Personuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal
mellan Jetas Quality System AB, xxx.xx -xxxx (nedan kallad ”Personuppgiftsbiträde” eller ”Jetas”) och xxx.xx xxxxxx-xxxx (nedan kallad ”Personuppgiftsansvarig” eller ”Kund”)
Personuppgiftsbiträdet och den Personuppgiftsansvarige benämns nedan gemensamt ”Parterna” eller var för sig ”Part”.
1. Bakgrund och syfte
1.1 Parterna har separat ingått ett avtal enligt vilket Jetas ska bistå Kunden med ärendehanteringsstöd för t.ex drift, underhåll, persontrafik (”Uppdragsavtalet”). Uppdraget medför att Jetas behandlar personuppgifter för Kundens räkning.
1.2 Syftet med detta avtal är att reglera parternas rättigheter och skyldigheter gällande den behandling av personuppgifter som Jetas utför för Xxxxxxx räkning, för att härigenom säkerställa att personuppgifterna behandlas i enlighet med gällande dataskyddslagstiftning, innefattande dataskyddslagen, förordningen om dataskydd, EU:s dataskyddsförordning (GDPR) samt vad som kan gälla i deras ställe.
1.3 Såvida inte annat uttryckligen anges ska definitioner och uttryck som används i detta avtal ges den innebörd och tolkning som gäller enligt EU:s dataskyddsförordning.
2. Personuppgiftsbehandlingens ändamål och omfattning
2.1 Ändamålet med den behandling av personuppgifter som Jetas utför enligt detta avtal är att kunna fullgöra sina åtaganden enligt Uppdragsavtalet. Behandlingen sker genom att Jetas på uppdrag av och enligt instruktion från Kunden, själv eller genom anlitat annat personuppgiftsbiträde (underbiträde), tar emot, registrerar, organiserar, lagrar, läser, överför, använder samt löpande uppdaterar personuppgifterna i det system/den plattform f ör kunduppdrag som Jetas från tid till annan använder.
2.2 Följande kategorier av registrerade kan vara föremål för behandling av personuppgifter enligt detta avtal.
- Företag
- Namn (För- och efternamn)
- Mejl adress (E-post)
- Mobiltelefonnummer
2.3 Den typ av personuppgifter som kan vara föremål för behandling enligt detta avtal är.
- Företag
- Namn (För- och efternamn)
- Mejl adress (E-post)
- mobiltelefonnummer
2.4 Behandlingen av personuppgifterna kommer ske under avtalsperioden för Uppdragsavtalet samt den tid därefter som krävs för radering och/eller återlämnande av uppgifterna, såvida inte längre lagring av Jetas krävs enligt gällande rätt, se punkt 4.8 nedan.
2.5 Kunden är införstådd med och accepterar att Jetas bistånd till Kunden när det gäller utövandet av vissa av de registrerades rättigheter är begränsat till sådana personuppgifter som behandlas av och finns i Jetas strukturerade och sökbara register inom ramen för Uppdragsavtalet, se punkt 4.7 nedan.
3. Den Personuppgiftsansvariges skyldigheter
3.1 Kunden åtar sig att hålla sig väl informerad om och följa gällande dataskyddslagstiftning, Datainspektionens föreskrifter, riktlinjer, allmänna råd och beslut samt vad som på området av Datainspektionen och behöriga domstolar anses utgöra god sed vid behandling av personuppgifter.
3.2 Kunden ska vid detta avtals ingående och löpande därefter ge Jetas tydliga instruktioner när det gäller den personuppgiftsbehandling som ska utföras enligt avtalet, och ska utan dröjsmål, till Jetas anmäla alla förhållanden som kan medföra behov av förändringar i det sätt som Jetas behandlar personuppgifterna. Xxxxxx ska även i övrigt svara på frågor från och samarbeta med Jetas i den utsträckning som Jetas begär i syfte att kunna fullgöra sina skyldigheter som Kundens personuppgiftsbiträde.
4. Personuppgiftsbiträdets skyldigheter
4.1 Instruktioner
Jetas får endast behandla personuppgifterna baserat på dokumenterade instruktioner från Kunden, såvida inte behandlingen krävs enligt lagstiftning som Jetas omfattas av, bilaga 1.
I sådant fall ska Jetas informera Xxxxxx om det rättsliga kravet innan behandlingen påbörjas, såvida inte hinder mot lämnande av sådan information föreligger enligt lag.
Jetas är ansvarigt för att säkerställa personuppgifternas konfidentialitet och att vidta sådana tekniska och organisatoriska säkerhetsåtgärder som är lämpliga i förhållande till den risk som behandlingen av personuppgifterna innebär. Särskild hänsyn ska tas till risken för oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till personuppgifterna.
4.2 Säkerhetsåtgärder
Jetas ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifterna behandlas i enlighet med kraven i dataskyddslagstiftningen och villkoren i detta avtal. Åtgärderna ska dokumenteras. Jetas ska utan dröjsmål till Xxxxxx på begäran lämna information om vidtagna säkerhetsåtgärder i syfte att Kunden kan kontrollera att Jetas både kan vidta och vidtar de säkerhetsåtgärder som krävs, se bilaga 2.
4.3 Anlitande av underbiträden
Kunden lämnar genom detta avtal ett allmänt skriftligt förhandstillstånd till Jetas att överföra och ge åtkomst till personuppgifterna som omfattas av detta avtal till ett eller flera andra personuppgiftsbiträden (underbiträden) som Jetas anlitar.
Jetas ska ingå ett skriftligt avtal med vart och ett av de underbiträden som anlitas. Genom sådant avtal ska underbiträdet åläggas samma skyldigheter i fråga om dataskydd som Jetas har i förhållande till Kunden enligt detta avtal. Jetas ansvarar fullt ut gentemot Xxxxxx för anlitade underbiträdens fullgörande av sina skyldigheter när det gäller dataskydd på motsvarande sätt och i samma utsträckning som om Jetas utfört behandlingen.
Vid anlitande av underbiträde, eller vid byte av underbiträde, ska Jetas i förväg informera Kunden i syfte att ge Kunden möjlighet att göra invändningar mot förändringen. Kunden ska efter mottagandet av informationen utan dröjsmål, och senast inom 30 dagar, skriftligen meddela Jetas eventuell invändning samt skälen för denna.
Invänder Xxxxxx har Jetas rätt till förhandling med Kunden i syfte att med utgångspunkt från invändningen nå en för båda parter godtagbar lösning i god anda. Framställer Xxxxxx inte någon invändning enligt vad som nu sagts, ska Xxxxxx anses ha godkänt anlitandet/ bytet av underbiträde. Vid detta avtals ingående finns vissa av Jetas anlitade underbiträden som Kunden har godkänt för fullgörande av delar av Jetas åtagande enligt detta avtal, se bilaga 1.
4.4 Överföring av personuppgifter till tredje land
Jetas har rätt att själv eller, i förekommande fall, genom anlitat underbiträde, överföra personuppgifter som omfattas av detta avtal till tredje land, förutsatt att lagliga förutsättningar för detta är uppfyllda, t.ex. genom användning av EU:s standardavtalsklausuler.
4.5 Tystnadsplikt, behöriga personer m.m.
Åtkomst till personuppgifter som behandlas enligt detta avtal ska begränsas till sådana personer som behöver dem för att kunna utföra sina arbetsuppgifter. Jetas ska se till att sådana behöriga personer har förbundit sig att iaktta tystnadsplikt, eller
omfattas av lagstadgad tystnadsplikt, att de endast har tillgång till sådana personuppgifter som behövs för arbetsuppgifterna samt att de följer av Xxxxxx lämnade instruktioner.
4.6 Bistånd vid personuppgiftsincidenter, konsekvensbedömningar och frågor om säkerhet Jetas ska utan dröjsmål underrätta Xxxxxx om sådan personuppgiftsincident som Jetas får kännedom om och som leder till eller sannolikt kan leda till oavsiktlig eller olaglig förstöring, förlust, ändring eller till obehörigt röjande av eller åtkomst till personuppgifterna.
Incidenter som kommer till Jetas kännedom ska dokumenteras av Jetas.
Dokumentationen ska på begäran överlämnas till Kunden utan oskäligt dröjsmål. I de fall en incident ska rapporternas till tillsynsmyndigheten, ska Jetas samarbeta med och bistå Kunden med sådan information som efterfrågas och Jetas innehar.
Jetas ska med beaktande av den information som Jetas har att tillgå samarbeta med och bistå Kunden i frågor som rör konsekvensbedömningar samt frågor om säkerhet.
4.7 Bistånd för att fullgöra Kundens skyldigheter gentemot de registrerade
Jetas ska bistå Xxxxxx med att fullgöra Kundens skyldigheter gentemot de registrerade när dessa utövar sina rättigheter enligt dataskyddslagstiftningen, t.ex. när det gäller rätten till information och insyn, rättelse, radering, dataportabilitet, begränsning och invändning. I den utsträckning som omfattningen av Jetas bistånd går utöver vad som är rimligt och sedvanligt för jämförbara förhållanden, har Jetas rätt att begära förhandling med Xxxxxx, och är Kunden skyldig att i god anda förhandla med Jetas, om ytterligare ekonomisk kompensation till Jetas för Jetas bistånd.
Kunden är införstådd med och accepterar att Jetas bistånd till Kunden när det gäller utövandet av de registrerades rätt enligt ovan är begränsat till sådana personuppgifter som behandlas av och finns i Jetas strukturerade och sökbara register inom ramen för Uppdragsavtalet.
4.8 Radering av personuppgifter
Registrerade personer kan under avtalsperioden komma att begära att personuppgifter ska raderas. Om Xxxxxx instruerar att personuppgift ska raderas ska sådan radering ske av Jetas utan dröjsmål, dock senast inom 180 dagar, eller den kortare tidsrymd som krävs enligt från tid till annan gällande dataskyddslagstiftning eller domstols eller tillsynsmyndighets beslut eller riktlinjer.
Vid Uppdragsavtalets upphörande ska Jetas till Kunden utan dröjsmål återlämna samtliga personuppgifter som omfattats av Uppdragsavtalet. Jetas ska härefter, om inte Xxxxxx instruerar om annat, radera hos Jetas förekommande kopior av personuppgifterna senast inom 180 dagar, eller den kortare tidsrymd som krävs enligt från tid till annan gällande dataskyddslagstiftning eller domstols eller tillsynsmyndighets beslut eller riktlinjer, såvida inte fortsatt lagring av uppgifterna av Jetas krävs enligt gällande lagstiftning.
4.9 Insyn och kontroll
Jetas ska ge Xxxxxx tillgång till all information som efterfrågas och krävs för att visa att de skyldigheter som Jetas har i egenskap av personuppgiftsbiträde enligt dataskyddslagstiftningen fullgörs. Jetas kommer årligen som ett led i att underlätta Kundens insyn och kontroll att genomföra interna revisioner av utförd personuppgiftsbehandling, vars utfall kommer att göras tillgängligt på Jetas hemsida.
Parterna kan härutöver bestämma att Kunden, på överenskomna villkor, genom inspektion ska kunna granska den personuppgiftsbehandling, i relevanta delar, som sker av Jetas.
Kunden ska i sådant fall specificera det innehåll och den omfattning som Xxxxxx anser att inspektionen bör ha. Jetas har rätt till skälig ersättning från Xxxxxx för uppkomna kostnader med anledning av sådan inspektion.
5. Ansvar
5.1 För ersättningsanspråk som registrerad person framställer för skada på grund av utförd personuppgiftsbehandling enligt detta avtal svarar parterna i förhållande till den registrerade i enlighet med vad som sägs i EU:s dataskyddsförordning. Jetas svarar dock endast om Jetas inte fullgjort de skyldigheter i dataskyddsförordningen som specifikt riktar sig till personuppgiftsbiträden eller agerat utanför eller i strid med Kundens lagenliga anvisningar.
Om Jetas och Xxxxxx anses ha medverkat vid samma behandling och båda parter vara ersättningsskyldiga ska ansvaret mellan dem slutligt fördelas i förhållande till deras del av ansvaret, med beaktande av vad som sägs i föregående stycke. Har part i ersättning till registrerade betalat ett belopp som motsvarar en större andel än vad som nu sagts, ska den andra parten ersätta den part som betalat ersättningen med motsvarande (överstigande) belopp, jämte skäliga och proportionerliga kostnader som uppkommit för förstnämnda part för att försvara sig mot framförda krav. Oavsett vad som nu sagts är Jetas ansvar i förhållande Kunden enligt detta avtal, såvida inte uppsåt eller grov vårdslöshet föreligger, begränsat till ett belopp motsvarande 50 % av arvodet som Kunden betalat enligt avtalet de senaste 12 månaderna.
5.1 (forts.)
Part som får anspråk på ersättning eller administrativa avgifter riktat mot sig, ska utan dröjsmål informera den andra parten om anspråket samt även på begäran låta den andra parten få insyn i relevant material om det framstår som sannolikt att frågor om ansvarsfördelning mellan parterna kommer uppkomma. Båda parter är skyldiga att vidta skäliga åtgärder för att begränsa skadeverkningarna av det inträffade.
Part ska för att inte förlora sin rätt till ersättning enligt denna punkt framställa krav till den andra parten inom 12 månader från det att parts betalningsskyldighet blivit fastställd.
5.2 Parts krav avseende annan typ av skada än vad som behandlas i punkt 5.1 ovan regleras uteslutande av vad som anges i Uppdragsavtalet.
6. Meddelanden
6.1 Meddelanden, underrättelser och annan kommunikation mellan Parterna i frågor som uppkommer vid fullgörandes av detta avtal, eller annars, med anledning av avtalet, sker, om Parterna inte skriftligen i det enskilda fallet kommit överens om annat, via Jetas hemsida.
7. Lagval och jurisdiktion
7.1 Detta avtal ska tillämpas och tolkas i enlighet med svensk lag.
7.2 Tvister enligt detta avtal ska, om parterna inte skriftligen kommer överens om annat, avgöras av svensk allmän domstol.
8. Avtalsperiod
8.1 Detta avtal träder i kraft den 25 maj 2018 och gäller så länge Jetas behandlar personuppgifter för Kundens räkning.
Detta Avtal har upprättats i två likalydande exemplar, varav parterna tagit var sitt.
Datum, ort:
Jetas Quality Systems AB ”Kund” AB
För- Efternamn
Xxxxxx Xxxxxxxx, VD xx xx, befattning
Bilaga 1 Biträden / underleverantörer
Följande underleverantörer är anlitade av Jetas och för att utföra delar av fullföljandet av ingånget uppdraget.
H2Data xxxxxx-xxxx Mölndal Drift och datalagring
Bilaga 2 Instruktioner för behandling av uppgifter till personuppgiftsbiträdesavtal mellan xx, nedan ”kund” och Jetas Quality Systems AB, nedan ”Jetas” 2018-xx-xx
Jetas åtar sig på kundens uppdrag att säkerställa personuppgifternas konfidentialitet genom att
Utbilda medarbetare
Utbildning för samtliga medarbetare i dataskyddsförordningen ska vara en obligatorisk del av medarbetarnas introduktion.
Sekretessförbindelse för medarbetare och konsulter
Samtliga medarbetare och konsulter som har tillgång till personuppgifter har skrivit under sekretessförbindelse.
Behörighetsstyrning
AD, ”användarkatalog”, styr åtkomst för medarbetare till de system, applikationer och uppgifter som krävs för att utföra arbetsuppgifterna. Enbart medarbetare som har kundkontakt ska ha tillgång till mer personuppgifter rörande kunden än kundens styrelseledamöters och kontaktpersoners namn och kontaktinformation.
Inloggningsförfarande i Jetas APP och portal
Till kundportalen ska inloggning ske med användarnamn och lösenord. Kunden utser en behörighetsadministratör som hanterar och ansvarar för användare och innehar högre behörighet än de personer som är brukare av systemet. Jetas åtar sig på kundens uppdrag att hantera den tekniska och organisatoriska säkerheten genom att tillse att den säkerhet som krävs finns på plats.
Drift-, lagring och övervakning
Jetas underbiträdeavtals part, se bilaga 1 ska tillse att servrar hanteras med hög säkerhet där enbart godkända personer har tillträde. Serverhall ska vara försedd med brandskydd och gott skalskydd. Goda rutiner för övervakning och larmfunktioner ska finnas dygnet runt årets alla dagar.
Autentisering och Auktorisering
Kontinuerligt verifiera att användarens behörighet stämmer. Vid varje anrop till Jetas servrar ska en kontroll ske av den inloggades behörighet. T
Begränsad sessionstid
För att undvika att obehöriga får tillgång till information om en enhet lämnas obevakad ska Jetas begränsa kundportalens sessionstid. V
Lösenordspolicy
Jetas ska följa en lösenordspolicy som kräver att lösenord är privata, inte för enkla i sin konstruktion och som ska bytas med jämna mellanrum.
Backup rutiner
Backup tas dagligen och backup media förvaras på annan plats än datahallen.
Brandväggar
Jetas ska säkerställa servermiljö och nätverk ska skyddas av brandväggar som förhindrar otillåten access.
Underleverantörer
I de fall Jetas anlitar underleverantörer ska alltid biträdesavtal upprättas.