Personuppgiftsansvarig (PuA):
iP.1 Personuppgiftsbiträdesavtal
Personuppgiftsansvarig (PuA):
Kunden
Personuppgiftsbiträde (PuB):
IP.1 Networks AB, 556671-1536
1. Bakgrund och omfattning
Personuppgiftsansvarig benämns nedan PuA.
Parterna har träffat avtal varigenom IP.1 Networks AB har åtagit sig att för PuA räkning utföra tjänster enligt avtal ”Tjänsteavtalet”. Vid utförandet av tjänsterna enligt Tjänsteavtalet kommer IP.1 Networks AB att behandla personuppgifter för PuA räkning. IP.1 Networks AB kommer därmed att vid de aktuella tjänsternas utförande att agera som personuppgiftsbiträde PuB åt PuA som är personuppgiftsansvarig för de personuppgifter som ska behandlas.
2. Ändamål med behandling av personuppgifterna
IP.1 Networks AB får endast behandla personuppgifter för de ändamål som uppgetts i Tjänsteavtalet eller i skriftligt tilläggsavtal som hänvisar till detta avtal och inte för något annat ändamål än vad som är nödvändigt för fullgörande av Tjänsteavtalet.
3. Underleverantör
IP.1 Networks anlitar Microsoft Azures molntjänster inom EU som underbiträde. IP.1 Networks AB får inte utan beställarens skriftliga medgivande lämna personuppgifter för behandling hos underleverantör s.k. underbiträde. Om ett allmänt medgivande lämnas ska IP.1 Networks AB informera PuA om eventuella planer på att anlita nya underbiträden eller byta underbiträde. PuA ska snarast göra invändningar mot sådana förändringar, dock senast inom en vecka från IP.1 Networks AB meddelat att förändringen kommer att ske.
Invänder PuA mot förändringarna får personuppgifterna inte överlämnas och tjänsterna ska utföras av IP.1 Networks AB i egen regi alternativt av tidigare godkänt underbiträde.
IP.1 Networks AB ansvarar för att skriftliga avtal ingås med underleverantörer.
4. Villkor för behandlingen av personuppgifter
För IP.1 Networks ABs behandling gäller följande.
IP.1 Networks AB
a) får endast behandla personuppgifter på dokumenterade instruktion från den PuA, inbegripet när det gäller överföringar av personuppgifter till ett tredje land eller en internationell organisation, såvida inte denna behandling krävs enligt unionsrätten eller nationell rätt. I sådant fall ska IP.1 Networks AB informera den PuA om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt,
b) ska säkerställa att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt,
c) ska vidta alla åtgärder för säkerhet i samband med behandlingen av personuppgifterna enligt art 32 i dataskyddsförordningen
d) ska respektera de villkor som gäller för anlitande av underbiträde enligt p 3 ovan
e) ska med tanke på behandlingens art, hjälpa den PuA genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att den PuA kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enligt helt med kapitel III i dataskyddsförordningen,
f) ska bistå den PuA med att se till att skyldigheterna enligt art 32-36 i dataskyddsförordningen fullgörs (angående information till den registrerade om en personuppgiftsincident och anmälan av en personuppgiftsincident till tillsynsmyndigheten), med beaktande av typen av behandling och den information som IP.1 Networks AB har att tillgå,
g) beroende på vad den PuA väljer, ska radera eller återlämna samtliga personuppgifter till den PuA efter det att tillhandahållandet av behandlingstjänsterna har avslutats, och radera befintliga kopior såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller nationell rätt, och
h) ska ge den PuA tillgång till all information som krävs för att visa att de skyldigheter som fastställs i denna artikel har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den PuA eller av en annan revisor som bemyndigats av den PuA.
Vidare förbinder sig IP.1 Networks AB att föra register över behandlingarna och samarbeta med tillsynsmyndigheten och göra detta register tillgängligt för tillsynsmyndigheten.
IP.1 Networks AB ska vid behov och på begäran bistå den PuA med fullgörande av de skyldigheter som härrör från utförandet av konsekvensbedömningar avseende dataskydd och förhandssamråd med tillsynsmyndigheten.
5. Säkerhetsåtgärder
IP.1 Networks AB ska begränsa åtkomsten till personuppgifter till personer som behöver sådan åtkomst för att fullgöra sina arbetsuppgifter.
IP.1 Networks AB ska se till att personuppgifter inte behandlas i strid med bestämmelserna i vid var tid gällande lagstiftning m.m. gällande dataskydd för personuppgifter såsom t.ex. dataskydds- förordningen och Datainspektionens föreskrifter. IP.1 Networks AB ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från obehörig åtkomst, förstörelse och ändring.
IP.1 Networks AB förbinder sig att omedelbart informera den PuA om en instruktion strider mot dataskyddförordningen eller mot andra bestämmelser avseende dataskydd för personuppgifter.
IP.1 Networks AB och PuA förbinder sig att med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter
vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt
a) pseudonymisering och kryptering av personuppgifter,
b) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingsystemen och -tjänsterna,
c) förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,
d) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.
Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
Den PuA och IP.1 Networks AB ska vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den PuAs eller IP.1 Networks ABs överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den PuA, om inte unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det.
6. Personuppgiftsincidenter
IP.1 Networks AB ska underrätta den PuA utan onödigt dröjsmål efter att ha fått vetskap om en personuppgiftsincident. Underrättelsen ska beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs. Om och i den utsträckning det inte är möjligt att tillhandahålla informationen samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.
IP.1 Networks AB ska vara PuA behjälplig dokumentera alla personuppgiftsincidenter, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits.
7. Kontakter med tredje man
Om tredje man (t.ex. annan myndighet än tillsynsmyndigheten eller någon annan) vänder sig till IP.1 Networks AB med begäran om information om behandling av personuppgifter ska IP.1 Networks AB utan dröjsmål vidarebefordra en sådan begäran till PuA.
IP.1 Networks AB har inte rätt att företräda PuA gentemot tredje man i fråga om behandling av personuppgifter såvida inte PuA uttryckligen har medgivit detta. PuA ska ersätta IP.1 Networks AB för kostnader m.m. som kan uppstå med anledning av att IP.1 Networks AB inte lämnar ut information om behandlingen enligt denna punkt.
8. Tystnadsplikt
IP.1 Networks AB och dessa anställda och underkonsulter har tystnadsplikt för samtliga personuppgifter som behandlas om inget annat är skriftligen avtalat med PuA. Tystnadsplikt råder inte heller gentemot den registrerade angående deras egna personuppgifter eller för uppgifter som allmänt kända.
9. Immateriella rättighet
Samtliga immateriella rättigheter till personuppgifterna innehas av PuA eller den registrerade. IP.1 Networks AB får en icke-exklusiv rätt att använda personuppgifterna och ev. immateriella rättigheter kopplade till dessa enbart för fullgörandet av sina åtaganden enligt Tjänsteavtalet.
10. Ansvar
Om en registrerad eller annan tredje man riktar krav mot PuA på grund av IP.1 Networks ABs behandling av personuppgifter ska IP.1 Networks AB hålla PuA skadeslös för sådan krav som följer av att IP.1 Networks AB inte följt detta avtal. Ersättningen är begränsad till maximalt ett halvt (½) Prisbasbelopp.
Om en registrerad eller annan tredje man riktar krav mot IP.1 Networks AB på grund av PuAs instruktion om behandling av personuppgifter ska PuA hålla IP.1 Networks AB skadeslös för sådant krav, dock inte om IP.1 Networks AB borde ha uppmärksammat PuA på att behandlingen strider mot gällande regler för dataskydd vid behandling av personuppgifter.
Varje PuA eller PuB som medverkat till behandling av personuppgifter kan hållas ansvarig för hela skadan gentemot registrerad. Om de är förenade i samma rättsliga förfarande i enlighet med medlemsstaternas nationella rätt, kan ersättningen dock fördelas i enlighet med varje PuAs eller PuBs ansvar för den genom behandlingen uppkomna skadan, förutsatt att den registrerade som lidit skada tillförsäkras full och effektiv ersättning. Varje PuA eller PuB som har betalat full ersättning får därefter inleda förfaranden för återkrav mot andra PuA eller PuB som medverkat vid samma behandling. Regresssrätten mellan PuA och IP.1 Networks AB är dock begränsad enligt ovan.
11. Radering
IP.1 Networks AB ska efter med Tjänsteavtalets upphörande radera samtliga personuppgifter som behandlats för PuA om inte tidigare tidpunkt överenskoms. IP.1 Networks AB är i samband med Tjänsteavtalets upphörande skyldig att återlämna behandlade uppgifter i lämpligt format till PuA.
12. Ändringar och tillägg
Ändringar eller tillägg till detta avtal ska för sin giltighet vara skriftliga och undertecknade av båda parter.
13. Avtalstid och upphörande
Detta avtal träder i kraft när det undertecknats av bägge parter. Avtalet upphör att gälla när Tjänsteavtalet upphör att gälla. Dock ska punkt 8 fortsätta att gälla i ett år efter att avtalet upphört.
14. Tvist
Tvist i anledning av avtalet ska i första hand lösas genom förhandlingar i god anda mellan parterna. Svensk lag är tillämplig på avtalet. Tvister som uppstår i anledning av detta avtal skall slutligt prövas vid allmän domstol med Skaraborgs tingsrätt som första instans.