omfattas av detta Avtal åtagit sig att iaktta konfidentialitet (såvida inte denne person omfattas av annan lagstadgad tystnadsplikt).

7 SÄKERHET

7.1 INBooks ska vidta alla åtgärder avseende säkerhet som krävs enligt artikel 32 i Dataskyddsförordningen.

7.2 Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som Behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt Behandlats.

8 PERSONUPPGIFTSINCIDENT

8.1 INBooks ska, med beaktande av typen av Behandling och den information som INBooks har att tillgå, bistå Xxxxxx med att tillse att skyldigheterna i samband med eventuell Personuppgiftsincident kan fullgöras på sätt som följer av artikel 33-34 i Dataskyddsförordningen.

9 KONSEKVENSBEDÖMNING OCH FÖRHANDSSAMRÅD

9.1 INBooks ska, med beaktande av typen av Behandlingen och den information som är tillgänglig för INBooks, bistå Xxxxxx med att uppfylla dennes eventuella skyldigheter för utövandet av konsekvensbedömning och/eller förhandssamråd med tillsynsmyndighet enligt artikel 35 och 36 Dataskyddsförordningen.

10 UNDERBITRÄDE

10.1 Genom att registrera sig hos INBooks ska Kunden anses ha lämnat INBooks ett generellt skriftligt godkännande att anlita underbiträde för att utföra arbetet enligt Tjänsteavtalet och detta Avtal.

10.2 INBooks ska digitalt informera Kunden om ett nytt underbiträde ska anlitas alternativt om ett existerande underbiträde ska bytas ut mot annan och ge Kunden möjlighet att göra invändningar mot en sådan förändring. En invändning får dock lämnas utan avseende om det inte föreligger objektivt godtagbara skäl. Kunden har dock rätt att omgående säga upp Tjänsteavtalet i sin helhet.

10.3 INBooks ska tillse att nytt underbiträde ingår ett skriftligt personuppgiftsbiträdesavtal innan underbiträdet påbörjar arbete som har anknytning till Kunden. Ett sådant personuppgiftsbiträdesavtal

ska innehålla de åtaganden och skyldigheter som följer av Xxxxxxx. Underbiträdet ska i sådant personuppgiftsbiträdesavtal ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att Behandlingen uppfyller kraven i Dataskyddsförordningen.

10.4 Om underbiträdet inte fullgör sina skyldigheter ska INBooks vara ansvarig gentemot Xxxxxx för utförandet av underbiträdets skyldigheter.

11 ÖVERFÖRING TILL TREDJE LAND

11.1 INBooks får förflytta, förvara, överföra eller på annat sätt Behandla Personuppgifter tillhöriga Kunden utanför EU/EES om sådan överföring uppfyller de krav och åtgärder som följer av Dataskyddsförordningen.

12 RÄTT TILL INSYN

12.1 INBooks ska ge Xxxxxx tillgång till all information som krävs för att visa att de skyldigheter som följer av artikel 28 i Dataskyddsförordningen har fullgjorts och för att möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Kunden eller av en annan revisor som bemyndigats av Xxxxxx. INBooks ska alltid ha rätt till skäligt varsel för det fall Xxxxxx vill utnyttja sin rätt att genomföra en granskning eller inspektion och Xxxxxx ska ersätta INBooks för dennes kostnader i samband med sådan granskning eller inspektion.

13 REGISTER ÖVER BEHANDLINGEN

13.1 Oavsett om INBooks enligt Dataskyddsförordningen är skyldig att föra ett register eller inte, ska INBooks enligt detta Avtal föra ett elektroniskt register över alla kategorier av Behandling som utförts för Kundens räkning. Registret ska, om inte register ska föras enligt Dataskyddsförordningen, åtminstone innehålla följande information:

a. Namn och kontaktuppgifter för INBooks och Kunden och i tillämpliga fall, för dataskyddsombudet hos INBooks och Kunden.

b. Ändamålen med Behandlingen.

c. En beskrivning av kategorierna av Registrerade och kategorier av Personuppgifter.

d. De kategorier av Behandlingar som har utförts – och som utförs – för Kundens räkning.

e. De kategorier av mottagare till vilka Personuppgifterna har lämnats eller ska lämnas ut, inbegripet mottagare i tredje land eller i internationella organisationer.

f. De förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter.

g. Eventuella överföringar av Personuppgifter till ett tredje land eller en internationell organisation, samt identifiering av tredje land eller den internationella organisationen samt dokumentationen av lämpliga skyddsåtgärder.

h. En allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som INBooks vidtagit enligt punkt 7 i detta Avtal.

14 ANSVAR

14.1 De ansvarsbegränsningar som framgår av Tjänsteavtalet gäller också i detta Avtal. Om dessa ansvarsbegränsningar inte skulle visa sig gälla för detta Avtal begränsas INBooks ansvar enligt detta Avtal eller som en följd av den Behandling som omfattas av Avtalet till etthundratusen (100 000) kronor.

15 AVTALETS UPPHÖRANDE

15.1 När INBooks upphör med Behandling av Personuppgifter för Kundens räkning ska INBooks återlämna alla Personuppgifter till Kunden på sätt Kunden meddelar alternativt – om Kunden så skriftligen meddelar – förstöra och radera alla Personuppgifter som har anknytning med Avtalet.

15.2 Efter att Avtalet upphör äger INBooks inte spara några Personuppgifter tillhöriga Kunden och så snart INBooks uppfyllt vad som följer av punkt 15.1 ovan upphör INBooks rätt att Behandla eller på annat sätt använda Personuppgifter tillhöriga Kunden (såvida inte lagring av Personuppgifterna krävs enligt nationell lagstiftning eller unionsrätten eller INBooks har laglig grund att behandla relevanta Personuppgifter).

16 ÖVERLÅTELSE AV AVTALET

16.1 Part har inte rätt att helt eller delvis överlåta sina rättigheter och/eller skyldigheter enligt Xxxxxxx utan den andra Partens skriftliga i förväg lämnade godkännande.

17 TILLÄMPLIG LAG OCH TVISTER

17.1 Svensk lag ska tillämpas på Avtalet.

17.2 Tvister som uppstår i anledning av Avtalet ska slutligt avgöras genom skiljedomsförfarande administrerat av Stockholms Handelskammares Skiljedomsinstitut (SCC). Regler för Förenklat Skiljeförfarande ska tillämpas om inte SCC med beaktande av målets svårighetsgrad, tvisteföremålets värde och övriga omständigheter bestämmer att Skiljedomsregler ska tillämpas. I sistnämnda fall ska SCC också bestämma om skiljenämnden ska bestå av en eller tre skiljedomare.

17.3 Skiljeförfarandets säte ska vara Stockholm.

17.4 Språket för förfarandet ska vara svenska.

17.5 Skiljeförfarande som påkallats med hänvisning till denna skiljeklausul omfattas av sekretess. Sekretessen omfattar all information som framkommer under förfarandet liksom beslut eller skiljedom som meddelas i anledning av förfarandet. Information som omfattas av sekretess får inte vidarebefordras till tredje person utan den andra Partens samtycke. Sekretessåtagandet omfattar inte vidarebefordran av information som krävs enligt tvingande lag, domstols- eller myndighetsbeslut, för att tillvarata legitima legala intressen, eller för att verkställa, överklaga eller klandra en dom eller skiljedom.

17.6 Part har rätt att vid svensk domstol eller annan behörig myndighet anhängiggöra tvist om tvisteföremålets storlek understiger 100 000 kr.