ANVÄNDARAVTAL – OPTIMA
ANVÄNDARAVTAL – OPTIMA
Mellan STR Service Aktiebolag, org. nr 556059–9739, med adress Xxxxxxxxx 0, 000 00 Xxxxxxxxxx, hädanefter benämnt ”Leverantören” och Trafikutbildningsföretaget NNN, xxx.xx XXX, med adress AAA, hädanefter benämnt ”Xxxxxx” och gemensamt benämnda ”Parterna” har följande avtal träffats.
1. Bakgrund
1.1. Leverantören tillhandahåller bland annat lösningar för digital förarutbildning och administrationssystem för trafikutbildningsbranschen i Sverige.
1.2. Administrations- och bokningssystemet, benämnt Optima, som Leverantören erbjuder är utvecklat av det norska företaget Lime Green AS. Systemet är utvecklat för och används av trafikutbildare i Norge. Systemet är anpassat för den svenska trafikutbildarbranschen i samarbete med Leverantören.
2. Avtalsdokument
2.1 Detta dokument – Huvuddokument
2.2 Bilaga 1 – Allmänna villkor
2.3 Bilaga 2 – Specifikation av ingående huvudfunktioner i Systemet
2.4 Bilaga 3 – Personuppgiftsbehandlingsavtal
2.5 Bilaga 4 – Instruktion till Personuppgiftbiträde
2.6 Detta dokument, tillsammans med ovan specificerade bilagor utgör gemensamt Avtalet
3. Definitioner
I detta Avtal betyder:
”Helgfri vardag” | dag som i Sverige inte är lördag eller söndag eller annan allmän helgdag eller som beträffande betalning av skuldebrev inte är likställd med allmän helgdag. |
”Immateriella rättigheter” | avser patent (inklusive bruksmönster), tilläggs- skydd, uppfinningar, designpatent, design- och mönsterrättigheter (oavsett om de är registrerbara eller inte), upphovsrätt, närstående rättigheter, ideella rättigheter, rättigheter i databaser, varumärken, företags- hemligheter, know-how, firmanamn, design och mönster, rättigheter enligt marknadsförings- lagstiftning och alla övriga immateriella rättigheter; i samtliga fall oavsett om dessa är registrerade eller registrerbara, och samtliga ansökningar till någon av ovan nämnda |
rättigheter samt rätt att ansöka om det samma (inklusive rätten att begära prioritet) och alla rättigheter och former av skydd av liknande karaktär eller som har liknande effekt som det samma någonstans i världen. | |
”Konfidentiell information” | (a) all information, oavsett om den är muntlig eller i skriftlig, elektronisk eller annan form, avseende Part, någon av dennes Närstående bolag eller någon av dess verksamheter, affärs- angelägenheter eller förhållanden i övrigt, som den andra Parten erhållit eller erhåller eller annars fått eller får kännedom om i samband med upprättandet, förhandlandet, ingåendet eller fullgörande av detta Avtal; och (b) detta Avtals innehåll |
”Kundens elev” | Elev som genomför hel eller del av utbildning och / eller fortbildning i Kundens regi. |
”Systemet” | Det webbaserade administrations- och bokningssystemet Optima, omfattande två huvuddelar; (a) för utbildare och administratörer inom Kundens verksamhet och (b) utbildningsfunktioner för Kundens elever. Dessa är åtkomliga för registrerade användare via en mobil applikation under användargränssnittet ”Nya Elevcentralen”. |
”SPAR” | Statens Personadressregister. Systemet har en koppling till SPAR, genom vilken Kunden kan göra uppslag och kontrollera en elevs adressuppgifter |
”Tjänsterna” | De huvudfunktioner som ingår i Systemet och specificeras i Bilaga 1 |
”Användare” | Xxxxxx, utbildare, samt anställda och/eller inhyrda administratörer hos Kunden, vilka givits behörighet att nyttja Tjänsterna |
4. Avtalets ingående, uppsägning och avtalstid
4.1 Avtalet anses ingånget när Parterna signerat Avtalet.
4.2 Avtalet avseende Tjänsterna kan när som helst skriftligen sägas upp av endera parten till upphörande. Vid uppsägning upphör Xxxxxxx att gälla den sista dagen av den vid uppsägningen innevarande månaden. Xxxxxx är skyldig att till utgången av den månad under vilken uppsägning har skett erlägga avgifter enligt vad som följer av Avtalet mellan parterna. Detta gäller även om Xxxxxx inte har utnyttjat Tjänsterna eller inte kunnat utnyttja dem på grund av försening, driftsavbrott eller annan omständighet som Kunden inte visar är hänförlig till Leverantören, varför sådan omständighet inte befriar Kunden från skyldighet att erlägga avgifter enligt ingånget Avtal.
5. Avtalets omfattning och förutsättningar
5.1 Tjänsterna som omfattas av detta Avtal vidareutvecklas kontinuerligt. Innehållet i Tjänsterna exemplifieras i bilaga 1.
5.2 Avtalet ger Kunden rätt till att nyttja Tjänsterna dygnet runt under avtalsperioden.
5.3 Tjänsterna finns att tillgå genom webbläsare. Det är Kundens ansvar att inneha tekniskt fullgod datorutrustning, inklusive bredbandsanslutning till Internet, för att kunna använda Tjänsterna.
5.4 Det är Kundens ansvar att samtliga användare i Kundens regi innehar god kompetens i användning av Tjänsterna.
5.5 Kunden får genom Tjänsterna tillgång till programmets funktioner för administration av elever i en trafikutbildning. Kunden kan välja vilka funktioner som Kunden ska använda, men Kunden kan inte bestämma vilka funktioner som ska vara tillgängliga i Tjänsterna.
5.6 Leverantören kan komma att introducera nya funktioner i Tjänsterna, vilket kan påverka användargränssnittet och befintliga funktioner.
6. Särskilda villkor kopplat till enskilda moduler.
6.1 Webbsidor
Leverantören äger den tekniska lösningen. Kunden ansvarar för att innehållet på sidan följer gällande regelverk för internet- publikationer. Vid upphörande av tillgången till Tjänsterna upphör även leveransen av webbprodukten. Xxxxxx är sedan själv ansvarig för att flytta sin domän till en ny domänleverantör.
6.2 API: et för webbsidor
API: et kan endast användas på Kundens egen webbplats. All annan användning strider mot detta Avtal och kommer att leda till avstängning av API: et. Ytterligare villkor om API-tjänsten finns i API-dokumentationen som kan begäras från Leverantörens support. Genom att använda API-tjänsten accepteras de tillhörande användarvillkoren.
6.3 SMS
Kunden får endast använda tjänsten gentemot sina egna kunder, för SMS-avisering om planerade utbildningsaktiviteter.
6.4 Söka personuppgifter i SPAR – Statens Personadressregister
Kunden får endast använda tjänsten för att kontrollera personuppgifter för elever som registreras för att genomföra utbildning i Kundens regi.
7. Uppgiftsbehandling
7.1 Genom att Användare loggar in och använder sig av Tjänsterna, lämnar Användaren vissa uppgifter kopplade till sin identitet, benämns personuppgifter. Leverantören kommer även att automatiskt inhämta uppgifter om Användare av Tjänsterna, så som uppgifter om antal besök, användarmönster, IP-adresser och inloggningstider. Vidare kan viss annan information automatiskt inhämtas genom användandet av så kallade cookies. Genom att registrera samtycke i separat användaravtal accepterar Användare att Leverantören sparar och behandlar dessa uppgifter, i syfte att fullgöra och utöva sina skyldigheter och rättigheter gentemot Användaren.
7.2 Uppgifterna kan även komma att behandlas i syfte att analysera och utveckla Tjänsterna. Användares personuppgifter kommer att sparas så länge avtalsrelationen mellan Användare och Leverantören består och för en tid därefter om det är nödvändigt för att Leverantören ska kunna fullgöra sina kvarstående skyldigheter eller utöva sina rättigheter gentemot Användare.
7.3 Användare har rätt att genom skriftlig framställning till Leverantören begära att få ut information om den behandling av Användarens personuppgifter som förekommer. Sådan utlämning sker utan kostnad maximalt en gång per år. Vid mer frekvent eller uppenbart orimliga krav på utlämning har Leverantören rätt att ta ut en kostnad för uttag och överlämning av behandlade personuppgifter till Användare. Leverantören kommer inte att vidarebefordra uppgifterna till tredje man, såvida inte sådan vidarebefordran sker till myndigheter till följd av tvingande lag eller beslut.
8. Support, service och tillgänglighet
8.1 Support
a) Leverantören tillhandahåller information, guider och artiklar via Hjälpcentret (xxxxxxx.xxx.xx)
b) Leverantören erbjuder support via företrädesvis digitala kanaler som webbaserad chat-funktion och e-post, samt via telefon. Leverantörens målsättning är att återkoppling ges innan nästkommande arbetsdags slut.
c) Leverantörens supportfunktion är bemannad under vardagar (måndag – torsdag 08.00 – 17.00, fredagar 08.00 - 15.00). Frågor och/eller supportärenden kan när som helst registreras via de digitala kanalerna.
d) Leverantörens supportansvar omfattar inte Kundens mjuk- eller hårdvara såsom operativsystem, webbläsare, dator, skrivare, router, e-postprogram, internetleverantör etc.
e) Xxxxxx åtar sig att ge Leverantörens supportpersonal administratörsrättighet till Kundens IT-miljö, så att Kundens uppgifter och inställningar vid behov blir tillgängliga för korrigering. Leverantören förbinder sig att tillse att dennes supportpersonal har tystnadsplikt i förhållande Kundens data som de får kunskap om och som inte sedan tidigare inte
redan är allmänt känt.
8.2 Underhåll
Leverantören har rätt att när som helst göra förbättringar i Tjänsterna tillgängliga för Kundens personal och Kundens kunder. Leverantören ska informera Kunden i förväg om väsentliga förbättringar.
8.3 Servicenivå
Leverantören ska åtgärda sådana fel i Tjänsterna som gör att Tjänsterna inte fungerar i enlighet med Bilaga 1, enligt tabellen nedan:
Fel | Prioritet | Reaktionstid |
Kritiska eller allvarliga fel som hindrar eller allvarligt begränsar användningen av Tjänsterna | 1 – Kritiska | Helgfri vardag: 1 timme Övriga dagar: 2 timmar |
Betydande fel som inte obetydligt begränsar användningen av Tjänsterna | 2 – Betydande | Helgfri vardag: 2 timmar Övriga dagar 4 timmar |
Mindre fel med liten eller ingen påverkan på Tjänsterna | 3 – Mindre | 1 helgfri vardag |
9. Ansvarsförhållande
9.1 Leverantören ansvarar inte heller för Kundens förlust eller skada som uppkommer genom tillgång till eller nyttjande av Tjänsterna. Detta inbegriper till exempel förlust eller skada på tredjepartsapplikationer, mjukvara eller innehåll postat till eller genom Tjänsterna eller innehåll som överförts till Kunden eller tredje part. Leverantören ansvarar inte heller för kostnader eller förluster kunden kan ha till följd av driftstopp, tillträde av obehöriga eller Force Majeure. Var och en av parterna ansvarar för att uppfylla sina skyldigheter enligt externa lagkrav (lagar, förordningar och myndighetskrav). Leverantören frånsäger sig allt ansvar till följd av att kunden har registrerat felaktiga uppgifter i Tjänsterna.
9.2 Ansvarsbegränsning enligt pkt 9.1 gäller inte om förluster eller skador beror på avsiktliga fel från Leverantörens sida eller på grund av Leverantörens grova vårdslöshet eller uppsåt.
9.3 Kunden ska hålla Leverantören skadeslös för alla krav som tredje man riktar mot Leverantören på grund av att Kunden eller dess Användare använt Tjänsterna på ett felaktigt sätt eller på annat sätt tillhandahållit data eller annat material vid användning av programmet i strid med avtalet mellan parterna och Allmänna villkor.
9.4 Om Kunden genom Tjänsterna får tillgång till data som Xxxxxx inte har behörighet till, ska detta vid äventyr av rättsliga åtgärder omgående meddelas till Leverantören.
9.5 Vid Kundens uteblivna betalning av fodringar till Leverantören,
oberoende av om fordringarna är hänförliga till Tjänsterna eller annat avtal eller rättsförhållande med Leverantören, har Leverantören rätt att spärra Kundens tillgång till Tjänsterna med en veckas varsel, till dess Kunden reglerat sina fordringar med Leverantören till fullo.
9.6 Innehållet i andra webbplatser som Tjänsterna i förekommande fall länkar till har Leverantören ingen kontroll över och ansvarar inte heller för detta. Leverantören påtar sig sålunda inget som helst ansvar eller skadeståndsskyldighet för eventuell direkt eller indirekt skada som förorsakats eller påstås ha förorsakats av eller i samband med användning eller tilltro till innehåll på sådana andra webbplatser.
10. Avgifter för Tjänsterna och service
10.1 Om annat inte särskilt avtalats utgår avgifter enligt Leverantören vid varje tid gällande prislista för Xxxxxxxxxx som publiceras på xxxxx://xxxxx.xxx.xx/.
10.2 Avgifter för Tjänsterna utgår i form av
a) abonnemangsavgift för tillgång till Tjänsterna och service och
b) behörighetsavgift för Kundens elev. Avgiften gäller alla elever som aktiveras i Tjänsterna hos Kunden och för varje behörighet eleven utbildas i hos Kunden
c) Avgifter för eventuellt förekommande e-handel och webbplats
d) kostnader för SMS som uppkommer vid tillämpning av i Tjänsterna ingående valbar funktion, som innebär att Kunden via Tjänsterna kan till fastställt pris skicka SMS till sina Användare
e) Avgift per Xxxxxxx elev vid riskutbildning och introduktions- utbildning. Denna avgift gäller för Kund som enbart bedriver introduktions- och/eller riskutbildning
f) Avgift för eventuellt förekommande sökningar i SPAR via Tjänsten
Samtliga avgifter är exklusive mervärdesskatt, om inte annat särskilt avtalats.
10.3 Avgifterna faktureras varje kalendermånad. Betalningsvillkor är 30 dagar netto, om inte annat särskilt har avtalats mellan Parterna. Om Xxxxxx inte har utnyttjat Tjänsterna eller inte kunnat utnyttja dem på grund av försening, driftsavbrott eller annan omständighet som Kunden inte kan visa är hänförlig till Leverantören, befriar detta inte Kunden från skyldighet att erlägga avgifter enligt ingånget avtal.
10.4 Undantaget från 10.3 ovan, avser 10.2 f), avgift för sökning i SPAR via Tjänsten, som faktureras årsvis i efterskott
10.5 Leverantören kan komma att tillföra nya avgiftsbelagda moduler till Tjänsterna. Avgift för utökade moduler utgår först efter att Kunden aktivt, skriftligen begärt tillgång till dessa och därvid godkänner att Tjänsterna utökas med dem.
10.6 Vid dröjsmål med betalning av avgifter, utgår dröjsmålsränta enligt räntelagen, om inte annat särskilt avtalats.
10.7 Leverantör äger rätt att kontrollera att Kunden registrerar samtliga Kundens elever med relevant, korrekt behörighet. Har Kunden underlåtit att registrera elev betraktas detta som ett brott mot villkoren i detta Avtal.
10.8 Kunden ska snarast meddela Leverantören om faktura anses felaktig. Sker detta inte inom 10 dagar efter fakturadatum förlorar Xxxxxx rätten att göra invändning mot fakturan. Har Kunden i tid invänt mot fakturan och anför en saklig grund mot debiteringen, ska Leverantören medge anstånd med betalningen av det tvistiga beloppet.
10.9 Kunden ska skriftligen informera Leverantören om eventuella ändringar i faktureringsadresser.
11. Immateriella rättigheter
11.1 Alla immateriella rättigheter till Tjänsterna, innehållet till dessa, eventuella manualer eller informationsmaterial som har samband härmed och som tillhandahålls av Leverantören, är och förblir Leverantörens egendom eller dess licensgivares egendom, såväl under som efter Avtalets giltighetstid
11.2 Kunden erhåller genom Avtalet en icke-exklusiv och icke-överlåtbar rätt att använda den Tjänsterna och till dessa relaterat material, som görs tillgänglig för Kunden i samband med Kundens användning av Tjänsterna. Kunden får inte kopiera vare sig dokumentation till eller programkod i Tjänsterna.
12. Förtida uppsägning
12.1 Leverantören äger rätt att säga upp Avtalet helt eller delvis i förtid och med omedelbar verkan, om Kunden kommit på obestånd eller det finns befarad anledning att Kunden kan komma på obestånd. Om Xxxxxxx sagts upp av Leverantören enligt ovan, eller till följd av att Xxxxxx i väsentligt avseende åsidosatt sina skyldigheter, är Xxxxxx skyldig att inom trettio (30) dagar efter fakturadatum betala summan av samtliga de avgifter som skulle betalats under Avtalets hela löptid
12.2 Kunden får hämta ut rapporter från Systemet under två (2) månader från det att Xxxxxxx sagts upp. Om Xxxxxx har oreglerade skulder till Leverantören, hänförlig till Tjänsterna eller annan grund, har Leverantören dock rätt att vägra lämna ut rapporter till dess att full betalning erlagts
12.3 Kunden förbinder sig att inte, varken direkt eller indirekt i egenskap av ägare, delägare, styrelseledamot, rådgivare, anställd eller uppdragstagare eller i annan egenskap bedriva eller på annat sätt främja verksamhet som konkurrerar med Tjänsterna
12.4 Vardera Part kan säga upp detta Avtal till omedelbart upphörande om motparten i väsentligt avseende åsidosätter sina skyldigheter enligt Xxxxxxx.
13. Överlåtelse av avtalet
Kundens rättigheter och/eller skyldigheter enligt detta Avtal får inte, helt eller delvis, överlåtas eller pantsättas utan Leverantörens skriftliga godkännande. Xxxxxx detta har Leverantören rätt att överlåta sina rättigheter och skyldigheter till Leverantörens Närstående bolag.
14. Underleverantörer
Om Part använder sig av underleverantör för fullgörande av sina åtaganden enligt Xxxxxxx, svarar Part för sådana underleverantörer såsom för egen räkning.
15. Sekretess
Part förbinder sig att inte, varken under detta Avtals giltighetstid eller därefter, för utomstående avslöja sådan Konfidentiell information som Part erhållit från Part och som är av sådan art att den är att betrakta som Parts affärshemlighet. Part ska också
vidtaga erforderliga åtgärder för att förhindra att sådana affärshemligheter avslöjas för utomstående av Parts anställda eller av denne inhyrd personal.
16. Bestämmelses ogiltighet
Skulle någon bestämmelse i Avtalet eller del därav befinnas ogiltig, ska detta inte innebära att Avtalet i dess helhet är ogiltigt, för såvitt inte Parts åtaganden utan den ogiltiga delen av Avtalet framstår som oskäligt betungande
17. Passivitet
17.1 Parts underlåtenhet att utnyttja någon rättighet enligt Xxxxxxx eller underlåtenhet att påtala visst förhållande hänförligt till Avtalet innebär inte att Part frånfallit sin rätt i sådant avseende.
18. Tillämplig lag och tvistlösning
18.1 Svensk lag ska tillämpas på Avtalet mellan Parterna avseende Tjänsterna
18.2 Tvist angående tillämpningen eller tolkningen av Avtalet mellan Parterna och därmed sammanhängande rättsförhållande ska i första hand lösas genom förhandlingar mellan Parterna.
18.3 Kan Parterna inte genom förhandlingar lösa tvist, ska tvisten slutligt avgöras av allmän domstol med Helsingborgs tingsrätt som första instans.
Avtalet signeras digitalt, varefter Parterna tagit var sitt exemplar
Landskrona den ……./…….. 2023 XXXXXXXXX den ……./ 2023
STR Service AB Trafikutbildaren
....................................................... .......................................................
Xxxxx Xxxxxxxxx/VD
Bilaga 1 – Allmänna villkor
1. Allmänt
1.1 Leverantören tillhandahåller Tjänsterna enligt Xxxxxxx genom webbdomänen xxxxxxxxx.xx. samt förekommande underdomäner, till exempel, men ej begränsat till xx.xxxxxxxxx.xx. Tjänsterna syftar till att underlätta och optimera administration Kunden av elever i en trafikutbildning. Avtalet kan komma att omfatta ytterligare tillkommande tjänster enligt de närmare bestämmelserna härom nedan
1.2 Parterna har slutit Avtal om tillhandahållande av Tjänsterna. I enlighet härmed åtar sig Leverantören att ansvara för drift, tillgänglighet, service och support avseende Tjänsterna i enlighet med Avtalet.
1.3 Kunden ansvarar ensamt för att nyttjandet av Tjänsterna sker i enlighet med Avtalets villkor, samt att endast behöriga personer har tillgång till Tjänsterna, dess användning och innehåll.
2. Ändring av villkoren
Dessa Allmänna villkor gäller tills vidare. Leverantören äger rätt att med för Kunden bindande verkan, ensidigt ändra dessa Allmänna villkor genom skriftlig underrättelse till Kunden eller genom publicering av dessa i Systemet. Ändringar av villkoren träder i kraft när Kunden godkänt dem, eller senast trettio (30) dagar efter ändringarna meddelades. Kunden har rätt att skriftligen inkomma med synpunkter på ändringarna till Leverantören. Om Parterna inte kommer överens om aktuella ändringar av Allmänna villkoren äger Leverantören rätt att spärra Kundens tillgång till Tjänsterna.
3. Force Majeure
Part är befriad från påföljd för underlåtenhet att fullgöra viss förpliktelse enligt Xxxxxxx, om underlåtenheten har sin grund i omständighet, så kallad befriande omständighet, som part inte råder över och som förhindrar fullgörandet därav. Så snart hindret upphört, ska förpliktelsen återupptas på avtalat sätt.
Såsom befriande omständighet anses krig, krigshandling, myndigheters åtgärd, nytillkommen eller ändrad lagstiftning, konflikt på arbetsmarknaden och därmed jämställda omständigheter. För att få befrielse enligt första stycket ovan meddelar Part utan dröjsmål den andra Parten härom. Part informerar även motparten om när fullgörelse beräknas kunna ske.
Bilaga 2 – Specifikation av ingående huvudfunktioner i Systemet, Optima
1. Allmänt
1.1 Systemet består av ett molnbaserat mjukvarusystem med tredjepartsintegrationer
1.2 Systemet har god säkerhet, vars funktioner underlättar korrekt behandling av personuppgifter
1.3 Systemet är svenskspråkigt, med specialanpassade funktioner för trafikutbildare.
2. Huvudfunktioner
Systemets huvudfunktioner inkluderar:
• Schemamodul – Schema för skola, lärare, elev och resurser (fordon, lokaler, banor etc.)
• Kommunikationsmodul – för kommunikation mellan trafikutbildare/lärare och elev
• Utbildningskort – för registrering och dokumentation av utbildning
• Faktureringsmodul – för utskick av faktura och försäljnings- dokumentation
• Betalningsmodul – för betalningar från Kundens kund via Systemet till Kunden
• Kundreskontra
• Rapportmodul – för verksamhetsstyrning, för betalnings- och bokföringsunderlag
• Webbsidor för trafikskolor och API:et
• E-handel
• Nya Elevcentralen – elevens sida samt applikationen Nya Elevcentralen
• Elevkortet
• Bokningsmodul, trafikskola/trafikövningsplats
Bilaga 3 – Personuppgiftsbehandlingsavtal enligt gällande rätt, avseende skydd vid behandling av personuppgifter
Parter
Personuppgiftsansvarig – PuA1
AA Trafikskola Organisationsnr Adress Postadress Ombud Telefonnr
E-post
Personuppgiftsansvarig – PuA2 | |
STR Service AB | |
Org. Nr: | 556059-9739 |
Adress | Xxxxxxxxx 0 |
Postadress | 261 44 Landskrona |
Ombud | Systemägare |
Telefonnr | 0000-00 00 00 |
E-post | |
I avtalet benämns ovanstående avtalsparter i förening ”Parterna”.
1. Bakgrund och syfte
1.1 Parterna har ingått avtal i vilket AA får tillgång till verksamhetssystemet Optima, med tillhörande kringtjänster, tillsammans benämnt ”Tjänsterna”. Genom tillhandahållandet av Tjänsterna kommer STR Service AB (i det följande benämnd PuA2) att behandla personuppgifter på företaget AA:s uppdrag.
1.2 Parterna har kommit överens om att behandling av personuppgifter, inom ramen för Tjänsterna och detta Avtal sker med Parterna som gemensamt personuppgiftsansvariga, i enlighet med Dataskydds- förordningen, Artikel 26. Syftet med detta Personuppgiftsbehandlings- avtal är att säkerställa Parternas gemensamma och ömsesidiga personuppgiftsansvar, enligt gällande rätt, avseende skydd vid behandling av personuppgifter, genom i detta Avtal specificerade villkor och instruktioner.
1.3 PuA2 ansvarar för att endast anlita Personuppgiftsbiträde som ger tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i detta Avtal och säkerställer att den registrerades rättigheter skyddas. PuA2 ansvarar också för att de gemensamt överenskomna instruktionerna förmedlas till och upprätthålls av Personuppgiftsbiträdet, i det följande benämnd PuB.
1.4 Vidare regleras vilka personuppgifter som PuB i enlighet med instruktioner får behandla för de gemensamt personuppgiftsansvarigas räkning, samt vilka säkerhetsåtgärder som PuB ska vidta för att skydda de personuppgifter som behandlas.
2. Definitioner
Detta avtal har motsvarande definitioner som återfinns i gällande rätt avseende personuppgiftsskydd, enligt nedan
- personuppgiftsansvarig, nedan kallad PuA, avser Parterna, som gemensamt bestämt ändamålen med och medlen för behandlingen av personuppgifter
- personuppgiftsbiträde, nedan kallad PuB, avser den som behandlar personuppgifter för de gemensamt personuppgiftsansvarigas räkning
- personuppgiftsunderbiträde, avser den som behandlar personuppgifter som kontrakterad, extern underleverantör till personuppgiftsbiträde
- behandling av personuppgifter avser en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring
- instruktion avser beskrivning av åtgärder och rutiner för att säkerställa att behandling av personuppgifter sker i enlighet med gällande rätt avseende personuppgiftsskydd – se Instruktion för personuppgiftsbehandling
- personuppgifter avser varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet
- personuppgiftsincident, avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats och i övrigt behandlas.
- gällande rätt avseende personuppgiftsskydd avser;
o Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), vilken träder i kraft den 25 maj 2018
o De kompletterande bestämmelser till EU:s Dataskyddsförordning, som framgår av Dataskyddsutredningens betänkande
SOU 2017:39 och SOU2017:52, som antas som lag av Sveriges riksdag
3. Behandling av personuppgifter
PuB och PuuB behandlar de personuppgifter som ingår i de Tjänster enligt pkt 1 som tillhandahålles PuA och som är nödvändiga för att PuA ska kunna fullgöra sin verksamhet och sitt uppdrag gentemot dess kunder och övriga intressenter.
4. Instruktion
PuB får endast behandla de personuppgifter som är nödvändiga för att fullgöra sitt uppdrag för PuA. Åtkomsten till personuppgifter ska begränsas till sådana personer som behöver dem för att kunna utföra sina arbetsuppgifter. Vidare beskrivning återfinns i Bilaga 4 – ’Instruktion avseende behandling av personuppgifter’.
5. PuA:s åtagande och ansvar
5.1 PuA1 och PuA2 har gemensamt och under öppna former fastställt respektive Parts ansvar och skyldigheter. Detta innebär att PuA1 ansvarar för korrekt behandling av personuppgifter som omfattar PuA1:s anställda, eventuellt inhyrd personal samt dess kunder. PuA2 ansvarar för korrekt behandling av personuppgifter som omfattar PuA2:s anställda, kunder och leverantörer. Vidare ansvarar PuA2 för det operativa samarbetet med, samt instruktion till och övervakning av PuB:s verksamhet för PuA:s räkning, enligt detta Avtal.
5.2 PuA ska tillse att behandlingen sker i enlighet med gällande rätt avseende behandling och skydd av personuppgifter, samt Integritetsskyddsmyndighetens från tid till annan tillämpliga regelverk och rekommendationer. Detta innebär bland annat – men inte begränsat till – att PuA ansvar för dokumentation av vilka kategorier av personuppgifter och kategorier av personer som behandlas för respektive Part, samt i tillämpliga fall inhämtande och dokumentering av samtycke från personer vars uppgifter behandlas.
5.3 PuA2 ska utan dröjsmål informera PuB om förändringar i behandlingen vilka påverkar PuB:s skyldigheter enligt avtalad Instruktion. PuA2 ska även informera PuB om tredje parts, däribland Integritetsskyddsmyndighetens och den registrerades, åtgärder med anledning av behandlingen.
5.4 PuA:s kontrollansvar enligt gällande rätt avseende personuppgiftsskydd, såvitt avser PuB:s uppfyllelse av detta avtal, sker på PuA:s bekostnad. Kontroll kan ske genom anlitande av tredje man.
5.5 PuA ansvarar gentemot de personer som respektive PuA registrerat, vad gäller individs begäran om uttag, ändring, radering, begränsning av behandling av individens personuppgifter.
5.6 PuA1 ansvarar i första hand för effektuering av inkommen begäran enligt pkt 5.5 från person som registrerats av PuA1.
5.7 PuA2 ansvarar för effektuering av inkommen begäran enligt pkt 5.5 från person som registrerats av PuA2, samt som stöd till PuA1, om så påkallas av PuA1, för effektuering av begäran enligt pkt 5.5
6. PuB:s åtagande och ansvar
6.1 PuB ska följa gällande rätt avseende behandling och skydd av personuppgifter, samt dokumenterade instruktioner från PuA2. Om PuB saknar instruktioner som PuB bedömer är nödvändiga för att genomföra det uppdrag PuB erhållit från PuA2 ska PuB, utan dröjsmål, informera PuA2 om detta och invänta de instruktioner som PuA2 bedömer behövs.
Om PuB anser att PuA2:s instruktioner står i konflikt med gällande rätt, ska XxX omedelbart underrätta PuA2.
6.2 PuB ansvarar för att den eller de personer som arbetar under dennes ledning besitter nödvändig teknisk och organisatorisk kapacitet och förmåga, inbegripet tekniska lösningar, kompetens, ekonomiska och personella resurser, rutiner och metoder, att fullgöra sina skyldigheter enligt detta avtal och gällande rätt.
6.3 För det fall att registrerad eller annan tredje man begär ut information från PuB som rör behandling av personuppgifter ska PuB i första hand hänvisa till PuA1. Om myndighet begär information från PuB ska PuB omedelbart informera PuA2.
6.4 PuB ska utan dröjsmål informera PuA2 om eventuella kontakter från Integritetsskyddsmyndigheten som rör eller kan vara av betydelse för behandling av personuppgifter. PuB har inte rätt att företräda PuA eller agera för PuA:s räkning gentemot Integritetsskyddsmyndigheten eller annan tredje man.
6.5 PuB är skyldig att lämna PuA2 den assistans som behövs för att PuA2 ska kunna uppfylla sitt kontrollansvar enligt gällande rätt avseende personuppgiftsskydd, såvitt avser PuB:s uppfyllelse av detta avtal.
6.6 PuB skall vid behov assistera PuA2 med att ta fram information som begärts av Integritetsskyddsmyndigheten eller registrerad.
6.7 PuB ska skriftligen och senast trettio (30) dagar innan en planerad ändring av behandlingsförfarandet, däribland tekniska och organisatoriska ändringar som kan påverka skyddet av personuppgifterna och XxX:s efterlevnad av gällande rätt, informera PuA2. Ändringarna får endast genomföras efter PuA2:s skriftliga samtycke.
7. Personuppgiftsunderbiträde
7.1 PuA ger PuB ett generellt godkännande att anlita underbiträden för behandling av personuppgifter inom ramen för Tjänsterna och detta Avtal.
7.2 PuB ansvar för att ett underbiträdes behandling av personuppgifter sker på samma villkor och med samma skydd av personuppgifter som definieras i detta Avtal och att ett motsvarande avtal mellan PuB och underbiträde är undertecknat innan behandling kan ske.
7.3 PuB är ansvarig gentemot PuA för underbiträdes genomförande, eller brister däri, av uppdraget.
8. Överföring av personuppgifter till tredje land
9. Säkerhet och sekretess
9.1 PuB ska vidta åtgärder som definieras i gällande rätt avseende person- uppgiftsskydd, vilket innebär att PuB ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter, som behandlas å PuA:s vägnar, mot obehörig åtkomst, förstörelse och ändring. Dessa åtgärder ska specificeras på angiven plats i separat dokument, ’Instruktion avseende behandling av personuppgifter’.
9.2 PuB ska behandla personuppgifter med sekretess enligt lagen om offentlighet och sekretess (2009:400), samt att personer med behörighet att behandla personuppgifterna hos PuB har ingått särskild sekretessförbindelse eller upplysts om att särskild tystnadsplikt föreligger enligt avtal eller Gällande rätt.
10. Särskild ersättning
PuB äger rätt till skälig ersättning vid assistans till PuA enligt beskrivning i punkterna 6.3 – 6.6 samt 11.
11. Ansvar gentemot tredje man
11.1 PuB ska hålla PuA skadeslös för sådana krav som följer av att PuB inte efterföljt detta Avtal. PuA2 ska omedelbart underrätta PuB i det fall skadeståndskrav mottagits. PuB ska biträda PuA2 i hantering av ärenden eller mål om skadestånd.
11.2 PuB ska inte hållas skyldig i det fall skadeståndskrav uppkommit på grund av PuA:s underlåtelse enligt Gällande rätt eller detta avtal.
12. Avtalstid
13. Lagval och tvistlösning
13.1 Svensk lag ska tillämpas på detta avtal.
13.2 Parterna åtar sig att hålla eventuella tvister, inklusive avgöranden, konfidentiella, med undantag för om Part behöver bryta ovannämnd konfidentialitet för att tillvarata sina rättigheter under avtalet, ett avgörande eller gällande rätt.
14. Upphörande av behandling av personuppgifter
Vid upphörande av PuB:s behandling av personuppgifter för PuA:s räkning, ska PuB antingen återlämna alla data som innehåller personuppgifter på samtliga media som den behandlats/lagrats på, eller radera samtliga personuppgifter.
På begäran av PuA ska PuB skriftligen intyga att alla personuppgifter antingen har överlämnats eller raderats.
Bilaga 4 – Instruktion avseende behandling av personuppgifter
PuB får endast behandla personuppgifter, för PuA:s räkning enligt nedanstående specifikation.
Registerinformation
Systemets namn | Optima |
Systemets fysiska placering | Norge, Oslo |
Behandling av Personuppgifter (PU)
Vilka kategorier av registrerade behandlas | PuA1:s anställda, eventuellt inhyrd personal och kunder. PuA2:s anställda, eventuellt inhyrd personal, medlemmar, intressemedlemmar, samt kunder |
Vilka kategorier av PU behandlas | Personnummer, namn, telefon, fysisk adress, e-postadress och kundnummer. Organisationsnummer, enskilda näringsidkare. |
Behandlingens syfte | Förberedelse och administration av avtal (fullgörande avavtal) Det huvudsakliga ändamålet med PuA:s behandling av personuppgifter är att samla in, kontrollera och registrera de personuppgifter som krävsinför ett ingående av ett avtal med angivna kategorier av registrerade, samt att dokumentera, administrera och fullgöra ingångna avtal som t ex service kring leverantörsreskontra, påminna om betalning, fakturaunderlag, leveransunderlag. Uppfyllande av förpliktelser enligt lag, annan författning eller myndighetsbeslut (rättslig förpliktelse) I anslutning till stycket ovan (Förberedelse och administration av avtal) sker också behandling av personuppgifter för att PuA ska kunna uppfylla sina förpliktelser enligt lag, annan författningeller myndighetsbeslut. Exempelvis gentemot Transportstyrelsen eller Skattemyndigheten. Marknads- och kundanalyser samt systemutveckling och marknadsföring (berättigat intresse) Personuppgifter behandlas också för utförande av marknads- och kundanalyser samt systemutveckling, som ett led i PuA2:s affärsutveckling i syfte att förbättra företagets produkter och tjänster gentemot kunderna. Kundanalyser görs även för att motverka bedrägerier. PuA2 använder ibland avidentifierad information för statistiska ändamål, politiska frågor samt tjänste- och produktutveckling |
Hur har PU förvärvats | Registrering av individen själv (PuA:s kund), eller vid registrering av avtal, eller vid köp via PuA2:s kundportal Registrering av PuA; dess anställda, eventuellt inhyrd personal, medlemmar, intressemedlemmar leverantörer samt kunder |
Lagringstid | PuB behandlar och lagrar personuppgifter enligt följande: Hanteras enligt regelverket kring laglig grund samt tidsramar som visas i Optima TABS under avtal och GDPR. |
Personuppgiftsbiträde
Biträdets namn | STR Media & IT AB |
Behandlingsplatsens namn & placering | På servrar med fysisk placering i XXXXX, Sverige |
Kontaktuppgifter | STR Media och IT AB Xxxxxxxxx 0 000 00 Xxxxxxxxxx Xxxxx: 0418–401000 |
Personuppgiftsunderbiträde
Biträdets namn | Lime Green AS |
Behandlingsplatsens namn & placering | På servrar med fysisk placering i XXXXX, Sverige |
Kontaktuppgifter | Xxxxxxx xxxx 00 |
Överföring till tredje land (utanför EU/EES)
Omfattning av | Inte aktuellt |
överföringen av PU | |
Behandlingsplatsens namn & placering |
Kontaktuppgifter |
Säkerhet för Personuppgifter | |
Ange skyddsåtgärder, enligt Artikel 32 – Dataskyddsförordningen | PuB ska genomföra tekniska, fysiska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå och skydda Personuppgifter mot oavsiktlig eller olaglig behandling, oavsiktlig förlust, förstöring, ändring, skador eller otillåten åtkomst. PuB:s säkerhetsåtgärder ska uppfylla gällande Dataskyddslagstiftnings krav på säkerhet för personuppgifter, samt eventuellt ytterligare åtgärder som framgår av PuBs instruktioner. I det fall PuB behandlar känsliga personuppgifter vilka omfattas av sekretess, ställs särskilt höga säkerhetskrav. PuA ska då lämna ytterligare instruktioner om säkerhetsåtgärder. PuB har ett behörighetskontrollsystem som förhindrar obehörig behandling av personuppgifter och obehörig åtkomst till personuppgifter. PuB använder vidare ett loggsystem som möjliggör att behandling av personuppgifter kan spåras. Dessa loggar har ett adekvat säkerhetsskydd. Genom behörighetskontrollsystemetet begränsas åtkomsten till personuppgifterna till sådana personer som arbetar under PuB:s ledning och som behöver personuppgifterna för att utföra sina arbetsuppgifter för fullgörande av avtalen mellan PuB och PuA |