Avtal Version: 2.2

Avtal
Version: 2.2

2023-02-25

PERSONUPPGIFTSBITRÄDES AVTAL

Personuppgiftsbiträdesavtal

Detta Personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtalet”) har denna dag träffats mellan:

Namn……………………………………………, xxx.xx. …………………………… (”Kunden”); och

1. Fortlax AB, xxx.xx. 556668-1044 (”Leverantören”).

1. Allmänt

   1. Detta Personuppgiftsbiträdesavtal utgör en integrerad del av Generella avtalsvillkor alla tjänster ”Avtalet” mellan Leverantören och Kunden.

   2. Leverantören kommer vid fullföljandet av Avtalet att Behandla Personuppgifter för Kundens räkning så som Kundens personuppgiftsbiträde. Kunden är personuppgiftsansvarig för Behandlingen av Personuppgifterna.

   3. Om någon annan eller någon annan tillsammans med Xxxxxx är personuppgiftsansvarig för de aktuella Personuppgifterna ska Kunden informera Leverantören om detta.

   4. Syftet med detta Personuppgiftsbiträdesavtal är att Xxxxxx och Leverantören ska uppfylla vid var tid gällande krav på Personuppgiftsbiträdesavtal och förpliktelser enligt Dataskyddsregler samt att säkerställa ett adekvat skydd för personlig integritet och grundläggande rättigheter för enskilda i samband med överföring av Personuppgifter från Kunden till Leverantören eller annan Behandling inom ramen för de tjänster Leverantören utför åt Xxxxxx under Avtalet.

2. Definitioner

   ”Behandling”	avser vid var tid gällande legaldefinition av ”behandling” enligt Dataskyddsregler. Vid tidpunkten för Avtalets undertecknande innefattar Behandling varje åtgärd eller serie av åtgärder som vidtas i fråga om Personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning efter annat tillhandahållande av uppgifter, sammanställning eller samkörning blockering, utplåning eller förstöring.
   ”Dataskyddsregler”	avser vid var tid gällande lag eller förordning som ska tillämpas på Behandling av Personuppgifter vilket innefattar men inte är begränsat till Personuppgiftslagen (1998:204) och från och med den 25 maj 2018 Europaparlamentets och Rådets Förordning (EU) 2016/679 (”Dataskyddsförordningen”) vilken ersätter Personuppgiftslagen (1998:204); samt Tillsynsmyndighets bindande beslut och föreskrifter samt tillkommande lokal anpassning och reglering avseende dataskydd.
   ”Godkänt Underbiträde”	avser Underbiträde som antingen särskilt skriftligen har godkänts för Behandling av Personuppgifter av Kunden; eller för det fall Avtalet uttryckligen ger Leverantören ett generellt tillstånd i förväg för Leverantören att anlita Underbiträde, sådant Underbiträde som Leverantören har meddelat Kunden i förväg om i god tid innan Underbiträde anlitas och som Kunden inte gjort invändning mot inom skälig tid.
   ”Kunden”	avser den part som anges i ingressen ovan, i den mån Kunden ingår detta avtal för andra tjänstemottagares räkning i enlighet med Avtalet ska dock definitionen ”Kund” i tillämpliga delar även avse sådana tjänstemottagare om inte annat uttryckligen framgår av detta Personuppgiftsbiträdesavtal eller Avtalet.
   ”Leverantören”	avser den part som anges i ingressen ovan.
   ”Personuppgifter”	avser de personuppgifter, som Leverantören Behandlar för Kundens räkning under detta Personuppgiftsbiträdesavtal. Vid tidpunkten för Avtalets undertecknande definieras ”personuppgifter” som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet men begreppet ”personuppgifter” ska anses ha den innebörd som framgår av vid var tid gällande legaldefinition under Dataskyddsregler.
   ”Registrerad”	avser den fysiska person som en Personuppgift avser.
   ”Tillsynsmyndighet”	avser den eller de tillsynsmyndigheter som har behörighet att bedriva tillsyn över hantering av Personuppgifter eller anses vara berörd tillsynsmyndighet enligt Dataskyddsregler.
   ”Tillämpningsdagen”	avser den dag Dataskyddsförordningen börjar gälla, d.v.s. 25 maj 2018.
   ”Underbiträde”	avser den som Behandlar Personuppgifter som underleverantör åt Leverantören (vilket innefattar men inte är begränsat till Leverantörens koncernbolag).

   1. Eventuella övriga uttryck eller definitioner med stor begynnelsebokstav som används i detta Personuppgiftsbiträdesavtal ska, om inget annat uttryckligen anges, ha den innebörd och betydelse som framgår i första hand av Dataskyddsregler och annars av Avtalet om inte omständigheterna uppenbarligen talar för annan tolkningsordning.

3. Ansvar och instruktion

   1. De Personuppgifter som Behandlas av Leverantören på uppdrag av Xxxxxx beskrivs i Bilaga 1 (Instruktion om hantering av Personuppgifter).

   2. Kunden är personuppgiftsansvarig för samtliga Personuppgifter som Leverantören Behandlar för Kundens räkning under Avtalet. Leverantören ska vid Behandling av Personuppgifter under detta Personuppgiftsbiträdesavtal, följa Dataskyddsregler och gällande rekommendationer från Tillsynsmyndighet samt hålla sig informerad om desamma.

   3. Leverantören och den eller de personer som arbetar under Leverantörens ledning ska endast Behandla Personuppgifter i enlighet med Xxxxxxx dokumenterade instruktioner. Leverantören får aldrig Behandla Personuppgifter för andra ändamål än dem som Leverantören anlitats för under Avtalet. Dessa ändamål ska för tydlighets skull framgå av Xxxxxxx instruktioner. Från och med Tillämpningsdagen får Behandling även ske om sådan Behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Leverantören eller Underbiträde omfattas av. Om Behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Leverantören eller Underbiträde omfattas av ska Leverantören eller Underbiträdet informera Kunden om det rättsliga kravet innan Behandlingen, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt.

   4. De instruktioner som gäller vid Personuppgiftsbiträdesavtalets träffande gällande bl.a. föremål för Behandlingen, Behandlingens varaktighet, art och ändamål med Behandlingen, typ av Personuppgifter och kategorier av Registrerade framgår av Bilaga 1 (Instruktion om hantering av Personuppgifter). Utöver de särskilda instruktioner som framgår av Bilaga 1 (Instruktion om hantering av Personuppgifter) ska detta Personuppgiftsbiträdesavtal och Avtalet i övrigt anses utgöra Kundens initiala instruktioner till Leverantören avseende Behandling av Personuppgifter.

   5. Leverantören ska omedelbart informera Kunden om Leverantören saknar instruktion om hur Behandling av Personuppgifter ska ske i en viss situation eller om Leverantören anser att en instruktion som har erhållits under Personuppgiftsbiträdesavtalet står i strid med Dataskyddsregler. Leverantören ska även omedelbart informera Xxxxxx om förändringar vilka påverkar Leverantörens skyldigheter enligt detta Personuppgiftsbiträdesavtal. Leverantören ska inte vidta någon åtgärd som får till följd att Kunden kan anses agera i strid med Dataskyddsregler.

4. Säkerhet

   1. Leverantören ska vidta de åtgärder som krävs för att uppfylla 31 § 1 st. Personuppgiftslagen (1998:204) eller, från och med Tillämpningsdagen, den ersättande Artikel 32 i Dataskyddsförordningen. Leverantören ska vid all Behandling särskilt följa Tillsynsmyndighets allmänna råd, andra rekommendationer eller föreskrifter som ersätter eller kompletterar de förutnämnda utfärdande av Tillsynsmyndighet samt följa Tillsynsmyndighets fattade beslut om åtgärder.

   2. I syfte att bistå Xxxxxx med att uppfylla sina rättsliga förpliktelser inklusive, men inte begränsat till, bedömning av säkerhetsåtgärder och dataskyddsrisker enligt Dataskyddsregler, ska Leverantören vidta tekniska och organisatoriska åtgärder för att skydda de Personuppgifter som Behandlas och därvid följa de skriftliga informationssäkerhetskrav och policies som Kunden vid var tidpunkt meddelar.

   3. Åtgärderna ska åtminstone medföra en säkerhetsnivå som är lämplig med hänsyn till:

1. befintliga tekniska möjligheter;

2. kostnaden för att genomföra åtgärderna;

3. de särskilda risker som är förenade med Behandlingen av Personuppgifter; och

4. graden av känslighet för de Personuppgifter som Behandlas.

1. Leverantören ska upprätthålla en adekvat säkerhetsnivå för Personuppgifterna. Leverantören ska skydda Personuppgifterna från förstöring, ändring, obehörigt röjande och obehörig åtkomst. Personuppgifterna ska även skyddas från all annan form av olaglig Behandling, innefattande men inte begränsat till Behandling i strid med Dataskyddsregler. Med beaktande av den senaste utvecklingen, genomförandekostnaderna och Behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska de tekniska och organisatoriska åtgärderna som Leverantören vidtar, inkludera:

1. förmåga att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos de system och tjänster som Behandlar Personuppgifter;

2. förmåga att återställa tillgänglighet och tillgång till Personuppgifter i rimlig tid vid en fysisk eller teknisk incident; och

3. ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa Behandlingens säkerhet.

1. Med hänvisning till de tekniska och organisatoriska åtgärder som anges i denna punkt 4 ska Leverantören vidta följande åtgärder:

1. skydd för fysisk åtkomst varigenom Leverantörens lokaler för datorutrustning och bärbar/flyttbar information eller lagringsmedia som innehåller Personuppgifter ska låsas när de står utan tillsyn av behörig person i enlighet med punkt (c) nedan i syfte att skydda mot obehörig användning, stöld etc.;

2. process för test av återläsning då Personuppgifter har återskapats från backup-kopia;

3. säker kommunikation varigenom anknytningar till extern datakommunikation ska skyddas av tekniska funktioner som säkerställer att anknytningen är behörig och krypteringsfunktioner avseende innehåll i data som transporteras i kommunikationskanaler utanför de system som Leverantören kontrollerar;

4. process för att säkerställa att Personuppgifter förstörs på ett säkert sätt när fast eller flyttbar lagringsmedia inte längre ska användas för sitt ändamål;

5. rutiner för att ingå sekretessavtal med leverantörer som tillhandahåller reparation och service av utrustning som används för att lagra Personuppgifter; samt

6. xxxxxxx för att övervaka arbete som utförs av leverantörer i Leverantörens lokaler. Lagringsmedia som innehåller Personuppgifter ska ställas undan om övervakning inte är möjligt.

1. Leverantören ska vidta nödvändiga åtgärder för att bistå och ska omedelbart meddela Kunden avseende oavsiktlig eller obehörig åtkomst till Personuppgifter liksom varje annan personuppgiftsincident, dock senast inom 24 timmar efter kännedom om sådan incident. Meddelandet ska åtminstone:

1. beskriva personuppgiftsincidentens art och de kategorier av och det ungefärliga antalet Registrerade samt de kategorier av och det ungefärliga antalet Personuppgifter som berörs;

2. förmedla namnet på och kontaktuppgifterna till Leverantörens dataskyddsombud eller andra kontaktpunkter där mer information kan erhållas;

3. beskriva de sannolika konsekvenserna av personuppgiftsincidenten;

4. beskriva åtgärder som vidtagits av Leverantören, eller som föreslås vidtas, för att hantera personuppgiftsincidenten, inklusive där så är lämpligt, åtgärder för att begränsa dess potentiella negativa effekter.

1. Leverantören ska säkerställa att bara sådan personal som behöver direkt åtkomst till Personuppgifter för att uppfylla Leverantörens åtaganden under Personuppgiftsbiträdesavtalet ska ha åtkomst till sådan information. Leverantören ska säkerställa att sådan personal är förpliktad att Behandla Personuppgifterna med sekretess på samma sätt som Leverantören är i enlighet med detta Personuppgiftsbiträdesavtal och att de informeras om hur de får Behandla Personuppgifterna.

2. Leverantören ska vid begäran bistå Xxxxxx med fullgörande av Kundens skyldighet vid utförande av risk- och sårbarhetsanalys eller konsekvensbedömningar avseende dataskydd för de Personuppgifter som Behandlas, vilket från och med Tillämpningsdagen om Kunden så begär innefattar deltagande i förhandssamråd med Tillsynsmyndighet.

3. Leverantören ska utöver ovan, från och med Tillämpningsdagen, även i övrigt bistå Kunden med att se till att skyldigheterna enligt Artiklarna 32-36 i Dataskyddsförordningen fullgörs, med beaktande av typen av Behandling och den information som Leverantören har att tillgå.

4. Leverantören ska dokumentera de tekniska och organisatoriska säkerhetsåtgärder som används för att uppfylla säkerhetskraven enligt Dataskyddsregler och detta Personuppgiftsbiträdesavtal. Dokumentationen ska på begäran tillhandahållas Kunden.

5. Om Xxxxxx begär det ska Leverantören vidta ytterligare skäliga tekniska och organisatoriska säkerhetsåtgärder och justeringar av Behandlingen. Kunden ska meddela Leverantören om ändringar i Kundens instruktioner avseende säkerhet och Behandling av Personuppgifter i rimlig tid så att nödvändiga justeringar av processerna kan implementeras.

6. Till undvikande av missförstånd; inget i denna punkt 4 ska innebära någon begränsning av de åtaganden om säkerhet som framgår av Xxxxxxx.

1. Sekretess

   1. Parternas skyldighet att iaktta sekretess regleras i Avtalet. I tillägg till detta ska Leverantören inte, utan Kundens skriftliga samtycke i förväg, lämna ut eller annars tillgängliggöra Personuppgifter till tredje man utom såvitt avser Underbiträden som har anlitats i enlighet med Personuppgiftsbiträdesavtalet.

   2. Åtagandet i punkt 5.1 ovan gäller inte information som Leverantören föreläggs utge till Tillsynsmyndighet eller enligt Dataskyddsregler eller annan lagstadgad skyldighet enligt medlemsstats nationella rätt.

   3. Leverantören åtar sig att säkerställa att personer med behörighet att Behandla Personuppgifterna har åtagit sig att iaktta sekretess för sådan behandling eller omfattas av en lämplig lagstadgad tystnadsplikt.

   4. Leverantören är medvetet om att lag om skydd för företagshemligheter (1990:409) kan äga tillämplighet avseende Personuppgifter och annan av Kunden ägd information och data.

   5. Denna punkt 5 gäller även om Personuppgiftsbiträdesavtalet i övrigt upphör att gälla.

2. Utlämnande av Personuppgifter och information

   1. Om det till Leverantören kommer in en begäran från Registrerad, Tillsynsmyndighet eller annan tredje man om att få ta del av uppgifter som Leverantören behandlar för Kundens räkning ska Leverantören utan dröjsmål vidarebefordra begäran till Kunden. Leverantören, eller den som arbetar under Leverantörens ledning, får inte lämna ut Personuppgifter eller annan information om Behandlingen av Personuppgifter utan uttrycklig dokumenterad instruktion om detta från Kunden om inte sådan skyldighet föreligger enligt Dataskyddsregler. För det fall Leverantören, enligt Dataskyddsregler, är förpliktad att lämna ut Personuppgifter, ska Leverantören vidta alla åtgärder för att begära sekretess i samband med att begärd information lämnas ut samt omedelbart informera Xxxxxx därom i den Leverantören inte är förhindrad att göra detta enligt gällande Dataskyddsregler.

3. Begäran från Registrerade

   1. Från Tillämpningsdagen ska Leverantören genom tekniska och organisatoriska åtgärder, som med hänsyn till Behandlingens art är lämpliga, bistå Kunden i den mån så att Kunden kan fullgöra sin skyldighet att svara på begäran från den Registrerade vid den Registrerades utövande av sina rättigheter enligt Dataskyddsregler, vilket kan innefatta rätt att erhålla information (registerutdrag) samt att på Registrerads begäran rätta, blockera eller radera Personuppgifter.

   2. Leverantören ska från och med Tillämpningsdagen tillse att Xxxxxx kan uppfylla eventuell skyldighet enligt Dataskyddsregler att möjliggöra dataportabilitet avseende Personuppgifter i enlighet med Kundens dokumenterade instruktioner därom.

4. Kontakt med Tillsynsmyndigheten

Leverantören ska informera Xxxxxx om eventuella kontakter från Tillsynsmyndigheten som rör Behandling av Personuppgifter. Leverantören har inte rätt att företräda Xxxxxx eller agera för Kundens räkning gentemot Tillsynsmyndighet.

9. Underbiträden

   1. Personuppgifter får enbart Behandlas av ett Underbiträde om sådant Underbiträde uppfyller villkoren för att utgöra ett Godkänt Underbiträde och under förutsättning att Leverantören på Kundens vägnar ingår ett skriftligt avtal eller annan rättsakt enligt unionsrätten där Underbiträdet åläggs motsvarande skyldigheter i fråga om dataskydd som Leverantören åläggs enligt detta Personuppgiftsbiträdesavtal.

   2. Leverantören är från och med Tillämpningsdagen särskilt ansvarig för att tillse att Artikel 28.2 och 28.4 i Dataskyddsförordningen beaktas vid anlitande av Underbiträden och att tillse att sådant Underbiträde ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att Behandlingen uppfyller kraven i Dataskyddsförordningen. Leverantören åtar sig att informera Xxxxxx om eventuella planer på att anlita nya Underbiträden eller ersätta Underbiträden i god tid innan planerad användning av nytt Underbiträde. Till undvikande av missförstånd; nya Underbiträden måste alltid uppfylla villkoren för Godkänt Underbiträde innan sådant Underbiträde får användas för Behandling av Personuppgifter.

   3. Leverantören ska löpande tillhandahålla Kunden korrekt och uppdaterad lista utvisande vilka Underbiträden som anlitats för Behandlingen av Personuppgifter, kontaktuppgifter till Underbiträden, den geografiska platsen för sådan Behandling, samt vilka behandlingar av Personuppgifter som respektive Underbiträde utför.

   4. I syfte att säkerställa att Underbiträde i sin verksamhet följer Dataskyddsregler kan Kunden (i tillägg till vad som gäller enligt punkt 11) kräva att Leverantören utför granskning av Underbiträde eller bekräftar att sådan granskning har skett eller, om möjligt, erhåller eller bistår Kunden att erhålla tredje mans granskningsrapport. Kunden har även rätt att på begäran erhålla kopia av relevanta villkor i avtal mellan Leverantören och Underbiträden.

   5. Om ett Underbiträde inte fullgör sina skyldigheter i fråga om dataskydd ska Leverantören vara ansvarig för utförandet av Underbiträdets skyldigheter i relation till Xxxxxx. Detta innebär bland annat att Kunden förbehåller sig rätten att rikta eventuella anspråk och/eller krav på åtgärder mot Leverantören även om anspråket och/eller kravet på åtgärd är hänförligt till Underbiträde.

10. Överföring av Personuppgifter utanför EU/EES

    1. Leverantören får inte överföra Personuppgifter till en plats utanför EU/EES eller tillåta någon att ha tillgång till Personuppgifter från en sådan plats utan Kundens skriftliga tillstånd i förväg om inte sådan rätt uttryckligen framgår av Xxxxxxx.

    2. För det fall Kunden godkänner Behandling av Personuppgifter utanför EU/EES ska Leverantören och/eller det Underbiträde som Behandlar Personuppgifter utanför EU/EES alltid uppfylla gällande krav enligt Dataskyddsregler för sådan överföring och Behandling utanför EU/EES.

    3. Vid detta Personuppgiftsbiträdesavtals ingående kan sådant krav i förhållande till vissa länder t.ex. uppfyllas genom att Leverantören tillser att ett direktavtal enligt EU:s standardavtalsklausuler (2010/87/EU (Kommissionens beslut om standardavtalsklausuler för överföring av personuppgifter till registerförare etablerade i tredje land))(”standardavtalsklausuler”) ingås med Kunden, eller för det fall överföring sker till Underbiträde, att standardavtalsklausuler ingås med sådant Underbiträde i Kundens namn och för Kundens räkning. Till undvikande av missförstånd ska de vid var tid gällande instruktioner som Xxxxxx lämnar enligt detta Personuppgiftsbiträdeavtal bifogas sådana standardavtalsklausuler. [Anslutning till ”Privacy Shield Framework”, i enlighet med Kommissionens beslut 12 juli 2016, utgör ett alternativ till standardavtalsklausuler för Underbiträden i USA.]

    4. Leverantören är skyldig att löpande hålla Kunden informerad om sådan grund för överföring och i den mån adekvat skyddsnivå inte anses garanterad för en överföring till tredje land eller överföring enligt Leverantören eller Kundens uppfattning inte längre kan anses tillåten enligt Dataskyddsregler omedelbart upphöra med sådan överföring.

11. Rätt till insyn

    1. Kunden har, i egenskap av personuppgiftsansvarig, rätt att vidta nödvändiga åtgärder för att verifiera att Leverantören kan fullfölja sina åtaganden enligt detta Personuppgiftsbiträdesavtal och att Leverantören faktiskt har vidtagit åtgärder för att säkerställa detta. Leverantören ska ge Kunden tillgång till all information som krävs för att visa att de skyldigheter som följer av detta Personuppgiftsbiträdesavtal har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Kunden eller av en annan revisor som har bemyndigats av Xxxxxx.

    2. Med verkan från Tillämpningsdagen innebär detta åtagande särskilt att Leverantören ska ge Xxxxxx tillgång till all information som krävs för att visa att de skyldigheter som följer av Artikel 28 i Dataskyddsförordningen har fullgjorts inom skälig tid efter sådan begäran framställts av Kunden till Leverantören.

    3. Till undvikande av missförstånd; inget i denna punkt 11 ska innebära någon begränsning av de åtaganden om rätt till insyn och revision som framgår av Avtalet.

12. Ersättning

    1. Leverantören ska ha rätt till ersättning enligt avtalade priser enligt Xxxxxxx, eller i den mån sådan ersättning inte framgår av Avtalet skälig ersättning, för merarbete och samtliga kostnader som beror på instruktioner för Behandlingen från Kunden utöver de initiala instruktionerna som går utöver de funktioner och den säkerhetsnivå som följer av de tjänster som en leverantör av det tjänster Leverantören levererar under Avtalet normalt kan förväntas erbjuda sina kunder eller annat som kräver att Leverantören behöver göra specialanpassningar enbart för Kundens räkning. Ersättning ska dock enbart utgå om Leverantören har meddelat detta i förväg till Kunden och Kunden skriftligen har godkänt att sådana åtgärder vidtas.

13. Ansvar

    1. Om Leverantören, den som arbetar under Leverantörens ledning eller av Leverantören anlitat Underbiträde Behandlar Personuppgifter i strid med detta Personuppgiftsbiträdesavtal eller Dataskyddsregler, ska Leverantören ersätta Xxxxxx för den skada – inklusive eventuella administrativa sanktionsavgifter – som Kunden har orsakats på grund av den felaktiga Behandlingen.

    2. Oaktat reglering av ansvarsbegränsning i Avtalet ska Kundens ansvar enligt detta Personuppgiftsbiträdesavtal vara begränsat till direkta skador och ett belopp motsvarande de avgifter som Kunden erlagt till Leverantören under Avtalet under en period om tolv månader innan skadan uppstod.

    3. Om tredje man riktar krav mot Xxxxxx på grund av Leverantören eller Underbiträdes Behandling av Personuppgifter ska Leverantören hålla Kunden skadelöst för sådana krav och kostnader som är hänförliga till Leverantörens eller Underbiträdets Behandling av Personuppgifter i strid med Dataskyddsregler eller detta Personuppgiftsbiträdesavtal.

    4. Denna punkt 13 ska gälla även efter Personuppgiftsbiträdesavtalets upphörande i enlighet med punkt 14.1 nedan.

14. Avtalstid och åtgärder vid upphörande

    1. Personuppgiftsbiträdesavtalet gäller från dess undertecknande och så länge som Leverantören Behandlar Personuppgifter för Kundens räkning.

    2. Vid Avtalets eller Personuppgiftsbiträdesavtalets upphörande (beroende på vilket som inträffar först) ska Leverantören, beroende på Kundens val såsom det meddelas till Leverantören, radera eller återlämna alla Personuppgifter till Kunden och säkerställa att varje Underbiträde gör detsamma. Om Xxxxxx inte lämnar meddelande om att Personuppgifter ska återlämnas ska Leverantören radera uppgifterna senast 180 dagar efter Avtalets eller Personuppgiftsbiträdesavtalets upphörande (beroende på vilket som inträffar först). Leverantören ska radera eventuella befintliga kopior, vilket innebär att aktuell data inte finns kvar och inte går att återskapa hos Leverantören, såvida inte lagring av Personuppgifterna krävs enligt unionsrätten eller medlemsstats nationella rätt eller Kunden uttryckligen medgivit att viss Behandling ska kunna fortsätta in enlighet med detta Personuppgiftsbiträdesavtal. Leverantören ska skriftligen bekräfta att destruering skett. Utöver de generella åtaganden som följer av Avtalet ska Leverantören, på Kundens begäran, tillhandahålla en skriftlig redogörelse över de åtgärder som vidtagits med anledning av att Behandlingen upphört och uppgifter raderats.

    3. Om inte annat avtalats skriftligen gäller detta även för andra data än Personuppgifter.

15. Ändringar i Personuppgiftsbiträdesavtalet

    1. Om Dataskyddsregler ändras under giltighetstiden för Personuppgiftsbiträdesavtalet, eller om Tillsynsmyndighet utfärdar riktlinjer, beslut eller föreskrifter kring tillämpningen av Dataskyddsregler som föranleder att detta Personuppgiftsbiträdesavtal inte uppfyller de krav som ställs på ett personuppgiftsbiträdesavtal enligt Dataskyddsregler ska Kunden ha rätt att begära ändringar av detta Personuppgiftsbiträdesavtal för att tillgodose sådana nya, ändrade eller förtydligade krav.

    2. Kunden har rätt att fortlöpande meddela Leverantören förändrade eller nya instruktioner.

    3. Ändringar respektive nya instruktioner enligt punkterna 15.1 eller 15.2 ovan träder ikraft senast 30 dagar efter ändringsmeddelande från Kunden om Xxxxxx inte skäligen begär att sådan ändring eller instruktion ska gälla inom kortare tid; eller i vart fall senast inom sådan tidsperiod som framgår av Dataskyddsregler, Tillsynsmyndighets riktlinjer, beslut eller föreskrifter.

    4. Leverantören har enbart rätt till ersättning för eventuellt arbete, kostnader och utgifter som sådana ändringar föranleder i den mån sådan ändring är riktad specifikt mot Kunden och inte gäller för övriga av Leverantörens kunder eller Leverantörens verksamhet. Leverantören ska utan dröjsmål, dock senast tre månader från det att Leverantören inser eller bort inse att kostnader kan uppkomma hos Leverantören, meddela Xxxxxx vilken ersättning Leverantören anser sig ha rätt till med stöd av denna punkt 15.4. Om sådant meddelande inte lämnas inom denna tid, har Leverantören inte rätt till någon ersättning.

    5. Övriga ändringar av och tillägg till detta Personuppgiftsbiträdesavtal ska för att vara bindande upprättas skriftligen och vara behörigen undertecknade av parterna. Om det av Avtalet framgår viss process för ändring av Xxxxxxx, ska denna tillämpas även för ändring av detta Personuppgiftsbiträdesavtal.

16. Övrigt

    1. I övrigt ska vad som sägs i Avtalet äga tillämpning även för Leverantörens Behandling av Personuppgifter och åtagandena under detta Personuppgiftsbiträdesavtal. Till undvikande av missförstånd; vid motstridighet mellan bestämmelserna i Avtalet och detta Personuppgiftsbiträdesavtal ska dock bestämmelserna i Personuppgiftsbiträdesavtalet äga företräde i förhållande till all Behandling av Personuppgifter och inget i Avtalet ska anses begränsa eller ändra åtaganden i detta Personuppgiftsbiträdesavtal i den mån att detta skulle medföra att Xxxxxx inte uppfyller kraven enligt Dataskyddsregler.

    2. Om Leverantören överlåter Avtalet (enligt villkoren i Avtalet) ska detta Personuppgiftsbiträdesavtal också anses överlåtet till den part som övertar Avtalet. Detta Personuppgiftsbiträdesavtal kan dock fortfarande äga giltighet mellan de ursprungliga parterna enligt punkt 14.1. Leverantören får inte överlåta detta Personuppgiftsbiträdesavtal separat från Avtalet.

    3. Svensk lag, med undantag av lagvalsregler, ska under alla omständigheter tillämpas på Leverantörens Behandling av Personuppgifter enligt detta Personuppgiftsbiträdesavtal.

    4. Tvister som uppstår i anledning av detta Personuppgiftsbiträdesavtal ska lösas i enlighet med tvistlösningsbestämmelsen i Avtalet.

* * * *

Detta Personuppgiftsbiträdesavtal har upprättats i två originalexemplar, varav parterna tagit var sitt.

…………………….. den 2018-….-…..	Piteå den 2018-…..-…….
………………………………………………. ________________________________ ……………………………………………………………	Fortlax AB ________________________________ Xxxxxx Xxxxxxxx

Bilaga 1 – Instruktion om hantering av Personuppgifter

Följande instruktioner gäller för hantering av de Personuppgifter som Xxxxxx är personuppgiftsansvarig för. Utöver vad som redan framgår av detta Personuppgiftsbiträdesavtal ska Leverantören följa nedanstående instruktioner:

Personuppgiftsbehandling

Tjänster	Samtliga tjänster som tillhandhålls av Fortlax t ex back-up, WPS, co-location
Gallringstid Specificera gallringstid avseende när Personuppgifterna som Behandlas av Leverantören ska gallras (ej co-location).	Personuppgifterna ska raderas på Kundens begäran och enligt Xxxxxxx instruktioner inom 180 dagar från avtalets upphörande.

IT-säkerhetsåtgärder

Åtkomstkontroll	Leverantörens lokaler ska vara skyddade för obehörig fysisk åtkomst. IT-utrustning med vilken man kan få åtkomst till Kundens personuppgifter ska låsas när den lämnas utan tillsyn inom Leverantörens lokaler.
Back-up	Leverantören ska löpande göra back-up av Personuppgifterna som Leverantören behandlar på uppdrag av Xxxxxx och säkerställa förmåga att återställa tillgänglighet och tillgång till Personuppgifter i rimlig tid vid en fysisk eller teknisk incident.
Kryptering av datakommunikation	Leverantören ska säkerställa att den interna kommunikation mellan de servrar som omfattas av Personuppgiftsbiträdesavtalet, och kommunikationen mellan Leverantörens tekniker och servrarna, sker säkert. Kunden ska definiera vilka eventuella krav som ställs på säker kommunikation vad avser de kommunikationskanaler som ligger utanför ramen för Personuppgiftsbiträdesavtalet och utanför den tekniska IT-utrustning som Leverantören enligt Personuppgiftsbiträdesavtalet ansvarar för.
Radering	Leverantören ska säkerställa att Kundens personuppgifter på fast eller flyttbar lagringsmedia avlägsnas på ett säkert sätt, i enlighet med best practice, när media inte längre ska användas för ändamålet att Behandla Kundens Personuppgifter.
Service och reparationer av enheter där Personuppgifter lagras	Leverantören ska ha och följa rutiner för att säkerställa att relevanta sekretessförbindelser träffas med leverantörer som tillhandahåller t.ex. service och reparation av den IT-utrustning som används för att lagra Kundens personuppgifter.
Brandväggar, separering av miljöer och antivirusskydd	Brandväggar och andra segregerande funktioner som Leverantören ansvarar för i enlighet med Personuppgiftsbiträdesavtalet ska vara säkert konfigurerade så att de endast tillåter det minimi som behövs för funktion, samt ska i övrigt följa best practice vad avser god informationssäkerhet. Brandväggar, perimeterskydd och system som exponeras externt, och som Leverantören ansvarar för i enlighet med Personuppgiftsbiträdesavtalet, ska uppdateras skyndsamt efter det att uppdateringar har släppts. Kritiska säkerhetspatchar appliceras snarast möjligt efter det att dessa har släppts. Den IT-utrustning där Kundens personuppgifter lagras, och som omfattas av Leverantörens åtagande i enlighet med Personuppgiftsbiträdesavtalet, ska skyddas med lämplig programvara som ska vara kapabel att identifiera, ta bort och skydda mot kända typer av skadlig kod. Uppdatering av programvarans definitionsfiler, liksom kontroll av utrustningen, ska ske automatiskt. Scanning av servrar efter skadlig kod ska utföras dagligen.