PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL

Detta personuppgiftsbiträdesavtal (”Biträdesavtalet”) gäller mellan Kunden (enligt definition i avtalsvillkoren för Bentrend) och SCG Invest AB, 556897-4959, (”Leverantören”) avseende den personuppgiftsbehandling som Leverantören utför för Kundens räkning, i rollen som personuppgiftsbiträde, inom ramen för och i samband med Leverantörens tillhandahållande av tjänsten Bentrend till Kunden, som är personuppgiftsansvarig.

Kunden benämns i detta Biträdesavtal för ”Personuppgiftsansvarig” och Leverantören benämns ”Personuppgiftsbiträde”. Xxxxxx och Leverantören benämns vidare var för sig för ”Part” och gemensamt för ”Parterna”.

1 BAKGRUND

1.1 Personuppgiftsbiträdet ska tillhandahålla Personuppgiftsansvarig vissa tjänster enligt det tjänsteavtal som Parterna har ingått avseende Bentrend (”Tjänsteavtalet”).

1.2 För att Personuppgiftsbiträdet ska kunna fullgöra sina åtaganden i Tjänsteavtalet (”Uppdraget”) behöver Personuppgiftsbiträdet behandla vissa Personuppgifter (enligt definition nedan) för den Personuppgiftsansvariges räkning.

1.3 Personuppgiftsbiträdet kommer, för den behandling av Personuppgifter som följer av Uppdraget, att agera personuppgiftsbiträde åt Personuppgiftsansvarig som är personuppgiftsansvarig för behandlingen av Personuppgifterna enligt Uppdraget.

1.4 Mot bakgrund av ovanstående har Parterna ingått detta Biträdesavtal.

2 DEFINITIONER

I detta Biträdesavtal används följande definierade termer med nedan angivna betydelser.

Termerna ”Personuppgifter”, ”Personuppgiftsincident” och ”Tillsynsmyndighet” har den betydelse som följer av Dataskyddsförordningen.

”Dataskyddsförordningen” eller ”GDPR”

betyder Europaparlamentets och Rådets Förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG eller sådan av Europaparlamentet och Rådet godkänd förordning som ersätter denna.

”Personuppgiftslagstiftning”

betyder vid var tid gällande lag eller förordning avseende behandling av personuppgifter, innefattande men inte begränsat till Dataskyddsförordningen, annan unionsrätt avseende

behandling av personuppgifter samt Tillsynsmyndighetens vid var tid gällande beslut, råd och rekommendationer.

”Registrerad”

betyder den fysiska person som en Personuppgift avser.

”Tjänsteavtalet”

har den betydelse som framgår av punkten 1.1.

”Underbiträde”

betyder tredje part som är anlitad av Personuppgiftsbiträdet för att utföra tjänst som innebär behandling av Personuppgifter för den Personuppgiftsansvariges räkning.

”Uppdrag”

har den betydelse som framgår av punkten 1.2.

3 PERSONUPPGIFTSANSVARIGS SKYLDIGHETER

3.1 Den Personuppgiftsansvarige åtar sig att följa och hålla sig uppdaterad om Personuppgiftslagstiftning. Den Personuppgiftsansvarige åtar sig också att samarbeta med Tillsynsmyndigheten vid dess utövande av tillsyn avseende behandling av Personuppgifter.

3.2 Den Personuppgiftsansvarige är skyldig att tillhandahålla Personuppgiftsbiträdet aktuell och korrekt information om de Personuppgifter som Personuppgiftsbiträdet behandlar för Personuppgiftsansvarigs räkning.

3.3 Den Personuppgiftsansvarige ska tillhandahålla tydliga och dokumenterade instruktioner till Personuppgiftsbiträdet avseende Personuppgiftsbiträdets behandling av Personuppgifterna. Personuppgiftsansvarig ska lämna ändrade eller kompletterande instruktioner till Personuppgiftsbiträdet när Personuppgiftsansvarige anser att så behövs. Om de ändrade instruktionerna innebär merkostnad för Personuppgiftsbiträdet äger Personuppgiftsbiträdet rätt till skälig ersättning för sådan merkostnad.

3.4 Den Personuppgiftsansvarige är ansvarig för att se till att de instruktioner som den Personuppgiftsansvarige lämnar till Personuppgiftsbiträdet är i enlighet med och uppfyller kraven i Personuppgiftslagstiftningen.

4 PERSONUPPGIFTSBITRÄDETS SKYLDIGHETER

4.1 Personuppgiftsbiträdet ska endast behandla Personuppgifter i den utsträckning som det är nödvändigt för utförandet av Uppdraget, och endast i enlighet med Personuppgiftsansvarigs vid var tid givna dokumenterade instruktioner. Personuppgiftsbiträdet får inte behandla Personuppgifter för annat ändamål än de som Personuppgiftsansvarig givit instruktioner om.

4.2 Om Personuppgiftsbiträdet bedömer att det saknas instruktioner om hur Personuppgiftsbiträdet ska Behandla Personuppgifter som är nödvändiga för att fullgöra Uppdraget eller sina åtaganden enligt detta Biträdesavtal, ska Personuppgiftsbiträdet informera Personuppgiftsansvarig om sin inställning och invänta Personuppgiftsansvarigs vidare skriftliga instruktioner. Personuppgiftsbiträdet åtar sig vidare att informera Personuppgiftsansvarig om Personuppgiftsbiträdet anser att en av Personuppgiftsansvarig lämnad instruktion strider mot Personuppgiftslagstiftning eller medlemsstats nationella rätt som Personuppgiftsbiträdet omfattas av.

4.3 Personuppgiftsbiträdet får vägra att behandla Personuppgifter för den Personuppgiftsansvariges räkning om Personuppgiftsbiträdet bedömer att sådan behandling skulle vara i strid med Personuppgiftslagstiftning. Den förändring av Personuppgiftsbiträdets utförande av sina åtaganden under Tjänsteavtalet som sådan vägran skulle innebära ger inte Personuppgiftsansvarig rätt att hävda brist i Personuppgiftsbiträdets utförande under Tjänsteavtalet. Överenskomna avgifter ska erläggas ändå.

4.4 För det fall Personuppgiftsbiträdet behandlar Personuppgifter utöver eller i strid med Personuppgiftsansvariges instruktioner, på grund av krav enligt unionsrätten eller enligt en medlemsstats nationella rätt som Personuppgiftsbiträdet omfattas av, åtar sig Personuppgiftsbiträdet att informera Personuppgiftsansvarig om det rättsliga kravet innan Personuppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt.

4.5 För det fall myndighet, Registrerad eller annan tredje man begär information från Personuppgiftsbiträdet som rör behandling av Personuppgifterna, ska Personuppgiftsbiträdet utan onödigt dröjsmål hänvisa till Personuppgiftsansvarig. Personuppgiftsbiträdet får endast lämna ut Personuppgifter eller information om behandling av Personuppgifter enligt instruktion från Personuppgiftsansvarig eller om Personuppgiftsbiträdet är skyldig att lämna ut aktuell uppgift enligt Personuppgiftslagstiftning eller medlemsstats nationella rätt som Personuppgiftsbiträdet omfattas av.

4.6 Personuppgiftsbiträdet ska utan onödigt dröjsmål efter att Personuppgiftsbiträdet fått vetskap om Personuppgiftsincident skriftligen underrätta Personuppgiftsansvarig. I sådan händelse ska Personuppgiftsbiträdet på Personuppgiftsansvarigs bekostnad och om Personuppgiftsansvarig begär det, utöver att underrätta Personuppgiftsansvarig om att Personuppgiftsincident har inträffat, bistå Personuppgiftsansvarig vid fullgörande av Personuppgiftsansvarigs skyldigheter enligt artiklarna 33 och 34 i Dataskyddsförordningen.

4.7 Personuppgiftsbiträdet åtar sig vidare att bistå Personuppgiftsansvarig med att se till att skyldigheterna enligt artiklarna 35 (konsekvensbedömning) och 36 (förhandssamråd) i Dataskyddsförordningen fullgörs, med beaktande av den information som Personuppgiftsbiträdet har att tillgå.

4.8 Personuppgiftsbiträdet åtar sig att följa och hålla sig uppdaterad om Personuppgiftslagstiftning. Personuppgiftsbiträdet åtar sig också att samarbete med Tillsynsmyndigheten vid dess utövande av tillsyn avseende behandling av Personuppgifter.

5 SÄKERHETSÅTGÄRDER

5.1 Personuppgiftsbiträdet åtar sig att, i enlighet med artikel 32 i Dataskyddsförordningen och med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå vid behandling av Personuppgifter som är lämplig i förhållande till risken.

5.2 Personuppgiftsbiträdet ska på Personuppgiftsansvarigs bekostnad hjälpa Personuppgiftsansvarig genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Personuppgiftsvarig kan fullgöra sina skyldigheter att svara på begäran om utövande av Registrerads rättigheter enligt Kapitel III i Dataskyddsförordningen.

6 ÖVERFÖRING TILL TREDJE LAND

Personuppgiftsbiträdet får inte utan att informera den Personuppgiftsansvarige överföra Personuppgifter till tredje land (ett s.k. tredje land är ett land som inte är medlem i EU eller EES). För det fall Personuppgiftsbiträdets behandling av Personuppgifter innebär att Personuppgiftsbiträdet överför Personuppgifterna till tredje land ska Personuppgiftsbiträdet innan överföring påbörjas skriftligen informera Personuppgiftsansvarig om sådan överföring samt säkerställa att åtgärder vidtagits för att uppfylla kraven i Personuppgiftslagstiftningen för överföring av personuppgifter till länder utanför EU/EES. Den Personuppgiftsansvarige är informerad om och godkänner genom Biträdesavtalet att Personuppgifter kan komma att behandlas i de länder som framgår av förteckningen över Underbiträden som Personuppgiftsbiträdet håller tillgänglig på xxxxx://xxxxxxxx.xxxxx. Förteckningen över Underbiträden uppdateras enligt vad som anges i detta Biträdesavtal (med möjlighet för Personuppgiftsansvarig att invända).

7 KONTROLL

7.1 Personuppgiftsbiträdet ska ge Personuppgiftsansvarig tillgång till all information som specifikt berör Personuppgiftsansvarig som krävs för att visa att de skyldigheter som följer av Personuppgiftslagstiftningens krav på personuppgiftsbiträden har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Personuppgiftsansvarig eller av Personuppgiftsansvarig utsedd revisor.

7.2 Om Personuppgiftsansvarig önskar genomföra en inspektion ska Personuppgiftsansvarig informera Personuppgiftsbiträdet om detta i skälig tid i förväg och samtidigt ange

inspektionens innehåll och omfattning. En inspektion får endast göras om krav på granskning enligt Personuppgiftslagstiftning inte kan fullgöras genom att Personuppgiftsbiträdet tillhandahåller information.

7.3 En granskning förutsätter att Personuppgiftsansvarig, eller av Personuppgiftsansvarig utsedd revisor, har träffat nödvändiga sekretessåtaganden och följer Personuppgiftsbiträdets säkerhetsbestämmelser på platsen där inspektionen ska genomföras samt att inspektionen genomförs utan att den riskerar att hindra Personuppgiftsbiträdets verksamhet eller skyddet för andra kunders information. Information som samlas in som en del av granskningen ska raderas efter fullgjord granskning eller när den inte längre behövs för ändamålet med granskningen. Granskning får inte utföras av aktör som är en konkurrent till Personuppgiftsbiträdet.

7.4 Personuppgiftsbiträdet har rätt till skälig ersättning för den assistans som krävs enligt detta avsnitt 7 såvida inte Personuppgiftsansvarigs kontroll visar att Personuppgiftsbiträdet har brutit mot detta Biträdesavtal i något väsentligt avseende, då Personuppgiftsbiträdet istället ska stå för sina egna samt ersätta Personuppgiftsansvarig för dennes kostnader i anledning av granskningen.

8 ERSÄTTNING

8.1 Oavsett vad som anges i övrigt i detta Biträdesavtal och i Tjänsteavtalet har Personuppgiftsbiträdet rätt till skälig ersättning för:

a) det arbete och de merkostnader som föranleds av att den Personuppgiftsansvarige ändrar lämnade instruktioner gällande personuppgiftsbehandlingen under detta Biträdesavtal.

b) det arbete och de merkostnader som uppstår på grund av revision av Tillsynsmyndighet eller liknande åtgärder som är direkt kopplat till den Personuppgiftsansvariges Personuppgifter.

c) det arbete och de merkostnader som drabbar Personuppgiftsbiträdet p.g.a. att Personuppgiftsansvarig åsidosätter sina skyldigheter enligt punkt 3.

d) det arbete och de merkostnader som uppstår för Personuppgiftsbiträdet när Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig med att se till att Personuppgiftsansvarigs skyldigheter enligt Artiklarna 34-36 i Dataskyddsförordningen fullgörs.

8.2 Utöver vad som anges i detta Biträdesavtal gällande Personuppgiftsbiträdets rätt till ersättning regleras Personuppgiftsbiträdets rätt till ersättning i Tjänsteavtalet.

9 ANSVAR

9.1 Parterna är ansvariga för sina respektive behandlingar av Personuppgifter i enlighet med vad som följer av detta Biträdesavtal och gällande Personuppgiftslagstiftning och ska ansvara för de ekonomiska konsekvenserna av bristande uppfyllelse av sina respektive skyldigheter i enlighet med vad som följer av Dataskyddsförordningen (särskilt Artikel 82) eller annan Personuppgiftslagstiftning.

9.2 För Personuppgiftsbiträdets ansvar att ersätta den Personuppgiftsansvarige för skada som den Personuppgiftsansvarige lider till följd av att Personuppgiftsbiträdet handlat i strid med detta Biträdesavtal eller gällande Personuppgiftslagstiftning, gäller den ansvarsbegränsning som följer av Tjänsteavtalet (begränsningen omfattar båda avtalen). Om inget framgår av Tjänsteavtalet är Personuppgiftsbiträdets ansvar per kalenderår begränsat till direkt skada och 100 % av den årliga fakturerade avgiften enligt Tjänsteavtalet.

9.3 Om Personuppgiftsansvarig får kännedom om omständighet som kan leda till skadestånd eller betalningsansvar för Personuppgiftsbiträdet ska Personuppgiftsansvarig omedelbart informera Personuppgiftsbiträdet om förhållande och aktivt arbeta tillsammans med Personuppgiftsbiträdet för att förhindra och minimera sådant skadestånd eller betalningsansvar.

10 UNDERBITRÄDEN

10.1 Personuppgiftsbiträdet får anlita Underbiträden avseende Personuppgifterna. Det åligger Personuppgiftsbiträdet att informera Personuppgiftsansvarig om vilka Underbiträden som Personuppgiftsbiträdet anlitar. Personuppgiftsbiträdet ska tillse att alla Underbiträden är bundna av skriftliga avtal där Underbiträdet åläggs samma skyldigheter som Personuppgiftsbiträdet åläggs enligt detta Biträdesavtal och garanterar att vidta lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen av Personuppgifterna står i överensstämmelse med gällande Personuppgiftslagstiftning.

10.2 Personuppgiftsbiträdet åtar sig att informera Personuppgiftsansvarig för det fall Personuppgiftsbiträdet avser att byta Underbiträde eller ingå avtal med nytt Underbiträde. Om Personuppgiftsansvarig inte vill acceptera ändringen har Personuppgiftsansvarig rätt att säga upp Tjänsteavtalet. För att inte förlora sin rätt att säga upp Tjänsteavtalet ska Personuppgiftsansvarig lämna meddelande om uppsägning av Tjänsteavtalet inom trettio

(30) kalenderdagar från att ha tagit del av Personuppgiftsbiträdets meddelande. Uppsägning ska göras enligt reglering i Tjänsteavtalet och konsekvensen är att tjänsten avslutas med omedelbar verkan.

10.3 Om Kunden inte ger meddelande om uppsägning anses ändringen vara accepterad efter att trettiodagarsperioden i punkt 10.2 löpt ut.

10.4 De Underbiträden som är anlitande av Personuppgiftsbiträdes vid varje tidpunkt finns samlade i förteckning på xxxxx://xxxxxxxx.xxxxx.

10.5 För det fall ett Underbiträde inte fullgör sina skyldigheter i fråga om dataskydd ska Personuppgiftsbiträdet vara fullt ansvarig gentemot den Personuppgiftsansvarige för utförandet av Underbiträdets skyldigheter.

11 SEKRETESS

11.1 Personuppgiftsbiträdet förbinder sig att inte lämna ut eller röja Personuppgifterna som Personuppgiftsbiträdet erhållit till följd av detta Biträdesavtal till tredje man som inte omfattas av samma skyldigheter som Personuppgiftsbiträdet enligt detta Biträdesavtal.

11.2 Personuppgiftsbiträdet ska se till att Personuppgiftsbiträdets anställda och andra personer som hos Personuppgiftsbiträdet ges åtkomst till Personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.

11.3 Åtagandena enligt denna punkt 11 omfattar inte uppgifter som lämnats ut enligt Personuppgiftsansvariges instruktion eller som Personuppgiftsbiträdet är skyldigt att avslöja enligt lag, förordning, domstols eller annan myndighets beslut eller börsreglering. Personuppgiftsbiträdet ska omgående och skriftligen meddela Personuppgiftsansvarig för det fall Personuppgiftsbiträdet åläggs att lämna ut sådan information.

11.4 Sekretessåtagandet i denna punkt 11 gäller även efter att detta Biträdesavtal har upphört att gälla.

12 ÅTERLÄMNING AV UPPGIFTER M.M.

12.1 Vid Biträdesavtal upphörande, oavsett anledning därtill, ska Personuppgiftsbiträdet omgående upphöra med behandlingen av Personuppgifter (delar av eller alla) och, på den Personuppgiftsansvariges bekostnad och i enlighet med Personuppgiftsansvarigs instruktion, radera alternativt återlämna Personuppgifter till Personuppgiftsansvarig eller den som Personuppgiftsansvarig anvisar. På Personuppgiftsansvarigs begäran ska Personuppgiftsbiträdet vidare radera befintliga kopior av Personuppgifter, såvida inte lagring av Personuppgifterna krävs enligt unionsrätten eller medlemsstats nationella rätt som Personuppgiftsbiträdet omfattas av. Ovanstående krav på radering gäller dock inte radering av backuper, som sker i enlighet med gällande backup-rutin och som således inte är något som Personuppgiftsbiträdet kan påverka manuellt.

12.2 Personuppgiftsbiträdet ska säkerställa att Underbiträde är skyldig att vidta motsvarande åtgärder som följer av 12.1.

13 AVTALSTID OCH UPPSÄGNING

Detta Biträdesavtal ska börja gälla när det accepterats av Xxxxxx vid beställning av tjänsten och gäller så länge Personuppgiftsbiträdet Behandlar Personuppgifter för Personuppgiftsansvarigs räkning.

14 ÖVERLÅTELSE

14.1 Ingen Part äger rätt att helt eller delvis överlåta eller upplåta sina rättigheter eller skyldigheter enligt detta Biträdesavtal till tredje man utan den andra Partens föregående skriftliga medgivande.

Personuppgiftsbiträdet har dock rätt att överlåta Biträdesavtalet samtidigt med och till samma part som Tjänsteavtalet överlåts till.

15 ÄNDRINGAR OCH TILLÄGG

Eventuella ändringar och/eller tillägg till detta Biträdesavtal ska, för att vara bindande, avfattas skriftligen och vara undertecknade av behöriga ställföreträdare för båda Parterna.

16 BESTÄMMELSES OGILTIGHET

Skulle någon bestämmelse i Biträdesavtalet eller del därav befinnas ogiltig, ska detta inte innebära att Biträdesavtalet i dess helhet är ogiltigt utan ska, i den mån ogiltigheten väsentligen påverkar Parts utbyte av eller prestation enligt Biträdesavtalet, skälig jämkning i Biträdesavtalet ske.

17 TVISTER

Vid tolkningen av detta Biträdesavtal ska svensk materiell rätt tillämpas och tvist prövas i enlighet med vad som föreskrivs i Tjänsteavtalet.