Allsite
Allsite
Mellan Allsite AB, org. nr. 556582-9081, Box 309, 421 23 V Frölunda, nedan kallad Personuppgiftsbiträde och [Bolag], xxx.xx [ORG NUMMER], [ADDRESS], nedan kallad Personuppgiftsansvarig, har följande Personuppgiftsbiträdesavtal (“Biträdesavtal”) träffats.
1. DEFINITIONER
1.1 Begrepp i detta avtal ska anses ha samma innebörd som i Gällande dataskyddsregler samt den praxis som vid var tid utvecklats avseende Gällande dataskyddsregler. Det innebär att detta Biträdesavtals definitioner kommer att ändras under avtalets löptid. Föregående innebär att detta Biträdesavtal bland annat får följande definitioner:
Behandling, avser den åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämnande genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Gällande dataskyddsregler, avser rådsdirektiv 95/46/EG, införd i svensk rätt genom personuppgiftslagen (1998:204) och personuppgiftsförordningen (1998:1191) samt den allmänna dataskyddsförordningen (EU) 2016/679 (”GDPR”), med tillhörande genomförandeförfattningar. I händelse av konflikt mellan ovan nämnda författningar ska GDPR från och med den 25 maj 2018 ha företräde.
Personuppgifter, varje upplysning som avser en identifierad eller identifierbar fysisk person som är i livet.
Personuppgiftsincident, avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats och i övrigt behandlas.
Underbiträde, avser sådant personuppgiftsbiträde som anlitas av det Personuppgiftsbiträde som är Part i detta Biträdesavtal och som behandlar personuppgifter för Personuppgiftsansvariges räkning.
2. BAKGRUND OCH SYFTE
2.1 Avtalets syfte är att reglera rättigheter och förpliktelser efter dataskyddsreglerna enligt ovan. Avtalen skall säkerställa att personupplysningar om de registrerade användarna inte används på ett felaktigt sätt eller kommer i annans besittning. Avtalet reglerar Allsites användning av personupplysningar på uppdragsgivares räkning såsom insamling, registrering, sammanställning, lagring och leverans av eller kombination av dessa.
2.2 Allsite kommer att för uppdragsgivares räkning behandla personuppgifter. Den behandling Allsite kommer att utföra ska regleras av detta avtal.
2.3 All behandling av personuppgifter skall endast ske på vägnar av uppdragsgivare. Behandling gäller samtliga tjänster som är avtalade mellan parterna med hänvändelse till huvudavtalet där Allsite behandlar uppgifter på vägnar av dess uppdragsgivare.
2.4 Följande personupplysningar skall hanteras: Namn, adress, postnr, ort, telefonnummer samt e- postadress. Nuvarande produkter/tjänster, nuvarande teknisk utrustning som är levererat av uppdragsgivare och andra relevanta uppgifter som samlas in under samtalet.
2.5 Följande hantering omfattas av avtalet: Nedladdning av kunddata i uppdragsgivares datasystem, ändring eller borttagning av kunddata enligt överenskommelse med kund, inhämtning och registrering av nya kunddata med kunds samtycke. Slutrapport efter avslutat uppdrag.
2.6 Med anledning av ovanstående har Parterna ingått följande Biträdesavtal.
3. PERSONUPPGIFTSANSVARIGES ANSVAR
3.1 Allsite skall behandla alla personuppgifter i enlighet med GDPR-regleringen och gällande lagstiftning.
3.2 Allsite skall följa de instruktioner som uppdragsgivaren från tid till annan bestämmer skall gälla. Detta inkluderar rutiner för identifiering av kund vid upp sälj och annan typ av försäljning. Allsite skall aldrig utlämna personupplysningar som är mottagen från uppdragsgivaren eller dess leverantörer om inte kund vill få del av egna personuppgifter och dessutom är identifierad.
3.3 Allsite förpliktar sig att informera uppdragsgivare i de fall uppdragsgivares kunder ändrar eller avslutar sina personuppgifter så länge inte detta registreras direkt i uppdragsgivares CRM system. Allsite är ansvarig för att omedelbart översända uppgifter om reservationer, avslut och eller ändringar i samtycke som kunder gör direkt till Allsite så att uppdragsgivaren kan efterleva eget ansvar i förhållande till lagar och förordningar. Anmälan om reservation, förändring eller avslut i samtycke skickas direkt till processansvarig hos uppdragsgivaren.
3.4 Allsite skall försäkra att personer som arbetar med personuppgifter har förbundit sig att behandla personuppgifter förtroligt eller har egna tysthetsklausuler gentemot de som arbetar med personuppgifter.
3.5 Uppdragsgivaren har rätt till insyn och tillgång till personuppgifter som hanteras och systemen som används för detta. Allsite förpliktigar sig att bistå uppdragsgivaren med detta.
3.6 Allsite förpliktigar sig att tillhandhålla uppdragsgivaren sin säkerhetsdokumentation för att tillse att uppdragsgivaren kan tillvarata sitt eget ansvar i förhållande till lagar och förordningar.
3.7 Allsite har tystnadsplikt om dokument och personupplysningar som vederbörande får tillgång till med anledning till detta avtal.
3.8 Allsite är ansvarig för såväl direkta eller indirekta skador som orsakats av grov oaktsamhet från Allsite eller eventuella underleverantörer som hanterar personupplysningar i hänförliga till detta avtal.
4. KAPACITET OCH FÖRMÅGA
4.1 Allsite garanterar att denne besitter nödvändig teknisk och organisatorisk kapacitet och förmåga, inbegripet tekniska lösningar, kompetens, ekonomiska och personella resurser, rutiner och metoder, att fullgöra sina skyldigheter enligt detta avtal och Gällande dataskyddsregler.
4.2 Allsite skall på uppdragsgivarens begäran, eller oberoende tredje part som denna anlitat, styrka att de skyldigheter som framgår av detta avtal och Gällande dataskyddsregler uppfylls genom att utan onödigt dröjsmål tillhandahålla relevant dokumentation, hänvisa till relevant och godkänd uppförandekod eller certifiering, möjliggöra och bidra till granskningar och inspektioner av lokaler, IT-system och andra tillgångar och/eller tillhandahålla annan adekvat bevisning.
5. SÄKERHET
5.1 Allsite skall uppfylla de krav till säkerhetsåtgärder som gäller enligt de lagar och förordningar som detta avtal avser. Allsite skall dokumentera rutiner och åtgärder för att uppfylla dessa krav. Dokumentationen skall vid förfrågan vara tillgänglig för uppdragsgivaren.
5.2 Allsite skall dokumentera de av uppdragsgivares kunder som inte önskar vara med på eventuella ringlistor eller andra ändringar som inte görs direkt i uppdragsgivares CRM system.
5.3 Uppdragsgivaren ska omedelbart informera Allsite om uppdragsgivaren anser att en instruktion som Allsite lämnat strider mot GDPR eller någon annan tillämplig lagstiftning på dataskyddsområdet.
5.4 Allsite garanterar att de genomför rutinmässiga kontroller av säkerheten för de lagrade personuppgifterna. Allsite ansvarar även för att inga obehöriga kan få tag i personuppgifterna. Säkerhetsnivån kontrolleras av Allsite. Detta görs genom att: kryptera filer med personuppgifter, se till att dessa filer hanteras konfidentiellt och inte skickas runt mellan olika parter utan att vara lösenordskyddade, efter 6 månader radera kunduppgifter och ljudfiler som lagras.
5.5 Ansvarig kontaktperson hos Allsite skall identifieras i detta avtal. Ändring av kontaktperson skall delges Allsite inom 30 dagar.
6. SEKRETESS
6.1 Allsite ska Behandla Personuppgifter med sekretess och tillse att personer med behörighet att Behandla Personuppgifterna hos Allsite har ingått särskild sekretessförbindelse eller upplysts om att särskild tystnadsplikt föreligger enligt avtal eller gällande rätt
6.2 Allsite ska utan oskäligt dröjsmål, dock senast inom sjuttiotvå (72) timmar från att det kommit Allsites till kännedom, underrätta uppdragsgivaren om förekomsten av eller risken för en personuppgiftsincident. En sådan underrättelse ska innehålla all nödvändig och tillgänglig information som uppdragsgivaren behöver för att kunna vidta lämpliga förebyggande åtgärder och motåtgärder samt uppfylla sina skyldigheter avseende anmälan av personuppgiftsincidenter till behörig tillsynsmyndighet.
7. ANLITANDE AV UNDERBITRÄDE
7.1 Personuppgiftsbiträdet är förhindrad att utan Personuppgiftsansvariges skriftliga samtycke överföra eller på annat sätt överlåta behandlingen av personuppgifterna till ett Underbiträde. En sådan överlåtelse medför inga ändringar i den ansvarsfördelning som gäller mellan Parterna i detta Biträdesavtal.
8. UNDERRÄTTELSER
8.1 Vid inträffad eller befarad personuppgiftsincident ska Personuppgiftsbiträdet rapportera till (kunds mejladress)
9. GILTIGHET
9.1 Detta avtal är giltigt tills Allsites behandling av personuppgifterna upphör, detta avtal ersätts av ett annat personuppgiftsbiträdesavtal, eller tills dess avtalet upphör.
9.2 Allsite ska vid avslutad behandling återlämna personuppgifterna i ett allmänt och läsbart format till uppdragsgivaren och därefter radera personuppgifterna från sådana system som använts vid behandlingen, såvida inte detta är oförenligt med annan tvingande lag.
9.3 TILLÄMPLIG LAG OCH TVIST
9.4 Detta Biträdesavtal ska tolkas och tillämpas i enlighet med svensk rätt. Tvister till följd av tolkningen och tillämpningen av detta Biträdesavtal ska slutligen lösas i allmän domstol varvid Malmö tingsrätt skall vara första instans.
----------
Detta biträdesavtal är giltigt från och med den XX Månad XXXX. Detta Biträdesavtal har upprättats i två (2) exemplar och vardera parten har tagit var sitt
Ort & Datum | Ort & Datum |
Personuppgiftsbiträde, Allsite AB | Personuppgiftsansvarig, |
NAMN | NAMN |