PERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL
1. Parter
(i) OK-Q8 AB (556027-3244), nedan OKQ8, och OKQ8 kund, nedan
Personuppgiftsansvarig, har ingått ett avtal avseende tjänster för digital
marknadsföring (”Avtalet”). Avtalet innebär att OKQ8 kommer att behandla personuppgifter för Kundens räkning.
Enligt reglerna i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter m.m. (GDPR) ska sådan hantering mellan parterna regleras genom avtal eller liknande.
(ii) Detta personuppgiftsbiträdesavtal kompletterar därför Avtalet vad avser behandling av personuppgifter. Vad som anges i detta avtal ska äga företräde framför Xxxxxxx och dess bilagor om inget annat uttryckligen framgår nedan. Avtalet ersätter eventuella tidigare personuppgiftsbiträdesavtal eller andra överenskommelser om Behandling av Personuppgifter mellan parterna
(iii) OKQ8 och Personuppgiftsansvarig benämns nedan var och en för sig ”Part” eller
gemensamt ”Parterna”.
2. Bakgrund
Parterna ingår en avtal rörande drivmedel via OKQ8 företagskort
(”Tjänstevtalet”). OKQ8 kommer vid fullgörandet av Tjänsteavtalet att behandla personuppgifter för Personuppgiftsansvarigs räkning och därmed vara personuppgiftsbiträde.
Detta avtal med tillhörande specifikation (tillsammans ”Personuppgiftsbiträdesavtalet”) är en bilaga eller tilläggsavtal till Tjänsteavtalet och utgör sådant avtal mellan personuppgiftsansvarig och personuppgiftsbiträde som regleras i Tillämplig Dataskyddslagstiftning (enligt definition nedan).
3. Definitioner
Begrepp som legaldefinieras i Tillämplig Dataskyddslagstiftning, såsom exempelvis
”personuppgiftsansvarig”, ”personuppgiftsbiträde”, ”personuppgift”,
”behandling”, ”registrerad” och ”tillsynsmyndighet” ska tolkas och tillämpas i enlighet med Tillämplig Dataskyddslagstiftning när de anges med gemen begynnelsebokstav.
Därutöver gäller, utan inskränkning av föregående stycke och i tillägg till de begrepp som definierats ovan, att följande definitioner ska ha nedanstående betydelse när de anges i med versal begynnelsebokstav:
”Omfattade Personuppgifter” | Personuppgifter som överförs till, lagras eller på annat sätt behandlas, av OKQ8 på uppdrag av Personuppgiftsansvarig under Tjänsteavtalet, enligt närmare beskrivning i Specifikationen. |
”Specifikationen” | Avser bilaga till detta Personuppgiftsbiträdesavtal, i vilken OKQ8:s behandling av personuppgifter närmare beskrivs. |
”Tillämplig Dataskyddslagstiftning” | Avser Europaparlamentets och Rådets Förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning, ”GDPR”) samt tillämplig svensk dataskyddslag. |
4. Avtalsdokument och tillämplighet
Personuppgiftsbiträdesavtalet består av detta huvuddokument och Specifikationen. Om konflikt eller bristande överensstämmelse uppstår mellan detta Personuppgiftsbiträdesavtal och Tjänsteavtalet, ska bestämmelserna i detta Personuppgiftsbiträdesavtal äga företräde.
5. Behandling och instruktioner
OKQ8 åtar sig att behandla Omfattade Personuppgifter i enlighet med detta Personuppgiftsbiträdesavtal, Tjänsteavtalet och Personuppgiftsansvarigs skriftliga instruktioner.
Personuppgiftsansvarig ansvarar för att den behandling av Omfattade Personuppgifter som ska utföras enligt detta Personuppgiftsbiträdesavtal uppfyller Tillämplig Dataskyddslagstiftning, inklusive men inte begränsat till att erforderlig information har lämnats till registrerade och att laglig grund har dokumenterats för samtliga behandlingar. Part åtar sig i övrigt att uppfylla Tillämplig Dataskyddslagstiftning i den utsträckning sådan lagstiftning är tillämplig på Parts åtaganden enligt Tjänsteavtalet.
Personuppgiftsansvarig ska instruera OKQ8 skriftligen i enlighet med Tillämplig Dataskyddslagstiftning gällande OKQ8s behandling av Omfattade Personuppgifter.
Personuppgiftsbiträdesavtalet och Tjänsteavtalet innehåller uttömmande Personuppgiftsansvarigs instruktioner till OKQ8. Om Personuppgiftsansvarig ger nya eller förändrade instruktioner under avtalstiden och sådana instruktioner medför tillkommande kostnader för OKQ8 ska Personuppgiftsansvarig ersätta OKQ8 för varje sådan kostnad.
Om Personuppgiftsansvarigs instruktioner, enligt OKQ8s bedömning, strider mot Tillämplig Dataskyddslagstiftning, ska OKQ8 utan oskäligt dröjsmål meddela Personuppgiftsansvarig och avvakta ytterligare instruktion från Personuppgiftsansvarig.
6. Lämpliga tekniska och organisatoriska skyddsåtgärder
OKQ8 åtar sig att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till riskerna vid behandling av Omfattade Personuppgifter. OKQ8 ska därvid beakta den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för de Registrerades rättigheter och friheter.
OKQ8 ska följa av tillsynsmyndighet fattade beslut om åtgärder för att uppfylla säkerhetskrav enligt Tillämplig Dataskyddslagstiftning.
7. Överföring av personuppgifter utanför EU/EES
OKQ8 får överföra Omfattade Personuppgifter till plats utanför EU/EES-området, om och i den mån detta anges i Specifikationen eller annars skriftligen överenskommes.
8. Informationsskyldighet m.m.
OKQ8 ska, i förhållande till Omfattade Personuppgifter och med tanke på behandlingens art, bistå Personuppgiftsansvarig genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Personuppgiftsansvarig kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med Tillämplig Dataskyddslagstiftning.
OKQ8 ska bistå Personuppgiftsansvarig med att, i förhållande till Omfattade Personuppgifter och med beaktande av typen av behandling och den information som OKQ8 har att tillgå, se till att skyldigheterna enligt artiklarna 32-36 GDPR fullgörs.
OKQ8 ska, i enlighet med Personuppgiftsansvarigs instruktioner, xxxxxx eller återlämna Omfattade Personuppgifter till Personuppgiftsansvarig efter det att behandlingen av Omfattade Personuppgifter har avslutats och radera befintliga kopior av Omfattade Personuppgifter, såvida inte lagring av personuppgifterna är nödvändig eller avtalad.
OKQ8 ska ge Personuppgiftsansvarig tillgång till all information som krävs för att Personuppgiftsansvarig ska kunna visa att de skyldigheter som fastställs i artikel 28 GDPR har fullgjorts.
OKQ8 ska möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Personuppgiftsansvarig eller av en annan revisor som har bemyndigats av Personuppgiftsansvarig.
9. Kontakt med registrerade och tillsynsmyndighet
Om en registrerad, tillsynsmyndighet eller annan tredje man begär information från OKQ8 som berör behandlingen av Omfattade Personuppgifter, ska OKQ8 utan oskäligt dröjsmål hänvisa sådan förfrågan till Personuppgiftsansvarig och invänta instruktioner enligt punkt 5.3 ovan.
10. Underleverantör
Personuppgiftsansvarig ger härmed OKQ8 allmänt förhandstillstånd enligt artikel
28.2 GDPR att för Personuppgiftsansvarigs räkning anlita underleverantörer för behandling av Omfattade Personuppgifter. Personuppgiftsbiträdesavtal med sådana underleverantörer ska ålägga underleverantören motsvarande skyldigheter som OKQ8 har enligt detta Personuppgiftsbiträdesavtal.
OKQ8 ska informera Personuppgiftsansvarig om eventuella planer på att anlita nya underleverantörer och vid byte av underleverantör som behandlar Omfattade Personuppgifter. Personuppgiftsansvarig ska ges möjlighet att göra invändningar mot sådana förändringar.
Om underleverantören inte fullgör sina skyldigheter i fråga om dataskydd ska OKQ8 vara fullt ansvarig gentemot Personuppgiftsansvarig för utförandet av underleverantörens skyldigheter.
11. Sekretess
I tillägg till de sekretessåtaganden som följer av Tjänsteavtalet, åtar sig Part att inte för tredje man röja Omfattade Personuppgifter eller annan information som framkommer under detta Personuppgiftsbiträdesavtal (”Konfidentiell Information”), såvida inte sådan skyldighet föreligger enligt Tillämplig Dataskyddslagstiftning eller instrueras av Personuppgiftsansvarig. Part åtar sig vidare att inte, direkt eller indirekt, för egen eller annans räkning, utnyttja Konfidentiell Information för att annat syfte än att uppfylla sina skyldigheter enligt Tillämplig Dataskyddslagstiftning eller detta Personuppgiftsbiträdesavtal.
OKQ8 ska säkerställa att personer med behörighet att behandla Omfattade Personuppgifter har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.
12. Ansvar
OKQ8:s ansvar under detta Personuppgiftsbiträdesavtal ska inte omfatta indirekt skada, följdskada eller tredjemansskada, såvida inte annat gäller enligt Tillämplig Dataskyddslagstiftning.
OKQ8s ansvar för direkt skada under detta Personuppgiftsbiträdesavtal ska vara begränsat enligt vad som anges i Tjänsteavtalet, eller – om sådan begränsning inte finns i Tjänsteavtalet – annars till högst [fem] prisbasbelopp enligt socialförsäkringsbalken (2010:110) vid tidpunkten för den aktuella skadan. Som direkt skada ska anses skadestånd och administrativ sanktionsavgift (inklusive skäliga ombudskostnader) som Part i lagakraftvunnen dom i högsta instans ålagts att betala.
Ansvarsbegränsningar ovan gäller inte i fall av grov vårdslöshet eller uppsåtlig handling eller underlåtenhet.
13. Avtalstid och upphörande
Detta Personuppgiftsbiträdesavtal gäller från dess undertecknande och så länge som OKQ8 behandlar Omfattade Personuppgifter.
Vid upphörande av OKQ8:s behandling av Omfattade Personuppgifter ska OKQ8 i enlighet med Personuppgiftsansvarigs instruktioner, antingen (i) överföra alla Omfattade Personuppgifter till Personuppgiftsansvarig; eller (ii) permanent radera Omfattade Personuppgifter.
14. Övrigt
Tillägg till och ändringar av detta Personuppgiftsbiträdesavtal ska, för att vara giltiga, vara skriftliga och undertecknas av båda Parter.
Ingen Part äger rätt att helt eller delvis överlåta skyldigheter eller rättigheter enligt detta Personuppgiftsbiträdesavtal till tredje man.
15. Tillämplig lag och tvistelösning
Detta Personuppgiftsbiträdesavtal, och all behandling av Omfattade Personuppgifter som sker under Personuppgiftsbiträdesavtalet, regleras av svensk lag, med undantag för tillämpliga lagvalsregler. Tvist angående tolkning eller
tillämpning av detta Personuppgiftsbiträdesavtal ska avgöras enligt Tjänsteavtalets bestämmelser om tvistlösning.
****
BILAGA TILL PERSONUPPGIFTSBITRÄDESAVTAL – SPECIFIKATION
1. Föremål och art för behandlingar av Omfattade Personuppgifter
2. Omfattade Personuppgifter
Ange de personuppgifter som behandlas: | |||||
☒ | Namn | ☒ | Adress | ☒ | Telefonnummer |
☒ | E-postadress | ☒ | Personnummer | ☐ | Foto |
☐ | Kopia av ID-kort | ☐ | Kontokortsuppgifter | ||
Övriga personuppgifter som behandlas: | |||||
Behandlas några känsliga personuppgifter (särskilda kategorier av uppgifter)? | |||
☐ | Ja | ☒ | Nej |
Om ja, vilka uppgifter? | |||
3. Kategorier af registrerede
a) Kunder som har ansökt om eller fått ett giltigt OKQ8 kort och deres anställda
4. Behandlingens varaktighet
Persondata raderas ett år efter det att kortet har varit inaktivt.
5. Personuppgiftsbiträden
Använder OKQ8 personuppgiftsbiträden för behandlingen av personuppgifter? | |||||
☒ | Ja | ☐ | Nej | ||
Om ja, lista (de) part(er) som är inblandade i behandlingen av personuppgifter: | |||||
Namn på biträde | Tjänst som tillhandahålls | Geografisk placering (land) | |||
Oberthur | Prägling av kort | Sverige | |||
****