Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

mellan

Bostadsrättsföreningen Och

Hembokat AB

BAKGRUND OCH SYFTE 3

1 DEFINITIONER 4

2 INSTRUKTIONER 5

3 PERSONUPPGIFTSANSVARIGES ANSVAR 6

4 PUB:S ÅTAGANDEN 6

5 ÖVERFÖRING AV PERSONUPPGIFTER UTANFÖR EU/EES 7

6 SEKRETESS 7

7 AVTALSTID 8

8 ÄNDRING ELLER UPPSÄGNING AV DETTA AVTAL 8

9 UPPHÖRANDE AV BEHANDLING AV PERSONUPPGIFTER 8

10 TVIST 8

Detta personuppgiftsbiträdesavtal (”Avtalet”) har ingåtts, i samband med ansökan eller beställning av Hembokats tjänst och leverans av Brf-hemsida, mellan;

1) Bostadsrättsföreningen (”PuA”), och

2) Hembokat AB, org. nr. 559106-0768, Xxxxxxxxxxx 00X, 000 00 Xxxxxxxxx (”PuB”), var för sig benämnda ”Part”, och gemensamt benämnda ”Parterna”.

BAKGRUND OCH SYFTE

(A) PuA är en bostadsrättförening vars syfte är att främja medlemmarnas ekonomiska intressen genom att i föreningens hus upplåta lägenheter åt deras medlemmar.

(B) PuB är ett bolag som tillhandahåller en internetbaserad plattform där medlemmarna i föreningen kan interagera, exempelvis genom moduler som tillåter medlemmarna att boka tvättid online.

(C) Detta Avtal har till syfte att uppfylla kraven enligt dataskyddsförordningen (EU 2016/679), (”GDPR”) och dataskyddslagens regleringar samt vid var tid gällande lagstiftning rörande personuppgifter. Detta Avtal är upprättat enligt kraven i artikel 28 GDPR.

(D) Avtalet syftar till att PuA säkerställer sitt självständiga personuppgiftsansvar enligt GDPR, genom att reglera instruktioner till PuB vid fullgörandet av uppdrag enligt detta Avtal.

(E) Vidare anges vilka personuppgifter som PuB i enlighet med instruktioner får behandla för PuA:s räkning, vad för art av behandling som ska utföras, vilka kategorier av registrerade som personuppgifterna berör, hur länge personuppgifterna får förvaras samt vilka säkerhetsåtgärder som PuB ska vidta för att skydda de personuppgifter som behandlas.

(F) Avtalet syftar även till att PuB säkerställer sitt självständiga ansvar enligt GDPR.

1 DEFINITIONER

1.1 Avtalet har motsvarande definitioner som återfinns i artikel 4 GDPR, vilket bland annat innebär att:

a) med personuppgiftsansvarig avses en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter, om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt,

b) med personuppgiftsbiträde avses en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning,

c) med behandling avses en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,

d) med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet,

e) med den registrerade avses den som personuppgift avser.

1.2 Utöver definitionerna enligt GDPR ovan ska nedanstående begrepp ha följande innebörd:

a) med standardavtalsvillkor avses villkor för skydd av personuppgifter överförda till land utanför EU/EES i enlighet med standardiserade dataskyddsbestämmelser som antas av EU-kommissionen eller standardiserade dataskyddsbestämmelser som antagits av en tillsynsmyndighet och godkänts av EU-kommissionen,

b) med underbiträde avses sådant personuppgiftsbiträde som anlitas av PuB och som behandlar personuppgifter för PuA:s räkning.

2 INSTRUKTIONER

2.1 PuB får behandla de personuppgifter som är nödvändiga för att genomföra sina uppdrag gentemot PuA. PuB:s behandling sker i syfte att tillhandahålla en internetbaserad plattform där medlemmarna kan interagera med varandra, erhålla information samt boka tvättider och liknande.

2.2 De typer av personuppgifter som PuB får behandla för PuA:s räkning omfattar namn, e-post, telefonnummer, personnummer, online identifikatorer och lokaliseringsuppgifter.

2.3 De registrerade vars uppgifter PuB får behandla för PuA:s räkning är PuA:s medlemmar eller övriga relevanta för användandet av PuB:s tjänster.

2.4 Den behandling av personuppgifter som PuB får genomföra omfattar insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, justering eller sammanförande, begränsning, radering eller förstöring.

2.5 PuBs behandling av personuppgifter för PuA:s räkning pågår så länge den registrerade är medlem hos PuA eller annars samtycker till fortsatt behandling, eller så länge som unionsrätten eller svensk lag föreskriver.

2.6 PuB får endast behandla personuppgifter för PuA:s räkning utifrån en dokumenterad instruktion från PuA, inbegripet när det gäller överföringar av personuppgifter till ett tredjeland eller en internationell organisation, såvida inte denna behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som PuB omfattas av och i så fall ska PuB informera PuA om det rättsliga kravet innan uppgifterna behandlas, såvida inte sådan information är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt.

2.7 PuB får, i enlighet med PuA:s dokumenterade instruktioner, vidarebefordra personuppgifter till Skatteverket och andra myndigheter samt lämna stickprovskontroller till PuA:s revisor.

2.8 I samband med detta avtal samtycker PuA till rätten för PuB att anlita Underbiträde för att behandla PuA:s personuppgifter, om såvida det är nödvändigt för att PuB att driva verksamheten.

2.9 PuB är särskilt ansvarig för att tillse att artikel 28.2 och 28.4 GDPR beaktas vid anlitande av Underbiträde och att tillse att sådant Underbiträde ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i GDPR.

3 PERSONUPPGIFTSANSVARIGES ANSVAR

3.1 PuA ansvarar för att all behandling av avtalade personuppgifter sker i enlighet med GDPR samt Datainspektionens tillämpliga regler och rekommendationer, med undantag för de skyldigheter som riktar sig specifikt mot personuppgiftsbiträden. Sådana granskningar eller inspektioner som genomförs med stöd av p. 4.8 detta Avtal sker på PuA:s bekostnad. Kontroll kan ske genom anlitande av tredje man.

3.2 PuA ska utan dröjsmål informera PuB om förändringar i behandlingen vilka påverkar PuBs skyldigheter enligt detta Avtal. PuA ska även informera PuB om tredje parts, däribland Datainspektionens och den registrerades, åtgärder med anledning av behandlingen.

3.3 PuA ansvarar för att lämna PuB sådana dokumenterade instruktioner att PuB kan fullfölja sina åtaganden enligt detta Avtal.

4 PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN

4.1 PuB ansvarar självständigt för att uppfylla de skyldigheter enligt GDPR samt Datainspektionens tillämpliga regler och rekommendationer som riktar sig specifikt till personuppgiftsbiträden.

4.2 PuB och den eller de personer som arbetar under deras ledning får endast behandla personuppgifter i enlighet med dokumenterade instruktioner från PuA. För det fall PuB saknar instruktioner som bedöms nödvändiga för att genomföra PuB:s uppdrag gentemot PuA ska PuB utan dröjsmål informera PuA om sin inställning och invänta de instruktioner som PuA bedömer behövs. PuB åtar sig vidare att särskilt tillse att ingen otillåten behandling av personuppgifter förekommer.

4.3 För det fall att registrerad eller annan tredje man begär ut information från PuB som rör behandling av personuppgifter ska PuB hänvisa till PuA.

4.4 PuB ska informera PuA om eventuella kontakter och åtgärder från Datainspektionen som rör eller kan vara av betydelse för behandling av personuppgifter. PuB har inte rätt att företräda PuA eller agera för PuA:s räkning gentemot Datainspektionen eller annan tredje man.

4.5 PuB ska, med tanke på behandlingens art, hjälpa PuA genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att PuA kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III GDPR.

4.6 PuB ska vidta alla åtgärder som krävs enligt artikel 32 GDPR.

4.7 PuB ska vidare bistå PuA med att se till att skyldigheterna enligt artikel 32–36 GDPR fullgörs, med beaktande av typen av behandling och den information som PuB har att tillgå.

4.8 PuB ska ge PuA tillgång till all information som krävs för att visa att de skyldigheter som fastställs i artikel 28 GDPR har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av PuA eller av tredje man som bemyndigats av PuA. PuB ska omedelbart informera PuA om PuB anser att en instruktion från PuA strider mot GDPR eller mot andra av unionens eller medlemsstaternas dataskyddsbestämmelser.

5 ÖVERFÖRING AV PERSONUPPGIFTER UTANFÖR EU/EES

5.1 PuB får, i samtycke med PuA, överföra personuppgifter till en plats utanför EU/EES eller tillåta någon att ha tillgång till personuppgifter från en sådan plats. Vilket i detta avtal PuA samtycker till.

5.2 För det fall PuA godkänner behandling av personuppgifter utanför EU/EES ska PuB, och/eller det Underbiträde som behandlar personuppgifter utanför EU/EES, alltid uppfylla vid var tid gällande lagar och förordningar som reglerar Xxxxxxxxx behandling av personuppgifter för sådan överföring och behandling utanför EU/EES.

5.3 För det fall PuB i samband med behandlingen överför personuppgifter till ett land utanför EU/EES eller till ett land som av EU-kommissionen inte anses uppfylla en adekvat skyddsnivå i förhållande till vid var tid gällande lagar och förordningar ska Parterna ingå ett tilläggsavtal baserad på standardavtalsvillkor.

5.4 Har PuB anlitat ett Underbiträde som behandlar eller överför personuppgifter till ett land utanför EU/EES som EU-kommissionen inte anser uppfylla en adekvat skyddsnivå i förhållande till GDPR ska PuB och Underbiträdet ingå ett tilläggsavtal baserad på standardavtalsvillkor. I förekommande fall ska PuB på begäran tillhandahålla PuA en kopia av sådant tilläggsavtal.

6 SEKRETESS

6.1 PuB ska vid behandlingen av personuppgifter iaktta stor försiktighet för att skydda den enskildes personliga integritet.

6.2 PuB förbinder sig att inte, varken under detta Avtals giltighetstid eller därefter, för tredje man avslöja de personuppgifter PuB erhållit eller andra vitala uppgifter som på annat sätt framkommer vid genomförandet av uppdraget.

6.3 PuB ska säkerställa att personer med behörighet att behandla personuppgifter enligt detta Avtal har åtagit sig att iaktta konfidentialitet eller omfattas av lämplig lagstadgad tystnadsplikt.

7 AVTALSTID

Avtalet gäller från dess undertecknande och så länge PuB behandlar personuppgifter för PuA:s räkning.

8 ÄNDRING ELLER UPPSÄGNING AV DETTA AVTAL

8.1 Avtalet kan sägas upp av vardera Part. Avtalet upphör att gälla 1 månad från det att detta skriftligen meddelats den andra Parten.

8.2 Ändringar av och tillägg till detta Avtal skall för att vara bindande vara skriftligen avfattade och undertecknade av Parterna.

9 UPPHÖRANDE AV BEHANDLING AV PERSONUPPGIFTER

Vid upphörande av PuBs behandling av personuppgifter för PuA:s räkning ska PuB utan onödigt dröjsmål radera eller till PuA återlämna alla personuppgifter, beroende på vad PuA väljer. PuB ska även radera befintliga kopior, såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt, såsom exempelvis för efterlevnad av Bokföringslagen (SFS 1999:1078).

10 TVIST

Tvist angående tolkning eller tillämpning av detta Avtal ska slutligt avgöras genom skiljedom enligt Svenska Handelskammares Skiljedomsinstitut för förenklat förfarande.

I samband med anslutning till Hembokat och beställning av Hembokats tjänst, samtycker bostadsrättsföreningen (kunden) till detta avtal. Vid anslutning, godkänner bostadsrättsföreningen och erkänner Hembokat som personuppgiftsbiträde enligt detta avtal.

Som kund och användare av Hembokats tjänst, skriver bostadsrättsföreningen under detta avtal till fullo.