PERSONUPPGIFTSBITRÄDESAVTAL
BILAGA 2 – Personuppgiftsbiträdesavtal
M e l l a n , I m B o x S w e d e n A B ( ” ImBox ”), 556918-0754 och [ XX ] (”Personuppgiftsansvarig”), [xxx.xx], har denna dag träffats följande
PERSONUPPGIFTSBITRÄDESAVTAL
1. BAKGRUND
1.1. Parterna har denna dag ingått avtal avseende nyttjanderätt till molnbaserad tjänst, nedan kallat ”Huvudavtalet”.
1.2. Enligt Huvudavtalet ska ImBox ge Personuppgiftsansvarig nyttjanderätt och tillgång till molnbaserad tjänst som möjliggör för Personuppgiftsansvarig att kommunicera med nuvarande och potentiella kunder. Inom ramen för Huvudavtalets fullgörande kan behandling av personuppgifter ske.
1.3. Dataskyddsförordningen1 (2016/679/EU) (”Dataskyddsförordningen”) ställer
krav på skriftligt avtal när ett personuppgiftsbiträde ska behandla personuppgifter för en personuppgiftsansvarigs räkning. Med anledning härav har Parterna träffat detta personuppgiftsbiträdesavtal, nedan kallat ”Personuppgiftsbiträdesavtalet”.
1.4. Syftet med Personuppgiftsbiträdesavtalet är att tillse att ImBox behandling av personuppgifterna för Personuppgiftsansvarigs räkning sker i enlighet med Dataskyddsförordningen eller vid var tidpunkt gällande lagstiftning avseende personuppgiftsbehandling.
1.5. Detta Personuppgiftsbiträdesavtal reglerar all behandling av personuppgifter som sker av ImBox såsom personuppgiftsbiträde åt Personuppgiftsansvarig inom ramen för åtagandena enligt Huvudavtalet.
1.6. Detta Personuppgiftsbiträdesavtal ersätter eventuella redan ingångna personuppgiftsbiträdesavtal mellan parterna.
1.7. Personuppgiftsansvarig bestämmer ändamålen med och i väsentliga delar medlen för personuppgiftsbehandlingen.
1.8. För det fall detta Personuppgiftsbiträdesavtal behöver revideras i anledning av tillämplig lagstiftning avseende Personuppgiftsbehandling ska parterna medverka till sådan nödvändig revidering.
1.9. Vid händelse av motstridiga bestämmelser mellan Personuppgifts- biträdesavtalet och Huvudavtalet ska Personuppgiftsbiträdesavtalet äga företräde.
1 Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG.
2. DEFINITIONER
För information återges nedan några definitioner. Fler definitioner finns i gällande lagstiftning. Vid tolkning gäller alltid gällande lags definitioner.
2.1. Med ”Personuppgift” avses nedan all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet och som Behandlas för Personuppgiftsansvarigs räkning.
2.2. Med ”Registrerad” avses nedan den som en Personuppgift avser.
2.3. Med ”Behandling” eller ”Personuppgiftsbehandling” avses nedan varje åtgärd eller serie av åtgärder som vidtas i fråga om Personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
2.4. Med ”Personuppgiftsincident” avses oavsiktlig eller olaglig förstörelse av data, obehörigt utlämnande eller obehörig tillgång till data.
2.5. Med ”Underbiträde” avses fysisk eller juridisk person, myndighet eller annat organ som anlitas av ImBox för Behandling av Personuppgifter.
2.6. Med ”tillämplig lagstiftning avseende Personuppgiftsbehandling” avses vid var t idpunkt gällande lag, förordning, rättspraxis, allmänna råd av tillsynsmyndigheter och branschöverenskommelser som reglerar Behandling av Personuppgifter såsom Dataskyddsförordningen, kameraövervakningslagen, lag om elektronisk kommunikation m.fl.
3. IMBOX ÅTAGANDEN
Allmänt
3.1. Följande Personuppgifter, tillhörande Personuppgiftsansvariges kunder, potentiella kunder, tidigare kunder, leverantörer och anställda, kan komma att Behandlas inom ramen för Huvudavtalets fullgörande: namn, personnummer, adresser, telefonnummer, e-postadresser, kundnummer, civilstånd, transaktioner, transaktionshistorik, betalningsuppgifter, taxering, skulder, avtal, diarienummer, betalningsanmärkningar, kontonummer, kreditkortsnummer fastighetsinnehav, bilinnehav, sexuell läggning, hälsouppgifter, medlemskap i en fackförening, ras eller etniskt ursprung samt även fotografier, ljud, video och andra Personuppgifter som kunder, potentiella kunder, tidigare kunder, leverantörer och anställda kan lämna vid användandet av molntjänst.
3.2. Följande Personuppgiftsbehandling sker av ImBox inom ramen för Huvudavtalets fullgörande: insamling, lagring, läsning, utlämning genom överföring, spridning eller tillhandhållande, bearbetning, granskning i utvecklingssyfte, radering och annan Behandling för att kunna hjälpa till med och svara på frågor från kunder och potentiella kunder.
3.3. ImBox ska Behandla Personuppgifterna i enlighet med vid var tid tillämplig lagstiftning avseende Personuppgiftsbehandling.
3.4. ImBox ska löpande hålla sig informerad om innehållet i tillämplig lagstiftning avseende Personuppgiftsbehandling.
Instruktioner
3.5. ImBox eller den eller de personer som arbetar under ImBox ledning ska Behandla Personuppgifter i enlighet med detta Personuppgiftsbiträdesavtal och Personuppgiftsansvariges dokumenterade instruktioner, Bilaga 3. Om ImBox saknar instruktioner som ImBox bedömer är nödvändiga för att fullgöra sina åtaganden enligt Personuppgiftsbiträdesavtalet ska ImBox utan dröjsmål informera Personuppgiftsansvarig om detta och inhämta nödvändiga instruktioner från Personuppgiftsansvarig.
Säkerhetsåtgärder
3.6. ImBox ska vidta de lämpliga tekniska och organisatoriska åtgärder som krävs enligt vid var tid tillämplig lagstiftning avseende Personuppgiftsbehandling. Åtgärderna ska vidtas för att säkerställa en lämplig säkerhetsnivå i förhållande till Personuppgifternas känslighet och risken för obehörig åtkomst till Personuppgifterna. Åtgärderna kan omfatta såväl fysiska som tekniska åtgärder. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som Behandlingen medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt Behandlats.
Behörighet
3.7. ImBox ska vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under ImBox överseende och som får tillgång till Personuppgifter endast Behandlar dessa i den utsträckning som är nödvändig för att ImBox ska kunna fullgöra sina åtaganden enligt Personuppgiftsbiträdesavtalet och Huvudavtalet.
3.8. ImBox ska säkerställa att berörd personal åtagit sig att iaktta konfidentialitet, följer Personuppgiftsbiträdesavtalet och övriga instruktioner som ges av Personuppgiftsansvarig samt hålls informerade om innehållet i personuppgiftslagen och annan vid var tid tillämplig lagstiftning avseende Personuppgiftsbehandling.
Personuppgiftsincident
3.9. Efter att ImBox har fått vetskap om en inträffad Personuppgiftsincident ska ImBox, utan onödigt dröjsmål, underrätta Personuppgiftsansvarig. ImBox ska vidare bistå Personuppgiftsansvarig med information och dokumentation som ImBox har tillgång till för att Personuppgiftsansvarig ska kunna fullgöra sina skyldigheter med anledning av incidenten.
3.10. ImBox ska tillhandahålla Personuppgiftsansvarig följande information avseende personuppgiftsincidenten:
Överföring av Personuppgifter
3.11. P e r s o n u p p g i f t e r s o m B e h a n d l a s a v I m B o x p å u p p d r a g a v Personuppgiftsansvarig kan överföras till land i vilket ImBox, dess underbiträde eller underbiträdenas underbiträde bedriver sin verksamhet.
3.12. Personuppgiftsansvarig accepterar att överföring av Personuppgifter sker till länder som avses i punkten 3.11 och att Behandling av Personuppgifter kan komma att ske i dessa länder om sådan Behandling är nödvändig för att ImBox ska kunna fullgöra Huvudavtalet.
3.13. ImBox garanterar att inga Personuppgifter som ImBox Behandlar för Personuppgiftsansvarigs räkning kommer att överföras till land utanför EU/EES utan att Personuppgiftsansvarig gett sitt samtycke därtill.
Utlämning av Personuppgifter
3.14. För det fall Registrerad, vid var tid behörig tillsynsmyndighet eller annan tredje man begär information från ImBox som rör Behandling av Personuppgifter ska ImBox hänvisa till Personuppgiftsansvarig. ImBox får inte till annan än Personuppgiftsansvarig lämna ut information om Behandling av P e r s o n u p p g i f t e r u t a n s k r i f t l i g i n s t r u k t i o n o c h s a m t y c k e f r å n Personuppgiftsansvarig, såvida sådant utlämnande inte är en skyldighet enligt lag.
Kontakter med tillsynsmyndighet
3.15. ImBox ska informera Personuppgiftsansvarig om eventuella kontakter med vid var tid behörig tillsynsmyndighet, vilka rör eller kan vara av betydelse för Behandlingen av Personuppgifter. ImBox har inte rätt att företräda Personuppgiftsansvarig eller agera för Personuppgiftsansvarigs räkning gentemot vid var tid behörig tillsynsmyndighet.
3.16. ImBox ska tillåta de inspektioner som tillsynsmyndighet kan kräva avseende Behandling av Personuppgifter.
Registrerades rättigheter
3.17. Registrerad har rätt att exempelvis begära registerutdrag eller kräva rättelse, blockering eller utplåning av dennes Personuppgifter som Behandlas av ImBox. ImBox är skyldigt att bistå Personuppgiftsansvarig i sådan omfattning att denna rätt kan säkerställas. I de fall samtycke till Behandling krävs från Registrerad inhämtas detta av Personuppgiftsansvarig.
3.18. Gallring
Personuppgifter kommer att behandlas så länge det är nödvändigt för att tillhandahålla och leverera Tjänsten till Personuppgiftsansvarig och fullgöra sina åtaganden i enlighet med Huvudavtalet, dock längst 24 månader.
Personuppgifter och loggar som är äldre än 24 månader ska raderas från ImBox och eventuella underbiträdens servrar.
Granskning och tillgång till information
3.19. ImBox ska på Personuppgiftsansvariges begäran ge Personuppgiftsansvarig eller annan som Personuppgiftsansvarig uppdragit tillgång till den information som krävs för att visa att ImBox uppfyller sina åtaganden enligt Personuppgiftsbiträdesavtalet.
Åtgärder vid huvudavtalets upphörande
3.20. När Huvudavtalet upphör ska ImBox, på den Personuppgiftsansvariges begäran, överlämna samtliga Personuppgifter till Personuppgiftsansvarig via API och se till att det inte finns några Personuppgifter tillhörande Personuppgiftsansvarig kvar hos ImBox.
4. SEKRETESS
ImBox förbinder sig att inte till tredje man lämna ut eller på annat sätt röja information om Behandling av Personuppgifter som omfattas av Personuppgiftsbiträdesavtalet. Detta åtagande gäller inte information som ImBox föreläggs utge till myndighet. Sekretessåtagandet gäller även efter att Personuppgiftsbiträdesavtalet i övrigt upphört att gälla.
5. UNDERBITRÄDE
5.1. Personuppgiftsansvarig ger ImBox ett allmänt tillstånd att anlita Underbiträden för Behandling av Personuppgifter vid fullgörande av Huvudavtalet. På begäran av Personuppgiftsansvarig ska ImBox informera Personuppgiftsansvarig om de Underbiträden som anlitas.
5.2. ImBox svarar för Underbiträdets Behandling såsom för egen Behandling.
5.3. ImBox ska ingå skriftligt avtal med Underbiträdet avseende Personuppgiftsbehandling.
6. ERSÄTTNING
ImBox har rätt till särskild ersättning för Behandling av Personuppgifter under detta Personuppgiftsbiträdesavtal.
7. ANSVAR
7.1. ImBox ansvar gentemot Personuppgiftsansvarig avseende Behandling av Personuppgifter omfattar direkt skada till följd av sådan Behandling av P e r s o n u p p g i f t e r s o m u p p e n b a r t s t å r i d i r e k t s t r i d m e d Personuppgiftsbiträdesavtalet och skriftliga instruktioner f rån Personuppgiftsansvarig.
7.2. ImBox ansvar enligt punkten 7.1 ovan är begränsat till det högsta av följande två belopp; a) det högsta belopp som kan utgå ur ImBox ansvarsförsäkring avseende aktuell skada, eller b) ImBox förtjänst på Huvudavtalet under innevarande kalenderår.
7.3. Personuppgiftsansvarig ska hålla ImBox skadelös för det fall ImBox skulle bli skadeståndsansvarigt gentemot tredje man på grund av skada orsakad av Personuppgiftsansvarig.
8. AVTALSTID
Detta Personuppgiftsbiträdesavtal gäller från dess undertecknande och så länge som ImBox Behandlar Personuppgifter på Personuppgiftsansvarigs uppdrag.
9. ÖVERLÅTELSE
Parterna får inte överlåta detta Personuppgiftsbiträdesavtal till annan utan den andre partens föregående skriftliga samtycke.
10. ÖVRIGT
10.1. Ändringar och tillägg till detta Personuppgiftsbiträdesavtal ska för att vara bindande upprättas skriftligen och vara behörigen undertecknade av parterna.
10.2. Tvist med anledning av detta Personuppgiftsbiträdesavtal ska avgöras enligt Huvudavtalets bestämmelser om tvist.
Detta Personuppgiftsbiträdesavtal har upprättats i två likalydande exemplar, varav parterna har tagit var sitt.