PERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL
Avtal enligt artikel 28.3, allmänna dataskyddsförordningen EU 2016/6791
Detta Personuppgiftsbiträdesavtal är träffat mellan:
Xxxxxx (enligt det licens-/kundavtal som Parterna har upprättat; nedan kallad “den Personuppgiftsansvarige”) och Crona Software AB (nedan kallad “Personuppgiftsbiträdet”), organisationsnummer 556453-3817 (gemensamt benämnda ”Parterna”) har denna dag träffat följande Personuppgiftsbiträdesavtal (nedan kallat ”Avtalet”).
BILAGOR
Avtalet består av detta huvuddokument samt följande bilagor:
1. Instruktion för hantering av Personuppgifter
2. Underbiträden samt överföringar av personuppgifter till Tredje land
För det fall att handlingarnas innehåll inte överensstämmer har huvuddokumentet företräde framför bilagorna. Bilagorna har företräde enligt den ovanstående ordningen.
1. BAKGRUND, SYFTE OCH TILLÄMPLIGHET
1.1 Detta Personuppgiftsbiträdesavtal är en del av ett huvudavtal gällande licensrättighet som ingåtts mellan den Personuppgiftsansvarige och Personuppgiftsbiträdet. Detta Personuppgiftsbiträdesavtal ska läsas och förstås mot bakgrund av nämnda avtal. Personuppgiftsbiträdesavtalet reglerar Personuppgiftsbiträdets behandling av Personuppgifter för den Personuppgiftsansvariges räkning samt den integritetsnivå som ska uppnås vid behandlingen enligt Avtalet (nedan kallad Behandling/en).
1.2 Detta Personuppgiftsbiträdesavtal syftar till att säkerställa de registrerades fri- och rättigheter när den Personuppgiftsansvarige anlitar Personuppgiftsbiträdet vid behandling av personuppgifter och till att uppfylla artikel 28.3 Allmänna Dataskyddsförordningen EU 2016/679 (nedan kallad Dataskyddsförordningen).
1.3 Avtalet gäller tillsvidare och upphör först när Personuppgiftsbiträdet slutar behandla personuppgifter för den Personuppgiftsansvariges räkning eller när Xxxxxxxxx huvudavtal gällande licensrättighet upphör; den händelse som inträffar först.
2. DEFINITIONER2
Avtalet Detta personuppgiftsbiträdesavtal samt vid var tid gällande bilagor.
1Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Av artikel 28.3 framgår att det ska finnas ett skriftligt avtal avseende Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning.
2Enligt Avtalet och Dataskyddsförordningen, jfr. artikel 4 Dataskyddsförordningen.
Behandling av personuppgifter | En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. |
Tillämplig Dataskyddslagstiftning Personuppgiftsansvarig | Avser vid var tid gällande nationell och EU-rättslig integritets-, personuppgifts- och dataskyddslagstiftning, inbegripet föreskrifter, praxis, allmänna råd, riktlinjer och vägledningar från dataskyddsmyndigheter som är tillämplig på Behandlingen. En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. |
Personuppgiftsbiträde Personuppgifter Personuppgiftsincident Registrerad | En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Varje upplysning som avser en identifierad eller identifierbar fysisk person, dvs. den person som en personuppgift avser eller är hänförlig till. |
Tredje land | En stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet. |
3. DEN PERSONUPPGIFTSANSVARIGES ANSVAR
3.1 Den Personuppgiftsansvarige ansvarar för att Behandlingen av personuppgifter sker i enlighet med Tillämplig Dataskyddslagstiftning, exempelvis att det finns rättslig grund för de Behandlingar som Personuppgiftsbiträdet ska utföra enligt Avtalet.
3.2 Den Personuppgiftsansvarige ska utforma skriftliga instruktioner för att Personuppgiftsbiträdet och eventuella underbiträden ska kunna fullgöra sitt uppdrag enligt Avtalet. Detta personuppgiftsbiträdesavtal med tillhörande bilagor utgör den Personuppgiftsansvariges skriftliga instruktioner till Personuppgiftsbiträdet.
3.3 Den Personuppgiftsansvarige åtar sig att utan dröjsmål informera Personuppgiftsbiträdet om förändringar i Behandlingen, vilka påverkar eller kan komma att påverka Personuppgiftsbiträdets skyldigheter enligt Avtalet och Tillämplig Dataskyddslagstiftning.
3.4 Den Personuppgiftsansvarige ansvarar för att de säkerhetsåtgärder som vidtagits i den egna verksamheten och som avser de Behandlingar som omfattas av Avtalet lever upp till de krav som ställs enligt Tillämplig Dataskyddslagstiftning.
4. BEHANDLINGEN AV PERSONUPPGIFTER
4.1 Syftet med Behandlingen av personuppgifter framgår av Bilaga 1. Personuppgiftsbiträdet får endast behandla personuppgifter för den Personuppgiftsansvariges räkning i enlighet med den Personuppgiftsansvariges skriftliga instruktioner och Avtalet i övrigt. Personuppgiftsbiträdet förbinder sig att endast behandla personuppgifterna för de syften och i den omfattning som anges i Bilaga 1.
4.2 För det fall Personuppgiftsbiträdet finner att den Personuppgiftsansvariges instruktioner i Bilaga 1 eller Avtalet i övrigt är otydliga, olagliga, felaktiga eller bristfälliga ska Personuppgiftsbiträdet utan dröjsmål informera den Personuppgiftsansvarige härom och invänta dennes instruktioner, i den mån Personuppgiftsbiträdet bedömer att nya instruktioner behövs för att kunna utföra sina skyldigheter enligt Avtalet.
4.3 Personuppgiftsbiträdet åtar sig att följa Tillämplig Dataskyddslagstiftning med avseende på Behandlingen av personuppgifter och att hålla sig informerad om gällande rätt på området.
4.4 Avtalet med tillhörande bilagor utgör den Personuppgiftsansvariges samtliga instruktioner för Behandlingen av personuppgifter enligt Avtalet, dock med undantag för eventuella skriftliga instruktioner som den Personuppgiftsansvarige under avtalstiden är skyldig att tillhandahålla Personuppgiftsbiträdet för att kunna efterleva Tillämplig Dataskyddslagstiftning. Alla andra eventuellt förekommande förändringar ska överenskommas särskilt. Förändringar av Avtalet och/eller bilagorna ska dokumenteras skriftligen och godkännas av Xxxxxxxx för att anses gällande. Om den Personuppgiftsansvarige förändrar de skriftliga instruktionerna för Behandlingen ska Personuppgiftsbiträdet ha rätt till skälig ersättning för detta.
4.5 Personuppgiftsbiträdet har rätt att motsätta sig förändrade instruktioner från den Personuppgiftsansvarige om det finns sakliga skäl och om Personuppgiftsbiträdet meddelar sin vägran inom skälig tid från den Personuppgiftsansvariges framställda begäran härom.
4.6 Personuppgiftsbiträdet åtar sig att säkerställa att samtliga personer som arbetar under Personuppgiftsbiträdets ledning följer vad som framgår av Xxxxxxx samt informeras om Tillämplig Dataskyddslagstiftning.
5. SKYLDIGHET ATT BISTÅ DEN PERSONUPPGIFTSANSVARIGE
5.1 Personuppgiftsbiträdet ska genom lämpliga tekniska och organisatoriska åtgärder bistå den Personuppgiftsansvarige i uppfyllandet av de registrerades rättigheter enligt kapitel III i Dataskyddsförordningen. Personuppgiftsbiträdets skyldigheter enligt denna punkt gäller endast i den mån det är möjligt och i den utsträckning som behandlingens art och omfattning kräver det.
5.2 Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige med att se till att skyldigheterna enligt artiklarna 32 – 36 i Dataskyddsförordningen fullgörs, med beaktande av typen av behandling och den information som Personuppgiftsbiträdet har att tillgå. Detta innefattar skyldigheter avseende säkerhet, personuppgiftsincidenter, konsekvensbedömningar och förhandssamråd.
5.3 Om Parterna inte har kommit överens om annat har Personuppgiftsbiträdet rätt till skälig ersättning för det bistånd som getts enligt punkterna 5.1 och 5.2 i Avtalet.
6. SÄKERHETSÅTGÄRDER
6.1 Personuppgiftsbiträdet åtar sig att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt Tillämplig Dataskyddslagstiftning och Avtalet.
6.2 Personuppgiftsbiträdet ska vid Behandlingen följa sina interna säkerhetsföreskrifter, vilka ej får avvika från den säkerhetsstandard som följer av Avtalet.
6.3 Personuppgiftsbiträdet ska vidta åtgärder för att skydda Personuppgifterna mot förstörning, ändring, otillåten spridning och obehörig tillgång samt mot varje annat slag av otillåten behandling.
6.4 Om den Personuppgiftsansvarige begär förändringar av säkerhetsåtgärderna gäller samma bestämmelser som för den Personuppgiftsansvariges instruktioner enligt punkt 4.4 och 4.5 i Avtalet.
6.5 Om Personuppgiftsbiträdet anser att säkerhetsåtgärderna enligt Avtalet helt eller delvis strider mot Tillämplig Dataskyddslagstiftning ska Personuppgiftsbiträdet inom skälig tid meddela den Personuppgiftsansvarige om detta samt invänta dennes skriftliga instruktioner. För det fall den Personuppgiftsansvarige underlåter att lämna nya instruktioner äger Personuppgiftsbiträdet rätt att på den Personuppgiftsansvariges bekostnad vidta skäliga och nödvändiga säkerhetsåtgärder.
7. SEKRETESS
7.1 Personuppgiftsbiträdet och dess anställda, konsulter och annan personal som arbetar under Xxxxxxx ska vid behandling av personuppgifter iaktta sekretess, såväl handlingssekretess som tystnadsplikt. Personuppgifter, information, instruktioner, systemlösningar, beskrivningar eller andra handlingar som Personuppgiftsbiträdet erhåller genom informationsutbyte enligt Avtalet eller annat avtal Parterna emellan får inte utnyttjas eller röjas för annat ändamål än som framgår av Avtalet eller annat avtal Parterna emellan, vare sig direkt eller indirekt, om inte den Personuppgiftsansvarige på förhand skriftligen medgivit detta.
7.2 Personuppgiftsbiträdet åtar sig att tillse att samtliga anställda, konsulter och övriga som Personuppgiftsbiträdet svarar för och som behandlar personuppgifter är bundna av sekretess.
Personuppgiftsbiträdet åtar sig även att tillse att det finns lämpliga sekretessavtal med eventuella underbiträden samt sekretessförbindelser mellan underbiträden och deras personal.
7.3 Personuppgiftsbiträdet ska utan dröjsmål skriftligen underrätta den Personuppgiftsansvarige om eventuella kontakter med tillsynsmyndighet som rör eller kan vara av betydelse för Behandlingen. Personuppgiftsbiträdet har rätt att företräda den Personuppgiftsansvarige eller agera för den Personuppgiftsansvariges räkning gentemot tillsynsmyndigheter i frågor som rör eller kan vara av betydelse för Behandlingen utan den Personuppgiftsansvariges särskilda godkännande om detta.
7.4 Om den registrerade, tillsynsmyndighet eller tredje part begär information från Personuppgiftsbiträdet som rör Behandlingen, ska Personuppgiftsbiträdet ha rätt att besvara sådana förfrågningar och lämna ut information om Behandlingen utan den Personuppgiftsansvariges särskilda godkännande om detta.
8. REVISION
8.1 Personuppgiftsbiträdet ska ge den Personuppgiftsansvarige tillgång till den information som krävs för att visa att skyldigheterna enligt Xxxxxxx och Tillämplig Dataskyddslagstiftning efterlevs.
8.2 Personuppgiftsbiträdet ska möjliggöra samt bidra till granskningar, inbegripet inspektioner, som genomförs av den Personuppgiftsansvarige eller av den Personuppgiftsansvarige utsedd revisor. Om den Personuppgiftsansvarige avser att genomföra en inspektion ska en begäran härom framställas åtminstone tre (3) månader före den planerade inspektionen. Den Personuppgiftsansvarige ska i samband med en begäran härom tydligt specificera innehållet och omfattningen av inspektionen.
8.3 Personuppgiftsbiträdets kostnader i samband med genomförande av granskning eller inspektion får debiteras den Personuppgiftsansvarige. Personuppgiftsbiträdet ska informera den Personuppgiftsansvarige om Personuppgiftsbiträdet anser att information, inbegripet inspektioner, enligt punkt 8.1 inte krävs eller strider mot Tillämplig Dataskyddslagstiftning. Om Parterna inte avtalat om annat får inspektion endast ske om revision inte kan fullgöras genom att Personuppgiftsbiträdet tillhandahåller information.
8.4 En granskning eller inspektion får ej riskera att hindra eller störa Personuppgiftsbiträdets verksamhet eller skyddet för andra kunders information.
8.5 All information som samlats in av den Personuppgiftsansvarige genom revisionen ska skyndsamt raderas när informationen inte längre behövs för det eller de ändamål för vilka informationen samlades in.
8.6 I samband med en inspektion ska den Personuppgiftsansvarige eller den av Personuppgiftsansvarige utsedde revisorn ingå erforderliga sekretessåtaganden samt följa Personuppgiftsbiträdets säkerhetsbestämmelser och övriga instruktioner på den plats där inspektionen ska ske.
9. PERSONUPPGIFTSINCIDENTER
9.1 Personuppgiftsbiträdet ska skyndsamt underrätta den Personuppgiftsansvarige efter att ha fått vetskap om en inträffad personuppgiftsincident.
9.2 Personuppgiftsbiträdet ska tillhandahålla den Personuppgiftsansvarige en beskrivning av personuppgiftsincidenten. En sådan ska
1. redogöra för personuppgiftsincidentens art och, om möjligt, de kategorier och antalet registrerade som berörs samt kategorier och antalet personuppgiftsposter som berörs,
2. redogöra för de sannolika konsekvenserna av personuppgiftsincidenten, och
3. redogöra för de åtgärder som har vidtagits eller föreslagits samt åtgärder för att mildra personuppgiftensincidentens potentiella negativa effekter.
9.3 Om den Personuppgiftsansvarige i strid med Tillämplig Dataskyddslagstiftning inte informerar berörda registrerade om en inträffad personuppgiftsincident och Integritetsskyddsmyndigheten eller annan tillsynsmyndighet förelägger Personuppgiftsbiträdet att åtgärda bristen ska den Personuppgiftsansvarige hålla Personuppgiftsbiträdet skadeslös.
10. UNDERBITRÄDEN
10.1 Personuppgiftsbiträdet har rätt att anlita underbiträden såväl inom som utom EU och EES för Behandlingen av personuppgifter enligt Avtalet, om ej annat uttryckligen framgår av Xxxxxxx.
10.2 Personuppgiftsbiträdet ansvarar för att eventuella underbiträden är bundna av skriftliga avtal. Ett sådant avtal ska ålägga underbiträdet samma skyldigheter som dem som gäller enligt Xxxxxxx. För det fall underbiträdet inte uppfyller de skyldigheter som följer av Avtalet ska Personuppgiftsbiträdet vara ansvarig gentemot den Personuppgiftsansvarige för utförandet av underbiträdets skyldigheter, i den mån bristerna föranlett väsentlig skada för den Personuppgiftsansvarige eller om skada uppstått av uppsåt eller grov vårdslöshet.
10.3 Genom att underteckna detta avtal godkänner den Personuppgiftsansvarige att Personuppgiftsbiträdet anlitat eller kan komma att anlita de underbiträden som anges i Bilaga 2.
10.4 Personuppgiftsbiträdet ska informera den Personuppgiftsansvarige när nytt underbiträde utses, om förändringen med stor sannolikhet kan komma att medföra allvarlig risk för de registrerades fri- och rättigheter. Av informationen ska underbiträdets namn framgå, liksom platsen för behandlingen och vilken typ av behandling som underbiträdet ska utföra för Personuppgiftsbiträdets räkning. Personuppgiftsbiträdet avgör ensamt på hurdant sätt sådan information ska lämnas.
11 ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND
11.1 Personuppgiftsbiträdet har rätt att överföra personuppgifter enligt Avtalet till Tredje land om det krävs för att uppfylla skyldigheterna enligt Xxxxxxxxx huvudavtal eller Avtalet. Personuppgiftsbiträdet ansvarar för att det finns rättslig grund för sådan överföring samt för att vidta skäliga säkerhetsåtgärder. Personuppgiftsbiträdet förbinder sig att på lämpligt sätt informera den Personuppgiftsansvarige om planerade överföringar till Tredje land på sätt som stadgas i punkt 10.4.
11.2 Genom att underteckna detta avtal godkänner den Personuppgiftsansvarige att Personuppgiftsbiträdet lämnar ut uppgifter till de mottagare som anges i Bilaga 2.
12. ERSÄTTNING
12.1 Personuppgiftsbiträdet har rätt till skälig ersättning i den utsträckning detta särskilt framgår av Avtalet.
Utöver vad som sagts ovan har Personuppgiftsbiträdet även rätt till skälig ersättning för att utföra åtgärder eller i övrigt följa den Personuppgiftsansvariges skriftliga instruktioner i avseenden vilka ej framgår av Avtalet.
13. ANSVAR FÖR SKADA
13.1 Den Personuppgiftsansvarige ska ersätta Personuppgiftsbiträdet för de anspråk som riktas mot Personuppgiftsbiträdet, under förutsättning att anspråket har sin grund i Personuppgiftsansvariges bristfälliga eller felaktiga instruktioner till Personuppgiftsbiträdet eller annars när den Personuppgiftsansvarige medverkat vid samma behandling som den Registrerades krav grundar sig på.
Utöver ovanstående ska den Personuppgiftsansvarige ersätta Personuppgiftsbiträdets skäliga kostnader för att försvara sig mot krav, inbegripet rättegångskostnader, som Personuppgiftsbiträdet blivit ålagd att utge till Registrerad eller dataskyddsmyndighet.
13.2 Personuppgiftsbiträdet ska i förhållande till den Personuppgiftsansvarige ansvara för skada uppkommen till följd av Behandlingen av personuppgifter endast om denne inte har fullgjort de skyldigheter enligt Tillämplig Dataskyddslagstiftning som specifikt riktar sig till Personuppgiftsbiträdet eller agerat utanför eller i strid med Avtalet.
Personuppgiftsbiträdet ska undgå ansvar enligt ovan om det visar att det inte på något sätt är ansvarigt för den händelse som orsakade skadan.
13.3 Den Part som avser framställa skadeståndskrav enligt punkt 13 i Avtalet ska göra det senast inom sex (6) månader från den tidpunkt Partens skadeståndsskyldighet i förhållande till den Registrerade blivit fastställd.
13.4 Parts skadeståndsskyldighet enligt punkt 13 i Xxxxxxx gäller även efter att Xxxxxxx i övrigt har upphört.
14. TILLÄGG ELLER ÄNDRING AV AVTAL
14.1 Tillägg och ändringar av Xxxxxxx ska, för att vara giltiga, vara skriftliga och undertecknas av Parterna.
15. EFTER AVTALETS UPPHÖRANDE
15.1 Personuppgiftsbiträdet åtar sig att radera eller återlämna personuppgifter som behandlats enligt Avtalet senast två (2) år efter Avtalets upphörande, om inte Personuppgiftsbiträdet äger rätt att behålla personuppgifterna för uppfyllande av rättsliga förpliktelser eller enligt avtal med den Personuppgiftsansvarige.
15.2 Bestämmelser om sekretess i Avtalet ska fortsätta att gälla även efter att Xxxxxxx i övrigt upphört av gälla.
16. FÖRTIDA UPPHÖRANDE
16.1 Part är berättigad att säga upp detta avtal om motparten;
1. gör sig skyldig till väsentligt brott mot bestämmelse i Xxxxxxx, och underlåter att vidta rättelse inom trettio (30) dagar från mottagande av skriftlig begäran därom från den andra Parten, eller
2. försätts i konkurs, inleder ackordsförhandling eller annars är på obestånd.
17. LAGVAL OCH TVISTLÖSNING
17.1 Svensk rätt gäller vid tolkning och tillämpning av Avtalet. Eventuell tolkning eller tvist med anledning av Xxxxxxx, som parterna inte kan lösa på egen hand, ska avgöras av Alingsås tingsrätt.
UNDERTECKNANDE
Parterna har träffat detta avtal elektroniskt i samband med ingående av licensavtal.
Bilaga 1 – Instruktion för hantering av Personuppgifter
Föremålet för behandlingen kan utläsas av punkt 1.1 i Avtalet. Utöver vad som redan framgår av Avtalet ska Personuppgiftsbiträdet även följa nedanstående instruktioner:
Personuppgiftsbehandling
Ändamål Specificera samtliga ändamål för vilka Personuppgiftsbiträdet kommer att behandla personuppgifter | Personuppgiftsbiträdet kommer att behandla personuppgifter för ändamålet att tillhandahålla tjänsterna i enlighet med huvudavtalet. |
Kategorier av registrerade Specificera samtliga kategorier av registrerade vars uppgifter kommer behandlas av Personuppgiftsbiträdet | Kategorierna av registrerade avser i huvudsak användare av tjänsten och anställda hos den Personuppgiftsansvarige, liksom kunder till den Personuppgiftsansvarige |
Kategorier av personuppgifter Specificera kategorier av personuppgifter som kommer att behandlas av Personuppgiftsbiträdet. | Personuppgifter som är nödvändiga för utförande av huvudavtalet; i huvudsak personuppgifter hänförlig till kassasystem och kassaadministration, såsom namn, telefonnummer och e-postadress. |
Särskilda säkerhetskrav | Personuppgiftsbiträdet och ev. underbiträden ska vidta tekniska, administrativa och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken inbegripande, när det är lämpligt; 1. förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos informationssystemet samt e-tjänster, 2. förmågan att återställa tillgänglighet och tillgång till personuppgifter i rimlig tid vid en fysisk eller teknisk incident, 3. ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet. |
Behandlingens art | Personuppgifter behandlas av Personuppgiftsbiträdet för att tillhandahålla tjänsterna enligt huvudavtalet, dvs. tillhandahållande av tjänster inom kassaadministration. |
Personuppgiftsbiträdet har rätt att utföra även andra arter av behandlingar i den mån det krävs för att utföra tjänsterna enligt huvudavtalet. |
Bilaga 2 – Underbiträden samt överföringar av personuppgifter till Tredje land
Personuppgiftsbiträdet har anlitat eller kan komma att anlita nedanstående underbiträden för nedan nämnda ändamål. Här anges även de mottagare eller typer av mottagare som Personuppgiftsbiträdet lämnar ut eller kan komma att lämna ut personuppgifter till.
Andra underbiträden och/eller mottagare kan komma att tillkomma för att fullgöra Personuppgiftsbiträdets skyldigheter enligt huvudavtalet eller Avtalet.