Personuppgiftsbiträdesavtal med fotografens leverantörer etc.
Personuppgiftsbiträdesavtal med fotografens leverantörer etc.
Detta avtal rekommenderas av Svenska Fotografers förbund och är avsett att användas då fotografen anlitar underleverantörer för att leverera sin fotografitjänst.
Mellan:
[namn på personuppgiftsbiträdet/underleverantören] och
[Infoga namn på personuppgiftsansvarige/fotografen]
SVENSKA FOTOGRAFERS FÖRBUND
Medlem 1 (6)
Detta personuppgiftsbiträdesavtal, inklusive samtliga eventuella bilagor, (“Avtalet”) har idag ingåtts MELLAN:
[Infoga namn, adress och organisationsnummer, kontaktperson och kontaktuppgifter] (”Personuppgiftsbiträdet”); och
[Infoga namn, adress och organisationsnummer, kontaktperson och kontaktuppgifter] (”Personuppgiftsansvarige” eller ”Fotografen”). Personuppgiftsbiträdet och den Personuppgiftsansvarige benämns här nedan gemensamt för ”Parterna” eller var för sig ”Part”
1. Uppdragets art och Avtalets syfte
Parterna har den [Infoga datum] ingått ett avtal enligt vilken Personuppgiftsbiträdet ska bistå Personuppgiftsansvarige med [Infoga en kort beskrivning av uppdragets art, t.ex. support för eller implementering av ett IT-system, andra fotografers arbete, retuschörtjänster, stylisttjänster samt tryckeritjänster, färgställare, filmklippare och andra underentreprenörer som behöver referensobjekt i form av bilder och/eller filmer m.m.] (”Uppdragsavtalet”). Uppdraget medför att Personuppgiftsbiträdet behandlar personuppgifter, inklusive annan information, för Personuppgiftsansvariges räkning. Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person (dvs. en registrerad), varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Uppdragsavtalet löper från och med undertecknandet [tills vidare / och till och med den [ ]].
Syftet med detta Avtal är att reglera Parternas rättigheter och skyldigheter som följer med Uppdragsavtalet och uppdraget att behandla personuppgifter och annan information, för att på så vis säkerställa att personuppgifterna behandlas i enlighet med de bestämmelser som följer av tillämplig dataskyddslagstiftning, vilket även omfattar EU:s dataskyddsförordning och eventuell senare lagstiftning som ersätter eller kompletterar dessa (”Dataskyddslagstiftningen”).
I sin kapacitet av personuppgiftsbiträde ska Personuppgiftsbiträdet behandla personuppgifter på uppdrag av Personuppgiftsansvarige (”Behandlingen”) i enlighet med detta Avtal samt i enlighet med de vid var tid skriftliga instruktioner rörande personuppgifter som Personuppgiftsansvarige överlämnat till Personuppgiftsbiträdet.
2. Personuppgiftsbehandlingens ändamål och omfattning
Syftet med Behandling är [Infoga en beskrivning av ändamålet med Behandlingen].
3. Kategorier av registrerade
Följande kategorier av registrerade kan komma att omfattas av Behandlingen.
• Anställda
• Modeller
• Avbildade personer
[Fyll i fler kategorier om aktuellt och/eller ta bort ovanstående om det inte är aktuellt att de ska användas.]
4. Kategorier av personuppgifter
Följande kategorier av personuppgifter kan komma att omfattas av Behandlingen.
• Namn
• Personnummer*
• Mailadresser
• Kontaktuppgifter
• Telefonnummer
• Bilder
[Fyll i fler kategorier om aktuellt och/eller ta bort ovanstående om det inte är aktuellt att de ska användas.]
*Känslig eller extra skyddsvärd personuppgift.
5. Den Personuppgiftsansvariges skyldigheter
5.1 Allmänt
Den Personuppgiftsansvarige ska etablera rutiner i den egna verksamheten för att:
• säkerställa att det finns en rättslig grund enligt Dataskyddslagstiftningen för att personuppgifterna behandlas för de ändamål som anges i punkten 2 ovan;
• tillvarata de registrerades rätt till information och insyn, rätt till radering m.m.;
• anmäla personuppgiftsincidenter till tillsynsmyndigheten; och
• säkerställa att varje fysisk person som utför arbete under den Personuppgiftsansvarige överinseende och som får tillgång till personuppgifterna, endast behandlar dessa i enlighet med givna instruktioner, om inte annat åläggs personen enligt lag.
5.2 Information till Personuppgiftsbiträdet
Den Personuppgiftsansvarige ska utan onödigt dröjsmål anmäla till Personuppgiftsbiträdet alla förhållanden som kan medföra behov av förändringar för det sätt som Personuppgiftsbiträdet behandlar personuppgifterna.
6. Personuppgiftsbiträdets skyldigheter
6.1 Säkerhetsåtgärder
Personuppgiftsbiträdet ska etablera lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifterna behandlas i enlighet med kraven i Dataskyddslagstiftningen, villkoren i Uppdragsavtalet och detta Avtal. Detta gäller även tillfredsställande av inbyggt dataskydd som standard som gäller enligt Dataskyddslagstiftningen. Säkerhetsåtgärderna ska minst motsvara den nivå som behöriga tillsynsmyndigheter normalt kräver för motsvarande behandlingar. Säkerhetsåtgärderna ska utöver av vad som följer av ovan vara anpassade till den nivå som är lämplig med tanke på graden av känslighet för Personuppgifterna, de särskilda risker och tillgängliga tekniska möjligheter som finns. Åtgärderna ska vara dokumenterade och ska utan onödigt dröjsmål lämnas till den Personuppgiftsansvarige på dennes begäran.
6.2 Instruktioner
Personuppgiftsbiträdet får endast behandla Personuppgifterna för de ändamål som framgår av punkten 2 ovan, i enlighet med de instruktioner som den Personuppgiftsansvarige meddelat Personuppgiftsbiträdet i Uppdragsavtalet och i punkten 7 nedan, och endast i syfte att utföra sitt uppdrag enligt Uppdragsavtalet.
Personuppgiftsbiträdet ska säkerställa att varje fysisk person som utför arbete under dennes överinseende och som får tillgång till personuppgifter som omfattas av detta Avtal, endast behandlar dessa i enlighet med meddelade instruktioner, om inte annat åläggs personen enligt lag.
Av instruktionerna under punkten 7 nedan framgår bland annat vilka säkerhetsåtgärder som Personuppgiftsbiträdet ska tillämpa. I den utsträckning som Uppdragsavtalet föreskriver ytterligare säkerhetsåtgärder ska även dessa tillämpas av Personuppgiftsbiträdet.
Om Personuppgiftsbiträdet anser att den Personuppgiftsansvariges instruktioner står i strid med Dataskyddslagstiftningen, ska Personuppgiftsbiträdet omedelbart skriftligen underrätta den Personuppgiftsansvarige om detta via den kontaktinformation som framgår av avtalsingressen. Personuppgiftsbiträdet har dock inte rätt att avbryta uppdraget, detta Avtal, och/eller Uppdragsavtalet av den anledningen.
6.3 Utlämnande av personuppgifter och användningen av underleverantörer
Personuppgiftsbiträdet får inte överföra eller ge åtkomst till Personuppgifter till en extern part utan den Personuppgiftsansvariges uttryckliga och skriftliga förhandstillstånd, i annat fall än när det föreligger en lagstadgad skyldighet för Personuppgiftsbiträdet att göra det. Om en sådan lagstadgad skyldighet föreligger, ska Personuppgiftsbiträdet skriftligen underrätta den Personuppgiftsansvarige om det, innan Behandlingen påbörjas, eller åtkomst ges, under förutsättning att en sådan underrättelse inte är förbjuden enligt lag.
Sådan överföring och/eller åtkomst ska så långt som möjligt begränsas i sin omfattning och om möjligt ska Personuppgiftsbiträdet begära att mottagaren av informationen behandlar informationen med strängast möjliga sekretess.
Personuppgiftsbiträdet får inte anlita underleverantörer för att utföra hela eller delar av Behandlingen utan att den Personuppgiftsansvarige på förhand har lämnat sitt skriftliga godkännande. [Ett sådant godkännande ges härmed till de u nderleverantörer, och till den omfattning, som framgår av Bilaga 1 till detta Avtal.] [Ovanstående mening, denna mening och bilagan tas bort om sådan underleverantör inte finns vid Avtalets tecknande.]
För det fall underleverantörer får användas enligt detta Avtal så ska Personuppgiftsbiträdet ingå ett skriftligt Avtal med sina underleverantörer, som binder underleverantören vid minst samma skyldigheter som Personuppgiftsbiträdet har enligt Uppdragsavtalet och detta Avtal. Personuppgiftsbiträdet ansvarar fullt ut gentemot den Personuppgiftsansvarige för hur underleverantörerna behandlar personuppgifter, inklusive underleverantörernas säkerhetsåtgärder. Det innebär bland annat att Personuppgiftsbiträdet ska hålla Personuppgiftsansvarige skadeslös för en underleverantörs brott mot tillämplig lagstiftning, Uppdragsavtalet och/eller detta Avtal, som om denne själv begått avtalsbrottet och/eller handlat i strid med tillämplig lagstiftning.
Tillkommer underleverantör till Personuppgiftsbiträdet, eller vid byte av underleverantör, ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om detta via de kontaktuppgifter som framgår av avtalsingressen, minst tre (3) månader före förändringen är tänkt att ske, och inhämta dennes skriftliga godkännande. Godkännande ska ges utan onödigt dröjsmål och inte oskäligen förvägras. För det fall att förändringen rimligen inte kan godtas av den Personuppgiftsansvarige får inte Personuppgiftsbiträdet genomföra förändringen.
6.4 Krav på lokalisering och överföring av personuppgifter till tredjeland
Personuppgiftsbiträdet ska tillse att personuppgifterna endast lagras och i övrigt behandlas inom EU/EES om inte Parterna
skriftligen kommer överens om något annat. [Infoga vad som är överenskommet. För det fall Personuppgiftsbiträdet är belägen/kommer att utföra arbete avseende personuppgifterna utanför EU/EES, måste detta skrivas in här.] Detsamma gäller all åtkomst till Personuppgifterna, exempelvis för service, support, underhåll, utveckling, drift eller liknande hantering.
För det fall Parterna skriftligen kommer överens om överföring (inklusive åtkomst) av personuppgifter till land utanför EU/EES (”Tredje Land”) ska Personuppgiftsbiträdet dessförinnan: [För det fall det är klart att Personuppgiftsbiträdet är belägen/kommer att utföra arbete avseende personuppgifterna utanför EU/EES, ska detta tas upp i denna bestämmelse och man ska även ange vilken av grunderna nedan som används för överföringen. Detta/dessa land kan i sådana fall anges i meningen ovanför så att de blir en del av Tredje Lands-definitionen.]
• undersöka om det Tredje Xxxxxx säkerställer en adekvat skyddsnivå för personuppgifter enligt beslut meddelat av EU-kommissionen, och om så är fallet, får personuppgifter överföras till detta Tredje Land efter den Personuppgiftsansvariges skriftliga godkännande; och om sådant beslut inte föreligger;
• säkerställa att det finns lämpliga skyddsåtgärder på plats enligt tillämplig personuppgiftslagstiftning, t.ex. standardiserade dataskyddsbestämmelser som antagits av EU-kommissionen, som omfattar överföringen och behandling av personuppgifterna; eller (i avsaknad av sådana skyddsåtgärder); och
• undersöka om det är möjligt att förlita sig på något undantag enligt tillämplig personuppgiftslagstiftning för överföringen av personuppgifter och om så är fallet får personuppgifterna överföras till det Tredje Landet endast i den utsträckning (i) som det aktuella undantaget omfattar överföringen och Behandlingen samt (ii) den Personuppgiftsansvarige skriftligen godkänner att det är möjligt att förlita sig på det aktuella undantaget.
Till undvikande av tvivel får Personuppgifter inte överföras till eller behandlas i Tredje Land om ingen av förutsättningarna ovan föreligger, och endast under förutsättning, att den Personuppgiftsansvarige i förväg skriftligen har godkänt överföringen och/eller Behandlingen.
6.5 Tystnadsplikt och behörighet
Personuppgiftsbiträdet ska säkerställa att personer som behandlar personuppgifterna antingen omfattas av en lagstadgad tystnadsplikt eller har åtagit sig tystnadsplikt i ett bindande avtal. Tystnadsplikten ska gälla under den tid som Personuppgiftsbiträdet är bunden av tystnadsplikt enligt Uppdragsavtalet eller, om Uppdragsavtalet saknar bestämmelser om tystnadsplikt, utan begränsning i tiden.
Åtkomst till personuppgifterna ska begränsas till sådana personer som behöver dem för att kunna utföra sina arbetsuppgifter på uppdrag av Personuppgiftsbiträdet.
6.6 Incidentrapportering
Personuppgiftsbiträdet ska skyndsamt, och alltid inom tre (3) dagar från upptäckten, skriftligen underrätta den Personuppgiftsansvarige om säkerhetsincidenter som har medfört oavsiktlig eller olovlig förstörelse, förlust, ändring, obehörigt utlämnande av eller åtkomst till personuppgifterna. Alla sådana incidenter ska dokumenteras av Personuppgiftsbiträdet och dokumentationen (åtminstone bland annat omständigheterna rörande säkerhetsincidenten, dess följder och vilka åtgärder som vidtagits) ska överlämnas utan oskäligt dröjsmål till den Personuppgiftsansvarige på dennes begäran.
Om det inte är osannolikt att en personuppgiftsincident medför risk för den personliga integriteten hos de registrerade, ska Personuppgiftsbiträdet omedelbart efter att personuppgiftsincidenten kommit till Personuppgiftsbiträdets kännedom, vidta lämpliga avhjälpande åtgärder för att förhindra och/eller begränsa personuppgiftsincidentens potentiella negativa effekter.
I de fall en incident ska rapporternas till tillsynsmyndigheten, ska Personuppgiftsbiträdet samarbeta med och skyndsamt bistå den Personuppgiftsansvarige med all information som efterfrågas och samarbeta med tillsynsmyndigheten (exempelvis genom att tillåta att tillsynsmyndigheten kan genomföra inspektion).
6.7 Bistånd för att fullgöra skyldigheter gentemot de registrerade
Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige att fullgöra sina skyldigheter när de registrerade utövar sin rätt till insyn, rättelse, radering, dataportabilitet etc. enligt Dataskyddslagstiftningen. Detta ska ske utan oskäligt dröjsmål och senast inom fem (5) dagar från anmodan, samt utan krav på ytterligare ekonomisk kompensation. Den Personuppgiftsansvarige ska i dessa fall kontakta
6.8 Radering av personuppgifter
För det fall att Personuppgiftsansvarige under avtalstiden meddelar att vissa personuppgifter ska raderas, ska Personuppgiftsbiträdet säkerställa att de aktuella uppgifterna förstörs, skrivs över eller på annat sätt skyndsamt raderas, dock senast inom fem (5) dagar från anmodan. [Infoga kontaktuppgifter till lämplig enhet hos Personuppgiftsbiträdet].
Såvida man inte särskilt har kommit överens om att Personuppgiftsbiträdet kan få använda sig av vissa bilder som referens för framtida bruk, ska Personuppgiftsbiträdet lämna tillbaka och/eller radera eller förstöra alla personuppgifter som omfattats av Uppdragsavtalet på det sätt som Personuppgiftsansvarige skriftligen underrättar Personuppgiftsbiträdet om när Uppdragsavtalet har upphört att gälla, eller vid den tidigare tidpunkt som meddelas av den Personuppgiftsansvarige. Detta ska ske inom tio (10) dagar från Uppdragsavtalets
Personuppgiftsbiträdet ska skicka en skriftlig bekräftelse på att radering/förstöring har skett till den Personuppgiftsansvarige inom tio 10 dagar efter radering etc., via de kontaktuppgifter som framgår av avtalsingressen. och Avtalets upphörande respektive den Personuppgiftsansvariges meddelande och utan krav på ytterligare ekonomisk kompensation.
6.9 Revision
Personuppgiftsbiträdet ska tillse att den Personuppgiftsansvarige har möjlighet att på plats hos Personuppgiftsbiträdet och/eller dennes eventuella underleverantörer, kontrollera att Personuppgiftsbiträdet och dennes eventuella underleverantörer efterlever alla bestämmelser om Behandlingen enligt detta Avtal, Uppdragsavtalet och Dataskyddslagstiftningen (t.ex. att samtliga berörda vidtar adekvata säkerhetsåtgärder för att skydda personuppgifterna). Det är Personuppgiftsbiträdets skyldighet att tillse att en revision går att genomföra på ett effektivt sätt antingen av den Personuppgiftsansvarige eller av en tredje part som den Personuppgiftsansvarige utser. Revisionen får utföras under normala öppettider och den Personuppgiftsansvarige ska tillämpa kommersiellt rimliga ansträngningar för att minimera störningar av Personuppgiftsbiträdets normala affärsverksamhet. Personuppgiftsbiträdet ska samarbeta med Personuppgiftsansansvarige och/eller dess revisor och ska omedelbart att korrigera eventuella brister som framkommit vid en sådan revision.
6.10 Övrigt
Under Avtalets avtalstid, och under en period om ett (1) år därefter, har den Personuppgiftsansvarige en rätt att kräva en revision av Personuppgiftsbiträdet vid misstanke om att Personuppgiftsbiträdet inte agerar/agerat i enlighet med Avtalet, Uppdragsavtalet och Dataskyddslagstiftnings krav. Personuppgiftsbiträdet är skyldig att tillhandahålla alla skäliga uppgifter för att kunna visa att Personuppgiftsbiträdet följer bestämmelserna i enlighet med Avtalet, Uppdragsavtalet och Dataskyddslagstiftningen. Den Personuppgiftsansvarige, eller av denne utsedd revisor, har rätt att, med tio (10) dagars i förväg lämnade meddelande till Personuppgiftsbiträdet, granska (i) denna information, (ii) de lokaler där personuppgifter behandlas och lagras och (iii) säkerhetsåtgärderna som används för att skydda personuppgifterna. Den Personuppgiftsansvarige kan när som helst, genom skriftligt meddelande till Personuppgiftsbiträdet, välja att tillfälligt avbryta eller helt avsluta Uppdragsavtalet och detta Avtal med omedelbar verkan, och utan skyldighet att utge någon kompensation till Personuppgiftsbiträdet, om det är så att den Personuppgiftsansvarige har skälig anledning att tro att Personuppgiftsbiträdet är oförmöget att, eller har misslyckats med att, möta de skyldigheter som framgår
av denna punkt 6 och punkt 7 nedan.
7. Instruktion till Personuppgiftsbiträdet
7.1 Informationssäkerhet
Personuppgiftsbiträdet är ansvarigt för att säkerställa personuppgifternas konfidentialitet och etablera minst sådana tekniska, fysiska, administrativa och organisatoriska säkerhetsåtgärder som är lämpliga i förhållande till den risk som Behandlingen kan medföra för de registrerade rättigheter och friheter, och för den Personuppgiftsansvariges verksamhet. Personuppgiftsbiträdet ska ta särskild hänsyn till risken för oavsiktlig eller olaglig förstöring, förlust eller ändring och till risken för obehörigt röjande av eller obehörig åtkomst till personuppgifterna samt till risken för andra personuppgiftsincidenter. [Om aktuellt, infoga en hänvisning till en godkänd uppförandekod eller certifieringsmekanism. I annat fall tas texten inom klammern bort.]
7.2 Pseudonymisering
Personuppgiftsbiträdet måste säkerställa att personuppgifterna pseudonymiseras, dvs. att personuppgifterna ersätts med exempelvis en kod och man inte kan identifiera den registrerade utan att ha tillgång till kodnyckeln, i följande situationer:
[Om aktuellt, infoga en beskrivning, exempelvis avseende pseudonymisering i förhållande till statistiska bearbetningar. I annat fall kan denna bestämmelse ändras till ”Parterna är överens om att det inte finns något behov av att särskilt reglerna pseudonymisering i
detta Avtal.”]
7.3 Kryptering
Personuppgiftsbiträdet måste säkerställa att personuppgifterna krypteras, dvs. att personuppgifterna ersätts med punkter eller andra tecken vilket omöjliggör att man kan ta del av uppgifterna utan att ha tillgång till krypteringsnyckeln, i följande situationer: [Om aktuellt, infoga en beskrivning, exempelvis avseende kryptering i förhållande till personuppgifter och bilder som skickas via meddelanden över öppna nät som till exempel e-post. I annat fall kan denna bestämmelse ändras till ”Parterna är överens om att det inte finns något behov av att särskilt reglera kryptering i detta Avtal.”]
7.4 Autentisering
Personuppgiftsbiträdet måste säkerställa att flerfaktorsautentisering av användare, dvs. att användaren måste använda sig av mer än ett sätt att identifiera sig, krävs i följande situationer: [Om aktuellt, infoga en beskrivning, exempelvis att det krävs särskild inloggning för att kunna ta del av bilderna via en säker plats så som en ftp-server. I annat fall kan denna bestämmelse ändras till ”Parterna är överens om att det inte finns något behov av att särskilt reglera autentisering i detta Avtal.”]
7.5 Tillgång till information
Personuppgiftsbiträdet ska se till att de personer som arbetar under dennes överinseende endast har tillgång till sådana personuppgifter som denne behöver för att kunna utföra sina arbetsuppgifter i förhållande till Personuppgiftsbiträdet.
7.6 Utbildning
Personuppgiftsbiträdet ska tillhandahålla lämplig utbildning om integritetsskydd, konfidentialitet och om de krav på informationssäkerhet som ställs i detta Avtal till alla personer som arbetar under dennes överinseende och som har tillgång till personuppgifter som omfattas av detta Avtal.
7.7 [Övrigt]
[Om aktuellt, infoga fler bestämmelser som är viktiga i det aktuella fallet, exempelvis avseende rutiner för backup-tagning, krav för inpassering i Personuppgiftsbiträdets datahallar, krav att Personuppgiftsbiträdets personal ska genomgå en säkerhetskontroll, geografiska krav på lagring, krav på en egenallokerad server, krav på med vilken teknik personuppgifter ska lagras eller förstöras krav på miljöcertifiering eller liknande. I annat fall tas denna punkt 7.7. bort.]
8.0 Ansvarsbegränsningar och regressrätt m.m.
Personuppgiftsbiträdet ska hålla Personuppgiftsansvarige skadeslös för det fall att Personuppgiftsbiträdet ej genomfört sitt uppdrag i enlighet med de instruktioner och anvisningar som framgår av detta Avtal, Uppdragsavtalet och/eller av vad Parterna därutöver skriftligen överenskommit, eller vid brott mot Dataskyddslagstiftningen, och detta i sin tur har medfört att den Personuppgiftsansvarige drabbats av en skada och/eller en sanktionsavgift.
Personuppgiftsbiträdet ska under Avtalets hela avtalstid inneha en för ändamålet lämplig och gällande ansvarsförsäkring. Försäkringspolicyn ska delges Personuppgiftsansvarige på dennes anmodan.
[Anpassa överenskommelsen ovan om hur ansvarsbegränsningar ska regleras inklusive de bestämmelserna såsom skadestånd, sanktionsavgifter, avbrott i produktionen, skada på varumärket m.m. Ange eventuella överenskommelser på krav på försäkringar, kontrollera att sådana bestämmelser inte krockar med ansvarsbestämmelser i Uppdragsavtalet. I annat fall tas texten inom klammern bort.]
9.0 Rätt till omförhandling
9.1 Påkallande av omförhandling
Part har rätt att påkalla omförhandling av detta Avtal (inklusive instruktioner) för det fall:
• den andre Partens ägarförhållanden ändras väsentligt; och/eller
• tillämplig lagstiftning eller tolkningen av den, ändras på ett sätt som väsentligen påverkar Behandlingen som omfattas av detta Avtal.
9.2 Konsekvens av en omförhandling
Personuppgiftsbiträdet har inte rätt att avbryta arbete enligt detta Avtal och/eller Uppdragsavtalet endast av den anledningen att rätten till omförhandling åberopas eller att en omförhandling påbörjas.
10. Sekretess
Parterna åtar sig härmed, under Avtalets giltighetstid och därefter, att inte avslöja någon information till tredjeman avseende Avtalet eller annan information som Parterna har tagit del av med anledning av Xxxxxxx, oavsett om informationen är skriftlig eller muntlig (”Konfidentiell Information”). Parterna är överens om att Konfidentiell Information enbart får användas för att fullgöra skyldigheter enligt Avtalet och Uppdragsavtalet, och inte för något annat syfte. Den mottagande Parten bekräftar även att den Parten, liksom dess företrädare, ledning, anställda, underkonsulter och liknande, kommer att tillämpa samma omsorgsplikt, men aldrig mindre än skälig omsorgsplikt, som används i förhållande till sin egen konfidentiella information för att undvika avslöjande eller användning av Konfidentiell Information.
11. Ändringar och tillägg
Ändringar och tillägg till detta Avtal ska vara skriftliga och undertecknade av båda Parter för att äga giltighet.
12. Överlåtelse
Personuppgiftsbiträdet äger inte rätt att helt eller delvis överlåta sina rättigheter eller skyldigheter enligt detta Avtal, utan den Personuppgiftsansvarigas skriftliga samtycke.
13. Avtalstid
Detta Avtal träder i kraft vid dess undertecknande och ska därefter gälla under Uppdragsavtalets löptid, eller under den längre period som Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning. [Om Avtalet ska gälla under någon annan tid än vad som framkommer ovan så ändras denna bestämmelse.]
14. Lagval och jurisdiktion m.m.
14.1 Lagval
Detta Avtal ska regleras av och tolkas i enlighet med svensk materiell rätt utan dess principer om lagval.
14.2 Tvister
I händelse att tvist uppstår med anledning av Xxxxxxx ska tvisten prövas i enlighet med gällande svensk lagstiftning och av allmän domstol.
Ort och Datum: Ort och Datum:
För [Fotografen] (namnteckning) För [Infoga Underleverantören] (namnteckning)
Namnförtydligande och befattning Namnförtydligande och befattning