BLOCK ISQMonline AB PERSONUPPGIFTSBITRÄDESAVTAL

BLOCK ISQMonline AB PERSONUPPGIFTSBITRÄDESAVTAL

Detta personuppgiftsbiträdesavtal (”Biträdesavtalet”) gäller mellan BLOCK ISQMonline AB, 559117-7604 (”ISQMonline”) och den part (”Kunden”) som beställt ISQMonline tillhandahållande av SaaS-tjänst innefattande teknisk plattform för applikationer

(”Tjänsten”). ISQMonline och Xxxxxx benämns nedan var för sig som ”Part” och gemensamt ”Parterna”.

Biträdesavtalet har ingåtts genom skriftlig överenskommelse mellan Parterna alternativt genom av ISQMonline lämnad och Xxxxxx accepterad offert för Tjänsten, med hänvisning till nedanstående villkor för Biträdesavtalet.

1. Definitioner

Begrepp med stor begynnelsebokstav i detta Biträdesavtal ska ha nedanstående betydelse:

”Tillämplig Dataskyddslagstiftning” avser Dataskyddsförordningen (GDPR) och ersättande rättsakter, tillämplig svensk lag avseende dataskydd samt till ovannämnda lagstiftning hörande förordningar, föreskrifter och riktlinjer som utfärdats av behörig tillsynsmyndighet (Integritetsskyddsmyndigheten) och som är tillämpliga på behandlingen av personuppgifter under Biträdesavtalet.

”Tjänsteavtalet” avser Xxxxxxxxx avtal gällande Tjänsten. I övrigt ska termer som definieras i artikel 4 i GPDR och som används nedan ha den innebörd som anges i nämnda bestämmelse.

2. Behandling av personuppgifter

Kunden är i egenskap av personuppgiftsansvarig ansvarig för att behandlingen av personuppgifter i Tjänsten sker i enlighet med Tillämplig Dataskyddslagstiftning. Kunden ansvarar, genom sin hantering av Tjänsten, för att ISQMonline inte ska behandla andra kategorier av personuppgifter än sådana som anges i Bilaga 1 och i däri angiven omfattning.

ISQMonline ska endast behandla personuppgifter enligt Xxxxxxx instruktioner, såvida inte annat följer av Tillämplig Dataskyddslagstiftning. Kundens instruktioner till ISQMonline framgår nedan och i Bilaga 1.

Xxxxxx äger rätt att ändra sina instruktioner till ISQMonline i den utsträckning som krävs för uppfyllandet av Tillämplig Dataskyddslagstiftning. Vid sådana ändringar ska ISQMonline äga rätt till skälig tillkommande ersättning.

ISQMonline ska inte behandla personuppgifter för egna ändamål eller andra ändamål än de som framgår av

Avtalet. ISQMonline ska dock alltid äga rätt att behandla personuppgifter i syfte att tillhandahålla, underhålla och lämna support i förhållande till Tjänsten.

3. Säkerhetsåtgärder

ISQMonline ska implementera de tekniska och organisatoriska säkerhetsåtgärder som krävs enligt Tillämplig Dataskyddslagstiftning och som framgår av Bilaga 1 för att skydda de personuppgifter som behandlas.

Kunden äger rätt att begära ändrade eller tillkommande säkerhetsåtgärder i den mån det krävs för uppfyllandet av Tillämplig Dataskyddslagstiftning. Vid sådan begäran samma principer som vid ändring i Kundens instruktioner enligt punkt 2 ovan.

Om ISQMonline upptäcker att avtalade säkerhetsåtgärder strider mot Tillämplig Dataskyddslagstiftning åligger det ISQMonline att inom skälig tid meddela Kunden därom och invänta skriftliga instruktioner avseende lämpliga säkerhetsåtgärder. För det fall ISQMonline inte inom skälig tid har erhållit sådana instruktioner har ISQMonline rätt att på Kundens bekostnad vidta skäliga och nödvändiga säkerhetsåtgärder för att Tillämplig Dataskyddslagstiftning ska kunna uppfyllas.

4. Underbiträden och tredjelandsöverföringar

ISQMonline har en generell rätt att anlita underbiträden inom och utanför EU/EES. ISQMonline ska tillse att underbiträden är bundna av skriftliga avtal som ålägger dem motsvarande skyldigheter vid databehandlingen som de skyldigheter som gäller enligt detta Biträdesavtal. ISQMonline ansvarar fullt ut för de underbiträden som anlitas gentemot Kunden. Bilaga 1 föreskriver på förhand godkända underbiträden vid ingången av detta Biträdesavtal.

Om personuppgifter överförs till, eller åtkomst möjliggörs från, plats utanför EU/EES ska ISQMonline säkerställa att det finns en laglig grund för överföringen enligt Tillämplig Dataskyddslagstiftning, exempelvis genom EU- kommissionens modellklausuler. ISQMonline ska ha rätt att ingå sådana standardavtalsklausuler med underbiträden för Kundens räkning.

Om ISQMonline avser att anlita ett nytt eller ersätta ett befintligt underbiträde för att behandla personuppgifter som omfattas av detta Biträdesavtal ska ISQMonline i förväg informera Xxxxxx om detta för att Xxxxxx ska ha möjlighet att framföra invändningar. Om Xxxxxx vill invända mot sådana förändringar ska det ske skriftligen och omgående i samband med ISQMonline information om förändringen. Om ISQMonline trots Kundens invändning ändå vill ersätta eller anlita ett nytt

underbiträde ska Kunden ha rätt att säga upp Tjänsteavtalet samt Biträdesavtalet till omedelbart upphörande. Om Xxxxxx inte har befogad anledning för sin invändning ska Kunden betala den ersättning för Tjänsten som framgår av Tjänsteavtalet intill den sista dagen för innevarande avtalsperiod. Med befogad anledning avses i denna punkt omständigheter på underleverantörens sida som i betydande utsträckning påverkar, eller sannolikt riskerar att påverka, skyddet för den registrerades personliga integritet, såsom att det nya underbiträdet inte uppfyller kraven för personuppgiftsbiträden enligt Tillämplig Dataskyddslagstiftning.

5. Personuppgiftsincidenter

ISQMonline ska utan onödigt dröjsmål underrätta Xxxxxx efter att ha fått vetskap om en personuppgiftsincident.

En sådan underrättelse ska, med beaktande av typen av behandling och den information som ISQMonline har att tillgå beskriva: (a) beskriva personuppgiftsincidentens art och, om möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,

(b) de sannolika konsekvenserna av personuppgiftsincidenten, och (c) de åtgärder som har vidtagits eller bör vidtas för att åtgärda personuppgiftsincidenten eller mildra dess potentiella negativa effekter.

Om och i den utsträckning det inte är möjligt att tillhandahålla informationen samtidigt får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.

Om Xxxxxx i strid med Tillämplig Dataskyddslagstiftning inte informerar den registrerade om en personuppgiftsincident och tillsynsmyndighet förelägger ISQMonline att åtgärda bristen, ska Xxxxxx ersätta ISQMonline kostnader för att uppfylla tillsynsmyndighetens beslut

6. Assistans

ISQMonline ska assistera Xxxxxx i uppfyllandet av de registrerades rättigheter enligt Kapitel III i dataskyddsförordningen, exempelvis i förhållande till insyn och villkor, information och tillgång till personuppgifter, rättelse, radering och rätt att göra invändningar och automatiserat individuellt beslutsfattande samt dataportabilitet.

ISQMonline ska vidare bistå Xxxxxx i dennes fullgörande av de skyldigheter som Xxxxxx har avseende säkerhet, personuppgiftsincidenter, konsekvensbedömningar och förhandssamråd enligt Tillämplig Dataskyddslagstiftning.

7. Sekretess och utlämnande av personuppgifter

Med undantag för vad som uttryckligen följer av detta Biträdesavtal förbinder sig ISQMonline att inte utan

föregående skriftligt medgivande från Kunden utlämna eller på annat sätt göra personuppgifter som behandlats enligt detta Biträdesavtal tillgängliga för tredje part, om annat inte följer av tillämplig lag, domstols- eller myndighetsbeslut. Om behörig myndighet begär information från ISQMonline om behandlingen av personuppgifter ska ISQMonline utan onödigt dröjsmål informera Xxxxxx om detta, om annat inte följer av tillämplig lag, domstols- eller myndighetsbeslut.

ISQMonline ska tillse att samtliga anställda, konsulter och övriga som ISQMonline svarar för och som behandlar personuppgifterna, är bundna av en sekretessförbindelse. Detta krävs dock inte om dessa redan omfattas av en straffsanktionerad tystnadsplikt som följer av lag. ISQMonline ska även tillse att det finns sekretessavtal med eventuella underbiträden samt sekretessförbindelser mellan underbiträdet och dess personal.

Om en registrerad kund begär information från ISQMonline om behandlingen av dennes personuppgifter ska ISQMonline utan onödigt dröjsmål hänskjuta sådan begäran till Kunden.

8. Rätt till granskning

Kunden ska, i sin egenskap av personuppgiftsansvarig, ha rätt att vidta erforderliga åtgärder för att verifiera att ISQMonline fullgör sina skyldigheter enligt detta Biträdesavtal och att ISQMonline har vidtagit de åtgärder som krävs för att säkerställa att skyldigheterna fullgörs.

ISQMonline förbinder sig att tillhandahålla Xxxxxx den information som krävs för att visa att ISQMonline skyldigheter enligt Biträdesavtalet fullgörs. ISQMonline ska även möjliggöra för och medverka till sådan granskning, inklusive kontroll på plats, som genomförs av Kunden eller annan granskare som utsetts av denne, under förutsättning att de personer som utför granskningen ingår sekretessavtal som minst motsvarar regleringarna i de sekretessbestämmelser som anges i detta Biträdesavtal.

9. Ansvar

Om Part drabbas av krav enligt Xxxxxxxxxx Dataskyddslagstiftning till följd av att den andra Parten inte fullgjort sina åtaganden enligt detta Biträdesavtal eller annars enligt Tillämplig Dataskyddslagstiftning ska sistnämnda Part ersätta förstnämnda Part för samtliga kostnader i anledning av sådant krav. För ISQMonline ansvar enligt Biträdesavtalet gäller dock samma ansvarsbegränsning som enligt Tjänsteavtalet.

10. Rätt till ersättning för arbete

Ersättning för den personuppgiftsbehandling som genomförs av ISQMonline i samband med tillhandahållandet av Tjänsten regleras i Tjänsteavtalet. ISQMonline ska dock äga rätt till tillkommande ersättning på löpande räkning enligt ISQMonline vid var tid gällande

prislista för samtliga arbetsinsatser hänförliga till detta Biträdesavtal som inte framgår av Bilaga 1, såsom exempelvis arbetsinsatser hänförliga till assistans vid personuppgiftsincident som ej orsakats av ISQMonline (punkt 6), assistans i förhållande till registrerade och tillsynsmyndigheter (punkt 7) och granskning (punkt 9). ISQMonline äger även rätt till ersättning vid förändrade instruktioner från Kunden enligt vad som anges ovan.

11. Avtalstid och åtgärder vid Biträdesavtalets upphörande

Detta Biträdesavtal gäller så länge som ISQMonline behandlar personuppgifter för vilka Kunden är personuppgiftsansvarig. Vid Biträdesavtalets upphörande ska Kunden från ISQMonline skriftligen inom 30 dagar begära ut alla sådana personuppgifter som Kunden önskar behålla, varefter ISQMonline kommer att radera personuppgifterna, i den mån fortsatt lagring av personuppgifterna inte krävs enligt tillämplig lagstiftning. På Kundens begäran ska ISQMonline lämna skriftligt besked avseende vilka åtgärder som vidtagits i samband med Biträdesavtalets upphörande.

12. Övrigt

Kunden får inte helt eller delvis överlåta eller pantsätta sina rättigheter och/eller förpliktelser enligt detta Avtal utan ISQMonlines föregående skriftliga godkännande. ISQMonline ska äga rätt att överlåta Avtalet och sina rättigheter och förpliktelser enligt Avtalet till annat bolag förutsatt att Kunden skriftligen meddelas därom. Avtalet utgör den fullständiga överenskommelsen för Biträdesavtalet mellan Parterna och ersätter samtliga tidigare diskussioner mellan Parterna med avseende på Biträdesavtalet. Svensk lag ska tillämpas på Avtalet. Tvister som uppstår i anledning av Avtalet ska avgöras i allmän domstol med Växjö tingsrätt som första instans.

BILAGA 1 SPECIFIKATION ÖVER BEHANDLINGEN

Kontaktpersoner för personuppgiftsfrågor

Enligt vad som anges i Tjänsteavtalet.

Omfattning och syfte för behandlingen

Personuppgiftsbehandlingen innefattar insamling, inläsning, registrering, lagring, ändring och radering av personuppgifter för att ISQMonline ska kunna fullgöra sina avtalade förpliktelser enligt Tjänsteavtalet.

Varaktighet av behandlingen

Personuppgiftsbehandlingen genomförs så länge Tjänsteavtalet gäller mellan Parterna.

Kategorier av registrerade och personuppgifter

Personuppgifterna avser Kundens anställda, medlemmar, leverantörer och kunder och omfattar information avseende namn, medlemsnummer, adress, telefonnummer, mejladress och personnummer. Inga uppgifter inom s.k. särskilda kategorier av personuppgifter ska behandlas.

Säkerhetsåtgärder

Tekniskt system för behörighetskontroll ska styra åtkomsten till personuppgifterna. Behörigheten ska begränsas till de medarbetare som behöver uppgifterna för sina arbetsuppgifter.

Användaridentitet och lösenord ska vara personliga och får inte överlåtas till någon annan. Rutiner för tilldelning och borttagande av behörigheter ska finnas.

Fysisk säkerhet ska säkerställas, fysiska nycklar och nyckelkort ska användas på de platser där utrustning som innehåller personuppgifter förvaras.

System som innehåller personuppgifter måste skyddas av lämpliga brandväggar och anti-virusprogram som regelbundet uppdateras.

System som innehåller personuppgifter måste regelbundet uppdateras med säkerhetspatchar.

Personuppgifterna måste vara krypterade vid förflyttning, exempelvis genom SSL eller liknande. Personuppgifter måste på ett säkert sätt raderas och göras obrukbara i sådan utrustning som avvecklas.

Beprövade rutiner för säkerhetskopiering och återställning av personuppgifter ska användas. ISQMonline ska ha rutiner för att meddela Xxxxxx vid händelse av ett intrång eller förlust avseende personuppgifter.

ISQMonline ska utbilda och träna personal i de rutiner och åtgärder som nämnts ovan.

Godkända underbiträden

Av Kunden på förhand godkända underbiträden framgår av per dagen för Biträdesavtalets ingående förevarande förteckning över underbiträden enligt nedan:

Colix Systems AB

Vårt underbiträde har i sin tur underbiträden som går att ta del av via xxxxx://xxxxx.xx/xxxxxxxxxxxxx/

Kunden får information om eventuella ändringar av underbiträden genom att vi informerar om våra underbiträden ändras. Ändras Colix Systems underbiträden får kunden informationen genom att ta del av information via ovan länk.