Contract

Mellan Tele 10 AB, org. nr. 556722-2111, Box 2154, 421 02 V Frölunda, nedan kallad Personuppgiftsbiträde och [BOLAG], xxx.xx [ORG NUMMER], [ADDRESS], nedan kallad Personuppgiftsansvarig, har följande Personuppgiftsbiträdesavtal (“Biträdesavtal”) träffats.

Personuppgiftsansvarige och Personuppgiftsbiträde benämns härefter Part eller gemensamt Parterna.

1. DEFINITIONER

1.1 Begrepp i detta avtal ska anses ha samma innebörd som i Gällande dataskyddsregler samt den praxis som vid var tid utvecklats avseende Gällande dataskyddsregler. Det innebär att detta Biträdesavtals definitioner kommer att ändras under avtalets löptid. Föregående innebär att detta Biträdesavtal bland annat får följande definitioner:

Behandling, avser den åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämnande genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Gällande dataskyddsregler, avser rådsdirektiv 95/46/EG, införd i svensk rätt genom personuppgiftslagen (1998:204) och personuppgiftsförordningen (1998:1191) samt den allmänna dataskyddsförordningen (EU) 2016/679 (”GDPR”), med tillhörande genomförandeförfattningar. I händelse av konflikt mellan ovan nämnda författningar ska GDPR från och med den 25 maj 2018 ha företräde.

Personuppgifter, varje upplysning som avser en identifierad eller identifierbar fysisk person som är i livet.

Personuppgiftsincident, avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats och i övrigt behandlas.

Underbiträde, avser sådant personuppgiftsbiträde som anlitas av det Personuppgiftsbiträde som är Part i detta Biträdesavtal och som behandlar personuppgifter för Personuppgiftsansvariges räkning.

2. BAKGRUND OCH SYFTE

2.1 Personuppgiftsbiträde utvecklar, producerar och säljer fasta och mobila IT- och kommunikationslösningar, hård- och mjukvara samt driver därmed förenlig verksamhet, för vilken behandling av personuppgifter utgör en naturlig del.

2.2 Personuppgiftsbiträdet kommer att för Personuppgiftsansvarige behandla personuppgifter. Den behandling Personuppgiftsbiträdet kommer att utföra för Personuppgiftsansvariges räkning ska regleras av detta avtal.

2.3 Med anledning av ovanstående har Parterna ingått följande Biträdesavtal.

3. PERSONUPPGIFTSANSVARIGES ANSVAR

3.1 Personuppgiftsansvarige ska säkerställa att behandlingen av personuppgifter är laglig enligt

Gällande dataskyddsregler.

3.2 Personuppgiftsansvarige får endast tillhandahålla Personuppgiftsbiträdet sådana personuppgifter som är nödvändiga för ändamålet med behandlingen.

3.3 Personuppgiftsansvarige ska omedelbart lämna Personuppgiftsbiträdet korrekta uppgifter i händelse av att instruktionerna är felaktiga, ofullständiga eller i övrigt behöver förändras.

4. BEHANDLING AV PERSONUPPGIFTER

4.1 De personuppgifter som Personuppgiftsbiträdet har åtkomst till får endast behandlas i enlighet med detta Biträdesavtal och Gällande dataskyddsregler, samt Personuppgiftsansvariges vid var tid gällande dokumenterade instruktioner, se Bilaga 1.

4.2 Personuppgiftsbiträdet ska omedelbart informera Personuppgiftsansvarige om Personuppgiftsbiträdet anser att en instruktion som Personuppgiftsansvarige lämnat strider mot GDPR eller någon annan tillämplig lagstiftning på dataskyddsområdet.

4.3 Personuppgiftsbiträdet ska utan oskäligt dröjsmål, dock senast trettio (30) dagar från Personuppgiftsansvariges begäran, ge denne tillgång till personuppgifterna som Personuppgiftsbiträdet har i sin besittning samt genomföra en begärd ändring, radering, begränsning eller överföring av nämnda personuppgifter, såvida inte detta är oförenligt med annan tvingande lag. Har Personuppgiftsansvarige raderat, eller anvisat Personuppgiftsbiträdet om radering, ska den senare vidta sådana åtgärder som krävs för att personuppgiften inte ska kunna återskapas.

4.4 Personuppgiftsbiträdet ska alltid utan särskild anmaning från Personuppgiftsansvarige vidta sådana åtgärder som avses i punkt 4.3 om det följer av instruktionerna i Bilaga 1.

4.5 Personuppgiftsbiträdet ska upprätthålla ett skriftligt register över all personuppgiftsbehandling som sker på uppdrag av Personuppgiftsansvarige, samt att på Personuppgiftsansvariges eller behörig tillsynsmyndighets uttryckliga begäran överlämna ett läsbart registerutdrag omfattandes, till ett minimum, uppgifter om:

a) namn och kontaktuppgifter hos Personuppgiftsbiträdet, och i förekommande fall Personuppgiftsbiträdets företrädare, dataskyddsombud och i förekommande fall anlitande av underbiträden,

b) den behandling som utförs av Personuppgiftsbiträdet för Personuppgiftsansvariges räkning samt för varje annan personuppgiftsansvarigs räkning, typen av personuppgifter och i förekommande fall de särskilda kategorier av personuppgifter som behandlas,

c) i förekommande fall, överföring av personuppgifter till tredje land, det tredje land där data behandlas samt vilka adekvata skyddsåtgärder som vidtagits, samt

d) en allmän beskrivning av vilka tekniska och organisatoriska åtgärder som vidtagits för att upprätthålla en lämplig skyddsnivå.

5. KAPACITET OCH FÖRMÅGA

5.1 Personuppgiftsbiträdet garanterar att denne har nödvändig teknisk och organisatorisk kapacitet och förmåga, inbegripet tekniska lösningar, kompetens, ekonomiska och personella resurser, rutiner och metoder, att fullgöra sina skyldigheter enligt detta Biträdesavtal och Gällande dataskyddsregler.

5.2 Personuppgiftsbiträdet ska på Personuppgiftsansvarigs begäran, eller oberoende tredje part som denna anlitat, styrka att de skyldigheter som framgår av detta Biträdesavtal och Gällande dataskyddsregler uppfylls genom att utan onödigt dröjsmål tillhandahålla relevant dokumentation, hänvisa till relevant och godkänd uppförandekod eller certifiering, möjliggöra och bidra till granskningar och inspektioner av lokaler, IT-system och andra tillgångar och/eller tillhandahålla annan adekvat bevisning.

6. SÄKERHET OCH SEKRETESS

6.1 Personuppgiftsbiträdet ska vidta alla åtgärder som krävs för att uppfylla säkerhetskraven i samband med behandlingen av personuppgifter enligt Gällande dataskyddsregler bland annat, men inte begränsat till, i fråga om pseudonymisering och kryptering av personuppgifter, förmågan att fortlöpande säkerställa integritet och motståndskraft hos behandlings systemen och tjänsterna samt förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident.

6.2 Personuppgiftsbiträdet ska genom lämpliga tekniska och organisatoriska åtgärder begränsa tillgången till personuppgifterna och endast ge behörighet till sådan personal som behöver ha tillgång till personuppgifterna för att fullgöra sina åtaganden enligt detta Biträdesavtal, tillse att sådan personal har erforderlig utbildning och i tillräcklig mån har instruerats att hantera personuppgifterna på ett ändamålsenligt och säkert sätt samt tillse att personalen endast behandlar personuppgifterna när Personuppgiftsansvarige instruerats att så ska ske samt i enlighet med de instruktioner som lämnats av Personuppgiftsansvarige.

6.3 Personuppgiftsbiträdet ska Behandla Personuppgifter med sekretess och tillse att personer med behörighet att Behandla Personuppgifterna hos Personuppgiftsbiträdet har ingått särskild sekretessförbindelse eller upplysts om att särskild tystnadsplikt föreligger enligt avtal eller gällande rätt

6.4 Personuppgiftsbiträdet ska utan oskäligt dröjsmål, dock senast inom sjuttiotvå (72) xxxxxx från att det kommit Personuppgiftsbiträdet till kännedom, underrätta Personuppgiftsansvarige om förekomsten av eller risken för en personuppgiftsincident. En sådan underrättelse ska innehålla all nödvändig och tillgänglig information som Personuppgiftsansvarige behöver för att kunna vidta lämpliga förebyggande åtgärder och motåtgärder samt uppfylla sina skyldigheter avseende anmälan av personuppgiftsincidenter till behörig tillsynsmyndighet.

7. SAMVERKAN

7.1 Personuppgiftsbiträdet ska på Personuppgiftsansvariges förfrågan bistå denne att fullgöra sina skyldigheter enligt Gällande dataskyddsregler, såsom utförandet av konsekvensbedömningar avseende dataskydd, utformningen av lämpliga tekniska och organisatoriska åtgärder för inbyggt dataskydd, förhandssamråd med behörig tillsynsmyndighet samt medverka till utredning av inträffade personuppgiftsincidenter. Med tanke på behandlingens art ska Personuppgiftsbiträdet även bistå Personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att den Personuppgiftsansvarige kan fullgöra sin skyldighet att efterfölja en registrerads begäran om insyn, information om och tillgång till personuppgifter, radering, rättelse, begränsning av behandling eller dataportabilitet eller annan begäran i enlighet med Gällande dataskyddsregler om utövande av den registrerades rättigheter. Såvida Parterna inte kommit överens om annat ska sådant bistånd som avses i detta stycke inte ge Personuppgiftsbiträdet rätt till särskild ersättning.

7.2 Personuppgiftsbiträdet ska utan oskäligt dröjsmål underrätta Personuppgiftsansvarige om denne kontaktas av behörig tillsynsmyndighet eller annan tredje part i syfte att få tillgång till personuppgifter som Personuppgiftsbiträdet, eller i förekommande fall Underbiträdet, har i sin besittning.

7.3 Personuppgiftsbiträdet ska skriftligen och i förväg informera Personuppgiftsansvarige om planerade ändringar av behandlingsförfarandet, däribland tekniska och organisatoriska ändringar som kan påverka skyddet av Personuppgifterna och Personuppgiftsbiträdets efterlevnad av Gällande dataskyddsregler. Innan sådana ändringar genomförs ska Personuppgiftsansvarige lämna sitt samtycke, vilket inte skäligen ska förvägras.

8. ANLITANDE AV UNDERBITRÄDE

8.1 Personuppgiftsbiträdet är förhindrad att utan Personuppgiftsansvariges skriftliga samtycke överföra eller på annat sätt överlåta behandlingen av personuppgifterna till ett Underbiträde. En sådan överlåtelse medför inga ändringar i den ansvarsfördelning som gäller mellan Parterna i detta Biträdesavtal.

8.2 Har Personuppgiftsbiträdet ansökt om att få överlåta behandlingen av personuppgifter till ett

Underbiträde och beviljats detta enligt punkten 8.1 ska Personuppgiftsbiträdet genom skriftligt avtal tillförsäkra sig garantier från Underbiträdet att detta uppfyller alla tillämpliga bestämmelser om skydd för personuppgifter samt uppfyller samtliga de skyldigheter som regleras i detta Biträdesavtal. Personuppgiftsbiträdet ska vara strikt ansvarigt gentemot Personuppgiftsansvarige för att Underbiträdet fullgör sina skyldigheter i fråga om dataskydd.

8.3 Avser Personuppgiftsbiträdet att byta ut ett befintligt Underbiträde mot ett annat Underbiträde ska Personuppgiftsbiträdet senast trettio (30) dagar innan informera Personuppgiftsansvarige om sina avsikter så att Personuppgiftsansvarige har möjlighet att invända mot en sådan förändring. Motsätter sig Personuppgiftsansvarige ett utbyte av Underbiträde eller återkallar denne sitt tidigare medgivande om användning av ett Underbiträde har Personuppgiftsansvarige rätt att säga upp detta Biträdesavtal och andra ingångna avtal som berör behandling av personuppgifter. Under uppsägningstiden får överföring av personuppgifter till det nya Underbiträdet inte ske.

9. ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND

9.1 I fall där Personuppgiftsbiträdet i samband med Behandlingen avser att överföra Personuppgifter till tredje land utanför EU/EES och som av Europeiska kommissionen inte anses uppfylla en adekvat skyddsnivå i förhållande till Gällande dataskyddsregler ska Parterna innan överföring får ske ingå ett skriftligt tilläggsavtal avseende detta.

9.2 Har Personuppgiftsbiträdet anlitat ett Underbiträde, och avser Underbiträdet föra över Personuppgifter till tredje land som Europeiska kommissionen inte anser uppfylla en adekvat skyddsnivå i förhållande till Gällande dataskyddsregler, ska Personuppgiftsbiträdet och Personuppgiftsansvarige innan överföring får ske ingå ett skriftligt tilläggsavtal avseende detta. Innan överföring får ske ska även Personuppgiftsbiträdet och Underbiträdet ingå ett skriftligt tilläggsavtal med samma villkor. Personuppgiftsbiträdet ska tillhandahålla Personuppgiftsansvarig en underskriven kopia av tilläggsavtalet mellan Personuppgiftsbiträdet och Underbiträdet innan överföring får ske.

10. UNDERRÄTTELSER

10.1 Vid inträffad eller befarad personuppgiftsincident ska Personuppgiftsbiträdet rapportera till (KUNDS MAILADRESS)

11. GILTIGHET

11.1 Detta Biträdesavtal är giltigt tills Personuppgiftsbiträdets behandling av personuppgifterna upphör, detta Biträdesavtal ersätts av ett annat personuppgiftsbiträdesavtal, eller tills Personuppgiftsansvarige säger upp avtalet enligt punkt 8.3. Vid uppsägning enligt punkt 8.3 ska en uppsägningstid om två månader tillämpas för Avtalet såväl som för övriga avtal som sägs upp i samband med att Xxxxxxx sägs upp.

11.2 Personuppgiftsbiträdet ska vid avslutad behandling återlämna personuppgifterna i ett allmänt och läsbart format till Personuppgiftsansvarige och därefter radera personuppgifterna från sådana system som använts vid behandlingen, såvida inte detta är oförenligt med annan tvingande lag.

12. TILLÄMPLIG LAG OCH TVIST

12.1 Detta Biträdesavtal ska tolkas och tillämpas i enlighet med svensk rätt. Tvister till följd av tolkningen och tillämpningen av detta Biträdesavtal ska slutligen lösas i allmän domstol varvid Göteborgs tingsrätt skall vara första instans.

----------

Detta biträdesavtal är giltigt från och med den 25 Maj 2018. Detta Biträdesavtal har upprättats i två (2) exemplar och vardera parten har tagit var sitt

Ort & Datum		Ort & Datum
Personuppgiftsbiträde, Tele10 AB		Personuppgiftsansvarig,
NAMN		NAMN

BILAGA 1 INSTRUKTIONER

Dessa instruktioner utgör en integrerad del av Biträdesavtalet och ska följas av Personuppgiftsbiträdet vid utförande av personuppgiftsbehandlingen såvida inte annat uttryckligen anges i Biträdesavtalet. Dessa instruktioner kan ändras ensidigt av Personuppgiftsansvarige vid en senare tidpunkt genom att Personuppgiftsansvarige skriftligen meddelar Personuppgiftsbiträdet om ändringen. Ändringar träder i kraft tidigast 30 kalenderdagar efter att de avsänts av Personuppgiftsansvarige. Genom undertecknande av Biträdesavtalet har Personuppgiftsbiträdet bekräftat innebörden av dessa instruktioner.

Ändamål

Ändamålet med behandlingen är 1) att leverera telefoni- och kommunikationstjänster enligt avtal ingånget

mellan Parterna nedan ”Tjänsteavtal” och levererade tjänster ”Tjänst” 2) supportera Tjänst till kund 3) på annat sätt uppfylla ansvar under Tjänsteavtalet.

Typ av behandling

Registrering av användaruppgifter, lagring av Personuppgifter, lagring av användande av Tjänst, statistikanalyser, felsökningsanalyser och faktureringsuppgifter/underlag.

Typ av personuppgifter

Följande typer av personuppgifter behandlas:

● Namn

● Lösenord

● Email

● Användar ID

● Telefonnummer

● IP-adress

● Användargenererat innehåll, t.ex samtalsinformation och/eller dataförbrukning

● Användarbeteende, kraschrapporter för felsökningar

● Faktureringsinformation

Utöver detta kan Personuppgiftsansvariges användare ladda upp personuppgifter i Tjänst så som t.ex. profilbild, position, adress, ytterligare kontaktuppgifter m.m. Personuppgiftsansvarige godkänner vid uppladdning att Personuppgiftsbiträde behandlar och lagrar dessa uppgifter.

Plats för behandlingen

All behandling sker inom EUs medlemsstater, EES eller godkända stater enligt EU som uppfyller en adekvat skyddsnivå.

Behandlingens Varaktighet

Behandling varar så länge Personuppgiftsbiträdet representerar Personuppgiftsansvarige. Vid avslutat Tjänsteavtal raderas personuppgifter ur aktiva system och fasas ut från backuper över tid. Dessa backuper har begränsad åtkomst och Personuppgifter kan maximalt finnas kvar i två (2) år.

Överföring till tredje land

Överföring till tredje land utanför EU/EES sker endast i enlighet med artikel 45, 46 eller 49 i dataskyddsförordningen, och den senare endast under förutsättningen att överföringen är nödvändig för att fullgöra avtal mellan personuppgiftsbiträde och den personuppgiftsansvarige eller för att genomföra åtgärder som föregår ett sådant avtal på den registrerades begäran.

DATASKYDD, SÄKERHET OCH SEKRETESS

Personuppgiftsbiträde har vidtagit nödvändiga tekniska och organisatoriska åtgärder för att garantera integritet och konfidentialitet av Personuppgiftsansvarige uppgifter, vilket innefattar följande åtgärder:

Personal Sekretess

Personuppgiftsbiträdet har vidtagit nödvändiga åtgärder för att garantera att personal som arbetar med Personuppgiftsansvariges personuppgifter har kvalificerad bakgrund och kompetens. Dessa åtgärder kan innefatta:

● Bakgrundskontroller i form av referenser och/eller utdrag från belastningsregistret

● Skriftlig överenskommelse om tystnadsplikt

● Följer Personuppgiftsbiträdet aktuella policys och arbetsrutiner

● Kontinuerlig utbildning och kompetenshöjande åtgärder

Fysisk säkerhet

Personuppgiftsbiträdet säkerhetsställer att en adekvat fysisk säkerhetsnivå på områden där personuppgiftsansvarige personuppgifter behandlas upprätthålls vilket kan innefatta:

● Begränsad och/eller övervakad tillgång till fysiska lokaler

● Övervakning i form av larm, video och/eller fysisk övervakning

Utrustning-, system- och nätverkssäkerhet

Personuppgiftsbiträdet skall genomföra lämpliga och tidsenliga säkerhetsåtgärder och för hela Tjänsteavtalets period ett tillräcklig säkerhetsnivå för alla system, nätverk och enheter som används för att leverera Tjänst till Personuppgiftsansvarige. Detta kan innefatta;

● Har adekvat brandväggsskydd

● Komplett auditloggning för övervakning av tjänst

● Autentiseringssystem för tillgång till Tjänst och System

● Rättighetssystem för tillgång till Tjänst och System

● Övervakning & kryptering av fysiska hårddiskar

● Processer & xxxxxxx för att kontinuerligt utvärdera datasäkerhet

● Säkerhetsställa möjligheter till återskapning av Personuppgifter via backuper