PERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL
Vid nyttjande av Yamito ABs, org. nr. 556643-7504 (”Leverantören”), tjänster omfattas du som kund (”Kunden”) av följande biträdesavtal.
Parterna ovan benämns härefter gemensamt som ”Parterna” och var för sig som ”Part”.
1 BAKGRUND
1.1 Parterna har tidigare – eller i samband med detta Avtal – ingått uppdragsavtal avseende en hostingtjänst, hädanefter benämnt ”Huvudavtalet”.
1.2 Inom åtagandena som följer av Huvudavtalet kan Leverantören komma att behandla personuppgifter samt annan information för Kundens räkning.
1.3 Med anledning av detta ingår Parterna detta Avtal för att reglera förutsättningarna för Leverantörens Behandling av – och tillgång till – Personuppgifter tillhöriga Kunden och/eller dennes kunder, enligt definitioner i villkorsbilagan nedan. Avtalet gäller för samtliga mellan Parterna tecknade avtal där Leverantören är Personuppgiftsbiträde till Kunden och Avtalet gäller så länge Leverantören Behandlar Personuppgifter för Kundens räkning.
2 INSTRUKTIONER FÖR BEHANDLING
Personuppgifter behandlas av biträdet på ett sätt som är adekvat med leverans av huvudavtalet och där med de tjänster som tillhandahålls den personuppgiftsansvarige därmed. Biträdet äger ingen rätt att behandla personuppgifterna utanför dessa tjänster.
Följande kategorier av Personuppgifter Behandlas av Leverantören: namn, efternamn, e-postadresser, mobilnummer, IP- nummer, bilder, webbshop köphistorik, webbshop varukorgar, epostmeddelanden samt av personuppgiftsansvarige tillhandahållna texter och bilder. m.m.
Följande kategorier av Behandling sker: Lagring, registrering, radering, bearbetning.
Följande kategorier av registrerade omfattas: Kundens anställda samt deras kontaktpersoner och kunder, e-postmeddelanden, information på hemsida och databaser.
Ändamålet med respektive Behandling är följande: att kunna erbjuda Kunden hostingstjänst. Personuppgifter kommer att gallras enligt följande:
Under huvudavtalets löptid raderas uppgifter på uppdrag av personuppgiftsansvarig inom 180 dagar, kan dock vara kortare.
Detta omfattar den tid som löper tills raderad e-post eller information på hemsidor ej längre lagras i backup.
Efter huvudavtalets upphörande raderas personuppgifter senast ett år, kan dock vara kortare, efter avtalets upphörande.
3 ÖVRIGA BESTÄMMELSER
Utöver de Instruktioner som ovan angivits, ska de villkor som följer av villkorsbilagan gälla såsom integrerad del av Avtalet.
Genom att använda Yamito ABs tjänster har ni som Kund accepterat och bekräftat att detta Avtal gäller mellan Parterna.
VILLKORSBILAGA – PERSONUPPGIFTSBITRÄDESAVTAL
1 DEFINITIONER
Om inte omständigheterna tydligt utvisar annat ska definition eller begrepp som används i denna villkorsbilaga ha motsvarande definition som följer av artikel 4 i Dataskyddsförordningen.
2 ALLMÄNT OM BEHANDLINGEN
2.1 Kunden är Personuppgiftsansvarig för de Personuppgifter som Behandlas inom ramen för Huvudavtalet. Leverantören är Personuppgiftsbiträde åt Kunden med avseende på nämnda Personuppgifter.
2.2 Leverantören har gett tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på sådant sätt att Behandlingen av Personuppgifter uppfyller kraven i Dataskyddsförordningen och nationella lagar som från tid till annan är tillämpliga på Behandling av Personuppgifter (exkluderande Dataskyddsförordningen) (”Annat Regelverk”), samt för att säkerställa att den Registrerades rättigheter skyddas.
2.3 Leverantören ska, med beaktande av Behandlingens art, assistera Xxxxxx genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Kunden kan fullgöra sin skyldighet att svara på begäran om utövande av den Registrerades rättigheter i enlighet med kapitel III i Dataskyddsförordningen.
2.4 Om Leverantören anser att Instruktionerna eller annan instruktion eller meddelande från Kunden står i strid med Dataskyddsförordningen eller Annat Regelverk äger Leverantören rätt att meddela Xxxxxx detta och avvakta med Behandlingen ifråga.
3 ÄNDAMÅL OCH TYP AV PERSONUPPGIFTER M.M.
I Instruktionerna ska bl.a. framgå föremålet för Behandlingen, Behandlingens varaktighet, art och ändamål, typen av Personuppgifter och kategorier av Registrerade.
4 LEVERANTÖRENS PERSONAL M.M.
4.1 Leverantören, dess anställda och andra personer som utför arbete under Leverantörens överinseende, och som får del av Personuppgifter tillhöriga Kunden och/eller dess kunder, får endast Behandla dessa på instruktion från Xxxxxx, såvida Leverantören inte är skyldig att göra det ändå enligt unionsrätten eller Annat Regelverk.
4.2 Leverantören ska tillse att dess anställda och samtliga övriga personer som Leverantören ansvarar för och som har behörighet att Behandla Personuppgifter som omfattas av detta Avtal åtagit sig att iaktta konfidentialitet (såvida inte sådan person redan omfattas av lämplig lagstadgad tystnadsplikt).
5 SÄKERHET
5.1 Leverantören ska vidta alla åtgärder avseende säkerhet som krävs enligt artikel 32 i Dataskyddsförordningen.
5.2 Med beaktande av typen av Behandling och den information som Leverantören har ska Leverantören bistå Kunden med att se till att skyldigheterna kring säkerhet – på sätt som följer av artikel 32 i Dataskyddsförordningen – kan fullgöras.
5.3 Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som Behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt Behandlats.
6 PERSONUPPGIFTSINCIDENT
Leverantören ska, med beaktande av typen av Behandling och den information som Leverantören har att tillgå, bistå Xxxxxx med att tillse att skyldigheterna i samband med eventuell Personuppgiftsincident kan fullgöras på sätt som följer av artikel 33-34 i Dataskyddsförordningen.
7 KONSEKVENSBEDÖMNING OCH FÖRHANDSSAMRÅD
Leverantören ska, med beaktande av Behandlingens art och den information som är tillgänglig för Leverantören, bistå Xxxxxx med att uppfylla dennes eventuella skyldigheter för utövandet av konsekvensbedömning och/eller förhandssamråd med tillsynsmyndighet enligt artikel 35 och 36 Dataskyddsförordningen.
8 INSTRUKTIONERNA
8.1 Leverantören får endast Behandla Personuppgifterna som omfattas av detta Avtal utefter de dokumenterade Instruktionerna (inbegripet när det gäller överföringar av Personuppgifter till ett tredjeland eller en internationell organisation, såvida inte sådan Behandling krävs enligt unionsrätten eller enligt en Annat Regelverk som Leverantören omfattas av, och i så fall ska Leverantören informera Kunden om det rättsliga kravet innan uppgifterna Behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänt intresse enligt relevant nationell rätt).
8.2 Kunden har rätt att uppdatera Instruktionerna från tid till annan, men ska då ge Leverantören skäligt rådrum för att utföra Behandlingen i enlighet med de uppdaterade Instruktionerna. Leverantören äger rätt till ersättning för merkostnader om Xxxxxx förändrar Instruktionerna i enlighet med Leverantörens vid var tid gällande prislista.
9 UNDERBITRÄDE
9.1 Leverantören har inte rätt att anlita underbiträde för att utföra arbetet enligt Xxxxxxx utan att först ha inhämtat Kundens skriftliga godkännande. Ett sådant skriftligt godkännande kan vara särskilt (avse ett visst underbiträde) alternativt vara generellt (och ska inte oskäligen vägras). Kunden lämnar härigenom ett sådant generellt godkännande som ovan stadgas.
9.2 I och med att ett generellt skriftligt förhandstillstånd har lämnats av Kunden enligt ovan, måste Leverantören informera Kunden om eventuella planer på att anlita ett nytt underbiträde alternativt om ett existerande underbiträde ska bytas ut mot annan, så att Kunden har möjlighet att göra
invändningar mot en sådan förändring (invändning får dock inte ske om det inte föreligger objektivt godtagbara skäl).
9.3 Om Kunden har lämnat ett skriftligt godkännande – och oavsett om det är ett särskilt eller ett generellt – ska Leverantören tillse att sådant underbiträde ingår ett skriftligt personuppgiftsbiträdesavtal innan det att underbiträdet påbörjar arbete som har anknytning till Behandlingen av Personuppgifterna. Ett sådant personuppgiftsbiträdesavtal ska innehålla de åtaganden och skyldigheter som följer av Xxxxxxx. Underbiträdet ska i sådant personuppgiftsbiträdesavtal ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att Behandlingen uppfyller kraven i Dataskyddsförordningen.
9.4 Om underbiträdet inte fullgör sina skyldigheter ska Leverantören vara ansvarig gentemot Xxxxxx för utförandet av underbiträdets skyldigheter.
9.5 Leverantören är medveten om att denne måste respektera vad som anges häri och i Dataskyddsförordningen avseende anlitande av underbiträde.
10 ÖVERFÖRING TILL TREDJE LAND
Leverantören får förflytta, förvara, överföra eller på annat sätt Behandla Personuppgifter tillhöriga Kunden och/eller dess kunder utanför EU/EES om sådan överföring uppfyller de krav och åtgärder som följer av Dataskyddsförordningen.
11 RÄTT TILL INSYN
Leverantören ska ge Kunden tillgång till all relevant information som krävs för att visa att de skyldigheter som följer av artikel 28 i Dataskyddsförordningen har fullgjorts och för att möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Kunden eller av en annan revisor som bemyndigats av Kunden. Leverantören ska alltid ha rätt till skäligt varsel för det fall Xxxxxx vill utnyttja sin rätt att genomföra en granskning eller inspektion och Xxxxxx ska ersätta Leverantören för dennes kostnader i samband med sådan granskning eller inspektion. Leverantören har trots vad som ovan sägs rätt i första hand, i den mån det inte strider mot Dataskyddsförordningen eller Annat Regelverk, att hemlighålla sådan information som utgör företagshemligheter, som omfattas av sekretesskyldighet gentemot tredje part, eller som annars skulle skada Leverantörens affärsverksamhet om den avslöjades till Kunden.
12 REGISTER ÖVER BEHANDLINGEN
Oavsett om Leverantören enligt Dataskyddsförordningen är skyldig att föra ett register eller inte, ska Leverantören enligt detta Avtal föra ett elektroniskt register över alla kategorier av Behandling som utförts för Kundens räkning.
Registret ska, om inte register ska föras enligt bestämmelser i Dataskyddsförordningen, åtminstone innehålla följande information:
a) Namn och kontaktuppgifter för Leverantören och i tillämpliga fall, dessa företrädare samt för dataskyddsombudet hos Leverantören.
b) De kategorier av Behandlingar som har utförts – och som utförs
– för Kundens räkning.
c) Eventuella överföringar av Personuppgifter till ett tredjeland eller en internationell organisation, samt identifiering av tredjelandet eller den internationella organisationen samt dokumentationen av lämpliga skyddsåtgärder.
d) En allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som Leverantören vidtagit enligt punkt 5 i detta Avtal.
13 ERSÄTTNING
Leverantören ska erhålla ersättning för åtgärder som denne måste vidta avseende Behandling av Personuppgifter i enlighet med Avtalet eller som en följd av Avtalet i övrigt.
14 ANSVAR
Leverantören har under inga omständigheter något ansvar enligt detta Avtal eller som en följd av den Behandling som omfattas av Avtalet för skada förorsakad Kunden.
15 AVTALETS UPPHÖRANDE
15.1 När Leverantören upphör med Behandling av Personuppgifter för Kundens räkning ska Leverantören förstöra och radera alla Personuppgifter som har anknytning till Avtalet, alternativt återlämna alla Personuppgifter till Kunden, beroende på vad Kunden skriftligen meddelar.
15.2 Efter att Avtalet upphört har Leverantören inte rätt att spara några Personuppgifter tillhöriga Kunden och/eller dess kunder och så snart Leverantören uppfyllt vad som följer av punkt 15.1 ovan upphör Leverantörens rätt att Behandla eller på annat sätt använda Personuppgifter tillhöriga Kunden och/eller dess kunder (såvida inte lagring av Personuppgifterna krävs enligt nationell lagstiftning eller unionsrätten eller Leverantören har laglig grund att Behandla relevanta Personuppgifter).
16 SEKRETESS
16.1 Parterna förbinder sig att under avtalstiden och under tre år därefter inte till utomstående lämna information avseende Avtalets innehåll och annan information som Parterna fått ta del av med anledning av Xxxxxxx, oavsett om informationen lämnats skriftligen eller muntligen och oberoende av format (”Konfidentiell information”). Parterna förbinder sig att använda Konfidentiell information enbart i syfte att fullgöra sina åtaganden under Xxxxxxx och inte för något annat ändamål. Mottagande Part förbinder sig vidare att vidta erforderliga åtgärder för att förhindra att anställd, underkonsult eller annan mellanman använder eller avslöjar andra Partens Konfidentiella information för utomstående.
16.2 Ovanstående gäller inte för sådan information som
a) vid tidpunkten för utlämnandet är eller senare blir tillgänglig för allmänheten på annat sätt än genom överträdelse mot Avtalet; eller
b) redan var tillgänglig för mottagande Part eller som denne på egen hand har utvecklat innan ingåendet av Avtalet och som inte, direkt eller indirekt, har erhållits genom överträdelse mot Avtalet.
16.3 Denna sekretessförbindelse förhindrar inte Part från att lämna sådan information som Part har skyldighet att lämna ut enligt lag, dom eller myndighets beslut eller avtal med börs eller annan marknadsplats. Om Part skulle ha eller åläggas skyldighet att lämna sådan information, ska Parten omedelbart underrätta den andra Parten för att ge denne möjlighet att vidta skyddsåtgärder. Parterna ska göra sitt bästa för att tillse att information som lämnas i enlighet med denna punkt, så långt möjligt, behandlas konfidentiellt av mottagaren av informationen.
17 ÖVERLÅTELSE AV AVTALET
Part har inte rätt att helt eller delvis överlåta sina rättigheter och/eller skyldigheter enligt Avtalet utan den andra Partens skriftliga i förväg lämnade godkännande.
18 RÄTT TILL OMFÖRHANDLING
Båda Xxxxxx har rätt att påkalla omförhandling av detta Avtal för det fall att tillämplig lagstiftning eller tolkningen av den ändras på ett sätt som påverkar Behandlingen av Personuppgifter som omfattas av detta Avtal.
19 TILLÄMPLIG LAG
18.1 Svensk lag ska tillämpas på Avtalet. Tvister i anledning av Avtalet ska slutligt avgöras i allmän svensk domstol med Borås tingsrätt som första instans.