PERSONUPPGIFTSBITRÄDESAVTAL
TOB, Telia Sverige T3508-18, Rev 1.1
Innehåll
7 Ytterligare villkor gällande Internationell Dataöverföring av uppgifter (när så är tillämpligt) 6
8 Upphörande av Behandling av Personuppgifter 7
1 Parter
Detta personuppgiftsbiträdesavtal (“Biträdesavtalet”) gäller mellan följande parter om inte andra villkor skriftligt överenskommits.
Personuppgiftsansvarig: Köparen av tjänster från personuppgiftsbiträdet. (nedan kallad ”PuA”),
och
Personuppgiftsbiträde: Telia Sverige AB (nedan kallad ”PuB”), Org. nr: 556430-0142
169 94 Solna
PuB och PuA kallas fortsättningsvis gemensamt “Parterna” och var för sig “Part”.
2 Bakgrund
PuB tillhandahåller varor och tjänster (”Tjänster”) till PuA under ett eller flera leveransavtal, nedan benämnt ”Avtalen”. Av bilagorna till detta Biträdesavtal framgår vilka Avtal och Tjänster som omfattas av Biträdesavtalet . Om Avtalen förändras till att omfatta eventuella nya eller utvecklade tjänster ska dessa tjänster också omfattas av Biträdesavtalet.
I samband med tillhandahållandet av Tjänster under Avtalen kommer PuB att behandla Personuppgifter rörande PuA:s kunder, anställda eller andra personer.
Syftet med Biträdesavtalet är att säkerställa skydd och säkerhet för Personuppgifter som PuB behandlar för PuA:s räkning och för vilka PuA är personuppgiftsansvarig i enlighet med Tillämplig Dataskyddslagstiftning.
Parterna är överens om att Personuppgifter i Biträdesavtalet endast avser sådana uppgifter för vilka PuA anses som personuppgiftsansvarig enligt Tillämplig Dataskyddslagstiftning.
3 Definitioner
Med “Tillämplig Dataskyddslagstiftning” avses tillämpliga lagar om dataskydd och säkerhet, inklusive, men utan begränsning, EU:s Dataskyddsdirektiv 95/46 EG, Direktivet 2002/58/EG om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation, Allmänna dataskyddsförordningen 2016/679 inklusive alla ändringar, ersättningar eller uppdateringar därav (gemensamt kallade ”EU-lagstiftningen”), alla bindande nationella lagar som implementerar EU- lagstiftningen och andra bindande dataskydds- eller datasäkerhetsdirektiv, lagar, förordningar och avgöranden som gäller vid varje specifik tidpunkt.
Med “Internationell Dataöverföring” avses överföring av Personuppgifter till mottagare utanför EU-medlemsländer eller EES-länder (“Tredje Land”) i enlighet med Tillämplig Dataskyddslagstiftning.
Med “Personuppgifter” avses varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska
personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Begrepp som används men inte definieras i detta Biträdesavtal ska i första hand ha den betydelse som framgår av Tillämplig Dataskyddslagstiftning. För undvikande av tveksamhet förtydligas att alla andra begrepp som definieras i Avtalen mellan parterna ska, när så är tillämpligt, ha den betydelse som framgår av Avtalen.
4 PuA:s åtaganden
4.1 PuA ansvarar för att behandling av Personuppgifter enligt Avtalen är laglig i enlighet med Tillämplig Dataskyddslagstiftning. PuA ansvarar särskilt för att:
(i) behandling av Personuppgifter baseras på legitima ändamål med giltiga rättsliga grunder;
(ii) den registrerade har fått relevant information om behandlingen av Personuppgifter; och
(iii) PuA har rätt att överföra Personuppgifter till PuB för behandling.
PuA ansvarar för att Biträdesavtalet och PuA:s lagliga instruktioner innebär tillräckliga garantier att PuB:s behandling enligt Avtalen uppfyller kraven i Tillämplig Dataskyddslagstiftning.
4.2 PuA ansvarar för att PuA har gett instruktioner i enlighet med Tillämplig Dataskyddslagstiftning och, under Biträdesavtalets giltighetstid, i tillämplig utsträckning kommer att ge PuB instruktioner i enlighet med Tillämplig Dataskyddslagstiftning om behandling av Personuppgifter för PuA:s räkning. Alla instruktioner ska utfärdas skriftligen.
4.3 PuA får ändra de dokumenterade instruktionerna som framgår av bilagorna till detta Biträdesavtal när PuA anser det nödvändigt för uppfyllandet av Tillämplig Dataskyddslagstiftning. Ett sådant krav på ändring ska skriftligen meddelas PuB i förväg och genomföras av PuB inom sådan skälig tid som avtalas mellan Parterna. PuB har rätt till ersättning av PuA för rimliga kostnader i samband med genomförandet av en sådan ändring.
4.4 PuA åtar sig att på begäran och utan oskäligt dröjsmål tillhandahålla PuB all information och dokumentation som är nödvändig för uppfyllandet av PuB:s åtaganden enligt Tillämplig Dataskyddslagstiftning.
5 PuB:s åtaganden
5.1 PuB ska behandla Personuppgifter endast i enlighet med de dokumenterade instruktioner som anges i Avtalen och detta Biträdesavtal. Utan att det påverkar punkt
4.2 ovan kan PuA ge PuB instruktioner relevanta för att säkerställa att behandling av Personuppgifter utförs i enlighet med Tillämplig Dataskyddslagstiftning.
I den omfattning XxX inte kan uppfylla en ändring i PuA:s instruktioner utan att ådra sig extra kostnader ska PuB:
(i) informera PuA utan oskäligt dröjsmål om problemet; och/eller
(ii) upphöra med all behandling av de Personuppgifter som påverkas (förutom att på ett säkert sätt lagra Personuppgifterna) fram till dess att reviderade instruktioner erhållits.
5.2 PuB ska utan oskäligt dröjsmål informera PuA om sådant lagkrav som PuB är skyldig att följa och som hindrar PuB från att uppfylla detta Biträdesavtal, Avtalen eller dokumenterade instruktioner. Därutöver ska PuB informera PuA om detta Biträdesavtal, Avtalen eller en skriftlig instruktion från PuA enligt PuB:s uppfattning strider mot Tillämplig Dataskyddslagstiftning.
5.3 PuB ska tillse att personer med behörighet att behandla Personuppgifter har åtagit sig att iaktta sekretess eller lyder under lagstadgad skyldighet att iaktta sekretess.
Härmed förtydligas att information som Parterna tillhandahåller till varandra, inklusive (men inte begränsat till),
(i) information i bilagan ”Specifikation av Personuppgifter”
(ii) information i detta Biträdesavtal; och
(iii) information som är nödvändig för att föra register över behandling av Personuppgifter,
inte får användas för några andra syften än för att uppfylla Xxxxxxxxx åtaganden enligt Tillämplig Dataskyddslagstiftning.
5.4 PuB ska genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda Personuppgifter som behandlas mot obehörig eller olaglig behandling och mot oavsiktlig förlust, förstörelse eller utlämnande. PuB ansvarar för att åtgärderna har implementerats innan någon behandling av Personuppgifter utförs.
5.5 Med beaktande av beskaffenheten av behandlingen, tillgänglig information och kommersiell genomförbarhet ska PuB i rimlig omfattning bistå PuA med att säkerställa överensstämmelse med PuA:s skyldigheter om säkerhet för Personuppgifter i enlighet med Tillämplig Dataskyddslagstiftning.
5.6 I händelse av personuppgiftsincident relaterad till behandling av Personuppgifter enligt Avtalen, ska PuB skriftligen underrätta PuA utan onödigt dröjsmål efter att ha blivit medveten om incidenten. I underrättelsen ska PuB tillhandahålla PuA den information som, i enlighet med Tillämplig Dataskyddslagstiftning, är nödvändig för PuA för att fullgöra sin underrättelseskyldighet.
PuB ska dokumentera omständigheterna kring personuppgiftincidenten i enlighet med Tillämplig Dataskyddslagstiftning.
Parterna är införstådda med att en personuppgiftsincident som sådan inte automatiskt innebär en överträdelse av detta Biträdesavtal, Avtalen och/eller Tillämplig Dataskyddslagstiftning, om nödvändiga förfaranden (såsom de definieras i Tillämplig Dataskyddslagstiftning) har tillämpats.
5.7 PuB ska på begäran samarbeta med och bistå PuA med information om lämpliga tekniska och organisatoriska åtgärder för uppfyllande av de registrerades rättigheter
enligt Tillämplig Dataskyddslagstiftning, i den mån detta är möjligt och i den omfattning sådana rättigheter gäller för Tjänsterna.
5.8 Om en registrerad, tillsynsmyndighet eller statlig myndighet (till exempel Datainspektionen) eller någon annan tredje part begär tillgång till Personuppgifter som behandlas under Avtalen från PuB, ska PuB vidarebefordra begäran till PuA. PuB har inte rätt att lämna ut Personuppgifter eller annan information rörande behandlingen av Personuppgifter utan PuA:s medgivande, om inte PuB är ålagd enligt tvingande lag i EU- eller Medlemsstat att lämna ut sådan information. I det senare fallet ska PuB meddela PuA om begäran i den utsträckning lagen medger.
5.9 PuB ska tillhandahålla all information, dokumentation och bistånd som är nödvändigt för att PuA ska kunna uppfylla kraven i Tillämplig Dataskyddslagstiftning och för att kunna visa att kraven följs vid behandling av Personuppgifter. PuB ska föra lämpliga register över behandlingen i enlighet med Tillämplig Dataskyddslagstiftning.
5.10 PuB ska säkerställa PuA:s rätt att utföra granskning i PuB:s lokaler för säkerställande av PuB:s efterlevnad av åtagandena i detta Biträdesavtal eller Tillämplig Dataskyddslagstiftning avseende Tjänsterna. PuB är inte skyldig att ge tillgång till konfidentiell information och/eller tredje parts Personuppgifter eller till uppgifter som PuB är skyldig att hålla konfidentiella enligt tillämplig lag. Beträffande utförande av granskning ska nedanstående villkor gälla.
PuA har rätt att en gång per år, efter anmälan i rimlig tid i förväg, utföra granskning under kontorstid. Sådan granskning får inte störa PuB:s verksamhet. Granskning får utföras antingen av PuA:s egen personal eller av extern personal som anlitats av PuA och som PuB skäligen kan acceptera, förutsatt att sådan extern personal har åtagit sig att iaktta sekretess i en utsträckning som rimligen är godtagbar för PuB. PuA ska stå för sina egna kostnader för sådan granskning (inklusive kostnad för extern personal). Om granskningen emellertid visar på väsentligt brott mot detta Biträdesavtal orsakat av PuB eller dess dotterbolag, konsulter, underbiträden, eller andra representanter, ska PuB bära PuA:s skäliga kostnader för granskningen.
5.11 PuB ska tillåta de inspektioner som en statlig myndighet kan ha rätt att kräva enligt Tillämplig Dataskyddslagstiftning avseende behandling av Personuppgifter. PuB har rätt till ersättning av PuA för skäliga kostnader i samband med genomförandet av en sådan inspektion.
6 Underbiträden
6.1 PuB får anlita underleverantörer underbiträden för behandling av Personuppgifter (”Underbiträden”), förutsatt att PuB har ingått ett skriftligt avtal med sådant Underbiträde enligt vilket avtal Underbiträdet åtar sig att följa motsvarande skyldigheter som PuB har enligt Biträdesavtalet.
6.2 Om ett Underbiträde inte efterlever Tillämplig Dataskyddslagstiftning eller misslyckas med att uppfylla sina åtaganden enligt sitt avtal med PuB så är PuB alltjämt fullt
ansvarig gentemot PuA för utförandet av Underbiträdets åtaganden enligt Tillämplig Dataskyddslagstiftning och sådant avtal.
7 Ytterligare villkor gällande Internationell Dataöverföring av uppgifter (när så är tillämpligt)
7.1 Internationell Dataöverföring på grundval av ett beslut om adekvat skyddsnivå
Utan att det påverkar avsnitt 6 (Underbiträden) ovan får Internationell Dataöverföring ske om den sker på grundval av Europeiska Kommissionens beslut om att adekvat dataskyddsnivå är säkerställd i den aktuella situationen, utan ytterligare tillstånd till sådan överföring.
För närvarande är adekvat skyddsnivå för skydd av uppgifter som krävs enligt Tillämplig Dataskyddslagstiftning (som framgår av artikel 25(6) och 31(2) i EU:s Dataskyddsdirektiv 95/46 EG och i artikel 45 Allmänna dataskyddsförordningen 2016/679) säkerställd med avseende på:
(i) Länder som Europeiska Kommissionen officiellt har fastställt uppfyller en adekvat dataskyddsnivå; och,
(ii) Juridiska personer etablerade i USA som behandlar Personuppgifter som är självcertifierade att, följa och upprätthålla efterlevnad (inklusive förnyelse av certifiering som lämpligen krävs) av överenskommelsen mellan EU och USA om ”Privacy Shield Framework” som administreras av USA:s Handelsdepartement.
7.2 Internationell Dataöverföring på grundval av bindande företagsbestämmelser
Utan att det påverkar avsnitt 6 (Underbiträden) ovan får Internationell Dataöverföring ske om den sker på grundval av godkända bindande företagsbestämmelser i enlighet med Tillämplig Dataskyddslagstiftning utan ytterligare tillstånd till sådan överföring.
7.3 Internationell Dataöverföring under lämpliga skyddsåtgärder
Internationell Dataöverföring i andra fall än de som anges ovan i punkterna 7.1 och 7.2 är villkorad av att lämpliga skyddsåtgärder som säkerställer en adekvat skyddsnivå tillhandahålls i enlighet med Tillämplig Dataskyddslagstiftning.
Sådana lämpliga skyddsåtgärder ska säkerställas genom att PuB ingår personuppgiftsbiträdesavtal som innehåller samma åtaganden dataskydd som framgår av detta Biträdesavtal med ett Underbiträde på uppdrag av PuA. Avtalet ska innehålla de standardavtalsklausuler som krävs enligt Tillämplig Dataskyddslagstiftning (för närvarande artikel 26(2) EU:s Dataskyddsdirektiv 95/46 EG och artikel 46 Allmänna dataskyddsförordningen 2016/679). Utan att det påverkar avsnitt 6 (Underbiträden) ovan får Personuppgifter följaktligen överföras från PuB etablerad i en EU-medlemsstat eller EEA-land till ett Underbiträde etablerad i ett Tredje Land som inte garanterar en adekvat dataskyddsnivå.
7.4 Om den Internationella Dataöverföringen inte uppfyller kraven eller riskerar att inte uppfylla kraven i Tillämplig Dataskyddslagstiftning (till exempel på grund av ett beslut om ogiltigförklaring av behörig myndighet) ska Parterna säkerställa implementering av
annan laglig överföringsmekanism för Internationell Dataöverföring utan oskäligt dröjsmål, för att kunna fortsätta med sådan överföring.
8 Upphörande av Behandling av Personuppgifter
8.1 När Behandling av Personuppgifter inte längre krävs enligt Avtalen, eller när Avtal upphör att gälla eller sägs upp, ska PuB, om inte annat krävs enligt Tillämplig Dataskyddslagstiftning, radera Personuppgifter som PuB har behandlat enligt Avtalet, eller, om så överenskoms mellan Parterna, lämna tillbaka alla Personuppgifter till PuA och radera kopior.
9 Ansvar
9.1 Part ska svara för kostnader, utgifter, ersättningar, förluster och skadestånd som orsakas den andra Parten genom agerande i strid mot detta Biträdesavtal, respektive Avtal och/eller Tillämplig Dataskyddslagstiftning eller beslut av behörig Dataskyddsmyndighet i enlighet med vad som överenskommits i respektive Avtal.
10 Avtalstid
10.1 Detta Biträdesavtal gäller från och med 2018-05-25 och gäller tills vidare, dock längst till dess PuB upphör att behandla Personuppgifter på uppdrag av PuA enligt respektive Avtal. Ovanstående gäller dock inte om Parterna skriftligt har överenskommit om andra villkor.
11 Tillämplig lag och tvist
11.1 Den lag som anges i respektive Avtal ska tillämpas på detta Biträdesavtal.
Tvist i anledning av detta Biträdesavtal ska slutligen avgöras på det sätt som anges I respektive Avtal.
12 Övriga villkor
12.1 I händelse av konflikt mellan villkoren i detta Biträdesavtal och respektive Avtal, ska villkoren i Biträdesavtalet äga företräde.
13 Bilagor
13.1 Som en integrerad del av detta Biträdesavtal finns bilagor som specificerar vilka Avtal och Tjänster som omfattas av detta Biträdesavtal och som närmare beskriver bland annat vilka personuppgifter som PuB behandlar för PuA:s räkning och syftet med behandlingen.