Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

Detta Personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtalet”) mellan:

1. Yelles AB / Inleed, xxx.xx. 556931-6788 (”Inleed”); och

2. Kunder som använder våra tjänster (”Kunden”), (var och en ”Part” och gemensamt ”Parterna”).

1. Allmänt

1. Detta Personuppgiftsbiträdesavtal utgör en integrerad del av avtalet som ingåtts mellan Inleed och Kunden (”Avtalet”). Detta framgår av de för tiden gällande allmänna villkoren punkt 6.1, se xxx.xxxxxx.xx.

2. Inleed kommer vid fullföljandet av Avtalet att Behandla Personuppgifter som Kunden är personuppgiftsansvarig för och/eller som Kundens kunder är personuppgiftsansvariga för. I de fall Xxxxxx är personuppgiftsansvarig, Behandlar Inleed Personuppgifter såsom Kundens personuppgiftsbiträde. I de fall Kundens kunder är personuppgiftsansvariga Behandlar Inleed Personuppgifter såsom underbiträde åt Xxxxxx som i sin tur Behandlar Personuppgifterna såsom personuppgiftsbiträde åt sina kunder. De skyldigheter som Inleed har gentemot Kunden enligt detta Personuppgiftsbiträdesavtal (och de rättigheter som tillkommer Kunden enligt detta Personuppgiftsbiträdesavtal) ska då även föreligga gentemot (och tillkomma) Kundens kunder i den mån det krävs för att följa Dataskyddsregleringen.

3. Om någon annan tillsammans med Xxxxxx är personuppgiftsansvarig för de aktuella Personuppgifterna ska Kunden informera Inleed om detta.

4. Syftet med detta Personuppgiftsbiträdesavtal är att Parterna ska uppfylla vid var tid gällande krav på Personuppgiftsbiträdesavtal och förpliktelser enligt Dataskyddsreglering samt att säkerställa ett adekvat skydd för personlig integritet och grundläggande rättigheter för enskilda i samband med överföring av Personuppgifter från Xxxxxx till Inleed inom ramen för den verksamhet som bedrivs av Inleed i rollen som leverantör av webbhotell och virtuella servrar och driftstjänster samt därtill tillhörande support- och tilläggstjänster till Kunden.

5. Detta Personuppgiftsbiträdesavtal ersätter eventuella tidigare personuppgiftsbiträdesavtal mellan Parterna och har företräde framför Avtalet vad gäller föremålet för detta Personuppgiftsbiträdesavtal, oavsett vad som anges i Avtalet.

2. Definitioner

”Behandling” avser vid var tid gällande legaldefinition av ”Behandling” enligt Dataskyddsreglering. Vid tidpunkten för Avtalets undertecknande innefattar Behandling varje åtgärd eller serie av åtgärder som vidtas i fråga om Personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom

översändande, spridning efter annat tillhandahållande av uppgifter, sammanställning eller samkörning blockering, utplåning eller förstöring.

”Dataskyddsreglering” avser vid var tid gällande lag eller förordning som ska tillämpas på Behandling av Personuppgifter vilket innefattar men inte är begränsat till Personuppgiftslagen (1998:204) och från den 25 maj 2018 Europaparlamentets och Rådets Förordning (EU) 2016 /679 (”Dataskyddsförordningen”) vilken ersätter Personuppgiftslagen (1998:204); samt Tillsynsmyndighets bindande beslut och föreskrifter samt tillkommande lokal anpassning och reglering avseende dataskydd.

”Personuppgifter” avser de Personuppgifter, som Inleed Behandlar under Personuppgiftsbiträdesavtalet. Vid tidpunkten för Avtalets undertecknande definieras ”Personuppgifter” som all slags information som direkt eller

indirekt kan hänföras till en fysisk person som är i livet och som Behandlas för Xxxxxxx räkning men begreppet ska anses ha den innebörd som framgår av vid var tid gällande legaldefinition under Dataskyddsreglering.

”Registrerad” avser den fysiska person som en Personuppgift avser.

”Tillsynsmyndighet” avser den eller de tillsynsmyndigheter som har behörighet att bedriva tillsyn över hantering av Personuppgifter eller anses vara berörd tillsynsmyndighet enligt Dataskyddsreglering, t.ex. Datainspektionen.

”Tillämpningsdagen” avser den dag Dataskyddsförordningen börjar gälla, d.v.s. 25 maj 2018.

”Underleverantör” avser den underleverantör åt Inleed som Behandlar Personuppgifter såsom Inleeds underbiträde.

1. Eventuella övriga definitioner med stor begynnelsebokstav som används i detta Personuppgiftsbiträdesavtal ska, om inget annat uttryckligen anges, ha den innebörd och betydelse som framgår i första hand av Dataskyddsreglering och annars av Avtalet om inte omständigheterna uppenbarligen talar för annan tolkningsordning.

3. Ansvar och instruktion

1. Kunden eller Kundens kund är personuppgiftsansvarig för samtliga Personuppgifter som Inleed Behandlar under Avtalet. Den Personuppgiftsansvarige ansvarar för att gällande Dataskyddsreglering följs. Oavsett Xxxxxxx roll, åtar sig Xxxxxx att informera Inleed om innehållet i Dataskyddsreglering i delar som är av relevans för Inleed för utförande av Behandlingen. Inleed accepterar att följa vid var tid gällande krav i Dataskyddsreglering som Xxxxxx informerat Inleed om och instruerat Inleed att följa.

2. Inleed och den eller de personer som arbetar under Inleeds ledning ska endast Behandla Personuppgifter i enlighet med de dokumenterade instruktioner som Xxxxxx ger Inleed och inte för andra ändamål än dem som Inleed anlitats för. Xxxxxx ska omedelbart informera Inleed om förändringar vilka påverkar Inleeds skyldigheter enligt detta Personuppgiftsbiträdesavtal. Xxxxxx ska även informera Inleed om tredje parts, däribland Tillsynsmyndighets och Registrerads, åtgärder med anledning av Behandlingen som Inleed utför under Personuppgiftsbiträdesavtalet.

3. Från och med Tillämpningsdagen får Behandling även ske om sådan Behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Inleed eller Underleverantör omfattas av.

Om Behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Inleed eller Underleverantör omfattas av ska Inleed eller Underleverantören informera Kunden om det rättsliga kravet innan Behandlingen, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt.

4. Inleed har rätt att under Personuppgiftsbiträdesavtalets giltighetstid och därefter lagra och behandla data som Behandlas under detta Personuppgiftsbiträdesavtal i någon form i aggregerat eller anonymiserat format, d.v.s. data som inte innehåller Personuppgifter.

4. Säkerhet m.m.

1. Inleed ska vidta de tekniska och organisatoriska åtgärder som krävs enligt Dataskyddsreglering för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken och för att skydda de Personuppgifter som Behandlas mot oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som Behandlas.

2. Inleed ska, från och med Tillämpningsdagen, bistå Kunden med att se till att skyldigheterna enligt Artiklarna 32-36 i Dataskyddsförordningen fullgörs, med beaktande av typen av Behandling och den information som Inleed har att tillgå.

5. Utlämnande av Personuppgifter och information

1. Om det till Inleed kommer in en begäran från Registrerad, Tillsynsmyndighet eller annan tredje man om att få ta del av uppgifter som Inleed Behandlar under detta Personuppgiftsbiträdesavtal ska Inleed vidarebefordra begäran till Kunden. Inleed, eller den som arbetar under Inleeds ledning, får inte lämna ut Personuppgifter eller annan information om Behandlingen av Personuppgifter utan instruktion om detta från Kunden.

2. Från och med Tillämpningsdagen ska Inleed genom tekniska och organisatoriska åtgärder, som med hänsyn till Behandlingens art är lämpliga, hjälpa Xxxxxx i den mån det är möjligt så att Kunden kan fullgöra sin skyldighet att svara på begäran från den Registrerade vid den Registrerades utövande av sina rättigheter enligt Dataskyddsreglering.

6. Kontakt med Tillsynsmyndigheten

1. Inleed ska informera Xxxxxx om eventuella kontakter från Tillsynsmyndigheten som rör Behandling av Personuppgifter. Inleed har inte rätt att företräda Xxxxxx eller Kundens kunder och får inte agera för deras räkning gentemot Tillsynsmyndighet.

7. Underleverantörer

1. Personuppgifter får Behandlas av en Underleverantör under förutsättning att Inleed ingår ett skriftligt

avtal (” Underbiträdesavtal”) där Underleverantören åläggs motsvarande skyldigheter som Inleed åläggs enligt detta Personuppgiftsbiträdesavtal. Innan Tillämpningsdagen ska sådant Underbiträdesavtal ingås för Kundens räkning eller, när Xxxxxxx kund är personuppgiftsansvarig, för dennes räkning. Inleed ska

från och med Tillämpningsdagen särskilt tillse att Underleverantör ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att Behandlingen uppfyller kraven i Dataskyddsförordningen.

2. Inleed ska på begäran från Xxxxxx informera Xxxxxx (och om så begärs, Xxxxxxx kunder som är personuppgiftsansvariga) om vilka Underleverantörer som anlitats av Inleed för att Behandla Personuppgifter enligt detta Personuppgiftsbiträdesavtal och Inleed ska på begäran från Kunden lämna den ytterligare specificerade information om sådan Behandling som Kunden eller Kundens kunder skäligen kan begära enligt Dataskyddsreglering.

3. Inleed åtar sig att informera Xxxxxx om eventuella planer på att anlita nya Underleverantörer eller ersätta Underleverantörer. Kunden har rätt att själv – i egenskap av personuppgiftsansvarig – eller för dess kunders räkning – i egenskap av personuppgiftsbiträde åt sina kunder, invända mot sådana förändringar. Sådan invändning får endast hänföra sig till objektiva grunder hänförliga till säkerheten av Behandlingen enligt Personuppgiftsbiträdesavtalet. Om Xxxxxx för egen eller sina kunders räkning gör en sådan befogad invändning har Inleed rätt till extra ersättning av Xxxxxx för de kostnader som Inleed drabbas av p.g.a. aktuell Underleverantör inte kan användas. Inleed har även rätt att säga upp Avtalet och/eller detta Personuppgiftsbiträdesavtal helt eller delvis, t.ex. vad avser viss tilläggstjänst med trettio

(30) dagars uppsägningstid.

8. Rätt till insyn

1. Med verkan från Tillämpningsdagen ska Inleed ge Xxxxxx tillgång till all information som krävs för att visa att de skyldigheter som följer av Artikel 28 i Dataskyddsförordningen har fullgjorts inom skälig tid efter sådan begäran framställts av Xxxxxx till Inleed. Detta medför bland annat att Xxxxxx och i tillämpliga fall Kundens kunder, i egenskap av personuppgiftsansvarig(a), rätt att vidta nödvändiga åtgärder för att verifiera att Inleed kan fullfölja sina åtaganden enligt detta Personuppgiftsbiträdesavtal och att Inleed faktiskt har vidtagit åtgärder för att säkerställa detta.

9. Överföring av Personuppgifter utanför EU/EES

1. Överföring av Personuppgifter av Inleed eller av Underleverantör till en plats utanför EES-området får vidtas förutsatt att vid var tid gällande krav för sådan överföring enligt Dataskyddsreglering uppfylls.

10. Sekretess

1. Om Xxxxxx och/eller Kundens personuppgiftsansvariga kunder omfattas av bestämmelserna i gällande Offentlighets- och sekretesslag ska Inleed iaktta bestämmelserna i sådan lag för sekretesskyddade uppgifter och information enligt nämnda lag i den mån Xxxxxx informerar Inleed härom. Inleed åtar sig att säkerställa att personer med behörighet att Behandla Personuppgifterna har åtagit sig att iaktta sekretess för sådan Behandling eller omfattas av en lämplig lagstadgad tystnadsplikt.

2. Åtagandet i punkt 10.1 ovan gäller inte information som Inleed föreläggs utge till myndighet eller enligt Dataskyddsreglering eller annan lagstadgad skyldighet.

3. Sekretessåtagandet gäller under Avtalets giltighetstid och därefter.

11. Dataportabilitet

1. Inleed ska från och med Tillämpningsdagen tillse att Kunden och/eller Kundens kunder (när dessa är personuppgiftsansvariga) kan uppfylla eventuell skyldighet att möjliggöra dataportabilitet avseende Personuppgifter som Inleed Behandlar under detta Personuppgiftsbiträdesavtal.

12. Ersättning

1. Inleed ska ha rätt till full ersättning från Kunden för samtligt arbete och samtliga kostnader som uppstår till följd av fullgörande av punkterna 8, 11 och 15.1 som beror på instruktioner för Behandlingen som Xxxxxx ger Inleed och som går utöver de funktioner och den säkerhetsnivå som följer av de tjänster som Inleed normalt erbjuder sina kunder, t.ex. vad gäller Inleeds xxxxxxxxxx och servrar, sådant som kräver att Inleed behöver göra specialanpassningar på beställning av Kunden. Inleed ska även ha rätt till ersättning för sitt arbete med anledning av sina åtaganden enligt punkten 5. Samtligt arbete som Inleed har rätt till ersättning för enligt denna punkt ska ersättas i enlighet med Xxxxxxx vid var tid gällande timpriser. Kostnader ska ersättas med Xxxxxxx faktiska kostnader.

13. Ansvar

1. Om Inleed, den som arbetar under Inleeds ledning eller av Inleed anlitat Underleverantör Behandlar Personuppgifter i strid med detta Personuppgiftsbiträdesavtal eller de lagenliga anvisningar som Xxxxxx har lämnat, ska Inleed med beaktande av de ansvarsbegränsningar som följer av Avtalet, ersätta Xxxxxx för den direkta skada som Kunden har orsakats på grund av den felaktiga Behandlingen.

2. Kunden ska hålla Inleed skadelös för samtliga direkta eller indirekta skador som Inleed orsakas genom överträdelse av Dataskyddsreglering som beror på otydliga, bristfälliga eller otillåtna instruktioner som Kunden har gett Inleed, bristfällig information från Kunden om vilka kategorier av uppgifter som Behandlas (t.ex. om känsliga Personuppgifter Behandlas utan att Kunden informerat Inleed om detta) eller annars beroende på omständighet på Kundens sida.

3. Inleeds ersättningsskyldigheter avseende krav och skador enligt denna punkt 13 gäller under förutsättning att i) Kunden utan onödigt dröjsmål skriftligen underrättar Inleed om krav som framställts mot Kunden; och ii) Kunden låter Inleed kontrollera försvaret av kravet och ensam fatta beslut om eventuell förlikning.

14. Avtalstid och åtgärder vid upphörande

1. Personuppgiftsbiträdesavtalet gäller från dess undertecknande och så länge som Inleed Behandlar Personuppgifter för Xxxxxxx eller dennes kunders räkning.

2. Inleed ska efter Avtalets eller Personuppgiftsbiträdesavtalets upphörande (beroende på vilket som inträffar först) återlämna eller radera de Personuppgifter som Kunden överlämnat eller som på annat sätt kommit Inleed tillhanda. Inleed ska radera eventuella befintliga kopior såvida inte lagring av Personuppgifterna krävs enligt unionsrätten eller medlemsstats nationella rätt.

15. Ändringar i Personuppgiftsbiträdesavtalet

1. Om Dataskyddsreglering ändras under tiden för Personuppgiftsbiträdesavtalet, eller om Tillsynsmyndighet utfärdar riktlinjer, beslut eller föreskrifter kring tillämpningen av Dataskyddsreglering som föranleder att detta Personuppgiftsbiträdesavtal inte uppfyller de krav som ställs på ett personuppgiftsbiträdesavtal och/eller underbiträdesavtal ska detta Personuppgiftsbiträdesavtal ändras för att tillgodose sådana nya eller tillkommande krav. Sådan ändring träder ikraft senast trettio (30) dagar efter att Kunden översänt ändringsmeddelande till Inleed, eller annars senast inom sådan tidsperiod som anges i Dataskyddsreglering, Tillsynsmyndighets riktlinjer, beslut eller föreskrifter.

2. Övriga ändringar av och tillägg till detta Personuppgiftsbiträdesavtal ska för att vara bindande upprättas skriftligen och vara behörigen undertecknade av Parterna.

16. Övrigt

1. I övrigt ska vad som sägs i Avtalet äga tillämpning även för Inleeds Behandling av Personuppgifter och åtagandena under detta Personuppgiftsbiträdesavtal. Vid oenighet mellan bestämmelserna i Avtalet och detta Personuppgiftsbiträdesavtal ska dock bestämmelserna i Personuppgiftsbiträdesavtalet äga företräde i förhållande till all Behandling av Personuppgifter och inget i Avtalet ska anses begränsa eller ändra åtaganden i detta Personuppgiftsbiträdesavtal i den mån att detta skulle medföra att någon Part inte uppfyller kraven enligt Dataskyddsreglering.

2. Svensk lag ska under alla omständigheter tillämpas på Inleeds Behandling av Personuppgifter enligt detta Personuppgiftsbiträdesavtal.

3. Tvister som uppstår i anledning av detta Personuppgiftsbiträdesavtal ska lösas i enlighet med tvistlösningsbestämmelsen i Avtalet.