PERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL
Detta personuppgiftsbiträdesavtal (”Biträdesavtalet”) har träffats mellan följande parter (nedan benämnda ”Parterna”):
A. Lövestad Larmcentral AB, xxx.xx 556583-1285, (”Personuppgiftsbiträdet”)
B. , xxx.xx , (”Personuppgiftsansvarig”)
1. Bakgrund
1.1. Detta Biträdesavtal utgör en bilaga till Avtalet.
1.2. Personuppgiftsbiträdet (A) kommer vid fullföljandet av Avtalet att behandla personuppgifter för den Personuppgiftsansvariges (B) räkning.
1.3. Den Personuppgiftsansvarige (B) är ansvarig för personuppgiftsbehandlingen.
1.4. Syftet med Biträdesavtalet är att Parterna ska uppfylla vid var tid gällande regler avseende dataskydd.
2. Definitioner
”Allmänna Dataskyddsförordningen” innebär Europaparlamentets och Rådets Förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG.
”Behandling” innebär varje åtgärd eller kombination av åtgärder som vidtas i fråga om Personuppgifter, vare sig det sker på automatisk väg eller inte, exempelvis insamling, registrering, lagring, bearbetning, användning eller spridning.
”Dataskyddsregler” innebär vid var tid gällande lag eller förordning som ska tillämpas på Behandling av Personuppgifter, vilket från och med den 25 maj 2018 innefattar den Allmänna Dataskyddsförordningen samt tillämplig lokal anpassning och reglering avseende dataskydd.
”Personuppgifter” innebär all typ av information som direkt eller indirekt kan hänföras till en fysisk person som är i livet och som Personuppgiftsbiträdet behandlar för den Personuppgiftsansvariges räkning under detta Biträdesavtal. Även bilder på (foton) och ljudupptagningar från individer som behandlas elektroniskt täcks av definitionen Personuppgifter. Andra elektroniska identiteter, exempelvis IP-nummer, utgör personuppgifter om de kan hänföras till fysiska personer.
”personuppgiftsansvarig” har betydelsen som stadgas i den Allmänna Dataskyddsförordningen.
”personuppgiftsbiträde” har betydelsen som stadgas i den Allmänna Dataskyddsförordningen.
”Personuppgiftsincident” innebär en incident som kan leda till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som behandlas eller har behandlats.
”Registrerad” innebär den fysiska person som en Personuppgift avser.
”Tillsynsmyndighet” innebär den eller de tillsynsmyndigheter som anses vara berörd tillsynsmyndighet enligt gällande Dataskyddsregler, t.ex. Datainspektionen.
”Underbiträde” innebär den som behandlar Personuppgifter för Personuppgiftsbiträdets räkning.
Eventuella övriga uttryck eller definitioner med stor begynnelsebokstav som används i detta Biträdesavtal ska, om inget annat uttryckligen anges, ha den innebörd som framgår i första hand av
Dataskyddsregler och annars av Avtalet.
3. De Personuppgifter som behandlas av Personuppgiftsbiträdet på uppdrag av den Personuppgiftsansvarige beskrivs i Bilaga 1A (Instruktion om hantering av Personuppgifter).
3.1. Den Personuppgiftsansvarige är personuppgiftsansvarig för samtliga Personuppgifter som Personuppgiftsbiträdet behandlar för den Personuppgiftsansvariges räkning under Avtalet. Den Personuppgiftsansvarige är ansvarig för att Behandling sker i enlighet med Dataskyddsregler i den omfattning dessa gäller den Personuppgiftsansvarige.
3.2. Personuppgiftsbiträdet ska (i) uppfylla de vid varje tillfälle skriftliga och uttryckliga instruktioner eller direktiv från den Personuppgiftsansvarige avseende Behandling av Personuppgifter för den Personuppgiftsansvarige; och (ii) endast behandla Personuppgifter (a) i enlighet med de instruktioner som den Personuppgiftsansvarige har givit vid varje tillfälle; (b) i den omfattning Behandlingen är nödvändig för att uppfylla Avtalet; och (c) om Behandlingen krävs för att uppfylla gällande rätt. I ett sådant fall ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om det rättsliga kravet innan Personuppgifterna behandlas, såvida inte sådan informationsspridning är förbjuden med hänsyn till ett viktigt allmänintresse enligt gällande rättsregler. Personuppgiftsbiträdet ska vidare tillse att den eller de personer som behandlar Personuppgifter för Personuppgiftsbiträdet (inklusive dess anställda) behandlar sådana Personuppgifter i enlighet med denna punkt 3.3.
3.3. Utöver de särskilda instruktioner som framgår av Bilaga 1A ska detta Biträdesavtal och Avtalet i övrigt anses utgöra den Personuppgiftsansvarige fullständiga initiala instruktioner till Personuppgiftsbiträdet avseende Behandling av Personuppgifter.
3.4. Den Personuppgiftsansvarige ska omedelbart informera Personuppgiftsbiträdet om förändringar vilka påverkar Personuppgiftsbiträdets skyldigheter enligt detta Biträdesavtal.
4. Säkerhet m.m.
4.1. Personuppgiftsbiträdet ska vidta alla tekniska och organisatoriska åtgärder som krävs för att uppfylla gällande Dataskyddsregler med syftet att säkerställa en säkerhetsnivå som korrelerar med risken med Behandlingen och skydda de Personuppgifter som Personuppgiftsbiträdet behandlar från oavsiktlig eller otillåten förstörelse, förlust eller ändring, eller obehörigt yppande av eller tillgång till de behandlade Personuppgifterna. Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige i dennes uppfyllande av skyldigheterna enligt artiklarna 32 till 36 i den Allmänna Dataskyddsförordningen, med beaktande av typen av Personuppgiftsbehandling och informationen som är tillgänglig för Personuppgiftsbiträdet.
4.2. I de fall Personuppgiftsbiträdet misstänker eller upptäcker en Personuppgiftsincident ska Personuppgiftsbiträdet omedelbart (i) undersöka Personuppgiftsincidenten och vidta lämpliga åtgärder för att åtgärda Personuppgiftsincidenten och förhindra en upprepning; och (ii) tillhandahålla den Personuppgiftsansvarige en beskrivning av Personuppgiftsincidenten utan dröjsmål, inte senare än 24 timmar från det att Personuppgiftsbiträdet fick kännedom om Personuppgiftsincidenten. I sådan utsträckning det inte är möjligt att tillhandahålla informationen samlat, får den tillhandahållas när den finns tillgänglig utan dröjsmål.
5. Utlämnande av Personuppgifter och information
5.1. Personuppgiftsbiträdet ska utan dröjsmål vidarebefordra krav från den Registrerade, Tillsynsmyndigheten eller annan tredje part som kräver informationsmottagande avseende Personuppgifter som Personuppgiftsbiträdet behandlar med instruktion från till den Personuppgiftsansvarige. Personuppgiftsbiträdet ska inte yppa, och ska tillse att person som behandlar Personuppgifter för Personuppgiftsbiträdets räkning inte yppar Personuppgifter eller information om Personuppgiftsbehandlingen utan den Personuppgiftsansvariges uttryckliga instruktion eller i enlighet med Biträdesavtalet, om detta inte är ett krav enligt gällande Dataskyddsregler.
5.2. Personuppgiftsbiträdet ska genom tekniska och organisatoriska åtgärder, som med hänsyn till Behandlingens art är lämpliga, hjälpa den Personuppgiftsansvarige i den mån det är möjligt så att den Personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran från den Registrerade vid den Registrerades utövande av sina rättigheter enligt gällande Dataskyddsregler.
5.3. Personuppgiftsbiträdet ska utan dröjsmål informera den Personuppgiftsansvarige om all korrespondens med Tillsynsmyndigheten som avser Personuppgiftsbehandling för den Personuppgiftsansvariges räkning. Personuppgiftsbiträdet har inte behörighet att företräda den Personuppgiftsansvarige gentemot Tillsynsmyndigheten.
6. Underbiträden
6.1. Den Personuppgiftsansvarige ger härmed Personuppgiftsbiträdet ett allmänt förhandstillstånd att anlita Underbiträden. Personuppgifter får Behandlas av ett Underbiträde under förutsättning att Personuppgiftsbiträdet ingår ett skriftligt avtal, eller annan rättsakt enligt unionsrätten, där Underbiträdet åläggs samma skyldigheter i fråga om dataskydd som Personuppgiftsbiträdet åläggs enligt detta Biträdesavtal. Personuppgiftsbiträdet ska särskilt tillse att artikel 28.2 och 28.4 i den Allmänna Dataskyddsförordningen beaktas vid anlitande av Underbiträden samt tillse att Underbiträden ger tillräckliga garantier avseende genomförande och implementering av lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att Behandlingen uppfyller kraven i gällande Dataskyddsregler.
6.2. Om ett Underbiträde inte fullgör sina skyldigheter i fråga om dataskydd ska Personuppgiftsbiträdet vara ansvarigt för utförandet av Underbiträdets skyldigheter i relation till den Personuppgiftsansvarige.
7. Rätt till insyn
7.1. Personuppgiftsbiträdet ska ge den Personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som följer av detta Biträdesavtal fullgörs av Personuppgiftsbiträdet samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den Personuppgiftsansvarige eller av en annan oberoende revisor som har bemyndigats av den Personuppgiftsansvarige och som Personuppgiftsbiträdet skäligen kan acceptera. Den Personuppgiftsansvarige ska stå för eventuella kostnader som uppstår för Personuppgfitsbiträdet i samband med sådana granskningar och inspektioner.
8. Överföring av Personuppgifter utanför EU/EES
8.1. Personuppgiftsbiträdet och Underbiträde får överföra Personuppgifter till en plats utanför EU/EES-området förutsatt att vid var tid gällande krav för sådan överföring enligt gällande Dataskyddsregler uppfylls.
9. Sekretess
9.2. Åtagandet i punkt 10.1 ovan gäller inte information som Personuppgiftsbiträdet föreläggs utge till myndighet, enligt Dataskyddsregler eller annan lagstadgad skyldighet.
9.3. Sekretessåtagandet gäller under Biträdesavtalets giltighetstid och för obegränsad tid därefter.
10. Ersättning
10.1. Personuppgiftsbiträdet ska ha rätt till skälig ersättning av den Personuppgiftsansvarige för allt arbete och samtliga kostnader som uppkommer i anledning av detta Biträdesavtal och som inte följer av de tjänster som Personuppgiftsbiträdet ska tillhandahålla enligt Avtalet. Personuppgiftsbiträdet ska även ha rätt till ersättning för kostnader som uppkommer till följd av instruktioner som inte är tydligt uttryckta i instruktionen från den Personuppgiftsansvarige till Personuppgiftsbiträdet.
11.1. Om Personuppgiftsbiträdet, person som arbetar under Personuppgiftsbiträdets ledning eller av Personuppgiftsbiträdet anlitat Underbiträde behandlar Personuppgifter i strid med detta Biträdesavtal eller gällande Dataskyddsregler, ska Personuppgiftsbiträdet med beaktande av de ansvarsbegränsningar som följer av Avtalet, ersätta den Personuppgiftsansvarige för den direkta skada som den Personuppgiftsansvarige har orsakats på grund av den felaktiga Behandlingen. Oaktat detta ska Personuppgiftsbiträdets ansvar enligt denna punkt 12.1 alltid vara begränsat till ett belopp om 200 000 kronor.
11.3. Personuppgiftsbiträdets skadeståndsskyldighet enligt punkt 12.2, vilket har uppkommit i samband med tredje parts krav mot den Personuppgiftsansvarige, eller straffavgift som ålagts den Personuppgiftsansvarige, ska endast gälla om den Personuppgiftsansvarige utan dröjsmål skriftligt informerar Personuppgiftsbiträdet om sådana krav som riktats mot den Personuppgiftsansvarige. Den Personuppgiftsansvarige ska överväga Personuppgiftsbiträdets förslag för hantering av kravet. Vidare ska Parterna vidta alla skäliga åtgärder för att begränsa potentiell förlust i samband med Behandlingen av Personuppgifter.
11.4. Den Personuppgiftsansvarige ska hålla Personuppgiftsbiträdet skadeslös för samtliga direkta eller indirekta skador som Personuppgiftsbiträdet orsakas genom överträdelse av gällande Dataskyddsregler som beror på otydliga, bristfälliga eller otillåtna instruktioner från den Personuppgiftsansvarige, bristfällig information från den Personuppgiftsansvarige om vilka kategorier av personuppgifter som behandlas eller annars beroende på omständighet på den Personuppgiftsansvariges sida.
11.5. Denna punkt 12 ska gälla även efter Biträdesavtalets upphörande i enlighet med punkt 13.1 nedan.
12. Avtalstid och åtgärder vid upphörande
12.2. När Avtalet eller Biträdesavtalet upphör (beroende på vilket som inträffar först) ska Personuppgiftsbiträdet radera eller återlämna alla Personuppgifter till den Personuppgiftsansvarige. Personuppgiftsbiträdet ska radera eventuella befintliga kopior såvida inte lagring av Personuppgifterna krävs enligt gällande rätt.
13. Ändringar av och tillägg till Biträdesavtalet
13.1. Om gällande Dataskyddsregler ändras under tiden för Biträdesavtalets giltighetstid, eller om Tillsynsmyndighet utfärdar riktlinjer, beslut eller föreskrifter kring tillämpningen av Dataskyddsregler som föranleder att detta Biträdesavtal inte uppfyller de krav som ställs på ett personuppgiftsbiträdesavtal ska detta Biträdesavtal ändras för att tillgodose sådana nya och tillkommande krav. Parterna ska ömsesidigt och skriftligen enas om sådan ändring.
13.2. Övriga ändringar av och tillägg till detta Biträdesavtal ska för att vara bindande upprättas skriftligen och vara behörigen undertecknade av parterna.
14. Överlåtelse av Biträdesavtalet
14.1. Detta Biträdesavtal får inte överlåtas utan den andra partens skriftliga godkännande.
15. Övrigt
15.1. Detta Biträdesavtal ersätter eventuella tidigare personuppgiftsbiträdesavtal mellan parterna och har företräde framför Avtalet vad gäller föremålet för detta Biträdesavtal, oavsett vad som anges i Avtalet.
Detta Biträdesavtal har upprättats i två original varav Parterna tagit varsitt.
Ort och datum:
Namnförtydligande:
Namnförtydligande:
15.2. Svensk lag ska tillämpas på Personuppgiftsbiträdets Behandling av Personuppgifter enligt detta Biträdesavtal. Tvister som uppstår i anledning av detta Biträdesavtal ska lösas i enlighet med tvistlösningsbestämmelsen i Avtalet.
Bilaga 1A – Instruktion om hantering av Personuppgifter
Följande instruktioner gäller för hantering av de Personuppgifter som den Personuppgiftsansvarige är ansvarig för. Utöver vad som redan framgår av detta Biträdesavtal ska Personuppgiftsbiträdet följa nedanstående instruktioner från den Personuppgiftsansvarige. Personuppgiftsbiträdet förbinder sig att endast behandla Personuppgifter för den Personuppgiftsansvariges räkning i enlighet med den Personuppgiftsansvariges instruktioner och gällande Dataskyddsregler. Instruktionerna som gäller vid Avtalets tecknande framgår i denna bilaga. Om Personuppgiftsbiträdet saknar nödvändiga instruktioner för att fullgöra sina förpliktelser gentemot en Registrerad eller den Personuppgiftsansvarige, ska Personuppgiftsbiträdet skriftligen informera om bristen och invänta ytterligare instruktioner.
1. Syftet med Behandlingen
1.1. Om inte annat anges är syftet med Behandlingen att Personuppgiftsbiträdet ska kunna fullgöra sina förpliktelser enligt Avtalet och tillhandahålla tjänsterna i enlighet med Avtalets bestämmelser.
2. Personuppgiftsbehandling
2.1. Utöver vad som är särskilt föreskrivet i gällande Dataskyddsregler avseende hur Behandling av Personuppgifter ska utföras av larm- och övervakningsföretag, får följande kategorier av personuppgiftsbehandlingar ske för den Personuppgiftsansvariges räkning:
a) Larmcentralens tjänster
Personuppgiftsbiträdet får behandla personuppgifter med syfte att:
i. upprätta larmöverföring;
ii. hantera larmmottagning;
iii. förmedla tjänster;
iv. utföra åtgärd;
v. genomföra behörighetskontroll;
vi. upprätthålla kontaktlistor; och
vii. rapportera utförda åtgärder i kundrapporter.
b)Kamerabevakning
Personuppgiftsbiträdet får behandla personuppgifter med syfte att:
i. förmedla larm;
ii. kunna utföra åtgärd;
iii. hantera utlämnande av bildmaterial till den Personuppgiftsansvarige på dennes begäran; och
iv. i övrigt behandla Personuppgifter inom området för Larmcentralens tjänster.
2.2. Om inget annat anges ska Personuppgiftsbiträdet utgå från att de personuppgifter som behandlas under a) ovan är (i) namn; (ii) telefonnummer; (iii) e-post; (iv) adressuppgift; (v) IP- adress; och (vi) annan liknande relaterad information. Om inget annat anges ska Personuppgiftsbiträdet utgå från att de personuppgifter som behandlas under b) ovan är bildmaterial.