Personuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal
1 Bakgrund
1.1 SportAdmin i Skandinavien AB, org. nr 556773-0832 (”SportAdmin” eller ”Personuppgiftsbiträdet”) tillhandahåller enligt avtal digitala kommunikationstjänster i form av ett webbaserat administrationsverktyg för medlemshantering, fakturering, hemsidor, kommunikation etc. (”Tjänsterna”) till idrottsföreningar och andra organisationer (”Kunden” eller ”Personuppgiftsansvarig”). Begreppet Tjänsterna omfattar även SportAdmins egen applikation SportAdmins App för Kundens administration i det fall parterna särskilt avtalat om Kundens rätt att använda desamma.
1.2 Villkoren för Tjänsterna regleras genom samtliga mellan SportAdmin och Kunden träffade avtal och i förekommande fall tillhörande allmänna villkor gällande Tjänsterna benämnt (”Kundavtalet”) samt detta personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtal”). Dessa avtal benämns som ”Avtal” såvida annat inte uttryckligen anges. Avtalen ersätter samtliga tidigare avtal, muntliga och skriftliga, i de delar som Avtalen omfattar. Vid oförenlighet mellan detta Personuppgiftsbiträdesavtal och Kundavtalet ska Kundavtalet äga företräde.
2 Definitioner
2.1 Detta Personuppgiftsbiträdesavtal har motsvarande definitioner som återfinns i vid var tid gällande regler och lagar om personuppgiftsbehandling och datasäkerhet såsom personuppgiftslagen,
Dataskyddsförordningen och Dataskyddslagen (”Dataskyddslag”).
3 Innehåll och syfte
3.1 SportAdmin och Xxxxxx har i enlighet med punkten 1 ovan ingått avtal rörande tillhandahållande av Tjänsterna.
3.2 SportAdmin kommer inom ramen för samarbetet med Xxxxxx att behandla personuppgifter för Kundens räkning och utgör därmed personuppgiftsbiträde.
3.3 Detta Personuppgiftsbiträdesavtal har till syfte att uppfylla Dataskyddslags krav på avtal mellan Personuppgiftsansvarig och Personuppgiftsbiträdet.
4 Ansvar och instruktion
4.1 Personuppgiftsansvarig har ansvar för all behandling av avtalade personuppgifter i enlighet med Dataskyddslag.
4.2 Personuppgiftsbiträdet åtar sig att endast behandla avtalade personuppgifter i enlighet med Personuppgiftsansvariges instruktioner, se bilaga, för att kunna fullgöra leverans enligt Avtal eller för att uppfylla krav i Dataskyddslag. Personuppgiftsbiträdet får inte behandla avtalade personuppgifter för egna ändamål om inte annat uttryckligen följer av Avtal.
4.3 Personuppgiftsbiträdet åtar sig vidare att behandla avtalade personuppgifter enligt Dataskyddslag, Avtal och Personuppgiftsansvariges instruktioner i enlighet med punkten 4.2 ovan. Om Personuppgiftsbiträdet anser att en instruktion strider mot Dataskyddslag ska Personuppgiftsbiträdet omedelbart informera den Personuppgiftsansvarige om detta.
4.4 Om Personuppgiftsbiträdet måste behandla personuppgifter i strid med den Personuppgiftsansvariges instruktioner för att kunna uppfylla krav i Dataskyddslag ska Personuppgiftsbiträdet informera den
Personuppgiftsansvarige om dessa krav innan behandlingen i fråga inleds, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt tillämplig lag.
4.5 Oaktat det som skrivs i punkterna 4.3 och 4.4 ovan bär Personuppgiftsansvarig det fulla ansvaret för att all behandling av avtalade personuppgifter, inklusive instruktioner om sådan behandling, sker i enlighet med Dataskyddslag.
4.6 Personuppgiftsbiträdet ska vid uppfyllande av bestämmelserna enligt Xxxxx bland annat tillse att samtliga anställda, konsulter och övriga parter som hanterar personuppgifter hänförliga till Avtal är bundna av ett ändamålsenligt sekretessåtagande.
5 Säkerhet
5.1 Personuppgiftsbiträdet har enligt Avtal och Dataskyddslag vidtagit tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas för Personuppgiftsansvarigs räkning.
5.2 Om Personuppgiftsbiträdet orsakas kostnader för att uppfylla säkerhetskrav utöver dem som uttryckligen beskrivs i Avtal, ska Personuppgiftsansvarig ersätta Personuppgiftsbiträdet för dessa kostnader.
5.3 Personuppgiftsbiträdet ska i skälig utsträckning medverka vid och tillåta de inspektioner som Personuppgiftsansvarig, Integritetsskyddsmyndigheten eller annan berörd part enligt Dataskyddslagen eller enligt detta Personuppgiftsbiträdesavtal kan kräva för upprätthållandet av en korrekt behandling av personuppgifter, och Personuppgiftsbiträdet ska ha rätt till skälig ersättning härför.
5.4 Personuppgiftsbiträdet ska hålla Personuppgiftsansvarig informerad om eventuella inspektioner enligt detta Personuppgiftsbiträdesavtal samt ge Personuppgiftsansvarig insyn i en sådan inspektion och tillfälle att yttra sig över den information som Personuppgiftsbiträdet lämnar inom ramen för inspektionen.
5.5 Personuppgiftsbiträdet ska följa eventuella av Integritetsskyddsmyndigheten fattade beslut vad avser de behandlade personuppgifterna.
5.6 Personuppgiftsbiträdet ska utan onödigt dröjsmål underrätta Personuppgiftsansvarig vid upptäckt av fullbordade fall av eller försök till obehörig åtkomst, förstörelse eller ändring av personuppgifter.
6 Underbiträde
6.1 Personuppgiftsbiträdet har rätt att anlita underbiträden för behandlingen av personuppgifter för Personuppgiftsansvarigs räkning och ska informera den Personuppgiftsansvarige om planer på att anlita ett sådant underbiträde. Sådan information görs tillgänglig inne i administrationsverktyget.
6.2 Om Personuppgiftsbiträdet anlitar underbiträde, har Personuppgiftsbiträdet mandat och skyldighet att ingå särskilt avtal med sådant underbiträde vad avser underbiträdets behandling av personuppgifter. Personuppgiftsbiträdet ansvarar gentemot Personuppgiftsansvarig för sina underbiträden såsom för egen del för skyldigheterna som följer enligt detta Personuppgiftsbiträdesavtal, med de begränsningar som följer av villkoren i Kundavtalet.
6.3 Personuppgiftsbiträdet ska vid var tid föra en korrekt och uppdaterad lista utvisande vilka underbiträden som anlitats för behandlingen av personuppgifter och var dessa är geografiskt belägna. Personuppgiftsbiträdet ska vidare på Personuppgiftsansvarigs begäran utan dröjsmål tillhandahålla kontaktuppgifter till de underbiträden som behandlar personuppgifter. En lista över underbiträden finns tillgänglig i administrationsverktyget.
7 Revision, informationsutlämning och samverkan
7.1 Personuppgiftsansvarig äger rätt att, själv eller genom tredje man, genomföra revision gentemot Personuppgiftsbiträdet eller på annat sätt kontrollera att Personuppgiftsbiträdets behandling av personuppgifter följer detta Personuppgiftsbiträdesavtal. Vid sådan revision eller kontroll ska Personuppgiftsbiträdet ge Personuppgiftsansvarig den assistans som behövs för genomförande av revision.
7.2 Personuppgiftsbiträdet ska inom skälig tid dock senast inom [30] dagar på begäran av Personuppgiftsansvarig tillhandahålla all tillgänglig information avseende behandlingen av personuppgifter och vara Personuppgiftsansvarig behjälplig för att Personuppgiftsansvarig ska kunna uppfylla sina skyldigheter enligt Dataskyddslag, i den mån detta är möjligt och det inte är oförenligt med annan lag eller Avtal.
7.3 För det fall registrerade personer, Integritetsskyddsmyndigheten eller annan tredje man begär information från Personuppgiftsansvarig eller Personuppgiftsbiträdet rörande behandlingen av personuppgifter ska parterna samverka och utbyta information i nödvändig utsträckning.
7.4 Personuppgiftsbiträdet ska ha rätt till skälig ersättning för det biträde som följer av denna punkt 7.
8 Behandling under avtalstiden och skyldigheter efter avtalets upphörande
8.1 Personuppgifter för vilka SportAdmin är Personuppgiftsbiträde behandlas löpande under avtalstiden. Personuppgiftsansvarig avgör själv hur länge dessa personuppgifter ska behandlas under denna tid. Om Personuppgiftsansvarig raderar sådana personuppgifter får dessa endast fortsätta behandlas av Personuppgiftsbiträdet under den tid som är nödvändig för att uppfylla säkerhetskrav (exempelvis genom back-up) eller för att uppfylla andra lagkrav som Personuppgiftsbiträdet är skyldig att efterleva.
8.2 Parterna är överens om att Personuppgiftsbiträdet efter behandlingens upphörande och beroende på vad Personuppgiftsansvarig beslutar, mot en administrativ avgift under en period av [30 dagar], antingen ska
möjliggöra återlämnande av överförda personuppgifter och kopior av dessa till Personuppgiftsansvarig, eller förstöra alla personuppgifter och intyga för Personuppgiftsansvarig att så skett (Om detta inte är tekniskt möjligt, ska Personuppgiftsbiträdet garantera att denne kommer att bevara sekretessen hos de överförda personuppgifterna och inte behandla de överförda personuppgifterna ytterligare, alternativt anonymisera dem på sätt som gör dem omöjliga att återskapa). Därefter har Personuppgiftsbiträdet rätt att, utan att påföras ansvar, radera alla personuppgifter, om inte fortsatt lagring av personuppgifter krävs enligt Avtal eller svensk eller annan europeisk lagstiftning.
9 Ansvar
9.1 Personuppgiftsbiträdet ansvarar enligt detta Personuppgiftsbiträdesavtal endast för skada orsakad Personuppgiftsansvarig eller tredje man (däribland men inte begränsat till obehörig åtkomst, förlust, förstörelse, ändring eller offentliggörande av personuppgifter) av att Personuppgiftsbiträdet inte fullgjort sina skyldigheter enligt detta Personuppgiftsbiträdesavtal. Personuppgiftsbiträdet ansvarar således inte för omständigheter som ligger utom dess kontroll eller för skador orsakade av Personuppgiftsansvarig eller tredje part.
9.2 Personuppgiftsbiträdets sammanlagda och totala ansvar under detta Personuppgiftsbiträdesavtal ska inte i något fall överstiga 25 % av det avgiftsbelopp enligt Kundavtal som mottagits av Personuppgiftsbiträdet under det kalenderår föregående det år då händelsen inträffat. Om händelsen inträffar första året ska beräkningen basera sig på det belopp som Personuppgiftsansvarig betalat för det aktuella året. Personuppgiftsbiträdet ansvarar vidare inte för Personuppgiftsansvariges indirekta förluster.
9.3 Personuppgiftsansvarigs rätt att framställa krav är förverkad om Personuppgiftsansvarigs anspråk på ersättning inte har framställts skriftligen och utan dröjsmål efter att grunden för ersättningen stod klar, dock senast tre (3) månader efter det att den ersättningsgrundande omständigheten upptäckts eller borde upptäckts.
9.4 Personuppgiftsansvarig ska hålla Personuppgiftsbiträdet skadeslös avseende samtliga krav som riktas mot Personuppgiftsbiträdet hänförliga till detta Personuppgiftsbiträdesavtal som inte faller under Personuppgiftsbiträdet ansvarar enligt punkterna 9.1-9.3 ovan.
9.5 Bestämmelserna under denna punkt 9 ska gälla även efter att detta Personuppgiftsbiträdesavtal upphört, oavsett anledning.
10 Ersättning
10.1 Personuppgiftsbiträdet har rätt till skälig ersättning för det eventuella arbete som utförs enligt förpliktelser i punkterna 5, 7 och 8 i detta Biträdesavtal.
11 Tvist och tillämplig lag
11.1 Tvist angående tolkning eller tillämpning av detta Personuppgiftsbiträdesavtal ska avgöras enligt svensk lag.
11.2 Tvist i anledning av detta Personuppgiftsbiträdesavtal ska slutligt avgöras genom skiljedomsförfarande administrerat vid Stockholms Handelskammares Skiljedomsinstitut (SCC).
11.3 Institutets Regler för Förenklat Skiljeförfarande ska gälla om inte SCC med beaktande av målets svårighetsgrad, tvisteföremålets värde och övriga omständigheter bestämmer att Skiljedomsreglerna för Stockholms Handelskammares Skiljedomsinstitut ska tillämpas på förfarandet. I sistnämnda fall ska SCC också bestämma om skiljenämnden ska bestå av en eller tre skiljemän. Skiljeförfarandets säte ska vara Malmö.
11.4 Att skiljeförfarande enligt ovan pågår (eller har ägt rum), all information som avslöjas och all dokumentation som inges eller utfärdas av eller på uppdrag av part eller skiljemännen under sådant förfarande samt alla beslut och skiljedomar som fattas eller meddelas i anledning av sådant förfarande ska behandlas strikt konfidentiellt och inte användas för annat ändamål än för förfarandet i fråga eller verkställandet av sådant beslut eller sådan skiljedom och heller inte annars avslöjas för någon tredje man utan föregående skriftligt samtycke av den part som informationen rör eller, vad gäller beslut och skiljedomar, de tvistande parterna.
Bilaga 1 – Instruktioner för behandling av personuppgifter
1 Bakgrund
1.1 Personuppgiftsbiträdet ska behandla personuppgifter om medlemmar hos Personuppgiftsansvarig och övriga personer knutna till Personuppgiftsansvarig.
2 Definitioner
2.1 De personuppgifter som främst kan komma att behandlas genom Personuppgiftsansvarigs användande av Personuppgiftbiträdets Tjänster är namn, adress, e-postadress, telefonnummer, personnummer, bilder, IP-nummer och cookies.
3 Innehåll och syfte
3.1 Personuppgiftsansvarigs behandling av personuppgifter i/genom/via Personuppgiftsbiträdets Tjänster används primärt för att (dvs. ändamålen för behandlingen):
(i) förenkla Personuppgiftsansvarigs administration och möjlighet att upprätthålla medlemsregister;
(ii) förenkla Personuppgiftsansvarigs kommunikation via, men inte begränsat till, SMS, utskick, notiser, hemsida, appar, kallelser, nyheter;
(iii) skapa underlag för att underlätta för Personuppgiftsansvarigs att analysera sin verksamhet och kunna generera underlag till förbund, organisationer, etc.;
(iv) skapa underlag och möjliggöra fakturering.
3.2 Genom användandet av Personuppgiftbiträdets Tjänster kan även andra ändamål förekomma.
3.3 Det är Personuppgiftsansvarig som initierar behandlingen av personuppgifter via sitt användande av Personuppgiftbiträdets Tjänster.
3.4 Personuppgiftsbiträdet behandlar inte personuppgifter för egna ändamål om inte annat uttryckligen följer av Avtal.
3.5 Vid supportering, felsökning, test, back-up, vid utveckling eller för att säkerställa drift och säkerhet kopplat till Tjänsterna kan det förekomma att Personuppgiftsbiträdet behandlar personuppgifter.