PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL

Detta personuppgiftsbiträdesavtal (”Avtalet”) har ingåtts mellan

(1) [BRFxxx], [xxx.xx], [adress], (”Personuppgiftsansvarig”), och

(2) [namn], [xxx.xx], [adress], (”Biträdet”).

Personuppgiftsansvarig och Biträdet är nedan var för sig benämnda ”Part” samt gemensamt ”Parterna”.

1 BAKGRUND

1.1 Biträdet ska tillhandahålla Personuppgiftsansvarig vissa tjänster enligt det tjänsteavtal som Parterna ingått enligt Bilaga 1.

1.2 För att Biträdet ska kunna utföra Uppdraget (enligt definition nedan) behöver Biträdet behandla vissa Personuppgifter (enligt definition nedan) för Personuppgiftsansvariges räkning.

1.3 Biträdet kommer, för den behandling av Personuppgifterna som följer av Uppdraget, att agera personuppgiftsbiträde åt Personuppgiftsansvarig för behandlingen av Personuppgifterna enligt Uppdraget.

1.4 Mot bakgrund av ovanstående har Parterna ingått detta Avtal.

2 DEFINITIONER

I detta Avtal används följande definierade termer med nedan angivna betydelser. ”Dataskyddsförordningen”

betyder Europaparlamentets och Rådets Förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG.

”Personuppgifter”

betyder sådana personuppgifter som Biträdet behandlar för Personuppgiftsansvarigs räkning i enlighet med detta Avtal. Personuppgifter är sådana uppgifter som utgör personuppgifter enligt vid var tid gällande Personuppgiftslagstiftning, vilket vid Avtalets ingående är, all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

”Personuppgiftslagstiftning”

betyder vid var tid gällande lag eller förordning avseende behandling av Personuppgifter, innefattande men inte begränsat till Personuppgiftslagen (1998:204) och från och med den dag den ska tillämpas, Europaparlamentets och Rådets Förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med

avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG, annan unionsrätt avseende behandling av personuppgifter samt Tillsynsmyndighetens vid var tid gällande beslut, råd och rekommendationer.

”Registrerad”

betyder den fysiska person som en Personuppgift avser.

”Tillsynsmyndigheten”

betyder den eller de myndigheter som utövar tillsyn avseende behandling av personuppgifter under Personuppgiftslagstiftningen. Vid tidpunkten för ingående av detta Avtal är Datainspektionen den myndighet som utövar sådan tillsyn i Sverige.

”Tjänsteavtalet”

betyder det avtal som Parterna har ingått avseende Uppdraget och som återfinns i Bilaga 1.

”Uppdraget”

betyder de tjänster som Biträdet ska utföra i enlighet med Tjänsteavtalet.

3 BITRÄDETS ÅTAGANDEN

3.1 Biträdet ska endast behandla Personuppgifter i den utsträckning som det är nödvändigt för utförandet av Uppdraget, och endast i enlighet med Personuppgiftsansvariges vid var tid lämnade skriftliga instruktioner. Biträdet får aldrig behandla Personuppgifter för annat ändamål än de som Personuppgiftsansvarig gett instruktioner om.

3.2 De instruktioner som Personuppgiftsansvarig lämnat till Biträdet vid ingåendet av Tjänsteavtalet, framgår av Bilaga 2. Personuppgiftsansvarig har rätt att justera Bilaga 2, och lämna ändrade eller kompletterande instruktioner till Biträdet. Om Biträdet bedömer att det saknas instruktioner som är nödvändiga för att fullgöra Uppdraget eller sina åtaganden enligt detta Avtal, ska Biträdet informera Personuppgiftsansvarig om sin inställning och invänta Personuppgiftsansvariges vidare instruktioner.

3.3 För det fall Biträdet behandlar Personuppgifter utöver eller i strid med Personuppgiftsansvariges instruktioner, på grund av krav enligt Personuppgiftslagstiftning, åtar sig Biträdet att informera Personuppgiftsansvarig om det rättsliga kravet, innan Personuppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse.

3.4 Biträdet har en skyldighet att omedelbart informera Personuppgiftsansvarig om Biträdet anser att en av Personuppgiftsansvarig lämnad instruktion strider mot gällande Personuppgiftslagstiftning.

3.5 För det fall myndighet, Registrerad eller annan tredje man begär information från Biträdet som rör behandling av Personuppgifterna, ska Biträdet så snart som möjligt och utan oskäligt dröjsmål hänvisa till Personuppgiftsansvarig. Biträdet får endast lämna ut Personuppgifter eller information om behandling av Personuppgifter enligt instruktion från Personuppgiftsansvarig eller om Biträdet är skyldig att lämna ut aktuell uppgift enligt lag, förordning, domstols eller annan myndighets beslut eller tvingande börsreglering.

3.6 Biträdet ska så snart som möjligt och utan oskäligt dröjsmål informera Personuppgiftsansvarig om oavsiktlig eller olaglig förstöring, förlust eller ändring av, eller obehörigt röjande eller åtkomst till, Personuppgifterna, eller försök där till. I sådan händelse ska Biträdet:

(i) förse Personuppgiftsansvarig med en detaljerad redogörelse av vad som har hänt;

(ii) i samråd med Personuppgiftsansvarig och, i den mån kostnaderna för detta inte redan omfattas av Xxxxxxx eller Tjänsteavtalet, på Personuppgiftsansvarigs bekostnad vidta alla rimliga åtgärder för att begränsa konsekvenserna av den uppkomna situationen; och

(iii) så snart som möjligt efter att den uppkomna situationen har hanterats informera Personuppgiftsansvarig om de åtgärder som ska vidtas för att undvika liknande situationer under Avtalstiden (för definition se punkt 9 nedan).

3.7 Biträdet ska utan dröjsmål informera Personuppgiftsansvarig för det fall Tillsynsmyndigheten kontaktar Biträdet i ärende som rör eller kan ha betydelse för Biträdets behandling av Personuppgifterna.

3.8 Till undvikande av missförstånd har Biträdet inte rätt att företräda Personuppgiftsansvarig gentemot tredje man i fråga om behandling av Personuppgifterna annat än vad som följer av detta Avtal eller Personuppgiftsansvariges uttryckliga instruktioner.

3.9 Biträdet åtar sig att föra register över alla kategorier av behandling som utförts för den Personuppgiftsansvariges räkning i enlighet med Artikel 30.2 a)-d) i Dataskyddsförordningen, vidta alla åtgärder som krävs enligt Artikel 32 i Dataskyddsförordningen, samt bistå den Personuppgiftsansvarige med att se till att skyldigheterna enligt Artiklarna 32-36 i Dataskyddsförordningen fullgörs.

3.10 Biträdet får inte i strid med tillämplig lag eller förordning överföra Personuppgifterna till tredje land.

3.11 Biträdet åtar sig att följa vid var tid gällande Personuppgiftslagstiftning, beakta Tillsynsmyndighetens råd och rekommendationer samt hålla sig uppdaterad om Personuppgiftslagstiftning. Biträdet åtar sig också att samarbete med Tillsynsmyndigheten vid utövande av sin tillsyn avseende behandling av personuppgifter.

3.12 Biträdet åtar sig att se till att anställda och andra personer som ges åtkomst till Personuppgifterna erhåller information om hur Personuppgifterna får behandlas.

4 TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER

4.1 Biträdet åtar sig att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att Biträdet kan leva upp till sina åtaganden enligt detta Avtal.

4.2 Biträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda Personuppgifterna. Till exempel ska Biträdet begränsa åtkomsten till

Personuppgifterna till de personer som behöver åtkomst för att fullgöra sina arbetsuppgifter avseende Uppdraget.

4.3 De åtgärder som Biträdet ska vidta under punkt 4.2 ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det kostar att genomföra åtgärderna, de särskilda risker som finns med behandlingen av Personuppgifterna och hur känsliga Personuppgifterna är.

4.4 Biträdet ska efter begäran från Personuppgiftsansvarig tillhandahålla en förteckning över de tekniska och organisatoriska åtgärder som ska vidtas eller har vidtagits.

4.5 Biträdets ska behandla Personuppgifter på sådant sätt att all behandling går att spåra och följa upp.

4.6 Biträdet ska bistå Personuppgiftsansvarig genom lämpliga tekniska och organisatoriska åtgärder, i din mån detta är möjligt, så att Personuppgiftsvarig kan fullgöra sina skyldigheter att svara på begäran om utövande av den Registrerades rättigheter enligt Kapitel III i Dataskyddsförordningen.

5 KONTROLL

5.1 Personuppgiftsansvarig har rätt att själv eller genom en av Personuppgiftsansvarig utsedd tredje man, kontrollera att Biträdet följer vad som anges i detta Avtal och i de instruktioner som utfärdats av Personuppgiftsansvarig. Biträdet ska ge Personuppgiftsansvarig eller av Personuppgiftsansvarig utsedd tredje man tillgång till Biträdets lokaler där Personuppgifterna behandlas och ska lämna den assistans som behövs för utförandet av sådan kontroll, och tillhandahålla sådan dokumentation och annan information som Personuppgiftsansvarig behöver för att kunna avgöra om Biträdet följer detta Avtal, givna instruktioner och tillämplig Personuppgiftslagstiftning och att Biträdet lever upp till sina skyldigheter enligt Artikeln 28 i Dataskyddsförordningen.

5.2 Biträdet har rätt till skälig ersättning för den assistans som krävs enligt punkt 5.1, såvida inte Personuppgiftsansvarigs kontroll visar att Biträdet har brutit mot detta Avtal, då Biträdet istället ska ersätta Personuppgiftsansvarig för dennes kostnader i anledning av kontrollen.

6 ANSVAR

Biträdet ska hålla Personuppgiftsansvarig skadeslös i händelse av att Personuppgiftsansvarig förorsakas skada som är hänförlig till Biträdets behandling av Personuppgifterna i strid med instruktion från Personuppgiftsansvarig eller detta Avtal. Biträdet är skyldig att hålla försäkringar som till betryggande belopp täcker det ansvar som kan komma att utkrävas enligt Avtalet.

7 UNDERBITRÄDEN

7.1 Biträdet äger inte rätt att anlita underbiträden utan Personuppgiftsansvariges föregående skriftliga medgivande.

7.2 För det fall Biträdet anlitar underbiträde efter att ha inhämtat Personuppgiftsansvariges föregående skriftliga samtycke ansvarar Biträdet för arbete utfört av underbiträdet och eventuell ersättning för underbiträdes arbete ska bekostas av Biträdet om inget annat avtalats mellan Parterna.

7.3 För det fall Biträdet anlitar underbiträde efter att ha inhämtat Personuppgiftsansvariges föregående skriftliga samtycke, får Personuppgifter endas behandlas av sådant underbiträde under förutsättning att Biträdet ingå ett skriftligt avtal med underbiträdet, där underbiträdet åläggs samma skyldigheter som Biträdet åläggs enligt detta Avtal och garanterar att vidta lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen av Personuppgifterna står i överensstämmelse med gällande Personuppgiftslagstiftning.

7.4 Biträdet åtar sig att i förväg informera Personuppgiftsansvarig för det fall Biträdet avser att byta underbiträde eller ingå avtal med nytt underbiträde och ge Personuppgiftsansvarig möjlighet att inom två veckor invända mot anlitandet av sådant nytt underbiträde.

7.5 Biträdet ska på Personuppgiftsansvarigs begäran, omgående och skriftligen informera Personuppgiftsansvarig om sådana underbiträden som Biträdet ingått avtal med enligt punkten 7.3 ovan, samt förse Personuppgiftsansvarig med sådan information som Personuppgiftsansvarig frågar efter, och ge Personuppgiftsansvarig möjlighet att inom två veckor invända mot anlitandet av sådant underbiträde.

7.6 För det fall ett underbiträde inte fullgör sina skyldigheter enligt sådant avtal som ingåtts med biträdet i enlighet med punkten 7.3 ovan, är Biträdet fullt ansvarig gentemot Personuppgiftsansvarig för utförandet av underbiträdets skyldigheter.

8 SEKRETESS

8.1 Biträdet förbinder sig att inte lämna ut eller röja Personuppgifterna eller andra uppgifter som Biträdet erhållit till följd av detta Avtal till tredje man som inte omfattas av samma skyldigheter som Biträdet enligt detta Avtal.

8.2 Biträdet ska se till att anställda och andra personer som ges åtkomst till Personuppgifterna omfattas av tystnadsplikt i enlighet med detta Avtal.

8.3 Åtagandena enligt denna punkt 8 omfattar inte uppgifter som redan var kända för Biträdet vid tidpunkt för mottagandet, uppgifter som lämnats ut enligt Personuppgiftsansvariges instruktion eller som Biträdet är skyldigt att avslöja enligt lag, förordning, domstols eller annan myndighets beslut eller börsreglering. Biträdet ska omgående och skriftligen meddela Personuppgiftsansvarig för det fall Biträdet åläggs att lämna ut sådan information.

8.4 Sekretessåtagandet i denna punkt 8 gäller även efter att detta Avtal har upphört att gälla.

9 AVTALSTID OCH UPPSÄGNING

9.1 Detta Avtal ska börja gälla när det undertecknats av båda Parterna och gäller så länge Tjänsteavtalet är i kraft mellan Parterna. Vid tidpunkten för Tjänsteavtalets upphörande, oavsett anledning, upphör således detta Avtal att gälla mellan Parterna utan föregående meddelande.

9.2 Personuppgiftsansvarig har även rätt att säga upp detta Avtal till omedelbart upphörande om Biträdet i väsentlig mån underlåtit att fullgöra sina förpliktelser enligt detta Avtal eller underlåtit att fullgöra sina förpliktelser enligt detta Avtal och inte, inom 30 dagar efter skriftlig anmodan därom (innefattande redogörelse för avtalsbrottet och med hänvisning till denna punkt), har vidtagit rättelse om avtalsbrottet är möjligt att rätta.

10 FÖLJDER AV AVTALETS UPPHÖRANDE

Vid Avtalets upphörande, oavsett anledning därtill, ska Biträdet i enlighet med Personuppgiftsansvarigs instruktion, radera alternativt återlämna alla Personuppgifter till Personuppgiftsansvarig, eller den som Personuppgiftsansvarig anvisar och därefter radera befintliga kopior, såvida inte lagring av Personuppgifterna krävs enligt Personuppgiftslagstiftning.

11 ÖVERLÅTELSE

Biträdet får varken överlåta eller upplåta sina rättigheter eller skyldigheter enligt detta Avtal utan Personuppgiftsansvariges föregående skriftliga medgivande.

Personuppgiftsansvarig får överlåta eller upplåta sina rättigheter och/eller skyldigheter enligt detta Avtal till sådan juridisk person som direkt eller indirekt kontrollerar eller kontrolleras av Personuppgiftsansvarig.

12 ÄNDRINGAR OCH TILLÄGG

Eventuella ändringar och/eller tillägg till detta Avtal ska, för att vara bindande, avfattas skriftligen och vara undertecknade av behöriga ställföreträdare för båda Parterna.

13 FULLSTÄNDIG REGLERING

Avtalet utgör Parternas fullständiga reglering av alla frågor som Avtalet berör. Alla skriftliga eller muntliga åtaganden och utfästelser som föregått Avtalet ersätts av innehållet i detta Avtal.

14 MEDDELANDEN

14.1 Meddelanden som enligt Avtalet ska ske skriftligen, eller som Part annars anser sig behöva styrka motpartens mottagande av, ska ske till Parternas nedan angivna eller senare ändrade adresser.

Till Personuppgiftsansvarig: [BRFxxx] AB

[utdelningsadress] Adress: [**]

E-post: [**]

Till Biträdet: [**] AB

[utdelningsadress] Adress: [**]

E-post: [**]

14.2 Meddelande ska anses ha kommit mottagande Part tillhanda:

(a) om lämnat med bud: vid avlämnandet;

(b) om avsänt med rekommenderat brev: två vardagar efter avlämnande för postbefordran;

(c) om avsänt med e-post: vid tiden för avsändandet, om mottagande bekräftas av mottagande Part eller om avsändande Part även sänt meddelandet med rekommenderat brev samma dag.

14.3 Skriftlig bekräftelse som visar att meddelande lämnats med bud eller avsänts med rekommenderat brev ska utgöra bevis för mottagande. Ändring av adress ska meddelas motparten på i denna punkt 14 föreskrivet sätt.

15 BESTÄMMELSES OGILTIGHET

Skulle någon bestämmelse i Avtalet eller del därav befinnas ogiltig, ska detta inte innebära att Avtalet i dess helhet är ogiltigt utan ska, i den mån ogiltigheten väsentligen påverkar Parts utbyte av eller prestation enligt Avtalet, skälig jämkning i Avtalet ske.

16 TVISTER

Vid tolkningen av detta Avtal ska svensk materiell rätt tillämpas och tvist prövas enligt ordningen som framgår av Tjänsteavtalet.

Detta Avtal har upprättats i två (2) likalydande exemplar varav Parterna har tagit var sitt.

Plats: Datum:

Plats: Datum:

[HSBxxx] [biträdets namn]

Underskrift Underskrift

Namnförtydligande Namnförtydligande

BILAGA 2

INSTRUKTION TILL PERSONUPPGIFTSBITRÄDE

(i) Föremålet för behandlingen

Uppdraget innebär att Biträdet ska tillhandahålla [beskriv uppdraget i korthet, t.ex. lagringstjänster/lönehanteringssystem, tjänster avseende].

(ii) Behandlingens varaktighet

Biträdet ska enbart behandla personuppgifterna i enlighet med Avtalet under den tid som det underliggande Tjänsteavtalet gäller eller enligt sådan eventuell tidigare tidpunkt som Personuppgiftsansvarig meddelar Biträdet.

Eventuell annan lagringstid:...................................

(iii) Behandlingens art

Behandlingen utgörs av [ange på vilket sätt personuppgifterna ska behandlas, t.ex. lagring/registrering/utlämning av personuppgifter] i enlighet med Tjänsteavtalet.

(iv) Behandlingens ändamål

Ändamålet med Biträdets behandling av personuppgifter är att uppfylla Personuppgiftsansvarigs behov av [förklara varför biträdet behandlar personuppgifterna, t.ex. lagring, lönehantering, marknadsföringstjänster].

(v) Kategorier av registrerade

Registrerade vars personuppgifter behandlas består av följande grupper: Anställda/konsulter el. dyl.

Medlemmar/boende/hyresgäster Styrelseledamöter

Företrädare för kunder, leverantörer, myndigheter och samarbetspartners Hälso- och sjukvårdsregistrerade

Barn

Annan kategori:

(vi) Typen av personuppgifter

Anställnings- och personalinformation (HR). Exempelvis namn, adress, ålder, kön, personnummer, CV, medarbetarundersökningar, bankuppgifter, löner och förmåner, sjukfrånvaro, utvärderingar m.m.

Medlemmars uppgifter. Exempelvis namn, adress, telefonnummer, personnummer, ekonomisk information, lägenhetsinformation m.m.

Hyresgästers uppgifter. Exempelvis namn, adress, telefonnummer, personnummer, ekonomisk information, m.m.

Företagsrepresentanters uppgifter. Exempelvis företagsrepresentanters namn, e- post, telefonnummer.

Hälso- och sjukvårdsregistrerade. Exempelvis känsliga uppgifter om hälsa.

Känsliga uppgifter. Exempelvis avseende ras/etniskt ursprung, politiska åsikter, religiös/filosofisk övertygelse, medlem i fackförening, genetiska/biometriska uppgifter för att entydigt identifiera en person, hälsa, sexualliv/sexuell läggning.

Uppgifter om lagöverträdelser. Annan typ:     

Övrig notering: